Moin,

Dann ist da massiv was schiefgelaufen. Wenn man alles richtig macht, merken die Clients nichts von "neuen Servern"

Ist leider aufgrund der Forenregeln hier nicht klärbar. Siehe Diskussionsrichtlinien - die Regeln zu unseren Inhalten

lg,
Slainte

Das macht doch dann die CPU, oder nicht? Der maximal mögliche Durchsatz von 60GBit ist in diesem Fall nur eine Angabe , was die Netzwerkchips selber schaffen ohne die CPU verwenden zu müssen. Wie weit es dann wegen einer schwachen CPU weiter einbricht steht dann auf einem anderen Stern

Fileserver auch noch. Der DC stellt eh schon Freigaben bereit, da machen ein paar mehr auch nichts...

Gruß,
Avoton

Moin...
oha... und was kommt für eine Fehlermeldung?
ich tippe mal ins Blaue, Outlook fragt noch benutzer und Password!

sollte dein problem lösen...
als Alter Exchange Hase solltest du das aber wissen!
wie wie sieht das mit den Zertifikaten aus, und interne externe URL?
ich hoffe doch, das du den Exchange nicht so ohne schutz in Internet stellt!

ist jetzt nicht dein ernst, oder doch... und sowas verkaufst du einem Kunden?
den mist solltest du dankend ablehnen... das wird so nix!
ja.. Hyper-V und 2 VMs!

Frank

Moin,

Wie oben schon gesagt:
Auf den physischen Server alles runter schmeißen. Danach die HyperV-Rolle draufpacken. Und dann, innerhalb von HyperV zwei VMs anlegen:
SRV01: DC mit DNS und DHCP
SRV02: Exchange

Setzt natürlich „etwas“ RAM und SpeicherKapazität voraus.

Wenn das alles steht, musst du dich um autodiscover etc. Kümmern. Dann findet dein Outlook auch den Exchange…
Das Autodiscover muss auch nicht am externen (öffentlichen) DNS hinterlegt werden, intern reicht aus…

Hier eine Hilfe dazu:
https://www.frankysweb.de/exchange-2019-die-basiskonfiguration/amp/

. Das ganze soll bei einer kleinen Firma stehen mit ca. Mitarbeitern.

Bei 10 Mitarbeiter nur ein Server bzw. Wie Thomka vorgeschlagen nur ein Dc?

Das sollte man nicht machen.
Wenn dann 2x Hardware und wie vorgeschlagen virtualisieren.

Beim Server 2022 auch an die Core-Lizenzen denken und die Server und Exchange Cal nicht vergessen

Oder über MS Cloud nachdenken.

P.S.: Ein DC ist ein DC und macht nichts anderes als DC, tolerierte Ausnahmen sind DHCP und DNS.

Ganz viele Programme haben Probleme wenn sie auf einem DC laufen.

Moin Frank,


die Kurzfassung. Ich habe gefühlt so gut wie alles, zumindest das was ich bisher gefunden habe, rausgerupft und oder zurück konfiguriert, was die Microsoftians/Netwerkkartenhersteller netzwerktechnisch nach dem Server 2012R2, dazugemurkst haben, stellenweise sogar ab 2008. 😔

Die längere Fassung bekomme ich jetzt aber nicht so schnell auf die Kette, da einige Anpassungen auch Systemspezifisch sind, wie z.B. RSS. Dieses muss z.B. sowohl in Abhängigkeit von der jeweils verwendeten CPU, dem verwendeten PCIe Steckplatzt (korrekte NUMA Zuordnung) und auch der realen Uplink-Geschwindigkeit optimiert werden.

Zum Thema korrekte NUMA Zuordnung, habe ich jedoch schon im April 2020, bei Spiceworks mal den folgenden Post geschrieben ...

https://community.spiceworks.com/t/server-2019-network-performance/72496 ...

... und einige der Anpassungen sind auch schon im folgenden Beitrag enthalten ...

Wie man das Windows 10 und 11 TCP-Handling wieder desuboptimieren kann

... siehe z.B. Skript "DISABLE RSC" & "DISABLE INTERRUPT MODERATION" & "DISABLE ENERGY-EFFICIENT-ETHERNET" & "DISABLE TCPDELAY".

