Dunkelmann

Wie viele SQL oder andere Cluster hast Du schon installiert? Eventuell wäre es angebracht, einen Dienstleister hinzuzuziehen. Das Ding soll ja nicht nur installiert werden, sondern hinterher auch sauber und stabil laufen.

http://www.mcseboard.de/topic/207392-sql-2010-cluster-problem/?p=1304216 ;)

Moin, poste bitte mal die Ausgabe von 'Get-ClusterResource -Cluster [cluster]'

Wie das ganze Thema Sicherheit. Ohne Kenntnisse des Bedrohungsszenarios, ist es schwer konkrete Maßnahmen zu empfehlen und zu bewerten. Ist es nur ein diffuses Bauchgefühl der Unsicherheit, gibt es einen konkreten Verdacht oder gar laufende Ermittlungen. Soetwas sollte natürlich nicht in einem öffentlichen Forum diskutiert werden. Im Extemfall müsste die gasamte Umgebung als unsicher betrachtet werden und es könnte ratsam sein, eine unabhängige Technik zu verwenden. Bspw. Notebook und USB Platten fürs Backup. (natürlich alles verschlüsselt) Eventuell müsste die Technik außerhalb eines regulären Beschaffungsprozesses besorgt werden. Eine mögliche Zielperson sollte nicht aufgeschreckt werden ;)

Moin, das Verhalten ist normal. Die UPD ist eine Eigenschaft der Sammlung und keine Benutzereigenschaft. Die UPD wird exklusiv vom Host mit der ersten Sitzung des Benutzers geöffnet und steht nur dort zur Verfügung Mehrfache Anmeldungen eines Benutzers in einer Sammlung sollten beim Einsatz von UPD vermieden werden. (s. exklusiver Zugriff) Die UPD wird unter %userprofile% in den Verzeichnisbaum eingebunden. Ist der Ordner nicht leer, weil bspw. das temporäre Profil nicht sauber verklappt wurde, kann es Probleme geben. btw: ich hoffe Du hast das Thema UPD ausgiebig getestet und bis Dir über alle Nachteile im Klaren ;)

Er kann u.U. die Daten aus dem Backup an einem beliebigen Ort wiederherstellen und so Zugriff erlangen.

Moin, der einzig wirksame Schutz ist Verschlüsselung. ACLs bieten keinen ausreichenden Schutz gegen Administratoren. Außerdem gibt es noch das Backup. Das sollte auch geschützt werden, sonst holt sich jemand die Daten daher.

Ich hab mir mal die Nr. 14 angeschaut. Sieht recht komisch aus. Mit dem OCR Feature von Pdf-Xchange Viewer (Option Originalinhalt in Bild konvertieren und Textebene hinzufügen) war das Ergebnis einigermaßen brauchbar.

Moin, Ja sfc /scannow auf einem Essentials 2012 hat Nebenwirkungen. https://support.microsoft.com/en-us/kb/2828269

Bei alten RDP Clients hast Du keine Chance, eine "saubere" RDS Umgebung zu betreiben. Am Besten wäre ein Upgrade auf 2012R2 kompatible Thin Clients. Kommt das nicht in Frage, bleiben nur Bastellösungen. Also je Session Collection einen eigenen Broker betreiben und auf dem Broker eine Umleitung auf eine Default Collection einrichten. WebAccess kann in diesem Fall nicht sinnvoll eingesetzt werden. Es gibt aber wenigsten einen Broker, der sich um das load balancing und ein session aware reconnect kümmert. https://ryanmangansitblog.com/2013/03/11/connection-broker-redirection-rds-2012/

Was für Thin Clients sind im Einsatz? Bei Igel Thin Clients klappt das wunderbar. Benutzerauthentifizierung gegen das AD und Remote Ressourcen per Feed vom WebAccess

Genau. Entweder per wbadmin oder über die RSAT

Moin, das lässt sich mit einem RDS Gateway umsetzen.

Genau. Bei diesem Setup benötigt nur der NPS ein Zertifikat

Moin, Windows Server Backup gibt es auch auf dem Hyper-V Server. Das Feature muss nur installiert und konfiguriert werden.

Moin, zu DNS RR habe ich gerade hier etwas geschrieben: http://www.mcseboard.de/topic/207240-neues-san-zertifikat-über-active-directory-ca-zuweisen-rdp/?p=1303137 Zum Testen würde ich mal das TLG nachbauen (lässt sich auch um Gateway und weitere Session Hosts erweitern) https://technet.microsoft.com/en-us/library/hh831610%28v=ws.11%29.aspx Web Access und RDS gateway verwenden verschiedene Verzeichnisse im IIS. Es kann auf einer Maschine funktionieren. Ich trenne grundsätzlich alle RDS Rollen. Das macht die Wartung, Migration und Skalierung der Umgebung deutlich einfacher.

