Dunkelmann

Wie wär's mit Remote Desktop? Ein oder zwei RDS Hosts in die Zentrale und die Filiale arbeitet überhaupt nicht mit lokalen Ressourcen.

Du hast eine falsche Position beim Thema Virtualisierung. Richtig wäre der Standpunkt: Es soll alles in einer virtuellen Umgebung laufen, es sei denn jemand kann plausibel das Gegenteil begründen. Viele Anbieter bzw. Vertriebler von Storage- / Speicherlösungen argumentieren, dass man auf ihrer Hardware ganz tolle Vorteile hat. Vendor Lock In inklusive; nur das wird gerne verschwiegen

Moin, die Funktion ist grundsätzlich nur auf einem Terminal Server aka Remote Desktop Host notwendig. Ob es notwendig ist oder nicht, hängt von der zu installierenden Software ab. Vernünftige Installer erkennen einen RDS Host und installieren sich konform. Es kann aber nicht schaden, den RDS Host vor jeder installation in den Installationsmodus zu versetzen.

Moin, Du kannst den Zugriff auf C sperren. Die User können weiterhin auf Applikationen und ihre Profile zugreifren. Allerdings hält sich nicht jedes Programm an die Spielregeln, daher sollte es vorher ausgiebig getestet werden. Ordnerumleitung und DFS können funktionieren. http://social.technet.microsoft.com/Forums/windowsserver/en-US/48dcdfed-0198-4b82-984a-e84232490df4/folder-redirection-to-a-dfs-share-located-on-our-cloud Wenn es jedoch nur um einzelne User geht, die ab und an mal am anderen Standort arbeiten, würde ich eher einen Single-Target Namespace ohne Replikation verwenden. Dann werden die Zugriffe zwar etwas langsamer, aber Du vermeistet potentielle Störungen. Wenn alles richtig konfiguriert wird und die Software sich an die Spielregeln hält, gibt es mit den Sperren von Laufwerk C keine Probleme.

Moin, beim RV180 sind Probleme mit PPTP Passthru seit längerem bekannt. https://supportforums.cisco.com/discussion/11621901/error-using-pptp-passthrough-rv180w

Hier wird für meinen Geschmack zu viel am Thema vorbei diskutiert. Es gibt eine Anforderung für die eine Lösung her muss, egal ob es einem gefällt oder nicht. Im Prinzip geht es darum, an welcher Stelle meine (Sicherheits-) Zonen enden und wie ich deren Einhaltung erzwingen kann. Also ist es ein verwaltetes Gerät mit Zugriff auf den AppStore oder ist es BYOD mit Zugriff auf Unternehmensressourcen. Erst wenn diese Entscheidung getroffen wurde, kann ich ein Betriebskonzept entwerfen und die Technologien auswählen. Ich persönlich kümmere mich lieber intensiv um eine überschaubare Anzahl an Servern, stelle einen Zugriffsmechanismus inklusive Policies etc. bereit, als dass ich wie Don Quichotte versuche, den Zoo an Endgeräten zu bekämpfen.

Da stimme ich Dir zu. Personalisierung ist ein wichtiges Thema und mir ist es auch egal, wie der Anwender seine Arbeitsumgebung gestaltet. Sobald aber individuelle Softwareinstallation und -nutzung ins Spiel kommt hört der Spass auf. Dann muss es eine klare Abgrenzung zwischen dem Privatvergnügen des Anwenders und der Unternehmens IT geben. Für diese Abgrenzung sind geeignete personelle, organisatorische und technische Ressourcen notwendig. Wenn die Produktivitätssteigerung die Refinanzierung ermöglicht, kein Problem. Ansonsten ist es in meinen Augen nur ein teures Hobby ohne Mehrwert.

Leider gibt es immer wieder einen CEO oder CxO, der glaubt, dass es doch gebraucht wird. Da hat man lieber harte Fakten parat und kann belegen, dass für diese Spielerei eine zusätzliche Planstelle in der IT notwendig wird. Komischerweise verlieren solche Themen dann recht schnell ihre Priorität. :cool:

Moin, das ist genau das Windows 8 Dilemma und einer von vielen Gründen, aus denen bei uns nur Windows 7 läuft. Ich muss zugeben, dass ich Thema der hybriden Nutzung (Domain und Live Services/AppStore) noch nicht vollständig adressiert habe. Meine bisherigen Recherchen, laufen aber auf diese Möglichkeiten hinaus: Per AD-FS einen Trust zwischen den Live Services und Deiner Domäne einrichten. Dann sollten sich die User sich mit ihrem Domain Login auch an den Live Services anmelden können und damit Zugriff auf den Store erhalten. Vermutlich wird das Szenario kostenpflichtig. Die Geräte als BYOD betrachten und per Workplace Join den Zugriff auf Domänenressourcen regeln. Der Nutzer muss sich selbst um das externe Konto kümmern. (Wie bei den iDingens usw. auch) Eine Kombination aus beiden Für mich sind beide Wege nicht wirklich mittelstandstauglich, der Infrastruktur-Overhead, das Missbrauchsrisiko und die unklare Rechtslage (wer haftet z.bsp. für kostenpflichtige Apps uws.) stehen für mich in keinem Verhältnis zu einem eventuell vorhandenem Nutzen (Ich muss wirklich sehr lange Suchen um überhaupt einen Mehrwert für uns zu finden) Falls mir demnächst auch so etwas aufgenötigt wird, werde ich vermutlich die Variante mit dem Workplace Join wählen und den Anwendern eine RDS Umgebung für die internen Services bereitstellen. Damit behalte ich wenigstens die Kontrolle über die Umgebung, in der die LOB Anwendungen laufen.

