Dunkelmann

Moin, der MCSE Private Cloud besteht aus insgesamt 5 Prüfungen: http://www.microsoft.com/learning/de-de/private-cloud-certification.aspx Die Prüfungen kannst Du auf deutsch oder englisch buchen. Es sind geschlossene Fragen. Die Prüfung wird an einem Terminal im Testcenter durchgeführt. Für diesen Zertifizierungspfad brauchst Du in erster Linie Praxis. Es werden im Prinzip alle System Center Komponenten außer dem Configurations Manager abgefragt. Ein guter Anlaufpunkt für das Thema ist der Blog von Keith Mayer: http://blogs.technet.com/b/keithmayer/archive/2012/07/23/get-certified-on-mcse-private-cloud-with-this-free-step-by-step-study-guide-hyper-v-privatecloud-sysctr.aspx Testprüfungen sind mir nicht bekannt, aber ab und an bieten MS und Prometric einen 'Second Shot' an. Das bedeutet, Du kannst bei Nichtbestehen, die Prüfung kostenlos wiederholen.

Hallo, zu 1: Im Prinzip hast Du das richtig verstanden LiveMigration braucht SMB und damit den MS Client und Datei und Druckerfreigabe. Damit es Redundanz für LM gibt, werden die Protokolle auch auf dem Cluster-Netz aktiviert. Ansonsten würde es durch das LAN gehen müssen und das ist i.d.R. unerwünscht. zu 2: Das VM-Netz hat für den Hostcluster keine relevante Funktion, da im Host OS keine Protokolle an dieses Netz gebunden sind.

Möglicherweise ist beim Copy&Paste etwas mehr schiefgelaufen. 'certutil -crl' veröffentlicht die Sperrliste. Wenn das fehlschlägt, könntest Du es auch mal über das MMC 'Zertifizierungsstelle' versuchen. Dazu die CA öffnen, zu 'Gesperrte Zertifikate' navigieren und mit Rechtsklick - Alle Aufgaben - Veröffentlichen wählen Troubleshooting: Am Besten fängst Du auf der Root CA an, den Status und die korrekte Übernahme der Parameter nochmal zu prüfen. MMC Zertifikate öffnen und in den Eigenschaften der Zertifizierungsstelle unter 'Erweiterungen' die 'Sperrlisten Verteilungspunkte' (CDP) und den 'Zugriff auf Stelleninformationen' (AIA) die Pfade auf Plausibilität prüfen. Wenn Du nicht genau weist, was dort stehen muss ist es natürlich etwas b***d. Aber Du könntest weigstens schauen, ob es dort offensichtlich verstümmelte oder unvollständige Pfadangaben gibt. Hast Du alle Server genauso benannt, wie im TLG vorgegeben? Läuft der Dienst? 'get-service certsvc' Mit RegEdit folgenden Pfad öffnen: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\{CA-Name}] Dann überprüfen, ob die mit 'certutil -setreg' gesetzten Parameter auch 1:1 übernommen wurden. Insbesondere die beiden urls für die Veröffentlichung des Zertifikats und der Sperrliste genau prüfen. Edit: Bist Du auch Enterprise bzw. Organisations-Admin? Edit2: (hatte noch nicht genügend Kaffee) Manchmal macht die PowerShell auch komische Dinge bei Anführungszeichen in einer Deutschen Umgebung. Du könntest alle 'certutil -setreg' Befehle auf dem Zielsystem in eine klassische Batchdatei (*.cmd) packen. 'Restart-Service certsvc' durch 'net stop certsvc' und 'net start certsvc' ersetzen, dann 'certutil -crl' und ein 'pause' ans Ende vom Batch setzen. Das Batch dann als Administrator ausführen

Hallo, schön, dass es bisher so gut läuft. Der Fehler ist vermutlich ein typisches Codepage - Copy&Paste Problem. Manchmal passieren dabei komische Sachen. Eventuell kann es helfen, den Text zunächst in einen Editor, z.B. Notepad++, zu kopieren, zu prüfen und erst dann in die PowerShell einzufügen. Den Befehl 'certutil -crl' solltest Du ansonsten problemlos manuell eingeben und erfolgreich ausführen können. (Die Gänsefüße am Ende gehören da übrigens nicht hin)

Moin, ohne Deine PKI im Detail zu kennen, kann ich nur allgemeine Hinweise geben. Grundsätzlich musst Du von Root CA ein neues Zertifikat für die Sub CA anfordern. Der Request wird auf der Sub CA erstellt. Zertifikatsvorlagen gibt es nur bei AD Integrierten CAs. Vorher musst/solltest Du die CAPolicy.inf im Windows Verzeichnis Deinen Bedürfnissen entsprechend anpassen. Beispiel: ... [certsrv_server] renewalkeylength=2048 RenewalValidityPeriodUnits=10 RenewalValidityPeriod=years ... http://blogs.technet.com/b/askds/archive/2009/10/15/windows-server-2008-r2-capolicy-inf-syntax.aspx Die maximale Gültigkeit von Zertifikaten der Sub CA kann wie folgt angepasst werden: certutil -setreg CA\ValidityPeriodUnits 2 certutil -setreg CA\ValidityPeriod "Years" net stop certsvc & net start certsvc Bei 'ValidityPeriodeUnits' dann Deine Präferenz eintragen.

