Ja.
Die Leaf-Switches haben mindestens zwei Uplinks auf die Spines. Die Firepowers sind mit den Spines verbunden. Es sind vier Firepower am Hauptstandort.

Z. B. die Powescales sind an Dell Spines. Das kam als Paket. Jede PS hat 4x 25GbE.

Es ist logisch gesehen nicht nur ein Baum mit Blätter, sondern mehrere Bäume, die im Wald stehen.

Die Access Switches laufen auch auf einem eigenen Baum zusammen mit der WiFi Infrastruktur.

Die Horizon VXRails hängen an den Leafs. 2x 10/25GbE. Wir haben pro Mitarbeiter ca. 1,35 Horizon Desktops und die IT hat dann noch VMs im dem Sinne, wie es hier die meisten verstehen. Unsere User (Kollegen außerhalb der IT haben nur Horizon) das ist alles maximal abgeschottet, bis runter auf App-Ebene. Kein USB, SDCard usw...
Headset wird über das Cisco-Tischtelefon verbunden und integriert Cisco Jabber.

Die meisten ESXi hängen als Blätter im Baum.

Z.B. die MX7000 sind selbst Blätter. 8x25GbE, über rückseitige Switches. Blades und VXRail HCI wird weiter ausgebaut, weil uns der Platz fehlt, wegen der fetten DGXe.

Die Bäume untereinander haben meist mehrere 25/50/100GbE oder in der Nähe der DGXe auch 400GbE, auch über die DGX-Fabric hinaus. Das DGX Fabric ist im Kern Nvidia mit Querverbindungen auf die Dell Switches.

Die Firepower machen den Großteil der Gateways, damit die interne Kommunikation unter Kontrolle ist. Bestimmte Servernetze haben nur Switch ACLs. Vieles was die Servernetze verlässt bekommt mehr Firewalling über gebrummt. Die Verbindung zu den kontrollierten Horizon Desktops, auf denen du nur die vorgesehenen Applikationen starten kannst, dort wird nicht so viel Traffic angeguckt. Die Netzwerke an denen unsere Notebooks angeschlossen sind wird viel mehr ausgewertet. Allein schon weil man an den Notebooks Datenträger anschließen kann und so weiter...

Die IT Administration arbeitet auf einer eigenen Infrastruktur mit eigener Internetleitung. Alle unsere Tools laufen auf Horizon und Desktops. Kleines Cluster auf Dell R7x00 mit eigener Netzwerkhardware.

Unsere VoIP Anlage, ist ein eigenes Cluster in einer eigenen DMZ und eigener Internetleitung.

Im Sommer haben wir Dacosa an unsere DWDM Strecken eingebaut und haben nun auch natives FC über Standortgrenzen hinweg, was ab Ende 2025 zum Umbau des SANs führt. Vermutlich PowerStores mit Metro Volumes auf bis zu 210km Luftlinie. Dann wird das SAN zu einem virtuellen SAN ähnlich der IBM SVC seinerzeit konsolidiert. Das machen wir um uns von IP Storage Replikationen zu trennen, die jetzt übers WAN gehen und dort Traffic machen,ohne Ende.

Was dann über die internen Firepower geht, hängt von den Auflagen des ISB ab. Es ist aber fast alles an Verbindungen. NFS-Traffic z. B. geht einfach nur als Forward durch und wird nur statistisch erfasst. Zukünftig wird Storage IP Traffic auch dediziert abgewickelt.

Richtung unsichere Netzwerke kommen Gnugates zum Einsatz.

Das alles für die Sicherheit.

Moin,

Fotos bitte direkt hier hochladen

Ferner: RDS-Rolle an Zielserver installiert?
Per GPO auf den Lizenzserver verwiesen?

Moin,

wie wurden denn die Domänencontroller auf neue Hardware umgezogen? Vlt auf Hyper V und es wurde vergessen die Zeitsynchronisation mit dem Host zu in den Settings zu deaktivieren? Welches OS wird genutzt? Haben die DCs genug freien Speicherplatz zum auslagern?

Gibt es mit der neuen Hardware evtl Abbrüche vom Client zum DC?
Wurde evtl nachträglich ein inplaceupgrade gemacht? Dcdiag ist ok?
Steht im Clienteventlog etwas wenn der user sein passwort "fast" ändert?
Was ergibt vom client aus ein cmd -> klist?
Wie wurde die korrekte Zeit überprüft?

