mwiederkehr

Zwei Vollsicherungen sind etwas „besser“ als nur eine, da bei einem teilweisen Defekt die Chance grösser ist, noch an die Daten zu kommen. Deshalb mag ich auch keine „endlosen“ inkrementellen Ketten, auch wenn es möglich ist, eine Vollsicherung und 364 inkrementelle Sicherungen zu haben. Du könntest auch zwei Festplatten anschaffen und abwechselnd verwenden. Es ist sowieso empfehlenswert, zwei verschiedene Sicherungsmedien zu verwenden und eines davon offline zu haben.

Ja, das ist grundsätzlich richtig. Allerdings wird das Full Backup mit der Zeit fragmentieren, je nachdem wie viele und welche Daten ändern natürlich. Für einen Defrag ("Compact") wird dann doch der doppelte Platz benötigt: https://helpcenter.veeam.com/docs/agentforwindows/userguide/backup_compact_file.html?ver=50. Wobei bei 600 GB das meiste wohl Daten sein werden und diese häufig nicht so viel Differenz erzeugen. Bei Systembackups können die inkrementellen Dateien aber unverhofft recht gross werden wegen Windows Updates und dergleichen.

Soweit ich weiss, arbeitet der Veeam Agent "forever incremental": es wird also nie ein neues Full Backup erstellt, sondern nach Ablauf der Rückhaltefrist wird das älteste inkrementelle Backup in die Datei des Full Backup integriert. Siehe https://helpcenter.veeam.com/docs/agentforwindows/userguide/retention_days.html?ver=50.

Dazu fallen mir spontan folgende Anwendungen ein: - PDQ Deploy - syspectr - TeamViewer Patch Management - highsystem.NET - Acronis Cyber Protect Der Funktionsumfang, das Lizenzmodell und die Kosten der Lösungen sind sehr unterschiedlich.

Da "HP" und "USB-Dockingstation" erwähnt werden: Ist die Firmware auf den Dockingstations aktuell? Mit den USB G5 Dockingstationen von HP hatte ich die letzten Monate regelmässig Probleme mit kurzen Netzwerkunterbrüchen. Die Firmware von Ende Sommer hat das Problem entschärft und die aktuelle Version vom Herbst hat es behoben.

Falls die Software Benutzerberechtigungen abbilden muss und die Datenbank schützenswerte Informationen enthält, solltest Du Dir überlegen, den Zugriff vom Client nicht direkt auf die Datenbank zu machen, sondern einen Dienst (zum Beispiel Web Service) dazwischen zu schalten. Denn in SQL selbst lassen sich komplexere Zugriffsrechte nur schwer abbilden. "User X hat keinen Zugriff auf Tabelle t_buchhaltung" geht, aber "jeder Benutzer sieht Details nur bei seinen Projekten und kann Stunden nur auf aktive Projekte buchen" ist schwierig. Es geht, wenn man den direkten Zugriff auf Tabellen nicht erlaubt und alles über Stored Procedures abfragt/ändert, aber zumindest ich implementiere solche Sachen lieber im Code als im SQL. Ich erwähne das, weil ich in der Praxis immer wieder Software sehe, die das nicht so macht: man kann komplexe Berechtigungen vergeben, aber wenn man Access aufmacht und den SQL Server anhängt, hat man Vollzugriff auf die gesamte Datenbank.

Ja, das geht über die Azure Firewall. Ich meinte damit, dass Du die Datenbank evtl. ohne Mithilfe des Herstellers zu Azure zügeln kannst, aber dass der Herstellersupport Dir nicht hilft, wenn Du mal wegen eines Problems anrufst und erzählst, Du hättest die Datenbank zu Azure migriert.

Azure SQL könnte eine Lösung sein. Allerdings musst Du den Hersteller ins Boot holen, sonst hast Du Probleme mit dem Support. Aber wenn es eine moderne Anwendung ist, sollte die Umstellung von lokalem SQL auf Azure SQL kein Problem sein. Habe gerade kürzlich eine kleine Logistikfirma auf eine solche Lösung umgestellt. Bei der bietet der Hersteller Azure SQL sogar direkt an, man braucht also nicht mal ein Azure-Konto. Der Kunde ist begeistert, die Performance ist dank durchdachtem Caching super und er kann jetzt vollständig in der Cloud arbeiten.

