Dunkelmann

Ich würde nicht gleich mit Kanonen auf Spatzen bzw. auf den Kunden schießen. Bei einem generellen Snapshotverbot, frage ich mich, wie ihr eure Backups anfertigt - etwa offline :cool: Viele Mechanismen nutzen Snapshots, z.Bsp, Backup, Live Cloning, Live Migration, Storagereplikation. Selbst ein manueller Snapshot vor einem Update oder einer Konfigurationsänderung kann seine Daseinsberechtigung haben. Es ist wie bei jeder Technik, wenn man sie richtig zu nutzen weis, kann sie gute Dienste leisten.

Moin, wenn er Snapshots auf LUN Ebene machen möchte, geht das i.d.R. über die Integrationskomponenten des Storage. Der Hersteller sollte die benötigte Auskunft erteilen können. Es sei denn der Snapshot ist nicht applikationskonsistent, dann kann man es aber auch gleich lassen. Bei Hyper-V Checkpoints, wird das RAM Abbild einbezogen. Bei dynamischen Arbeitsspeicher wird der aktuell zugewisene Arbeitsspeicher als Abbild in den Snapshot aufgenommen. https://technet.microsoft.com/en-us/library/dn818483.aspx

Moin, läuft noch eine Anti Malware auf den VMs? Da gibt es Produkte, für die man ohne Weiteres eine extra vCPU je VM einplanen kann bzw. muss.

Das ist völlig normal. Die Sperrliste wird den Teilnehmern über den Webserver bereitgestellt, aber von der CA im Dateisystem veröffentlicht. Die Option 'Sperrliste an diesem Ort veröffentlichen' gibt an, wohin die CA die *.crl Dateien schreibt. Die Option 'In CDP Erweiterung ...' gibt an, wo sich die Teilnehmer die Sperrliste holen können. Die beiden müssen nicht zwangsläufig übereinstimmen. Es ist nicht ungewöhnlich, dass die CA die Sperrliste ins Dateisystem eines Webserver stellt (per CIFS) und die Sperrliste dann vom Teilnehmer über den Webserver (per http) abgerufen wird. http://blogs.technet.com/b/xdot509/archive/2012/11/26/pki-design-considerations-certificate-revocation-and-crl-publishing-strategies.aspx

Sind Delta CRL im Einsatz? Die müssen natürlich auch verfügbar sein. Beim IIS muss dazu double escaping erlaubt werden (wg. 'crlname+.crl')

In einer 24/7 Umgebung ist präzises Timing der Updates unumgänglich. Die Abweichung von CAU-Zeit zur Zeit im Taskplaner und das Ganze dann auch noch in Abhängigkeit davon, ob die CAU Rolle zur Sommer- oder Winterzeit eingerichtet wurde, trägt nich gerade zur Übersichtlichkeit der Umgebung bei.

Moin, Du kannst für die Clusterrolle 'VM' einen Knoten als bevorzugten Inhaber festlegen.

Moin, Drucker Ex- und Import ist ein schönes Werkzeug. Sind die Drucker im AD veröffentlicht und eingebunden, ist es für die Anwender transparent.

Moin, der Client prüft bzw. versucht die im Zertifikat angegebenen CDP abzufragen. Mindestens ein CDP aus dem Zertifikat muss erreichbar sein. Können die CDP per DNS aufgelöst werden? Mit 'certutil -verify [rds-cert-datei]' könntest Du mal eine manuelle Prüfung durchführen. Die Prüfung sollte im Benutzerkontext erfolgen.

Moin, wenn er seinen Neustart macht ist er fertig ... oder abgestürzt wg. Bastelhardware (Tschuldigung, das musste jetzt sein :wacko: ) Nach dem Neustart kannst Du zusätzlich das dcpromo-log prüfen.

Das nennt sich 'dynamic IT' - nach der Migration ist vor der Migration :D btw. die Softwarehersteller werden auch nicht ewig mehrgleisig fahren. Zwei unserer Anbieter haben schon angekündigt, die klassische Clientkomponente durch eine App abzulösen; und das noch vor dem Supportende von Windows 7

Moin, ich würde eher in Richtung NAS und/oder Netzwerk forschen. Ich nehme an, es handelt sich dabei um ein SOHO Dingens. Die Fehlermeldungen aus dem Backuplog können die Suche erleichtern.

