LukasB

Hört sich soweit schonmal ganz sinnvoll an. Der SBS fällt ja wg. der Replikation aus dem Rennen (und der Aufteilung), ansonsten schaut das ganze soweit sinnvoll aus. Jetzt muss man nur noch konkreter werden - in dieser Situation könntest du bereits WS08 uind Exchange 07 einsetzen. Und natürlich die passende Wahl der Hardware. Ein Daumen-mal-Pi Vorschlag für die HW von mir wär: Windows Server 2008, x64 2x IBM System x3650 je 1x QC ~ 2.5 Ghz je 8GB RAM je 8x 2.5" 147GB 10kRPM SAS je ServeRAID 8k je RSA Plus bei einem Server noch BE 12 mit Exchange und SQL Server Agent, sowie ein SAS HBA und ein LTO3 oder LTO4 Tapedrive. ForeFront Security for Exchange plus irgendein Virenscanner (ich setze primär McAfee ein, läuft problemlos unter WS08).

(Äh, ja, man sollte einen Thread nicht ne Viertelstunde geöffnet rumliegen lassen) Ich kann dir leider immer noch nicht grossartig helfen, aber das Restore Mode PW kannst du zurücksetzen: How To Reset the Directory Services Restore Mode Administrator Account Password in Windows Server 2003

Druck motiviert doch ;) Aber jetzt mal ganz böse: Wenn dir DNS Angst macht ist der Job als Windows-Admin alleine beim Kunden evtl. noch nicht das richtige - weil DNS ist definitiv einer der Eckpfeiler von Active Directory, dem Hauptbestandteil jedes Windows-Netzwerkes.

Also ich würde meinen DL-Job nicht gegen einen Inhouse-Adminjob tauschen wollen müssen ;) Bei grösseren Problemen darf man sich gerne auch mal Zeit zum recherchieren nehmen, das ist überhaupt kein Problem. Ein Teil der Arbeiten kann ja immer auch via Fernwartung erledigt werden (wobei ich immer gerne vor Ort bin, das generiert meist zusätzliche Aufträge wenn man ein bisschen mit den Leuten reden kann). Einer der grössten Vorteile ist das man relativ viel Freiheit und Verantwortung selbst tragen kann - man ist sehr flexibel und kommt in der Gegend rum. Ich arbeite bei einem recht kleinen IT-Dienstleister, und den grössten Nachteil sehe ich daran das bei der geringen Anzahl Leute immer auf dem "Sprung" sein muss, wenn mal irgendwo was schiefläuft. Letztendes ist das aber auch immer eine Frage des Geschmackes.

Wow, man lernt wirklich nie aus. Danke!

Ein System Engineer mit Führerschein ;)

Je nach Antworten im Wizard sind da nachher welche! Kannst du denn von Intern SSL-Verbindungen zum SBS herstellen? Wenn ja liegt das Problem beim Router/Portforwarding, nicht beim SBS.

Mein Fehler. Ich habe falsch gelöscht als ich den "realen" Pfad durch %APPDATA% ersetzt habe ;)

Erhältst du eine Fehlermeldung? Welche konkrete IP-Adresse ist im DNS angegeben? Die statische, externe IP-Adresse des Routers oder die des SBS? Lassen die IP-Beschränkungen im IIS einen Zugriff aller IP-Adressen auf OWA zu? Kann von aussen zumindest eine SSL-Verbindung erstellt werden?

Die Daten sind in %APPDATA%\Roaming\Microsoft\Outlook\Outlook.NK2 gespeichert, nicht im PST. Ich weiss nicht, ob die .NK2 Datei portierbar ist, aber probieren kannst du es auf jeden Fall.

