falkebo

Was meinst du mit "shared NIC"? Warum sollte das eine Notlösung sein? Du aggregierst die NICs zu insgesamt 20GBit/s Bandbreite und erzielst damit gleichzeitig Redundanz. Ich habe mal gelernt alles was man mir erzählt zu hinterfragen ;)

Meine Theorie: Auf dem Switch sind dynamische VLANs konfiguriert welche die Frames an den entsprechenden Ports auf Basis ihrer MAC Adresse in das VOIP VLAN schieben.

Das Problem ist Teamviewer arbeitet nicht so wie du es dir vorstellst. Für Teamviewer wird kein Portforwarding benötigt da es eine Verbindung von innen nach außen (zu den TV Servern) aufbaut. Ein Client greift dann über die Teamviewerserver auf diesen Kanal zu und verbindet sich dann auf dein Zielsystem. Das ist eine allgemeines TCP/IP "Problem". Du kannst mit einer Firewall die Teamviewer Server sperren, jedoch nicht ohne größeren Aufwand das Grundproblem lösen.

Moin @v-rtc, hast du es mal damit probiert: Diese Einstellungen kannst du per GPO ausrollen. Ich würde einfach mal einen Domänen Benutzer erstellen, in der GPO "Logon as a batch job granted" einstellen und es testen. Wichtig: Für SQL Server, Domain Controller, Exchange, Oracle und Sharepoint brauchst du nochmal spezielle Berechtigungen.

Da steht es doch drin:

Hast du es damit probiert? @Snacky Was ist bei raus gekommen?

Moin @Dutch_OnE. Meine Empfehlung: Leg dir auf jeden Fall einen Core-Switch zu. Der kann full Modular sein oder komplett SFP+. Dann kannst du alle Access-Switche an deinen Core-Switch per LWL anbinden. Zur Konfiguration: Erstelle ein neues Default VLAN z.B. auf ID 99 und setz alle nicht benutzten Ports da rein. Erstelle 2 neue VLANs z.B. ID10 und ID20. Dann kannst du deine benötigten Ports den VLANs (untagged) zuweisen. Erstell ein Trunk und weis dem Trunk deine SFP+ Interfaces zu (wenn gebündelt -> LACP aktivieren). Anschließend kannst du deinem Trunk-Interface z.B. Trk1, beide VLANS (ID10 und ID20) zuweisen. DEFAULT_VLAN nicht beachten, wird noch angepasst.

Also du willst das dein ganzes Netzwerk ausfällt, wenn ein Switch in der Kette down geht?

Danke für dein Feedback @redvision81. Man liest und hört immer wieder Abneigung gegen 2-Node Cluster Systeme, welche durchaus auch berechtigt sind. Nur finde ich ist es die beste Möglichkeit (Enterprise) Hochverfügbarkeit für low Budget zu realisieren.

Um vielleicht nochmal einen Denkansatz zu geben. MS Empfehlung: Dedizierte PAW Kiste, Windows 10 Enterprise mit Credential Guard, Device Guard und Bitlocker. Durch Security Templates mit GPOs gehärtet.

Die Jungs bei MS waren auf jeden Fall kreativ beim ESAE Design

Ich hab dir mal was passendes zu diesem Thema rausgesucht: https://docs.microsoft.com/en-US/windows-server/identity/securing-privileged-access/privileged-access-workstations#jump-server Das Problem in deinem Design, du verstößt gegen das "Clean Source" Prinzip. "The clean source principle requires all security dependencies to be as trustworthy as the object being secured." In deinem Fall könnte dein Client ja kompromittiert sein. Das Risiko kann durch mehrstufige Authentifizierung am Remote PAW zwar verringert werden, ist aber immer noch da.

Das Konzept von Microsoft sieht vor dedizierte PAWs nur für administrative Aufgaben bereitzustellen. Alternativ "darf" man eine VM in die PAW installieren um normale Office Tätigkeiten durchzuführen, nicht jedoch andersrum. Aber zu deiner Frage direkt, ja ist es. Ist sogar eine Prüfungsfrage für die 70-744.

Und wie läufts damit? Wie weit seid ihr und wie aufwändig war das ganze bis jetzt?

Bist du eigentlich hier zum trollen oder was los? Erst willst du das dir die Welt zum popeligen MCSA gratuliert, dann auf Vorschläge bzw. nett gemeinte Alternativen so antworten.... Im realen Leben gibts halt nicht nur 0 und 1.

Warum möchtest du dich auf Windows Server 2019 versteifen? Wenn du dir die Topics der Zertifizierungen anschaust, wirst du merken das es nicht mal wirklich relevant ist Windows Server 2019 dafür einzusetzen. Und die Unterschiede zwischen Windows Server 2016 und Windows Server 2019 sind jetzt auch nicht groß. (Im Vergleich zu den anderen Sprüngen)

Glückwunsch! Nun weiter mit 70-744 und 70-413,70.414

Gibts ein Update @Nobbyaushb?

Ausnahmsweise mal spannend hier

Sophos Phish Threat setzen wir auch ein. Echt sehr sehr gut um die Awareness für Mitarbeiter zu schulen.

Wenn du den UNC Pfad über den Namen aufrufst wird standardmäßig Kerberos zur Authentifizierung verwendet, bei der IP NTLM. Das ist der Unterschied.

Es tut genau das Gegenteil...

VMs können auch zwischen standalone Hosts live verschoben werden. (Zumindest seit Windows Server 2012)

Wenn ein Host abschmiert und der andere ganz zufällig gerade im Wartungsmodus ist, dann hast du auch bei 3 Nodes ein Problem... Sieht ganz nice aus, aber hier hast du mehr SPOFs als in nem 2-Node Cluster. Knallt die Storage weg, is Feierabend... Es gibt auch sogenannte "Cluster in a Box"-Systeme, da sind dann in einem Chassis 2 Nodes und eine Storage-Backplane auf den beide über jeweils einen Controller zugreifen... Das finde ich dann halt noch schlechter als nen 2-Node HCI Cluster. Hier mal ein Link, damit ihr wisst was ich meine: https://www.tarox.de/fileadmin/bilder/machines/server/tarox_cluster_in_a_box_infofolder.pdf

"Tricksen" in Anführungszeichen. Es ist seitens Microsoft supportet.