-rk-

Hallo, ich habe hier eine alte Exchange 2010 CD, mit der muss ich was testen (Schemaerweiterung im AD). Leider habe ich kein CD-ROM Laufwerk mehr. :( Jetzt habe ich Google nach einen Download-Link für ein Ex2010 ISO-Image gefragt und auch Antworten bekommen. Aber leider sind die offiziellen Microsoft-Links alle down oder bewusst nicht im Index und alle anderen Links sind nicht von MS. Kennt ihr noch einen offiziellen Download-Link, der funktioniert? Ich habe eigentlich keine Lust 50 Euro in Form eines externen CD-ROM Laufwerkes für ein einmaliges Problem auszugeben... Edit: Ok. Ich löse mal selbst. Einfach Exchange 2010 SP 3 runterladen und installieren. Ich hatte vergessen, dass die SP's in dem Fall auch für eine vollständige Installation geeignet sind.

Akt 1: Ein Windows 7 Client ist im Corporate-Lan und zieht sich, völlig korrekt, 12 GPOs und wendet die an. Akt 2: Der User und das Notebook verlassen das LAN und reisen in ein 'unfreundliches' Drittland. Es kann normal (lokal) gearbeitet werden. Allerdings stellt sich schnell heraus, dass eine GPO (Bildschirm Auto Lockscreen) im Kontext der Aufgaben des Users richtig Probleme macht und abgeschaltet werden soll. Dabei wird festgestellt, das die entsprechenden Einstellungen in der Systemsteuerung ausgegraut sind, da diese Einstellungen ja über eine GPO gesteuert werden. Darauf hin wird in der Zentrale die GPO entfernt und der Client versucht via VPN ein GPUPDATE /force. Das geht leider schief (kein Connect zu irgendeinem DC). Die Security-Leute ermitteln, dass das 'unfreundliche' Drittland die VPN-Verbindung aktiv manipuliert. Das ist in dem Land auch nicht überraschend. Akt 3: Es gelingt dem User-Admin, der auf den Client mittlerweile via Teamviewer Zugriff hat, NICHT, die GPO zu löschen bzw. ausser Kraft zu setzen. Frage: Wie lösche ich eine bestimmte GPO ohne die anderen GPOs zu löschen und ohne dass sich der Client mit einem DC verbinden kann? Aus dem Internet habe ich nur Lösungsansätze, die ALLE GPO löschen würden. Das ist aber nicht gewollt. Leider konnte der User-Admin auch durch das löschen / setzen entsprechender Registry-Einträge nicht erreichen, dass der User seinen Bildschirmschoner wieder abschalten kann. In der GPO (die ich mit einem PS-Tool ausgelesen habe) steht folgendes drin. Parse-PolFile -Path C:\Registry.pol KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : ScreenSaveActive ValueType : REG_SZ ValueLength : 4 ValueData : 1 KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : ScreenSaverIsSecure ValueType : REG_SZ ValueLength : 4 ValueData : 1 KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : SCRNSAVE.EXE ValueType : REG_SZ ValueLength : 80 ValueData : rundll32.exe user32.dll,LockWorkStation KeyName : Software\Policies\Microsoft\Windows\Control Panel\Desktop ValueName : ScreenSaveTimeOut ValueType : REG_SZ ValueLength : 8 ValueData : 300 Wie bekomme ich die GPO vom Rechner bzw. ermögliche dem User, die Settings wieder selbst einzustellen. Der User ist kein Admin auf seinem Gerät.

Danke. Für das Modul smbShare ist der Fileserver zu alt, wie ich feststellen musste. Aber mit Powershell und der Zeile Get-WmiObject win32_share | where {$_.path -like '*\*'} | select -Property name,path hat das auslesen dann funktioniert.

Ich muss (Test-)Umgebungen immer wieder automatisiert aufbauen. Im Rahmen dieses Prozesses muss ich auch Shares so anlegen, wie sie auf einem 'Referenz-Server' vorliegen. Um Shares zu kopieren, kenne ich die Methode, den Zweig HKLM\SYSTEM\CurrentControlSet\Services\LanmanServer\Shares zu exportieren, ggf. anzupassen und auf der Zielmaschine wieder zu importieren. Ist das heute immer noch best practice?

