Dunkelmann

Viele Dual WAN Router im unteren und mittleren Preissegment nutzen Active/Passive Failover für die WAN Verbindung. D.h. fällt die Primärverbindung aus, wird auf die Backupverbindung gewechselt. Ich würde bei der Auswahl der Verbindungen auf jeden Fall unabhängige Technologien nutzen - Z.B. DSL für die Primärverbindung und Kabel oder UMTS als Backup. Eventuell auch daraf achten, dass die Versorgung aus unterschiedlichen Hauseinspeisungen kommt. Wie die VPN Verbindungen konfiguriert werden müssen bzw. sollten hängt von Euren konkreten Anforderungen und der Verfügbarkeit der Kommunikationsverbindungen an den Standorten ab.

Das Kunden AD per Port Forwarding im iNet veröffentlichen? Das war hoffentlich nur eine rethorische Frage. Es gibt genügend Open Source Firewalls mit IPSec Funktion. (z.B. IPFire, IPCop, DDWRT)

Moin, Firefox bezieht seine Konfiguration aus Dateien. Alle Einstellungen, die Du vorgeben möchtest, musst Du in diesen Dateien vornehmen. Eine fertige Master-Konfig könntest Du z.Bsp. per GPP verteilen. Falls Du vorgegebene und benutzerdefinierte Eigenschaften mischen möchtest, müsstest Du Dir vermutlich ein Skript basteln, das bestimmte Parameter innerhalb der Konfig-Dateien bei jedem Logon des Anwenders auf die zentrale Vorgabe zurücksetzt. Das Ganze natürlich für alle Firefox Profile, die sich Anwender möglicherweise selbst erstellen. https://support.mozilla.org/de/questions/965842 http://kb.mozillazine.org/About:config_entries http://essayweb.net/miscellany/firefox_cache.shtml

Moin, ich kann mich den vorigen Schreibern nur anschliessen - lieber richtig konfigurieren als abschalten. In den Eigenschften der Windows Firewall kannst Du die Protokollierung für alle drei Netzwerkprofile (Domäne, Privat, Öffentlich) aktivieren. Ich würde im ersten Schritt nur geblockte Pakete protokollieren. Diese Einstellung lässt sich auch per GPO verteilen. Bei aktiver Protollierung einfach mal ein wenig mit dem Programm arbeiten und das Firewall Log auf geblockte Pakete prüfen. Parallel zum Client ggf. auch mal einen Blick auf den Applikationsserver werfen und schauen, wie der kommuniziert. Off-Topic: Dass die Zeiten vorbei sind, wo die Anwender lokale Admins waren und die Firewall deaktiviert wurde, ist leider noch nicht bei jedem Softwarehersteller angekommen.Wir haben auch schon mit dem MS Netzwerkmonitor am Client gesessen, weil der Support nicht einmal den Unterschied zwischen TCP und UDP kannte :cry: Wenn Du wirklich die FW abschalten möchtest, wäre es vermutlich am einfachten einen neuen OU Zweig für die fraglichen Clients aufzubauen und die GPO, die die Firewall steuert,nicht mit mit dem Zweig zu verknüpfen.

Im Prinzip sollte es so klappen. Manche Firewalls benötigen jedoch noch eine 'Sonderbehandlung' um als DHCP Relay arbeiten zu können. Z.B: Port 67 UPD an localhost Neben Wireshark zur Analyse, könntest Du auch mal versuchen das Firewall Log prüfen ;) einen Client per Kabel in das Netzsegment hängen einen separaten DHCP Server oder Relay im WLAN Netz bereit stellen

Du könntest es mal mit dem Verbindungsprofil für Satellitenverbindung probieren. In den Optionen/Leistung des RDP Clients die Option "Satellit mit häufiger Latenz" wählen ... wer auch immer diese komische Übersetzung zu verantworten hat :shock:

