Daniel -MSFT-

Mit einer Swing-Migration kann man auch den alten Namen behalten nach der Migration: http://blogs.msmvps.com/bradley/2011/03/23/it-s-official-swing-migration-for-sbs-2011-from-2003-platforms-available-now-from-sbsmigration-com/ Schau Dir mal https://www.faq-o-matic.net/2004/10/24/servermigration-mit-netbios-aliases/ an. Have fun! Daniel

Dass die Mitarbeiter nur unwichtige Dinge ungeschützt in ihrer Mail haben und wichtige schützenswerte Dinge immer mit S Trust Zertifikat verschlüsselt sind, glaubst Du hoffentlich selbst nicht. Ich sage nur Theorie und Praxis. Wenn schon bei der PIN Bequemlichkeit vor Sicherheit gewinnt, warum sollte das bei Inhalten dann anders sein? Und Sozialarbeiter werden garantiert personenbezogene Daten darauf haben. Das ist ein No-Go: http://de.m.wikipedia.org/wiki/Personenbezogene_Daten Für bestimmte Berufsgruppen gilt auch uneingeschränkt die strafrechtliche Schweigepflicht nach § 203 StGB. Würde mich nicht wundern, wenn ihr davon erfasst seit. Aber so ist das in vielen Firmen: Über NSA Überwachung und unsichere Clouds macht man sich Sorgen aber mit den eigenen Daten der eigenen Infrastruktur wird absolut sorglos umgegangen, weil es bequemer ist. Talk is cheap ;-) Dabei ist die Lösung ganz simpel: Bring your own device bedeutet, dass man die Regeln des Arbeitgebers auf dem privaten Gerät akzeptieren muss, wenn man das private Gerät nutzen will für die Arbeit. Da muss man nicht der Firma Adminrechte auf dem Privatgerät geben. Moderne Lösungen arbeiten mit Containern und erlauben zum Beispiel auch das nur selektive Löschen von Geschäftsdaten auf privaten Geräten. Gehen tut das alles, man muss es nur wollen. Was in dem Artikel zur Exchange Enterprise-Clientzugriffslizenz steht: Dort findest Du eine Liste, welche Policies mit der Standard CAL abgedeckt sind und welche eine zusätzliche Enterprise CAL brauchen. Was daran komplizierter als das Erwerben einer zusätzlichen Software und Beachtung derer Lizenzbedingungen ist, erschließt sich mir nicht. Have fun! Daniel

Warum machst Du das eigentlich per Batch? Die Netzlaufwerke kannst Du doch auch per GPP setzen. Siehe https://technet.microsoft.com/de-de/library/cc770902.aspx oder http://blogs.technet.com/b/askds/archive/2009/01/07/using-group-policy-preferences-to-map-drives-based-on-group-membership.aspx Die Word- und Excel-Links aus dem Startmenü kannst Du einfach in den gemeinsamen Autostartordner kopieren (%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp oder %ALLUSERSPROFILE%\Microsoft\Windows\Start Menu\Programs\StartUp): https://technet.microsoft.com/de-de/library/cc772536.aspx. Have fun! Daniel

Das Weiterleiten per Outlook-Regel kann man deswegen am Exchange unterbinden. Siehe Remotedomänen in Exchange (Set-RemoteDomain -AutoForwardEnabled...) oder die Transportregel aus Prevent Internal Auto forwarding with Exchange 2010. Bei mobilen Geräten würde ich keine Kompromisse eingehen. Wer auf dem privaten Smartphone die Firmenmails haben will, der sollte dann auch den Regeln zum Schutz des Endgerätes zustimmen. Anderes ist keine goldene Mitte, sondern "Wasch mich, aber mach mich nicht nass" ;-) BTW: Lies Dir mal Grundlegendes zu Exchange ActiveSync-Postfachrichtlinien und Grundlegendes zur Verwaltung mobiler Geräte durch, was mit Boardmitteln geht. Du kannst Regeln auch auf spezifische Benutzergruppen hin ausrichten. IMAP würde ich nicht zulassen. Dann schon eher OWA - wer sein mobiles Gerät nicht vernünftig sichern will, der kriegt halt nur online Zugriff auf die Mails. Just my 0.02 Daniel