Alles sollte auf einem Server, so wie ich das auch ausdrücklich in dem Beitrag geschrieben habe, aus diesem Skript jedoch nicht ausgeführt werden.

Ich schreibe später/die Tage auf jeden Fall noch mehr Details zu dem was und wie es angepasst oder deaktiviert wurde.

Ich bin mit den Anpassungen fürchte ich auch noch nicht zu 100% durch, vor allem auch was die X710 angeht. 🙃

So, jetzt muss ich aber schnell zum nächsten Termin flitzen.

Gruss Alex

Moin,

Wir ebenso. Die älteste Maschine ist hier 13 Jahre alt und hat > 400.000 Seiten auf dem Buckel.
Ne andere, kleine S/W-Koste steht im Bereich Produktion (bei uns dann also dreckig) läuft auch ohne Murren…

Edit: willst du Tinte oder Laser?

Moin,

die Idee mit der Zeitschaltuhr ist Quatsch. Die Ladeelektronik befindet sich im DECT-Mobilteil. Das "weiß", wie voll seine Akkus sind. Wenn die Akkus herausgenomnmen werden, wird zunächst mal von leeren Akkus ausgegangen und geladen, bei zuvor vollen Akkus wird die Ladung dann aber auch nach kurzer Zeit beendet. Die Ladeschale liefert nur die Wechselspannung. Gleichrichtung , Siebung und Laderegelung im Handteil. Die 700 mAh reichen bei üblichem Betrieb (nicht bei Dauertelefonierern) durchaus für 2-3 Tage ohne Aufladung. Und es ist nicht sinnvoll, "zu große" Akkus zu nehmen. Ich würde mich da an den originalen Kapazitäten orientieren.

Moin...
was genau hast du alles optimiert, und wie?

Frank

Moin,

Hyper-V auf die Hardware und dann DC und EX getrennt als VMs, klassisches Szenario und mit ner Windows Server Standard Lizenz ohne Zusatzkosten abbildbar.

/Thomas

SIM kopieren ist ev. sogar zu viel. War da nicht was vor einigen Jahren, wo in Australien einfach die Handynummer unrechtmäßig wegportiert wurde, um an den 2. Faktor zu kommen (Portierungen sollen dort sehr einfach möglich sein)?
Dachte zuerst an das da:
https://medium.com/@N/how-i-lost-my-50-000-twitter-username-24eb09e026dd
aber das wars nicht. Glaube es ging um eine wertvolle Domain.

Das Problem mit dem Nginx-Proxy-Manager hat sich mittlerweile geklärt. Es war ein DNS-Problem, das die Ursache war.

Vielen Dank für eure Unterstützung!

Liebe Grüße,
Saki

Hallo,
wir setzen seit Jahren auf Konika-Minolta bizhub-Serie.

Tuen was sie sollen, keine Probleme.

Gibt es mit verschiedenen Seiten-Leistungen und modularer Ausstattung.

Jürgen

Moin Zusammen,

ich habe zwar geschrieben, dass ich als nächstes eine Messung mit iPerf machen möchte, ich habe mich jedoch noch für eine weitere Runde NTTTCP entschlossen, habe davor jedoch noch ein bisschen nachoptimiert, vor allem was "TCP_NODELAY" angeht, was ja angeblich schon seit Server 2012 nicht mehr implementiert sein sollte. 😔
Und ich habe den NTTTCP auch mal gesagt, dass er doch bitte auch die WINSOCK Puffer verwenden soll, denn das macht er per Default warum auch immer auch nicht. 😬

!! Aber, an dem Testpattern selber, sprich, 4K mit einem Worker und einem oIO, habe ich nichts verändert. !!

Nun sieht das Ergebnis folgend aus und nein, das was jetzt kommt ist KEIN Scherz!

I350 <--> I350 (1G):

Die I350 ist mit 113 MB/s komplett ausgelutscht. 😁

P210 <--> P210 (10G):

Die Broadcom P210 kommt nun auf ~ 540 MB/s.

