Der Small Business Server bietet ja die an sich geniale Möglichkeit für den Benutzer, von remote auf den eigenen Rechner zugreifen zu können.

Diese Lösung erspart Hardware und Terminalserverlizenzen weil ja jeder User seinen eigenen Rechner verwenden kann.

Nachteil: Der Rechner muss eingeschalten sein und darf nicht in den Sleep-Modus gehen.

Ein Partner – Herr Karanitsch – hat dieses Problem mit der Entwicklung eines Tools gelöst:

Remote Startup (http://www.karanitsch.at/produkte.htm)

Es fügt am Remote Arbeitsplatz einen Eintrag hinzu:

Damit wird der PC remote gestartet und nach einigen Minuten kann der Benutzer von zu Hause (oder von wo auch immer) mit seinem eigenen PC remote arbeiten.

Funktioniert mit SBS 2003 und SBS 2008 und wird natürlich auch mit dem neuen SBS funktionieren.

Eine – meiner Meinung nach – sehr sinnvolle Erweiterung....

Lg
Christian

Christian.Decker@microsoft.com

Gerade (zufällig) draufgekommen:

Ich kopple mein Win Phone 7 über Bluetooth mit meinem Win 7 PC

Und dann kann ich einerseits mein PC Headset problemlos als Phone Headset verwenden und damit telefonieren und auch den gesamten Sound (meine Lieder) vom Handy aus über den PC Lautsprecher abspielen

Nachdem ich, wenn ich im Office sitze, sowieso immer das Headset aufhabe (weil die akustische Umweltverschmutzung im Großraumbüro ohne Headset zu groß wäre), ist das nun bei Handygesprächen nun genauso praktisch...

Schönes Wochenende

Christian

P.S.: Und noch ein kleiner Tipp: Wenn Dir das Hintergrundbild am Bilderhub nicht gefällt, einfach in der Bilderapplikation auf einer freien Fläche länger gedrückt halten und schon kann ich mein individuelles Bild aussuchen...

 +

Tech Data bringt Microsoft Österreich für einen ganzen Tag mit vielen top-aktuellen Informationen zu Ihnen - diesmal nach Bischofshofen.

Besuchen Sie den Microsoft / Techdata Channel-Tag in Bischofshofen, und erhalten Sie exklusive Einblicke und den Wissensvorsprung den Sie benötigen,
um Microsoft Lösungen erfolgreich bei Ihren Kunden zu platzieren. Erfahren Sie alles über die neuen Aktionen von Microsoft und die neuen Möglichkeiten im Channel inkl. Abend-Ausklang mit Punsch im Schnee.

Haben wir jetzt Ihre Neugier geweckt, dann sollten Sie sich rasch Anmelden!

Wann:   Dienstag, 14.12.2010, 09:30 - ca.18:00
Wo:        Hotel Alte Post, Oberer Stadtplatz 1, 5500 Bischofshofen
>> Anreise-Information
Agenda:

Für den Nachmittags-/Abendevent brauchen Sie lediglich GUTE LAUNE. Tech Data sorgt für die notwendige Ausrüstung, damit das Langlauf-Vergnügen unterhaltsam wird!
Damit wir alle Vorkehrungen treffen können, bitten wir Sie bekannt zu geben, ob Sie bei der Abendveranstaltung dabei sein werden. Danke vielmals.

Für Fragen steht Ihnen das Tech Data Team gerne zur Verfügung!

Liebe Grüße,
Nicole Hiden

Anbei ein Link der aus meiner Sicht nicht nur für Kunden, sondern auch für Partner sehr interessant ist.

Hier werden eine breite Palette von Lösungen rund um unsere Cloud Services vorgestellt, die auch in Österreich
sehr interessant sein können, bzw. vielleicht dem einen oder anderen eine neue Idee für ein Projekt oder Offering geben…

http://www.microsoft.com/online/partner/solutions-showcase.aspx

viel Spaß beim Schmökern

Geronimo

Paul Thurrot hat einen sehr interessanten Artikel über das Administrations Frontend von Office 365 gebloggt der einen ersten, sehr interessanten Einblick, in Office 365 gibt!

http://www.winsupersite.com/office/365.asp

schöne Grüße

Geronimo Janosievics

Diesen Freitag ab 08:30 finden ja unsere P-Fast Präsentationen über das Partner Learning Center statt (ein entsprechender Hinweis sollte ja schon per e-Mail eingelangt sein).

Wir bieten über diese Plattform auch die alten Aufzeichnungen als Webcast on demand jederzeit verfügbar an!
Unter folgendem Link stehen bereits 3 P-Fasts (9 Sessions) zur Verfügung:

P-Fast Video on demand

Hier für ist ein gültiges Log-In im Partner Learning Center notwendig.

Ganz ohne Login kann ich über den folgenden Download Link noch die Powerpoint Slides der letzten Sessions anbieten,
um all jede die vielleicht eine Session versäumt haben up to date zu bringen. Diese Slides können frei verwendet und publiziert werden!

P-Fast

Viel Spaß mit dem Material über Feedback & Inputs würden wir uns sehr freuen!

Geronimo Janosievics

Lange Zeit nur für speziell ausgesuchte Partner verfügbar, dürfen wir es nun auch offiziell posten:

Nächste Woche starten sehr spezielle Trainings der Trainigsreihe: Practice Accelerators

Diese Trainings werden von Microsoft Services delivered und sind keine Produkttrainings im herkömmlichen Sinn.

Hier geht es darum, wie man Prozesse und Verfahren rund um das definierte Thema im Unternehmen einbetten kann, um als Partner standardisierte Lösungen in wiederholbarer Qualität delivern zu können.

Diese Trainings werden via LiveMeeting in 4 x 4 Stunden delivered. Viel Zeitaufwand, deswegen nur für Partner interessant, die wirklich daran interessiert sind, die internen Prozesse rund um das Delivern von IT-Dienstleistung zu optimieren.

Das Feedback von vorangegangenen Trainings war auch von öst. Partnern ein sehr sehr gutes und es sind auch schon einige öst. Partner für die neuen Trainings angemeldet.

Kleiner Hinweis am Rande: Die Trainings bis Ende 2010 sind noch kostenlos, ab 2011 muss die Teilnahme mit Partner Advisory Hours (die jeder Silver oder Gold Partner hat) bezahlt werden.

