mwiederkehr

vor 13 Stunden schrieb Dirk-HH-83:

Diese "pseudo" Terminalserver Lösung auf Win10/11 Basis (kann mich täuschen)   nutzt vermutlich ähnliche Spitzfindigkeiten in der EULA   oder ist nochmal ein ganz anderer Geschäftsvorfall.  Ist bestimmt allen bekannt.
>https://www.thinstuff.com    

>XP/VS Terminal Server    
>A multi-user Remote Desktop access solution to turn any modern Windows system into a fully-featured RDP server.

Alle mir bekannten dieser Lösungen nutzen keine Spitzfindigkeiten, sondern leben davon, dass der Kunde gegen die EULA verstösst und nicht sie. Sie umgehen mehr oder weniger geschickt die Limitierung auf eine gleichzeitige Session. ("Geschickt" meint in dem Zusammenhang, dass der Zugriff nach Windows Updates noch funktioniert, ohne dass man von Hand DLLs austauschen muss.) Ich hatte schon Kunden, die eine solche Lösung wollten und habe einige dieser "Terminalserver mit Client-OS"-Hersteller angefragt und um eine Bestätigung der Lizenzkonformität gebeten. Habe ich von niemandem erhalten.

Bei den Ausnahmen für Servernutzung sind nur Dienste erwähnt, die Windows bereitstellt: Dateidienste, Druckdienste, IIS... Drittsoftware ist nicht erwähnt. Es ist mir nicht klar, ob der Betrieb eines Dienstes einer Drittanwendung, welcher direkt über das Netzwerk kommuniziert (also ohne Dateifreigabe oder IIS), somit unlimitiert oder im Gegenteil überhaupt nicht erlaubt ist.

Ich frage in solchen Situationen, was man sich von einem Wechsel in die Cloud, zu Exchange Online, OneDrive oder was auch immer gerade modern ist, erhofft. Wenn die Antwort dann "meine Kollegen vom Unternehmerclub sind alle in der Cloud und ich will auch modern sein" ist, merken die Entscheidungsträger oft selbst, dass das nicht ganz ausreicht als Begründung. In wohl keinem Bereich divergieren Kundenwunsch und Kundenbedürfnis so fest wie in der IT. "Mein PC ist langsam" heisst oft "ich möchte meine Terminalserver-Infrastruktur erneuern" und "ich benötige Excel auf dem Smartphone" kann "ich möchte eine mobile Zeiterfassung" heissen.

Zum Thema "alles machen, auch wenn unsinnig" denke ich, dass man als Dienstleister zwar nicht von abgelehnten Aufträgen leben kann, aber es sich auch nicht lohnt, einfach alles zu machen. Auch nicht nach schriftlicher Information des Kunden. Das Problem ist, dass im Falle des Falles immer "Dienstleister XY hat das gemacht" herumgereicht wird, und "ich wollte das entgegen ausdrücklicher Warnung so" vergessen geht. Je nach Umfeld, in dem man tätig ist (regionale Gewerbevereine etc.) kann sich solches Hörensagen negativ auswirken. Wenn ich dem Automechaniker sage, er soll beim Radwechsel nur vier statt fünf Schrauben nehmen, das halte auch so, wird er es nicht tun.

vor 25 Minuten schrieb wznutzer:

Teilweise mache ich das auch, mit Veeam. Darf ich fragen, welches Backup Du nutzt?

Ich nutze ebenfalls Veeam, die kostenpflichtige Version. Damit lassen sich die Sicherungen zentral verwalten und überwachen. Da es nur geänderte Daten sichert, ist die Sicherung innerhalb weniger Minuten erledigt und der Benutzer merkt nichts, da sie über Mittag läuft.

vor 8 Minuten schrieb wznutzer:

Da rennst Du bei mir offene Türen ein. Aber wann ist die Schwelle erreicht es neu zu machen? Schon wenn der AV eine URL bei einer Internetrecherche meldet oder die Phishing-Mail angeschaut wurde? Die 3-4 Stunden sind auch nicht zu viel, aber wenn jemand schreibt, dass das auch in 20 Minuten geht, wundere ich mich schon. So lange geht die Installation schon von einem Stick.

Die geblockten URLs sind nicht das Problem, das Problem sind die nicht geblockten. Oder anders: Wenn jemand klickt, der Aufruf blockiert wird und nichts weiter passiert, würde ich nichts unternehmen. Wenn von dem Client aus aber mehrere Anfragen blockiert werden, insbesondere zu ungewöhnlichen Zeiten, ist die Gefahr gross, dass etwas läuft, was nicht laufen sollte und eine Neuinstallation ist angesagt.

