goat82

Moin,

wäre mir nicht bekannt, jedenfalls keine Boardmittel.

 

Und ja, User-CAL gelten meines Wissens auch für die ältere Version.

 

Was meinst du mit FGH?

 

;)

fgh ist einer der beiden Domains die einen Trust eingehen. Ich wollte die tatsächlichen natürlich nicht verraten.

fgh ist einer der beiden Domains die einen Trust eingehen. Ich wollte die tatsächlichen natürlich nicht verraten.

Braucht man für eine Testumgebung überhaupt Cals? Es sind alles Produktivsysteme und keine Trials

Hallo Zusammen,

ich habe ein Foresttrust zwischen zwei komplett unterschiedlichen Domains bzw. Forest abc.intern und fgh.extern.

ABC ist ein Windows2008R2 forest und FGH ein Windows 2012R2 forest.

Wie bekomme ich es hin dass ich in einer Console, z.B. AD Benutzer und Computer, beide Domainen angezeigt bekomme? Domaine ändern funktioniert einwandfrei, doch ich hätte gerne beide ähnlich wie beim DNS Manager beide Domainen aufgelistet. Ist dies technisch möglich ?

Wichtigste Frage: Wie ist das mit den CALs. Benötige ich für den FGH Forest aus dem ABC Forest heraus Windows 2008R2 CALs?

Wie ist das generell mit den CALS? benötigt man nur eine CAL wenn ich auf den Server zugreife oder schon wenn ein Zugriff theoretisch schon möglich wäre wie bei meinem dargestellten Trust ?

Vielen Dank  für die schnelle Hilfe

Gruß Goat

PS: Sind die Server 2012R2 user cals von FGH akwärtskompatibel zu Windows 2008R2?

Wir haben Server 2008R2 im Einsatz. Ich möchte mir gerne eine W2012R2 Testfarm aufbauen und diese in das Produktivsystem integrieren. Hierfür würde ich gerne die Trial Version von Windows 2012R2 nehmen. Läuft 180 Tage und kann glaub ich 2x verlängert werden.

Unsere Cals gehen nur für Windows 2008R2. Brauche ich für die Clients 2012R2 Cals oder sind diese für die Trialversion nicht notwendig?

Gibt es bei der Trial Einschränkungen?

Hallo Zusammen,

ich habe Windows 7 Pro und arbeite an einem PC mit 3 externen Monitoren.

2 auf einem höhen verstellbaren Tisch (ca. 90% der Arbeitszeit, 1 Hauptschirm, 1 erweiterter Desktop beide immer an) und 1 Monitor (erweiterter Desktop) an einem normalen Tisch welcher nur bei Bedarf an gemacht wird (siehe Bild)

Gibt es eine Möglichkeit, dass wenn ich den PC neu starte, dass die Merkfunktion der Windowsfenster (z.B. Firefox) beim Neustarten Rückgängig gemacht werden?

Wenn ich am Bedarfsmonitor arbeite und diesen bei Arbeitsbeginn wie oft auslasse und Firefox öffne, muss ich erst den Bedarfsmonitor anmachen und wieder auf den Hauptschirm ziehen.

Alternativ kann ich natürlich alle Fenster immer wieder zurückziehen aber das will ich mir ja nicht alles merken.

Hat jemand eine Idee?

Dameware MRC (MiniRemoteControl) setzten wir hier teilweise ein, für Systeme, die Prozessdaten anzeigen.

(wird jetzt von Solar Winds vertrieben)

 

Da Tool ist bei VW z.B. nicht erlaubt, da man - theroretisch - alles so einstellen kann, das keiner sieht, das man sich aufgeschaltet hat.

 

Für die externen haben wir Teamviewer gekauft.

 

;)

 

Sorry, erst später gelesen, das es VNC sein soll....

Ich will ja nichts schlecht reden mit msra aber das mit dem easyconnect funktioniert soweit ich weiß bei niemanden so richtig was auf RDP ja nicht zutrifft.

Es ist ja sehr unpraktisch diese Ziffern eingeben zu lassen bei jeder Verbindung

Tja dann hast jetzt was gelernt. Dass das seit xp genauso funktioniert.

das ist aber so unkomfortabel. Mehrere Verbindungen Gleichzteitig gehen nicht, Kennwort kann nicht gespeicher werden usw. Der User muss viel Klicken usw. , Einladung via Email usw.

