peterg

Hallo, die Benutzer sollen doch nicht selbst entscheiden! Wie kommst Du darauf? Das soll ja der Clientadmin machen! Ich möchte nur, dass die empfohlen Updates im Hintergrund gelanden werden und zu einem geeigneten Zeitpunkt meldet sich der Clientandmin an und darf diese installieren. Ich warte eh immer lieber ein paar Wochen bei neuen Updates. Nun zur Benutzereinstellung: Diese habe ich auch schon gefunden, wenn ich aber den Text lese, dann verstehe ich das so, dass gar keine Updates mehr bei dem User geladen werden. Stimmt das? Wenn Sie diese Einstellung aktivieren, werden alle Windows Update-Funktionen entfernt. Dies umfasst auch die Blockierung des Zugangs zur Windows Update-Website unter "http://windowsupdate.microsoft.com"vom Hyperlink "Windows Update" im Startmenü und im Menü "Extras" des Internet Explorer. Die automatische Aktualisierung von Windows wird ebenfalls deaktiviert; Sie erhalten über Windows Update keine wichtigen Updates und werden auch nicht über neue Updates informiert. Durch diese Einstellung wird auch verhindert, dass der Geräte-Manager automatisch Treiberaktualisierungen von der Windows Update-Website installiert. Ich hätte gerne, dass beim angemeldteten User "Huber" die Updates im Hintergrund geladen werden. User "Huber" darf diese aber nicht installieren User "Clientadmin" darf die bereits unter User "Huber" geladenen Updates installieren. Gruß, Pit

Hallo, ich würde gerne folgendes per GPO's über einen Server2008R2 (=DC) steuern. 1. Windows Updates sollen automatisch heruntergelanden, aber NICHT installiert werden -> diese Einstellung habe ich gefunden 2. Es soll nur ein spezieller Benutzer (hier "clientadmin") die Updates installieren dürfen -> wie/wo kann man das einstellen Es geht zunächst nur um Windows 7. Alles User sind lokale Admins (muss so sein) WSUS möchte ich nicht! Es wäre schön, wenn ich ein paar Hilfestellungen bekomme. Wie wäre das mal später mit einem Server 2016 und Windows 10? Gruß, Pit

Jetzt bin ich doch etwas verwirrt :confused: Ich habe das mit den VMs so verstanden, auch wie Norbert (hoffe ich), dass die SAN den Speicherplatz für eine virtuelle Maschine bereitstellt. Oder geht es bei dem Kommetar von lefg nur um klare Definitionen? @Norbert Bedeutet dies, dass es auch nur einen virtuellen DC gibt? Sobald der physikalischer Haupt-Server ausfällt, stellt der Hypervisor des Standby-Servers (nach einem Reboot oder automatisch) wieder die "Verfügbarkeit" aller VMs (auch des DCs) sicher? Backup der phsikalischen Server Hier könnte man doch die interne Windows-Sicherung aktivieren, wenn außer dem HOST nichts auf den Servern läuft. Budget liegt so bei 20'-25' Euronen inkl. Arbeitszeit, neuer Router, und ein paar Kleinigkeiten Backup/SATA-Platten Natürlich nicht. Ich hatte nur gelesen, dass man SATA-Platten aufgund der Performance und der Langlebigkeit eher für Backupgeräte einsetzen soll und nach wie vor SAS-Platten für den produktiven Einsatz vorzuziehen sind. Bei 40-50 TB kosten SAS-Platten wohl ein Vermögen. Daher wollte ich gerne wissen, ob man nicht doch auch SATA Platten einsetzen kann, wenn es nicht um absolute Performance geht. Wie gesagt wird auf einen Großteil der Daten nicht ständig zugegriffen, muss aber verfügbar sein. Standby-Server Wenn ich das Konzept richtig verstanden habe, dann muss der Standby-Server auch nicht unbedingt die gleiche Performance wie der Haupt-Server haben. Man könnte hier durchaus weniger Ressourcen für die VMs definieren (z.B. für den DC nur 2 Keren statt 4 - nur als Beipiel), da der Standby-Server ja nur einen Notfallbetrieb für max. 1-2 Tage bereitstellt. Server generell Auch hinsichtlich der Speicherkapazität (Anzahl Festplatten) der physikalischen Server kann man hier deutlich reduzieren, wenn nur der Host darauf läuft. Physikalischer DC Es wird ja immer geraten, dass bei virtuellen Umgebungen der erste DC zumindes als pysikalische Gerät vorhanden sein sollte. Kann dies hier einfach ignoriert werden? @Chomper Das Thema NAS habe ich verworfen. Ich habe viel mit QNAP gemailt und bin etwas enttäuscht. Sobald man präziesere Fragen stellt kommt keine Antwort mehr. Auch gibt es scheinbar keinen vor Ort Service von QNAP. Das ist zu riskant. Als Backup ok, aber ansonsten lasse ich für 40-50TB die Finger davon. Gruß, Peter

