mwiederkehr

Laut https://httpd.apache.org/docs/2.4/platform/windows.html wird ein Konto mit den Berechtigungen "Anmelden als Dienst" sowie "als Teil des Betriebssystems agieren" benötigt. Ich denke aber, "Anmelden als Dienst" sollte genügen. Da Windows keine privilegierten Ports kennt, reicht ein normaler Domänen-Benutzer mit diesem Recht. Aber muss es Apache sein? Wenn möglich würde ich es mit dem IIS machen.

Jein. MSI macht den Installer, aber es verteilt ihn nicht. Die Hersteller müssten bei Microsoft das MSI hinterlegen können und es würde dann über Windows Update oder einen Paketmanager verteilt. Wobei: dafür gäbe es ja den Store, wenn ich es mir recht überlege... Ja, MSI ist nicht ganz einfach und in vielen Fällen überdimensioniert. Ich verwende deshalb immer noch Inno Setup. Das reicht, um die Dateien zu entpacken und eine Verknüpfung auf den Desktop zu legen. Aber meine Anwendungen haben auch keine komplexen Installationsoptionen oder Key-Abfragen.

Ich mag die PowerShell auch, aber in diesem Fall sehe ich keine Vorteile. Scripts mache ich gerne dort, wo es Anpassungen durch den Admin/Benutzer braucht. Den Code des Paketmanagers werden wohl wenige anpassen, deshalb hat eine kleine, schnelle EXE schon ihre Berechtigung. Habe schon sehr komplexe Scripts gesehen, die mittels WinForms Fenster und Dialoge erzeugt haben. Da habe ich mich dann schon gefragt, weshalb man das nicht direkt in Visual Studio macht. Aber ist sicher eine Frage der eigenen Vorlieben. Stimmt, das ginge natürlich. Man kann ja eigene Repositories anhängen mit eigenen Paketdefinitionen. Updates werden wohl noch länger nur über "alte Version deinstallieren, neue Version installieren" gehen. Unter Linux kopiert man einfach die Dateien des neuen Pakets über die der alten Version, aber unter Windows kocht jeder Hersteller sein eigenes Süppchen bezüglich Installer. Wobei, wenn Microsoft ein Installer/Updater-Framework anbieten würde, sei es in Form dieses Paketmanagers oder indem sich Drittanwendungen in Windows Update einklinken dürfen, könnte sich das ändern. Man wird ja wohl noch träumen dürfen!

Nach genauerer Lektüre ist die Euphorie etwas verflogen: aktuell lädt das Tool einfach Installer herunter und startet sie (mit Silent-Parametern). Es gibt (noch) keine Update-Funktion. Der Adobe Reader und Chrome installieren also weiterhin einen Update-Task, Firefox installiert seinen Update-Service und Notepad++ informiert beim Start über neue Versionen. Ein Tool zur Erleichterung der Installation ist gut, aber wirklich hilfreich wäre es, wenn es die Anwendungen auch updaten könnte. Aber mal abwarten, die Entwicklung geht ja weiter! Das stimmt auch wieder... Eigentlich stört mich nicht die Registry an sich, sondern wie (besonders Microsoft-)Programme ihre Konfiguration dort ablegen. Extrembeispiel: Outlook. Versuch mal, dessen Konfiguration (Konten, Signatur etc.) auf einen anderen PC zu übertragen (ohne Domäne, sondern beim Nachbarn). Und dann versuch es mit Thunderbird: Profilordner kopieren und fertig. Ebenso IE vs. Firefox etc. Bei "sauber" abgelegten Sachen hat die Registry schon ihre Vorteile. Eine GPO zu setzen ist komfortabler als Suchen/Ersetzen-Scripts für INI-Dateien zu schreiben...

Danke für den Link! Das Highlight des Tages! Jetzt müssen sie nur noch die Registry abschaffen und ich bin im Paradies.

Diesbezüglich würde ich vorgängig noch abklären, ob Geräte, die Scan2SMB machen, nur SMB 1 unterstützen. Allenfalls muss deren Firmware aktualisiert werden, denn bei Server 2019 ist Schluss mit SMB 1.

