Daniel -MSFT-

Wenn es nur ein User ist, dann stell doch einfach einen Desktop im LAN zur Verfügung. Über den SBS kann er doch sicher von aussen darauf zugreifen. Den SAP-Server würde ich so lassen, wie er ist.

Schreib doch mal genauer, wie Deine Umgebung aussieht und was Du genau erreichen willst. Ist das ein Hosting-Szenario oder wer ist die Zielgruppe?

Hi Alpino, die Formel zur Berechnung findest Du z.B. im SQL Server 2008 Licensing Guide ab Seite 25: Anzahl der der VM zugeordneten virtuellen CPUs / Anzahl der Kerne einer CPU (HT aus) oder Threads (HT ein) = Anzahl der notwendigen Prozessorlizenzen (aufgerundet auf die nächste ganze Zahl) Solange Du nur eine virtuelle CPU der VM zuweist und der SQL-Server nur in einer VM läuft, brauchst Du auch nur eine Prozessorlizenz für die VM. Bei sechs Kernen pro CPU könntest Du auch bis zu sechs (HT aus) oder 12 (HT an) virtuelle CPUs der VM zuweisen. Die Rechnung würde immer noch 1 Prozessorlizenz ergeben. Solltest Du den SQL-Server in mehreren VMs installieren wollen, schau ab Seite 28, wie man die Prozessorlizenzen in virtuellen Umgebungen kumulativ berechnet. Die Virtualisierungsumgebung ist dabei egal. Ob Hyper-V, Xen oder VMware spielt hier keine Rolle. Da Du aber mehrere Server ansprichst, denke ich, dass Du die VMs zwischen mehreren Servern hin- und herschieben willst (Live Migration)? Dann musst Du bedenken, dass das Windows Serverbetriebsystem pro Host lizenziert wird, nicht pro VM. Du brauchst dann so viele Windows Server-Lizenzen, wie maximal VMs auf einem Host laufen können. Beispiel: 3 Server. Auf jedem Server laufen 4 VMs. Bei Ausfall eines Servers laufen 6 VMs auf zwei Servern, bei Ausfall von zwei Servern 12 VMs auf einem. Bei Windows Server 2008 R2 brauchst Du entweder 12 x Windows Server Standard pro Host (36 Lizenzen in Summe) oder 3 x Windows Server Enterprise pro Host (9 Lizenzen in Summe) oder 2 x Windows Server Datacenter pro Host (6 Lizenzen in Summe - zwei CPUs pro Server erforderlich). Bei Windows Server 2012 haben sich die Virtualisierungsrechte geändert. Hier wären es 6 x Windows Server Standard pro Host (18 Lizenzen in Summe) oder 1 x Windows Server Datacenter pro Host (3 Lizenzen in Summe bei maximal zwei CPUs pro Host). Das ist das OS. Für die Workloads schaust Du auf die einzelnen Serverprogramme wie Exchange-, SharePoint- oder SQL-Server nach der Lizenzmobilität. Für SQL-Server 2008 schaust Du in die PUR und wirst entdecken, dass Du keine Lizenzmobilität für die Standardversion hast. Wenn Du also die VM zwischen Servern frei verschieben willst, brauchst Du entweder eine Prozessorlizenz pro Host (3 Lizenzen in Summe bei unserem Beispiel) oder die Enterprise-Version. Wenn Du den SQL-Server über ein Volumenlizenzprogramm gekauft hast, dann darfst Du die Lizenz nur neu zuweisen im Falle eines Hardwaredefekts des Servers oder mit einem Abstand von 90 Tagen. Detaillierte Erläuterungen findest Du in dem oben verlinkten PDF ab Seite 31. Have fun! Daniel

Schau mal hier rein: http://www.microsoft.com/learning/de-de/windows-server-certification.aspx Du kannst mit dem MTA anfangen und über MCSA zum MCSE gehen. Schwerpunkt Desktop, Server oder Cloud nach Bedarf.

Kein Bug. Die Variable wird in der Schleife nicht ausgewertet, wenn Du nicht 'setlocal ENABLEDELAYEDEXPANSION' vorher setzt: http://www.administrator.de/wissen/tutorial-zur-for-schleife-155681.html

Schau mal hier rein: http://download.microsoft.com/download/F/3/9/F39124F7-0177-463C-8A08-582463F96C9D/Windows_Server_2012_R2_Licensing_Datasheet.pdf Windows Server 2012 R2 Essentials braucht bis 25 User im AD-Forest keine CALs. Bei 25 - 100 User (oder 200 Devices) kann man den Standard-Server installieren und die Essentials-Rolle aktivieren. Dann braucht man für jeden User oder jedes Gerät eine CAL. Das Erstellen von PST-Dateien lokal würde ich unterbinden. Siehe dazu den Abschnitt Verwalten von Outlook-Datendateien (PST) in Ihrer Organisation. Die Mails verwaltest und archivierst Du direkt im Exchange Server - Problem erledigt. Falls Du tatsächlich noch einen Fileserver brauchst - Du scheinst ja schon Windows- und Exchange-Server im Einsatz zu haben. Dann hast Du ja auch schon die entsprechenden Windows- und Exchange-CALs? Dann brauchst Du für einen neuen Server keine neuen CALs, solange Du (notfalls mit dem Downgrade-Recht) die zu den CALs passende Version installierst. Have fun! Daniel