Hallo, wir hatten nun einen EDV-Berater von einem Systemhaus da. Ich würde gerne Eure Meinung dazu wissen. Evtl. habe ich nicht alles richtig verstanden und kann dann nochmal gezielt nachfragen bzw. könnte ich durch Eure Tipps evtl. noch was verbessern (wenn es im Budget bleibt). Zur Speicherung großer Datenmengen und um eine vernünftige und bezahlbare Ausfallsicherheit (0.5 bis 1 Tag Totalausfall kann akzeptiert werden) zu bekommen wurde folgendes vorgeschlagen: - HP SAN-System mit SAS-Platten (mit 4 Std. vor Ort Service) - 2 physikalische Server (wohl auch HP) mittels Fibre-Channel an SAN angebunden -> Auf der SAN sollen dann die virtuellen Maschinen (1x Exchange, 1x Datenbank, 1x Sonstiges (WSUS, Anti-Virus, etc.) laufen. -> Mittels ESX-Server muss bei einem Ausfall eines physikalischen Servers der andere Server (Standby Server) nur manuell neu gestartet werden und alle VMs vom SAN sind wieder für die Clients verfügbar (so habe ich es verstanden) -> Bestehendes Netzwerk mit HP Procurve 2530-24G Switchen bleibt erstmal so -> Sicherung! Hier war mir noch nicht ganz klar was empfohlen wird (die Zeit war zu knapp aber es gibt noch einen Termin). Hier wurde was von USB-Festplatten, SQL-Dump und Veeam erzählt. Dieses Thema muss noch genau geklärt werden Fragen: 1. Funktioniert das wirklich so mit den beiden Servern? 2. Was ist eigentlich auf den physikalischen Maschinen installiert (erster und zweiter DC -> falls ja, wie ist das mit DHCP, DNS, ESX-Server, etc.)? 3. Wo werden dann eigentlich die Benutzer angelegt, verwaltet, etc. (so richtig verstanden habe ich das noch nicht)? 4. Wie würdet Ihr die LUNs anlegen oder ist man mit einer SAN so flexibel und kann die Größe später verändern (z.B. LUN mit zweiter LUN erweitern)? 5. Backup – was empfehlt Ihr hier? - Veeam für die VMs -> gesichert auf eine NAS (wir haben noch 2x 20TB QNAP) - Wie sollten die physikalischen Maschinen gesichert werden? - Wie sollte eine MS SQL Datenbank, welche auf einer VM liegt gesichert werden? 6. SAS-Festplatten Wenn wir nun 40-50 TB Anfangsspeicher haben möchten wird das mit SAS-Festplatten ganz schön teuer. Im Netz habe ich gelesen, dass man SATA-Festplatten bei einer SAN wohl nur als Backup benutzen sollte. Kann man das irgendwie mischen (oder zweites SAN-Gerät) um z.B. für die VMs und die täglichen Daten SAS-Festplatten und für die selten genutzten Daten wie z.B. Videos, fertige Berechnungen, etc." Daten SATA-Festplatten zu benutzen? Die Art unserer Daten wird sich nicht ändern und aktuell haben wir einen Server mit SAS-Festplatten (RAID5), einen kleinen Server mit SATA-Festplatten (RAID1) und eine QNAP mit SATA (RAID5) über iSCSI am kleinen Server im Betrieb. Alles mit 1 Gigabit angebunden. Ein Performance-Problem gibt es mit der "schwachen" Hardware aktuell nicht. Schöne Grüße, Peter

