mwiederkehr

Würde ich nicht machen. Wenn mal was ist am Netzwerk oder Fileserver, hängt sich auf den Clients dann gerne der ganze Explorer auf. Meist geht es ja um Dokumente wie Arbeitsrapport oder Spesenabrechnung, die auf dem Desktop „sein müssen“. Ich lege die jeweils ins Home-Laufwerk und erstelle eine Verknüpfung auf dem Desktop.

Wissen kann man es nicht, aber ich gehe nicht davon aus, dass Microsoft Office 365 absichtlich nicht auf Server 2022 laufen lassen wird. Es ist Stand heute einfach nicht supported (was ja leider Grund genug ist, es nicht zu verwenden). Office LTSC läuft auf 2022, von daher würde ich nicht direkt vom Ende des Terminalservers sprechen. Von der Funktionalität her ist ein Terminalserver ja näher bei einem Client als einem Server, deshalb wäre Windows 10 bzw. 11 eine gute Basis. Schade, dass Multisession nur in Azure geht. (Andere coole Sachen wie Hotpatch gehen auch nur in Azure, von daher ist klar, woher der Wind weht...)

Das geht sehr einfach: entweder Quellcode im Browser anzeigen (geht immer noch bei vielen Geräten, deshalb werde ich auch etwas ungehalten, wenn Kunden dort ihren persönlichen Account eintragen) oder einen Fake-SMTP-Server starten auf dem Rechner und den Servernamen umstellen. Aber wenn Du die Berichte an Dich schicken willst und Deinen Mailserver verwendest, weshalb ist dann überhaupt Authentifizierung notwendig? Falls die E-Mails an externe Adressen gehen müssen, könntest Du es mit einem kleinen vServer mit Postfix und postfwd lösen. Damit lassen sich Regeln wie "Benutzer x darf nur an Adresse y schicken" umsetzen. Zusätzlich kannst Du für jeden Kunden einen anderen Benutzer erstellen. Ist aber nicht ganz trivial von der Syntax her. Oder anderer Vorschlag: schau Dir mal E-Mail-Dienstleister wie Sendgrid, Mailjet, Mailgun etc. an. Dort kann man beliebige SMTP-Credentials erstellen und evtl. kann man dort die Empfänger pro Benutzer über das Webinterface limitieren. Das wäre weniger sexy als ein eigener Postfix, aber wesentlich komfortabler.

Ja, das war es bei mir. Sonst kannst Du evtl. im BIOS noch "fast boot" oder so deaktivieren, damit er wieder den RAM hochzählt wie früher. Ist die Netzwerkkarte von Intel? Hast Du in der Ereignisanzeige evtl. Meldungen der Art "Netzwerkverbindung wurde getrennt" und dann eine Sekunde später "Verbindung wurde hergestellt mit 1 Gbit/s"? Das hatte ich kürzlich auch. Beim Start hat der Treiber die Karte neu initialisiert, meist genau dann, wenn das Profil geladen wurde. Da hat ein Treiber-Update (aktueller Treiber von Intel-Website) geholfen. Die Meldung war allerdings nicht "Datei geöffnet", sondern "servergespeichertes Profil kann nicht gefunden werden".

Hatte ich auch schon, konnte aber keinen Zusammenhang mit der Firewall feststellen. Es schien, als ob die ntuser.dat auf dem Server noch gesperrt sei, wenn der Rechner sie nach dem Anmelden lesen will. Workaround in meinem Fall war einfach das Deaktivieren des Schnellstarts. Es ging nur um wenige Sekunden. Oder man erzwingt längere/komplexere Passwörter.

Habe seit mehr als einem Jahrzehnt Mailstore im Einsatz. Der Kunde mit dem grössten Archiv hat mittlerweile knapp 5 TB E-Mails archiviert. Einen Vergleich habe ich nicht, aber es kann nicht schlecht sein, denn ich habe nie Support-Anfragen, obwohl es einige Kunden regelmässig verwenden, weil man darin besser Suchen kann als in Outlook.

Gehämmert wird immer, aber es ist mehr oder weniger lästig. Wird RDP gehämmert, können sich auch legitime Benutzer zeitweise nicht anmelden, da „interner Fehler aufgetreten“. Bei SSH hingegen werden höchstens die Logs gefüllt bzw. wenn man nur Zertifikats-Authentifizierung erlaubt, ist eigentlich Ruhe. RDP ist zumindest dem Anschein nach nicht entworfen worden, um direkt vom Internet her zugreifbar zu sein. Es unterstützt weder Mechanismen gegen Brute Force, noch Zertifikats-Authentifizierung. OpenVPN oder sonst etwas mit Zertifikaten wäre zu bevorzugen. Ganz konkret, mit Bordmitteln und für ein „Hobby-Szenario“ praktikabel: SSH. Mittels Batch wird vor dem Start des Remotedesktop-Clients eine SSH-Verbindung mit Port-Forwarding aufgebaut. Man muss dann zwei Passwörter eingeben, eines für den SSH-Key und einen für die Windows-Anmeldung am Server, aber dafür kann Port 3389 gegen aussen geschlossen bleiben.

