Weingeist

Genau so sieht es leider im Grundsatz aus aus. Klar, dass das bei 500 Clients nicht praktikabel ist. Möglicherweise kann man das ja mit WSUS oder einem Task mit erweiterten Rechten und/oder Kombi mit GPO erschlagen. Beim anmelden eines Users wird dann z.Bsp. der Task mit erhöhten Privilegien ausgeführt welcher sich pro Drucker- bzw. Treibertyp auf einen Dummy-Printer verbindet der sonst nicht verwendet wird und anschliessend die Verbindung wieder kappt. Dummy-Printer damit nicht erwünschte Printer gekappt werden. Dann ist der Driver auf dem Client. Vielleicht gehts auch eleganter mit einer Softwareverteilung wie WSUS oder etwas "besserem". Nunja, so ist es aber. Die Lücke ist weder mit den härtesten empfohlenen Einstellungen komplett geschlossen und schon gar nicht wenn man es wieder ermöglicht. Kann man drehen und wenden wie man möchte. Mögicherweise ist es aber dennoch etwas besser wie vorher. MS kann nicht einfach alles verbieten was gut wäre. Da gibts immer etwas Vorlaufzeit sonst laufen die Firmen sturm. Bei einschneidenden Massnahmen hat man fast immer 6 Monate bis 1 Jahr zeit das umzusetzen.

Eigentlich tust Du das ja. Ist ja gerade das Ziel, das Nicht-Admins die Treiber nicht installieren können. Prinzipiell Du musst einfach schauen, dass Du die Treiber schon vorher auf die Kisten verteilst, dann kann ein User den Drucker auch verbinden. Ist mit einem gewissen Aufwand verbunden. Wie genau das praktikabel geht, weiss ich auch noch nicht. Aber meine Anzahl Maschinen pro Umgebung sind auch relativ beschränkt, insofern verschmerzbar sich kurz auf jede Kiste zu verbinden.

Sehe ich durchaus auch so Der Printer-Stack ist das Muterbeispiel von völlig vergeigter Modernisierung. Alles bunt gemischt von neuen und alten Zöpfen. Solange es läuft, gut, wens nicht tut, sucht man sich nen Ast. Auch Sicherheitstechnisch dürfte es ebenso eine Sysiphusarbeit sein, dieses Gebastel vernünftig zu machen wie die Kombi von alter und neuer Technik.

Und warum willst Du das nicht auch hier so machen? Den potentziellen Ärger ist das eigentlich nicht wert. Zumindest nicht im kleinen wo kein entsprechendes Personal mit spezialisiertem Wissen verfügbar ist wenn es nachher unerklärliche Probleme gibt. Da ist das Wissen eher breit gestreut aber wenig spezialisiert auf jedes einzelne Gebiet. Ich behaupte jetzt einfach, dazu gehörst Du auch Ich persönlich starte daher immer von der grünen Wiese bezüglich OS-Installation bei Upgrades. Da kann ich diese Fehlerquelle zum vornherein ausschliessen.

Ist jetzt vielleicht fies, aber wenn es nicht klappt ist die Frage welchen Wert Du gesetzt hast. Ist das Gegenteil von dem was du in der GUI auswählen kannst. Windows verwaltet (GPO Disabled) = gut gemeint, bewirkt aber das Desaster. Enabled setzt das Verahlten auf "von früher". Allerdings gibt es noch anderen möglich Ärger. Wenn Die Netzwerkdrucker per Script getrennt und neu verbunden werden, wechselt auch der Standarddrucker unter Umständen auf etwas altes. Dann muss man ihn explizit wieder setzen. Ich meine den Ärger hatte ich auch wenn ich per GPO gesetzt habe statt Script (ist aber viel zu lange her wo ich dies letztes mal versucht habe). Ah und Nebenbei, Word und ich meine auch Excel ignorieren das gerne mal wenn sie geöffnet sind. Da musst dann explizit auch deren Prüfung abschalten, die haben seit 2007 einen eigenen Printer-Stack. Total beknackt für die Automatisierung. EDIT2: Ahja, das Setting ist übrigens User-basiert. Nicht Computer wie man meinen könnte. Direkter Reg-Eintrag: HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\LegacyDefaultPrinterMode=1

