zahni

VDI kann ich nur mit einer Management-Lösung empfehlen. Wir nutzen hier z.B. VDI für Home-Office, allerdings mittel VMware Horizon View. Hier muss man auch nicht, wie mein geschätzter Kollege schrieb, 10 VM Patchen, sondern nur eine Master-VM. Die virtuellen VM werden als sog. Linked-Clones bereitgestellt, was recht platzsparend ist. Vorteil der Lösung: Man kann auch Software laufen lassen, die für RDS nicht geeignet ist oder nicht dafür getestet wurde. In dieser Konfiguration braucht man aber unbedingt einen KMS. Die Lösung funktioniert nicht mit MAK. Ob die Eine oder andere Variante passt, kann man nur durch Beratung herausfinden. VDI "zu Fuß" , also alle 10 VMs manuell einrichten, ist keine gute Idee.

Für Windows Desktop benötigt man eine VDA-Lizenz. Es wurde hier aber schon diskutiert, dass man als Ersatz den Windows Server nehmen kann. Hier werden RDS-Lizenzen benötigt, die man in den Schrank legt. Für den Betrieb der VDI-Umgebung würde ich aber Lösungen von Citrix oder VMware (Horizon View) bevorzugen.

Nur zur Sicherheit: Hast Du Chkdsk /f ausgeführt und dann auf entsprechender Nachfrage den Server neu gestartet oder ließ sich das Volume offline nehmen? Gerade bei NTFS-Rechte-Fehlern bringt Chkdsk im Read-Only Modus oft keine brauchbaren Ergebnisse.

Mach es doch trotzdem mal, grrr. Vielleicht sieht hilft Dir eine Liste der Prozesse, die sonst noch so Ports öffnen. Ansonsten möchte ich nicht ange"grrrt" werden und bin raus.

Hier steht irgendwas von einem TCC-Mode, den man aktiveren muss: http://us.download.nvidia.com/Windows/Quadro_Certified/426.00/426.00-winserver-quadro-release-notes.pdf

Probiere mal netstat -ano | findstr "ABHÖREN"

chkdsk /f ausführen.

Es kann aber eben auch an den Snapshots liegen. Wir wissen nicht, was konfiguriert wurde.

Ein Server mit 2 NICs ist immer problematisch. Was ist das Ziel? Sollen einige Geräte nur Internet-Zugang bekommen? Dann kann man den Gastzugang der FB konfigurieren, den man auch auf einen der LAN-Ports legen kann.

Und das macht dann auch Drag & Drop ohne Rückfrage....

Was steht denn in den Richtlinien? Für eine lokale Richtlinie braucht man keinen "Server-Zugriff". Lt: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#bkmk-unlockpol7 geht Entsperrung nur über SmartCard oder Password.

Eben. Wie glaubst Du meldet sich der WSUS bei einem Remote-SQL-Server an? Ein lokaler SQL-Server ist etwas Anderes.

Hallo, Bitlocker mit TPM schützt nur das Systemlaufwerk. Die Schlüssel der anderen lokalen Laufwerke werden für die automatische Entsperrung in der Registry gespeichert, die auf dem Systemlaufwerk liegt. Bitlocker "To go" (für Wechselmedien) funktioniert meiner Meinung nach nur mit Password. Eventuell lässt sich der Schlüssel auch in der Registry speichern. Will sagen: Wenn Du nur das USB-Laufwerk sichern willst, hat das AD oder der TPM damit nichts zu schaffen. Das geht so nicht.

Der Trick ist, dass sich sich das Computer-Konto des WSUS per Kerberos am SQL-Server bzw. der DB anmelden können muss. Irgendwo gab es da eine Anleitung von MS...

Eine richtige Lösung gibt es dafür nicht. Leider besteht Microsoft seit Windows 2000 darauf, das beim Verschieben via Drag & Drop eine Sicherheitsabfrage komplett überflüssig ist. Das verursacht auch bei uns nahezu täglich Aufwände im Benutzerservice. Selbst dem Ober-Admin passiert das mal. Daher benutzt der Ober-Admin den TotalCommander ;) Die Security-Events der Datei/Ordner-Überwachung möchte Dein Kunde nicht auswerten...

Das mit dem RAM ist die erste Voraussetzung. Dann könnte im BIOS z.B. NUMA noch abgeschaltet sein.

Zum RAM: Bei dem Prozessor sind z.b. 16GB TruDDR4 Memory (2Rx8, 1.2V) PC4-19200 CL17 2400MHz LP RDIMM nicht supported. https://lenovopress.com/lp0068-lenovo-system-x3650-m5-machine-type-8871 Auch unterstützt das Board bis zu 3 Channels. Die müssen auch korrekt gesteckt werden. Also entweder 1, 2 oder 3 Channels. Und wie geschrieben: Optimal ist es bei beiden CPUs den Ram exakt gleich zu bestücken. So wie auch die CPU'en das gleiche Stepping haben müssen.

Der die Ram-Größe erscheint mir etwas seltsam. Wie sind die RAM-Bänke bestückt? Jede CPU hat 12 DIMM-Slots. Wie sind die bestückt? Jede CPU sollte exakt identisch bestückt sein.

Wenn Du mal was zu Deiner Hardware und der Konfiguration der VMs schreiben würdest, könnten wir vielleicht helfen. So leider nicht...

Kurz mal zur irrigen Annahme, bei VMWare würde ein Linux-Kernel laufen. Das Ding nennt sich VMKernel und eine Entwicklung von VMWare. Sicher gibt es einige Dinge, die da übernommen worden sind. Richtig viel ist es aber nicht.

Was möchtest Du erreichen? Mit der Konfig bekommst Du einen "Multihomed"-Server. Der ist 1. als DC nicht supported und macht 2. nur Probleme.

Nö. Nur als Tipp: Überlege, was Du erreichen willst. Wenn der DL auch die Server-Software betreut, kommt er ran.

Ich kann hier nur auf die Doku verweisen: https://docs.vmware.com/de/VMware-vSphere/6.5/com.vmware.vsphere.security.doc/GUID-8D7D09AC-8579-4A33-9449-8E8BA49A3003.html Wie immer: Was soll damit erreicht werden? Siehe Thema Bitlcoker bei Windows 2019? Also welche potentiellen Sicherheitsprobleme will man lösen? In einem physikalisch sicheren RZ, halte ich die Verschlüsselung für ähnlich sinnfrei wie beim Storage. In die Regel ist das nur Aktionismus um irgendjemanden zu sagen: Da schau, ist doch sicher weil verschlüsselt. Dem Hacker, der in einem laufenden Server eindringt, ist die Verschlüsselung herzlich egal, weil die transparent im Hintergrund geschieht. -Zahni

Server bekommen bei uns keiner Adresse via DHCP. Ansonsten: Wenn der DHCP mal nicht da ist, laufen die DHCP-Clients trotzdem weiter. Bis ihre Lease abläuft. Wichtig wäre, dass man DHCPMediaSense deaktiviert hat. Sonst gibt es lustige IP-Adressen, falls jemand mal ein Netzwerkkabel rauszieht.

Wir haben halt viel HPE. Und auch Blades. Wenn die laufen, ist ja ok. Ausfälle gab es in letzter Zeit keine.