mwiederkehr

Danke für eure Antworten! Werde mir die Doku zum List Object Mode durchlesen. Kannte bisher nur die Deny-Methode. Und die ist gefährlich, wenn man nicht alles gescriptet hat und der Supporter mal die Checkliste nicht zu Ende liest... Von "Schuld" würde ich nicht sprechen, aber ich finde, Microsoft könnte da flexibler sein. Einerseits benötigen immer mehr ihrer Anwendungen eine Domäne, andererseits benötigt man für einen DC immer noch eine komplette VM, auch wenn dann nur drei Benutzer im AD stehen. (Etwas überspitzt gesagt natürlich, ein DC macht ja schon noch etwas mehr als LDAP-Anfragen zu beantworten.) Wäre schön, wenn es etwas wie das Azure AD auch für Hoster gäbe. Windows 10 Multisession gibt es ja leider auch nur auf Azure.

Hallo zusammen Ein Kunde bietet seine Software (Branchenlösung) gehostet an. Da die Software nicht mandantenfähig ist und einige Kunden zusätzlich noch andere Anwendungen gehostet haben wollen, haben wir bisher pro Kunde einen Terminalserver betrieben. Dieser war nicht in einer Domäne (da zu aufwändig/teuer für nur zwei bis zehn Benutzer) und auch nicht DC (weil TS auf DC bekanntlich nicht so toll ist). Das hat wunderbar funktioniert seit Windows 2008 R2. Windows 2019 will aber eine Domäne, sonst läuft die Terminalserver-Lizenzierung nicht. Meine Idee war, eine Domäne für alle Mandanten aufzubauen. Die einzelnen Server wären immer noch per Firewall getrennt. Pro Mandant gäbe es eine OU. Damit die Benutzer einander nicht sehen, hätte ich ihnen im AD die Leserechte auf jeweils alle anderen OU entzogen. Oder könnte man ihnen sogar die Leserechte auf das gesamte AD entziehen? Also können tut man, aber gäbe es dann Probleme? Es ist noch anzumerken, dass es keine Katastrophe wäre, wenn sich die Kunden untereinander einmal sehen würden. (Wer Anwender der Branchenlösung ist, ist kein Geheimnis, die Daten der Kunden natürlich schon.) Habe ich etwas übersehen, das gegen meine Idee spricht? Hattet ihr schon ähnliche Anforderungen und habt es eleganter gelöst? Vielen Dank für eure Erfahrungen!

Zwei Sekunden Umschaltzeit und das noch verteilt über mehrere Rechenzentren? Sportlich! Fault Tolerance habe ich bisher in der Praxis noch nie angetroffen, nur auf Demos. Es stellt hohe Anforderungen an die Infrastruktur. Ich würde versuchen, die Verfügbarkeit auf Anwendungsebene sicherzustellen (Cluster, Load Balancer etc.). Um was für Anwendungen handelt es sich denn?

Nach der Aktivierung läuft Windows ohne Internetverbindung. Deshalb weiss Microsoft nicht, wie viele Installationen aktiv sind. Du siehst allenfalls, dass X von Y Aktivierungen erfolgt sind, aber Du siehst nirgends, ob diese noch aktiv sind. Eine Übersicht nach Key wäre sowieso nutzlos: ist ein Server Standard dreimal aktiviert, kann das heissen auf drei Hosts oder aber auf einem Host und zwei VMs. Lizenztechnisch ist das ein Unterschied. Du wirst das Inventar also lokal erstellen müssen.

Du könntest eine VM mit OPNsense installieren. Das ist eine vielseitige Firewall-Distribution, welche auch erweiterte Features wie Reverse Proxy unterstützt. Anstatt drei VMs mit drei IPs zu haben, hättest Du vier VMs (eben die Firewall zusätzlich) mit einer IP. Das ist aber ein weites Feld und nicht "mal eben" konfiguriert. Ich empfehle Dir, zum Üben eine Laborumgebung zuhause einzurichten. An öffentlich erreichbare Systeme sollte man sich erst wagen, wenn man die Grundlagen gelernt hat.

Du hast die IP-Adresse schon bei der Netzwerkkarte der VM (in den Hyper-V-Einstellungen, nicht im Gast-Betriebssystem) eingetragen? Viele Provider machen DHCP: sobald die MAC stimmt, stimmt auch die IP. Falls Du mit mehreren VMs arbeitest, ist es empfehlenswert, eine Firewall-VM zu erstellen und alle IP-Adressen an diese zu binden. Die macht dann NAT für die VMs dahinter. So hast Du erstens eine Firewall und zweitens sparst Du allenfalls IP-Adressen.

Die Anwendungen installieren und ggf. ihre Konfiguration übertragen (Registry, ProgramData, AppData...).

Hatte kürzlich mal so einen Fall: keine Policy gesetzt, aber der Zugriff auf die Kamera war gesperrt und konnte nicht aktiviert werden. Lösung: unter HKLM\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy (bzw. HKCU) hat ein "PC-Optimierungs-und-Privatsphäre-Schutz-Tool" die gleichen Schlüssel gesetzt, die sonst durch die Policy gesetzt würden. Tool deinstalliert, Schlüssel gelöscht, hat wieder funktioniert. (Ja, Support in der Verwandtschaft ist lustig...)

