Dunkelmann

Der SBS 2011 kommt komplett ohne Virenschutz! Forefront für Exchange kann installiert werden. Der TMG lässt sich als Edgetransport mit Malewareschutz vorlagern. (Subscription muss separat lizensiert werden) Forefront Endpoint Protection 2010 als Dateisystem AV wird auf dem SBS 2011 nicht unterstützt.

Bei nur zwei Switches in einem einfachen LAN sollte normalerweise kein Bedarf für STP und IGMP bestehen. Spanning Tree Protocol - Wikipedia, the free encyclopedia Internet Group Management Protocol - Wikipedia, the free encyclopedia Versuch lieber die Quelle des Broadcasts ausfindig zu machen. Wireshark ist dabei Dein bester Freund.

So ist es! Es gibt Möglichkeiten, die dem Admin oder Operator vorbehalten bleiben sollten. Ein User, der mal eben das gesamte Team Share drei Tage zurücksetzt weil er eine 'wichtige' Publisher Geburtstagskarte gelöscht hat, sorgt für mehr Arbeit, als ein kurzer Support Call bei der IT.

Domänen-Admins sind i.d.R. Mitglied der lokalen Gruppe Administratoren auf dem Client. Lokale Administratoren dürfen sich per RDP anmelden und somit auch die Mitglieder dieser Gruppe - also Domänen-Admins.

Du kannst die Profilgröße per GPO beschränken. Benutzerkonfiguration/Adm.Vorlagen/System/Benutzerprofile

Wenn es keine Anwendungen mehr gibt, die Windows 2003 benötigen, einmotten!

Der User sollte sein Zertifikat (privaten Schlüssel) nicht exportieren! Private Schlüssel, die auf irgendwelchen USB Sticks, Disketten, FileShares liegen, sind der erste Schritt zur Kompromittierung! Die privaten Schlüssel sollten im AD oder auf SmartCard gespeichert werden. Zusätzlich sollte bei EFS Zertifikaten die Archivierung des privaten Schlüssels auf der CA konfiguriert werden. Für die Benutzerzertifikate kann über GPO ein Auto-Rollout und Auto-Renewal konfiguriert werden. Das abgelaufene Zertifikat kann dabei nicht mehr für die Verschlüsselung neuer Dateien verwendet werden. Bereits verschlüsselte Dateien lassen sich damit aber noch entschlüsseln. Buchtip: Brian Komar: PKI & Certificate Security

Für Testzwecke kannst Du Dir auch ein iSCSI Storage als VM unter Hyper-V erstellen. In meiner Testumbebung habe ich das mal mit FreeNAS und Windows Storage Server durchgespielt. Ist zwar kein Renner in Sachen Performance, aber technisch funktionsfähig.

Einen MCITP SA/EA kannst Du ohne Weiteres in 1 bis 2 Monaten abfrühstücken. Es bezieht sich zwar auf Server 2008, allerdings sind die Änderungen von 2008 zu 2008R2 nicht so drastisch. Wenn es Dir nur um aktuelle Technik geht, kann ich Dir folgendes empfehlen: - Server Virtualisierung (70-652) - Windows 7 (70-680 / 70-685) Bei dem Anbieter meiner letzten Fortbildung wurden einige Teilnehmer durch die Arge gefördert. Einfach mal mit Deinem Sachbearbeiter sprechen und Fragen ob er noch genug Geld in seinem Topf hat.

In der Regel reichen einfache Domänen-Benutzer als Dienstkonten für serverübergreifende Anwendungen. Möglicherweise benötigen die Konten auf den betreffenden Servern noch weitere Rechte. (z.B. lokal anmelden, als Dienst anmelden oder müssen sogar Mitglied der lokalen Administratoren sein). Im Detail sollte das im Handbuch der entsprechenden Anwendung dokumentiert sein. - Für die Benennung solcher Dienstkonten solltest Du eine Nomenklatur definieren. - Das Kennwort sollte zufällig generiert werden und nicht ablaufen. - Eine eigene OU für solche Konten kann auch nicht schaden. - Optional kann als Anmeldeskript "Logoff" eingesetzt werden und die Anmeldung auf bestimmte Server beschränkt werden. Damit wird eine interaktive Anmeldung bzw. die Anmeldung an nicht zugelassenen Systemen mit dem Dienstkonto verhindert.

