Mal so als Denkanstoß: Wir lassen den Exchange intern über ein SAN-Zertifikat (smtp.intern.tld, Exchange.intern.tld), ausgestellt von der internen CA laufen. Da die internen Clients eh alle im AD hängen, kennen die das Zertifikat der CA.
Extern kommen die Jungs-\Mädels nur über eine WAF an den Exchange. Und dort ist das öffentliche Zertifikat eingebunden.
Der Exchange verlängert frühzeitig selbst sein Zertifikat und an der WAR wird es 1x im Jahr ausgetauscht.
Edit: Auf diese Weise kannst du eine weiche Migration machen: Erstmal mit einem internen Zertifikat auf Autodiscover.domain.de Mail.domain.de Exchange2019.intern.de
Und wenn alle Clients dann umgestellt sind, könntest du das interne Certifikat auf ein lffentliches (Wildcard) umstellen…
zu 1) Nein. Ein bereits eingerichtetes Outlook Profil sucht nach dem dort hinterlegten Server und wird diesen kontaktieren. Beim DNS ist das ja erstmal kein Problem. Der Exchange weiß auch nicht, welchen DNS Namen du verwendet hast, um Kontakt aufzunehmen. Er wird einfach davon ausgehen, das du die neue URL angefragt hast und liefert auch nur das eine Zertifikat mit aus, egal an wen. Dein Client bekommt dann nicht gesagt "hier ist mein neuer Servername" sondern dein Client merkt, Zertifikat passt nicht zum angefragten Server. Rein aus Sicherheitsaspekten kann der Client ja auch nicht wissen, das der Server jetzt legitim anders heißt sondern er denkt sich "das ist nicht der, den ich wollte".
ok, verstanden. Was ist denn, wenn der Exchange von den Clients im LAN über die interne URL gar nicht mehr erreichbar ist - z.B. weil die übers DNS auf eine nicht vergebene IP verweist? Haben die dann die externe URL noch als Fallback drin und versuchen sie es dann darüber?
Ich hinterlege lieber bei jedem Client vorübergehend ne andere Hostdatei (mit dem alten DNS-Namen, der ins Leere führt), als alle Profile neu einzurichten.
Müsste ja nur einmalig klappen, dann würden sie ja über die autodiscover-Funktion vermutlich die aktuellen Updates erhalten und künftig nicht mehr über die alte URL versuchen, oder? Und dann entferne ich die die hosts-Datei wieder.
PS: Deswegen würde ich auch nicht exchange2019 als Alias nehmen sondern exchange.domain.de oder mail.domain.de und alles darüber abbilden, intern wie extern. Diese Probleme hast du sonst noch öfter. Der Host kann ja exchange2019 heißen, den Mail-Alias kann man dann gesondert definieren und bei einer Migration getrennt umstellen.
zu 1) Nein. Ein bereits eingerichtetes Outlook Profil sucht nach dem dort hinterlegten Server und wird diesen kontaktieren. Beim DNS ist das ja erstmal kein Problem. Der Exchange weiß auch nicht, welchen DNS Namen du verwendet hast, um Kontakt aufzunehmen. Er wird einfach davon ausgehen, das du die neue URL angefragt hast und liefert auch nur das eine Zertifikat mit aus, egal an wen. Dein Client bekommt dann nicht gesagt "hier ist mein neuer Servername" sondern dein Client merkt, Zertifikat passt nicht zum angefragten Server. Rein aus Sicherheitsaspekten kann der Client ja auch nicht wissen, das der Server jetzt legitim anders heißt sondern er denkt sich "das ist nicht der, den ich wollte".
zu 2) Da bin ich nicht sicher. Ich mache wirklich viel mit GPOs aber diese Outlook Profile sind wirklich nicht trivial. Ich glaube nicht aber vielleicht geht es irgendwie. Wir haben mal, im Rahmen eines anderen Problems, den Exchange-Namen (für intern und extern identisch) geändert. Ich meine aber, wir haben alle Profile neu gemacht.
Zitat von @ukulele-7: Doch ich glaube genau das ist gemeint. Wenn der DNS Name deines Servers wechselt (weil wie hier ein Zertifikat auf einen anderen Namen lauten muss) dann wirst du Outlook neu einrichten müssen. DNS wie beschrieben einrichten, Zertifikat einbinden, Exchange URLs ändern, Mail Profil löschen und Outlook starten. Dann sollte Autodiscover den Rest machen - idealerweise^^
endlich versteht mich jemand! Genau darum geht es - das möchte ich irgendwie verhindern.
1) Wenn die Outlook-Clients feststellen, dass die interne URL nicht fehlerfrei läuft, probieren dann automatisch den autodiscover über die externe URL? Das würde mir reichen, weil die ändert sich ja nicht, ist also bereits in den Clients bekannt.
2) Sollte 1) nicht funktionieren: kann ich denn die Clients z.B: über Gruppenrichtlinien umbiegen? Dutzende Clients neu einrichten - das muss man doch irgendwie verhindern können?!
autodiscover.exchange2019.local Das würde ja bedeuten, dass da ein Postfach mit einer Adresse aus @exchange2019.local eingerichtet wäre. Wird es aber nicht sein, oder?
