Squire

Hallo, so ganz werd ich nicht schlau ... Du schreibst, dass Du ein Wildcard zertifikat beantragt hast und dann wiederum alle Hosts sind darin eingetragen .. was denn nun .. Wildcard (*.domain.local) oder SAN (host1.domain.local,host2.domain.local,...) Ich würde ggf. die Gültigkeitsdauer der internen Zertifikate hochsetzen ... (wir haben die für interne Server auf 5 Jahre gesetzt - da fliegen die so wieso spätestens raus). So wie sich das aber liest, dann passt was mit dem Veröffentlichen der Zertifikatssperrliste nicht. Normalerweise sollten die Clients einfach das neue Zertifikat schlucken, so die interne CA sauber veröffentlicht ist und die Sperrlisten ebenso. Du schreibst die Host sind gecloned? Sysprep gemacht?

@Softfuchs: Wie die Kollegen schon geschrieben haben - VDI ist nicht trivial wenn es vernünftig sein soll. nimm einen Dienstleister für das Projekt mit ins Boot und macht die Implementierung als Workshop!

Das wird ihm wahrscheinlich wenig nützen - es gibt halt teilweise Maschinensteuerungen, da gibt es nix Neueres ... und versuch mal auf einen Maschinenhersteller Druck auszuüben. Außerdem kannst Du ja nicht einfach die Produktionsmaschinen wegschmeißen und Hunderttausende oder Millionen € zu verbrennen... Nebenbei - bei manchen Herstellern kannst froh sein eine Windows 7 Steuerung zu bekommen ... Letztlich hilft nur so gut es geht abschotten, aber das wird niemals 100%ig klappen ... irgendwie müssen die Daten auf die Steuerungen oder zu Überwachungszwecken aus den Steuerungen raus ...

Wenn Du das Zertifikat bereits hast ... Du musst es nicht zwingend über den Assistenten oder die Shell importieren ... das geht auch über die MMC Öffne die MMC und füge das Snapin Zertifikate (Computeraccount) hinzu. Importiere das Zertifikat über die MMC öffne das Zertifikat und kopier Dir den thumbprint Nach erfolgten Import in der Exchange Powershell: enable-exchangecertificate -server Servername -thumbprint xxxxxxxxxxxxx -services iis,smtp,pop,imap

Ehrliche Meinung gefragt? Das Ganze ist völliger Murks! Wenn Deinem Abteilungsleiter und Deinem Chef die Datensicherheit nicht mehr wert ist, dann können ja auch keinerlei wichtige Daten auf den Systemen liegen und die Firma kommt dann auch ohne diese aus. Es tritt ja anscheinend im worst case ein Schaden für das Unternehmen in Höhe von 1000€ auf. (Mehr sind ihnen ja die Daten nicht wert)

ein Zertifikat alleine wird Dir da nichts nützen. Ich denke, dass Du für jeden User ein gesondertes öffentliches SMime Zertifikat brauchst. Bei 600 Usern wird das ein teurer Spaß

Wenn Du Teamviewer lizenziert hast und das hast Du ja sicherlich, da Du ihn im geschäftlichen Umfeld einsetzt - gibt es ein Hostmodul. In der Konfig kannst Du auch LAN Zugriffe zulassen, dann kannst Du Dich per LAN über IP Adresse, Netbios Name oder DNS Name verbinden. Wir haben den Host so eingestellt, dass ein vorkonfiguriertes Passwort auf dem Host fest hinterlegt ist und der Benutzer bei Verbindung zustimmen muss. Eine Pin oder Session Passwort ist abgeschaltet, damit nicht einer der Anwender auf die Idee kommt sich von außen einfach auf seinen Bürorechner schalten zu können. Wenn keine angemeldete Usersession vorhanden ist, kann man sich auch ohne Bestätigung aufschalten- Für den Terminalserverbetrieb gibt es beim Teamviewer einen Mehrbenutzermodus ...

ehrliche Meinung: mit 1000€ für die Hardware brauchst Du gar nicht erst anfangen! Scheint so, dass das eine Art Kobayashi Maru Test ist

es gibt für den freien ESX einige Backup Möglichkeiten, aber das ist m.E. alles ein Gebastel! VDP geht erst mit der Essentials Plus (Wobei die Kosten jetzt auch nicht exorbitant sind). Seit der Version 6.1.3 läuft die VDP auch sehr zuverlässig. Aber Du benötigst irgendwo Storage außerhalb des eigentlichen ESX, sonst macht ein Backup wenig Sinn. Also ... entweder zweite Maschine mit ESX und Essentials+ und VDP oder zweite Maschine in Physik mit viel Plattenplatz und Veeam, sowie das einfache Essentials für den ESX oder als absolute lowcost Lösung ... NAS mit genug Speicher und das orginäre Windows Backup