MS ist bestrebt einen schönen Anteil für die Vollbeschäftigung beizutragen. Dieser Spass hat bestimmt bereits sehr viele Stunden an Arbeit für das Gemeinwohl gebracht

Die Migration mit USMT hat tatsächlich auf einer CAD Maschine mit CAM, Simus und all Ihren anderen Plugins, Einstellungen etc. in ein soviel neueres W10 Build geklappt? Ohne Side Effects?!? Also jetzt bin ich mal wirklich baff. Bis dato habe ich dem Tool wenig Vertrauen geschenkt obwohl ich bei Office-Maschinen schon positives gehört habe, aber eher aus Prinzip weil das mit der Updaterei ja auch nicht immer klappt. Aber 0815 Office-Systeme sind ja auch ne ganz andere Liga... Wenn das wirklich so schmerzfrei ist, muss ich das wohl auch mal ausprobieren...

Hauptproblem an WSUS ist, dass es zu bewährt, zu gut, zu einfach und am allerschlimmsten keine relevanten Zusatzumsätze generiert. *rofl*

Umständlich ist das nicht, im Gegenteil. Reine Gewohnheitssache. Aktiviert man das Block-Out nicht, kann man den Rest auch gleich bleiben lassen (etwas grob gesagt). Die Filter-Engine von Windows ist wirklich top und wirkungsvoll, es läuft erstmal alles über sie. Meines erachtens sollte man sich mit Ihr beschäftigen und die fehlenden Regeln die es innerhalb einer Domäne braucht selber erstellen.

Mit Nvidia kommt ein ganzer Rattenschwanz an Kosten hinterher! Und man ist immer etwas auf dem Schleudersitz ob es auch in Zukunft noch gut funktioniert. VmWare hat hier die Latte nochmals angehoben mit einem zusätzlichen Layer damit sogar VM's über Hosts verschoben werden können. Man muss sich da einfach im klaren sein, dass es Nischenprodukte sind und dementsprechend behandelt werden. Gibt zwar aktuell doch einige Bestrebungen in dieses Richtung, weil eben viele Software - leider auch Windows - mittlerweile an die Graka auslagert und somit VDI den Stecker zieht weil es eben via CPU zu ineffizient ist. Auch ist das ganze hochkomplex. Man muss schon sehr viele Kosten einsparen können damit sich das überhaupt irgendwie rechnet! Auf alle Fälle muss man sich schon gut überlegen ob man vielleicht nicht doch einfach eine physische Maschinen nehmen will, ihr einen Extender spendieren möchte damit die teure Hardware ins Rack wandert und die Maschine z.Bsp. mit 10 Gbit und kurzen Kabelwegen ans Netz kann. Der User freut sich dann über ein gutes Arbeitsklima. Kein Lärm, keine schlechte Luft. Sehr gut funktioniert hier Teradici. Aber auch andere Extender-Lösungen sind denkbar. Die Komplexität ist deutlich tiefer und wenn das PCI-Passtrough spinnt, sind nicht gleiche alle User dieses Host betroffen. Allerdings hat das durchreichen schon auch gewisse Vorzüge. Ich nutze das sehr gerne für meine eigene Umgebung. Vorteile sind super niedrige Latenz da alles hostintern ablaufen kann, und trotzdem habe ich Graka-Hardwarebeschleunigung für meine eigene Maschine. 1A für Testumgebungen. Die besten Erfahrungen - allerdings kenne ich mich diesbezüglich nur mit VmWare aus - habe ich mit AMD-Karten + einer Teradici Host-Card gemacht. Nvidia verhindert das ihre normalen Karten durchgereicht werden indem sie irgendwas verbiegen damit sie ihren teuren, spezialisierten Karten verkaufen können. Der Arbeitsplatz braucht dann einen Teradici-Zero-Client, einen SoftClient auf einem ThinClient oder FatClient. Die Teradici-Host-Card kannst ebenfals durchreichen zwecks USB-Funktionalität. Geht aber auch über einen USB-to-Ethernet Adapter wenn Du durchgereichte Geräte sparen willst. Ist halt etwas Gefrickel, läuft aber soweit stabil. ;)

