Het grote kleine-SysOps-vragen topic deel 1

Hero of Time schreef op maandag 29 juni 2020 @ 18:10:
[...]

Het is al meerdere keren hier gezegd.

De eerste paar dingen die ik heb, is allemaal group based toepassen (momenteel nog alleen printers). Er is maar 1 met ILT: drive mappings. 1 GPO en in die mapping kijk ik naar de groep. Of ik maak per schijf een GPO, maar dat lijkt mij dan weer niet zo handig ivm performance, of boeit dat dan weer niet daar voor? Plus, met de schijfmappings via GPP en ILT behoud je wel een overzicht welke letter al is toegekend en hoef je niet telkens de documentatie er bij te pakken als er eentje bij komt. Of ik zet de letter natuurlijk in de naam van de GPO.

Voor die drive mappings had ik eerder al eens gekeken wat het beste was en dat was GPP met ILT.

asing schreef op maandag 29 juni 2020 @ 18:59:

En nu ga ik 25 jaar terug in de tijd, dit leren de jonkies niet eens meer . doe jezelf een enorm plezier en gebruik het AGLP principe. Als je niet weet hoe dat werkt moet je even zoeken. Het is standaard leervoer bij Windows NT / 2000 , en het is even meer werk maar het bespaart je bergen hoofdpijn. Groepje toevoegen aan een map en vervolgens worden alle ACLs even opnieuw gezet? Dat is dan klaar. Dat gaat je niet overkomen met AGLP.

[ Voor 60% gewijzigd door Turdie op 29-06-2020 19:09 ]

shadowman12 schreef op maandag 29 juni 2020 @ 19:04:
[...]


AGLP klopt niet helemaal he, het is officieel AGDLP(account, global, domain local, permission)
Als ik de recente MCSA/MCSE cursussen bekijk zit het er nog steeds in....

asing schreef op maandag 29 juni 2020 @ 19:26:
[...]


Mijn leraar had altijd een ezelsbruggetje : All Guys Love Pamela. Die van Baywatch ja . Maar we bedoelen hetzelfde. Ik had 2 jaar geleden ook een greenfield fileserver en ik heb een woesternij aan mapjes, rechten en drive letters terug gebracht tot 1 schijfletter voor iedereen, rechten via AGDLP en overal even goed de stofkam doorhalen want degenen die het hadden gebouwd hadden de cursus niet gedaan .

2 jaar later moet ik naar 3 fileservers toe, heb ik netjes alles in DFS gestopt en doe ik de rest weer precies zoals toen. Het recept is inmiddels beproefd en het werk snel, goed en duidelijk.

shadowman12 schreef op maandag 29 juni 2020 @ 19:38:
[...]


Ik had altijd het volgende ezelsbruggetje:
All Guys Do Love Pamela

Hero of Time schreef op maandag 29 juni 2020 @ 20:29:
[...]

We hebben nu 1 schijfletter met alle afdelingen in aparte mappen erin. Maar de rechten zijn niet fatsoenlijk afgeschermd, de ene afdeling kan bij de andere tenzij we dat specifiek hebben ingesteld. Om die reden dacht ik aan een schijfletter per afdeling.


[...]

Dat is hoe het nu dus is. Zo zien we niet standaard de mappen voor ICT, Sales en Finance. Maar je kan wel zo bij anderen er in. De toekomst blijft het bij 1 fileserver.

Het 'Access Based Enumeration' zou ook op een Synology moeten kunnen, toch? Want dan kan ik idd de schijfletters houden zoals het nu is, ipv opgedeeld in F t/m S momenteel (met een paar vrije letters er tussen). Iets om uit te zoeken morgen. Er is wel iets van een optie bij de shares mogelijk, maar de uitwerking heb ik nog niet getest. Ik dacht dat 't de zichtbaarheid was als je de server zelf benadert ipv de mappen in een share.


[...]

Ga ik eens uitzoeken.


[...]

Er zal altijd wel iets zijn waar mensen collaboratief mee wil zijn. Momenteel is dat nog niet het geval en eigenlijk hoop ik ook dat dat zo blijft. Maar als het komt zal het wel een aparte map worden waar de bestaande groepen voor drive mappings samen komen.


[...]

We hebben nu idd een doorgeefmap. Op m'n vorige werk hadden we die ook en elke maand werd het naar een 'oud' mapje verplaatst die bij de volgende cycle eerst werd weggegooid. Nu is het handmatig opruimen en hebben we een paar maanden geleden de boel geruimd.

Het principe is goed, het automatisch opruimen moet ik dan nog maken. Mijn grootste uitdaging is hoe ik dit fatsoenlijk op een Synology ga doen. Aan de andere kant, het kent de 'speciale' gebruiker 'creator owner'. Iedereen schrijfrechten geven op elke gebruikersmap, maar ook echt alleen de hoofdmap. En creator/owner full control evenals de gebruiker zelf. Dat zou het in principe moeten doen. Maar dit kan ik pas opzetten als de gebruikers gemigreerd zijn, anders heb ik de juiste gebruiker niet voor de rechten.

Hero of Time schreef op maandag 29 juni 2020 @ 20:29:
[...]

We hebben nu 1 schijfletter met alle afdelingen in aparte mappen erin. Maar de rechten zijn niet fatsoenlijk afgeschermd, de ene afdeling kan bij de andere tenzij we dat specifiek hebben ingesteld. Om die reden dacht ik aan een schijfletter per afdeling.

Dat is hoe het nu dus is. Zo zien we niet standaard de mappen voor ICT, Sales en Finance. Maar je kan wel zo bij anderen er in. De toekomst blijft het bij 1 fileserver.