20 Minuten für eine Neuinstallation sind machbar übers Netzwerk. Wobei sich solche Beispiele auf ideale Umgebungen beziehen, in denen alle Software paketiert ist oder ausser Office keine Anwendungen benötigt werden. Es gibt da ganz andere Fälle, zum Beispiel bei Ingenieuren. Dort hat jeder fünf Versionen von drei CAD- und Berechnungs-Anwendungen installiert, die teilweise telefonisch aktiviert werden müssen, den Grafikkartentreiber genau in Version X benötigen und gewisse Daten lokal speichern.

Aber das soll kein Hindernis sein für eine Neuinstallation bei Verdachtsfällen. In solchen Umgebungen sichere ich die Clients täglich über Mittag und das Zurückspielen der Sicherung dauert auch ziemlich genau 20 Minuten.

Danke! Der Beitrag von Frank hat mir den Mut gegeben, das virtuelle Verzeichnis im IIS zu löschen. Danach hat "New-EcpVirtualDirectory" funktioniert und es läuft wieder.

Hallo zusammen

Ein Kunde hat auf einem Server mit Exchange 2013 Windows Updates mit der Option "Updates für andere Microsoft-Produkte einschliessen" installiert. Bei der Installation des aktuellen SU kam es zu einem Fehler. Danach waren auf dem System viele Dienste deaktiviert (alle Exchange-Dienste, aber auch die IIS-Verwaltung und WMI). Ich habe die Dienste wieder aktiviert und das SU wie erforderlich von einem "elevated prompt" aus installiert. Nach einem Neustart läuft alles bis auf das ECP wieder. Dieses wurde versucht neu anzulegen, was wegen nicht laufendem IIS-Verwaltungsdienst nur so halb funktioniert hat.

"Get-EcpVirtualDirectory" liefert kein Resultat und keinen Fehler. Im AD sind die Objekte für ECP (Frontend und Backend) weg. Im IIS existiert im Front- als auch im Backend noch ein virtuelles Verzeichnis "/ecp". "Create-EcpVirtualDirectory" meldet, das Objekt ECP existiere schon in der Default Web Site.

OWA funktioniert, auch der "ECP-Teil" von OWA funktioniert, also die Verwaltung der Regeln etc. Nur wenn man per "?ExchClientVer=15" auf das "Admin-ECP" zugreifen will, kommt Fehler 400.

Wie erstellt man das ECP neu? Ich hätte gesagt, ich muss die virtuellen Verzeichnisse im IIS manuell löschen. Ist das richtig? Gibt es einen besseren Weg?

Besten Dank für eure Tipps!

P.S.: Termin für die Migration ist eingeplant. Wusste bis heute nicht, dass der Server existiert.

Ich versuche, wo immer möglich, mindestens zwei Exchange Server zu betreiben. Man muss dann zwar zwei Server updaten, die Dienste sind aber während der ganzen Zeit verfügbar. Siehe zum Beispiel https://www.frankysweb.de/exchange-2019-database-availability-group-dag/.

Man kann Snapshots als Backups mit schneller Wiederherstellung ansehen, dann würde ich aber den Server vor dem Erstellen des Snapshots herunterfahren.

Grundsätzlich sollte man beim RAM nicht sparen, aber "doppelt so viel RAM wie die DB gross ist", ist keine allgemeine Regel.

Ein Beispiel: Die ERP-Datenbank eines Kunden ist 30 GB gross. Die Tabellen mit allen Artikeln, Aufträgen und Stundenrapporten (diese allein mit mehr als einer Million Datensätze) sind 1 GB gross. Die restlichen 29 GB belegt die Tabelle "dok" mit den Spalten "dok_id" (int) und "dok_image" (varbinary(max)). Will heissen: Die 29 GB werden nur angefasst, wenn ein Dokument geöffnet oder erstellt wird, was relativ selten (ein paar Mal pro Stunde, nicht ein paar Mal pro Sekunde) passiert.

HP Notebooks haben einen zuschaltbaren Blickschutz ("SureView"). Diesen empfinde ich als nicht sehr störend, auch wenn der Kontrast natürlich etwas leidet. Wie ich gesehen habe, haben die besseren Desktop-Bildschirme ("EliteDisplay") diese Funktion auch. Ich würde es mal mit so einem probieren. SureView funktioniert über eine veränderte Hintergrundbeleuchtung. Das verspricht eine bessere Qualität als eine nachgerüstete Folie.