Doch ich glaube genau das ist gemeint. Wenn der DNS Name deines Servers wechselt (weil wie hier ein Zertifikat auf einen anderen Namen lauten muss) dann wirst du Outlook neu einrichten müssen. DNS wie beschrieben einrichten, Zertifikat einbinden, Exchange URLs ändern, Mail Profil löschen und Outlook starten. Dann sollte Autodiscover den Rest machen - idealerweise^^
Sorry - war nicht ganz korrekt formuliert. Der Exchange-Server ist ja von intern und extern erreichbar. Intern heißt er exchange2019.ad-domain.local. Und extern über mail.domain.xy.
Der Outlook-Client im LAN ruft also autodiscover.exchange2019.ad-domain.local auf. Nach der Umstellung meldet sich der Exchange und schickt ein Zertifikat mit, das nach der Umstellung nur noch domain.xy enthält. Und dann meckert der Outlook-Client verständlicherweise. Schaut doch mal in den Kommentaren des Artikels - das Problem haben doch mehrere dort gemeldet.
Zu den Postfächern: auch die haben im AD doppelte Bezeichnungen: mueller@domain.xy, aber eben auch mueller@ad-domain.local. Zu sehen im Exchange Admin-Center unter Empfänger -> Postfächer -> E-Mail-Adresse:
Zitat von @DivideByZero: aber, wie gesagt, erforderlich ist das nicht.
Und exakt das Selbe gilt für z.b. https://cloudflare.com Anmelden, einloggen, Domain anlegen, die 2 Nameserver nehmen die dir bereitgestellt werden und beim Registrar für deine Domain hinterlegen und schon kannst du im Portal alles mögliche einstellen. MX, TXT, CNAME, Subdomains, etc.
autodiscover.exchange2019.local Das würde ja bedeuten, dass da ein Postfach mit einer Adresse aus @exchange2019.local eingerichtet wäre. Wird es aber nicht sein, oder?
Erstelle auf dem internen DNS Server zwei Zonen, mit diesen beiden Namen
autodiscover.domain.xy
mail.domain.xy
Und in diesen Zonen jeweils einen CNAME-Record ohne Namen, welche auf den internen FQDN des Exchange Servers verweisen.
ReFS und Veeam sind jeweils robuste, gut dokumentierte Lösungen.
was Veeam angeht, so trifft deine Aussage durchaus zu, bei ReFS ist das jedoch definitiv nicht der Fall, vor allem was dessen Dokumentation angeht.
Wenn ich Veeam einsetze, will ich ReFS.
Aha und warum genau, sprich was für ein Wunder erhoffst du dir davon?
Daher brauche ich einen Storage-Stack, der ReFS stabil unterstützt.
Selbst Microsoft, empfiehlt ReFS nur bedingt und setzt bei den Boot-Drives auch noch nach wie vor auf NTFS und selbst beim SQL-Server wird (wieder) ausschliesslich NTFS empfohlen.
Erste Wahl Storage-Spaces. Zweite Wahl eine gleichwertiger DAS-Resilienzschicht - schon das unter Verzicht auf die Interoperabilität von Dateisystem/Integritätsschicht und Resilienzschicht. Demenstsprechend dann lange nichts, dann dritte Wahl ein dünnes Sortiment an SANs unter engen Rahmenbedingungen.
Ähm sorry, aber spättestens hier, hast du dich gewaltigst vergriffen. Denn sowohl das vom TO verwendete QSAN als auch die von mir empfohlenen Infortrend Units, sind im Vergleich zu einem S2D System, welches diese Kapazitäten überhaupt händeln kann, mit vergleisweise sehr maggeren Hardware bestückt. Aber, aus dieser relativ überschaubaren Hardware, schaffen es beide Hersteller eine enorme Leistung herauszukitzeln und im Falle von Infortrend, kann ich dir garantieren, dass diese Leistung auch mindestens bereitgestellt wird. Und das schaffen diese Units unter anderem deshalb, weil deren OS nur auf performante Datenbereitstellung getrimmt ist und nicht noch sonstigen Schnickschnack mit sich schleppen muss.
Also nein, du kannst ein erwachsenes Enterprise-SAN nicht wirklich mit einem S2D System vergleichen, oder das letztere als gar überlegen darstellen, denn das ist meiner Ansicht und auch Erfahrung nach, schlichtweg Augenwischerei.
Kann man sich also aus technischen Grundlagen herleiten.
Nein, das kann man eben nicht, vor allem wenn man auch noch extra ein S2D System nur als Backup-Storage aufsetzen möchte.
Aber nein, man will ja die Lieblings-Storage-Appliance und iSCSI-Klöppeleien verkaufen, weil man das schon immer so gemacht hat, ohne irgendwas dazuzulernen.
Ja, wir haben die Units früher auch über iSCSI angebunden, aber, wie ich schon geschrieben habe, machen wir das aus diversen Gründen mittlerweile per SMB. Zumindest in Verbindung mit Hyper-V und Veeam, hat sich das als die bisher stabilste und auch performanteste Variante bewiesen.
Sprich, dazulernen können wir schon, dazu muss man sich aber nicht von jeglichem Schnickschnack auch gleich vollständig blenden lassen. 😉
Zitat von @johapau: Nein, ich denke nicht: bei nic.at kann ich einfach die Adresse der Nameserver ändern. Nic.at verlangt dass die neuen Nameserver richtig konfiguriert sind, checkt das, und falls ok, nimmt dann die Änderung vor. Es ist, denke ich, also nicht nötig, die domain zu transferieren.
