Daniel -MSFT-

Aktualisier mal die Treiber auf Deinem System. Vor allem für die Netzwerkkarte. Der Comuterhersteller stellt da in der Regel hundealte Treiber zur Verfügung. Schau mal beim Originalhersteller (Intel, Realtek, etc.).

\\glados\home

Läuft denn auf dem Server eine Anwendung, die LARGEADDRESSAWARE kompiliert ist? Out-of-the-nix können 32-bit Anwendungen maximal 2 GB Speicher nutzen, mit 4GT-Tuning max. 3 GB: http://msdn.microsoft.com/en-us/library/windows/desktop/aa366796.aspx Nur wenn sie AWE können (z.B. SQL-Server), hat eine Anwendung was von >3 GB: http://msdn.microsoft.com/en-us/library/windows/desktop/aa366527.aspx Oder Du hast einen Haufen Anwendungen laufen, für die der Host dann besser cachen kann. Also beschreib mal den Workload genauer. BTW: Der Umstieg auf 64-bit beschert Dir bei 32-bit-Programmen, dass jedes 4 GB Speicher nutzen kann.

RDS-CALs musst Du separat dazu erwerben. Hab ich doch oben schon geschrieben. Das ist ohne Domäne nicht so ganz trivial. Hier eine recht gute Screenshot-Anleitung: http://ryanmangansitblog.com/2013/10/30/deploying-a-rdsh-server-in-a-workgroup-rds-2012-r2/

Wie lautet denn der UNC-Pfad grnsu? Wenn da ein Punkt drin ist, (wie bei Fritz.nas z.B.) wird das als Internet betrachtet. Du musst den Pfad (nicht die IP) zu den Intranet-Seitdn hinzufügen. Intranet automatisch ermitteln kannst Du ruhig anpassen.

Schau Dir mal SharePoint an. Damit kannst Du das machen.

Warum Server 2008 oder 2012? Du könntest auch 2 x Windows Server 2012 R2 Standard als OEM-Lizenz nehmen (voraus gesetzt die Server haben max. 2 CPUs) und dann über Open die Software Assurance dazukaufen. Daneben dann noch 14 x Windows User-CALs und 14 x RDS-CALs (die vermisse ich bisher) jeweils mit Software Assurance. Was machst Du mit dem Client OS? Wie beziehst Du das und wie rollst Du das aus (Image)? Was machst Du mit Office? E-Mail? ...

Warum dann überhaupt lokale Admin-Konten? Ich würde allen lokalen Adminkonten die Remoteanmeldung über das Netz verbieten und sie deaktivieren. Dazu Bitlocker an mit TPM & PIN und Du hast ein recht hohes Sicherheitsniveau erreicht. Falls der Client dann mal offline gewartet werden muss, kann mit DaRT oder ähnlichen Tools der Account aktiviert werden. BTW: Seit Vista ist das deswegen auch die Standardeinstellung. Deaktiviertes Administratorkonto mit leerem Kennwort (Accounts ohne Kennwort hinterlassen keinen Hash und können generell seit XP nicht über das Netzwerk genutzt werden). Ist ja nicht so, als wenn wir hier nichts tun würden

Zu der Schleife: Du kannst das Shutdown-Kommando mit führendem start-Befehl absetzen: start /b cmd /c shutdown ... &exit /b http://www.computerhope.com/starthlp.htm Das sollte dann asynchron arbeiten.

Oder bestellst die Umschläge gleich mit der Bedruckung.

Hast Du es denn jetzt mit dem Aufgabenplaner probiert? Damit kannst Du Programme mit Admin-Rechten starten, die auf dem Desktop zu sehen sind. Du kannst aber auch die Festplatte schon beim Aufsetzen des PCs oder nachträglich automatisiert per Script mit einer Standard-PIN verschlüsseln und dann den User auffordern, die PIN zu ändern: http://fbinotto.blogspot.de/2012/06/powershell-set-bitlocker-pin-only-if.html und http://itminutes.net/?p=978. Seit Windows 8 kann nämlich auch ein Standarduser die PIN ändern: Alternativ schau Dir mal MBAM an (Microsoft BitLocker Administration & Monitoring). Have fun! Daniel

Geh mal etwas systematischer vor: Kann denn der User, manuell am Fileserver angemeldet, manuell über den UNC-Pfad auf den anderen Server zugreifen? Kann denn der User, manuell am Fileserver angemeldet, manuell die BAT-Datei erfolgreich ausführen? Kann denn der User, manuell am Fileserver angemeldet, manuell die BAT-Datei an ihrem Originalort erfolgreich ausführen? Kannst Du das mal näher erläutern? Du kannst auf das verbundene Laufwerk zugreifen aber nicht auf den UNC-Pfad? Gibst Du den Pfad vollständig ein oder klickst Du Dich über den Server durch? In Summe bräuchten wir eine detailliertere Beschreibung, was Du genau tust und was nicht funktioniert. So ist das zu wage und unspezifisch.