Für folgende Technologien gibt es diese Trainings:

• Microsoft SharePoint Server 2010  6.12.2010 – 9.12.2010
• Microsoft Exchange Server 2010    kein Training mehr heuer, nächster Termin 24.1.2011 – 27.1.2011
• Microsoft Server Virtualization with Advanced Management  29.11.2010 – 2.12.2010  ACHTUNG – BEREITS nächste WOCHE
• Microsoft Business Productivity Online Suite kein Training mehr heuer, nächster Termin 17.1.2011 – 20.1.2011
• Desktop Optimization Using Windows and Microsoft Office  6.12.2010 – 9.12.2010

Liebe Grüße

Christian Decker

Am 02.12. findet das erste Microsoft Katapult Event statt! MSDN und TechNet-Briefings sind nun in diesem neuen Eventformat vereint. Das bedeutet mehr TechNews an einem Tag in einer neuen Location mit je einem Track für IT-Profis und Entwickler, inkl. Wechselmöglichkeit zwischen den Sessions. Von Experten in einer neuen Top-Location. Nutzen Sie den Ganztages-Event zum Networking mit Branchen-Kollegen in der Lounge und bei Community Drinks am Abend, treffen Sie Microsoft Experten, Mitarbeiter und Partner vor Ort und falls in der Arbeit der Hut brennt: Eine Silent Working Area inkl. WLAN ist vorhanden!

Am 02.12. gibt es folgende Tracks für IT-Profis und Developer:

• Für IT-Profis: Hybride IT-Architektur - von Microsoft BizTalk Server 2010 bis zu Private Networks in der Cloud
  Viele Unternehmen nutzen bereits heute Cloud Computing Applikationen, die sich in die bestehende IT Infrastruktur integrieren. Wir widmen uns im Technet Track dem Thema Hybride IT-Architektur und geben IT-Profis einen Überblick über die aktuellen Integrationstechnologien wie den neuen BizTalk Server 2010. Sie erfahren, wie Sie ihre Virtual Private Networks in die Cloud bringen und zeigen eine einfache Möglichkeit, wie High Performance Computing „on demand“ mit Windows Azure möglich wird.
• Für Entwickler und Designer: Windows Phone 7 zum Angreifen
  Das neue Windows Phone 7 ist da! In diesem MSDN Track erhalten Sie einen Überblick über die neue Plattform inkl. Marktplatz-Funktionen und wie Sie Ihre App mit Silverlight oder Ihr Game mit XNA entwickeln. Außerdem widmen wir uns den Themen User-Experience, und wie Sie Geo Location und Push Notification in Ihrer Applikation einsetzen können.

Alle Eventdetails & Anmeldung unter der Kurz-URL http://katapult.me .

Viel Spaß!

Liebe Grüße, Berndt Schwarzinger

Die Microsoft Business Intelligence Konferenz ist die größte BI Veranstaltung Österreichs und findet heuer an zwei Tagen statt. Am 25. und 26. November 2010 erfahren Sie von Experten und Lösungspartnern mehr über die aktuellste Microsoft BI Lösungsplattform rund um die Microsoft Technologien SharePoint Server 2010, SQL Server 2008 R2, Microsoft Excel 2010, Windows Azure und SQL Azure.

Am ersten Tag steht die Keynote von Donald Farmer, Fallbeispielen mit Tipps & Tricks, Lösungspräsentationen und Hands-on Sessions (BI Workshops) auf der Agenda.

Die Highlights von Tag 1 auf einen Blick:

• Keynote: Decisions, Decisions, Decisions – how Business Intelligence evolved, and why it is critical to your success. Donald Farmer, Principal Program Manager for Microsoft SQL Server, Microsoft Corporation
• Zahlreiche Fallbeispiele von Duropack AG, Verkehrsbüro Group, FunderMax GmbH, RHI AG sowie Grazer Wechselseitige Versicherung AG u.a.
• Erfolgreiche Business Intelligence Lösungen zu Corporate Performance Management (Evidanza), Performance Management bei Post-Merger Integration (PM Factory), Fast Track Data Warehouse (HP), Tagetik 3.0 (pmOne), der ETL MacGuyver (cubido)
• Business Intelligence Hands-on Workshops (“BI Caddy Workshop”)
• Persönliche Gespräche mit den Business Intelligence Partnern bei deren Ausstellerständen
• Keynote: Visionen machen das scheinbar Unmögliche möglich, Thomas Geierspichler: Rennrollstuhl-Weltmeister, Paralympics-sieger, und Weltrekordhalter

Der zweite Tag steht ganz im Zeichen von Endanwendern, Spezialisten in der IT und Entwicklern. Für IT Pro`s und Developer hält Donald Farmer ein Training mit folgenden Inhalten:

Die Highlights von Tag 2 auf einen Blick:

• Controller Produkttraining
  Ignatz Schels (Trainer und Fachbuchautor, EXCELLENTControlling)
  

• Microsoft Excel 2010 und Excel Services 2010 für Controlling und Reporting
• Datenbankmanagement mit Microsoft Access 2010 für Controlling und Reporting und Vorteile durch eine Umstellung von Access auf Microsoft SQL Server
• Große Datenmengen besser unter Kontrolle mit Microsoft PowerPivot für Excel 2010
• Management-Berichte mit Microsoft Excel 2010 aussagekräftig aufbereiten und automatisieren
  

• Developer und IT Pro Produkttraining
  Donald Farmer (Principal Program Manager for Microsoft SQL Server, Microsoft Corporation. Die Schulung durch Herrn Farmer wird in englischer Sprache durchgeführt)
  

• Developing and deploying Report Libraries with Microsoft SQL Server 2008 R2 Reporting Services
• Microsoft SQL Server Analysis Services Best Practices
• Guidelines for the Development and Deployment of Applications with Windows Azure & SQL Azure

Anmeldung & Teilnahmegebühr

Die Teilnahmegebühr pro Konferenztag beträgt 190,80€ (exkl. Steuern). Details siehe http://www.microsoft.com/austria/bi/anmeldung.html Die Anmeldung ist auch für einen der beiden Tage selektiv möglich.

Links

• BI Konferenz Home: http://www.microsoft.com/austria/bi/default.html
• Agenda Tag 1 mit Case Studies: http://www.microsoft.com/austria/bi/agenda.html
• Agenda Tag 2 mit Trainings für (1) Developer und IT Pro`s  und (2) Controller http://www.microsoft.com/austria/bi/agenda2.html

CU there, Martin Pöckl
martin.poeckl@microsoft.com

Der Microsoft-Lizenzkompass 2010 liefert auf 20 Seiten Details und Erklärungen zu den Microsoft Volumenlizenzprogrammen bzw. Informationen zu OEM-, Systembuilder- und FPP-Versionen.

Er soll Sie dabei unterstützen, die Microsoft-Volumenlizenzprogramme (noch?) besser zu verstehen. Nur so können Sie die richtigen Fragen mit Ihren Kunden diskutieren und die Kundenbedürfnisse genauer analysieren. Mithilfe des Microsoft-Lizenzkompass können Sie Ihre Kunden bei Volumenlizenzfragen besser beraten und das richtige Lizenzprogramm entsprechend den Bedürfnissen Ihres Kunden empfehlen.

Hier geht´s zum Download!

