Dunkelmann

"Out of the box" ist mir beim SBS keine Lösung bekannt. Du könntest höchstens die Informationen aus den einzelnen Protokollen (IIS, NPS, Sicherheit) zusammentragen (lassen). Wenn es nur um Fernzugriffe geht, könnte auch eine geeignete Firewall für die gewünschte Protokollierung sorgen.

Ein beliebtes Kommunikationsmittel für den Daten- und Mailaustausch mit Behörden ist EGVP Elektronisches Gerichts- und Verwaltungspostfach - EGVP Wenn Dein Kunde viel mit Behörden zu tun hat, würde ich ihm diese Lösung nahelegen. Er muss sich dann nur mit der Gegenstelle auf die Nutzung von EGVP einigen.

Aus rein technischer Perspektive gar nichts. Aber nicht alles, was technisch möglich ist, muss für den genannten Anwendungsfall auch sinnvoll sein. ;)

Das ist gut. Wie hast Du es geschafft? Hoffentlich über die Option in der SBS Konsole! Gibt es beim SBS nicht "out of the box", lässt sich aber mit etwas Feingefühl auch einrichten. Liegt möglicherweise an der Konfiguration der Ordnerumleitung (s.o.). Geht beim SBS problemlos über die SBS Konsole. Warum? Warum? Welchen Nutzen versprichst Du Dir davon? Bei servergespeicherten Benutzerprofilen gewinnt immer die letzte Änderung. Was allerdings nur ins Gewicht fällt, wenn der Benutzer an mehreren Workstations gleichzeitig angemeldet ist. Der Server überschreibt idR keine Änderungen, die während der Offline-Arbeit gemacht wurden. Falls doch, gibt es Probleme mit der Konfiguration der Offlinedateien und den servergespeicherten Profilen.

Wie wärs mit dem WalkIN von NewHorizon?

Für den ISA oder TMG gibt es Erweiterungen für Traffic Quotas. Für Deinen Anwendungsfall würde ich aber eher eine richtige DLP (Data Loss Prevention) Lösung vorschlagen.

Das Ganze sieht mir mehr nach einem oberflächlichem Systemaudit als nach Datenschutz im Sinne des BDSG aus. Zu 1: Das eine Fritz-Kiste nicht für Unternehmensszenarien taugt ist kein Geheimnis. Zur Empfehlung eines Produktes braucht es jedoch konkrete Anforderungen. Website-Veröffentlichung? Inhaltsfilter? VPN? Malwarescan? usw. Zu 2: BitLocker und TrueCrypt wurden schon genannt. Einige Hersteller von AV Lösungen bieten auch Suiten mit Verschlüsselung für Notebooks und/oder Wechseldatenträger. Zu 3: Die Enterpriselösungen die ich kenne nehmen sich nicht viel. Eventuell den Punkt 2 bei der Auswahl beachten. Zu 4: Einfache Prüfungen lassen sich mit dem MBSA erledigen. Für weitergehende Audits kann man spezielle Linux Distributionen nutzen.

Je nach Unternehmensgröße können sich System Center Service Manager (ITSM) und ggf. Configuration Manager (Rollout, Asset Management und DCM) für Deinen Anwendungsfall lohnen.

Grundsätzlich ist es möglich USB Geräte vom Thin Client (Windows oder Linux) an einen Terminal Server umzuleiten. Ob es in jedem Fall ohne Probleme funktioniert lässt sich idR nur durch eine Teststellung herausfinden. Viele TC Hersteller bieten einem die Möglichkeit, für ein bis zwei Monate ihre Geräte, Managementsoftware etc. zu testen.

Das ist mit einem zweiten DPM kein Problem. Der erste DPM macht ganz normal seine Backups der Systeme. Der zweite DPM macht ein Backup des ersten DPM. Dabei lässt sich neben der BMR und Datenbanksicherung des ersten - die sowieso Pflicht sein sollte - auch eine Sicherung der durch den ersten DPM geschützten Daten erstellen. Dabei greift der zweite DPM nicht direkt auf die zu sichernden Server, sondern auf die Wiederherstellungspunkte des ersten DPM zu und erstellt von diesen ein Replikat.

Ich habe diese Beiden: MS Press: 70-652 Windows Server Virtualisierung Sybex: Mastering Hyper-V Deployment (Aiden Finn)

Für bebilderte Anleitungen unter Windows 7 ist die Problemaufzeichnung (PSR.exe) sehr gut geeignet.

Schau Dir mal die Benutzer-GPP an. Mit AD-Sicherheitsgruppen und Zielgruppenadressierung in der GPP lässt sich Vieles steuern.