Du hast recht. Mehr als Schwarz auf Weiß geht nicht. Nur leider ist die Schrift nicht Schwarz. Sie ist zu 20% Grau (Hex 333333). Schwarz wäre Hex 000000. Der verwendete Font, OpenSans, ist ebenfalls suboptimal weil viel zu schmal und filigran. Damit bin ich mit meinen 2 cent durch. Und es freut mich, wenn du das gut lesbar findest. Ich sehe das komplett anders. Im wahrsten Sinn des Wortes. Wer mag, kann sich diese Seite ja mal mit diesem Chrome-Plugin https://chrome.google.com/webstore/detail/high-contrast/djcfdncoelnlbldjfhinnjlhdjlikmph?hl=de und der Einstellung 'Kontrasterhöhung' ansehen. Dann wird der Unterschied sehr deutlich. AFK.

Zum Design: Danke. Endlich responsiv. Zum Kontrast: geht leider gar nicht. Einer eurer Admins, der die 50 schon überschritten hat und eine Brille trägt möge sich die Seite bitte mal auf einem Flachbildschirm ansehen, der mindestens 5 Jahre als ist. Weitere Hinweise gibt es, leider nur auf Englisch, hier: http://contrastrebellion.com

Hallo, ich habe eine GPO (um Fragen vorzubeugen; von der Firmenleitung so ausdrücklich gewünscht): Benutzerkonfiguration (Aktiviert) Einstellungen Systemsteuerungseinstellungen Lokale Benutzer und Gruppen Gruppe (Name: Administratoren (integriert)) Administratoren (integriert) (Reihenfolge: 1) Lokale Gruppe Aktion Aktualisieren Eigenschaften Gruppenname Administratoren (integriert) Mitglieder hinzufügen NT-AUTORITÄT\INTERAKTIV Die ist mit der Domäne verknüpft und soll bewirken, dass jeder AD-User auf dem Rechner an dem er gerade angemeldet ist auch lokaler Admin ist. Als Fehler führt es leider auch dazu, dass man sich auch an einem Server per Remote Desktop mit seinen Benutzer-Creds anmelden kann, da da der User automatisch auch lokaler (Server-)Admin ist.. Um das zu verhindern, habe ich die GPO auf Domänenebene gelöscht und neu mit der OU 'Firmenrechner' verknüpft. Darin (und nicht in 'Computers') befinden sich alle Rechner der Firma. Nachdem ich auch noch für diese OU den Loopbackmodus aktiviert habe und die GPO auf 'erzwingen' gesetzt habe, funktioniert das jetzt anscheinend wie gewünscht. Ist das der beste Weg? Geht es besser? Eigentlich wollte ich die GPO auf der Domänenebene lassen und nur Ausführung in der OU 'Firmenserver' verhindern. Bei den Delegationseinstellungen konnte ich aber diese OU nicht sehen bzw. auswählen. Ich hätte hier nur händisch die Server namentlich eintragen können, nicht die Gruppe an sich. Warum kann ich hier keine OU (bzw. nicht diese OU) auswählen?

Ich muss ASAP (sprich: es kommt auf Stunden an) einen Server 2012 R2 in Betrieb nehmen. Das Problem: die mitgelieferte Server-Software-Lizenz ist falsch geliefert. Die richtige (Lizenz) ist im Zulauf, wird mich aber erst in ein bis zwei Tagen erreichen. Wir sprechen von OEM-Lizenzen. Wie kann ich den Rechner jetzt schon in Betrieb nehmen? Die Key-Eingabe kann ich ja nicht überspringen. Kann ich einen der bei Microsoft im Internet auffindbaren 'generischen' (https://technet.microsoft.com/en-us/library/dn303421.aspx oder https://technet.microsoft.com/en-us/library/jj612867.aspx) Keys verwenden und dann den Key in 1-2 Tagen gegen den richtigen austauschen? Ein Volume- o. ä. Lizenzvertrag mit MS existiert nicht.

Danke. Den SERV08 erst mal demoten und als FS weiter nutzen. Die Lösung lag so nahe, dass ich sie nicht (mehr) gesehen habe. So werde ich es machen.

