dmetzger

Also ich bin auch dieser Meinung:

1 Device CAL = 1 lizenziertes Gerät, das von einer beliebigen Zahl von Benutzern genutzt werden kann;

1 User CAL = 1 Benutzerlizenz für die Verwendung einer beliebigen Zahl von Geräten durch diesen Benutzer.

Habt ihr da nen guten Link oder Buchtipp wo ich mich weiter informieren kann ?

Du hast von uns bereits reichlich Stichworte und Hinweise erhalten, die Dir bei der Suche hier im Forum oder mit Google bei weitem helfen müssten, das nochmals zu finden, was wir bereits gepostet haben.

Ich denke dass ich mit einem Multidomain Zertifikat besser fahre, denn der Server ist bereits im Einsatz.

Ja und? Der Server muss ja bereits laufen, damit Du auf ihm das Zertifikat einbinden kannst. Und nochmals: Das geht mit dem bereits gekauften Zertifikat problemlos.

Weder theoretisch noch praktisch. Sonst hätten wir das als Möglichkeit aufgezeigt.

Vielleicht möchtest Du Dich bei Gelegenheit mit den Grundlagen von DNS und PKI vertraut machen?

D.h. das ich dort nur die externe Adresse benutzen müsste?

Ja. Und dann brauchst Du auch kein anderes Zertifikat, sondern kannst das bereits gekaufte verwenden.

@Ich frage mich wirklich was der bisherige Admin sich dabei gedacht hat.

Frag ihn doch. Vielleicht war er kein SBS-Spezialist und musste mit beschränkten Resourcen arbeiten, weil der damalige Auftraggeber kein Geld hatte? Falls Du herausfinden kannst, um wen es sich handelt und Du ihn erreichen kannst, ist dies für Deine Aufgabe möglicherweise hilfreich.

@aber komischer Weise der Server NUR 1 Netzwerkkarte besitzt.

Das ist nicht komisch. Es gibt viele Installationen von SBS 2003 Standard mit nur einem Netzwerkadapter und vorgelagerter Hardware-Firewall. Ab SBS 2008 ist das die Standardkonfiguration.

Du kannst selbstverständlich einen zweiten Netzwerkadapter einbauen und den neu installierten SBS entsprechend konfigurieren.

Securing Your Windows Small Business Server 2003 Network

Abschalten der Firewall im eigenen Netzwerk oder "richtig" konfigurieren.

Nie ausschalten, sondern richtig konfigurieren. Wir untersagen in unseren Netzwerken das Ausschalten der Windows Firewall per schriftlicher Richtlinie ausnahmslos und setzen dies per GPO durch.

Das Thema scheint für jemanden, der die Praxis nicht kennt, doch etwas "sehr schwer" zu sein.

Das Examen 70-680 richtet sich an IT-Personen mit Praxiserfahrung. Wenn Du bisher keine Praxis in einem Teilbereich hast, solltest Du Dir diese Praxis ggf. in einer (virtuellen) Testumgebung und/oder durch Schulung aneignen. Nur Theorie "durchzukauen", führt nicht zu dieser Praxis.

Die Thematik mit "DISM, MDT2010, WIM-Abbilder, Starttypen, Sysprep, etc" ist zwar sehr ausführlich, aber auch irgendwie verwirrend geschrieben.

Siehe oben.

Es gibt reichlich und umfassende Informationen als Grundlagen für eigene Testinstallationen und -deployments, z.B.:

Schrittweise Anleitung für die Windows-Bereitstellungsdienste in Windows Server 2008

Deployment Image Servicing and Management Technical Reference

http://www.microsoft.com/downloads/en/details.aspx?FamilyId=3BD8561F-77AC-4400-A0C1-FE871C461A89&displaylang=en#QuickDetails

Die Frage der Fragen lautet nun... wie ist der korrekte Ablauf, wenn man bei NULL beginnt, und was muss man zu welchen Zeitpunkt verwenden? Gibt es evt. jemanden, der das Thema auch aus der Praxis gut kennt und uns evt. näher bringen kann?

Wenn Du bei Null beginnen musst, ist der Besuch eines Kurses möglicherweise der richtige Weg:

Deploying Windows 7 Beta Business Desktops by Using the Microsoft Deployment Toolkit 2010 Beta

Aus der Kursbeschreibung kannst Du lesen, dass dies ein 3-Tages-Kurs ist. Meine Erfahrung als MCT ist, dass dieser Zeitumfang intensiv benötigt wird, damit Teilnehmer am Ende in der Lage sind, alle Werkzeuge kompetent zu nutzen. Es sprengt meiner Ansicht nach den Rahmen eines Forums, jemanden ohne praktische Erfahrung in Windows Deployment prüfungsreif zu instruieren.

Ein Willkommen auch meinerseits.

Es handelt sich um ein SBS-2003 mit 5 Clientlizenzen mit Exchange.

Auf wen sind die Lizenzen ausgestellt, welche Art von Lizenzen sind es, wurde abgeklärt, ob die neue Firma diese Lizenzen verwenden darf?