Außerdem würde ich gerne VNC vewernden weil der User gar nichts machen muss und ich das in Lansweeper integrieren kann

Die Remoteunterstützung ist seit XP in Windows vorhanden und kann durch GPO konfiguriert werden.

klar, RDP ist aber nicht das was ich will. Ich will mich am Remotepc nicht via RDP anmelden , sondern eine angemeldete Session Remote administrieren. Das wäre mir neu dass dies mit RDP ohne Terminalserver funktioniert.

Hallo Zusammen,

wir verwenden für den Remotezugriff intern immer VNC Server / Viewer.

Leider gibt es nun viele verschiedene Versionen.

UltraVNC

TightVNC

RealVNC usw.

Mir fehlt mir der Überblick.

Manche VNCs können eine Verbindung aufbauen wenn der Remotepc gesperrt wird, andere wiederum nicht.

Mir ist klar das VNC kein Wundermittel ist, aber es soll halt VNC sein.

Hat jemand eine Empfehlung welche Version am besten läuft?

Toll wäre wenn sich die Anmeldedaten/Einstellungen über GPO zentral einstellen lassen würden.

Zudem soll natürlich der Zugriff bestätigt werden, was auch nur bei manchen VNCs geht.

Vielen Dank für eure Erfahrungswerte / Empfehlungen bezüglich VNC

PS: Es muss VNC sein, klar kenne ich Landesk, SCCM, Lync usw. ist aber alles nicht vorhanden.

Hallo Zusammen,

ich habe hier bei einem kleinen Kunden ein merkwürdiges Problem.

2008R2 Domaine XYZ mit einem W2008R2 Terminalserver auf dem Citrix XEN APP läuft.

Benutzer in einer Workgroup melden sich alle mit dem gleichen lokalen Adminbenutzer und Adminpasswort an. Derren PCs sind nicht in der Domaine XYZ sondern nur via VPN mit der Domaine XYZ verbunden.

Benutzer der Workgroup melden sich also alle lokal mit Admin an.

Bauen dann über den Citrix Receiver eine Verbindung zum Terminalserver in XYZ auf. Also Citrix Logindaten benutzen Sie jeweils ihren jeweiligen AD Benutzeraccount aus dem AD von XYZ.

Die Benutzer haben auf dem Terminalserver alle lokale Administratorenberechtigung. Wird die lokale Administratorenberechtigung entfernt, kann keine Verbindung via Citrix mehr aufgebaut werden.

Es kommt die MEldung das keine Verbindung möglich ist oder der Zugriff auf den Lizenzserver nicht möglich ist.

Ich bin sämtliche Einstellungen durch, kann mir aber nicht erklären das nur lokale Administratorenberechtigung für eine Citrixverbindung möglich ist.

Hat jemand eine Idee wie ich mit dieser merkwüdigen Konfiguration erreichen kann dass die Benutzer der Workgroup auf den Terminalserver in XYZ als Hauptbenutzer oder reiner Benutzer zugreifen können, ohne lokale Administratorenberechtigung zu bekommen?

Scheibar kann der Lizenzserver oder die Authentifizierung nur als Admin durchgeführt werden.

Bin über jeden Tipp dankbar.

Lieben Gruß Goat

Moin,

 

ja, in der Regel reicht das, sofern wir bei "alle Elemente" von den AD-Objekten sprechen (nicht etwa von Dateien oder Applikationsdaten) und "ansehen" sich auf den lesenden Zugriff bezieht, den AD-User typischerweise haben.

 

Gruß, Nils

ok, geht das auch wenn beide Forests unterschiedlich sind? Z.B bei einem externen trust von contonso.local.de und uk.intern.com

Moin,

 

naja, organisatorisch mag der Wunsch klein sein, technisch hat er aber schon eine gewisse Größe. Das ist manchmal so. Treckerreifen an einem Golf mögen einem auch wie ein kleiner Wunsch vorkommen.

 

Aber ganz ehrlich: Es gibt fertige Lösungen für das, was du vorhast. Wenn Skripte reichen, bin ich sicher, dass du auch kostenlose findest. Dann bleibt "nur noch" der Aufwand zum Testen.

