Dunkelmann

Falls Du es noch nicht getan hast, würde ich zunächst mal einen Blick auf den System Center Operations Manager werfen.

Den Unterschied macht eine Einstellung in der angewendeten Gruppenrichtline. Unter "Windows Einstellungen - Sicherheitseinstellungen - Lokale Richtline - Sicherheitsoptionen" kann das Verhalten der UAC angepasst werden.

Eine Formel gibt es für solche Fälle nicht. Du kannst höchstens einen manuellen Kostenvergleich erstellen. SBS Premium (wg. SQL)+weitere Server+SBS-Prem-CAL usw. ggü. Einzelsystemen+Server-CAL+Exchange-CAL usw. Bei Einbeziehung aller Kosten dürfte bei etwas über 50 MA der SBS deutlich preiswerter sein. Wenn der Auftraggeber Dir mitteilt, dass in den nächsten drei bis fünf Jahren nicht mit einem Wachstum über 75 Mitarbeiter gerechnet wird, spricht zunächst mal nichts gegen einen SBS. Falls es doch zu einem stärkeren Wachstum kommt, muss eben neu geplant werden. Eine SBS Umgebung lässt sich auch auf Einzelsysteme migrieren.

Der einfachste Weg ist es neben dem obligatorischen Einsatz der Ordnerumleitung, die Profilgröße per Grupenrichtlinie zu beschränken.

Über AS Sites & Services müssen die Standorte und Subnetze sauber gepflegt sein. Den Fallback-Server im RZ kannst Du dann im DFS SnapIn als "Das letzte von allen Zielen" (o.s.ä.) deklarieren.

Bei der Hardware ist es reine Geschmackssache, welchen Hersteller Du wählst. Im Zweifelsfall den preiswertesten bei vergleichbarer Leistung. Bei der Plattenkonfiguration nutze ich für vergleichbare Server: - 2x n GB SAS / 15k / RAID1 für das OS - abhängig von den OS Vorraussetungen - 6x m GB SAS / 15k / RAID5 für die Daten - abhängig von der Datenmenge Ich würde mir noch Gedanken über die SLA machen. Next Business Day oder Mission Critical. Eventuell würde ich bei dem Budget von ~ 10T€ über Leasing nachdenken. Manchmal sind Betriebskosten besser abbildbar als eine Investition. Außerdem hast Du nach Auslaufen des Vertrages, die Möglichkeit frische/bessere/modernere Hardware bei nahezu gleichen Kosten zu bekommen und hast somit langfristige finazielle Planungsicherheit. Für eine Datensicherung sind Festplatten nur bedingt brauchbar. Besser ist ein Bandlaufwerk (LTO4, LTO5). Die Backupmedien sollten auf jeden Fall täglich an einen sicheren Ort außerhalb des Gebäudes/Burös oder wenigsten in einen anderen Brandabschnitt verbracht verden. Ein Tresor in geeignerter Schutzklasse kann auch nicht schaden. Externe Festplatten kann man als einfaches Snapshotvolume zur schnellen Wiederherstellung verlorener Office Dokumente etc. nutzen - für mehr nicht! Ein managed Switch ist ganz nett, würde aber bei der Netzwerkgröße erstmal ganz unten auf der Prioritätenliste stehen. Nach Server und Backup wäre meine nächste Priorität die Internetanbindung - Router und Firewall.

OTRS ist ganz nett. Bei der CRM Bindung hängt es natürlich von Deinen konkreten Anforderungen ab. Ein einfache Kundenquelle mit Name, Firma, Tel., Email usw. aus einem LDAP oder SQL Backend lässt sich mit endlichem Aufwand einrichten. Im OTRS Wiki gibt es ein paar Anleitungen dazu. Für Smartphones ist die Gestaltung nicht optimiert. Vielleicht kann da ein angepasstes Layout bzw. Theme weiterhelfen.

Das Problem mit doppelten SIDs kenne ich auch aus meiner alten Testumgebung. Die VMs habe ich mit "sysprep /generalize /oobe /shutdown" vorbereitet und geklont. Bei Windows 2003 und XP traten übrigens die gleichen Probleme auf. Bei mir war das Problem VM Ware Workstation bzw. die Integration Tools. Anscheinend harmonierten diese nicht mit Microsofts sysprep. Ich bin dann auf Hyper-V und SCVMM für meine Testumgebung umgestiegen und habe jetzt diese Probleme nicht mehr.

Microsoft hat das Fördervolumen für IT-Spenden erhöht. Mehr Informationen gibt es hier: Microsoft IT-Spendenprogramm: Fördervolumen | Stifter-helfen.de - IT for Nonprofits

Danke für die Infos! Dann werde ich mal Device CALs zählen gehen ...