Kann eine schnell aufgesetzte vm in die Domäne aufgenommen werden,funktioniert das?
Bei der Eventid7 müssten eig infos zum client dabeistehen, wenn mich nicht alles täuscht. Die kommt meiner Meinung auch wenn ein User sich nur vertippt, kann ich gerade aber nicht nachstellen.

Man kann wohl den Mikrotik sniffen:
https://tojaj.com/packet-capture-from-mikrotik-to-wireshark/

Dann müsste ich ja sehen, wie die ARP zwischen den beiden Ports ablaufen.

Hat das schon einmal jemand am laufen gehabt?

Die Pings sind an sich egal. Das Problem ist das er die MAC Adresse nicht ermitteln kann. Also schlägt die ARP fehl.
Ich meine die Antwort war "No Route to host".

Ich bin morgen nochmal vor Ort und checke das genauer.

Aber solange er die MAC nicht ermitteln kann, erfolgt keinerlei Kommunikation im Ethernet. Kein Ping, HTML request oder was auch immer.

🤷🫣

Nur für mich zum Verständnis:

Ihr habt Spin-Switche (Layer 3) von Dell und Ciso im Einsatz. Jeder Spin Switch ist mit einem Leafe-Switch (Layer 2) verbunden? Als Leafswitch nutzt ihr Switche, um eure Server und/oder Virtualisierungsumgebung anzubinden - ggf. Verwendung von LACP.
Ebenso habt ihr Leafswitche (also einfache Access Switche) zur Anbindung eurer Clients, Drucker, AccessPoints etc. Diese Switche sind aber nicht zwingend an jedem Spine-Switch angeschlossen? Sind an diesen Switchen auch die Firepowers angeschlossen?

Jetzt die Frage: Welchen Datenverkehr leitet ihr denn dann über die Spin-Switche (Layer 3) und welchen Datenverkehr über die Firepowers?

Unsere Firewall hat nur zwei SFP+ Anschlüsse. Das müsste ich in dem Konzept beachten.

Man sollte die Antwort eigentlich aus den Zeilen rauslesen können:
Natürlich das er die MAC Adresse nicht ermitteln kann. Geprüft via arp -a

aufgelöst ersetze mit MAC ermitteln. Das soll der Satz auch für dich wieder passen

Grundsätzlich wäre es praktisch zu wissen, wo die ARP Auflösung scheitert.
Wenn der BBB die IP nicht auflösen kann, kann er auch nichts absenden.

Hatte danach beide Geräte auf einen Mikrotik Switch gehängt. Weiß jemand ob man den Traffic bei 2 Ports debuggen kann?

Der BBB muss ja nach dem Neustart den ARP absenden. Der Switch muss das an alle Ports, außer dem Source, weiterleiten: Heißt: mit Wireshark muss ich das ARP request auf meinem Windows PC sehen.

Bin nimmer so up2date (nach einigen Jahrzenten): das ARP request wird als Broadcast geantwortet? oder als Unicast an die Source?

Ich meine es kann ja nur 3 Fehlermöglichkeiten geben:

• Der BBB sendet kein ARP
• Der Mikrotik blockiert die ARP
• das RS485 GW antwortet nicht auf die ARP

Ich habe gelegentlich fehler id 7 kerberos in der Ereignisanzeige.
Könnte das damit zu tun haben?

Hallo,

Und was steht dann als Antwort da? Nichts? Ein Ping lebt ausschließlich von den Antworten...

Und in was soll eine IP aufgelöst werden? Eine Super-IP? In Marmelade? Oder meintest du das dein arp -a dir keine passende IP und mac (Physische Adresse) nannte?
Eine IP ist eindeutig und schon aufgelöst. Aufgelöster geht es nicht.

Aber vorher schauen was in deren Logs drin steht, deren arp Tabellen etc. Und auch mit einen Kabelhai mal schauen. Ein Tracert hilft dir auch den weg der Pings zu klären. Evtl. ändert sich ja dort das Routing oder Knut Rupprecht schaltet dort Strom ab und Firewall ein. Welches Gerät gibt denn die letzte Meldung wenn der Ping nicht mehr Erfolgreich ist?

https://blog.globalping.io/how-to-read-ping-results-a-beginners-guide/
https://www.kentik.com/kentipedia/ping-command-in-network-troubleshootin ...

