mwiederkehr

40 Mitarbeiter sind jetzt nicht so wenig... Ein Server für Domäne, Dateiablage, Datenbank, Druckdienste etc. lohnt sich sicher. Exchange würde ich bei dieser Anzahl Benutzer nicht selbst betreiben, sondern aus der Cloud beziehen. (Habe es vor einigen Jahren mal durchgerechnet und kam auf 50 Benutzer, ab denen ein eigener Exchange günstiger ist. Aber die Cloud ist inzwischen günstiger geworden.) Ob der Server vor Ort steht oder auch in der Cloud schwebt, ist die andere Frage. Das hängt von Anforderungen an Verfügbarkeit, vorhandener Internetanbindung etc. ab. Für 40 Benutzer kann man sich sicher einen Markenserver inkl. Servicevertrag leisten. Datensicherung mit Veeam auf ein NAS und zusätzlich mit Cloud Connect in die Cloud. Das hält dann fünf Jahre und verursacht wohl die wenigsten laufenden Kosten.

Du kannst einfach noch zwei Mal Business Premium dazu buchen und per Kreditkarte bezahlen. Dann hast Du die Lizenzen doppelt, bis man sie bei der ALSO entfernt. Man muss den Benutzern keine anderen Lizenzen zuweisen, der Tenant muss einfach genügend Lizenzen verfügbar haben.

Ich teste das jeweils mit wget (geht auch in der PowerShell, ist dort ein Alias für das eingebaute Kommando). Das lädt den Inhalt herunter, ohne ihn auszuführen. Mit "-O datei.dat" gibt man der Datei einen Namen, der bei einem versehentlichen Doppelklick nicht zur Ausführung führt. Die heruntergeladene Datei schaue ich dann mit einem Texteditor an. Im Idealfall ist es ein HTML mit dem Inhalt "Datei gesperrt". Wenn der lokale Defender anspringt, war der Filter auf der Firewall nicht so gut. Die Windows Sandbox ist sicher nicht schlecht als zusätzlicher Schutz. Ich verwende gerne WSL, das Windows Subsystem for Linux. Auf Linux würde der heruntergeladene Schadcode nicht laufen.

Danke allen für die Antworten! Auf der VM gibt es einen Restart-Task, welcher sie täglich neu startet. Der Kunde ist von der Fraktion mit der Meinung, dass "Windows Server bekanntlich nicht stabil laufen, wenn sie nicht mindestens einmal wöchentlich neu gestartet werden"... Also war nicht die Live Migration abends das Problem, sondern der Neustart in der Nacht. Werde mich in das Konzept der fixen MAC-Adressen einlesen. Nochmals vielen Dank, an die MAC-Adresse hätte ich wohl zuletzt gedacht!

Die MAC ändert bei Live Migration? Das habe ich nicht gewusst! Und ehrlich gesagt auch nie nachgeschaut, da ich davon ausging, dass die sicher nicht ändert. Danke für den Tipp, das muss ich mal testen!

Von ihm weiss ich es! Er hat das mal in einem Thread schön erklärt, aber ich finde den Thread gerade nicht mehr.

Ich meine zu wissen, dass der Remotezugriff auf "seinen" PC (nicht VM) bei Windows 10 mit der normalen Lizenz abgedeckt ist. Der User darf vom Sitzungszimmer aus auf seine Workstation zugreifen, an welcher er sonst lokal arbeitet. Stimmt, das ist ein gutes Argument für einen Fat-Client. Wenn der Windows 10 Pro hat, darf man auf beliebige Rechner mit Windows 10 Pro zugreifen. Soweit ich weiss, gibt es aber eine Ausnahme für VMs (VDA-Lizenz).

Hallo zusammen Lässt sich einrichten, dass eine VM nicht sieht, auf welchem Host sie läuft? Normalerweise steht das ja unter anderem in der Registry unter HKLM\Software\Microsoft\Virtual Machine\Guest\Parameters. Der Grund ist eine Software, deren Lizenzserver nach jeder Live Migration neu aktiviert werden will. Die VM-ID, MAC-Adresse, Festplatten-Seriennummer etc. ändern sich ja nicht beim Verschieben, also vermute ich, dass es eine Information über den Host sein muss. Der Hersteller lässt sich leider nicht in die Karten blicken, welche Informationen er genau verwendet zur Erstellung der Hardware-ID. Früher, als die Software noch mit ESXi darunter lief, gab es das Problem nicht. Ich vermute, dass eine VM bei ESXi nicht herausfindet, auf welchem Host sie läuft. Es geht nur darum, die Live Migrationen "unsichtbar" zu machen. Die Software darf wissen, dass sie in einer VM läuft. Hyper-V ist offiziell unterstützt. (Aber der Hersteller hat offensichtlich keine Kunden mit Clustern.) Vielen Dank für eure Tipps!

