Dunkelmann

Moin, mir fällt spontan AD-LDS ein. http://technet.microsoft.com/de-de/library/cc733064.aspx

Gäbe es nur ein Einheitsdesign für alle Anwendungsfälle, wäre IT der langweiligste Job der Welt ;)

Die Netzwerkressourcen kann ich auch per GPP steuern :cool: Leider gibt es immer noch Schrott Anwendungen, die nicht mit UNC Pfaden klarkommen

Ich bin ein überzeugter Nutzer von GPP. Die Zielgruppenadressierung erlaubt eine sehr granulare Steuerung ohne wie anno 1995 Skripte basteln zu müssen. ABE sehe ich eher als ergänzende Technik. Falls der User doch mal durch die Shares surft, wird er nicht durch die Anzahl von Freigaben 'verwirrt' bzw. es werden keine Begehrlichkeiten geweckt.

Danke :thumb1:

Mit GPP im Benutzerkontext + Zielgruppenadressierung auf Gruppenmitgliedschaft und Terminalsitzung,Computername oder IP Bereich sollte es eigentlich flott laufen. Bei ein paar hundert Gruppen ist es natürlich Fleißarbeit. Da die Definition des Laufwerksmappings nur eine xml ist, kann man das auch semi-automatisch per Copy, Edit & Paste lösen. Vielleciht zaubert auch jemand ein fertiges Skript aus dem Hut.

Ich würde nicht an den Produktivsystemen rumwerkeln bevor die Ursache ausgemacht und beseitigt ist - immerhin hast Du aktuell kein Backup ;) Du könntest es eventuell mal offline versuchen - also VM runterfahren und exportieren. Dann auf einem anderen Host das Szenario mit dem Zusammenführen durchgehen. Neben den Eventlogs von Host und VM, wären auch die Applikationen in den VMs einen Blick wert. Eventuell macht das 'application aware imaging' Probleme - gab es vielleicht Updates der Applikationen?

Moin, hast Du eventuell dieses Problem? http://www.veeam.com/kb1863

Moin, wie immer die Frage: Was willst Du erreichen? Da die Benutzer per ACL und Freigabeberechtigung Zugriff auf das Laufwerk haben müssen bringt das Verbinden oder Nicht-Verbinden mMn gar nichts - der Benutzer kann den UNC Pfad immer noch direkt im Explorer eingeben und die Ressource verwenden. Willst Du 'Sicherheit'? Dann müssten Clients, FileShare und RDS durch eine entsprechend konfigurierte Firewall getrennt sein. Soll es nur 'Kosmetik' sein, könntest Du Dir mal Group Policy Preferences (GPP) mit Zielgruppenadressierung anschauen.

Wenn man es mit Behörden zu tun hat, zählen weder das individuelle Problembewusstsein noch technische Fakten. :wacko:

Die Kosten sind i.d.R. nicht das riesen Problem. Die fehlende Standardisierung für verschlüsselte Kommunikation sehe ich derzeit als größte Herausforderung und auch als größten Kostentreiber. Vielfach wird leider noch nach dem Motto verfahren "Ich verschlüssele damit mir keiner ans Bein pi**** kann" - Wie die Gegenstelle es wieder entschlüsselt bekommt, wird allzu oft vergessen. Wir dürfen dank de-Mail demnächst noch eine zusätzliche Lösung für die Kommunikation in Betrieb nehmen. Ich habe das Zählen aufgegeben ... vielleicht ist es Lösung Nummer 8, vielleicht auch schon Lösung Nummer 12 oder 13.

Hat der Server überhaupt ein DVD Laufwerk? Bei einem so alten OS, könnte die Hardware ähnlichen Jahrgangs sein

Moin, in der Situation mit nur einem Host und 3 VMs würde ich Windows Server Backup nehmen. Ein Restore dürfe schneller gehen als eine Neuinstalltion incl. Updates, Hotfixes, Konfiguration. Zumal bei einer manuellen Konfiguration die Reproduzierbarkeit nur eingeschränkt ist und Du im Zweifelsfall nicht sicherstellen kannst, dass der Host sich genau so verhält wie vor den Crash und der Neuinstallation. Das beruht natürlich auf der Annahme, dass weder VMM, MDT, ADK und/oder PS Skripte eingesetzt werden.