X540 <--> X540 (10G):

Die X540 beweist mit ~ 578 MB/s, sprich, dem Besten Ergebnis, dass man einen alten Gaul nicht unterschätzen sollte. 🤪

Und theoretisch könnte die auch noch etwas schneller, doch die CPU-Kern, auf dem der NTTTCP die Last generiert ...
... ist leider schon ausgelutscht. Der eine auf dem die X540 selber läuft, jedoch bei weitem noch nicht und theoretisch könnte die NIC für die Datenverarbeitung auch noch 3 weitere Kerne einbeziehen. 😁

X710 <--> X710 (10G):

Die X710 kommt mit ~ 437 MB/s leider nicht an die P210 und schon gar nicht an die X540 heran und ich habe beim Testen ein sehr komisches Verhalten festgestellt, was ich jedoch aufgrund meines mittlerweile sehr leeren Akkus, heute zumindest nicht mehr durchgehen möchte.
Aber, sie läuft ja schon mal etwas schneller als per Default. 🙃

E810 <--> E810 (25G):

Und die Intel E810, liefert mit fast 425 MB/s leider weniger wie die schlechteste 10G NIC.
Aber, mir ist da Gestern was eingefallen, der Server hat ja nur PCIe 3.0 und die E810 ist eigentlich eine PCIe 4.0 NIC. 😬
Und eigentlich habe ich die ja auch nur in die Server reingesteckt, um zu sehen ob der Hyper-V, mit deren üppigen SR-IOV Ressourcen zurecht kommt und weniger um deren Durchsatz zu testen.
Sprich, bitte deren Ergebnisse nicht zu ernst nehmen!

Aber ja, ich würde mal sagen, das war jetzt noch ein ordentlicher Ruck. 😁
Wenn man natürlich zu den Default Werten vergleicht, dann eher ... 😱😭🤢🤮🤢🤮 u.s.w.

Ach so, ja @redmond-microsoftianer, um es mal mit den Worten der Bavarianer zu sagen.

Himmiherrgottzagramentzefixhallelijamilextamarschschei#sglumpfargets 😔

Gruss Alex

Natürlich. Aber man sollte dem User die Wahl überlassen, ob er das will.

Und nicht immer will ich 2FA für einen popelservice.

lks

HP würde ich im Leben nicht mehr kaufen, nachdem die bei den ganzen Instant Ink Druckern nur noch drucken, solange man das Abo bezahlt.

Wir verkaufen die letzten Jahre nur noch Brother Drucker, bei Laserdruckern in 10 Jahren bei etwas über 100 Geräten kein defektes Gerät dabei. Tintendrucker hatten wir zuletzt mehrere MFC-J6940DW.
Schönes Gerät, gute Treiber und Software, einfache Installation und insgesamt sehr robust.

Die Epson WorkForce Pro sind ebenfalls nicht schlecht, allerdings teurer und ich mag die Treiber einfach nicht. Ist aber Gewohnheit.

Gar nicht, da liegt Proxmox und Co. Weit hinten.

Zu viele denken VMware = Esx = bisschen Virtualisierung.

Darum kann ja Broadcom so Preise aufrufen, es gibt keine Alternative.

Selbst bei einem kleinen Setup mit Essentials sind die 7 fach höheren Kosten immer noch besser als eine Migration zu Proxmox vom Aufwand her.

VMware vSphere Essentials Plus Kit (VVEP) Subscription inkl. Production Support 1 Jahr per 96 Core Pack = 3700€

Proxmox je nach subscription 300-1000€/cpu und Jahr.

Da lohnt sich Echt kein Umstieg.

Moin,
bei all diesen Dinge geht es ja darum eine Person zu identifizieren.

- Bei einem Kennwort identifiziere ich ja nur die Person die dies Kennwort kennt.
- Bei einer Email-Adresse identifiziere ja nur die Person mit Zugriff darauf
- Bei einem 2FA-TOTP-Code identifiziere ich meist die App auf einem Handy. Das finde ich schon besser.
- Bei einer Handy-Nummer identifiziere ich wahrscheinlich ein Handy mit einer SIM-Karte. Das ist fast wie 2FA und man kann die SIM nur schwer kopieren. Dazu habe ich über einen richterlichen Beschluss die Zuordnung zu einer Person durch den Anbieter. Also schon ziemlich gut. Auch ist eine SMS ein 2. Faktor wo keiner das Kennwort oder die App vergessen kann.

Stefan

Hat hier jemand Server in der Größenordnung 500+? Dutzende Cluster? Tausende VMs. Tausenden Container? Tausende Horizon VMs?
Wenn ja, wie wird das gemanaged und orchestriert?

