Weingeist

Ach so... Dann sollte es eigentlich schon passen wenn Du sicher bist, dass die SubCa/Issuing CA bereits Domänen-Mitglied ist. Dann bleibt noch zu prüfen, ob Du auf der SubCA tatsächlich als Domänen-Admin eingeloggt bist oder als lokaler Admin. Wenn Dein AD versaut ist weil eine CA nicht sauber deinstalliert wurde, dann musst erst das sauber bereinigen bzw. in Ermangelung an Erfahrung das ganze nochmals neu aufsetzen und das hier z.B. als Spielwiese zu behalten. Spart auf lange Sicht Zeit.

Das ist auch korrekt so. Den oberen Installationstyp (Unternehmen) bekommt dann die Issuing CA welches auf dem Root CA-Zertifikat basiert und Dir die Zertifikate innerhalb des Unternehmens ausstellt. Würde Dir wärmstens empfehlen die Grundlagen auf Technet zu wälzen ;)

Unmöglich oder nicht ganz so einfach? An dem "nicht ganz so einfach" Szenario hätte ich Interesse. Wo gibts Office Standard oder Plus als OEM (noch) zu kaufen? ;)

Das umzustellen ist aber auch remote für einen Admin kein Akt. Man kann an dem Tool eigentlich alles einstellen wie es einem grad gefällt. Die Remote-Tools von Dameware gehörten mal zu den mächtigsten Remote-Tools die für Windows verfügbar waren. Heute liegt MRC in Sachen Screen-Performance leider massiv hinter TeamViewer zurück. Mit OpenGL hört der Spass leider fast gänzlich auf. Auf alle Fälle ist eine berechtigte Person in der Lage deinen Screen ohne Dein mitwissen zu prüfen. Wenn er das möchte. ;)

Die Art des Systems sehe ich nicht als Problem. So ähnlich habe ich das auch schon einige male gemacht. Nicht alle können oder wollen sich eine hochperformante SAN leisten. Zumal die Performance hostintern um ein vielfaches höher sein kann, wenn sich der Kram auf der selben Maschine befindet. --> Kein Weg über den physischen Switch Ansonsten gilt wie für jeden anderen Server auch: Datensicherung bzw. Recovery muss in der Zeit möglich sein, wie es der Kunde wünscht. Ersatzteile vor Ort, bei Dir oder per garantierter Lieferfrist durch den Lieferant per Service-Vertrag. Dass ein Recovery unter Umständen etwas komplexer ist bei so einer Konfig ist klar. Ein Hexenwerk isses aber ebensowenig. Dafür ist viel weniger Hardware unterwegs die ebenso kaputt gehen kann. Zwei langlebige USV dürfen meiner Meinung nach bei einer solchen Konfig auch nicht fehlen, damit ein einfacher Stromausfall unter Umständen nicht ein Recovery der VM's von nöten machen.

Och, gewöhne dich besser daran, dass der MS Support auf Absturz-Kurs ist wenn Du kein Grosskunde bist. Vor 10 Jahren war sogar der kleinste Kunde König. Jedes Problem wurde gelöst. Sogar zeitnah. War es kompliziert, wurde man weitergereicht bis zum Topspezi. Alles natürlich in fliessender deutscher Sprache. Heute scheint MS die selbe Energie hauptsächlich in die Überwachung und Ausspionierung seiner Kunden für Werbe- und Kontrollzwecke zu investieren. Gleichzeitig kann man ned mal von MS gscheite Antworten bezüglich ihres Hochkomplexen Lizenz-Jungles bekommen. Fliessende deutsche Sprache ist fast schon ein Luxusgut geworden. Ansonsten: Überprüfe auf alle Fälle mal die Aktualität der Treiber.

