mwiederkehr

Wenn man nur einen Server betreibt, würde ich die Domäne weglassen. Also nur RDS installieren, kein DC. Mit der Lizenzierung ist es nicht so einfach. Wenn Du einen virtuellen Server mietest, muss die Lizenz zwingend vom Provider kommen (SPLA). Wie es bei der Miete eines physischen Servers aussieht, weiss ich leider nicht. SPLA geht auf jeden Fall, habe aber auch schon gelesen, dass man da eigene Lizenzen einsetzen darf. Die Lizenzen dürfen aber nicht gemischt werden, also nicht Windows von Dir gekauft und RDS-CALs per SPLA von Strato gemietet. Für den Zugriff gibt es mehrere Möglichkeiten. RDP selbst verschlüsselt die Daten schon, man braucht also nicht zwingend ein VPN. Wenn Du den Zugriff auf Port 3389 auf gewisse IP-Adressen beschränken kannst, wäre das am einfachsten. Geht das nicht, würde ich das RD-Gateway installieren, evtl. mit Zweifaktor-Authentifizierung. RDP direkt offen ins Internet will man normalerweise nicht. Mir sind zwar in letzter Zeit keine Lücken bekannt, durch die jemand ohne Passwort Code auf dem Server ausführen konnte, aber die ganze Welt kann Passwörter durchprobieren. Braucht es doch ein VPN, könnte man IPSec auf dem Server einrichten, das ist nicht so unsicher wie PPTP. Ist aber nach meiner Erfahrung etwas ein Gebastel (jedenfalls für Site2Site), so dass ich eher Hyper-V aktivieren und in einer VM eine Firewall-Distribution laufen lassen würde. Oder Du gehst zu einem Provider, der das VPN für Dich terminiert. Ganz allgemein würde ich mir überlegen, ob Du einen physischen Server brauchst. Da musst Du für Updates sorgen, im Fehlerfall die Sicherung zurückspielen etc. Viele Anbieter bieten mittlerweile vServer explizit als Terminalserver an. Dort bezahlst Du dann einen fixen Betrag pro Benutzer und hast den Server, die Lizenzen, Updates und Backup inklusive.

Ich würde auf der Firewall routen. Ist ja wohl nicht viel Traffic und so sparst Du Dir die Eintragung einer zusätzlichen Route auf den Geräten. (Oder allenfalls die Route auf der Firewall und dem Switch einrichten, wobei die Firewall den Clients per ICMP direkt den Switch als Gateway angeben kann.) Noch eine Anmerkung zur Grafik: ich würde wenn immer möglich vermeiden, die Rechner über die Telefone anzuschliessen. Manche Telefone bieten nur 100 Mbit/s und wenn das Telefon neu startet, verliert der Rechner kurzzeitig die Netzwerkverbindung.

Würde ebenfalls eine Migration auf Server 2016 bevorzugen, wenn man schon grössere Umstellungen macht. Die Profile sollten sich aber trotzdem den Benutzern in der neuen Domäne zuweisen lassen. Folgendes muss erfüllt sein: - Dateien: Benutzer hat Vollzugriff, Besitzer ist Benutzer oder "Administratoren" (nicht "Administrator"!) - Registry: Benutzer hat Vollzugriff auf alle Schlüssel (kann man mit Regedit anpassen: ntuser.dat laden und konfigurieren) Ich verwende jeweils den User Profile Wizard, der macht das automatisch.

Seit der "Next Gen"-Client erschienen ist, hatte ich keine Probleme mehr. Habe auch Kunden mit grösseren Ablagen, also über 50'000 Dateien. Jedoch arbeitet kein Kunde mit Mac. Nur etwas ist noch mühsam: wenn mehrere Benutzer an der gleichen Datei arbeiten, wird diese bei Konflikten ohne Rückmeldung als "Datei-$computername.xy" gespeichert. Die Benutzer merken das teilweise nicht und arbeiten am nächsten Tag an der alten Datei weiter...