Hallo, normal - ein Netzteil auf die USV und eines auf den normalen Strom oder auf zweite USV - je nachdem was vorhanden ist

Also, dass der Connectivity Analyzer von MS nicht gehen sollte halte ich für ein Gerücht! Wenn er mit Deinem System nicht geht, dann hast Du wahrscheinlich ein Problem

nochmal ... warum sollte der DHCP aus dem zweiten Bereich Adressen vergeben, wenn der erste Bereich noch gar nicht voll ist?

afaik hat das doch mit dem Exchange herzlich wenig zu tun - das ist Sache Deiner Firewalls, wie sie den Traffic zum Exchange leiten. Höchstens beide FW IPs auf dem Exchange Empfangsconnector erlaubt?

Das schreit nach Mailarchiv! Wieviel User habt ihr denn? Mailstore z.B. ist eine gute und sehr kostengünstige Lösung.

ist denn der 1er Bereich schon voll? Wenn nein liegt es daran nebenbei ... Du weiß schon, dass Du öffentliche IP Adressen verwendest oder?

Ah .. hast Du auch so einen User, der den Papierkorb nie leert oder diesen wahlweise als strukturierte Ablage (mit richtig hübscher Ordnerstruktur) nutzt

Unterkalender im Exchange Postfach! In Outlook mal auf Ordneranzeige und schauen ob unter dem eigentlichem Kalender weitere existieren - (Annahme: mit an Sicherheit grenzender Wahrscheinlichkeit)

Ich würde noch den Disclamer Agent von Gangl in den Raum werfen wollen. Wenn die Zentrale mitspielt ... die Software wird pro Exchange Server (nicht pro User!) lizensiert. Die Mail-Signaturdateien (html/txt) können auf einem Fileshare liegen - da könnte das Marketing dann diese ohne weitere Hilfe selbst abändern. (Änderungen ziehen sofort, sobald die neue Datei dort liegt) ... Ich hab die Software bereits seit Exchange 2003 im Einsatz und kann sie empfehlen

Hi, sind auf dem Systemlaufwerk mehr als 10% freier Speicher? Wieviel Platz ist auf dem Laufwerk mit den Logs bzw. der Datenbank?

Die Clients die irgendwo an einen DC gehen sind aber nicht zufällig via VPN eingewählt? Wenn ja, dann muss auch das jeweilige VPN Netz dem jeweiligen Standort zugewiesen werden

Ist der IE auch gepublished? Sollen die Links lokal aufgemacht werden? Dann via Inhaltsumleitung!

@TO... Ich habe bei einem Kunden eine Policy auf nem 2012R2 DHCP laufen. Dort werden die OpenScape VOIP Telefone der Übersichtlichkeitshalber in den oberen Bereich der DHCP Range per Policy gelegt. Ich geh jedoch auf den Vendor und nicht nach der Mac Adresse. Im "normalen" DHCP Bereich vergibt der Server die Adressen ohne irgendwelche Policy. Reservierungen auch in dem von der Verteilung ausgeschlossenen Bereichen (für Drucker etc.) funktionieren ohne Probleme.

ähm ... nein ... beim 2013/2016 Exchange funktioniert das bei der Sophos UTM mit dem Default Receive Connector. Es muss kein extra Connector auf dem Exchange gemacht werden

ist für den Lizenzserver wirklich HA bzw. Failover nötig? Selbst wenn der Lizenzserver jetzt nicht erreichbar ist laufen die Clients/Server doch weiter in der Grace Period (bei RDP soweit ich das im Hinterkopf hab 120 Tage ... KMS ebenso) Die Zeit reicht allemal das System aus nem Backup wiederherzustellen oder neuaufzusetzen

Ich hab auch ne UTM am Laufen, wobei ich mit dem Spamfilter eigentlich zufrieden bin. Was man unbedingt machen sollte: Recipient Verification einschalten - entweder gegen das AD oder als Call Out ich hab bei mir noch Reject invalid HELO / missing RDNS, BATV und SPF check eingeschaltet Nebenbei - es gibt keine 100% Antispam Lösung (außer der Mailserver hängt nicht am Internet). Jede Lösung hat ihre Vor- und Nachteile. @cracymetzel: bei mir rutscht nur ab und an Spam durch ... vielleicht machst mal ein Ticket bei Sophos auf