Bei uns werden gar keine Drucker mehr per GPO/GPP verteilt. In der Vergangenheit haben wir Scripte bzw. GPP für die Zuweisung per Client verwendet. Da unsere Anwender allerdings immer mehr Extrawürste haben wollten, sind wir dazu übergegangen, keine Drucker mehr zuzuweisen. Der Aufwand bei der Pflege und die Unübersichtlichkeit der GPP war nicht mehr vertretbar. Derzeit wird per Standort-GPO nur der Scope für die Druckersuche im AD vorgeschlagen (Ort, Niederlassung, ggf. Etage). Den Rest können bzw. müssen die Anwender selber erledigen (Drucker hinzufügen, Standarddrucker setzen, Papierschacht wählen, Farbe oder S/W Druck usw.)

Durch einen Zufall bin ich gerade über eine neue vielversprechende Rolle im Windows Server 2012 R2 gestolpert: Web Application Proxy http://technet.microsoft.com/en-us/library/dn280944.aspx Somit gibt es nun wenigstens wieder einen Reverse Proxy für OWA, SharePoint usw. von MS ... und das ohne zusätzliche Lizenzkosten, wenn man seine DMZ auf Hyper-V DataCenter betreibt :)

Das VLSC nutzt Windows Live als Authentifizierungsbackend: https://account.live.com/

Du könntest einen Trigger auf die Logs setzen. Z.Bsp. bei Eventlevel Warning oder Critical -> Task x starten. Der Task könnte darin bestehen, einen Eintrag im System oder Anwendungsprotokoll zu erstellen. Mit Get-EventLog und Write-EventLog sollte sich was basteln lassen.

Thema und Inhalt waren interessant :jau: - die Präsentation selbst war aber etwas trocken und zäh :p

Moin, über ADFS kannst Du ein Single Sign On mit Azure realisieren. http://msdn.microsoft.com/en-us/library/windowsazure/jj136813.aspx http://technet.microsoft.com/en-us/library/dn296436.aspx http://blogs.msdn.com/b/windowsazure/archive/2012/11/28/windows-azure-now-supports-federation-with-windows-server-active-directory.aspx

Ein Vendor Lock In mag kurzfristig mehr Geld aus den Kunden herauspressen können. Ob es sich mittel- und langfristig durchsetzen kann, wage ich anzuzweifeln. Irgendwann ist der Punkt erreicht, an dem die Kunden anfangen mit den Füßen abzustimmen. Off-Topic:Meine private Migration von MS Desktop und Server auf Open Source ist fast abgeschlossen. Lediglich Visio, das ich schon seit der Vor-MS-Zeit nutze, vermisse ich ein wenig :(

Moin, der Weg zum MCSE führt über den MCSA. Nach den ersten drei erfolgreichen Prüfungen bekommst Du den MCSA, nach weiteren zwei den MCSE. Ich gehe mal vom MCSE Server Infrastructure aus. https://www.microsoft.com/learning/en-us/mcse-server-infrastructure-certification.aspx Wegwerfen musst Du die Bücher nicht. Viele der 2008R2 Themen sind auch für 2012 noch relevant. Außerdem gibt es noch genügend Unternehmen bei den 2008R2 im Einsatz ist. Der Zeitbedarf hängt von Deinem Wissensstand ab. Bei einer guten Ausgangsbasis können 20-40 Stunden Vorbereitung je Prüfung ausreichen. Fängst Du nahe Null an, benötigt Du möglicherweise 80 oder mehr Stunden.

