nerd

iih 15 °C. Hier in HongKong sind es etwas mehr als 30 °C bei fast blauem Himmel UND mein Arbeitstag ist schon fast vorbei :p

Hi,

also wie einige vorher schon geschrieben haben, sollte man möglichst versuchen Rollen auf Servern nicht zu bündeln. Das gilt insbesondere für Sicherheitskritische Systeme wie DC's. Neben dem Sicherheitsproblem bekommst du damit auch noch weitere Probleme z. B. beim Backup & Restore.

Der Benutzer der sich via RDP auf dem TS Anmeldet hat grundsätzlich die gleichen Rechte wie die, die er hätte wenn er sich lokal an dem System anmeldet. Wenn du die Sitzung also mit deinem DomAdmin startest, dann hast du auf der Kiste DomAdmin Rechte. Wenn du den Zugriff auf eine Anwendung z. B. mittels NTFS eingeschränkt hast, dann hat der Benutzer nur Zugriff, wenn er auf NTFS Ebene Berechtigt ist. etc.

Hi,

die meisten HP Kisten haben ein Windows mit drauf. Damit kannst du die ThinClients auch in die Domäne aufnehmen und soweit mir bekannt ist, kannst du auch die regulären Verwaltungswerkzeuge darauf anwenden. Grundsätzlcih solltest du dabei nicht nur die Updates der Software (Telefonie) im Auge behalten sondern auch das Update der Basissoftware - hier würde ich jedoch schauen was HP alles supportet und was nicht. Wenn du die Clients nicht mit Updates versorgst läufst du Gefahr, dass du auf den Kisten irgendwann Viren und Würmer liegen hast und wenn die Teile an deinem Endpunkt liegen, dann hilft es auch nichts die ICA / RDP Verbindung zu verschlüsseln etc ;)

Hi,

ich würde damit anfangen über den process monitor zu schauen auf welche Datei das System in diesem Moment nicht zugreifen kann und in welchem Kontext dieser Zugriff durchgeführt wurde: Process Monitor

Wenn du die Information hast, würde ich auf dieser Basis noch mal genau schauen ob für den Administrator irgendwelche Ordnerumleitungen aktiv sind - das führt in manchen Fällen zu solchen Fehlermeldungen...

Kommt der Fehler nur beim Versuch ein bestimmtes Tool zu installieren oder bei jeder Installation?

P. S. Wir schalten grundsätzlich keine Bildschirmdrucke von Fehlermeldungen frei die man auch abtippen kann. Durch das Abschreiben ermöglicht man es auch anderen Benutzer den Beitrag bei gleichem Fehler zu finden - und dafür sind Foren doch da ;)

Hi,

am besten machst du das über ein SQL Script - dort kannst du auch entscheiden welche Objeke kopiert werden sollen. Ich habe das mal hier beschrieben: https://www.security-blog.eu/2010/09/14/ms-sql-2008-r2-export-in-eine-normale-datei-mit-create-und-insert-statements/

Grundsätzlicher Hinweis: Produktionsdaten zum Testen kann je nach Art der Daten ein Datenschutzrechtliches Problem sein.

Hi,

ok die Lastverteilung war auch nur ein zusätzliches Feature ;). NLP oder z. B. eine Appliance wie BIG-IP sind das was du suchst. Würd ich sagen.

Hi,

dafür verwendet man normal einen richtigen Load Balancer - dieser kann entsprechende Informationen einholen und z. B. auch die Last auf den Zielsystemen bei der Verteilung berücksichtigen.

Hier ein Link bei dem erklärt wird wie NLB für eine TS Farm eingerichtet wird: http://blogs.msdn.com/b/rds/archive/2009/03/24/improving-ts-gateway-availability-using-nlb.aspx

Hi,

teurer wird ein Aufbau ohne SBS auf jeden Fall. Die Limitierung des SBS liegt im Wesentlichen in der Tatsache begründet, dass er auf nur einer physischen Maschine läuft. Damit hängst du zum einen vital an dieser Hardware und zum anderen kann die Umgebung nur bis zur maximalen Leistung dieses physischen Servers skalieren. Wenn du also eine höhere Verfügbarkeit für einzelne Komponeten benötigst und damit einen Cluster brauchst, dann musst du auf die teureren Einzelprodukte umsteiegen.

LG

Hi,

der SCVMM würde NT4.0 sowieso nicht unterstützen. (V2V: Converting Virtual Machines in VMM) ganz grundsätzlich - kannst du das NT4 System nicht upgraden bzw. nur die Daten umziehen? NT4 ist schon ewig nicht mehr state of the art...

Hi,

wenn euch derzeit die Funktionen des SBS (und dessen Einschränkung an z. B. Verfügbarkeit) noch reichen, dann würde ich an deiner Stelle nicht so viel an dem Aufbau ändern. Grundsätzlich ist es eine sehr gute Idee die Services auseinander zu ziehen - so wie ihr das schon habt.

Der Ansatz mit der DMZ ist grundsätzlich gut - jedoch in einer so kleinen Umgebung nicht so leicht umzusetzen (bin mir auch nicht sicher ob man einen SBS an einen externen Edge Transport hängen kann). Das nächst bessere zu eurem derzeitigen Aufbau wäre ein einfacher Reverse Proxy in der DMZ (oder ggf. sogar auf der Firewall). Ein solcher Proxy trennt die Verbindung sauber auf und leitet die Anfrage dann an den SBS weiter (an sich wie ein Edge Transport Server).

