Dunkelmann

Grundsätzlich kann Windows SCEP. @TraxanoS Es wird hier im Thread gerade etwas unübersichtlich. Du würfelst einiges an Begrifflichkeiten durcheinander bzw. formulierst missverständlich. Bei einer PKI ist die Technik selten der problematische Teil. Viel wichtiger sind klar definierte Anforderungen und die zugehörigen Prozesse. Ich würde so ein Projekt mit einem Lastenheft starten. Wenn Du Dich etwas intensiver mit MS PKI befassen möchtest.Brian Komar hat ein schönes Buch dazu geschrieben: Windows Server 2008 PKI and Certificate Security ISBN-10: 0735625166 ISBN-13: 978-0735625167

Die nicht mehr erwünschte Root CA sollte sauber stillgelegt werden http://social.technet.microsoft.com/wiki/contents/articles/3527.how-to-decommission-a-windows-enterprise-certification-authority-and-how-to-remove-all-related-objects.aspx Vorher, parallel oder ggf. später könnte man eine AD-integrierte Sub CA in Betrieb nehmen. Den idealen Zeitpunkt und das genaue Vorgehen müsste man im Zuge der Projektierung ermitteln.

Moin, kannst Du die Situation vielleicht etwas strukturierter beschreiben? Ich zitiere mal Deine Signatur "...ÄH was???..." ;)

Moin, in einer kleinen Umgebung ohne Monitoring und einem einfachen RAID5 würde ich auch eher zu fester Zuweisung des Plattenplatzes tendieren. Bei Bedarf kann die vhdx manuell erweitert werden; unter Umständen ist eine kurze Downtime von etwa 15-30 Minuten dafür erforderlich. Bei 20 Usern gibt es einige mögliche Szenarien. Es lässt sich grundsätzlich alles in zwei VMs packen. Durch die hohe Dichte an Diensten könnte es jedoch später zu erheblichen Mehraufwänden bei einer Migration auf neue Hardware oder neue OS Generationen geben.

Wenn ich mir den Schritt von 32 GB auf 64 GB Module sparen kann, bleibt mehr für das IT Sommerfest :cool:

Zur Strategie und warum ich so viele VMs wie möglich mit Dynamic Memory ausstatte: Ich kann mehr Ausfall in meinem Hyper-V Cluster verkraften ohne dass Anwendungen komplett stehen. Raucht mir ein komplettes Chassis mit 4 Sleds ab oder muss ich es für Firmware Updates offline nehmen, reicht es immer noch um die RDS Umgebung und die Anwenungen, wenn auch mit eingeschränkter Leistung, weiter zu betreiben. Off-Topic: Zum Sizing von Kollegen:Meine sind nur Self Service User und müssen mit den Vorlagen leben, die ich ihnen bereitstelle. Sonderlocken müssen wie immer plausibel begründet werden :cool:

Moin, es gibt keine pauschalen "best practices". Wichtig ist die Unterstützung durch die eingesetzte Software. Bei MS Anwendungen ist das recht gut dokumentiert, bei anderen muss man sich etwas mehr anstrengen um eindeutige Aussagen vom Anbieter zu erhalten.

Auf welcher Hardware läuft das open-e? Wenn das Budget für ein Enterprise Storage zu knapp ist, könnte vielleicht ein anderes Storage OS mit SSD Cache helfen. Slots sind ja noch frei. magheinz hat ja schon öfters seine Vorliebe für FreeNAS eingeworfen ;)

Es kommt auf die Anforderungen und die technischen Details an. Sehr hardwarenahe Lösungen sind nicht die besten Kandidaten für Virtualisierung bzw. der Implentierungsaufwand kann relativ hoch sein. Von Außen ist das nur sehr schwer zu beurteilen. Ich würde mal Kontakt mit dem Anbieter der Lösung kontakt aufnehmen.

Lokale Geräte lassen sich grundsätzlich umleiten oder es könnte eine USB-over-LAN Lösung eingesetzt werden. Ob es in dem konkreten Anwendungsfall funktioniert, sollte in einem PoC überprüft werden. Einge Softwarehäuser haben dazu Referenzen, welche Technik für welches Szenario geeignet ist.

Es gibt auch RemoteApps ;) Remote Desktop Services wären ein Ansatz. Die Anwendungen liegen zentral auf 1-n Session Hosts oder in einer VDI. Das Endgerät ist fast egal. Thin Clients, Windows oder Linux Fat Client.

Genau, es wird vom Host nur ein virtueller Switch auf dem Adapter bereitgestellt. Den kannst Du an die VM binden.

Moin, Du könntest mal mit dem MS Netzwerkmonitor bzw. Message Analyzer den Netzwerkverkehr der Anwendung beobachten. Timeouts, Requests ohne Response etc.

Dann deaktivierst Du einfach die Option "Gemeinsame Verwendung mit dem Verwaltungssystem ..."