Gruss,
Peter

Ist auch eine Möglichkeit und schnell die Switche auszuschließen. Da alle IPs statisch sind, werde ich das testen.

Hi!

Es ist an sich ein ModBus RTU Gateway, aber Protokoll ist off. Dadurch reines RS485.

Das RS485 ist natürlich ein Gateway. Hat also einen Ethernet Anschluss und einen RS485 Anschluss.

Ist ein Connect für ekey Fingerprint


Wie?

Nein, kein cape. Der BBB ist Standalone und das RS485 ist von WaveShare

Moin,


Ich frage mal vorsichtig:
TCP 502 ist doch Modbus!?
RS485 wäre zudem Modbus RTU

Und wie soll denn die RS485 eine IP bekommen und dann obendrein ne MAC in den ARP-Tabellen der Switche anlegen?

Und dass beide Interfaces, NIC und RS485, eine IP im selben Netz haben, ist sicherlich auch nicht förderlich.

BTW: ist dieses Modul verbaut?

Was soll die Kiste inhaltlich eigentlich machen?

Hi @all...
Danke, dann liege ich ja gar nicht so falsch..
Treibe das ganza ja auch schon über 20 Jahre und bin bisher ganz gut damit gelaufen.

Gruss Globe!

Ja, warum nicht. Viele unserer Gateways sind auf zwei Firepower Duos liegend.

Eine Spine-Leaf Topologie steht einem klassischen Design nicht nach. Ganz im Gegenteil. In unserem Fall sind alle Links im Betrieb und somit steht auch die volle Bandbreite zur Verfügung.

Access Switches sind dort angeschlossen, wo sie aus Gründen optimal platziert sind. Das kann nach Bandbreite, Portdichte, Kosten usw... Geschehen.

Spine macht vorrangig das IP Geschäft, die Leafs den Mac Forward. Synergien ergeben sich.

Er muss ja nichts verstellen um zu gucken ob die Mac im Arp Cache ist und bleibt.

Ping ist noch mal ein anderes Thema.

Immer der Reihe nach.

Ist denn eine Spin-Leaf-Architektur sinnig / umsetzbar, wenn man den gesamten Datenverkehr über eine zentrale Firewall routet (also klassisches Layer 2 Netzwerk)? Wie binde ich denn in dem Konzept die Access Switche überhaupt an?
Wenn ich das Konzept richtig verstanden habe, ist es für Datacenter gedacht, um West-Ost-Traffic zu händeln.

Moin,


Einfacher ist es, die beiden Geräte an einen einfachen, nicht konfigurierbaren Switch zu hängen, sonst nichts, keine Verbindung zum sonstigen Netzwerk, dann noch ggf. einen Laptop dazu, und damit testen. Sinnvoller, als an den Switchen alles mögliche zu verstellen, um danach festzustellen, dass das Problem woanders liegt.

Gruß

DivideByZero

Das hatte ich nicht überprüft. Am BBB konnte ich die IP nimmer pingen. Ein Blick beim BBB ins ARP zeigte das er die IP nicht auflösen konnte.

Nachdem ich die Weboberfläche oder einen Ping von meinem Windows PC machte, konnte der BBB die IP wieder erreichen.

Aber da ich vom Windows PC das RS485 Gateway erreichen konnte, muss der Switch ja die MAC davon kennen.

EDIT: Ich habe 2 dieser RS485 Gateway mit dem selben BBB bei mir am laufen und kann es nicht nachstellen. Meine Vermutung geht eben in die Richtung der Switche.

Wenn ich das nächste mal vor Ort bin, versuche ich am Switch einige Tests.
Einer wäre die Switche neu zu starten.

Ein Neustart des BBB und RS485 GW brachte ja keinen Erfolg

ARP geht ins leere?
Heißt die Switches kennen die Mac nicht mehr und dann auf einmal doch wieder?

unter Thread Defense die Content Analysis Queue auch gecheckt?

Danach dann mal unter:
Administration -> Utilities -> Diagnostics die Logs herunterladen, auspacken und nach passenden Einträgen im BMServer log schauen.

leider muß der Außen AP volle pulle laufen, da ich kleine Sensor ESPs in 50m Entfernung habe, die eh schlecht verbunden werden. Schau mir aber mal das Thema Beaconing an. Das kannte ich nur im Zusammenhang mit Bluetooth. Danke

Den muss es nicht einmal geben. Einfach eine Fakeadresse eintragen und fertig. Wenn man zudem noch Dualscan deaktiviert, wird bei Nicht-Erreichbarkeit des WSUS auch nicht das Internet für die Suche herangezogen.

