Het grote kleine-SysOps-vragen topic deel 1

Nou, Outlook doet het bij ons nu helemaal niet meer. Autodiscover compleet over de zeik. Mogelijke oorzaak: van het weekend is de DNS aangepast van onze site, ipv dat het een redirect werd naar een andere site is het nu een normale website. En zit cloudflare er tussen. OWA doet het gelukkig wel, zowel vanaf kantoor als extern.

Via www.testconnectivity.microsoft.com de autodiscover testen. Eerste test van het rijtje is domein.tld/autodiscover/autodiscover.xml. Die faalt natuurlijk nog steeds, want wij hebben die xml helemaal niet. Waar het eerst een 404 kreeg, krijgt het met CF een captcha voor z'n kiezen. Tenzij we een page rule maken en 't laten redirecten of cache en security negeren. Krijgen we een normale domme 404 van onze webserver. Lijkt mij iig niet de reden voor falen.
Want, als dat faalt, gaat het zoeken naar autodiscover.domein.tld. En geen idee wat MS heeft, aangezien je het als cname moet maken naar autodiscover.outlook.com, maar alleen port 80 is bereikbaar erop, de rest van de mail poorten en 443 is gesloten.

De laatste stap is de HTTP redirect optie, dat werkt natuurlijk, want poort 80 is open. En die stuurt je door naar autodiscover-s.outlook.com. En dan is 't bal. Kregen we eerst een 401 unauthorized (ergens slikt het de inloggegevens niet, ehm, hoe, waar? Ik zie niet echt iets langskomen intern), kwam er later een 503 server error met iets van basicauthdisabled. Dacht dat dat te maken had met het aanpassen van de autodiscover cname naar autodiscover-s.outlook.com, dus teruggezet naar hoe het hoort en kreeg weer 401 terug. Half uurtje ofzo later weer 503. Ben maar naar huis gegaan, de dag zat er tenslotte ook alweer op.

* Hero of Time weet het niet meer.

@Hero of Time
"Mogelijke oorzaak: van het weekend is de DNS aangepast van onze site,"

Waar verwijst je interne DNS naar toe? omdat jullie de zelfde interne als externe domein gebruiken, moet de interne wel naar de juiste NS babbelen. En staat daar je autodiscover ook goed naar autodiscover.outlook.com ?

En als je outlook gestart hebt, rechtermuisknop op het icoontje in de tray met CTRL in gedrukt houden. Vervolgens automatische email configuratie testen.

Kun je die eens posten?

[ Voor 22% gewijzigd door Renegade666 op 29-07-2019 19:42 ]

Ja, onze interne DNS heeft net als extern een cname voor autodiscover.domein.tld naar autodiscover.outlook.com. De ADFS is logischerwijs anders, maar dat zou niet uit moeten maken aangezien OWA wel gewoon werkt. En vorige week ook toen ik dus dinsdag de ADFS poort had aangepast.

Ik kan gewoon niet achterhalen waar die 401 en 503 vandaan komen. En het meest vervelende is dat ik geen global admin ben op de AAD omgeving. Degene die dat wel heeft, is met vakantie. Die moet ik dan maar bellen. Want wellicht staat er in de audit logs bij de gebruiker iets over de authenticatiefouten. Als autodiscover-s.outlook.com/Autodiscover/Autodiscover.xml daar iig naar kijkt. Je zou verwachten dat het naar je ADFS gaat.

De 503 die ik nu krijg, is dit:

A Web exception occurred because an HTTP 503 - ServiceUnavailable response was received from Unknown.
HTTP Response Headers:
Retry-After: 30
request-id: 662997ad-239d-478c-b5d4-4f714b429f7d
X-CalculatedBETarget: AM6PR02MB4914.eurprd02.prod.outlook.com
X-BackEndHttpStatus: 503
X-RUM-Validated: 1
X-AutoDiscovery-Error: LiveIdBasicAuth:FederatedStsUnreachable:<UserNameHash:-1413597455<RequestId=29821821-78ca-4a14-b549-710cb6876297><UserIpAddressPreFiltering:$IPvanEXO><X-forwarded-for:$IPvanEXO><PTS:False><HRD-Business-0ms-72ms-ppserver=><GetDomainInAD-1ms><ReadOrgConfig-2ms><HRDCached:True><BasicAuthBlockStatus - CannotResolveBasicAuthTenantPolicyId><FederatedSTSFailure>System.Net.WebException: The remote server returned an error: (400) Bad Request.%0d%0a at System.Net.HttpWebRequest.EndGetResponse(IAsyncResult asyncResult)%0d%0a at Microsoft.Exchange.Security.Authentication.FederatedAuthService.FederatedSTS.ProcessResponse(IAsyncResult asyncResult)%0d%0a at Microsoft.Exchange.Security.Authentication.FederatedAuthService.AuthService.ProcessFederatedSTSResponse(IAsyncResult asyncResult)%0d%0a at Microsoft.Exchange.Security.Authentication.FederatedAuthService.AuthService.RequestCallback(IAsyncResult asyncResult)<OfflineSdsOrgID: auth status: LowConfidence>AuthenticatedBy:OfflineOrgId. Error:-11<FEDERATED><UserType:Federated><OfflineOrgIdAuthResult=LowConfidence>;

Geen idee waar dit dus vandaan komt.

@GrasshopperNL hieronder, nee, geen MFA. Daar vond ik ook al wat resultaten over, maar iets wat vrijdag nog werkt en maandag opeens niet meer, is toch wel vreemd te noemen als alleen maar domein.tld naar een andere webserver wijst (en via CF gaat, al heb ik ook zonder hun servers getest en geen verschil).

[ Voor 55% gewijzigd door Hero of Time op 29-07-2019 19:54 ]

Gebruik je toevallig 2FA?
Laatst ook zoiets gehad na het inschakelen van 2FA, en moest in Outlook met app passwords werken.
Simpel te testen door 2FA tijdelijk uit te schakelen

Wat ik mij afvraag, waar gebruik jij je ADFS server voor in combi 365 ?
Als het puur om password sync gaat, dan kan Azure Connect dat ook.

Maar je collega? waarom heeft die alleen Global admin rechten?
Voor een IT afdeling is gewoon een losse admin beschikbaar toch?
Als dat bij ons zo gaat, dan hoef je van niet meer langs te komen van mij. Gegevens in het systeem, anders eigen pakkie aan.

Maar kun je die outlook test eens doen, daar komt een logje uitrollen. Hebben we misschien wat meer aan dan die HTTP redirect die niet nodig is.

Je bedoelt die @HKLM_ had gepost? Die gaf vanochtend nog doodleuk aan dat er niets aan de hand was. Kan 'm wel nog een keer draaien, maar Outlook blijft falen.

We gebruiken Azure AD Sync om mailboxen in Exchange Online aan te maken. ADFS is om te authenticeren. Dat is idd iets wat Azure Connect ook kan.

Voor de global administrator heb ik eigenlijk niet gekeken wat m'n manager in AAD voor rechten heeft. Ik dacht eventjes dat het via AD geregeld kon worden en had mijzelf in de ADSync groep gezet, maar helaas.

@Hero of Time
Nee wat ik mijn post hierboven aangaf:

"En als je outlook gestart hebt, rechtermuisknop op het icoontje in de tray met CTRL in gedrukt houden. Vervolgens automatische email configuratie testen."

Is vanuit outlook zelf.

Kan mij niet voorstellen dat die wel werkt, als een gebruiker niet kan aanmelden.
Maar zou je ADFS er tussen uit kunnen halen als test?
Ben geen expert in ADFS (1x gebruikt voor AFAS koppeling), maar heb idee als hij daarmee authenticeerd, dat het daar mis gaat. Misschien verwijzing naar de oude server?

Probleem is dus dat ik Outlook niet gebruik. Dus toen ik vorige week het op onze RDS had ingesteld als test, ik het profiel daarna weer verwijdert heb. Want waarom houden? En dan zit ik dus nu met een Outlook dat niet in te stellen is. Het blijft maar vragen om credentials, geeft het uiteindelijk een keer op en vraagt dan om alles handmatig in te stellen, want ook de unencrypted poging mislukt. En dan heb je dus geen functionele Outlook om die test te doen.

Op m'n werkplek zelf heb ik Evolution. En die blijft dus ook constant om credentials vragen, die het al heeft opgeslagen en netjes al invult, maar dat heeft dus geen effect. Het faalt constant.

En SaRA geeft doodleuk een groen vinkje bij Autodiscover.

[ Voor 4% gewijzigd door Hero of Time op 29-07-2019 20:21 ]

Er hoeft geen (werkend) profiel ingesteld zijn outlook. Als hij maar opgestart is.

Dat doet het dus niet. Geen Outlook profiel = nieuwe maken = email configureren = niet werken = geen Outlook dat start. En als 't wel 'start", dan komt het met 'kan Outlook niet start. Exchange is bezet'. Klik op OK en weg is Outlook.

Ik heb een vraagje in de hoop dat hier iemand met wat meer Apache expertise rondloopt.

Op mijn werk hosten we een paar publieke websites in Tomcat (op Windows servers) en daar wordt dan een webserver voor gezet om statische content te serveren en loadbalancing (en nog wat zaken) te doen. Wij gebruiken daar Apache 2 en Tomcat Connector (mod_jk) voor.

Met de meeste software zijn we redelijk up to date maar die versie van Tomcat Connector stamt uit 2014. Er komen regelmatig nieuwe versies van Tomcat Connector uit maar er worden alleen voor IIS gecompileerde binaries gepubliceerd. De Apache binary is al sinds 1.2.40 uit 2014 niet meer bijgewerkt en wij zijn daarom op die versie uit 2014 blijven hangen.

Mijn vraag: Zijn er sinds die versie uit 2014 gewoon geen nieuwe issues in de Apache-versie gevonden en kunnen we daarom met een gerust hart die versie blijven gebruiken? Of moet ik me zorgen maken?

Er staat toch vrij duidelijk in je fout dat je ADFS niet bereikbaar is?
LiveIdBasicAuth:FederatedStsUnreachable

STS=ADFS. Je knutselwerk met ADFS op een andere poort (of een gare proxy ervoor?) werkt dus niet.

edit: btw zou ik je aanraden basic auth ook uit te gaan faseren en modern auth te forceren (met 2fa). Dat kan ook icm ADFS (4.0).
https://techcommunity.mic...e-8211-Public/ba-p/608529

En ja, dan werken legacy clients niet meer (geen idee of er MA clients voor Linux zijn?).

[ Voor 45% gewijzigd door wagenveld op 29-07-2019 20:35 ]

Hero of Time schreef op maandag 29 juli 2019 @ 20:25:
Dat doet het dus niet. Geen Outlook profiel = nieuwe maken = email configureren = niet werken = geen Outlook dat start. En als 't wel 'start", dan komt het met 'kan Outlook niet start. Exchange is bezet'. Klik op OK en weg is Outlook.

Dan doe je het niet goed.
Ga naar control panel, mail/email. Nieuw profiel maken zonder account en zorgen dat dat profiel opstart. En vervolgens outlook starten.