Ein Partner aus dem Bereich arbeitet mit BrightSign. Der LS424 ist das Einstiegsmodell und sollte für Deine Bedürfnisse ausreichen.

Zwei weitere Möglichkeiten: Es gibt mittlerweile recht günstige Player aus dem Digital-Signage-Bereich. Die können zum Beispiel zeitgesteuert HTML-Inhalte anzeigen. Ist wohl auch ein RasPi drin, aber halt "fertige" Software drauf. Oder, wenn zu den Anzeigezeiten jemand an einem Rechner arbeitet, wäre ein HDMI-over-IP-Adapter eine Möglichkeit. Dann wäre der entfernte Monitor einfach die zweite Anzeige und man könnte ihn frei mit Inhalten bespielen, im Gegensatz zu einem zweiten Rechner ohne VNC oder TeamViewer.

Kenne das Problem, habe aber leider keine Lösung dafür. Bei einem Kunden tritt es im Zusammenhang mit Citrix auf, aber anscheinend hat es damit nichts zu tun. Es wird immer die alte Version der Anwendung gestartet, auch alle Benutzer abzumelden, hilft nicht. Es hilft nur ein Neustart der Terminalserver. Merkwürdig ist schon, dass sich eine offene EXE überhaupt austauschen lässt. Das gleiche Szenario mit Windows 10 als Clients funktioniert übrigens problemlos: solange jemand die Anwendung geöffnet hat, kann man sie nicht austauschen und danach haben alle sofort die neue Version zur Verfügung. Das Problem tritt nur auf, wenn die Clients ebenfalls Server sind. Es besteht auch nur per SMB: hält man die EXE lokal auf jedem TS vor, funktioniert es.

Danke, das kannte ich noch nicht! Sieht gut aus, aber ist vom Preis her eher für die "ich mag Microsoft nicht"- als für die "kostenlos"-Fraktion.

Exchange-Alternativen scheitern nach meiner Erfahrung in der Praxis jeweils an "ich will aber mit Outlook arbeiten!!!"-Usern. Und Outlook ist nun Mal kein "Mailprogramm", sondern ein Exchange-Client (sieht man auch an der lausigen und seit Jahren nicht verbesserten IMAP-Implementierung). CalDAV etc. werden nicht unterstützt und müssen mittels Add-ins nachgerüstet werden. Da beginnen dann die Probleme. Der OP sollte sich deshalb zuerst die Frage stellen, ob Outlook für ihn Pflicht ist. Falls ja, kann ich keine Alternative zu Exchange empfehlen.

Letztes Jahr wurde hier das Konzept „SMBv1-Proxy“ diskutiert: https://www.mcseboard.de/topic/218434-windows-2004-smbv1-freigaben-nicht-direkt-ansprechbar/?tab=comments#comment-1404677 Ein Jahr später gab es bei Heise einen Artikel dazu: https://www.heise.de/ratgeber/Upcycling-Raspberry-Pi-als-Bruecke-zu-Altgeraeten-mit-SMBv1-Protokoll-nutzen-6148994.html. Ob hier Leute von Heise mitlesen? Der Inhalt des Artikels entspricht im Wesentlichen dem Konzept der Vorredner. Der Autor geht noch etwas weiter und geht von einem Gerät aus, welches nur SMBv1 anbietet. Den RasPi hängt er dazwischen und trennt so das alte Gerät vom Netzwerk.

Veeam kann das soweit ich weiss nicht von Haus aus. Scale-Out-Repositories können sich über mehrere Disks erstrecken, aber die müssen alle immer online sein. Theoretisch könnte es mit einer Virtual Tape Library wie der von Starwind funktionieren. Veeam sähe dann per iSCSI einen Tape-Loader und jede Festplatte wäre ein Tape. Ansonsten würde ich die Daten so aufteilen, dass ein Job auf eine Disk passt oder die Disks zusammenfassen, sprich auf ein NAS sichern. Falls nur Dateien gesichert werden sollen, könntest Du es mit WinZip oder 7-Zip versuchen. ZIP-Archive konnte man früher auf mehrere Disketten aufteilen.

Ein Grund, weshalb mir bei der Installation von CUs jeweils etwas unwohl ist. In fast jedem CU steckt irgendwo eine Überraschung, bei der man dann froh ist, dank Internet hoffentlich eine Lösung zu finden. So etwas könnte der Installer abfangen und auch gleich beheben, wenn er schon eine Stunde lang PowerShell-Scripts ausführt. Die Wartezeit liegt daran, dass die als Lösung gezeigten Scripts das neue Zertifikat gültig ab "Get-Date" erstellen und das liegt bei uns in der Sommerzeit zwei Stunden in der Zukunft. Mit (Get-Date).AddDays(-1) wäre das neue Zertifikat sofort gültig.