So eine Frage lässt sich nicht pauschal beantworten. Ein seriöse PKI lässt sich nicht in einem Forum projektieren. Als eine mögliche Richtgröße könnten die Teilnehmer angesetzt werden: Sind nur oder fast nur Teilnehmer im LAN, kann eine Verteilung per LDAP sinnvoll sein. Die Sperrlisten werden über das AD repliziert und stehen damit ohne zusätzliche Infrastruktur an allen Standorten mit DC zur Verfügung. Hat ein Großteil der Teilnehmer keinen direkten Zugriff auf das LADP (z.Bsp.: Externe, VPN oder sonstige Geräte) bringt die Verteilung per LDAP nichts, da die Listen gar nicht abgerufen werden können. An dieser Stelle könnte man ansetzen und ggf. mehrere Policy-/Issuing-CA mit unterschiedlichen Konfigurationen betreiben. Buchtipp: Brian Komar - PKI & Certificate Securiry

Moin, die Frage nach der Legalität lässt Du Dir besser von einem Juristen beantworten. Ich persönlich würde die offiziellen Downloadangebote von Microsoft einer unbekannten Quelle vorziehen

"Die Mitarbeiter sind doch eh da, dann können sie dieses oder jenes doch nebenbei mit machen" - Zitat eines ehemaligen kfm.Leiters. TCO? ROI? Fehlanzeige!

Moin, Du möchtest Benutzer-Richtlinien anwenden .... oder ... verwendest Du den loopback-Modus?

Zum SBS sollte noch gesagt werden, dass die Konfiguration möglichst nur über die Assistenten erfolgen sollte - es sei denn man weis, was wie ohne Assistent konfiguriert werden kann. Also, die Umstellung des Subnetzes am Besten per Assistent für den Internetzugang durchführen ;) http://blogs.technet.com/b/sbs/archive/2008/09/17/introducing-the-connect-to-the-internet-wizard-ctiw.aspx

Die SOA liegen ja auch wieder bei no ip - kein Wunder dass es wieder funktioniert :p

Moin, beim ersten Überfliegen vom SBS bleibe ich sofort hier hängen: In der Netzwerkkarte (DNS Client) sollten nur andere Domain Controller (sofern vorhanden) und/oder die loopback Adresse gesetzt sein. http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/ Für die externe Namesauflösung können Forwarder auf dem DNS Server eingerichtet werden. Für die Domänen-Clients oder Mitgliedsserver gilt: Es dürfen nur DNS Server der Domäne (i.d.R. Domain Controller) als DNS Server gesetzt werden.

Moin, auch wenn so eine Auswertung technisch möglich ist, erscheint es mir grenzwertig (Mitarbeiterüberwachung usw.). Ich würde einen organisatorischen Ansatz wählen und die Leerlaufzeit mit den Fachabteilungen und ggf. dem Softwarelieferanten abstimmen. Im Zweifelsfall eine Rundmail schicken und mitteilen, dass ab dem .... die Leerlaufzeit auf 15 Minuten gesetzt wird. Eventuell noch etwas Prosa über Optimierung der Ressourcen, usw. als Beiwerk Kommen keine begründeten Einwände, die Richtlinie umsetzen - fertig.

Moin, Du verwendest hier die Vergangenheitsform. Ist der Client noch in der Domäne? Wenn er nicht mehr in der Domäne ist, nützen Dir Domänen-Admins nichts, dann benötigst Du einen lokalen Administrator.

Ein paar Ergebnisse der Suchmaschine: http://blogs.technet.com/b/sbs/archive/2008/10/24/issues-after-disabling-ipv6-on-your-nic-on-sbs-2008.aspx http://blogs.technet.com/b/jlosey/archive/2011/02/02/why-you-should-leave-ipv6-alone.aspx http://technet.microsoft.com/en-us/network/hh994905.aspx http://msmvps.com/blogs/acefekay/archive/2010/05/27/how-to-disable-rss-tcp-chimney-feature-and-ipv6.aspx ... usw.

Zu 2: (hoffentlich habe ich die implizierten Fragen verstanden) a) Computer-Konten werden beim Beitritt zur Domäne erstellt - können auch vorab bereitgestellt werden B) Das 'Administrator' Konto würde ich nicht verwenden, sondern ein zusätzliches Konto mit den selben Berechtigungen anlegen und den 'Administrator' deaktivieren c) mit lokalen Konten wird in einer Domäne nur gearbeitet, wenn es eine Notwendigkeit dafür gibt. Ein Zweck der Domäne ist die zentrale Benutzerverwaltung, um nicht lokale Konten nutzen zu müssen.

Moin, die WSUS Datenbankdateien kannst Du manuell über das SQL Management Studio verschieben. http://www.wsus.de/move_susdb http://blogs.technet.com/b/sbs/archive/2009/09/23/how-to-move-wsus-content-and-database-files-to-a-different-partition.aspx Das Management Studio kannst Du aus dem SQL-Express-Advanced installieren http://www.microsoft.com/de-de/download/details.aspx?id=29062