Dunkelmann

Standortabhängige Richtlinien benötigen in den meisten Fällen keine eigene CA. Der NPS hat einige Möglichkeiten, Bedingungen abzubilden. Die OU gehört jedoch nicht dazu. Was gefällt Dir daran nicht, den Radius Client (Switch) als Indikator für den Standort zu nutzen?

Moin, am einfachsten wäre es vermutlich an allen Standorten das gleiche VLAN für authentifizierte Clients zu verwenden. Du könntest am NPS als Bedingung z.Bsp. den Namen des Radius Clients verwenden - der am NPS konfigurierte Anzeigename. Dabei werden auch Wildcards unterstützt. Bspw. 'SW-LOK-AA-*' könnte bei geigneter Nomenklatur eine Richtlinie für alle Switches (SW) an der Lokation (LOK) Aachen (AA) mit einer fortlaufenden Nummer (00-99) abdecken.

Falsche Priorität! :cool: Wer ist die NAS? Die Schwester von der SAN?

Moin, mit dem Copy Cluster Roles Wizard geht es. http://technet.microsoft.com/en-us/library/dn486822.aspx

Moin, im Prinzip kannst Du im bestehenden AD eine neue OU Struktur aufbauen, die GPOs entsprechend verknüpfen, ggf. Delegierung/Rechte einrichten und dann die Objekte in die neue Struktur verschieben. Du kannst auch ganze OUs mit deren Objekten inkl. GPOs, Delegierung usw. verschieben. Das AD umsortieren ist im Grunde recht einfach. Eventuell gibt es Anwenungen, die per LDAP Abrage zugreifen. Die müssen ggf. angepasst werden.

Wie wär's damit:

Moin, Du könnest direkt am Essentials mal den Status des Zertifikats prüfen. Power Shell als Admin starten und mit 'certutil -verifystore my' die Zertifikate und deren Status ausgeben lassen. Unter jedem Zertifikat wird der Status angezeigt. Ist das fragliche Zertifikat tatsächlich gesperrt, musst Du Dich an den Aussteller wenden. Wenn nicht, weiter nach der Ursache suchen.

Moin, mMn ist es angebracht den VPN Tunnel am Router oder an einem VPN-Gateway in der DMZ zu terminieren. Ist Dein VPN Gateway im LAN oder noch schlimmer der DC ist VPN Gateway hast Du Datenverkehr aus dem Internet direkt an Deinem DC bevor eine Authetifizierung und Autorisierung stattgefunden hat. Zur Sicherheit von L2TP/IPSec - das Protokoll ist nicht entscheident, sondern die Implementierung. Auch als sicher geltende Protokolle können durch mangelhafte Umsetzung unsicher betrieben werden.

Bitte! Wenn Du Dir wirklich Ersatzteile auf Halde legen möchtest, empfehle ich einen Blick in die entsprechenden Dokumente der Cloud-Anbieter. Google und Microsoft haben schöne Statistiken zur Ausfallwahrscheinlichkeit und -häufigkeit von Serverkomponenten über den Lebenszyklus der Systeme. Auf dieser Basis planen die (und vermutlich auch viele andere) ihr Ersatzteillager. Du musst dabei nur anstelle von 100.000 Servern, zwei Server als Maßstab anlegen. Mit einer 1/3574 CPU wird es vermutlich schwierig beim Einlagern, aber Kreativität ist ja Deine Stärke.

Brauchst Du die Features überhaupt noch, wenn ein zentrales Monitoring existiert? I.d.R. verschickt das zentrale Monitoring die Email Benachrichtigungen und das Raid Setup ändert man für gewöhnlich auch nicht täglich. Je weniger das Host OS durch Fremdsoftware 'konterminiert' wird, desto weniger potentielle Fehlerquellen sind bei Störungen zu betrachten.

... und die USV für die Kaffeemaschine nicht vergessen :D

Moin, afaik ist es nicht unterstützt, per DFS-R auf den selben Server zu replizieren. https://social.technet.microsoft.com/Forums/windowsserver/en-US/e03216a1-4077-4bbb-ba6e-ab656cfaa630/will-dfs-replicate-between-local-disks-on-the-same-server Eventuell können altes und neues Storage auf Volumeebene replizieren.

Die Frage lautet 'Welchen Browser nutzt Ihr am liebsten?' und nicht welchen müsst Ihr nutzen weil Policies oder Softwareanbieter es verlangen ;)

Moin, bei DELL hängt es von Modell und Preis ab. Für Server von der Stange kannst Du Dir im Konfigurator einfach de gewünschte Konfiguration zusammenstellen und im Anschluss den Service wählen.Dann siehst Du wie hoch der Aufschlag ist.

Moin, wenn überhaupt wird im Host OS nur ein Agent installiert. Der Managementserver selbst kann in einer VM laufen. Idealerweise setzt man Server mit dediziertem LAN Interface fürs Management ein. Dann kommt man ggf. vollständig ohne Agent im Host OS aus. Wie es aktuell bei Fujitsu aussieht kann ich Dir nicht sagen. Das letzte Mal als ich so ein Gerät vor mit hatte, stand noch FSC drauf.

Leider erwirtschaften die User das Gehalt der IT bzw. das Honorar der Dienstleister - das Leben und die IT Sicherheit sind voller Kompromisse :) Off-Topic:... und ohne die keinen und großen Ungeschicklichkeiten mancher Anwender hätte man in der IT sehr viel weniger zu lachen

Warum wundert es micht nicht? :cool: SM Server und (mindestens) zwei Single Point of Failure für eine HA Lösung.