Liebe Grüße,

Ursula Bernhard

Ralf Wigand
MVP Directory Services
KIT

10 Probleme, die er in ein AD eingebaut hat, echte Probleme, die er im real life gefunden hat

das erste (naja, zweite, das erste ist ein Kaffee) was er vom Kunden will, bevor er zum Troubleshooting beginnt, ist Dokumentation (selten bekommt er sie)

• AD Controller braucht in den IP4 Settings unbedingt das Hakerl: Register in DNS
• auch sollte ich das DHCP Service auf Rechnern mit fixer IP Adresse nciht stoppen, weil dieses Service auch die DNS Registrierung macht
• Multihome DC
  schlechte Idee, besonders wenn beide Ip Adressen im DNS registriert sind -
• Wenn ich Universal Groups verwende, sollte mein Global Catalog Server immer verfügbar sein
• du solltest niemals einen GC auf einem INfrastructure Master betreiben
  OK, wenn alle DCs GC sind
  wenn nciht, sollte der INfrastructure Master kein GC sein
• übrigens: Alle seine DCs waren CORE Server.... (nur so nebenei...)
• Zeit/Datumunterschied zwischen den Servern (DCs) und den Clients ist schlecht
  Timeservice sollte nicht disabled sein (sc config w32time start= auto (vorsicht auf das Leerzeichen nach dem = ) !
  Default Toleranz ist 5 Minuten ! (sollte man auch nicht ändern....)
• in virtualisierten UMgebungen sollte man die Zeit syncen entweder:
  mit dem Host oder
  mit dem DC
  aber nicht mit beiden ! – Grundsätzlich ist egal, welche Mögliceit man verwendet, er empfiehlt eher, die TimeSync mit dem Host zu disablen
• 2 default domain policies
  Default Domain Policy
  Default Domain Controller Policiy
  beide sollte ich NIE modifizieren !
  es gibt ein tool dcgpofix – damit kann ich die Default Domain Policies restoren...
  kann Probleme mit Group Policies lösen
• immer wenn ich das Problem habe: Manchmal gehts, manchmal nicht, sollte ich meine DCs checken
  in seiner Demo kann isch der SUer 11 und User 12 manchmal anmelden, manchmal nicht.
  Am DC1 gibts den User nciht, am DC2 schon – obwohl die DCs voll syncronisiert sind
  sind Lingering Objects
  die entstehen, wenn ich längere Zeit keine funktionierende Replikation habe
  wenn ich ein Objekt lösche, sit es nciht gelöscht, sondern bekommt eine Flag. Du bist deleted (weil ein Objekt, das nciht mehr da ist, kann ich schelcht replizieren ;) )
  wenn die Lifetime dieses Objekts nun vorbei ist, wird es gelöscht.
  Passiert nun während dieser Lifetime keine Replikation, wird das Objekt gelöscht und nie wieder repliziert)
  
  mit repadmin /removelingeringobjects kann ich das auflösen (nur machen, wenn ich verstehe was ich tue !)
  
• USN rollback
  Restore a DC from a snapshot
  immer wenn ich ein Update asl DC mache, erhöhe ich meine USN (Update sequence number)
  Werde ich restored, habe ich eine kleinere USN und die anderen DCs mögen mich nciht mehr
  Ausserdem ist alles, was ich den anderen DCs geschickt habe, nichtmehr zu mir repliziert, weil die es ja von mir bekommen haben :(
  
  Wie löst man dieses Problem ?
  MMhh – gar nicht – sehr schwierig
  einfache Lösung: NEVER USE A SNAPSHOT ON DOMAIN CONTROLLER !
  wenn dein DC crasht, lösche ihn aus dem AD, setze ihn neu auf, ist schneller und besser
  

Christian, live von der letzten Session von der TechEd in Berlin

Danke fürs Mitlesen, danke fürs Feedback, dass ich schon bekommen habe, danke für das Feedback, dass ich noch bekommen werde (;)

Christian.Decker@microsoft.com

Wie auf jeder großen Microsoft-Veranstaltung gibt es hier nicht nur viele, viele Vorträge, sondern auch 2 große Ausstellungshallen.

In einer tummeln sich alle Microsoft-Produkte mit ihren Productmanagern – eine wirklich gute Gelegenheit, direkt mit den Personen zu reden, die Produkte designen, produzieren, bauen bzw. dafür verantwortlich sind. Und ein kleiner Tipp von mir: Wenn Dir so ein Product-manager sagt: “Oh, send me an email and I will help you” – ist das keine Abwimmelungsmasche, sondern der meint das ernst: Karterl mitnehmen, 2 Wochen warten (weil er bekommt viele Mails nach einer Messe und hat die Inbox voll) und ihm schreiben. Die Jungs und Mädls sind sehr dankbar für (onstruktives) Feedback.

Die zweite Messehalle erinnert mich an die guten alten ITnT oder IFABO (kann sich an die noch wer erinnern ;) ?) Zeiten

Viele Hersteller, Hard- und Software, viele gute Add-Ons für MS Produkte und – TROMMELWIRBEL – sogar 2 österreichische Aussteller:

schwer empfehlenswert für alle Infrastrukturpartner, Secureguard baut Appliances für TMG und UAG, fix und fertig, extrem preisgünstig (im Vergleich zu den Kosten von HW, OS und SW), beginnt ab EUR 999,00 – so einfach wie andere Box-Firewalls, aber mit der Mächtigkeit eines TMGs und UAGs

Und als zweiter Aussteller, aus dem gleichen Tätigkeitsbereich Security, unseren einzigen öst. AV-Hersteller:

lage und eng mit Microsoft verbunden, Lösungen vom Klein- bis zum Großunternehmen und nicht mehr “nur” Malwareschutz am Client, sondern ein breites Produktportfolio bis hin zum gehosteten Webproxy...

D.h. für alle, die meinen, die TechEd eh durch die Live-Berichterstattung zu erleben, sei gesagt: Die Vorträge sind nur ein Teil des Ganzen – mindestens ebenso wichtig sind hier die unzähligen Kontakte, die man knüpfen kann, die Gespräche mit Kunden, anderen Partnern und den unzähligen Microsoftkollegen aus Österreich und dem Rest der Welt.

Am besten jetzt schon einplanen, die TechEd 2011, wahrscheinlich wieder in Berlin, ziemlich sicher wieder im November....

Christian – live von der TechEd in Berlin

OK, da war ich am falschen Planet und muß noch viel lernen, sehr viel! Aber ich bekam eine Idee.

(nett, Mr Craddock erinnert mich in jeder Art an den „Original“-Q von James Bond)

No SA = No IPsec

ICMPv6 is exempt from IPsec

                Check with ping -6

NetSH is your best friend:

Demo zur Fehlersuche, Client kommt nicht auf’s Intranet:

Ping ‘http://sharepoint.internal’ – njet

Ping was anderes, ok, d.h., Internet ok

Ipconfig /all

Netsh interface 6to4 show state

Netsh interface 6to4 show relay

Ping ‘relay name’ (ipv4 failed)

Ping ipv6-gw-adress ok, aber wir brauchen beide

Netsh interface ipv6 show route

Netsh namespace show effectivepolicy

(nun den internen DA-Server pingen)

Ok, passt

Net view \\‘ipv6 adresse eines internen servers‘

Geht nicht, also wahrscheinlich IPsec das Problem sein.