Moin, häufig folgen Benutzernamen einer definierten Nomenklatur. Vorname-Punkt-Nachname, Nachname-laufende Nummer, etc. Ein paar beliebte Fehlerquellen bei der Anmeldung: Das Kennwort wurde schlicht vergessen CAPS oder NUM Lock Taste; besonders lästig bei Notebooks ohne Indikator LED Es war zuvor ein andrerer Benutzer angemeldet und es wird vergessen, 'Anderer Benutzer' zu wählen Tastatur defekt Manchmal ist es tatsächlich ein hoffnungsloser Fall. Dann hilft es nur, den Anwender vor Ort zu unterstützen

Man könnte auch über Clientseitige Verschlüsselung nachdenken. Bspw. SafeGuard LAN Crypt etc. Dann sind gelöschte Dateien zwar wiederherstellbar, aber immer noch verschlüsslet und nicht von jedem lesbar

Moin, wir nutzen eine rollen-/funktionsbasierte Gruppenstruktur. Ressource (bspw. File Share, RDS Collection etc.) -> Ressourcengruppe (bspw. Zugriff FiBu) -> Benutzerrolle (bspw. Leitung Finanzen, Buchhalter, Einkäufer)

Kein weiterer vSwitch. Die VLAN Tags werden in den Eigenschaften der VM-Netzwerkkarte konfiguriert. Auf der anderen Seite müssen die physischen Switches und ggf. Firewalls oder Router auch entsprechend konfiguriert werden. https://blogs.technet.microsoft.com/keithmayer/2012/11/20/vlan-tricks-with-nics-teaming-hyper-v-in-windows-server-2012/ http://www.faq-o-matic.net/2012/04/23/hyper-v-und-netzwerke/

Moin, es gibt dafür keinen Königsweg. Es hängt von der Situation ab. Zwei Karten oder VLANs (mit/ohne Team) - funktioniert alles. Ich bevorzuge VLANs; die kann ich bei Bedarf vom Schreibtisch neu konfigurieren. Bei physischen Verbindungen muss ich zum Server laufen und Kabel umstecken :cool:

Moin, da die Server unter KVM virtualisiert sind, würde ich einfach eine neue VM provisionieren und die bestehende IIS Installation in Ruhe lassen.

Storagesysteme haben ihren Fokus häufig auf einer Verteilung der Daten über mehrere physische Datenträger. Dann kommen ggf. noch Techniken wie Dedup, Komprimierung, Tiering und Caching hinzu. Von Außen ist es u.U. gar nicht erkennbar, wo sich welcher Datenblock gerade befindet und wo er ggf. noch im Chache liegt oder es Verweise im Dedup gibt. Natürlich gibt es SSD in Fileservern. Sehr häufig als Cache. SSD wird immer preiswerter. Wenn morgens hunderte oder tausende Benutzer die RDS oder VDI Umgebung stürmen braucht es File Server mit Dampf. Da reichen Spindeln nicht mehr bzw. es müsste eine entsprechend große Anzahl verbaut werden. Erschwerend kommt hinzu, dass Fileserver ideale Kandidaten für Virtualisierung sind. Da wird es mit dem Löschen auf der physischen Ebene noch problematischer. Auf der anderen Seite können sich aus der Virtualisierung des FS auch Vorteile ergeben. Wenn innerhalb der VM ein regelmäßiger Wipe-Job läuft und die Physik entsprechend geschützt ist (Rollentrennung, Verschlüsselung), können die Angriffsvektoren minimiert werden. ... und nicht das Backup vergessen. Vielleicht habe ich die Daten auf dem Produktionssystem ganz toll geschreddert, aber die Backupbänder liegen in der Besenkammer :cool:

DNS RR ist weder fehlertollerant noch hochverfügbar. Aus diesem Grund ist es, wie von speer beschrieben. Ist der RDS Host nicht erreichbar, läuft die Anfrage ins Leere. Ist dieses Verhalten nicht erwünscht, könnte man zwei RDS Hosts als 'Dedicated Redirector' mit NLB einsetzen. Der Client verbindet sich mit dem Redirector, dieser kommuniziert mit dem Broker und der Broker leitet die Verbindung an einen verfügbaren Session Host weiter. Alternativ gleich ein Upgrade auf 2012 R2 machen. Da hat sich das Kommunikationsverhalten geändert. Es wird zuerst der Broker nach einem freien Host gefragt. Das Elend mit Connect und Redirect gibt es nicht mehr.

Moin Fuzzi :) Das hängt vom Storage Backend ab, eine pauschale Aussage ist nicht möglich. Schreddern über's Share dürfte nicht funktionieren. Es wird direkter Zugriff auf den Blockspeicher benötigt. Sind SSD im Einsatz wird es noch problematischer. Da muss i.d.R. mit einem Herstellertool gearbeitet werden.

Moin, RDS unter 2008R2 können auch NLB für die Sitzungsverteilung nutzen. Dabei wird die RDS Farm über die virtuelle Adresse des NLB und nicht über RR aufgerufen. https://technet.microsoft.com/de-de/library/cc771300%28v=ws.10%29.aspx Beide Varianten haben Stärken und Schwächen. Bei NLB muss die Netzwerkhardware mitspielen, bei RR nicht.

Moin, die Frage müsstest Du an den Storage Hersteller richten oder uns verraten von wem das Storage ist.