Defekte Geräte äussern sich häufig durch Fehler in den Portstatistiken des Switches. In einem geswitchten Netz sollten die Zähler "TX Error" und "RX Error" auf 0 stehen. Allerdings sollte ein defektes Gerät nicht das ganze Netzwerk beeinträchtigen.

Vielen Dank für die Antworten! Es scheint also keine eierlegende Wollmilchsau zu geben, die mir bisher entgangen ist... Die Signaturen waren nur ein Beispiel, es gibt noch diverse andere Software, deren Einstellungen die Benutzer gerne an andere Rechner mitnehmen.

Ja, das ist möglich. Es kann sinnvoll sein, grosse oder wenig genutzte Datensätze auf günstigeren Speicher (SAS statt SSD) auszulagern: - vertikale Partitionierung: Wenn ein System zu jedem Produkt ein Bild in der Datenbank speichert, kann man diese Spalte in eine separate Datei auslagern (bzw. die Tabelle mit ID und Bild). - horizontale Partitionierung: Alle Datensätze mit Datum von mehr als einem Jahr in der Vergangenheit kommen in eine andere Datei. Muss aber sagen, dass ich einen solchen Fall in der Praxis noch nie hatte. Einerseits ist auch schneller Speicher nicht mehr so teuer oder man macht das Tiering direkt auf dem SAN.

Ja, genau den Agent meinte ich. Ich sichere jeweils ins Veeam Repository, da sich der Auftrag dann über die Veeam-Konsole überwachen lässt. Muss man von der Boot-CD aus den Host wiederherstellen, kann man über die Freigabe auf dem NAS direkt auf das Backup zugreifen (ist ein separates Verzeichnis im Repository).

Wo man Veeam installiert, ist teilweise eine Frage der "Philosophie": viele "Puristen" installieren grundsätzlich nichts auf dem Host. Ich sehe das nicht ganz so eng und unterscheide je nach Grösse der Infrastruktur: bei kleinen Installationen (ein oder zwei Hosts) installiere ich Veeam direkt auf einem Host. Aus dem einfachen Grund, dass man bei einem Totalausfall nach der Wiederherstellung des Hosts gleich mit dem Restore der VMs beginnen kann und nicht erst eine VM mit Veeam installieren muss, um Zugriff auf die Backups zu haben. In grösseren Umgebungen (mehrere Hosts, Cluster) bevorzuge ich einen dedizierten Backupserver. Früher habe ich NAS-Volumes per iSCSI angebunden. Heute nehme ich SMB, da es bei modernen NAS kaum mehr einen Unterschied gibt in der Performance und SMB einfacher in der Handhabung ist. Die Hosts sichere ich mittels dem kostenlosen Veeam Agent. Das kann direkt in ein Veeam-Repository sichern.

Wenn man Robocopy mit einem Tool für Schattenkopien kombiniert, kann man geöffnete Dateien sichern: https://rakhesh.com/windows/how-to-backup-open-pst-via-robocopy/ Wie konsistent derart gesicherte gemountete Veracrypt-Container sind, ist eine andere Frage...

Muss der Windows-Hostname des Servers identisch bleiben, oder hat einfach eine Anwendung einen DNS-Hostnamen konfiguriert für den SQL Server oder ähnlich? Ich vermute letzteres. Da könnte man dem neuen Server einen neuen Hostnamen geben und im DNS dann den alten auf den neuen Namen umstellen, wenn es so weit ist.

Hallo zusammen Hier im Forum wird verschiedentlich von Roaming Profilen abgeraten. Auch ich habe immer mehr Probleme damit: "dumme" Software wie iTunes schreibt riesige Backups nach \AppData\Roaming statt \AppData\Local, bei Windows 10 funktioniert das Startmenü manchmal nicht mehr, wenn ein Benutzer mit mehreren Builds arbeitet... Nur: was ist die Alternative? Ordnerumleitung ist klar. Aber wie synchronisiert man die Einstellungen der Programme? Ein Benutzer will ja nicht wieder die Signatur im Outlook einrichten, nur weil er mal am Notebook eines Kollegen arbeitet. Über UE-V liest man viel Gutes, aber das gibt es nur bei Windows 10 Enterprise. Auf Terminalservern arbeite ich erfolgreich mit dem Citrix User Profile Manager oder User Profile Disks, aber was ist mit den Clients? Was sind eure Erfahrungen in kleineren Umgebungen, was setzt ihr ein?