PS: wer teilt mit mir das Leid, dass unter Win11 23H2 die option "no auto-restart with logged on users" schlicht ignoriert wird? Finde ich gar nicht lustig.

• Wie wurde das Zertifikat erstellt, mit welchen Eigenschaften ? KeyUsage /ExtendedKeyUsage
• Wurde das Zertifikat in den "TrustedPublishers" Zertifikatsstore der Maschine importiert?

Bei UnknownError ist i.d.R. eines der beiden Punkte oben fehlerhaft umgesetzt worden.

Du musst es erneut signieren. Jede Änderung am Skript beschädigt die Signatur und diese wird ungültig. Das ist ja der Sinn und Zweck der Signatur. Es wird nur ausgeführt wenn es seit der Signierung unverändert ist, man beglaubigt damit das das Skript und durch Prüfung der Signatur lässt sich feststellen ob es durch dritte manipuliert oder beschädigt wurde.

Gruß catrell

Hi,

Wenn das Script geändert wird muss es erneut zertifiziert werden.
In den Eigenschaften wird nach Änderung das Zertifikat als invalid angezeigt.

Wenn das nicht der Fall wäre könnte jeder jedes signierte Script nehmen und missbrauchen.

Bin mir gerade unsicher wie das ermittelt wird, hat aber vermutlich etwas mit dem hash des scriptes zutun?
Da kann bestimmt jemand anderes genaueres sagen.

Google sagt:
Any changes in the code will lead to a different hash value, making tampering detectable. Integrity Verification: End-users can verify the code's integrity by generating a hash from the downloaded code and comparing it with the signed hash. If both the hashes match, the code will be verified as unaltered.

Also anscheinend der hash...

Damit solltest du mehr Infos bekommen:

Nachtrag für deine Fehlermeldung:
Anscheinend hat er ein Problem das Zertifikat zum signieren zu benutzen.
Also hast du hier noch ein anderes Problem?
Zertifikat kannst du auch im Explorer sehen wenn du dir die Dateieigenschaften anzeigen lässt.


Vg

Ich kann gut nachvollziehen, dass wenn man in einer grossen Umgebung wie oben berichtet unterwegs ist, dies nach wie vor seine Berechtigung hat.
Wir im öffentlichen Gesundheitswesen müssen halt noch wirklich auf's Geld schauen.
Wir haben rund 150 VM's und eine Dutzend Host's, da kann man auch mal etwas anderes einsetzten.
Und wie oben geschrieben, werden wir wohl auch gut mit der Standard Version klar kommen.
vSAN nutzen wird nicht; DRS wird etwas schmerzen; VDS wird man auch ohne locker überleben.

Dinge die in einer grossen Umgebung vermutlich nicht (mehr) wegzudenken sind.

Aber es gibt sicherlich etliche (mehrheitlich) KMU's die wie wir unterwegs sind.

ERKLÄRBÄR:

Nein das wird dir keine Probleme machen.

Bedeutet an in dem Pfad:

Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
oder halt von nem lokalen user, sind mehrer angemeldet, sind hier mehrere keys.

Unter
Computer\HKEY_USERS\.DEFAULT

Ist der Regkey Baum der verwendet wird wenn sich ein neuer User am PC anmeldet.

Somit kann man theoretisch bestehnde Clients hier ein Script schreiben was die Werte Dynamisch ermittelt und bei jedem einzelnen "baum" dann den sub Key in der Registry entsprechend setzt.
Und bei Default auch, dann gilts auch für zukünftige anmeldungen.

also kannst hier quasi als Admin also Machine bereich trotzdem in die User Bereiche reinschreiben.
Bedeutet einer der bäume unter:
Computer\HKEY_USERS\Steht-die-eindeutige-ID-des-Users-vom-AD-Object
ist genau der baum vom angemeldeten User
den man auch unter Computer\HKEY_CURRENT_USER sieht.

Habs grad gecheckt Computer\HKEY_USERS\S-1-5-21-.................... sollten die User Bereiche HKEY_CURRENT_USER sein

man sollte obacht geben weil Computer\HKEY_USERS\S-1-5-80-........................... scheinen wiederum andere Daten zu enthalten.

