mwiederkehr

Weiterleiten ist nicht nur datenschutzrechtlich "uncool", auch Kunden kann es in den falschen Hals kommen, wenn ihre Nachricht ohne Vorwarnung von jemand anderem beantwortet wird. Man schreibt ja vielleicht noch einen persönlichen Spruch dazu oder so. Was ich eine gute Lösung finde: ein Postfach (oder eines pro Abteilung) einrichten, genannt "ehemalige MA". Dort die Adressen als Alias hinzufügen und den Abwesenheitsassistenten aktivieren mit einem Text in der Form von "Der Mitarbeiter arbeitet nicht mehr bei uns, bitte wenden Sie sich an XY. Ihre Nachricht wurde gelöscht." Dann noch eine Regel, die alle ankommenden Nachrichten löscht. So geht nichts verloren und trotzdem liest niemand fremde E-Mails. Hat auch den positiven Nebeneffekt, dass der neue Mitarbeiter keine Zeit mit dem Abmelden von vom Vorgänger abonnierten Newsletter verbringt.

Der Vorschlag von Jan mit VHDX hat mich noch zu einer Variante gebracht: Ventoy. Das teilt den Stick (oder die SSD) in zwei Partitionen: exFAT für den Bootloader (UEFI und Legacy) und NTFS für die Daten. Dort kann man dann ohne weitere Tools ISOs, VHDXs und sogar WIMs ablegen und von ihnen starten. Muss ich bei Gelegenheit mal testen.

Ich habe meinen Stick mit YUMI erstellt. Hat bis jetzt immer funktioniert, aber die Lösung von Norbert ist eleganter, da dort wirklich ein DVD-Laufwerk emuliert wird. Kannte ich noch nicht, schon (früh) morgens was gelernt!

Besteht das Problem nur, wenn Du Dich mit PIN anmeldest? Bei der Anmeldung mit PIN (oder Windows Hello etc.) existiert das Problem auch bei privaten Konten (hatte dazu schon einige Anfragen von Bekannten, da ein NAS ja auch Samba ist). Die Ursache scheint zu sein, dass der LSASS keinen Passworthash hat, da man sich ja nie mit Passwort anmeldet. Wäre schön, wenn das mal gelöst würde. Ich weiss nicht, ob es auf Seite Samba gelöst werden kann, aber Windows sollte a.) eine bessere Meldung anzeigen und b.) bei der manuellen Eingabe von Benutzername und Passwort sollte es dann funktionieren.

Das kann man so pauschal nicht beantworten. Beide Varianten haben ihre Berechtigung. Bei 150 Benutzern lässt sich ein Exchange professionell betreiben, inkl. allem "Zubehör" wie Spamfilter, SSL-Zertifikat etc. Aber das muss natürlich auch in die Kostenrechnung einfliessen, man darf nicht nur die Lizenzgebühren vergleichen. Der Preis ist aber nicht alles, je nach Unternehmen will oder darf man gewisse Daten nur lokal haben und nicht in der Cloud etc. In meinem Umfeld wechseln die meisten Betriebe auf Microsoft 365. Viele, weil sie zu klein sind, um einen Exchange sinnvoll (verfügbar, sicher) betreiben zu können und viele wechseln nach und nach ganz in die Cloud, auch mit den Daten. Auch grössere Firmen (so bis 150 Benutzer) gehen immer mehr in die Cloud, weil sie die neuen Dienste nutzen wollen. Treiber ist hier aktuell sicher Teams, aber auch OneDrive wird vermehr genutzt zum Datenaustausch mit Externen. Das ist aber wie gesagt nur der Eindruck aus meiner "Filterblase". Die Exchange-Spezialisten hier werden wahrscheinlich vom Gegenteil berichten. Zum Thema "Kauflizenzen sind günstiger" ist noch zu erwähnen, dass man das Kauf-Office pro PC und nicht pro Benutzer lizenziert. Bei PC im Büro, Notebook für unterwegs, Tablet etc. kann die Mietlizenz günstiger sein.

Soweit ich weiss, ja. Was Du noch versuchen könntest: einen weiteren vSwitch mit NAT anzulegen, ggf. über PowerShell.

Der Uninstaller entfernt die Konfiguration leider nicht vollständig. Und es ist bei Microsoft zuweilen schwer bis unmöglich, eine genaue Dokumentation der Ablageorte der Konfiguration zu bekommen, so dass man händisch nachhelfen könnte. Du könntest es mit „netcfg -d“ versuchen, das setzt die Netzwerkkonfiguration komplett zurück. Ich bin mir zudem nicht ganz sicher, ob NAT über WLAN standardmässig funktioniert. Habe das das letzte Mal vor ein paar Jahren eingerichtet und damals musste ich den vSwitch per PowerShell erstellen.

