mwiederkehr

Ja, Azure bietet extrem viel. Lexware ist kein einfacher Kandidat, da es anscheinend eine eigene Datenbank verwendet. Systeme, die SQL Server verwenden, können allenfalls zu Azure SQL migriert werden (Unterstützung des Herstellers natürlich vorausgesetzt). Der Fileserver könnte durch OneDrive oder Azure Files abgelöst werden. Aber vermutlich wird eine Umgebung mit VMs zumindest noch die nächsten Jahre günstiger sein.

VMs sind in Azure relativ teuer. Wenn man eine klassische Umgebung auslagern will, also weiterhin mit eigenen VMs betreiben, sind andere Hoster günstiger. Auch bezüglich Betreuung kann ein lokaler Dienstleister besser sein. Falls ihr mittelfristig zumindest teilweise zu Cloud-Diensten wechseln wollt (Exchange Online ist eigentlich schon ein Anfang), ist Azure die bessere Wahl.

Tatsächlich, da war ich nicht mehr auf dem aktuellen Stand. Danke! Das "License Mobility Addendum" ist ein Vertragszusatz, welchen der Hoster abschliessen muss. Seit es "Flexible Virtualization Benefit" gibt, ist es aber nicht mehr relevant. Denn "Flexible Virtualization Benefit" geht bei allen Hostern mit SPLA-Vertrag. Man darf Lizenzen, für die man eine aktive Software Assurance hat, auf gehosteten Systemen einsetzen. Man muss sich dann an die Bedingungen der Kauflizenz halten: Also CALs erwerben, allenfalls den External Connector... Das Modell scheint sinnvoll zu sein, wenn man seine eigenen Server teilweise zu einem Hoster auslagern will. Aber nicht, wenn man für Dritte Hosting-Dienstleistungen anbieten will.

SPLA ist nicht das günstigste Lizenzmodell, dafür wohl das grosszügigste. Lizenznehmer ist der Eigentümer der Hardware. Bei Hosting also meist der Provider. Dieser schliesst den SPLA-Vertrag mit Microsoft ab und kann dann Lizenzen an seine Kunden verkaufen. Häufig wird er alle physischen Cores eines Hosts mit Datacenter lizenzieren und kann dann beliebig viele Windows-Server-Instanzen für beliebige Kunden darauf betreiben und den Kunden so viel für die Lizenz verrechnen, wie er möchte. Die Kunden selbst können auf den Servern beliebige Dienste betreiben, auch für Dritte. Klassischer Fall ist Webhosting auf Windows: Auf einem Server laufen 500 Websites für verschiedene Kunden, wovon einige Webanwendungen für Kunden des Kunden sind. Oder eine Firma mietet einen Server, um ihre Software ihren Kunden per RDS zur Verfügung zu stellen. Wichtig zu wissen ist, dass man komplett nach SPLA lizenzieren muss. Auf einer per SPLA lizenzierten VM darf der Kunde keine gekauften RDS-CALs installieren. Auch nicht, wenn RDS nur von seinen Mitarbeitern genutzt wird. Da nur der Hoster einen Vertrag mit Microsoft hat und damit die Verantwortung über die Korrektheit der Lizenzierung trägt, ist es wichtig, dass dieser sich bei seinen Kunden vertraglich absichert.