Von der Sache, so wie du es beschreibst. Im groben 4-7 Jahre.

Reaktionszeit ist von dem "Kunden" und dessen SLAs abhängig. Wobei Kunden unsere Kollegen sind, deren Bedürfnisse teilweise nicht nur hochverfügbar sein müssen sondern ersatzteile innerhalb von Stunden im Betrieb sein müssen.

Wir haben zwei Hauptrechenzentren im Hauptstandort und ein Zeugen"rechenzentrum".

Zwei Außenstandorte haben etwas Technik zur Lastverteilung. DC, Powescale fürs DFS.

Ersatzteile gibt es bei uns nur indirekt in Form von Notebooks. Für die Notebooks ist in der Regel ein Next Business Day vereinbart, somit tauschen wir direkt die Notebooks beim kleinsten Husten.

Das ist technisch so nicht richtig. Es wird ja keinesfalls die Bandbreite der LAG Memberlinks erhöht! Wie sollte das auch technisch möglich sein? Man kann ja nicht aus 1Gig mit einmal 2Gig machen.
Das LAG Hashing bewirkt lediglich eine Verteilung der Sessions je nach Algorithmus auf die Memberlinks so das die Last entsprechend verteilt wird. Ein Bandbreitenerhöhung an sich wäre technisch unmöglich.
Das LAG Tutorial weist darauf hin und erklärt es im Detail.
https://de.wikipedia.org/wiki/Link_Aggregation

Ja, das ist klar weil du hier wieder mal das falsche Gateway Redirect (0.0.0.0) benutzt anstatt Split Tunneling. Da wurdest du oben wiederholt drauf hingewiesen hast es aber schlicht ignoriert.
AllowedIPs = 10.33.33.1/32, 10.22.0.0/16 Wäre hier richtig gewesen im Setup. Danach musst du einen Reboot machen und den Tunnel neu aufbauen damit das greift. Dann geht lediglich Zieltraffic zu den Adressen 10.33.33.1/32, 10.22.x.x/16 in den VPN Tunnel.

Ein paar Tips:

• DNS im Client anzugeben ist unsinnig und kannst du komplett weglassen. Das ist ausschliesslich nur dann erforderlich wenn du interne Hostnamen auflösen musst was bei dir aber vermutlich nicht der Fall ist. Folglich kannst du das weglassen, dann benutzt der Client den lokal gelernten DNS Server. Oder befindet sich hinter der .22.81 ein DNS Server? Vermutlich ist das der Fehler beim Client.
• MTU Settings solltest du erstmal weglassen. Die WG default MTU ist 1420 und in der Regel völlig ausreichend. Erst wenn du Schwierigkeiten mit Fragmentierung bekommst solltest du das anpassen sonst den Default belassen indem du es weglässt.
• Nebenbei: Hat es einen tieferen Sinn ein /16er Netz zu betreiben? 65.534 Endgeräte willst du ja wohl kaum adressieren zumal du ja so oder so nur mit 10.22.22er Adressen arbeitest. Warum also kein 10.22.22.0/24er Netz? Es besteht auch durch die .22.22 der latente Verdacht das du ggf. doch irgendwo eine /24 Maske benutzt und es so zu einem Maskenmissmatch innerhalb des Netzes kommt. Das solltest du nochmal wasserdicht prüfen.

Bis auf das falsche Client Setup also alles richtig gemacht. 👍 Die nft Firewall braucht natürlich noch etwas "Tuning" um den Server sicherer zu machen.

Link Aggregation bedeutet ausschliesslich, dass dem "Server" mehr Bandbreite zur Verfügung steht, welche auf alle Clients aufgeteilt werden.

Es erhöht nicht den maximalen Durchsatz.

Man kann hier mit Failover / Loadbalancing arbeiten, was eine Ausfallsicherung bzw. Lastverteilung bedeutet.

Gruß
Marc

Nabend.

+1 für Zabbix und Co. für das Monitoring und eventuell zusätzlich noch Graylog als Syslog Server.

Lässt sich schnell aufsetzen, ist gut dokumentiert und hat einen guten Mehrwert.

Daheim werkelt ein Rapsberry Pi 4 seit gut drei Jahren als Zabbix Server und "überwacht" meine Gerätschaften.