Nope, Du bist echt auf dem falschen Dampfer. Das ist eben genau das was nicht funktioniert ;) Du musst In der Hauptebene der erweiterten Windows Firewall mit rechter Maustaste rein und in allen Profilen standardmässig Verkehr nach aussen blockieren. Das heisst dann auch, dass Du für alles was eben durch soll, eine Freigaberegel erstellen musst. Und da MS es seit Jahren verpasst hat, da alles reinzuschieben was reingehört, ist das mitunter ziemlich nervig wenn man nicht mit Pauschalfreigaben hantieren möchte. (Edit: Wird aber immer besser mit fast jedem neuen W10 Build ;) ) Was dann geblockt wird, erfährst Du wenn du das Auditing der Windowsfirewall aktivierst. Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enable Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable Sprachübergreifend: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable https://docs.microsoft.com/de-de/windows/win32/fwp/auditing-and-logging?redirectedfrom=MSDN Ich setze jeweils noch die Loggrösse für Sicherheit rauf. Mit - tasklist /svc - netstat -a -b Kann herausgefunden werden welcher Prozess es betrifft auditpol.exe /list /category /v = GUID erhalten

Nope, Du musst in den Einstellungen der Windows Firewall selbst Outgoing standardmässig blockieren und dann das mit einer Regel freigeben was Du möchtest. Sprich es ist dann einfach alles blockiert und nur das frei was Du frei haben möchtest. Ich finde das eigentlich ziemlich gut wenn man sich daran gewöhnt hat. Klar hat auch Schattenseiten, aber das haben alle Varianten ;)

Naja, wenn Du Outgoing standardmässig blockieren aktivierst, dann kannst ja einfach die gewünschten IP's freigeben und das Thema ist erledigt. Eventuell noch mit Authentifizierung auf Netzwerkebene. Ist einfach eine etwas andere herangehensweise aber nicht per se schlechter, nur ungewohnt. EDIT: Die Standardregeln für die Freigabe von 445 natürlich erst noch deaktivieren oder eben abändern. EDIT2: Ich denke mwiederkehr meinte das gleiche mit der Standardregel. Wenn ich das richtig im Kopf habe, ist für SMB keine Systemregel hinterlegt, sollte also nicht über die Hintertür dennoch freigegeben werden.

Mich persönlich wundert das überhaupt nicht. Die grossen Anbieter analysieren ja mittlerweile komplett alles und wie fast alles hat das zwei Seiten, Schutz und Überwachung

Och ich denke das ist alles ziemlich gezielt um möglichst sämtliche "Steuerungs-Wünsche" im Keim zu ersticken und auf 0815 Deployment zu setzen. Sieht man ja überall. Für alle die was anderes wollen, werden möglichst viele Steine in den Garten geworfen damit es möglichst mühsam ist und höchstens noch Grossbetriebe und Freaks nutzen. Der nächste Office LTSC Build Office 2021 oder 2022 (wie auch immer sie ihn nennen) ist jedenfalls auch der Click2run Käse... Edit: Top ist ja, der wird dann nur ein Jahr länger supported sein wie 2016/2019 [SPOILER]Hach wäre das Adminleben einfach mit Windows 7, Office 2003 oder 2010 + dem Componentstore von mind. 8.1 + ein paar Features wie Storage Spaces. Da funktionieren Startmenüs simpel, Firewallregeln sind easy usw. Sprich User wird nicht abgelenkt und ich habe weniger Arbeit[/SPOILER]

