mwiederkehr

Bei der CNAME-Methode ist es wichtig, dass der eingetragene Server nicht per HTTPS erreichbar ist. Sonst bekommen die Clients einen Zertifikatsfehler. HTTPS auf REJECT und auf HTTP eine Umleitung auf HTTPS, wo der Hostname dann zum Zertifikat passt. Das Ziel der Umleitung kann direkt die externe URL des Exchange sein. Bei den letzten paar Installationen habe ich es mit SRV gelöst, weil es wesentlich eleganter ist. Aber es stimmt, weder Android noch iOS interessieren sich für den SRV-Record. Wenn der Kunde verwaltete Smartphones hat oder mit der Outlook-App arbeitet, ist es kein Problem. Ansonsten muss man einmalig Kontotyp "Exchange" wählen und den Servernamen eintragen, dann funktioniert ActiveSync auch ohne Autodiscover.

Danke für die Tipps Norbert! Ruhe tut nach vielen Sommern in Italien einmal gut. Ob die Temperaturen zum Baden reichen, bin ich gespannt. 18°C Wassertemperatur ist für mich schon allerunterste Grenze. Ein Zwischenhalt auf Föhr ist eine gute Idee. Sylt war eigentlich nicht geplant, aber leider fährt wegen Bauarbeiten und EM an unserem Reisetag kein Nachtzug nach Hamburg oder Berlin. So müssen fliegen und Sylt ist da am nächsten. Habe ich das richtig verstanden, dass man mit dem Deutschlandticket alle öffentlichen Verkehrsmittel benutzen kann, ausser die von DB Fernverkehr (ICE)? Der Bus auf Sylt und Amrum, die U-Bahn in Hamburg, alles dabei?

Über 40°C hatten wir letzten Sommer in Sardinien. Gar nichts für mich... Ich hätte auf den Rat meines Umfelds hören sollen, dass man nicht im Sommer in den Süden fährt, sondern im Herbst. Dieses Jahr sind wir schlauer und verbringen den Sommerurlaub im Norden. Sylt, Amrum und Hamburg stehen auf dem Programm. Könnt ihr da etwas speziell empfehlen? In Hamburg waren wir schon einmal, hatten aber nur Zeit für die Klassiker aus jedem Reiseführer: Hafenrundfahrt, Speicherstadt, Miniatur Wunderland, Cap San Diego, Altonaer Balkon.

Ich kann imapsync (https://imapsync.lamiral.info/) empfehlen. Nicht abschrecken lassen von der altertümlichen Website. Bei ausreichend Vertrauen in den Anbieter kannst Du die Online-Version unter https://imapsync.lamiral.info/X/ verwenden. Es gibt auch ein Docker-Image dafür: https://hub.docker.com/r/gilleslamiral/imapsync/. Habe bislang nur mit der CLI-Version gearbeitet. Eine Alternative wäre MailStore (https://www.mailstore.com/de/). Die E-Mails per IMAP archivieren und dann exportieren. Entweder direkt zu Exchange (falls möglich, bin nicht sicher) oder in eine PST-Datei und auf dem Server oder in Outlook importieren.

Einen Anbieter kann ich Dir leider nicht nennen. Ich war selbst mal einer, aber 90 % der Kunden sind zu Exchange Online migriert und 10 % zu einem eigenen Exchange. Zumindest in der Schweiz ist Hosted Exchange wirklich kein Markt mehr. Vielleicht grundsätzlich das: Bei einem grossen Anbieter wirst Du zur Verwaltung bessere Oberflächen haben, dafür sind kleine Anbieter flexibler und richten einmal eine Transportregel für Dich ein oder so. Günstiger als Exchange Online wirst Du wahrscheinlich nicht kommen, da der Provider für die (SPLA-)Lizenz mehr bezahlen muss, als Exchange Online Plan 1 kostet.