Auch wenn noch keine Treiber geladen sind, werden Speicher, Interrupt etc. bereits den Geräten zugewiesen. Ein abgespeckter Satz an Treibern wird auch für den Abgesicherten Modus benötigt. Wenn Du die Kiste ohnehin schon offen hast, würde ich bei der Gelegenheit gleich ein Image der Platte(n) anfertigen - nur für den Fall, der nicht eintreten soll Hast Du die Möglichkeit im BIOS alle nicht essentiellen Geräte zu deaktivieren? Eventuell vorhandene PCI Karten auch mal ausbauen - Sound, Seriell, LPT, OnBoard Grafik in einen statischen Modus, Netzwerkkarte Vielleicht auch mal ACPI im BIOS deaktivieren

Ich kann die Ablehnung gegenüber Open Source nur schwer nachvollziehen. Für den SMB Bereich gibt es durchaus interessante Open Source Lösungen. Natürlich bedeutet Open Source nicht zwangsläufig kostenlos. Eventuell sind Produkte mit Service und Supportvertrag geeignet bei dem ein oder anderen Kunden die Lücke zu schließen. Ein weiterer Weg könnte es sein, in Kooperation mit einigen 'Leidensgenossen' eine Sevice Gesellschaft zu gründen und selbst Cloud Services auf Basis von Microsoft Produkten anzubieten.

Moin, Punkt 1 ist so weit plausibel. Das Teaming über das OS wird von Microsoft empfohlen. Wie sich MS allerdings in einem konkreten Supportfall verhalten wird kann nur MS beantworten ;) Das Teaming mit SRIOV NICs ist ein möglicher Anwendungsfall, wenn es um Fehlertolleranz und/oder Performance geht. Für Fehlertolleranz könnte das Team in der VM auch an zwei unabhängigen 'gewöhnlichen' virtuellen Switches hängen. Wenn ich bspw. kein Teaming im Host OS nutzen kann oder darf (weil mein Netzwerk-Admin sich querstellt :p ), kann ich über mehrere virtuelle Switches und Teaming in der VM dennoch Fehlertolleranz erhalten.

Moin, ich kann nicht für große Hoster sprechen - nur für eine umfangreichere mittelständische IT. Über den VMM natürlich ;) Der interne oder externe Kunde bekommt einen definierten Satz an VM-Netzwerken aus denen er sich bedienen kann. Hinter den VM Netzwerken verbirgt sich die Infrastruktur (Standorte, VLANs, Subnetze, QoS usw.). Im Prinzip wird dem Kunden eine abstrahierte Umgebung aus vordefinierten Objekten und Ressourcenpools präsentiert. Aus dieser Sammlung von Pools und Objekten kann er sich seine VMs zusammenbauen. Im konkreten Fall bedeutet das: Hat er keine Berechtigung für ein VLAN, kommt er nicht rein. Es sollte jedoch am VM Team kein native VLAN konfiguriert sein. Das könnte u.U. ein Sicherheitsproblem werden. Nativ gibt es seit Server 2012, die Möglichkeit ip rewrite oder GRE anstelle von VLANs zu nutzen. Zusätzlich kann der Hyper-V Switch um drittanbieter Module erweitert werden (z.b. Cisco Nexus) Für andere Angriffsvektoren werden die Hoster - hoffentlich - auch geeignete Schutzmechanismen haben.

Moin, grundsätzlich geht das Ganze auch ohne VMM. Ich würde allerdings den Einsatz von VMM erwägen. Insbesondere wenn die Admins der Tochter ihre Systeme autonom bereitstellen und verwalten sollen. Die VLANs werden nicht am Team oder am virtuellen Switch, sondern in den Eigenschaften der virtuellen Netzwerkkarten eingerichtet.

Moin, ich würde mir auf jeden Fall mal das MDT anschauen. http://technet.microsoft.com/en-us/windows/dn475741.aspx Für ein sauberes Rollout sollte das Image auf jeden Fall mit sysprep vorbereitet werden. Bei den installierten Anwendungen musst Du prüfen, in wie weit diese sich mit sysprep vertragen. Ich persönlich bevorzuge ein thin image für das Deployment und installiere die Applikationen per MDT Task. Im Zuge einer Refresh-Installation - was scheinbar Dein Anliegen ist - könntest Du beim MDT einen Task definieren, der die Daten vor der Installation ins Netzwerk kopiert und nach erfolgreicher Installation wieder zurück auf den Client.