Also nur im Bereich Computer\HKEY_USERS\S-1-5-21-................... rumeditieren nicht :
Computer\HKEY_USERS\S-1-5-20-................
Computer\HKEY_USERS\S-1-5-19-................
Computer\HKEY_USERS\S-1-5-18-................

Listepreis ist meist vier mal so teuer wie wie die letztendlichen Kosten.
Wer Listenpreis zahlt, macht etwas falsch!

Ist leider historisch gewachsen, wir haben viele einzelne Standorte die netzwerkseitig nicht miteinander verbunden sind. Macht uns leider an mehreren Stellen große Probleme.


> Als Admin kann man einfach den Registry-Hive des Users laden z.B. mit

Den Ansatz habe ich mal verfolgt und er erscheint sehr vielversprechend:

1. REG LOAD HKEY_USERS\Software "C:\Users\User\NTUSER.DAT"
2. REG ADD "HKEY_USERS\Software\...."
3. REG UNLOAD HKEY_USERS\Software

Zumindest wird der Wert wie gewünscht in die Registry geschrieben, nach HKEY_CURRENT_USER bei der Anmeldung durch den User übernommen und verhindert, dass cmd genutzt werden kann.
Hoffe nur dass mir diese Lösung keine "versteckten" Probleme bereitet, die ich noch nicht absehen kann.

Wir hatten im alten Büro einen Ricoh SP s/w Multi (ohne Fax-Option) und einen Ricoh C3000er als reinen Farbdrucker.
Der RICOH SP war unser "Arbeitstier" zum Kopieren Drucken und Scannen und von den Verbrauchskosten sehr niedrig. Nur Toner, ab und zu mal aussaugen. Den haben wir gut gepflegt - über viele Jahre.
Der Farblaser war für Farbdrucke und auch hier (bei Ricoh) gab es reine Toner-Behälter zum Nachfüllen. Ab und zu mal den Tonerrestbehälter ersetzen das wars im Wesentlichen. Nach einigen Jahren dann logischerweise auch mal neue Trommeln.

Jetzt nutzen wir Konica/Minolta Bizhub C258. Kein zweites Gerät. damit fällt aber auch das "Backup" Gerät weg, falls der Große mal die Hufe hochreisst.

Das (doppelseitige) Scannen und die kleinen Dateigrößen bei Farbscans find' ich ganz gut. Der alte Ricoh SP konnte sehr gut s/w scannen und komprimiert (TIFF/CCIT) sehr kleine PDFs aus den Scans erstellen.

"bis 1.500 Seiten pro Monat" ist m.M. nach schon mal ein Blick auf die Lasergeräte und die Verbrauchskosten wert.

Über die Einstellung: "Do not connect to any Windows Update Internet Locations", siehe Screenshot oben.

@goscho

Danke für die Info, werde ich heute Abend mal beobachten, ob das bei uns auch so ist. Ich update allerdings die HyperV-Hosts immer zuerst, und danach die VMs.

Gruß

Vielen Dank.

Abend, ich pausieren hier erstmal - da ich in einem anderen Thema erstmal die Fehlermeldung klären muss, bevor ich hier mit den Ports weiter mache.

Danke & Grüße

Hallo - es zeigt sich immer mehr, dass so einiges an Wissen fehlt, um zu verstehen, was dieser Switch möchte in den Einstellungen..
@aqui ich nutze es nur, aber Hintergrund Funktionen, die Du abfragen würdest, kann ich nur mit Zielführung machen, da ich diese Funktionen/Lösungen nicht kenne.

Um die Funktion, des E-Mail Versenden zu nutzen, bedarf es erstmal der korekten Einrichtung und Verknüpfung im Switch.
Daher wird das TRAP/SMPT erstmal richtig angelegt werden müssen, das ist schon der erste Schritt (LANCOM hat nur immer LCOS Informationen, aber darum geht es hier nicht).


Das kann ich beantworten:
Software Error klingt gruselig und nicht gut. Aktuelle Firmware ist auf den Switch geflasht?
- Update auf neue Datei ausgeführt, aber die Fehlermeldung bleibt bestehen -

Fehler gefunden: email smtp

Debug | Error | 2024-11-13T15:49:36+01:00 | E smtp 15:49:36 66/get_response#266: Error: 504 5.5.2 <m0489e8f>: Sender address rejected: need fully-qualified address

Es möchte eine andere E-Mail Adresse - siehe: https://www.mittwald.de/faq/e-mail/fehlermeldungen/was-bedeutet-meine-e- ...
habe Privat aber nur x.net in Benutzung; da x.de immer SPAM bringt!

email-Eintrag entfernt: alles gut
1 Informational 2024-11-13T18:18:51+01:00 LED state change: System LED: green, solid, normal indication.