Bei diesen Anforderungen ziehe ich meine Aussage "Benutzer zu den Daten holen" zurück und behaupte das Gegenteil "Daten zu den Benutzern bringen". CAD über RDS/Citrix ist zu teuer, Synchronisation mit beidseitigem Schreibzugriff fehleranfällig, bleibt noch "LAN grösser machen". Also die Datenhaltung zentral, Clients von beiden Standorten greifen auf den gleichen Datenbestand zu. Heutzutage ist eine Standortvernetzung mit LAN-Geschwindigkeit nicht mehr unbezahlbar. In der Schweiz gibt es den Swisscom Opticallink Service. Da kostet 1 GBit/s um die 1000 Euro/Monat. Die Endgeräte stellt und überwacht der Anbieter. Die Latenz liegt je nach Entfernung bei 1 oder 2 ms. Nicht zu vergleichen mit VPN über DSL. Ich habe mehrere solcher Projekte umgesetzt, gerade in Branchen mit CAD und Grafik/Druck. Kann das nur empfehlen. Es sind Geschwindigkeiten bis 100 GBit/s möglich, aber 1 GBit/s hat auch an Standorten mit 50 Benutzern immer gut gereicht, weil ja nicht alle gleichzeitig eine Datei öffnen oder speichern. Wie ich gesehen habe, heisst das Produkt bei der Telekom "EthernetConnect 2.0" und die Kosten scheinen sich im gleichen Rahmen zu bewegen. Billig ist auch das nicht, aber bei der Anzahl Arbeitsplätze ziemlich sicher günstiger als RDS/VDI.

Es gibt Software, welche Synchronisation und Locking beherrscht (eine stabile Verbindung vorausgesetzt, sonst wird es ganz hässlich). Allerdings ist die nicht günstig und überall, wo ich eine solche Lösung gesehen habe, war man nicht glücklich damit. Deshalb sehe ich es wie Jan: Hole die User zu den Daten. Falls das nicht geht, würde ich prüfen, ob wirklich beide Seiten schreibend auf die gleichen Dateien zugreifen müssen. Evtl. könnte man das Datenverzeichnis aufteilen und der jeweils anderen Seite lokal nur Lesezugriff geben? Ein Beispiel aus der Praxis: Ein Ingenieurbüro hat zwei Standorte. Jedes Projekt wird mehrheitlich von einem Standort aus bearbeitet, aber man will trotzdem auf die Projekte des anderen Standorts zugreifen können. Aber hier reicht ein Lesezugriff. In diesem Fall teilt man die Datenablage auf oberster Ebene auf: "Projekte Standort A", "Projekte Standort B". Standort A hat Schreibzugriff auf "Projekte Standort A" und Lesezugriff auf "Projekte Standort B". Bei Standort B ist es umgekehrt. Will Standort A schreibend auf ein Projekt von Standort B zugreifen, verknüpft er direkt das Netzlaufwerk von Standort B.

Ein Server kann immer nur Lizenzen pro Benutzer oder pro Gerät anfordern. Von daher bräuchtest Du zwei Server. (Also zwei Sitzungsserver, Lizenzserver reicht einer.) Aber Du kannst den Server auch im "pro Benutzer"-Modus laufen lassen und die Gerätelizenzen nirgends installieren, sondern einfach für eine Prüfung vorhalten. Unschön ist da nur, dass der Lizenzserver zu früh warnt (weil die per Gerät lizenzierten Benutzer eine Benutzerlizenz ziehen) und der Kunde selbst eine Zählung durchführen muss.

Ein integrierter ACME-Client wäre was gewesen. Können andere Anwendungen auch schon lange, aber für Exchange wäre es wirklich eine Neuigkeit gewesen, über die sich wohl fast jeder Admin gefreut hätte.

In den Release Notes steht auch schön "Corrects an issue which caused occasional black or frozen screens during Duo login."... Habe dem Kunden gesagt, dass er für neue Server nicht das Setup nehmen soll, dass bei ihm noch im Downloads-Ordner liegt. Ärgere mich aber trotzdem, dass ich das nicht früher geprüft habe. Bin anscheinend etwas abgestumpft, weil sonst fast jede Software einen Updater mitbringt oder aus einem Store kommt.

Das Problem ist gelöst. Es lag an DUO. Dessen Version 4.2 hat einen Bug, durch welchen manchmal die Anmeldung beim Verbinden auf eine getrennte Sitzung blockiert wird. Ein Update auf die aktuelle Version 4.3.1 hat geholfen. In diese Richtung zu suchen, ist mir leider erst sehr spät eingefallen, da Verbindungen vom internen Netzwerk ohne DUO funktionieren und man deshalb dessen hängendes Fenster nicht zu sehen bekommt... Danke für die Tipps!

