mwiederkehr

Die Daten sind in solchen Fällen meist nicht das Problem, sondern das der Server für Spamversand etc. missbraucht wird. Aber ich denke, auch mit einem Hyper-V in der Grundkonfiguration hat man kein gravierendes Sicherheitsproblem, wenn das Administrator-Passwort gut genug ist. Das Wiki von Hetzner bietet viele Konfigurationsanleitungen, darunter auch solche für Hyper-V: https://wiki.hetzner.de/index.php/Windows_Server_Subnet https://wiki.hetzner.de/index.php/Windows_Server_HyperV

Wenn Du einzelne IP-Adressen bestellst, bekommst Du diese auf eine MAC-Adresse zugewiesen. Du kannst dann einer VM diese MAC-Adresse zuweisen und sie bekommt per DHCP direkt die entsprechende öffentliche IP. Wenn Du ein ganzes Subnet bestellst, wird dieses auf die Haupt-IP Deines Servers geroutet. Du müsstest im Windows also Routing aktivieren und einen zweiten vSwitch erstellen, an welchem die VMs dann hängen. Die VMs haben dann direkt öffentliche IPs und den Host als Gateway. Beide Konfigurationen schliessen die Verwendung einer Firewall-VM nicht aus. Dazu würde ich aus diversen Gründen auch raten: Sicherheit, VPN, je nachdem Ersparnis von IP-Adressen...

Was soll denn gesperrt werden? Für eine dynamische Sperre von "bösen" Seiten kommst Du um einen Proxy mit regelmässig aktualisierter Filterliste nicht herum. Soll alles bis auf einzelne Seiten gesperrt werden, ginge es über Gruppenrichtlinien: 127.0.0.1 als Proxy eintragen und die erlaubten Seite als Ausnahme. Dann natürlich die Proxy-Einstellungen für die Benutzer sperren und dafür sorgen, dass sie nicht einfach einen Portable Firefox auf dem USB-Stick mitbringen.

Bist Du per F12 ins BIOS? Es geht anscheinend nur über F10. Nach dem Speichern der Einstellungen sollte beim nächsten Neustart eine vierstellige Zufallszahl angezeigt werden, die man eingeben muss. Dies zur Prüfung, dass wirklich jemand am Rechner die Einstellung vorgenommen hat. Wenn man mit F12 das Menü aufruft und darüber ins BIOS geht, wird die Zahl anscheinend nicht angezeigt.

Früher wurde in Computermagazinen der "Geheimtipp" rumgeboten, man solle die Aktivierung sichern und nach der Neuinstallation wiederherstellen. Ich weiss nicht, ob das jemals funktioniert hat. Nötig ist es auf jeden Fall nicht. Ich hatte noch nie Probleme durch erschöpfte Aktivierungskontingente durch Neuinstallationen auf der gleichen Hardware.

Bei dieser Anzahl Switches und Clients lohnt sich Stacking eigentlich nur, wenn die Switches routen. Ich würde nicht Stacken, aber Modelle mit SFP+-Ports nehmen. Dann kannst Du die Uplinks mit 10 Gig-DACs machen. Das ist eine recht günstige und trotzdem schnelle Lösung.

Der fehlende Schlüssel bedeutet, dass Du nicht den Private Key des Zertifikats importiert hast, sondern nur den Public Key. Für die Authentifizierung werden jedoch beide Schlüssel benötigt. Achte beim Export darauf, dass beide Schlüssel exportiert werden. (Die Datei sollte die Endung "pfx" haben, nicht "cer" oder "pem".)

Nein leider nicht. Kenne das Problem nicht (bei mir wird die Spalte angezeigt in der Detailansicht) und finde im Internet nichts dazu. Nur ein Forenbeitrag bei Microsoft, aber dort steht keine Lösung.