 

Gruß, Nils

Ok danke für deine Tipps.

Ich finde es sehr gut dass man hier im Forum stets eine Hilfestellung bekommt auch wenn man kein Experte im entsprechenden Bereich ist.

Eine Frage nocht. Reicht eine AD Vertrauensstellung aus um mit dem AD Benutzer-Comuter auf eine fremde Domaine zu kommen um sich alle Elemente anzusehen?

Ich hatte diese Konstellation schon und beide Domainen waren unterschiedlich.

Moin,

 

nein, so einfach ist es nicht. Mit so simplem Ex- und Imports bekommst du die Objekte nicht als mailaktivierte Objekte in die Exchange-Umgebungen eingebunden.

 

Gruß, Nils

So ein kleiner Wunsch ergibt so eine Große Baustelle - Wahnsinn.

Ich hätte mir das viel einfacher vorgestellt. Ohne Kosten im 4 stelligen Bereich....

Wäre ein Skript möglich woman zumindest über Adressänderungen informiert wird?

User würden dann wie bisher manuell eingetragen....

Könnte ich die Useradressen/Verteiler in der fremden Domaine mit einem Trust im AD auch einsehen?

Moin,

 

eine Forest-Integration bedeutet, dass eine der Dömänen komplett in die andere migriert werden muss. Aufwand = sehr hoch.

 

Zu den anderen Ansätzen haben wir dir mittlerweile mehrfach Hinweise gegeben. Ohne Aufwand geht es nicht, wie hoch der ist, hängt von den konkreten Anforderungen ab. Eine einfache Skriptlösung wäre u.U. schnell implementiert, eignet sich aber faktisch nur, wenn es wenig Dynamik in der Userbasis gibt. Gibt es viel Fluktuation und viele Änderungen, braucht man ein intelligenteres Tool, das typischerweise mehr Aufwand bei der Einrichtung und Pflege erzeugt.

 

Gruß, Nils

Also Galsync habe ich mir mal angesehen. Ist ziemlich teuer und auch sehr umfangreich.

Da ein VPN Tunnel sowieso aufgebaut werden muss und die Dynamik überschaubar ist (200 User, Normale Fluktuation).

Microsoft Identity Manager muss ich mir noch ansehen.

Wie gesagt bin ich kein Experte, muss es aber schnellst möglich irgendwie umsetzen....

Derzeit werden die Kontakte einfach manuell nachgetragen.

Würde die Skriptumsetzung so funktionieren:

LDIFDE Tägliches Script welches alle AD Kontakte und Verteilerlisten von SiteA  exportiert -> VPN Laufwerk

LDIFDE Tägliches Script welches alle AD Kontakte und Verteilerlisten von SiteB  exportiert -> VPN Laufwerk

LDIFDE import skript auf beiden Seiten (nur neue Kontakte importieren)

Nochmal zu dem Forests. Wenn eine Vertrauensstellung besteht könnte der Datenabgleich via Skript auch visuell im AD angesehen werden, sofern ein Lesezugriff auf die "fremde" Domaine besteht" Oder kann ich "fremde" Domainen mit Trust nur im AD einsehen wenn diese einen gemeinsamen Forest haben?

Moin,

 

den GC gibt es nur innerhalb eines Forests. Das ist in deinem Szenario, wenn ich es richtig verstehe, ja gar nicht gegeben, weil du zwei getrennte Forests hast.

 

Zur Umsetzung gibt es eine ganze Reihe von Varianten, such mal nach "sync Global Address Lists". Typische Ansätze:

• Skriptlösungen, die per Taskplaner die relevanten Objekte aus einer Domäne exportieren und sie als Mailkontakte in die andere importieren. Hier ist dann etwas Logik nötig, damit bereits vorhandene Objekte nicht neu importiert, sondern nur bei Bedarf aktualisiert werden.
• Sync-Tools wie Microsoft Identity Manager, für den es zumindest früher eine "kleine Version" für das GAL-Sync gab.

Gruß, Niös

Ok, da beide Standorte fusioniert wurden, stehen alle Optionen offen. Derzeit unterschiedliche Forest und Domainen. Gmeinsamen Forest wäre theoretisch möglich, sofern man dies umsetzen kann.

