Daniel -MSFT-

BTW: Mach Dir auch mal Gedanken über die Lizenzierung. Stichwort Anzahl der notwendigen Windows Server-Lizenzen, "Lizenzmobilität", "Disaster Recovery Rights" für die Replikation und "Software Assurance"... Sind Dir die Konsequenzen hier alle klar?

Wenn Du es pro Benutzer abrechnest, kostet es €1,0426 pro Benutzer und Monat bei unbegrenzten Authentifizierungen.

Bitte lies einmal das verlinkte Configuring Secure Dynamic Update. Wenn Du keinen User angibst, dann bekommst Du Probleme wegen des Besitzers des Eintrags im DNS, weil Dein DHCP- und DNS-Server ein DC ist und Du verlierst möglicherweise die Reservierung. Richte mal dafür einen normalen Benutzer ein und teste, ob die Reservierung erhalten bleibt oder überschrieben wird. Beachte auch den Hotfix aus DNS settings of a DHCP reservation revert to the settings at the scope level in Windows Server 2008 R2 and Windows Server 2012. Alternativ kannst Du einen CNAME setzen. Das löst auch dieses Problem. Die sichere Konfiguration dynamischer Updates solltest Du aber auf jeden Fall trotzdem umsetzen.

Wie wäre es, wenn Du Dir hier kompetente Hilfe holst? Vermutlich nutzt Du auch noch den POP3-Abholdienst des SBS? Da sind viele Fragen offen, die im Rahmen des Forums zumindest von mir nicht alle abschließend geklärt werden können.

Nutzt Du einen eigenen Useraccount für die Aktualisierung des DNS durch den DHCP-Dienst? Das ist wichtig, wenn Du den DHCP-Dienst auf einem DC betreibst: http://www.mcseboard.de/topic/199625-dns-host-eintr%C3%A4ge-werden-sporadisch-gel%C3%B6scht/

Du suchst Multifaktor-Authentifizierung. Das geht zum Beispiel mit Azure AD. Such mal nach http://lmgtfy.com/?q=multifactor+authentication+azure+rras So geht das zum Beispiel: http://www.c7solutions.com/2015/01/windows-rras-vpn-and-multi-factor-authentication

Bau für das Gerät doch einfach eine Reservierung im DHCP ein mit dem gewünschten Hostnamen.

Wirf den Telekom-Router raus. Siehe http://letmebingthatforyou.com/?q=ipv6%20speedport%20dns IPv6 ausschalten ist keine Lösung: http://blogs.technet.com/b/askpfeplat/archive/2014/09/15/a-5-second-boot-optimization-if-you-ve-disabled-ipv6-on-windows-client-and-server-by-setting-disabledcomponents-to-0xffffffff.aspx Falls die Telekom-Navigationshilfe aktiv ist, schalte die auch in Deinem Telekom-Portal ab. Das löst zwar nicht dieses, aber andere Probleme.

Den Namen intern zu veröffentlichen im DNS reicht nicht für externen Zugriff, denn da kann niemand Euch intern abfragen. Ihr müsst den Namen im externen DNS Eurer Internet-Domäne veröffentlichen. Dort, wo ihr auch den MX-Record eingestellt habt.

Der OP bezog sich auf Windows Server 2008 R2 Standard. Du Dich auf Windows Server 2012 Standard.

Beim Verschieben von Verzeichnissen auf der gleichen Partition bleiben die Berechtigungen erhalten. Lies mal http://support.microsoft.com/kb/310316/en-us. Du suchst vermutlich 'MoveSecurityAttributes' Bedenke: Wenn ein Anwender versehentlich per Drag&Drop Verzeichnisbäume verschiebt, können dadurch Informationen offenbart werden.

mag.exe lässt sich mit psexec verbinden und scripten. Lies mal die Kommentare unter http://blogs.technet.com/b/dmelanchthon/archive/2008/11/07/net-send-ersatz.aspx

Mit Radius-Client wird imho das Netzwerkgerät bezeichnet, dass Radius zur Authentifizierung nutzt. Das bezieht sich nicht auf die Clients, die das Netzwerkgerät nutzen. Damit sind z.B. 50 Access Points gemeint.

Nutzt Du einen Proxy für den Internetzugang? Dann muss der die Namensauflösung können.

Wenn Du keine Gruppe, sondern ein freigegebenes Postfach für die Gruppe nutzt, dann kannst Du dieses Konto in neueren Outlook-Versionen als zusätzliches Konto einblenden lassen. Die Mitarbeiter brauchen dann 'Senden als' und 'Vollzugriffs'-Rechte auf dieses Postfach. Wenn sie eine Mail in diesem Postfach zum Beantworten öffnen, wird automatisch der Absender umgestellt.

Hi wernbert, Schau mal hier rein. https://technet.microsoft.com/library/ee817089.aspx. Für die Session Hosts würde ich mehr RAM vorsehen. Willst Du virtuallisieren? Wie planst Du das Storage-Subsystem (das hat entscheidenden Einfluß auf die Performance des Systems). Have fun! Daniel

Nimm mal den NDR und schau ihn Dir genau an. Welcher Server hat den NDR erstellt? Wie sehen die Header des NDRs aus? Dort findest Du die IPs der betroffenen Server. Entweder blockt der Linuxserver die Mail, dann musst Du dort im Log nachschauen, warum die Mail dort abgewiesen wird. Oder die Mail geht durch den Linuxserver durch und wird vom Exchange-Server abgelehnt. Ist da eventuell noch ein Servervirenscanner mit im Spiel, der auch in den SMTP-Verkehr eingreift? Anhand der Zeitstempel des NDRs kannst Du die Nachricht samt Weg in den SMTP-Logs auf allen beteiligten Mailservern überprüfen.