So wie ich das verstehe, muss Bind kein Scavenging unterstützen (was er auch nicht tut). Das übernimmt der Windows DNS. Die Warnung besagt nur, dass man die Zonendatei nicht in einem anderen DNS-Server laden kann. Macht man aber auch nicht, die sekundären DNS-Server holen sich die Zone per Zonentransfer, und das ist ein standardisiertes Protokoll. Eine andere Lösung wäre, die Zone auf dem Bind als Forward-Zone einzurichten. Dann müsste man an den Clients nichts umstellen und er würde alle Anfragen die Domäne betreffend an den Windows DNS weiterleiten.

Azure kann nicht dynamisch die Ressourcen einer VM anpassen. Für das müsste die VM heruntergefahren werden. Bei Azure nimmt man für solche Zwecke nicht einen Server, sondern den "App Service". Dieser ist "eine Ebene höher" als der Server, man mietet quasi einen IIS. Man stellt die Grösse der darunterliegenden VM ein, so dass es für den Normalbetrieb reicht. Bei viel Last kann Azure automatisch neue Instanzen starten und wieder beenden ("horizontale Skalierung"). Die Anwendung muss natürlich damit klar kommen, dass sie auf mehreren Instanzen läuft. Sprich: Sessions in Datenbank speichern, verteilter Cache, verteiltes Logging etc. Ich kenne eure Anwendung nicht, aber aus Erfahrung kann ich sagen, dass man mit 2 Cores und 4 GB RAM weit kommt, wenn man Engpässe beseitigt. Wird viel Rechenleistung in nur wenigen Funktionen verbraten? Kann man diese optimieren? Ist die Datenbank das Problem? Können gewisse Inhalte gecacht werden? Vielleicht kann durch die Optimierung der Ressourcenbedarf soweit gesenkt werden, dass ein einzelner Server (wenn vielleicht auch mit 4 Cores und 8 GB RAM) ausreicht. Das würde die Komplexität reduzieren.

Das ist richtig. Cloud Connect bietet ein zusätzliches Repository an, welches in der Cloud liegt. Lokal braucht man Veeam inkl. Lizenz. Wir sichern bei einem Schweizer Anbieter. Auf https://www.veeam.com/de/find-a-veeam-cloud-provider.html gibt es eine Übersicht über die Anbieter. Ich würde dort einen in Deinem Land raus suchen. Nicht nur der Preis ist entscheidend, sondern falls gewünscht auch die Zusatzangebote: kann man im Notfall die Backups auf einer USB-Festplatte abholen, damit man nicht alles über die Internetleitung ziehen muss? Einige Provider bieten auch an, im Notfall die Backups auf ihre Infrastruktur zurückzuspielen. So könnte man dann von extern per VPN arbeiten, bis man vor Ort neue Hardware beschafft hat. (Setzt natürlich ein entsprechendes Konzept mit Notfallplan voraus.)

Als Ergänzung ist vielleicht noch hinzuzufügen, dass viele Browser ihren eigenen DNS-Cache mitbringen. Der steht dann noch über der hosts-Datei. Diesen kann man ja nach Browser löschen oder man muss den Browser neu starten. Weshalb das so ist, weiss ich nicht. Der Cache des Resolvers vom Betriebssystem sollte ja eigentlich schnell genug sein, ist er aber anscheinend nicht.

Nils Vorschlag mit dem Script finde ich gut. Das funktioniert auch ohne servergespeicherte Profile. Habe mal so etwas umgesetzt für Schulnotebooks, die auch ohne Netzwerkverbindung funktionieren sollten (das waren noch Zeiten, als man Bedenken wegen der WLAN-Strahlung hatte...). Als Abmeldescript ein "robocopy /MIR" hinterlegt, welches c:\vorlage nach c:\users\schueler gespiegelt hat.