Wohl eher um dem Admin Arbeit zu generieren... Meine Meinung dazu: Hauptsächliche Marketing um unterdimensionierte Hardware zu benutzen. Am Ende führt nichts daran vorbei, dass man die physische Leistung für die Spitzenlast bereitstellen muss. Tut man das nicht, dann läuft man irgendwann in Ärger. Entweder man lebt damit, teilt generell weniger zu damit nur auf einer Ebene ausgelagert wird oder stellt halt mehr zu Verfügung. Gilt eigentlich bei allem, IOPS, Latenz, Single-Core Potenz, Dedupe usw. Aber das weisst Du im Grunde ja sicher auch, man verdängt es höchstens ab und an

Jo, die VM kann aber auch nur korrekt bereinigen wenn die Applikationen ihrerseits den Speicher sauber freigeben. Das wird dann manchmal selbst mit fixer Speicherzuteilung ein Problem. Dann helfen oft nur Neustarts. Aber eben, sinnlos ist es eigentlich eh. Wenn eine VM den Speicher benötigt, dann benötigt sie ihn. Ansonsten könnte man ihr auch einfach weniger geben. Ist ja sowieso schon lästig genug wenn ein OS statt im RAM in der Auslagerungsdatei rumwurstelt, dann muss der RAM von dem sie ausgeht tatsächlich zu haben, nicht auch noch in der Auslagerungsdatei der VM auf Hostebene rumwursteln. Das muss eigentlich Ärger geben. Eigentlich ist dieses dynamische Zeugs meiner Meinung nach nur für Migrationen, Hostausfälle wos nicht anders geht oder Testumgebungen sinnvoll aber nicht für den Normalbetrieb.

Ehrlich gesagt würde ich produktiv nie dynamischen Arbeitsspeicher einsetzen. Bringt eh fast immer irgendwann Ärger, nicht immer nachvollziehbaren. Für einen Terminalserver sowieso lieber nicht. Aber ob das hier das Problem war, ist schwierig zu beantworten. Manchmal reichen ein paar User mehr, oder User mit einem anderen Arbeitsbild wie vorher, dass es Ärger in irgend einer Form gibt. Ich würde einfach mal auf fix umstellen und beobachten. ;) Theoretisch dürfte es aber auch bei dynamischer Zuweisung nix im Speicher verwerfen, weil ja dann einfach auf die Platte in die Auslagerungsdatei geschrieben wird und die Latenz ins übelste ansteigt. Normal wird dann alles einfach grottig langsam. Klar, wäre möglich das nicht alle Programme damit klar kommen aber hier tippe ich eher auf ein Problem mit der Speicher-Bereinigung als der dynamischen Zuteilung selbst, da ist dann irgendwann alles so voll, dass eben auch die System-Befehle nicht mehr sinnvoll funktionieren und evtl. auch die dynamische Speicherzuteilung in die Knie zwingt (wenn das mehrere Maschinen machen). Wer auch immer das verursacht. Not-Updates und mittlerweile auch normale Updates kann ich mir da durchaus aus Verursacher vorstellen bei der Qualität der letzten paar Jahre. Falls Speicher-Bereinigung ein Problem ist (Habe ich öfter gesehen wenn office Bibliotheken/Apis in anderer Software genutzt werden), dann hilft oft ein durchstarten in der Nacht, sofern machbar. Dann hat die Maschine wieder einen Tag Zeit alles zuzumüllen Daher mein Tipp: Umstellen auf fixe Speicherzuordnung, beobachten, falls immer noch ein Problem, jede Nacht durchstarten und beobachten. Eventuell der Ursache auf den Grund gehen. Wenn es mit durchstarten zuverlässig getan ist, das auch möglich ist, habe ich es mir abgewöhnt zuviel Zeit zu investieren, die ist meist verloren. Manchmal werden Probleme gefixt und manchmal kommen neue dazu. Aber wenn es mit durchstarten getan ist, ist es sehr oft ein Treiber oder Speicherbereinigungsproblem einer Applikation und selten Windows selbst.

