Jump to content

mwiederkehr

Expert Member
  • Gesamte Inhalte

    1.496
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von mwiederkehr

  1. In meinem Umfeld mache ich bei kleineren Firmen andere Erfahrungen. Bandlaufwerke hat eh niemand mehr und die Wechselfestplatte bleibt erfahrungsgemäss spätestens nach einem Monat neben dem Server liegen. Wenn das Systemhaus auf die Gefahren von Unwetterschäden aufmerksam macht, wird häufig ein Online Backup eingerichtet. Bei den anderen Kunden dann spätestens, wenn sie von einer Katastrophe bei einer anderen Firma hören. In letzter Zeit verkauft sich gerade Veeam Cloud Connect sehr gut. Es ist bezahlbar geworden, gesamte Server zu sichern, nicht nur die Nutzdaten. Virtualisierung und Veeam setzen auch Kleinfirmen ein, die Infrastruktur ist also vorhanden. Datenschutzrechtlich sollte es kein Problem sein, wenn die Daten vor dem Upload verschlüsselt werden.
  2. Ich verwende https://www.duplicati.com/ mit OneDrive for Business als Speicher. Wenn man kein OneDrive hat, könnte man zum Beispiel https://www.backblaze.com/b2/cloud-storage.html als Speicherziel nehmen. Im professionellen Umfeld, wo die Sicherung von Datenbanken etc. gefragt ist, verwende ich die Acronis Backup Cloud oder auch sehr gerne Veeam Cloud Connect (falls der Kunde sowieso mit Veeam arbeitet).
  3. Bei so kleinen Firmen würde ich mir überlegen, ob die Synchronisierung der Benutzer überhaupt notwendig ist. Bei fünf Mitarbeitern wird es ja nicht so häufig Änderungen geben. Die Synchronisation der Passwörter ist auch so eine Sache: das neue Passwort muss man dann nachtragen auf dem Smartphone, Tablet, Office auf dem Privat-PC etc. Das möchte man nicht regelmässig ändern. Die Synchronisation ginge aber mit AAD, auch ohne lokalen Exchange, wie Mathi schon geschrieben hat. Soweit ich das sehe, braucht es den lokalen Exchange nur, wenn man "Exchange-Dinge" wie Aliase, Weiterleitungen etc. lokal verwalten will. Bei fünf Usern ist die Chance aber wohl grösser, dass man in einigen Jahren nur noch in der Cloud arbeitet und kein lokales AD mehr braucht, als dass man häufig lokale Änderungen synchronisieren muss.
  4. Für .NET gibt es einen Wrapper, der die Ausgabe analysiert und zur Verfügung stellt: https://github.com/tjscience/RoboSharp. Dieser sollte sich mit PowerShell auch verwenden lassen, bedinge aber grössere Änderungen am Script. Dafür könnte man den Status anzeigen, auf Fehler reagieren etc.
  5. Das hat nichts mit Apache oder IIS zu tun: der TLS-Handshake kommt vor dem HTTP-Request. Zum Zeitpunkt der Verbindungsaufnahme weiss der Server noch nicht, welche Domain der Client abrufen will. Deshalb kann er nicht das passende Zertifikat verwenden, sondern immer nur eines pro IP/Port. Und genau deswegen wurde SNI entwickelt: damit schickt der Browser ganz zu Beginn mit, welche Domain er aufrufen will. Du kannst das ruhig aktivieren, alle einigermassen aktuellen Browser unterstützen SNI.
  6. Merkwürdig, da scheint die Kompatibilitätsprüfung von Microsoft eine Lücke zu haben. Normalerweise werden keine Funktionsupdates installiert, wenn eine Software nicht kompatibel ist. (Am Anfang wurde soweit ich weiss gewisse Software automatisch entfernt, aber Microsoft hat davon wohl Abstand genommen.) Bei einigen Rechnern mit McAfee war es so, dass nach 1609 keine Funktionsupdates mehr installiert wurden. Als 1803 erschienen ist, kam dann täglich eine Meldung über den ganzen Bildschirm, dass für 1609 keine Sicherheitsupdates mehr verfügbar seien und man gefälligst updaten soll. Automatisch gemacht wurde jedoch nichts. Wie dem auch sei: der Windows Defender tut, was ein Virenscanner halt so tun kann und macht keine Probleme.