@wagenveld
Dat lijkt er idd op. Had die melding niet gezien omdat er later is bij gezet in de post.

@Hero of Time
Heb na het aanpassen van adfs de firewall regels ook goed gezet, verwijzend naar de adfs?

[ Voor 17% gewijzigd door Renegade666 op 29-07-2019 20:32 ]

wagenveld schreef op maandag 29 juli 2019 @ 20:27:
Er staat toch vrij duidelijk in je fout dat je ADFS niet bereikbaar is?
LiveIdBasicAuth:FederatedStsUnreachable

STS=ADFS. Je knutselwerk met ADFS op een andere poort (of een gare proxy ervoor?) werkt dus niet.

Het hele sts domein hebben we niet. Nooit gehad ook vziw. En wat ik kon vinden in al m'n zoeken vandaag, zijn ADFS en STS endpoints net iets anders.

Unreachable is ergens ook logisch, want het resulteert in een 503 en de autodiscover gaat proberen om het SRV record te resolven (wat ook niet werkt, want die hebben we niet, van wat ik las, is dat feitelijk je autodiscover xml erin hebben).

Maar we hebben juist ook nog vaak 401 gehad. Het poogt te authenticeren (bij wat?) maar mislukt.

@Renegade666, draait nu, even geduld. Had eigenlijk al m'n VPN uitgezet en van de RDS afgemeld, maar m'n VM stond nog aan.

---

@downtime, als je echt met die twee op een Windows machine wilt werken, zal je moeten zoeken naar iemand die de binaries heeft gebouwd voor je. Anders zal je het toch zelf moeten doen.
Het alternatief zal je vast niet leuk vinden: draai de boel op Linux.

Ah, dus de STS url is anders, ook van een ander domein dan?

wagenveld schreef op maandag 29 juli 2019 @ 20:38:
Ah, dus de STS url is anders, ook van een ander domein dan?

Onze sts.domein.tld bestaat niet. Dat zei ik al.


@Renegade666, die Outlook test zelf doet hetzelfde als de testconnectivity..., geeft eerst een 401, kom uiteindelijk met 503.

Nu gaat m'n VM uit en ga ik ontspannen. Morgen zien we wel verder.

@Hero of Time
Ok, morgen maar weer kijken.

Wijsheid. Dit is een goed artikel om mee te beginnen, ik ben dan met name benieuwd naar de output van de MSOL cmdlets:
https://support.microsoft...-directory-and-office-365

En voor de handigheid de basic auth flow:
https://docs.microsoft.co...-works-in-exchange-online

Mss nog wat handige tips: https://www.msazureteam.com/?p=591
Met name dus dat je in de RCA de Office 365 Single Sign-On Test het beste kunt gebruiken om het hele pad te simuleren.

[ Voor 10% gewijzigd door wagenveld op 29-07-2019 20:59 ]

Hero of Time schreef op maandag 29 juli 2019 @ 20:25:
Dat doet het dus niet. Geen Outlook profiel = nieuwe maken = email configureren = niet werken = geen Outlook dat start. En als 't wel 'start", dan komt het met 'kan Outlook niet start. Exchange is bezet'. Klik op OK en weg is Outlook.

Kun je een support ticket inschieten bij Office 365 support? Zo ja doet dat even.
Misschien iets raar in de backend

[ Voor 52% gewijzigd door Turdie op 29-07-2019 21:03 ]

wagenveld schreef op maandag 29 juli 2019 @ 20:56:
Wijsheid. Dit is een goed artikel om mee te beginnen, ik ben dan met name benieuwd naar de output van de MSOL cmdlets:
https://support.microsoft...-directory-and-office-365

En voor de handigheid de basic auth flow:
https://docs.microsoft.co...-works-in-exchange-online

Mss nog wat handige tips: https://www.msazureteam.com/?p=591
Met name dus dat je in de RCA de Office 365 Single Sign-On Test het beste kunt gebruiken om het hele pad te simuleren.

Tnx, morgen bekijken. Die cmdlets, moet je global admin zijn voor AAD, of is user/service admin ook voldoende?

shadowman12 schreef op maandag 29 juli 2019 @ 20:56:
[...]

Jullie gebruiken O365 toch? Is Autodiscover wel goed ingeregeld?

Mag ik wel hopen, want anders zou ik toch wat moeite hebben gehad met Evolution configureren en zouden we voor Outlook ook elke keer alle servergegevens handmatig moeten invullen, ipv Outlook starten, inloggen en gaan.

Zonder Autodiscover goed ingeregeld krijg je dit soort fratsen. Of anders even de AppData\Outlook leeg gooien. Is best op te lossen

Die mappen heb ik ook al meermaals bij mijzelf weggegooid.

Maar Outlook op een RDS is een drama, daar hebben we FSLogix voor (nu gratis)

Dat had bij jullie voornamelijk met performance en zoeken te maken toch? De basis functie is geen issue. Hoor ook niemand klagen. Op dit probleem na dan.

Hero of Time schreef op maandag 29 juli 2019 @ 21:03:
[...]

Tnx, morgen bekijken. Die cmdlets, moet je global admin zijn voor AAD, of is user/service admin ook voldoende?


[...]

Mag ik wel hopen, want anders zou ik toch wat moeite hebben gehad met Evolution configureren en zouden we voor Outlook ook elke keer alle servergegevens handmatig moeten invullen, ipv Outlook starten, inloggen en gaan.


[...]

Die mappen heb ik ook al meermaals bij mijzelf weggegooid.


[...]

Dat had bij jullie voornamelijk met performance en zoeken te maken toch? De basis functie is geen issue. Hoor ook niemand klagen. Op dit probleem na dan.

Nee niet alleen performance. Of even een ticket inschieten bij Office 365 support, is toch gratis?

Ticket kan, maar ik weet niet hoe snel ze reageren. Heb berichten gezien van mensen die na een week nog geen degelijke stap verder zijn gekomen maar bij het forum van MS vragen en dan wel de oplossing krijgen.

Global admin volgens mij idd, als je iemand op vakantie moet bellen succes dus

edit: Overigens, ik zat nog even terug te lezen, heb je dit nog steeds aan staan?

Maar dat is als de aanpassing die ik op onze webserver heb gedaan niet werkt. Daar heb ik nu toegevoegd dat als /autodiscover/autodiscover.xml wordt opgevraagd of naartoe wordt gepost, het een 301 geeft een naar de uiteindelijke autodiscover.xml gaat.

Een CNAME naar autodiscover.outlook.com is het enige wat nodig zou moeten zijn (autodiscover-s fixed O365 zelf wel). Dan zou je ook nooit op een webserver on prem uit moeten komen (behalve zoals je al opmerkte omdat Outlook eerst het root domain queried, en bij een fail verder moet gaan. Voor een fail moet die hele autodiscover/autodiscover.xml ook echt niet bestaan, ook niet als placeholder). Heb je dit zowel met interne als externe DNS goed geconfigureerd en getest?
Dat root domain gedrag kun je overigens eruit halen: https://docs.microsoft.co...ted-autodiscover-behavior

[ Voor 85% gewijzigd door wagenveld op 29-07-2019 21:31 ]

Hero of Time schreef op maandag 29 juli 2019 @ 21:06:
Ticket kan, maar ik weet niet hoe snel ze reageren. Heb berichten gezien van mensen die na een week nog geen degelijke stap verder zijn gekomen maar bij het forum van MS vragen en dan wel de oplossing krijgen.

In mijn ervaring best wel, je krijg i.i.g een respons, daar is gewoon een SLA voor binnen de service description.

Wat je nog zou kunnen proberen is het immutable id opnieuw koppelen.

Move your problem account into an OU in Active Directory that does not synchronize
Run a synchronization pass or wait for synchronization to run
Using the following script from TechNet (GUIDtoImmutableID), capture the immutable ID of the account you need.
Connect to Azure AD PowerShell and run the following commands:
$DelUser = Get-MsolUser -UserPrincipalName user@domain.com -ReturnDeletedUsers
Restore-MsolUser -ObjectId $DelUser.ObjectId
Set-MsolUserPrincipalName -NewUserPrincipalName user@domain.onmicrosoft.com -UserPrincipalName user@domain.com
Set-MsolUser -UserPrincipalName user@domain.onmicrosoft.com -ImmutableId (put correct immutableID here)
Set-MsolUserPrincipalName -UserPrincipalName user@domain.onmicrosoft.com -NewUserPrincipalName user@domain.com
Place the account back into a synchronized OU
Run another synchronization pass or wait for the task to automatically run

https://newsignature.com/...nchronization-mismatches/

[ Voor 55% gewijzigd door Turdie op 29-07-2019 21:14 ]

downtime schreef op maandag 29 juli 2019 @ 20:26:
Ik heb een vraagje in de hoop dat hier iemand met wat meer Apache expertise rondloopt.

Op mijn werk hosten we een paar publieke websites in Tomcat (op Windows servers) en daar wordt dan een webserver voor gezet om statische content te serveren en loadbalancing (en nog wat zaken) te doen. Wij gebruiken daar Apache 2 en Tomcat Connector (mod_jk) voor.

Met de meeste software zijn we redelijk up to date maar die versie van Tomcat Connector stamt uit 2014. Er komen regelmatig nieuwe versies van Tomcat Connector uit maar er worden alleen voor IIS gecompileerde binaries gepubliceerd. De Apache binary is al sinds 1.2.40 uit 2014 niet meer bijgewerkt en wij zijn daarom op die versie uit 2014 blijven hangen.

Mijn vraag: Zijn er sinds die versie uit 2014 gewoon geen nieuwe issues in de Apache-versie gevonden en kunnen we daarom met een gerust hart die versie blijven gebruiken? Of moet ik me zorgen maken?

Publieke websites op software uit 2014? Lijkt me slecht nieuws.

Ik zie sws 1.2.46 voor windows.
https://tomcat.apache.org/download-connectors.cgi

http://mirror.serverion.c...tors/jk/binaries/windows/

Overzicht met connector vulnerabilities:
https://tomcat.apache.org/security-jk.html

Hero of Time schreef op maandag 29 juli 2019 @ 20:35:
[...]

@downtime, als je echt met die twee op een Windows machine wilt werken, zal je moeten zoeken naar iemand die de binaries heeft gebouwd voor je. Anders zal je het toch zelf moeten doen.

Als het moet vraag ik wel een developer om het voor mij te compileren maar ik snap niet waarom ze bij Apache wel die Connector onderhouden, testen en compileren voor IIS, maar niet compileren voor Apache. Terwijl er om te testen toch al een gecompileerde versie moet zijn?

Het alternatief zal je vast niet leuk vinden: draai de boel op Linux.

Linux is geen probleem voor mij. Daar hebben we een apart Linux-Unix team voor

Maar dan moet ik wel eerst aan management kunnen uitleggen waarom ik van het spul af wil. En dat vraagt om argumenten die ik nu niet heb.

Donaldinho schreef op maandag 29 juli 2019 @ 21:15:
[...]

Publieke websites op software uit 2014? Lijkt me slecht nieuws.