Nein, ist es nicht. Einfach reinen DNS-Anbieter wie DeSEC (sogar kostenfrei) nutzen und auf deren Nameserver verweisen.
Was das kostenmäßig bei nic.at bedeutet? Keine Ahnung. Wenn es für Dich ok ist, ist es die schlankeste Lösung. Ansonsten halt einen der ganzen anderen genannten Anbieter wählen und die Domain(s) dahin umziehen, aber, wie gesagt, erforderlich ist das nicht.
Mir geht es nochmal um folgenden Punkt: Wenn ich nun das gekaufte Zertifikat (mit autodiscover.domain.xy mail.domain.xy) im Exchange korrekt eingebunden habe und im Exchange alles angepasst habe, passiert ja folgendes: Outlook Client wird gestartet und guckt wie gewohnt erstmal unter autodiscover.exchange2019.local. Die DNS-Auflösung zeigt ja weiterhin auf den Exchange (von daher sehe ich beim DNS auch kein Problem), aber der liefert dann ein Zertifikat mit domain.xy am Ende aus und nicht mit .local - also wirft der Outlook Client nen Fehler und nix geht mehr. Wie man in den Kommentaren des Artikels auf frankysweb lesen kann, kommen deshalb dann ja bei den bereits eingerichteten Outlook-Clients die Zertifikatfehler - ein Autodiscover-Austausch kommt dann ja auch gar nicht zustande, weil so weit kommt es dann ja gar nicht. Von daher nochmal die Frage: wie lässt sich dieses Problem verhindern? Offenbar läuft an dieser Stelle ja nicht alles automatisch.
Ich sagte Hostdatei ist böse.... Stimmt nicht ganz!
Wenn du zum Testen - rät ja auch Franky - an einen Client Autodisover via Host-File umbiegst, dann siehst du doch rasch selber wie sich OL nach einen Neustart verhält!
Geh ja auch nach Feierabend... Wenn die Zertifiakte nicht gelöscht sind, sind sie mit Thumbprint im System auffindbar. Also einfach wieder zurück stellen. Das ist eig. schmerzfrei möglich.
Hostdatei bei DNS ist einfach schneller, da es ja etwas braucht bist alle die Änderung mit bekommen haben.
Hab das Ganze in meine Gruppenrichtlinie für die Outlook Sicherheitseinstellungen gepackt - lüppt.
Falls es jemanden interessiert, damit nicht lange gesucht werden muss: Benutzerkonfiguration -> Richtlinien -> Administrative Vorlagen -> Windows Komponenten -> Internet Explorer -> Internetsystemsteuerung -> Seite "Erweitert" -> Verschlüsselte Seiten nicht auf der Festplatte speichern -> deaktivieren
Wäre .local weltweit auflösebar - wie DE - wäre es auch kein Thema. Das ist der Gedanke dahinter.
Wenn man kostenlose nimmt braucht es eine Challenge um festzustellen dass der Exchange auch derjenige welche ist. Bei HTTP muss also Apache/ IIS o.ä. von außen erreichbar sein. Bei DNS Challange hat man meist eine TXT mit kryptischen Textcode in der Domainverwaltung.
Hatte nie eines gekauft. Die Challenge dürfte hier ja dann vermutlich obsolet sein. Auch ACME Script Let's Encrypt.
Bei Franky's Web ähnlich. Hier ging es bei Migration um Übertragung der vorhanenden Zertifikate. Import fällt ja nun bei dir weg, da es ja wohl via Mail vom Aussteler geliefert wird!
Import ist weg. [...] Menü gibt es nicht mehr. Deswegen importieren einige das Ding so. "Mit So" meine ich den Winndows Zertifikate-Manager - gab hier auch im Forum erst vor ein paar Wochen Thema dazu!
Alternative kannst du wie oben mit PowerShell importieren.
Ich rate drigend das letzte mal zu üben! PowerShell ist für die Verwaltung essentiell. Hier siehst du auch Thumbprints von installieren Zertifikaten.
Um ein Zertifikat in den weiten des Serviers zu finden ist Get-ExchangeCertificate das Mittel der Wahl. Dein Freund ist Thumbprint - alles eindeutig auffindbar!
Autodiscover sollte ja jetzt schon laufen. Macht vieles einfacher! Normal ist es kein Problem. Neues Zertifikat wird meist automatisch erkannt und verwendet.
Wir hatten Autodiscover auch geändert: Intern 2010 zu Intern 2016 z.B. Wäre bei dir 1:1 das Gleiche.
Ich nehme Autodiscover Änderungen vor und die Clients fragen die beim nächsten Start ab. Wir hatten ganze DNS Subdomäne entfernt. Neuer Name, alte gab es nicht.
Egal ob intern oder extern. Solche Änderungen an Autodiscover sind "immer massiv", aber i.d.R. läuft alles automatisch.
Ansonten kann man Autodiscover auch manuell am Client umbiegen. Ist aber wie IPs in der Hostdatei. Es rächt sich irgendwann. So eine Umstellung geht meist ohne Rückmeldungen. Ansonten kommt max. ein Bestätigungsdialog beim Ausführen von Outlook.
