Dukel

In manchen IT Bereichen geht es um Leib und Leben. Und um die Sicherheitsmaßnahmen geht es hier ja gerade.

Er möchte ja _nicht_ über den Router / Firewall. Er möchte mit der Hosts Datei Split DNS Nachbilden.

Es sind keine zwei Methoden für eine Sache, das sind komplett verschiedene Dinge. Remote Desktop ist, dass vom eigenen Rechner die Tastatur und Maus eingaben auf einen entfernten Rechner übertragen werden und das Bild vom entfernten Rechner zum Eigenen übertragen wird. Alternativen wie VNC wurden schon genannt. Man braucht für RDP eine Netzwerk Verbindung zwischen beiden Rechnern. Ein VPN baut eine virtuelle Netzwerkverbindung zwischen zwei Stellen (Rechner oder ganzen Netzen) auf, das durch eine unvertrauten Umgebung (z.B. dem Internet) geht. Wenn du von zuhause auf deinen Rechner in der Firma zugreifen willst, dann brauchst du beides.

Angenommen du willst für das Weihnachtsgeschäft richtig was machen und brauchst dafür 10 Server mit ordentlich Bumms. Jetzt kannst du diese kaufen für 100k€ und diese stehen nach Weihnachten bei dir rum und du brauchst diese dann eigentlich nicht mehr. Hier würden sich dann Cloud Server lohnen, die du dann über die 1-2 Monate mietest und danach wieder ausschaltest. Bei den Cloud Anbietern gibt es auch unterschiedliche Preis Modelle. PayAsUse, Monatlich,... Je nach Anforderungen.

In eine Datei speichern und mit "Powershell.exe -File" ausführen?

Sind die Standorte im AD gepflegt? Eigendlich sollten die im selben Subnetz vor den Remote DC's abgefragt werden.

Thunderbird hat eine alternative zu Autodiscover. D.h. die Anwender müssen nur Ihre eMail und Username/Passwort eingeben und Thunderbird konfiguriert sich selbst. https://developer.mozilla.org/de/docs/Mozilla/Thunderbird/Autokonfiguration https://developer.mozilla.org/en-US/docs/Mozilla/Thunderbird/Autoconfiguration/FileFormat/HowTo

Wie oft ist denn einer oder mehrere DC's nicht erreichbar? Und wenn oft, wieso?

Welche Applikation "braucht" einen DNS Server? Wieso nimmt diese nicht die OS Namensauflösung?

Verkleinern der DB sollte nie passieren. https://www.brentozar.com/archive/2017/12/whats-bad-shrinking-databases-dbcc-shrinkdatabase/ Alles andere würde ich bei solch kleinen DB nur nach Abstimmung mit dem Hersteller oder bei Problemen regelmäßig durchführen.

Ja. Wann war das Lokale AD einmal nicht verfügbar und hatte man da dann nicht andere Probleme? Aber deswegen macht man sich erst Gedanken, überlegt seine Anforderungen und sucht dann seine Lösung heraus.

Zum Verständnis! Die Passwörter werden nicht gesynct, sondern nur die Hashes (bzw. die Hashes der Hashes). Passwörter will man nicht ausserhalb der eigenen Umgebung haben! Ich hätte mir aber mehr Gedanken gemacht, bevor ich AADC so konfiguriere und mir die Unterschiede angeschaut. Die Pass-Through Auth. ist eine gute alternative und hat den Vorteil, dass die Passwort-Hashes nicht bei MS landen.

Du solltest erstmal überlegen was du willst. Usersync via AADC brauchst du eh. Die Frage ist, ob du die Passwort Hashes (!) in der Cloud haben willst oder nicht. Wenn nicht, ob du ADFS oder Pass-Throught nutzen möchtest. ADFS ist eher etwas für größere Unternehmen.

Kann das RED Device routen?

Wie gehen die Geräte an den kleinen Standorten ins Internet bzw. bauen das VPN? Wie wäre es mit einem Gerät, welches VPN, Internet, Routing und Firewall macht.

Das Get-ADOU und Get-ADUser kann man auch zusammenfassen.

Das ist auch On-Prem genau so, bei Office 365 "merkt" man den Versatz evtl. mehr.

Ach die andere ist ein 2014. Was ist die DPM Instanz für eine Version? Kann man diue Default nicht aktualisieren?

Aha!

Geht es evtl. wenn du die default instanz nimmst?

Entweder zwei seiten erstellen (mit dem entsprechenden DNS Namen als Bindung) und jeweils ein Redirekt erstellen oder mit URL Redirekt (https://www.iis.net/downloads/microsoft/url-rewrite) die Umleitungen schreiben.

1 TB zu wenig Platz?

Ich würde in jedem Netzwerk eine Zentrale Benutzer Verwaltung haben wollen. Daher immer ein AD. TS und AD gehören sicherheitstechnisch nicht zusammen. Durch Virtualisierung ist das auch nicht nötig.

Du willst nicht von abweichungspoortal... nach 10.110.10.240 umleiten sondern von abweichungsportal.xxx.intranet nach http://abweichungsportal.xxx.intranet/xxx/abweichungsdatenbank https://docs.microsoft.com/en-us/iis/configuration/system.webserver/httpredirect/

Sowas muss man als Admin prüfen: https://docs.microsoft.com/en-us/exchange/plan-and-deploy/system-requirements?view=exchserver-2019#supported-net-framework-versions-for-exchange-2019