Als erstes ist die Organisation gefragt. Die muss zunächst die Parameter definieren und die notwendigen Ressourcen in Form von Budget und ggf. Personal zur Umsetzung und Erzwingung der Richtlinien bereitstellen. Das setzt natürlich voraus, dass es überhaupt ein Problembewustsein gibt. Bei Kaufleuten lässt sich ganz gut oder auch nur über den Geldbeutel argumentieren. Abstrakte Szenarien führen meiner Erfahrung nach selten zum Erfolg. Dafür liefern die Studien von Ponemon einiges Material. (wie alle Studen natürlich mit Vorsicht zu genießen) http://www.ponemon.org/library/2013-cost-of-data-breach-global-analysis Für 2011 gibt es sogar eine Studie für Deutschland: http://www.ponemon.org/library/2011-cost-of-data-breach-germany

Das ist gut. Noch besser ist es, wenn es nicht nur beim Versuch bleibt. Gerade bei Themen wie Desaster Recover, Hochverfügbarkeit und Fehlertoleranz solltest Du sauber trennen und klar kommunizieren. Mitlerweile ist aus einer scheinbar einfachen Anfrage 'Host für 4 VMs' ein Cluster mit vSAN geworden. Das bedeutet mal so überschlagen, von einer 20-25 T€ Lösung hin zu einer 75-100 T€ Lösung. Deine 'Lösungen' bestehen häufig nur aus irgendwelchen wild anmutenden Konfigurationen. Eine Lösung besteht nicht nur aus Blech und Software, sondern beinhaltet auch ein Betriebskonzept. Im Idealfall existiert das Konzept vor der Auswahl der Technik. Zur Hardware: Nimm Server von der Stange (DELL, HP, Fujitsu, IBM/Lenovo). Klick den Serverkonfigurator, Sollution Designer oder wie auch immer der Hersteller das Ding nennt durch. Dann hast Du schon mal eine Konfiguration mit Herstellersupport und musst bei Problemen nicht selber pröbeln. Hardwaresupport bietet jeder seriöse Hersteller. Mit Hardwareschieberei im Kleinen verdient kaum einer sein Geld. Es sind die 'Mehrwerte', die die Kasse klingeln lassen. Beim Rest hilft (siehe oben) ein Konzept. Nochmal ganz zum Anfang: Wenn der Kunde nur einen einfachen Host mit viel lokalen Plattenplatz benötigt, schau Dir mal den R730xd von DELL an. Wenn die 24 (+2) x 2.5 nicht reichen, kann noch mit SAS-HBA und JBOD erweitert werden. Vielleicht reicht auch ein 720xd, der wird gerade abverkauft und ist über einen geeigneten Vertriebskanal recht preiswert zu haben.

Gibts sogar fertig zu kaufen http://www.nutanix.com/the-nutanix-solution/architecture/ Dafür gibt es doch das Forum :cry:

Das Problem ist, dass unsere Erfahrungen Dir nicht weiterhelfen dürften. Wenn ich jetzt schreibe, dass bei uns 20 Arbeitsplätze problemlos Remote Desktop über eine 2 Mbit/s Leitung nutzen während andere Lokationen 10 Mbit/s für 20 Arbeitsplätze brauchen und weitere Lokationen gar nicht per RDS arbeiten können, ist Dir damit geholfen? Jedes Projekt fängt mit einem Lastenheft an. Was muss, was soll, was kann und was ist nice to have? Das kannst nur Du für Deine Umgebung definieren. Mit dem Lastenheft klapperst Du dann ein paar Anbieter/Systemhäuser ab und trägst die Ergebnisse in eine Lösungsmatrix ein. Wenn Du möchtest kannst Du die verschiedenen Punkte auch mit einer Gewichtung/Punktzahl versehen. Am Ende hast Du dann zwei bis vier Lösungen mit einen Score und kannst Dir die Lösung aussuchen, die die wenigsten Kompromisse verlangt.

Off-Topic:Warum musste ich bei hochgerechneten 2.19 TB p.a. sofort an 4 TB USB Platten vom Wühltisch denken. Lassen sich bestimmt auch per StarWind virtualisieren und replizieren :D

Und das ist genau eines der großen Probleme bei gebrauchter Software. Es hängt viel von der aktuellen Rechtsprechung ab und ob diese dann auch so auf die eigene Situation anwendbar ist. Alleine der Aufwand das zu verfolgen und im Einzelfall zu prüfen oder durch einen Juristen prüfen zu lassen, macht die vergleichsweise geringe Ersparnis beim Preis meiner Meinung nach zunichte.

Schon mal en Excel gedacht? Woher sollen wir im Forum wissen, was eine Mannstunde eines IT'lers in eurem Unternehmen kostet, was für Konditionen ihr bei euren TK Anbietern bekommt oder was ihr für Lizenzen bezahlt? Gegenüberstellungen Thin vs. Fat Client oder VDI vs. RDS usw. sollte die Suchmaschine Deiner Wahl liefern können.

Moin, Du wirfst hier mehrere Dinge in einen Topf, die zunächst nichts miteinander zu tun haben, sich aber ergänzen können. Ganz kurz un knapp: VPN stellt eine gesicherte Netzwerkverbindung zwischen mehreren Standorten oder Clients und Standorten her. http://de.wikipedia.org/wiki/Virtual_Private_Network VDI und Anderes sind Dienste, die über eine solche geschützte Verbindung bereitgestellt werden können. http://de.wikipedia.org/wiki/Virtual_Desktop_Infrastructure Die 'Virtualisierung' dient der Partitionierung physischer Hardware. http://de.wikipedia.org/wiki/Virtualisierung_%28Informatik%29