Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1191

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1194

Warning: mysql_real_escape_string(): Access denied for user ''@'localhost' (using password: NO) in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197

Warning: mysql_real_escape_string(): A link to the server could not be established in /home/festplat/public_html/blog/wp-content/plugins/statpress/statpress.php on line 1197
Microsoft « Tag « festplatte.ch


FSRM Quota Template migration 2003 – 2008

Windows No Comments »

Werden Templates auf einem 2003 Server mit dirquota template export /file:C:\quota.xml exportiert, können diese danach nicht einfach so auf einem 2008R2 Server mittels dirquota template import…. hinzugefügt werden.
Es kommt zu folgender Fehlermeldung

The version of the configuration file you are trying to import is not supported.
You cannot import configuration files with database versions earlier than 2.0

Nicht zu weit nach Workarounds suchen, xml File öffnen und Header DatabaseVersion = ‘1.0’ auf Header DatabaseVersion = ‘2.0’ ändern, File speichern und importieren….

Share


Lizenzierung VMs

VMware, Webserver, Windows No Comments »

Die ganze Lizenzierung rund um Microsoft ist bereits sehr komplex, deshalb noch ein bisschen mehr Verwirrung oder Klarheit

Beitrag gefunden auf vmachine.de

Viele Leute denken, dass man, wie auch in der bösen Hardware-Welt, pro VM einfach eine Lizenz benötigt. Habe ich also zum Beispiel 20x Windows Server 2008 Standard und 10x Windows Server 2008 Enterprise auf meinem ESX Cluster benötige ich auch nur diese 30 Lizenzen.

Das ist soweit richtig wenn es nicht VMotion und vor allem DRS geben würde. Warum ist das anders?

Es gibt eine Policy bei Microsoft die besagt, dass eine Windows Lizenz an ein Stück Hardware gebunden ist. Ich darf die Hardware zwar wechseln aber das maximal alle 90 Tage. Das bedeutet folgendes:

Ein Server mit dem OS W2k8 läuft einem Blech A. Ich migriere diesen Server, in welcher Form auch immer, auf ein Blech B. Soweit alles in Ordnung. Bevor ich diesen Server jetzt auf Blech C oder A migriere, muss ich 90 Tage warten. Eigentlich einfach, oder?

Schwierig wird es jetzt bei VMotion und vor allem DRS. Gehen wir mal von einem ESX Cluster mit 3 Knoten und 5x W2k8 Std VM´s pro Knoten aus. Der Cluster hat DRS auf Fully Automated aktiviert. Das bedeutet, dass die Maschinen von DRS verschoben werden. Das könnte, im schlimmsten Fall im 5 Minuten Takt passieren wenn DRS sein Zyklus hat.

Es kann also gut sein das eine VM von Host A auf Host B verschoben wird und 20 Minuten später wieder zurück migriert wird. Typischer Anwendungsfall wäre hier das Patchen des ESX Host A. Damit hat man faktisch einen Bruch der Lizenzbestimmungen und steht mit beiden Beinen vor Gericht.

Was kann ich machen damit mir das nicht passiert? Es gibt drei Möglichkeiten:

Steinzeit
Ich gehe zurück in die Steinzeit und schalte DRS aus. VMotion verwende ich nur alle 90 Tage und dokumentiere dies entsprechend

Mehr Lizenzen
Eine weitere Alternative wäre das ich jeder VM auf jedem Host eine Lizenz bereitstelle. Das wären also bei 15 VM´s die im Cluster laufen und 3 ESX Hosts insgesamt 45 Lizenzen. Dadurch bleibt die Lizenz immer auf einem Host und wandert nicht. Ich habe also wiederum keine Probleme.

Windows Datacenter Edition
Die, meiner Meinung nach, beste Alternative wird die Verwendung der Datacenter Edition sein. Die Datacenter Edition bietet den Vorteil, dass ihr pro Lizenz so viele VM´s betreiben könnt wie ihr wollt. Das wäre also ähnlich der Alternative 2 aber sehr viel einfacher (ihr müsst nicht immer Zählen), günstiger (Die Datacenter rechnet sich eigentlich ab der 9 VM´s bei 2 Sockel Hosts) und ihr könnt alle Features nutzen.

Share


DFS – FQDN als Rückgabewert

Active Directory, Windows No Comments »

Standardmässig gibt DFS auf Anfragen nur NetBIOS Namen zurück. Dies funktioniert ganz ordentlich, solange man sich nicht in einem anderen Forest, Domain etc befindet….
Sobald von ausserhalb der Domaine ein Zugriff auf DFS Ressourcen erfolgt, landet man im Nirvana.