Het 'Access Based Enumeration' zou ook op een Synology moeten kunnen, toch? Want dan kan ik idd de schijfletters houden zoals het nu is, ipv opgedeeld in F t/m S momenteel (met een paar vrije letters er tussen). Iets om uit te zoeken morgen. Er is wel iets van een optie bij de shares mogelijk, maar de uitwerking heb ik nog niet getest. Ik dacht dat 't de zichtbaarheid was als je de server zelf benadert ipv de mappen in een share.

1
2

hide unreadable = yes
hide unwriteable files = yes

Ga ik eens uitzoeken.

[...]

Er zal altijd wel iets zijn waar mensen collaboratief mee wil zijn. Momenteel is dat nog niet het geval en eigenlijk hoop ik ook dat dat zo blijft. Maar als het komt zal het wel een aparte map worden waar de bestaande groepen voor drive mappings samen komen.

We hebben nu idd een doorgeefmap. Op m'n vorige werk hadden we die ook en elke maand werd het naar een 'oud' mapje verplaatst die bij de volgende cycle eerst werd weggegooid. Nu is het handmatig opruimen en hebben we een paar maanden geleden de boel geruimd.

Het principe is goed, het automatisch opruimen moet ik dan nog maken. Mijn grootste uitdaging is hoe ik dit fatsoenlijk op een Synology ga doen. Aan de andere kant, het kent de 'speciale' gebruiker 'creator owner'. Iedereen schrijfrechten geven op elke gebruikersmap, maar ook echt alleen de hoofdmap. En creator/owner full control evenals de gebruiker zelf. Dat zou het in principe moeten doen. Maar dit kan ik pas opzetten als de gebruikers gemigreerd zijn, anders heb ik de juiste gebruiker niet voor de rechten.

asing schreef op maandag 29 juni 2020 @ 20:58:
[...]


Dat moet je niet willen denk ik. Dan krijg je wildgroei. Een map per afdeling, iedereen dezelfde letter. Hoe je dat doet leg ik verderop uit.


[...]

Dat wil je voorkomen. Als je ergens niet bij hoeft/moet, dan moet je het ook niet zien. In het allerergste geval krijg je een cryptolocker binnen. Dan kan die in principe alleen dat versleutelen waar de gebruiker rechten heeft. Elevation uitgezonderd, maar dat is een ander topic.

[...]

Hoooo wacht, jij gaat een hele andere kant op . Ik ging uit van een Windows File Server, niet van een Syno met Samba .

Samba schijnt het ook te kunnen :

code:

1 2	hide unreadable = yes hide unwriteable files = yes

Ik weet niet of je daar gelukkig van wordt. Samba heeft onder water een limiet qua group nesting, waardoor het ineens heel gek gaat doen.

Een andere optie is een Windows fileserver maken, en daar via iSCSI een LUN van de Syno aan hangen. Ik kan erg diep gaan over de mogelijkheden maar maar eerst eens een keuze .


[...]

Het principe is heel simpel. Stel F: is je drive met data.

DL_F_Sales_R - Domain local group met leesrechten op Sales
DL_F_Sales_M - Domain local group met schrijfrechten op Sales

Die 2 groepen zet je op de map sales. Zet inheritance even uit en haal users uit de lijst. De rest (Creator Owner, System, Admin) laat je lekker staan.

Vervolgens heb je de Global Group Sales met alle Sales mensen. Die Global group maak je lid van DL_F_Sales_M. Als er iemand leesrechten moet hebben, dan voeg je die toe aan DL_F_Sales_R. Je zet NOOIT personen direct in de ACL van een map. Ook geen Global group. Dat zorgt er namelijk voor dat je een uur kan zitten duimen draaien om te wachten tot Explorer klaar is.

Verder, als je nu met robocopy de data kopieert naar de nieuwe locatie, dan staan de rechten meteen ook goed.


[...]

Kan je vergeten. Mensen werken samen en willen dingen delen. Ik heb daar iets van 15-20 mappen in staan. Alles met een bepaald doel.

[...]


PowahShell.

En serieus : ik zou overwegen om een LUN via iSCSI aan te bieden. Dat maakt je leven zoveel makkelijker. Gebruikers merken er niks van dat het over het net gaat, er kan gewoon een virusscanner op en "normale" backup software.

Je kan ook de LUN aan je ESXi hangen en een virtuele server draaien met een VMDK op die LUN.

Grvy schreef op maandag 29 juni 2020 @ 22:39:
@asing HoT wilt waarschijnlijk zo min mogelijk VM's draaien om wat meer flexibiliteit te hebben vandaar de keuze om de Synology het te laten doen en geen extra laag te bouwen.

Het is geen keuze waar ik het mee eens ben overigens, maar het is denk ik wel de redenatie en er valt wat voor te zeggen.

asing schreef op maandag 29 juni 2020 @ 18:59:
[...]


Ik weet dat er lezers zijn die graag zelf puzzelen en proberen, maar in dit geval ga ik even je wereld verbreden .

Ik ken het gedoe met schijfletters, je wordt er werkelijk onpasselijk van als je bedenkt dat het alfabet te kort is voor wat je wilt . En dat drive X bij Finance weer iets anders is dan X bij inkoop, waar Y weer naar Finance gaat. One ... Big .... Mess....

Dus doe jezelf een plezier , en doe het goed. In 1 keer . Dit is je kans!

Als eerste : hoeveel fileservers denk je te hebben? Is er één server met alles of staat je data verspreid over meerdere servers?

Als het er eentje is, is het heel eenvoudig.Maak een share en gebruik "Access Based Enumeration" zodat gebruikers de mappen niet zien waar ze niet bij kunnen. Map de share vervolgens via een GPO en iedereen heeft dezelfde letter met die data die nodig is.

