mwiederkehr

Richtig. Remote Wipe löscht bei Verwendung der Outlook-App nur deren Daten, nicht das gesamte Smartphone. Die App hat zudem den Vorteil, dass die Leute ihre privaten und geschäftlichen Accounts gut trennen können. Man kann zum Beispiel das Synchronisieren der Kontakte mit dem Smartphone deaktivieren, so dass die geschäftlichen Kontakte nur in der Outlook-App angezeigt werden.

Das Tool kopiert keine Dateien, sondern weist ein Profil einem anderen Benutzer zu. Man muss also nichts sichern oder einspielen, es wird (vereinfacht gesagt) Windows mitgeteilt "Benutzer X hat ab sofort das Profil unter C:\Users\y".

Ich verwende zu diesem Zweck in kleinen Umgebungen den User Profile Wizard. In der kostenlosen Version muss man ihn lokal am Rechner starten und den Assistenten durch-klicken, aber bei drei Profilen ist das kein Problem.

Das Problem ist, dass der Root-Server direkt am Internet hängt. Da Hetzner eine Firewall anbietet, lässt sich dieses Problem zumindest entschärfen, indem Du den RDP-Zugang auf den Host nur von Deiner IP aus erlaubst. Dann würde ich wie von Jan vorgeschlagen vorgehen: eine Firewall-VM (z.B. mit OPNsense) installieren und die zweite IP dort drauf leiten. Die anderen VMs wären dann nur noch über die Firewall-VM erreichbar. Der Zugriff auf den Terminalserver erfolgte dann gefiltert nach IP (falls Du im Büro eine fixe IP hast) oder noch besser per VPN, terminiert auf der Firewall-VM. Auch den Zugang auf den Host kannst Du zumachen. Denn brauchst Du höchstens, wenn die Firewall-VM mal nicht erreichbar sein sollte. Das wäre dann zwar von der Sicherheit her akzeptabel, aber nicht von der Verfügbarkeit, schon gar nicht für 25 Mitarbeiter! Dir muss bewusst sein, dass die günstigen Root-"Server" aus normaler PC-Hardware bestehen. Du wärst bei einem Anbieter, welcher Dir einen verwalteten Terminalserver zur Verfügung stellt, besser aufgehoben. Da kümmert der sich um Firewall, Verfügbarkeit und Backup.

Danke für die Rückmeldung. Freut mich, dass es funktioniert. Ist der Bildaufbau über TCP schnell genug? Dann kannst Du es gut so lassen. Falls nicht, würde ich mit iperf mal testen, ob UDP-Pakete genügend schnell und in der richtigen Reihenfolge ankommen. Hatte solche Probleme eigentlich nur über WAN, wo dann meist eine Firewall gemeint hat, das seien etwas viele Pakete pro Sekunde. Innerhalb des LAN (bzw. im gleichen Netzwerksegment) hatte ich noch nie Probleme mit UDP.

Git funktioniert wunderbar ohne Server. Falls Du ein Webinterface mit Features wie GitHub suchst, schau Dir mal https://gogs.io/ an.

Funktioniert es, wenn Du UDP deaktivierst?

40 Mitarbeiter sind jetzt nicht so wenig... Ein Server für Domäne, Dateiablage, Datenbank, Druckdienste etc. lohnt sich sicher. Exchange würde ich bei dieser Anzahl Benutzer nicht selbst betreiben, sondern aus der Cloud beziehen. (Habe es vor einigen Jahren mal durchgerechnet und kam auf 50 Benutzer, ab denen ein eigener Exchange günstiger ist. Aber die Cloud ist inzwischen günstiger geworden.) Ob der Server vor Ort steht oder auch in der Cloud schwebt, ist die andere Frage. Das hängt von Anforderungen an Verfügbarkeit, vorhandener Internetanbindung etc. ab. Für 40 Benutzer kann man sich sicher einen Markenserver inkl. Servicevertrag leisten. Datensicherung mit Veeam auf ein NAS und zusätzlich mit Cloud Connect in die Cloud. Das hält dann fünf Jahre und verursacht wohl die wenigsten laufenden Kosten.

Du kannst einfach noch zwei Mal Business Premium dazu buchen und per Kreditkarte bezahlen. Dann hast Du die Lizenzen doppelt, bis man sie bei der ALSO entfernt. Man muss den Benutzern keine anderen Lizenzen zuweisen, der Tenant muss einfach genügend Lizenzen verfügbar haben.