Moin, die Evaluierungsversionen gibt es MS zum Download. Sie sind 180 Tage gültig, das sollte zur Prüfungsvorbereitung ausreichen. http://technet.microsoft.com/en-us/evalcenter/

Moin, ich behaupte mal 'Alles, was man bei einer PKI falsch machen kann' und verweise aus Bequemlichkeit auf diesen Post http://www.mcseboard.de/topic/196607-problme-bei-einer-enterprise-pki-in-einer-lab-umgebung/?p=1219660 Eine PKI, selbst eine einfache Zertifizierungsstelle, braucht etwas Planung und Vorbereitung. Mit 'Weiter-Weiter-Fertig Stellen' klicken ist das nicht erledigt.

Moin, es ist keine HA (high availability), sondern eine DR (desaster recovery) Lösung. :cry: Ich hoffe Du trennst die Themen wenigstens beim Kunden sauber :cool:

Manchmal braucht es nur ein wenig externen Input, um sich vom Tunnelblick zu befreien. Ich kenne das sehr gut aus eigener Erfahrung :)

Stimmt :rolleyes: eigentlich sollte es in diesem Fall keine Probleme geben. Bei 4 RDS Generationen bin ich auf diese GPO irgendwie fixiert :cool:

Hallo, das ist die url für das CPS (Certificate Practice Statement). In diesem Dokument werden die Richtlinien für den PKI Betrieb definiert. Die Angabe ist optional und die url kann in einer Testumgebung ins Leere zeigen.

Was für einen faden Beigeschmack hat ein gutes Backup/Restore Konzept? Es bietet oftmals das beste Preis/Leistungsverhältnis. Jedes gute Backupprodukt, sollte Applikationssnapshots unterstützen. Beim DPM kannst Du z.B. alle 15 Minuten einen Wiederherstellungspunkt vom SQL, Exchange usw. erstellen (Sofern die Systeme performant genug sind). Statische Daten (Betriebssystem, Applikationsbinaries etc.) müssen nur bei Änderungen gesichert werden. Meistens reicht es diese 1x am Tag oder auch nur 1x pro Woche zu sichern. HA bedeutet shared Storage und Cluster eventuell sogar ein gespiegeltes Storage. Ein 6-stelliges Budget sollte dafür schon vorhanden sein. Ich würde auf jeden Fall den Weg von Daniel gehen und ein wenig mit Zahlen spielen: Was kosten 1 Stunde, 1 Tag Ausfall und wieviel muss ich ausgeben um mich davon 'freizukaufen'. Als Dienstleister kannst Du dem Kunden dann vielleicht ein paar vorkonfektionierte Pakete zur Auswahl anbieten.

Moin, Du könntest für jede Farm per GPO einen eigenen Pfad zu den servergespeicherten Profilen festlegen. -> Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Profile

Moin Alex, ich muss zugeben, dass ich Dein Vorhaben spannend finde :thumb1: Ein paar kleine Anregungen möchte ich noch geben: Falls das Haus so konzipiert ist, dass es später mal als Zweifamilienhaus genutzt werden kann, würde ich gleich einen Unterverteiler einplanen Eventuell auch ein paar Leerrohre zu den Dosen legen - vielleicht soll es später auch mal Glasfaser anstelle von Kupfer geben Ein paar gut verteilte Dosen in den Fluren zur Versorgung von APs - Im Kinder- oder Schlafzimmer sieht ein AP wirklich b***d aus :p Falls die IP Kameras zu einem Sicherheitssystem gehören, würde ich diese auf jedenfall physisch - nicht nur per VLAN - vom Heimnetz trennen. Manche Versicherungen verlangen das sogar. Investiere lieber gut in die Infrastruktur; Serverhardware, NAS etc. haben selten eine Lebensdauer von mehr 5 Jahren - das Haus hoffentlich schon

Echte Hochverfügbarkeit wird bei dem Budget kaum möglich sein. Das ist ein typisches KMU Problem: wening finanzielle Mittel und hohe Erwartungen (das nicht abwertend gemeint, sondern oftmals die Realität) Setze lieber auf vernünftige Serverhardware mit gutem SLA (4h Critical) und ein gutes Backup/Restore Konzept. Damit fährst Du vermutlich besser, als mit einer gebastelten HA Lösung, die im besten Fall nur 'Failover by Admin' schafft.

