Group Policy ist nun ein „hardened service“, kann also nicht gekillt werden, bzw. überschrieben

Group Policy ist nun NLA 2.0 aware (Network Location Awarness 2.0)

GPOTOOL.exe

Use the “Central Store” (ob der Store funktioniert, sieht man an der Grouppolicy)

Troubles:

Not correctly setup

SYSVOL not working

ADMX und ADML nicht im richtigen Verzeichnis

„alte“ Clients versuchen GPOL zu ändern

Achtung: Win 7 + R2 sind eine Spur „moderner“ als 2008 und Vista – daher Fehlers in der GPMC

XP Trouböle Shooting:

Major Events in Event Log

Log datei „userenv.log“:

Zum Lesen und Verstehen: wwwSysprosoft.com/policyreporter.html

Win 7:

Major Events System log (no userenv.log)

Minor Events in GroupPolicy Operational Log

Für Costum View: als Filter ‘Grouppolicy’, nicht ‘Group Policy’

Um jetzt genau einen Cycle zu troubleshooten, die Activity ID suchen, als Costum Query in the Costum Event Log.

GPLogView, downloadable from MS

Gplogview –m (Monitor)

GPResult /H GPReport.html

In der Grouppolicy Console kann man auch das Lesen von GPREsults „delegieren“.

Tracing kann eingeschalten werden – mit einer Grouppolicy, aber – diese muss man erst besorgen.

Ein echt wichtiger Stuff, das wird hilfreich in der Zukunft sein!

Mit freundlichen Grüßen
Paul Scholda                 

OK, da war ich am falschen Planet und muß noch viel lernen, sehr viel! Aber ich bekam eine Idee.

(nett, Mr Craddock erinnert mich in jeder Art an den „Original“-Q von James Bond)

No SA = No IPsec

ICMPv6 is exempt from IPsec

                Check with ping -6

NetSH is your best friend:

Demo zur Fehlersuche, Client kommt nicht auf’s Intranet:

Ping ‘http://sharepoint.internal’ – njet

Ping was anderes, ok, d.h., Internet ok

Ipconfig /all

Netsh interface 6to4 show state

Netsh interface 6to4 show relay

Ping ‘relay name’ (ipv4 failed)

Ping ipv6-gw-adress ok, aber wir brauchen beide

Netsh interface ipv6 show route

Netsh namespace show effectivepolicy

(nun den internen DA-Server pingen)

Ok, passt

Net view \\‘ipv6 adresse eines internen servers‘

Geht nicht, also wahrscheinlich IPsec das Problem sein.

Trick: In Netzwerkumgebung, Troubleshoot Assistent für DA starten. „falsche“ Fehlermeldung (DNS Server geht nicht, aber das haben wir gecheckt)

Immer (!) ein zweites Mal probieren!!! (Nun fehlt das Cert, abgelaufen)

Cert hjinzu, funktioniert!

‚DirectAccess Connectivity Assistent‘ hilft in einer Oberfläche mit der Suche (von MS Download für den Client)

Testen ggf auch, ob die CRL erreichbar!

NRPT (Name Resolution Table) dient dazu, den passenden DNS Server zu nehmen (www.bing.com, lokal konfigurierte DNS Server, interne Anfragen über die internen Server)

Netsh namespace show effectivepolicy

Netsh dnsclient show state

XTseminars mit Mr Caddock sollten wir noch nach Wien organisieren!

Mit freundlichen Grüßen
Paul Scholda                 

P.S.: Anmerkung von Christian Decker: Letztes Jahr gab es eine ähnliche Session, zu finden hier: teched 2009 Direct Access Technical Drilldown Part 1 IPv6 & Transition Technologies und hier teched 2009 Direct Access Technical Drilldown PArt 2 Putting it all together

Ralf Wigand
MVP Directory Services
KIT

10 Probleme, die er in ein AD eingebaut hat, echte Probleme, die er im real life gefunden hat

das erste (naja, zweite, das erste ist ein Kaffee) was er vom Kunden will, bevor er zum Troubleshooting beginnt, ist Dokumentation (selten bekommt er sie)