Ich teste das jeweils mit wget (geht auch in der PowerShell, ist dort ein Alias für das eingebaute Kommando). Das lädt den Inhalt herunter, ohne ihn auszuführen. Mit "-O datei.dat" gibt man der Datei einen Namen, der bei einem versehentlichen Doppelklick nicht zur Ausführung führt. Die heruntergeladene Datei schaue ich dann mit einem Texteditor an. Im Idealfall ist es ein HTML mit dem Inhalt "Datei gesperrt". Wenn der lokale Defender anspringt, war der Filter auf der Firewall nicht so gut. Die Windows Sandbox ist sicher nicht schlecht als zusätzlicher Schutz. Ich verwende gerne WSL, das Windows Subsystem for Linux. Auf Linux würde der heruntergeladene Schadcode nicht laufen.

Danke allen für die Antworten! Auf der VM gibt es einen Restart-Task, welcher sie täglich neu startet. Der Kunde ist von der Fraktion mit der Meinung, dass "Windows Server bekanntlich nicht stabil laufen, wenn sie nicht mindestens einmal wöchentlich neu gestartet werden"... Also war nicht die Live Migration abends das Problem, sondern der Neustart in der Nacht. Werde mich in das Konzept der fixen MAC-Adressen einlesen. Nochmals vielen Dank, an die MAC-Adresse hätte ich wohl zuletzt gedacht!

Die MAC ändert bei Live Migration? Das habe ich nicht gewusst! Und ehrlich gesagt auch nie nachgeschaut, da ich davon ausging, dass die sicher nicht ändert. Danke für den Tipp, das muss ich mal testen!

Von ihm weiss ich es! Er hat das mal in einem Thread schön erklärt, aber ich finde den Thread gerade nicht mehr.

Ich meine zu wissen, dass der Remotezugriff auf "seinen" PC (nicht VM) bei Windows 10 mit der normalen Lizenz abgedeckt ist. Der User darf vom Sitzungszimmer aus auf seine Workstation zugreifen, an welcher er sonst lokal arbeitet. Stimmt, das ist ein gutes Argument für einen Fat-Client. Wenn der Windows 10 Pro hat, darf man auf beliebige Rechner mit Windows 10 Pro zugreifen. Soweit ich weiss, gibt es aber eine Ausnahme für VMs (VDA-Lizenz).

Hallo zusammen Lässt sich einrichten, dass eine VM nicht sieht, auf welchem Host sie läuft? Normalerweise steht das ja unter anderem in der Registry unter HKLM\Software\Microsoft\Virtual Machine\Guest\Parameters. Der Grund ist eine Software, deren Lizenzserver nach jeder Live Migration neu aktiviert werden will. Die VM-ID, MAC-Adresse, Festplatten-Seriennummer etc. ändern sich ja nicht beim Verschieben, also vermute ich, dass es eine Information über den Host sein muss. Der Hersteller lässt sich leider nicht in die Karten blicken, welche Informationen er genau verwendet zur Erstellung der Hardware-ID. Früher, als die Software noch mit ESXi darunter lief, gab es das Problem nicht. Ich vermute, dass eine VM bei ESXi nicht herausfindet, auf welchem Host sie läuft. Es geht nur darum, die Live Migrationen "unsichtbar" zu machen. Die Software darf wissen, dass sie in einer VM läuft. Hyper-V ist offiziell unterstützt. (Aber der Hersteller hat offensichtlich keine Kunden mit Clustern.) Vielen Dank für eure Tipps!

Durfte das krisenbedingt kürzlich bei einem Kunden ausprobieren: die Mitarbeiter mussten von zuhause aus arbeiten (Konstruktion Hochbau). Kein Terminalserver mit dedizierter Grafikkarte verfügbar. Also haben sie die Workstations laufen gelassen und von zuhause aus per RDP über VPN gearbeitet. Hat zu meinem grossen Erstaunen tadellos funktioniert.

Dann bleibt noch ein (auch älterer) PC, entweder mit Windows (Autologon mit lokalem Benutzer, alle RDP-Verknüpfungen auf dem Desktop) oder mit einem anderen System. Da habe ich von IGEL Gutes gehört. Die haben einen USB-Stick im Angebot (UD Pocket), von welchem man booten kann. So kann man dem alten Rechner die Festplatte ausbauen.

