Daniel -MSFT-

Hi Tschingiskan, sehe ich das richtig, dass Du einen DC auf dem physikalischen Host betreibst, gleichzeitig RAS-Einwahlpunkt für VPN und Hyper-V-Host? Ich empfehle Dir, die Komponenten zu entzerren. Lass den Hyper-V-Host Hyper-V-Host sein. Den DC virtualisierst Du darauf in einer Instanz. RAS-Server in einer zweiten. Damit hast Du keinen multi-homed DC und der Stress sollte sich legen. Have fun! Daniel

Lies Dich mal in 'legacyexchangeDN' ein: http://community.office365.com/de-de/forums/116/t/210660.aspx

Die lokalen Konten zählen imho nicht. Im AD zählen die AD-Konten. Wie viele habt ihr denn davon? Was spricht dagegen, die lokalen zu entfernen? Have Fun! Daniel

VDA ist in SA enthalten. SA bietet darüberhinaus noch weitere Vorteile: http://www.microsoft.com/de-de/licensing/lizenzprogramme/software-assurance/default.aspx

Er kann für Deinen PC, von dem Du auf die VM zugreifst, eine VDA-Lizenz kaufen. Oder Du stellst Deinen Rechner dorthin.

Das einfachste wäre, wenn Du über den Server des Kunden administrierst. Ist das nicht gewünscht, wäre das zweiteinfachste, dass der Kunde noch eine Window Server VM dazuinstalliert. Dann kannst Du zu administrativen Zwecken darauf zugreifen. Der Kunde braucht dann nur eine Windows User CAL für Dich bereithalten. Wenn es ein Windows Client-Betriebssystem sein muss, dann muss Dein Kunde für Deinen PC, von dem Du aus auf die VM zugreifen willst, eine VDA-Lizenz erwerben. Du kannst die lizenz nicht bereitstellen, denn Windows Client hat keine Lizenzmobilität und Dir gehört die Hardware des Virtualisierungshosts nicht. Alternativ kannst Du auch einen kleinen Rechner beim Kunden hinstellen, den Du dann über Remote Desktop fernsteuerst.

Das Windows-Clientbetriebssystem wird pro Gerät lizenziert. Wenn Du einen PC mit SA ausstattest, darfst Du: von diesem PC zugreifen auf remote bis zu vier virtualisierte Windows-Installationen (VDI) oder remote eine physische Windows-Installation (Remote Boot). als Hauptbenutzer des PCs zusätzlich zu #1, #3 und #4 von außerhalb des Firmengeländes auf die remote virtualisierte Windows-Installation (Roaming Use Rights). bis zu vier lokal virtualisierte Windows-Installationen (z.B. mit Client-Hyper-V). alternativ zu #1 lokal bis zu zwei physische Windows-Installationen (Dual Boot). Für Office gibt es keine Lizenzmobilität. Es wird ebenso pro Client lizenziert wird wie das Betriebssystem und nicht pro VM. Du suchst hier nach Remote Use Rights und eventuell auch nach Roaming Use Rights, Entscheidend ist, über welchen Vertriebsweg Office erworben wurde. Hier empfiehlt sich der Bezug über einen Volumenlizenzvertrag. Volumenlizenzen für Office-Anwendungen müssen nicht wie Einzelplatzlizenzen dieser Produkte lokal auf einem Gerät installiert werden, sondern können auch in virtuellen Umgebungen über eine VDI bereitgestellt werden (Remote Use Rights). Soll zusätzlich von jedem beliebigen Gerät von außerhalb des Unternehmens zugegriffen werden (Roaming Use Rights), muss die Office mit Software Assurance lizenziert werden. Nur durch Software Assurance erhält der Hauptnutzer des für die Office-Anwendung lizenzierten Geräts ein Roaming Use-Recht, welches die Nutzung einer virtuellen Kopie von Office von jedem privaten und öffentlichen Gerät aus außerhalb des Unternehmens ermöglicht. Um auf dem Linux-basierenden Thin Client einen vollständigen Windows-Desktop zu nutzen, der auf remote virtualisiert bereitgestellt wird, brauchst Du das Nutzungsrecht "Virtual Desktop Access". Wenn der Linux-Client kein Windows Pro ausführen kann, dann kannst Du ihn auch nicht über Software Assurance dieses Nutzungsrecht zuweisen. Dann bleibt nur der Erwerb der VDA-Lizenz. Alternativ kannst Du ja anstelle eines Linux Thin Clients auch einen Windows Thin PC nutzen. Der hat auch keine großen Hardwareanforderungen. Der Remote-Zugriff auf die zwei kleinen Rechner ist aber auch nur für den einzelnen, lizenzierten Nutzer dieser Rechner inbegriffen. Soll der Zugriff von einem anderen Gerät (z.B. den Thin Clients) aus mithilfe von Remotedesktop oder ähnlichen Technologien auch von anderen Nutzern jeweils einzeln erfolgen, muss für das Remotegerät eine separate Lizenz einer Edition von Windows 8 oder Windows RT bestehen. Ich habe mal die Licensing Briefs zu Windows 8 (VDI) und Office noch mit rangehängt. Have fun! Daniel Licensing_Windows_Desktop_OS_for_Virtual_Machines.pdf Licensing_Microsoft_Office_Software.pdf