Hi, vielen Dank für die vielen Antworten. Alles Indoor. Später werden es sicher mal 2-6 APs werden. Gruß, Peter

Ich warte jetzt mal den Beratungstermin ab. Ist Mitte Mai. Dann melde ich mich zu dem Thema wieder. Das mit dem Thema Vor-Ort-Service ist wichtig. Danke! Wo geht die Reise hin: Wir benötigen in Zukuft ca. 60 TB Anfangsspeicher, welcher auch erweiterbar sein muss Wir benötigen ein gutes Backup dafür Wir benötigen eine vernüftige und bezahlbare Ausfallsicherheit Wir benötigen neue MS Server (inkl. Exchange) Wir sind aber auch nur 15 evtl. später mal 20 User und können nicht 100.000 € ausgeben

Kennt Ihr zufällig einen AP der das kann (Marke, Produktbezeichnung)?

Beratungstermin ist schon terminiert. Will mich aber tortzdem "neutral" informieren. Die Zugriffe über die Netzwerkfreigaben sollen auch über das AD geregelt werden. Auf der NAS sollen keine weiteren User angelegt und Zugriffe geregelt werden Geht das, wenn man die NAS ins AD einbindet (ohne iSCSI Anbidung). Dann muss aber auch das Backup klar sein. Aktuell nehmen wir acrserve udp und die bestehende NAS ist per iSCSI angebunden. Somit ist das für arcserve udp wie eine interne Festplatte und kann gesichert werden. Ohne diese Anbidung müßte die Software in der Lage sein übr das Netzwerk auf die NAS-Verzeichnisse zuzugreifen. Das kann arcserve udp glaube ich nicht. Ich denke QNAP wird da schon eine Backuplösung für ein NAS-Backup untereinander haben. Das produktive NAS soll einen zweiten Controller, Netzteil haben. Ja, QNAP ES1640 würde uns gefallen. Mit NetApp habe ich auch schon mal telefoniert. Die Preise können wir aber nicht bezahlen. Gruß, Peter

Hallo, ich habe nur eine grundsätzliche Frage: - Wir haben aktuell zwei VLANs (Büronetz und Wohngruppe) - Die VLANS werden aktuell über einen bintec RS353j Router und einen HP Switch (Ports sind einem speziellen VLAN zugeordnet) realisiert - Nun hätten wir gerne auch WLAN für beide Netze - Die Netzwerkleitungen sind stark limitiert Frage: Ist es möglich, dass man über einen AccessPoint zwei SSIDs (WLANs) mit unterschiedlichen Zugangspasswörtern und der jeweiligen VLAN-Zuordnung über ein Netzwerkkabel bereitstellt? Gruß, Peter

Hallo, in diesem Jahr möchten wir unseren Server ersetzen und die IT-Struktur etwas ändern. Ich möchte mich daher schon im Vorfeld etwas informieren um die Angebotsanfragen erstellen zu können. Wir werden uns wohl zwei größere QNAP NAS zulegen (1x produktiv, 1x Backup) und mehrere LUNs darauf erstellen. Auf den LUNs werden dann Verzeichnisse angelegt und freigegeben. Die LUNs sollen per iSCSI an einen Server eingebunden werden. Wir möchten auch zwei DCs wegen der Ausfallsicherheit haben. Erster DC als eigene physikalische Maschine, zweiter DC als virtueller DC auf einem extra Gerät wo dann auch noch zwei weitere VMs laufen (Exchange, Sonstiges). Fragen: Wo (an welchem Rechner) sollte die iSCSI Anbindung erfolgen? Wie kann man die iSCSI Anbindung (ohne Cluster) redundant ausführen, falls der Rechner ausfällt, damit die Clients weiterhin Zugriff auf die Netzlaufwerke haben? Falls dies nicht ohne einen Cluster geht, wie kann man den Aufwand zur "Umschaltung" minimieren bzw. optimieren? Gruß, Peter