Dank für den Tipp. Das dies sogar in der Registry gloabl übers OS geht, wusste ich nicht. Sowas suche ich schon länger. Klappt übrigens auch indem man einen Ordner and beliebiger Stelle mit dieser GUID erstellt. "Drucker Auflistung Classic.{2227A280-3AEA-1069-A2DE-08002B30309D}" Wobei es egal ist was vor der GUID steht. Muss ich gleich mal testen ob man mit all den anderen als "Ghost-Modus" bekannten GUID's die Classic-Ansicht zurückbekommen kann. Die Misssfunktion hat manchmal auch mit dem ganzen Telemetrie- und Sammeldingern in Form von Services und Tasks zu tun. Wir das oder Teile davon deaktiviert, funktionieren diese komischen Geräte-Auflistungen nimmer zuverlässig. Manchmal blockiert auch ein Treiber die Aktualisierung, manchmal ein Bluetooth Gerät usw. Es gibt zig Varianten wo ned mal immer MS Schuld ist. Finde diese Listen aber nicht wirklich vertrauenswürdig. Schon gar nicht weil sie nicht unbdingt der Realität entsprechen im System es aber entsprechend Werkzeuge gibt aber diese deaktiviert werden.

Hallo Leute, Bei nem Kunden habe ich ein sehr eigenartiges Phänomen. Ein Programm benötigt Windows 2000 Kompatibilitätsmodus. Des weiteren Änderungsrechte für Benutzer, damit ein normaler User es überhaupt öffnen kann. Das spezielle an dem Programm, es greift direkt auf die lokale Hardware (Floppy) zu und formatiert es mit einem für Windows unkenntlichen Filesystem (Alte Dreh-Maschinen). Das klappt lokal wunderbar. Wenn sich der gleiche Benutzer aber via RDP anmeldet, dann kriegt er den Zugriff auf das Floppy nicht. Das ganze in der identischen Session. Sprich meldet er sich per RDP an, klappts nicht. Übernimmt er die Session lokal, klappts, übernimmt er sie wieder per RDP klappt der Zugriff nicht mehr. Führt der User das ganze mit erweiterten Rechten innerhalb der RDP Session aus (als Admin) klappt wieder alles wunderbar. Hat jemand eine Idee woran das liegen könnte und wonach ich suchen muss oder sogar welche Rechte ich genau geben muss? Ist irgendwie strange und für mich nicht wirklich nachvollziehbar. Habe schon Stunden mit dem Process-Monitor und Try and Error verbracht, leider ohne Erfolg. Es ist leider kein angenehmer Zustand so, da der dortige Chef am Morgen das Programm für die Jungs öffnet und wieder vorbei muss wenn sie das Programm versehentlich schliessen. EDIT: Kleiner Nachtrag, das Problem tritt nur auf wenn mit einem älteren RDP-Client (Von nem Thin-PC) zugegriffen wird. Mit einem Windows-7 PC funktioniert es astrein. Grüsse und vielen Dank

Einen Proxy gibts schon in 2012. Total überladen als Bestandteil von IIS. Keine Spur von einem schmalen, vermutlich ziemlich fehlerfreien Paket wie dem TMG mit seinen 124MB.

Ein Schuss ins Blaue: Thin oder Thick Clients? Bei zugreifenden Clients die selber auch Drucker installiert haben und in der RDP-Verknüpfung die lokalen Printer aktiviert sind, werden diese im Ziel automatisch installiert, sofern es nicht via GPO verhindert wird.

Das klingt nach einem zu hohem Rech im Hauptordner und nicht des Ordners selbst. Also im darüberliegenden Ordner von Lohn. Da musst Änderungsrechte entziehen. Eigentlich dürfen da alle nur Lese- und Auflistungsberechtigung haben.