  7. Du hast recht: beim Server 2016 ist "Desktop Experience" ja das GUI, nicht ein Feature in das GUI. Habe nachgeschaut: das Feature für den WebDAV-Client heisst beim Server 2016 "WebDAV-Redirector". Wenn Du nur einige Dateien zu Sicherungszwecken ins OneDrive kopieren möchtest, könntest Du allenfalls statt WebDAV auch rclone (https://rclone.org/) nehmen. Das benötigt keine zusätzlichen Windows-Features und ist vielleicht etwas einfacher in ein Script zu verpacken.
  8. Der WebDAV-Client ist Bestandteil des Features "Desktop Experience", welches zuerst installiert werden muss.
  9. Die Benutzerprofile lassen sich mit dem User Profile Wizard (https://www.forensit.com/de/domain-migration.html) einem lokalen Benutzer zuweisen. Verknüpfungen zu Netzlaufwerken etc. muss man natürlich trotzdem von Hand anpassen.
  10. Da sehe ich mehrere Möglichkeiten: - OneDrive: Unterstützt kein Locking, das heisst, mehrere Personen können eine Datei gleichzeitig bearbeiten und man hat dann verschiedene Versionen davon. - WebDAV über HTTPS: Funktioniert recht gut, nur hat der in Windows integrierte Client manchmal etwas Mühe, besonders mit Office-Dateien. Die Anbindung über eine Software wie NetDrive kann sinnvoll sein. Die würde dann auch einen Cache mitbringen. - Azure File Sync: Eine Art DFS-R mit Cloudanbindung. Die Server synchronisieren mit der Cloud, die Clients greifen normal über Freigaben auf die Server zu. Die Server müssen aber nicht alle Daten vorhalten, sondern können nur die am häufigsten verwendeten Dateien abgleichen und den Rest direkt aus der Cloud beziehen. Ich würde mir Azure File Sync als erstes anschauen, denn damit müsste man auf den Clients nichts ändern.
  11. Vielen Dank für die Antwort! Es hat geklappt und zwar noch besser als ich gehofft habe: die 10 Gig-Adapter waren DAC und dort ist die MAC logischerweise auf dem SFP+-Modul => bei den vier 10 Gig-NICs hat sich also nichts geändert. Bei den beiden 1 Gig-Adaptern fürs Management war das Verhalten wie folgt: nach dem Start mit den neuen NICs war das Team noch vorhanden, einfach in der GUI nicht mehr sichtbar. Nach dem Löschen der entfernten NICs aus dem Gerätemanager war das Team dann auch in der PowerShell weg und konnte problemlos wieder erstellt werden.
  12. Hallo zusammen Bei einem Windows 2016, welcher Mitglied in einem Cluster mit Hyper-V ist, muss das Board ausgetauscht werden. Damit gibt es auch andere Netzwerk-"Karten". Also andere MAC-Adressen, der Typ der Karten bleibt gleich. Es sind 2x 1 Gig, konfiguriert als Team im Windows für das Management sowie 4x 10 Gig, wovon zwei zu einem vSwitch gehören und zwei ohne Teaming für iSCSI verwendet werden. Auf dem vSwitch basieren ein paar vNICs mit unterschiedlichen VLAN-IDs. Windows wird die neuen Schnittstellen unabhängig von den alten erkennen. Deshalb die Frage, wie man das am besten wieder konfiguriert. Gibt es einen "Trick" über die Registry, um zu sagen "Karte 1 mit MAC X" hat jetzt "MAC Y", so dass alles erhalten bleibt? Sonst hätte ich die entfernten Karten aus dem Gerätemanager gelöscht, die neuen Karten wieder gleich benannt, den Teams hinzugefügt und die vorgängig per netsh gesicherte IP-Konfiguration wieder eingespielt. Bleiben das Team und der vSwitch erhalten, wenn die zugehörigen Adapter gelöscht werden? Oder besser erst die neuen Karten dem Team und vSwitch hinzufügen und dann die alten löschen? Vielleicht hat ja schon mal jemand eine solche Übung gemacht, besten Dank jedenfalls für eure Tipps.