Hallo, erstmal Danke für die schnellen Antworten. Nun ein paar Hintergründe, welche evtl. notwendig sind. Art der Daten: Viele große Videodateien, viele große Kanal- und Hochasserschutzberechnungen (kann schon mal 1 TB groß sein) und natürlich viele viele Word-, Excel-, CAD-Dateien, ... Gelöscht soll so gut wie nichts werden. Wie gesagt rechne ich mit einer Datenmenge von 100TB innerhalb der nächsten 4-5 Jahre. Datensicherung: Mit der aktuellen Sicherung über arcserve udp auf einer NAS ist die Wiederherstellung von Daten hinsichtlich der Zeit bisher kein Problem. Das täglich nicht alle Daten, sondern nur der Zuwachs gesichert wird ist klar. Das ist jetztr auch so. Das Vergnügen einen ganzen Server wiederherzustellen hatten wir zum Glück noch nicht. Das Thema Cloud-Sicherung sollte ggf. was zusätzliches sein. Eine revisionssichere Sicherung ist nicht nortwendig. Wie ich ja schon geschrieben habe, sehe ich eine gute Beratung als sinnvoll an. Wir hätten aber auch gerne eine unabhängige Beratung (welche nicht nur an den Verkauf denkt) mit der wir gezielt Anfragen können. Dass so etwas nicht in einem Forum funktioniert ist klar. Das habe ich auch so geschrieben. Habt Ihr keine Empfehlung? Gruß, Peter

Hallo, in diesem Jahr wird unser bald 7 Jahre alter SBS 2011 in den Ruhestand gehen. Zudem haben wir einen zweiten "kleinen" Server (2008 R2) auf dem zwei kleine Datenbanken laufen und an dem aktuell eine QNAP NAS (ca. 18 TB) via iSCSI angebunden ist. Nun explodiert aktuell unsere Datenmenge und ich möchte mich schon jetzt etwas informieren, was wir in Zukunft hinsichtlich Datenspeicher und dessen Sicherung machen können und welches Serverkonzept gut wäre. Aktuell wird der komplette SBS 2011 und der komplette Server 2008 R2 inkl. iSCSI Verzeichnisse (von QNAP NAS) via arcserve UDP auf eine andere QNAP NAS (26 TB) gesichert. Zukünftig werden wir Daten um die 50 TB bis 100 TB bekommen und ca. 25 User sein. Meine Fragen wären: 1. Wie sollte man so große Datenmengen speichern/bereitstellen -> NAS oder SAN oder ??? 2. Macht es Sinn, parallel zur NAS/SAN, etc. auch den Haupt-Server selbst noch mit viel Datenspeicher auszurüsten (z.B. 8x 600 GB SAS Festplatten (wäre der Standard) oder 16x 600GB SAS)? 3. Wie werden solche Datenmengen gesichert? Sind Cloud-Speicher eine Lösung/Alternative (welcher Anbieter)? Serverkonzept: Ich würde wie folgt ins Rennen gehen, bitte aber um Anregungen 1x Hauptserver mit 3 VMs* + Host (1x vDC Server 2016 Std., 1x VM Exchange 2016 Std., 1x VM WSUS, Anti-Virus und sonstige Themen), Hersteller Service Pack mit 1 AT Wiederherstellungszeit, Anzahl Festplatten nach Klärung der Fragen *braucht man bei 3 oder 4 VMs dann eine zusätzliche MS Server Standard Lizenz oder die Datacenter Lizenz? 1x Mini-Server (Server 2016 Std.) als zweiter DC und als Lizenzserver für unsere USB-Dongle*. *USB und VMs: Ich habe etwas bedenken, dass die USB-Dongle in der VM auch wirklich erkannt werden. Hat da jemand Erfahrung? 1x Storage System mit 100 TB -> NAS, SAN; ??? Wie sollte/muss die Einbindung der Netzlaufwerke erfolgen und auf welchem Server? Auch im Hinblick, wenn der Hauptserver ausfällt sollte man mit den Clients noch Zugriff auf die Netzlaufwerke des Storage Systems haben (Exchange ist nicht so kritisch und kann auch mal 1-2 Tage ausfallen). Zudem müssen die Zugriffsberechtigungen auf die Netzlaufwerke über die Windows-Freigabe bzw. über Gruppen im AD möglich sein (ich möchte z.B. nicht auf einer NAS alle Zugriffe doppelt regeln). 1x Sicherung der Daten und der Server -> wie? Es wäre schön, wenn ich ein paar Tipps bekommen könnte. Ggf. würden wir uns auch mal gerne professionell (natürlich gegen Bezahlung) und unabhängig beraten lassen. Wen könnt Ihr empfehlen? Schöne Grüße Peter