Der Fehler sagt mir nichts im Zusammenhang mit IIS. Läuft auf dem Server noch ein anderer Webserver? Wenn localhost und IPv4 vom anderen Webserver besetzt wären, wäre nur IPv6 vom IIS verwendet und vom Server selbst ginge es evtl. und von den Clients nicht. Was sagt "netstat -ano | findstr :80"?

Es gibt auch Schalter für hinter der USV: https://www.apc.com/shop/au/en/products/RACK-ATS-230V-10A-C14-IN-12-C13-OUT/P-AP4421 Einen Eingang an die USV, einen direkt an den Strom (idealerweise andere Phase). Bei einem Ausfall schaltet er so schnell um, dass die Ladung in den Kondensatoren der Netzteile reichen sollte, um die Geräte in Betrieb zu halten. Solche Schalter verwendet man auch im Datacenter für Geräte mit nur einem Netzteil, da der Betreiber die "100% Uptime" meist nur für beide Feeds kombiniert garantiert.

Habe ich so noch nirgends im Einsatz gesehen. "\\localhost\c$\verzeichnis" sollte als erster Speicherort funktionieren. Du kannst bis zu vier Speicherorte angeben. Zu berücksichtigen ist, dass die Speicherorte direkt vom Client aktualisiert werden. Gibst Du zwei Fileserver an, gehen die doppelten Daten über die Leitung. Je nachdem ist das nicht so ideal, wenn mit mageren Leitungen (DSL Upload...) gearbeitet wird. Office Container sind eine Untermenge von Profile Containern. Ich sehe keinen Vorteil darin, beides gleichzeitig zu verwenden.

Ich kann ebenfalls PRTG empfehlen. Wobei der Vorteil „Einfachheit“ wegfällt, wenn es keine fertigen Sensoren für ein zu überwachendes Gerät gibt. Für Markenserver und verbreitete Software ist alles dabei, Server und Storage von HPE überwacht man ebenso leicht wie die Mailqueue von Exchange. Aber beim Smart-Status von Clients scheint es schwieriger zu sein. Evtl. wäre für die Clients ein anderes Monitoring geeigneter? Syspectr liefert die wichtigsten Parameter wie Speicherplatz, Smart-Status, Update-Status etc. ohne aufwendige Konfiguration. TeamViewer bietet soweit ich weiss auch eine entsprechende Lösung an oder sonst Intune.

Meine Azubis haben viel Spass mit https://www.codingame.com/. Es vermittelt nicht die Theorie, die muss man sich schon angeignet haben. Man übt anhand konkreter Aufgabenstellungen ("Raumschiff muss Gegnern ausweichen"). Das ist unterhaltsam und hält die Motivation hoch. Je weiter man kommt, desto schwieriger wird es. Besonders schön finde ich, dass man nach Abschluss einer Aufgabe seinen Code mit dem von anderen Benutzern vergleichen kann. Es gibt da regelrechte Wettkämpfe um den kürzesten Code. Es läuft alles im Browser und es werden diverse Programmiersprachen angeboten. Ich verwende das auch an Schnuppertagen, an denen die Schüler noch keine Vorkenntnisse im Programmieren haben. Die Art, wie sie die Aufgaben angehen, zeigt, ob sie als Entwickler geeignet sind. Einer hat mir nach zwei Stunden gesagt, das sei nichts für ihn, er würde lieber Systemtechnik anschauen. Kein Problem, auch da braucht es motivierte Leute. (In der Schweiz ist die Ausbildung getrennt zwischen "Applikationsentwickler" und "Systemtechniker" und es ist gut, wenn sich die Azubis von Anfang an für den Weg entscheiden, der ihnen besser liegt. Nicht einfach mit 15 Jahren.) Wenn man weiter ist, kann ich https://www.codecademy.com/ empfehlen. Das läuft auch im Browser, ist jedoch grösstenteils kostenpflichtig. Es baut Wissen schrittweise auf und geht sehr weit, bis zu Big Data und Machine Learning. Ein Praktikant, welcher die Fachhochschule berufsbegleitend absolviert, ist begeistert davon und wenn ich Zeit hätte, würde ich auch einige Themen darin anschauen.

Auch von mir gute Besserung! Als kleiner Trost: habe gehört, dass diejenigen, die von der Impfung umgehauen werden, vom Virus erst recht umgehauen würden. Der Booster war für mich auch am schlimmsten. Wobei ich hoffe, dass es sich damit hat und die weitere Immunisierung durch asymptomatische Infektionen geschieht. Oder eine Sprüh-Impfung für die Nase, für die Antikörper in der Schleimhaut.

