testosteron
-
Gesamte Inhalte
138 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von testosteron
-
-
Wieso willst du den Nutzern den Zugriff auf C nehmen. Das kann nicht klappen, mit was sollen die denn dann arbeiten - immerhin liegen da ja die Programme.
Arbeiten geht ohne Probleme.
Habe ich schon in einem anderem Netzwerk erfolgreich umgesetzt: Die Benutzer an sich haben keinen Zugriff auf die lokale Platten, und können nur Programme ausführen die schon installiert sind.
Administrativer Aufwand gleich 0 da sie nix kaputt machen können :) Herrlich :)
Nur dieses mal sind es halt zwei Standorte und der Fileserver steht leider am falschen Standort.
-
Zu kompliziert, oder bin ich einfach zu doof?
-
Hallo in die Runde,
ich muss ein wenig weiter ausholen damit Ihr mein Anliegen / Frage versteht. Villeicht gab es diese Frage auch schon und ich habe sie vor lauter DFS Beiträgen nicht gefunden.
Es geht um zwei Standorte.
Am Standort A sind alle Server vorhanden.
Am Standort B befinden sich nur 7 Workstations. Standort B ist via VPN an Standort A angebunden.
Beide Standorte hängen in einer Domain.
Was ich vor habe:
Ich möchte die Benutzer am Standort B sehr stark in Ihren Benutzerrechten einschränken (irgendwann auch am Standort A). Was mir dazu zu meinem "Glück" noch fehlt ist dass ich den Benutzern den Zugriff auf Laufwerk C komplett abschalten kann.Dazu müsste ich mit Ordnerumleitungen arbeiten, da die Benutzer sonst ja nicht mal mehr auf ihren persönlichen Ordner zugreifen können.
Meine Idee:
Am Standort B gibt es einen Rechner der eine Freigabe (UserShare) hat in der alle Ordnerumleitungen *(nicht die Profile) drin liegen.Am Standort A gibt es auf dem Fileserver die gleiche Freigabe und alles wird über DFS-N in einen Namespace gelegt. (Bis hierhin dürfte meine Überlegung noch OK sein)
Nun wird es kritisch:
Nun kann es aber in den seltensten Fällen auch mal vorkommen das ein Benutzer der eigentlich am Standort A arbeitet am Standort B auch mal an einen PC muss, und umgekehrt.
Also müssten die Ordnerumleitungen *(nicht die Profile) per DFS-R repliziert werden. Zwischen abmeldung Standort A und Anmeldung Standort B liegen mal mindestens 30 Minuten, eher ein ganzer Tag. (ist das auch noch OK?)
Plan zusammengefasst:
Ordnerumleitungen auf Namespace (\\domain.local\UserShare) Replizierung der darin enthaltenen Freigaben zwischen beiden Standorten.
*(Profile wären weiterhin lokal auf den jeweiligen Rechnern).
* => Klar wäre es schön auch die Profile Severgespeichert zu haben, aber:
1) ist wohl keine unterstützte Variante
2) wenn die VPN Verbindung mal zusammenbrechen würde könnten sich die User mit den lokal gespeicherten Profilen ja noch anmelden (wenn schon mal geschehen)
Habe ich einen riesen Denkfehler, oder kann man das so machen?
Viele Grüße
Christian
-
Hey Jan,
ja muss ja unverschlüsselt weiter gehen. SMTP ist ja ein unverschlüsseltes Klartextprotokoll.
Bin mal gespannt wie es weiter geht. :)
Danke erstmal!
-
Ganz ehrlich: Was bringt dann die SSL Verschlüsselung? Ist doch dann nur Augenwischerei. Oder habe ich was nicht verstanden?
-
Hallo in die Runde,
wir betreiben unseren eigenen Exchange Server der direkt die Mails Empfängt (MX Einträge) und auch direkt an den jeweiligen Empfängerserver verschickt.
Also kein Relay, POPCon oder sonst was.Nun stellt 1&1, Telekom, GMX usw. den Mailversand ja auf SSL um.
Könnte dies irgendwelche Auswirkungen für den Empfang und Versand haben (läuft ja eigentlich alles über TCP25)?!Ich bekomme einfach keine verlässlichen Infos was die Kommunikation der Server untereinander betrifft :(
Viele Grüße
Christian -
Hey in die Runde!
Bei den aktuellen Windows Updates scheint es ein Problem zu geben.
Nachdem diese installiert wurden, können die Clients keine DNS Abfrage mehr am Windows DNS Server machen!
Ich hatte dies heute schon bei zwei Servern (1x 2003, 1x 2008R2).
Beim 2003er hat es gereicht erst mal die Firewall zu deaktivieren.
Kann mir das irgendwer bestätigen?