Trick: In Netzwerkumgebung, Troubleshoot Assistent für DA starten. „falsche“ Fehlermeldung (DNS Server geht nicht, aber das haben wir gecheckt)

Immer (!) ein zweites Mal probieren!!! (Nun fehlt das Cert, abgelaufen)

Cert hjinzu, funktioniert!

‚DirectAccess Connectivity Assistent‘ hilft in einer Oberfläche mit der Suche (von MS Download für den Client)

Testen ggf auch, ob die CRL erreichbar!

NRPT (Name Resolution Table) dient dazu, den passenden DNS Server zu nehmen (www.bing.com, lokal konfigurierte DNS Server, interne Anfragen über die internen Server)

Netsh namespace show effectivepolicy

Netsh dnsclient show state

XTseminars mit Mr Caddock sollten wir noch nach Wien organisieren!

Mit freundlichen Grüßen
Paul Scholda                 

P.S.: Anmerkung von Christian Decker: Letztes Jahr gab es eine ähnliche Session, zu finden hier: teched 2009 Direct Access Technical Drilldown Part 1 IPv6 & Transition Technologies und hier teched 2009 Direct Access Technical Drilldown PArt 2 Putting it all together

Group Policy ist nun ein „hardened service“, kann also nicht gekillt werden, bzw. überschrieben

Group Policy ist nun NLA 2.0 aware (Network Location Awarness 2.0)

GPOTOOL.exe

Use the “Central Store” (ob der Store funktioniert, sieht man an der Grouppolicy)

Troubles:

Not correctly setup

SYSVOL not working

ADMX und ADML nicht im richtigen Verzeichnis

„alte“ Clients versuchen GPOL zu ändern

Achtung: Win 7 + R2 sind eine Spur „moderner“ als 2008 und Vista – daher Fehlers in der GPMC

XP Trouböle Shooting:

Major Events in Event Log

Log datei „userenv.log“:

Zum Lesen und Verstehen: wwwSysprosoft.com/policyreporter.html

Win 7:

Major Events System log (no userenv.log)

Minor Events in GroupPolicy Operational Log

Für Costum View: als Filter ‘Grouppolicy’, nicht ‘Group Policy’

Um jetzt genau einen Cycle zu troubleshooten, die Activity ID suchen, als Costum Query in the Costum Event Log.

GPLogView, downloadable from MS

Gplogview –m (Monitor)

GPResult /H GPReport.html

In der Grouppolicy Console kann man auch das Lesen von GPREsults „delegieren“.

Tracing kann eingeschalten werden – mit einer Grouppolicy, aber – diese muss man erst besorgen.

Ein echt wichtiger Stuff, das wird hilfreich in der Zukunft sein!

Mit freundlichen Grüßen
Paul Scholda                 

Iftekhar Hussain
Partner Consultant – Virtualization

Hector Linares
Senior Program Manager Virtualization and Datacenter Management

Virtual Machine Manager 2008 R2 Möglichkeiten

Quick Storage MIgration
es wird eine Difference Disc erzeugt, alle änderungen gehen in die Difference Disk, die VHD wird auf das neue Storage kopiert, wenn drüben, geht meine VM so lange in den Pause Status, bis die Differenial Disk migriert ist – sehr kurze Downtime

Powershell Automation

Cross Plattform – das gleiche Kommando funktioniert auf allen supporteten Plattformen
standardisierte Skripts und Prozeduren
Powershell ist wirklcih einfach !

Was kommt mit VMM Sp1

Support für Dynamic Memory in Hyper-V 208 R2 SP1
Support für RemoteFX in VMM (Multimonitor Support in VM)
Host braucht Remote Desktop Service Role enabled, CPU muss SLAT unterstützen und noch mehr Voraussetzungen (Folie zu rasch weg)

Intelligent Placement unterstützt Dynamic Memory – sucht einen Host, der den derzeitig verwendeten Memory verfügbar hat

Auch PRO (Performance Ressource Optimation) wurde an Dynamic Memory angepasst

Advanced Management mit SCVMM

Tipps and Tricks

VMm Configuration Analyzer 2008 R2
Free Download
Checkt, ob alles OK ist

Slow file transfer from Library ? Enable “Allow unencrypted file transfers” in library settings

Christian live von der TechEd 2010

Christian.Decker@microsoft.com

Jeff Wettlaufer, Sr. Technical Product Manager

http://blogs.technet.com/systemcenter

ServciePacks sind Änderungen, die wir “machen müssen” – mit SP1 und SP2 haben wir Plattformsupport (z.b. W7) gebracht

R-Releases sind “Value Add” – sind quasi Software Assurance Benefits

Scale Increase

über 300.000 Benutzer pro Site jetzt (sollt reichen für Österreich ;)  ) – diese Änderungen helfen aber auch Benutzern mit weniger Usern

Performance Enhancments

Neue Collection: Dynamically add new resources
Die Erkennung neuer Elemente im AD wurde wesentlich verbessert – in Realtime – d.h. wenn ich im AD einen Benutzer/Rechner anlege, sehe ich ihn (selbst bei 300.000 Benutezrn) quasi sofort (3 – 5 Minuten) im SCCM
D.h. von “Nicht im AD” bis “Ist in meiner SCCM Collection” dauert jetzt unter 10 Minuten (vorher über 24 Stunden)

Sie haben Research gemacht mit Kunden und festgestelt, dass immer weniger Benutzer sich täglich anmelden – legen den Rechner schlafen und entlocken ihn nur noch – d.h. mit der SCCM 2012 Edition wird nciht mehr das anloggen der wesetnlcihe Trigger für die Policies sein

Admin Console improvements – Verbesserungen in der Admin Konsole – ist immer noch die MMC (Ändert sich mit der nächsten Release)

Per Recher Maustaste:
Add to collection – fügt die ausgewählten Ressourcen einer existierenden Collection hinzu
New Collection – für die ausgewählten Ressourcen einer neuen Collection hinzu
Remove from Collection: Entfernt die ausgewählten Ressourcen von eienr Collection
Add ressources – bringt einen Dialog, die dem Admin erlaubt nach ressourcen zu suchen und direkte Memebership Rules zu erzeugen

Für mich als nicht SCCM Admin ein “Aha” – aber bei der Vorstellung dieser Features in Las Vegas gab es fast Standing Ovations, weil sie viel Zeit ersparen

Resource Management Improvements -

OS Deployment OEM Prestage media

Ich kann jetzt meine Boot.wim und install.wim in ein Image kombinieren und meinem OEM Factory Service (oder einem User) geben und damit einen immer aktuellen Rechner mit allen Softwarepaketen installeren – ist voll integriert im OS-Deployment und meine Task Sequences
Hier ist auch möglich, das Medium mit einem Kennwort zu schützen

Power Management

Monitor current power state and comsumption
Plan and create a power management policy, check for exceptions
Apply power management policies
Check compliance
Report savings in power cosumptions and costs and environment impact

geht auch mit XP und Vista....
aber ich werde unterschiedliche Ergebnisse sehen, weil XP anders über “Power” denkt als Win 7

Endlich eine Möglichkeit für die IT Abteilungen, die Stromsparfeatures von WIn 7 wirklcih in EUR zeigen zu können...