In meinem Umfeld mache ich bei kleineren Firmen andere Erfahrungen. Bandlaufwerke hat eh niemand mehr und die Wechselfestplatte bleibt erfahrungsgemäss spätestens nach einem Monat neben dem Server liegen. Wenn das Systemhaus auf die Gefahren von Unwetterschäden aufmerksam macht, wird häufig ein Online Backup eingerichtet. Bei den anderen Kunden dann spätestens, wenn sie von einer Katastrophe bei einer anderen Firma hören. In letzter Zeit verkauft sich gerade Veeam Cloud Connect sehr gut. Es ist bezahlbar geworden, gesamte Server zu sichern, nicht nur die Nutzdaten. Virtualisierung und Veeam setzen auch Kleinfirmen ein, die Infrastruktur ist also vorhanden. Datenschutzrechtlich sollte es kein Problem sein, wenn die Daten vor dem Upload verschlüsselt werden.

Ich verwende https://www.duplicati.com/ mit OneDrive for Business als Speicher. Wenn man kein OneDrive hat, könnte man zum Beispiel https://www.backblaze.com/b2/cloud-storage.html als Speicherziel nehmen. Im professionellen Umfeld, wo die Sicherung von Datenbanken etc. gefragt ist, verwende ich die Acronis Backup Cloud oder auch sehr gerne Veeam Cloud Connect (falls der Kunde sowieso mit Veeam arbeitet).

Bei so kleinen Firmen würde ich mir überlegen, ob die Synchronisierung der Benutzer überhaupt notwendig ist. Bei fünf Mitarbeitern wird es ja nicht so häufig Änderungen geben. Die Synchronisation der Passwörter ist auch so eine Sache: das neue Passwort muss man dann nachtragen auf dem Smartphone, Tablet, Office auf dem Privat-PC etc. Das möchte man nicht regelmässig ändern. Die Synchronisation ginge aber mit AAD, auch ohne lokalen Exchange, wie Mathi schon geschrieben hat. Soweit ich das sehe, braucht es den lokalen Exchange nur, wenn man "Exchange-Dinge" wie Aliase, Weiterleitungen etc. lokal verwalten will. Bei fünf Usern ist die Chance aber wohl grösser, dass man in einigen Jahren nur noch in der Cloud arbeitet und kein lokales AD mehr braucht, als dass man häufig lokale Änderungen synchronisieren muss.

Für .NET gibt es einen Wrapper, der die Ausgabe analysiert und zur Verfügung stellt: https://github.com/tjscience/RoboSharp. Dieser sollte sich mit PowerShell auch verwenden lassen, bedinge aber grössere Änderungen am Script. Dafür könnte man den Status anzeigen, auf Fehler reagieren etc.

Das hat nichts mit Apache oder IIS zu tun: der TLS-Handshake kommt vor dem HTTP-Request. Zum Zeitpunkt der Verbindungsaufnahme weiss der Server noch nicht, welche Domain der Client abrufen will. Deshalb kann er nicht das passende Zertifikat verwenden, sondern immer nur eines pro IP/Port. Und genau deswegen wurde SNI entwickelt: damit schickt der Browser ganz zu Beginn mit, welche Domain er aufrufen will. Du kannst das ruhig aktivieren, alle einigermassen aktuellen Browser unterstützen SNI.

Merkwürdig, da scheint die Kompatibilitätsprüfung von Microsoft eine Lücke zu haben. Normalerweise werden keine Funktionsupdates installiert, wenn eine Software nicht kompatibel ist. (Am Anfang wurde soweit ich weiss gewisse Software automatisch entfernt, aber Microsoft hat davon wohl Abstand genommen.) Bei einigen Rechnern mit McAfee war es so, dass nach 1609 keine Funktionsupdates mehr installiert wurden. Als 1803 erschienen ist, kam dann täglich eine Meldung über den ganzen Bildschirm, dass für 1609 keine Sicherheitsupdates mehr verfügbar seien und man gefälligst updaten soll. Automatisch gemacht wurde jedoch nichts. Wie dem auch sei: der Windows Defender tut, was ein Virenscanner halt so tun kann und macht keine Probleme.