Mir fällt da die Outlook-App ein. Die ist kostenlos, aber für den geschäftlichen Einsatz braucht man Microsoft 365. Sie darf nicht verwendet werden für den Zugriff auf Exchange-Server.

Das ist aus der Ferne schwierig zu sagen. Ich vermute, da bekommt man Zugriff auf einen virtuellen Server, welcher Mitglied einer Domäne vom Provider ist. Man hat nur lokale Adminrechte. So hätten sie die Lizenzierung im Griff. Bei den grösseren Angeboten ist noch 2X dabei, das ist eine Erweiterung der Terminaldienste (vergleichbar mit Citrix). Damit kann man über ein Gateway auf den Server zugreifen (und muss RDP nicht offen haben).

Cloud Server bei Hetzner geht schon, Du brauchst einfach mehrere Server: 1x Domänencontroller, 1x Terminalserver, 1x Firewall (zB. OPNsense). Die Server kannst Du dann in ein gemeinsames Netzwerk stecken und nur die Firewall von aussen zugänglich machen. Die Benutzer können sich dann per VPN einwählen. Aber: Hetzner bietet für die Cloud Server kein Windows an, sondern sagt lediglich, dass man es selbst installieren könne. Kauflizenzen auf geteilter Hardware sind lizenzrechtlich etwas schwierig... Besser wäre ein physischer Server, aber dann bist Du für die Virtualisierung zuständig und musst bei Ausfällen die Sicherung wieder einspielen etc. Von daher würde ich mir einen Anbieter suchen, der Terminalserver anbietet. Eine Suche nach "Terminalserver as a Service", "Desktop as a Service" oder "Cloud Arbeitsplatz" sollten genügend Resultate liefern.

Ja, ein AD brauchst Du für Benutzerlizenzen, aber das installierst Du besser nicht auf dem gleichen Server.

Du könntest die wuapilib.dll anzapfen. Hier Code von jemandem, der das gemacht hat: https://github.com/avogelba/GetUpdates Oder Du schaust in den Code von PSWindowsUpdate, die machen das über COM: https://github.com/joeypiccola/PSWindowsUpdate Die PowerShell lässt sich übrigens aus C# auch recht gut bedienen, das könnte auch ein Lösungsweg sein.

Server 2019 und Windows 10 sind sich zwar ähnlich, aber es lassen sich bei Server 2019 nicht alle (GUI-)Features von Windows 10 nachinstallieren. (Bei früheren Versionen war das die „Desktop Experience“, bei 2019 ist das die GUI.) Bevor ich Server 2019 zum Client-OS umrüste, würde ich prüfen, ob es wirklich VDI sein muss. In den meisten Fällen reicht ein „normaler“ RDS-Server aus. Und unbedingt abklären, ob die Software auf einem Server läuft. Technisch wird es kaum Probleme geben, aber bei der Lizenzierung unterscheiden viele Hersteller zwischen Server- und Client-OS. Während sich eine Software auf einem Client online aktivieren lässt, benötigt sie auf einem Server unter Umständen einen Lizenzserver, was zusätzliche Kosten verursachen kann.

Ja, das geht: https://docs.microsoft.com/en-us/azure/storage/files/storage-how-to-use-files-windows Das Gerät muss jedoch SMB 3.0 unterstützen. Da habe ich bei vielen Multifunktionsgeräten meine Zweifel.

Hast Du das Array und die logische Disk erweitert?

10 Cores und 32 GB RAM für 10 Benutzer tönt vernünftig. Wenn die Leute nur mit Office und einer schlanken Branchenanwendung arbeiten, rechne ich mit 0.5 Cores und 2 GB RAM pro Benutzer. Es ist aber leider so, dass Browser die letzten Jahre nicht sparen beim RAM, das sie sich genehmigen. Ein paar Tabs offen und man kommt auf über 1 GB pro Benutzer, nur für den Browser... Es kann deshalb nicht schaden, die Benutzer etwas zu sensibilisieren. Der Browser muss nicht gleich fünf Tabs mit allen Zeitungen aufmachen, die man dann doch nicht liest und auch Internetradio lässt man lieber lokal laufen. Das Surfen auf normalen geschäftlichen Seiten ist jedoch kein Problem.

Das sieht mir nach einem IPv6-Problem aus. Die Fritzbox bietet sich als DNS-Server an, was der Client gerne annimmt. Danach fragt er die Fritzbox statt den DC, welcher als DNS bei IPv4 eingetragen ist. Zeigt "ipconfig /all" IPv6-Adressen bei den DNS-Servern? Bei Windows 10 reicht "prefer IPv4 over IPv6" nicht mehr, man muss IPv6 deaktivieren. Würde es über die Registry machen und nicht einfach den Haken beim Protokoll rausnehmen bei der Netzwerkkarte: https://docs.microsoft.com/en-us/troubleshoot/windows-server/networking/configure-ipv6-in-windows.

