dmetzger

Die CDP und AIA werden in den Eigenschaften der Zertifizierungsstelle konfiguriert. Dort musst Du die Pfade für die Clientabfragen von *.crl- und *.crt-Dateien eintragen. Diese Pfade werden nach einem Neustart der Zertifikatsdienste in den Erweiterungen neu ausgestellter Zertifikaten mitgegeben. Bereits ausgestellte Zertifikate müssen ggf. ersetzt werden.

Ich denke für einen angehenden Fachinformatiker sind die beiden Sysinternals Bücher 4. und 5. Edition der beste Tipp!

Vergiss aber vor lauter Details und Tiefe nicht den Überblick und die Konzepte. ;)

Mit Schemaerweiterung ist hier, so schätze ich mal, nicht adprep gemeint? Wird das AD-Schema nochmal um SBS-Spezifika erweitert?

Es ist adprep. Das Schema wird auf W2K8 erweitert, mit zusätzlichen Attributen für SBS 2008 sowie den Erweiterungen für Exchange Server 2007.

Genau, Norbert. Und da habe ich ja auch noch meinen Kollegen aus der Sicherheitsabteilung. Der führt gerne vor, was man mit offenen Benutzersitzungen anstellt, die angeblich gesperrt sind.

Ausserdem sollte man nie direkt auf einem Server arbeiten, es sei denn im Notfall oder weil es absolut unumgänglich ist. Es gibt ja so viele Konsolen, die man auf administrativen Verwaltungsstationen installieren und nutzen kann. Man ärgert dann auch nicht andere Kollegen, weil die zuerst Sitzungen zwangsabmelden müssen, wenn sie tatsächlich und begründet direkt auf die Server müssen.

Eventuell gibts Hinweise hier oder in anderen Threads des Forums, die per Suchfunktion einfach zu finden sind:

http://www.mcseboard.de/windows-server-forum-78/rsat-installation-bricht-168042.html

Willkommen

Lies zuerst die Bordregeln durch, insbesondere Regel Nr. 7:

http://www.mcseboard.de/rules.php#nr7

Ein Exchange Server 2007 mit den Rollen CAS, MB und HT sollte minimal 8 GB RAM haben. Das Grundsystem mit AD/DNS benötigt 2 GB RAM minimal. SharePoint Services 3.0 funktionieren bei dieser Nutzerzahl wahrscheinlich mit 4 oder 6 GB RAM einigermassen ordentlich, SharePoint Server benötigt mehr.

Damit sind wir bei 16 GB RAM angekommen und beim nochmaligen Hinweis:

Die Installation eines Exchange Servers auf einem DC ist möglich, aber nicht empfohlen. Die Installation von SharePoint auf einem Exchange Server ist möglich, aber nicht empfohlen.

Wenn schon lernen, dann gleich richtig. ;)

Nochmals zur Frage nach der Zahl der unterschiedlichen Konfigurationen: Wie viele verschiedene gibt es betreffend den installierten Anwendungen? Hat jeder Standort eine eigene Arbeitsumgebung, oder haben 140 Clients die gleiche und nur 10 haben je noch eine andere unterschiedliche Anwendung installiert?

Meine Frage zielt darauf ab, ob Ihr RIS/WDS zur Verteilung von Client-Abbildern einsetzen könnt oder nicht.

Dann gibt es auch noch Specops Deploy:

Software Management, Deployment & Distribution | Specops Deploy

Damit kann man ein Basisimage mit installierten Anwendungen ausbringen und anschliessend die installierten Anwendungen respektive weitere per GPO etc. verwalten.

Was Du beschreibst, ist das typische Umfeld für einen Small Business Server 2008/2011, mit AD/DNS, Exchange Server 2007/2010 und SharePoint Services 3.0/Foundation 2010.

