mwiederkehr

Die grösste Schwäche von Roaming Profiles ist ihre mangelhafte Kompatibilität zwischen verschiedenen Versionen von Windows. Mit einem NT4-Profil einmal auf Windows 2000 angemeldet und es ging nicht mehr umgekehrt. Mit einem Windows-7-Profil an Windows 10 angemeldet und man hatte mit V2 und V6 zwei vollkommen getrennte Profile. Wirkliche Probleme mit „defekten“ Profilen (Startmenü geht nicht mehr auf und ähnliches) hatte ich auch nur im Zusammenhang mit unterschiedlichen Versionen von Windows 10. Wenn man die Endgeräte bezüglich Updates im Griff hat und alle gleichzeitig updaten kann, gibt es eigentlich keine Probleme. Von einer Schule mit 150 Clients und über 600 Benutzern habe ich noch von keinem Profil-Problem gehört. Da hat man aber den Luxus, jährlich in den Sommerferien alle Geräte mit der aktuellen Version von Windows 10 neu ausrollen zu können. Daneben gilt es, die Profile so klein wie möglich zu halten, also Ordnerumleitung und allenfalls Ausschlüsse zu konfigurieren. Im „geroamten“ Teil sollte fast nur noch die Registry sein. Für das Szenario mit den Offline-Clients könnte man FSLogix ausprobieren. Laut Doku ist der Cloud Cache dafür vorgesehen: als erste Quelle eine lokale Freigabe angeben, als zweite Quelle Speicher bei Azure. Habe ich allerdings noch nie getestet. Ansonsten empfehle ich, zu definieren, was genau überhaupt zwischen den Rechnern synchronisiert werden soll. Mittlerweile gibt es für viele Anwendungen eine Lösung über die Cloud: OneDrive, Outlook kann die Einstellungen neuerdings in der Mailbox speichern, Edge kann Lesezeichen synchronisieren etc.

Mittels einer Subdomain geht das: entweder Du belässt den MX weiterhin zum bisherigen Provider zeigen und richtest bei Exchange Online die Postfächer mit einem Alias @mail.domain.de ein und konfigurierst für alle Adressen eine Weiterleitung auf die Subdomain-Adresse, oder Du machst es umgekehrt. Je nachdem, wo mehr Konten liegen. Wobei ich den MX bei Exchange Online bevorzugen würde, da Du dort in den Genuss eines guten Spamfilters kommst. Aber wie schon erwähnt, eine solche Konfiguration würde ich, wenn möglich, vermeiden. Ja, Du kannst beides löschen, dann löst er extern auf, wo dann alles zu Exchange Online zeigt.

Für eine Domain kann immer nur ein MX zuständig sein. Du könntest mit Subdomains und Weiterleitungen arbeiten, aber das will man in den meisten Fällen nicht. Dafür eignen sich wahrscheinlich freigegebene Postfächer, die sind kostenlos. Das geht mit gewissen Einschränkungen. Den SCP im AD musst Du noch entfernen. Bei zwölf Benutzern würde ich die PST-Dateien auf dem Exchange exportieren und mittels CSV-Import auf Exchange Online importieren. Oder, wenn Du es unterbruchsfrei und „einfach“ haben willst, nimmst Du SkyKick. Das synchronisiert laufend alle Konten zwischen lokal und Cloud und Du kannst zu einem beliebigen Zeitpunkt umstellen.

Nein, soweit ich weiss nicht. Azure AD heisst zwar „AD“, hat aber mit dem klassischen „AD“ nicht sehr viel gemein, ausser dass man sich dagegen authentifizieren kann. Das ginge, aber nur von lokal in die Cloud. Die Benutzer würden im lokalen AD verwaltet und in die Cloud synchronisiert, nicht umgekehrt. Ja, aber Du musst für RDS Device-CALs verwenden. User-CALs funktionieren nur, wenn der Server in einer Domäne ist. Um wie viele Mitarbeiter geht es denn? Evtl. bringst Du die Vereinssoftware in die Cloud und die Leute arbeiten dann mit dem lokalen Office und den Daten in OneDrive oder Teams.