Im Kern geht es darum, dass bei einer Domäne der Betriebsmodus erhöht werden muss. Von 2008 R2 auf 2012 R2. Die Mutterkonzern-IT wünscht das, eine Erklärung dafür gibt es nicht. Das Tochterunternehmen muss es machen. Und zwar innerhalb von wenigen Tagen. Die Eile hat politische Gründe, es besteht für die Tochter-IT absolut keine Option, den Termin zu verschieben. Das nur als Erklärung für die Umgebungsbedingungen. Damit das bis zum Stichtag umgesetzt werden kann, muss ein DC, der gleichzeitig auch als Fileserver dient, und auf dem 2008 R2 läuft (Servername: SERV08), durch einen Server ersetzt werden auf dem 2012 R2 läuft (Servername: SERV12). Das Konzept DC und FS auf einer Maschine ist nicht schön, aber aus Kostengründen derzeit ebenfalls nicht verhandelbar. Es gibt noch einen weiteren DC, der läuft bereits mit 2012 R2 (Servername: DC3). DC3 ist nur AD-Backup (neben der periodischen Serversicherung) und hat ansonsten keinerlei Plattenplatz. DFS ist nicht im Einsatz. Im AD gibt es knapp 200 User, die Daten im Filesystem sind zusammen ca. 1 TB groß. Die Herausforderung ist, aus meiner Sicht, der durch die Migration notwendige Namenswechsel der Shares. Die liegen derzeit alle auf SERV08\Freigabename\. Das gilt auch für HOME und PROFILES (also die servergestützten Profile). Die Zeit ist sehr knapp, daher möchte ich so schnell wie möglich die Migration beginnen. Ich muss noch ein paar Tage auf die Hardware warten und wollte in der Zwischenzeit, wenn das Sinn macht, auf SERV08 einen DFS-Namespace für alle Shares in Betrieb nehmen und damit schonmal virtuell umziehen. Aus SERV08\Freigabename soll also im Prinzip DFS01\Freigabename werden. Da die User in der Regel mit durch GPO gemappte Laufwerksbuchstaben arbeiten, sollte das der Großteil der User nicht bemerkten. Wenn dann die Hardware für SERV12 im Hause und eingerichtet ist, wollte ich im Rahmen einer Downtime mit dem 'File Server Migration Toolkit' die Files umziehen und dann das DFS 'umhängen'. Wenn der Schritt abgeschlossen ist, soll SERV08 außer Betrieb genommen und entsorgt werden. Als letzter Schritt soll dann der Betriebsmodus auf 2012 R2 erhöht werden. Ich habe mit DFS bisher noch nicht gearbeitet, würde es danach aber gerne beibehalten (der nächste Serverumzug kommt bestimmt). Machen meine Schritte Sinn? Muss ich bei HOME und PROFILES etwas besonderes beachten? Stehen die Pfade vielleicht im AD? Wenn ja, wie ändere ich die dort am sinnvollsten? Gibt es einen sinnvolleren Weg?

Wer sagt das bzw. wo steht das?

Ich habe nochmal recherchiert. ihr habt alle recht: "Down-level management - you can now use Hyper-V manager to manage more versions of Hyper-V. With Hyper-V manager in the Windows Server vNext and Windows vNext, you can manage computers running Hyper-V on Windows Server 2012, Windows 8, Windows Server 2012 R2 and Windows 8.1." Quelle: https://technet.microsoft.com/de-de/library/Dn765471.aspx#BKMK_Mgmt Von Hyper-V 2008 R2 ist nicht die Rede. :(

ich habe mir die RSAT Tools für Windows 10 heruntergeladen. Leider komme ich mit dem Hyper-V Manager nicht auf meinen 2008R2 Hyper-V Server drauf. ""Fehler beim Versuch eine Verbindung mit dem Server XX herzustellen. Vergewissern sie sich..." Der Zugriff per "AD Users and Computers" auf den DC (auch Windows 2008R2) ist von der selben Maschine mit den selben Creds problemlos möglich. Firewall ein/aus führt zu keiner Änderung. Die Eventlogs beider Systeme sind leer. Von einem anderen Rechner (Win 7) funktioniert der Zugriff via Hyper-V Manager. Ist das ein Generationen-Problem? Wenn ja, kann man das irgendwie wegpatchen? Serverumstellung auf 2012 kommt erst in 2016.

Ich habe mir zum Betrieb eines 802.1x Wlan eine CA mit einem selbst signierten Zertifikat erstellt. Servername: wlan1.firma.de Das hat auch geklappt. Und, mit Einführung von Windows 10, tritt das Problem auf, dass die neuen Win 10 Clients keine Wlan Verbindung aufbauen, weil sie das Serverzertifikat nicht verifizieren können. Das geht erst, wenn ich das Root-Zertifikat für firma.de manuell auf den jeweiligen Client kopiere. Um das Problem zukünftig nicht mehr zu haben, wurde bei einer externen Zertifizierungsstelle ein Zertifikat für wlan1.firma.de gekauft. Gibt es eine Möglichkeit bei Server 2008 R2 dieses Zertifikat auszutauschen ohne die ganze CA wegzuwerfen und neu zu bauen?

