zahni

Ein Server mit 2 NICs ist immer problematisch. Was ist das Ziel? Sollen einige Geräte nur Internet-Zugang bekommen? Dann kann man den Gastzugang der FB konfigurieren, den man auch auf einen der LAN-Ports legen kann.

Und das macht dann auch Drag & Drop ohne Rückfrage....

Was steht denn in den Richtlinien? Für eine lokale Richtlinie braucht man keinen "Server-Zugriff". Lt: https://docs.microsoft.com/en-us/windows/security/information-protection/bitlocker/bitlocker-group-policy-settings#bkmk-unlockpol7 geht Entsperrung nur über SmartCard oder Password.

Eben. Wie glaubst Du meldet sich der WSUS bei einem Remote-SQL-Server an? Ein lokaler SQL-Server ist etwas Anderes.

Hallo, Bitlocker mit TPM schützt nur das Systemlaufwerk. Die Schlüssel der anderen lokalen Laufwerke werden für die automatische Entsperrung in der Registry gespeichert, die auf dem Systemlaufwerk liegt. Bitlocker "To go" (für Wechselmedien) funktioniert meiner Meinung nach nur mit Password. Eventuell lässt sich der Schlüssel auch in der Registry speichern. Will sagen: Wenn Du nur das USB-Laufwerk sichern willst, hat das AD oder der TPM damit nichts zu schaffen. Das geht so nicht.

Der Trick ist, dass sich sich das Computer-Konto des WSUS per Kerberos am SQL-Server bzw. der DB anmelden können muss. Irgendwo gab es da eine Anleitung von MS...

Eine richtige Lösung gibt es dafür nicht. Leider besteht Microsoft seit Windows 2000 darauf, das beim Verschieben via Drag & Drop eine Sicherheitsabfrage komplett überflüssig ist. Das verursacht auch bei uns nahezu täglich Aufwände im Benutzerservice. Selbst dem Ober-Admin passiert das mal. Daher benutzt der Ober-Admin den TotalCommander ;) Die Security-Events der Datei/Ordner-Überwachung möchte Dein Kunde nicht auswerten...

Das mit dem RAM ist die erste Voraussetzung. Dann könnte im BIOS z.B. NUMA noch abgeschaltet sein.

Zum RAM: Bei dem Prozessor sind z.b. 16GB TruDDR4 Memory (2Rx8, 1.2V) PC4-19200 CL17 2400MHz LP RDIMM nicht supported. https://lenovopress.com/lp0068-lenovo-system-x3650-m5-machine-type-8871 Auch unterstützt das Board bis zu 3 Channels. Die müssen auch korrekt gesteckt werden. Also entweder 1, 2 oder 3 Channels. Und wie geschrieben: Optimal ist es bei beiden CPUs den Ram exakt gleich zu bestücken. So wie auch die CPU'en das gleiche Stepping haben müssen.

Der die Ram-Größe erscheint mir etwas seltsam. Wie sind die RAM-Bänke bestückt? Jede CPU hat 12 DIMM-Slots. Wie sind die bestückt? Jede CPU sollte exakt identisch bestückt sein.

Wenn Du mal was zu Deiner Hardware und der Konfiguration der VMs schreiben würdest, könnten wir vielleicht helfen. So leider nicht...

Kurz mal zur irrigen Annahme, bei VMWare würde ein Linux-Kernel laufen. Das Ding nennt sich VMKernel und eine Entwicklung von VMWare. Sicher gibt es einige Dinge, die da übernommen worden sind. Richtig viel ist es aber nicht.

Was möchtest Du erreichen? Mit der Konfig bekommst Du einen "Multihomed"-Server. Der ist 1. als DC nicht supported und macht 2. nur Probleme.

Nö. Nur als Tipp: Überlege, was Du erreichen willst. Wenn der DL auch die Server-Software betreut, kommt er ran.

