Dunkelmann

Moin,

warum nicht? Den Mutigen gehört die Welt. :D

Moin,

zentralisierte Daten und Zugriff von unterwegs sind sehr schwammig.

Für gewöhnlich ist "Mobiles Arbeiten" keine Aufgabenstellung, bei der sich eine Lösung in Form einer einzelnen Technologie (roaming profiles/folder redirection) aus dem Hut zaubern lässt. Das ist ein Thema, das einen ganzheitlichen Ansatz benötigt.

Moin,

ich werfe mal das TLG als Grundlage für eine Testumgebung in die RUnde:

http://www.microsoft.com/en-us/download/details.aspx?id=39638

https://blogs.technet.microsoft.com/tlgs/

Zm Thema multi homed DC mit Hyper-V Rolle:

Es kann für ein Testsetup funktionieren. Wenn man aber so etwas bastelt sollte man genau wissen, was man da tut und wie man es richtig einrichtet.

Externen Support oder troubleshooting kann es aufgrund der Unwägbarkeiten eines solchen Setups nicht geben!

Moin,

das Quorum auf ein SMB 3 Share zu legen ist i.d.R. keine Hürde.

.... Es handelt sich hierbei nicht um ein Windows-SoFS ...

Da Du uns nicht den Hersteller verraten magst, empfehle ich Dir zunächst nur ein paar Test VMs auf dem System zu betreiebn und die benötigten Funktionen (inkl. Failover) ausgiebig zu testen.

Darf man erfahren, was gegen ldaps spricht? Hab ab und an solche Kundenanfragen :)

Gegen LDAPS spricht weniger als gegen LDAP ;)

Bei Radius sehe ich den Vorteil, dass keine Appliance - besonders eine am Edge - direkt mit meinen DCs reden muss. Ich benötige dort keinen dummy User zum browsen im AD, ich kann das AD umbauen oder umsortieren ohne mir über hinterlegte Suchpfade gedanken zu machen.

Über Radius kann ich nicht nur die Verwaltung von Firewalls lösen, sondern mit wenig Aufwand das gleiche Backend auch für die Administration anderer (Netzwerk-)Geräte nutzen. Switches, WiFi Controller, USV, Gebäudemanagement - solange ich nichts aus der Wühlkiste nehme, bieten viele eine Radiusauthentifizierung für Admins und/oder Benutzer an.

Je nach Art und Umfang der Integration gibt es auch andere Benefits.

Da wäre die Nutzung von Radius Standardattributen (bspw. session/idle timeout, logon hours) oder herstellerspezifischen Attributen wie dynamische Gruppenzuweisung über den Radius ohne dass ich jede Appliance einzeln Konfigurieren muss.

Moin,

einige haben es vielleicht bemerkt. Nach den Windows Updates KB3194798 und KB3192392 für Oktober 2016 stürzt die SCOM Konsole ab.

Jetzt gibt es ein Hotfix dafür: KB3200006

https://support.microsoft.com/en-us/kb/3200006

https://blogs.technet.microsoft.com/germanageability/2016/10/17/october-2016-windows-patch-kb3192392-might-cause-scom-2012r2-console-to-crash/

Moin,

noch als Ergänzung zum Bereits geschriebenen:

Private v6 Adressen gibt es eigentlich nicht. Die Adressen sind unique local oder unique local unicast. Das Gebastel mit einem pseudo v6 NAT ist auch nicht wirklich zielführend.

Für eine umfassende IPv6 Einführung benötigst Du auf jeden Fall eine v6 fähige Infrastruktur (Router, Firewalls, VPN Gateway etc.) sowie einen global unicast Adressraum. Den bekommst Du i.d.R. vom Provider.

Ums kurz zu machen: mach es richtig oder lass v6 im staless mode laufen. Alles andere ist Frickelei ohne erkennbaren Mehrwert.

Moin,

wie genau hast Du das pfx importiert? Ist es eventuell im Zertifikatsspeicher des Benutzers gelandet?

Moin,

die Gruppe muss AFAIK der Konvention von Sonicwall folgen. Also "SonicWALL Administrators" oder "SonicWALL Read-Only Admins" heißen.

btw: Ich würde ungerne LDAP verwenden wollen und Radius für die Authentifizierung der Administratoren nutzen.

Moin,

auch wenn ich die technische Notwndigkeit nachvollziehen kann, stört sich dieser Halbsatz vermutlich an den Boardregeln "und anschließend die Sitzung auch nicht entschlüsseln kann"

Ich würde mal einen Blick auf die Firewall werfen. Session beenden und neu aufbauen lassen können das gewünschte Ergebnis liefern.

