S.R.

Hallo, vielen Dank für deine Mühe - das Zertifikat liegt nun auch im "Lokalen Computer"-Verzeichnis. Hatte dies schon häufiger hin und her geschoben, aber keine Änderung war erkennbar. Wir verwenden hier keinen ISA-Server und ist auch aktuell nicht geplant. Wir verwenden eine Linux-Firewall auf Basis von IPTables. Da wäre dein Verfahren dann nicht möglich - bzw. ist mir da kein Weg bekannt. Mal schauen, was Google dazu meint :-) Dankend Stefan

Hallo, vielen Dank für deine Mühe. Allerdings stehe ich da mit dem FQDN noch wegen eines dann auftretenden Problems auf Kriegsfuß - vielleicht fällt dir dazu ja auch was sinnvolles ein: Unsere Firewall lauscht auf alle unsere externen festen IPs und leitet dann gewissen Ports an gewisse interne Server weiter. Der Server hat also z.B. den Namen: internerServer.Domain.local, von außen ist er aber nur über ts.domain.de erreichbar. Da würden die FQDN ja nie zusammenpassen, was ein Problem darstellen würde. Vielen Dank für deine Mühe Stefan

Hallo, wie auch in den HowTo zu lesen, habe ich ein Webserver-Zertifikat erstellt und anschließend installiert. Dann steht es unter "mmc - zertifikate - aktueller Benutzer" im Bereich "Eigene Zertifikate". Im HowTo steht "Mit Bearbeiten, die Schaltfläche für Zertifikate, kann man das Zertifikat auswählen und bestätigen. Der korrekte DNS Name muss im Feld Zertifikat angezeigt werden, damit das Zertifikat nutzbar ist!" Was genau meint man dort mit "korrekter DNS Name"? Wenn ich auf dem Server "nslookup IP-Adresse" eingebe, dann steht dort server.domain. Wenn ich das neu erstellt Zertifikat öffne, dann steht dort unter "Ausgestellt für:" auch server.domain. Trotzdem wird das Zertifikat unter server RDP-Konfiguration nicht angezeigt. Das HowTo bezog sich auf W2K3, allerdings verwende ich W2K8. Gibt es hier eventuelle Anpassungen, die mir nicht geläufig sind? Vielen Dank Stefan

Hallo, ich möchte meine Windows Server (die hauptsächlich über remote - also RDP - administriert werden) mit SSL/TLS absichern. Dazu habe ich mir von der CA (eigener W2K3 Server) ein Zertifikat erstellt und dies auf dem ersten Test-W2K8-Server eingerichtet. Wenn ich in mmc mir die "Zertifikate - Aktueller Benutzer" anschaue, dann steht dies aktuell unter "Eigene Zertifikate - Zertifikate" und ist dort auch korrekterweise mit "Sie besitzen einen privaten Schlüssel für dieses Zertifikat" markiert. In den "RDP-Tcp Eigentschaften" habe ich unter "Allgemein" ausgewählt: - SSL (TLS 1.0) - FIPS-konform - Zertifikat => hier kommt das Problem :-) Klicke ich auf "Auswählen", dann erscheint eine Liste mit den Zertifikaten, die verwendet werden können. Allerdings ist diese Liste leer und ich weiß zum Verrecken nicht, wie ich hier Zertifikate reingeladen bekomme bzw. wo diese liegen müssen, damit diese dort angezeigt werden. Hat jemand von euch einen Idee, was ich vergessen habe bzw. falsch gemacht habe? Das kann doch eigentlich nicht so schwer sein, oder? Dankend Stefan

Hi, vielen Dank für deine Mühen - Vorschlag 2 hört sich sehr interessant an. Wenn ich das richtig verstehe: - ich behalte meine Server "WSUS" - ich setze einen neuen Server "WSUS-Downstream" auf - die Notebooks kommunizieren dann mit WSUS und holen sich die Updates von WSUS-Downstream - WSUS-Downstream sagt dann: hol dir die Updates direkt von Microsoft Sehe ich dies soweit richtig? Was sich dann aber mir als Frage stellt: Woher wissen die Notebooks, dass die Updates auf WSUS-Downstream liegen? Oder kommunizieren die Notebooks dann direkt mit WSUS-Downstream? Das würde dann bedeuten, dass nur Port 80 (bzw. 443 für SSL) an der Firmen-Firewall auf WSUS-Downstream weiter geleitet wird? Vielen Dank Stefan