Vor dieser Herausforderung stand ich bisher noch nicht und erlich gesagt muss ich mich da auch umfänglich einlesen.....

Was wäre denn die schnellste / einfachste Umsetzung?

Ein VPN Tunnel ist demnächst auch geplant.

Moin,

 

also, ganz wesentlich: Ein Trust löst die Aufgabe gar nicht. Durch einen Trust vertrauen die Domänen einander, mehr nicht. Die Objekte des einen AD werden dadurch nicht in das andere übertragen. Ein User aus Domäne A kann dann mit AD-Mechanismen User aus Domäne B finden, aber in Outlook stehen sie ihm nicht zur Verfügung.

 

Was du eigentlich willst, ist eine Übertragung der Mailobjekte der einen Domäne als Mailkontakte in die andere. Dafür brauchst du einen separaten Mechanismus, der aber seinerseits keinen Trust benötigt.

 

Gruß, Nils

Hi Nils,

danke für deinen Beitrag.

Kannst du mir bitte einen Umsetzungsratschlag geben?

Ich dachte immer dass universelle Kontakte auf allen GC zwischen den Domaincontroller auch mit einem Trust automatisch repliziert werden.

Ich selbst hab schon von Domaine A auf User in Domaine B zugegriffen. Wie bekomme ich es nun hin dass die Mailkontakte und Verteilerlisten in den Exchanges/Clients der 2 unterschiedlichen Domainen automatisch repliziert werden?

LG und vielen Dank im Voraus.

Goat

Mein Beileid, ich hoffe eure Backup Admins werden gut bezahlt.

Haha, naja eine 2. Chance hat doch jeder verdient oder???

Und dann gibt es noch Federation Trust mit MS dazwischen.

 

;)

Federation Trust, hast du mehr Infos dazu? Hab ich noch nie gehört

Hi,

 

wie immer, es kommt da drauf an...

Du kannst von Skripting bis zu echten Lösungen so ziemlich alles machen.

 

Spontan fallen mir Quest (Dell?) und netsec (http://www.netsec.de/en/products/galsync/overview.html) ein.

Würde ja zu einer bidirektional trust neigen, habe aber etwas Bedenken dass es zu Problemen kommen kann. Zudem fehlen mir hier die praktischen Erfahrungswerte.

Angenommen ich mounte einen öffentlichen Ordner von SiteA auf SiteB und Telekom meint sie muss wieder dazuwischenfunken..... Kann dann der Outlook Client von SiteA weiterhin problemlos arbeiten oder hängt sich Outlook dann auf? Syncronisierung von Adressbuch und Kontakten würden mir vollstens ausreichen.

Würde Outlook auch hängen wenn ich das Adressbuch von Site B auf einem Outlookclient von Site A verwende?

Eigendlich sollte soetwas ja im GC der jeweiligen Site gespeichert werden, sodass es egal ist welchen Kontakt ich wo aufrufe oder liege ich falsch?

Hallo Zusammen,

ist es möglich ohne eine AD Vertrauenstellung bzw. VPN 2 Exchangeserver 2010 in verschiedenen Domainen und Standorten miteinander sprechen zu lassen?

Ziel soll sein dass die Kontaktlisten von neuen Mitarbeiter auf beiden Standorten Deutschland/Schweiz automatisch repliziert wird. Die Standorte sollen ansich aber unabhängig bleiben.

Falls dies nur mit einer AD Vertrauensstellung geht, kann man den Zugriff so einrichten dass nur die Kontakte und Verteiler repliziert werden und nicht der gesammte Global Catalog?

Schlimm wäre es wenn ich z.B einen Kontakt in Outlook von Deutschland aus der Schweiz anwähle und auf die Eieruhr warten muss bis ich die Mail verschicken kann.

LG Goat

schon klar, ich denke ich werde auf Windows 10 Pro plädieren, dann gibt es auch keine neue Windowsversion mehr :-)

Ich hätte gerne eine Lösung mit SSO,d.h. vor dem Booten Kennwort und Domaine angeben und automatisch in Windows eingelogt werden (natürlich nur wenn die Authentifizierung erfolgreich war)

Dann gäbe es noch Safeguard. Irgendwann musst Du Dich aber verprügeln lassen...