Dann musst Du der IP-Adresse des Servers des Partners erlauben, unauthentifiziert Mails einliefern zu können. achte darauf, kein Relaying zu erlauben. Siehe zum Beispiel Verwenden der Domänensicherheit: Konfigurieren von MTLS und Szenario für regulierte Partner mit erzwungener TLS.

Du hast vermutlich den TMG Firewallclient auf den Clients installiert? Über den geht dann der Internetverkehr am Standardgateway vorbei auf den TMG. BTW: Hast Du Dir mal über die Lizenzierung Deines Konstruktes Gedanken gemacht? Windows Essential Business Server hat meines Wissens nach keine Lizenzmobilität. Damit darfst Du die VMs nur aller 90 Tage oder bei physikalischem Defekt des Hauptservers auf den Backupserver verschieben und damit die Lizenzen neu zuweisen. Genauso der Fallback. Have fun! Daniel

Du hast nicht die Erlaubnis, von der IP-Adresse unauthentifiziert Mails einzuliefern. Was genau willst DU eigentlich erreichen?

Nach welcher Anleitung gehst DU eigentlich bei der Konfiguration vor? Click & Try? ;-) Ist das Zertifikat denn von einer CA, der Windows 7 vertraut? Ist das Zertifikat zusammen mit eventuell notwendigen Intermediate Certificates korrekt auf dem Server im Personal Certificate Store installiert? Verfügt das Zertifikat über die richtigen Einträge (Antragstellername enthält einen Wert, ist mit einer vertrauenswürdigen Stammzertifizierungsstelle verkettet, besteht alle Überprüfungen, die von der CryptoAPI-Funktion ausgeführt werden und in der RAS-Richtlinie angegeben sind, hat EKU-Erweiterungen (Extended Key Usage, erweiterte Schlüsselverwendung) mit dem Zweck Serverauthentifizierung konfiguriert, etc.)? Probier erst mal das Zertifikat auf einer Webseite auf dem Server aus. Kann der Client diese Seite ohne Fehlermeldung im Browser öffnen? Siehe dazu auch Zertifikatanforderungen für PEAP und EAP, Prüfliste: Konfigurieren des Netzwerkrichtlinienservers für den sicheren Drahtloszugriff, IEEE 802.11 Wireless LAN Security with Microsoft Windows und Step-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab. Ich hatte für frühere Windows-Versionen das mal als TechNet Webcast: Drahtlose Netzwerke absichern mit Windows Server 2003 - WLAN-Sicherheit mit Windows-Bordmitteln (Level 300) (2005-11-24) gezeigt. Vieles von dem ist heute noch gültig, da die Technologien dahinter die gleichen sind: http://blogs.technet.com/b/dmelanchthon/archive/2005/11/24/heutiger-webcast-zum-wireless-lan-security.aspx Have fun! Daniel

Psst. Die Lösung des Problems steht doch im verlinkten Artikel.

Hi LigH, sudo liefert ähnliche Sicherheitsprobleme wie runasadmin, wie die vielen Sicherheitslücken unter Linux zeigen,k die auf das SUID-Bit zurückgeführt werden können. Wie Du in einem Script erhöhte Rechte anfordern kannst, findest Du zum Beispiel in Creating a Self-Elevating Script oder New Elevation PowerToys for Windows Vista oder Self Elevate VBScript: 'Re-runs the process prompting for priv elevation on re-run sub uacPrompt 'Check if we need to run in C or W script interpreter = "wscript.exe" If Instr(1, WScript.FullName, "CScript", vbTextCompare) = 0 Then interpreter = "wscript.exe" else interpreter = "cscript.exe" end if 'Start a new instance with an elevation prompt first Set shellApp = CreateObject("Shell.Application") shellApp.ShellExecute interpreter, Chr(34) & WScript.ScriptFullName & Chr(34) & " uac", "", "runas", 1 'End the non-elevated instance WScript.Quit end sub Dass der User 'Administrator' ne Dir nicht funktioniert, liegt daran, dass der seit Vista standardmäßig deaktiviert ist. CMD-Shells kann man übrigens aus einer CMD-Shell auch mit Parametern aufrufen und darüber steuern, ob sie im Hintergrund laufen sollen oder ob sie das Fenster zum Ende schliessen oder stehen lassen sollen. Probier mal cmd /k z.B, cmd /? gibt Dir mehr Infos. Have fun! Daniel

Falsche Feiertage in HOL-Dateien von Outlook 2007 und Outlook 2010 Dein Outlook ist zu alt ;-) Bei Outlook 2013 stimmen die Feiertage.

Lies doch mal den Artikel. Da ist das doch alles erklärt. Man ändert sowas in der Regel NICHT in den Standard-Policies, sondern erstellt sich eine eigene und verlinkt die gegen die Domäne und die Domänencontroller: