mwiederkehr

In kleineren Umgebungen holt sich jeder Client das Update selbst von Windows Update. In mittelgrossen Umgebungen (20-50 Clients) läuft es über den WSUS. In grossen Umgebungen installieren wir die Rechner über die Softwareverteilung neu. Nachts Wake-on-LAN, PXE-Boot, Setup. Dauert dank SSD keine 20 Minuten pro Rechner, inkl. aller Software.

Leider ja: https://docs.microsoft.com/en-us/office365/servicedescriptions/microsoft-365-business-service-description

Idealerweise löst man das über generische Konten ("verkauf@" etc.) oder ein Ticketsystem. Je nach Branche ist das aber schwierig, da die Kunden einen persönlichen Ansprechpartner haben. Ich habe in der Praxis schon folgende Ansätze gesehen: - Bei ungeplanten Abwesenheiten aktiviert der Support den Abwesenheitsassistenten. Die Kunden werden so informiert, dass sie sich in dringenden Fällen an die Stellvertretung wenden sollen, verbunden mit dem Hinweis "ihre E-Mail wurde nicht weitergeleitet". Das ist bezüglich Datenschutz wohl unkritisch. - Der Support richtet eine Weiterleitung ein bzw. gibt der Stellvertretung Zugriff auf das Postfach. Grundsätzlich heikel, aber man kann es regeln, indem man die private Nutzung des E-Mail-Accounts verbietet und festhält, dass andere Leute auf die E-Mails zugreifen können. Die Regelung muss soweit ich weiss Bestandteil des Arbeitsvertrages sein. Auf jeden Fall vom Mitarbeiter unterzeichnet und nicht einfach im Pausenraum aufgehängt oder so.

Einfach traumhaft! Falls ihr noch Anregungen braucht: Das Castello di Carini ist einen Besuch wert. Wunderbare Aussicht! Morgen ist in Carini an der Via Padre Pietro Migliore Wochenmarkt. Die Warenvielfalt ist enorm, von frischem Fisch bis zu Schuhen. (Der Sizilianer kauft viel auf dem Markt ein, es gibt nur wenige Supermärkte.) Lustig sind auch die Getränkeverkäufer, die ihren Kühlschrank inkl. Stromerzeuger durch die Leute schieben. Zur Abkühlung eignet sich der Spiaggia Vergine Maria. Gut mit dem Auto erreichbar und auch im Sommer nicht überlaufen. Oder natürlich die Kapuzinergruft in Palermo. Unbedingt in einer der vielen Bars einen Granita probieren! Wenn ihr von Palermo her die Strasse zum Santuario di Santa Rosalia hoch fährt, gibt es mehrere Aussichtspunkte, von denen aus man über ganz Palermo und den Hafen sieht. Ach, wir waren erst letzten Sommer dort und ich habe schon wieder Sehnsucht...

Da lässt Du Dich am besten von einem Händler beraten. Zumindest früher gab es nicht eine Lizenz, sondern man bezahlte pro gesichertem Server und Anwendung. Als Aussenstehender kommt man da nicht auf Anhieb auf den korrekten Preis. Veeam geht auch für die Server hervorragend. Für physische Server, die nicht Host für VMs sind, muss man nur den Veeam Agent lizenzieren, nicht Veeam Backup & Replication. Den Agent lizenziert man pro physischem Server, nicht pro CPU. Und wenn ein Host wirklich vier CPUs hat, dann laufen darauf so viele VMs, dass 4x 600 EUR nicht mehr so viel sind. Ich diskutiere mit Kunden häufiger die Kosten für das Backup. Insbesondere seit die Software häufig teurer ist als die Hardware. Es kommen manchmal Vorschläge wie "man kann ja mit einem Script die VMs nachts herunterfahren und die VHDX-Dateien auf ein NAS kopieren". Ja, kann man. Aber wenn man ehrlich rechnet, fährt man auf ein paar Jahre gerechnet günstiger, wenn man eine professionelle Software kauft.

Das musst Du bzw. Dein Kunde entscheiden. Annahme: die Sicherung läuft jeweils nachts. Die SSD fällt um 16 Uhr aus. Kann der Kunde den Datenverlust von Arbeitsbeginn bis 16 Uhr verkraften? Die Beschaffung einer neuen SSD dauert einen halben Tag, der Restore vom Backup noch einmal drei Stunden. Kann der Kunde diese Ausfallzeit verkraften? Braucht ihr Software, die auf dem Server läuft (Datenbank, Webserver etc.), oder wird der nur als Dateiablage gebraucht? Dann könnte man sich bei fünf Clients auch überlegen, ob man ohne Server auskommt, zum Beispiel mit OneDrive oder einem NAS.

Mir reicht als Server ein Intel NUC mit SSD + HD. Vom Strombedarf her unterscheidet sich meine IT nicht von der eines Normalverbrauchers. Der grösste Unterschied dürften die VLANs sein und das UniFi-WLAN.

Ja, das funktioniert. Natürlich nur, wenn beide Server in der gleichen Domäne sind, aber davon gehe ich mal aus.

Weshalb Windows, aber nicht IIS? Der IIS hat sich die letzten Jahre massiv gemacht. Du kannst alles vergessen, was Du vielleicht über Mängel über IIS zu Zeiten von Version 6 gehört hast. Ich würde entweder Windows mit IIS und zur Verwaltung SolidCP nehmen, oder aber Linux mit Apache und Froxlor für die Verwaltung. Beide Verwaltungs-Tools installieren aber nicht die Anwendungen, sondern konfigurieren diese nur. Oder vielleicht noch einen Schritt zurück machen und überlegen, ob Du überhaupt einen eigenen Server brauchst? Es gibt mittlerweile sehr leistungsfähige Webhostings zu einem kleinen Preis. Einen eigenen Server braucht man nur noch bei sehr speziellen Anforderungen. Dann würde ich Windows und IIS nehmen. PHP läuft im IIS gleich gut wie im Apache. Den Gameservern sollte der Webserver ja egal sein. PHP auf IIS zu konfigurieren und MySQL zu installieren geht mit dem Web Platform Installer sehr einfach.

Habe überall ausschliesslich virtuelle DCs und das seit Jahren. Die Virtualisierung ist grundsätzlich kein Problem für einen DC. Ein DC verhält sich ja nicht "magisch" anders als andere Server. Man muss ihn aber behandeln wie eine physische Maschine: also nicht mal kurz einen alten Snapshot wiederherstellen etc. Ich denke die Empfehlung zu einem physischen DC kommt daher: dass man nicht aus Versehen "schlimme Dinge" tun kann. Technisch sehe ich keinen Grund mehr. Selbst Hyper-V-Cluster starten problemlos ohne DC.

Das kannst Du mit Veeam auch haben und zwar wesentlich schneller und mit weniger Platzbedarf als mit WSB: einfach nur den Veeam Agent verwenden statt B&R. Aber: dann kann man keine einzelnen Dateien aus VMs wiederherstellen, sondern müsste die gesamte VHDX zurückholen und dann mounten. Erfahrungsgemäss braucht man viel häufiger eine Wiederherstellung einzelner Dateien oder allenfalls kompletter VMs als eine komplette Wiederherstellung des Hosts.

B&R selbst enthält keine Funktionalität zur Sicherung von physischen Systemen. Dafür gibt es den Veeam Agent. Dieser sieht im Gegenzug keine VMs (sondern nur deren Dateien). Du könntest es so machen: B&R auf C: installieren. Den Agent einrichten, dass er C: (sowie die EFI-Partition) sichert. Die VMs liegen auf D: und werden von B&R gesichert. Falls Du dem Agent sagst, er soll den gesamten Rechner sichern, sichert er die Dateien der VMs ebenfalls mit. Deshalb die Aufteilung in zwei Partitionen. Für eine komplette Wiederherstellung müsstest Du mit der CD starten, C: wiederherstellen, dort B&R starten und die VMs wiederherstellen. Edit: Veeam wirbt mit der Sicherung von physischen Maschinen, weil sie das ja auch können. Einfach über den Agent, nicht direkt über B&R. In grösseren Umgebungen läuft B&R nicht auf dem Host, sondern auf einem separaten Server. Da würde es nicht viel Sinn machen, wenn der direkt sich selbst sichern könnte. Da man die Agents über B&R steuern kann, hat man trotzdem alles in einer Konsole.

Veeam B&R sichert die VMs direkt, ohne weitere Agents. Jede gesicherte VMs belegt eine Instanz. Für die Sicherung des Hosts benötigst Du Veeam Agent. Sichert der in ein Veeam-Repository und wird über B&R zentral verwaltet, belegt er drei Instanzen. Die Community-Edition unterstützt zehn Instanzen. Du kannst also entweder zehn VMs sichern oder den Host und sieben VMs. Der Agent kann aber auch direkt sichern, ohne Verwaltung über B&R. Dann belegt er auch keine Instanzen. Soweit ich weiss sichert die Community-Edition gleich wie die Standard-Edition, man kann also die gleichen Werte bezüglich Geschwindigkeit und Speicherplatz erwarten. Falls Du B&R in einer VM laufen lässt, solltest Du deren VHDX-Dateien über den Agent gemeinsam mit dem Host sichern. Ansonsten musst Du für einen Restore zuerst Veeam installieren und die Backups einlesen.

Das wird dann aber teuer. Mietet man nur ein viertel, halbes oder ganzes Rack, hat der Betreiber des Rechenzentrums noch einen Schlüssel. Selbst bei Cages kenne ich es nur so, dass zwar an der Türe steht "Zutritt nur mit Kunden" und dass man als Kunde vor jedem Zutritt informiert wird, aber der Betreiber kommt immer noch alleine rein. Da müsste man schon seine eigenen Racks hinstellen. Davon gibt es sogar welche in einem Panzerschrank, aber das ist dann nicht mehr günstig. Eigene Hardware kann aber je nach Anwendung sinnvoll sein, gerade im Hinblick auf Sachen wie Meltdown & Co.

Ja, das ist so. Jeder Client, der den KMS erreicht, kann eine Lizenz erhalten. Es fragen nur Clients oder Server den KMS an, die mit dem KMS-Client-Key installiert wurde. Schon mit MAK aktivierte Produkte fragen den KMS nicht und zählen deshalb auch nicht dazu. Nein, musst Du aber auch nicht. Um einen KMS zu betreiben, muss man gewisse Anforderungen erfüllen: Volumenlizenzvertrag, Mindestanzahl Clients... Deshalb vertraut Microsoft darauf, dass man den Lizenzvertrag einhält und zählt die aktivierten Clients nicht. Windows Server, welche als Gast auf einem mit Datacenter installierten Hyper-V laufen, können mit einem AVMA-Key installiert werden. Dann werden sie automatisch über den Hyper-V aktiviert. Fazit: Mir sind keine Probleme mit Datacenter und MAK bekannt. Nur für Datacenter würde ich keinen KMS installieren, weil man da ja nicht so viele Hosts hat und die VMs über AVMA aktiviert werden können.

Hatte in den letzten Monaten mehrere solche Projekte. Dabei habe ich folgendes festgestellt: - Geräte mit Windows 7 laufen auch mit Windows 10 - bei No-Name-Hardware sind manchmal Treiber für die Netzwerkkarte erforderlich - bei Markenhardware waren alle Treiber bei Windows 10 dabei - alle Software, die unter Windows 7 lief, läuft auch unter Windows 10 Haben kürzlich in einer Schule mit kleinem Budget über 100 Rechner von 2012-2015 mit SSD ausgestattet und Windows 10 ausgerollt. Mit den zusätzlichen Treibern laufen alle problemlos und mit akzeptabler Geschwindigkeit.

Tritt das Problem auch beim Windows Explorer auf? Habe das kürzlich gesehen an einem aktuellen Windows 10 mit mehreren Monitoren. Google findet viel bei "windows 10 explorer white bar", darunter auch diverse Workarounds. Es soll zum Beispiel helfen, die Anwendung im Kompatiblitätsmodus für Windows 8 laufen zu lassen. Scheint ein Bug in Windows 10 zu sein, evtl. in Kombination mit gewissen Grafiktreibern.

Ich würde es mit Inkscape versuchen. Das kann PDF-Dateien öffnen.

Webserver haben ein Standard-Dokument, welches sie ausliefern, wenn man keine Datei angibt. Wenn man auf google.de geht, muss man ja auch nicht google.de/index.php eintippen. Wenn ich die Datei abrufe, erhalte ich ein Word-Dokument. Dieses wird der Virenscanner mit Hilfe seiner Signaturen erkennen. Der Server könnte aber theoretisch erkennen, was für ein Client ankommt und auch eine andere Datei liefern (zum Beispiel eine manipulierte Android-App, wenn ein Smartphone kommt). Ich rufe solche Dateien mit wget ab und speichere sie mit anderer Endung. wget hat im Gegensatz zu einem Browser keine JavaScript-Engine, kann also wirklich nur downloaden.

Die Migration ist abgeschlossen. Es hat soweit alles funktioniert. Falls jemand mal vor der gleichen Aufgabe steht, hier eine kurze Zusammenfassung: - AAD Connect eingerichtet, dabei das Attribut "msExchangeMailboxGuid" ausgeschlossen. Das ist wichtig, weil sonst auf Office 365 keine Mailboxen für die User erstellt werden, da sie lokal schon eine hätten. - Allen Benutzern in Office 365 eine Lizenz zugewiesen. Dabei wird dann das Postfach erstellt. Dies dauert nur wenige Minuten. - Alle Postfächer als PST exportiert und eine Mapping-Datei (CSV) erstellt. Mit dem Importer importiert. Hier ist es wichtig, genügend Zeit einzuplanen. Für die 26 GB (verteilt auf 550 Postfächer) hat sich der Importer fast zwei Tage Zeit gelassen. - Getestet, ob das Login etc. funktioniert. Ging alles, auch Postfachberechtigungen wurden übernommen. - MX umgestellt, Autodiscover-Eintrag gemacht, internen SCP entfernt (mit "Set-ClientAccessServer –Identity ServerName -AutoDiscoverServiceInternalUri $null"). - PST-Dateien nochmals exportiert, aber nur Elemente, welche nach dem letzten Export gesendet oder empfangen wurden. Beim Exchange 2010 musste ich dazu die Spracheinstellungen auf US stellen, da er sonst das Datumsformat nicht akzeptiert hat. - PST-Dateien nochmals importiert. Ich habe sie mit AzCopy in ein Unterverzeichnis hochgeladen und die Mapping-Datei angepasst. Der Link zum Storage bleibt gleich. - GPO erstellt, welche "https://autologon.microsoftazuread-sso.com" im IE der Intranetzone hinzufügt bzw. im Chrome der AuthServerWhitelist. Dies ist erforderlich für SSO. SSO verhält sich wie folgt: - neue Rechner (Windows 10, Office 2019, neue Profile): Beim Start sucht Outlook nach Mailkonten, zeigt die Adresse an und mit einem Klick wird das Konto eingerichtet. Im IE und Chrome kommt man ohne Kennworteingabe ins OWA, OneDrive etc. Lediglich die Mailadresse muss man angeben (oder man verwendet einen speziellen Link). - alte Rechner (Windows 7, Office 2010, bestehendes Outlook-Profil): Da Outlook sich zum alten Exchange verbindet, repariert man das Profil. Dann muss man sich einloggen und Outlook neu starten. Es erscheint mehrmals die Kennwortabfrage, welche man wegklicken kann. Nach ca. 30 Sekunden erscheint die Meldung, der Administrator habe eine Änderung vorgenommen, welche einen Neustart von Outlook verlange. Nach dem zweiten Neustart ist Outlook mit Office 365 verbunden. Fazit: Das "einfache" SSO über das Computerkonto ist eine sehr praktische Sache und funktioniert tadellos.