Eigentlich ist es doch ganz einfach: Unklarheiten in Verträgen gehen immer zu Lasten des Verwenders. Wenn ich als Vertragspartner möchte, das etwas ausdrücklich verboten ist, muss ich es klar und deutlich benennen. Je uneindeutiger ist das formuliere, desto größer ist meine Chance zu scheitern wenn ich irgendwann in der Zukunft auf dem Rechtsweg versuche, das Verbot durchzusetzen bzw. die vereinbarte Kompensation einzufordern.

Vielen Dank für die erhellenden Informationen. Ich habe wieder mal einiges gelernt. Bei den 'Services' handelt es sich primär um die Nutzung der DHCP- und DNS-Dienste. Wir bringen jetzt kleine Raspberrys in die Besprechungsräume, die entkoppeln diese Services zuverlässig. Damit betrifft uns das Thema Lizenzen für Gäste nicht mehr. Eine Bemerkung zum Schluss: das Thema der CAL-Lizenzierung ist meiner Meinung erschreckend unzeitgemäß und fehleranfällig umgesetzt. Ich hoffe, dass Microsoft in naher Zukunft auch an dieser Front modernisiert.

In aller Regel erhalten sie nur den 'Internetzugang'. Einige wenige Gäste erhalten zusätzlich Zugang (Routing) zu einem vollständig Microsoft-freien Softwareentwicklungs-RZ.

Die DHCP / DNS Dienst werden über Microsoft Services bereitgestellt. Es gibt 8 Besprechungsräume in denen Besuchern bei Bedarf LAN oder WLAN zur Verfügung gestellt wird. Wir gehen mal von 4 (Tagen) * 4 (Besprechungen je Tag) aus. Das sind 16 Besprechungen je Woche und Raum. Das sind 128 Besprechungen in der Woche. Bei ungefähr jeder 4. Besprechung sind externe Gäste dabei. Also bei 32 Besprechungen je Woche. Bei jeder zweiten dieser Besprechung verwendet der Gast einen oder mehrere unserer Services. Also ungefähr 16 mal je Woche. Wieviele CALs müssten man denn in dem Fall für externe Gäste vorhalten? Mehr als eine genaue Zahl, interessiert mich die Mathematik dahinter.

Ich habe drei Standorte. A, B, und C. Alle drei Standorte sind durch ein transparentes VPN verbunden. Alle Server sind 2008 R2, A und C sind ganz normale DCs. B ist ein RODC. Wenn jetzt das VPN für mehrere Stunden ausfallt und dann wiederkommt, müssen sich die DCs und der RODC wieder synchronisieren. Kann ich diesen Vorgang irgendwie steuern? Ich möchte z. B. sicherstellen, dass das AD max. 3 Minuten nach dem Wiederaufbau des VPN mit der Synchronisation beginnt. A ist eigentlich immer der aktuellere Standort (mehr Leute da). Ich möchte also zuerst A mit C und dann A mit B synchronisieren. Gibt es einen Höchstzeitraum bis zu dem ein AD in einer nicht synchronisierten Umgebung maximal funktioniert? Kann ich also beispielsweise sicherstellen, das die drei Standort A, B und C auch dann noch funktionieren (im Sinne von Anmelden, Abmelden und DNS Anfragen ausführen) wenn das VPN ein Wochenende oder eine Woche lang ausfällt? Und kann ich davon ausgehen, dass auch in dem Fall nach einer Woche der Sync ordnungsgemäß ausgeführt wird. Vorausgesetzt natürlich, dass die Zeit bei allen Standorten identisch bleibt.

Windows 7 pro, OEM vom Hardwarehersteller, Office 2010 Volumenlizenz mit SA, weitere Details unbekannt; vermutlich Open Windows 7 pro, Office 2010 pro (also die Variante mit Access) Hardware kommt mit OEM Lizenzen. Office wird via open-? mit SA eingekauft. Hardware (Client- und Server): nein. Office: ja Eigentlich war der Plan, dass die Techniker von unterwegs auf einen (dafür neu geschaffenen) RDS-Service zugreifen. Dein Rückfrage bezgl. des Rechners im Office hat aber zu einem Umdenken geführt. Zukünftig soll es in der Tat so sein, dass das Notebook des Technikers im Office durchläuft (7x24) und sie von der Ferne aus genau auf ihr Gerät zugreifen. Dabei wird technisch sichergestellt werden, dass jeder Techniker nur auf sein eigenes Notebook zugreifen kann.