Richte einen Benutzer in der Domäne ein und gib diesem (oder besser natürlich einer Gruppe - AGDLP beachten!) die Zugriffsberechtigungen auf die Freigabe und auf das Dateisystem. Ein lokaler Benutzer von Server A kann sich nicht auf Server B anmelden, wenn es ihn dort (und auch in der Domäne) nicht gibt.

Schau mal hier rein: Was Virenscanner nicht scannen sollten. Der ist zwar schon etwas älter, bringt Dich aber auf die richtige Spur. Für Exchange 2013 gibt es einen eigenen TechNet-Artikel Antivirensoftware im Betriebssystem auf Exchange-Servern mit Empfehlungen für die Verwendung von Scans auf Dateiebene mit Exchange 2013. Beachte aber auch alle weiteren Dienste wie Windows Update, Domain Controller, Datenbank-Server, etc. Das sind jetzt aber echte Basics für Administratoren. Die solltest Du drauf haben. Was Dein Backup angeht: Hat es noch nie funktioniert oder nur nach einer Weile nicht mehr? Es kann ja auch sein, dass Du tatsächlich eine korrumpierte Datenbank/Log hast (wie die Fehlermeldung auch sagt). Dann wäre ein Restore der letzten guten Sicherung der Datenbank sowie ein nachträgliches Einspielen der bisher 5.500 Logdarteien angesagt, damit kein Mailverlust auftritt. Das geht aber über die Möglichkeiten, die ein Forum bieten kann, deutlich hinaus. Ich empfehle Dir, entweder jemanden hinzuzuziehen, der sich damit auskennt oder einen Support-Call bei Microsoft zu eröffnen. Have fun! Daniel

Die beiden MX-Server werden im Round-Robin-Verfahren von extern angesprochen. Es würde also vom Zufall abhängen, welcher Server für welche einzuliefernde Mail genutzt wird. Das willst Du sicher nicht. Die einzige Möglichkeit, die ich hier sehe, ist hier für Office 365 beschrieben: Einfache Domänenfreigabe für SMTP-E-Mail-Adressen. Das müßtest Du für den SBS und Strato entsprechend adaptieren. Der MX-Record für Deine externe E-Mail-Domäne zeigt nur auf Strato allein. Im SBS richtest Du eine Subdomain Deiner echten Domäne sbs.domain.tld als interne Relaydomain ein und vergibst den fünf Postfächern jeweils eine zusätzliche E-Mailadresse aus der Domäne (im verlinkten Beispiel sind das die *@margiestravel.onmicrosoft.com) zum internen Routing. Als Standardadresse behalten die fünf User jeweils ihre Adressen aus Deiner externen E-Mail-Domäne. Bei Strato richtest Du die Subdomain ein und setzt den MX-record für die Subdomain auf den externen Namen des SBS. Bei Strato richtest Du die fünf SBS-User mit ihren externen E-Mailadressen als Weiterleitung an die interne Routingadresse aus der Subdomain ein. Have fun! Daniel

Wie willst Du denn runas realisieren, ohne das Admin-Passwort zu speichern? Ich würde dafür eine geplante Aufgabe nehmen. Aber warum machst Du das nicht im Script gleich automatisiert? Siehe http://blogs.technet.com/b/deploymentguys/archive/2013/01/17/windows-8-bitlocker-deployment-and-powershell.aspx Denkst Du auch an die Recovery-Keys? Backup im AD? Have fun! Daniel

Hi Hansi, schau Dir doch mal die RemoteApps an. Einfach die beiden Anwendungen als RemoteApps publizieren und die Anwender können nur genau diese beiden starten. Übersicht über RemoteApp Schrittweise Anleitung zu RemoteApp für Terminaldienste Have fun! Daniel

Ja klar. Die Schritte kannst Du hier nachlesen: http://blogs.technet.com/b/exchange/archive/2014/02/25/exchange-server-2013-service-pack-1-available.aspx Das E0000000004.log ist aber da, richtig? Das hat nicht ein Virenscanner zum Beispiel "gefressen"? Die Ausnahmen sind da richtig konfiguriert?

Hmm, bei Heise ist das weiterhin drin; http://www.heise.de/download/wsus-offline-update-ct.html und http://www.heise.de/ct/projekte/Offline-Update-284105.html. Das Projekt liefert auch keine Microsoft-Updates aus, sondern mit dem Skript werden die Windows Update-Schnittstellen benutzt, um den Patchbedarf zu ermitteln und ein Patchpaket zu erstellen. Die Patches kommen direkt von den Microsoft-Servern und werden auch auf Authentizität geprüft. Das ist um Längen seriöser als die diversen Update-Packs, die im Netz von Dritten angeboten werden.