Da haben wir das Problem. DNS RR ist seit Server 2012 obsolet. Die Kommunikationspfade zwischen Clinet, Broker und Session Host haben sich geändert. Seit 2012 ist vorgesehen, dass die Clinets ihre Verbindungsinformationen über den WebAccess beziehen. Nur der WebAccess kann den Parameter 'SessionCollection' an den Client weitergeben. Die Verbindung erfolgt auf den Client Access Name des Brokers unter Angabe der Session Collection. Der Broker leitet die Verbindung dann auf einen passenden Host in der angeforderten Collection weiter. Ein elendes Connect&Redirect wie unter 2008R2 und älter gibt es nicht mehr, da der Client gleich auf einen geeigneten Host geleitet wird. Gibt es keinen WebAccess und nur eine Collection, kann am Broker eine Default Collection für den Zugriff eingerichtet werden. https://ryanmangansitblog.com/2013/03/11/connection-broker-redirection-rds-2012/ Der Artikel bezieht sich zwar auf eine VDI, funktioniert aber auch mit RDS Sessions

Das ist das Schöne in der IT: Man kann sich von fast jeder technischen Einschränkung freikaufen ;)

Moin, die APs (und andere Radius Clients) benötigen für PEAP kein Zertifikat. Die Radius Clients authentifizieren sich per shared secret am Radius Server. Zwischen Radius Clinet und Supplicant findet keine gegenseitige Authentifizierung statt. Bei PEAP werden Zertifikate für den Radius/NPS Server und den Supplicant benötigt. Alternativ kann der Supplicant auch PEAP/MS CHAP v2 (Benutzername/Kennwort) nutzen. Der NPS benötigt für beide PEAP Methoden ein Zertifikat. Ohne Zertifikat kann kein TLS Tunnel zum Supplicant aufgebaut werden. Das ist unabhängig davon ob der Supplicant das Zertifikat prüfen soll oder nicht. Kein Zertifikat auf dem NPS, kein PEAP - ganz einfach. Welche EAP Methode ist am NPS in der Netzwerkrichtlinie vorgegeben? Welche EAP Methode wird vom Client verwendet? Ggf. mit dem MS Netzwerkmonitor oder Wireshark prüfen.

Offline Dateien aus gemeinsam genutzen Shares sind keine gute Sache. Wenn mehrere Parteien synchronosieren gewinnt der Letzte. Letzte Hoffung wäre der lokale Offline Cache oder das Dokument wurde von jemanden verschoben. Wenn sich da nichts findet, es keinen Dateiverlauf oder Backup gibt sieht es vermutlich schlecht aus.

Moin, war es eine Datei aus einem gemeinsamen Share oder eine Datei aus den Ordnerm des Benutzers (Documents, etc.)? Eventuell findet sich die Datei noch im Offline Cache des Notebooks unter %WinDir%\CSC

Genaues Lesen hilft :wacko: Der DPM kann keine UNC Pfade als Quelle nutzen. Im Prinzip ist der DPM nur ein Werkzeug, das das lokale Windows Backup Feature verwendet; somit können nur Windows Systeme gesichert werden.

Was für Clients sind im Einsatz und werden die RDS Sessions bereitgestellt? Wenn der Verbindungsaufbau initial über den Broker läuft, was ab Server 2012 so vorgesehen ist, wird nur das Brokerzertifikat und ggf. das Zertifikat für die Signatur der RemoteApps geprüft. Beim Redirect auf einen Session Host findet am Windows Client keine weitere Prüfung statt. Bei einigen Thin Clients kann es zu einer Meldung kommen. Bspw. muss die Meldung bei Igel einmalig bestätigt werden und erscheint dann nicht mehr.

Moin, es hängt vom Gesamtbild ab. Ich bevorzuge Variante 2 (Zone mit A-/Service-Records); ist aber mit etwas mehr Aufwand verbunden. CNames und Zonen als Ersatz für A-Records verwende ich selten. Wir haben Anwendungen, die bei der Namesauflösung explizit A- oder AAAA Records anfordern und die laufen bei CNames/Zonen gegen die Wand.

Moin, das sind Prüfungssimulationenen von Measureup. Die sind schon seit Jahren bei MS gelistet. Daher würde ich vermuten, dass sie nicht in die Kategorie unzulässiger Braindumps fallen.