Da gibt es viele Möglichkeiten: Raspberry Pi: günstig, Einrichtung evtl. nicht ganz einfach wenn man keine kommerzielle Software nimmt Stick mit Android (ChromeCast etc.): es gibt einen offiziellen RDP-Client für Android, welcher gut funktioniert Intel Compute Stick: falls es Windows sein soll, ist das die günstigste und kleinste Variante

Wenn ich auf dem Link von Dukel "Germany" auswähle, erscheinen deutsche Firmen. Ich würde einen Provider mit Cloud Connect wählen und nicht S3-Speicher verwenden. Wenn Veeam auch beim Provider läuft, können Sachen wie Konsistenzprüfungen, Integration von Diff-Backups etc. direkt auf dem Server passieren und die Daten müssen nicht mehrmals über die Leitung.

Ergänzend: seit Januar 2019 wird Office 365 als 64-Bit-Version installiert. Will man 32 Bit, muss man das explizit unter "andere Installationsoptionen" auswählen.

Hast Du in der GPO ein Shutdown-Script hinterlegt? Ich glaube zum Zeitpunkt des Hängers führt er diese Scripts aus. Ist das Herunterfahren schnell, wenn Du vorher die Netzwerkverbindung trennst?

Danke für eure Antworten! Werde mir die Doku zum List Object Mode durchlesen. Kannte bisher nur die Deny-Methode. Und die ist gefährlich, wenn man nicht alles gescriptet hat und der Supporter mal die Checkliste nicht zu Ende liest... Von "Schuld" würde ich nicht sprechen, aber ich finde, Microsoft könnte da flexibler sein. Einerseits benötigen immer mehr ihrer Anwendungen eine Domäne, andererseits benötigt man für einen DC immer noch eine komplette VM, auch wenn dann nur drei Benutzer im AD stehen. (Etwas überspitzt gesagt natürlich, ein DC macht ja schon noch etwas mehr als LDAP-Anfragen zu beantworten.) Wäre schön, wenn es etwas wie das Azure AD auch für Hoster gäbe. Windows 10 Multisession gibt es ja leider auch nur auf Azure.

Hallo zusammen Ein Kunde bietet seine Software (Branchenlösung) gehostet an. Da die Software nicht mandantenfähig ist und einige Kunden zusätzlich noch andere Anwendungen gehostet haben wollen, haben wir bisher pro Kunde einen Terminalserver betrieben. Dieser war nicht in einer Domäne (da zu aufwändig/teuer für nur zwei bis zehn Benutzer) und auch nicht DC (weil TS auf DC bekanntlich nicht so toll ist). Das hat wunderbar funktioniert seit Windows 2008 R2. Windows 2019 will aber eine Domäne, sonst läuft die Terminalserver-Lizenzierung nicht. Meine Idee war, eine Domäne für alle Mandanten aufzubauen. Die einzelnen Server wären immer noch per Firewall getrennt. Pro Mandant gäbe es eine OU. Damit die Benutzer einander nicht sehen, hätte ich ihnen im AD die Leserechte auf jeweils alle anderen OU entzogen. Oder könnte man ihnen sogar die Leserechte auf das gesamte AD entziehen? Also können tut man, aber gäbe es dann Probleme? Es ist noch anzumerken, dass es keine Katastrophe wäre, wenn sich die Kunden untereinander einmal sehen würden. (Wer Anwender der Branchenlösung ist, ist kein Geheimnis, die Daten der Kunden natürlich schon.) Habe ich etwas übersehen, das gegen meine Idee spricht? Hattet ihr schon ähnliche Anforderungen und habt es eleganter gelöst? Vielen Dank für eure Erfahrungen!

Zwei Sekunden Umschaltzeit und das noch verteilt über mehrere Rechenzentren? Sportlich! Fault Tolerance habe ich bisher in der Praxis noch nie angetroffen, nur auf Demos. Es stellt hohe Anforderungen an die Infrastruktur. Ich würde versuchen, die Verfügbarkeit auf Anwendungsebene sicherzustellen (Cluster, Load Balancer etc.). Um was für Anwendungen handelt es sich denn?

Nach der Aktivierung läuft Windows ohne Internetverbindung. Deshalb weiss Microsoft nicht, wie viele Installationen aktiv sind. Du siehst allenfalls, dass X von Y Aktivierungen erfolgt sind, aber Du siehst nirgends, ob diese noch aktiv sind. Eine Übersicht nach Key wäre sowieso nutzlos: ist ein Server Standard dreimal aktiviert, kann das heissen auf drei Hosts oder aber auf einem Host und zwei VMs. Lizenztechnisch ist das ein Unterschied. Du wirst das Inventar also lokal erstellen müssen.