Viele Grüße
Christian
-
Aha, und harmlos ist jetzt genau was? ;)
Naja, ich habe nix dagegen wenn die Schüler von zuhause ne Word Datei oder ein Bild mitbringen, und dies via USB Stick in ihr Profil laden
Wenn die NTFS-Berechtigungen passen, ist das IMHO nicht nötig.Sieh dir die SAFER.INI an, die verhindert das recht zuverlässig: Me, myself and I
Was diese SAFER.INI macht, habe ich per Gruppenrichtlinie definiert:
Alle Anwendungen, Bildschirmschoner, CMD Dateien, usw. die nicht unter C:\Windows, C:\Programme bzw. C:\Programme(x86) liegen können nicht ausgeführt werden.
Damit ist doch eigentlich gewährleistet das die Schüler keine Schadsoftware ausführen können.
Oder habe ich einen Denkfehler?!
Grüße!
-
OK, USB Sticks sollen zugelassen werden. Schließlich sollen die Schüler harmlose Dateien mitnehmen / mitbringen dürfen.
Ist sonst meine Richtlinie ausreichend, oder habe ich was vergessen?!
-
Dass es nicht 100%ig werden kann, ist schon klar. Aber halt so gut wie möglich.
Ansatz besteht darin dass alle lokalen Laufwerke ausgeblendet werden, und nur Dateien von vorgegeben Pfaden ausgeführt werden können.
Also wenn ein Schüler eine EXE oder BAT Datei in sein Verzeichnis lädt, kann er diese nachher nicht ausführen.
Regedit und CMD sind sowieso zu.
Oder doch lieber Drive?!
-
Hallo!
Ist es möglich einen Client (Win XP Pro oder Win 7) nur via GPO so abzusichern dass ein normaler User keinerlei Schaden anrichten kann?
Grund meiner Frage:
Wir haben zwar schon eine recht stickte GPO für Schüler (siehe Anhang), setzen aber dennoch Dr. Kaiser Drive ein.
Davon würden wir ggf. gerne los kommen, da unsere Version auch nicht mehr mit Windows 7 läuft und es mehr Aufwand bei Updateinstallation usw. verursacht.
Grüße!
Christian
-
Servus!
Wie soll denn deine Sicherung nun aussehen? Angenommen du lässt den DPM in einer VM laufen, wohin sicherst du denn?
Auf das schon erwähnte NAS. Darin laufen die Platten im RAID 1 Verbund. Zusätzlich werden die Daten jeden Tag auf ein externes Medium kopiert.
Willst du ein Agent-Backup der VMs machen, oder willst du nur ein Host-Level-Backup fahren?
Uns würde ein Host-Level-Backup / Image-Level-Backup völlig ausreichen. Klar, die Ressourcenauslastung wäre dann recht hoch. Ist aber egal.
Ich sagte ja auch nicht das du dir eine andere Software kaufen sollst ;) Ich habe lediglich deine Aussage, dass man Exchange nur mit DPM sichern kann, kommentiert :)
Okay :) 1:0 für dich *lach*
Also grob alles noch mal zusammen gefasst:
1) Alle Daten sollen auf das NAS gesichert werden (Vorgabe)
2) Die SQL Datenbank wird schon mehrfach täglich gesichert (läuft schon)
3) Der Exchange Server soll Täglich gesichert werden (WIE??)
4) Es soll in regelmäßigen Abstand ein Backup der VMs (eigentlich reichen die VHD Dateien) gemacht werden (WIE??)
Grüße!
-
Servus!
BTW: Was machst du wenn dir die Kiste mit allen Maschinen abraucht?!?Kein Problem: Es steht ein zweiter Server mit den gleichen Betriebssystem und Hyper V zu verfügung, der dann hochgefahren wird, die VHD Datei wird rüberkopiert und weiter geht es.
Das ist ja ein Klasse Konzept. Datensicherung ist bei euch wohl nicht so wichtig...
Falsch! Aber an den Servern wird nichts geändert. Die bleiben Softwaremäßig unverändert! Die einzigen Änderungen die stattfinden sind in der SQL Datenbank und im Exchange.
Die Datenbank wird schon mehrmals am Tag auf ein externes NAS gesichert.
Das einzige worauf es ankommt sind diese SQL Daten. Ob der Server nun den Stand von vor zwei Wochen hat, oder nicht ist egal!
Und das man Exchange nur mit DPM sichern kann ist unsinn, du kannst auch andere Backup-Software einsetzen, die die Sicherung von Exchange unterstützt.Okay, ich formuliere es um: Den DPM haben wir sowieso. Warum soll ich für einen andere Software auch noch Geld ausgeben?
Grüße!
-
Okay, und wie schaut es aus wenn der DPM in einer VM läuft?
Der Ressourcenverbrauch ist sch*** egal. Wir haben eine etwas überdimensionierte Kiste hier stehen.