Für den SBS auf jeden Fall genügend RAM und auch genügend HD I/O zur Verfügung stellen - das lohnt sich. Hast du sonst noch andere Ziele bei der Umstellung ausser das Ersetzen von win2k3 durch 2k8R2?

Hi,

der Domain / Forest Funktional Level ist an sich kein Problem für einen Memberserver mit Win 2000. Seine Verbindungsmöglichkeiten etc. mit der Domäne bleiben vollständig bestehen.

[Edit] Norbert war wenige Sekunden schneller ;)

Hi,

 

ist die Netzwerkkarte die 100 MBit anzeigt denn eine 1GBit Karte?

Wenn das gegeben ist, hilft es manchmal den Modus explizit auf 1 GB einzustellen.

Hi,

es ist auch die Frage was genau du dokumentieren möchtest / musst. Wenn das Dokument für die BCM / DR Vorsorge eines Unternehmens herhalten soll, dann sollten neben den in dem von olc verlinkten Dokument auch abgestuffte Szenarien betrachtet werden. Oft vergessen wird:

- Was ist zu tun wenn "nur" das Hauptrechenzentrum ausfällt, Nebenstandorte oder eine dedizierte DR Umgebung aber noch verfügbar sind?

- Was ist zu tun wenn nur ein DC ausfällt (würde ich dokumentieren um sicher zu gehen, dass nicht jemand Gedankenlos einfach einen DC aus dem Backup restored...)

- Was ist zu tun wenn logische Fehler im AD auftreten

Zudem sollte eine gute Dokumentation eine genaue Darstellung des relevanten Netzwerkes enthalten (DCs, DHCP, DNS, Exchange etc inkl. Standort) und auch Leistungsindikatoren zu normalen Betriebszeiten aufführen (damit können Abweichungen ggf. schneller gefunden werden).

LG

Hi,

du kannst das grundsätzlich loggen (jede Aktivität). Aber je nach Fileserver kommen da richtige Mengen an Daten zusammen.

Hi,

zwischenzeitlich gibt es auch einen neue Version des SBS - um nicht in ein zwei Jahren die nächste Umstellung durchlaufen zu müssen wäre es vielleicht sinnvoll direkt auf den SBS 2011 zu wechseln. Damit hast du auch gleich einen ganz aktuellen Exchange etc.

Hi.

 

Ja. Am einfachsten über den Remote Web Arbeitsplatz. Oder wenn er das nicht will direkt über Port 987.

 

LG Günther

Manchmal sieht man den Wald vor lauter Bäumen nicht... Darauf hätte ich auch selbst kommen können. Danke!

Hi,

ein Freund von mir setzt in seiner kleinen Firma einen SBS 2011 ein. Er würde nun gerne einigen seiner Kunden für sie spezifische Dokumente austauschen. Von der Funktion her benötigt er an sich genau einen Sharepoint. Jetzt meine Frage. Kann man den im SBS 2011 vorhandenen Sharepoint vernünftig nach aussen hin verfügbar machen?

Hi,

also Support bekommst du für Typo3 auch - allerdings kenn ich kein Plugin welches deine Anforderungen erfüllen würde. Das muss aber nicht heißen, dass es dass nicht gibt. (Typo3 ist von Natur aus erst mal ein CMS...)

Hi,

also ich finde auch keine DMZ. Was sind denn die genauen Hintergründe / Anforderungen an diesen Aufbau? Es gibt viele Lösungen die vermutlich sicherer / günstiger sind als der von dir aufgebaute Vorschlag.

Man kann auf nem Mainframe auch ein Windows 2008R2 in einer LPAR fahren :D So ne E10 kann ganz schön viel Power bieten...

Am Netzteil? Das würde ich mal als vorletztes auf der Liste direkt nach dem Gehäuse sehen... ;)

HI,

das hört sich wirklich dubios an. Hast du mal versucht ein anderes OS auf der Kiste zu installieren? Ist das erfolgreich?

Hi,

nach deiner Beschreibung kann das Problem fast nur auf der ASA liegen. Prüfe mal die Regel genau (auch die Ports).

Hi,

in dem von dir beschriebenen Szenario würde ich dir eine Desktop-virtualisierung empfehlen. Hyper-V oder ESX(i) sind da eher ungeeignet ;). Wie du schon geschrieben hast scheidet Virtual PC oft schon wegen der fehlenden x64-Unterstützung aus. Ich habe daher schon vor Virtual Box Zeiten auf Vmware Workstation gesetzt und bin bis heute dabei geblieben.Es unterstützt die von dir gewünschte Trennung von Netzen und ist auch sonst sehr einfach zu verwenden.

Hi,

Ipsec macht nur wirklich Sinn wenn du auch eine CA einsetzt. Wenn du für den Anfang mit Request Security arbeitest, dann kannst du über den Netwerkmonitor deines Vertrauens sehen ob die Payload verschlüsselt ist oder nicht bzw. ob der Schlüsselaustausch durchgeführt wurde oder nicht.