Dunkelmann

Moin, als Krücke könntest Du die MMC als RemoteApp veröffentlichen. Hier wird am Beipsiel der Eingabeaufforderung gezeigt, wie's geht: http://technet.microsoft.com/de-de/library/ee441255%28v=ws.10%29.aspx

Moin, OTRS ist für die Anforderungen bestens geeignet.

Die readme findest Du entweder nach der Installation im gleiche Pfad wie die MPs oder Du muss ein wenig im Technet und/oder Download Center suchen. Für den Anfang würde ich keine MPs aus dem Online Katalog importieren. Lieber Stück für Stück herunterladen, ReadMe lesen, vom Datenträger importieren, MP bei Bedarf konfiguren usw.

Moin, Du hast das Glück, dass Du anscheinend eine Möglichkeit zum Upgrade hast. Eine Investition von 30-40 T€ sind über einen Zeitraum von 3-4 Jahren auch nicht die Welt. Betrachte auf der Gegenseite einmal, was Du an Investitionen und anderen Neichteilen beim Weiterbetrieb haben wirst. Firewall, Virtualisierungshost, ggf. noch ein paar Consultingtage für die Implementierung, komplexere Verwaltung, unkonfortables Arbeiten, mehrere Lösungen für Datensicherung Daneben gibt es noch die Risiken wie zum Beispiel Virenbefall oder Hardwaredefekte. Was kostet es, wenn der Betrieb aufgrund so eines Vorfalls mehrere Tage steht? Für diese Punkte kannst Du ohne Weiteres nochmal einen 5 stelligen Betrag gegenrechnen. Dann bist Du vielleicht bei 20-25 T€ Umstellungskosten.

Moin, hast Du Dir schon einmal die verfügbaren Management Packs im online Katalog angeschaut? http://systemcenter.pinpoint.microsoft.com/en-US/home Gerade für SCOM Einsteiger gilt für jedes einzelne Management Patck: RTFM ;) Händisches Erstellen von Monitoren ist für die Überwachung von gängigen MS Diensten normalerweise nicht notwendig. Das einzige sind ggf. umgebungsspezifische Anpassungen. Komplett selbst definierte Monitore benötigt man i.d.R. nur für die Überwachung von Fachanwendungen oder Hardware, bei denen der Hersteller keine SCOM MPs liefert.

Moin, es handelt sich um eine Computerrichtlinie. Daher muss diese GPO mit einer OU verknüpft werden, in der die Notebooks enthalten sind.

Moin, sofern Du eine Volumenlizenz erwirbst, gibt es ein Downgraderecht: Es wird nach Anzahl physischer CPU und nicht nach Anzahl der Kerne lizensiert.

Moin, die BPA Ergebnisse der einzelnen Rollen beziehen sich i.d.R. auf "echte" Windows Domänen und sind in einem Ein-Server-Netzwerk mit Windows Server 2012 Essentials nicht zu 100% umsetzbar. In Deinem Fall - nur ein Server - kannst Du die BPA Warnung bzgl. DNS ignorieren. Hier muss die Loopback Adresse an erster Stelle stehen und der zweite DNS Server kann leer bleiben - es gibt ja keinen zweiten ;)

Die Password Policy greift afaik trotzdem. Ja. Gibt es seit Server 2008 und nennt sich PSO http://technet.microsoft.com/de-de/library/cc754461%28v=ws.10%29.aspx

Wie wird eine Datensicherung der Wechseldatenträger realisiert? Was passiert bei Defekt oder Verlust des Datenträgers? Office Passwords sind ganz nett um unabsichtliche Änderungen zu verhindern - mehr nicht! Kein Budget, kein KnowHow und Datenzugriffe durch den Admin effektiv verhindern schließen sich aus. So einfach ist das.

Sehr merkwürdig .... Ich würde spontan auf ein Treiber oder Firmware Problem tippen. Mit 'Get-NetAdapter' und 'Get-NetAdapterHardwareInfo' könntest Du einmal prüfen, ob die doppelt angezeigten Geräte wirklich doppelt vorhanden sind. (MAC Adresse, PCI Bus) Eventuell hilft es die Karten einmal über den Gerätemanager zu deinstallieren und eine neue Hardwareerkennung anzustoßen.

Moin, für ein neues VM Netz braucht es i.d.R. nur ein neues VLAN. In den Eigenschaften des VM-NICs wird dann einfach das entsprechende VLAN eingetragen ... fertig. Der Switchport für die VMs muss dazu allerdings als Trunk konfiguriert sein. Am einfachsten geht's über die MAC Adresse oder die Nummer des Adapters. Gleiche NICs haben im Namen der Hardwareressource ein Anhängsel mit der Nummer (zb. "Intel Pro 1000", "Intel Pro 1000 #2", "Intel Pro 1000 #3" etc.)

Je nach Anforderung und Budget der Organisation könnte ein HSM oder zumindest ein Split-Key Verfahren auf Smartcard Basis etabliert werden um den Recovery Key zu schützen. Verschlüsseln ist einfach - revisionssicheres Wiederherstellen im Notfall kann schon schwierig werden ;)

Ergänzend zu MrCocktail ... für die tägliche Administration sollten möglichst nicht die Buildin Konten verwendet werden. Die bekommen ein generiertes Kennwort, das in einer PW Datenbank und/oder im Tresor liegt. Bei vielen Komponenten (Router, Switches, Storages etv.) kann ein RADIUS (NPS) ansteller einer lokalen Benutzerdatenbank verwendet werden. Über entsprechnde AD Gruppen (z.B. "Switch-Admins" oder "SAN-Admins") und Richtlinien kann ich ein Authentifizierung und Autorisierung gegen mein AD ermöglichen. Die AD Benutzer unterliegen dann den Richtlinien meiner Domäne und ich muss nicht zyklisch alle Komponenten anfassen um Kennwörter zu ändern.