Ich habe bei Kunden hiermit oft gute Erfahrungen gemacht: http://blogs.technet.com/b/dmelanchthon/archive/2011/11/22/position-von-menue-und-symbolleistenbefehlen-in-office-2010.aspx

Klingt für mich danach, dass Du per Hardware Dongle den Autodetect-PIN angehen solltest: http://www.hdmi.org/installers/insidehdmicable.aspx und http://www.overclock.net/t/47962/a-way-to-disable-edid

Ich weiß nicht, welche Kosten ihr genau einspart durch die Virtualisierung der beiden Arbeitsplätze. Daher hängt die Frage nach der Wirtschaftlichkeit davon ab, warum ihr dieses Szenario so aufbauen wollt. Die einfachste Möglichkeit wäre Software Assurance für zwei einfache Windows 8.1 Pro-Rechner oder zwei Windows Intune Abos mit Software Assurance (weniger Kosten vorab) für beide. Voraussetzung ist aber, dass die Rechner keine Thinclients sind, die nicht Windows Pro ausführen können. Alternativ kannst Du auch zwei Rechner hinstellen und über RDP aus der Ferne bedienen lassen. Das ist lizenzrechtlich erlaubt für einen User zur Zeit von allen Geräten, auf denen mind. die gleiche Windows-Version läuft. Für Non-Windows-Clients braucht es zwingend VDA. Nein, das geht nicht. Es wird ja nicht die VM lizenziert, sondern die Hardware, auf der der Windows Client genutzt wird. Es gibt da keine concurrent use Lizenzierung. Lies einfach mal das Dokument, das ich angehängt hatte. Nein. Auf längere Sicht ist Software Assurance billiger. VDA ist dann sinnvoll, wenn der Thin Client nicht mit Windows Pro lizenziert werden kann und deswegen die Software Assurance-Lösung nicht möglich ist. Nein, Du brauchst eine Windows-Lizenz mit Virtualisierungsrechten. Lies am Besten mal das von mir oben angehängte Dokument. Ja, das macht einen Unterschied. Einen Fat Client kann man mit Software Assurance oder Windows Intune mit SA ausstatten. Bei einem TC mit Linux geht nur VDA. Have fun! Daniel

Schau mal hier rein http://social.technet.microsoft.com/Forums/windowsserver/en-US/6f12e69f-30e4-448a-bdc7-b2d96882d822/certificate-services-to-implement-digital-signatures?forum=winserversecurity. Hast Du an die GPO gedacht? Bitte beachte auch die Hinweise von Paul Adare über die Sicherheit Deines Netzwerks, wenn Du im breiten Stil Code Signing-Zertifikate ausrollst. Ich würde ja den Prozess dahinter überprüfen, ob wirklich jeder so ein mächtiges Zertifikat braucht oder ob Du nicht das Signieren zentralisieren willst. Dabei kann der Code gleich einem (Security) Review unterzogen werden. Have fun! Daniel P.S.: Laufzeit 15 Jahre? Wirklich?

Du lizenzierst den Host und nicht das FTP- oder SMTP-Programm. Daher spielt es keine Rolle, von dem das Programm stammt. Deswegen unter anderem empfiehlt sich bei bei Exchange eine pro-Benutzer-Lizenzierung. Have fun! Daniel

Hi numx, an was für einem USB-Port hängt die Platte? Welcher Treiber wird hier benutzt? Gibt's da vielleicht was aktuelleres? Hast Du mal versucht, die USB-Platte als Storage-Device direkt an eine VM zu hängen und darin zu kopieren? Siehe: http://blogs.technet.com/b/hollis/archive/2012/02/21/accessing-usb-drives-in-a-hyper-v-vm.aspx Have fun! Daniel

Hi dajaga, wie würdest Du es denn auf Linux machen? Fetchmail? Gibt's auch für Windows unter unixmail-w32.sourceforge.net. Perl? Du kannst ein entsprechendes Perlscript mit ActivePerl auch unter Windows adaptieren. Hier z.B. Saving Only POP3 Email Attachments. Have fun! Daniel

Mobile Printing käme mir da als erstes in den Sinn.

Bedenke noch, auf wie vielen Virtualisierungs-Hosts die 3 VMs laufen. Wenn Du mehr als einen Host einsetzt, brauchst Du entsprechend viele Serverizenzen pro Host sowie Lizenzmobilität für den SQL-Server. Daneben dann natürlich auch die WIndows- und RDS-CALs für 2012 nicht vergessen. Wie schaut es aus mit Office auf dem TS?