Ist ja wieder mal nett gelöst. Bei den grossen Umgebungen mit KMS trauen sie sich wohl (noch?) nicht Ansonsten: Ich habe die Erfahrung gemacht, dass bei der Telefon-Aktivierung auch mal die Wege geändert werden die zum Ziel führen. Konnte Anfang Jahr auch mal partout etwas nicht nach dem logischen Ablauf gemäss der Telefon-Computer-Frau aktivieren. Nach dem 3. Versuch - weil ich erst an mir zweifelte - einfach einen "falschen" Weg mit einem anderen Produkt gewählt und es funktionierte. Vielleicht funktioniert das hier ja auch. Ich glaube sogar das war Office 2010, 100% sicher bin ich mir aber nicht mehr. Edit: Wenn das nicht hilft und man Volume-License Kunde ist: Auf die hinteren stehen, klar machen das man die Aktivierung für eine geschäftskritische, alte Arbeitsstation braucht und dann tun sich Wege auf die sich sonst nicht auftun. Aber ist halt super nervig bis man die richtigen Leute bekommt. Vor 10 Jahren war das noch deutlich einfacher ;)

Hehe, ist halt das was ich im kleinen öfter angetroffen habe. Selten waren beide DC's synchron. Aus verschiedenen Gründen. Doch auch ein paar mal bereits AD "versaut" wegen Rollbacks. Wenn wirklich der physische Host in die Knie geht, kann ein solcher Kunde eh nicht den Rest wieder selber raufziehen. Also sowieso ein Einsatz. Da spielen dann die 5 Minuten für die paar GB auch keine Rolle mehr. Da braucht man übers Jahr deutlich mehr Zeit für das Patchen und die Kontrollen. Aber eben, jeder wie er mag. ;) Ist mir gar nicht aufgefallen. ;) Wenn ihr das alles nutzt, dann macht es sicher Sinn. Wird nicht einfacher wenn man das mit Exchange-Online ablösen will. Exchange hat intern durchaus seine Vorzüge insbesondere weil Schnittstellen zu anderen Programmen fast immer auf Outlook/Exchange aufbauen. Gut möglich. Wäre dann ähnlich wie bei den Office-Lizenzen. Im Endeffekt läuft es sowieso darauf raus das man entweder einen physischen Arbeitsplatz oder einen User lizenzieren kann. Die Zugrifssart bei User wäre dann egal. Fat, Zero oder Thin Client, Mobiltelefon. Keine Ahnung warum sich MS so dagegen wehrt/gewehrt hat. Der Lizenz-Jungle macht ja nur alles kompliziert.

Dann Das der Infrastruktur VOR der Software Rechnung getragen wird ist sehr sehr selten. Trifft man so gut wie nie an in Kleinumgebungen an. Selbst da wo es zwingend wäre. Zwei DC's die mehr Probleme machen als lösen dagegen sehr oft. Genau wie nur eine USV die A über zu wenig Kapazität verfügt und B oft auch beide Netzteile drüber laufen. Schon klar nehmt ihr ihn für E-Mail. Geht mehr um den Rest, so war das gemeint. Sprich welche Funktionen nutzt ihr tatsächlich. Ist Exchange in andere Software integriert usw. Wenn es nur um E-Mail geht ist es so, dass man E-Mail-Dienste über lange Sicht oft günstiger, sicherer und mit einer höheren Verfügbarkeit extern bekommt als wenn man das selber intern betreibt. Zumindest wenn man ehrlich rechnet. Manchmal selbst wenn man die Lizenzen schon hat. Exchange bringt halt immer einen ziemlichen Rattenschwanz mit wenn man das wirklich hochverfügbar betreiben möchte und den Namen hochverfügbar auch verdient. Was heutzutage wo so viel über E-Mail läuft, halt fast schon Pflicht ist. ;) Sehr lange ist übrigens maximal bis 2025. Dann endet der Support von Exchange 2016. Aber bis dahin fliesst noch viel Wasser den Rhein runter.