Der SCOM inventarisiert den Host und die gefundenen VMs werden in der Konsole gelistet - das ist das Standardverhalten. Ohne installierten Agent kann die VM selbst nicht inventarisiert und überwacht werden, daher sind die Indikatoren leer. Je nach gewünschter Detailtiefe der Überwachung, muss in der VM ein Agent installiert werden. Ist in der VM kein Agent installiert, können nur die vom Hypervisor oder VMM bereitgestellten Daten ausgewertet werden. Unter Windows Server 2012 (Hypervisor und Gast) kann das VM Monitoring aktiviert werden. Das liefert nocht etwas mehr Informationen aus der VM. http://blogs.msdn.com/b/clustering/archive/2012/04/18/10295158.aspx

Verschlüsselung ist die gängigste Lösung für dieses Problem. Sophos SafeGuard oder Symantec PGP sind vielleicht einen Blick wert.

Moin, ich würde die 'well known SIDs' zur Abfrage nutzen. http://msdn.microsoft.com/en-us/library/cc980032.aspx

Die lästigen Kleinigkeiten gibt es leider noch ... insbesondere bei der Arbeit mit der GUI. Die GUI ist bei Server 2012 und im SystemCenter - bis auf wenige Ausnahmen - nur noch eine Abstraktion der PowerShell. Hat man erstmal die Anfangshürde genommen und sich auf die Konfiguration per PS eingestellt, macht es richtig Spass. Eine handvoll Skripte, Parameter anpassen und 90% der Arbeit sind erledigt.

Das erscheint bei fast jedem System, dass man nur oberflächlich betrachtet so Manuelle Windows Installationen sind immer eine Krätze. Dafür gibt es aber das MDT oder SystemCenter. Eine MDT Tasksequenz ist in 10 Minuten erstellt. Dazu noch ein paar PowerShell Scripts für die Feinkonfiguration und das Cluster Setup. ... mit dem Bare Metal Deployment vom VMM muss ich mich bei Gelegnheit auch mal auseinander setzen... Man sollte immer verstehen, was man gerade tut ;) Alle SystemCenter Produkte kommen als Baukasten daher. Die Ersteinrichtung ist teilweise recht aufwändig - das stimmt. Dafür bekomme ich aber ein Produkt, das ich perfekt auf meine Umgebung skalieren und an die individuellen Workflows anpassen kann. Die müssen uns eine entsprechende Alternative bieten oder fallen aus dem Auswahlprozess. Hier kommt der VMM und VM bzw. Service Vorlagen ins Spiel. Eine VM erstelle ich nur im "Notfall" manuell - da muss ich halt auf die bekannten Tücken achten. Mit Hyper-V und SystemCenter gibt es ein schönes Paket. Eventuell ist die Core Infrastructure License preislich attraktiver, wenn SystemCenter zu Einsatz kommen soll. Das Ganze läuft bei uns seit dem RTM vom 2008R2 produktiv. Hier sehe keine Probleme. Zusammen mit vernünftiger Hardware und brauchbaren Integrationskomponenten - die mittlerweile von allen großen Herstellern zu haben sind - macht es richtig Spass. Meine letzte Umgebung - 1 DC, 1 VMM, 4 Hosts, 2 Storages, Switches, Firewalls usw. - war an 2 Tagen ausgepackt, aufgebaut, installiert und konfiguriert inklusive Fabric- und SAN-Management über SCVMM und Service Level Monitoring über SCOM.

Hast Du im AD Standorte und Dienste auch die Site Links angelegt? http://technet.microsoft.com/en-us/library/cc755994%28v=ws.10%29.aspx

Funktioniert es von einem ordinären DSL/SDSL Anschluss aus? Bekommt dein Mobiltelefon eine "echte" öffentliche IP oder eine private? Mache Provider blockieren je nach Tarif VPN Verbindungen über UMTS oder machen ein NAT aus einem privaten Adressraum ins Internet.

Du kannst den Windows Clients (und Servern) per GPO eine Standarddomäne für die Anmeldug zuweisen. Ist diese im Format "domain.tld" angegeben, wird bei der Anmeldung der upn mit dem per GPO gesetzten Suffix genutzt. Die Anwender können sich dann mit "vorname.nachname" ohne zusätzliche Eingabe des Suffix anmelden.

Machmal hilft es, in den Eigenschaften der Freigabe das Zwischenspeichern der Dateien auf dem Client zu deaktivieren. Tritt das Phänomen auch auf wenn die Anwendung direkt auf dem Server aus einem lokalen Pfad gestartet wird und die 'abnormen' Aufmaße dort eingegeben werden?

Moin, für VPN setzen wir Cisco ASA, 880'er und 890'er ISR ein. Die Policies lassen sich am einfachsten über einen RADIUS bzw. NPS steuern. Logon hours, session duration, idle timeout etc. lassen sich darüber wunderbar zentral verwalten und an AD Gruppenmitgliedschaften binden. Den MAC Filter .... wer's mag und sich dabei sicher fühlt ... sowas kann auch fast jede RADIUS Implementierung

Für so ein Szenario sind die Strato Kisten nicht zu gebrauchen! Natürlich lässt sich über RRAS, Interne vSwitches usw. etwas zusammen nageln. Das bewegt sich aber jenseits einer unterstützten Konfiguration und was die Strato Nutzungsbedingungen dazu sagen, musst Du selber nachlesen.