Dunkelmann

Entweder je Standort bzw. Switch eigene Policies definieren oder ein lokations- und abteilungsübergreifendes VLAN Konzept erstellen. Ich bevorzuge Letzteres.

Bei uns stehen 2 physische TMG (keine OEMs) als 2-Node-NLB. Also 2x OS-Lizenz + 2x TMG Enterprise + das Blech. Im Backend stehen 2 Enterprise Manager als VMs. Ob man seine Edge Firewalls virtuell oder physisch betreiben möchte, ist eine Frage der individuellen Paranoia oder konkreter Anforderungen.

Einen Projektplan wird dir kaum einer für lau erstellen. Manche hier verdienen mit sowas tatsächlich ihren Lebensunterhalt. Bei den Solution-Accelerators gibt es jede Menge Präsentationen, Checklisten und Best Practice zu deinen Themen. Microsoft Solution Accelerators Besonders IPD und MOF solltest du dir anschauen. Falls sich dann konkrete Fragen ergeben, wird sich sicherlich jemand finden, der sie beantwortet.

Am einfachsten per Autorollout über GPO. Eigene Policies definieren. Bei Cisco (catalyst) gibt es afaik ein Gast-VLAN. Grundsätzlich wird bei Zuweisung über den NPS nur mit der VLAN-ID gearbeitet. Namen sind Schall und Rauch. Dem NPS gar nicht. Das macht der DHCP. Je VLAN ein DHCP-Server oder -Relay bereitstellen. Lesetip: Download: Demonstrate NAP 802.1X Enforcement in a Test Lab - Microsoft Download Center - Download Details

Nur weil sich verschiedene Rollen auf einem System installieren lassen, müssen sie nicht miteinander harmonieren. Ich würde empfehlen, deine Testumgebung zunächst einmal zu entzerren und nicht zuviele Dienste auf einzelne Server zu packen. Wenn du etwas mehr Erfahrung mit den einzelnen Rollen hast, kannst du später die Komplexität steigern. Für den Einstieg macht es aber die Fehlerdiagnose sehr schwer.

Es ist ein kleiner Anbieter aus der Region, bei dem ich den Smarthost für lau nutze. Werbung möchte ich hier aber nicht machen. Wenn es sich um ein neues Projekt handelt, kann ich Dr.Melzer nur zustimmen. Es gibt einen Unterschied zwischen "...wenn auch so alles funktioniert..." und es funktioniert (ohne Einschränkung). Das macht sich meistens erst im Störungsfall bemerkbar, wenn sich die Fehlersuche und -beseitigung durch eine suboptimale Konfiguration verzögert.

Ich habe keine Probleme mit einer dynamischen (externen) ip. Über einen dyndns Anbieter habe ich eine tld mit den notwendigen A und MX Records. Für den Versand nutze ich den Smarthost eines seriösen Providers. Das Zertifikat muss auf den externen Namen ausgestellt werden ("remote.domain.tld" ist der Standard vom SBS).

Hast du im DPM den Datenträger aktualisiert? Ich glaube der Punkt heist "Datenträger neu einlesen". Das will der DPM so haben.

Willst du damit noch Geld verdienen oder die Sachen nur loswerden?

Ich bin als Student (Verfahrenstechnik) zufällig über einen Nebenjob in der IT gelandet. Das war so etwa 1993. Seit dem habe ich in vielen Teilbereichen der IT und IT nahen Bereichen gearbeitet (Operating, Administration, Qualitätmanagement, IT/Interne Revision, Design und Architektur) Dabei habe ich vom Familienunternehmen mit 25 MA bis zum Konzern mit mehr als 100.000 MA einige Unternehmen kenngelernt. Das hängt von den laufenden Projekten ab. In ruhigen Phasen schaffe ich es manchmal unter 40h/Woche zu bleiben. Es können hin und wieder auch mal 50 oder mehr Stunden bei einer 7 Tage Woche werden. Kaffee gibt's bei uns als Sozialleistung gratis :D

Falls du beruflich mit dem PKW unterwegs sein wirst würde ich immer auf einen Diestwagen bestehen; wenn kein eigener Dienstwagen, dann wenigstens einer aus dem Carpool der Firma. Dienstfahrten mit dem privaten PKW sind ein no go. Ansonsten, viel Erfolg beim Vorstellungsgespräch. :cool:

Unter den Computer GPP gibt es die Möglichkeit Freigaben einzurichten.

Die synchronisierten Daten werden in den letzten Wiederherstellungspunkt integriert. What Is Synchronization?

Mit "dnscmd /clearcache" kann der DNS Server Cache gelöscht werden. "ipconfig /flushdns" löscht nur den DNS Client Cache.

Darum auch mindestens 100T€. Es sollte nur verdeutlichen, dass man darunter gar nicht erst über HA und Private Cloud nachdenken sollte. Und von den Betriebskosten hat auch noch Niemand gesprochen bzw. geschrieben. Was am Ende wirklich herauskommt kann mir meine Kristalkugel nicht verraten. ;)

Du redest anscheinend von dem selbsterstellten RDP Zertifikat des Servers. Dabei handelt es sich um den selbstsignierten öffentlichen Schlüssel den der Server zur Idendifikation gegeüber den Clients oder Benutzern verwendet. Es ist mir kein Weg bekannt, einen öffentlichen Schlüssel durch ein Kennwort zu schützen. Das würde ja auch den Zweck von öffentlichen und privaten Schlüsseln wiedersprechen. Es ergäbe sich ohnehin kein Sicherheitsgewinn für den Server, da die Validierung des Serverzertifikats eine clientseitige Einstellung ist, die jederzeit am Client deaktiviert werden kann. Wollt ihr euren TS vor unbefugten Zugriffen sichern, braucht es schon etwas mehr. Eine vernünftige Firewall, ein RD-Gateway und ggf. eine Zweifaktor-Authentifizierung.