Hallo Daniel, vielen Dank für den Hinweis auf die MS SQL Server Lizenzierung. Das hatte ich vergessen. Es wird also auf einen External Connector und die Core-Lizenzierung de SQL Instanz hinauslaufen. Hauptgrund dafür ist die 'Zero-Management-Policy' in Bezug auf Lizenzmanagement. Um deine Fragen zu beantworten: jeder Account ist einem benannten User zugeordnet. Account-Sharing ist nicht gestattet und wird auch sanktioniert. Wenn du also einen Account hättest, dürftest du die Login-Daten weder an eine weitere Person weitergeben, noch dürftest du von deinem Recherche-Platz aufstehen und weggehen ohne dich abzumelden. Stell dir das System selbst als eine Art spezielle Knowledge-Base vor.

Noch eine Lizenzfrage. Die Hardware ist noch nicht beschafft, also 'grüne Wiese'. Die Lastfrage ist noch ungeklärt, daher weiß ich auch nicht, ob Blech oder VM. Ich habe einen IIS Server auf der Basis eines 2012R2 (mit ASP Programm vom Lieferanten und) mit MS SQL Datenbank (Details habe ich noch nicht, der Lieferant sagte wohl 'nimm das neueste'). Aus Sicherheitsgründen hat der Server keine Verbindung zum internen Netz. Die Befüllung der SQL Datenbank erfolgt regelmäßig mit Hilfe von Dump-Files. Spannend sind die User. Das ganze ist login only. Die User gehören nicht zur Firma und sind weltweit verteilt. Vermutlich werden es nicht mehr als 50-100 User. Die Userverwaltung erfolgt über ein Linux-basiertes LDAP-System. Die Authentifizierung erfolgt mit Hilfe von OAuth. Im LDAP gibt es knapp 50000 User-Konten. Zugriff auf den neuen Server wird durch setzen eines entsprechenden Flags im LDAP gewährt bzw. entzogen. Nach meinem Dafürhalten reicht hier (für den Zugriff der Externen) eine 'External Connector Licence'. Liege ich da richtig?

Derzeit läuft für die Techniker im Feld alles mit Linux. RDS mit Office ist eine neue Anforderung, hinzugekommen durch Kauf und Einführung einer Windows-only Software in dem Bereich. Im deutschen Office laufen, so weit ich weiß, Open-Lizenzen mit SA. Alle Hardware stammt von ein- und demselben Hersteller (u. a. Gold-Kompetenz Volume Licensing). der liefert die Lizenzen (und daher interessieren mich die Details nur am Rande) dafür immer mit. Der Einfachheit halber sind die der Firma CAL-seitig alle Mitarbeiter lizenziert, egal womit sie tatsächlich arbeiten. Zusätzlich gibt es für jedes Gerät mit Bildschirm eine Office-Lizenz.Der Chef will in seiner Firma an der Stelle keine Mietlizenzen. Das ist ein persönliches Ding, da kann man nicht rational argumentieren. Edit: die Rechner der Techniker im Haus sind physikalisch vorhandene Notebooks mit (wie bei allen) Windows 7 und Office 2010 drauf.

Die Situation: ein Team reisender Techniker greift via Internet auf einen RDS Arbeitsplatz mit Office zu. Das besondere dabei: diese Techniker sind aus Sicherheitsgründen ohne eigene Rechner-Hardware international unterwegs. Die vorhandene und vollständig lizenzierte Rechner-Hardware bleibt bei Aussendienst-Einsätzen im Office. Vor Ort (irgendwo auf der Welt) nutzen die Techniker die Hardware der Kunden. Von dort melden sie sich remote (und gesichert) auf ihrem Arbeitsplatz an. Ob und wie diese Kunden ihre Rechner (an denen die Techniker temporär sitzen) unter Windows betreiben (Remote geht technisch ja auch von anderen Plattformen aus) und ggf. lizenziert haben ist vorab unbekannt und darf (aus Gründen) auch keine Rolle spielen. Wie lizenziert man sowas? Ich vermute, es könnte mit Office 365 Lizenzen gehen. Die würde der Kunde bei Bedarf auch problemlos mieten. Einsetzen (sprich: installieren) will er sie aber auf keinen Fall. Edit: typo.

Danke für deine Rückmeldung. Das darf ich leider nicht. Aus dem Grunde hatte ich mich ja so unklar ausgedrückt. Aber ich habe eine Lösung. Einer der Anbieter verpflichtete sich am Freitag schriftlich, das Projekt von jeder Lizenzhaftung freizustellen. D. h. falls MS eine Falsch- bzw. Unterlizenzierung feststellt, übernimmt der Anbieter alle finanziellen Folgen. Vielen Dank für die Antwort.