• AD Controller braucht in den IP4 Settings unbedingt das Hakerl: Register in DNS
• auch sollte ich das DHCP Service auf Rechnern mit fixer IP Adresse nciht stoppen, weil dieses Service auch die DNS Registrierung macht
• Multihome DC
  schlechte Idee, besonders wenn beide Ip Adressen im DNS registriert sind -
• Wenn ich Universal Groups verwende, sollte mein Global Catalog Server immer verfügbar sein
• du solltest niemals einen GC auf einem INfrastructure Master betreiben
  OK, wenn alle DCs GC sind
  wenn nciht, sollte der INfrastructure Master kein GC sein
• übrigens: Alle seine DCs waren CORE Server.... (nur so nebenei...)
• Zeit/Datumunterschied zwischen den Servern (DCs) und den Clients ist schlecht
  Timeservice sollte nicht disabled sein (sc config w32time start= auto (vorsicht auf das Leerzeichen nach dem = ) !
  Default Toleranz ist 5 Minuten ! (sollte man auch nicht ändern....)
• in virtualisierten UMgebungen sollte man die Zeit syncen entweder:
  mit dem Host oder
  mit dem DC
  aber nicht mit beiden ! – Grundsätzlich ist egal, welche Mögliceit man verwendet, er empfiehlt eher, die TimeSync mit dem Host zu disablen
• 2 default domain policies
  Default Domain Policy
  Default Domain Controller Policiy
  beide sollte ich NIE modifizieren !
  es gibt ein tool dcgpofix – damit kann ich die Default Domain Policies restoren...
  kann Probleme mit Group Policies lösen
• immer wenn ich das Problem habe: Manchmal gehts, manchmal nicht, sollte ich meine DCs checken
  in seiner Demo kann isch der SUer 11 und User 12 manchmal anmelden, manchmal nicht.
  Am DC1 gibts den User nciht, am DC2 schon – obwohl die DCs voll syncronisiert sind
  sind Lingering Objects
  die entstehen, wenn ich längere Zeit keine funktionierende Replikation habe
  wenn ich ein Objekt lösche, sit es nciht gelöscht, sondern bekommt eine Flag. Du bist deleted (weil ein Objekt, das nciht mehr da ist, kann ich schelcht replizieren ;) )
  wenn die Lifetime dieses Objekts nun vorbei ist, wird es gelöscht.
  Passiert nun während dieser Lifetime keine Replikation, wird das Objekt gelöscht und nie wieder repliziert)
  
  mit repadmin /removelingeringobjects kann ich das auflösen (nur machen, wenn ich verstehe was ich tue !)
  
• USN rollback
  Restore a DC from a snapshot
  immer wenn ich ein Update asl DC mache, erhöhe ich meine USN (Update sequence number)
  Werde ich restored, habe ich eine kleinere USN und die anderen DCs mögen mich nciht mehr
  Ausserdem ist alles, was ich den anderen DCs geschickt habe, nichtmehr zu mir repliziert, weil die es ja von mir bekommen haben :(
  
  Wie löst man dieses Problem ?
  MMhh – gar nicht – sehr schwierig
  einfache Lösung: NEVER USE A SNAPSHOT ON DOMAIN CONTROLLER !
  wenn dein DC crasht, lösche ihn aus dem AD, setze ihn neu auf, ist schneller und besser
  

Christian, live von der letzten Session von der TechEd in Berlin

Danke fürs Mitlesen, danke fürs Feedback, dass ich schon bekommen habe, danke für das Feedback, dass ich noch bekommen werde (;)

Christian.Decker@microsoft.com

Wie auf jeder großen Microsoft-Veranstaltung gibt es hier nicht nur viele, viele Vorträge, sondern auch 2 große Ausstellungshallen.

In einer tummeln sich alle Microsoft-Produkte mit ihren Productmanagern – eine wirklich gute Gelegenheit, direkt mit den Personen zu reden, die Produkte designen, produzieren, bauen bzw. dafür verantwortlich sind. Und ein kleiner Tipp von mir: Wenn Dir so ein Product-manager sagt: “Oh, send me an email and I will help you” – ist das keine Abwimmelungsmasche, sondern der meint das ernst: Karterl mitnehmen, 2 Wochen warten (weil er bekommt viele Mails nach einer Messe und hat die Inbox voll) und ihm schreiben. Die Jungs und Mädls sind sehr dankbar für (onstruktives) Feedback.