Mittels Makro lassen sich die Events "neue E-Mail" und "neues Element im Posteingang" abfangen und verarbeiten: https://docs.microsoft.com/en-us/office/vba/api/outlook.application.newmail https://www.tachytelic.net/2017/10/how-to-run-a-vba-macro-when-new-mail-is-received-in-outlook/

Es soll mit einem Registry-Key gehen: https://support.microsoft.com/en-us/help/3191893/how-to-control-the-rule-actions-to-start-an-application-or-run-a-macro Da man dieses Feature per Registry freischalten muss, ist davon auszugehen, dass es in kommenden Versionen ganz abgeschafft wird.

Das war beim NUC5 auch so. So einer ist seit 2015 bei mir als Heimserver im Einsatz. Man muss die Signaturprüfung der Treiber temporär deaktivieren und die INF-Datei anpassen. Hatte nie Netzwerk-Probleme. Aktuell gibt es den NUC8. Bei dem hat Server 2019 den Netzwerktreiber dabei.

Ich verwende für solche Zwecke gerne Intel NUCs. Für deren aktuelle Generation bringt Windows 2019 fast alle Treiber mit. Es fehlen nur Bluetooth und WLAN. Nachteil: das Ding hat nur zwei RAM-Steckplätze und unterstützt maximal 32 GB. (Laut Berichten gehen auch 64 GB, aber 32GB-Module sind teuer.) Mit 32 GB kommt man aber weit, wenn man auf Exchange und Java verzichten kann.

Es soll mit einer Policy funktionieren, welche den direkten Zugriff erlaubt: https://gilsmethod.com/solution-burn-dvd-cd-remote-desktop Falls die Windows-Brennfunktion den Brenner so nicht erkennt, wird es schwierig. Brennsoftware von Drittherstellern benötigt Adminrechte zum Brennen. Nero installiert einen Dienst, um das auch Benutzern zu ermöglichen. Ob man das auf einem Server haben will, ist aber fraglich.

Nur wenn Du danach mehr Cores hast. Die Lizenz bleibt bei Hardware-Tausch gültig.

Soweit ich weiss ja. Dazu müsste der Hoster ja die Disks umbauen und das wird er kaum tun ohne Dich zu informieren. Du kannst selbst SPLA-Lizenzen kaufen (bzw. mieten). Das geht heutzutage reht einfach über Reseller (CSP).

Ihr müsst immer alle Cores des Hosts lizenzieren. Unabhängig davon, wie viele davon ihr der VM zuweist und auch unabhängig vom verwendeten Hypervisor. Wenn ihr einen ganzen Server mietet, dürft ihr eure eigenen Lizenzen verwenden. Aber aufpassen: falls ihr auf dem Server Dienste für Dritte (Terminalserver etc.) bereitstellt, müsst ihr anders lizenzieren.

Richtig. Remote Wipe löscht bei Verwendung der Outlook-App nur deren Daten, nicht das gesamte Smartphone. Die App hat zudem den Vorteil, dass die Leute ihre privaten und geschäftlichen Accounts gut trennen können. Man kann zum Beispiel das Synchronisieren der Kontakte mit dem Smartphone deaktivieren, so dass die geschäftlichen Kontakte nur in der Outlook-App angezeigt werden.

Das Tool kopiert keine Dateien, sondern weist ein Profil einem anderen Benutzer zu. Man muss also nichts sichern oder einspielen, es wird (vereinfacht gesagt) Windows mitgeteilt "Benutzer X hat ab sofort das Profil unter C:\Users\y".

Ich verwende zu diesem Zweck in kleinen Umgebungen den User Profile Wizard. In der kostenlosen Version muss man ihn lokal am Rechner starten und den Assistenten durch-klicken, aber bei drei Profilen ist das kein Problem.