Zijn het er meer, zet dan AD integrated DFS in. Vervolgens maak je in de DFS targets aan die naar de gewenste data gaan. Via de eigenschappen van de target in DFS kan je bepalen welke groep de map ziet. Ook hier, map de schijf naar de DFS root en iedereen heeft dezelfde letter met relevante data.

En nu ga ik 25 jaar terug in de tijd, dit leren de jonkies niet eens meer . doe jezelf een enorm plezier en gebruik het AGLP principe. Als je niet weet hoe dat werkt moet je even zoeken. Het is standaard leervoer bij Windows NT / 2000 , en het is even meer werk maar het bespaart je bergen hoofdpijn. Groepje toevoegen aan een map en vervolgens worden alle ACLs even opnieuw gezet? Dat is dan klaar. Dat gaat je niet overkomen met AGLP.

En dan zal je het altijd altijd zien. Marketing moet ineens samenwerken met Communicatie en de Directie. Je wilt natuurlijk geen gat schieten in Marketing zodat Comms en C-level ineens overal bij kunnen. Dus creëer ook een "deel" map waar je weer een submap in maakt Marketing - Communicatie - Directie voor die groep om samen te werken zonder dat aan de beveiliging wordt getornd.

Als laatste : fix een soort transfer map/schijf waar iedereen even snel iets naar toe kan zetten. Scriptje erop om data ouder dan een week te verwijderen en klaar ben je.

Ohja, Windows 2012R2+ kent Dedup als Feature. Ik zat op 50% besparing , maar voor je die feature aanzet moet je eerst kijken of je backup oplossing ermee kan werken EN hoe je je storage aanbiedt. Sommige storage technieken en Dedup werken niet lief samen. In de meeste gevallen moet je dedup ook als feature installeren op de backup server (DPM/Veeam) om een gededuped volume te kunnen meenemen.

asing schreef op maandag 29 juni 2020 @ 23:11:
[...]

Ik heb geen idee wat voor Syno er is, en wat hij nog aan performance over heeft op zijn vSphere omgeving. We wachten rustig de motivatie af.

Ik ben het met je eens, als Windows iets goed kan is het fileservertje spelen. Mits je goed begint .

Oogje schreef op dinsdag 30 juni 2020 @ 07:02:
[...]

En wegblijft van DFS-R

Grvy schreef op maandag 29 juni 2020 @ 22:39:
@asing HoT wilt waarschijnlijk zo min mogelijk VM's draaien om wat meer flexibiliteit te hebben vandaar de keuze om de Synology het te laten doen en geen extra laag te bouwen.

Het is geen keuze waar ik het mee eens ben overigens, maar het is denk ik wel de redenatie en er valt wat voor te zeggen.

asing schreef op maandag 29 juni 2020 @ 20:58:
[...]

Dat moet je niet willen denk ik. Dan krijg je wildgroei. Een map per afdeling, iedereen dezelfde letter. Hoe je dat doet leg ik verderop uit.

[...]

Dat wil je voorkomen. Als je ergens niet bij hoeft/moet, dan moet je het ook niet zien. In het allerergste geval krijg je een cryptolocker binnen. Dan kan die in principe alleen dat versleutelen waar de gebruiker rechten heeft. Elevation uitgezonderd, maar dat is een ander topic.

[...]

Hoooo wacht, jij gaat een hele andere kant op . Ik ging uit van een Windows File Server, niet van een Syno met Samba .

Samba schijnt het ook te kunnen :

code:

1 2	hide unreadable = yes hide unwriteable files = yes

Ik weet niet of je daar gelukkig van wordt. Samba heeft onder water een limiet qua group nesting, waardoor het ineens heel gek gaat doen.

[...]

Het principe is heel simpel. Stel F: is je drive met data.

DL_F_Sales_R - Domain local group met leesrechten op Sales
DL_F_Sales_M - Domain local group met schrijfrechten op Sales

Die 2 groepen zet je op de map sales. Zet inheritance even uit en haal users uit de lijst. De rest (Creator Owner, System, Admin) laat je lekker staan.

Vervolgens heb je de Global Group Sales met alle Sales mensen. Die Global group maak je lid van DL_F_Sales_M. Als er iemand leesrechten moet hebben, dan voeg je die toe aan DL_F_Sales_R. Je zet NOOIT personen direct in de ACL van een map. Ook geen Global group. Dat zorgt er namelijk voor dat je een uur kan zitten duimen draaien om te wachten tot Explorer klaar is.

In a single domain the scope of groups will have no effect on performance. Global groups can be used for everything but you can nest groups and use Domain Local Groups to simplify management.

Verder, als je nu met robocopy de data kopieert naar de nieuwe locatie, dan staan de rechten meteen ook goed.

Een andere optie is een Windows fileserver maken, en daar via iSCSI een LUN van de Syno aan hangen. Ik kan erg diep gaan over de mogelijkheden maar maar eerst eens een keuze .
[...]
En serieus : ik zou overwegen om een LUN via iSCSI aan te bieden. Dat maakt je leven zoveel makkelijker. Gebruikers merken er niks van dat het over het net gaat, er kan gewoon een virusscanner op en "normale" backup software.

Je kan ook de LUN aan je ESXi hangen en een virtuele server draaien met een VMDK op die LUN.

Zo, toen begon ik eigenlijk al voor 19:30 aan deze post, tussendoor andere topics gelezen want ik wist dat deze wel even tijd ging nemen, maar bijna anderhalf uur... wauw.

Er is al een afdelingsgroep. Die groep komt in de resourcegroepen voor shares en printers. En kan ook in de distributiegroep. Moet iemand mail krijgen van die groep, maar is geen onderdeel van de afdeling, kan het zo in de distri toegevoegd worden. Is m'n gedachte gang en uitwerking goed?