Windows Update liefert Updates für Windows. Du müßtest zumindest Microsoft Update manuell aktivieren, um überhaupt Updates für weitere Produkte zu bekommen: Ob da auch Cumulative Updates oder Service Packs für Exchange ausgeliefert werden, weiß ich nicht. Du hättest aber vor einer Woche problemlos Microsoft Exchange Server 2013 Service Pack 1 (SP1) schon als Installationsquelle nutzen können. Ist der Server ein 2012er oder 2012 R2? Dann wäre das SP1 eh Pflicht.

Warum solltest Du keine Virtual Desktop Access-Rechte brauchen? Wenn VDI-in-a-Box Windows 7 Desktops zur Verfügung stellt, muss auch die VDA-Lizenzierung erfüllt werden. Diese ist unabhängig von der verwendeten Virtualsiierungslösung. Solange Du virtuelle Windows Desktops zur Verfügung stellst, brauchst Du VDA-Lizenzierung.

Schau mal hier rein: Windows Server 2012 - Backup failing with Exchange - The application will not be available for recovery from this backup. the consistency check failed. Du hast ein Problem mit dem Exchange-Server. Auf welchem Patchlevel ist denn der Windows Server und der Exchange Server? Siehe Event 2112 or 2180 is logged when you try to back up a database in an Exchange Server 2013 environment.

Virtualisierung würde eh nicht gehen. Der Foundaton unterstützt weder Hyper-V als Serverrolle, noch darf er als Betriebssystem in einer VM genutzt werden: http://technet.microsoft.com/de-de/library/jj679892.aspx Wie habt ihr das gelöst? Office 365 Midsize Business erworben über Open erlaubt nur den Einsatz von Office Professional Plus 2013 auf dem Terminal Server. Du hast keine Downgrade-Rechte, Have fun! Daniel

OK. Du möchtest eine Zertifikatsinfrastruktur aufbauen und fängst bei null an. Lies Dich doch als erstes mal in Bereitstellen und Unterstützen einer PKI bei Microsoft ein. Sehr empfehlenswert ist das Buch eines ehemaligen Microsoft-Kollegen Brian Komar: 'Windows Server® 2008 PKI and Certificate Security'. Eine PKI ist nichts, was man mal so eben zwischen Tür und Angel mit ein paar Mausklicks konfiguriert. Mit dem Einrichten der CA hast vermutlich schon angefangen, automatisch Computerzertifikate auszurollen. Bist Du Dir über die Konsequenzen im Klaren? Benutzerzertifikate haben bei uns zum Beispiel nur eine Lebensdauer von einem halben bis einem Jahr. Niemals 15 Jahre. Schau Dir mal seinen Vortrag How to Not Screw Up Your PKI Environment an, um einen Eindruck zu bekommen, was man alles bei einer PKI falsch machen kann. Ich würde Dir eher empfehlen, das Problem über vertrauenswürdige Speicherorte zu lösen. Mit diesem Feature kannst Du Quellen für vertrauenswürdige Dateien auf den Festplatten der Benutzercomputer oder auf einer Netzwerkfreigabe bestimmen. Wenn ein Ordner als Quelle einer vertrauenswürdigen Datei festgelegt ist, wird jede Datei, die in dem Ordner gespeichert wird, als vertrauenswürdige Datei angesehen. Wird eine vertrauenswürdige Datei geöffnet, wird der gesamte Inhalt der Datei aktiviert, und die Benutzer werden nicht über potenzielle Risiken, die sich in der Datei verbergen, in Kenntnis gesetzt. Dazu können beispielsweise nicht signierte Add-Ins und VBA-Makros (Microsoft Visual Basic für Applikationen), Links zu Inhalten im Internet oder Datenbankverbindungen zählen. Damit brauchst Du die Macros nicht signieren, sondern kannst den Zugriff auf den vertrauenswürdigen Speicherort anhand der Dateiberechtigungen einschränken. Have fun! Daniel

Ich persönlich finde es viel sinnvoller, wenn ich ein Bild anklicke, gleich die Bildbearbeitungstools zu haben. Oder bei einer Tabelle die Tabellentools. Das setzt voraus, das man sich an kontextsensitive Schaltflächen gewöhnt. Wie beim rechten Mausklick. Wenn es für ihn einfacher mit der alten Oberfläche ist, kann er sich ja mal http://www.ubit.ch/software/ubitmenu-office2007/ ansehen. Soll auch mit 2013 funktionieren - habe ich aber nie getestet.