IT-Strategie und Windows 11 vereinbar?

Admins, die mehrheitlich diese Tätigkeit als Nebenaufgabe ausführen (neben ihrer Haupttätigkeit als Buchhalter, Verkäufer, Einkäufer, Geschäftsführer...) haben das Ziel, eine möglichst homogene IT-Umgebung in ihrem Unternehmen einzusetzen. Die Motivationen sind unterschiedlich.

• Geschäftsführer wollen das Haftungsrisiko reduzieren
• Die operativen Mitarbeiter, die auch IT-Support machen, müssen den Aufwand reduzieren

Homogenisierung

Bis heute konnte man relativ einfach auf das Ziel hinarbeiten, ohne größere Einmal-Investitionen zu tätigen:

• Windows 7 (Professional) Rechner (Core i5 mit 4 oder 8 GB RAM) mit kleinen SSDs ausstatten und unter Einsatz des aufgedruckten Lizenzschlüssels auf Windows 10 Pro bringen. Nach Datenübernahme konnten die Festplatten ausgebaut werden
• Statt Neukauf von Servern:
  • Windows #Server in die Azure Cloud (Microsoft Deutschland) verlagern
  • Mailserver auf Exchange online und Office auf Business Premium Plan umstellen
  • Lokale Software auf #Azure Virtual Desktop migrieren (eigener Windows 10 Umgebung in Azure) via RDP
• Statt Ersatzkauf von defekten PCs: Thin-Client IGEL UD3 ab Firmware 11.3 anschaffen
• Neu anzuschaffende Notebooks und Tablets haben ebenfalls Windows 10 Pro
• Wenn man nicht selbst Updates und Sicherheitspatches installieren möchte, kann man die Aufgabe über Care-Packs an den IT-Dienstleister auslagern

Fazit: Das gesamte Netzwerk (die Domäne) lässt sich zentral verwalten. Viel wichtiger: Anwender (und Admins) arbeiten mit einem einheitlichen Erscheinungsbild (Startmenü, Windows Umgebung)

Was bewirkt Windows 11?

Ab 05. Oktober 2021 werden neue PCs mit Windows 11 #Win11 #Eleven ausgeliefert.

Bestehende PCs, Notebooks, Ultrabooks lassen sich nur aktualisieren, wenn sie jünger als drei Jahre sind und über einen TPM 2.0 Chip verfügen (nicht alle Business PCs, die in den letzten Jahren verkauft wurden, haben diesen Chip). Außerdem wurde die Speicheranforderung auf mindestens 4GB RAM erhöht. 99% aller PCs, die mit 4GB RAM ausgestattet sind, haben aber einen Grafik-Chip, der mindestens 128 GB RAM vom Speicher verwendet. Diese Systeme haben demnach nur 3,9 GB RAM für Windows verfügbar und scheitern so.

Die Oberfläche, Startmenü, Taskleiste sehen anders aus und sind anders zu bedienen. An vielen Stellen sind mehr Mausklicks notwendig, um den gewünschten Menüpunkt zu erreichen:

• Das Kontextmenü erhält Untermenüs, in dem weitere Menüpunkte versteckt sind.
• Netzwerk und Soundeinstellungen sind in einem Menü zusammengefasst, Netzwerkwechsel erfordert zusätzliche Mausklicks, ebenso wie Soundeinstellungen
• Die Taskleiste erlaubt nicht mehr, den Anwendungs/Dokumententitel anzuzeigen (Gruppieren, bis Taskleiste voll). Hat man drei Exceltabellen geöffnet, muss man erst mit der Maus auf das Gruppen-Symbol fahren und dann in den Popup-Vorschaubildern mit einer Lupe interpretieren, welches Dokument man ins Bild haben möchte.
• Im Startmenü kann man die Kachelgöße nicht verändern. Auch die Größe des Startmenüs ist fix. Stattdessen gibt es mehrere Unterseiten, auf denen jeweils 20 Programmverknüpfungen zu sehen sind.
  • Livekacheln fehlen, stattdessen gibt es nur einen vom Startmenü getrennten Widgets-Bereich mit fester Größe, der mit der Maus oder mit Windows-W (also mindestens 2Tasten) und nicht über den Startknopf gestartet werden kann. Die Widgets lassen sich nicht ins Startmenü integrieren
  • Alle Apps werden nicht als Scoll-Liste links neben den Verknüpfungen angezeigt, sondern müssen über einen zusätzlichen Klick aufgerufen werden
  • Die untere Hälfte der Fläche im Startmenu ist ungenutzt, wenn man den Dokumentverlauf abschaltet

Einheitliche Zukunfts-Strategie

Eine IT-Strategie mit einheitlicher Oberfläche (User Interface) lässt sich nur dann erreichen, wenn die PC-Hersteller (in unserem Dunstkreis Fujitsu und lenovo) neue Business-PCs und Business-Notebooks wahlweise mit Windows 10 Pro anbieten und/oder mit der ausgelieferten Windows 11 Pro OEM-Lizenz auch Windows 10 Pro auf dem Endgerät installiert und aktiviert werden kann und darf.