Mit den Parametern "ALLUSER=1 ALLUSERS=1" sollte es gehen (ja, wirklich beide verwenden...). Quelle: https://docs.microsoft.com/en-us/microsoftteams/teams-for-vdi#deploy-the-teams-desktop-app-to-the-vm Updates gehen dann logischerweise nicht mehr und leider gibt es auch für Admins keinen Updater, sodass man bei Erscheinen neuer Versionen die alte Version deinstallieren und das aktuelle MSI installieren muss. Teams wurde von der Hipster-Fraktion bei Microsoft entwickelt und ist im Grunde nur eine in eine EXE verpackte Webanwendung. An Details wie einen vernünftigen Installer denken Web-Entwickler leider nicht.

Die Firewall sollte kein Problem darstellen. Entweder Du betreibst eine virtuelle Firewall, oder Du gehst zu einem Hoster, welcher Firewalls anbietet. Bei Azure kann man sich beispielsweise VPN-Tunnels dazu mieten. Falls Du den Server selbst betreibst, würde ich zu virtuellen Servern raten und nicht die Hardware mieten. Das ist besser bezüglich Ausfallsicherheit. Sowas wie die Hetzner Cloud. Je nach Ressourcenbedarf käme eine gemischte Lösung in Frage: das Büro per VPN angebunden, damit die Terminals direkt auf die Datenbank zugreifen können, das ERP selbst würde über Terminaldienste freigegeben. So könnte man auch von unterwegs arbeiten und der Zugriff wäre wohl schneller, als wenn alle Datenbank-Abfragen über die Leitung gehen. Falls das ERP kein Office benötigt, sollte sich das mit SPLA über einen Dienstleister bezahlbar lizenzieren lassen. (Oder Du hast das entsprechende M365-Abo mit den terminalserverfähigen Office Apps for Enterprise.) Aber, wie von Evgenij schon geschrieben, frag zuerst den Anbieter an. Es tut sich bei vielen Herstellern was. Ich konnte gerade kürzlich bei einem Kunden in der Transportbranche eine neue Lösung einführen, die den Windows-Client beibehält, aber die Datenbank in Azure auslagert. Client installieren, einloggen, fertig. Funktioniert super, der Kunde ist begeistert.

Kompatibilität ist wichtig, aber manchmal ist es gut, einen Schnitt machen zu können und Konzepte, die sich als nicht so gut herausgestellt haben, über den Haufen werfen zu können. Jeder Entwickler schreibt Software, die er zehn Jahre später anders schreiben würde. Bei Windows fällt mir da als erstes RPC ein, oder auch das Handling der Benutzersitzungen. Unter Unix war es noch nie ein Problem, eine Anwendung auf einen beliebigen entfernten Bildschirm zu bringen. Unter Windows brauchte man dafür Citrix. (Unix hat dafür andere Nachteile, das ist nicht der Punkt.) Oder beim IIS hat man gedacht, es sei eine gute Idee, .NET Code direkt in der Request-Pipeline zu verarbeiten. Dann hat man gemerkt, dass das die Installation von neuen Versionen erschwert bzw. Kompatiblitätsprobleme mit sich bringt. Mit .NET Core kann jede Anwendung ihre Runtime mitbringen. Windows ist vielerorts "schlechter" als es sein müsste, weil man kompatibel bleiben will. Ich will es nicht so haben wie man bei vielen Web-APIs sieht: eine Ankündigung, dass in spätestens einem halben Jahr die bisherige API nicht mehr geht und man bitte umstellen soll. Einfach ein /v1, /v2 etc. zu machen geht aber auch nicht beliebig lange, da man alle Versionen warten muss. Wer gerne noch bessere Kompatiblität als bei Microsoft hat, dem kann ich System i von IBM empfehlen. Eine Kundin verkauft das an ihre (immer weniger werdenden...) Kunden und ich konnte kaum glauben, dass man eine dreissig Jahre alte Software, deren Hersteller seit zehn Jahren nicht mehr existiert, einfach ohne Nervenkitzel auf die aktuellste Hardware übertragen kann. In den dreissig Jahren hat sogar die CPU-Architektur gewechselt, war alles kein Problem.