Problem gelöst. Ich habe das Zertifikat [::]:443 gelöscht. Outlook, EAC, etc. funktioniert weiterhin. Danke für die Unterstützung Gruß, Pit

Ja, da in dem alten Exchange Zertifikat der CN nicht auch als SAN eingetragen war. Ich habe dann ein neues Zertifikat bekommen, wo dann alle Einträge richtig waren. Ich habe gerade mal im Zertifikatsspeicher nachgeschaut und den Fingerabduck der Zertifikate mit dem Hash-Wert des [::]:443 Zertifikats verglichen. Dieses Zertifikat gibt es im Zertifikatsspeicher nicht. Ich werde es jetzt mittles netsh http delete xxx löschen. Oder? Wie lautet dann eigentlich das Kommando? netsh http delete sslcert ipport=[::]:443 Passt das so mit den [::]? So wird es bei den Bindungen mit netsh http show sslcert angegeben. Normalerweise schaut es ja so aus: netsh http delete sslcert ipport=0.0.0.0:443

Hallo, ich weiß nicht ob ich auf dem richtigen Weg bin. Ich habe mir mal die Hash-Werte und die Anwendungs-IDs der SSL-Zertifikatsbindungen angeschaut (netsh http show sslcert). Zudem hatte ich die Möglichkeit über einen Bekannten bei einem anderen Exchange 2016 die SSL-Zertifikatsbindungen anzuschauen (siehe Anlage). Fazit: 0.0.0.0:443 und 127.0.0.1:443 haben den gleichen Hash und die gleiche Anwendungs-ID --> ist bei beiden Exchange-Servern so 0.0.0.0:444 hat einen anderen Hash, aber die gleiche Anwendungs-ID wie 0.0.0.0:443 und 127.0.0.1:443 --> ist bei beiden Exchange-Servern so Das Problemkind [::]:443 stimmt weder mit Hash, noch mit Anwendungs-ID mit irgendeinen anderen Zertifikat zusammen Zudem gibt es dieses Zertifikat nur bei dem Exchange mit der Fehlermeldeung. Das Zertifikat wurde auf diesem Server gelöscht (andere Geschichte) und ein neues Zertifikat installiert. Evtl. ist das irgendein Überbleibsel und wird evtl. gar nicht benötigt und kann gelöscht werden. Das hat mit dem CU4 Update wohl gar nichts zu tun und die Fehlermeldung ist mir erst jetzt aufgefallen. Der Zertifikatswechsel wurde auch erst vor kurzem gemacht. --> Kann dazu jemand was sagen? Gruß, Peter SSL-Zertifikatbindungen mit Fehlermeldung.txt SSL-Zertifikatbindungen Vergleichsserver.txt