  13. Wenn ein Absender verhindern will, dass der Inhalt seiner Mails verändert wird, versieht er sie mit einer Signatur. Das ist nicht die Aufgabe des Empfängers. Hatte bisher noch nicht häufig das Vergnügen mit Rechtsfällen, bei denen das Mailarchiv relevant war. Aber eine normale Archivlösung hat immer gereicht. Denn meist geht es ja um Mails, von denen man zum Zeitpunkt der Archivierung noch nicht wusste, dass sie mal rechtlich relevant sein werden und deshalb auch niemand ein Motiv hat, sie zu verändern. Wichtig ist, dass die Mails direkt auf dem Exchange abgegriffen werden und dass sie im Archiv nicht veränderbar sind.
  14. Outlook für Android und iOS unterstützt keinen SharePoint. Android und iOS über die eingebauten Apps auch nicht. Es gibt eine SharePoint-App von Microsoft, aber die kann soweit ich weiss keine Kontakte synchronisieren. Bleibt noch der Weg über eine Drittanbieter-App: https://www.messageconcept.com/de/produkte/peoplesync/
  15. Hallo zusammen Der neue RDP-Client von Windows 10 1803 hat leider einen Bug, welcher im Zusammenhang mit RemoteApps auf Server 2012 R2 auftritt: Kontextmenüs werden erst nach mehreren Sekunden ausgeklappt. (Bzw. sie werden sofort ausgeklappt, aber der Benutzer sieht das nicht, weil die Darstellung nicht aktualisiert wird.) Das Problem ist hier beschrieben: https://social.technet.microsoft.com/Forums/en-US/f3e9852b-393c-4aa0-9d2f-961a82cfc603/remoteapp-after-windows-10-update-1803-are-slow-and-right-mouse-button-is-not-responding-it-reacts?forum=winserverTS Microsoft arbeitet an einem Patch. In der Zwischenzeit soll man auf den Clients die mstsc.exe in einer älteren Version verwenden. Dies ist aber bei einem gehosteten Service mit viel Supportaufwand verbunden, weshalb wir den vorgeschlagenen Workaround auf dem Server vorgenommen haben: "Verwendung erweiterter RemoteFX-Grafiken für RemoteApp" deaktivieren. Nun öffnen die Kontextmenüs wieder ohne Verzögerung. Dafür gibt es ein anderes Problem: Wenn eine Anwendung mehrere Fenster hat, öffnen sich neue Fenster nur im Ausschnitt des ersten Fensters. Ein Beispiel: Ein Benutzer startet eine Anwendung. Diese zeigt ein Fenster mit den Dimensionen 300x400px. Der Benutzer tätigt eine Auswahl und klickt auf "Anzeigen". Die Anwendung öffnet ein zweites Fenster im Vordergrund mit den Dimensionen 800x800px. Dargestellt wird aber nur der Ausschnitt, der auf das erste Fenster passt, also 300x400px. Der Rest ist für den Benutzer nicht sichtbar. Um das ganze Fenster sichtbar zu machen, muss man es über die Taskleiste verkleinern und wieder vergrössern. Irgendwie scheint der Server ohne die "erweiterten RemoteFX-Grafiken" die Dimensionen des Fensters nicht richtig zu erfassen. Ist jemandem das Problem bekannt? Vielen Dank für eure Tipps!