Als unschöner Workaraound könnten die DFS Server beim lokalen DNS eingetragen werden. Oder die DNS-Suffix aller Clients werden mit den Präfixen erweitert.

Das Ganze kann aber auch direkt im DFS umkonfiguriert werden. Folgender RegKey muss auf allen DFS Servern hinzugefügt werden, welche Namespaces hosten:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dfs
Value Name: DfsDnsConfig
Data Type: REG_DWORD
Value Data: 1

Sind nun schon Namespaces vorhanden, müssen diese inkl. den Targets komplett neu eingerichtet werden. Am einfachsten mit dfsutil.exe arbeiten, Targets exportieren, Export File mit FQDN Namen umschreiben und in die neu konfigurierten Namespaces wieder importieren.

Link:
http://support.microsoft.com/kb/244380/en-us

Share

CIFS / Share Berechtigungen

Security, Windows No Comments »

Weshalb Freigabeberechtigungen und Sicherheitsberechtigungen?

Ersteres bewirkt, dass der Ordner im Netzwerk „sichtbar“ wird. Über die sehr laschen Berechtigungsmöglichkeiten (Vollzugriff, Ändern, Lesen) kann eingestellt werden, welche Benutzer/Gruppen aus welcher Maschine oder Domain über das Netzwerk darauf zugreifen können/dürfen.
Über letztere wird geregelt, welche Benutzer/Gruppen auf der lokalen Maschine in welcher Form zugreifen dürfen. In dieser Einstellung kann auf sämtliche effektiven Berechtigungsmöglichkeiten zurückgegriffen werden.

Aufgepasst:

Wenn ein Benutzer in der Sicherheitseinstellung nichts darf und in der Freigabeeinstellung alles, darf er übers Netz effektiv trotzdem nichts.

Hat ein Benutzer hingegen in der Freigabeberechtigung keine Rechte, dafür aber in der Sicherheitsberechtigung darf er zwar über das Netz nichts, aber lokal sehr wohl.

Und grundsätzlich gilt, dass eine Beschränkung von Rechten Vorrang vor einer Freigabe von Rechten hat.
Verbietet man einem Benutzer explizit etwas, ist es egal, ob es ihm an anderer Stelle wieder explizit erlaubt wird. Das Verbot gilt!

Bsp:
Mit einer Freigabe wird einen Ordner z.B “Dokumente” freigegeben. Nun will man aber, dass Mitarbeiter vom Versand im Unterordner Versand schreiben dürfen, der Student aber nur lesen. Im Unterordner public darf wieder jeder lesen und schreiben. Im Ordner “Dokumente\Intern” darf jeder lesen, aber nur der Admin was verändern.
Würde man nur mit Freigabeberechtigungen arbeiten, bräuchte es eine immense Anzahl an Shares.

Share

Mehr als 10 Accounts der Domäne hinzufügen

Active Directory, Security, Windows No Comments »

Nach 10 AD integrationen erscheint in der Standardkonfiguration folgende Fehlermeldung

Der Computer konnte der Domäne nicht beitreten. Die maximale Anzahl der Computerkonten, die in dieser Domäne erstellt werden können, wurde überschritten. Wenden Sie sich an den Systemadministrator.

Ursache
Windows 2003 und Windows XP gewähren der Gruppe der authentifizierten Benutzer standardmässig die Berechtigung zum Hinzufügen von Workstations zu einer Domäne. Wenn diese Berechtigung aktiviert ist, können authentifizierte Benutzer die Prüfung der Zugriffsteuerungsliste (ACL = Access Control List) bis zu einem vordefinierten Maximalwert umgehen. Die maximale Anzahl der Computerkonten, die ein authentifizierter Benutzer hinzufügen kann, beträgt standardmässig 10, um Missbrauch zu verhindern.

Möglicher Workaround:
Überschreiben des Standardlimits für die Anzahl der Computer, die ein authentifizierter Benutzer zu einer Domäne hinzufügen kann

1. Supporttools installieren
2. Als Administrator der Domäne Adsiedit.msc ausführen. Den entsprechenden DC wählen und die Eigenschaften öffnen.
3. Ms-DS-MachineAccountQuota suchen.
4. Werte entsprechend anpassen
5. Mit OK bestätigen.

Andere Workarounds sind im KB 251335 von Microsoft zu finden

Share