Hero of Time schreef op dinsdag 30 juni 2020 @ 22:50:
Helder. Het scheelt dat het nieuwe domein nog steeds niet in productie is, dus ik kan donderdag (morgen vrij) de DL groepen opzetten om de globals te vervangen. Dan moet ik voor de printers iig ook logischerwijs de target aanpassen van de huidige global naar de DL groepen. De overige GPOs die ik al had (even uit m'n hoofd alleen Chrome en FF settings) moeten toch voor iedereen zijn, dus hoef niets aan de standaard authenticated users te veranderen.

Ik verwacht overigens in de nabije toekomst nog niet aan de 16 groepen te komen. Nested wel te verstaan, want dat is wat je bedoelt met het probleem. Lid zijn van 16 groepen zonder nesting zou niet het issue moeten zijn, toch? Ik kan het hele probleem iig niet vinden als ik snel zoek met Google. Wel zag ik iets over 16 groepen bij NFS.

Get-MessageTrackingLog -start 1/1/2018 -Recipients distributiegroep@bedrijf.nl -ResultSize 99999 | measure-object >c:\test.txt

FastFred schreef op donderdag 2 juli 2020 @ 12:47:
Ik ben eens aan het prutsen in Powershell om een uitdraai te krijgen van ongebruikte distributiegroepen in Exchange 2013.

Voor ik er een heel script van ga bakken ben ik eerst wat aan het proberen met losse commando's. Als ik onderstaand uitvoer...


[...]


...dan krijg ik bij sommige groepen te zien dat deze bijvoorbeeld 40 keer gebruikt is. Maar ik had net ook een distributiegroep, die ik zelf in februari nog gebruikt heb, waarbij de uitdraai aangeeft dat deze 0 keer gebruikt is.

Rara, wat doe ik verkeerd _{(ik doe ongetwijfeld iets verkeerd)}? Het e-mail adres dat ik gebruik om de distributiegroep te definiëren is het primaire adres in die groep.

FastFred schreef op donderdag 2 juli 2020 @ 12:47:
Ik ben eens aan het prutsen in Powershell om een uitdraai te krijgen van ongebruikte distributiegroepen in Exchange 2013.

Voor ik er een heel script van ga bakken ben ik eerst wat aan het proberen met losse commando's. Als ik onderstaand uitvoer...


[...]


...dan krijg ik bij sommige groepen te zien dat deze bijvoorbeeld 40 keer gebruikt is. Maar ik had net ook een distributiegroep, die ik zelf in februari nog gebruikt heb, waarbij de uitdraai aangeeft dat deze 0 keer gebruikt is.

Rara, wat doe ik verkeerd _{(ik doe ongetwijfeld iets verkeerd)}? Het e-mail adres dat ik gebruik om de distributiegroep te definiëren is het primaire adres in die groep.

1

Get-ExchangeServer | Get-MessageTrackingLog -start 1/1/2018 -Recipients distributiegroep@bedrijf.nl -ResultSize 99999 | measure-object

1

Get-ExchangeServer | Get-MessageTrackingLog -Start 1/1/2018 -EventId Expand | group-object RelatedRecipientAddress | ft Name,Count -Autosize

1

Get-ExchangeServer | Get-MessageTrackingLog -EventID Expand | ? {$_.RelatedRecipientAddress -like “distributiegroep@bedrijf.nl”} | ft Timestamp,Sender,MessageSubject -Autosize

[ Voor 57% gewijzigd door Turdie op 02-07-2020 23:29 ]

Hero of Time schreef op donderdag 2 juli 2020 @ 18:57:
Vandaag even snel gekeken of het mogelijk is om Global groepen om te zetten naar Domain Local, want standaard is die optie niet beschikbaar. Nu blijkt dat je een Global groep naar Universal kan veranderen, en van Universal kan je weer naar zowel Global als Domain Local gaan. Dat was snel geregeld, gewoon even naar Universal, dan Domain Local en klaar. Niets aan hoeven te passen voor de GPO scope, geen veranderingen voor de file shares, niets.
Hielp ook enorm dat er geen andere groepen in die groepen zaten waardoor omzetten mogelijk niet zou kunnen.

asing schreef op donderdag 2 juli 2020 @ 20:34:
[...]

Goed gedaan, jij gaat plezier krijgen van al dat werk .

shadowman12 schreef op donderdag 2 juli 2020 @ 19:07:
Met dit commando zou je moeten kunnen achterhalen hoeveel er naar welke groep is gestuurd zodat je een globaal overzicht krijgt:

PowerShell:

1	Get-ExchangeServer | Get-MessageTrackingLog -Start 1/1/2018 -EventId Expand | group-object RelatedRecipientAddress | ft Name,Count -Autosize

1

get-transportservice | fl name, messagetrackinglogmaxage

[ Voor 5% gewijzigd door FastFred op 03-07-2020 09:35 ]

FastFred schreef op vrijdag 3 juli 2020 @ 09:24:
[...]


Ik denk dat dat 'm wordt, maar op die manier geeft ie alleen een top 10. Ik wil alle distributiegroepen zien, maar als ik -Resultsize 150 toevoeg dan krijg ik de melding dat deze niet herkend wordt als een cmdlet...

En ja, die 30 dagen limiet, ik probeer nu met -messagetrackingloxgmaxage te achterhalen waar die op ingesteld staat, maar dat wil nog niet lukken gelukt met

code:

1	get-transportservice | fl name, messagetrackinglogmaxage

30 dagen dus

* FastFred gaat maar eens een Powershell boek voor dummies kopen ^aanraders?

1

Get-ExchangeServer | Get-MessageTrackingLog -Start 1/1/2018 -EventId Expand | group-object RelatedRecipientAddress | ft Name,Count -Autosize

1

Get-ExchangeServer | Get-MessageTrackingLog -Start 1/1/2018 -EventId Expand | group-object RelatedRecipientAddress | ft Name,Count | -Resultsize 130

[ Voor 41% gewijzigd door FastFred op 03-07-2020 10:37 ]

FastFred schreef op vrijdag 3 juli 2020 @ 10:28:
Krijg het nog niet voor elkaar, snap er geen hol van. Heb -Resultsize bij eerdere pogingen gewoon kunnen gebruiken en werkt perfect, maar ik krijg 'm in het commando van shadowman niet werkend.

code:

1	Get-ExchangeServer | Get-MessageTrackingLog -Start 1/1/2018 -EventId Expand | group-object RelatedRecipientAddress | ft Name,Count -Autosize

Hiermee krijg je dus een top 10 van meest gebruikte distributiegroepen, maar ik wil alle distributiegroepen zien, aangezien we er 127 hebben.

Als ik dan dit doe

PowerShell:

1	Get-ExchangeServer | Get-MessageTrackingLog -Start 1/1/2018 -EventId Expand | group-object RelatedRecipientAddress | ft Name,Count | -Resultsize 130

Dan krijg ik "Resultsize is not recognized as the name of a cmdlet" Ongeacht op welke plek ik de -Resultsize zet, ook als ik | scheidingstekens gebruik

1

Get-ExchangeServer | Get-MessageTrackingLog -Start 1/1/2018 -EventId Expand -Resultsize 130 | group-object RelatedRecipientAddress  | ft Name,Count

[ Voor 12% gewijzigd door Turdie op 03-07-2020 10:58 ]

FastFred schreef op vrijdag 3 juli 2020 @ 11:32:
Ok, als ik dit uitvoer

code:

1	Get-ExchangeServer | Get-MessageTrackingLog -Start 1/1/2018 -EventId Expand -Resultsize 130 | group-object RelatedRecipientAddress | ft Name,Count

Dan krijg ik slechts 2 resultaten te zien. distributiegroep1 met een count van 129 en distributiegroep2 met een count van 1.

Maar als ik deze uitvoer

code:

1	Get-ExchangeServer | Get-MessageTrackingLog -Start 1/1/2020 -EventID Expand | group-object RelatedRecipientAddress | ft name, count

Dan krijg ik 10 resultaten. Diezelfde distributiegroep1 als hierboven heeft dan een count van 985 en diezelfde distributiegroep2 een count van 2. What. The. Fuck

[ Voor 19% gewijzigd door Turdie op 03-07-2020 11:51 ]

FastFred schreef op vrijdag 3 juli 2020 @ 12:05:
Nu dus -Resultsize Unlimited geprobeerd, is al 10 minuten bezig

[ Voor 22% gewijzigd door FastFred op 03-07-2020 13:20 ]

FastFred schreef op vrijdag 3 juli 2020 @ 12:41:

En hij laat ook niet alle distributiegroepen zien, ik denk dat hij alleen de distributiegroepen laat zien die de laatste 30 dagen gebruikt zijn

Thijs B schreef op woensdag 8 juli 2020 @ 12:42:
Met powershell kan je met enter-pssesion remote op een systeem inloggen.

Maar weet iemand of er ook een mogelijk is om met remote in te loggen op een specifieke user session op een rds server ?

Soms zijn er van die kleine dingen die je ff voor een user moet doen waarbij je liefst niet de user met een remote sessie/telefoontje wilt lastig vallen.

[ Voor 12% gewijzigd door Turdie op 08-07-2020 13:01 ]

shadowman12 schreef op woensdag 8 juli 2020 @ 13:01:
[...]


Ja ControlIUp kan dat. Die kan processen stoppen en starten in een RDS sessie zonder dat je de sessie van de gebruiker hoeft over te nemen, en nog een aantal dingen.
https://www.controlup.com...-user-processes-remotely/

Thijs B schreef op woensdag 8 juli 2020 @ 13:38:
[...]


Oke dat is wel handig maar is alleen om bepaalde processen te starten / stoppen dat kan op zich ook nog wel met powershell.

ik zou liefst bepaalde powershell commando's willen kunnen uitvoeren op een rds voor een specifieke user session maar ik heb de indruk dat dit niet mogelijk is.

Mantis schreef op maandag 13 juli 2020 @ 09:32:
Voor remote offices moeten we nieuwe server hardware voorzien: HPE DL20.
Deze servers draaien ESXi met enkele VM's (local storage) zoals RODC, SCCM 2nd site, file server caching etc.

Uit gewoonte keek ik om ESXi op interne sdcard te installeren maar de DL20 beschikt alleen over USB poorten. Toen bedacht ik me, waarom de hypervisor niet gewoon op de local storage installeren en de rest van het volume als datastore gebruiken?
Dan ben je niet afhankelijk van een enkel usb-stickje om te kunnen booten. Ik zie niet direct nadelen?

Het heeft ook wel voordelen, stel de disk dreigt stuk te gaan, dan kan je met een kopieer slag je VMs eraf halen en je bent klaar. Als ESXi er ook op staat moet je meer moeite doen want die moet je ook even opnieuw ergens op zetten.

Grvy schreef op maandag 13 juli 2020 @ 10:17:
@Renegade666 niet als het hetzelfde volume is. Wel als je dit op RAID niveau allemaal splits.

Hero of Time schreef op maandag 13 juli 2020 @ 14:23:
Zou anders lekker zijn, de kleinste schijven die je tegenwoordig koopt zijn al snel 200-500 GB. Gooi je direct 195-495 GB potentiële opslag weg.

Grvy schreef op maandag 13 juli 2020 @ 17:49:
@Renegade666 het is alweer een tijdje dat ik ESX lokaal geinstalleerd heb maar dat was vroeger echt niet zo.