Ich würde nicht mehr auf Hosted Exchange setzen. Es war eine gute Sache für kleinere Unternehmen. Dann hat Microsoft gemerkt, dass man damit Geld verdienen kann und Exchange Online erfunden. Hosted Exchange hat viele Nachteile, sowohl gegenüber eines eigenen Exchange als auch gegenüber Exchange Online. Man kann das Active Directory nicht koppeln, muss also alle Benutzer doppelt führen. MFA ist schwierig. Man hat kein ECP oder gar PowerShell zur Verwaltung von Transportregeln etc. Falls überhaupt, lassen sich solche Sachen nur vom Support vom Anbieter einrichten. Je nach Grösse (und Stärke der Abneigung gegen Exchange Online) könnte ein eigener Exchange die bessere Lösung sein. Du findest sicher einen Dienstleister, der euch den Server einrichtet, inkl. Spamfilter etc., und regelmässig die Updates einspielt. Dann habt ihr ausser der Benutzerverwaltung nichts mit dessen Betrieb zu tun.

Für die Steuerung findest Du vielleicht gut einen Abnehmer. Unsere hat ein Jahr vor Einbau der Wärmepumpe den Geist aufgegeben. Sei ein häufiges Problem, hat der Techniker gemeint, als er die Platine zum Preis eines guten Notebooks ausgetauscht hat... Heute ist ein besonderer Tag: Zum ersten Mal hat der Einsatz von KI bei einem Kunden messbaren Schaden eingerichtet. Der Verantwortliche in der Administration hat sich von ChatGPT ein PowerShell-Script zur Bereinigung des Projektarchivs erstellen lassen. Hat eigentlich ganz gut ausgesehen, nur war der Löschbefehl eine Ebene zu hoch. Aber so kann ich mal Restore machen, statt immer nur Backup. Lustig finde ich die Empörung, mit welcher er ChatGPT die Schuld zuweist. Er habe ihm doch ganz genau beschrieben, was er wolle... Wenn der Copilot im Office dann auch Makros schreibt, kommt etwas auf uns zu!

Ich würde auch sagen, dass nicht unbedingt ein Xeon Gold notwendig ist. Zudem würde ich auf ein separates RAID für das Betriebssystem verzichten. Es würde keinesfalls schaden, aber bei SSD und einer Umgebung in der Grösse wird man keine spürbaren Vorteile haben. Eine separate Partition reicht meiner Meinung nach aus.

Ja, Azure bietet extrem viel. Lexware ist kein einfacher Kandidat, da es anscheinend eine eigene Datenbank verwendet. Systeme, die SQL Server verwenden, können allenfalls zu Azure SQL migriert werden (Unterstützung des Herstellers natürlich vorausgesetzt). Der Fileserver könnte durch OneDrive oder Azure Files abgelöst werden. Aber vermutlich wird eine Umgebung mit VMs zumindest noch die nächsten Jahre günstiger sein.

VMs sind in Azure relativ teuer. Wenn man eine klassische Umgebung auslagern will, also weiterhin mit eigenen VMs betreiben, sind andere Hoster günstiger. Auch bezüglich Betreuung kann ein lokaler Dienstleister besser sein. Falls ihr mittelfristig zumindest teilweise zu Cloud-Diensten wechseln wollt (Exchange Online ist eigentlich schon ein Anfang), ist Azure die bessere Wahl.

Tatsächlich, da war ich nicht mehr auf dem aktuellen Stand. Danke! Das "License Mobility Addendum" ist ein Vertragszusatz, welchen der Hoster abschliessen muss. Seit es "Flexible Virtualization Benefit" gibt, ist es aber nicht mehr relevant. Denn "Flexible Virtualization Benefit" geht bei allen Hostern mit SPLA-Vertrag. Man darf Lizenzen, für die man eine aktive Software Assurance hat, auf gehosteten Systemen einsetzen. Man muss sich dann an die Bedingungen der Kauflizenz halten: Also CALs erwerben, allenfalls den External Connector... Das Modell scheint sinnvoll zu sein, wenn man seine eigenen Server teilweise zu einem Hoster auslagern will. Aber nicht, wenn man für Dritte Hosting-Dienstleistungen anbieten will.