ActiveSync hat nichts mit den Konnektoren zu tun, die sind nur für SMTP. Wenn sich die anderen Systeme authentifizieren können, würde ein Konnector ausreichen. Dort müsste dann sowohl der anonyme als auch der authentifizierte Zugriff erlaubt werden. Der Exchange erlaubt dann standardmässig anonymen Benutzern das Relay. Können die Geräte keine Authentifizierung, braucht es einen zweiten Konnektor. Dieser darf dann nur die beiden Systeme als Quell-IP eingetragen haben und darauf muss "Anonymous" Relayrechte haben.

Wenn an den Aussenstandorten sonst keine Server benötigt werden, würde ich nur für DC und DHCP kein Blech hinstellen. Wir haben nach Inbetriebnahme der Standortvernetzung (1 GBit/s) alle Server in den Aussenstellen abgebaut. Es gibt nur noch einen Switch als DHCP-Relay. Auch der Internetzugang läuft über die Zentrale.

Hast Du beim Windows SMTP die "ausgehende Sicherheit" konfiguriert? Wohin müssen die Mails? Nur vom Drucker an Adressen mit eurer Domain oder nach extern? Falls nur Scan2Mail an die Mitarbeiter: Port 25 nehmen und direkt auf den MX. Der nimmt logischerweise Mails an für Domänen, für die er zuständig ist. Allenfalls noch die Adresse des Kopierers whitelisten bei den AntiSpam-Einstellungen. Ansonsten sollte es mit dem Windows SMTP schon gehen, aber ich würde hMail empfehlen. Da musst Du weniger installieren und hast ein besseres Logging.

Das geht aber nur, wenn man über SMB immer eine Vollsicherung macht, oder? Bei lokalen Laufwerken oder iSCSI-Targets macht er doch Sicherungen, auf die man nicht direkt zugreifen kann (auch nicht, wenn man einen Laufwerksbuchstaben vergibt)?

Du kannst die Windows Sicherung schon noch gebrauchen: entweder sichert der Host auch die virtuellen Festplatten der Gäste oder jeder Gast sichert sich selbst auf eine andere virtuelle Festplatte. "Host sichert Gäste" hat den Nachteil, dass Du keine einzelnen Dateien zurückspielen kannst. Du musst immer erst die ganze VHDX zurücklesen und dann daraus die Dateien holen, die Du benötigst. "Gäste sichern sich selbst" hat den Nachteil, dass Du bei einem Problem auf dem Gast mit der Windows-DVD starten und die Wiederherstellung darüber starten musst. Veeam bietet da wesentlich mehr Komfort: man sichert an einem Ort, kann aber einzelne Dateien wieder herstellen (oder auch einzelne E-Mails, falls man einen Exchange sichert). Über die Jahre macht der Effizienzgewinn die Lizenzkosten wett.

Würde für fünf User auch keinen Exchange mehr installieren. Eine VM als DC, eine als File- und DB-Server. Sicherung mit Veeam Essentials auf ein NAS (wenn möglich in einem anderen Brandabschnitt) und eventuell Veeam Cloud Connect für die externe Sicherung. Die Cloud wäre aber auch eine prüfenswerte Option, dann könntest Du Dir die Hardware gleich ganz sparen. Wenn man über RDP arbeitet, kommt man für fünf User auch ohne Domäne aus, somit würde ein Server reichen.