Christian, live von der Teched in Berlin
Christian.Decker@microsoft.com

Vortrag 1: Synchronisation von Mike Kostersitz

DirSync gibt es nach wie vor, ist erweitert worden (Powershell) und kann auch mehr administriert werden, bzw. gesteuert werden.

Größtes Problem aber: Nachwievor nur x86 und nicht auf einem DC Controller (.NET Framework 3.5 und Powershell erforderlich).

Zuerst bitte AD „saubermachen“, d.h., Sonderzeichen, etc. sonst bekommt man viele Fehlermeldungen.

Update von DirSync 1 machbar.

Einfaches DirSync mit diesem Tool möglich. Für komplexe Migrationen wird on-premise ein (zu zertifizierender) Exchange Server 2010 SP1 (Client Access Server) benötigt.

Dann sind Co-Existence Szenarien möglich und auch unterstützt, die Free/Busy ermöglichen, Online-Archive und on-premise-Mailboxen, moven der Systeme, etc. (Server Lizent nicht enthalten, Client CAL schon).

Nach GA: MS Forefront Identity Manager 2010 (x64, etc) wird neues Tool

Werde mich dann am Booth schlauer machen, aber zum Glück braucht man keine Federation zwingenderweise.

Witzig war, er sprach perfekt englisch, aber sobald er bemerkt, jemand spricht deutsch, redet er im  ebenso perfektem Wienerisch weiter – hätte es am schönen Bauch erkennen sollen – no offensive, Mike!

Vortrag 2: Office 265 Identity and Access

PW Policy controls for MS Online IDs

Single-Sign On with corporate credentials

Directory Sync update

5 Admin Roles

                Company

                Billing

UA

Helpdesk

Service Suppport

“Admin of behalf” for support partners

Mechanismen:

1. MS Online IDs (kleine Unternehmen ohne AD)

2. MS Online IDs + DirSync (co-existence möglich, auch für länger, Orgs with AD)

3. Federated IDs + DirSync (Active Directory Federation Server 2.0) (Nachteil: High-Availability Server notwendig; ist für große Unternehmen); jeder User braucht auch eine UPN mit einer öffentlichen Domain (also contoso.com statt contoso.local – Achtung: Impact z.B. bei SmartCArds)

Also Conclusio: Federation Services bedürfen einiger Anstrengungen und gehören genau geplant.

Mit freundlichen Grüßen
Paul Scholda                 

John Craddock, Infrastructure and Security Architect, XTSeminars Ltd
(Ach, welch ein Vergnügen, John ist ein Engländer mit einem unglaublich angenehmen Akzent.... British English ...)

Wichtig für die Zusammenarbeit mit der Cloud

Wie schaut Authentifizierung in der eigenen Umgebung aus ?

Single Sign on, Kerberos..
Developer müssen, um zu wissen, ob der User in einer bestimmten Gruppe ist, verschiedene Möglichkeiten prüfen.. Ad Lookup, SQL Lookup, ...
Wie schauts aus mit der Authentifizierung von draussen ?
Wie schaut die Authentifizierung über die Cloud aus ?
Wie gebe ich Partnern Zugriff auf meine Services ?

Das sind Herausforderungen heute... Wie löse ich das ?

Ziel ist ein Identity Framework das dies löst...

• Ein Framework, dass von allen Apps genutzt werden kann, unabhängig von der Location
• Ein Framework, das mehr INformationen enthält als nur der Benutzername und Gruppenmitgliedschaft – wo ich als Developer sagen kann, welche INformationen über den Benutzer ich brauche (Abteilung, Full Time Employee...)
• Ein Framework, wo ich einen Trust zu  meinem Partner baue, dass er seine Benutzer, die bei mir Zugreifen, selber authentifiziert
• Ein Framework, das auf Industriestandards basiert
• Ein Framework das für Browser und Webservcies funktioniert
  

Die Lösung:   Federation of Identity

Da gibt es viele Spieler im Markt – Microsoft Lösung ist Active Directory Federation Servcies (ADFS) 2.0

Key-Konzept:

Identity Profider (IP) – authentifiziert den Benutzer,
Security Token Service (STS)

User macht einen Identity Request: BItte gib mir einen Security-Token, der mir ermöglicht auf Ressource X zuzugreifen

Die Ressource X (Ressource Provider) vertraut dann meinem Security-Token

Wir brauchen Claims Aware Applikationen – Appliaktionen, die mit diesem Token umgehen können – spannend ist, dass  die Authentifizierung intern, im Extranet, im INternet und in der Cloud gleich funktioniert

SharePoint Servcies und SharePoint 2010 können enabled werden, um claim based identity zu unterstützen

ADFS ist INdustrie Standard und unterstützt aktive udn passive Clients

Passive Client

User greift auf Applikation zu
App stellt fest, User ist nicht authentifiziert und schickt uUser zur STS, der die App vertraut
ADFS STS authentifiziert User gegenüber dem AD
ADFS STS erzeugt einen Security Token mit allen notwendigen Informationen
User greift mit diesem Zertifikat auf App zu

X.509 Certificates

PKI ist für Kommunikation zwischen App und STS notwendig

Federation Metadata

Wenn ich die Verbindung zwischen der app und meinem ADFS herstelle, definiere ich, welche Infos ich bereitstellen kann, welche die App akzeptiert, tausche die Public Keys aus

Installing ADFS

recht einfach, ich brauche Server 2008 R2, braucht IIS, .net 3.5 SP1, WIF, Server Zertifikat, ...

Configuration

Ich muss dem ADFS mein AD als claims provider definieren
Ich muss die App als Claim requester defineiren

Ich kann pro Applikation festlegen, welche Infos diese Requesten darf und welche Benutzer meines ADs (oder auch aus einem SQL Server) diese App “nutzen” dürfen bzw. sich gegenüber dieser App authentifizieren dürfen

Sehr flexibel und wesntlich besser als bei ADFS 1.0

Sehr coole Lösung – für den Benutzer auf seinem Corp-Rechner schaut es so aus, als hätte er ein Single-Sign On beim Zugriff auf eine Partner-Webseite
In Wirklichkeit hat im Hintergrund sein AD ihn Authentifiziert und ihm ein Zertifikat ausgestellt...

Warum ist das auch noch interessant ?

Weil in Office365 die Authentifizierung über ADFS passiert (passieren kann) und damit ein echtes Single Sign on ist...