Ja, grundsätzlich schon, aber ich sehe auch für einzelne Anwendungs-Instanzen Vorteile mit Containern. Ich habe die Hoffnung, dass sich so komplexe Installer, welche x Komponenten installieren oder updaten, vermeiden lassen. Aber da ist wohl etwas zu viel Wunschdenken dabei.

Danke für den Link! Hätte in einem MCSE-Forum nicht mit Kennern des CCC gerechnet. Die hohe Quote hat mich sehr überrascht. Ich hätte mit max. 10% gerechnet, zumal alles Ingenieure waren, die zudem ein IT-Reglement unterschrieben haben. Ist schon krass, kurz eine E-Mail zusammenstellen und schon hat man Zugriff auf die E-Mail-Konten von jedem dritten Mitarbeiter. An dem Fall sieht man, dass MFA nicht nur wegen schlechten Passwörtern eine gute Idee ist, sondern auch wegen unvorsichtigen Benutzern.

Die meisten meiner Kunden nutzen nur den Filter von Exchange Online. Der funktioniert sehr gut, es rutscht wenig durch und es gibt sehr selten False Positives. Microsoft hat den Vorteil, durch die Menge empfangener E-Mails Anomalien schnell feststellen zu können. Sie können dann auch rückwirkend E-Mails aus Postfächern löschen. Durchrutschen wird überall etwas. Ich habe kürzlich für einen Kunden eine Phishing-Kampagne gefahren. Ganz simpel, gültige Domain mit SPF, Name vom Geschäftsführer und dessen Signatur, Text sinngemäss „wegen eventueller Umstellung zurück ins Homeoffice bitte hier klicken und Zugangsdaten eingeben“. Fazit: 80% haben den Link geklickt und 30% ihre Zugangsdaten eingegeben… Gegen zielgerichtete Kampagnen ist wohl jeder Filter ziemlich machtlos.

Vielen Dank für eure Antworten! Von Interesse könnten die verbesserten Container-Features sein, wobei das mehr Wunschdenken ohne konkretes Datum ist, denn ich habe bis jetzt noch keine als Container verfügbare KMU-Software gesehen. Und ich habe mich noch nicht eingelesen, ob man die Container dann direkt auf den Nodes oder mit Nested Virtualization auf Container-Host-VMs laufen lässt. Wie dem auch sei, wenn ich den aktuellen Liefertermin für die Hardware anschaue, wird Windows Server 2022 wohl schon nicht mehr neu sein, wenn ich loslegen kann...

Das Argument „in ein paar Jahren Windows Server upgraden“ würde ich nicht als relevant einstufen, denn der Exchange 2019 ist früher aus dem Support als Windows 2019 (zumindest, wenn man den Extended Support einbezieht). Du wirst 2025 eine Migration durchführen müssen, aber nicht, weil Du Windows 2019 verwendet hast. Ich habe noch nie bei einem Exchange ein OS-Upgrade durchgeführt und weiss nicht mal, ob das unterstützt wäre (wohl eher nicht). Für Exchange ist das Betriebssystem sowieso nur Plattform. Ausser dem IIS braucht er nichts davon, eine neuere Version brächte also keine Verbesserungen. Die Version des Betriebssystems ist dort wichtig, wo man dessen Features braucht: DC, Fileserver, Remotedesktop etc.

Hallo zusammen Demnächst darf ich einen neuen Hyper-V-Cluster bauen. Der Kunde beschafft Lizenzen für 2022 Datacenter und CALs sind für Hyper-V ja keine notwendig. Die Hardware ist unterstützt für 2022, die Backupsoftware (Veeam) ebenfalls. Von daher könnte ich Server 2022 installieren. Aber soll ich? Einerseits sollte man davon ausgehen können, dass eine freigegebene Serverversion stabil genug läuft für den Produktiveinsatz. Andererseits sind die Vorteile bei Hyper-V im Vergleich zu Server 2019 nicht so gross, um viel zu riskieren. Andererseits scheint es von 2019 zu 2022 kein so grosser Schritt zu sein wie von 2008 auf 2012, sodass sich die Fehler in Grenzen halten dürften. Wie macht ihr das? Setzt ihr neue Versionen sofort nach Veröffentlichung ein oder wartet ihr „das erste SP“ ab, wie einem früher geraten wurde?