Ob das funktioniert, hängt davon ab, ob der Controller die RAID-Konfiguration nur auf dem Controller speichert oder auch auf den Disks. Bei HP SmartArray-Controllern funktioniert es. LSI habe ich noch nie probiert, aber laut Internet sollte es auch funktionieren. Irgendwo stand, man müsse die RAID-Konfiguration löschen, bevor man die anderen Disks einsetze, so dass er die Konfiguration von den Disks lese. Ich würde aber anders vorgehen: Der alte Server ist ja schon virtualisiert. Du könntest ihn auf einen PC übertragen und mittels VMware Player laufen lassen. Das sollte ohne Anpassungen am Server 2003 funktionieren. So hättest Du gleichzeitig Zugriff auf den alten und den neuen Server (und könntest sogar die Domäne behalten, statt neu zu machen).

Bist Du sicher, dass Du die geordnete Liste angezeigt hast? In der normalen Ansicht hat die Reihenfolge der Regeln keine Auswirkungen bzw. spiegelt nicht dir angewandte Reihenfolge wieder.

Mit Office 365 Business können maximal 300 Benutzer verwaltet werden. Bei den Enterprise-Plänen gibt es kein Limit. Ich denke nicht, dass 3000 Postfächer ein Problem für Microsoft darstellen. Da nur die teureren Enterprise-Pläne in Frage kommen, ist eine lokale Exchange-Umgebung wohl günstiger. Ich weiss nicht, wie viel Microsoft einem im Preis noch entgegen kommt, aber Firmen mit 4000 Postfächern haben ja meist bereits eine Infrastruktur (Server, Storage, Firewalls, Load Balancer etc.), auf welcher man Exchange betreiben könnte. Und bei der Grösse fällt es auch nicht so ins Gewicht, wenn man externe Dienstleister zuzieht für die Installation. In die Entscheidung sollte aber unbedingt die zukünftige Strategie der Firma mit einbezogen werden: vielleicht ist geplant, mittelfristig alle Server in die Cloud zu migrieren?

Genau für einen solchen Fall nutze ich rclone. Damit lade ich per Script jeweils nachts meine Dateien auf OneDrive. So muss kein User angemeldet sein.

Dann musst Du es machen wie von "lefg" beschrieben: guten alten Hub aus dem Archiv kramen, Firewall, LAN und Notebook daran anschliessen. Danach siehst Du den Traffic am Notebook. Aufzeichnung entweder per Wireshark (für eine kurze Diagnose) oder über einen längeren Zeitraum mit PRTG.

ownCloud unterstützt WebDAV, Du musst also nicht den Umweg über eine Laufwerksverknüpfung oder die Synchronisation über den Client machen. Wenn Du ein Backup-Tool möchtest, kann ich https://www.duplicati.com/ empfehlen. Das erstellt ZIP-Archive mit den geänderten Dateien, verschlüsselt sie und lädt sie auf einen Speicherdienst (unter anderem über WebDAV). Wenn Du nur eine bestehende ZIP-Datei per WebDAV übertragen möchtest, ist https://rclone.org/ eine gute Wahl. Es kann aber nicht schaden, sich grundsätzliche Gedanken über die Backupstrategie zu machen. Eine ZIP-Datei irgendwo hochzuladen ist nicht unbedingt die beste Methode.

Das ist eigentlich schon fast normal in der Branche, jedenfalls bei den günstigeren Anbietern. "Wir bieten bei der Bestellung nur Linux an, aber man kann eigene ISOs mounten. *zwinker* Windows läuft problemlos auf $Hypervisor. *zwinker*" Kann man nicht selbst einen SPLA-Vertrag für solche Server abschliessen? Oder geht das nur bei Azure? Dort in den FAQ steht, dass sie keine RDS-CALs anbieten, man aber bei seinem Partner einen SPLA-Vertrag machen und die Lizenzen darüber beziehen kann. Würde aber auch eher zu einem Hoster gehen, das das gleich sauber anbietet. Hoster, die heute kein SPLA anbieten, haben meist keine Erfahrung mit Windows oder sind auf Massenhosting spezialisiert, wo der Preis wichtiger ist als die Qualität.