Eigentlich nicht. Im Gegenteil. Waren hochperformante SSD. Der Durchsatz stieg quasi proportional zur Menge Cores die ich einer VM zugewiesen hatte an. Bei weniger Cores, dafür aber höherer Taktung (neue CPU) waren aber die Auswirkungen auf den Host bzw. das Benutzerfeeling der Desktops die auf der gleichen Maschine liefen deutlich entspannter. Beim Copy auf den lahmen Storage war die CPU-Auslastung tief. Wie auch immer: Ich sage ja nur, dass man ned in jedem Fall von 5-6% ausgehen kann. Insbesondere nicht bei - Spitzenbelastung von VM's zur Arbeitszeit - Hohe Belastung durch virtuelle Hardware, insbesondere bei VDI oder extrem hohem LAN Traffic - Überbuchung von Cores/Threads wenn obiges zutrifft Zudem muss auch noch der Handlager der Hosts (z.B. vCenter) mit einberechnet werden, der in kleinen Umgebungen verhältnissmässig viel Power verbratet. Wenn überbucht wird, ist es ja eigentlich kein fairer Vergleich physisch und virtuell und eigentlich auch zu allgemein gesagt mit Overhead. Ist ja dann streng genommen ned Overhead... Aber jetzt driftets wirklich ab. Wollte beim Overhead aber auch vor allem auf die mehr Kerne = mehr Verwaltungsaufwand zielen. Aktuelle Vergleiche P/V habe ich keine zur Hand. Mit aktueller Hardware kann ich nur auf Erfahrungen im praktischen Umfeld zurückgreifen. Bei reinen, gemischten Server-Workloads sind ja meist eher die IO's der Flaschenhals, nicht die CPU.

Naja, bin ich anderer Meinung. Schon die Fragestellung ist allgemein gesprochen. Wenn meine Verallgemeinerung - wenn auch zu Recht - zu wenig tiefgründig bzw. heute teilweise falsch ist, dann kann man relevante Punkte welche die Performance/Overhead der Virtualisierung unter Umständen massgeblich beinflussen, nicht als abdriften bezeichnen. ;) Fakt ist aber nach wie vor - daran ändern alle modernen Features nichts - dass je mehr Cores oder von mir aus aus CPU-Sicht auch Threads (Hyperthreading ergibt einen gewissen Performance-Vorteil, den haben aber auch physische Maschinen) pro VM zugewiesen sind, desto mehr Verwaltungsaufwand für das Host-OS entsteht und dies die Performance gegenüber physischen Maschinen beeinträchtigt. Ich würde mich aber sehr stark wundern, wenn dies bei einem gut ausgelasteteten sowie Kerne oder noch schlimmer Thread überbuchten Host bei den 5-6% bleiben würde (Je mehr Cores einzelnen VM zugewiesen wurden). Bei RAM-Überbuchung siehts noch schlimmer aus. Das ist aber mittlerweile eh vom Tisch, macht fast niemand mehr. Bevor ich da keine aktuellen Tests vorliegen habe, kann ich da aber nur von meinen Erfahrungen mit der CPU-Taktung zehren. Wenn hier ein paar Aktionen die Performance spürbar in den Keller ziehen, muss dass massiv mehr als 5-6% sein. Auch Grafikkarte kann ziemlich Overhead verursachen. Im Serverumfeld eher weniger relevant sondern Desktopvirtualisierung. Am Ende kann heute vieles an zusätzliche Hardware ausgelagert werden, mann muss dann aber dennoch so ehrlich sein, dass es dann nicht mit 5-6% getan ist, wenn einfach mehr spezifische Rechenleistung hineingebracht wird, die z.B. in kleinen Umgebungen in der Regel gar nicht finanziert und eingebaut wird. ;) Das war mit VmWare. Normale Netzwerkkarten E1000 sowie VMXNET3, Host 5.5. Also keine physisch durchgereichte Karte oder SR-IOV aktivierte Karte.