Hero of Time schreef op maandag 13 juli 2020 @ 14:23:
Zou anders lekker zijn, de kleinste schijven die je tegenwoordig koopt zijn al snel 200-500 GB. Gooi je direct 195-495 GB potentiële opslag weg. En nog erger als je machine maar 2 disks aan kan (of je niet meer nodig hebt) en geen SD slot heeft. Ben je verplicht om een USB stick te nemen, wat ook niet eens betrouwbaar is.

vSAN requires exclusive access to the local disks in the ESXi host. vSAN disks cannot be shared with another file system, such as Virtual Flash File System (VFFS), VMFS partitions, or an ESXi boot partition.

asing schreef op maandag 13 juli 2020 @ 19:26:
[...]


Dus ja, je hebt nu een use case voor ESXi op de lokale disks, maar dat is alleen handig bij een losse ESXi server als in het voorbeeld. Heb je er shared storage achter hangen zonder lokale schijven of wil je een vSAN, dan zal je toch aan de SD kaart moeten. En ja, een 8GB SD kaartje klinkt heel gek in je oren als je normaal 100GB reserveert voor een Windows 2019 Domain Controller maar het past echt wel .

Grvy schreef op maandag 13 juli 2020 @ 20:18:
@shadowman12 heb je de rest van de reacties ook gelezen? Dat is al benoemd.

[ Voor 17% gewijzigd door Turdie op 13-07-2020 20:25 ]

shadowman12 schreef op maandag 13 juli 2020 @ 20:21:
[...]


Sorry dat heb ik dan gemist.

Maar een andere optie is via netwerk installeren, maar dat is wat complexer, dan kun je toch ook de USB gebruiken om op te installeren. zonder dat je per se local storage nodig hebt?
https://www.vmware.com/co...rver-60-pxe-boot-esxi.pdf

Disclaimer:
Mijn VMware kennis is beperkt

asing schreef op maandag 13 juli 2020 @ 19:26:
Dan kan je je local storage nog gebruiken voor een vSAN maar in de docs staat dan weer dit :

[...]

bron : https://kb.vmware.com/s/article/2106708

Dus ja, je hebt nu een use case voor ESXi op de lokale disks, maar dat is alleen handig bij een losse ESXi server als in het voorbeeld. Heb je er shared storage achter hangen zonder lokale schijven of wil je een vSAN, dan zal je toch aan de SD kaart moeten. En ja, een 8GB SD kaartje klinkt heel gek in je oren als je normaal 100GB reserveert voor een Windows 2019 Domain Controller maar het past echt wel .

Hero of Time schreef op woensdag 15 juli 2020 @ 10:10:
[...]

Nu heb je het opeens over vSAN, wat natuurlijk compleet anders is dan een lokale datastore op hetzelfde volume als de ESXi installatie.

Nergens staat dat het via een sd kaart moet. Het is een mogelijkheid. En als je van een ander platform af komt, zoals Hyper-V, dan is het niet meer dan logisch om de interne schijven opnieuw in te zetten voor de ESXi installatie.

Zelfs met shared storage kan het handig zijn om een lokale datastore te hebben. Ik gebruik het bijvoorbeeld om onze vSphere te laten draaien terwijl de storage backend een update uitvoert en herstart. Want ik heb geen zin om op de host zelf in te gaan loggen en vSphere weer te starten als de storage weer beschikbaar is.

En wat doe je in vredesnaam met je DC als je 100 GB hiervoor reserveert? Mijne hebben 50 GB en dat is nog te veel (maar de installer piept anders, wat een gejank is dat toch als je nog geen 10 GB gebruikt).

asing schreef op woensdag 15 juli 2020 @ 10:36:
[...]

Het is even het punt waar je vandaan komt. Kom je van een wat oudere ESXi omgeving af, dan had je geen keuze. Het stond gewoon op de SD kaart en als je het op disk wilde hebben dan was die disk niet meer beschikbaar voor je datastore. De tijd gaat vooruit en nu kan het wel. Als je de servers met disks al hebt kan je een andere afweging maken. Maar dat is een keuze en uit het verleden was SD altijd "the way to go". Als je goed kijkt zie je ook dat VMware er alles aan heeft gedaan om het OS de SD kaart niet kapot te laten schrijven. Iets wat je met een Raspberry Pi wel kan gebeuren.

Of je zegt hetzelfde met andere woorden, dat kan ook. En je bent expert, want papiertje, dus wat weet ik nou die pas met ESXi weer werkt en ooit 3.5 de deur uit heeft getrapt om XenServer ervoor in de plaats te zetten.

[...]

Niets staat je in de weg om het zo te doen en als ik van Hyper-V of een windows doos naar ESXi zou moeten dan zou ik dat ook zo doen. En daar dan lekker je ISO's en templates op knallen.

Hero of Time schreef op woensdag 15 juli 2020 @ 10:44:
[...]

Vziw heeft ESXi (en het oude ESX) nooit geklaagd en geweigerd te installeren als de doel geen SD kaart was. Naar mijn weten was het dus altijd al mogelijk om gewoon op lokale schijven te installeren. Met behoud van lokale datastore.
Of je zegt hetzelfde met andere woorden, dat kan ook. En je bent expert, want papiertje, dus wat weet ik nou die pas met ESXi weer werkt en ooit 3.5 de deur uit heeft getrapt om XenServer ervoor in de plaats te zetten.

[...]

Ik zou ISO's niet op m'n lokale datastore zetten. Men wil nog wel eens vergeten de ISO te ontkoppelen en dan kan je de VM dus niet vMotion'en naar een andere host.