Die zweite Messehalle erinnert mich an die guten alten ITnT oder IFABO (kann sich an die noch wer erinnern ;) ?) Zeiten

Viele Hersteller, Hard- und Software, viele gute Add-Ons für MS Produkte und – TROMMELWIRBEL – sogar 2 österreichische Aussteller:

schwer empfehlenswert für alle Infrastrukturpartner, Secureguard baut Appliances für TMG und UAG, fix und fertig, extrem preisgünstig (im Vergleich zu den Kosten von HW, OS und SW), beginnt ab EUR 999,00 – so einfach wie andere Box-Firewalls, aber mit der Mächtigkeit eines TMGs und UAGs

Und als zweiter Aussteller, aus dem gleichen Tätigkeitsbereich Security, unseren einzigen öst. AV-Hersteller:

lage und eng mit Microsoft verbunden, Lösungen vom Klein- bis zum Großunternehmen und nicht mehr “nur” Malwareschutz am Client, sondern ein breites Produktportfolio bis hin zum gehosteten Webproxy...

D.h. für alle, die meinen, die TechEd eh durch die Live-Berichterstattung zu erleben, sei gesagt: Die Vorträge sind nur ein Teil des Ganzen – mindestens ebenso wichtig sind hier die unzähligen Kontakte, die man knüpfen kann, die Gespräche mit Kunden, anderen Partnern und den unzähligen Microsoftkollegen aus Österreich und dem Rest der Welt.

Am besten jetzt schon einplanen, die TechEd 2011, wahrscheinlich wieder in Berlin, ziemlich sicher wieder im November....

Christian – live von der TechEd in Berlin

John Craddock, Infrastructure and Security Architect, XTSeminars Ltd
(Ach, welch ein Vergnügen, John ist ein Engländer mit einem unglaublich angenehmen Akzent.... British English ...)

Wichtig für die Zusammenarbeit mit der Cloud

Wie schaut Authentifizierung in der eigenen Umgebung aus ?

Single Sign on, Kerberos..
Developer müssen, um zu wissen, ob der User in einer bestimmten Gruppe ist, verschiedene Möglichkeiten prüfen.. Ad Lookup, SQL Lookup, ...
Wie schauts aus mit der Authentifizierung von draussen ?
Wie schaut die Authentifizierung über die Cloud aus ?
Wie gebe ich Partnern Zugriff auf meine Services ?

Das sind Herausforderungen heute... Wie löse ich das ?

Ziel ist ein Identity Framework das dies löst...

• Ein Framework, dass von allen Apps genutzt werden kann, unabhängig von der Location
• Ein Framework, das mehr INformationen enthält als nur der Benutzername und Gruppenmitgliedschaft – wo ich als Developer sagen kann, welche INformationen über den Benutzer ich brauche (Abteilung, Full Time Employee...)
• Ein Framework, wo ich einen Trust zu  meinem Partner baue, dass er seine Benutzer, die bei mir Zugreifen, selber authentifiziert
• Ein Framework, das auf Industriestandards basiert
• Ein Framework das für Browser und Webservcies funktioniert
  

Die Lösung:   Federation of Identity

Da gibt es viele Spieler im Markt – Microsoft Lösung ist Active Directory Federation Servcies (ADFS) 2.0

Key-Konzept:

Identity Profider (IP) – authentifiziert den Benutzer,
Security Token Service (STS)

User macht einen Identity Request: BItte gib mir einen Security-Token, der mir ermöglicht auf Ressource X zuzugreifen

Die Ressource X (Ressource Provider) vertraut dann meinem Security-Token

Wir brauchen Claims Aware Applikationen – Appliaktionen, die mit diesem Token umgehen können – spannend ist, dass  die Authentifizierung intern, im Extranet, im INternet und in der Cloud gleich funktioniert

SharePoint Servcies und SharePoint 2010 können enabled werden, um claim based identity zu unterstützen

ADFS ist INdustrie Standard und unterstützt aktive udn passive Clients

Passive Client

User greift auf Applikation zu
App stellt fest, User ist nicht authentifiziert und schickt uUser zur STS, der die App vertraut
ADFS STS authentifiziert User gegenüber dem AD
ADFS STS erzeugt einen Security Token mit allen notwendigen Informationen
User greift mit diesem Zertifikat auf App zu

X.509 Certificates

PKI ist für Kommunikation zwischen App und STS notwendig

Federation Metadata

Wenn ich die Verbindung zwischen der app und meinem ADFS herstelle, definiere ich, welche Infos ich bereitstellen kann, welche die App akzeptiert, tausche die Public Keys aus

Installing ADFS

recht einfach, ich brauche Server 2008 R2, braucht IIS, .net 3.5 SP1, WIF, Server Zertifikat, ...