Tatsächlicher Overhead: Gibt/gab doch zuhauf Benchmarks zum Thema physisch und virtuell. Bis hin zu Extrembeispielen wo der Overhead extrem hoch liegt. In Spezialfällen über 100%. Da gibts die unterschiedlichste Bandbreite. Wobei ich mir da wohl aktuellste Lektüre einverleiben sollte. @Zahni: Habs durchgelesen und widerspricht dem fett geschriebenen. Bin ich nimmer up to Date. Danke für die Richtigstellung inkl. Doku. Allerdings ist das meiner Meinung nach trotzdem nur die halbe Miete. Bin nach wie vor überzeugt, dass Kernüberbuchung sowie anzahl Kerne pro VM's Ihren Anteil am Overhead haben. Sehr oft verteilt ja das GuestOS seinen Kram auf mehrere Kerne. Wären da z.b. nur zwei anstatt vier zugewiesen, wäre der allgemeine Verwaltungsaufwand für den Host mit Sicherheit kleiner. Unter Umständen ist der Guest ja darauf angeweisen das eine Op des anderen Kerns abgeschlossen ist bevor er auf dem anderen weitermachen kann. Irgendwas muss das verwalten. Dann gibts noch das Problem mit der virtuelle Netzwerkkarte. Herrscht da viel Traffic, dann ist die Performance bei anderen CPU-lastigen Tätigkeiten total im Eimer. Diese verursacht einen enormen Overhead. Ein Beispiel aus der Praxis: Mit einfachen Kopieraktionen kann man - genügend IO-Leistung der Storage vorausgesetzt - mehrere Kerne mit hoher GHZ mit der virtuellen Netzwerkkarte komplett auslasten. Für die eigentlichen Operationen innerhalb der VM bleibt dann nicht viel Rechenleistung übrig. Das gibt dann einen riesigen Overhead bei viel Schreibleistung die nicht auf "lokale" Platten gehen und somit dem Host seine Kerne "belasten". Mit ein paar einfachen Kopieraktionen zieht man unter Umständen die Performance des ganzen Hosts in den Keller. Ich konnte dabei feststellen, dass mit einer höheren Taktrate und dafür weniger Kerne pro VM das Problem deutlich entspannter wurde. Die Performance war besser obwohl im Host weniger Gesamt-GHZ vorhanden waren und weniger Kerne.

Wollte weder jemanden verunsichern noch angreifen. Hätte wohl auch etwas weiter ausführen sollen. Wie auch immer. Logisch kommt es neben der Power des Hosts auf den Workload und vor allem die Konfig der VM's sowie der Core-Überbuchung an. Die meisten sind mit 5-6% aber etwas gar optimistisch. Trifft aber sicher in grösseren Umgebungen zu wo die hungrigen VM's auf verschiedene Hosts verteilt werden können. In solchen Umgebungen gibts aber eh reichlich mittel das ganze besser zu strukturieren und zu steuern. Da die meisten VM's eh ned besonders Ressourcenhungrig sind, "klauen" die den anderen ned allzuviel Rechenleistung und die Performance ist oft unmerklich tiefer und bewegt sich sehr oft in dem genannten Bereich. Einfach weil den CPU's eh langweilig ist. Bei einer VM mit einem Core ist der Unterschied kaum merklich, auch wenn viele VM's auf einem Host sind und die Kerne überbucht sind. Auch mit zwei Kernen hält sich das meist noch in Grenzen. Mit jedem Kern mehr steigt der Nachteil bzw. Overhead rapide an. Wird etwas besser wenn die VM die Leistung explizit zugewiesen bekommt. Aber selbst dann steigt der Overhead spürbar an, je mehr Kerne die VM hat. Vor allem wenn mehrere solcher Multi-Core VM's auf einem Host laufen. --> Der Grund ist - wie oben schon genannt - dass der Host alle Kerne die zugewiesen sind, gleichzeitig für eine Operation verfügbar haben muss. Selbst wenn für die Operation nur ein Kern benötigt wird. Ist die Maschine Core-Technisch überbucht, ist der Overhead unter Umständen enorm und der Host viel zu tun mit der Organisation. Je höher die Taktfrequenz sowie die IO-Leistung, desto tiefer ist der Overhead wieder, so meine praktische Erfahrung. Wird alles zügig verarbeitet, sinkt auch der wahrnehmbare Overhead deutlich. Auch kann man dann unter Umständen auf nen Core verzichten und hat trotzdem mehr Leistung. Das gilt natürlich auch bei physischen Maschinen. Aus diesem Grund nehme ich zum Beispiel gerne Single-Socket-Maschinen mit über 3GHZ getakteten CPU's. Das fliegt deutlich besser - auch mit vielen VM's - als niedrig getaktete Dual Socket-Maschinen und mehr Kernen aber meistens tieferen Taktraten. Oder es wird extrem teuer. --> Ist bei kleinen Umgebungen relevant.