Der SBS muss immer Inhaber aller 5 FSMO-Roles sein - es gibt aber bei Active Directory das PDC/BDC Konzept nicht mehr, beide DCs sind grundsätzlich gleichwertig mit Ausnahme der FSMO Roles. Der Plan scheint mir soweit sehr vernünftig. Aber was ich nicht ganz verstehe ist wie das mit dem TUW-Server laufen soll - wenn du da die Exchange/SQL Daten vorhalten willst. Gibt es - ich kenne in der Schweiz ein paar (z.B. green.ch - ADSL, Hosting, Mobile eMail, VoIP, Hosted Exchange, CoLocation, Exchange), aber beim Deutschen Markt kann ich dir nicht helfen. Ja, da solltest du dich auf jeden Fall schlau machen. Kaufe auf jeden Fall eine 3rd Party Backup Lösung wie z.B. BackupExec Small Business Edition (oder ArcServe oder was auch immer). Exchange und SQL Server Backups sind aufgrund der Transaction-Logs etwas speziell. Das funktioniert "automatisch" richtig, egal wo du das VPN terminierst. Natürlich sollten die mobilen Arbeitsplätze auch Mitglied der Domain sein. Kannst du auch machen. Bei 8MB symmetrisch und mit Outlook im Cached Exchange Modus reicht das problemlos. Wir haben Aussenstandorte mit ~10 Mitarbeitern und 2mbit Anbindungen, die arbeiten Problemlos im Outlook.

Ja, die Frage habe ich mit dem ersten Wort "Letzteres." auch beantwortet :)

Letzteres. Du kannst den TS Lizenzserver natürlich auch auf dem TS selber laufen lassen. Das ist zwar alles andere als optimal, funktioniert aber.

Okay, das ist nicht gerade üblich für Kunden in dieser Grössenordnung. Sicher besser als ein ADSL-Anschluss mit statischer IP. So einfach ist das glaube ich nicht. Aber ich bin kein Lizenzierungsexperte. Evtl. macht es Sinn wenn du dir die Sharepoint-Szenarien mail detailliert durchdenkst und dann im Lizenzierungsforum fragt - hier hat es ein paar Leute die alle Details kennen. Es gibt "External Access" Lizenzen bei denen du eine beliebige Anzahl Kunden auf deine Maschinen zugreifen lassen kannst. Die werden einem allerdings auch nicht geschenkt. Wie das mit Sharepoint und CALs ohne Authentifzierung aussieht weiss ich nicht. Ja, halt uns auf dem laufenden.

Das hier kann dir auf jeden Fall helfen: Realtime Soft UltraMon ATI und NVIDIA-Karten haben aber ähnliche Utilities in ihren Konfigurations-Applets.

Ja, ist halt die Frage wie "realtime" du die Replikation haben willst. Natürlich kann man das auch mit nem Backup machen. Jo, dann währe der SBS wirklich ein sinnvoller Kandidat. Der SBS Premium hat auch SQL Server Workgroup Edition dabei. Und den Exchange - das ist schon einiges. SQL Server und Exchange liegen zwingend auf derselben Kiste - migrieren kannst du problemlos, es kostet dann halt einfach. Da ging ich jetzt erstmal davon aus das die SPS von extern nicht erreichbar sind. Ich bin halt absolut kein Fan von Websites an irgendwelchen Billigst-Internetanschlüssen zu hosten - macht auf mich einen unprofessionellen Eindruck wenn die Website bei jeder regelmässigen Wartung taucht. Aber da gibt es verschiedene philosophische Ansätze, und will meinen nicht als absolut darstellen. Da kommts darauf an wie du das genau umsetzen willst - ich bin nicht der grosse Sharepoint-Experte. Je nachdem wie sehr du das integrieren willst gibts da viele unterschiedliche Möglichkeiten. Sollen die Kunden sich authentifizieren? Berechtigungsstufen? etc. pp. Lizenzmässig musst du das dann auch bedenken - ist alles nicht so trivial :)

Also die Bilderbuchvariante wäre: 2x DC als Server Core 1x SQL 1x FS 1x Sharepoint inkl. Windows Internal Database Das ist natürlich völlig überdimensioniert für deine Useranzahl - wenn der Kunde das allerdings bezahlen kann/will ists auch wurst - währe sicher die sauberste Variante. Eine "vernünftige" Variante für deine Grösse, wenn der SBS nicht ausreicht, währe wohl zwei Maschinen anzuschaffen: Beide als DC, einer SQL und Sharepoint, der andere Fileserver. Was ich nicht ganz verstanden habe - du willst die Firmenwebsite Inhouse hosten? Das macht IMHO wenig Sinn - gib das besser einem externen Webhoster (eine "gescheite" Anbindung für Webhosting, Redundant etc, kostet Unsummen - macht also nur bei grösseren Firma Sinn). Ohne Domainmitgliedschaft macht Sharepoint wenig Spass.