Gruß
Marc

Datenbank, htdocs Verzeichnis und Datenverzeichnis kopieren, Rechte und Pfade anpassen und hoffen, dass alle benötigten Komponenten auf dem Zielsystem vorhanden und der Versionssprung nicht zu groß ist.

@all
Also ich übe schon seit paar Monaten mit Proxmox/Ceph in einer realen Umgebung. Wenn der Support dort ebenso ist wie bei VMWare (vor Broadcom) (mit Proxmox/Ceph Subscription) spricht hier mal gar nichts dagegen!
Ich finde Proxmox gelungen - am "Look&Feel" kann man aber noch einiges tun ;)

An der Performane war im VSAN V.7.x klar VMWare gegenüber CEPH vorn...

Gruss Globe!

Würde mich auch interessieren

Mag sein, aber ich möchte nicht bei jedem Dienst eine Telefonnummer abgeben müssen.

Ein Google-, Microsoft oder facebook-Konto hat auch lange Zeit ohne Telefonnummer funktioniert, wenn man eine alternative Mailadresse hatte. Und das reicht I.d.R. auch.

Auch ist es manchmal mit Ärger behaftet, wenn es nur mit Nummer geht. Ich hatte auch schon den Fall, daß wenn die SIM ausfällt, man "ausgesperrt" ist bis man Ersatz hat. Mails kann man notfalls an anderen Computern abrufen. Ohne die passende SIM nutzt ein anderes Telefon gar nichts.

Und ich hatte schon oft genug Kunden, wo die Nummer gar nichts nützt, weil das mal die "alte Nummer" war, die inzwischen längst vergessen und inaktiv ist und vergessen wurde bei jedem Dienst zu aktualisieren.

Von daher: Es mag ein Mehrwert sein, aber den Kunden dazu zu zwingen ist eigentlich nicht hinnehmbar.

lks

War ein Missverständnis. Die meinst den Unterbau von VMware Workstation.

Was ich meine, das man VMware/Briadcom in vielen Fällen Adieu sagen jann zum zu oroxmox gar kvm "pur" wechseln kann ohne größere Komfortverluste.

lks

N'Abend @all,

nicht das Ihr das jetzt falsch versteht: Rein technisch ist die Hinterlegung einer Tel-Nr. natürlich sinnvoll.
Aber ich bin da ein Schelm und nehme an, dass mit der Hinterlegung der Tel-Nr noch ein weiterer Nutzen
als der anfänglich ausgewiesene für den Dienstleister rüberkommt.
Gibt es, eurer Meinung nach, solch weitere Nutzen?

Es werden ja richtige Zwänge aufgebaut:

Letztenz, bei einem bekannten Freemailer.
Bei einem Bekannten Anmeldedaten weg, hinterlegte Tel-Nr weg, Zweit-Mail weg.
Er konnte mir aber genau diese Daten noch per Screenshoot zeigen...
Ein Rücksetzen mit den nicht mehr zur Verfügung stehenden Daten war nicht mehr möglich.

Jetzt wollte der Freemailer die Installation einer App auf ein Handy mit dem Ziel, den Ausweiß zu kopieren um die Identität festzustellen. Diese Mobil-Nr war nicht die ehemals hinterlegte.

Auf ausdrücklichen Wunsch des Bekannten sind wir dieser Procedure gefolgt, damit der Herr wieder an seine Mails kam.

Ich kannte bisher Post-Ident, auch per Mobil.
Aber EINMAL legt man seinen Ausweis zu oft vor die Kamera und dann war's dass...

ZzT: Gibt es, eurer Meinung nach weitere Nutzen?

BG BM

Moin...


ja, das ist so, und wird sich auch nicht ändern!

wenn du Adobe Acrobat DC Pro installiert hättest, also ohne Teams- wäre das auf dem RDS kein Problem!
alle User auf dem RDS Host hätten nach der aktivierung die volle Lizenz!

das funktioniert zu 100%

Frank

Ok, ich benutze das halt zum ausrollen von neuen Kisten als sysprep Image..
Andersweitig muß Du das Script auch als Admin ausführen - sollte gehen - habe ich aber noch nicht gemacht (um z.b. "Eine Installation" auf neue Hardware umzuziehen..)
Bei mir ist ja jede Install auf neuem PC - eben via sysprep (mit vorinstallierter Software...).