SPLA ist nicht das günstigste Lizenzmodell, dafür wohl das grosszügigste. Lizenznehmer ist der Eigentümer der Hardware. Bei Hosting also meist der Provider. Dieser schliesst den SPLA-Vertrag mit Microsoft ab und kann dann Lizenzen an seine Kunden verkaufen. Häufig wird er alle physischen Cores eines Hosts mit Datacenter lizenzieren und kann dann beliebig viele Windows-Server-Instanzen für beliebige Kunden darauf betreiben und den Kunden so viel für die Lizenz verrechnen, wie er möchte. Die Kunden selbst können auf den Servern beliebige Dienste betreiben, auch für Dritte. Klassischer Fall ist Webhosting auf Windows: Auf einem Server laufen 500 Websites für verschiedene Kunden, wovon einige Webanwendungen für Kunden des Kunden sind. Oder eine Firma mietet einen Server, um ihre Software ihren Kunden per RDS zur Verfügung zu stellen. Wichtig zu wissen ist, dass man komplett nach SPLA lizenzieren muss. Auf einer per SPLA lizenzierten VM darf der Kunde keine gekauften RDS-CALs installieren. Auch nicht, wenn RDS nur von seinen Mitarbeitern genutzt wird. Da nur der Hoster einen Vertrag mit Microsoft hat und damit die Verantwortung über die Korrektheit der Lizenzierung trägt, ist es wichtig, dass dieser sich bei seinen Kunden vertraglich absichert.

Bei diesen Anforderungen ziehe ich meine Aussage "Benutzer zu den Daten holen" zurück und behaupte das Gegenteil "Daten zu den Benutzern bringen". CAD über RDS/Citrix ist zu teuer, Synchronisation mit beidseitigem Schreibzugriff fehleranfällig, bleibt noch "LAN grösser machen". Also die Datenhaltung zentral, Clients von beiden Standorten greifen auf den gleichen Datenbestand zu. Heutzutage ist eine Standortvernetzung mit LAN-Geschwindigkeit nicht mehr unbezahlbar. In der Schweiz gibt es den Swisscom Opticallink Service. Da kostet 1 GBit/s um die 1000 Euro/Monat. Die Endgeräte stellt und überwacht der Anbieter. Die Latenz liegt je nach Entfernung bei 1 oder 2 ms. Nicht zu vergleichen mit VPN über DSL. Ich habe mehrere solcher Projekte umgesetzt, gerade in Branchen mit CAD und Grafik/Druck. Kann das nur empfehlen. Es sind Geschwindigkeiten bis 100 GBit/s möglich, aber 1 GBit/s hat auch an Standorten mit 50 Benutzern immer gut gereicht, weil ja nicht alle gleichzeitig eine Datei öffnen oder speichern. Wie ich gesehen habe, heisst das Produkt bei der Telekom "EthernetConnect 2.0" und die Kosten scheinen sich im gleichen Rahmen zu bewegen. Billig ist auch das nicht, aber bei der Anzahl Arbeitsplätze ziemlich sicher günstiger als RDS/VDI.

Es gibt Software, welche Synchronisation und Locking beherrscht (eine stabile Verbindung vorausgesetzt, sonst wird es ganz hässlich). Allerdings ist die nicht günstig und überall, wo ich eine solche Lösung gesehen habe, war man nicht glücklich damit. Deshalb sehe ich es wie Jan: Hole die User zu den Daten. Falls das nicht geht, würde ich prüfen, ob wirklich beide Seiten schreibend auf die gleichen Dateien zugreifen müssen. Evtl. könnte man das Datenverzeichnis aufteilen und der jeweils anderen Seite lokal nur Lesezugriff geben? Ein Beispiel aus der Praxis: Ein Ingenieurbüro hat zwei Standorte. Jedes Projekt wird mehrheitlich von einem Standort aus bearbeitet, aber man will trotzdem auf die Projekte des anderen Standorts zugreifen können. Aber hier reicht ein Lesezugriff. In diesem Fall teilt man die Datenablage auf oberster Ebene auf: "Projekte Standort A", "Projekte Standort B". Standort A hat Schreibzugriff auf "Projekte Standort A" und Lesezugriff auf "Projekte Standort B". Bei Standort B ist es umgekehrt. Will Standort A schreibend auf ein Projekt von Standort B zugreifen, verknüpft er direkt das Netzlaufwerk von Standort B.