Du musst dem Client sagen, dass er den Domänennamen an einen Kurznamen anhängen soll: https://support.microsoft.com/en-us/kb/275553/de Bei Hinzufügen zur Domäne geschieht das automatisch. Wenn Du den Client nicht zur Domäne hinzufügen willst, kannst Du auch dort, wo Du den Rechnernamen festlegst, den DNS-Domänennamen der Domäne dem Rechner hinzufügen. Oder Du nutzt zusätzlich WINS: https://www.faq-o-matic.net/2004/10/23/wie-sollte-wins-konfiguriert-werden/ Viele Wege führen nach Rom...

Mit Proxy ARP funktioniert der Client wie im lokalen LAN. Die Bintec tritt dann als er auf und reicht die Pakete entsprechend weiter. Die Namensauflösung hängt an der DNS-Suffix Suchliste des Clients und an dem verwendeten DNS-Server. Welchen DNS-Server verwendet denn der Client bei der Einwahl und wie sieht das DNS-Suffix des Rechners aus sowie die DNS Suffix Suchliste?

Gestern war Feiertag ;-) War auch nur als Anregung zum Nachdenken gedacht, wenn Du die Lösung da so plakativ reinschreibst. Have fun! Daniel

Hi lefg, bist Du sicher, dass BIOS Passwörter umgehen mit den Board-Regeln konform geht? Have fun! Daniel

Die Dienstleister brauchen auch eigene CALs. Entweder pro Gerät, wenn sie von bekannten Service-PCs zugreifen oder pro Supporter, wenn Du per User lizenzieren möchtest. Den Zugriff remote auf einen Desktop von Euch und von dort aus auf den Server kannst Du ja mal selbst prüfen, was das lizenztechnisch braucht. Für das Downgrade der CALs schau mal in die SBS 2011 Licensing FAQ rein: Have fun! Daniel

Ah, ich hatte überlesen, dass LAN auch nicht ging. Na dann einfach auf der Lenovo-Seite die LAN-Treiber runterladen von einem Gerät mit Netzwerkzugriff. Mit der PNP-ID der nicht erkannten Geräte aus dem Gerätemanager kann man auch im Windows Update Katalog über den Browser direkt den Minimal-Treiber herunterladen.

Geh doch mal zum Laden um die Ecke und klaue denen Geld aus der Kasse. Meinst Du, das wäre eine gute Idee? Ich weiß dass es rechtlich nicht erlaubt ist, Geld aus der Kasse des Ladens für mich zu nutzen. Funktioniert es aber rein technisch gesehen? Laut dem Internet soll es möglich sein, wenn man in die Kasse greift, wenn keiner hinsieht. Hat damit jemand Erfahrung? Es geht darum, dass ich vorübergehend Geld brauche. Innerhalb eines Monats wird das Konstrukt dann durch neues Geld sowieso ersetzt werden. Hast Du mal in die Boardregeln geschaut? Regel Nr. 8: Rechtliches Keine Hilfe zu Software ohne Lizenz. Just my 0.02€ Daniel

Probier mal die Windows 8.1 (64-bit) Treiber aus. Du hast vermutlich eine dieser drei Karten verbaut: Broadcom WIFI BCM4352 Driver for Windows 8.1 (64-bit) - ThinkCentre Systems Broadcom WIFI Driver Windows 8.1 64-bit Version 6.30.223.170 Date 10/6/2013 Intel N7260 WiFi Driver for Windows 8.1 64-bit - ThinkCentre Systems Intel N7260 Wifi Win8.1 64-bit Version 16.5.3.6 Date 9/3/2014 Realtek RTL8192EE and RTL8723BE Wireless LAN Driver for Windows 7 (32-bit and 64-bit) 8.1 (64-bit) - ThinkCentre E73, E93, M73, M79, M93, M93p, M93z Realtek Wireless LAN driver Version 2012.13.402.2014 Date 6/8/2014 Alternativ LAN-Kabel ranhängen und schauen, ob Windows Update einen Treiber liefert. Have fun! Daniel

Ganz einfach: Du hast mehr Geräte als Mitarbeiter, die auf den TS zugreifen. Also wäre das einfachste, pro User vorzuhalten: 1x Windows SBS Premium CAL pro User 1x RDS CAL pro User 1x Office 365 ProPlus pro User Damit könnten lizenzierte Anwender von beliebigen Geräten den Terminal Server nutzen, auf dem Du Office 375 ProPlus im Shared Computer Activation-Mode installiert hast. Mischen kannst Du das nicht mit Open - dann bräuchtest Du zwei Terminal Server.