[ Voor 8% gewijzigd door m0nkm0nk op 18-07-2020 17:06 ]

[ Voor 4% gewijzigd door asing op 18-07-2020 21:34 ]

asing schreef op zaterdag 18 juli 2020 @ 21:33:
Ik denk dat dat niet gaat. Ik denk dat je een expansion disk enclosure aan moet sluiten, en dat je een head unit aan een head unit wil hangen.

https://support.hpe.com/h...play?docId=a00017716en_us

[ Voor 20% gewijzigd door GameNympho op 24-07-2020 22:51 ]

GameNympho schreef op donderdag 23 juli 2020 @ 11:42:
Kan iemand mij helpen via DM inzake installatie Windows 10 op HP deskpro`s voor mijn project Pc`s/laptop`s voor een goed doel: Start-up?
Ik heb 3 HP Deskpro`s gedoneerd gekregen met een i3 4130 op een 718414-501 HP System board (motherboard).
Ik krijg mijn windows 10 niet geinstalleerd nm, maar waarom dit niet wil, ik denk dat ik iets over het hoofd zie.
Dit heb ik zoals normaal gedaan;
Hdd in GPT style (320gb of 500gb), SSD in gpt style (120gb)
Secure boot uit
HP keys uit
In de bios opstarten vanaf usb stick (F9)
Maar dan kom ik of niet verder dan een zwart scherm na opstarten of ik kom wel in de usb stick naar installatie scherm W10, maar dan wordt er geen partitie gevonden of kan gemaakt worden (??)
Wat doe ik fout of zie ik over het hoofd?
Gaarne reacties via DM, zodat het forum niet vol komt te staan met uitleg over mijn probleem Thnx in ieder geval

GameNympho schreef op donderdag 23 juli 2020 @ 11:42:
Kan iemand mij helpen via DM inzake installatie Windows 10 op HP deskpro`s voor mijn project Pc`s/laptop`s voor een goed doel: Start-up?
Ik heb 3 HP Deskpro`s gedoneerd gekregen met een i3 4130 op een 718414-501 HP System board (motherboard).
Ik krijg mijn windows 10 niet geinstalleerd nm, maar waarom dit niet wil, ik denk dat ik iets over het hoofd zie.
Dit heb ik zoals normaal gedaan;
Hdd in GPT style (320gb of 500gb), SSD in gpt style (120gb)
Secure boot uit
HP keys uit
In de bios opstarten vanaf usb stick (F9)
Maar dan kom ik of niet verder dan een zwart scherm na opstarten of ik kom wel in de usb stick naar installatie scherm W10, maar dan wordt er geen partitie gevonden of kan gemaakt worden (??)
Wat doe ik fout of zie ik over het hoofd?
Gaarne reacties via DM, zodat het forum niet vol komt te staan met uitleg over mijn probleem Thnx in ieder geval

Danielson schreef op dinsdag 4 augustus 2020 @ 14:44:
FSLogix experts gezocht:

Wat we willen:

Profile en Office containers met Cloud Cache en multiple sessions:

Mark- schreef op dinsdag 4 augustus 2020 @ 14:53:
[...]


Ik dacht dat je ze niet samen kon gebruiken, maar blijkbaar kan dat wel:
https://docs.microsoft.co...er-office-container-cncpt

Ik heb niet direct een antwoord op je vraag, maar is het een idee om te checken of het wel werkt wanneer je alleen Profile Containers instelt?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16

[13:30:31.162] ===== Begin Session:  Create Formatted Disk
[13:30:31.303]   Created vhd(x): C:\ProgramData\FSLogix\Proxy\a.bloempot\ODFC_a.bloempot-SESSION-1.VHDX
[13:30:31.318]   Attached vhd(x) successfully
[13:30:31.318]   VHD attach request returning after 16 milliseconds
[13:30:31.318]   Attached to vhd(x)
[13:30:33.428]   Initialized vhd(x)
[13:30:33.459]   Mounted vhd(x)
[13:30:37.553]   Format complete
[13:30:37.553]   Formatted vhd(x): \\?\Volume{b323dd1c-473e-4a76-ad5a-bce3fa836f1d}\

[13:30:37.553]   Could not detach the VHD as the user ERROR: 1314.  This is sometimes expected, trying again as SYSTEM

[13:30:38.100]   Detached vhd(x)
[13:30:38.100]   Detach request returning after 547 milliseconds
[13:30:38.100]   Successfully detached vhd(x)
[13:30:38.100] ===== End Session:  Create Formatted Disk

[ Voor 21% gewijzigd door asing op 04-08-2020 15:04 ]

asing schreef op dinsdag 4 augustus 2020 @ 15:00:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16

[13:30:31.162] ===== Begin Session: Create Formatted Disk [13:30:31.303] Created vhd(x): C:\ProgramData\FSLogix\Proxy\a.bloempot\ODFC_a.bloempot-SESSION-1.VHDX [13:30:31.318] Attached vhd(x) successfully [13:30:31.318] VHD attach request returning after 16 milliseconds [13:30:31.318] Attached to vhd(x) [13:30:33.428] Initialized vhd(x) [13:30:33.459] Mounted vhd(x) [13:30:37.553] Format complete [13:30:37.553] Formatted vhd(x): \\?\Volume{b323dd1c-473e-4a76-ad5a-bce3fa836f1d}\ [13:30:37.553] Could not detach the VHD as the user ERROR: 1314. This is sometimes expected, trying again as SYSTEM [13:30:38.100] Detached vhd(x) [13:30:38.100] Detach request returning after 547 milliseconds [13:30:38.100] Successfully detached vhd(x) [13:30:38.100] ===== End Session: Create Formatted Disk

Wat gebeurt daar voor geks?

Danielson schreef op dinsdag 4 augustus 2020 @ 15:04:
[...]


De VHDX kan niet worden geformarteerd in de user context? Wel als system...

asing schreef op dinsdag 4 augustus 2020 @ 15:07:
[...]