Es sind ca. 200 Benutzer und bis jetzt waren keine speziell betroffen. Also die, die sich immer korrekt abmelden, sind ausgenommen, aber das sind die Wenigsten... Regelmässige Neustarts sind schwierig, da rund um die Uhr gearbeitet wird (Pflegeinstitution). Ich könnte natürlich "query user" abfragen und die winlogon.exe der Benutzer abschiessen, die seit mehr als einer Stunde getrennt sind. Aber als dauerhafte Lösung passt mir das nicht.

Hallo zusammen In einer Terminalserverumgebung mit Windows 2022 bleiben getrennte Sitzungen manchmal beim Abmelden hängen. Wenn sich der Benutzer später wieder anmelden will, gelangt er in die unvollständig abgemeldete Sitzung (schwarzer Bildschirm). Benutzer meldet sich an, arbeitet und meldet sich ab. => Kein Problem. Benutzer meldet sich an, Sitzung wird getrennt, Benutzer verbindet sich später wieder. => Kein Problem. Benutzer meldet sich an, arbeitet, trennt Sitzung, Sitzung soll nach einer Stunde abgemeldet werden (Einstellung in GPO). => Manchmal unvollständige Abmeldung. Die Lösung ist dann jeweils, die zur hängenden Sitzung gehörende winlogon.exe abzuschiessen. Danach kann sich der Benutzer wieder problemlos anmelden. Der Fehler tritt in ca. einer von Hundert solcher vom Server initiierten Abmeldungen auf. Es scheint, als warte ein Prozess auf einen Monitor oder so am anderen Ende, denn der Fehler tritt nur beim Abmelden von getrennten Sitzungen auf. Anwendungen wie winword.exe laufen bei hängengebliebenen Sitzungen nicht mehr, nur noch Systemprozesse. Windows Updates und FSLogix sind aktuell. In den Protokollen sind keine Fehler verzeichnet. Im Internet hatte jemand ein ähnliches Problem mit Citrix. Da hatte es geholfen, die Transparenzeffekte auszuschalten. Das habe ich versucht, ohne Erfolg. Ist das Problem jemandem bekannt?

Laut Microsoft (https://setup.cloud.microsoft/exchange/migrate-gmail-contacts-and-calendar-items) kann man entweder das Gmail-Konto in Outlook einrichten und die Kontakte darüber kopieren, oder man exportiert sie bei Google als CSV und importiert sie in Outlook.

Ich beobachte, dass der Cloud-Hype vorbei ist. Vor einigen Jahren wurde ich noch explizit nach Cloud-Lösungen gefragt. Man wollte Cloud, weil der Kollege im Unternehmerclub auch in der Cloud ist. Jetzt spricht man nicht mehr explizit von Cloud, sondern von konkreten Angeboten wie OneDrive. Diese sind eine Option, aber werden nicht wegen mehr "ist modern" bevorzugt. Konkrete Projekte mit Cloud habe ich bei Kleinfirmen fast immer, wenn der Server seine Lebensdauer erreicht hat. Fünf bis zehn Mitarbeiter, die meisten häufig unterwegs oder im Homeoffice. Da will man keinen Server mehr kaufen, mit Remotedesktoplizenzen etc., sondern geht zu Exchange Online und OneDrive. Wenn die Buchhaltung SQL Server benötigt, bietet entweder der Hersteller neu ein Hosting an oder man wechselt den Anbieter. Bei grösseren Firmen gibt es noch Migrationsprojekte im Bereich Exchange Online, wobei die seltener werden, da langsam alles migriert ist. Ich habe ganz wenige Kunden, die ihren Exchange-Server noch lokal betreiben. Software-Hersteller mit Ausrichtung auf kleinere Firmen haben viele Projekte bezüglich Cloud am Laufen. Die Kundschaft will wie oben erwähnt immer weniger einen eigenen Server betreiben. Häufig gibt es als Übergangslösung ein Hosting über RemoteApp, während parallel die Anwendung neu als Webanwendung entwickelt oder auf Azure SQL etc. umgebaut wird.