Das stimmt schon, aber mittlerweile haben auch Rackserver geregelte Lüfter und die CPUs brauchen im Leerlauf nicht mehr so viel Strom wie früher. Die 60-80W Leerlaufleistung, die ein Server mit einer CPU erzeugt, bekommt man auch in einem Rackgehäuse leise abgeführt. Aber es gibt wahrscheinlich Unterschiede zwischen den Herstellern.

Das funktioniert technisch so, aber bei der asymmetrischen Kryptographie sollte der Private Key nicht auf einem fremden Gerät erzeugt werden. Aus praktischen Gründen kann von diesem Prinzip abgewichen werden, wenn man sich den Konsequenzen bewusst ist.

Dazu ist mir keine Funktion bekannt. Du müsstest das selbst umsetzen: per FTP, einem Webservice etc. In Deinem Szenario müsste der Client einen Webservice aufrufen, sich authentifizieren und seinen Public Key mitschicken. Der Webservice würde dann die Konfigurationsdatei erstellen und an den Client senden.

Public und Private Key gehören zusammen und werden zusammen erzeugt. Der Client kann seinen Public Key über einen ungeschützten Kanal dem Server übermitteln, aber selbst erzeugen kann ihn der Server nicht. Ein Pre-Shared-Key erhöht die Sicherheit, indem er der asymmetrischen Verschlüsselung noch eine symmetrische Verschlüsselung vorschaltet. Falls es in ein paar Jahren Quantencomputer geben sollte, welche das asymmetrische Verfahren brechen können, wären die Daten durch den PSK immer noch geschützt. Dies ist aber in den meisten Fällen mehr eine theoretische Gefahr: es ist eher unwahrscheinlich, dass jemand heute Deinen Traffic mitschneidet und sich dann Jahre später einen Quantencomputer kauft, um die Daten zu entschlüsseln. Wenn sich jemand Zugang zur Konfigurationsdatei verschafft, hat er auch Zugang zum Private Key und ja, das wäre eher nicht so gut. (Wenn jemand einen solchen Zugriff auf Deinen Rechner hätte, könnte er aber auch einen Keylogger oder so installieren.)

Früher musste man Office neu installieren, da es eine andere Edition war. Aktuell soll es funktionieren, indem man die alte Lizenz entfernt und beim nächsten Start einer Office-Anwendung dann die neue Lizenz einträgt (bzw. sich neu anmeldet): https://answers.microsoft.com/en-us/msoffice/forum/all/upgrade-from-office-365-business-premium-to/45f1d3f1-eeb7-47d1-9d32-2b1429fb70ad

Ich verwende für Standardserver die "Read Intensive" SSDs von HPE. Die haben offiziell 1 DWPD. Hatte noch nie einen Ausfall. Das gilt natürlich nicht für schreib-intensive Anwendungen. Bei meinen Kunden erzeugt das Windows Update wohl die höchste Schreiblast. Bezüglich Schutz von Backups vor Malware: Der Backupserver muss (zumindest bei Veeam) nicht Mitglied der Domäne sein und von den Hosts aus auch nicht erreichbar. Veeam holt sich die Daten, die Hosts liefern sie nicht. Ich schränke den Zugriff auf den Backupserver gern ein: nur RDP und nur vom Admin-Netz. Sichert man auf ein NAS, kann man dort ein Backup der Backupdaten konfigurieren. Und sei es nur ein Snapshot auf dem gleichen Volume, eine Malware kommt da nicht dran. Wie Du eindrücklich geschildert hast, sind auch Daten in der Cloud nicht 100% sicher. Es ist aber unwahrscheinlich, dass man sich lokal Malware einfängt und gleichzeitig der Cloud-Provider einen Fehler macht. Viele Cloud-Backup-Lösungen bieten mittlerweile einen Schutz gegen Malware. Bei Veeam Cloud Connect heisst das Feature "Insider Protection": gelöschte Backups werden damit für einen definierbaren Zeitraum nicht definitiv gelöscht, sondern sind nur noch für den Provider zugänglich. Bei Azure heisst das Feature "Immutable Storage" und man kann diverse Regeln festlegen, ob und wann etwas gelöscht oder überschrieben werden darf. Welche Lösung man auch wählt, man sollte prüfen, ob sie für den Fall "Malware läuft als Domain-Admin in meiner Produktivumgebung" gerüstet ist.

Wenn ich das richtig sehe, geht es bei der Anleitung um die Installation der Essentials-Rolle auf einem Server Standard, nicht um die Essentials-Edition. Ein Server mit Essentials-Edition muss laut Microsoft immer der einzige DC sein. Ausnahme: er ist Host für einen Essentials (und nur für diesen). Dann muss der Host nicht in einer Domäne sein. Technisch sollte es deshalb funktionieren, einfach keine Domäne einzurichten. Ein Lizenzverstoss ist es ggf. trotzdem. Habe mal irgendwo gelesen, dass der Essentials der einzige DC sein muss, WENN er als DC konfiguriert wird. Finde die Aussage leider gerade nicht mehr und weiss nicht, ob die von Microsoft kam oder nicht.

