mwiederkehr

Habe seit mehr als einem Jahrzehnt Mailstore im Einsatz. Der Kunde mit dem grössten Archiv hat mittlerweile knapp 5 TB E-Mails archiviert. Einen Vergleich habe ich nicht, aber es kann nicht schlecht sein, denn ich habe nie Support-Anfragen, obwohl es einige Kunden regelmässig verwenden, weil man darin besser Suchen kann als in Outlook.

Gehämmert wird immer, aber es ist mehr oder weniger lästig. Wird RDP gehämmert, können sich auch legitime Benutzer zeitweise nicht anmelden, da „interner Fehler aufgetreten“. Bei SSH hingegen werden höchstens die Logs gefüllt bzw. wenn man nur Zertifikats-Authentifizierung erlaubt, ist eigentlich Ruhe. RDP ist zumindest dem Anschein nach nicht entworfen worden, um direkt vom Internet her zugreifbar zu sein. Es unterstützt weder Mechanismen gegen Brute Force, noch Zertifikats-Authentifizierung. OpenVPN oder sonst etwas mit Zertifikaten wäre zu bevorzugen. Ganz konkret, mit Bordmitteln und für ein „Hobby-Szenario“ praktikabel: SSH. Mittels Batch wird vor dem Start des Remotedesktop-Clients eine SSH-Verbindung mit Port-Forwarding aufgebaut. Man muss dann zwei Passwörter eingeben, eines für den SSH-Key und einen für die Windows-Anmeldung am Server, aber dafür kann Port 3389 gegen aussen geschlossen bleiben.

Der Fehler sagt mir nichts im Zusammenhang mit IIS. Läuft auf dem Server noch ein anderer Webserver? Wenn localhost und IPv4 vom anderen Webserver besetzt wären, wäre nur IPv6 vom IIS verwendet und vom Server selbst ginge es evtl. und von den Clients nicht. Was sagt "netstat -ano | findstr :80"?

Es gibt auch Schalter für hinter der USV: https://www.apc.com/shop/au/en/products/RACK-ATS-230V-10A-C14-IN-12-C13-OUT/P-AP4421 Einen Eingang an die USV, einen direkt an den Strom (idealerweise andere Phase). Bei einem Ausfall schaltet er so schnell um, dass die Ladung in den Kondensatoren der Netzteile reichen sollte, um die Geräte in Betrieb zu halten. Solche Schalter verwendet man auch im Datacenter für Geräte mit nur einem Netzteil, da der Betreiber die "100% Uptime" meist nur für beide Feeds kombiniert garantiert.

Habe ich so noch nirgends im Einsatz gesehen. "\\localhost\c$\verzeichnis" sollte als erster Speicherort funktionieren. Du kannst bis zu vier Speicherorte angeben. Zu berücksichtigen ist, dass die Speicherorte direkt vom Client aktualisiert werden. Gibst Du zwei Fileserver an, gehen die doppelten Daten über die Leitung. Je nachdem ist das nicht so ideal, wenn mit mageren Leitungen (DSL Upload...) gearbeitet wird. Office Container sind eine Untermenge von Profile Containern. Ich sehe keinen Vorteil darin, beides gleichzeitig zu verwenden.

Ich kann ebenfalls PRTG empfehlen. Wobei der Vorteil „Einfachheit“ wegfällt, wenn es keine fertigen Sensoren für ein zu überwachendes Gerät gibt. Für Markenserver und verbreitete Software ist alles dabei, Server und Storage von HPE überwacht man ebenso leicht wie die Mailqueue von Exchange. Aber beim Smart-Status von Clients scheint es schwieriger zu sein. Evtl. wäre für die Clients ein anderes Monitoring geeigneter? Syspectr liefert die wichtigsten Parameter wie Speicherplatz, Smart-Status, Update-Status etc. ohne aufwendige Konfiguration. TeamViewer bietet soweit ich weiss auch eine entsprechende Lösung an oder sonst Intune.