Streich mal überall VOLLZUGRIFF und ersetze es durch ÄNDERN. Das sind schon genug Rechte für Benutzer. Die müssen nicht selbst Berechtigungen setzen können. Und nutze das Gruppenprinzip. Also Rechte an Ressourcengruppen, Benutzer in Benutzergruppen und dann die Benutzergruppe in die Resourcengruppe stecken. Du wirst doch für die Benutzer KundeA vermutlich mehr als eine Ressource freigeben (Verzeichnisse, Drucker, etc.). Da hast Du eine viel größere transparenz Ich würde auch noch Ressourcen nach Zugriff trennen. Also z.B.: R_KundeA_R (Nur-Leseberechtigung auf D:\Dokumente\KundeA) R_KundeA_C (Änderungsberechtigung auf D:\Dokumente\KundeA) Dazu dann Usergruppen wie: U_KundeA U_Verwaltung U_KundeA steckst Du z.B. in R_KundeA_C, während U_Verwaltung nur in R_KundeA_R kommt (weil sie dort nichts ändern brauchen). Geht ein Benutzer und kommt ein neuer hinzu, musst Du ihn nur in die entsprechenden Usergruppe stecken und bist fertig. Bei Deinem Ansatz musst Du alle Freigaben, Ordner und Dateien nachschlagen, ob dort eventuell der alte User berechtigt ist und wenn ja, welche Rechte er dort hat. Konsequentes Gruppenmodell (AGDLP) und rollenbasierte Rechtevergabe erleichtert Dir die Arbeit enorm. Egal wie groß oder klein das Netzwerk ist. Das muss man als Admin einmal verinnerlicht haben und dann ist das todsimpel. Have fun! Daniel

Nutzt der nicht psexec für die Remoteansteuerung? Dann brauchst Du SMB-Zugriff auf das Admin$-Share. Also Port 445 und 139. Was filterst Du denn zwischen den Servern? Falls das Tool noch WMI nutzt, dann kannst Du den Port dafür festlegen: http://msdn.microsoft.com/en-us/library/bb219447(v=vs.85).aspx

Hi Alpino, warum nutzt Du die Umlenkung über ein administratives Postfach zum Zustellen der Mails in einen öffentlichen Ordner? Du kannst dem Ordner selbst die E-Mailadresse geben. Wenn Du dann dem Benutzer 'Anonym' die Stufe 1-Berechtigung erteilst, kann aus dem Internet direkt an den öffentlichen Ordner gesendet werden. Falls noch andere Empfänger die Mail erhalten sollen, tut es auch eine Verteilerliste. Ich sehe hier nicht, warum Du ein Postfach dafür brauchst. Have fun! Daniel

Hi Alpino, um welches Produkt geht es denn genau? Have fun! Daniel

Bei den Szenario-Fragen mache ich mir übrigens am Anfang nicht die Mühe, das gesamte Szenario zu lesen. In der Regel bekommst Du dann bis zu sieben Fragen aus einem größeren Fragenpool zu dem Szenario, so dass in der Beschreibung durchaus Dinge drin stehen, die Du für die Beantwortung Deiner Fragen gar nicht brauchst. Ich schau mir zuerst die Frage an und durchsuche dann das Szenario nach Stichpunkten, die für die Beantwortung relevant sind. Beispiel Lizenzierung: Wenn im Szenario der Besitz von Lizenzen aus Bedingung genannt wird, kann man Open Value Subscription oder Enterprise Agreement Subscription schon ausschließen. Wenn dann noch die Standardisierung der Arbeitsplätze gefragt ist, landet man zwangsläufig bei Open Value companywide (oder Enterprise Agreement - je nach Prüfung).

Hi Deichgraf17, bei XWiki steht in der FAQ, dass das Session-Handling nicht von XWiki, sondern von dem darunterliegenden Java Servlet-Runner (bei Dir Tomcat) betrieben wird: http://www.xwiki.org/xwiki/bin/view/FAQ/How+can+I+change+the+Session+timeout. Viele Grüße, Daniel

Mach mal ein chkdsk /f auf dem entsprechenden Laufwerk. Full Control würde ich von den Share-Rechten runternehmen. Das braucht nur die Usergruppe, die Rechte setzen können soll. Etwas, was Anwendet normalerweise nicht müssen. Deinen anderen Admin fragst Du mal, was er gemacht hat, bevor er nichts gemacht hat. Dann überlegst Du Dir die minimalen Rechte, die jede Usergruppe braucht, legst entsprechende Resourcen- und Usergruppen an und vergibst die Rechte von oben nach unten neu. Dazu musst Du die Vererbung auch einmal durchsetzen, damit die ACLs auf den Dateien und Verzeichnissen neu gesetzt werden. Stichwort AGDLP : http://en.m.wikipedia.org/wiki/AGDLP