Waarom zou je de VHDX willen formatteren als deze als persistent aanwezig moet zijn? De bedoeling van heel FSlogix is een volume met je profiel wat gekoppeld wordt bij het inloggen. Als je dat iedere keer formatteert dan kan je het net zo goed niet doen.

Danielson schreef op dinsdag 4 augustus 2020 @ 15:18:
[...]


Dit gebeurt automatisch bij het aanmaken van een schone Office container, alleen de 1e is persistant, maar ook deze wordt de eerste keer geformatteerd, bij de eerste sessie is het geen probleem.

shadowman12 schreef op dinsdag 4 augustus 2020 @ 15:31:
[...]


Maar dit gebeurt toch bij de tweede sessie ook gaf je eeder zelf aan?

Danielson schreef op dinsdag 4 augustus 2020 @ 15:32:
[...]


Ja, maar vervolgens werken de OneDrive, Teams etc niet, terwijl dit in de eerste sessie geen probleem is.

[ Voor 9% gewijzigd door Turdie op 04-08-2020 15:39 ]

Danielson schreef op dinsdag 4 augustus 2020 @ 15:32:
Ja, maar vervolgens werken de OneDrive, Teams etc niet, terwijl dit in de eerste sessie geen probleem is.

shadowman12 schreef op dinsdag 4 augustus 2020 @ 15:37:

Staat de OneDrive client wel geinstalleerd, want ik zie dat die reg keys niet kan vinden:

Danielson schreef op dinsdag 4 augustus 2020 @ 15:41:
[...]


Ik heb ze doorgenomen, maar ik kan nergens vinden hoe je het exact moet configueren voor onze wensen.

OneDrive client staat wel geïnstalleerd en dat werkt ook prima voor de eerste sessie.

[ Voor 28% gewijzigd door Turdie op 04-08-2020 15:52 ]

shadowman12 schreef op dinsdag 4 augustus 2020 @ 15:48:
[...]
Jij eigen inzet is erg miniem.

asing schreef op dinsdag 4 augustus 2020 @ 17:55:
[...]

Kom nou.....

Hij meldt zicht iets voor 3 uur in het beheerderstopic. Hij heeft even wat hulp nodig. Zodra bekend is dat er experise is, maakt hij hier al een topic aan (helemaal volgens het boekje). Hij meldt alles wat hij aan en uit heeft staan en hoe hij het doet en voegt ook de logfile bij.

Dan wordt er een beetje geboomd over wat het zou kunnen zijn en een uur later schrijf je dat zijn eigen inzet miniem is. Dat is gewoon een belediging aan zijn adres. Hij doet zijn best, werkt het verdomd netjes uit, voegt logs bij en het heeft even tijd nodig voor je je omgeving aanpast en opnieuw test. Ook kost het tijd om de linkjes te lezen en in te zien waar je je fout hebt gemaakt. En oh ja, misschien heeft hij meer te doen dan alleen dit.

Dus ga je eens zitten schamen .....

[ Voor 10% gewijzigd door Turdie op 04-08-2020 21:32 ]

Grvy schreef op dinsdag 4 augustus 2020 @ 22:29:
Goed, op naar het issue. @Danielson misschien lees ik eroverheen maar waarom zou je als je ook al gebruikt maakt van de main profile feature (de container zelf) een Office container willen?

Renegade666 schreef op woensdag 5 augustus 2020 @ 11:38:
Ben ook weer even begonnen met FxLogics voor een klant.
Echter, zoals gewoonlijk, werkt het niet mee..
GPO aangemaakt met de geleverde ADMX/AMDL bestanden.
Dingen ingesteld, word niet toegepast, waardoor de gebruikers niet aangemaakt worden.
Stel ik de locatie handmatig in de configtool op de RDS, dan werkt het wel, maar de overige instellingen worden niet opgepakt..

Zal kijken dat een GPO met de regsleutels wel werkt..

Fanatix schreef op woensdag 5 augustus 2020 @ 11:35:
[...]


Hij gaf als reden aan om Outlook in cached mode te kunnen draaien, maar dit kan ook in een profile container.

Ik zie net als Grvy geen reden om beide containers te combineren en zou alles in een profile container stoppen. Folder redirection configureren zodat er geen persoonlijke data in komt te staan en de juiste exclusions zorgen ervoor dat deze binnen het redelijke blijven qua formaat.

Als je daarnaast ook regelmatig de FSLogix Profile Compacting Tool laat draaien mag diskspace geen probleem zijn.
Gratis tip: let wel op met het cachen van shared mailboxen, dat kan heel rap gaan qua diskspace.

Renegade666 schreef op woensdag 5 augustus 2020 @ 11:49:
@Fanatix
De standaard oplossing stond eerst wel aan ja, maar deze heb ik uitgezet. Toen werden de profielen lokaal gemaakt.
Daarna de agents geinstalleerd, server reboot.
Policy aangemaakt wat een paar instellingen, maar geen vhdx op de juiste locatie.
Als admin ingelogt, in config tool gezet, dan krijg ik keurig een vhdx, maar met standaard instellingen (30gb etc).

[ Voor 15% gewijzigd door Renegade666 op 05-08-2020 12:39 ]

Renegade666 schreef op woensdag 5 augustus 2020 @ 11:49:
@Fanatix
De standaard oplossing stond eerst wel aan ja, maar deze heb ik uitgezet. Toen werden de profielen lokaal gemaakt.
Daarna de agents geinstalleerd, server reboot.
Policy aangemaakt wat een paar instellingen, maar geen vhdx op de juiste locatie.
Als admin ingelogt, in config tool gezet, dan krijg ik keurig een vhdx, maar met standaard instellingen (30gb etc).