Meine Azubis haben viel Spass mit https://www.codingame.com/. Es vermittelt nicht die Theorie, die muss man sich schon angeignet haben. Man übt anhand konkreter Aufgabenstellungen ("Raumschiff muss Gegnern ausweichen"). Das ist unterhaltsam und hält die Motivation hoch. Je weiter man kommt, desto schwieriger wird es. Besonders schön finde ich, dass man nach Abschluss einer Aufgabe seinen Code mit dem von anderen Benutzern vergleichen kann. Es gibt da regelrechte Wettkämpfe um den kürzesten Code. Es läuft alles im Browser und es werden diverse Programmiersprachen angeboten. Ich verwende das auch an Schnuppertagen, an denen die Schüler noch keine Vorkenntnisse im Programmieren haben. Die Art, wie sie die Aufgaben angehen, zeigt, ob sie als Entwickler geeignet sind. Einer hat mir nach zwei Stunden gesagt, das sei nichts für ihn, er würde lieber Systemtechnik anschauen. Kein Problem, auch da braucht es motivierte Leute. (In der Schweiz ist die Ausbildung getrennt zwischen "Applikationsentwickler" und "Systemtechniker" und es ist gut, wenn sich die Azubis von Anfang an für den Weg entscheiden, der ihnen besser liegt. Nicht einfach mit 15 Jahren.) Wenn man weiter ist, kann ich https://www.codecademy.com/ empfehlen. Das läuft auch im Browser, ist jedoch grösstenteils kostenpflichtig. Es baut Wissen schrittweise auf und geht sehr weit, bis zu Big Data und Machine Learning. Ein Praktikant, welcher die Fachhochschule berufsbegleitend absolviert, ist begeistert davon und wenn ich Zeit hätte, würde ich auch einige Themen darin anschauen.

Auch von mir gute Besserung! Als kleiner Trost: habe gehört, dass diejenigen, die von der Impfung umgehauen werden, vom Virus erst recht umgehauen würden. Der Booster war für mich auch am schlimmsten. Wobei ich hoffe, dass es sich damit hat und die weitere Immunisierung durch asymptomatische Infektionen geschieht. Oder eine Sprüh-Impfung für die Nase, für die Antikörper in der Schleimhaut.

Ihr wollte eine (eure?) Anwendung euren Kunden per Terminalserver zur Verfügung stellen? Dann braucht die Software keinen Zugriff auf euer internes Netzwerk? In diesem Fall würde ich (virtuelle) Server bei einem Hoster mieten, welcher per SPLA (Mietlizenzen) lizenziert. Damit dürft ihr beliebigen Benutzern Zugriff geben, auch ausserhalb eurer Firma. Veröffentlichen könnt ihr die Server über das RD Gateway, ein Webinterface wäre sicher benutzerfreundlich und falls ihr MFA möchtet, kann ich DUO empfehlen.

Sind dafür nicht App-Passwörter gedacht? https://support.microsoft.com/de-de/account-billing/erstellen-von-app-kennwörtern-auf-der-seite-sicherheitsinformationen-vorschau-d8bc744a-ce3f-4d4d-89c9-eb38ab9d4137

Die grösste Schwäche von Roaming Profiles ist ihre mangelhafte Kompatibilität zwischen verschiedenen Versionen von Windows. Mit einem NT4-Profil einmal auf Windows 2000 angemeldet und es ging nicht mehr umgekehrt. Mit einem Windows-7-Profil an Windows 10 angemeldet und man hatte mit V2 und V6 zwei vollkommen getrennte Profile. Wirkliche Probleme mit „defekten“ Profilen (Startmenü geht nicht mehr auf und ähnliches) hatte ich auch nur im Zusammenhang mit unterschiedlichen Versionen von Windows 10. Wenn man die Endgeräte bezüglich Updates im Griff hat und alle gleichzeitig updaten kann, gibt es eigentlich keine Probleme. Von einer Schule mit 150 Clients und über 600 Benutzern habe ich noch von keinem Profil-Problem gehört. Da hat man aber den Luxus, jährlich in den Sommerferien alle Geräte mit der aktuellen Version von Windows 10 neu ausrollen zu können. Daneben gilt es, die Profile so klein wie möglich zu halten, also Ordnerumleitung und allenfalls Ausschlüsse zu konfigurieren. Im „geroamten“ Teil sollte fast nur noch die Registry sein. Für das Szenario mit den Offline-Clients könnte man FSLogix ausprobieren. Laut Doku ist der Cloud Cache dafür vorgesehen: als erste Quelle eine lokale Freigabe angeben, als zweite Quelle Speicher bei Azure. Habe ich allerdings noch nie getestet. Ansonsten empfehle ich, zu definieren, was genau überhaupt zwischen den Rechnern synchronisiert werden soll. Mittlerweile gibt es für viele Anwendungen eine Lösung über die Cloud: OneDrive, Outlook kann die Einstellungen neuerdings in der Mailbox speichern, Edge kann Lesezeichen synchronisieren etc.

Mittels einer Subdomain geht das: entweder Du belässt den MX weiterhin zum bisherigen Provider zeigen und richtest bei Exchange Online die Postfächer mit einem Alias @mail.domain.de ein und konfigurierst für alle Adressen eine Weiterleitung auf die Subdomain-Adresse, oder Du machst es umgekehrt. Je nachdem, wo mehr Konten liegen. Wobei ich den MX bei Exchange Online bevorzugen würde, da Du dort in den Genuss eines guten Spamfilters kommst. Aber wie schon erwähnt, eine solche Konfiguration würde ich, wenn möglich, vermeiden. Ja, Du kannst beides löschen, dann löst er extern auf, wo dann alles zu Exchange Online zeigt.

