Dunkelmann

Moin, ist der kleine Haken für das Erstellen des Reverslokkup (verknüpften PTR erstellen) gesetzt?

Moin, ich würde mal einen Blick auf die Aufgabenplanung werfen.

Moin, sind die Objekte im Bereich der GPO Mitglied der fraglichen Sicherheitsgruppe? Damit Änderungen an den Gruppenmitgliedschaften wirksam werden ist bei Clients/Servern ein Neustart notwendig, bei Benutzern eine Neuanmeldung

Ob ein Terminalserver für einen User 'oversized' ist hängt vom Anwendungsfall ab. Wir haben rund 20 RDS für jeweils nur einen User, war deutlich preiswerter als eine VDI

Es hat seinen Grund, warum es best practices gibt. Aber jeder kann natürlich in seiner Umgebung machen was er möchte. Eine RDS Bereitstellung wird auf dem (künftigen) Broker erzeugt. Bei der Rolleninstallation gibt es den Punkt 'Installation von Remotedesktopdiensten' Gruppen würde ich als erstes im AD suchen. In diesem Fall unter Builtin ;)

Moin, das Verhalten ist nicht normal. Dürfte aber an Deinem Setup liegen. Ein paar Dinge: iSCSI nicht über einen DC bereistellen (Multihomed DC = schlecht) Dedizierte NICs für iSCSI nutzen Bei allen NICs außer dem LAN, die Registrierung der Adresse im DNS deaktivieren Dann such Dir bitte einen Dienstleister. Der kann den produktiven Cluster installieren und Dir gleich die notwendigen Grundlagen vermitteln. Einen Cluster über den Assistenten zusammennageln kann jeder. Der Betrieb kann aber mit einigen Tücken verbunden sein und da braucht es Know How.

Moin, es geht auch ohne eine RDS Bereitstellungskonfiguration. Die Einstellungen müssen dann manuell bzw. per GPO konfiguriert werden. Der Lizenzserver, also der DC in Deinem fall, muss der Gruppe 'Terminalserver-Lizenzserver' zugeordnet werden. Danach einmal neu starten. Besser wäre es, den Lizenzserver auf einem eigenen Server zu betreiben. Für die Sitzungshosts könner der Lizenzirungsmodus und der zu nutzende Lizenzserver per GPO eingerichtet werden. Im Computerzweig unter: Windows-Komponenten/Remotedesktopdienste/Remotedesktopsitzungs-Host/Lizenzierungshow PS: Den RDS Gateway würde ich nicht auf einem DC betreiben. Der RDS Gateway ist, wie der Name sagt, ein Gateway für externe Zugriffe. Und externe Zugriffe haben auf einem DC nichts verloren

Moin, granulare RDS Richtlinien lassen sich am einfachsten mit einem RDS Gateway umsetzen. https://technet.microsoft.com/de-de/library/Dd983941%28v=WS.10%29.aspx Alternativ vielleicht eine USB-Printserver oder ein zusätzlicher RDS Host, der die Umleitung lokaler Drucker erlaubt

Moin, bist Du wirklich sicher, dass kein anderer IPv6 dhcp im Netz ist? Eventuell hat der Provider IPv6 auf dem Router aktiviert. Das solltest Du vorher prüfen.

Moin, beschreibe doch bitte etwas näher, um was für Snapshots es sich genau handelt und welches Betriebssystem auf dem Server eingesetzt wird. Snapshots des Volume, Snapshots einer/mehrerer VM, erstellt über Hyper-V Manager oder Windows Backup usw.

Moin, was ist an Zertifikaten so kompliziert? Außer vielleicht den Algorithmen für Schlüsselbildung und Hashing. https://de.wikipedia.org/wiki/Kategorie:Digitale_Zertifikate

An erster Stelle sollte die Frage stehen: Wird überhaupt ein shared Storage benötigt? Das hängt stark von der Produktpolitik der Hersteller ab. Je nach Saison können Dual Socket Server günstiger sein. Da solltest Du Dich mal nach vernünftigen Controllern umschauen. Wenn n GB/TB beim Rebuild gelesen und auf eine einzige Platte geschrieben werden müssen, sollte der Flaschenhals bei den maximalen IOPS der Ersatzplatte liegen. Was sonst?

Windows Server Backup und Dedup harmonieren. Beim Restore eines Volumes müssen nur zwei Dinge beachtet werden: Der Dedup Rollendienst muss installiert sein und auf dem Zielvolume muss Dedup deaktiviert sein. Durch die Wiederherstellung des Ordners System Volume Information werden die Dedup Metadaten wiederhergestellt und das OS erkennt das Volume danach als Dedup Volume.

https://de.wikipedia.org/wiki/Server_Message_Block Daraus habe ich gefolgert, dass es mindestens zwei Systeme gibt. Einen File Server und einen Hyper-V Host.