Ein Server kann immer nur Lizenzen pro Benutzer oder pro Gerät anfordern. Von daher bräuchtest Du zwei Server. (Also zwei Sitzungsserver, Lizenzserver reicht einer.) Aber Du kannst den Server auch im "pro Benutzer"-Modus laufen lassen und die Gerätelizenzen nirgends installieren, sondern einfach für eine Prüfung vorhalten. Unschön ist da nur, dass der Lizenzserver zu früh warnt (weil die per Gerät lizenzierten Benutzer eine Benutzerlizenz ziehen) und der Kunde selbst eine Zählung durchführen muss.

Ein integrierter ACME-Client wäre was gewesen. Können andere Anwendungen auch schon lange, aber für Exchange wäre es wirklich eine Neuigkeit gewesen, über die sich wohl fast jeder Admin gefreut hätte.

In den Release Notes steht auch schön "Corrects an issue which caused occasional black or frozen screens during Duo login."... Habe dem Kunden gesagt, dass er für neue Server nicht das Setup nehmen soll, dass bei ihm noch im Downloads-Ordner liegt. Ärgere mich aber trotzdem, dass ich das nicht früher geprüft habe. Bin anscheinend etwas abgestumpft, weil sonst fast jede Software einen Updater mitbringt oder aus einem Store kommt.

Das Problem ist gelöst. Es lag an DUO. Dessen Version 4.2 hat einen Bug, durch welchen manchmal die Anmeldung beim Verbinden auf eine getrennte Sitzung blockiert wird. Ein Update auf die aktuelle Version 4.3.1 hat geholfen. In diese Richtung zu suchen, ist mir leider erst sehr spät eingefallen, da Verbindungen vom internen Netzwerk ohne DUO funktionieren und man deshalb dessen hängendes Fenster nicht zu sehen bekommt... Danke für die Tipps!

Es sind ca. 200 Benutzer und bis jetzt waren keine speziell betroffen. Also die, die sich immer korrekt abmelden, sind ausgenommen, aber das sind die Wenigsten... Regelmässige Neustarts sind schwierig, da rund um die Uhr gearbeitet wird (Pflegeinstitution). Ich könnte natürlich "query user" abfragen und die winlogon.exe der Benutzer abschiessen, die seit mehr als einer Stunde getrennt sind. Aber als dauerhafte Lösung passt mir das nicht.

Hallo zusammen In einer Terminalserverumgebung mit Windows 2022 bleiben getrennte Sitzungen manchmal beim Abmelden hängen. Wenn sich der Benutzer später wieder anmelden will, gelangt er in die unvollständig abgemeldete Sitzung (schwarzer Bildschirm). Benutzer meldet sich an, arbeitet und meldet sich ab. => Kein Problem. Benutzer meldet sich an, Sitzung wird getrennt, Benutzer verbindet sich später wieder. => Kein Problem. Benutzer meldet sich an, arbeitet, trennt Sitzung, Sitzung soll nach einer Stunde abgemeldet werden (Einstellung in GPO). => Manchmal unvollständige Abmeldung. Die Lösung ist dann jeweils, die zur hängenden Sitzung gehörende winlogon.exe abzuschiessen. Danach kann sich der Benutzer wieder problemlos anmelden. Der Fehler tritt in ca. einer von Hundert solcher vom Server initiierten Abmeldungen auf. Es scheint, als warte ein Prozess auf einen Monitor oder so am anderen Ende, denn der Fehler tritt nur beim Abmelden von getrennten Sitzungen auf. Anwendungen wie winword.exe laufen bei hängengebliebenen Sitzungen nicht mehr, nur noch Systemprozesse. Windows Updates und FSLogix sind aktuell. In den Protokollen sind keine Fehler verzeichnet. Im Internet hatte jemand ein ähnliches Problem mit Citrix. Da hatte es geholfen, die Transparenzeffekte auszuschalten. Das habe ich versucht, ohne Erfolg. Ist das Problem jemandem bekannt?

Laut Microsoft (https://setup.cloud.microsoft/exchange/migrate-gmail-contacts-and-calendar-items) kann man entweder das Gmail-Konto in Outlook einrichten und die Kontakte darüber kopieren, oder man exportiert sie bei Google als CSV und importiert sie in Outlook.