Moin, wie Shrek oben schon geschrieben hat, vieles ist Geschmackssache oder hängt von konkreten Vorgaben für die Umgebung ab. Es spricht absolut nichts dagegen, zum Üben und Kennenlernen einen simplen Cluster ohne Teaming und sonstige Extras aufzubauen. Das Gute an einer Testumgebung ist ja, dass Du Dein individuelles Tempo und Deine Präferenzen umsetzen kannst. Wenn es Dir dann nicht mehr gefällt, kannst Du es plattmachen und neu anfangen. In einer Produktivumgebung ist das etwas schwieriger. Ohne Teaming hast Du keine Netzwerkredundanz. Der Switch oder die Netzwerkkarte wird zum Single Point of Failure; und genau das ist in einer hochverfügbaren Umgebung nicht gewünscht. Natürlich hat Teaming auch Nachteile: Es muss richtig konfiguriert werden und verursacht etwas Overhead im Host OS. Mit vernünftiger Hardware und PowerShell ist das aber kein Problem :cool:

Hallo, eine PKI durch nachklicken eines - in meinen Augen fragwürdigen - Tuturials nachzubauen ist sehr mutig. Auch wenn es sich nur um eine Laborumgebung, solltest Du parallel auch am etwas theoretischen Hintergrund arbeiten. http://social.technet.microsoft.com/wiki/contents/articles/2683.active-directory-certificate-services-learning-roadmap-community-edition.aspx Als kleine Spielumgebung erscheint mir das TLG von MS deutlich potenter (und es funktioniert ;) ) http://technet.microsoft.com/en-us/library/hh831348.aspx

Hallo, so kannst Du es - erstmal - auch aufbauen. Bei dem Setup brauchst Du nur einen virtuellen Switch für die VMs, das Host OS ist ja direkt mit den anderen 5 NICs verbunden. Wenn Du dann später mal Lust auf Teaming hast, versuch' es mal ohne Downtime von Host-Cluster oder VMs umzustellen :D Es geht.

Moin, hast Du eine Sperrliste der Root CA veröffentlicht und ist der Verteilungspunkt auch erreichbar?

Schau Dir mal den Blog von Keith Mayer an: http://blogs.technet.com/b/keithmayer/archive/2013/04/01/build-your-private-cloud-in-a-month-new-article-series.aspx Da wird im Abschnitt 'Networking' auch das Thema mit dem Host/Cluster/LM Team behandelt.

Hallo, IPv6 auf keinen Fall deaktivieren - das wird Dir der SBS übel nehmen. Das die ping-Antwort über IPv6 kommt ist normal. Sind beide Protokolle konfiguriert, hat lt. RFC IPv6 den Vorzug. Wenn die Spasskiste von der Telekom für den Ärger verantwortlich ist, ersetze sie doch durch eine richtige Firewall oder wenn das nicht geht - wg. Telefonie o.ä., könntest Du zwischen Speedport und dem LAN eine Firewall als 'Schmutzfänger' setzen.

Moin, wenn Du 6 NICs je Server hast, reicht es doch: 2x iSCSI per MPIO 2x Host OS, Cluster und Live Migration als Team 2x VM als Team Wenn Du iSCSI MPIO mit zwei Subnetzen verwendest, solltest Du auch 2 VLANs dafür auf den Switches einrichten. iSCSI wird serverseitig grundsätzlich ohne Link Aggregation betrieben - dafür gibt es Multipathing. Es gibt zwar auch Setups, die LACP-Teaming und Subinterfaces oder vNICs für iSCSI ermöglichen. Für Deine Umgebung dürfte das jedoch nicht relevant sein.

Hallo, nenne es 'housing' anstelle von 'hosting' ;) Grundsätzlich ist der Betreiber der Server für die korrekte Lizensierung zuständig. Der Betreiber muss nicht zwangsläufig auch der Eigentümer der Hardware sein.

Wie bei allen anderen Dingen, gilt auch bei virtuellen Domain Controllern der Grundsatz 'man sollte wissen, was man da tut' ;) http://support.microsoft.com/kb/888794 http://technet.microsoft.com/en-us/library/jj574214.aspx Das Thema USN Rollback gilt nicht nur für virtuelle Umgebungen. Auch ein physischer DC, der unsachgemäß aus einem Backup wiederhergestellt wird, zeigt dieses Verhalten und kann das AD zerlegen. In virtuellen Umgebungen ist es nur 'verführerischer' mal eben einen Snapshot zu ziehen und hinterher ein Revert zu machen. Generell sind Snapshots oder Checkpoints, bei 2012R2, mit äußerster Vorsicht zu genießen und sollten in Produktivumgebungen vermieden werden - nicht nur bei DCs, sonern generell. In einer Testumgebung sind sie praktisch und können viel Arbeit sparen. Ob die Generation ID wirklich zuverlässig funktioniert, kann ich nicht sagen. Ich habe zwar mal erfolgreich einen Domain Controller in meiner Testumgebung geklont, aber das ist nicht unbedingt repräsentativ.

Moin, das Verhalten ist völlig normal und hat zunächst nichts mit der virtuellen Umgebung zu tun. Die Windows Firewall auf dem Client blockt in der Standardeinstellung eingehendes ICMP und daher gibt es auch keine Antwort auf den ping. Beim Server wird eingehendes ICMP beim Installieren bestimmter Rollen (z.Bsp. ADDS) mit aktiviert.