  16. Dann habe ich Dich falsch verstanden, entschuldige bitte. Die Schüler haben logischerweise nur normale Benutzerrechte, somit können sie auf dem Server nur ihr Profil "zerstören". "Eigene Dateien" etc. sind umgeleitet, Outlook konfiguriert sich per Autodiscover, Standarddrucker etc. wird per GPO gesetzt. Gibt es Probleme mit einem Profil, kann es also einfach gelöscht werden. (Kommt aber höchst selten vor, die Schüler sind nicht "dumm" im Umgang mit Computern und absichtlich machen sie eigentlich nie etwas kaputt.) Man kann per GPO natürlich den Zugriff auf die Registry etc. sperren, aber das ist nicht unbedingt nötig. Der Kinderschutzfilter läuft als transparenter Proxy, es würde den Kindern also nichts bringen, wenn sie per Registry einen anderen Proxy eintragen würden. Der Download von Programmen ist auf der Firewall blockiert. Wir hatten aber eigentlich nie Probleme, dass Schüler Unsinn gemacht haben mit der IT. Sind aber Primars***üler, die haben noch Respekt vor dem Lehrer.
  17. Wir haben einen ganz normalen Terminalserver installiert. (Bei uns war es nur einer, bei grösseren Institutionen werden es mehrere sein, entweder mit Windows Remote Desktop Services oder zusätzlich mit Citrix XenApp.) Die Clients für die Schüler sind Thin Clients. Das ist vergleichbar mit einem Windows mit automatischer Anmeldung und der RDP-Verknüpfung im Autostart. Die Lehrer haben ebenfalls eine RDP-Verknüpfung bekommen. (Der Server ist extern nicht erreichbar, da der kostenlose Internetzugang diese Möglichkeit nicht bietet. Ansonsten hätte man ein Web Interface in Betracht gezogen.) Wie bereits erwähnt: ein Terminalserver für eine Schule ist identisch mit einem Terminalserver für eine Firma. Nur die Lizenzen sind günstiger.
  18. Als Ergänzung: Mit DHCP Policies sollte das gehen, die gibt es aber erst ab Server 2012. Falls die Telefone nur Kontakt zu bestimmten Hosts/Netzen aufnehmen, könnte man auf dem "primären" Gateway auch eine Route eintragen oder die Route gleich per DHCP verteilen. Getrennte Netze sind aber sicher die beste Lösung, auch bezüglich Sicherheit.
  19. Für Schulen gelten (bis auf die Lizenzkosten) die gleichen Vor- und Nachteile eines Terminalservers wie für alle Unternehmen. Je nach Anwendungen muss man ein Augenmerk auf die Audio-/Video-Performance legen. Je nach Schulstufe üben die Schüler Videoschnitt und da ist ein Terminalserver dann kein Vorteil. Wir setzen an einer Schule seit Jahren auf eine Terminalserverlösung und sind zufrieden damit. Der Grund für den Terminalserver waren nicht alte Clients, sondern diverse Lernprogramme, für die es keine Installationspakete gibt. Die manuell auf einem Server zu installieren ist einfacher, als sie zu paketieren und auf den Clients auszurollen. Zudem sind Lehrer häufig starke Vertreter von BYOD, um es mal milde auszudrücken.
  20. Wir haben mit PDQ gute Erfahrungen gemacht. Ist weit weniger komplex als der SCCM und kommt ohne Client aus. Die Kosten sind überschaubar, da man nach Admins lizenziert. Als grossen Vorteil empfinde ich die umfangreiche Bibliothek mit fertigen Paketen. Man muss so nicht bei jedem Tool raussuchen, ob der Parameter jetzt "/q", "/silent" oder was auch immer heisst. Man kann damit auch Windows Updates verteilen, die monatlichen Sicherheitsupdates sind in der Bibliothek drin. Updates für Office etc. muss man sich aber selbst zusammensuchen. Hier würde ich der Einfachheit halber beim WSUS bleiben.
  21. Wenn die User auf dem Desktop des Terminalservers arbeiten, müssen sie sich am PC nicht personalisiert anmelden. Ein generisches Login (mit kleinem Profil) reicht. Falls die Rechner auch dafür zu langsam sind: es gibt Linux-Distributionen, die per USB-Stick gebootet werden und aus einem PC einen Thin Client machen. Der User beginnt dann gleich am Anmeldebildschirm des Terminalservers.