Hi, vielen Dank für deine schnelle Antwort - aber wo kann ich denn bitte unterschiedliche Angaben machen? Oben in dem Feld gebe ich doch "Anfrage und Download" an und unten den Wert für "Statistik" - oder sehe ich das falsch? Bzgl. Bits habe ich zwar schon einiges gelesen, aber noch nicht wirklich mit gearbeitet. Allerdings bin ich von der Idee der Bandbreitenregelung auch noch nicht wirklich begeistert :-) Vielen Dank Stefan

Hallo, wir haben seit gut einem Jahr WSUS in Verwendung und verwenden aktuell die Version 3.0 und sind damit sehr zufrieden. Bisher werden unsere internen Server und Rechner von unserem WSUS bedient - klappt reibungslos. Nun bekommen wir aber auch vermehrt Notebooks, die so gut wie nie in unserem Netzwerk sind. Auch diese möchten wir gerne über unseren WSUS-Server verwalten bzw. einsehen, ob alles korrekt läuft. Problem ist allerdings, dass unsere S-DSL Leitung nicht für den Versand von größeren Dateien (also die Update-Dateien) ausgelegt ist und auch nicht dafür missbraucht werden soll. Über diese Leitung soll sich das Notebook nur melden und den Status erhalten, welche Updates es von Windows-Update-Servern herunterladen soll => damit sollte die Auslastung relativ gering sein für die S-DSL Leitung. In den Gruppenrichtlinien habe ich mir daraufhin gerade mal die Einstellungen angeschaut und stehe jetzt vor einem Problem: Unter "internen Pfad für Microsoft Updatedienst angeben" kann ich zwar zwei Server auswählen, allerdings beinhaltet der erste Eintrag ja direkt beide Optionen (Anfrage + Download), die ich gerne geteilt hätte. Kann mir jemand einen Tipp geben, wie ich mein gewünschtes Szenario umsetzen kann? Wäre dankbar um jeden Tipp! Stefan

Hi, so n' richtig ordentliche Lösung schaukelt man mal nicht so eben aus den Armen. Hier gehört schon einiges mehr dazu... Wir bieten unseren Kunden eine zentral Administrations-Ebene in unserem Hause an, d.h. die E-Mails werden erst an uns geschickt und dann an den Kunden-Mail-Server. Der Rückweg läuft dann auch über uns. Bei Betrag schick mir einfach n' persönliche Mail, dann können wir mal ein bisschen quatschen, falls ihr beim Aufbau eures Systems Unterstützung benötigt. Bis dahin Stefan

Mal so ganz **** gefragt: Was soll der Spaß denn kosten??? Weil bei 20.000 Faxen freut sich auch sicherlich die Telekom ganz schön. Ist da n' Möglichkeit des Outsourcen net sinnvoller? Es wird doch sicherlich Firmen geben, denen man dann ein "Bild" schickt + Nummern und die das dann für einen verschicken, oder? Stefan

Hallo, schon mal etwas von Greylisting gehört? Aber auch das Thema reverse-DNS könnte von Belangen sein. Blacklisten gibt es wie Sand am Meer - einmal für Domains und dann noch für IPs. Vielleicht ist dies ja ein Ansatz für dich. Wir haben unsere eigenen DNS-Server und können darüber auch Kunden-Domains administrieren. Solltest du daran Interesse haben, dann schick doch einfach mal n' Mail an s.runkel 8 [ at ] sehen-design.de mit deinen Kontaktdaten, dann können wir mal drüber quatschen... Vielleicht ergibt sich ja was :-) Bis dahin Stefan

Hi, genauso habe ich mir n' Antwort erhofft. Mit diesem Wissen im Hinterkopf, freue ich mich dann doch auf die nun anstehenden Tests. Dankend Stefan

Hallo, wir haben hier noch einen alten W2K TS-Server stehen. Als ThinClients werden uralte Kisten mit Linux (ThinStation) genutzt - funktioniert reibungslos. Jetzt plant der Kunde, auf richtige ThinClients umzusteigen. Allerdings besteht die "Gefahr", dass wir in einem halben Jahr auch auf W2K8 umsteigen müssen, weil die darauf installierte Software dann nicht mehr für W2K supportet wird. Die Frage die sich also stellt: Macht es jetzt Sinn, so Standard 0-8-15 ThinClient bei ebay zu ersteigern, die definitiv unter W2K und W2K3 laufen oder ist davon abzuraten, weil diese dann nicht mit W2K8 kompatibel sind? Ich weiß nämlich nicht, wie's damit RDP-Versionen usw. aussieht... Vielen Dank für eure Hilfen Stefan