Moin, wenn keine Einstellungen für die Seite definiert sind, gib es auch keine Web.config. Statt dessen wird die ApplicationHost.config mit den default Werten genutzt. Hier geht's weiter: http://support.microsoft.com/kb/942076

Moin, anstatt weiter zu frickeln und noch mehr zu zerstören, mein Tip: Kreditkarte oder Support Contract bereithalten und einen Case bei Microsoft eröffnen. Und fürs nächste Mal - die Restore Hinweise und Best Practice vorher lesen: http://technet.microsoft.com/en-us/library/cc535164.aspx http://www.faq-o-matic.net/2006/08/04/warum-images-nicht-als-datensicherung-taugen/

Im Home User Bereich, wo es i.d.R. kein ganzheitliches Sicherheitskonzept gibt, kann ich die 'Schlangenöl' Argumentation durchaus nachvollziehen. Da wird dem unbedarften Anwender eine runum glücklich Lösung suggeriert, die jeden Laien vor den Gefahren des bösen Internets schützt. Im Unternehmenseinsatz sollte Anti Malware als eine Komponente eines mehrschichtigen Sicherheitskonzeptes aus Technik, Organisation und Information verstanden werden.

Moin, zunächst einmal solltest Du vorweg die Frage nach der Notwendigkeit des Umbaus beantworten. Gibt es außer dem 'Das ist eleganter, schöner etc.' einen organisatorischen oder sicherheitsrelevanten Mehrwert der den steigenden Verwaltungsaufwand rechtfertigt? Einen echten Mehrwert würdest Du nur erhalten, wenn die Root CA als offline CA betrieben wird. Mir ist kein Weg bekannt, eine AD integrierte Root CA verlustfrei zu einer offline Root CA zu migrieren. Zum Thema: Du musst im Prinzip nur eine Issuing CA in Betrieb nehmen. Die benötigten Zertifikatsvorlagen auf der Issuing CA aktivieren und auf der Root CA deaktivieren. Dann gehen die Zertifikatsanforderungen automatisch an die Issuing CA. Selbst erstellte Skripte etc. müssen ggf. angepasst werden. Es kann durchaus einige Stunden dauern bis die Änderungen an der PKI bei allen Teilnehmern ankommt. Die von der Root CA ausgestellten Zertifikate bleiben weiterhin gültig, es werden nur keine neuen mehr ausgestellt. Buchtip: Brian Komar - PKI and Certificate Security

RDS (Remote Desktop Session) nannte sich früher mal Terminal Server ... mittlerweile ist es zur Sitzungsvirtualisierung (Session Based Virtualization) mutiert :rolleyes: Hier wird ein Server-OS und die installierten Applikationen mehreren Nutzern gleichzeitig bereitgestellt (Kompatibilitätsprobleme inklusive). RemoteFX mit GPU funktioniert afaik nur wenn der RDS Host direkt auf dem Blech läuft. Bei VDI bekommt jeder Benutzer sein eigenes virtuelles Desktop-OS (mit Unterstützung für RemoteFX via Hardware GPU) VDI gibt es in zwei Varianten: Pooled Desktops: Ein Einheitsdesktop wird bei Bedarf aus einer Vorlage erstellt (Mit Sysprep vorbereitetes Template und differenzierende Disk je Desktop) Am Ende der Sitzung wird die differenzierende Disk wieder gelöscht - Alle Änderungen werden dabei verworfen. Die Benutzerdaten können per Ordnerumleitung etc. oder User Profile Disk persistent gehalten werden. Private Desktops: Es wird eine VM mit eigener VHD erstellt (keine differenzierende). Der virtuelle Desktop wird einem User direkt zugewiesen. Der User wird zum lokalen Admin. Änderungen sind persistent. Einen Host mit GPU für die VDI hast Du ja schon. Als Verwaltungs-/Infrastruktur Host reicht ein Server ohne GPU.