Wenn VPN nicht geht, wie wäre es, nicht die SAP-Ports offen an das Internet zu hängen, sondern die User per RDP reinzuholen? Terminal Server oder SBS Remote Web Workplace z.B.? Have Fun! Daniel

Fermats letzter Satz von Simon Singh Zero Day und Trojan Horse von Mark Russinovich (Sic! Genau der Mark) Dann die Autoren mal bei Amazon nachschlagen und bei 'Kunden, die diesen Artikel gekauft haben, kauften auch' nachschauen. Die Funktion ist wirklich genial. Ich habe den Thread jetzt nicht komplett gelesen, daher weiß ich nicht, ob er schon als Autor genannt wurde: Frank Schätzing - bekannt geworden mit dem Buch Der Schwarm. Lautlos ist zum Beispiel auch Klasse. Auch wenn es dabei nicht primär um IT geht - es sind Technologie-Thriller. Bei Lautlos geht es um einen Anschlag auf den Präsidenten der USA, bei dem ein Präzisionslaser und Umlenkspiegel genommen werden, ferngesteuert durch das Objektiv einer Spiegelreflexkamera eines Fotografen vor Ort als Zielleitsystem. Have fun! Daniel

Hi Marcel, wer soll den die PTRs eintragen? Die jeweiligen Geräte (können die das?) oder der DHCP-Server? Nutzt Du sichere dynamische Updates? Lies Dir mal den Artikel http://technet.microsoft.com/de-de/library/cc787034(v=ws.10).aspx durch und verwende am besten einen DNS Update Useraccount im DHCP. Have fun! Daniel

Wenn Du unter Windows die Microsoft CA als PKI nutzt, findest Du hier eine Anleitung zum Anfordern eines SAN-Zertifikats: http://technet.microsoft.com/de-de/library/ff625722(v=ws.10).aspx

Hi Jack, da ich Dein Szenario hier nicht nachbauen kann, ist eine spezifische Hilfe schwierig. Ich empfehle Dir, Dir einmal folgende Tutorials anzusehen. Dort wird auch erklärt, wie man die relativen Links mit transformiert bekommt, damit Bilder und JavaScript auch funktionieren. Probier das als erstes, indem Du vom IIS zum Backend Server ohne SSL arbeitest (SSL Offloading). Neben dem URL Rewrite brauchst Du noch die Reverse Proxy-Funktion: Setting up a Reverse Proxy using IIS, URL Rewrite and ARR Creating a Reverse Proxy with URL Rewrite for IIS Eventuell solltest Du weitere Fragen auch in dem IIS ARR-Forum stellen, da dort sicher mehr Experten zu dem Thema unterwegs sind. Wenn Du eine Lösung gefunden hast, wäre ein kurzes Feedback nett. Have fun! Daniel

Hi Michi777, schau Dir mal das Kommando CHKDSK an. Du suchst CHKDSK <Laufwerksbuchstabe>: /f Have fun! Daniel

Hi cobain86, schau Dir mal die TechNet Virtual Labs an: http://technet.microsoft.com/en-us/virtuallabs/bb467605.aspx Have Fun! Daniel

Hi Stefan, Du könntest ein Zertifikat nehmen, in dem alle Servernamen als Subject Alternative Name (SAN) eingetragen sind. Damit Du alle Server einer Subdomain einschließt, brauchst Du s als Wildcard Certificate: http://en.m.wikipedia.org/wiki/Wildcard_certificate Derartige Zertifikate sind teurer und Du brauchst immer ein neues Zertifikat, wenn Du einen SAN hinzufügen oder ändern willst. Wenn Du für jede Second Levrl Domain ein eigenes Wildcard Zertifikat nutzt, wird es einfacher. Du nimmst dann aber auch am besten je eine eigene IP pro Zertifikat. Have Fun! Daniel

Manchmal helfen spätere Fragen mit ihren Antworten zum gleichen Thema, im Ausschlussverfahren die richtige Antwort zu finden, wenn man sich nicht sicher ist.

Hi Sebastian, eine kurze Suche über http://tinyurl.com/kdxp24c führt zu http://blogs.msdn.com/b/oldnewthing/archive/2012/08/28/10343980.aspx. Warum willst Du das denn machen? Welches höhere Ziel steckt hinter der Aktion? Hast Du Dir die Ordnerumleitung schon mal angesdhen? Have Fun! Daniel

Was man auch andenken sollte, sind Features wie Branch Cache zu nutzen: http://technet.microsoft.com/de-de/library/dd637832(v=ws.10).aspx

Denk auch an die korrekte Lizenzierung Deines Verfahrens. Stichwort: Reimaging Rights. Dafür brauchst Du eine VL-Version.