Daar komt mijn knagende gevoel ook vandaan. Ik wil gewoon weten of ik zo snel mogelijk van die Connector af moet, of dat ik gewoon zelf moet compileren, of dat ik me zorgen maak over niks.

Ik zie sws 1.2.46 voor windows.
https://tomcat.apache.org/download-connectors.cgi

http://mirror.serverion.c...tors/jk/binaries/windows/

Overzicht met connector vulnerabilities:
https://tomcat.apache.org/security-jk.html

Ik weet het. Maar toch wordt er alleen een binary voor de IIS-versie aangeboden en moet je de Apache versie zelf compileren. Waarom? Dat probeer ik te snappen. Waarom compileren ze bij Apache wel de versie voor de concurrent uit Redmond maar niet de versie voor hun eigen webserver?

https://www.apachelounge.com/download./

Hier staan de juiste binaries MAAR het is een niet vertrouwde third party gecompileerde applicatie. Bedenk goed bij wat voor soort bedrijf je werkt en welke risicos je hiermee moet accepteren.

Anders even verdiepen in compileren voor Windows en zelf met gecontroleerde/gesignde Apache.org sourcefiles werken.

wagenveld schreef op maandag 29 juli 2019 @ 21:09:
Global admin volgens mij idd, als je iemand op vakantie moet bellen succes dus

edit: Overigens, ik zat nog even terug te lezen, heb je dit nog steeds aan staan?

[...]

Een CNAME naar autodiscover.outlook.com is het enige wat nodig zou moeten zijn (autodiscover-s fixed O365 zelf wel). Dan zou je ook nooit op een webserver on prem uit moeten komen (behalve zoals je al opmerkte omdat Outlook eerst het root domain queried, en bij een fail verder moet gaan. Voor een fail moet die hele autodiscover/autodiscover.xml ook echt niet bestaan, ook niet als placeholder). Heb je dit zowel met interne als externe DNS goed geconfigureerd en getest?
Dat root domain gedrag kun je overigens eruit halen: https://docs.microsoft.co...ted-autodiscover-behavior

Die redirect is nu niet meer actief. In CF heb ik ook de pagerule verandert van redirect naar bypass en security off, maar een directe 404 geven is beter dan 't op onze webserver laten komen. Die root check kunnen uitzetten is mooi, dat ga ik morgen naar kijken. Scheelt weer een falende stap.

Intern is er alleen een IIS reverse proxy die verkeer naar de externe webserver stuurt. Niets qua autodiscover ingesteld dus, behalve dan de benodigde DNS cname naar autodiscover.outlook.com.

shadowman12 schreef op maandag 29 juli 2019 @ 21:11:
[...]

In mijn ervaring best wel, je krijg i.i.g een respons, daar is gewoon een SLA voor binnen de service description.

Hmm, heb eens op 'create ticket' geklikt in de O365 admin en bij het invullen van m'n vraag kreeg ik niet 'bedankt voor uw ticket' maar hulp pagina's naar voren. Was uiteindelijk niet nodig om een ticket te maken, maar vond 't wel wat apart. Kan als andere dingen niet willen vlotten verder naar kijken.

Wat je nog zou kunnen proberen is het immutable id opnieuw koppelen.

[...]

https://newsignature.com/...nchronization-mismatches/

Klinkt als te veel werk voor een probleem dat er niet is. We hebben geen sync issues en vziw wordt het hele AD gesynct. Er is geen exclusion. Want ook gebruikers in de standaard 'users' container (geen OU dus) staan ook in AAD.

---

downtime schreef op maandag 29 juli 2019 @ 21:27:
[...]

Als het moet vraag ik wel een developer om het voor mij te compileren maar ik snap niet waarom ze bij Apache wel die Connector onderhouden, testen en compileren voor IIS, maar niet compileren voor Apache. Terwijl er om te testen toch al een gecompileerde versie moet zijn?

Wordt er beweert dat de combinatie httpd+tomcat+connector op Windows is getest? Want vziw zijn de binaries voor Apache httpd (de webserver dus) niet direct van de Apache Foundaintion maar een derde partij.

[...]

Linux is geen probleem voor mij. Daar hebben we een apart Linux-Unix team voor

Gelukkig, dan is het makkelijk.

Maar dan moet ik wel eerst aan management kunnen uitleggen waarom ik van het spul af wil. En dat vraagt om argumenten die ik nu niet heb.

Argumenten:
- Sub-optimale opzet;
- Security is niet gegarandeerd;
- Onvoldoende expertise in het team;
- Arbeidsintensief in onderhoud mbt bovenstaande;

Is dit voldoende?

[...]

Daar komt mijn knagende gevoel ook vandaan. Ik wil gewoon weten of ik zo snel mogelijk van die Connector af moet, of dat ik gewoon zelf moet compileren, of dat ik me zorgen maak over niks.

[...]

Ik weet het. Maar toch wordt er alleen een binary voor de IIS-versie aangeboden en moet je de Apache versie zelf compileren. Waarom? Dat probeer ik te snappen. Waarom compileren ze bij Apache wel de versie voor de concurrent uit Redmond maar niet de versie voor hun eigen webserver?

Ze geven een IIS build omdat het op de webserver zelf moet draaien. Veel omgevingen waarbij Apache httpd en Apache Tomcat worden gebruikt, wordt Linux ingezet hiervoor. Het zal mij ook niet verbazen als MS bepaalde eisen heeft en de module digitaal ondertekend. Dan is het niet anders mogelijk dan dat de Apache Foundation deze beschikbaar stelt.

Donaldinho schreef op maandag 29 juli 2019 @ 22:01:
https://www.apachelounge.com/download./

Hier staan de juiste binaries MAAR het is een niet vertrouwde third party gecompileerde applicatie. Bedenk goed bij wat voor soort bedrijf je werkt en welke risicos je hiermee moet accepteren.

Anders even verdiepen in compileren voor Windows en zelf met gecontroleerde/gesignde Apache.org sourcefiles werken.

Thx voor de link. Hier moet ik eens over nadenken.

Hero of Time schreef op maandag 29 juli 2019 @ 22:26:
[...]

Wordt er beweert dat de combinatie httpd+tomcat+connector op Windows is getest? Want vziw zijn de binaries voor Apache httpd (de webserver dus) niet direct van de Apache Foundaintion maar een derde partij.

De binaries komen inderdaad van een derde partij. Maar ik denk dat dat ermee te maken heeft dat er allerlei libraries van derden meegelinkt worden. Kan me voorstellen dat Apache daar geen verantwoordelijkheid voor wil nemen.

Argumenten:
- Sub-optimale opzet;
- Security is niet gegarandeerd;
- Onvoldoende expertise in het team;
- Arbeidsintensief in onderhoud mbt bovenstaande;

Is dit voldoende?

Pick your battles, is het motto. Ik heb al wat zaken op het bord van management gelegd die ik veel belangrijker vind, dus het moet even wachten. Ik zal me even moeten beperken tot zaken die ik zelf kan verbeteren.

Ze geven een IIS build omdat het op de webserver zelf moet draaien. Veel omgevingen waarbij Apache httpd en Apache Tomcat worden gebruikt, wordt Linux ingezet hiervoor. Het zal mij ook niet verbazen als MS bepaalde eisen heeft en de module digitaal ondertekend. Dan is het niet anders mogelijk dan dat de Apache Foundation deze beschikbaar stelt.

Good point. Dat zou het inderdaad kunnen zijn.

Ik krijg bij diverse o365 gebruikers de volgende melding "AADSTS9002313: Invalid request. Request is malformed or invalid" nu zijn er problemen geweest vanmorgen echter krijgen de gebruikers nog steeds deze melding.

Deze stappen heb ik al uitgevoerd maar bieden geen oplossing
https://answers.microsoft...db-45cb-9d0c-ab98afbb9799

https://answers.microsoft...db-45cb-9d0c-ab98afbb9799

Ik ga maar eens een ticket inschieten bij MS , maar alle tips zijn welkom

downtime schreef op maandag 29 juli 2019 @ 23:38:
[...]

Thx voor de link. Hier moet ik eens over nadenken.


[...]

De binaries komen inderdaad van een derde partij. Maar ik denk dat dat ermee te maken heeft dat er allerlei libraries van derden meegelinkt worden. Kan me voorstellen dat Apache daar geen verantwoordelijkheid voor wil nemen.


[...]

Pick your battles, is het motto. Ik heb al wat zaken op het bord van management gelegd die ik veel belangrijker vind, dus het moet even wachten. Ik zal me even moeten beperken tot zaken die ik zelf kan verbeteren.


[...]

Good point. Dat zou het inderdaad kunnen zijn.

Ik kreeg het op mijn vorig werk ook niet uitgelegd en dan heeft management eens een firma laten pentesten.
Daarna kwam het helemaal goed :-).

@Hero of Time

Al weer wat leven in je outlook/autodiscover/adfs etc ?

Hehe, stond op 't punt een update te posten. Maar nope, nog geen voortang. Vanochtend 10x getest met die online connectivity check. Ene keer 503, andere keer 401. En van beide zie ik geen flut langskomen op de HAproxy of login error in de ADFS event viewer.

Ik ga nu de ADFS verhuizen van server, iets wat ik vorige week natuurlijk had moeten doen, maar niet in mij op kwam. We hebben nog een 'loze' 2012R2 VM draaien, op de AD server (uiteraard, waarom ook geen Hyper-V er bij?) die voor onze RDS farm gebruikt wordt als connection broker en license server. Prima kandidaat voor ADFS. Geen gedoe met aparte poort en whatnot. Hopelijk lost dat alles op.

Ben ondertussen wel GA bij AAD.

Ik hoop het ook voor je.

Ben benieuwd.

Hero of Time schreef op dinsdag 30 juli 2019 @ 14:35:
Hehe, stond op 't punt een update te posten. Maar nope, nog geen voortang. Vanochtend 10x getest met die online connectivity check. Ene keer 503, andere keer 401. En van beide zie ik geen flut langskomen op de HAproxy of login error in de ADFS event viewer.

Ik ga nu de ADFS verhuizen van server, iets wat ik vorige week natuurlijk had moeten doen, maar niet in mij op kwam. We hebben nog een 'loze' 2012R2 VM draaien, op de AD server (uiteraard, waarom ook geen Hyper-V er bij?) die voor onze RDS farm gebruikt wordt als connection broker en license server. Prima kandidaat voor ADFS. Geen gedoe met aparte poort en whatnot. Hopelijk lost dat alles op.

Ben ondertussen wel GA bij AAD.

Heb je premium support bij MS, of basic? Indien basic, dan is het beste om aan te geven dat je teruggebeld wilt worden. Daarmee is de kans groter dat je snel wordt benaderd, dan als je aangeeft per e-mail contact te hebben. Ik word meestal binnen paar uur gebeld (niet gezegd dat dan de oplossing er ook is, maar zit er tenminste schot in het ticket).

Wat betreft het Outlook probleem... heb je de mogelijkheid om Outlook buiten het bedrijfsnetwerk om te testen, bijvoorbeeld van thuis uit? (zowel op een domain computer, als privé computer). Loop je dan tegen dezelfde problemen aan? En inloggen in de O365 portal lukt wel? Want dan werkt authentication gewoon goed.
Bij de vorige klant heb ik lokaal helemaal geen Autodiscover records staan, zodat de clients zelf een lookup gaan doen naar het externe autodiscover record. Tenslotte, ik neem aan dat lokaal ook geen scp records meer aanwezig zijn?
Update: Om welke Outlook versie gaat het eigenlijk en is deze volledig gepatched? Want zonder recentere patches kan je ook auth. issues krijgen.

[ Voor 4% gewijzigd door segil op 30-07-2019 15:09 ]

Dit is ultieme wazigheid. Ik heb de eigenschappen van adfs aangepast zodat het weer op de standaard poort van 443 luistert op onze domain controller. De server waar ook IIS draait met reverse proxy naar de site. De netsh http urlacl's ook aangepast zodat het luistert enzo. Herstart de ADFS service een paar keer, o.a. omdat ik ook de primaire heb omgezet naar de andere server en de site blijft intern gewoon werken via de IIS proxy.

Kijk ik bij de HAproxy admin pagina, dan staat de AD server groen, als in, de URL waar het naar kijkt reageert en antwoord. Ik krijg ook de pagina te zien als ik 'm via m'n browsers opvraag.
Het vreemde: als ik bij HAproxy aangeef dat het naar een specifieke string moet zoeken voor de check, dan doet de domain controller het wel, maar de andere server het niet. Terwijl ik exact dezelfde pagina voor m'n neus krijg.
Edit:
Daar is nu ook een verklaring voor: taal. Bij de ene server krijg ik de Engelse versie, bij de andere de Nederlandse. Aaargh!! Maar daar is ook een mouw aan te passen.
/edit

Maar, en dit is echt geweldig, de email werkt weer. Wat een geëtter en gekloot de afgelopen twee dagen. Ik had echt veel eerder aan de andere machine moeten denken, dan had ik dit hele gezeik niet gehad.

[ Voor 7% gewijzigd door Hero of Time op 30-07-2019 15:31 ]

Top

Kun je vannacht weer goed slapen.

Ik zou ook dit even lezen:
https://docs.microsoft.co...ad-fs-requirements#BKMK_3

Maar mooi dat het weer werkt. Tijd om basic auth uit te zetten en PTA te configureren.
https://docs.microsoft.co...damentals/choose-ad-authn

@wagenveld, ik wil het hele interne domein opnieuw op gaan bouwen met een andere naam en Windows Server 2019. Dan ga ik wel kijken naar PTA. Nu heb ik wel wat beters te doen. Namelijk een laptop preppen voor een nieuwe medewerker. Daarna, helpdesk meuk want collega die dat doet is vrij. Gevolgd door inlezen en schrijven van het migratieplan.

Aangezien we momenteel twee AD domeinen hebben met een trust wil ik ook het extra domein kunnen kiezen in MDT. Nu vind ik online veel mogelijkheden om een drop down menu te maken voor de OU maar niet voor het domein.

Heeft iemand hier ervaring mee?

Ik ben bezig met een nieuwe SCOM Gateway Management server aan het inrichten in een untrusted domein, maar als ik de status ophaal met PowerShell zegt ie uninitialized. Het gaat om SCOM 2016. Iemand dit ook wel is meegemaakt? Ik heb eigenlijk alle dingen die op docs.microsoft.com staan al gecheckt.

Opgelost, had zelf een stom foutje gemaakt.

[ Voor 30% gewijzigd door Turdie op 31-07-2019 18:50 ]

Goedemorgen,

Ik ben bezig om Windows Server Hybrid Cloud Print te configureren in onze bestaande omgeving. Dit lijkt volledig gelukt te zijn. Nu is het alleen zo dat ik alleen erg kleine (txt) bestanden kan afdrukken. Wanneer ik grotere bestanden, 0.5MB+, probeer af te drukken geeft de cliënt een bestand kan niet afgedrukt worden foutmelding.

Het vreemde is dat deze foutmelding niet te zien is in de eventlogs op de client, de printserver geeft helemaal geen melding van de niet af te drukken opdracht. Event vieuwer logs, job 11 succesvol afgedrukt, job 12 gefaald.

Heeft iemand hier ervaring mee? Of tips waar ik verder naar kan kijken? Er is erg weinig over online te vinden.

tweakertjee schreef op vrijdag 2 augustus 2019 @ 10:34:
Goedemorgen,

Ik ben bezig om Windows Server Hybrid Cloud Print te configureren in onze bestaande omgeving. Dit lijkt volledig gelukt te zijn. Nu is het alleen zo dat ik alleen erg kleine (txt) bestanden kan afdrukken. Wanneer ik grotere bestanden, 0.5MB+, probeer af te drukken geeft de cliënt een bestand kan niet afgedrukt worden foutmelding.

Het vreemde is dat deze foutmelding niet te zien is in de eventlogs op de client, de printserver geeft helemaal geen melding van de niet af te drukken opdracht. Event vieuwer logs, job 11 succesvol afgedrukt, job 12 gefaald.

Heeft iemand hier ervaring mee? Of tips waar ik verder naar kan kijken? Er is erg weinig over online te vinden.

Zit er geen next-gen firewall tussen die roet in het eten gooit?

Vorkie schreef op vrijdag 2 augustus 2019 @ 10:59:
[...]

Zit er geen next-gen firewall tussen die roet in het eten gooit?

Nee. Daarnaast zou het formaat van de afdrukopdracht hier geen invloed op moeten hebben toch? Kleine bestanden gaan wel goed.

tweakertjee schreef op vrijdag 2 augustus 2019 @ 11:10:
[...]


Nee. Daarnaast zou het formaat van de afdrukopdracht hier geen invloed op moeten hebben toch? Kleine bestanden gaan wel goed.

O jawel hoor :-)

Vergeet niet dat een print van een bestand van een paar MB als SPOOL kan groeien naar >500MB.

This problem is very prominent with printers that support higher resolutions. The size of the raster data increases by four times if the dots-per-inch (dpi) in the file increases by two times. For example, a .pdf file of 1 megabyte (MB) may generate an EMF spool file of 500 MB. Therefore, you may notice that the printing process decreases in performance.

https://superuser.com/que...f-during-printing/1309501

Vorkie schreef op vrijdag 2 augustus 2019 @ 11:13:
[...]

O jawel hoor :-)

Vergeet niet dat een print van een bestand van een paar MB als SPOOL kan groeien naar >500MB.


[...]


https://superuser.com/que...f-during-printing/1309501

Duidelijk, zojuist gecontroleerd. Een simpel MS Wordpad bestand van 4kb groeit tot 780kb. Deze geeft ook een error.
De printopdracht geprobeerd te versturen van meerdere netwerken, enkele ongefilterd. Alle pogingen falen.

Het lijkt erop alsof er vanaf het moment dat de opdracht aankomt bij Azure deze niet goed ontvangen of doorgezet word, maar ik kan hier niets qua logging van vinden.

Ik ben voor het eerst bezig met het opzetten van een Hyper-V Cluster (Ben zelf VMware minded) en ik zit even ergens mee..

ik heb 2 hosts geinstalleerd met Hyper-V Server 2019 (geen gui/ alleen een wannabe command shell in een gui..) echter als ik deze wil beheren via Hyper-V manager kan dit niet.. want die computer zit niet in het domein (er zijn workarounds I know)..

maar nu zit ik te denken wat nou als alles straks draait en mn domein is onbereikbaar moet ik dan eerst wat stappen ondernemen om de workaround te doen dat ik het kan managen (vanaf een andere domein computer) of zijn hier betere oplossing voor?

Ik wil graag in een noodgeval ook nog bij mijn Hyper-V beheer zonder eerst randzaken te moeten doen.. gelijk in het issue duiken dus..

Wat ik me kan bedenken is een laptop klaarleggen die de workaround al heeft.. maar dat is toch dikke onzin?

Grvy schreef op vrijdag 2 augustus 2019 @ 11:32:
Ik ben voor het eerst bezig met het opzetten van een Hyper-V Cluster (Ben zelf VMware minded) en ik zit even ergens mee..

ik heb 2 hosts geinstalleerd met Hyper-V Server 2019 (geen gui/ alleen een wannabe command shell in een gui..) echter als ik deze wil beheren via Hyper-V manager kan dit niet.. want die computer zit niet in het domein (er zijn workarounds I know)..

maar nu zit ik te denken wat nou als alles straks draait en mn domein is onbereikbaar moet ik dan eerst wat stappen ondernemen om de workaround te doen dat ik het kan managen (vanaf een andere domein computer) of zijn hier betere oplossing voor?

Ik wil graag in een noodgeval ook nog bij mijn Hyper-V beheer zonder eerst randzaken te moeten doen.. gelijk in het issue duiken dus..

Wat ik me kan bedenken is een laptop klaarleggen die de workaround al heeft.. maar dat is toch dikke onzin?

Windows doet toch iets met cached credentials als het domein er niet is of gebruik de local admin

@Creep klopt.. maar dat maakt het toch niet minder stupide dat het zo moet? ik heb nu nog geen client pc's uberhaupt en het domein gaat straks virtueel draaien.. hoe verwacht MS dat ik dit dan instel zonder die workaround?

En ik wil niet 'vertrouwen' op een workaround om mn beheer te kunnen doen. Wat nou als de cached creds om wat voor reden dan ook niet werken?

Ja, fysieke DC neerzetten. Ook een best practice.. maar in alle omgevingen waar ik geweest ben (met VMware) was de hypervisor nooit de reden om een fysieke DC neer te zetten en daarbij in deze situatie (MKB) gaan we dat ook niet doen.

ps; weet niet wat je bedoelt met local admin.. maar je kan de local admin van de Hyper-V host gebruiken tot je blauw wordt als je computer niet in het domein zit weigert die.

[ Voor 13% gewijzigd door Grvy op 02-08-2019 12:29 ]

Grvy schreef op vrijdag 2 augustus 2019 @ 11:32:
Ik ben voor het eerst bezig met het opzetten van een Hyper-V Cluster (Ben zelf VMware minded) en ik zit even ergens mee..

ik heb 2 hosts geinstalleerd met Hyper-V Server 2019 (geen gui/ alleen een wannabe command shell in een gui..) echter als ik deze wil beheren via Hyper-V manager kan dit niet.. want die computer zit niet in het domein (er zijn workarounds I know)..

maar nu zit ik te denken wat nou als alles straks draait en mn domein is onbereikbaar moet ik dan eerst wat stappen ondernemen om de workaround te doen dat ik het kan managen (vanaf een andere domein computer) of zijn hier betere oplossing voor?

Ik wil graag in een noodgeval ook nog bij mijn Hyper-V beheer zonder eerst randzaken te moeten doen.. gelijk in het issue duiken dus..

Wat ik me kan bedenken is een laptop klaarleggen die de workaround al heeft.. maar dat is toch dikke onzin?

In Microsoft land zijn je machines eerst een cluster en daarna pas een hypervisor. Dat cluster kan je naar mijn weten ook gewoon in een workgroup opbouwen.

@Appel Oke.. fijn? maar hoe beheer ik mijn hypervisor dan.. leuk dat bij het cluster kan maar ik kan niet bij de Hyper-V manager op dat moment.

Denk dat ik verkeerd begrepen wordt.. stel. je zit in een noodsituatie en moet op je Hypervisor zijn maar je hebt geen enkele domein machine. Dan kun je dus gewoon niks tenzij je eerst tijd steekt in die workaround en met de host file aan de slag gaat etc etc.

Grvy schreef op vrijdag 2 augustus 2019 @ 15:50:
@Appel Oke.. fijn? maar hoe beheer ik mijn hypervisor dan.. leuk dat bij het cluster kan maar ik kan niet bij de Hyper-V manager op dat moment.

Denk dat ik verkeerd begrepen wordt.. stel. je zit in een noodsituatie en moet op je Hypervisor zijn maar je hebt geen enkele domein machine. Dan kun je dus gewoon niks tenzij je eerst tijd steekt in die workaround en met de host file aan de slag gaat etc etc.

Daarom gewoon GUI mee installeren en inloggen via RDP met local admin account. Lijkt mij de kortste route, niet de meest ideale oplossing.

@Creep dan krijg ik weer licentie gezeik en is qua veiligheid minder dan Hyper-V Server 2019. Dus dat is ook ongewenst.

Kom op; MS moet hier toch ook aan gedacht hebben of ben ik nu achterlijk?

Ik heb het idee dat ik iets mis omdat dit de eerste keer is dat ik met Hyper-V werk.. het is een nieuwe omgeving dus ik heb simpelweg op dit moment geen werkstation in het domein (die is er niet.. die ga ik juist daarop bouwen..) maar zelfs al kan ik er nu bij met die workaround lijkt mij dat juist ongewenst in productie..

Ik ping toch even naar @Drardollan en @shadowman12 van hun weet ik dat hun meer met Hyper-V gedaan hebben dan ik ooit in mn leven. Help me out guys

[ Voor 58% gewijzigd door Grvy op 02-08-2019 16:06 ]

Grvy schreef op vrijdag 2 augustus 2019 @ 15:50:
@Appel Oke.. fijn? maar hoe beheer ik mijn hypervisor dan.. leuk dat bij het cluster kan maar ik kan niet bij de Hyper-V manager op dat moment.

Denk dat ik verkeerd begrepen wordt.. stel. je zit in een noodsituatie en moet op je Hypervisor zijn maar je hebt geen enkele domein machine. Dan kun je dus gewoon niks tenzij je eerst tijd steekt in die workaround en met de host file aan de slag gaat etc etc.

Ik heb je probleem inderdaad verkeerd begrepen. Dus mijn reactie is inderdaad niet van toepassing, bedankt dat je me er op wijst.

Grvy schreef op vrijdag 2 augustus 2019 @ 16:03:
@Creep dan krijg ik weer licentie gezeik en is qua veiligheid minder dan Hyper-V Server 2019. Dus dat is ook ongewenst.

Kom op; MS moet hier toch ook aan gedacht hebben of ben ik nu achterlijk?

Ik heb het idee dat ik iets mis omdat dit de eerste keer is dat ik met Hyper-V werk.. het is een nieuwe omgeving dus ik heb simpelweg op dit moment geen werkstation in het domein (die is er niet.. die ga ik juist daarop bouwen..) maar zelfs al kan ik er nu bij met die workaround lijkt mij dat juist ongewenst in productie..

Ik ping toch even naar @Drardollan en @shadowman12 van hun weet ik dat hun meer met Hyper-V gedaan hebben dan ik ooit in mn leven. Help me out guys

Inderdaad laptop in het domein die bij je Hyper-V omgeving kan? Maar waarom wil je dat hebben je hosts geen iLO of DRAC ofzo? Daarmee zou je een omgeving toch weer moet kunnen herstellen als er serieuze shit is?

[ Voor 11% gewijzigd door Turdie op 02-08-2019 16:38 ]

Grvy schreef op vrijdag 2 augustus 2019 @ 16:03:
@Creep dan krijg ik weer licentie gezeik en is qua veiligheid minder dan Hyper-V Server 2019. Dus dat is ook ongewenst.

Kom op; MS moet hier toch ook aan gedacht hebben of ben ik nu achterlijk?

Ik heb het idee dat ik iets mis omdat dit de eerste keer is dat ik met Hyper-V werk.. het is een nieuwe omgeving dus ik heb simpelweg op dit moment geen werkstation in het domein (die is er niet.. die ga ik juist daarop bouwen..) maar zelfs al kan ik er nu bij met die workaround lijkt mij dat juist ongewenst in productie..

Ik ping toch even naar @Drardollan en @shadowman12 van hun weet ik dat hun meer met Hyper-V gedaan hebben dan ik ooit in mn leven. Help me out guys

Ik ben op vakantie, dus sorry als het een beetje kort antwoord is.

Hyper-V Cluster zonder GUI is een ramp, had ik ook in mijn oude cluster. Ik had in dat cluster op de eerste node een DC01 draaien, die dan weer buiten het cluster draaide maar wel op dezelfde storage stond. Als alles plat ging moest ik eerst via RDP op de eerste node inloggen (dit kan zonder GUI) en dan via Powershell bijvoorbeeld start-vm DC01 doen. Als die gestart was dan kwam het cluster netjes in de lucht, RDP naar DC01 om de rest in de lucht te brengen.

Nieuwe cluster heb ik bewust met GUI geïnstalleerd. Scheelt zoveel ellende, kan je gewoon direct bij alle VM’s met een console scherm.

Je kan het beheer via de Failover Manager of Hyper-V manager trouwens toch prima vanaf een werkstation doen? In of buiten het domein zou toch niet veel moeten uitmaken? Toen mijn DC01 een tijdje geleden gecrasht is heb ik vanaf een andere server, buiten het domein, via de Hyper-V Manager de boel weer aan de praat gekregen zonder al teveel moeite. Met de juiste IP nummers en credentials werkt dat prima.

Overigens kan ik je aanraden om minstens 1 DC fysiek of buiten het cluster te hebben. Dat voorkomt ook een hoop gedoe. Zelf heb ik op een losse Hyper-V server een DC en nog een fysieke als bonus.

En nog over je licentie, is het echt een groot probleem? Je moet toch ook guests licenseren, die licentie kan je ook voor de Hyper-V hosts gebruiken. Je kan niet je guests op een losse licentie hebben, je moet altijd alle cores van de host licenseren (per 2 guests).

Veiligheidissues zie ik zo niet 123, op de uitgeklede versie zonder GUI draaien ook nog genoeg services. Het gemak van de GUI in deze is voor mij vele malen groter dan een mogelijk veiligheidsissue. Met of zonder GUI, maandelijks heb je toch nog de nodige updates te verwerken.

[ Voor 17% gewijzigd door Drardollan op 02-08-2019 16:46 ]

Drardollan schreef op vrijdag 2 augustus 2019 @ 16:38:
[...]


Je kan het beheer via de Failover Manager of Hyper-V manager trouwens toch prima vanaf een werkstation doen? In of buiten het domein zou toch niet veel moeten uitmaken? Toen mijn DC01 een tijdje geleden gecrasht is heb ik vanaf een andere server, buiten het domein, via de Hyper-V Manager de boel weer aan de praat gekregen zonder al teveel moeite. Met de juiste IP nummers en credentials werkt dat prima.

Dat gaat dus niet; je moet met host file, winRM aan de gang etc.. zie ook:
https://timothygruber.com...-workgroup-or-non-domain/

Alleen IP en creds is niet genoeg om te verbinden helaas..

Voor de rest; vind ik het (komend vanuit VMware) wellicht gewoon te raar om een GUI te draaien op mijn hypervisor.. voelt gewoon fout. Vandaar dat ik alles via CLI wil doen.. maar als het beheer dan rampzalig wordt..

[ Voor 12% gewijzigd door Grvy op 02-08-2019 17:05 ]

Grvy schreef op vrijdag 2 augustus 2019 @ 17:04:
[...]


Dat gaat dus niet; je moet met host file, winRM aan de gang etc.. zie ook:
https://timothygruber.com...-workgroup-or-non-domain/

Alleen IP en creds is niet genoeg om te verbinden helaas..

Voor de rest; vind ik het (komend vanuit VMware) wellicht gewoon te raar om een GUI te draaien op mijn hypervisor.. voelt gewoon fout. Vandaar dat ik alles via CLI wil doen.. maar als het beheer dan rampzalig wordt..

Waarom zet je Hyper-V server niet gewoon in het domein, of een apart domein voor de Hyper-V omgeving? Dat laaste, zo hebben wij het. Al onze Hyper-V hosts staan in een apart domein, en alles wat er op draait, ongeveer zo'n 1500 VM's hebben ook een apart domein. Owh ja we hebben PureStorage dat is echt top.

[ Voor 15% gewijzigd door Turdie op 02-08-2019 17:12 ]

Grvy schreef op vrijdag 2 augustus 2019 @ 17:04:
[...]


Dat gaat dus niet; je moet met host file, winRM aan de gang etc.. zie ook:
https://timothygruber.com...-workgroup-or-non-domain/

Alleen IP en creds is niet genoeg om te verbinden helaas..

Voor de rest; vind ik het (komend vanuit VMware) wellicht gewoon te raar om een GUI te draaien op mijn hypervisor.. voelt gewoon fout. Vandaar dat ik alles via CLI wil doen.. maar als het beheer dan rampzalig wordt..

Keuzes Ik vind zowel met als zonder GUI Hyper-V eenvoudiger, de command line van VMWare is ook niet alles, eigenlijk verbind je dan ook zo snel mogelijk middels een client toch?

Hosts file heb ik toen niets mee gedaan, maar ik moet wel zeggen dat mijn domein dankzij de fysieke DC gewoon draaide en ik dus een goed werkende DNS e.d. had. Wellicht heb ik het toch op naam gedaan, zoals gezegd ben ik op vakantie ;-)

Windows zonder GUI is bijvoorbeeld voor configuratie van netwerkkaarten ook vervelend, je mist de simpele tooling. Het kan allemaal prima hoor, kwestie van de juiste Powershell commando’s. Maar als je daar niet zoveel in doet, zoals ik, dan is een GUI veel sneller en handiger.

En zoals ik al zei, het veiligheidsaspect is zeker een puntje. Maar je zal genoeg andere Windows servers hebben draaien op je cluster cq. in je domein, die zijn sowieso de sjaak toch? Waarom zou je je dan speciaal druk maken over je Hyper-V hosts?

---

shadowman12 schreef op vrijdag 2 augustus 2019 @ 17:10:
[...]


Waarom zet je Hyper-V server niet gewoon in het domein, of een apart domein voor de Hyper-V omgeving? Dat laaste, zo hebben wij het. Al onze Hyper-V hosts staan in een apart domein, en alles wat er op draait, ongeveer zo'n 1500 VM's hebben ook een apart domein. Owh ja we hebben PureStorage dat is echt top.