Christian, live aus Berlin von der Technet

Christian.decker@microsoft.com

Es ist 10:59 Uhr – Trommelwirbel…

…11:00 Uhr Die bestbewerteten Partner-Unternehmen/Anwendungen/Dienstleistungen sind/kommen von…

eHouse Informationstechnologie GmbH

HATAHET productivity solutions

IVELLIO-VELLIN

software architects gmbh

(in alphabetischer Reihenfolge)

Herzliche Gratulation zum Sieg der Pinpoint-Challenge und somit zur Auszeichnung als eines der bestbewertetes Microsoft-Partner-Unternehmen/Dienstleistung/Anwendung auf Microsoft Pinpoint Österreich - dem online Marktplatz zur Suche von IT Experten.

Wir danken für das großartige Engagement und freuen uns auf die weiterhin gute Zusammenarbeit! Die Preise werden in Kürze bei euch einlangen!

Danke an alle, die sich der Challenge gestellt haben – lasst uns Pinpoint weiter zum lebendigen Marktplatz machen zur gemeinsamen Akquise neuer Kunden!

Liebe Grüße,

Cornelia König

Ozman Mohiuddin, Director, Desktop Virtualization, MIcrosoft
Michael Cooper, Director, Business Development, Citrix

3 Dinge:

1.) USer Centric

95 war der User im Zentrum
2000 war der Fokus mehr auf die Unternehmen
jetzt ist der Fokus wieder stärker am User

Das hat die Desktop Landschaft geändert – der User hat 4 – 5 Geräte – Laptop, Desktop, Smartphone, Home-PC

der Benutzer will die Flexibilität in der Nutzung von Informationen – auf der Seite der IT muss ich die User Happy halten aber auch compliant und kostenbewußt handeln – das sit das Framework der Desktop Strategie

Desktop Strategie besteht aus 4 Elementen:

Was ist deien Management Strategie ? HW, OS, SW und Updates ? Wie deploye ich, wie manage ich , wie sichere ich die Daten, ...
Wie sichere ich die Daten ab, wie stelel ich fest, wer der User ist un ob es der richtige User ?
Anywhere Access ? “Wan is the new LAN” – wie schaut die USer-Experience aus, wenn cih von “draussen komme “ ?
Business Continuity ? Wie stelle ich den Betrieb sicher ? damit meine User/Apps nicht down sind

dies betrifft den Desktop egal welche Technologie und welcher Hersteller

2.) Define Desktop VIrtualisierung

Server Virtualisierung ist klar und stark IT Pro zentriert
Desktop Virtualisierung ist anders , her geht es um den Benutzer, die Benutzerakzeptanz

One Size doesn´t fit all ! Es kommt auf den Benutzer dran...

Beginnen muss ich mit den User Daten – User Stae Virtualization – das sit das wichtigste
Dann die Applikationsvirtualisierung – damit es egal ist, wo meine Software läuft – das sit die Zukunft der Apps

das ist gut für jede Art von Userdesktop !

Und das OS ?

Server based Computing:

Brauchst Du ein OS, das keine Benutzerindividualisierung braucht, nimm Remote Desktop Services
VDI is for high personalization/isolation, RDS sessions for high user density
Jeder Kunde ist anders, jeder Kunde hat Benutzergruppen für jede Art von OS Virtualisierung

BMW-Referenz:
85 k Benutzer in 250 Locations
85 000 App-V Seats deplayer mit 400 Apps
3000 Med-V seats in 2011

App Deplyoment time – 50 %
Compatibility Testing – 90 %

3.) Unified Management

grosse Änderung in System Center Config Manager_:

Vom Device Management zum User Management
Wir managene weiter auch Devices, aber das Zentrum ist der User – wie kann ich dem Benutzer seine Apps bereitstellen, auf allen Geräten, die er benutzt ?

Citrix

Citrix Reader – any Device von Thin to thick

USer State virtualisierung – macht den PC unique für den User
MS: Folder Redirection, Roaming USer Prilfes
Cirtrix: Personal Settings for virtual Desktops and Applications

Durch App-V haben Kunden die Anzahl ihrer Remote Desktop Server um 30 % reduziert, wei lich keine einzelnen Serverfarmen mehr brauche

VDI ist ein virtualisertes Desktop OS, gehostet von Hyper-V und gestreamt zum Benutezr so wie RDS
hat den Vorteil, es ist für den Benutzer wesentlcih flexibler, Benutzer kann Reg Keys verstellen, eigene Apps instalieren
Nachteil: ISt die teuerste Lösung – von Lizenzierung, Hardware, ... (10-20 mal so viele Benutzer auf gleicher HW zwischen RDS und VDI)

Citrix wird kurz nach Fertigstellung des SP1 für Win Servr 2008 R2 ein Update für ihr HDX rausbringen

Client hosted virtualzed Desktops:

Type 1 Hypervisior (wie Hyper-V)
Type 2 Hypervisior (Virtual PC, ...)

Lizenzierung:

1.) WIndows Virtual Desktop Access (VDA)
EUR 0,00 für Windows Client SA customer
EUR 100,00 / device frü Kunden ohne SA

2.) VDI Standard Suite – EUR 21/Jahr/Device (inkludiert Hyper-V, MDOP, VDI spezifische Nutzung von SCVMM, SCOM und RDS)
VDI EPermium Suite, EUR 53,00/device/Jahr (VDI Standard+RDS und App-V or RDS)

3) Xen Desktio VDI  USD 42,00
Xen Desktop Enterprise USD 95,00
Xen Desktop Platinum USD (weg ist die Folie)

---------------------------------------------------------

Fazit:

Was jeder braucht:

User State Virtualisierung und Applikationsvirtualisierung
Unabhängig davon, wie ich Apps und OS dem User zur Verfügung stelle

Und dann, abhängig vom Benutzer, abhängig vom Endgerät, abhängig von der Applikation Blechinstalliert, RDS, VDI

Vorteil vom MS und Citrix:
Gemeinsam bieten wir das beste Wissen und die besten Produkte für diese Lösungen !

Christian, live von der TecEd in Berlin

Christian.Decker@microsoft.com

Randy Treit
Senior Program Manager

Die Malware-Engine ist ident von FEP und Security Essentials

jeden Monat wird eine neue Version der Engine geshippt mit neuen Features
3 x am Tag werden neue Updates geschippt

es hat sich viel getan in der Engine, ein ganzes Slide voll ;)

Stack von Forefront Engine:

• FW & Configurationn Management
  
• Antimalware
  Besseres Monitoring von Prozessen, Registry und Network
  Bessere Performance für Server
  
• Dynamic Signature Servcie – Generics and Heuristic, Behavior Monitoring
  95 % Reduktion in WSUS Traffic
  UNC Unterstützung
  
  Wie erkennen wir Malware auch ohne dass wir eine Signatur dafür haben ?
  Wir beobachten und erkennen anhand des Verhaltens, so haben wir eien Signatur für mehr als 1000 Malwaretypen
  
  z.b. wenn ein Prozess IRC Traffic sendet, wenn ein Prozess Files erzeugt, die als Malware erkannt werden, ...
  