Du empfielst oder implementierst tatsächlich noch Lösungen, die seit Jahren als unsicher gelten? NPS mag Teil des Setups sein. Die Schwachstelle liegt aber beim DES und damit hat der NPS herzlich wenig zu tun.

Moin, bei DFS-R gibt es keinen Failover. Es ist kein Cluster und keine Hochverfügbarkeitslösung; es ist nur ein Replikationsmechanismus. Zu 1) Das gilt nur für neue Sitzungen. Bestehende Sitzungen auf dem Server, der den Neustart durchführt, werden einfach geschlossen - möglicher Datenverlust inklusive Zu 2) Grunsätzlich orientiert sich DFS an den AD Sites. An einem Standort mit mehreren Zielen, sind alle Ziele gleichberechtigt. Zu 3) Nein. http://technet.microsoft.com/de-de/library/cc773238%28v=WS.10%29.aspx

Moin, im Root-Zertifikat (wie in jedem anderen selbstsignierten Zertifikat auch) gibt es keine Sperrlistenreferenz. Diese Zertifikate können nicht gesperrt werden. http://www.mcseboard.de/topic/196559-interne-pki-einrichten/ Das Ausrufezeichen ist keine typische Windows-Warnung sondern bedeutet, dass das Attribut als 'kritisch' gekennzeichnet ist. http://tools.ietf.org/html/rfc5280#section-4.2.1.9 Um ein Zertifikat, das eine Vorlage nutzt, anzufordern benötigst Du die Berechtigungen 'lesen' und 'registrieren' auf der Vorlage. Dabei musst Du auch den Kontext der Anforderung beachten - es gibt Computer-, Benutzer- und Dienst-Zertifikate. http://technet.microsoft.com/de-de/library/cc730705.aspx

Entschuldigung für die deutlichen Worte, aber Deine Aussagen sind absoluter BS. NPS ist ein Richtlinien Dienst und hat nichts mit dem genutzen VPN Protokoll zu tun Jedes System mit Internet-Anbindung ist ein potentielles Ziel - unabhängig von der Unternehmensgröße. Bei einem schlecht konfigurierten Hosterserver, wie ihn der TO betreibt oder betreiben will, ist es keine Frage ob, sondern nur wann er kompromittiert wird und fortan als C&C, Contenthost für fragwürdige Inhalte, Jumpbox etc. dient. @EUNES: Überdenke Deinen Ansatz nochmal komplett. Du möchtest einem Bekannten helfen; tust Du ihm damit wirklich einen Gefallen oder setzt Du ihm einem - für euch unbeherrschbarem - Risiko aus? Vielleicht wären ein oder zwei Azure VMs die bessere Wahl. Mit einem virtuellen LAN Segment und VPN Zugang über den Provider-Gateway kannst Du Dir jede Menge Gebastel und potentiellen Ärger sparen. Als Alternative könntest Du oder Dein Bekannter einen Dienstleister mit dem Projekt betrauen.

AFAIK ist nur ein Editionsupgrade und kein kein -downgrade ohne Neuinstallation möglich. Essentials -> Standard -> Datacenter geht. Umgekehrt jedoch nicht.

Moin, es sollte in jeder Umgebung grundätzlich nur ein System mit externer Synchronisation geben. Wenn also der PDC Emulator seine Zeit von Extern holt, sollten alle anderen Systeme ihre Zeit auch von einem Domain Controller holen. Du kannst Stand-Alone-Systeme mit w32tm auch gegen einen DC konfigurieren. Im Prinzip bedeut es: Alle internen Uhren laufen entweder synchron und richtig oder sie laufen sychron und falsch. Wichtig ist im Zweifelsfall nur, dass alle internen Uhren gleich laufen :cool:

Ich bin zwar weder MVP noch MSFT; antworte aber trotzdem :cool: Unter Administraive Vorlagen -> Alle Einstellungen kannst Du Filteroptionen setzen und einen Filter aktivieren.