Gruss Globe!

Da muss ich doch mal nachhaken, es gibt ja super Befehle für Nextclouds und ich war beeindruckt was via Powershell doch alles geht.

Gibts keine halbwegs einfache Möglichkeit eine Nextcloud von einer Instanz in eine andere zu kopieren, quasi mit allen Usern, Daten usw...????

Aber VMWare macht dies nicht. Zumindest im Moment nicht.

Ich kann mal aus Anbieterseite berichten:
Wir fragen auch die Telefonnummer ab sowie die Postanschrift (letzteres aufgrund regulatorischer Vorgaben).
Es kommt oft genug vor, dass Kunden die Zugangsdaten nicht mehr haben und gleichzeitig auch keinen Zugriff mehr auf die teilweise erst ein halbes Jahr zuvor hinterlegte E-Mail-Adresse.
Dann können wir entweder Post mit einem Authentifizierungscode schicken (die dann, wenn es schlecht läuft, 3-4 Tage unterwegs ist) oder eine SMS bzw. Anruf, was in Echtzeit funktioniert.
Wir sehen im Support natürlich fast nur die Härtefälle bei denen die automatische Kennwortrücksetzung nicht funktioniert, über alle Vorgänge betrachtet liegt die Quote, wo wir dafür auf die Telefonnummer zurückgreifen aber bei rund 8 %.
Es ist also tatsächlich in den Fällen ein Mehrwert für den Kunden, eine Telefonnummer anzugeben.
Zudem ist es, wie @stefaan angemerkt hat, auch ein Mittel, um die Anzahl der Spam-/Betrugs-Anmeldungen etwas zu begrenzen. Es ist hier z.B. schlicht nicht möglich, mehrere Konten in kurzer Zeit mit der selben Telefonnummer anzulegen. Natürlich gibt es genug Spezialisten, die mal eben 30-40 Nummern aus dem Hut zaubern, aber es sind dann eben maximal 40 Konten, nicht 10.000.

Man kann auch esxi durch kvm/proxmox ersetzen. Machen im Moment sogar sehr viele.

lks

Moin,

Ist doch klar wie Kloßbrühe: Je mehr Du (und und andere) die Lizenzen reduzieren, desto mehr muß der Preis erhöht werden, damit der Umsatz gleich bleibt oder steigt. Ihr seid also selbst Schuld.

lks

Du solltest Deine GPOs Stück für Stück abrüsten und den Background-Refresh-Zyklus des Testsystems mal stark verkürzen (2 Minuten), um dahinter zu kommen, was es ist. Ich meine mich zu erinnern, dass auch die Einstellung "ersetzen" (replace statt create) bei den Netzlaufwerken zu diesem Refreshproblem führt.
Sondern? nur 3 von 100? Oder wie? Ich habe da eine ellenlange Liste drin, da wir diese Option exzessiv benutzen und habe nie unerwartete Explorter-Restarts wegen GPOs.

Wegen der Toolset und Toolchains? Die zu ersetzen kostet Geld.

Man muss kein Controller oder Buchhalter sein um das zu überschlagen.

@aqui
Danke für die nützlichen Infos. Ich habe nun hoffentlich alle Regeln befolgt und folgende Konfigs erstellt. Dazu auch eine Topologieskizze.


WG-Server


Server nftables.config
Hier habe ich absichtlich erstmal nur den NAT teil eingefügt.


WG-Gateway


Client


Mit diesem Setup kann ich von allen WG-Geräten aus auf das Heimnetzwerk zugreifen und umgekehrt. Der WG-Client nutzt die Internetverbindung des VPS (nicht ganz wie gewünscht aber aktuell nicht so wichtig).

Jedoch besteht immer noch das Problem, dass die Übertragung aus dem Heimnetz zum WG-Client sehr instabil und langsam ist. Verbindungen zwischen Client und Server / Gateway und Server sind stabil. Habe auch schon versucht beim Client nur die AllowedIPs: 10.33.33.1/32, 10.22.0.0/16 einzutragen. Leider keine Verbesserung.


@150631
Ich habe den iperf3 Test auf dem Server laufen lassen und erhalte ca. 2Gbit Upload und 1Gbit Download.

Dabei geht es aber nicht um ESXi sondern um VMware Workstation.

/Thomas