Configuration

Ich muss dem ADFS mein AD als claims provider definieren
Ich muss die App als Claim requester defineiren

Ich kann pro Applikation festlegen, welche Infos diese Requesten darf und welche Benutzer meines ADs (oder auch aus einem SQL Server) diese App “nutzen” dürfen bzw. sich gegenüber dieser App authentifizieren dürfen

Sehr flexibel und wesntlich besser als bei ADFS 1.0

Sehr coole Lösung – für den Benutzer auf seinem Corp-Rechner schaut es so aus, als hätte er ein Single-Sign On beim Zugriff auf eine Partner-Webseite
In Wirklichkeit hat im Hintergrund sein AD ihn Authentifiziert und ihm ein Zertifikat ausgestellt...

Warum ist das auch noch interessant ?

Weil in Office365 die Authentifizierung über ADFS passiert (passieren kann) und damit ein echtes Single Sign on ist...

Christian, live aus Berlin von der Technet

Christian.decker@microsoft.com

Iftekhar Hussain
Partner Consultant – Virtualization

Hector Linares
Senior Program Manager Virtualization and Datacenter Management

Virtual Machine Manager 2008 R2 Möglichkeiten

Quick Storage MIgration
es wird eine Difference Disc erzeugt, alle änderungen gehen in die Difference Disk, die VHD wird auf das neue Storage kopiert, wenn drüben, geht meine VM so lange in den Pause Status, bis die Differenial Disk migriert ist – sehr kurze Downtime

Powershell Automation

Cross Plattform – das gleiche Kommando funktioniert auf allen supporteten Plattformen
standardisierte Skripts und Prozeduren
Powershell ist wirklcih einfach !

Was kommt mit VMM Sp1

Support für Dynamic Memory in Hyper-V 208 R2 SP1
Support für RemoteFX in VMM (Multimonitor Support in VM)
Host braucht Remote Desktop Service Role enabled, CPU muss SLAT unterstützen und noch mehr Voraussetzungen (Folie zu rasch weg)

Intelligent Placement unterstützt Dynamic Memory – sucht einen Host, der den derzeitig verwendeten Memory verfügbar hat

Auch PRO (Performance Ressource Optimation) wurde an Dynamic Memory angepasst

Advanced Management mit SCVMM

Tipps and Tricks

VMm Configuration Analyzer 2008 R2
Free Download
Checkt, ob alles OK ist

Slow file transfer from Library ? Enable “Allow unencrypted file transfers” in library settings

Christian live von der TechEd 2010

Christian.Decker@microsoft.com

Jeff Wettlaufer, Sr. Technical Product Manager

http://blogs.technet.com/systemcenter

ServciePacks sind Änderungen, die wir “machen müssen” – mit SP1 und SP2 haben wir Plattformsupport (z.b. W7) gebracht

R-Releases sind “Value Add” – sind quasi Software Assurance Benefits

Scale Increase

über 300.000 Benutzer pro Site jetzt (sollt reichen für Österreich ;)  ) – diese Änderungen helfen aber auch Benutzern mit weniger Usern

Performance Enhancments

Neue Collection: Dynamically add new resources
Die Erkennung neuer Elemente im AD wurde wesentlich verbessert – in Realtime – d.h. wenn ich im AD einen Benutzer/Rechner anlege, sehe ich ihn (selbst bei 300.000 Benutezrn) quasi sofort (3 – 5 Minuten) im SCCM
D.h. von “Nicht im AD” bis “Ist in meiner SCCM Collection” dauert jetzt unter 10 Minuten (vorher über 24 Stunden)

Sie haben Research gemacht mit Kunden und festgestelt, dass immer weniger Benutzer sich täglich anmelden – legen den Rechner schlafen und entlocken ihn nur noch – d.h. mit der SCCM 2012 Edition wird nciht mehr das anloggen der wesetnlcihe Trigger für die Policies sein

Admin Console improvements – Verbesserungen in der Admin Konsole – ist immer noch die MMC (Ändert sich mit der nächsten Release)

Per Recher Maustaste:
Add to collection – fügt die ausgewählten Ressourcen einer existierenden Collection hinzu
New Collection – für die ausgewählten Ressourcen einer neuen Collection hinzu
Remove from Collection: Entfernt die ausgewählten Ressourcen von eienr Collection
Add ressources – bringt einen Dialog, die dem Admin erlaubt nach ressourcen zu suchen und direkte Memebership Rules zu erzeugen