Hast Du auf dem System geprüft, dass die Schattenkopie initiiert hat bzw. haben könnte oder direkt auf dem File Server?

Eine Clientseitige Zertifikatsprüfung ist keine Sicherheitsfunktion des Netzwerks, sondern soll verhindern, dass sich ein unbedarfter Anwender mit einem rogue AP o.ä. verbindet. Bei einem Windows Client kann die Zertifikatsprüfung recht einfach umgangen werden. In den Verbindungsanforderungs und Netzwerkrichtlininen werden die Bedingungen für 802.1x definiert. Da lassen sich für fast alle Anwendungsfälle passende Richtlinien basteln.

Moin, mit 'diskshadow' und 'list shadows all' kannst Du Dir die vorhandenen Schattenkopien anzeigen lassen. Es ist durchaus möglich, dass ein fehlgeschlagenes Backup eine aktive Schattenkopie hinterlassen hat und diese immer noch mit Daten gefüllt wird. Eine verwaiste Schattenkopie kann mit 'delete shadows' gelöscht werden.

Moin, Du bringst hier scheinbar etwas durcheinander. MS-CHAPv2 ist Authentifizierung mit Benutzername und Kennwort. Das hat mit Zertifikaten gar nichts zu tun. PEAP ist das Authentifitzierungsprotokoll; dabei wird einTLS/SSL Tunnel zwischen NPS und Supplikant aufgebaut. Dafür wird dem Supplicant das Serverzertifikat präsentiert. Wie der Client mit einem nicht vertrauenswürdigen Zertifikat umgeht kann nur eingeschränkt oder gar nicht beeinflusst werden. Bei der Kombination PEAP mit MS-CHAPv2 werden Benutzername und Kennwort durch den gesicherten Tunnel übertragen. So weit die Grundlagen. Dass bei den Windows Geräten alles per GPO verteilt wurde, bedeutet nicht, das es auch 'wasserdicht' ist. Auch Fehlkonfigurationen können per GPO ausgerollt werden ;) Wenn der Kunde nur authentifizierte Geräte in seinem Netzwerk wünscht, muss eine gerätebasierte Authentifizierung erfolgen. Am NPS können dafür entsprechende Richtlinien erstellt werden.

Ich hab da mal einen Einwand: Wenn die Switches virtual LACP unterstützen, kann man LACP nehmen. Wenn man einen Stack basteln muss, lässt man es lieber. Bei einem Stack besteht immer die Gefahr, dass ein fehlerhafter Switch den ganzen Stack lahmlegt. ;)

RAID 5 oder RAID 6 (oder auch single bzw. double parity wenn es kein klassisches RAID ist) ist immer eine Frage der Ausfallwahrscheinlichkeit und des Schadenspotentials. https://www.heinlein-support.de/vortrag/raid-mathematik-fuer-admins Ein kleines 6-8 Platten RAID 5 Array mit gutem DR Konzept kann auch ausreichend sein.

Moin, dem NPS, Radius etc. ist es egal von welcher CA das Zertifikat kommt; der Supplicant muss der CA vertrauen. Beim NPS kann in den PEAP Eigenschaften der Netzwerkrichtlinie und ggf. der Verbindungsanforderung, das Serverzertifikat festgelegt werden. Btw: CAs werden nicht 'weggeworfen', sondern sauber stillgelegt: https://support.microsoft.com/en-us/kb/889250

Das Zertifizierungsstellenzertifikat ist abgelaufen und muss erneuert werden. Bei einem SBS ist das recht simpel: Unter Systemsteuerung/Verwaltung die Zertifizierungsstelle öffnen Rechtsklick auf den Namen der CA (schmitz2010-FSW8K-CA) -> Alle Aufgaben -> Zertifizierungsstellenzertifikat erneuern... Die Zertifizierungsstelle starten bzw. neu starten

In seinen Datenschutzbestimmungen unter 'Telemetrie- & Fehlerberichtswesen' schreibt MS dazu: http://www.microsoft.com/de-de/privacystatement/default.aspx Besonders der vorletzte Satz ... Wo ist für den Nutzer eindeutig ersichtlich, was genau für den Betrieb entscheidend sein soll und welche Daten in diesem Zusammenhang gesammelt, übermittelt, gespeichert und verarbeitet werden?

Moin, schau Dir mal das MDT an. http://www.microsoft.com/en-us/download/details.aspx?id=40796 Mit WSUS inkl. WPP und ein paar kleinen Skripten ergibt das ein schönes und kostenloses Paket.

Moin, sind das 10k oder 15k SAS? Grundsätzlich würde ich Host OS und VMs auf separaten Raid Arrays laufen lassen.