Außerdem würde ich die VMs eh nur alle zwei Wochen mal nachts sichern. Da ist es dann egal ob die CPU endlich mal im zweistelligen Bereich ausgelastet ist, oder nicht :)
Meine eigentliche Idee bestand ja eh in der Skriptsicherung, die auch irgendwo im Internet rumgeistert. Soll heißen dass es auch egal ist wenn die Kisten mal für ne Stunde aus sind.
Aber da macht mir der Exchange ja einen Strich durch die Rechnung, da er sich ja, nach meinem Wissenstand, nur mit dem DPM sichern lässt.
Grüße!
-
Ich plädiere immer noch für einen physischen DC.
Kann ich leider nicht machen. Mein Chef ist froh dass wir nur noch einen Server haben....
Was wäre wenn ich dem DPM in einer extra virtuellen Maschine laufen lasse?
Primär geht es um die Sicherung des Exchange Servers. Der SQL Server wird mit Bordeigenen Mitteln gesichert.
-
Aber warum fügst du den nicht zu Domäne hinzu?
Mein eigentlicher Plan war es den DPM auf dem physikalischen Hyper V Server zu installieren.
Und diesen kann ich ja nicht in die Domain einbinden, da der Domain Controller ja virtuell auf dem physikalischen Server ist.
-
Hallo Oliver,
danke für deine Antwort. Wenn ich den Beitrag richtig verstanden habe gehen die aber davon aus dass der DPM Server schon läuft.
Tut er jedoch nicht, da die Installation ja nur auf einem Domänenmitglied möglich ist.
Oder hab ich mich da nun verlesen?
Gruß
Christian
-
Hallo!
Ich habe hier einen physikalischen Server auf dem Windows 2008 R2 läuft.
Auf diesem Server ist Hyper V installiert und es laufen vier virtuelle Maschinen drauf (Domain Controller, Exchange, Terminal Server, SQL Server).
Diese virtuellen Maschinen sollen nun gesichert werden.
Meine erste Idee war es sie via Data Protection Manager (DPM) 2010 zu sichern. Geht jedoch nicht, da der physikalische Server ja kein Mitglied der Domain ist.
Wie würdet Ihr das Problem lösen?
Grüße
Christian
-
Ich habe immer noch das Problem.
Hat einer mittlerweile eine Idee?
-
Ja hatte ich gemacht, nur nicht geschrieben...
-
Nö, bingt auch nix :(
-
Hey!
Leider keinen Erfolg :(
Nur zur Kontrolle ob ich alles richtig gemacht habe:
1) Beim Erscheinen der Meldung auf "Zertifikat Anzeigen" -> "Details" -> "In Datei speichern" -> *.cer Datei erstellt
2) Start -> Ausführen -> mmc -> Snap In hinzufügen -> Zertifikate (sorry dass ich dies nicht mehr wusste) -> "Vertrauenswürdige Herausgeber" -> Importieren und die Datei von 1) importiert
Meldung bleibt bestehen :(
Nächste Idee?
-
Muss kurz doof nachfragen: Mit certmgr.msc kommen ja nur die vom aktuellen Benutzer.
Wie ruf ich die fürs komplette System (also Maschinenspeicher) auf?
-
Hey!
Ich habe hier einen Exchange Server 2007 laufen und auf einem neuinstallierten Client Outlook 2010 installiert.
Beim Start von Outlook kommt die Meldung "Sicherheitshinweis .... Das Sicherheitszertifikat wurde von einer Firma ausgestellt die Sie als nicht vertrauenswürdig eingestuft haben".
OK, dachte ich mir, hatte ich ja neulich in einer anderen Umgebung schon mal.
Also wie damals auf Zertifikat Anzeigen -> Zertifikat installieren -> Assistent durchklicken -> Outlook neu starten -> Und: Misst, Hinweis kam schon wieder.
OK, dann den Speicherort manuell auf "Vertrauenswürdige Herausgeber" gesetzt und nochmal. Keine Besserung.
Im IE nachgeschaut: Zertifikat ist da.
Hab bis jetzt keine Lösung dafür und hoffe dass Ihr mir weiter helfen könnt.
Viele Grüße
Ordnerumleitung und DFS-N/R
in Windows Server Forum
Geschrieben
Habe ich schon versucht: Direkter Zugriff über VPN auf den Fileserver in der Zentrale. Fazit: Wenn ich das so einrichte werde ich gesteinigt! Das dauert zu lange :(
Mist, mein Plan ist eh erst mal dahin:
Wollte die Filiale so schlank wie nur irgend möglich gestallten (Firewall, einige Drucker sowie 7 Clients).
Dachte eigentlich das ein Client (Win 7 Pro) als Freigabe für die Dateien herhalten kann. Aber das geht bei DFS ja gar nicht :(
Und mit einem NAS (habe hier noch ein QNAP TS-459 rumfliegen) scheint es auch nicht ohne weiteres zu gehen :(
Also doch noch en Server in die Filiale. Oder hat irgendwer eine bessere Idee?