Für mich als nicht SCCM Admin ein “Aha” – aber bei der Vorstellung dieser Features in Las Vegas gab es fast Standing Ovations, weil sie viel Zeit ersparen

Resource Management Improvements -

OS Deployment OEM Prestage media

Ich kann jetzt meine Boot.wim und install.wim in ein Image kombinieren und meinem OEM Factory Service (oder einem User) geben und damit einen immer aktuellen Rechner mit allen Softwarepaketen installeren – ist voll integriert im OS-Deployment und meine Task Sequences
Hier ist auch möglich, das Medium mit einem Kennwort zu schützen

Power Management

Monitor current power state and comsumption
Plan and create a power management policy, check for exceptions
Apply power management policies
Check compliance
Report savings in power cosumptions and costs and environment impact

geht auch mit XP und Vista....
aber ich werde unterschiedliche Ergebnisse sehen, weil XP anders über “Power” denkt als Win 7

Endlich eine Möglichkeit für die IT Abteilungen, die Stromsparfeatures von WIn 7 wirklcih in EUR zeigen zu können...

Christian, live von der Teched in Berlin
Christian.Decker@microsoft.com

Vortrag 1: Synchronisation von Mike Kostersitz

DirSync gibt es nach wie vor, ist erweitert worden (Powershell) und kann auch mehr administriert werden, bzw. gesteuert werden.

Größtes Problem aber: Nachwievor nur x86 und nicht auf einem DC Controller (.NET Framework 3.5 und Powershell erforderlich).

Zuerst bitte AD „saubermachen“, d.h., Sonderzeichen, etc. sonst bekommt man viele Fehlermeldungen.

Update von DirSync 1 machbar.

Einfaches DirSync mit diesem Tool möglich. Für komplexe Migrationen wird on-premise ein (zu zertifizierender) Exchange Server 2010 SP1 (Client Access Server) benötigt.

Dann sind Co-Existence Szenarien möglich und auch unterstützt, die Free/Busy ermöglichen, Online-Archive und on-premise-Mailboxen, moven der Systeme, etc. (Server Lizent nicht enthalten, Client CAL schon).

Nach GA: MS Forefront Identity Manager 2010 (x64, etc) wird neues Tool

Werde mich dann am Booth schlauer machen, aber zum Glück braucht man keine Federation zwingenderweise.

Witzig war, er sprach perfekt englisch, aber sobald er bemerkt, jemand spricht deutsch, redet er im  ebenso perfektem Wienerisch weiter – hätte es am schönen Bauch erkennen sollen – no offensive, Mike!

Vortrag 2: Office 265 Identity and Access

PW Policy controls for MS Online IDs

Single-Sign On with corporate credentials

Directory Sync update

5 Admin Roles

                Company

                Billing

UA

Helpdesk

Service Suppport

“Admin of behalf” for support partners

Mechanismen:

1. MS Online IDs (kleine Unternehmen ohne AD)

2. MS Online IDs + DirSync (co-existence möglich, auch für länger, Orgs with AD)

3. Federated IDs + DirSync (Active Directory Federation Server 2.0) (Nachteil: High-Availability Server notwendig; ist für große Unternehmen); jeder User braucht auch eine UPN mit einer öffentlichen Domain (also contoso.com statt contoso.local – Achtung: Impact z.B. bei SmartCArds)

Also Conclusio: Federation Services bedürfen einiger Anstrengungen und gehören genau geplant.

Mit freundlichen Grüßen
Paul Scholda                 

Kurzmitschriften Paul Scholda:

Archiving, Retention and Discovery with MS Exhange Server 2010 SP1

Archiv-DB kann nun getrennt von primärer DB sein

PST-Import nun möglich

Voller Support für Office365 und on-premise Exchange Server 2010 SP1, der User kann z.B. seine Mailbox lokal haben und das Archiv in-the-cloud und vice-versa.

Der User bemerkt überhaupt nichts, auch in OWA sieht er beide Ordner!

Retention Policies viel „feiner“ nun.

Managed Mailboxes auch flexibler als mit Exchange 2007 (Haltedauer, Löschzeit, etc.)