Durfte das krisenbedingt kürzlich bei einem Kunden ausprobieren: die Mitarbeiter mussten von zuhause aus arbeiten (Konstruktion Hochbau). Kein Terminalserver mit dedizierter Grafikkarte verfügbar. Also haben sie die Workstations laufen gelassen und von zuhause aus per RDP über VPN gearbeitet. Hat zu meinem grossen Erstaunen tadellos funktioniert.

Dann bleibt noch ein (auch älterer) PC, entweder mit Windows (Autologon mit lokalem Benutzer, alle RDP-Verknüpfungen auf dem Desktop) oder mit einem anderen System. Da habe ich von IGEL Gutes gehört. Die haben einen USB-Stick im Angebot (UD Pocket), von welchem man booten kann. So kann man dem alten Rechner die Festplatte ausbauen.

Da gibt es viele Möglichkeiten: Raspberry Pi: günstig, Einrichtung evtl. nicht ganz einfach wenn man keine kommerzielle Software nimmt Stick mit Android (ChromeCast etc.): es gibt einen offiziellen RDP-Client für Android, welcher gut funktioniert Intel Compute Stick: falls es Windows sein soll, ist das die günstigste und kleinste Variante

Wenn ich auf dem Link von Dukel "Germany" auswähle, erscheinen deutsche Firmen. Ich würde einen Provider mit Cloud Connect wählen und nicht S3-Speicher verwenden. Wenn Veeam auch beim Provider läuft, können Sachen wie Konsistenzprüfungen, Integration von Diff-Backups etc. direkt auf dem Server passieren und die Daten müssen nicht mehrmals über die Leitung.

Ergänzend: seit Januar 2019 wird Office 365 als 64-Bit-Version installiert. Will man 32 Bit, muss man das explizit unter "andere Installationsoptionen" auswählen.

Hast Du in der GPO ein Shutdown-Script hinterlegt? Ich glaube zum Zeitpunkt des Hängers führt er diese Scripts aus. Ist das Herunterfahren schnell, wenn Du vorher die Netzwerkverbindung trennst?

Danke für eure Antworten! Werde mir die Doku zum List Object Mode durchlesen. Kannte bisher nur die Deny-Methode. Und die ist gefährlich, wenn man nicht alles gescriptet hat und der Supporter mal die Checkliste nicht zu Ende liest... Von "Schuld" würde ich nicht sprechen, aber ich finde, Microsoft könnte da flexibler sein. Einerseits benötigen immer mehr ihrer Anwendungen eine Domäne, andererseits benötigt man für einen DC immer noch eine komplette VM, auch wenn dann nur drei Benutzer im AD stehen. (Etwas überspitzt gesagt natürlich, ein DC macht ja schon noch etwas mehr als LDAP-Anfragen zu beantworten.) Wäre schön, wenn es etwas wie das Azure AD auch für Hoster gäbe. Windows 10 Multisession gibt es ja leider auch nur auf Azure.

Hallo zusammen Ein Kunde bietet seine Software (Branchenlösung) gehostet an. Da die Software nicht mandantenfähig ist und einige Kunden zusätzlich noch andere Anwendungen gehostet haben wollen, haben wir bisher pro Kunde einen Terminalserver betrieben. Dieser war nicht in einer Domäne (da zu aufwändig/teuer für nur zwei bis zehn Benutzer) und auch nicht DC (weil TS auf DC bekanntlich nicht so toll ist). Das hat wunderbar funktioniert seit Windows 2008 R2. Windows 2019 will aber eine Domäne, sonst läuft die Terminalserver-Lizenzierung nicht. Meine Idee war, eine Domäne für alle Mandanten aufzubauen. Die einzelnen Server wären immer noch per Firewall getrennt. Pro Mandant gäbe es eine OU. Damit die Benutzer einander nicht sehen, hätte ich ihnen im AD die Leserechte auf jeweils alle anderen OU entzogen. Oder könnte man ihnen sogar die Leserechte auf das gesamte AD entziehen? Also können tut man, aber gäbe es dann Probleme? Es ist noch anzumerken, dass es keine Katastrophe wäre, wenn sich die Kunden untereinander einmal sehen würden. (Wer Anwender der Branchenlösung ist, ist kein Geheimnis, die Daten der Kunden natürlich schon.) Habe ich etwas übersehen, das gegen meine Idee spricht? Hattet ihr schon ähnliche Anforderungen und habt es eleganter gelöst? Vielen Dank für eure Erfahrungen!