Bei der Plattenkonfiguration der VM sollten auch Backup&Recovery Szenarien berüchsichtigt werden. Eine Betriebssystem VHD verändert sich meistens nur am Patchday und diese muss ich idR nicht so häufig sichern wie eine VHD mit Nutzdaten, die sich im Sekundentakt ändern können. Zur USV: Ein Produktivsystem sollte im Idealfall über zwei Netzteile an zwei Stromkreisen mit jeweils eigener USV laufen. Ob es ausreicht, die VMs nur zu speichern oder komplett herunterzufahren hängt von den VMs ab. Einen virtuellen DC würde ich immer herunterfahren, da bei einem ungeplanten Ausfall Niemand vorhersagen kann wielange er dauert und welche Nebenwirkungen bei einem "aufwachen" nach mehreren Stunden oder Tagen auftreten können.

In meiner Bastelecke habe ich für solche Fälle ein simples SMTP Relay.

Der "richtige" Aufbau eines AD ist ein sehr weites Thema. Für den Anfang würde ich den IPD zum ADDS empfehlen: Infrastructure Planning and Design Mit selbstgebauten Schemaerweiterungen würde ich zurückhaltend sein. Eventuell werden damit Migrationspfade im AD verbaut. AD LDS könnte eine bessere Wahl sein.

Wie sehen die ACL für das SYSVOL bzw. das Policy Verzeichnis aus? Da solltest Du die -möglicherweise- fehlerhaften Sicherheitsfilter finden. C:\Windows\sysvol\...\{31B2F340-016D-11D2-945F-00C04FB984F9}

Möglicherweise hat die Cisco Kiste Probleme mit extended DNS (Paket > 512Byte). Zum Deaktivieren von EDNS am Server: dnscmd /Config /EnableEDnsProbes 0 Die DNS Weiterleitungen an google (8.8.8.8 / 8.8.4.4) würde ich direkt auf dem SBS setzen und den Umweg über die Fritzbox und den Cisco sparen. Falls die Fritzbox DNS benötigt, sollte sie den SBS fragen.

Für kleine Tests der Netzwerkperformance verwende ich gerne "iperf" IPERF - The Easy Tutorial

Bei Server 2008(R2) müssen idR keine Treiber auf dem Host installiert werden. Zum Drucken am Client wird die XPS Engine genutzt. Vielleicht hilft dieser Artikel weiter: Drucken über Terminaldienste

Um welches Konferenzsystem handelt es sich dabei? Falls es den H323 Standard nutzt, kannst Du das vorkonfigurierte Protokoll und den Anwendungsfilter vom ISA Nutzen. About application filters Zu Port 80: Viele Anwendungen haben Problme mit dem Webfilter. Dafür würde ich ein eigenes Protokoll z.B. "http [ohne Filter]" erstellen und individuelle Firewallregeln für die Kommunikation mit den externen Servern/Domänen, die davon betroffen sind, einrichten. Zu Port 443: Gibt es schon einen Listener auf dem Port? OWA oder ein anderer https Webserver? Dann müssen evntuell die url der veröffentlichten Sites angepasst werden bzw. für das Konferenzsystem muss eine andere url oder ein anderer Host verwendet werden. Manchmal macht auch der WinRM Dienst Probleme und erstellt einen Listener auf Port 443. Dann sind alle über 443 veröffentlichten Sites nicht verfügbar, da der ISA/TMG keinen Listener erstellen kann. Da mir das auf die Nerven ging, habe ich per GPO auf allen ISA/TMG den WinRM Dienst deaktiviert.

Dir fehlt die 100MB "System Reserved" Partition. Hier ein Auszug aus meiner XML: <DiskConfiguration> <Disk wcm:action="add"> <CreatePartitions> <CreatePartition wcm:action="add"> <Order>1</Order> <Size>100</Size> <Type>Primary</Type> </CreatePartition> <CreatePartition wcm:action="add"> <Order>2</Order> <Extend>true</Extend> <Type>Primary</Type> </CreatePartition> </CreatePartitions> <ModifyPartitions> <ModifyPartition wcm:action="add"> <Active>true</Active> <Format>NTFS</Format> <Label>System Reserved</Label> <Order>1</Order> <PartitionID>1</PartitionID> </ModifyPartition> <ModifyPartition wcm:action="add"> <Format>NTFS</Format> <Label>Windows7</Label> <Letter>C</Letter> <Order>2</Order> <PartitionID>2</PartitionID> </ModifyPartition> </ModifyPartitions> <DiskID>0</DiskID> <WillWipeDisk>true</WillWipeDisk> </Disk> <WillShowUI>OnError</WillShowUI> </DiskConfiguration>

Einen IPSec Tunnel zum ISA (und auch TMG) habe ich schon mit einer Cisco ASA oder einer IP-Fire aufbauen können.

Kennst Du diese Artikel? How to decommission a Windows enterprise certification authority and how to remove all related objects from Windows Server 2003 and from Windows Server 2000 How to remove manually Enterprise Windows Certificate Authority from Windows 2000/2003 Domain

Das wird so nicht unterstützt! Der einzig unterstützte Weg zur Anpassung vom Default User führt über Sysprep. How to customize the default local user profile when you prepare an image of Windows Vista, Windows Server 2008, Windows 7, and Windows Server 2008 R2