Für eine Domain kann immer nur ein MX zuständig sein. Du könntest mit Subdomains und Weiterleitungen arbeiten, aber das will man in den meisten Fällen nicht. Dafür eignen sich wahrscheinlich freigegebene Postfächer, die sind kostenlos. Das geht mit gewissen Einschränkungen. Den SCP im AD musst Du noch entfernen. Bei zwölf Benutzern würde ich die PST-Dateien auf dem Exchange exportieren und mittels CSV-Import auf Exchange Online importieren. Oder, wenn Du es unterbruchsfrei und „einfach“ haben willst, nimmst Du SkyKick. Das synchronisiert laufend alle Konten zwischen lokal und Cloud und Du kannst zu einem beliebigen Zeitpunkt umstellen.

Nein, soweit ich weiss nicht. Azure AD heisst zwar „AD“, hat aber mit dem klassischen „AD“ nicht sehr viel gemein, ausser dass man sich dagegen authentifizieren kann. Das ginge, aber nur von lokal in die Cloud. Die Benutzer würden im lokalen AD verwaltet und in die Cloud synchronisiert, nicht umgekehrt. Ja, aber Du musst für RDS Device-CALs verwenden. User-CALs funktionieren nur, wenn der Server in einer Domäne ist. Um wie viele Mitarbeiter geht es denn? Evtl. bringst Du die Vereinssoftware in die Cloud und die Leute arbeiten dann mit dem lokalen Office und den Daten in OneDrive oder Teams.

Ich sehe das in diesem konkreten Fall nicht so pessimistisch wie Nils. "Website darstellen" ist wesentlich einfacher als "RDP-Verbindung herstellen", wo dann früher oder später die Frage nach Device-Redirection etc. kommt. Dazu kommt, dass man bei zehn Geräten schon etwas in die Entwicklung investieren kann und es für fast alles schon fertige[tm] Lösungen gibt. RasPis mit FullPageOs sollten den Zweck erfüllen. Oder, falls man Support und eine zentrale Konfiguration will, könnte man Mediaplayer aus dem Digital-Signage-Bereich verwenden. Das kleinste Modell von BrightSign würde zum Beispiel genügen. Dort dann als Inhalt einfach die Website als Vollbild anzeigen.

Sind die korrigierten Updates nicht kumulativ? Also kann man nicht das fehlerhafte Update deinstallieren und dann das korrigierte installieren?

Soweit ich weiss geht das nicht per GPO. Du kannst aber auf dem Drucker selbst das Drucken-Recht von "Jeder" entfernen und nur eine bestimmte Gruppe erlauben. Drucker, auf die man keine Drucken-Berechtigung hat, werden nicht angezeigt.

Ohne Microsoft für die jüngsten Probleme in Schutz nehmen zu wollen, sollte doch erwähnt werden, dass sie eine schwierige Aufgabe haben. Ein Patch muss nicht nur ein (Sicherheits-)Problem beheben, das System muss danach auch noch kompatibel zu allen unterstützten Versionen von Windows sowie Office, Exchange, SQL Server etc. sein. Das führt dann zwangsläufig zu „Verrenkungen“ wie Registry-Keys, die je nach Datum/Updatestand eine andere Funktion haben.

Die Testumgebung muss keine 1:1-Kopie der Produktivumgebung sein. (Sie sollte eigentlich keine Produktiv-Daten und -Passwörter enthalten, aber das ist ein anderes Thema.) Ich halte es in normalen Umgebungen auch für unrealistisch, alles zu testen. (Wer den Fehler bei der Outlook-Suche beim Dezember-Update bei eigenen Tests bemerkt hat, darf mir gerne widersprechen. ) Ich „teste“ auch hauptsächlich, indem ich die Meldungen im Internet verfolge. Aber ich installiere die Updates gestaffelt und auf den unwichtigsten Servern zuerst. Und, da man wie erwähnt nicht alles testen kann, ist es wichtig einen Plan zu haben, wie man im Falle eines Problems wieder auf den alten Stand zurückkommt. Wenn man per RDP einen Server beim Kunden patcht und der nicht mehr online kommt, sollte man Zugriff auf die Remotekonsole und das ISO von Veeam haben. In einem Hyper-V-Cluster patcht man nicht alle Hosts gleichzeitig, ebenso patcht man nicht alle DCs gleichzeitig. In dem Sinne sind die aktuellen Probleme zwar mühsam, aber nicht kritisch. Man bemerkt die Probleme ja immerhin unmittelbar. Mühsamer sind die Fehler, die erst nach ein paar Tagen auftauchen, wenn man nicht einfach den Snapshot wiederherstellen kann. Ich halte viele der dauernden Neuerungen ebenfalls für überflüssig. Aber Deine Aussage bezüglich Sicherheitsproblemen kann ich leider nicht bestätigen. Klar muss man schauen, welche Fehler behoben werden und auf einem isolierten Hyper-V ohne Internetzugang ist eine Lücke im Browser nicht so kritisch wie auf einem Terminalserver. Ich hatte jedoch schon öfter mit Systemen zu tun, die wegen fehlender Updates aufgemacht wurden. Besonders Systeme, die aus dem Internet erreichbar sind. Von der Qualität der letzten Updates bin ich auch enttäuscht. Es ist mir unverständlich, dass die Probleme bei den Tests nicht entdeckt wurden und dass es dann noch so lange gedauert hat, bis die Updates zurückgezogen wurden. Aber Microsoft kann trotzdem nicht in Deiner Umgebung testen. Sie haben nicht Deine Kombination an Hardware und nicht Deine Software.