  nette Demo.. – Ein Programm, das einfach nur einen Eicar-Virus am Computer ablegt – der wird natürlcih erkannt.
  Wenn ich in der FEP allerdings in den Options einstelle, dass ich ein Premium Mitgleidschaft im Spynet haben möchte (kostenlos), schickt mein Rechner den Prozess, der den Eicar-.Virus auf den Rechenr schcikt an Spynet udn bekommt in Realtime eine aktualisierte Signatur, die dann diesen Prozess auch als malware erkennt
  
• Browser Protection
  
• Network Vulnerability Shielding
  Problem: Der Attaker schcikt über das Netzwerk ein Netzwrkpaket um einen Remotecomputer anzugreifen
  Problem ist, “normale” AV-SW erkennt das nciht, weil das Filesystem nciht angegriffen wird.
  NIS erkennt den Netzwerktraffic und erkennt dass hier Angriffe stattfinden und block diese Network-Style Angriffe
  Gilt für alle Angriffe, die am Client-Rechner ncoh nciht gepatcht sind – sobald die Angriffslücke gepacht ist, prüfen wir diese nciht merh am Netzwerk
  D.h. bei einer fully patched Maschine hat das keine Auswirkungen – Performancegewinn
  TMG hat diese Technologie auch schon länger
  
• Anti-Rootkit
  AV-Test.org – Detect inactive Rootkits: 100 %, Detect Active Rootkits: 100 %, Remove Active Rootkits: 86 %
  massive Steigerung gegenüber den letzten Jahren
  wir haben heir die Firma Komoku Inc gekauft, die eine gute Kernel INspection hat
  
  Wir haben den Quick Scan massiv verbessert und flexibler gemacht.
  War der Malware-Schutz inmmer aktiv, geht z.b. der Scan schneller. Disable ich den Malwareschutz und aktiviere ich ihn später wieder, war das System eine Zeit ungeschützt, das erkennt der Quick-Scan und überprüft wesentlcih mehr Dateien und Orte... D.h. je verdächtiger ein System aussieht, umso umfangreicher ist der Scan
  
• Malware Response
  FEP Kunden werden im Malware Response TEam bevorzugt behandelt
  ich kann Malware 24/7 einschicken und sehe meinen Status online...
  

Fragen:
Funktioineirt der Offline-Scanner auch mit Bitlocker ? Ja, allerdings brauche ich natürlcih ddn Recoverykey

Christian, live von der TechEd in Berlin
Christian.Decker@microsoft.com

Andy Malone MVP, MCT
CEO Quality Training (Scotland)

Die Session ist eine Awareness Session – ich muss wissen, wo die Gefahr ist, um Vorbereitet zu sein

DISCLAIMER: Alle hier vorgestellten Tools sind keine Empfehlungen von ihm oder von MS – USe it on your own Risks, die Benutzung in fremden Netzen ist ILLEGAL !
UNd immer dran denken: Die Tools sind von den bösen !

Cybercrime is one of the fastet-growing criminal activities on the planet

Es ist ein Business mit über 80 Milliarden $ Umsatz, die mehr als 1000 Leute beschäftigt, in vielen Ländern ist es legal, Hackingtools zu schreiben

Cybercrime geht von Spam, über Spionage, Creditkartenbetrüger, Kinderpornographie bis hin zu Terrorismus

Sind keine Hacker mehr, keine ScriptKiddies, da sit eine Industrie dahinter

Was ist das beste Hackingtool ? www.google.com , www.pipl.com

anderes Tool: FOCA – macht Websearch nach Filetypes z.b. PDF, downloaded sie und extrahiert infomrationen daraus. Ich sehe die Usernamen, ich sehe die Software, mit dem die Dokumente erzeugt wurden, Folders, Mails...
Das sit der erste Schritt, wie ich Informationen finde von einem potentiellen Ziel

Wie betrifft mich Cybercrime ?

System Failure – nicht nur Denial of Services Angriffe, sondern Systeme werden langsam und am schlimmsten ist der identity Theft – da wird dein ganzes Leben gestohlen, deien digitale Identität

ZenMap
Elcomsoft Internet Password Breaker
Cain & Able
NetworkMiner

MIt diesen Tools kann ich sehr schön Informationen finden, Usernames finden usw.
Aber was mach ich dann damit ?

Er meint, 50 % der MS Kunden patchen nicht – ich glaube das nur, wenn man hier auch 3th party Produkte miteinberechnet, dann sind es sicher mehr

Tool um sicher zu werden:

Microsoft Security Compliance Manager

Damit kann ich Securityrichtlinien, die empfohlen sind, via GroupPolicies durchsetzen – tolles Tool !

Schafft es ein Böser, wenn er es wirkclih will, in meine Firma einzudringen ? Ja...
Aber das Ziel muss sein, es schwerer zu machen – der Einbrecher nimmt auch das Nachabrhaus, wenn ich eine Alarmanlage habe udn eine Sicherheitstüre...

Nette Demo bez. HArddisk-Verschlüsselung:

Er kann einen gelockten, aber laufenden Rechner über die Firewire-Schnittstelle anzapfen und einerseits ein IMage der Verschlüsselten Harddisk und andererseits deinen Dump meines Memories runterladen. Dann gibt es ein Tool (kostenpflichtig) , dass aus beiden Files den Recoverykey der Hardwareverschlüsselung rauslesen kann – egal ob Bitlocker oder Truecrypt...

Deswegen Best Practice: TPM + PIN und ein Trusted Computing Group (TCG) compliant BIOS – dann funktioniert dieser Hack so nciht mehr

Disable Hybernation for Security
Disable Firewaire

Nette Session, nicht ganz so scary wie Markus, aber der Mann kennt sich auch aus und kann gut präsentieren...

Christian, live von der Teched in Berlin

Christian.Decker@microsoft.com

Kurzmitschriften Paul Scholda:

Archiving, Retention and Discovery with MS Exhange Server 2010 SP1

Archiv-DB kann nun getrennt von primärer DB sein

PST-Import nun möglich

Voller Support für Office365 und on-premise Exchange Server 2010 SP1, der User kann z.B. seine Mailbox lokal haben und das Archiv in-the-cloud und vice-versa.

Der User bemerkt überhaupt nichts, auch in OWA sieht er beide Ordner!

Retention Policies viel „feiner“ nun.

Managed Mailboxes auch flexibler als mit Exchange 2007 (Haltedauer, Löschzeit, etc.)

A Waklthrough for Office 365

Roled Based Model: So auf portal.microsoft.com wird je nach Userrechten das angezeigt, was man „darf“ (nur mehr eine URL)

Federations: man kann sein AD, mus aber nicht, mit Office365 „synchronisieren“ (ADFS mit mind. Windows Server 2008)

Service Connector. Installiert benötigte Updates (z.B. für office 2003) – Frage. Bleibt dieser aktiv?

Sharepoint: Powershell (remote), WebApps (laufen in einer Sandbox, MySite, Extranet

Live Demo: viele Checklists, so dass man “sauber” migrieren kann

Security Groups: endlich einfachere Rechteverwaltung

Vielfältige Reports über Spam, Usage, etc möglich

Viele Policy können verändert, eingestellt werden

Fragen: Umfang der einzelnen Suites (z.B. VM soll nicht in SB Variante sein); Einbindung InTune?