Moin, es gibt Migrationen, die nicht oder nur schwirig ohne Benutzerinteraktion zu bewältigen sind. Ich möchte zwei Dinge anregen: Die neuen Pfade gleich auf einen serverunabhängigen Pfad legen; also Cluster oder DFS Namespace (Domäne). Dann gibt es wenigstens bei der nächsten Migration keine Probleme, wenn sich der Server ändert. Die Migration sukzessiv durchführen. Je nach dem, was ihr im Support bewältigen könnt, könnten Blöcke á 50 oder 100 User je Woche angemessen sein.

Moin, der PXE Client erwartet zum DHCP-Offer auch einen PXE Server. http://blogs.technet.com/b/dominikheinz/archive/2011/03/18/dhcp-amp-pxe-basics.aspx http://support.microsoft.com/kb/244036/de

Ein vernünftiger Router sollte doch protokollieren können, welche Session welchen Weg nimmt.

Genau hier liegt das Problem :cool: Die einzelnen Interessenten beziehen die Lizenzen bereits in Teilen oder komplett über stifter-helfen und betreiben ihre eigene Infrastruktur auf eigener Hardware. Ziel des Vorhabens ist es die IT Infrastruktur zu konsolidieren - nur mit den Open oder Select Lizenzen aus den bestehenden Charity Programmen wird das leider nichts.

Moin, warum überhaupt iSCSI oder NAS für Produktivdaten? Für so ein kleines Setup sollte ein Server mit lokalem Storage ausreichen. Mit einem geeignetem RAID Controller sollte es kein Problem geben, je einen SAS und einen SATA Verbund einzurichten und die virtuellen Disks entsprechend zu verteilen. Mit einem MS Server 2012 (R2) als Hypervisor könntest Du ggf. auch auf den RAID Controller verzichten und einen Storage Space mit Mirror oder Trple-Mirror einsetzen. Für's Backup ist ein externer Speicher die bessere Wahl - keine Frage. PS: iSCSI am DC ist keine gute Idee. Multihomed Domain Controller machen nichts als Ärger.

Moin, auffällig ist, dass die DCs nur sich selbst als DNS Server eingetragen haben - das ist nicht gut. Die DNS Client Konfiguration der NIC sollte über Kreuz erfolgen. Also erster DNS-Server = ein anderer DC, zweiter DNS Server = localhost http://www.faq-o-matic.net/2007/01/09/was-muss-ich-beim-dns-fuer-active-directory-beachten-reloaded/

Moin, Du würfelst hier einige Dinge durcheinander. Authentifizierung, Autorisierung und Policies sind im Prinzip unabhängige Themen, die nur 'zufällig' im Active Directory zusammengeführt werden. Azure nutzt dabei einen Mechanismus, der in etwa den AD Fedaration Services entspricht. Das bedeutet Identitäten und Ressourcen werden in getrennten Umgebungen verwaltet. Die Identitäten können in der eigenen Domäne liegen oder es kann das MS Backend (z.Bsp.: account.live.com) verwendet werden. Bei den Ressourcen ist es problematischer. Der lokale Windows 8 PC, Office 365 und andere Azure Dienste lassen sich relativ einfach ohne in house AD verwalten. Bei Fachapplikationen kann es schon schwierig werden. Viele Entwickler (incl. Microsoft) sind noch nicht so weit, dass sich jede Anwendung in einer solchen Umgebung betreiben lässt. Azure ist derzeit primär auf den Betrieb von PaaS (Platform as a Service) ausgelegt - also Hosted Applications. Das Thema IaaS (Infrastructure as a Service) ist noch nicht so umfassend abgedeckt, dass man komplett auf ein eigenes AD verzichten könnte. Gruppenrichtlinien gibt es derzeit auch nur mit einem eigenen AD. Edit: Azure kann afaik aktuell keine organisationsbezogenen Computeridentitäten verwalten. Computer werden zZ. lediglich einer Person zugeordnet. Hier gibt es etwas Futter zum Thema AD-FS bzw. Claims based identity and access http://msdn.microsoft.com/en-us/library/ff423674.aspx

Ich habe befürchtet, dass es noch nichts dafür gibt. Das mit Academic und der Bezugsberechtigung für Non Profits ist leider nicht ganz so trivial - insbesondere bei Komplexanbietern. Die Grauzone ist mir aktuell zu groß um darauf eine seriöse Planung aufzubauen.

Moin, ich sondiere gerade das Thema 'Service Provider für Non-Profits'. Zum Hintergrund: Es wird gerade diskutiert, ob die IT-Infrastrukturen mehrerer kleiner/mittelständischer Organsationen konsolidiert und gemeinsam betreiben werden sollen. Eventuell soll in diesem Zusammenhang eine Servicegesellschaft für den Betrieb gegründet werden. Im SPLA Program Guide habe ich lediglich den Hinweis auf 'Academic Pricing' gefunden. Ist jemanden bekannt, ob es auch einen SPLA-Tarif für Non-Profits/NGO gibt und kann mir weitere Informationen zur Verfügung stellen? PS: Das MS Office 365 Angebot für Non Profits ist zwar attraktiv, kommt aber als Variante nicht in Frage.