cj_berlin

...allerdings wird diese Konstellation in Bezug auf die RDS-CALs immer zu Gesprächsbedarf führen, denn diese werden rein technisch sowohl doppelt vorgehalten als auch doppelt ausgestellt. Aber wenn die Namenskonventionen in beiden Segmenten so sind, dass man glaubhaft machen kann, dass AD1\bondj007 und AD2\bondj007 ein und dieselbe physische Person sind, ist der Auditor dann meistens auch schnell beruhigt.

Moin, erstens, auch ein SHA-256-Zertifikat hat auch ein SHA-1-Thumbprint. zweitens, das Farm-Zertifikat wird nur dem Broker über das Deployment zugewiesen (hast Du ja schon gemacht). Es ist schließlich nicht vorgesehen, dass man direkt auf einen RDSH aus einer Farm zugreift. Und wenn, dann ist man Admin und weiß mit der etwaigen Warnung umzugehen. Was genau funktioniert denn nicht? Wenn Du Pop-Ups kriegst, kann es einen anderen Grund haben, je nachdem, welche Pop-Ups das sind...

OK, ich habe mir das nochmal angeschaut. Leases bekommst Du weder mit DUMP noch mit EXPORT, beide liefern de facto nur die Config. Wenn er beim Import meckert, sind wahrscheinlich falsch aufgelöste Sonderzeichen Schuld. Du kannst es viel robuster per XML mit Export-DHCPServer und Import-DHCPServer machen. Und da kannst Du, zumindest beim Export, auch die Leases mitnehmen, wenn Du sie für die Nachwelt dokumentiert haben möchtest

Mit Windows Server? RRAS. Ich sehe kein Incentive, da mit einem Third Party-Produkt anzufangen...

Aaaalso, zwei Dinge: Wenn der Scope 10.32.0.0/16 noch in der aktiven Konfiguration drin ist, kannst Du 10.32.0.0/24 oder 10.32.1.0/24 nicht hinzufügen, denn sie würden sich ja überlappen. Wenn Du nur die Maske geändert hast, versuchst Du laut Deinem Post ja Elemente mit 10.32.1.x in das Subnetz 10.32.0.0/24 zu schieben, wo sie nicht mehr hingehören. Aber vielleicht habe ich den Punkt ja missverstanden. Das Subnetz des Scope ändern geht nur über Löschen/Hinzufügen, die ausgeteilten Leases gehen dabei verloren. Was aber nicht schlimm ist, denn sie werden beim Refresh erneuert.

Moin, und der VPN-Endpunkt läuft auch auf dem Server oder ist da vom RZ-Provider etwas vorgeschaltet? Im Prinzip geht das mit der Windows-Firewall: Den Zugriff für RDP auf diejenige IP einschränken, die Dein Client bei der VPN-Einwahl bekommt.

RDWeb kann das theoretisch auch, aber dann brauchen die User eine RDS CAL, selbst wenn keine anderen RDS-Dienste verwendet werden...

Moin, wenn ich das richtig verstanden habe, sind die Adressen, die als Filterkriterium dienen, extern. In diesem Fall ist es tatsächlich keine "Benutzergruppe", sondern eine Text-Übereinstuimmung im Empfänger (bei ausgehenden Mails) bzw. im Absender (bei eingehenden). Den Absender kann man, wenn es dem Use Case entspricht, anhand der Domain identifizieren ("SenderDomainIs"-Prädikat) oder halt explizit ("FromAddressContainsWords" bzw. "FromAddressMatchesPatterns"). Die gleichen drei Identifizierungsarten gelten für den Empfänger. An der Stelle hoffe ich, dass es nicht allzu viele von diesen Adressen gibt, sonst wird es unübersichtlich, die Regeln zu pflegen.