Ist echt ein Problem. War zwischenzeitlich mal weg, dann kam es vermehrt mit VM's wieder und aktuell ist es wieder Up To date - Zwischenzeitlich hat es mal oft geholfen einfach den nla auf "automatisch verzögert" statt "automatisch" zu stellen. Klappt aber nicht immer und nicht auf jeder Maschine. - Meisten hilft es nla neu zu starten sobald die Maschine oben ist (wie bereits genannt wurde) - Hilft es nicht nla neu zu starten, muss Netzwerkadapter aktiviert und wieder deaktiviert werden (auf neueren OS relativ easy per Powershell zu automtisieren) Meine Vermutung geht so in Richtung von nicht aufgeräumten Netzwerkadaptern, Treiberprobs oder Load-Reihenfolge, insbesondere nach bestimmten Updates. Bei den Treibern/Firmware habe ich das insbesondere bei Intel-Karten festgestellt. Auf einer physischen Maschine hatte ich auch schon AMT in Verdacht das während dem Boot den Adapter blockiert und Windows ihn nicht genügend schnell bekommt oder so. Auf Neuinstallierten VM's tritt es normal nicht auf - meist bis zur Einspielung von bestimmten Updates. Hatte mir mir mal spasseshalber die Mühe genommen auf einer Maschine alles rauszukicken was irgendwie auffindbar war bezüglich Netzadapter. Sämtliche GUID's in der registry zu durchforsten usw. Danach war das Problem auf dieser Maschin weg und kam auch nicht wieder. ABER: das müsste auf den Netzwerkkartenanbieter, das Gerät selbst usw. angepasst werden. Alles ziemlich unbrauchbar für die Automation. Und ob das aktuell auch tut weiss ich nicht, vor ein paar Jahren war es ein ganz bestimmtes Update welches den Ärger auf VM's reproduzierbar verursacht hat weil irgendwie Netzwerkadapter neu eingeladen wurden aber der Alte nicht sauber entfernt (bekamen auch neue MAC's)

Ich mache es immer so: Sobald ich ein NB bekomme, baue ich eine hochwertige SSD (Enterprise) ein und darauf installiere ich frisch. Die Originale schliesse ich zusammen mit dem sonstigen Kram im Auslieferungszustand weg. Die originale Disc ist eh sehr oft ein Billig-Teil. Bei den NB's ist das Geheule bei den Mitarbeitern noch grösser wenn Daten weg sind als bei Desktops. Bei einem Service kommt die originale wieder rein. Kommt es vom Service zurück, einfach die eigene SSD wieder rein und es ist alles wie vorher. Gibt insgesamt am wenigsten Arbeit finde ich. Wenn das nicht so gemacht wurde, dann halt Disc sichern und mit den Rücksetzungsprogrammen der Hersteller zurücksetzen bzw. Disc komplett löschen. (Kann mitunter problematisch sein, wenn man keine Recovery-Datenträger bekommen hat und alles auf der Disc war)

oops. deine Antwort gar nicht zeitnah gesehen. Ich finde halt, es gehört erwähnt. Er beschreibt eine Umgebung die einen Exchange + Fileserver + DC betreibt. Das ist das typische SBS-Server Ablöseszenario im KMU-Feld. Und da sind nunmal die Voraussetzung in den Allermeisten Fällen nicht gegeben oder machen gar keinen Sinn. Daher bin ich der Überzeugung das ihm bzw. der Umgebung an sich wenig geholfen ist wenn man nur Fragen zur Hochverfügbarkeit + doppelte Lizenzen beantwortet. Mit sehr hoher Wahrscheinlichkeit ist es im Grunde einfach am Ziel vorbei. Dann hat er Geld für zusätzliche Lizenzen ausgegeben - die zudem jährlich kosten verursachen - statt in die Verfügbarkeit der Stromversorung, der Hardware, schnelles Recovery sowie Internet zu investieren welche im Endeffekt deutlich mehr zur effektiven Verfügbarkeit beitragen. Ganz zu schweigen von den Aufwand bzw. Kosten für Folgeprobleme wenn daran gespart wurde. Welche sich zudem vervielfachen wenn man Hochverfügbarkeit softwaremässig umgesetzt hat, bei Problemen zbsp. mit Strom aber jeweils alle Hardware-Systeme in Mitleidenschaft gezogen werden. Klar ist hier der Dienstleister in der Pflicht, auch bei der Klärung wozu der Exchange wirklich gebraucht wird und ob eine technische robustere Archiv-Lösung sowie Einkaufen des E-Mail als Dienstleistung nicht besser geeignet wäre. Aber eben, soll der TO sich ein paar Gedanken machen und dann allenfalls nochmals nachfragen.