Nun hast Du allerdings keine solche Lizenz. Andererseits stellt sich die Frage, ob Du viele Stunden und vielleicht Tage in die Konfiguration einer Umgebung mit Deinen vorhandenen Lizenzen stecken willst oder ob es insgesamt und mittelfristig nicht weit kostengünstiger ist, einen SBS mit 5 CALs zu kaufen und einfach zu installieren. Ein SBS 2011 ist in einem halben Tag betriebsbereit (Neuinstallation).

Mir stellt sich auch die Frage, ob es ein SharePoint Server sein muss, oder ob nicht die SharePoint Services 3.0 respektive Foundation 2010 reichen. Ein SharePoint Server ist doch eine recht grosse Sache für 5 Benutzer, doch möglicherweise rechtfertigen die Anforderungen (Business Intelligence, Excel Services, Datenbank-Einbindungen etc.) diesen Aufwand und Funktionsumfang.

6 GB RAM sind für einen DC mit Exchange Server und SharePoint eher knapp. Mit 5 Benutzern sollte es für den Moment genügen.

Also ich habe eine eingeschränkte Gruppe(LokaleAdministratoren) erstellt, diese Gruppe ist Mitglied von Administratoren und Mitglieder sind meine benutzer.

Du willst nicht wirklich, dass alle Deine Benutzer auch lokale Administratoren sind, oder?

Da Ihr in der Schule jetzt mit Active Directory beginnt, habt Ihr Euch zuvor sicher bereits mit Multiuser-Systemen beschäftigt und dabei den Unterschied zwischen lokalen Administratoren und lokalen Benutzern besprochen. Wahrscheinlich hat man Euch auch nahegelegt, immer als Standardbenutzer zu arbeiten und nur administrative Rechte zu beanspruchen, wenn diese tatsächlich nötig sind. Das Gleiche gilt selbstverständlich in einer Domänenumgebung ebenso.

Wenn man die Basis-Applikationen weglaesst (AV, Reader, Office) dann sind es ca. 8 - 10 extra Applikationen noch zusaetzlich.

Wie viele unterschiedliche Konfigurationen?

da viele Rechner 'ne unterschiedliche Software haben. Kommt auf den Bereich drauf an.

Viele unterschiedliche Software, oder nur die eine und andere? Wie statisch sind die Umgebungen, d.h. ändern sich die Anwendungen und Einstellungen laufend oder nur in grossen zeitlichen Abständen?

Ich denke Ihr kennt alle den "Kofler", das Standardwerk wenn man in Linux einsteigen will

Lass mich das so sagen: Wir sind hier ein Windows-Forum. :D

Genau so etwas suche ich für Windows XP und Windows 7. Sprich ein Buch, dass mir z.B. die Registry, die Systemsteuerung, Treiberhandling, Netzwerkfreigaben etc. erklärt.

Ein Buch für Windows XP und Windows 7 gibt es nicht. Aber es gibt Bücher für Windows XP, und es gibt Bücher für Windows 7. Die Ressource Kits sind ziemlich aufschlussreich:

Microsoft Windows XP Professional Resource Kit, Third Edition: Amazon.de: The Microsoft Windows Team, Charlie Russel, Sharon Crawford: Englische Bücher

Windows® 7 Resource Kit: Amazon.de: Tony Northrup, Mitch Tulloch, Jerry Honeycutt, Ed Wilson: Englische Bücher

jedoch keins wie Koflers Linux Buch, das mir den Windows NT Kernel erklärt.

Kofler erklärt in seinem Linux-Buch auch den Windows NT Kernel? :confused: Erstaunlich, wo es sich doch gar nicht um Open Source handelt. :D

das heisst du machst ein "wartungsfenster" ... da darf es dann eh kein problem sein, wenn die server neu starten?!?

Und mit dem WSUS regelst Du auch die korrekte Abschalt- und Einschalt-Reihenfolge der Server, fals Du mehr als einen davon hast (vielleicht ein paar Hundert, möglicherweise verteilt über einige Dutzend Standorte)? Und wie definierst Du das Wartungsfenster per WSUS zeitgenau, damit auch die SLA übers Jahr eingehalten werden?

ich würde einfach beim wsus kein "automatic approval" einstellen und die patches händisch genehmigen.