Ihr wollte eine (eure?) Anwendung euren Kunden per Terminalserver zur Verfügung stellen? Dann braucht die Software keinen Zugriff auf euer internes Netzwerk? In diesem Fall würde ich (virtuelle) Server bei einem Hoster mieten, welcher per SPLA (Mietlizenzen) lizenziert. Damit dürft ihr beliebigen Benutzern Zugriff geben, auch ausserhalb eurer Firma. Veröffentlichen könnt ihr die Server über das RD Gateway, ein Webinterface wäre sicher benutzerfreundlich und falls ihr MFA möchtet, kann ich DUO empfehlen.

Sind dafür nicht App-Passwörter gedacht? https://support.microsoft.com/de-de/account-billing/erstellen-von-app-kennwörtern-auf-der-seite-sicherheitsinformationen-vorschau-d8bc744a-ce3f-4d4d-89c9-eb38ab9d4137

Die grösste Schwäche von Roaming Profiles ist ihre mangelhafte Kompatibilität zwischen verschiedenen Versionen von Windows. Mit einem NT4-Profil einmal auf Windows 2000 angemeldet und es ging nicht mehr umgekehrt. Mit einem Windows-7-Profil an Windows 10 angemeldet und man hatte mit V2 und V6 zwei vollkommen getrennte Profile. Wirkliche Probleme mit „defekten“ Profilen (Startmenü geht nicht mehr auf und ähnliches) hatte ich auch nur im Zusammenhang mit unterschiedlichen Versionen von Windows 10. Wenn man die Endgeräte bezüglich Updates im Griff hat und alle gleichzeitig updaten kann, gibt es eigentlich keine Probleme. Von einer Schule mit 150 Clients und über 600 Benutzern habe ich noch von keinem Profil-Problem gehört. Da hat man aber den Luxus, jährlich in den Sommerferien alle Geräte mit der aktuellen Version von Windows 10 neu ausrollen zu können. Daneben gilt es, die Profile so klein wie möglich zu halten, also Ordnerumleitung und allenfalls Ausschlüsse zu konfigurieren. Im „geroamten“ Teil sollte fast nur noch die Registry sein. Für das Szenario mit den Offline-Clients könnte man FSLogix ausprobieren. Laut Doku ist der Cloud Cache dafür vorgesehen: als erste Quelle eine lokale Freigabe angeben, als zweite Quelle Speicher bei Azure. Habe ich allerdings noch nie getestet. Ansonsten empfehle ich, zu definieren, was genau überhaupt zwischen den Rechnern synchronisiert werden soll. Mittlerweile gibt es für viele Anwendungen eine Lösung über die Cloud: OneDrive, Outlook kann die Einstellungen neuerdings in der Mailbox speichern, Edge kann Lesezeichen synchronisieren etc.

Mittels einer Subdomain geht das: entweder Du belässt den MX weiterhin zum bisherigen Provider zeigen und richtest bei Exchange Online die Postfächer mit einem Alias @mail.domain.de ein und konfigurierst für alle Adressen eine Weiterleitung auf die Subdomain-Adresse, oder Du machst es umgekehrt. Je nachdem, wo mehr Konten liegen. Wobei ich den MX bei Exchange Online bevorzugen würde, da Du dort in den Genuss eines guten Spamfilters kommst. Aber wie schon erwähnt, eine solche Konfiguration würde ich, wenn möglich, vermeiden. Ja, Du kannst beides löschen, dann löst er extern auf, wo dann alles zu Exchange Online zeigt.

Für eine Domain kann immer nur ein MX zuständig sein. Du könntest mit Subdomains und Weiterleitungen arbeiten, aber das will man in den meisten Fällen nicht. Dafür eignen sich wahrscheinlich freigegebene Postfächer, die sind kostenlos. Das geht mit gewissen Einschränkungen. Den SCP im AD musst Du noch entfernen. Bei zwölf Benutzern würde ich die PST-Dateien auf dem Exchange exportieren und mittels CSV-Import auf Exchange Online importieren. Oder, wenn Du es unterbruchsfrei und „einfach“ haben willst, nimmst Du SkyKick. Das synchronisiert laufend alle Konten zwischen lokal und Cloud und Du kannst zu einem beliebigen Zeitpunkt umstellen.

Nein, soweit ich weiss nicht. Azure AD heisst zwar „AD“, hat aber mit dem klassischen „AD“ nicht sehr viel gemein, ausser dass man sich dagegen authentifizieren kann. Das ginge, aber nur von lokal in die Cloud. Die Benutzer würden im lokalen AD verwaltet und in die Cloud synchronisiert, nicht umgekehrt. Ja, aber Du musst für RDS Device-CALs verwenden. User-CALs funktionieren nur, wenn der Server in einer Domäne ist. Um wie viele Mitarbeiter geht es denn? Evtl. bringst Du die Vereinssoftware in die Cloud und die Leute arbeiten dann mit dem lokalen Office und den Daten in OneDrive oder Teams.