Ich sehe das in diesem konkreten Fall nicht so pessimistisch wie Nils. "Website darstellen" ist wesentlich einfacher als "RDP-Verbindung herstellen", wo dann früher oder später die Frage nach Device-Redirection etc. kommt. Dazu kommt, dass man bei zehn Geräten schon etwas in die Entwicklung investieren kann und es für fast alles schon fertige[tm] Lösungen gibt. RasPis mit FullPageOs sollten den Zweck erfüllen. Oder, falls man Support und eine zentrale Konfiguration will, könnte man Mediaplayer aus dem Digital-Signage-Bereich verwenden. Das kleinste Modell von BrightSign würde zum Beispiel genügen. Dort dann als Inhalt einfach die Website als Vollbild anzeigen.

Sind die korrigierten Updates nicht kumulativ? Also kann man nicht das fehlerhafte Update deinstallieren und dann das korrigierte installieren?

Soweit ich weiss geht das nicht per GPO. Du kannst aber auf dem Drucker selbst das Drucken-Recht von "Jeder" entfernen und nur eine bestimmte Gruppe erlauben. Drucker, auf die man keine Drucken-Berechtigung hat, werden nicht angezeigt.

Ohne Microsoft für die jüngsten Probleme in Schutz nehmen zu wollen, sollte doch erwähnt werden, dass sie eine schwierige Aufgabe haben. Ein Patch muss nicht nur ein (Sicherheits-)Problem beheben, das System muss danach auch noch kompatibel zu allen unterstützten Versionen von Windows sowie Office, Exchange, SQL Server etc. sein. Das führt dann zwangsläufig zu „Verrenkungen“ wie Registry-Keys, die je nach Datum/Updatestand eine andere Funktion haben.

Die Testumgebung muss keine 1:1-Kopie der Produktivumgebung sein. (Sie sollte eigentlich keine Produktiv-Daten und -Passwörter enthalten, aber das ist ein anderes Thema.) Ich halte es in normalen Umgebungen auch für unrealistisch, alles zu testen. (Wer den Fehler bei der Outlook-Suche beim Dezember-Update bei eigenen Tests bemerkt hat, darf mir gerne widersprechen. ) Ich „teste“ auch hauptsächlich, indem ich die Meldungen im Internet verfolge. Aber ich installiere die Updates gestaffelt und auf den unwichtigsten Servern zuerst. Und, da man wie erwähnt nicht alles testen kann, ist es wichtig einen Plan zu haben, wie man im Falle eines Problems wieder auf den alten Stand zurückkommt. Wenn man per RDP einen Server beim Kunden patcht und der nicht mehr online kommt, sollte man Zugriff auf die Remotekonsole und das ISO von Veeam haben. In einem Hyper-V-Cluster patcht man nicht alle Hosts gleichzeitig, ebenso patcht man nicht alle DCs gleichzeitig. In dem Sinne sind die aktuellen Probleme zwar mühsam, aber nicht kritisch. Man bemerkt die Probleme ja immerhin unmittelbar. Mühsamer sind die Fehler, die erst nach ein paar Tagen auftauchen, wenn man nicht einfach den Snapshot wiederherstellen kann. Ich halte viele der dauernden Neuerungen ebenfalls für überflüssig. Aber Deine Aussage bezüglich Sicherheitsproblemen kann ich leider nicht bestätigen. Klar muss man schauen, welche Fehler behoben werden und auf einem isolierten Hyper-V ohne Internetzugang ist eine Lücke im Browser nicht so kritisch wie auf einem Terminalserver. Ich hatte jedoch schon öfter mit Systemen zu tun, die wegen fehlender Updates aufgemacht wurden. Besonders Systeme, die aus dem Internet erreichbar sind. Von der Qualität der letzten Updates bin ich auch enttäuscht. Es ist mir unverständlich, dass die Probleme bei den Tests nicht entdeckt wurden und dass es dann noch so lange gedauert hat, bis die Updates zurückgezogen wurden. Aber Microsoft kann trotzdem nicht in Deiner Umgebung testen. Sie haben nicht Deine Kombination an Hardware und nicht Deine Software.

Kann das mit dem Rückzug bestätigen: auf einem 2012 R2 wird KB5009586 nicht mehr angezeigt. Auf https://support.microsoft.com/de-de/topic/11-januar-2022-kb5009586-monatliches-rollup-9541f57c-89b0-48d6-ade2-31609678ce9b ist davon nichts zu lesen, auch nichts zu bekannten Problemen.