Je nach Anforderungen und Netzwerkverkehr, kann es besser sein, die interne Filterung über die Switches zu machen statt über eine separate Firewall. Zur Filterung des Verkehrs von und nach aussen ist eine Firewall sinnvoll, mit VPN, Content Filter, Reverse Proxy etc.

Intern reicht oft ein Paketfilter, mit dem man Sachen wie "VLAN 20 darf auf VLAN 40 zugreifen, aber nicht umgekehrt" oder "von VLAN 20 zu VLAN 40 ist nur DNS offen" umsetzen kann. Layer-3-Switches haben meist Paketfilter integriert. Im Gegensatz zu einer Firewall ist der Durchsatz kein Problem, und wenn man einen Stack hat, ist die Redundanz auch gleich gegeben.

Nach meinem Kenntnisstand geht das zumindest offiziell nicht. Server 2022 basiert auf der GUI von Windows 10. Die Previews von "vNext" haben die GUI von Windows 11. Ich denke nicht, dass Microsoft die neue GUI zurückportieren wird zu Server 2022. Von allenfalls erhältlichen Tools von Drittanbietern rate ich ab. Die mögen gut sein, damit Opa noch das alte Startmenü hat, aber auf einem Terminalserver möchte man so was nicht haben.

Grundsätzlich ist zu beachten, dass Microsoft immer weniger Client-Tools auf den Servern zur Verfügung stellt. Die "Desktop Experience" von Server 2022 enthält nur die GUI, aber nicht die Tools wie die nachinstallierbare "Desktop Experience" bei Server 2012 R2. Es fehlt unter anderem die Scansoftware sowie die Möglichkeit, mehrere Bilder auf einer Seite zu drucken.

Die Lösung wäre Multi-Session Windows 11, denn eigentlich ist ein Terminalserver näher an einem Client als an einem Server. Aber leider erlaubt Microsoft das nur in Azure. Es wäre schön, wenn man das dazu lizenzieren könnte oder es einfach mit TS-Lizenzen funktionieren würde.

https://virusfrei.zip/

Liest sich leider wie eine Antwort des First-Level-Supports vieler Firmen. "Ich habe ein Problem mit Software XY. Bei einer Auswertung wird ein Wert falsch gerundet." - "Versuchen Sie einen Neustart des Datenbankservers. Stellen Sie sicher, dass die Druckertreiber aktuell sind."

Ob die Windows-Firewall im Bridge-Modus funktioniert, weiss ich nicht. Denke aber eher nicht. WatchGuard und Zyxel habe ich schon im Bridge-Mode eingesetzt, wenn auch selten. OPNsense soll es auch können und das läuft bestens auf Hyper-V. Falls das nahe genug an "unter Windows" ist.

Falls das Argument der "zweistufige Filter" ist: Der NSP kann Anhänge zusätzlich zur integrierten Scan-Engine mit einem weiteren Virenscanner prüfen. Dieser könnte sogar von Sophos sein.

Für das Monitoring könntest Du den SMTP&IMAP-Roundtrip-Sensor vom PRTG einsetzen. Damit kannst Du regelmässig eine E-Mail an die vorderste Appliance (also den MX) schicken und er prüft per IMAP, ob diese auf dem Exchange ankommt.

Aber ich schliesse mich meinen Vorrednern an und würde mich auf einen Filter konzentrieren, in diesem Fall ist der NSP die bessere Wahl.

Da Du es erwähnt hast und es evtl. in der Diskussion mit dem Vorgesetzten auftauchen kann: E-Mail-Quarantäne ist eine schlechte Idee. Damit müssen entweder die Mitarbeiter regelmässig den Inhalt des Spam-Ordners prüfen (was den Zeitgewinn durch Spamfilterung mindert) oder aber E-Mails werden "vergessen", ohne dass der Absender eine Meldung bekommt. Moderne Filter haben so wenige False Positives, dass es besser ist, als Spam oder Viren erkannte E-Mails abzulehnen. Dann wird der Absender benachrichtigt und kann entsprechend reagieren.

Bei uns in der Schweiz ist Auffahrt ein normaler kirchlicher Feiertag. Wir verreisen jeweils mit Kollegen über das Auffahrtswochenende in den Schwarzwald. Da habe ich die Tradition zum ersten Mal gesehen. Männer auf provisorisch umgebauten Traktor-Anhängern oder die sportliche Variante mit dem Bier im Handwagen und unterwegs aufgefundenen Pylonen als Kopfbedeckung. Ich dachte, das sei eher ein südlicher Brauch, wo es Orte mit Namen wie "Bierbronnen" gibt und die Brauereidichte höher ist als im Norden, aber anscheinend findet der Brauch auch dort Verbreitung.

