Dunkelmann

Die Wiederherstellung einer kompletten VM ist ein Kinderspiel. Lästig wird es nur, wenn eine selektive Wiederherstellung notwendig ist. Die Sicherung über den Host ist eigentlich nur sinnvoll einzusetzen bei Systemen, - die über keinen kompatiblen VSS Writer verfügen (Linux, W2k) und dennoch per DPM gesichert werden sollen bzw. müssen - die als virtuelle DMZ Server keine Nutzdaten beherbergen und die man nicht direkt mit seinem DPM kommunizieren lassen möchte - die aus anderen Gründen offline gesichert werden sollen Weiterhin gibt es bei der Sicherung über den Host keine Möglichkeit auf anwendungsspezifische VSS Writer (Exchange, SQL) zuzugreifen und dadurch entsteht das Risiko eines asysnchronen Backups. Nebenbei benötigt die Sicherung über den Host deutlich mehr Platz auf dem Backupmedium und dauert wesentlich länger, da die komplette VHD gesichert wird.

Moin, ich habe in meiner Laborumgebung ein kleines Problem mit der ASA und einem über TMG veröffentlichtem Online Responder. Die Situation: Es gibt eine handvoll ASA 5505/5510 mit SECPLUS zwischen denen ein IPSec VPN aufgebaut wird. Es gibt eine zweistufige PKI mit Offline Root, zwei Issuing CAs, einem OCSP und Sperrlisten-Verteilungspunkt (http) in der DMZ. Es gibt einen TMG über den die Sperrlisten und der Online Responder veröffentlicht werden. Das Problem: Beim VPN Aufbau zwischen den Standorten wird der Zertifikatsstatus per Online Responder von der ASA geprüft - so weit so gut. Mein Problem dabei ist, dass die ASA anstelle der OCSP-url: http://pki.labor.extern/ocsp nur die externe IP Adresse der Website: http://47.11.08.15/ocsp an den Reverseproxy (TMG) sendet. Der TMG lässt sich zwar entsprechend konfigurieren, dass jegliche Anfragen nach dem Pfad "*\ocsp" an den Server in der DMZ weitergeleitet werden, schön ist aber anders. Die Frage: Gibt es eine Möglichkeit, die ASA dazu zubringen, die vollständige URL anstelle der IP-Adresse an den Reverseproxy zusenden?

Der Online Responder holt sich die Sperrinformationen aus den veröffentlichten Sperrlisten. In der Standardkonfiguration sind nur die per LDAP und HTTP veröffentlichten Basissperrlisten als Anbieter definiert. Der Online Responder speichert die Sperrlisten für 60 Minuten zwischen, erst danach sucht er wieder nach aktualisierten Sperrlisten. Du kannst das Intervall bis auf 5 Minuten reduzieren. (Oder 15 Min, bin mir da nicht ganz sicher) Zusätzlich kannst Du die Delta-Sperrlisten als weiteren Anbieter in die Konfiguration aufnehmen. Grundsätzlich ist es jedoch so, dass eine rein zertifikatsbasierte Authetifizierung sich nicht in Echtzeit sperren lässt. Server und Clients suchen idR erst nach Ablauf der zwischengespeicherten Sperrlisten nach neuen. Dabei können schonmal Stunden oder Tage vergehen bis nach neuen Sperrlisten gesucht wird. Sind Echtzeitsperrungen (zB bei VPN Zugängen) notwendig, würde ich als zusätzliches Kriterium noch eine AD-Gruppenmitgliedschaft hinzufügen.

Den DPM würde ich nicht in einer VM laufen lassen. Ein Backupsystem - egal welches - sollte immer unabhängig von den im Katastrophenfall wiederherzustellenden Systemen sein.

Und ich hatte mich schon auf einen ruhigen Freitag gefreut. Danke! :cool:

Bei einem solchen Dateinamen solltest Du den Dateinamen bzw. Pfad in Anführungszeichen setzen. CertUtil ist ein recht "simples" Kommando und glaubt ansonsten der Dateiname wäre "CA.lan". Randnotiz: Für eine Testumgebung ist das Gallileo open book ausreichend. Falls Du produktiv gehen möchtest bzw. etwas mehr Hintergrundinformationen benötigst, empfehle ich einen Blick in Brian Komars "PKI & Certificate Security".

Das ändert man am Besten durch eine unterstützte Konfiguration. DC != 2 Netzwerkkarten Hyper-V != weitere Rollen Darus ergibt sich: DC != Hyper-V

Meine 2008R2 Hosts haben das alleine erledigt.

Es gibt diverse KB Artikel zum Thema Virenscanner und Serverrollen. Du solltest auf jeden Fall die rollenabhängigen Datei-, Ordner- und Prozessausnahmen beachten. Für Hyper-V gilt: Nur Hyper-V und sonst nichts auf dem Host. Bei SEP kann ich aus meiner Erfahrung empfehlen, einen eigenen Managementserver zu installieren. Das tomcat/java Zeugs würde ich niemals freiwillig auf einem DC installieren. Wie gesagt, nur eine persönliche Einstellung.

Wenn alles korrekt installiert und konfiguriert ist, wird im Anmeldedialog unter "Anderer Benutzer"/"Benutzer wechseln" die Smartcard angezeigt.

Die gibt's nicht mehr. Für Arbeitsgruppen/Firmen ohne eigene Groupware gibt es die Live Dienste oder Office 365.

Wenn es so viele Rechner betrifft, würde ich mal einen Blick auf die Switches (und ggf. Router) werfen.

Eine Variante wären GPP. Du kannst per Benutzer-GPP einen Standarddrucker setzen und in der Zielgruppenadressierung die Computer und/oder Computergruppen wählen an denen die GPP angewendet werden soll. Das klappt zumindest bei unseren "Wanderarbeitern".