Also bei ordentlich ausgelasteten System würde ich da eher in Richtung 10-20% Verlustleistung tendieren. Je weniger Auslastung und je weniger VM's mit mehreren Kernen definiert sind, desto besser und einfacher wirds für den Host die Ressourcen freizuschaufeln und somit sinkt die Verlustleistung. ABER: Das spielt bei ordentlicher Hardware ned wirklich eine Rolle. CPU-Leistung ist in der Regel eh mehr als genug vorhanden, RAM auch. Nur IO-Leistung muss man etwas mehr einrechnen. Bitte nicht einfach davon ausgehen was für einen Server OK ist, ist auch für viele VM's i.O. Ansonsten: Gibt durchaus auch Serverdienste die Mühe mit der Virtualisierung haben. Ein Kunde hat eine Zeiterfassung wo der Serverdienst gerne mal stolpert und die Syncro deaktiviert wird. Es muss dann zwar einfach nur der Dienst neu gestartet werden, lästig ist es aber trotzdem. Angeblich tritt das nur bei virtualisierten Systemen auf und habe etwas mit dem Timing zu tun. Die ganzen Vorteile der Virtualisierung überwiegen aber eigentlich fast immer.

Versionssprünge sind neben dem hoffentlich grösseren Funktionsumfang (fast) immer auch mit grösserem Performancehunger gepaart. Kennt man ja von Windows. Da wird mit jeder Version behauptet, dass der Ressourcenverbrauch/Startgeschwindigkeit sinkt und alles daran gesetzt, einem das mit Nachladen von Bibliotheken etc. zu suggerieren. ;) Unter Umständen musst ihnen aber auch demonstrieren, dass dieses Problem eben auch mit der frisch aufgesetzten Maschine und der Standardwebsite von Joomla der Fall ist damit sie tätig werden (müssen).

Konnte ich leider auch schon öfter beobachten bei den CMS-Geschichten. Das Zeug ist zwar toll aber auch einfach extrem "überladen". Wie siehts den mit der Power der Maschine aus? CPU? RAM? IO-Leistung? Bei nem dedicated Server sollte das eigentlich kein Problem sein, aber man weiss ja nie. Ich würde mich da an den Provider wenden, die müssen Dir helfen zumindest die Ursache zu finden. Die machen das schon bei günstigen Angeboten, bei den teuren dedicated managed sowieso. Die haben für alles ihre Spezialisten. Bei meinem letzten solchen Fall war es eine Fehlkonfiguration des Servers in der Anbindung an das Netzwerk seitens des Providers.

Malware: Nun, wenn sie die richtigen Sicherheitslücken ausnutzt, dann ist egal welche Rechte der User hat. Auf dem betreffenden Desktop war kein einziger User mit mehr als Userrechten unterwegs. War ein aktuelles 8.1 System. Kein Ahnung worauf die gesurft waren, Logs war alles geleert. So richtig schön aufgeräumt... User: Können Normale natürlich nicht... Auf Produktionsmaschinen sind Admin-Rechte auf der lokalen Maschine für die Entwickler der Automatisation leider oft notwendig. Musste ich bei nem Kunden auch so einrichten. Die nehmen gerne mal den bequemen Weg und disablen den Dienst anstatt entsprechende Regeln zu definieren. Ist ja nur für kurz und am Ende bleibts aus.