Zur Authentifizierung hinterlegst Du Deinen öffentlichen Schlüssel auf dem SFTP-Server. Dein privater Schlüssel geht nie zum Server. Das Einloggen funktioniert, indem Du mittels Deines privaten Schlüssels beweist, dass Du es bist. Der Server kann das anhand des hinterlegten öffentlichen Schlüssels prüfen. Den öffentlichen Schlüssel des Servers benötigst Du, damit das Multifunktionsgerät verifizieren kann, dass es mit dem richtigen Server spricht (vergleichbar mit einem Zertifikat im Browser). Du musst auf dem Brother also ein Schlüsselpaar erstellen und den öffentlichen Schlüssel dem Anbieter des SFTP-Servers geben. Den öffentlichen Schlüssel des Servers importierst Du auf dem Brother. Habe folgende Anleitung gefunden: https://techbotch.org/blog/automated-document-scanner/index.html#automated-document-scanner Für den Umweg über eine Windows-Freigabe könntest Du zum Hochladen rclone verwenden. Entweder alle paar Minuten ausgeführt, gestartet über ein PowerShell-Script, welches Änderungen im Verzeichnis erkennt oder das Serververzeichnis per rclone mount als Laufwerksbuchstaben einbinden. Ich weiss nicht, wie stabil das Mounten funktioniert. Alle paar Minuten die neuen Dateien hochzuladen, wird am einfachsten sein.

Man lizenziert immer physische Cores. Deshalb würde ich vermuten, dass es in der Cloud nicht geht. Da weiss man nicht, wie die CPU-Konfiguration im Host aussieht und ob die VM zwischen Hosts wechselt. Bei einem physischen Mietserver ginge es. Aber falls ihr Webanwendungen betreibt oder Dienste Dritten zur Verfügung stellt, reichen normale CALs nicht. Bietet Hetzner kein SPLA an? Das ginge auch für die Cloud und wäre flexibler.

Ich denke, es kommt darauf an, wie das Netzwerk aussieht. Wenn man per VPN nur in ein Zwischennetz kommt, von dem aus nur RDP auf die VDI offen ist, wäre das VPN ein Ersatz für Netscaler/RDS-Gateway. Ich habe Kunden, die sich nach aussen möglichst nicht zeigen und zur Authentifizierung bewusst andere Zugangsdaten als die Windows-Anmeldung haben wollen. Da ist VPN (allenfalls mit erweitertem Client für "Endpoint Security" und MFA) und von dort Zugriff auf VDI/TS eine Möglichkeit. Wenn man sich per VPN aber direkt ins LAN einwählt (so, wie das zumindest früher üblich war), dann nur mit verwalteten Geräten.

Für eine Umgebung in dieser Grösse sollten 2 Ports pro Server reichen. Darauf einen SET-Switch und je einen vNIC für Management, Cluster und Backup. Cluster und Livemigration würde ich nicht auftrennen. Mehr NICs gehen natürlich immer, aber ich denke, bei der Grösse wirst Du keine bessere Performance feststellen mit 4 statt 2 NICs pro Server. Andererseits wirst Du wegen der Ausfallsicherheit lieber zwei NICs pro Server haben statt eine mit zwei Ports und 2x 2 Ports sind nicht wesentlich teurer als 2x 1 Port...

Sind die SSDs von Terra unterstützt? Bei Servern von HPE drehen die Lüfter auf voller Leistung, wenn man nicht unterstützte Disks/SSDs einbaut. Brauchen sollte es die Lüfter meines Erachtens nicht, aber einen wichtigen Server würde ich nicht ausserhalb der Spezifikationen betreiben.