Hi, habe ich mich noch nicht getraut. Was heißt mit "Key" exportieren? Ich habe das Zertiifkat über die EAC exportiert inkl. Passworteingabe oder muss ich das Zertifikat über die MMC exportieren? Hier habe ich keine Ahnung. Geht das so: https://www.digicert.com/ssl-support/pfx-import-export-iis-7.htm oder https://technet.microsoft.com/de-de/library/aa996305(v=exchg.160).aspx Kann ich dann einfach die 4 Schritte wie im Artikel beschrieben ausführen? Das habe ich noch nie gemacht, daher frage ich lieber ganz genau nach. Muss ich nicht bei "delete" die IP und den Port eingeben? -> delete sslcert ipport=127.0.0.1:443 -> delete sslcert ipport=[::]:443

Hi, ich habe mal bei "Default Web Site" die https-Bindungen auf "Microsoft Exchange" umgestellt, einen iis-Reset gemacht und dann wieder das Exterene Zertifikat eingetragen (und iis-reset). Brachte nichts :-( Die Fehlermeldung komme alle 10 Sek. Gibt's doch nicht....

Ja, da steht bei https Port 444 beim SSL-Zertifikat "Microsoft Exchange" und nicht das "externe Zertifikat" drin. Bei meinem Test-Exchange (gleich mit CU4 aufgesetzt) ist das aber auch so! Gehört hier das "externe Zertifikat" rein? Gruß, Pit

Hallo, ich habe auch nicht im iis gemacht. Da traue ich mich nicht ran. :-) Wenn man "googelt" wird beschrieben, dass oft das Zertifikat fehlt und im iis eingetragen werden muss. Bei mir war aber alles eingetragen. Das wollte ich nur prüfen. Bei get-exchangecetrificate kommt folgendes (siehe Bild) Kann/soll ich das Zertifikat gemäß der Technet-Seite reinstallieren? Welchen Kommentar meinst Du? Es geht ja auch teils um die Bindung beim "Exchange Back End", 444. Bei "netsh http show sslcert" steht nur bei einem Zertifikat "0.0.0.0:8172" die Anwendungs-ID mit 00000 drin. Bei den Zertifikaten mit Port 443 steht überall etwas bei der Anwendungs-ID. Gruß, Pit

Hi, Autodiscover.domainA.de und autodiscover.domainB.de sind "zufällig" im Zertifikat, da das "alte" Zertifikat kulanterweise umgetauscht wurde und ich quase noch zwei Einträge frei hatte. Das habe ich nur nicht erwähnt, da ich der Meinung war, dass die zwei Einträge nicht notwendig sind. Danke für den Hinweis. Gruß, Pit

Hallo, ich habe gerade das Exchange 2016 CU4 Update (von CU2) gemacht (auf einem Server2012R2), welches reibungsllos funktioniert hat. Nun habe ich im Ereignisprotokoll den Fehler 15021: Bei der Verwendung der SSL-Konfiguration für den Endpunkt (::'):443 ist ein Fehler aufgetreten. Die Fehlermeldung kommt ständig!!! OWA funktioniert, Outlook kann sich am Exchange anmelden und auch die Anmeldung an der EAC funktioniert. Im IIS unter "Default Web Site" -> Bindungen -> ist bei beiden https-Einträgen das "externe" Exchange Zertifikat eingetragen (siehe Bilder), welches ich bei der Exchange-Installation eingebunden habe. Kann das Zertifikat irgendwie "defekt" sein? Hat evtl. jemand einen Tipp? Gruß, Pit