Ich kann hier nur auf die Doku verweisen: https://docs.vmware.com/de/VMware-vSphere/6.5/com.vmware.vsphere.security.doc/GUID-8D7D09AC-8579-4A33-9449-8E8BA49A3003.html Wie immer: Was soll damit erreicht werden? Siehe Thema Bitlcoker bei Windows 2019? Also welche potentiellen Sicherheitsprobleme will man lösen? In einem physikalisch sicheren RZ, halte ich die Verschlüsselung für ähnlich sinnfrei wie beim Storage. In die Regel ist das nur Aktionismus um irgendjemanden zu sagen: Da schau, ist doch sicher weil verschlüsselt. Dem Hacker, der in einem laufenden Server eindringt, ist die Verschlüsselung herzlich egal, weil die transparent im Hintergrund geschieht. -Zahni

Server bekommen bei uns keiner Adresse via DHCP. Ansonsten: Wenn der DHCP mal nicht da ist, laufen die DHCP-Clients trotzdem weiter. Bis ihre Lease abläuft. Wichtig wäre, dass man DHCPMediaSense deaktiviert hat. Sonst gibt es lustige IP-Adressen, falls jemand mal ein Netzwerkkabel rauszieht.

Wir haben halt viel HPE. Und auch Blades. Wenn die laufen, ist ja ok. Ausfälle gab es in letzter Zeit keine.

Lustig wird es, wenn jemand fordert, trotz sehr sicherem Serverraum, den Storage zu verschlüsseln. Klar bieten Netapp & Co da nun auch an. Sinn macht es nicht wirklich. 1. Muss man prüfen, wie und wo der Storage den Schlüsseln speichert / verwaltet, 2. lassen sich von einer einzelnen geklauten HDD kaum sinnvoll zusammenhängende Daten restaurieren. Bei Defekten kann man ich "ich behalte die alte Disk" buchen und die defekte HDD dann shreddern (lassen).

Lies Dir diese Seite mal durch: https://docs.microsoft.com/de-de/windows-server/get-started/supported-upgrade-paths

Wie ich schrieb: Man muss sich authentifizieren. Zu einem Gesamtkonzept gehört natürlich auch, dass man Sicherheitsupdates installiert. Und so einfach kommt man dann doch nicht an der Schlüssel ran. Das erfordert tiefgreifende Kenntnisse, die mir beispielsweise spontan fehlen würden. Der Server wird sicher nicht von der NSA geklaut. Das Gleiche gilt auch, wenn man Bitlocker auf einem mobilen Gerät einsetzt. Und die findet man mitunter im Soft-Standby vor.

Nicht ganz: Wenn der Server einen TPM hat (Schlüsselspeicher) und der Server nicht von USB, PXE o.ä. booten kann, muss ich sich ein Dieb nach dem Boot zwangsweise an Windows authentifizieren. Hier helfen auch keine Hack-Tools die irgendwie das Admin-PW zurücksetzen. Einige TPM-Implementationen überwachen übrigens auch die Hardware-Konfig und die BIOS-Setup-Einstellungen. Sobald dort dann etwas geändert wird, ohne den Bitlocker vorher anzuhalten, weigert sich der TPM den Schlüssel herauszugeben und Windows will den Recovery-Key wissen.

Eventuell, falls möglich, Windows mit UEFI und GPT neu installieren: https://www.dell.com/support/article/de/de/dedhs1/sln300937/beheben-eines-tpm-fehlers-der-während-der-bitlocker-verschlüsselung-auf-einem-dell-pc-angezeigt-wird?lang=de

Oder man stellt sie als Deko in ein Bücherregal, z.B. für Interviews und so...

Den Server musst Du eh bald dicht machen. Support für 2008 läuft aus. Ansonsten kann ich nicht helfen. Das Limit steht im Artikel.

Der Beitrag war nicht war auch nicht hilfreich. Ich bin durchaus in der Lage die Server selber zu konfigurieren. Ich habe nur keine Lust die Quickspecs zu lesen. Daher wird es am Konfigurator gemacht, dessen öffentliche Version HPE leider vor Jahren eingestellt hat. Nur für Docdata: Ich hatte mal ein Compaq-Zertifikat.