Der Veeam Agent kann den gesamten Rechner sichern und bringt Datenbanken über Schattenkopien in einen konsistenten Zustand.

Der Veeam Explorer for Microsoft SQL Server ist eine zusätzliche Anwendung, welche bei der (kostenpflichtigen) Serverversion dabei ist. Damit lassen sich Datenbanken aus einer Sicherung öffnen, einzelne Tabellen wiederherstellen oder Datenbanken vor der Wiederherstellung temporär an einen SQL Server anhängen. Das ist bei sehr grossen Datenbanken sicher praktisch, aber Du brauchst es nicht.

Ich würde zusätzlich zur Veeam-Sicherung die Datenbanken und Logs regelmässig per SQL-Backup sichern und die Sicherungsdateien dann mit Veeam sichern.

Wenn es darum geht, einen Cluster mit S2D zu bauen und den Speicher irgendeinem System zur Verfügung zu stellen, würde ich einen Scale-out File Server bauen und die Freigaben ein paar Clients zur Verfügung stellen. Dann wäre die Arbeit die Konfiguration von S2D, evtl. inkl. SSD-Cache, Benchmarks, Failover-Tests, Überwachung und Dokumentation der Wiederherstellung nach dem Austausch defekter Disks. Zusätzlich allenfalls noch einen kurzen Vergleich der Vor- und Nachteile mit anderen Systemen. Das wäre in der Schweiz im Rahmen einer Abschlussarbeit (zehn Tage Zeitbudget).

NFS ist für S2D bzw. Scale-Out File Server nicht unterstützt.

Aber was ist überhaupt das Ziel Deiner Arbeit? Einen Virtualisierungscluster zu bauen oder einen redundanten Speicher:

Falls Virtualisierungscluster, würde ich entweder Hyper-V Hyperconverged nehmen oder VMware mit einem iSCSI-Target ohne S2D, einfach auf einem einzelnen Server. In der Arbeit kannst Du dann beschreiben, dass man in der Praxis den Speicher anders aufbauen würde. Allenfalls, falls Du den Speicher in die Virtualisierungs-Hosts einbauen kannst, wäre VMware vSAN eine Option.

Falls Du einen verteilten Speicher bauen willst, wirst Du wohl entweder bei einer kommerziellen Software (SANsymphony) oder aber Linux (mit DRBD und Pacemaker) landen. Das ist aber evtl. zu viel für ein einzelnes Projekt (und es stellt sich die Frage nach der Praxisrelevanz).

vor 30 Minuten schrieb NorbertFe:

Ich lese eure Posts und glaube ja selbst auch, dass es AADC nicht ewig geben wird, aber wo steht bei MS die Ankündigung, dass es abgekündigt wird bzw. wie der lifecycle dafür aussieht?

Du hast recht. Abgekündigt wurde Version 1.x von AADC, aber bei Version 2.x ist nichts bezüglich EOL zu lesen. Da wohl einige Medienberichte ungenau und ich war ebenfalls nicht genug aufmerksam.

AADC wird abgelöst durch Cloud Sync. "Raider heißt jetzt Twix – sonst ändert sich nix!" gilt zwar nicht ganz, aber in den (kleinen bis mittelgrossen) Umgebungen, in denen ich damit zu tun hatte, wurden alle benötigten Funktionen unterstützt und der Umstieg hat problemlos geklappt.

Bei einer neuen Umgebung würde ich gleich mit Cloud Sync beginnen, dann spart man sich die Migration. Zudem wurde der Bedienkomfort verbessert, man kann den Status jetzt im Azure-Portal überwachen.

Was ich schon gesehen habe: Die "heiklen" Daten werden per Remotedesktop bearbeitet, mit deaktivierter Zwischenablage und Screenshotfunktion.

Du könntest Dir das Information Rights Management von Microsoft anschauen. Damit kann man Dokumente schützen, sodass sie nur auf Firmenrechnern geöffnet und daraus nichts kopiert werden kann. Es ist aber nicht trivial in Einrichtung und Betrieb.

Ich sehe aktuell nicht, wie ein Problem eines NTP-Servers relevant sein sollte für die Sicherheit der Clients, die im Falle von Windows eine andere Implementation verwenden. Zudem betrifft der Bug libntp, könnte also auch nur den Client betreffen. (Wonach es laut Kommentaren aussieht, aber habe es nicht geprüft.)