Hallo, Problem gelöst. Evtl. interessiert es ja jemanden. 1. Zertifikat Sichergestellt, dass auf dem Zertifikat CN: outlook.abc-service.de und autodiscover.abc-service.de ist (CN wird automatisch als SAN eingetragen). autodiscover.domainA.de und autodiscover.domainB.de wird nicht benötigt 2. Interner DNS-Server Neue Forward-Lookupzone „autodiscover.abc-service.de” mit A-Record auf den internen Exchange Neue Forward-Lookupzone „outlook.abc-service.de” mit A-Record auf den internen Exchange In der gemeinsamen Domäne „xxx.local“ einen SRV Eintrag erstellen: Dienst: _autodiscover (auch so eintragen) Protokoll: _tcp (auch so eintragen) Priorität: 0 Gewichtung: 0 Port: 443 Host, der den Dienst anbietet: autodiscover.abc-service.de 3. Externe DNS-Server Service-Domain: outlook.abc-service.de und autodiscover.abc-service.de mit HOST A-Record auf die feste Internet-IP-Adresse Hierauf kommt es an: Domain-A: SRV-Eintrag erstellen -> _autodiscover._tcp.domainA.de -> Ziel: autodiscover.abc-service.de Host: beim Host darf nichts eigegeben werden Typ: SRV Zielt: autodiscover.abc-service.de Priorität: 0 Port: 443 Gewichtung: 0 Protokoll: TCP Dienst: autodiscover Domain-B: SRV-Eintrag erstellen, analog Domain-A Dann läuft der MS Connectivity Analyzer sauber durch. Danke für Eure Hilfe. Gruß, Pit

Der Router soll dem Client eine IP-Adresse aus dem gleichen Netz wie in der Domäne zuweisen. Am Router läuft dann quasi ein DHCP-Server nur für die VPN-Clients. Diesen IP-Bereich nehme ich aber am DHCP-Server der Domäne aus, bzw. evtl. gibt es ja einen Bereich der gar nicht zur Adressvergabe konfiguriert ist, da es ja sonst zu Adress-Konlikten kommen kann. Muss der IP-Bereich für die VPN-Clients am Router aber gar nicht im gleichen Bereich wie am Server sein? So verstehe ich die nachstehende Aussage. Unser Netz hat den IP-Bereich 192.168.110.xx, der Router hat die IP 192.168.110.254. Für die VPN-Clients wird am Router ein IP-Bereich 192.168.169.xx (hoffentlich exotisch :)) reserviert. Der VPN-Client verbindet sich also dann mit dem Router, bekomm eine IP-Adresse (komplett anders als das Netz mit dem Server) und der Router routet dann den Client in das Netz. Richtig? Wenn ich dann am VPN-Client z.B. der Server anpinge müßte das funktionieren oder? Welche Ports wäre das? Die Dame soll nur auf Ihre Netzlaufwekre Zugriff haben. Also reiner Datentransfer. Gruß, Pit

Hallo, alleine der Thementitel ist schon grausam aber hoffentlich verständlich. Eine Kollegin arbeitet nun teils in einer anderen Einrichtung (ist ganz woanders). Dort sitzt Sie an einem Rechner, welcher nicht Mitglied unserer Domäne ist, keine direkte Verbindung zum Domäenennetzwerk hat und in einer ganz normalen Arbeitsgruppe ist. Nun wäre es schön, wenn Sie trotzdem mit Ihren Zugangsdaten der Domäne Zugriff auf die Netzlaufwerke des Servers hätte. Die Verbidnung mit Outook zum Exchange habe ich schon hinbekommen. Das war aber eine andere Baustelle :-) Dies würde ich gerne über eine IPsec-Verbindung mit unserem bintec-Router machen. Auf dem Rechner wird dann eine IPsec Clientsoftware installiert, welche sich mit dem Router verbindet. Die Verbindung soll definitiv NICHT über den Server aufgebaut werden. Der Router hat entsprechende IPsec Lizenzen mit dabei. Dies ist aber nicht meine Frage. Ich würde gerne wissen, welche Konfigurationen/Einstellungen ich am Server 2012R2 (als VM) machen muss, damit der Benutzer des Rechners (ohne Domänenanbindung) mit seinen Benutzerdaten der Domäne, Zugriff auf die Netzlaufwerke bekommt. Ich denke hier an die Windows Firewall, Routing & RAS aktivieren?, bekommt der Client automatisch vom DHCP des Servers eine IP-Adresse?, muss ich beim Benutzer irgendwlche "Einwahlrechte" aktivieren? Wann erfolgt die Authentifizierung am Server, da die IPsec-Verbidnung wohl nichts mit den Benutzerkonten der Domäne zu tun hat? Bzw. ist das überhaupt so möglich? Schöne Grüße Pit Nachtrag DHCP: Eigentlich muss ich doch nur über den Router einen DHCP-Bereich aus dem Netzwerk festlegen, denn die IPsec-Clients dann bekommen. Diesen Bereich schließe ich am eigentlichen DHCP-Server aus, damit es keine Überscheidungen gibt. Somit solle man über \\servername\freigabe das Netzlaufwerk vom Rechner aufrufen können bzw. kommt dann erst die Authentifizierung (Benutzername, Passwort). Denke ich hier zu einfach?