Strg + re. Mausstage auf das OL Tray-Icon neben der Uhr. Verbindungsübersicht zeigt dir alles an.
Du kannst hier auch Autodiscover testen, wenn nötig. Für dich wäre ja die Domän-Spalte interessant! Wurde die neue "gezogen"?
ping neue-domain.de, nslookup - das übliche bei Problemen. Sind die DNS Änderungen aber soweit durchgelaufen sollte im Verbindungsstatus dann die korrekte Domäne stehen.
Hallo zusammen, ich möchte bei einem lokalen Exchange 2019 im AD das Zertifikat umstellen von selbstsigniert über (AD CS) auf gekauft.
Momentan laufen die Outlook-Clients intern über die exchangeserver.local-Adresse zum Exchange. Wenn ich nun die virtuellen Verzeichnisse etc. auf eine öffentliche Domain umstelle (mail. und autodiscover.), dann werden danach wohl die bereits eingerichteten Outlook-Clients nicht mehr den Server erreichen. Wie lässt sich das beheben/vermeiden? Ich plane nach dieser Anleitung zu verfahren - und in den Kommentaren taucht besagtes Problem ja mehrfach auf.
ich wollte über die Mittagspause gerade mal kurz testen, wieviel Overhead Fission/"Site Issolation" bei einer Seite mit wenig Inhalt verursacht und dazu habe ich mir schlichtweg ...
... ausgesucht, weil die Einstiegsseite der Google Suche doch recht "Überschaubar" gestaltet ist.
Also wollte ich zunächst mal sehen, was das öffnen von 50 Tabs mit aktiviertem Fission an Last verursachen und anschliessend einen Test mit ohne Fission machen.
Doch bereits schon bei ersten Durchgang, ist mir das folgende aufgefallen.
Als ich nur einen Tab offen hatte, sah der Taskmanager folgend aus ...
... sprich, es waren bereits 13 FireFox Prozesse gestartet.
Und laut mitunter der folgenden Beschreibung von Mozilla ...
Isolating each site into a separate operating system process makes it even harder for malicious sites to read another site’s secret or private data.
... sollte für jede Seite, sprich, jeden Tab, auch immer ein extra Prozess gestartet werden, zumindest verstehe ich das laut dieser Beschreibung so.
Wenn ich jedoch im Firefox 50 "https://www.google.de/" Tabs öffne, dann sieht die Lage im Taskmanager danach folgend aus, ...
... sprich, es ist gerade mal ein Prozess hinzugekommen. 😖
Und der RAM hat sich auch bei weitem nicht so weit aufgebläht, wie es bei den vorherigen Tests der Fall war, was jedoch angesichts des unterschiedlichen Contents, ein Stückweit zumindest auch absolut logisch ist.
Also, was habe ich jetzt schon wieder verpennt, respektive missverstanden?
Sprich, warum öffnet der Firefox bei 50 Tabs nicht auch mindestens 50 Prozesse?
Eigentlich will ich per Gruppenrichtlinie steuern, dass Bilder in HTML Mails im Outlook nicht automatisch, bei Bedarf aber nachgeladen werden können. Egal was ich einstelle - manuell oder per GPO - Bilder die in der Mail von extern heruntergeladen werden müssen, werden nicht angezeigt. Bilder die in der Mail selbst eingebettet sind, werden angezeigt. Bilder in einem Link in der Mail (meistens irgendwelche Banner) werden hin und wieder auch angezeigt. Manchmal (eher selten) werden in einer Mail sogar manche Bilder angezeigt, andere nicht:
Was offenbar daran liegt, dass die SocialMedia-Buttons über http aufgerufen werden:
Dass die Absender der betroffen Mails in den "Sicheren Absendern" stehen ändert nichts an der Tatsache.
Aktuell habe ich in den Einstellungen im Trustcenter -> Automatischer Download hinterlegt, dass - Bilder in Standard-HTML-Nachrichten, Besprechungen oder RSS-Einträgen nicht automatisch herunterladen deaktiviert ist und - Bilder in verschlüsselten oder signierten HTML-E-Mails nicht herunterladen ebenfalls deaktiviert ist.
Damit sollten Bilder grundsätzlich heruntergeladen werden, oder habe ich hier einen Denkknick? Angezeigt werden sie jedenfalls nicht und ich finde auch keine Einstellung, wo ich festlegen kann, ob und unter welchen Bedingungen die Bilder in der Mail angezeigt werden.
Eigentlich will ich die Bilder ja nicht automatisch herunterladen, allenfalls bei vertrauenswürdigen Absendern und von Websites in der Vertrauenswürdigen Zone. Ursprünglich sollte die Einstellung so sein:
Leider funktioniert das nicht wie gewünscht...
Zudem würde ich das Ganze dann per Gruppenrichtlinie "durchdrücken". Ich weiß wie das grundsätzlich geht. Aufgrund der widersprüchlichen Bezeichnungen in den Gruppenrichtlinien ist das aber speziell bei den Sicherheitsoptionen von Outlook eine besondere Herausforderung. Vorschläge hierzu sind daher ebenfalls willkommen Zuallererst sollte das aber mit den manuellen Einstellungen funktionieren.
