StefanWe

ein SBS kann keien Vertrauensstellungen

Normalerweise hat die Hardware ja einen Hardware Wartungsvertrag von dem Hersteller. Dieser läuft meist 1-3 Jahre. Nach dem dritten Jahr wird es deutlich teurer, dann muss ma nschon überlegen, ob man verlängert oder nicht in neue Hardware investiert. Kommt auch drauf an, wie wichtig der Server für den Betrieb der Firma ist. Ein WSUS Server kann ja auch ruhig 5 Jahre laufen. Zudem komt es auch auf die benötigte Performance an. Wenn diese nicht mehr ausreicht, sollte über neue Hardware nachgedacht werden.

Verwaltung->TerminalServicesConfiguration dort das RDP Protokoll anklicken und auf Properties gehen. Dort steht unten welches Zertifikat er auswählt. Entweder du erstellst dir hier ein eigenes, was Standardmäßig so gemacht wird, oder du nimmst eins von einer CA. Wenn du das selbsterstellte auf die Clients haben möchtest, geh in den Certificate Store deines machine accounts und dort findest du einen Ordner RemoteDesktop. Dort ist das server Certifikate deines RDP Servers. Dieses exportierst du. Bitte OHNE den privaten Schlüssel. Und anschließend importierst du dieses auf deine Clients.

installiere auf den Clients das entpsrechende Serverzertifikat. Dann vertraut der Client auch dem Server und alles ist gut ;) Das Zertifikat findest du in den RemoteServices Konfiguration.

@Luke1: Baue dir mal eine Testumgebung mit Windows Server und XenApp 5 bzw. nun XenApp 6 auf. Versuche hier Photoshop zu publishen mittels Citrix XenApp Online Plugin. Du könntest auch das ApplicationStreaming von XenApp nutzen um Photoshop schneller auszuführen. Welche Bandbreite haben die Clients zum TS Server?

Ich habe jetzt nochmal die Registry durchforstet und noch einige Verweise auf die den alten Pfad gefunden und diese entsprechend geändert. Im "staging" Ordner liegen zahlreiche NTFRS_* Dateien, allerdings vom 01.02.2008. Dies ist das Datum, wo das ganze gecrasht ist. Sollten diese Dateien nach einer erfolgreichen Replikation verschwinden? Ich werde heut abend einmal den Server komplett neustarten. Vielleicht hat sich das ganze Problem dann ja schon behoben. Ansonsten mit dem Raus und wieder reinstufen. Ich habe eben Angst, das das AD doch nicht so sauber funktioniert und nacher alles gecrasht ist.

Also die Freigabe wird leider nicht manuell neu erstellt. Ich habe damals in der Registry einiges an Pfaden angepasst. ich vermute das hier noch irgendwo Pfade zum "alten SYSVOL" Verzeichniss liegen. Konnte aber nichts finden. Habe aufgrund der damaligen BerechtigungsProbleme das SYSVOL Verzeichniss von d: zu c: verschoben.

Guten Morgen, vor 2 Jahren habe ich bei einem Kunden einen DC ausgetauscht, Rollen übertragen, DNS übertragen usw usw. Alles ohne Probleme. Am zweiten Tag der Migration, als ich den DC neugestartet habe, kam das AD nicht mehr hoch. Fehler waren Berechtigungen auf dem Filesystem. Habe dann mittels Abgesichertem Modus und Registry Keys das AD soweit wieder hergestellt. Bis heute funktioniert das Anmelden am Domänencontroller einwandfrei. Die Ordnerfreigaben laufen usw. Es gibt zudem einen 2. DC. Auch hier funktionieren die Anmeldungen. Im DNS stehen auch beide DCs als Anmeldeserver drin. AD soweit in Ordnung. Nun ist mir folgendes aufgefallen, wenn ich ein Anmeldescript ins SYSVOL kopiere oder eine neue Gruppenrichtlinie erstelle, werden diese Objekte auf den jeweils anderen DC nicht repliziert. Kopiere ich die Objekte manuell, geht es einwandfrei. Interessanterweise taucht auch keine Fehlermeldung im Eventlog auf. Ich möchte ungern den Haupt DC aus der Domäne nehmen und wieder hochstufen. Bin mir bei der Konstellation nicht wirklich sicher, ob das alles so funktioniert. Habe leider keine Papers zu dem Thema gefunden. Habt ihr vielleicht ein paar Stichpunkte, wie ich die SYSVOL Replikation wieder zum fliegen bekomme ?

Wichtig ist, das du die Besitzberechtigungen auf die Unterordner vererbst ( kleiner Haken unten auf dem "Fenster" )

Also das Größte Problem wird wohl erstmal der Speicher sein. 16GB RAM ist knapp bemessen. Hast du mal ein paar Sitzungen Testweise auf RDS umgestellt und geschaut, wieviel Speicher eine Sitzung im Schnitt belegt ? Dann das zweite, willst du wirklich 50 User auf einen TS bringen? Was ist wenn dieser eine Ausfällt? Ist das ein Problem, das 50 Leute nicht mehr arbeiten können ?

Neue Updates und Servicepacks von Office installiert ? Office mal repariert ?

also den cisco packet tracer kann man nicht erweitern? bzw. eine "größere" version bekommen ?

Hi, ich habe die Software Cisco Packet Tracer 5.2. Allerdings habe ich hier nur Switch bis zum 3560. oder Router bis zum 2811. Gibt es die Packet Tracer Software auch für die großen Cisco Switches wie 45/65xx ? Bzw. für die ASA oder PIX Firewalls ?