Der kommende SCVMM 2012 ist als public beta auf der connect site von Microsoft zu haben. Directory of Microsoft Products Accepting Bugs and Suggestions | Microsoft Connect

1. Gibt eine eine Route aus dem 172'er über die 192'er DMZ zurück? 2. Im Gegensatz zum ISA müssen Routen/Subnetze am TMG explizit einem Interface zugeordnet werden. 3. ... ach ja, was sagt das Log?!

Nur mal ein kurzes Fazit: Unsere letzten 15 Server haben die letzten beiden Nächte das SP1 vom WSUS heruntergeladen, installiert und den obligatorischen Neustart erledigt. Nur ein Server (mit serieller USV und TK-Anlage an einem USB/seriell Adapter :rolleyes: ) hat nach dem Neustart Zicken gemacht - die Anmeldung lokal oder RDP frohr ein - alle Serverdienste liefen einwandfrei. Ein Neustart per SCOM-Task hat auch diesen Server wieder in die Spur gebracht. :cool:

Zuerst muss eine ACL für eingehenden Verkehr auf dem outside Interface für Port 80 erstellt werden - die ACL ist danach noch nicht aktiv!: access-list outside_access_in extended permit tcp any interface outside eq 80 In der statischen NAT Regel wird als Zweites definiert wohin Port 80 weitergeleitet wird: static (inside,outside) tcp interface 80 ServerIP 80 netmask 255.255.255.255 Zur Aktivierung wird die erstellte ACL "outside_access_in" für eingehenden Verkehr "in" an das outside Interface gebunden: access-group outside_access_in in interface outside

Ich hab's hier gefunden: Download details: System Center Data Protection Manager 2010 QFE Rollup [KB 2250444] http://www.microsoft.com/downloads/en/details.aspx?FamilyID=D3FABB18-1ADB-4C87-A95D-D3C3826D5BFB Eine Lifecycle-Management für Bänder gibt es beim DPM nicht. Eventuell hat Deine Bibliothek eine eigene Management Software, die das überwachen kann. Das Bandmanagement beim DPM ist nur rudimentär vorhanden. Der DPM ist von seiner Architektur nicht für die klassische tägliche Bandsicherung ausgelegt. Bandsicherungen sind für mittel- und langfristige Sicherungen mit Ablaufzeiten von 1-n Monaten vorgesehen. Für alles Andere setzt der DPM auf Backup2Disk. Wenn ihr eine andere Sicherungsstrategie fahrt, ist der DPM möglicherweise nicht das geeignete Produkt für die Umsetzung.

Aus dem 2008(R2) Printserver lässt sich die Liste der Drucker exportieren und auf einem anderen Server importieren. Möglicherweise kannst Du das auch regelmäßig per Skript ausführen.

Das macht bei uns die Bibliothek. Der DPM bekommt davon nichts mit. Sobald das Band als "Offsite bereit" gekennzeichnet wird und ich Lust zum Wechseln habe oder der DPM jammert, dass nur noch 20% freie Bänder in der Bibliothek sind. Genaueres hängt aber von der Sicherungsstrategie ab. Wir verwenden nur WORM. Alle Kurzzeitsicherungen gehen für bis zu 8 Wochen auf ein Storage. Bänder werden nur für's Archiv und die Revision angefertigt. Das Problem habe ich bei mir nicht. Es gibt ein kummulatives Update-Paket. Wird auch über den WSUS angeboten.

Starte den Rechner von einem alternativen Bootmedium. Mit System Rescue CD, Knoppix etc. sollte es keine Probleme geben, die Datei zu löschen. Ein offline Virenscan kann bei so einem Verhalten auch nicht schaden.

Freut mich, danke für die Rückmeldung. PS: Mit der Quarantänefunktion habe ich mich noch nicht auseinandergesetzt. Ich darf mich dafür gerade mit einer ASA vergnügen und damit ein ähnliches Szenario aufbauen.

Ich habe letzte Woche das SP1 für rund 20 unwichtige Produktiv- und Testserver sowie 10 Testclients freigegeben. Kein System hatte Probleme mit der automatischen oder manuellen Installation über WSUS. Einen sauberen Neustart habe ich vorher nicht gemacht. Auf einigen Systemen habe ich vorher das Update Rediness Tool laufen lassen und die protokollierten Fehler behoben. Die fraglichen Server hatten sich mal bei einem Patchday "verschluckt".

Ist das Zertifikat auf den externen FQDN ausgestellt? Sollten oder sind? Kannst du die Basis- und Deltasperrliste per Browser von intern und extern herunterladen? Vielleicht hilft dieser Link weiter: What type of certificate to install on the VPN server - Routing and Remote Access Blog - Site Home - TechNet Blogs

Ich glaube es gibt ein grundsätzliches Verständnisproblem. Social Networks nutzen keine peer-to-peer Mechanismen. In grauer Vorzeit haben Instant Messenger noch eingehende Ports benötigt, die Zeiten sind aber schon lange vorbei. Sämtliche aktuellen Dienste nutzen http/https und kommen auch ohne lokale Installation aus. Zum Thema Sicherheit: Welche konkreten Bedrohungen siehts Du? Nur anhand einer Gefährdung lässt sich eine Abwehrstrategie entwickeln. Bandbreite/Performance: Falls Du eine geeignete Firewall, Proxy oder Router hast, solltest Du ersteinmal das aktuelle Aufkommen ermitteln. Nur mit konkreten Zahlen lässt sich die Situation beurteilen und es können ggf. notwendige Maßnahmen abgeleitet werden.