Hallo, ist die Lösung wirklich so einfach? Nur noch einen SAN-Eintrag im Zertifikat ergänzen (also ein neues Zertifikat ausstellen lassen). Wie kann ich das eigetlich im aktullen Zertiifkat prüfen? Müßte der "Aussteller" nicht dann automatisch den CN auch als SAN setzen? Ich habe beim Zertifikat neben dem CN halt einfach auch die SANs beim Beatragen angegeben. Ich habe hier auch einen interessanten Artikel gefunden "Autodiscover with multiple domains and single name certificate". Damit habe ich etwas rumgespielt, wobei ich die internen DNS-Einträge schon so gemacht hatte (Split-DNS). Laut dem Artikel benötigt man nur einen Namen im Zertifikat. Ist das dann egal ob trotzdem noch SANs drin sind? Beim internen DNS (unsere Domäne heißt: domäne.local) gibt es nun unter den Forward-Lookupzonen eine zusätzliche primäre Zone "outlook.abc-service.de" mit einem Host-A Eintrag auf den Exchange Server. Zudem ist unter domäne.local/_tcp der SRV-Eintrag _autodiscover._tcp.outlook.abc-service.de mit dem Port 443 vorhanden. Irgendwie fehlen mir auch die Einträge für die eigentlichen Domains "domainA.de" und "domainB.de" am intenen DNS. Werden am internen DNS keine Einträge dafür benötigt? Z.B. eine interne Zone "domainA.de" mit dem SRV Eintrag? Beim externen DNS (Mail-Domain "outlook.abc-service.de") habe ich dann den SRV Eintrag _autodiscover._tcp.outlook.abc-service.de auf die feste IP hinzugefügt und den A-Record Eintrag "autodiscover.abc-servce.de" gelöscht. Somit gibt es dort nun den SRV-Eintrag und einen A-Record for "outlook.abc-service.de" auf die feste IP. Jetzt frage ich mich auch, was für Einträge (A-Record, CNAME, SRV) müssen bei den externen DNS-Servern der eigentlichen Domains "domainA.de" und "domainB.de" vorhanden sein um hier irgendwie auf "outlook.abc-service.de" weiterzuleiten? --> Funktioniert aber immer noch nicht :-( Alles in allem kenne ich mich da einfach nicht aus und probiere nur rum. Ich bin schon froh, dass so alles läuft. Ich bin nun soweit, dass wir einen Profi das Thema lösen lassen. Ich bin sonst noch weiter gefrustet. Das kostet dann ein paar Euros, aber dann paßt auch alles. Ich kann hier noch Stunden damit verbringen und möchte auch nicht weiter eure Zeit verschwenden. Könnt Ihr mir jemanden empfehlen, der das remote machen kann? Gruß, Pit