Echte Hochverfügbarkeit sind nicht einfach zwei Hosts + zwei Lizenz-Sätze. Das wird - insbesondere im Kleinen - ziemlich unterschätzt. Insofern hat der Berater vielleicht sogar recht. (Zumindest gehört es vorher abgeklärt) Bevor man überhaupt daran denkt gibt es ziemlich viele und auch kostspielige Massnahmen die vorher umgesetzt werden sollten. Ansonsten hat man einfach nur eine trügerische Sicherheit. Sprich die Verfügbarkeit ist im tatäschlichen Eintrittsfall eines Problemes eigentlich tiefer als wenn man ein Single-Host-Prinzip für die Produktivdaten umgesetzt hätte. Und sei es nur, weil die USV mit einem Server länger läuft als mit deren zwei. ;) Dazu gehören z.Bsp. - duale Online-USV-Stromversorung mit mehren Stunden Kapazität oder kleinere USV+Notstromgruppe (USV-Ausfall war neben Magnetplatten die häufigste Hardware-Störung die ich in meiner ganzen Laufbahn hatte) - Separate Absicherung der einzelnen USV's (Ohne Umweg über X-Unterverteilungen) - Überspannungsschutzeinrichtungen + deren Überwachung - Netzteilumschalter für Single-Netzteile von Routern etc. mit Speisung von den beiden USV - duale Anbindung des Exchange via verschiedenen ISP und Anschlussarten, richtige Business-Leitungen (Alle ServerCrashes zusammengenommen waren ein deutlich kleinerer Teil der Ausfälle/Stunden verglichen mit der Zeit wo die normalen ISP's in den letzten 10 Jahren ausfielen. Für die hat man auch "Zeit", also hat man auch 1-2h für eine sonstige Wiederherstellung. Insbesondere weil der Serverausfall noch unwahrscheinlicher ist) - sehr schnelle Backup-Systeme die ein Recovery innerhalb kürzester Zeit auf das Original-System oder ein zweitsystem ermöglichen - Backupsystem, welches es erlaubt, dass die VM's direkt aus dem Store zu starten - Zweiter Kalter Server und/oder kompletter Satz Ersatzteile vor Ort (+ andere Hardwareteile wie Switches, vorkonifgurierte Router, Firewalls etc.) - sonstiges was mir grad nicht einfällt Erst danach würde ich mir Gedanken über Hochverfügbarkeit und den Rattenschwanz der die Komplexitätserhöhung auf Softwareebene mit sich bringt. Meist ist das Budget mit diesen oder einem Teil dieser Massnahmen bereits locker aufgebraucht. Ein defekter Server darf physisch immer ersetzt werden, dafür braucht man keine doppelten Lizenzen, das Geld für Doppellizenzen fliesst besser in die Infrastruktur wenn es nicht sowieso im Überfluss vorhanden ist. Wie immer, das ist nur meine gapersönliche Meinung zu diesem Thema. Aber ich bevorzuge eine Top-Infrastruktur und ein schnelles Recovery gegenbüber Pseudo-Hochverfügbarkeit in einer halbpatzigen Infrastruktur ;)