Kann das mit dem Rückzug bestätigen: auf einem 2012 R2 wird KB5009586 nicht mehr angezeigt. Auf https://support.microsoft.com/de-de/topic/11-januar-2022-kb5009586-monatliches-rollup-9541f57c-89b0-48d6-ade2-31609678ce9b ist davon nichts zu lesen, auch nichts zu bekannten Problemen.

Hast Du Dir schon Gedanken zum Speicherort der Datensicherung gemacht? Sonst, mal unabhängig vom alten Server gedacht: NAS kaufen (Synology mit "+" in der Modellbezeichnung), allenfalls RAM aufrüsten, zwei Disks rein und Du kannst den DC darauf betreiben sowie zusätzlich die VMs mit der Lösung von Synology sichern. Somit wäre die Sicherung unabhängig vom Host und Du könntest Dir die VM mit Veeam sparen. Falls der Host ein Problem hat, kannst Du (sofern der RAM reicht) sogar eine VM direkt aus dem Backup auf dem NAS starten.

Laut „Quelle: Internet“ sollen die Probleme nur bei virtuellen DCs auftreten. Endlich eine Bestätigung für die viel gehörte Aussage „immer einen physischen DC betreiben“. Ich würde aber schon gerne mal von einem Insider erfahren, wie Updates bei Microsoft getestet werden und wie es trotzdem zu solchen Problemen kommen kann. In meiner Vorstellung laufen da tausende Unit Tests, aber da dürften solche Sachen oder auch das Jahr-2022-Problem bei Exchange nicht auftreten, oder die Druckprobleme oder das L2TP-Problem. Ich sollte ja nicht den ersten Stein werfen, da ich auch schon Software frisch aus dem Compiler verteilt habe, aber im Gegensatz zu den Entwicklern bei Microsoft hatte ich den Kunden anschliessend selbst am Telefon. (Der DevOps-Hype kommt bekanntlich davon, dass es erzieherisch auf Entwickler wirkt, wenn sie ihre Kreationen selbst betreiben müssen.)

Danke für den Link, hat mir wohl Ärger erspart! Am 1. Januar gleich ein Jahr-2022-Problem beim Exchange, jetzt wieder fehlerhafte Updates... Microsoft scheint seine Kunden immer aggressiver von den Vorteilen der Cloud überzeugen zu wollen.

Wenn die Auslastung nicht dauerhaft hoch ist, sollte der B4ms ausreichend sein. Aber: AD, Fileserver und SQL auf dem gleichen Server? Ich würde an Deiner Stelle prüfen, ob Du nicht gleich ganz in die Cloud kannst: Azure AD, OneDrive (oder Azure Files), Azure SQL. Das wäre günstiger und einfacher im Unterhalt (kein VPN notwendig etc.). Für virtuelle Maschinen ist Azure übrigens keine besonders günstige Lösung. Wenn man nur klassische VMs will, sind herkömmliche Hoster günstiger.

Nur zur Sicherheit: Der Einrichtungsassistent von Veeam läuft nicht im Benutzerkontext. Er „sieht“ keine verbundenen Netzlaufwerke und der Netzwerkbrowser ist unzuverlässig. Wenn Du den UNC-Pfad von Hand eingibst, die Zugangsdaten einträgst und dann auf „Populate“ klickst, sollte der Zugriff funktionieren. Veeam benötigt die Zugangsdaten auch, wenn Du das Laufwerk verbunden hast, da die Sicherung von einem Dienst ausgeführt wird. (Sonst könnte er nicht sichern, wenn Du nicht angemeldet bist respektive jeder Benutzer bräuchte Zugriff auf das Backup-Repository.)