Ich kann den Brother ADS-2800W empfehlen. Den habe ich auch Kunden verkauft, denen der Scanner im Multifunktionsgerät zu langsam war. Bin echt überrascht, wie viel der kann für den Preis: er ist unabhängig von einem Rechner und scannt direkt auf eine Serverfreigabe, einen SharePoint, OneDrive etc. Dabei erkennt er, ob ein Dokument farbig oder s/w ist, ob es doppelseitig bedruckt ist und er richtet es gerade aus. Die Scangeschwindigkeit ist hoch (30 Seiten/min doppelseitig in Farbe). Manko: OCR geht nur über den PC mit mitgelieferter Software. Wird das benötigt, muss man zu einem teureren Modell greifen.

Ich verwende jeweils folgenden Aufruf, sowohl für die erste als auch die nachfolgenden Synchronisierungen: robocopy /e /v /mir /copyall /b /efsraw /XJ /r:0 /w:0 /tee /log:c:\log.txt /b: mit Backup-Privilegien kopieren (damit auch sonst nicht zugängliche Daten wie Benutzerprofile kopiert werden können) /efsraw: EFS-verschlüsselte Dateien ohne Entschlüsselung kopieren (funktioniert sonst nicht, wenn man den Schlüssel nicht hat) /XJ: Junctions nicht folgen (sonst gibt es bei "App Data" eine Endlosschleife) Damit habe ich schon viele Server migriert. Der Tipp von "daabm" bezüglich DFS ist trotzdem prüfenswert. Es ist spätestens bei der nächsten Migration ein Vorteil, wenn die Freigaben unabhängig von Servernamen sind.

Eine Datenbank kann problemlos mehrere Postfächer enthalten. Dies ist auch üblich. Meist macht man pro paar Hundert GB eine Datenbank (wobei hier die Empfehlungen variieren). Du brauchst also einmal die Standard-Lizenz und dann pro Benutzer oder pro Gerät eine Zugriffslizenz. Also entweder pro physischer Person oder pro zugreifendem Rechner (oder Smartphone), aber nicht pro Postfach.

Bin unter anderem durch die Hilfe der englischsprachigen Technet-Community etwas weiter gekommen. Kurz der Zwischenstand, falls jemand mal vor der gleichen Herausforderung steht: SSO ist der Knackpunkt. Habe dazu viele sich zum Teil widersprechende Dokumentationen gelesen. Es soll funktionieren mit synchronisierten Kennwort-Hashes und Modern Authentication (Windows 10, Office ab 2013). Bei einer Cutover-Migration lassen sich die Kennwörter nach der Migration synchronisieren. Diese werden über die Mailadresse zugeordnet. Es ist zu empfehlen, dass der UPN der Mailadresse entspricht.

Falls es ginge, könntest Du für jeden Benutzer eine eigene Exe erstellen. Der Benutzer würde davon dann nichts merken. Zu beachten: Bei Ersetzungen mit dem Hex-Editor müssen die alten und neuen Werte gleich lang sein. Andernfalls fällt mir noch Applikationsvirtualisierung (App-V, ThinApp, Sandboxie etc.) ein. Damit könnte man C:\irgendwas nach C:\Users\username\irgendwas umleiten, ohne dass es die Anwendung merkt. Besser wäre aber natürlich eine Anpassung der Anwendung. Wenn ihr die Anwendung entwickeln lassen habt, habt ihr doch auch den Quellcode? Könnt ihr nicht einen Entwickler mit der Anpassung beauftragen?