Tja, leider. Aber bis 2020 gibts noch Support und TMG gibt's noch als Appliance (sogar als VHD).

Exportier doch einfach die Dateien aus Deinem Postfach in eine neue PST-Datei und importiere diese auf dem Server in sein Postfach.

Für eine Virtualisierung des Desktops brauchst Du Virtualisierungsrechte. Die bekommst Du entweder durch den Software-Wartungsvertrag (Windows Enterprise Upgrade mit Software Assurance), durch Virtual Desktop Access (VDA-Lizenzen) oder durch Windows Intune mit Windows Software Assurance für zugreifende Endgeräte. Je nach Thinclient geht auch nur VDA (wenn er z.B. kein Windows Enterprise ausführen kann). Have fun! Daniel Licensing Windows 7 for Use with Virtual Machines.pdf

Man kann z.B. mit TMG eine Multi-Faktor-Authentifizierung einbinden: http://www.isaserver.org/articles-tutorials/configuration-security/configure-windows-azure-multi-factor-authentication-forefront-threat-management-gateway-tmg-2010.html UAG hatte als Feature auch die Möglichkeit, den Zugriff auf Resourcen nur von bestimmten Geräten zu erlauben, die die Firmenpolicy eingehalten haben: http://www.isaserver.org/articles-tutorials/general/Microsoft-Forefront-UAG-Explaining-configuring-Forefront-UAG-endpoint-policies.html In die Richtung würde ich dann mal denken für OWA.

Was genau willst Du denn eigentlich erreichen? Beschreib mal nicht den Vorgang Deiner Lösung, sondern Dein Problem bitte etwas näher.

Der Lesezähler aktualisiert sich erst später. Liegt wohl an der Blog-Engine. Was Dein Problem angeht: Hast Du danach schonmal im Internet gesucht? Siehe: http://letmebingthatforyou.com/?q=0x80780102%20site%3Asupport.microsoft.com Dein Problem sind vermutlich falsche Berechtigungen im %windir%\winsxs\filemaps\ oder %windir%\winsxs\temp\PendingRenames. Darf man fragen, was Du dort verändert hast auf einem neu installierten System? Lösung: Takeown /f %windir%\winsxs\temp\PendingRenames /a icacls %windir%\winsxs\temp\PendingRenames /grant "NT AUTHORITY\SYSTEM:(RX)" icacls %windir%\winsxs\temp\PendingRenames /grant "NT Service\trustedinstaller:(F)" icacls %windir%\winsxs\temp\PendingRenames /grant BUILTIN\Users:(RX) Takeown /f %windir%\winsxs\filemaps\* /a icacls %windir%\winsxs\filemaps\*.* /grant "NT AUTHORITY\SYSTEM:(RX)" icacls %windir%\winsxs\filemaps\*.* /grant "NT Service\trustedinstaller:(F)" icacls %windir%\winsxs\filemaps\*.* /grant BUILTIN\Users:(RX) net stop cryptsvc net start cryptsvc vssadmin list writers Quelle: System State backup using Windows Server Backup fails with error: System writer is not found in the backup Have fun! Daniel

Noch eine Anmerkung zu Warenwirtschaft: Nutzt diese einen SQL-Server für die DAten im Backend? Wenn ja, habt ihr dessen Lizenzierung auch schon geprüft? Have fun! Daniel

Na entweder musst Du die neue AD-Zone auf dem 2000er als sekundäre Zone laden oder auf den beiden alten DCs im DNS-Server (nicht an der Netzwerkkarte) den 2012er als Forwarder eintragen. Zur Zeit bekommen die als Antwort den Default-A-Record von dem für den öffentlichen Domänen-Auftritt verantwortlichen, externen DNS-Server. Auch ein Grund, warum ich gegen solche Catch all-Einträge bin. Da kriegt man im Fehlerfall noch nicht mal eine gescheite Fehlermeldung zurück. Anschließen kann ich mich nur an die anderen. Schau Dir bitte das ADMT mit dem ADMT-Handbuch: Migrieren und Neustrukturieren von Active Directory-Domänen an und spiel nicht nur 'Abrißbirne' auf 'Grüne Wiese' Du potenzierst nur den Aufwand und die Ausfallzeiten. Für derartige Migrationen gibt es Best Practices, die mit minimalem Aufwand zum Erfolg führen. Eine Downloadversion dieses Handbuchs im DOC-Format findest Du unter ADMT-Handbuch: Migrieren und Neustrukturieren von Active Directory-Domänen. Have fun! Daniel P.S.: Eine Vertrauensstellung hast Du sicher auch noch nicht zwischen den Domänen, richtig? Wie greifen denn die Mitarbeiter auf die Ressourcen zu während der Migration?

Skizzier doch mal den Netzaufbau inkl. der IP-Adressierung. Wer wählt sich womit wo ein? Welche IP-Adresse bekommt der Client bei der Einwahl (Routing oder ProxyARP)? Welche Dienste sind an welchem Netzwerkinterface gebunden?