Du hast recht: beim Server 2016 ist "Desktop Experience" ja das GUI, nicht ein Feature in das GUI. Habe nachgeschaut: das Feature für den WebDAV-Client heisst beim Server 2016 "WebDAV-Redirector". Wenn Du nur einige Dateien zu Sicherungszwecken ins OneDrive kopieren möchtest, könntest Du allenfalls statt WebDAV auch rclone (https://rclone.org/) nehmen. Das benötigt keine zusätzlichen Windows-Features und ist vielleicht etwas einfacher in ein Script zu verpacken.

Der WebDAV-Client ist Bestandteil des Features "Desktop Experience", welches zuerst installiert werden muss.

Die Benutzerprofile lassen sich mit dem User Profile Wizard (https://www.forensit.com/de/domain-migration.html) einem lokalen Benutzer zuweisen. Verknüpfungen zu Netzlaufwerken etc. muss man natürlich trotzdem von Hand anpassen.

Da sehe ich mehrere Möglichkeiten: - OneDrive: Unterstützt kein Locking, das heisst, mehrere Personen können eine Datei gleichzeitig bearbeiten und man hat dann verschiedene Versionen davon. - WebDAV über HTTPS: Funktioniert recht gut, nur hat der in Windows integrierte Client manchmal etwas Mühe, besonders mit Office-Dateien. Die Anbindung über eine Software wie NetDrive kann sinnvoll sein. Die würde dann auch einen Cache mitbringen. - Azure File Sync: Eine Art DFS-R mit Cloudanbindung. Die Server synchronisieren mit der Cloud, die Clients greifen normal über Freigaben auf die Server zu. Die Server müssen aber nicht alle Daten vorhalten, sondern können nur die am häufigsten verwendeten Dateien abgleichen und den Rest direkt aus der Cloud beziehen. Ich würde mir Azure File Sync als erstes anschauen, denn damit müsste man auf den Clients nichts ändern.

Vielen Dank für die Antwort! Es hat geklappt und zwar noch besser als ich gehofft habe: die 10 Gig-Adapter waren DAC und dort ist die MAC logischerweise auf dem SFP+-Modul => bei den vier 10 Gig-NICs hat sich also nichts geändert. Bei den beiden 1 Gig-Adaptern fürs Management war das Verhalten wie folgt: nach dem Start mit den neuen NICs war das Team noch vorhanden, einfach in der GUI nicht mehr sichtbar. Nach dem Löschen der entfernten NICs aus dem Gerätemanager war das Team dann auch in der PowerShell weg und konnte problemlos wieder erstellt werden.

Hallo zusammen Bei einem Windows 2016, welcher Mitglied in einem Cluster mit Hyper-V ist, muss das Board ausgetauscht werden. Damit gibt es auch andere Netzwerk-"Karten". Also andere MAC-Adressen, der Typ der Karten bleibt gleich. Es sind 2x 1 Gig, konfiguriert als Team im Windows für das Management sowie 4x 10 Gig, wovon zwei zu einem vSwitch gehören und zwei ohne Teaming für iSCSI verwendet werden. Auf dem vSwitch basieren ein paar vNICs mit unterschiedlichen VLAN-IDs. Windows wird die neuen Schnittstellen unabhängig von den alten erkennen. Deshalb die Frage, wie man das am besten wieder konfiguriert. Gibt es einen "Trick" über die Registry, um zu sagen "Karte 1 mit MAC X" hat jetzt "MAC Y", so dass alles erhalten bleibt? Sonst hätte ich die entfernten Karten aus dem Gerätemanager gelöscht, die neuen Karten wieder gleich benannt, den Teams hinzugefügt und die vorgängig per netsh gesicherte IP-Konfiguration wieder eingespielt. Bleiben das Team und der vSwitch erhalten, wenn die zugehörigen Adapter gelöscht werden? Oder besser erst die neuen Karten dem Team und vSwitch hinzufügen und dann die alten löschen? Vielleicht hat ja schon mal jemand eine solche Übung gemacht, besten Dank jedenfalls für eure Tipps.