Danke & Grüße

Ich würde Euch gerne Input geben, aber ich ja weiß ja nicht was wirklich wichtig ist um zum Ziel zu kommen.
Jetzt erstmal die Abfrage zum - software error occurred - dann sehe ich weiter.

That's by design. Für die Control-Funktion benötigen beide Seiten noch den Teams Desktop Client.
Wie so oft hilft die Doku ... https://learn.microsoft.com/en-us/microsoftteams/get-clients?tabs=Window ...

Gruß catrell

Es kommen immer die gleichen Fehler die ich hier reingeschickt habe

Ja da waren 4 Nachrichten drin, die hab ich alle gelöscht gestern, aber es ist wieder abgestürzt

Hast du die Message Queues überprüft, ob da noch was hängt?

Die Doku dieses GPO-Eintrags sagt etwas anderes...

###
Falls der Status für diese Richtlinie auf "Deaktiviert" festgelegt ist, müssen alle unter "Windows Update" verfügbaren Updates manuell heruntergeladen und installiert werden. Suchen Sie dazu auf der Startseite nach "Windows Update".

Falls der Status auf "Nicht konfiguriert" festgelegt ist, ist die Verwendung von automatischen Updates nicht auf Gruppenrichtlinienebene festgelegt. Ein Administrator kann automatische Updates jedoch über die Systemsteuerung konfigurieren.
###

Ich tendiere gerade dazu, alles gegen einen "Dummy-WSUS" laufen zu lassen, der einfach keine Updates kennt/hat.

@N3cronomicon
Wie hast Du die Onlinesuche deaktiviert?

Hallo goschu,

das SMG hat die aktuellste Version 10.9.0-3. Genau die deinen Link mi dem Fehler habe ich auch schon geesehen aber wir haben ja die aktuellste Version... Ich und zwei andere Admins betreuen es. Diese Fehlermeldungen kommen seit ca. 10 Tagen und es stürzt regelmäßig ab, obwohl wir zu diesem Zeitpunkt meines Wissens nach nichts verändert haben am SMG....

das kam noch:

Symantec Messaging Gateway Alert Notification for xxxx@xxx.de

ALERT NOTIFICATION ================================

The following system components are not responding/working:

Host Component Problem
Local Host BMSERVER Stopped
oder:

bmserver crashed on signal 11 on SMG.NAME.local exit code: 0x008B

Storing data in /data/scanner/jobs/bmserver/2024.11.10-19.05.02


Freundliche Grüße

Kreuze hier an ob du Ahnung hast was Simplivity ist:

[ ] Nein, noch nie gehört aber will mal mitreden
[ ] Ja, Klar ich wusste das das Linux Appliances vom Hersteller sind die auf Misteriöse weise mit irgendwas gekoppelt werden von dem ich wiederum aber auch noch nix gehört habe

Kann man bestimmt. Ganz sicher.

Spannend ist, diese Künstler sind wieder hier zu finden und geben sich durch klicki bunti Seitenhiebe zu erkennen.

Ich würde an deiner Stelle auch die Musik von deinem NAS streamen lassen, ist nur ein Vorschlag, damit Du nicht mehrere Server im Netz hast, die im Grunde dasselbe tun, nur mit unterschiedlichem Inhalt.

Davon rate ich persönlich eher ab. Gib den Rechnern über den DHCP-Server (in deinem Fall die Fritzbox) eine feste IP,
aber lass die Geräte auf DHCP, die bekommen dann immer die selbe Adresse.
So weiß die Fritzbox an zentraler Stelle, welchen Geräten sie welche Adresse zugeteilt hat.
Bei komplett manueller Vergabe musst du sonst penibel genau dokumentieren, welches Gerät welche Adresse hat und wo es steht,
weil die Fritzbox davon dann keine Ahnung hat. Oftmals werden dann die Gerät nur mit der MAC-Adresse angezeigt und ohne Hostnamen.