In een wat grotere omgeving, die jij beschrijft, is dat uiteraard een optie. Je hebt vast genoeg hardware voor 2 extra fysieke DC’s. Als je zoals mij in een kleine omgeving zit, dan is het geen optie. Je wil geen DC rol op Hyper-V host server, en extra servers voor zoiets kan ik niet verantwoorden.

[ Voor 19% gewijzigd door Drardollan op 02-08-2019 17:15 ]

shadowman12 schreef op vrijdag 2 augustus 2019 @ 17:10:
[...]


Waarom zet je Hyper-V server niet gewoon in het domein, of een apart domein voor de Hyper-V omgeving? Dat laaste, zo hebben wij het. Al onze Hyper-V hosts staan in een apart domein, en alles wat er op draait, ongeveer zo'n 1500 VM's hebben ook een apart domein. Owh ja we hebben PureStorage dat is echt top.

Nieuwe omgeving.. ik heb dus niks en ik wil alles virtueel draaien op de Hyper-V hosts. Er is geen domein om aan te linken..

@Drardollan goede punten.. ik ga nog eens nadenken. Maar alsnog.. ik wil de footprint van mn Hyper-V host gewoon zo klein mogelijk houden.

Nu ik toch bezig ben, qua netwerkkaarten heb ik er 4 tot mijn beschikking hoe zouden jullie die indelen? 1 nic team voor de vSwitch en 1 nic team voor management/failover/vmotion?

[ Voor 11% gewijzigd door Grvy op 02-08-2019 17:17 ]

Grvy schreef op vrijdag 2 augustus 2019 @ 17:15:
[...]


Nieuwe omgeving.. ik heb dus niks en ik wil alles virtueel draaien op de Hyper-V hosts. Er is geen domein om aan te linken..

@Drardollan goede punten.. ik ga nog eens nadenken. Maar alsnog.. ik wil de footprint van mn Hyper-V host gewoon zo klein mogelijk houden.

Nu ik toch bezig ben, qua netwerkkaarten heb ik er 4 tot mijn beschikking hoe zouden jullie die indelen? 1 nic team voor de vSwitch en 1 nic team voor management/failover/vmotion?

In de huidige tijd is die footprint toch niet zo boeiend? 4GB extra geheugen en je hebt je GUI er al uit. Mijn ervaring is dat het tegenwoordig niet zo erg meer is, Windows Server is behoorlijk efficient.

Zonder bestaand domein gaat een cluster je niet lukken met alle functies. Je mist dan Live Migration. Dus sowieso eerst het domein opzetten.

Netwerk zou ik dan inderdaad 2 teams inregelen. 1 team voor normaal netwerkverkeer en 1 team voor de Hyper-V functies als Live Migration en Cluster Communication. Management gewoon op beiden, dat stelt niet zoveel voor.

Drardollan schreef op vrijdag 2 augustus 2019 @ 17:24:
[...]

Zonder bestaand domein gaat een cluster je niet lukken met alle functies. Je mist dan Live Migration. Dus sowieso eerst het domein opzetten.

Daar is een domein voor nodig? Dus als ik mn domein virtueel draai is dit een issue?

Grvy schreef op vrijdag 2 augustus 2019 @ 17:25:
[...]


Daar is een domein voor nodig? Dus als ik mn domein virtueel draai is dit een issue?

In theorie kan dat, dan moet je eerst 1 host inrichten en daarop een guest installeren. Daar domein op installeren en dan je cluster opzetten.

Maar zou ik nooit doen, altijd een losse DC (virtueel of fysiek) op een ander systeem. Je domein cluster is 100 procent afhankelijk van het domein, zonder domein start ie niet eens op. Dus sowieso wil je er 2 hebben, en beide virtueel op dezelfde omgeving is vragen om problemen.

Drardollan schreef op vrijdag 2 augustus 2019 @ 17:32:

Maar zou ik nooit doen, altijd een losse DC (virtueel of fysiek) op een ander systeem.

Ik zou hier altijd 1 fysiek systeem voor houden. Stel dat je alles van 0 moet booten na een power outage oid, dan ga je niet alle catch-22's op willen lossen. Er is vast nog wel ergens ruimte voor tenminste een 1u-pizzadoos.

Freeaqingme schreef op vrijdag 2 augustus 2019 @ 18:22:
[...]


Ik zou hier altijd 1 fysiek systeem voor houden. Stel dat je alles van 0 moet booten na een power outage oid, dan ga je niet alle catch-22's op willen lossen. Er is vast nog wel ergens ruimte voor tenminste een 1u-pizzadoos.

Bij goede hardware kan je er altijd bij denk aan iLO of DRAC ...., en dat kan je gewoon op de console inloggen van je Hyper-V en dan VM's met command line strarten

[ Voor 10% gewijzigd door Turdie op 02-08-2019 18:43 ]

shadowman12 schreef op vrijdag 2 augustus 2019 @ 18:43:
[...]


Bij goede hardware kan je er altijd bij denk aan iLO of DRAC ...., en dat kan je gewoon op de console inloggen van je Hyper-V en dan VM's met command line strarten

Mits die ILO of iDrac natuurlijk ook niet aan je AD server hangt. En je wel moet weten op welke host die vm staat, en niet is gevmotioned naar een andere host. Technisch gezien kan het allemaal wel en kom je er uiteindelijk wel uit, maar vraag is of je 't moet willen.

Ik heb 1 keer een situatie gehad dat een datacenter er om 3AM uitvloog en vervolgens het platform ook vol met dit soort dependencies zat. Uiteindelijk lukt het wel, maar je wilt gewoon niet op zo'n moment je hierover druk willen maken.

Freeaqingme schreef op vrijdag 2 augustus 2019 @ 18:52:
[...]


Mits die ILO of iDrac natuurlijk ook niet aan je AD server hangt. En je wel moet weten op welke host die vm staat, en niet is gevmotioned naar een andere host. Technisch gezien kan het allemaal wel en kom je er uiteindelijk wel uit, maar vraag is of je 't moet willen.

Ik heb 1 keer een situatie gehad dat een datacenter er om 3AM uitvloog en vervolgens het platform ook vol met dit soort dependencies zat. Uiteindelijk lukt het wel, maar je wilt gewoon niet op zo'n moment je hierover druk willen maken.

Volgens mij kun je in Hyper-V een VM vastzetten op een host, dat ie niet naar andere host gaat, als je dat goed documenteert zie ik geen problemen.
https://www.itprotoday.co...ving-certain-host-cluster

Als je echt veel hosts gaat krijgen, zou ik ook wel kijken of je VMM er aan kan knopen, dat maakt het beheer een stuk eenvoudiger. En laat iemand van Inspark ofzo je design even reviewen, ze hebben daar wel wat Hyper-V/VMM toppers rondlopen.

[ Voor 17% gewijzigd door Turdie op 02-08-2019 19:25 ]

shadowman12 schreef op vrijdag 2 augustus 2019 @ 19:19:
[...]


Volgens mij kun je in Hyper-V een VM vastzetten op een host, dat ie niet naar andere host gaat, als je dat goed documenteert zie ik geen problemen.
https://www.itprotoday.co...ving-certain-host-cluster

En waar documenteer je dat? Op een wiki bijvoorbeeld? Die dan ook toevallig net op een vm op dat cluster draait... Het is niet dat ik op zoek ben naar onmogelijkheden, maar die nacht waar ik in m'n bovenstaande post aan refereerde bestond wel uit een aaneenschakeling van dat soort dingen. Als de oplossing vervolgens een simpele is - 1 fysieke doos - die ook weinig maintenance kost dan was dat in ieder geval voor ons een simpele oplossing.

Ik herinner mij nog posts over toen wij nog Hyper-V draaiden en men mij hier het een en ander uitlegde en adviseerde. Live Migration/Motion/whatever vereist geen cluster werd er beweert. Ook het verhuizen van een machine die nog draait met storage en al kon zonder cluster. Moet je wel handmatig starten, het systeem doet dat niet uit zichzelf, maar dat is logisch.

Er kwam ook ter sprake dat een cluster een domein vereist. Geen domein beschikbaar = geen cluster = geen VMs kunnen starten op een eenvoudige manier. Je moet dan door allerlei bochten wringen. Dus je domain controllers op je Hyper-V cluster draaien die het bedient is dan niet zo handig.

@Grvy, je hebt het over je licentie beperkingen, maar heb je er ook aan gedacht dat Windows Server 2019 met Hyper-V rol je geen recht meer geeft om daar bovenop nog twee virtuele instanties te draaien met een enkele licentie? Je zal Windows Hyper-V Server moeten nemen, of wordt er geen Server Standard maar Datacenter gebruikt daar?
Ook nog goed om te weten mbt de licentievoorwaarden van Server 2019. Als je toch beslist om deze te voorzien van de Hyper-V rol, dan mag het officieel geen andere rol hebben. Dus ook geen GUI of AD. Die voorwaarde lijk je wel te weten.

Hero of Time schreef op vrijdag 2 augustus 2019 @ 21:42:
Ik herinner mij nog posts over toen wij nog Hyper-V draaiden en men mij hier het een en ander uitlegde en adviseerde. Live Migration/Motion/whatever vereist geen cluster werd er beweert. Ook het verhuizen van een machine die nog draait met storage en al kon zonder cluster. Moet je wel handmatig starten, het systeem doet dat niet uit zichzelf, maar dat is logisch.

Live Migration vereist een domein cluster. Quick migration is beschikbaar met een workgroup cluster.

De share nothing live migration ken ik enkel in theorie, maar dat zou inderdaad moeten kunnen.

Er kwam ook ter sprake dat een cluster een domein vereist. Geen domein beschikbaar = geen cluster = geen VMs kunnen starten op een eenvoudige manier. Je moet dan door allerlei bochten wringen. Dus je domain controllers op je Hyper-V cluster draaien die het bedient is dan niet zo handig.

Een cluster vereist geen domein, wie dat gezegd heeft had het verkeerd.

Als je een DC draait op je eerste host, buiten het cluster, is het geen enkel probleem. Als je host start, dan start je DC. Het cluster zal dan aansluitend gaan starten, en daarna de servers in je cluster. Dat werkt vlekkeloos, weet ik uit ervaring.

Helaas is er 1 naar ding als je geen GUI hebt, bij mij crashte de DC. Zonder GUI heb je geen console optie, en moet je dus heel moeilijk doen om bij het ding te komen en te fixen. Lukt wel, maar is serieus werk. Dit los je op met een DC elders, fysiek of vritueel. Zolang hij maar niet afhankelijk is van het cluster en domein.

---

Freeaqingme schreef op vrijdag 2 augustus 2019 @ 20:14:
[...]


En waar documenteer je dat? Op een wiki bijvoorbeeld? Die dan ook toevallig net op een vm op dat cluster draait... Het is niet dat ik op zoek ben naar onmogelijkheden, maar die nacht waar ik in m'n bovenstaande post aan refereerde bestond wel uit een aaneenschakeling van dat soort dingen. Als de oplossing vervolgens een simpele is - 1 fysieke doos - die ook weinig maintenance kost dan was dat in ieder geval voor ons een simpele oplossing.