ähm, wie sieht es mit servergespeicherten profilen, bzw. terminalserverprofilen aus?

immernoch besser als die Kabel aus der Wand zu reißen und zu schauen wo sie hinführen. Natürlich kann man auch anhand der MAC am Switch feststellen, welches Endgerät dort angeschlossen ist, aber dies ist genauso mühselig. Und zu wissen, welche Dose zu zu welchem Patchpanelport führt, ist schon nicht verkehrt.

Gibt doch genug Kabelprüfgeräte. Einfach jede Dose ablaufen und sehen von welchem Port da was kommt. Da muss dann halt mal ein Abend oder eher eine Nacht an Zeit investiert werden. Ist doch nciht zu viel verlangt

Hi, was nicht wirklich schön ist, aber hast du schonmal versuch zwei Standardgateways an die Clients per DHCP zu übertragen? So das beide Server das Standardgateway sind? Oder eventuell ein NLB Cluster einrichten und die virtuelle IP als Standard gateway nutzen?

@Carlos03: Dann stell dir einen weiteren Server in eine DMZ wo NUR die Webapplikation drauf läuft. Und lass nur diesen Server auf die DB Zugreifen. Somit sind deine Kundendaten "sicher". Vorausgesetzt die Kennwörter deiner Kollegen sind ebenfalls sicher genug. "1234" oder ähnliches sind keine sicheren Kennwörter, da würd auch ein Reverse Proxy oder ähnliches nicht helfen.

jetzt mal ganz anders, kann sein das ic hdas überlesen oder missverstanden habe. WAS willst du ins Internet stellen? Geht es darum eine https Webseite mit deinen Kunden Daten? Geht es um Remotesitzungen, um auf den gesamten Server zuzugreifen? Bei 1. Würd ich vielleicht sagen, nimm nen 2. Server, stell diesen in die DMZ und lass hier deine Webseite laufen, der dann SQL Querys an den internen SQL Server macht, wo deine Kundendaten liegen. Soll es eine Remotesitzung sein. Schau dir mal Citrix im zusammenspiel mit Safeword an. Da hast du eine 3Faktorauthentifizierung. Das bedeutet, jeder User hat einen Benutzernamen, ein Kennwort und zusätzlich ein Token. Das Webinterface zur Authentifizierung lässt du in einer DMZ laufen und lässt in die DMZ weder von dem LAN noch von dem Internet irgendetwas anderes rein als das was wirklich benötigt wird. Und du lässt dann NUR von der DMZ ins LAN deine ICA Sitzung zu. Dann bist du ziemlich sicher und wenn das jemand knackt, dann kann der auch ganz andere Sachen mit deinem System machen. Und du kannst deinen Draytek Router weiter nutzen.

also ne kleine Astaro Security Gateway bekommst du so zwischen 1000 und 2000 Euro. Du musst natürlich regelmäßig Signaturen updaten. Da laufen 2 Virenscanner drauf und die SPAM Filterregeln wollen ja auch upgedated werden, also hast du natürlich auch Jährliche kosten. Aber die hast du bei jedem anderen Produkt auch. Nimm die kleinste Astaro, dann hast du mehr als du brauchst. Wobei meiner Meinung nach würde auch der Draytek reichen, wenn du nur den Port 443 nach innen durchreichen möchtest und sonst NICHTS. 443 ist verschlüsselt und das einzige was dann erreichbar bzw. Angreifbar ist, ist dein IIS. Dieser sollte natürlich immer auf dem aktuellen Stand sein. Wenn du mehr sicherheit für den IIS haben willst, hilft dir nur ein Reverse Proxy und da kannst du dir auch eine virtuelle Maschiene mit Squid ( ich meine Squid kann reverse Proxy) bauen und schaltest diese zwischen den Draytek und dem IIS. Dann landen Verbindungsversuche oder Angriffe erst auf dem Proxy und vom Proxy wird die Verbindung neu zum IIS aufgebaut. Weil, wenn du nur die Astaro nimmst und den Port 443 auf den IIS weiterleitest, bist du genausoweit wie mit dem Draytek, hast nur ne Menge mehr Geld ausgegeben. Ob Astaro nun ab Version 8 ReverseProxy kann, kann ich dir leider nicht sagen. Edit: Also wir haben hier zig webserver gehostet ohne ReverseProxy. Sind deine Daten auf dem SBS "sooo wichtig" das man diese unbedingt haben möchte? Bzw. wie hoch besteht das Interesse an den Daten?

schau welches den fqdn deines servers trägt.

ich bin mir nicht 100% sicher, aber ist ab 2008 nicht die Unterstützung für win98 erloschen ? Oder gilt das nur für den Domänen bzw. Gesamtstrukturmodus ?

nein, da hab ich schon nachgesehen. der Drucker verändert sich ja vor allem auch wenn der user angemeldet ist und z.b. den ganzen Tag Word offen hat. Am Anfang des Tages ist dann druckera der standarddrucker. und irgendwann auf einmal drucker b

Userprofile sind in Ordnung. Würd ich mich jetzt einfach mal sehr weit mit aus dem Fenster lehnen. Aber das mit den Druckern bei fast allen Usern passiert. Muss UPHC eigentlich vorher installiert sein, oder kann man anschließend noch die Profile reparieren ?

ansonsten hätte es auch eine reperaturinstallation getan.