Moin, bereits im letzten Jahr habe ich beobachtet, dass die Cluster Aware Updates nach der Umstellung auf Sommer- bzw. Winterzeit mit einer Stunde Versatz ausgeführt werden. Bei mir betraf es alle 2012 und 2012R2 Cluster, die zum Zeitpunkt der Umstellung eine CAU Rolle inne hatten. Hyper-V, SQL, File Cluster Über den CAU Assistenten wurde vor der Umstellung auf Sommerzeit 04:00 geplant; ausgeführt wurde der Job nach der Umstellung jedoch um 05:00. Bei der Umstellung auf Winterzeit war es genau umgekehrt; 04:00 geplant und um 03:00 ausgeführt. Im Technet Forum habe ich bisher keine Lösung gefunden. Nur die Erklärung, dass CAU UTC als Zeitbasis nutzt. https://social.technet.microsoft.com/Forums/de-DE/52eb6423-fc92-4ac6-ba64-16f46b846df2/server-2012-cluster-aware-update-eine-stunde-versptet?forum=clusteringde Hat hier im Forum jemand eine bessere Lösung, als nach jeder Zeitumstellung alle CAU Rollen neu zu konfigurieren?

Moin, was für ein Drucker wird eingesetzt? Bei einigen Modellen kann das Papierformat und der zugehörige Schacht über das Managementinterface eingerichtet werden. Die Informationen werden vom Treiber abgerufen und stehen dann den Anwendern bereit.

Moin, mit dem SCOM und Service Level Überwachung. Als Ergebnis gibt es einen schönen Monatsbericht mit Balken und Torten, den man bei Bedarf auch dem Anbieter präsentieren kann :cool:

Die tollste Sache seit geschnitten Brot. Hast Du auch Fakten oder nur BS Bingo? Off-Topic: Wenn es mit der Technik nicht klappt, kann man immer noch auf Marketing umschulen :D

Moin, die Kennwörter (Computer und User) werden auf den Stand des Backups zurückgesetzt. Eventuell gibt es einige - meist wenige - User, deren Kennwort dann manuell wieder zurückgesetzt werden muss. Bei den Computerkonten das gleiche. Das Backup sollte nur nicht allzu alt sein - besser letzte Nacht als letze Woche oder gar letzter Monat ;) Bei einer kleinen Umgebung mit nur einem DC sehe ich darin kein Problem - beim SBS oder WSE war/ist es auch nicht anders.

Moin, nur mit den Fehlermeldungen lässt sich leider nicht viel anfangen. Meine Migration per Ex- und Import der NPS Konfiguration lief ohne Probleme, so dass es wohl kein generelles Problem ist. Scheinbar nutzt Du eine UTM. Ist eine aktuelle FW installiert? Das NPS Log gibt etwas mehr Informationen als das Eventlog. https://technet.microsoft.com/de-de/library/ee663944%28v=ws.10%29.aspx https://technet.microsoft.com/de-de/library/cc753898%28v=ws.10%29.aspx Der MS Netzwerkmonitor auf dem NPS kann hilfreich sein.

Moin, das Du keine Anleitung gefunden hast ist nicht verwunderlich. Eine Migration ist nicht vorgesehen. Der Einsatz von UPD sollte genau überlegt werden. Den exklusiven Zugriff hat tesso schon erwähnt; hinzukommen noch ein hochverfügbares Fileshare - auf einem SOFS - zur Ablage der UPD und ein geeignetes Backup/Restore Konzept. Mit klassischen Roaming Profiles und Ordnerumleitung dürftes Du vermutlich besser fahren.