@Daniel: OK, warum eigentlich? Ein Block-All wäre da doch sinnvoller oder? Ich weiss nicht wie der TMG das macht, aber bei dem ist - soweit ich mich richtig erinnere - Schluss mit traffic wenn die Firewall down ist. Zumindest von und nach extern. Und dieses Ding klinkt sich ja in die Advanced Firewall ein. NAP: Danke für den tipp, werde mich mal durchwühlen.

@daabm: Ich nutze neben XP sogar noch W98, DOS und Windows 3.11. Geht hier aber schon um neuere OS, sonst wärs nicht die Advanced =) @Beide: Das ist eben die Frage. Wenn ich den Dienst manuell deaktiviere ist ja voller Durchzug. In wie Out. Eine Malware macht ja im Grunde nix anderes. Zumindest die letzte mit der ich Kontakt hatte, hat alles sauber deaktiviert (Virenscanner, Firewall) und teilweise sogar deinstalliert (Windows Update, Bits), Update Status auf aktuell gesetzt usw. Volles Programm. Die Kiste selbst hat sich überall als komplett durchgepatcht zu erkennen gegeben. Keinerlei Warnungen. Ziemlich perfid. Wenn nun eine Malware die Firewall abschaltet, oder auch ein User, möchte ich dem PC die Kommunikation ganz verweigern. Sprich die Malware müsste dann selber Firewallregeln erstellen. Klar auch das ist möglich, aber zumindest etwas unwahrscheinlicher.

Hallo Leute, Gibt es eine Möglichkeit - z.B. einen Registry-Flag - um sämtlichen Traffic zu blocken wenn der Firewall-Dienst down/beendet ist? Standarmässig wird ja dann alles durchgelassen. Grüsse und Danke

In den Druckeinstellungen unter Register "Seite einrichten" kannst ein Benutzerdefiniertes Format erstellen (Button unten links). Dieses kannst dann dem Fach zuweisen und für den Drucker gebrauchen. --> Wichtig: Oben ein Name sowie X und Y eingeben, danach auf Registrieren drücken. Nun gibt es das Format. Dieses kann dann hernehmen. Möglicherweise ist es auch ein "Regional-Standard-Format" dann kannst anstelle von X und Y (Länge / Breite) auch das Regionalformat auswählen. --> Ob es auch in Windows direkt registriert wird oder nur auf dem Drucker erinnere ich mich nicht. Wäre wichtig, dass Du überhaupt Dokumente mit z.B. Word erstellen kannst. Ansonsten: Die Manuals von Canon sind gar nicht so verkehrt. Die Hilfe im Druckertreiber auch ned... Einfach mal draufdrücken =) Normalerweise jammert er beim Mehrzweck nicht rum, wenn das Format im Druckertreiber nicht mit dem Format im Drucker übereinstimmt. Zumindest sofern man bei Format = Bdef bzw. jedes mal bestätigen eingstellt hat (am Drucker). Bei den anderen muss das Format auch im Drucker selbst erstellt werden und dann in den Treiber geladen werden. --> Geschieht automatisch sofern Firewallports offen sind! --> Falls es dennoch eins braucht: Setting Menü-Knubbel drücken, als Admin einloggen dann: Präferenzen>Einstellungen Papier>Auf der zweiten Seite ein benutzerdefinierten Format erstellen (S1-S5).

Passt hier grad: ReFs hat(te?) einen unsäglichen Bug welcher wohl durch die neue Speichermethode verursacht wird. Es kann sein, dass ReFs ned bemerkt, wenn die Festplatte voll wird. Das Volume wird dann unbrauchbar. Wenn jemand grad infos zur Hand hätte ob das nun gefixt ist, wärs cool. Ist ne gute Zeit her seit ich den Kram getestet habe.

Firewallports der Remoteverwaltungstools alle noch offen? zugreifender Client ebenfalls mit Updates hochgezogen? Sollte mindestens gleichen oder höheren Level der Remote-Verwaltungstools haben, falls es da Änderungen gab