Ich persönlich kenne mich relativ gut in der PC Materie aus, nur mit SBS-2003 und exchange habe ich bis dato noch nie etwas zu tun gehabt,

Bist Du Dienstleister oder ist das Dein Hobby?

Ich hoffe hier die von mir bestimmt benötigte Hilfe zu bekommen, um das Netzwerk so einzurichten und zu verwalten wie es sich mein Bekannter erhofft.

Wir können Dir sicher die eine oder andere Frage beantworten, falls sie nicht ohnehin bereits im Board beantwortet oder bei Microsoft Technet dokumentiert ist.

Windows Small Business Server 2003 Solution Center

Wir werden Dich aber nicht an der Hand nehmen und Schritt für Schritt durch eine vollständige Installation führen. Dafür gibt es ggf. Dienstleister, die sich Erfahrung mit Small Business Server 2003 und Exchange Server 2003 erarbeitet haben und damit ihr Geld verdienen.

Nächste Fragen nach Abarbeitung dieser.

Siehe oben. Nutze ausserdem die Suchfunktion im Board, bevor Du Fragen stellst. Ich kann mir kaum vorstellen, dass in den vergangenen 7 Jahren nicht die meisten oder sogar alle Fragen zu SBS 2003 bereits beantwortet wurden.

Was mich auch zur Frage bringt, ob es sinnvoll ist, ein neues Geschäft auf Basis einer Netzwerksoftware aufzubauen, dessen Support durch Microsoft absehbar ablaufen wird und für das bereits Nachfolgeversionen (2008 respektive 2011) bestehen.

meinst eher das Root-Zertifikat der CA, oder?

Und zu dessen Verteilung benötigt er bei einer AD-integrierten Zertifizierungsstelle ohnehin kein zusätzliches GPO.

Building an Enterprise Root Certification Authority in Small and Medium Businesses

Meine Lösung für das ursprüngliche Problem des TO, falls sich interne und externe Domäne unterscheiden:

- Zusätzliche AD-integrierte Zone (keine dynamischen Updates) entsprechend der externen anlegen;

- extern gehostete Hosts dieser Zone (z.B. "www") mit deren externen IP-Adressen eintragen;

- Hosteintrag für Webmail (z.B. "mail" oder "webmail") mit interner IP-Adresse eintragen;

- Pfade für Exchange-Webservices anpassen (Set-WebServicesVirtualDirectory, Set-OABVirtualDirectory, Set-ClientAccessServer etc.), um Zertifikatsfehlermeldungen von Clients mit Outlook 2007/2010 zu beseitigen;

- gekauftes Zertifikat mit Enable-ExchangeCertificate an Exchange-Dienste (SMTP, IMAP etc.) binden, um Fehler 12014 etc. zu vermeiden;

- interne und externe URLs für Outlook Web Access in Exchange-Konsole anpassen (extern = intern).

Das System ist ein SBS 2003 mit Domäne.

Hast Du mindestens einen Client mit Windows Vista oder Windows 7 in der Domäne? Dann würde auch das funktionieren:

Group Policy Preferences: Getting Started

Using Group Policy Preferences to Map Drives Based on Group Membership - Ask the Directory Services Team - Site Home - TechNet Blogs

Den einen Client mit Vista/Windows 7 bentigst Du, um mit einer lokal installierten Gruppenrichtlinienkonsole (installiert und aktiviert mittels den RSAT) die Laufwerkszuordnung in einer GPO zu konfigurieren. Windows Server 2003 kennt die korrespondierenden Gruppenrichtlinienvorlagen nicht und kann sie daher lokal nicht zeigen.

Du kannst in den Laufwerkszuordnungen auch freundliche Namen (Labels) für die Netzlaufwerke definieren, z.B. "Mein persönliches Netzlaufwerk". Auf diese Weise werden diese nicht mit hässlichen UNC-Pfaden gezeigt.

Wie unterscheiden sich interne und externe Domäne?

Der "EA" ist quasi das höherwertige Zertifikat. Warum ausdrücklich noch mal den Realschulabschluss machen, wenn ich das Abitur schon habe?

Das sehe ich anders, wie schon beim MCSA (Systemadministrator) und MCSE (Engineer). Beide führen unterschiedliche tägliche Aufgaben aus, beide werden gebraucht. Die Aufgabenfelder eines SA zu kennen, kann einem EA helfen, ein besserer EA zu sein.

Tatsächlich habe ich meinen SA erst nach dem EA gemacht.

Zumindest ich werde bei Leuten, die zu viele Zertifikate in ihren CVs stehen haben, immer misstrauisch ...

Ich habe leider eine ganze Menge davon und muss sie als MCT auch haben, weil ich nur unterrichten darf, was ich selbst bestanden habe. Schade, dass unsere Freundschaft hier enden muss. :D

Doch die war geteilt in verschiedene Bereiche. Hab die letztes Jahr im April abgelegt.

Dann hat sich das seit der Beta doch geändert. Oder meine Erinnerung ist endgültig futsch. :cry:

Zur Klarstellung. :)

Forefront heißt die Produktkategorie bei MS, die irgendwas mit Sicherheit zu tun hat. Also bspw: Forefront TMG 2010, Forefront Protection 2010 for Exchange usw.