Ich sehe das in diesem konkreten Fall nicht so pessimistisch wie Nils. "Website darstellen" ist wesentlich einfacher als "RDP-Verbindung herstellen", wo dann früher oder später die Frage nach Device-Redirection etc. kommt. Dazu kommt, dass man bei zehn Geräten schon etwas in die Entwicklung investieren kann und es für fast alles schon fertige[tm] Lösungen gibt. RasPis mit FullPageOs sollten den Zweck erfüllen. Oder, falls man Support und eine zentrale Konfiguration will, könnte man Mediaplayer aus dem Digital-Signage-Bereich verwenden. Das kleinste Modell von BrightSign würde zum Beispiel genügen. Dort dann als Inhalt einfach die Website als Vollbild anzeigen.

Sind die korrigierten Updates nicht kumulativ? Also kann man nicht das fehlerhafte Update deinstallieren und dann das korrigierte installieren?

Soweit ich weiss geht das nicht per GPO. Du kannst aber auf dem Drucker selbst das Drucken-Recht von "Jeder" entfernen und nur eine bestimmte Gruppe erlauben. Drucker, auf die man keine Drucken-Berechtigung hat, werden nicht angezeigt.

Ohne Microsoft für die jüngsten Probleme in Schutz nehmen zu wollen, sollte doch erwähnt werden, dass sie eine schwierige Aufgabe haben. Ein Patch muss nicht nur ein (Sicherheits-)Problem beheben, das System muss danach auch noch kompatibel zu allen unterstützten Versionen von Windows sowie Office, Exchange, SQL Server etc. sein. Das führt dann zwangsläufig zu „Verrenkungen“ wie Registry-Keys, die je nach Datum/Updatestand eine andere Funktion haben.

Die Testumgebung muss keine 1:1-Kopie der Produktivumgebung sein. (Sie sollte eigentlich keine Produktiv-Daten und -Passwörter enthalten, aber das ist ein anderes Thema.) Ich halte es in normalen Umgebungen auch für unrealistisch, alles zu testen. (Wer den Fehler bei der Outlook-Suche beim Dezember-Update bei eigenen Tests bemerkt hat, darf mir gerne widersprechen. ) Ich „teste“ auch hauptsächlich, indem ich die Meldungen im Internet verfolge. Aber ich installiere die Updates gestaffelt und auf den unwichtigsten Servern zuerst. Und, da man wie erwähnt nicht alles testen kann, ist es wichtig einen Plan zu haben, wie man im Falle eines Problems wieder auf den alten Stand zurückkommt. Wenn man per RDP einen Server beim Kunden patcht und der nicht mehr online kommt, sollte man Zugriff auf die Remotekonsole und das ISO von Veeam haben. In einem Hyper-V-Cluster patcht man nicht alle Hosts gleichzeitig, ebenso patcht man nicht alle DCs gleichzeitig. In dem Sinne sind die aktuellen Probleme zwar mühsam, aber nicht kritisch. Man bemerkt die Probleme ja immerhin unmittelbar. Mühsamer sind die Fehler, die erst nach ein paar Tagen auftauchen, wenn man nicht einfach den Snapshot wiederherstellen kann. Ich halte viele der dauernden Neuerungen ebenfalls für überflüssig. Aber Deine Aussage bezüglich Sicherheitsproblemen kann ich leider nicht bestätigen. Klar muss man schauen, welche Fehler behoben werden und auf einem isolierten Hyper-V ohne Internetzugang ist eine Lücke im Browser nicht so kritisch wie auf einem Terminalserver. Ich hatte jedoch schon öfter mit Systemen zu tun, die wegen fehlender Updates aufgemacht wurden. Besonders Systeme, die aus dem Internet erreichbar sind. Von der Qualität der letzten Updates bin ich auch enttäuscht. Es ist mir unverständlich, dass die Probleme bei den Tests nicht entdeckt wurden und dass es dann noch so lange gedauert hat, bis die Updates zurückgezogen wurden. Aber Microsoft kann trotzdem nicht in Deiner Umgebung testen. Sie haben nicht Deine Kombination an Hardware und nicht Deine Software.

Kann das mit dem Rückzug bestätigen: auf einem 2012 R2 wird KB5009586 nicht mehr angezeigt. Auf https://support.microsoft.com/de-de/topic/11-januar-2022-kb5009586-monatliches-rollup-9541f57c-89b0-48d6-ade2-31609678ce9b ist davon nichts zu lesen, auch nichts zu bekannten Problemen.