Bisher habe ich die Einstellungen auf O365, 2016 und 2024 getestet, 2024 und 2016 waren "jungfräulich". An irgendwelchen verkorksten Einstellungen dürfte es also nicht liegen. Die Outlooks laufen zudem ohne Cache. Fehler diesbezüglich halte ich somit auch für ausgeschlossen. Achja, die Links mit den Bildern funktionieren. Im Outlook Online und im MailStore Client kann ich die Bilder problemlos nachladen und sie werden angezeigt.
SMB, NTFS... Bestehende Hard- und Software kann/muss man immer nach Möglichkeit zusammenwürfeln, um es irgendwie zum Laufen zu bekommen. Erklärt aber nicht, warum Kunden von angeblichen "Systemhäusern" so regelmäßig hinter die Fichte geführt werden.
ReFS und Veeam sind jeweils robuste, gut dokumentierte Lösungen. Wenn ich Veeam einsetze, will ich ReFS. Daher brauche ich einen Storage-Stack, der ReFS stabil unterstützt. Erste Wahl Storage-Spaces. Zweite Wahl eine gleichwertiger DAS-Resilienzschicht - schon das unter Verzicht auf die Interoperabilität von Dateisystem/Integritätsschicht und Resilienzschicht. Demenstsprechend dann lange nichts, dann dritte Wahl ein dünnes Sortiment an SANs unter engen Rahmenbedingungen.
Kann man sich also aus technischen Grundlagen herleiten. Muss man aber nicht, man kann einfach stupide den empfohlenen Design-Patterns von Veeam folgen und kommt auch so zu Storage Servern. Letzte Instanz vor DAS: Der Veeam Data Mover. Das ist ein Kernkonzept dieser Lösung. Vieles andere geht, wenig davon ist sinnvoll, in den meisten Fällen beschneidet es teuer bezahlte Features.
Aber nein, man will ja die Lieblings-Storage-Appliance und iSCSI-Klöppeleien verkaufen, weil man das schon immer so gemacht hat, ohne irgendwas dazuzulernen. Im Zweifel ist der Hersteller schuld, im Einrichtungsassistenten keinen Idiotentest einzubauen, und die misratene Integration darf beim Kunden auf einem Bein weiterhumpeln - zum ursprünglichen Preis, zzgl. der herausfordernden "Entstörung" der vermeintlichen Herstellerversäumnisse natürlich.
Klappt zwar mit der generellen OID nicht, aber es gibt noch eine spezifisch für die Geräte. Hab org. Ricoh OID Doku vorliegen. Mag sein dass es dann dass tut was ich möchte.
Von der Prio eher weiter unten. Wir haben erstmal keine Neueröffnung Wäre nur doch mal interessant ob es hinhauen könnte. Werde wohl einen alten Drucker hier mal "opfern".
Bei hardwarewartung.com angefragt, Preis dort fast doppelt so hoch... Bei dem Preis aus dem Link entfällt auch die Notwendigkeit, Fremdplatten zu testen, zumal diese ohne Rahmen wären.
Fazit: Die DX200 lasse ich erst einmal, wie sie ist und stopfe lieber mehr lokalen Platten-Speicher in die Primergys, die per iSCSI dort angebunden sind. Die Platten aus dem Link werde ich dann in die DX100 stecken. Vertretbarer Preis, dürfte dann die letzte Aufrüstung in der Lebenszeit der DX100 sein. Da nur eine 1Gbit-Anbindung möglich ist, lässt sich das Ding aber speichermäßig wahrscheinlich auch schnell netzwerktechnisch überfordern. Da die Umgebung aber nur zum Spielen und Testen dient, sollte das aber egal sein.
Danke für Euren Input, allen ein schönes und sonniges Wochenende!
Ich bin etwas verwirrt. Wie war nochmal die Frage? Das ganze klingt wie Schnipsel aus dem Internet kopiert, als ob irgendeine KI ihre Lernversuche macht.
Globaler Administrator ist eine Rolle, in der auch mehrere Leuchte Berechtigungen haben /können. Du hast jedoch als ein bestimmter Benutzer versucht die Freigabe zu erstellen, deswegen wird Dir angezeigt, dass auch die Gruppe Globaler Administrator Berechtigung hat. Bevor Du den globalen Administrator entfernst, solltest Du die Webseite einem Benutzer zuweisen, z.B. dem, der die Freigabe machen wollte. Danach kannst Du den globalen Administrator entfernen. Du kannst ihn auch jetzt schon entfernen, spätestens beim Backup bekommst Du dann jedoch eine Warnung, dass die Webseite keinen Besitzer hat.
Bei der Eingabe der Frage, die ich im Thema [1] Bootfähigkeit eines Linux-basierten Betriebssystems nach der Änderung der Partition veröffentlicht habe, wollte ich die Angaben zu der Aufteilung des Datenträgers so übermitteln, damit diese Angaben beim Sprachmodell mit möglichst wenig Informationsverlust ankommen. Und ich habe mich für das Tabellenformat entschieden. Zuvor habe ich das Sprachmodell gefragt - hier Prompt-Eingabe
Wie kann ich im Chat dir tabellarische Daten eingeben?