Vielen Dank, es ist immerhin etwas Licht ins Dunkel gekommen. Genau mit der erwähnten Lizenzuordnung plage ich mich gerade herum. Die Urlaubs- und anwenderfreie Zeit bietet sich ja an, um seine Systemdokumentation auf den aktuellen Stand zubringen.

In Anlehnung an diesen Thread: https://www.mcseboard.de/microsoft-lizenzen-50/user-device-cals-179003.html habe ich konkrete Fragen zur Lizensierung von MFPs: Wir nutzen die Scan2Mail Funktion der Multifunktionsgeräte. Die MFPs greifen direkt auf unseren Exchange zu haben aber kein eigenes Postfach. Wird dabei je Gerät ein Device CAL und/oder ein Exchange CAL benötigt? Was ändert sich, wenn ich die Geräte über ein Open Source SMTP Relay mit dem Exchange verbinde? Reicht es dann aus das SMTP Relay als Device zu lizensieren und kann ich mir so den CAL für jedes einzelne MFP sparen?

Hallo Doc, zu dem Komplex verbundener Unternehmen habe ich noch zwei Formfragen. Situation: Es existiert eine Holding mit mehreren 50+ Tochtergesellschaften. Sitz aller Gesellschaften ist Deutschland. Es gibt jedoch Projektbüros im Ausland (Asien, Afrika, Mittel- und Südamerika). Die Server OS und CAL Lizenzen - aus OPEN/SELECT Verträgen - wurden von verschiedenen Töchtern oder der Holding in Deutschland gekauft. Einige Töchter besitzen derzeit überhaupt keine eigenen Lizenzen. Frage 1: Sind die Lizenzen innerhalb des Konzerns transparent nutzbar oder bedarf die Nutzung einer Lizenz von TochterA durch TochterB einer schriftlichen Nutzugsvereinbarung zwischen Lizeninhaber und Lizenznutzer? Frage 2: Bezieht sich die regionale Gültigkeit von OPEN auf den Sitz der Firma (in meinem Fall Deutschland) oder auf den physischen Standort des System (Asien, Afrika etc.)?

Solange es im Tagesbetrieb keine Beeinträchtigungen gibt, würde ich gar nichts unternehemen! Insbesondere beim SBS, der mit Diensten und Abhängigkeiten vollgepackt ist, sollte man vorsichtig mit solchen Experimenten sein. Beim Systemstart ist es völlig normal, dass es ein paar Sekunden dauert, bis alle abhängigen Dienste gestartet sind. PS: Wenn Du eine Dienstabhängigkeit einrichten möchtest, am Besten richtig über den "DependsOnService" Registrywert des entsprechenden Dienstes.

Der Fehler ist nichts besonderes, solange hinterher Event ID 26 kommt. Die Zertifikatsdienste sind von den Domänendiensten abhängig. Die Dienste starten aber unabhängig voneinander, so das es vorkommen kann, dass der Zertifikatsdienst einfach schneller beim starten ist und kein AD findet.

Dann bitte ich den ****sinn zu entschuldigen

Moin, das Hauptproblem scheint die Konfiguration vom VLAN2 mit der *.242 zu sein. Damit hast Du der ASA nur diese eine Adresse zugewiesen. Damit über einen physischen Port mehrere Adressen laufen können, benötigst Du einen Trunkport oder virtuelle Interfaces (Sub-Interfaces). Ich weis nicht ob die Kleine schon virtuelle Interfaces unterstützt, da die Ports bei der 5505 sich eher wie die Ports eines IOS Switches verhalten (Bitte nicht auf die Goldwaage legen, mir fiel nur keine bessere Analogie ein). Alternativ könntest Du je externer Adresse einen Switchport auf der ASA nehmen. Bei einen Trunk muss die Gegenstelle natürlich in der Lage sein, Dir einen Trunk zu liefern. Trunk-Beispiel: interface Vlan100 nameif inside security-level 100 ip address 192.168.30.25 255.255.255.0 ! interface Vlan242 nameif outside242 security-level 0 ip address 195.143.241.242 255.255.255.240 ! interface Vlan243 nameif outside243 security-level 0 ip address 195.143.241.243 255.255.255.240 ! interface Vlan244 nameif outside244 security-level 0 ip address 195.143.241.244 255.255.255.240 ! interface Ethernet0/0 switchport mode trunk switchport trunk allowed vlan 242-244 ! interface Ethernet0/1 switchport access vlan 100 ! ... Beispiel-virt. Interfaces interface Ethernet0/0 no nameif no security-level no ip address ! interface Ethernet0/0.242 vlan 242 nameif Extern242 security-level 0 ip address 195.143.241.242 255.255.255.240 ! interface Ethernet0/0.243 vlan 243 nameif Extern243 security-level 0 ip address 195.143.241.243 255.255.255.240 ! interface Ethernet0/0.244 vlan 244 nameif Extern244 security-level 0 ip address 195.143.241.244 255.255.255.240 ! interface Ethernet0/1 no nameif no security-level no ip address ! interface Ethernet0/1.100 vlan 100 nameif Intern security-level 100 ip address 192.168.30.25 255.255.255.0 ! ...