Auf jeden Fall richtig konfigurieren! zu "a)": Das hängt vom Client OS ab. Bei Vista und 7 ist es am einfachsten einen Muster-Client mit den gewünschten Eistellungen vorzubereiten. Die Einstellungen können dann vom Client exportiert und in eine Gruppenrichtlinie importiert werden. Bei "b)" hängt das genaue Verhalten ebenfalls vom Client OS ab. Prizipiell gilt: Das Domänenprofil wird angewendet, wenn sich der Client im Domänennetz befindet. Befindet sich der Client in einem anderen Netzwerk, so wird das Standardprofil (unter XP) angewendet. Bei Windows Vista und 7 gibt es noch die Unterscheidung zwischen "Privat" und "Öffentlich" für Nicht-Domänennetzwerke. Auf jeden Fall solltest Du das Ganze vorher in einer Testumgebung oder wenigstens in einer Test-OU mit ein paar Clients und Servern durchspielen. Download details: Introduction to Windows Firewall with Advanced Security Windows Firewall with Advanced Security Getting Started Guide

Moin! Dann werd' ich die Gelegenheit mal nutzen und meine ersten Eindrücke schildern: Wie Innu bereits geschrieben hat, sind die meisten Assistenten und Konfigurationswerkzeuge identisch mit denen vom Vorgänger SBS 2008. Die Hardwareanforderungen haben sich im Gegensatz zum Vorgänger "verdoppelt": 8GB RAM / Quad-Core CPU (SBS 2008: 4GB / Dual-Core) Mein Testsystem läuft in erträglicher Geschwindigkeit auf einem Atom D510 mit 8GB RAM. Als Datenbank Backend läuft ein SQL 2008R2 Express und die embedded SQL Instanz. Zusätzliche SQL 2008 oder SQL 2008R2 Express-Instanzen lassen sich bei Bedarf problemlos hinzufügen. Die WSUS Datenbank kann wie beim Vorgänger nur manuell verschoben werden. Der Assistent verschiebt nur den heruntergeladenen Inhalt. Die Ordnerumleitungsrichtlinie wird immer noch XP kompatibel ausgeliefert. (Bilder und Videos folgen Dokumente) Betreibt man nur Vista oder Windows 7 Clients kann man die Richtlinie anpassen oder durch eine eigene ersetzen. Servergespeicherte Benutzerprofile gibt es out of the box nicht. Auch hier muss man selbst Hand anlegen, sofern man es wünscht. Die Freigaben auf dem SBS müssen wie beim Vorgänger manuell verbunden werden. Welches Werkzeug dafür gewählt wird - Skript, GPO/GPP oder manuell - bleibt einem selbst überlassen. Der SBS 2011 kommt ohne Microsoft Virenschutz daher. ForeFront für Exchange 2010 kann installiert werden. ForeFront Endpoint Protection 2010 wird nicht unterstützt. Wird ein Dateisystem Virenschutz benötigt, muss man auf einen anderen Anbieter zurückgreifen. Der SBS 2011 unterstützt V3 Zertifikatsvorlagen und ermöglicht so ein einfaches Anpassen von Zertifikatsvorlagen und Autorollout von Benutzer und Computerzertifikaten. Über den NPS lässt sich damit eine wartungsfreie - sofern es in der IT etwas wartungsfreies gibt... - 802.1x Authentifizierung für WLAN realisieren. Vorläufiges Fazit meiner kurzen Testphase: Es ist kein großer Wurf, den Microsoft mit dem SBS 2011 getätigt hat. Ein wenig moc up durch OWA 2010 und SPF 2010 geben dem SBS zwar ein etwas moderneres Aussehen, ob sich für SBS 2008 Nutzer ohne SA der Umstieg lohnt wage ich jedoch zu bezweifeln. Für ein kostenpflichtiges Upgrade erscheint der Mehrwert zu gering. Im Bezug auf Virenschutz hat Microsoft das SMB Geschäft anscheinend aufgegeben. Wirklich positiv sind mir nur die V3 Zertifikatsvorlagen aufgefallen. Das ist für den SBS Markt allerdings kein so wichtiges Feature.

Beim 2008R2 ist WebDav eine Rollenfunktion im IIS 7.5. Die muss nicht manuell installiert werden, sondern über den Server-Manager oder die Eingabeaufforderung. Dass Dir die Version 7.0 angezeigt wird, verwirrt mich etwas. Bist Du sicher, dass es ein Server 2008R2 und nicht ein Server 2008 mit SP2 ist? Beim "einfachen" 2008'er muss WebDav tatsächlich, wie im Artikel beschrieben, installiert werden.

Ich hatte vor einiger Zeit ein ähnliches Problem: Ein Anwender hat es geschafft, den Dateityp .lnk (Verknüpfung) einer Anwendung zuzuordnen. Melde Dich mal mit einem anderen Benutzerkonto - am Besten mit einem neu erstellten - am PC an. Verhält sich das alternative Benutzerkonto korrekt, so ist es wahrscheinlich das geschildert Problem. Zum Bereinigen musste ich den Benutzerzweig der Registry händisch aufräumen. Dazu habe ich den Zweig nach allen "lnk" Einträgen durchsucht und die jeweiligen Schlüssel/Werte auf die Standardeinstellungen zurückgesetzt. Die Standardeinstellungen habe ich mir von einem sauberen Benutzer kopiert. Es waren etwa 10-15 Einträge betroffen.

