zahni

Ich habe dieses Dokument bei Microsoft gefunden: http://download.microsoft.com/download/0/1/2/0121828a-a1e5-4193-b78e-9475d7af5955/lizenzierung_desktop-virtualisierung.pdf Da steht: Zählt der Remote-Zugriff auf ein Desktop-Windows als RDS? Ich denke nicht, das ist dem Hauptbenutzer lt. EULA erlaubt (im Gegensatz zu einem Server-OS). Jedenfalls müsste man bei der Verwendung von Nicht-RDS-Lösungen fein raus sein (z.B. VMWare)? Gibt es von MS überhaupt eine VDI-Lösung "über RDS"?

Wir hast Du denn eine Linux-VM "konvertiert"? Dir ist bewusst, dass Du u.U, andere Treiber brachst? Stelle doch einfach den Promiscuous Mode in der VM ab. Das wird schon irgendwie gehen. Ich kenne mich aber mit dem OpenWRT-Router nicht aus. Oder Du benutzt eine der Anleitungen, die kommen wenn man bei Google "openwrt hyper-v" eingibt.

Der Promiscuous Mode sorgt dafür, dass alle Pakete im Kabel oder WLAN die höheren Schichten erreichen und ausgewertet werden können. Ohne diesen Modus wurden nur Broadcasts, Unicasts und Pakete mit der MAC-Adresse des Empfängers durchgelassen. Der Modus wird i.d.R. nur für Paket-Sniffing benötigt. Eine Aktivierung in virtuellen Umgebungen stellt ein Sicherheitsrisiko dar Wozu der Openwrt-Router das braucht, weis ich nicht. Ist max. für eine Bridge-Funktion interessant. Für Hyper-V mal hier lesen: https://docs.microsoft.com/en-us/powershell/module/hyper-v/set-vmnetworkadaptervlan?view=win10-ps

VDI kann ich nur mit einer Management-Lösung empfehlen. Wir nutzen hier z.B. VDI für Home-Office, allerdings mittel VMware Horizon View. Hier muss man auch nicht, wie mein geschätzter Kollege schrieb, 10 VM Patchen, sondern nur eine Master-VM. Die virtuellen VM werden als sog. Linked-Clones bereitgestellt, was recht platzsparend ist. Vorteil der Lösung: Man kann auch Software laufen lassen, die für RDS nicht geeignet ist oder nicht dafür getestet wurde. In dieser Konfiguration braucht man aber unbedingt einen KMS. Die Lösung funktioniert nicht mit MAK. Ob die Eine oder andere Variante passt, kann man nur durch Beratung herausfinden. VDI "zu Fuß" , also alle 10 VMs manuell einrichten, ist keine gute Idee.

Für Windows Desktop benötigt man eine VDA-Lizenz. Es wurde hier aber schon diskutiert, dass man als Ersatz den Windows Server nehmen kann. Hier werden RDS-Lizenzen benötigt, die man in den Schrank legt. Für den Betrieb der VDI-Umgebung würde ich aber Lösungen von Citrix oder VMware (Horizon View) bevorzugen.

Nur zur Sicherheit: Hast Du Chkdsk /f ausgeführt und dann auf entsprechender Nachfrage den Server neu gestartet oder ließ sich das Volume offline nehmen? Gerade bei NTFS-Rechte-Fehlern bringt Chkdsk im Read-Only Modus oft keine brauchbaren Ergebnisse.

Mach es doch trotzdem mal, grrr. Vielleicht sieht hilft Dir eine Liste der Prozesse, die sonst noch so Ports öffnen. Ansonsten möchte ich nicht ange"grrrt" werden und bin raus.

Hier steht irgendwas von einem TCC-Mode, den man aktiveren muss: http://us.download.nvidia.com/Windows/Quadro_Certified/426.00/426.00-winserver-quadro-release-notes.pdf

Probiere mal netstat -ano | findstr "ABHÖREN"

chkdsk /f ausführen.