A Waklthrough for Office 365

Roled Based Model: So auf portal.microsoft.com wird je nach Userrechten das angezeigt, was man „darf“ (nur mehr eine URL)

Federations: man kann sein AD, mus aber nicht, mit Office365 „synchronisieren“ (ADFS mit mind. Windows Server 2008)

Service Connector. Installiert benötigte Updates (z.B. für office 2003) – Frage. Bleibt dieser aktiv?

Sharepoint: Powershell (remote), WebApps (laufen in einer Sandbox, MySite, Extranet

Live Demo: viele Checklists, so dass man “sauber” migrieren kann

Security Groups: endlich einfachere Rechteverwaltung

Vielfältige Reports über Spam, Usage, etc möglich

Viele Policy können verändert, eingestellt werden

Fragen: Umfang der einzelnen Suites (z.B. VM soll nicht in SB Variante sein); Einbindung InTune?

Generell: großer Schritt, jetzt ist es ein vollwertiges Produkt, auf Augenhöhe mit on-Premise Lösungen!

Paul Scholda                 

Rhonda Layfield
Sr. Consultant / Trainer

MDT – Microsoft Deployment Toolkit

(Die Basics über MDT werde ich hier nicht mehr aufschreiben, bitte im Blog nach MDT suchen, wurde ausreichend erklärt. Ich werde mich hier auf die Dinge beschränken, die neu sind)

XP Refresh Szenario:

1.) Ich brauche die App-Information vom Zielrechner

Registry – HKLM/Software/Microsoft/Windows/CurrentVersion/Uninstall
EXEs stehen im Klartext
MSI stehen dort mit GUI – im Displayname steht der Name – den GUID Name brauche ich
d.h. ich erzeuge ein Notepad mit Appname={GUID}

2.) ich muss die MDT Konfig konfiuroieren

Am Deployment Server in der Deployment Workbench füge ich die Apps, die ich übernehmen möchte, dazu
IN den Properties füge ich die GUID ein – in den Details der Applikation unter Details füge ich den Uninstall Key Name ein
Falls die App danach den Rechner durchstarten muss, kann ich das dort dem MDT sagen

LTIAppDetect.vbs – Script von Michael Niehaus die den Zielrechner auf Apps scannt
Das füe ich in den Properties des DeplyomentShares in den Custom Settings unter RULES ein.
userexit=LtiAppdetect.vbs – das Script liegt im DeploymentShare im Script Folder

Die Dame ist leider sehr schnell beim Erzählen (aber gut)
Die Idee dahinter ist, dass ich alle Applikationen am MDT bereitstelle, mit dem Script schaue, was der Suer auf seinem Rechenr installiert hat und genau diese Apps dann im Deplyomentprozess installiere.

3.) ich muss MDT Deplyoment Wizard starten

Hinweis: Etwaige Fehlermeldungen während des Deplyomentprozesses erscheinen HINTER dem Fortschrittsfenster !
D.h. wenn sich da lange ncihts tut, einfach das Fenster zur Seite bewegen ;)

4.) Ich brauche eine Liste, welche Apps am MDT installiert sind

5.) List&Registrys Scan = New List “PreSelect”

6.) USMT sammelt die Userdata und Settings und App-Settings auf Zielmaschine

Was tue ich, wenn ich Apps upgrade ? Übernimmt USMT die Einstellungen trotzdem ?
Kommt drauf an – beim manchen ja, bei manchen nein
Sie empfiehlt, zuerst die Apps upzugraden, bevor man XP auf Win 7 migriert.. Mehr Arbeit, aber funkt sicher...
Mit Office habe ich gute Erfahrungen gemacht, der Rest muss getestet werden

7.) XP bootet von Win PE und installiert WIn 7

8.) Apps werden vom MDT installiert

9.) USMT bringt INfos zurück

Hinweis: Wenn ich den Computernamen im Zuge des Deplyoments ändere, ist der alte Computer noch im AD – da muss ich nachher aufräumen...

Gute Webseiten:

AppDeploy.com – Gute Seite für AppKompatiilität und wie kann ich Installationen silent machen – dort sind Tausende Apps dokumentiert !

DeployVista.com
DeploymentCD.com  Johan Arwidmark – weiß mehr von MDT als Microsoft ;) – viele gute Tipps und UNterstützung !

Ich werde das Slidedeck downloaden und zur Verfügung stellen – die Mitschrift ist leider etwas chaotisch – aber die Dame war wirklich gut und im SLidedeck ist alles gut dokumentiert !

Christian – live von der TechEd in Berlin
Christian.Decker@microsoft.com