Hi, mir geht's auch in erster Linie nicht um Hochverfügbarkeit. Wobei ich sage: wieso ist der SPOF der Hyper-V? Habe doch zwei Hardware-Server und auf jeden packe ich eine Print-Node. Somit ist doch kein SPOF vorhanden, oder net? Ziel ist es eher, dass man in aller Ruhe mal eine Print-Node vom Netz nehmen kann, diese aktualisieren kann und dann wieder ins Netz nimmt, ohne das die Nutzer davon wirklich was mitkriegen. Dankend Stefan

Hi, vielen Dank für die Links. Die werde ich mir jetzt gleich anschauen. Nein - die Hyper-V Server sind individuelle Systeme, die nicht im Cluster laufen - sollen sie auch nicht. Es soll "nur" der Print-Server, der dann als Gast auf beiden Hyper-V Server läuft, als Cluster arbeiten. Und ein SAN haben wir auch nicht. :-) Es muss doch sicherlich auch ohne gehen, oder? Dankend Stefan

Hallo, bisher haben wir einen W2K3 Print-Server auf einer älteren, separaten Maschine laufen. Funktioniert auch soweit blendend. Die Verfügbarkeit ist net ganz so wichtig, aber wenn man mal Updates einspielen muss, neustartet und jemand drucken möchte, dann gibt des doch häufiger recht lästige Telefonate :-) Wir haben jetzt zwei neue HP DL380G5 mit W2K8 und Hyper-V. Daraus laufen jetzt schon einige VMs. Meine Idee ist jetzt, auf beiden Servern jeweils eine Print-VM zu erstellen, daraus dann einen Cluster zu machen, so dass ich hin und wieder auch mal eine Node runter fahren kann und über die zweite Node trotzdem problemlos gedruckt werden kann. Meine Fragen :-) 1) Ich habe kein NAS und es soll auch keins geben. Kann ich trotzdem einen Print-Cluster bauen? 2) Bin noch nicht so der Cluster-Freak, weiß aber, dass es unterschiedliche Typen gibt. Welcher ist für mein Szenario der passendste? 4) Hat jemand eventuell ein HowTo oder gute Seiten, in die ich mich vertiefen kann? 5) Gibt's irgendlwelche wichtigen Sachen, die ich berücksichtigen soll, Erfahrungen oder sonst etwas, was mir das Leben leichter machen könnte. Vielen Dank für eure Mühen Stefan

Hallo, wollte mal unverschämt kurz nachfragen, ob hier jemand eventuell weiter gekommen ist? Dieser Task ruiniert mir nämlich irgendwie meine Statisitk - habe es nämlich ganz gern, wenn in der MMC alles grün angezeigt wird :-) Dankend Stefan

Hallo, habe heute ein bisschen an der Kiste rumgespielt. Bei mir läuft das jetzt mit dem Zugriff. Problem war, dass die HP-Kiste zwei Netzwerkkarten hatte und damit kam Windows ohne Treiber nicht richtig klar. Nachdem ich die Treiber von HP installiert hatte und dann das DNS eingerichtet hatte, lief alles direkt. Vorher hatte ich nur noch die Firewall mit "netsh firewall set opmode disable" deaktiviert. Haben sich eure Probleme auch gelöst? Stefan

Hallo, ich richte in der Testumgebung soeben ein paar VLans ein. Dies klappt auch soweit ganz gut, wenn jeder Rechner genau einem V-LAN zugewiesen wird. Wenn ein Client mehrere V-Lans bekommt, dann macht der Client das nicht mit. Im Testbetrieb stehen die HP 2626 zu meiner Verfügung und in der Doku steht folgendes: Daher vermute ich, dass die Netzwerkkarte in dem Testclient (Vista Professional) diesen Standard nicht unterstützt. Liegt das dann am Treiber oder muss ich da was unter Windows nachinstallieren oder können das nur teure Server-Karten? Dankend Stefan

Hi, habe leider noch nicht weiter gemacht - wollte ich aber dieses Wochenende. Bisher vermute ich den Fehler, dass es an DNS liegt und der Server nicht richtig aufgelöst wird. Ich kann nämlich per IP drauf zugreifen, aber net per Name. Wenn's aber daran auch nicht liegt, dann weiß ich auch noch nicht weiter. Mit der Doku hast du Recht - ralle ich auch nicht. Wobei du kriegst ja die Meldung, dass der Zugriff verweigert wird. Ich kriege ja die Meldung, dass ein Dienst nicht gestartet ist. Vielleicht sind das doch unterschiedliche Probleme. Ich bleibe auf jeden Fall am Ball und werde berichten, sobald ich etwas Neues weiß! Stefan