Hier eine schöne Zusammenfassung des Vorfalls: https://dnip.ch/2024/04/02/xz-open-source-ostern-welt-retten/ Der bösartige Code wurde nicht einfach ins Repository eingecheckt. Das kam schon vor, wenn die Zugangsdaten eines Entwicklers gestohlen wurden, aber es wird schnell entdeckt und ist nur sinnvoll bei Paketen, die vollständig automatisiert eingebunden werden (zum Beispiel bei Node.js). Stattdessen wurde der Schadcode in einer "Testdatei" untergebracht und von dort während des Buildvorgangs in den Code eingefügt. Der einzig verdächtig erscheinende Commit ist der mit dem angepassten Makefile-Template.

Ja, aber nicht wegen der Performance. Wie Evgenij erklärt hat, bringen VLANs nur eine Verbesserung der Performance, wenn Broadcasts das Problem sind. Ansonsten ist die Auslastung der Kabel und Switches genau gleich. Wenn man Clients und Server in andere VLANs stellt und eine unterdimensionierte Firewall routen muss, kann die Performance sogar schlechter werden. Es ist aus Sicherheitsgründen prüfenswert, die Virtualisierungs-Ebene (also Hyper-V und Backup) in ein anderes VLAN zu nehmen, welches aus dem normalen Netzwerk nicht erreichbar ist. Schneller wird das Backup dadurch aber nicht.

Ja, es geht auch um SMTP: Scan2Mail mit all seinen Problemen. Von "Gerät unterstützt kein TLS 1.2" bis zu "Gerät wartet nicht auf Antwort auf EHLO, sondern sendet nach kurzer Verzögerung einfach drauflos". Das EAC ist ein weiterer Grund, das ist bei der Management-Rolle ja leider nicht dabei.

Das Recipient Rate Limit ist eher selten ein Problem. Für den Versand von Newslettern gibt es viele spezialisierte Anbieter. Aber das Message Rate Limit von nur 30 Nachrichten pro Minute hat öfter gestört. Es gibt noch diverse Software, welche E-Mails direkt aus dem Client per SMTP verschickt. Der Versand der Spesenabrechnungen an 100 Mitarbeiter geht dann 3 Minuten, während derer die Anwendung blockiert ist. (Oder sie fällt gleich beim Throttling auf die Fresse, weil der Entwickler SMTP selbst implementiert hat, mit minimalem Funktionsumfang...) Das Limit ist einer der Gründe, weshalb ich den Kunden empfehle, weiterhin lokal einen Exchange zu betreiben, auch wenn alle Postfächer bei Exchange Online sind.

Ich habe das jeweils so gemacht: von Windows erreichbarer Storage per NFS erreichbar gemacht und am ESXi gemountet Storage vMotion der VMs auf NFS Beginn Wartungsfenster VMware Tools deinstalliert VM heruntergefahren VMDK mit StarWind Converter zu VHDX konvertiert VM in Hyper-V eingebunden VM gestartet virtuelle Hardware bereinigt (devmgr_show_nonpresent_devices=1 und dann im Gerätemanager alles Inaktive gelöscht; ist optional, aber so hat man keine Meldungen bezüglich "diese IP ist schon auf einem anderen Adapter konfiguriert") Durch den "Trick" mit NFS spart man Downtime, da die VM während des Verschiebens online bleiben kann. Storage vMotion ist zudem schneller als der Export über die VCenter Konsole. Ich stimme aber Jan zu, dass man V2V nur für Server machen sollte, in die man viel Liebe gesteckt hat. DCs macht man selbstverständlich neu und wenn ich einen Fileserver mit Windows 2016 habe, sage ich dem Kunden, er solle den gleich neu machen, mit aktuellem Windows.

Hast Du Schriftarten installiert im Profil? Du würdest diese unter %LOCALAPPDATA%\Microsoft\Windows\Fonts finden. Wenn Browser eine Schriftart nicht finden (weil die Website diese nicht zur Verfügung stellt und sie nicht installiert ist), nehmen sie einen Ersatz. Es kann gut sein, dass Chrome/Edge den Ersatz an anderen Orten suchen als Firefox.