Ist jetzt nur eine persönliche Meinung, aber sie beruht zumindest auf Erfahrungswerten.
Stell z.B. den DHCP-Bereich auf Adressen von 200-249.
Bekannte Geräte bekommen von dir Adressen unterhalb der 200er IP, fremde oder temporäre Geräte (Besucher, Test-Rechner, usw.) bekommen dann die 200er IPs.
Steigert enorm die Übersichtlichkeit, sind aber nur meine 50ct.
Ich kenne überdies nämlich auch Geräte, die sich manuell überhaupt nicht einstellen lassen,
sind aber meist billige Cloud Geräte, von denen ich eh die Flossen lasse.

Den Aufwand habe ich aber nur einmal gehabt, seitdem ist Ruhe im Karton.
Was DHCP betrifft, habe ich überdies sogar den Vorteil, dass eine Änderung der IP über die zentrale Verwaltungsstelle innerhalb von 60 Sekunden aktiv ist, da der Lease auf 2 Minuten gesetzt ist.
Der Overhead, der dadurch entsteht, ist witzlos, bin ja kein Großkonzern kit hunderten von PCs.

Ja, sie läuft autark und ohne Anschluss an das Hausnetz.
Ich habe in der Wohnung beim Einzug Kabelschächte rundum in allen Räumen verlegt, schon prophylaktisch, inkl. TAE, RJ45, Zigarettenanzünder und Schuko alle paar Meter.
Alles läuft in einem Verteilerschrank zusammen und wird dort verwaltet.
Ich habe die notwendigen professionellen Switches gebraucht gekauft und habe nichts bereut.
Der Zigarettenanzünder ist für 12V Geräte gedacht.
Die Server laufen derzeit ja noch über den Wechselrichter, das will ich in Bälde ändern.
Ladekontrolle des Speichers erfolgt natürlich komplett autark, kann das aber über OpenDTU überwachen.
Die Historie ist über eine Postgres-Datenbank realisiert, alles bequem über ein Webfrontend einsehbar.
Ich leiste eine Menge Widerstand gegen diese grassierende Abhängigmacherei, einfach nur aus Prinzip. Habe es nie bereut.
Ansonsten wüsste ich nicht, was Du unter Ladekontrolle verstehst. Sind die Akkus voll, dann sind sie eben voll. Dann geht der Solarstrom eben ins Leere oder wird instant verbraucht.
Ist die Sonne nicht mehr ausreichend, wird der Saft aus den Akkus gezogen, mehr muss eine Ladekontrolle nicht leisten.
Das ist halt der Vorteil von uralter und "grobschlächtiger" Akkutechnik. Bleiakkus sind diesbezüglich sehr unempfindlich, wenn sie lange Zeit voll geladen bleiben.
Wenn ich irgendwann den Wechselrichter durch einen stärkeren ersetze, kommen eventuell weitere Geräte dazu, die ich da anschließen würde.
Allerdings nur, wenn ich vorher noch ein paar weitere Akkus abgeklemmt habe, eventuell noch das ein oder andere Panel zusätzlich.
Derzeit bin ich zufrieden damit, dass Server und PCs im Betrieb nichts mehr kosten.
Aufrüstung und Verschleiß natürlich ausgenommen.

Jup, Alternativen werden einfach attraktiver, z.B. Proxmox als Hypervisor + Proxmox Backupserver.

Ich hatte extra Datacenter Lizenzen gekauft, dass ich mir über die Summe der VMs weniger Sorgen machen muss, egal ob diese aktiv sind oder "heruntergefahren" auf der Kiste rumliegen. Die Lizenzierung nach Instanzen wäre somit genau die falsche Richtung, daher hatte ich ebenfalls nach Sockel lizenziert.

damals
Veeam Backup & Replication Standard, 5 Jahre Support Erweiterung, unter 800€ pro Sockel.

So, habe mal bei mir ein paar Server 2019 (HYper-V, DCs, SQL, Exchange) mit den November-Updates versorgt.
Das Gute:

• Alle Server laufen wie vorher, bisher ohne jegliche erkennbare Probleme oder Fehler

Nicht so gut:

• Beim Exchange 2019 hat es beim Neustart nach dem Update eine halbe Ewigkeit (fast 25 min) gedauert, bis der Frontend Transport Dienst gestartet war, auch ein paar andere Exchange-Dienste haben viel länger gebraucht als gewöhnlich.
• Als der darunterliegende Hyper-V später neugestartet wurde, starteten die Exchange-Dienste (ist eine VM) wieder wesentlich schneller.