Ist der Quell- oder Zielpfad möglicherweise zu lang (>254 Zeichen)? "C:\Dokumente und Einstellungen\ ..." ist deutlich länger als "C:\users\..." Beliebte Kanditaten sind IE, Office und auch Flash Verlauf. Einfach die fraglichen Dateien löschen, dann sollte es funktionieren. Beim Crypto Store wüde ich über Roaming Credentials nachdenken. Dabei werden Zertifikate, gespeicherte Anmeldeinformationen etc. im AD gespeichert und aus der Profilsynchronisation ausgenommen.

Wie wär's mit dem USMT? Benutzerhandbuch für USMT*4.0 (User State Migration Tool)

Ich würde keine Eigenbaulösung empfehlen. Es geht immerhin um ein Menschenleben. Dafür gibt es professionelle Dienstleister. Die Geräte werden auch als Mietgerät angeboten und auf eine zertifizierte Notrufleitstelle aufgeschaltet. Wer in Deiner Region solche Dienstleistungen anbietet, muss Du allerdings selber herausfinden. Wohlfahrtsverbände (AWO, Caritas, Diakonie, DRK, Paritätischer usw.) haben oftmals solche Leistungen im Angebot oder können Dir bei der Auswahl eines Anbieters helfen.

Moin, Das Identity Certificate ist das Zertifikat der ASA, d.h. die ASA muss im Besitz des Privaten Schlüssels sein. Kurz und knapp: 1. Schlüsselpaar auf der ASA generieren. Verwendungszweck General Purpose. (Schlüssellänge und Hash gemäß Unternehmensrichtlinien) 2. Certificate Reques generieren. Dabei die benötigten Attribute setzen (z.B. CN, DN, OU, O, C, externer DNS-Name, interner DNS-Name, externe ip, interne ip usw. je nachdem was alles für die sichere Kommunikation benötigt wird). Hier sind auch wieder Unternehmensrichtlinien gefragt. 3. Certificate Request in eine Datei exportieren 4. Request bei einer Zertifizierungsstelle einreichen 5. Das Zertifikat selber ausstellen bzw. von der Zertifizierungsstelle ausstellen lassen (je nach Unternehmensrichtlinie) 6. Das Zertifikat im Base64 Format speichern 7. Das Zertifikat auf der ASA importieren Bei einer MS-PKI wird die Zertifikatsvorlage "IPSec-Offlineanforderung" mit dem zusätzlichen Verwendungszweck "IP-Sicherheitstunnelabschluss" benötigt. Die passenden OIDs habe ich gerade nicht zur Hand.

CA Certificates: Zertifikate der Zertifizierungsstelle(n) Diese dienen der Validierung der VPN Zertifikate der Clients durch die ASA Identity Certificates: Das Zertifikat/Die Zertifikate der ASA Damit wird die Identität der ASA gegenüber den Clients nachgewiesen. Im Idealfall kommen alle Zertifikate (VPN-Clients und ASA) von einer Zertifizirungsstelle oder aus einer PKI - alles andere wird lästig in der Konfiguration. Für das Clientszertifikat gilt außerdem: Der Name der im Zertifikat angegebenen OU muss dem Namen der TunnelGroup auf der ASA entsprechen. Damit lassen sich per OU im Zertifikat und Tunnelgroup auf der ASA verschiedene Zugriffberechtigungen relativ einfach verwalten. PS: Die ASA braucht Zertifikate im Base64 Format

Etwas mehr Ports brauchst Du schon: Configure ISA 2004 as a Network Services Segment Perimeter Firewall - Part 2: Configuring the Network Service Perimeter ISA Firewall Abschnitt: Intradomain Communication Probleme dürfte jedoch das RPC Protokoll machen, da i.d.R. dynamisches RPC (Port 1024-65535) verwendet wird und viele Hardwarefirewalls keine Anwendungsprotokolle sondern nur Ports kennen.

Einen Domänensatz anlegen und http bzw https an diese Domänen erlauben.

Am einfachsten erstellts Du eine GPO für den/die Terminalserver und verbietest die Ressourcenumleitung. Dann ist es egal, was in der RDP Datei eingestellt ist.