Ik documenteer dit soort zaken in een wiki. Draaiend op 1 van mijn Synology’s. Onafhankelijk van domeinen en dergelijken, de belangrijkste pagina’s (IP nummers vooral) heb ik een PDF van op mijn laptop. Niet altijd recent, maar recent genoeg om de belangrijkste servers te vinden.

---

shadowman12 schreef op vrijdag 2 augustus 2019 @ 19:19:
[...]


Volgens mij kun je in Hyper-V een VM vastzetten op een host, dat ie niet naar andere host gaat, als je dat goed documenteert zie ik geen problemen.

Dan moet je cluster wel draaien, en zonder DC is dat nu net het probleem.

Eenvoudiger is om de DC bestanden (config en disk) op je SAN te prakken waar al je hosts bij kunnen en hem in Hyper-V Manager op een host te koppelen en er dan geen failover resource van te maken. Als in het ergste geval je host ermee stopt dan importeer je de DC simpelweg op een andere host en start je hem op.

---

Freeaqingme schreef op vrijdag 2 augustus 2019 @ 18:52:
[...]


Mits die ILO of iDrac natuurlijk ook niet aan je AD server hangt. En je wel moet weten op welke host die vm staat, en niet is gevmotioned naar een andere host. Technisch gezien kan het allemaal wel en kom je er uiteindelijk wel uit, maar vraag is of je 't moet willen.

Technisch kan je niet een enkele DC in je domein cluster draaien. Kip en ei verhaal, zonder DC geen domein cluster en zonder domein cluster geen DC. De eerste keer opstarten zal nog wel lukken, maar daarna nooit meer. Tenzij je dan de DC uit de failover gehaald krijgt en kan starten op 1 van je hosts.

Ik zou heel ver weg blijven bij dergelijke oplossingen. Het beste is, naar mijn weten, buiten het cluster een onafhankelijke tweede DC draaien.

iLO aan de AD hangen heb ik nog nooit gedaan en verwacht ik ook niet snel te doen ooit, wat is het nut? Je komt er nooit op, en als je er wel op moet dan moet het simpel en snel zijn. Mijn iLO’s hebben allen een eigen wachtwoord, zit in Keepass en kan ik snel pakken indien nodig.

[ Voor 46% gewijzigd door Drardollan op 03-08-2019 10:04 ]

Drardollan schreef op vrijdag 2 augustus 2019 @ 22:33:
[...]

Live Migration vereist een domein cluster. Quick migration is beschikbaar met een workgroup cluster.

De share nothing live migration ken ik enkel in theorie, maar dat zou inderdaad moeten kunnen.


[...]

Een cluster vereist geen domein, wie dat gezegd heeft had het verkeerd.

Als je een DC draait op je eerste host, buiten het cluster, is het geen enkel probleem. Als je host start, dan start je DC. Het cluster zal dan aansluitend gaan starten, en daarna de servers in je cluster. Dat werkt vlekkeloos, weet ik uit ervaring.

Pff; komend van VMWare maakt Hyper-V het wel complexer dan het hoeft te zijn hoor. Dit hele gedoe heb ik mij bij VMWare nog nooit zorgen om moeten maken dat werkt onafhankelijk van dit soort dingen.

Anyhow; Hyper-V is waar ik het mee moet doen nu. Als ik je dus goed begrijp wil je altijd een fysieke DC voor het cluster en niet zozeer Hyper-V. (want clustering = niet Hyper-V in MS wereld..)

Maar hier zeg je; eerste host? bedoel je dan alsnog een hyper-V host of niet? en buiten cluster? hoe moet ik dat zien als ik maar 2 hosts heb en ik maak daar geen cluster van heb ik geen cluster toch?

Grvy schreef op vrijdag 2 augustus 2019 @ 22:47:
[...]


Pff; komend van VMWare maakt Hyper-V het wel complexer dan het hoeft te zijn hoor. Dit hele gedoe heb ik mij bij VMWare nog nooit zorgen om moeten maken dat werkt onafhankelijk van dit soort dingen.

Anyhow; Hyper-V is waar ik het mee moet doen nu. Als ik je dus goed begrijp wil je altijd een fysieke DC voor het cluster en niet zozeer Hyper-V. (want clustering = niet Hyper-V in MS wereld..)

Maar hier zeg je; eerste host? bedoel je dan alsnog een hyper-V host of niet? en buiten cluster? hoe moet ik dat zien als ik maar 2 hosts heb en ik maak daar geen cluster van heb ik geen cluster toch?

Als ik weer VMWare zou moeten doen, dan zou ik eenzelfde probleem hebben haha.

In Microsoft termen hebben we het over Failover Clustering, daarin kan je Hyper-V Virtual Machines hangen. Op de hosts zelf is het nog steeds gewoon de Hyper-V rol en kan je via de Hyper-V Manager gewoon naar de machines die er dan draaien. De Failover Clustering zorgt er enkel voor dat de virtuele machines op de juiste host draaien en indien nodig overschakelen.

Als je dus 2 nodes hebt met een Failover Cluster en Hyper-V dan heb je de boel voor elkaar qua clustering. Als je daar een DC in wil draaien, dan houd je die binnen de Hyper-V rol, maar buiten de Failover Clustering. Heel lastig uitleggen zo via de iPad, sorry.

Een tweede DC is wat mij betreft een eis ja. Op andere hardware, maar niet perse fysiek. In mijn geval heb ik nog een Hyper-V server met wat machines draaien die niet in het domein zitten, daarop draai ik een tweede DC. Maar je kan ook kiezen voor een fysieke bak, als je er nog 1 over hebt of budget genoeg hebt.

Drardollan schreef op vrijdag 2 augustus 2019 @ 22:33:


[...]

Technisch kan je niet een enkele DC in je domein cluster draaien. Kip en ei verhaal, zonder DC geen cluster en zonder cluster geen DC. De eerste keer opstarten zal nog wel lukken, maar daarna nooit meer. Tenzij je dan de DC uit de failover gehaald krijgt en kan starten op 1 van je hosts.

Ik zou heel ver weg blijven bij dergelijke oplossingen. Het beste is, naar mijn weten, buiten het cluster een onafhankelijke tweede DC draaien.

iLO aan de AD hangen heb ik nog nooit gedaan en verwacht ik ook niet snel te doen ooit, wat is het nut? Je komt er nooit op, en als je er wel op moet dan moet het simpel en snel zijn. Mijn iLO’s hebben allen een eigen wachtwoord, zit in Keepass en kan ik snel pakken indien nodig.

Dan zet je 2 pizzadozen neer?

Overigens geen ervaring mee. In mijn geval ging het niet om HyperV of Vmware, maar wel om een groot VPS platform waarbij een deel van de software die dat platform managede op datzelfde platform draaide. Vanuit dat perspectief reageerde ik dat zo'n recursieve dependency verminderd handig is.

Drardollan schreef op vrijdag 2 augustus 2019 @ 22:33:
[...]

Een cluster vereist geen domein, wie dat gezegd heeft had het verkeerd.

Ok, dan heb jij het verkeerd:

[...]

Kip en ei verhaal, zonder DC geen cluster en zonder cluster geen DC.

Je herhaalt hiermee wat ik net zei en jij beweert dat dat niet klopt.

Hero of Time schreef op vrijdag 2 augustus 2019 @ 23:25:
[...]

Ok, dan heb jij het verkeerd:

[...]

Je herhaalt hiermee wat ik net zei en jij beweert dat dat niet klopt.

Doe even volwassen, je moet mijn opmerking niet uit zijn verband gaan trekken. De context van mijn post was duidelijk een domein cluster in dit geval, daar ging het namelijk over. Maar ik heb het aangepast hoor, dan is al je onduidelijkheid opgelost.

---

Freeaqingme schreef op vrijdag 2 augustus 2019 @ 22:58:
[...]


Dan zet je 2 pizzadozen neer?

Overigens geen ervaring mee. In mijn geval ging het niet om HyperV of Vmware, maar wel om een groot VPS platform waarbij een deel van de software die dat platform managede op datzelfde platform draaide. Vanuit dat perspectief reageerde ik dat zo'n recursieve dependency verminderd handig is.

Niet elk bedrijf heeft budget om 2 pizzadozen van enkele duizenden euro’s neer te zetten. Helaas.

---

Hero of Time schreef op vrijdag 2 augustus 2019 @ 21:42:
@Grvy, je hebt het over je licentie beperkingen, maar heb je er ook aan gedacht dat Windows Server 2019 met Hyper-V rol je geen recht meer geeft om daar bovenop nog twee virtuele instanties te draaien met een enkele licentie? Je zal Windows Hyper-V Server moeten nemen, of wordt er geen Server Standard maar Datacenter gebruikt daar?

Bron? Naar mijn weten, inclusief 3 licentieverkopers, mag je met Standard gewoon de Hyper-V Rol op je host draaien (al dan niet gecombineerd met een domein of werkgroep cluster) en dan 2 virtuele OSE’s. Allemaal binnen dezelfde licentie.

Ook nog goed om te weten mbt de licentievoorwaarden van Server 2019. Als je toch beslist om deze te voorzien van de Hyper-V rol, dan mag het officieel geen andere rol hebben. Dus ook geen GUI of AD. Die voorwaarde lijk je wel te weten.

Heb je hiervoor ook een bron?
Volgens mij wordt er namelijk nergens officieel verboden om een GUI of AD rol te installeren naast de Hyper-V rol.

Haal je niet per ongelukt Best Practices en Licentievoorwaarden door elkaar? Of Windows Server 2019 Hyper-V editie en de Standard editie?

[ Voor 80% gewijzigd door Drardollan op 03-08-2019 10:27 ]

Grvy schreef op vrijdag 2 augustus 2019 @ 22:47:
[...]


Pff; komend van VMWare maakt Hyper-V het wel complexer dan het hoeft te zijn hoor. Dit hele gedoe heb ik mij bij VMWare nog nooit zorgen om moeten maken dat werkt onafhankelijk van dit soort dingen.

Anyhow; Hyper-V is waar ik het mee moet doen nu. Als ik je dus goed begrijp wil je altijd een fysieke DC voor het cluster en niet zozeer Hyper-V. (want clustering = niet Hyper-V in MS wereld..)

Maar hier zeg je; eerste host? bedoel je dan alsnog een hyper-V host of niet? en buiten cluster? hoe moet ik dat zien als ik maar 2 hosts heb en ik maak daar geen cluster van heb ik geen cluster toch?

Sorry als je het al gezegt hebt maar dan heb ik er in heel het verhaal overheen gelezen misschien.

Is jouw plan om twee standalone hyper-v host te maken en daar al je vm's op te knikkeren of wil je juist wel een cluster?