 

 

 

https://www.sophos.com/de-de/products/safeguard-encryption.aspx

schon klar, ich denke ich werde auf Windows 10 Pro plädieren, dann gibt es auch keine neue Windowsversion mehr :-)

Man hätte ja auch auf Windows 10 Pro Upgraden können (gratis in vielen Fällen) und hätte jetzt Bitlocker. ;) Vielleicht ist das ja eine Option für dich.

leider nein, das hauen mir die Anwender um die Ohren

Hallo Zusammen,

wir haben Windows 7 Pro und Server 2008R2. Ich suche nach einer Festplattenverschlüsselung, wenn möglich gratis, Single sign on usw.

Bitlocker gibt es nicht für Windows 7 Pro und TrueCrypt wird nicht mehr supportiert.

Kann jemand eine Empfehlung abgeben?

Gratis muss nicht sein, wäre aber toll. Benutzerneutral wäre klasse.

Gruß Goat

PS: Mit Bitlocker habe ich bisher Erfahrung sammeln können. Kann man eine Windows7 Ultimate Lizenz erwerben und Bitlocker auf einem Windows7 Pro System verwenden ohne Windows neu installieren zu können?

Frag BadenIT, ob die auch S3 anbieten. S3 ist mittlerweile eine Schnittstelle und hat nicht nur etwas mit Amazon zu tun.

nicht ganz korrekt. Hinter S3 verbirgt sich: Amazon China, Amazon, Google und Amazon Government Cloud mehr nicht, leider

Hallo Zusammen,

wir verwenden neuerdings Veritas Bachkupexec 2016 (zuvor 2010).

Da wir ein recht komisches Onlinebackuptool haben, würde ich gerne das Onlinebackup mit Backupexec2016 fahren.

Wir sichern derzeit zu BadenIT. In BE16 kann ich leider nur zu Azure und S3 auswählen. Unter Einstellungen ist der Reiter: Private Cloud-Server aktivieren an.

Ist es möglich mit BE16 zu einem beliebigen (privaten) Webspaceanbieter online zu sichern? Im Internet habe ich nichts gefunden.

Wie ist eure Backupempfehlung zu Exchange 2010. Ein Fullbackup Exchange verläuft sich derzeit auf ca. 440GB. HIer würde Inkrementell Sinn machen.

Ich habe gehört Inkrementell Exchange sei nicht so zuverlässig und würde länger dauern als ein Fullbackup. Hat jemand andere Erfahrungen gemacht?

LG Goat

Durchaus üblich beim Einsatz von großen und vielen SATA Platten, bei SAS und SSDs eher untypisch, unabhängig von der Größe des Arrays.

 

Bei 13x 900 GB würde ich 12x 900 als RAID 5 machen und die verbleibende Disk als Spare konfigurieren. Die 900er SAS 10k sind gut abgehangen. Wie lange sind die Platten gelaufen?

5 Jahre

Durchaus üblich beim Einsatz von großen und vielen SATA Platten, bei SAS und SSDs eher untypisch, unabhängig von der Größe des Arrays.

 

Bei 13x 900 GB würde ich 12x 900 als RAID 5 machen und die verbleibende Disk als Spare konfigurieren. Die 900er SAS 10k sind gut abgehangen. Wie lange sind die Platten gelaufen?

ca. 5 Jahre bei bisher nur einem Plattenausfall. Backup 2 Disk läuft Mo-Fr für ca. 4-6h danach hat der Server Siesta

Moin,

 

je breiter ein RAID-Set, desto höher die Wahrscheinlichkeit, dass ein Ausfall Probleme bereitet. Bei zwölf Platten im RAID-5 wäre "eine Platte" Parity bei elf Datenplatten. Mit gebrauchten Platten wäre mir das Risiko zu hoch.

 

Wie wichtig sind denn die Daten? So unwichtig, dass ein neues Storage teurer ist als der Verlust?

 

Gruß, Nils

Es gibt noch ein Onlinebackup vom File und Exchange. Ein neues Storage ist leider definitiv nicht drinnen. Je nach Unternehmensbewusstsein muss man halt leider manchmal haushalten mit dem was man hat aber das ist ein komplett anderes Thema