Prüf erstmal die Kompatibilität des CRM-Systems mit Office 2013. Das gibt es in Open einmal als Click2Run-Version und einmal als MSI-Version. Wenn die Click2Run-Version unterstützt wird, würde ich für alle Mitarbeiter, die auf dem Terminal Server arbeiten sollen, Office 365 ProPlus ordern. Damit ist dann die Nutzung auf dem Terminal Server sowie die Installation auf bis zu fünf weiteren Fat Clients der lizenzierten Benutzer abgedeckt. Das ist der einzige Weg, wie Du Office pro Benutzer lizenziert bekommst. Da Office 365 ProPlus die Compliance selbst prüft, können auch Anwender ohne Office 365 ProPlus-Lizenz auf den Terminal Server zugreifen. Office läuft dann halt nur im Viewer-Modus zum Anschauen und Drucken von Dokumenten. Du bist das Problem los, die Geräte tracken zu müssen, die den Terminal Server nutzen. Sollte die Click2Run-Methode (gab es auch schon bei Office 2010) oder auch Office 2013 selbst von Eurem CRM nicht unterstützt werden, dannn bleibt Dir nur der Kauf über Open und die Nutzung eines Downgrade-Rechtes. Open bedeutet aber weiterhin eine Geräte-bezogene Lizenzierung. Grundsätzlich musst Du dann alle Geräte, die auf den Terminal Server zugreifen, korrekt lizenzieren. Eine Lizenz für den TS selbst brauchst Du dann aber nicht - es müssen die zugreifenden Geräte lizenziert werden. Und zwar auch die möglicherweise stattfindenen Zugriffe von privaten Home-PCs, Tablets, Handelsvertreter, etc. Dazu müßtest Du am Besten protokollieren, von welchen Endgeräten sich auf dem Terminal Server jeweils angemeldet wird und dann pro Monat schauen, ob da unlizenzierte Geräte dabei waren und dann entweder denen eine noch freie Office-Lizenz aus dem Softwarepool zuweisen oder einmal Office neu kaufen. Achte auf die Zeitspanne bei der Neuzuweisung. Du kannst (ausser im Falle von Hardwaredefekten) die Lizenzen bei Open erst nach 90 Tagen an ein anderes Gerät oder einen anderen Benutzer (bei den RDS-CALs) neuzuweisen. Du musst aber nicht zwingend für alle Geräte ein neues Office kaufen. Wenn Du schon 15x Office 2010 über Open hast, kannst Du auch einfach die restlichen benötigten Office-Lizenzen über Open neu kaufen und dann ein Downgrade auf Office 2010 machen. Denk nur daran, dass die nächste Office-Version schon vor der Tür steht. Der Support von Office 2010 ist endlich. Have fun! Daniel

Wenn in der RDP-Session die Anwendung langsam ist, hat das sehr wahrscheinlich nichts mit DNS zu tun. Wenn Du den neuen Router direkt an den TS anschliesst und dem,TS eine IP aus dessen Netz gibst und als Gateway die Box setzst, geht es dann schneller? Also wenn Du die PFSense-Firewall aus dem Spiel nimmst?

Schau mal hier rein: https://social.technet.microsoft.com/Forums/windows/en-US/ace4085a-b0ba-4a98-898d-cd92d9e88e13 Die Ursachen können vielfältig sein.

Schau Dir mal Network Access Protection (NAP) an. Damit kann man sowas realisieren. Du kannst das nicht allein auf dem Client lösen. Dem Rechner die Netzwerkkommunikation zu unterbinden muss von aussen geschehen, wenn die Malware den Rechner gerootet hat.