Schön, das es (vorläufig) geklappt hat - das bedeutet aber nicht zwangsläufig, dass der gewünschte Sicherheitsstandard auch eingehalten wird. Wenn man Sicherheitsmechnismen aushebelt oder umgeht, klappt es meistens (siehe: 'Der Benutzer muss Admin sein' oder 'Windows Firewall abschalten,dann geht es') ;) Dass es am Client keine verwertbaren Informationen gibt ist vollkommen normal. Jede Information am Endgerät hilft auch einem Angreifer. Der MS Netzwerkmonitor auf dem NPS sollte eigentlich Pflicht sein. Zum Thema 'Namen als Sicherheitsmerkmal': Namen sind Schall und Rauch Na und? Dann gebe ich meinem Gerät den Namen eines gültigen Clinets. .. und frag jetzt bitte nicht,wie man die Namen von WLAN Clients ermittelt ... Bei Deinem Setup werden Gerätename und Identität im Zertifikat nicht gegeneinander geprüft. Das bedeutet, ich benötige nur ein beliebiges Zertifikat mit 'Clientauthentifizierung' und den Namen eines beliebigen Clients und schon bin ich drin. Zweifaktor meint eigentlich ein 'und' und 'kein entweder ... oder ...'

Wikipedia ist Dein Freund.Bei Bedarf kannst Du auch die RFC studieren ;) https://en.wikipedia.org/wiki/Extensible_Authentication_Protocol https://en.wikipedia.org/wiki/Protected_Extensible_Authentication_Protocol Ja, EAP geht auch ohne Zertifikat ... nur nicht bei MS. EAP-MD5 ist seit Server 2008 raus. Es braucht eine zusätzliche Anforderungsrichtlinie. Wenn tatsächlich das gesamte Netz per 802.1x geschützt ist und der einzige Admin mit Know How das Unternehmen verlassen hat, sollest Du als erstes sicherstellen, das eine Doku (Konfiguration und Passwörter für Switches etc.) erstellt wird. Eventuell ist es ratsam, die PW bei der Gelegenheit zu ändern. Ich habe einmal ein total reset mitmachen dürfen, weil weder Netzwerk noch Kennwörter dokumentiert waren ... war ein sehr langes Wochenende. Eine Testumgebung mit äquivalenten Komponenten ist auch keine schlechte Idee. Du kannst ein benutzerdefiniertes EKU Attribut erstellen und am NPS prüfen. Das klingt oberflächlich zwar trivial, kann aber den Aufwand beim Troubleshooting erhöhen. Dafür wird zusätzlich das Attribut 'Allowed-Certificate-OID' geprüft. http://blogs.msdn.com/b/mpoulson/archive/2005/01/19/356229.aspx Nö ... und ist das sinnvoll? Wer prüft bei einem Gerät außerhalb der Domäne die Authentizität, wenn es automatisch Zertifikate anfordert und im schlimmsten Fall auch automatisch bekommt? Der NPS und natürlich auch die PKI, aus der die Zertifikate kommen, sind technisch betrachtet relativ simple Systeme. Sie brauchen nur ein durch die Organisation konkret definiertes Umfeld um zielführend eingesetzt werden zu können.

Wenn Du 'Unsiversal Media Server' googelst kann das passieren :cool: http://www.universalmediaserver.com/

Auch für einen temorären Server sollte an ein Backup gedacht werden ;)

Moin, Du benötigst für den Client ein Zertifikat mit dem EKU (extended key usage / Erweiterte Schlüsselverwendung) 'Clientauthentifizierung'. Der Radius scheint suboptimal konfiguriert. Es sei denn, die ungewöhnliche Form der MultifaktorAuthentifizierung war gewünscht. In der Verbindungsanforderungsrichtlinie wird Windows Authentifizierung genutzt und in der Netzwerkrichtline EAP mit Zertifikat. Daher wird schon die Anforderung vom NPS abgelehnt. Der Pi hat kein Domänenkonto und der Vorgang kommt gar nicht bis zur Netzwerkrichtlinie. Du benötigst also zunächst eine zusätzliche Anforderungsrichtlinie mit der Authentifizierungsmethode EAP mit Zertifikat. Um ein wenig Know How Aufbau wirst Du bei dem Thema NPS mit EAP/PEAP nicht herumkommen: https://technet.microsoft.com/de-de/library/cc772401%28v=ws.10%29.aspx https://msdn.microsoft.com/en-us/library/cc771696.aspx

Bei fixed size vhdx wird auch die 'Luft' mit gesichert. Eventuell lohn es sich, die vhdx in dynamisch umzuwandeln.