Moin,

in der Theorie ist es kein Problem. Es muss nur der Service Record auf den neuen KMS umgestellt werden.

Moin,

für solche Zwecke gibt es Deploymentnetze, die nicht mit der eigenen Umgebung/Domäme interagieren.

Eine gescheite Firewall, ein neues VLAN auf eine handvoll Switchports und das Thema ist abgefrühstückt.

ich sehe das auch etwas getrennt VPN und VDI. Ich denke der größte Mehrwert der VDI Lösung liegt nur darin

mögliche Hardware einzusparen wenn man ThinClients einsetzt und sobald man eine saubere VPN Lösung hat ist dies

sag ich mal noch ein Sahnehäupchen an Security mehr wegen dem Datenabzug.

Die Kosten für das Blech alleine interessieren niemanden.

Frei nach DocData "CAPEX und OPEX sind die relevanten Werte". Ich rechne immer noch in TCO :cool:

Ich wiederhole mich ungerne; trotzdem noch mal der Hinweis: Aus einem Gesamtbild eine einzelne Komponente zu bewerten ohne den globalen Kontext im Detail zu kennen ist wenig bis gar nicht hilfreich.

Edit: Zum Thema "Datenabzug"

Mit Videobrille, Knopflochkamera und OCR kann ich auch Daten abgreifen. DLP ist kein triviales Thema, das nur aus einer einzelnen technischen Komponente besteht.

Gibt es sonst noch Argumente warum VPN always on nur mit Firmengeräte und diese Verschlüsselt nicht reicht als Security Punkt ?

Sicherheit besteht zu 99% aus Konzept, die Technik ist nur das Vehikel zur Umsetzung.

Aus diesem Grund kann man die Situation nicht nur anhand einzelner Technologien bewerten.

Moin,

ein ganz heißer oder lauwarmer Tipp (Nils schrieb es bereits): Das Ereignisprotokoll von Gast und Host.

Hyper-V unter Windows 10 reicht einige oder alle (genaues weiß keiner außer MS) Enersparfunktionen vom Host an den Gast durch. Besonders bei mobilen Geräten können lästige Nebenwirkungen auftreten.

Moin,

ganz einfach. Die Email wurd an DIch adressiert und mit Deinem öffentlichen Schlüssel verschlüsselt; somit kann die Mail nur mit Deinem privaten Schlüssel entschlüsselt werden.

Das Mailprogramme einige Komfortfeatures wie S/MIME Integration bieten, bedeutet nicht zwangsläufig, dass Sicherheitsstandards umgangen oder ausgehelbt werden.

Entweder schreibt der Absender eine Mail an alle Empfänger oder Du musst eine neue Mail verfassen und den Inhalt per Copy&Paste o.ä. einfügen.

Moin,

bei VDI wird nur Bildschirminhalt übertragen; die Daten bleiben im Rechenzentrum.

Moin,

ich habe einige (unfreiwillige) Wiederherstellungen von Clustern und Nodes hinter mir.

Ein Restore aus dem Backup ist meiner Meinung nach der schnellste Weg für KMU, den CLuster wieder zu vervollständigen.

Ein Backup habe ich in maximal 45 min zurückgespielt. Eine Neuinstallation inkl. Updates und Hotfixes dauert ein paar Stunden mehr. Bei Bedarf kurz das Kennwort des Computerkontos zurücksetzten und der Cluster läuft wieder.

Habe ich ein paar hundert Hosts oder Cluster und bis voll durchautomatisiert, sieht es natürlich anders aus.

Moin,
 
wie Du es machst ist egal (cloning, SCCM, WPP, etc).. Die veröffentlichten RemoteApps müssen auf allen Servern identisch sein.
 
Die gesamte Steuerung und Konfiguration der Infrastruktur läuft über den Broker oder GPO. Bei 2012 oder höher würde ich - bis auf wenige Ausnahmen - den Broker bevorzugen.
Dort ist auch das Verhalten bei Mehrfachanmeldungen in einer Sammlung festgelegt.

Ich habe also 2 Server in einer Sammlung. Melde ich mich auf Server 2 an, während ich auf Server 1 bereits angemeldet bin, meldet er mich vom Server 1 wieder ab.
Ist das eine gewollte Mechanik?

Das ist das Standardverhalten - eine Sitzung je Benutzer und Sammlung.
 