Wie willst du die Shares replizieren? Die Microsoft-Lösung dafür währe ja DFS-R, und das hättest du beim SBS nicht. Und ich glaube die Workgroup Edition des SBS SQL unterstützt kein Mirroring - da bin ich mir aber nicht sicher. Die offizielle Obergrenze für den SBS sind 75 User. Mit 15-20 Usern bist du (meiner Meinung nach) schon ziemlich an der Grenze wo eine All-In-One Lösung noch Sinn macht, aber es ist durchaus umsetzbar. Einen zweiten DC kannst du beim SBS auch problemlos dazunehmen, dafür bräuchtest du natürlich einfach noch eine weitere Windows Lizenz. Die SBS Variante ist natürlich Lizenzmässig wesentlich günstiger - ist also alles eine Frage des Geldes. Wenn du natürlich die Mittel zur Verfügung hast das ganze "richtig" hochzuziehen, dann ist das natürlich technisch die bessere Lösung. Der Exchange Edge muss auf einer Standalone-Maschine oder in einem nicht-Exchange Forest installiert werden. Du kannst aber alle Edge-Features auch nutzen, du musst einfach die AntiSpam Agents auf einem Hub Transport Server installieren. In einer so kleinen Umgebung würde ich keinen seperaten Edge einsetzen - lohnt sich nicht wirklich. Du kannst dein VPN terminieren wo du willst - entweder auf einem Server oder auf dem Cisco selbst - bei letzterem musst du natürlich abklären ob das Gerät das kann und ob du die passenden Lizenzen hast.

Ich kenne dein spezifisches Problem nicht, aber du kannst den Transfer von FSMO Roles erzwingen - nennt sich "seizen". Using Ntdsutil.exe to transfer or seize FSMO roles to a domain controller ACHTUNG: Wenn du so alle FSMO Roles seizt dann musst du den W2000 Server vom Netz nehmen.

Bei all deinen Angaben hast du das wichtigste vergessen: Wieviele User? Was machen die genau? Welche Apps laufem auf den Servern? Ansonsten: Du kannst alle deine gewünschten Dienste auf eine Maschine tun - nennt sich Small Business Server 2003 Premium, da ist alles dabei - allerdings Exchange 2003 statt Exchange 2007. Das meistens auch finanziell sehr attraktiv. Best Practice ist natürlich anders. Aber erzähl erstmal genau von welchen Projektdimensionen wir hier reden...

Korrekt. Man kann Bitlocker aber auch mit PIN verwenden, womit du dann wieder dasselbe Verhalten hast wie andere Lösungen. Hab ich glaub vor zwei Postings schon erwähnt ;) Aber auch mit deiner Strom-Aus Lösung könnte der Angreifer noch zum Computer hechten, das Memory einfrieren und extrahieren. Oder die Einbrucheinlage austricksen, etc. pp. Ist alles eine Frage gegen was du dich nun tatsächlich schützen willst :)

Vista Business ist sonst auch eine Möglichkeit, wenn du auf das MediaCenter verzichten kannst.

Ähm, ja - das wollte ich eigentlich sagen. Aber wenn der Key nur im TPM ist kann der Angriff auch bei ausgeschalteter Maschine gemacht werden - das ist da wo BitLocker schlechter ist als die Konkurrenz (die diese Möglichkeit im Normalfall garnicht anbieten). Gegen einen Angreifer mit den passenden Ressourcen hilft dir die Verschlüsselung mit TrueCrypt etc. also auch nicht viel mehr. Für deine Ansprüche gibts IMHO derzeit nur eine Lösung: Einen Selbstzerstörungsmechanismus. Mit Sprengstoff und allem. Und auch wenn es irgendwann Verschlüsselungsmöglichkeiten gibt die Tamper-Proof sind, wie willst du dich gegen Folter der entsprechenden MA schützen? etc. Du hast ein Szenario zusammengestellt das sich schlichtweg nicht mit sinnvollen Mitteln lösen lässt.

Wenn du den Client als Domain Member haben willst muss es Ultimate sein.

Ist sie nicht - sie hat diesselben Probleme wie Bitlocker. Momentan muss _jede_ Disk-Encryption Software ihren Key im normalen Memory behalten - Die Attacke gegen Bitlocker funktioniert nur wenn du rein auf das TPM vertraust. Das kannst du aber mit einem PIN kombinieren.