Hierzu solltest du dir die SLA der üblichen Server- und Storagehersteller ansehen. Viele bieten als höchstes SLA "nur" ein 4 oder 6 Stunden Critical. Das gleiche gilt auch für Datenverbindungen, Stromversorgung, Klimatechnik und sonstige Gebäudeinfrastruktur. Du kannst niemals ein besseres SLA bieten, als du selber einkaufst. Willst du mehr, braucht es redundante Hardware, redundante Gebäudetechnik oder gar zwei Standorte mit Site-Failover - dann wird es richtig teuer. Eine solche Lösung ohne Vollzeit-Admin(s) zu betreiben ist ein Wunsch der realitätsferner nicht seien könnte. Wie soll ein 3h SLA gehalten werden, wenn es keine 24/7 Verfügbarkeit von IT Personal (mit dem notwendigen Know How) gibt? Für ein solches Projekt sollte schon ein Budget von mindestens 100T€ (je nach konkreten Anforderungen könnte es auch in Richtung 250T€ oder mehr gehen) eingeplant werden. Bei fehlendem internen Know How sollten etwa 10-15% des Budgets für externe Unterstützung vorgesehen werden. Der Punkt Weiterbildung der internen IT sollte auch mit in ein Projektbudget aufgenommen werden.

Zwei Möglichkeiten fallen mir spontan ein: - VM ausschalten, exportieren und versuchen die exportierte VM zu starten - ein Restore der VM aus einem (hoffentlich vorhandenem) Backup Vorraussetzung ist natürlich, dass der physische Datenträger intakt ist

Im AD hat grundsätzlich jeder Benutzer die Möglichkeit alles zu lesen. Dabei ist es egal ob er das Verwaltungs Snap In, die AD Suchfunktion in Windows oder einen LDAP Browser nutzt. Für delegierte Administration nutzen wir ein einfaches selbstgebasteltes Programm mit folgenden Funktionen: - Benutzer anlegen - Benutzerdaten (Firma, Abteilung, Telefon usw.) anpassen - Benutzer deaktivieren - Kennwort zurücksetzen - Gruppenmitgliedschaft ändern

Eventuell müssen die IE Sicherheitseinstellungen der Internet-Zone noch angepasst werden. Am einfachsten geht das per GPP.

Benutzerdefinierte Anforderungen kannst Du über das MMC SnapIn "Zertifikate" erstellen. (Computerkonto wählen für Webserverzertifikate) Unter "Eigene Zertifikate" -> Rechtsklick -> Alle Aufgaben -> Erweitert -> Benutzerdefinierte Anforderung ...

Das ist nichts Neues. Jetzt heist es anstelle des unpopulären "Outsourcing" nur "Wir gehen in die Cloud". Das soll aber nicht bedeuten, dass die Cloud nur heiße Luft ist. Einige der Technologien lassen sich ohne Weiteres auch in einem Unternehmensnetz implementieren. Themen wie Smartphones, Tablets und auch das vom Admin gefürchtete "bring your own device" werden in den nächsten Jahren zunehmen. Für solche Fälle kann eine Private-Cloud ein sinnvoller Lösungsansatz sein. In wie weit und wann der Gesetzgeber (auch auf internationaler Ebene - s. Patriot Act) in der Lage ist, klare Regelungen für das Auslagern von Unternehmensdaten zu schaffen, wird sich zeigen. Erst wenn eine solche Regelung existiert, kann ich anfangen ernsthaft über das Nutzen von externen Cloud-Services nachzudenken.

iperf

Ein paar Ansätze: Auf den DCs die DNS Clienteinstellungen (Netwerkkarte) prüfen und ggf. Anpassen, so dass als einziges die Loopback Adresse verwendet wird. Nach der Wartung natürlich wieder zurück auf Best-Practice Einstellungen. Auf den DCs den DNS Client- und Servercache leeren. (ipconfig /flushdns bzw. dnscmd /clearcache) Mit Wireshark oder MS Netzwerk Monitor prüfen, ob und wenn ja welche Anfragen noch an die heruntergefahrenen DCs gehen. Sollten es nur Anfragen über die Service Records sein (_ldap, _gc usw.) sollte die Verzögerung hingenommen und die Anwender informiert werden. Das ist allemal besser als in den Service Records herumzubasteln. Bei anderen Anfragen prüfen und ggf. nacharbeiten.

Ohne die genauen Anforderungen zu kennen, wage ich einen Schuss ins Blaue: 1x physischer DC (8GB RAM, 1x Quad Core, 2x 300GB RAID1, 4x xGB RAID5) - DC, DHCP, Print, kleine CA, WSUS oder SCE 1x Hyper-V Host (32GB oder mehr, 2x Quad Core, 2x 300GB RAID1, 4x xGB RAID5) - VMs: -- 2. DC+Fileserver, Exchange, (Terminal Server), (SharePoint Foundation) 1x Backup (z.B. DPM 2010/2012) (8GB RAM, Quad Core, 2x 300GB RAID1, 4x xGB RAID5, Bandlaufwerk) alternativ zu lokalen Datenplatten eventuell ein kleines iSCSI/Multipath fähiges Storage und zwei geeignete Switches Lizenzen: 2x Server 2008R2 Standard (DC und Backup) 1x Server 2008R2 Enterprise für Hyper-V CALS: Im Einzelhandel gibt es i.d.R. mehr Benutzer als Geräte, daher könnten Device CALS die bessere Wahl sein (Server CAL, Exchange CAL) (Server/Client Management Licence bei SCE und DPM)