  22. Jetzt wo Du es sagst... Bei Windows 2003 gab es ein Feature namens "Internet Printing". Da hatte man eine Website, über welche man die Drucker verbinden konnte. Siehe https://support.microsoft.com/en-us/help/323428/how-to-configure-internet-printing-in-windows-server-2003. Die Rolle gibt es soweit ich weiss auch bei aktuellen Versionen noch. Nur weiss ich nicht, ob das Verbinden noch funktioniert oder ob das damals etwas mit ActiveX oder so war, das nicht mehr unterstützt ist in neuen Browsern.
  23. Bei einer grösseren Umgebung haben wir das mit einem Anmeldescript (PowerShell) gelöst. Es schaut, in welcher OU der Client ist und verbindet die entsprechenden Drucker. Welche es verbinden muss, erkennt es am Namen: Ist der Client in der OU "Zentrale", verbindet es alle Drucker, deren Name mit "Zentrale" beginnt. So kann ein User an verschiedenen Standorten arbeiten und hat immer die richtigen Drucker. Nachteil: Immer alle Drucker neu zu verbinden braucht Zeit. Wir haben dann das Script erweitert, dass es nur noch fehlende Drucker verbindet und überflüssige löscht. Dadurch ist das Script recht gross geworden, aber man muss es ja nicht mehr anpassen. Die Lösung von zahni ist auf jeden Fall besser. Man spart nicht nur Papier, sondern löst auch Datenschutzprobleme mit rumliegenden vertraulichen Dokumenten. Habe das schon ganz elegant gesehen: jeder User hat einen Chip, welcher die Eingangstüre öffnet, den PC entsperrt und die Dokumente aus dem Drucker lässt. Geht der User zum Drucker, wird automatisch der PC gesperrt. Liegen lassen kann er den Chip abends nicht, sonst kommt er nicht aus dem Parkhaus. Für so eine Lösung kann man mit der Sicherheit argumentieren, vielleicht stösst man da bei der GL auf offene Ohren.
  24. Bezüglich Legalität gilt es zwei Aspekte zu betrachten: - Strahlung: Herkömmliche WLAN-Bridges haben nicht mehr Sendeleistung als ein normaler Access Point. Von daher braucht es keine Genehmigung. (Man darf ja auch einen Access Point in den Garten stellen.) - Baurecht: Hier kommt es auf die Gemeinde an, ob es eine Bewilligung braucht. Bei uns sind Rundantennen ("Satellitenschüsseln") mit einer Fläche bis 0.5m2 sowie Stabantennen bis 1m Höhe nicht bewilligungspflichtig, es sei denn, das Gebäude steht in einem schützenswerten Ortskern oder ist im Denkmalschutzinventar verzeichnet. Man hat häufig eine falsche Vorstellung der erforderlichen Sendeleistung. Mit den erlaubten 200mW kommt man mit guten Richtstrahlantennen problemlos mehrere Kilometer weit. Ubiquiti gibt für die LiteBeam 5km an. Maximal im Betrieb gesehen habe ich etwas mehr als einen Kilometer und das läuft problemlos. Für 300m reicht sogar evtl. eine gute Antenne am Haus. Dank guter Empfangsverstärkung sollte auch ein schwaches Signal vom Notebook im Garten zur Antenne am Haus reichen. Versuchen könnte man es mit einer NanoStation. Habe das mal nach der Installation der Richtantenne auf einer Seite probiert: das Notebook konnte sich ca. 300m entfernt ins WLAN einloggen. Muss man aber ausprobieren, kommt auf das Gerät an.
  25. Wenn Du nur in ein paar Tabellen schauen willst, könnte HeidiSQL reichen. Für "richtiges" Servermanagement oder die komfortable Erstellung von Abfragen etc. kommst Du um das Management Studio nicht herum.
×
×
  • Neu erstellen...