Als je voor standalone kiest zou je ook nog hyper-v replica kunnen overwegen. Dan zet je alle vm's op host A en repliceer je ze iedere (30 seconden, 5 minuten of 15 minuten) naar je host B. Replica kan ook gewoon tcp/ip failover meenemen dus mocht host A dan down gaan hoef je alleen de vm's op host B te starten.

* HKLM_ is fan van hyper-v replica nu we het op werk gebruiken i.c.m onze clusters.

Hoe kun je in WSUS ook alweer zoeken of een specifieke KB is geinstalleerd wel/niet?

shadowman12 schreef op donderdag 8 augustus 2019 @ 08:36:
Hoe kun je in WSUS ook alweer zoeken of een specifieke KB is geinstalleerd wel/niet?

In je console heb je aan de rechterkant een Search knop. Daar het kb nummer invoeren en verder klikken.

HKLM_ schreef op donderdag 8 augustus 2019 @ 09:04:
[...]


In je console heb je aan de rechterkant een Search knop. Daar het kb nummer invoeren en verder klikken.

Maar dan zie je niet per machine of de update wel/niet geinstalleerd is.

Equator schreef op donderdag 8 augustus 2019 @ 09:10:
[...]

Dat is toch sowieso de limitatie van WSUS? Het is client-driven. Wil je overzicht moet je volgens mij kijken naar SCCM.

Volgens mij moet je daar wel een rapportje van kunnen trekken...

pistole schreef op donderdag 8 augustus 2019 @ 17:50:
[...]

Volgens mij moet je daar wel een rapportje van kunnen trekken...

Nope beide standaard rapporten laten niet per computer zien of een KB wel/niet geinstalleerd is.

shadowman12 schreef op donderdag 8 augustus 2019 @ 08:36:
Hoe kun je in WSUS ook alweer zoeken of een specifieke KB is geinstalleerd wel/niet?

Heb je geen inventarisatie tool beschikbaar? Powershell script aan je GPO toevoegen wat de check voor je kan doen en, indien aanwezig, een tekst bestandje op een share laten zetten ? Of gelijk een wusa.exe laten uitvoeren om een update te verwijderen (indien nodig...)

[ Voor 9% gewijzigd door nextware op 08-08-2019 18:30 ]

nextware schreef op donderdag 8 augustus 2019 @ 18:29:
[...]


Heb je geen inventarisatie tool beschikbaar? Powershell script aan je GPO toevoegen wat de check voor je kan doen en, indien aanwezig, een tekst bestandje op een share laten zetten ? Of gelijk een wusa.exe laten uitvoeren om een update te verwijderen (indien nodig...)

We hebben 1500 servers over 6 niet getruste domeinen, enige tool die we hebben is Automation Manager. WSUS is bij ons de enige die alle machines heeft, vanwege licenties zit niet alles in AM enzovoorts. Ik zag wel een building block voor AM maar die is gericht op meteen installeren, en dat willen we nog niet. We willen eerst weten welke servers de July spectre patch wel en niet geinstalleerd hebben.

[ Voor 22% gewijzigd door Turdie op 08-08-2019 18:35 ]

shadowman12 schreef op donderdag 8 augustus 2019 @ 18:33:
[...]


We hebben 1500 servers over 6 niet getruste domeinen, enige tool die we hebben is Automation Manager. WSUS is bij ons de enige die alle machines heeft, vanwege licenties zit niet alles in AM enzovoorts. Ik zag wel een building block voor AM maar die is gericht op meteen installeren, en dat willen we nog niet. We willen eerst weten welke servers de July spectre patch wel en niet geinstalleerd hebben.

Dan per domein een GPO aanmaken die de check uitvoert ?
Stukje administratie, maar ik vermoed dat het daarmee wel moet lukken..

Kan je niet met WSUS een KB bekijken en eruit halen welke servers hiervoor in aanmerking komen? Dacht dat wel gezien te hebben op m'n vorige werk, maar zo diep zat ik er nou ook weer niet in.

Hero of Time schreef op donderdag 8 augustus 2019 @ 19:04:
Kan je niet met WSUS een KB bekijken en eruit halen welke servers hiervoor in aanmerking komen? Dacht dat wel gezien te hebben op m'n vorige werk, maar zo diep zat ik er nou ook weer niet in.

Nee al geprobeerd

shadowman12 schreef op donderdag 8 augustus 2019 @ 18:33:
[...]


We hebben 1500 servers over 6 niet getruste domeinen, enige tool die we hebben is Automation Manager. WSUS is bij ons de enige die alle machines heeft, vanwege licenties zit niet alles in AM enzovoorts. Ik zag wel een building block voor AM maar die is gericht op meteen installeren, en dat willen we nog niet. We willen eerst weten welke servers de July spectre patch wel en niet geinstalleerd hebben.

Jaa dat lijkt mij ook wel een lastig iets.
Ik zou met pdqinventory aan de slag gaan, die kan prima overweg met totaal lostaande domeinen.
Met de nieuwe pdqinventory die nog moet uitkomen, komen ze ook met een powershell scanner dus daarmee kan je zelf je scans bouwen.
Ik ken jouw omgeving natuurlijk niet, ik heb niet eens 1500 clients laat staan servers maar pdqinventory is de tool die ik hiervoor zou gebruiken.

shadowman12 schreef op donderdag 8 augustus 2019 @ 18:33:
[...]


We hebben 1500 servers over 6 niet getruste domeinen, enige tool die we hebben is Automation Manager. WSUS is bij ons de enige die alle machines heeft, vanwege licenties zit niet alles in AM enzovoorts. Ik zag wel een building block voor AM maar die is gericht op meteen installeren, en dat willen we nog niet. We willen eerst weten welke servers de July spectre patch wel en niet geinstalleerd hebben.

Kan je niet een powershell script maken welke checkt welke updates er zijn en een actie wegschrijft als deze aanwezig is?

HKLM_ schreef op donderdag 8 augustus 2019 @ 20:26:
[...]


Kan je niet een powershell script maken welke checkt welke updates er zijn en een actie wegschrijft als deze aanwezig is?

Ja daar ben ik naar het kijken hoe ik dat kan doen met Ivanti Automation, maar Ivanti PowerShell scripts is lastiger dan een normaal script. Maar deze spectre update heeft vier verschillende KB nummers wat het ook heel leuk maakt.

In wsus de kb in de lijst updates opzoeken (niet de search gebruiken) en dan je column view aanpassen zodat je ziet waar de update needed is. Vervolgens kun je onderin het scherm op de link klikken voor de needed computers en dan krijg je de lijst te zien. En als je dan toch bezig bent gelijk die view op heel de wsus console doorvoeren.

Muggie schreef op donderdag 8 augustus 2019 @ 20:34:
In wsus de kb in de lijst updates opzoeken (niet de search gebruiken) en dan je column view aanpassen zodat je ziet waar de update needed is. Vervolgens kun je onderin het scherm op de link klikken voor de needed computers en dan krijg je de lijst te zien. En als je dan toch bezig bent gelijk die view op heel de wsus console doorvoeren.

Ja dat zag ik ook voorbijkomen, maar daar werd ik niet veel wijzer uit.

Wat wordt je dat niet wijzer van dan? Afhankelijk van hoe je instellingen zijn voor het opvragen van updates door de clients staat daar volgens mij precies wat je wilt weten.

Als die instellingen bijvoorbeeld zijn dat in de nacht om drie uur opgevraagd wordt dan wacht je twee dagen voor de zekerheid en dan heb je de info die je wilt. Of begrijp ik je vraag verkeerd?

Muggie schreef op donderdag 8 augustus 2019 @ 20:42:
Wat wordt je dat niet wijzer van dan? Afhankelijk van hoe je instellingen zijn voor het opvragen van updates door de clients staat daar volgens mij precies wat je wilt weten.

Als die instellingen bijvoorbeeld zijn dat in de nacht om drie uur opgevraagd wordt dan wacht je twee dagen voor de zekerheid en dan heb je de info die je wilt. Of begrijp ik je vraag verkeerd?

Thanks dat is hem, ik had veel voor meer pagina's even over het hoofd gezien

[ Voor 5% gewijzigd door Turdie op 08-08-2019 20:45 ]

shadowman12 schreef op donderdag 8 augustus 2019 @ 20:45:
[...]


Thanks dat is hem, ik had veel voor meer pagina's even over het hoofd gezien

Oh dat ja, vanaf pagina twee staat de info

Muggie schreef op donderdag 8 augustus 2019 @ 20:34:
In wsus de kb in de lijst updates opzoeken (niet de search gebruiken) en dan je column view aanpassen zodat je ziet waar de update needed is. Vervolgens kun je onderin het scherm op de link klikken voor de needed computers en dan krijg je de lijst te zien. En als je dan toch bezig bent gelijk die view op heel de wsus console doorvoeren.

Dat is wat ik zo'n beetje bedoelde. Ik wist dat ik het ergens tegen was gekomen, maar waar het zat, geen flauw idee, want wsus noob. Maar dat het naar voren te halen was, wist ik wel. Althans, dat had ik wel verwacht. Had het anders echt absurd gevonden als je zoiets niet eens naar voren zou kunnen halen.

Omdat ik komende week met een rack aan de slag ga ben ik op zoek naar G-moeren. Deze zijn voor rackrails met ronde gaatjes. Dus niet de welbekende koolmoeren.

Helaas is het geen serverrack voor computerdoeleinden maar het wordt een rack met licht en geluidsapparatuur er in. De racks die daarvoor zijn aangeschaft komen wel uit een datacenter.

Het gaat om dit type moeren:


Als ik eerst een stuk of 100-150 heb heb ik voldoende. Bij Megekko kan ik ze vinden maar kosten ze €1 per stuk. Dat is een beetje te veel van het goede lijkt mij. Wanneer iemand mij de goede richting op kan sturen is dat zeer welkom.

sypie schreef op maandag 12 augustus 2019 @ 11:56:


Als ik eerst een stuk of 100-150 heb heb ik voldoende. Bij Megekko kan ik ze vinden maar kosten ze €1 per stuk. Dat is een beetje te veel van het goede lijkt mij. Wanneer iemand mij de goede richting op kan sturen is dat zeer welkom.

Bel eens naar Intronics ?

Ga je er wel servers in hangen? Let dan ook op de afmetingen van de racks, ik heb weleens racks gezien voor niet server doeleinden die niet diep genoeg waren voor server en bekabeling aan de achterkant.

Muggie schreef op maandag 12 augustus 2019 @ 16:21:
Ga je er wel servers in hangen?

Er hebben servers in gehangen. Kasten zijn ook behoorlijk diep, met deuren aan beide kanten. Voor dat wat er in gaat komen zou de kast wel door midden kunnen, bij wijze van. Geluid en licht apparatuur is over het algemeen niet zo heel diep. Wel hoog, zeker wanneer je de échte stageboxen hebt die 10HE zijn en waar meer netwerkaansluitingen op zitten dan op de gemiddelde server.

@nextware Zal ze morgen even een belletje doen. Kijken wat ze hebben. Enige wat ik met mijn domme hoofd niet weet is de diameter van de gaatjes die er in zitten.

[ Voor 13% gewijzigd door sypie op 12-08-2019 18:14 ]