Ich beobachte, dass der Cloud-Hype vorbei ist. Vor einigen Jahren wurde ich noch explizit nach Cloud-Lösungen gefragt. Man wollte Cloud, weil der Kollege im Unternehmerclub auch in der Cloud ist. Jetzt spricht man nicht mehr explizit von Cloud, sondern von konkreten Angeboten wie OneDrive. Diese sind eine Option, aber werden nicht wegen mehr "ist modern" bevorzugt. Konkrete Projekte mit Cloud habe ich bei Kleinfirmen fast immer, wenn der Server seine Lebensdauer erreicht hat. Fünf bis zehn Mitarbeiter, die meisten häufig unterwegs oder im Homeoffice. Da will man keinen Server mehr kaufen, mit Remotedesktoplizenzen etc., sondern geht zu Exchange Online und OneDrive. Wenn die Buchhaltung SQL Server benötigt, bietet entweder der Hersteller neu ein Hosting an oder man wechselt den Anbieter. Bei grösseren Firmen gibt es noch Migrationsprojekte im Bereich Exchange Online, wobei die seltener werden, da langsam alles migriert ist. Ich habe ganz wenige Kunden, die ihren Exchange-Server noch lokal betreiben. Software-Hersteller mit Ausrichtung auf kleinere Firmen haben viele Projekte bezüglich Cloud am Laufen. Die Kundschaft will wie oben erwähnt immer weniger einen eigenen Server betreiben. Häufig gibt es als Übergangslösung ein Hosting über RemoteApp, während parallel die Anwendung neu als Webanwendung entwickelt oder auf Azure SQL etc. umgebaut wird.

Zur Authentifizierung hinterlegst Du Deinen öffentlichen Schlüssel auf dem SFTP-Server. Dein privater Schlüssel geht nie zum Server. Das Einloggen funktioniert, indem Du mittels Deines privaten Schlüssels beweist, dass Du es bist. Der Server kann das anhand des hinterlegten öffentlichen Schlüssels prüfen. Den öffentlichen Schlüssel des Servers benötigst Du, damit das Multifunktionsgerät verifizieren kann, dass es mit dem richtigen Server spricht (vergleichbar mit einem Zertifikat im Browser). Du musst auf dem Brother also ein Schlüsselpaar erstellen und den öffentlichen Schlüssel dem Anbieter des SFTP-Servers geben. Den öffentlichen Schlüssel des Servers importierst Du auf dem Brother. Habe folgende Anleitung gefunden: https://techbotch.org/blog/automated-document-scanner/index.html#automated-document-scanner Für den Umweg über eine Windows-Freigabe könntest Du zum Hochladen rclone verwenden. Entweder alle paar Minuten ausgeführt, gestartet über ein PowerShell-Script, welches Änderungen im Verzeichnis erkennt oder das Serververzeichnis per rclone mount als Laufwerksbuchstaben einbinden. Ich weiss nicht, wie stabil das Mounten funktioniert. Alle paar Minuten die neuen Dateien hochzuladen, wird am einfachsten sein.

Man lizenziert immer physische Cores. Deshalb würde ich vermuten, dass es in der Cloud nicht geht. Da weiss man nicht, wie die CPU-Konfiguration im Host aussieht und ob die VM zwischen Hosts wechselt. Bei einem physischen Mietserver ginge es. Aber falls ihr Webanwendungen betreibt oder Dienste Dritten zur Verfügung stellt, reichen normale CALs nicht. Bietet Hetzner kein SPLA an? Das ginge auch für die Cloud und wäre flexibler.

Ich denke, es kommt darauf an, wie das Netzwerk aussieht. Wenn man per VPN nur in ein Zwischennetz kommt, von dem aus nur RDP auf die VDI offen ist, wäre das VPN ein Ersatz für Netscaler/RDS-Gateway. Ich habe Kunden, die sich nach aussen möglichst nicht zeigen und zur Authentifizierung bewusst andere Zugangsdaten als die Windows-Anmeldung haben wollen. Da ist VPN (allenfalls mit erweitertem Client für "Endpoint Security" und MFA) und von dort Zugriff auf VDI/TS eine Möglichkeit. Wenn man sich per VPN aber direkt ins LAN einwählt (so, wie das zumindest früher üblich war), dann nur mit verwalteten Geräten.