Hast Du Dir schon Gedanken zum Speicherort der Datensicherung gemacht? Sonst, mal unabhängig vom alten Server gedacht: NAS kaufen (Synology mit "+" in der Modellbezeichnung), allenfalls RAM aufrüsten, zwei Disks rein und Du kannst den DC darauf betreiben sowie zusätzlich die VMs mit der Lösung von Synology sichern. Somit wäre die Sicherung unabhängig vom Host und Du könntest Dir die VM mit Veeam sparen. Falls der Host ein Problem hat, kannst Du (sofern der RAM reicht) sogar eine VM direkt aus dem Backup auf dem NAS starten.

Laut „Quelle: Internet“ sollen die Probleme nur bei virtuellen DCs auftreten. Endlich eine Bestätigung für die viel gehörte Aussage „immer einen physischen DC betreiben“. Ich würde aber schon gerne mal von einem Insider erfahren, wie Updates bei Microsoft getestet werden und wie es trotzdem zu solchen Problemen kommen kann. In meiner Vorstellung laufen da tausende Unit Tests, aber da dürften solche Sachen oder auch das Jahr-2022-Problem bei Exchange nicht auftreten, oder die Druckprobleme oder das L2TP-Problem. Ich sollte ja nicht den ersten Stein werfen, da ich auch schon Software frisch aus dem Compiler verteilt habe, aber im Gegensatz zu den Entwicklern bei Microsoft hatte ich den Kunden anschliessend selbst am Telefon. (Der DevOps-Hype kommt bekanntlich davon, dass es erzieherisch auf Entwickler wirkt, wenn sie ihre Kreationen selbst betreiben müssen.)

Danke für den Link, hat mir wohl Ärger erspart! Am 1. Januar gleich ein Jahr-2022-Problem beim Exchange, jetzt wieder fehlerhafte Updates... Microsoft scheint seine Kunden immer aggressiver von den Vorteilen der Cloud überzeugen zu wollen.

Wenn die Auslastung nicht dauerhaft hoch ist, sollte der B4ms ausreichend sein. Aber: AD, Fileserver und SQL auf dem gleichen Server? Ich würde an Deiner Stelle prüfen, ob Du nicht gleich ganz in die Cloud kannst: Azure AD, OneDrive (oder Azure Files), Azure SQL. Das wäre günstiger und einfacher im Unterhalt (kein VPN notwendig etc.). Für virtuelle Maschinen ist Azure übrigens keine besonders günstige Lösung. Wenn man nur klassische VMs will, sind herkömmliche Hoster günstiger.

Nur zur Sicherheit: Der Einrichtungsassistent von Veeam läuft nicht im Benutzerkontext. Er „sieht“ keine verbundenen Netzlaufwerke und der Netzwerkbrowser ist unzuverlässig. Wenn Du den UNC-Pfad von Hand eingibst, die Zugangsdaten einträgst und dann auf „Populate“ klickst, sollte der Zugriff funktionieren. Veeam benötigt die Zugangsdaten auch, wenn Du das Laufwerk verbunden hast, da die Sicherung von einem Dienst ausgeführt wird. (Sonst könnte er nicht sichern, wenn Du nicht angemeldet bist respektive jeder Benutzer bräuchte Zugriff auf das Backup-Repository.)

Zwei Vollsicherungen sind etwas „besser“ als nur eine, da bei einem teilweisen Defekt die Chance grösser ist, noch an die Daten zu kommen. Deshalb mag ich auch keine „endlosen“ inkrementellen Ketten, auch wenn es möglich ist, eine Vollsicherung und 364 inkrementelle Sicherungen zu haben. Du könntest auch zwei Festplatten anschaffen und abwechselnd verwenden. Es ist sowieso empfehlenswert, zwei verschiedene Sicherungsmedien zu verwenden und eines davon offline zu haben.

Ja, das ist grundsätzlich richtig. Allerdings wird das Full Backup mit der Zeit fragmentieren, je nachdem wie viele und welche Daten ändern natürlich. Für einen Defrag ("Compact") wird dann doch der doppelte Platz benötigt: https://helpcenter.veeam.com/docs/agentforwindows/userguide/backup_compact_file.html?ver=50. Wobei bei 600 GB das meiste wohl Daten sein werden und diese häufig nicht so viel Differenz erzeugen. Bei Systembackups können die inkrementellen Dateien aber unverhofft recht gross werden wegen Windows Updates und dergleichen.