Generell: großer Schritt, jetzt ist es ein vollwertiges Produkt, auf Augenhöhe mit on-Premise Lösungen!

Paul Scholda                 

Jeremy Moskovitz

Das war das gestrige Highlight!

Jeremy hat vor seiner Session mit fast jedem persönlich geplaudert!

Das Demo war dann überzeugend:

Als normaler User ohne Admin-Rechte, Firefox geladen, UAC mit Esc beendet und FF trotzdem installiert!

Das Geheimnis, ein Verzeichnis, wo jeder R/W Rechte hat (%systemroot%\ProgramData), damit ist diese Maßnahme durch die Hersteller von Software auch untergraben (ursprünglich sollte dieses Verzeichnis nur zu Kompatibilitätszwecke verwendet werden, um alte SW zum Laufen zu bringen).

Dadurch, selbst wenn der IE abgesichert wird (der einzige Browser, der via Group Policies gemanaged werden kann), würden z.B. „böse“ Facebook-Apps via Chrome, FF, Safari durch den User ins System eingeschleppt werden – und wir wissen, wie einfallsreich User sind, die zwar ein Druckproblem nicht selbst lösen können, aber die Sicherheitsmaßnahmen des Sysadmins umgehen können!

Auf http://gpanswers.com findet man viele weiter GPOL Infos.

(bisschen irritierend, er verwendet VMware, nun gut, er ist ein MVP, kein MS Mitarbeiter)

Also als Lösung wäre Black-, bzw. White-Listing. Damit können obige Probleme verhindert werden.

Unter XP gab es bereits SRP (Software Restriction Policy), funktioniert noch unter Win7, aber  es gibt keinen Upgrade Pfad (obendrein „zieht“ zuerst AppLocker). Nur für Windows 7 EE + Ultimate und Server 2008 / R2! Ein weiterer Grund für Licensing und/oder InTune.

Reihenfolge, in der die Regeln ziehen:

1. Deny

2. Allow

3. Deny, wenn nicht erlaubt

Step1:

Execute and install Default rules (not necessary, but…)

Step 2:

Hinzufügen eigener Regeln

Step 3:

Starten des “Anwendungsidentität”-Dienst am Client!

(kann via GPOL eingeschalten werden; Achtung: braucht 2 Minuten, bis es aktiv wird)

Safety:

Hash rule am Besten,

dann Publisher (Publisher Cert kann gestohlen werden, siehe Security Bericht),

dann Path, hier kann „zuviel“ freigegeben werden (.DLLs sollten überwacht werden)

Man kann mit Rules explizit z.B. ab einer gewissen Version erlauben, auch dann ganz spezielle Versionen wieder verbieten (z.B. Adobe Reader ab 9.x, aber 9.2.0.1 nicht).

Der „Verboten“ Dialog kann verändert, bzw. ergänzt werden (GPOL).

Man kann eine „saubere“, „perfekte“ Maschine als Template übernehmen.

Policy können exportiert und dann am Server wieder migriert/importiert werden.

Für AppV: sowohl SFXTRAY.exe erlauben, als auch R/W Zugriff auf Q:

Diese Session hat viel gebracht! Fürchtet Euch, Ihr Standard User mit Euren iTunes, Safaris und ach so tollen Performance Apps, das wird nicht mehr gehen!

Mit freundlichen Grüßen
Paul Scholda                 

Rhonda Layfield
Sr. Consultant / Trainer

MDT – Microsoft Deployment Toolkit

(Die Basics über MDT werde ich hier nicht mehr aufschreiben, bitte im Blog nach MDT suchen, wurde ausreichend erklärt. Ich werde mich hier auf die Dinge beschränken, die neu sind)

XP Refresh Szenario:

1.) Ich brauche die App-Information vom Zielrechner

Registry – HKLM/Software/Microsoft/Windows/CurrentVersion/Uninstall
EXEs stehen im Klartext
MSI stehen dort mit GUI – im Displayname steht der Name – den GUID Name brauche ich
d.h. ich erzeuge ein Notepad mit Appname={GUID}

2.) ich muss die MDT Konfig konfiuroieren

Am Deployment Server in der Deployment Workbench füge ich die Apps, die ich übernehmen möchte, dazu
IN den Properties füge ich die GUID ein – in den Details der Applikation unter Details füge ich den Uninstall Key Name ein
Falls die App danach den Rechner durchstarten muss, kann ich das dort dem MDT sagen

LTIAppDetect.vbs – Script von Michael Niehaus die den Zielrechner auf Apps scannt
Das füe ich in den Properties des DeplyomentShares in den Custom Settings unter RULES ein.
userexit=LtiAppdetect.vbs – das Script liegt im DeploymentShare im Script Folder

Die Dame ist leider sehr schnell beim Erzählen (aber gut)
Die Idee dahinter ist, dass ich alle Applikationen am MDT bereitstelle, mit dem Script schaue, was der Suer auf seinem Rechenr installiert hat und genau diese Apps dann im Deplyomentprozess installiere.

3.) ich muss MDT Deplyoment Wizard starten

Hinweis: Etwaige Fehlermeldungen während des Deplyomentprozesses erscheinen HINTER dem Fortschrittsfenster !
D.h. wenn sich da lange ncihts tut, einfach das Fenster zur Seite bewegen ;)

4.) Ich brauche eine Liste, welche Apps am MDT installiert sind

5.) List&Registrys Scan = New List “PreSelect”

6.) USMT sammelt die Userdata und Settings und App-Settings auf Zielmaschine

Was tue ich, wenn ich Apps upgrade ? Übernimmt USMT die Einstellungen trotzdem ?
Kommt drauf an – beim manchen ja, bei manchen nein
Sie empfiehlt, zuerst die Apps upzugraden, bevor man XP auf Win 7 migriert.. Mehr Arbeit, aber funkt sicher...
Mit Office habe ich gute Erfahrungen gemacht, der Rest muss getestet werden

7.) XP bootet von Win PE und installiert WIn 7

8.) Apps werden vom MDT installiert

9.) USMT bringt INfos zurück

Hinweis: Wenn ich den Computernamen im Zuge des Deplyoments ändere, ist der alte Computer noch im AD – da muss ich nachher aufräumen...

Gute Webseiten:

AppDeploy.com – Gute Seite für AppKompatiilität und wie kann ich Installationen silent machen – dort sind Tausende Apps dokumentiert !

DeployVista.com
DeploymentCD.com  Johan Arwidmark – weiß mehr von MDT als Microsoft ;) – viele gute Tipps und UNterstützung !

Ich werde das Slidedeck downloaden und zur Verfügung stellen – die Mitschrift ist leider etwas chaotisch – aber die Dame war wirklich gut und im SLidedeck ist alles gut dokumentiert !

Christian – live von der TechEd in Berlin
Christian.Decker@microsoft.com