Als kleine Lösung könnte vielleicht ip-fire interessant sein. www.ipfire.org - Home

Zusätzlich würde ich bei aktivierter Ordnerumleitung noch die Profilgröße beschränken.

Wie heist Dein Cluster? Es scheint ein DNS Problem mit dem Namen "cluster.test.de" zu geben. Hast Du Deinen Cluster vielleicht "cluster" genannt? Wenn ja musst Du für die Domäne einen anderen Namen verwenden.

Bei uns sind 24/7 taugliche 3,5" SATA Festplatten im Einsatz. Diese haben wir in kleinen USB Gehäusen mit Lüfter und externem Netzteil verbaut. Allerdings dient diese Sicherung nur dem Desaster Recovery. Das eigentliche Backup der Nutzdaten wird offsite über eine Bandbibliothek durchgeführt. Und zwar aus diesem Grund:

Die Mindestanforderungen haben ihren Grund und lassen sich meines Wissens nach nicht umgehen. Die Betriebssysteminstallation des SBS läuft zwar auch mit 2GB RAM, jedoch nur bis zum Konfigurationsassistenten. Für Testzwecke können 4GB RAM ausreichend sein, dabei darfst Du allerdings nicht mehr als ein technisch funktionsfähiges System erwarten. Ein Genuss wird die Arbeit damit nicht. Abhängig von Deinem Wissenstand kann der SBS ein guter Server zum Lernen und Testen sein. Du solltest allerdings schon etwas an Grundlagen über die eingesetzten Technologien mitbringen. Der SBS ist relativ schnell "verfrickelt", wenn Du an den falschen Schrauben drehst. Es gibt jede Menge Abhängigkeiten, die beim SBS beachtet werden müssen. Für den Aufbau von Basiswissen, ist ein einfaches Serverbetriebssystem die bessere Wahl. Da kannst Du jede Serverrolle auseinandernehmen ohne Dir Gedanken über die Abhängigkeiten zu anderen Diensten zu machen.

Die Variable %UserName% gibt in der CMD den samAccountName des Benutzers zurück, in dessen Kontext der jeweilige Befehl abgesetzt wird. In Deinem Fall "Administrator", da Du den Befehl als Administrator ausführst.

Spontan fallen mir zwei Möglichkeiten ein: 1. Ein Logon Skript 2. Eine geplante Aufgabe Beides lässt sich per GPO/GPP verteilen.

Ich glaube Du solltest Deinen Ansatz einmal überdenken. Es sind ziehmlich viele punktuelle Fragen, die ohne detaillierte Kenntnis Deiner speziellen Anforderungen nicht sinnvoll zu beantworten sind. Bevor Du weiter im Trüben fischt, solltest Du für Dein Vorhaben ein Lastenheft erstellen und genau definieren, was mit Deiner Struktur erreicht werden soll.

Du könntest versuchen den BitLocker Dienst per GPO auf Starttyp "Automatisch" zu setzen. Das ist die sinnvollste Variante! Falls das aus politischen Gründen nicht möglich ist, braucht Deine Firma Nutzungsrichtlinien die im Zweifelsfall auch arbeitsrechtliche Konsequenzen nach sich ziehen. Nicht jedes menschliche Problem lässt sich durch Technik lösen.

Bei uns habe ich das Problem wie folgt gelöst bzw. eingedämmt: WINS wird nicht verwendet, nur DNS. Auf allen Systemen mit statischen IP Adressen die NetBios Unterstützung deaktiviert. Auf den DHCP Servern die Bereichsoption "NetBios Deaktivierungsoption" auf "0x2" gesetzt. Zum Deaktivieren von NetBIOS über TCP/IP mithilfe der DHCP-Server-Optionen Seit dem habe ich noch keinen Client oder Server in Finger bekommen, der in der Netzwerkumgebung mehr als sich selbst sieht.

OK, habe gerade nochmal genauer nachgelesen, er hat einen SBS 2003 ... nicht wirklich meine Baustelle. Ich dachte an das Portal vom 2008'er :rolleyes: mit owa, sharepoint services und RPD. Pest oder Cholera? Vielleicht doch lieber eine echte DMZ oder ein gehosteter Server für externe Zugriffe? Das ist für den SBS Nutzer mit schmalem Geldbeutel leider nur selten eine Option.