Ich sichere viele Hosts mittels Veeam Endpoint. Funktioniert zuverlässig und ist kostenlos. Aber wenn ich so auf die letzten Jahre zurückblicke, muss ich sagen, es war eigentlich den Aufwand nicht wert. Denn wie häufig fällt ein Host schon unrettbar aus? Fällt die Hardware aus, steckt man die Disks in den als Ersatz vorhandenen oder gelieferten Server. Und ein fehlerhaftes Windows Update hat mir zumindest seit Server 2012 noch nie das System unrettbar zerschossen. Und im schlimmsten aller Fälle ist der Host in kurzer Zeit neu installiert. Es empfiehlt sich aber, die VM mit der Backupsoftware nach Updates jeweils zu sichern (VHDX wegkopieren reicht). Denn sonst muss man im Notfall die auch noch installieren, konfigurieren etc. Das geht auch keine Woche, aber länger als einfach die VHDX-Dateien zurück zu kopieren.

Haben sich die Benutzer nach dem Hinzufügen zur Gruppe neu angemeldet?

Bei mir ist der Reader noch als x86 installiert und die Registry-Einstellungen befinden sich unter "HKEY_LOCAL_MACHINE\SOFTWARE\WOW6432Node\Adobe\Acrobat Reader\DC". Im Profil sind noch Dateien unter "AppData\Roaming\Adobe\Acrobat\DC" sowie "AppData\LocalLow\Adobe\Acrobat\DC" und "AppData\Local\Adobe\Acrobat\DC".

Hat der Benutzer einen anderen Standarddrucker als die anderen Benutzer? Hast Du schon versucht, die Einstellungen vom Adobe Reader beim Benutzer zurück zu setzen (AppData und Registry)? Abstürze beim Drucken habe ich hie und da erlebt (und in hartnäckigen Fällen half die Option "als Bild drucken"). Aber das war immer drucker- und nicht benutzerspezifisch.

Könnte das "Snap"-Feature schuld sein? In den Einstellungen unter System - Multitasking kann man das "Fenster andocken" deaktivieren. (Man kann auch im Startmenü nach "Snap" suchen.)

Ja, verständlich. (Erinnert mich an mein grandioses Scheitern, als ich im jugendlichen Leichtsinn einen Spamfilter als Event Sink für Exchange 2003 schreiben wollte. Hat sich der aufgehängt, kamen keine Mails mehr rein. War deshalb auch nur ein paar Tage im "produktiven" Einsatz im Ausbildungsbetrieb. ) Das verlinkte Projekt würde ich diesbezüglich als brauchbar bezeichnen. Der Code ist einfach und gut überschau- bzw. auditierbar. Ihn durch einige benutzerdefinierte Regex-Filter zu ergänzen wäre machbar. Nur darf man ob der Möglichkeiten von .NET nicht übermütig werden und "mal eben" eine Online-API anbinden...

C++ und so tief im System ist auch nichts für Jedermann... Es gibt aber ein Projekt, welches eine DLL bereitstellt, welche dann Test-Funktionen in einer .NET-DLL aufruft. Man muss dann "nur" noch das Passwort entgegen nehmen und true oder false zurückgeben: https://github.com/raandree/ManagedPasswordFilter Sieht durchdacht aus und die Einbindung neuer Filter mittels Reflection ist ein pfiffiges Konzept.

Starten kann man ein Meeting soweit ich weiss nur von der Software aus. Teilnehmen kann man auch per Browser, wenn man eine Einladung erhält. Dies geht sogar ohne Account als Gast. (Gewisse Funktionalität wie das Teilen des Bildschirms steht dann natürlich nicht zur Verfügung.) Aber: da die kostenfreie Version keine geplanten Meetings erlaubt, kann man wahrscheinlich damit keine Leute einladen.

Es gibt eine kostenfreie Version von Teams, welche aber einige Einschränkungen aufweist: https://support.office.com/en-us/article/differences-between-microsoft-teams-and-microsoft-teams-free-0b69cf39-eb52-49af-b255-60d46fdf8a9c Teams taugt definitiv für den produktiven Einsatz. Die Funktionalität geht erheblich weiter als "nur" Videokonferenzen. Wenn man nur während der aktuellen Situation schnell eine Videokonferenz braucht, sind Tools wie Blizz, Hangouts oder Zoom evtl. einfacher. Kommt darauf an, ob die Teilnehmer alle einen Account erstellen und eine Software installieren wollen/können, oder ob es per ID im Browser funktionieren muss.

Die Hardware sollte ausreichen. Ich würde aber kein Projekt mehr mit Server 2016 starten, zu mühsam ist die Update-Problematik. Da seit Server 2019 eine Domäne für RDS User-CALs benötigt wird, würde ich eine Standard-Lizenz kaufen und zwei VMs machen: ein DC und ein Terminalserver. Alternativ könntest Du bei dieser Benutzeranzahl auch einen Cloud-Service prüfen.