Hi, ja - der Hyper-V Server ist Mitglieder der Domain - habe soeben auch im AD nachgeschaut und dort wird er auch brav angezeigt. Ja - das sollte so sein. Wenn nicht, dann sollte ja auch die Meldung "Hast keine Rechte, bitte anderen Benutzer-Account verwenden" oder so was in die Richtung kommen - aber nix mit RPC-Dienst - oder sehe ich das falsch? Dankend Stefan

Hi -wunderbar - da simma uns ja einig - wir arbeiten also mit einem "abgespeckten Coreserver". Ist auf diesem denn jetzt die Hyper-V Rolle installiert oder muss diese noch installiert werden? Ich würde ja behaupten: NEIN. Allerdings wundere ich mich dann, wieso ich nicht per mmc drauf zugreifen kann, obwohl die Firewall aus ist und der rpc-Dienst gestartet ist. Per PDP und Exlorer kann ich zugreifen - nur die Admin-Ebene für Hyper-V will net... Dankend Stefan

Ja, da habe ich mich wohl etwas unglücklich ausgedrückt. Ich meinte, dass es optisch so wirkt wie ein Core-System mit Hyper-V Rolle installiert und im Endeffekt sollte man es doch so auch angehen, oder nicht? Das mmc muss ich doch nicht auf dem Hyper-V Server installieren, oder doch? Weil bisher dachte ich, dass muss auf den Client, der auf den Server zugreifen möchte und unter meinem Vista-System läuft das auch (kann damit auch auf andere W2K8 Hypver-V Rollen zugreifen) Dankend Stefan

Hi, was meinst du mit, ist nichts drauf auf der CD? So wie ich das verstanden habe, ist dies eine Core-Installation von W2K8, hat aber nur die Rolle des Hyper-V und sonst nix. Oder sehe ich das grundsätzlich falsch? Dankend Stefan

Hi, und danke für den Tipp. Jetzt weiß ich wenigstens den Weg und das ich auf dem richtigen bin. Problem 1: Die Windows-Firewall auf dem Server hat natürlich geblockt. Diese hab ich erst Mal zu Testzwcken noch ausgeschaltet: netsh firewall set opmode disable Nun kann ich mich mit RemoteDesktop auf den Server verbinden - das ist ja schon mal ein Anfang :-) Wenn ich jetzt aber per MMC die Hyper-V Konsole starte und mich verbinde, sagt er mir, keine Verbindung hergestellt werden kann und ich daher die den rpc-Dienst starten soll. Leichter gesagt als getan :-) Versuch 1: sc \\localhost config rpcss start= auto => Fehler 5, Zugriff verweigert Versuch 2: net start rpcss => Der angegebene Dienst wurde schon gestartet Jetzt stehe ich noch vor der großen Fragen: muss ich (wie bei der W2K8 "Vollversion") auch noch die Rolle Hyper-V installieren? Davon gehe ich ja eigentlich nicht aus, da ich ja expliziet diesen Hyper-V Server 2008 installiert habe - der kann ja nix anderes. Hat jemand einen Tipp, in welche Richtung ich jetzt forschen soll? Dankend Stefan

Hallo, bisher setzen wir immer die HP DL380 G5 Server mit W2K8 DataCenter als unsere Host-Systeme ein. Dies hat bisher zu keinen nennenswerten Problemen geführt. Nun habe ich mir heute den neuen Hypver-V Server 2008 runter geladen und auf einem HP DL380 G5 installiert. Darauf soll unsere neue Test-Umgebung laufen. Erschreckender-Weise hat die Kiste nach der Installation keine GUI sondern nur ein Eingabefenster. Gehe ich richtig der Annahme, dass es sich hier um eine Art Core-Installation handelt und man sich nur über die PowerShell bewegen kann? Hatte bisher nämlich noch kein Verknügen/keine Zeit, mich in PowerShell und Core einzuarbeiten. Mein ersten Problem ist nämlich, wie ich von HP die ganzen Treiber installiert kriege (z.B. HP Teaming, Array-Manger, Überwachungs-Tools usw.). Kennt jemand hier gute HowTos, wie ich mich in das ganze Gebiet einarbeiten kann? Kenn mich mit MS-Server schon recht gut aus (auch mit dem Background der Technik) aber diese PowerShell und Core hat's noch nicht auf meinen Schreibtisch geschafft :-) Dankend für jeden Tipp Stefan