Außerdem erhalte ich beim Hinzufügen des Hosts die Fehlermeldung "Der RD-Sitzungshostserver "Server.domäne.info" kann nicht konfiguriert werden. Der Vorgang ist ungültig.". Jemand eine Idee? Die Zuordnung der Sitzungen funktioniert trotzdem ohne Probleme.

Die GUI Meldungen sind nicht wirklich brauchbar. Besser mal die Ereignisprotokolle vom Broker und Session Host prüfen.
Die Meldung kann bspw. auftreten, wenn die RDS Rolle bereits auf dem Server installiert ist. Z.B. durch cloning oder andere Provisioning Tools.
 

Das MS bei Zertifizierungen eine langfristige und verlässliche Strategie verfolgt wäre mir neu. Mir kommt das Zertifizierungssystem manchmal wie der Spielplatz der Praktikanten vor.

Ach ja, meine letzte Prüfung habe ich 2012 abgefrühstückt und bin seit heute ebenfalls "Microsoft Certified Solutions Expert: Cloud Platform and Infrastructure" :cool:

Moin,

schön das der Betrieb wieder läuft.

Anstatt in Aktionismus zu verfallen und am DNS rumzuwerkeln, würde ich etwas Mühe in eine RCA investieren.

Einen DC aus einem Backup oder auch einem Snapshot wiederherzustellen _kann_ funktionieren. Das ist jedoch kein Garant für ein integeres AD; die Nebenwirkungen zeigen sich u.U. erst zu einem späteren Zeitpunkt.

Vielleicht war das fehlgeschlagene SP1 eine Nebenwirkung vorheriger (Test-)Recoveries? Habt ihr darüber schon einmal nachgedacht?

Moin,

die Faktenlage ist zu dünn um eine Bewertung vorzunehmen.

Wurde im Deatil hinterfragt, aus welchem Grund DCs/Server an 80 STandorten platziert werden sollen und warum andere Lösungen nicht in Frage kommen?

"Hardware schon vorhanden" oder "GF möchte es so" sind keine plausiblen Begründungen.

Wurden überhaupt Alternativen ausgearbeitet und präsentiert?

Gleiches sehe ich auch für die Forderung nach 2h SLA für die Datenleitungen. Was ist mit dem Rest der Infrastruktur (Strom, Switches, Server, Klima usw.)?

2 Stunden bedeuten eine Verfügbarkeit von 99,997% im Monat. Das ist sehr sportlich. Da braucht es schon Redundanz von N+1 oder N+2. Das gibt es nicht ohne Budget.

Moin,

ich bin wie Nils kein Freund von einfachem Portweiterleitungen.

Es gibt einige Firewalls mit Reverseproxy (Cisco, Fortinet, Sophos usw.). Die machen alle ihren Job, schlagen bei Bedarf Alarm und sperren fragwürdige Hosts.

Nebenbei bieten die Systeme auch Möglichkeiten zum url rewrite/redirect. Damit lassen sich bspw. ver(w)irrte Anwender auf die gewünschte Startseite umleiten.

Vorauthentifizierung lässt sich über ADFS und WAP umsetzen.

Mit Server 2016 wird es (vermutlich) auch für RDWeb und RDGW die Möglichkeit zur Vorauthentifizierung und SSO per ADFS/WAP geben.

Moin,

ich würde weder USV noch Storages in die Mitte hängen.

Grundsätzlich sollten schwere Geräte von unten nach oben verbaut werden.

Dauerhafte bzw. langlebige Einspeisungen/Installationen, bspw. Strom, (Tele-) kommunikation sollten unten und/oder oben im Schrank sitzen.

Im mittleren Bereich, also Arbeitshöhe, können die Dinge montiert werden, die eine kürzere Lebensdauer haben oder die häufiger im Zugriff sind. Bspw. Server, Bandbibliotheken

Bei den USV würde ich statt mehrerer kleiner 2000'er eher zwei 5000'er oder 6000'er nehmen und per PDU auf die Racks verteilen.

Moin,

schreibst Du von Roaming Profiles oder Folder Redirection?

Etwas Klarstellung wäre hilfreich. Das Eine hat mit dem Anderen nichts zu tun.

Folder Redirection ist eine schöne Sache, nicht nur beim SBS. Das Abschalten würde ich mir überlegen.

Über Roaming Profiles kann man diskutieren.

Händisches Rumwerkeln in den GPOs kann beim SBS üble Nebenwirkungen haben. Besser wäre es zunächst mal mit gpresult die vorhandenen Gruppenrichtlinien und deren Anwendung zu prüfen.