mistral.ai-Antwort Anfang
Du kannst tabellarische Daten einfach als Text in den Chat eingeben. Du kannst die Daten in einer strukturierten Form, wie z.B. einer Tabelle mit Spalten und Zeilen, eingeben. Hier ist ein Beispiel, wie du das machen könntest:
Name | Alter | Stadt
-----|-------|-------
Anna | 28 | Berlin
Ben | 34 | München
Clara| 22 | Hamburg
Du kannst die Daten auch als kommagetrennte Werte (CSV) eingeben, wenn dir das lieber ist. Zum Beispiel:
Sobald du die Daten eingegeben hast, kann ich dir helfen, sie zu analysieren oder zu verarbeiten.
mistral.ai-Antwort Ende
Ich habe die Formatierungen in der Tabelle [1] fleißig eingegeben, damit die Daten für das Sprachmodell ohne Informationsverlust ankommen. Leider im Prompt-Feld auf https://chat.mistral.ai/ bringt diese Tabellenformatierung für menschliches Auge so gut wie nichts für bessere Lesbarkeit. Nachträglich bin ich auf die Idee gekommen, dass ich den Aufwand "Tabelle für die Prompt-Eingabe für das Sprachmodell formatieren" dem Sprachmodell selbst überlassen kann. Dafür erstelle ich die Tabelle in der Tabellenkalkulation - ich habe Libre Office Calc genutzt - und dann exportiere ich diese Daten in eine Datei im CSV-Format. Dann gebe ich im Sprachmodell-Prompt ein:
Prompt-Eingabe Anfang
Zeige bitte diese Daten als einfache Texttabelle mit Trennzeichen zwischen den Spalten an:
Wenn du magst, kann ich deine eingegebene Tabelle dann auch automatisch analysieren, sortieren, filtern oder in HTML, JSON, Markdown oder ein Diagramm umwandeln. Wie möchtest du deine Tabelle eingeben oder weiterverwenden?
Und auf diesem sehe ich, dass das Ding seinen Speicherplatz ja auch per SMB bereitstellen, sprich auch ein NAS sein kann. 😁
Wenn ja, dann empfehle ich dir eher, das Backup-Repository per SMB mit Multichannel anzubinden, das hat sich zumindest bei den Systemen unserer Kunden (Hyper-V + Veeam), sich als die besserer Lösung erwiesen. 😉
Switch ist ein Aruba 5406R zl2 mit 2 SFP+-Modulen
Bitte sicherstellen, dass auf den Ports über die insbesondere der iSCSI-Datenverkehr läuft, Flow-Controll aktiviert ist, auch auf den entsprechenden NIC's der Server. Aber Vorsicht, wenn du FC aktivierst oder deaktivierst, geht der entsprechende Port kurz down!
Diese sind dann je QSAN-Controller zu LAG zusammengefasst.
Das würde ich so nicht machen, sondern eher über MPIO bündeln.
Durch VLans schauen die beiden NICs in verschiedene Netze, einmal zum Abrufen der Daten aus der VMWare und einmal zum Schrieben auf das Target.
👍
Die HDDs sind 24 TB SAS HDDs im Raid 6.
Machen wir auch sehr ähnlich, nur mit dem Unterschied, dass wir keine QSAN's, sondern die folgenden ...
Ich meinte wo klemmts bei der Lösung von pebcak7123
Ich weiß nicht, ob ich mir damit was zerschieße. Bei einem Unternehmen von mehr als 10000 Usern wäre das fatal
Ich als nicht intensiv ausgebildeter Admin finde dass seine Lösung klar verständlich ist. Contoso musst Du natürlich austauschen gegen Euren Mandanten.
Das ist mir klar...
Und wenn MS so etwas schreibt...muss da ja was dran...
Wenn man sich mal die Antworten anschaut haben die (vermutlich unbezahlten freiwilligen) MS Moderatoren nicht mal verstanden was du willst.
Nochmal die Änderung die ich vorgeschlagen habe bezieht sich ausschließlich auf nach der Änderung erstellte OneDrives von Usern, bestehendes wird nicht verändert. Für bestehende muss man entweder über das SharepointAdmin Center oder über Powershell den globalen Admin als Besitzer entfernen.
Ich habe das Betriebssystem Zorin OS als Zweitbetriebssystem auf einem Surface Pro 4 mit Windows 10 installiert und nachträglich die Zorin OS Partition vergrößert. Windows 10 und Zorin OS Core Version 17.3 funktionieren nach der Verkleinerung der Windows-Partition nvme0n1p3 unter Windows und Zuweisung des frei gewordenen Volumens der Partition nvme0n1p5 mit Zorin OS. Mich interessiert, ob die Experten hier mit der Antwort von https://chat.mistral.ai/ -Sprachmodell einverstanden sind. Eingabe im Promp und die Antwort des Sprachmodells s. unten.
Prompt-Eingabe Anfang
Ausgangssituaion. Ein PC mit Dualboot mit Windows 10 auf der Partition nvme0n1p3 und Zorin OS auf der Partition nvme0n1p5. Bei der Installation wurde die Partition nvme0n1p5 zu klein erstellt, deswegen wurde die Partition nvme0n1p3 unter Windows 10 verkleinert, dann wurde Zorin OS vom Live-USB-Stick mit gestartet und GParted das frei gewordene Volumen der Partition nvme0n1p5 zugewiesen.