Das macht hoffentlich ohnehin niemand. :rolleyes: Sonst könnte ich die Geschichte vom Elektronikhersteller erzählen, der vor einigen Jahren die ganze Produktion einer Woche schrotten musste, nachdem seine mehrere Dutzend Mess- und Kalibriercomputer (Windows XP Professional SP2) sich an einem per WSUS automatisch genehmigten - also intern nie getesteten - Patch verschluckt hatten.

Da ich nur über eine IP-Adresse verfüge währe es in meinem Fall wohl eher sinnvoll, beide (Exchange und Sharepoint) auf einem Server laufen zu lassen.

Ich kann Deine Schlussfolgerung nicht nachvollziehen. Ob der Exchange Server und der SharePoint Server gemeinsam auf einem Server laufen oder auf zweien, hat in Deiner in Deiner Konfiguratiom mit Router und Port-Weiterleitung keinen Zusammenhang mit der Zahl verfügbarer IP-Adressen.

Dann wären beide Websites auf ein und dem selben Server.

Was nichts daran ändert, dass sie über unterschiedliche Ports angesprochen werden müssen, wenn sich die IP-Zieladresse nicht unterscheidet und Du keinen vorgelagerten Forefront TMG 2010 verwendest.

Mir steht ein Windows 2008 Standard Server (2Key´s),

Hast Du zwei Serverlizenzen oder eine Serverlizenz mit zwei Lizenzschlüsseln (physisch/virtuell). Falls ersteres, kannst Du Deinen einzigen Server als Hyper-Host installieren und mit der gleichen Lizenz eine virtuelle Instanz von Windows Server 2008 Standard Edition installieren plus eine zweite virtuelle Instanz mit der zweiten Serverlizenz. (Dann hast Du zwei virtuelle Server für AD/DNS/MOSS und einen für E2K7, aber noch immer nur 1 öffentliche IP-Adresse.)

Falls Zweiteres, bist Du beschränkt auf 1 physische Installation als Hyper-V-Host plus 1 virtuelle Instanz. Du darfst in diesem Fall keine zweite Instanz installieren, auch wenn Du 2 Schlüssel hast.

Die Ports 80

Tolle Idee - Port 80 direkt aus dem Internet auf einen Domänencontroller. Mann, Du hast entweder viel Mut, unendliches Vertrauen oder sehr wenig Erfahrung. :shock:

Hm. Dann melde den Benutzer doch einfach nicht ab.

Offene Benutzersitzungen auf Servern? :shock: Überhaupt Benutzerasitzungen auf Servern ohne Notfall? :shock: Wann treffen wir uns, damit ich Dir auf die Finger klopfen kann? ;)

"...wenn Benutzer angemeldet ist"

Richtig geraten!

Für Server und Domänencontroller solltest Du die Option 3 (Herunterladen, aber manuell installieren) wählen. Nie, nie, nie Aktualisierungen auf Servern automatisch installieren lassen. :rolleyes:

Das bedingt ein zweites GPO mit den entsprechenden Einstellungen für Windows Update sowie eine OU "Server". Die OU "Domain Controllers" existiert ja schon, und eine OU "Computer" hast Du wahrscheinlich bereits ebenfalls erstellt. Du verknüpfst somit das GPO mit der Update-Option 3 auf Domänenebene (deckt untergeordnete OU "Server" und "Domain Controllers" ab) und das GPO mit der Option 4 für die automatische Installation von Aktualisierungen an die OU "Computer".

Wenn es schnellstmöglich sein soll, bieten sich Outlook Web Access oder Outlook RPC über https an. Letzteres setzt mindestens Outlook 2003 voraus.