Das stimmt, aber den HTML5-Client gibt es noch nicht so lange. Warum RDG separat? Ich suche schon länger eine Lösung, um mehrere Server am gleichen Standort, aber in verschiedenen, getrennten Domänen bzw. Workgroups, anzubinden (Hoster). Das RDG ist ja auf eine Domäne limitiert. Für Adminzwecke läuft aktuell alles über einen "Jump-Host" mit RDG und 2FA und von dort aus dann intern weiter über RDP. Die Kunden selbst arbeiten per VPN. Es wäre schön, eine saubere Gateway-Lösung zu haben, ohne für jeden Kunden ein komplettes RD-Setup zu machen. Aktuell haben die kleinen Kunden nur einen Server (ohne Domäne).

Ja, aber es gab auch eine Lücke, die erst durch das Gateway ermöglicht wurde. Aber schon klar, habe ich verstanden. Oder mit den Ressourcen arbeiten, was ja quasi per Feed aktualisierte RDP-Dateien sind. Funktioniert auch ganz gut. Gutes Argument, das hatte ich so noch nicht bedacht, danke! Krass, das hätte ich so nicht vermutet. Noch eine letzte Frage: euch ist auch keine Firewall oder virtuelle Appliance bekannt, die ein RDP-Gateway integriert hat? Kemp macht nur TCP-Load-Balancing auf RD-Gateways, bei Citrix soll es gehen, aber nur in den teuren Versionen. Sonst habe ich nichts gefunden. Ausser Guacamole, aber das packt RDP dann gleich in HTML5. (Was für privat übrigens eine coole Lösung ist, falls ihr etwas Basteln wollt über die Feiertage.)

Danke für eure Antworten! Ja, es gab leider mehrere Lücken, wobei die soweit mir bekannt bei neueren Betriebssystemen nicht ausgenutzt werden konnten, wenn NLA aktiviert war. Deshalb hatte ich die Hoffnung, dass NLA die Komplexität des am Internet hängenden Codes soweit reduziert hat, dass er sicherheitstechnisch überschaubar ist. Der Webserver spricht ja auch mit dem Internet und wird nicht dauernd gehackt. Bei Farmen ist klar, dass alles über einen Gateway läuft. Der NetScaler kann die Anmeldungen direkt gegen das AD prüfen, noch bevor der potentielle Angreifer zu den Servern durchgelassen wird. Es ging mir mehr um kleine Umgebungen. Bei RDWeb mäkeln die Benutzer über fehlenden Komfort und VPN ist auch keine Freude, wenn die Leute von privaten Rechnern aus arbeiten sollen.

Hallo zusammen In der letzten Zeit hatte ich einige Diskussionen bezüglich "RDP über Internet" (für Terminalserver, nicht für Administrationszwecke). Die Bandbreite der Meinungen reicht von "geht gar nicht, nur über VPN oder man nimmt Citrix" bis "kein Problem bei neuen und aktuell gehaltenen Servern". Ich sehe folgende Risiken: 1. Passwort von Benutzer wird herausgefunden 2. Server wird durch Lücke in RDP "gehackt" 3. Kommunikation wird abgehört Punkt 1 ist sicher richtig, lässt sich aber durch starke Passwörter und allenfalls 2FA verhindern. Bezüglich Punkt 2 gab es in der Vergangenheit leider einige Vorfälle. Seit NLA kommt aber der komplexe und potentiell anfällige RDP-Code erst nach erfolgter Authentifizierung zum Einsatz. Punkt 3 sollte dank TLS kein Problem mehr sein. Wie seht ihr das? Ist RDP trotz aktiviertem NLA immer noch zu gefährlich, um es ins Internet geöffnet zu haben? Oder ist diese fixe Meinung überholt? Irgendwie wäre es eine Bankrotterklärung, wenn wichtige Dienste eines aktuellen Betriebssystems zu unsicher wären für den Zugriff über Internet. Selbst SMB macht man mitterlweile über Internet, siehe Azure. Vielen Dank für eure Meinungen!

Probiert da jemand Passwörter durch? Dann kann es vorkommen, dass man sich zeitweise nicht anmelden kann und die "interner Fehler"-Meldung erscheint.

Es gibt auch ein Tool für .NET, falls Dir das in eurer Umgebung lieber ist: https://unosquare.github.io/passcore/ Habe allerdings keine Erfahrung damit.

Dass bei MySQL der ganze Dienst abstürzt, hatte ich bisher nur bei korrupten Datenbanken. Was sagt denn die Logdatei? Die liegt im Data-Verzeichnis und heisst "%hostname%.err".

Schade. Es wurde ja schon länger eine Lösung versprochen und ich hatte die Hoffnung, etwas verpasst zu haben. Auf jeden Fall vielen Dank!