Beantworte bitte die Frage: "Ist es möglich die Frage
Kommt es vor, dass bei der Umpartitionierung, wie ich diese für nvme0n1p3 und nvme0n1p5 mit gparted realisiert habe, die Partitionen oder zumindest eine davon, Windows Linux bootfähig bleiben?
unabhängig von der Linux-Distribution, die für die Partition nvme0n1p5 geplant ist, zu beantworten?",
wenn im Programm GParted zusätzlich zu den nvme0n1p3 und nvme0n1p5 diese Partitionen angezeigt werden:
Wobei die Partition nvme0n1p1 bei der Installation von Linux-System auf der Partition nvme0n1p5 erstellt wurde und vermutlich die separate Boot-Partition für das Linux-System ist.
Prompt-Eingabe Ende
mistral.ai-Antwort Anfang
Das Umpartitionieren von Festplatten, insbesondere wenn es sich um Systempartitionen handelt, kann Risiken bergen, die die Bootfähigkeit eines oder beider Betriebssysteme beeinträchtigen können. Angesichts der zusätzlichen Informationen über die Partitionen auf Ihrem System können wir die Frage besser beantworten. Hier ist die Antwort auf Ihre Frage:
Unabhängigkeit von der Linux-Distribution Antwort: Ja, es ist möglich, die Frage zur Bootfähigkeit nach der Umpartitionierung (Frage a) weitgehend unabhängig von der spezifischen Linux-Distribution zu beantworten, die auf der Partition nvme0n1p5 installiert ist. Hier sind die Gründe:
Bootloader-Konfiguration: Die meisten modernen Linux-Distributionen verwenden GRUB als Bootloader, der auf der EFI-Systempartition (ESP) installiert ist. In Ihrem Fall ist dies nvme0n1p1. Da der Bootloader auf einer separaten Partition installiert ist, wird die Bootfähigkeit des Linux-Systems nicht direkt durch Änderungen an nvme0n1p5 beeinträchtigt, solange die ESP intakt bleibt.
Dateisystem und Partitionsverschiebung: Die Risiken bei der Verschiebung oder Vergrößerung der Partition nvme0n1p5 betreffen hauptsächlich die Integrität des Dateisystems (ext4) und die korrekte Aktualisierung der UUIDs in der /etc/fstab-Datei. Diese Risiken sind weitgehend unabhängig von der spezifischen Linux-Distribution.
Windows-Bootloader: Der Windows-Bootloader befindet sich auf nvme0n1p3, und die Windows-spezifischen Partitionen (nvme0n1p2 und nvme0n1p4) sind ebenfalls unabhängig von der Linux-Installation. Änderungen an nvme0n1p5 sollten daher keinen direkten Einfluss auf die Bootfähigkeit von Windows haben.
Zusammenfassung Die Bootfähigkeit Ihres Systems nach der Umpartitionierung hängt hauptsächlich davon ab, ob die Bootloader-Konfigurationen (GRUB für Linux und der Windows-Bootloader) korrekt erhalten bleiben und ob die Dateisysteme der geänderten Partitionen intakt sind. Da der Bootloader für Linux auf einer separaten Partition (nvme0n1p1)installiert ist, sind die Risiken weitgehend unabhängig von der spezifischen Linux-Distribution auf nvme0n1p5. Dennoch ist es wichtig, nach der Umpartitionierung die Bootloader-Konfiguration zu überprüfen und sicherzustellen, dass alle Partitionen korrekt gemountet werden.
mistral.ai-Antwort Ende
Zum Verständnis: Hier ist nur ein Auszug aus einem Dialog mit mistral.aizitiert und kommentiert, deswegen erwähnt das Sprachmodell die zusätzlichen Informationen.
ich finde momentan leider meinen Fehler nicht. Anbei ist der Auszug aus meiner Firewall.
Mir geht es speziell um das VLAN 1 und um das VLAN 111. VLAN 1 ist mein internes VLAN mit der IP 192.168.7.0/24 VLAN 111 ist mein IOT VLAN mit der IP 192.168.111.0/24
Aktuell ist es so, dass ich aus dem VLAN 1 ohne Probleme die IP Adresse 192.168.7.5 anpingen kann. Mit der unten stehenden Config verbiete ich das aus dem VLAN111. Was soweit auch richtig ist.
nach fast ganz oben schiebe, kann ich die IP 192.168.7.5 nicht anpingen. Andere Geräte im IP Bereich 192.168.7.0/24 lassen sich ohne Probleme dann aus dem VLAN111 pingen. zb. 192.168.7.10 oder 192.168.7.11. Auch der Router 192.168.7.1 lässt sich pingen. Nur die 192.168.7.5 nicht.
Von einem Gerät aus dem Netz 192.168.7.0/24 ist ein Ping ohne jegliches möglich.
Egal wie ich die Firewall Regeln anpasse, der Ping kommt nicht an das eine Gerät durch.
Hallo! Nachdem ich jetzt auch 2 Tage lang gekämpft habe mit genau diesem Scanner (Canon Scanfront 330), ihn zwischenzeitlich versehentlich in den web-application-mode gesetzt hatte (brauchte einen halben Tag um rauszufinden, dass das zurücksetzen in den Standard-Modus nur geht, wenn man das Netzwerkkabel abzieht...) und auch ansonsten alles mögliche ausprobiert habe, brachte dann die Aktivierung von SMB1 in meinem kleinen Windows 10 Mini-PC den ich als "Server" nutze die Lösung... Gute Dokumentation zu dem Ding findet man leider fast nirgends ;) Aber gut... ist ja auch schon relativ alt das Teil. Aber vielleicht hilft das ja dem ein oder anderen in Zukunft mit genau dem Problem...