Es kann aber eben auch an den Snapshots liegen. Wir wissen nicht, was konfiguriert wurde.

Ein Server mit 2 NICs ist immer problematisch. Was ist das Ziel? Sollen einige Geräte nur Internet-Zugang bekommen? Dann kann man den Gastzugang der FB konfigurieren, den man auch auf einen der LAN-Ports legen kann.

Und das macht dann auch Drag & Drop ohne Rückfrage....

Was steht denn in den Richtlinien? Für eine lokale Richtlinie braucht man keinen "Server-Zugriff". Lt: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#bkmk-unlockpol7 geht Entsperrung nur über SmartCard oder Password.

Eben. Wie glaubst Du meldet sich der WSUS bei einem Remote-SQL-Server an? Ein lokaler SQL-Server ist etwas Anderes.

Hallo, Bitlocker mit TPM schützt nur das Systemlaufwerk. Die Schlüssel der anderen lokalen Laufwerke werden für die automatische Entsperrung in der Registry gespeichert, die auf dem Systemlaufwerk liegt. Bitlocker "To go" (für Wechselmedien) funktioniert meiner Meinung nach nur mit Password. Eventuell lässt sich der Schlüssel auch in der Registry speichern. Will sagen: Wenn Du nur das USB-Laufwerk sichern willst, hat das AD oder der TPM damit nichts zu schaffen. Das geht so nicht.

Der Trick ist, dass sich sich das Computer-Konto des WSUS per Kerberos am SQL-Server bzw. der DB anmelden können muss. Irgendwo gab es da eine Anleitung von MS...

Eine richtige Lösung gibt es dafür nicht. Leider besteht Microsoft seit Windows 2000 darauf, das beim Verschieben via Drag & Drop eine Sicherheitsabfrage komplett überflüssig ist. Das verursacht auch bei uns nahezu täglich Aufwände im Benutzerservice. Selbst dem Ober-Admin passiert das mal. Daher benutzt der Ober-Admin den TotalCommander ;) Die Security-Events der Datei/Ordner-Überwachung möchte Dein Kunde nicht auswerten...

Das mit dem RAM ist die erste Voraussetzung. Dann könnte im BIOS z.B. NUMA noch abgeschaltet sein.

Zum RAM: Bei dem Prozessor sind z.b. 16GB TruDDR4 Memory (2Rx8, 1.2V) PC4-19200 CL17 2400MHz LP RDIMM nicht supported. https://lenovopress.com/lp0068-lenovo-system-x3650-m5-machine-type-8871 Auch unterstützt das Board bis zu 3 Channels. Die müssen auch korrekt gesteckt werden. Also entweder 1, 2 oder 3 Channels. Und wie geschrieben: Optimal ist es bei beiden CPUs den Ram exakt gleich zu bestücken. So wie auch die CPU'en das gleiche Stepping haben müssen.

Der die Ram-Größe erscheint mir etwas seltsam. Wie sind die RAM-Bänke bestückt? Jede CPU hat 12 DIMM-Slots. Wie sind die bestückt? Jede CPU sollte exakt identisch bestückt sein.

Wenn Du mal was zu Deiner Hardware und der Konfiguration der VMs schreiben würdest, könnten wir vielleicht helfen. So leider nicht...

Kurz mal zur irrigen Annahme, bei VMWare würde ein Linux-Kernel laufen. Das Ding nennt sich VMKernel und eine Entwicklung von VMWare. Sicher gibt es einige Dinge, die da übernommen worden sind. Richtig viel ist es aber nicht.

Was möchtest Du erreichen? Mit der Konfig bekommst Du einen "Multihomed"-Server. Der ist 1. als DC nicht supported und macht 2. nur Probleme.

Nö. Nur als Tipp: Überlege, was Du erreichen willst. Wenn der DL auch die Server-Software betreut, kommt er ran.