Das Problem ist, dass der Root-Server direkt am Internet hängt. Da Hetzner eine Firewall anbietet, lässt sich dieses Problem zumindest entschärfen, indem Du den RDP-Zugang auf den Host nur von Deiner IP aus erlaubst. Dann würde ich wie von Jan vorgeschlagen vorgehen: eine Firewall-VM (z.B. mit OPNsense) installieren und die zweite IP dort drauf leiten. Die anderen VMs wären dann nur noch über die Firewall-VM erreichbar. Der Zugriff auf den Terminalserver erfolgte dann gefiltert nach IP (falls Du im Büro eine fixe IP hast) oder noch besser per VPN, terminiert auf der Firewall-VM. Auch den Zugang auf den Host kannst Du zumachen. Denn brauchst Du höchstens, wenn die Firewall-VM mal nicht erreichbar sein sollte. Das wäre dann zwar von der Sicherheit her akzeptabel, aber nicht von der Verfügbarkeit, schon gar nicht für 25 Mitarbeiter! Dir muss bewusst sein, dass die günstigen Root-"Server" aus normaler PC-Hardware bestehen. Du wärst bei einem Anbieter, welcher Dir einen verwalteten Terminalserver zur Verfügung stellt, besser aufgehoben. Da kümmert der sich um Firewall, Verfügbarkeit und Backup.

Danke für die Rückmeldung. Freut mich, dass es funktioniert. Ist der Bildaufbau über TCP schnell genug? Dann kannst Du es gut so lassen. Falls nicht, würde ich mit iperf mal testen, ob UDP-Pakete genügend schnell und in der richtigen Reihenfolge ankommen. Hatte solche Probleme eigentlich nur über WAN, wo dann meist eine Firewall gemeint hat, das seien etwas viele Pakete pro Sekunde. Innerhalb des LAN (bzw. im gleichen Netzwerksegment) hatte ich noch nie Probleme mit UDP.

Git funktioniert wunderbar ohne Server. Falls Du ein Webinterface mit Features wie GitHub suchst, schau Dir mal https://gogs.io/ an.

Funktioniert es, wenn Du UDP deaktivierst?

40 Mitarbeiter sind jetzt nicht so wenig... Ein Server für Domäne, Dateiablage, Datenbank, Druckdienste etc. lohnt sich sicher. Exchange würde ich bei dieser Anzahl Benutzer nicht selbst betreiben, sondern aus der Cloud beziehen. (Habe es vor einigen Jahren mal durchgerechnet und kam auf 50 Benutzer, ab denen ein eigener Exchange günstiger ist. Aber die Cloud ist inzwischen günstiger geworden.) Ob der Server vor Ort steht oder auch in der Cloud schwebt, ist die andere Frage. Das hängt von Anforderungen an Verfügbarkeit, vorhandener Internetanbindung etc. ab. Für 40 Benutzer kann man sich sicher einen Markenserver inkl. Servicevertrag leisten. Datensicherung mit Veeam auf ein NAS und zusätzlich mit Cloud Connect in die Cloud. Das hält dann fünf Jahre und verursacht wohl die wenigsten laufenden Kosten.

Du kannst einfach noch zwei Mal Business Premium dazu buchen und per Kreditkarte bezahlen. Dann hast Du die Lizenzen doppelt, bis man sie bei der ALSO entfernt. Man muss den Benutzern keine anderen Lizenzen zuweisen, der Tenant muss einfach genügend Lizenzen verfügbar haben.

Ich teste das jeweils mit wget (geht auch in der PowerShell, ist dort ein Alias für das eingebaute Kommando). Das lädt den Inhalt herunter, ohne ihn auszuführen. Mit "-O datei.dat" gibt man der Datei einen Namen, der bei einem versehentlichen Doppelklick nicht zur Ausführung führt. Die heruntergeladene Datei schaue ich dann mit einem Texteditor an. Im Idealfall ist es ein HTML mit dem Inhalt "Datei gesperrt". Wenn der lokale Defender anspringt, war der Filter auf der Firewall nicht so gut. Die Windows Sandbox ist sicher nicht schlecht als zusätzlicher Schutz. Ich verwende gerne WSL, das Windows Subsystem for Linux. Auf Linux würde der heruntergeladene Schadcode nicht laufen.

Danke allen für die Antworten! Auf der VM gibt es einen Restart-Task, welcher sie täglich neu startet. Der Kunde ist von der Fraktion mit der Meinung, dass "Windows Server bekanntlich nicht stabil laufen, wenn sie nicht mindestens einmal wöchentlich neu gestartet werden"... Also war nicht die Live Migration abends das Problem, sondern der Neustart in der Nacht. Werde mich in das Konzept der fixen MAC-Adressen einlesen. Nochmals vielen Dank, an die MAC-Adresse hätte ich wohl zuletzt gedacht!