Soweit ich weiss, arbeitet der Veeam Agent "forever incremental": es wird also nie ein neues Full Backup erstellt, sondern nach Ablauf der Rückhaltefrist wird das älteste inkrementelle Backup in die Datei des Full Backup integriert. Siehe https://helpcenter.veeam.com/docs/agentforwindows/userguide/retention_days.html?ver=50.

Dazu fallen mir spontan folgende Anwendungen ein: - PDQ Deploy - syspectr - TeamViewer Patch Management - highsystem.NET - Acronis Cyber Protect Der Funktionsumfang, das Lizenzmodell und die Kosten der Lösungen sind sehr unterschiedlich.

Da "HP" und "USB-Dockingstation" erwähnt werden: Ist die Firmware auf den Dockingstations aktuell? Mit den USB G5 Dockingstationen von HP hatte ich die letzten Monate regelmässig Probleme mit kurzen Netzwerkunterbrüchen. Die Firmware von Ende Sommer hat das Problem entschärft und die aktuelle Version vom Herbst hat es behoben.

Falls die Software Benutzerberechtigungen abbilden muss und die Datenbank schützenswerte Informationen enthält, solltest Du Dir überlegen, den Zugriff vom Client nicht direkt auf die Datenbank zu machen, sondern einen Dienst (zum Beispiel Web Service) dazwischen zu schalten. Denn in SQL selbst lassen sich komplexere Zugriffsrechte nur schwer abbilden. "User X hat keinen Zugriff auf Tabelle t_buchhaltung" geht, aber "jeder Benutzer sieht Details nur bei seinen Projekten und kann Stunden nur auf aktive Projekte buchen" ist schwierig. Es geht, wenn man den direkten Zugriff auf Tabellen nicht erlaubt und alles über Stored Procedures abfragt/ändert, aber zumindest ich implementiere solche Sachen lieber im Code als im SQL. Ich erwähne das, weil ich in der Praxis immer wieder Software sehe, die das nicht so macht: man kann komplexe Berechtigungen vergeben, aber wenn man Access aufmacht und den SQL Server anhängt, hat man Vollzugriff auf die gesamte Datenbank.

Ja, das geht über die Azure Firewall. Ich meinte damit, dass Du die Datenbank evtl. ohne Mithilfe des Herstellers zu Azure zügeln kannst, aber dass der Herstellersupport Dir nicht hilft, wenn Du mal wegen eines Problems anrufst und erzählst, Du hättest die Datenbank zu Azure migriert.

Azure SQL könnte eine Lösung sein. Allerdings musst Du den Hersteller ins Boot holen, sonst hast Du Probleme mit dem Support. Aber wenn es eine moderne Anwendung ist, sollte die Umstellung von lokalem SQL auf Azure SQL kein Problem sein. Habe gerade kürzlich eine kleine Logistikfirma auf eine solche Lösung umgestellt. Bei der bietet der Hersteller Azure SQL sogar direkt an, man braucht also nicht mal ein Azure-Konto. Der Kunde ist begeistert, die Performance ist dank durchdachtem Caching super und er kann jetzt vollständig in der Cloud arbeiten.

Ein Partner aus dem Bereich arbeitet mit BrightSign. Der LS424 ist das Einstiegsmodell und sollte für Deine Bedürfnisse ausreichen.

Zwei weitere Möglichkeiten: Es gibt mittlerweile recht günstige Player aus dem Digital-Signage-Bereich. Die können zum Beispiel zeitgesteuert HTML-Inhalte anzeigen. Ist wohl auch ein RasPi drin, aber halt "fertige" Software drauf. Oder, wenn zu den Anzeigezeiten jemand an einem Rechner arbeitet, wäre ein HDMI-over-IP-Adapter eine Möglichkeit. Dann wäre der entfernte Monitor einfach die zweite Anzeige und man könnte ihn frei mit Inhalten bespielen, im Gegensatz zu einem zweiten Rechner ohne VNC oder TeamViewer.