Korrigier mich, wenn ich hier falsch liege, aber das geht meines Wissens nach so nicht mit Office auf den lokalen Clients. Dazu brauchst Du imho das Managed PC Amentment, welches der Genehmigung durch Microsoft vorab unterliegt. Weiterhin brauchst Du dann für jeden Client zuerst eine Windows 8 Professional Upgrade SPLA Lizenz zusätzlich zur Windows 8 OEM-Lizenz. Danach kannst Du dann Office SALs nutzen, wobei aus den User SALs dann Device SALs werden. Am Besten Du wendest Dich mal an einen authorisierten SPLA-Reseller wie z.B. (ist keine Empfehlung): https://cloud.adn.de/managed-pc-amendment-lokale-clientinstallation-und-office-365-2/ Wie gesagt: Wenn es nur um lokale Clients geht, ist Office 365 Business (=Office Standard) oder Office 365 ProPlus die flexiblere Lösung.

Du willst ernsthaft einen PSK nie ändern? Was machst Du denn, wenn der mal kompromittiert wird? Ein Weg wäre eine silent EXE mit dem CMAK (Connection Manager Administration Kit) zu erzeugen. Damit kannst Du imho einen PSK verteilen. Du solltest zusätzlich zum PSK noch eine weitere Authentifizierungsmethode nutzen. Schau mal hier rein: http://blog.cjwdev.co.uk/2011/05/19/automate-creation-of-an-l2tp-vpn-with-pre-shared-key-and-automatically-use-windows-credentials/ Wir nutzen selbst zum Beispiel Userzertifikate mit PIN per virtueller (TPM) oder physikalischer Smartcard für VPN und Computerzertifikate via virtueller Martcard und Bitlocker-Zwang mit PIN für Direct Access.

Da reicht "In Deiner Hood" ;-) Ich würde kein VoIP über WLAN machen. Wird meines Wissens nach auch nicht empfohlen. Ich habe ganz gute Erfahrungen mit Gigabit LAN über die Steckdose gesammelt. Da hat sich noch keiner über die Sprachqualität beschwert.

Also Open-Lizenz für Windows vorhanden? Vergiss mal die Backupsoftware und schau Dir das Microsoft Deployment Toolkit an. Damit geht das alles kostenlos, aber die Einarbeitungszeit wird Dir keiner abnehmen können. Daher denke ich, ihr besorgt Euch besser eine kostenpflichtige Lösung, mit der Du jetzt den Job erledigen kannst. Der Kunde wird dafür Euch ja auch bezahlen, oder?

Die Hoheit über die Daten verlierst Du nicht. Das ist ein Mythos. Lokal wirst Du in dem Umfeld auch nie das Professionalitätsniveau erreichen. Sobald man mal die Emotionen rausnimmt aus solchen Firmenrichtlinien und eine vernünftige Risikobewertung macht, sieht das sehr schnell anders aus.

Na dann einmal Office per SAL für die SPLA-Umgebung auf dem Terminal Server und einmal Office für jeden Client, auf dem es lokal genutzt werden soll, lizenzieren. Windows Server darunter dann mit Prozessorlizenz. Achtung: Bei SPLA braucht jeder Prozessor seine eigene Lizenz.

Was macht man denn mit einem Exchange-Server, der alle Daten im Haus behält und nix von extern empfangen oder nach extern senden darf? Nutzt ihr den dann nur für die interne Hauspost? *grins* Daniel

Du schreibst aber auch, dass Du den Gruppenrichtlinien Editor auf dem Server aufrufst und dort die Fehlermeldungen bekommst. Das genau geht eben nicht, da der ältere Server die neueren Vorlagen nicht unterstützt. Das versuchen wir Dir die ganze Zeit zu sagen. Oder Du beschreibst Dein Problem zu ungenau und wir mißverstehen Dich. Daher wäre es wichtig, dass Du penibel beschreibst, was Du von wo nach wo tust und wo was dabei als Problem auftritt. Vielleicht helfen Dir ja die beiden Artikel beim Verständnis? Sie gelten auch für Windows 8.1: Windows 7, Windows Server 2008 R2 and the Group Policy Central Store Managing Group Policy ADMX Files Step-by-Step Guide Have fun! Daniel