Zwei Sekunden Umschaltzeit und das noch verteilt über mehrere Rechenzentren? Sportlich! Fault Tolerance habe ich bisher in der Praxis noch nie angetroffen, nur auf Demos. Es stellt hohe Anforderungen an die Infrastruktur. Ich würde versuchen, die Verfügbarkeit auf Anwendungsebene sicherzustellen (Cluster, Load Balancer etc.). Um was für Anwendungen handelt es sich denn?

Nach der Aktivierung läuft Windows ohne Internetverbindung. Deshalb weiss Microsoft nicht, wie viele Installationen aktiv sind. Du siehst allenfalls, dass X von Y Aktivierungen erfolgt sind, aber Du siehst nirgends, ob diese noch aktiv sind. Eine Übersicht nach Key wäre sowieso nutzlos: ist ein Server Standard dreimal aktiviert, kann das heissen auf drei Hosts oder aber auf einem Host und zwei VMs. Lizenztechnisch ist das ein Unterschied. Du wirst das Inventar also lokal erstellen müssen.

Du könntest eine VM mit OPNsense installieren. Das ist eine vielseitige Firewall-Distribution, welche auch erweiterte Features wie Reverse Proxy unterstützt. Anstatt drei VMs mit drei IPs zu haben, hättest Du vier VMs (eben die Firewall zusätzlich) mit einer IP. Das ist aber ein weites Feld und nicht "mal eben" konfiguriert. Ich empfehle Dir, zum Üben eine Laborumgebung zuhause einzurichten. An öffentlich erreichbare Systeme sollte man sich erst wagen, wenn man die Grundlagen gelernt hat.

Du hast die IP-Adresse schon bei der Netzwerkkarte der VM (in den Hyper-V-Einstellungen, nicht im Gast-Betriebssystem) eingetragen? Viele Provider machen DHCP: sobald die MAC stimmt, stimmt auch die IP. Falls Du mit mehreren VMs arbeitest, ist es empfehlenswert, eine Firewall-VM zu erstellen und alle IP-Adressen an diese zu binden. Die macht dann NAT für die VMs dahinter. So hast Du erstens eine Firewall und zweitens sparst Du allenfalls IP-Adressen.

Die Anwendungen installieren und ggf. ihre Konfiguration übertragen (Registry, ProgramData, AppData...).

Hatte kürzlich mal so einen Fall: keine Policy gesetzt, aber der Zugriff auf die Kamera war gesperrt und konnte nicht aktiviert werden. Lösung: unter HKLM\SOFTWARE\Policies\Microsoft\Windows\AppPrivacy (bzw. HKCU) hat ein "PC-Optimierungs-und-Privatsphäre-Schutz-Tool" die gleichen Schlüssel gesetzt, die sonst durch die Policy gesetzt würden. Tool deinstalliert, Schlüssel gelöscht, hat wieder funktioniert. (Ja, Support in der Verwandtschaft ist lustig...)

Das stimmt schon, aber mittlerweile haben auch Rackserver geregelte Lüfter und die CPUs brauchen im Leerlauf nicht mehr so viel Strom wie früher. Die 60-80W Leerlaufleistung, die ein Server mit einer CPU erzeugt, bekommt man auch in einem Rackgehäuse leise abgeführt. Aber es gibt wahrscheinlich Unterschiede zwischen den Herstellern.

Das funktioniert technisch so, aber bei der asymmetrischen Kryptographie sollte der Private Key nicht auf einem fremden Gerät erzeugt werden. Aus praktischen Gründen kann von diesem Prinzip abgewichen werden, wenn man sich den Konsequenzen bewusst ist.

Dazu ist mir keine Funktion bekannt. Du müsstest das selbst umsetzen: per FTP, einem Webservice etc. In Deinem Szenario müsste der Client einen Webservice aufrufen, sich authentifizieren und seinen Public Key mitschicken. Der Webservice würde dann die Konfigurationsdatei erstellen und an den Client senden.