Und wenn MS so etwas schreibt Meinst du diesen Auto-Generierten Text oben?
so autogeneriert klingt das für mich nicht.
Vielen Dank für Ihre freundliche Antwort.
Ich entschuldige mich aufrichtig für etwaige Unannehmlichkeiten, die durch das Design entstanden sind. Ich verstehe Ihre Bedenken hinsichtlich des Datenschutzes und Ihrer Probleme sehr gut und stimme zu, dass Verbesserungen in diesem Bereich für mehr Sicherheit unerlässlich sind. Leider können wir daran derzeit nichts ändern.
Ich empfehle Ihnen dringend, uns unter „Ideen · Community“ Feedback zu geben, damit unser Produktentwicklungsteam Ihre Anforderungen für zukünftige Produktverbesserungen kennenlernt.
kommt drauf an, ob einem etwas am offenen Quellcode liegt oder nicht. Dann ists mir die Frage, wie da die Update-Politik ist. Oft werden open source Projekte deutlich länger mit Updates/Upgrades unterstützt. Dazu ists oft 'kostenlos'. Und ich bin mir sicher, dass es nicht zwangsläufig nicht mit der HW harmoniert.
Das Storage ist ein QSAN XS3324D mit SFP+ Jeder Controller ist mit 2 Modulen verbunden. Switch ist ein Aruba 5406R zl2 mit 2 SFP+-Modulen von denen jeder Controller auf jedes dieser Module je 1 Verbindung hat. Diese sind dann je QSAN-Controller zu LAG zusammengefasst.
Die Verbindung Backup-Server ist mit Cat6a-Kabel auf den selben Switch mit 10 GBit RJ45.
Durch VLans schauen die beiden NICs in verschiedene Netze, einmal zum Abrufen der Daten aus der VMWare und einmal zum Schrieben auf das Target.
Die allgemeine Erfahrung sagt: Alles von einem Anbieter ist besser. Verkettungen sind zusätzliche Fehlerquellen. Die Ausfallraten beider Anbieter addieren sich auch. Bei großen Anbietern ist die Wahrscheinlichkeit eines Ausfalls jedoch fast 0,00
In 10 Jahren denkt man sich, ach, ich habe sowieso keinen Server / Mail Postfach mehr bei Anbieter 1, also kann er weg. Das könnte evtl niemand mehr auf dem Schirm haben, dass er noch der Hoster der Domäne war. Irgendwelche Dokumentationslücken finden sich immer, und wenn es durch einen Admin Wechsel in der Firma war.
Zitat von @NordicMike: Um eine Umleitung auf einen administrierbaren DNS Verwalter zu machen musst du in der Lage sein die vorhandenen DNS Einstellungen zu verändern / administrieren. Also eine Sackgasse. Rechne damit auf jeden Fall die Domains mit dem Auth Code umzuziehen.
Nein, ich denke nicht: bei nic.at kann ich einfach die Adresse der Nameserver ändern. Nic.at verlangt dass die neuen Nameserver richtig konfiguriert sind, checkt das, und falls ok, nimmt dann die Änderung vor. Es ist, denke ich, also nicht nötig, die domain zu transferieren.
Welche Lösung einfacher und/oder aus sonstigen Gründen besser ist (domain bleibt und Nameserver mieten vs. domain transferieren und nameserver des neuen Anbieters konfigurieren) wüsste ich auch gerne, wenn da jemand Erfahrung mit beidem hat.
Hallo Lochkartenstanzer, danke für deine Hinweise !
Ok, wenn RDP +VPN die bessere Variante ist werde ich sehen wo ich eine ausführliche Beschreibung erhalte um RDP + VPN installieren und anwenden zu können.
Manche Provider bieten eine vorgeschaltete Firewall an (z.B. Hetzner) , bei der man den RDP Zugriff z.B. aus seinem Firmennetzwerk mit fester IP erlaubt, aber sonst den Port 3389 für externen Zugriff gesperrt lässt. Das wäre die einzige Ausnahme. Wenn er ihn jedoch als RDP Server für diverse Clients einrichten möchte, dann kann er nicht alle externen IP Nummern ermitteln, zumal die meisten davon dynamisch sein werden. Also, geht nur VPN.
Ja stimmt der Server wurde bei einem externen Server Provider angemietet Windows Server 2025 habe ich neu installiert Windows Server 2025 Essential lässt bis 25 Benutzer zu bei einem Prozessor von bis 10 Cores
Vergiß nicht, daß für RDP extra Lizenzen fällig sind.
Habe einen User mit Admin Rechten angelegt und den Administrator deaktiviert Die Firewall ist aktiviert RDPGuard ist installiert und aktiviert
Trotzdem wäöre RDP +VPN die bessere variante.
TSPlus ist als Testversion installiert und lässt bis zu 5 User gleichzeitig sich per RDP oder HTML5 verbinden
Vielen Dank für alle gut gemeinten Ratschläge !
Wichtig: bevor due so einen Server mit dem nacklten Hintern ins Internet stellst, solltest Du vorher lokal in einem, Testnetz üben.