Aus dem Kontext meine ich schliessen zu können, dass es um den Forefront TMG geht:

http://www.mcseboard.de/ms-exchange-forum-80/mehrere-exchange2007-2010-server-173394.html#post1067675

Zeit und Geld sind weg ...

Wenn Dich Zeit und Geld reuen, um Dir weiteres Wissen anzueignen, erübrigt sich die Frage vielleicht ohnehin.

Ist das nicht eigentlich "Verschwendung wertvoller Resourcen" ?

Wie kommst Du auf diese Idee?

Hallo

Ein paar konzeptionelle Informationen:

How To Share Files and Folders over a Network for Workgroups in Windows Server 2003

Configuring Windows Server 2008 File Sharing - Techotopia

Shared Folders

Dann möchte ich Dich dazu anhalten, Gross- und Kleinschreibung zu verwenden und präzise zu formulieren. Das ist hier im Forum ein Muss.

Ist jetzt auch schon mehr als zwei Jahre seit meiner 70-649. Ich meine mich aber zu erinnern, dass es nicht 3 Teilprüfungen waren, sondern eine mit Fragen aus allen Teilbereichen. Die Zahl der Fragen ist mir entfallen - ich kann mich schon unmittelbar nach einem Examen selten an mehr als drei, vier Fragen erinnern. Ist wahrscheinlich das Alter. :shock:

In meinem Transcript ist unter "Microsoft Certification Exams Completed Successfully" auch nur die 70-649 eingetragen, keine 70-640 etc. Unter dem "Microsoft Certification Status" sind hingegen die 3 Teilbereiche "Windows Server 2008 Active Directory, Configuration", "Windows Server 2008 Applications Infrastructure, Configuration" und "Windows Server 2008 Network Infrastructure, Configuration" mit dem gleichen Dateum wie das bestandene Examen 70-649 eingetragen.

Danke, Samsam.

Das ist gute Wochenend-Lektüre. :D Auch wenns schon etwas älter ist, einfach so als konzeptionelle Darlegung.

Ich würde keinen Forefront TMG virtualisieren, sondern physisch in eine DMZ installieren. Das war kürzlich bereits Thema:

http://www.mcseboard.de/windows-server-forum-78/konzept-exchange-2010-microsoft-forefront-tmg-esxi-172956.html

Das wäre dann also das zweite frei werdende Servergerät, nachdem die Exchange Server 2003 entfernt sind.

Es gibt keinen speziellen Forefront TMG für Exchange Server. Der TMG kann aber das Anmeldeformular für Outlook Web App 2010 zeigen und die Authentifizierungsanfrage an einen AD/LDAP-Server im internen Netz weiterleiten. In diesem Fall wird das öffentliche Zertifikat für OWA auf dem TMG installiert, der auch Domänenmitglied sein darf. Auf dem CAS selbst wird die formularbasierte Authentifizierung deaktiviert und ein domäneninternes Zertifikat installiert.

Ist eine Standardkonfiguration, deren Einrichtung eigentlich wenige Minuten beansprucht.

Ebenfalls Gruss aus Russikon.

Du könntest ja von den beiden gut ausgestatteten Servern den einen zum zweiten Virtualisierungsserver machen, entweder mit ESX oder Hyper-V, was immer besser passt. Aber es bleibt im Kern dabei: ein E2K10 genügt vollauf für diese Zahl von Benutzern.

Die Idee wäre, den ersten Exchange 2003 1:1 auf einen VMHost virtualisieren damit ich die aktelle Hardware frei kriege.

Warum einfach, wenns kompliziert auch geht? :rolleyes:

Weshalb virtualisierst Du nicht gleich einen Exchange Server 2010 mit allen benötigten Rollen, verschiebst die Postfächer von den E2K3, transportierst das OWA-Zertifikat (wenn kommerziell), passt die internen DNS-Einträge an, entfernst die E2K3, und fertig?

120 Benutzer benötigen weder einen physischen E2K10 noch zwei davon.

Ich habe mal auf die Clients geschaut in die Computerrichtlinien.

Hast Du die "Lokale Sicherheitsrichtlinie" angeschaut oder die RSAT installiert und unter den Windows-Funktionen die GPMC aktiviert?

Weiß jemand Rat, wo genau ich noch nach der Ursache suchen soll?

Die Ereignisanzeige der Clients wäre ein guter Anfang.

Möglicherweise gibt es Gruppenrichtlinien-Einstellungen, die Du mit der GPMC auf den DCs mit Windows Server 2003 (es gibt KEINE BDCs mehr!) nicht sehen und bearbeiten kannst, weil sie per GPMC auf einem Windows 7-Client konfiguriert wurden. Stichwort: RSAT (Remote Server Administration Tools). Man benötigt für GPOs mit den zusätzlichen Richtlinien/Einstellungen für Vista, Win7, W2K8/W2K8R nämlich keine DCs mit W2K8/W2K8R2.