Dukel

Das ganze konstrukt überdenken, dass du keinen Workaround brauchst.

Web Konferenz Software geht meist über HTTP(S) raus. FTP unterstützt Proxys. SFTP weiß ich jetzt nicht. Es gibt auch SOCKS. Wenn die Applikation das unterstützt, dann geht das auch über einen Proxy.

https://ss64.com/nt/eventcreate.html ich weiß aber nicht ob es mit dem Security Log geht.

Um welche Protokolle geht es ausser HTTP und HTTPS noch? K.a. ob _jeder_ Proxy das kann. Ich kenne nicht jeden.

Vielleicht geht es um das Job Ablaufdatum und nicht um das Band ablaufdatum.

In einem Proxy kannst du Userabhängig filtern (kein Internet, offenes Internet, bestimmte Seiten,...). Da brauchst du dann nicht in der FW filtern.

Du musst in den Collections die Gruppen hinterlegen, die auf die Collection zugreifen dürfen.

Nutze einen Proxy!

https://docs.microsoft.com/en-us/windows-server/virtualization/hyper-v/manage/set-up-hyper-v-replica Mir war nicht mehr bewusst, dass bei einem geplanten Failover die Maschine aus sein muss. Edit: Ich meinte auch keine Synchrone Replikation, sondern ein manuellen Failover. Nur um die Begrifflichkeiten zu korrigieren. Aber das geht halt nicht ohne Downtime.

Wozu VPN und RD Gateway? Du musst ja eh die Gruppen definieren, die auf das RDS zugreifen dürfen. Dann nimmst du eine, in der auch nur die Benutzer enthalten sind, die drauf dürfen.

Meines Wissens kann man die Replikation auch manuell triggern und ist dann synchron. Nur in einem DR Fall (dafür ist diese Replikation ja gedacht) ist das Asynchron. Aber ich würde auch in jedem Fall die Shared-Nothing-Live Migration vorziehen!

Management Studio installieren oder die SQL Server Cli (Powershell oder osql) nutzen.

Auf dem Host sollte ausser Hyper-V nichts laufen. Wenn es nicht anderst geht (!) dann kann man den SQL Server begrenzen, dass dieser nur maximal xx GB Ram nutzt. https://docs.microsoft.com/en-us/sql/database-engine/configure-windows/server-memory-server-configuration-options?view=sql-server-2017

Läuft sonst noch etwas auf dem Host?

Wieso löscht du ausgeschiedene User nicht einfach? Diese werden doch nicht mehr benötigt.

Und neuere Formate sollen durch gehen? Anhänge blockieren und die Mitarbeiter sollen nach PDF oder neueren Formaten fragen.

Wieso so einen krummen Port? Wieso nicht 3389? Läuft das RD Gateway auf einem anderen Server wie der Session Host / Broker oder auf dem selben (was schlecht wäre)?

Wie sieht der Status im Wsus aus? Gibt es dort benötigte Updates? Sind diese alle Genemigt und herunter geladen?

Du kannst entweder eine Zone mit dem externen DNS Namen erstellen, musst dann aber auch alle externen IPs pflegen, die erreichbar sein sollen. Oder eine Zone mit dem externen Hostnamen und nur einem A Record "."

Bei Zertifikaten ist immer die Frage ob du alle Clients, die auf das RD Gateway zugreifen, unter kontrolle hast. Wenn das alles gemanaged Clients sind kannst du ein Self-Signed Zertifikat oder ein Zertifikat von einer Eigenen PKI mit beliebigen DNS Namen verteilen. Wenn das nicht alles bekannte Clients sind (z.B. Internet Cafe, private Rechner, ...) dann brauchst du ein Öffentliches Zertifikat (bzw. das Root Zertifikat ist in den Zertifikatsstores von z.B. Browsern und OS vorinstalliert). Dabei gibt es von den CA's normalerweise die "Einschränkung", dass keine internen Namen erlaubt sind. Da brauchst du dann Split DNS (d.h. das RD Gateway ist (unter anderem) mit dem externen Namen auch intern erreichbar.

Nach den Zertifikaten hast du gar nicht gefragt! Es müssen ins Zertifikat alle DNS Namen, auf die die Clients zugreifen. Ggf. brauchst du Split DNS.

Entweder ist das System wichtig und du brauchst ein Backup oder es ist nicht wichtig und du brauchst kein Backup!

Habt Ihr eine Backupsoftware schon im Einsatz? Vielleicht kann diese auf OneDrive schreiben.

Wenn das Tool nicht funktioniert wieso suchst du dann eine Alternative statt das Tool zum laufen zu bekommen? Was sagt der Hersteller (-Support) dazu?

Bei den Produkten kannst ruhig _alle_ auswählen. Hast du einmal eine zweite Synchronisierung gemacht?