Die Postfächer sind in diesem Szenario auf dem Exchange Server 2003 in der Zentrale beherbergt. Die Mitarbeiter greifen übers Internet (OWA oder eben Outlook RPC über https) auf diese Postfächer zu. Dies entbindet Dich vom Druck, schnellstens einen Zweigstellen-DC einzurichten und die PCs der Mitarbeiter in die Domäne einzubinden.

Wenn Du jetzt die Postfächer in der Zentrale anlegst, können die Mitarbeiter in 5 Minuten damit zu arbeiten beginnen. Das ist schnellstmöglich. :)

Und alles andere kann man dann in Ruhe entwerfen, planen, installieren, prüfen und dokumentieren.

In diesem Fall ist ein neuer Thread gerechtfertigt und sogar erwünscht. Es handelt sich wirklich um ein separates Thema, da wird niemand mit Dir schimpfen.

So, und damit abschliessend andere Mitglieder im Board ebenfalls was von diesem Thread haben:

http://www.mcseboard.de/windows-server-forum-78/vollautomatische-installation-wds-funktioniert-173169.html#post1066088

Genau, der globale Katalog!

Der nachstehende Link führt noch zu der einen oder anderen Information, die zum Verständnis von Gesamtstrukturen/Domänen/Vertrauensstellungen/Namensräumen etc. möglicherweise hilfreich sind:

AD DS Design Guide

Versuchen wir es mal so:

Eine Gesamtstruktur beinhaltet Domänencontroller, die alle die gleiche Schemapartition und die gleiche Konfigurationspartition replizieren (plus ab Windows Server 2003 die gleiche ForestDNSZones). Diese Domänencontroller können in dieser Gesamtstruktur eine Domäne oder mehrere bilden. Wenn es mehrere Domänen sind, können diese einen kontinuierlichen Namensraum umfassen (firma.de, sub.firma.de, sub2.firma.de, sub.sub2.firma.de) oder mehrere (firma.de, firma2.de, wasanderes.de).

Eine Vertrauensstellung zwischen zwei Gesamtstrukturen vereint diese nicht zu einer neuen, einzigen Gesamtstruktur. Das würden die jeweiligen Administratoren nicht mögen. :D Zum anderen findet trotz Vertrauensstellung keinerlei Replikation zwischen Domänencontrollern verschiedener Gesamtstrukturen statt. Das würden die jeweiligen Administratoren nämlich ebenfalls nicht mögen.

Für eine Gesamtstruktur ist mindestens eine Domäne mit mindestens einem Domänencontroller nötig. Für eine Vertrauensstellung zwischen zwei Gesamtstrukturen benötigt man demnach mindestens zwei Domänencontroller in zwei verschiedenen Domänen in zwei verschiedenen Gesamtstrukturen. :confused:

Hallo,

Licensing Details

Ich würde das wiki dann später gerne per http://serverip/wiki erreichen, genauso wie ich es beim owa per /exchange mache.

OWA mittels http ist Unsinn und unsicher, da Anmeldedaten unverschlüsselt übermittelt werden. Hier gehört je nach Umfeld und Anwendung ein SSL-Zertifikat einer internen Zertifizierungsstelle oder einer kommerzieller hin, damit der Aufruf über https vorgenommen wird. Das müsste für jemanden, der sich mit Webseiten beschäftigt, eine kleine Sache sein, da es sich um eine Standardkonfiguration handelt.

Für die zweite Webseite bietet sich die ebenfalls einfach Lösung an, auf dem SBS eine zweite interne IP-Adresse einzutragen, z.B. 192.168.100.13. Anschliessend bindest Du die Standard-Website des SBS mit Port 80/443 explizit an die bereits vorhandene IP-Adresse und Deine neue mit Port 80 an die zweite IP-Adresse. Das ist ebenfalls eine Standardkonfiguration, wenn verschiedene Webseiten über den gleichen Port erreichbar sein sollen. Vergiss nicht die korrespondierenden DNS-Einträge.