Weil selbst der jüngst erschienene Server 2022 LTSC auch die Windows 10 Benutzeroberfläche hat funktioniert die IT-Strategie sowohl unter Einbindung von Microsoft Azure, als auch On-Premises, wenn man bei Windows 10 bleibt.

On-Premises erhalten Endgeräte mit Windows 10 Sicherheitsupdates bis Oktober 2025, ebenso Server 2016. Neuere Server (inklusive Version 2022 LTSC ebenfalls für 10 Jahre)

Bei Microsoft Azure (Azure Virtual Desktop) kommt für die Windows 10 Plattform die LTSC Version 2019 zum Einsatz, die bis Ende 2029 Sicherheitsupdates bekommt.

Server in Azure (IaaS) bekommen (Azure Server 2019) ebenfalls 10 Jahre Updates.

Fazit

• Clients (wenn noch nicht geschehen) auf Windows 10 Pro und SSD hochrüsten
• Neuanschaffungen von Clients/Hardware-Ersatz-Invest:
  • Neue Thin Clients IGEL UD3 einsetzen (Wenn Azure Virtual Desktop genutzt)
  • Notebooks/Ultrabooks (oder auch Rechner) neukaufen und (wenn verfügbar) Downgraderecht auf Windows 10 Pro für Neuinstallation nutzen
• Ersatzinvest für Server: Microsoft Azure (IaaS) Ressourcen anmieten, keine hohe Einmalinvest, lange Zeit Sicherheitspatches verfügbar
• Ersatzinvest für Office und Exchange Server: Microsoft 365 Business Premium mieten

Server in Azure, Clients optimieren

Während in den meisten Fällen statt der Anschaffung neuer Server-Hardware auf die #Azure #Cloud gesetzt wird (IaaS - der Admin hat weiterhin Domänen-Adminrechte, SaaS - Dienst aus der Cloud ohne Admin-Zugriff auf Server), bekommen die Clients eine besondere Bedeutung.

Das gilt insbesondere für die Peripherie. Sie sollte robust, alltagstauglich und ergonomisch sein. Darüber hinaus bleibt der Windows 10 (Pro) Rechner die Plattform mit der größten Flexibilität an einzusetzender Software und Peripherie.
Setzt man auf Thin Clients (beispielsweise IGEL UD3), muss man auf viele Peripheriegeräte und Programme verzichten. Außerdem eignen sich nur die teuren Modell für Mehrbildschirmbetrieb und flüssige Bilddarstellung. Angeschlossene Peripherie muss durch das auf dem Gerät installierte Linux Betriebssystem nach Windows umgeleitet werden. Das funktioniert schlechter als bei nativem Windows 10.

Möchte man in der Cloud Windows Virtual Desktop einsetzen, verlagern sich zwar viele Programme in den virtuellen Rechner im Cloud-Dienst, es wird aber weiterhin Geräte geben, wie mit dem lokalen Windows betrieben werden. Erforderliche Peripherie, die immer ein Windows 10 brauchen, sind unter anderem:

• Chipkarten-Leser (LKW-OBUs, Fahrerkarten)
• NFC Lesegeräte (E-Perso-Ausweisapp)
• Smartphones (Meine Smartphone App)
• lokal genutzte Drucker ohne Netzwerk-Interface

Peripherie-Empfehlungen

• Ultrabook-Tablet: lenovo ThinkPad L13 Yoga (Intel) - 13 Zoll, tablet, mobil, Core i5
• Notebook (kostengünstig): lenovo ThinkPad L15 (Intel) - 15 Zoll, Notebook, Core i5
• PC (platzsparend): lenovo Thinkcentre Tiny M70Q (Intel) Serie - Core i5
  • Monitore: 24 oder 27 Zoll IIyama B-Serie - Business, Pivot, Standfuß verstellbar
• Tastatur: Fujitsu KB 955 (Mit Sondertasten speziell für Audio und Teams)
• Maus: Microsoft Ergonomic Mouse (kabelgebunden, USB)
• Headset: Jabra Evolve 65 (oder 75 mit Hardware-Geräuschunterdrückung) - Bluetooth, für Telefonie, Handy, Teams mit Multi-Pairing
• Webcam: Meist ist die Webcam im Notebook nur 720p (also kein Full-HD, an einer nicht optimalen Position im Notebook und nicht hintergrundbeleuchtet) - VITADE 980A (Full-HD 1080p/60fps, Stereo Raummikro mit ANR, Ringlicht LED 3 Stufen)

OpenAudit Classic und die Cloud

#OpenAudit Classic st ein GPL3 lizensiertes Open-Source Instrument zur Inventarisierung von Hardware, Software, Peripherie und Netzwerk-Komponenten. Es wird auf einem #Windows Server betrieben und zieht sich einmal pro Tag den aktuellen Stand der angeschlossenen und eingeschalteten Geräte. Dazu muss kein Client auf den Endgeräten installiert werden. Die Abfrage erfolgt per WMI oder/und SNMP vom Open-Audit Classic Server aus.

Anforderung von Amts wegen

Verbandsprüfer verlangen nach BSI Grundschutzkatalogen und IDW Prüfungsstandard 330 eine Dokumentation der oben genannten Komponenten einer IT-Umgebung. Diese Aufgabe erfüllt OAClassic weitgehend autark.

Mit dem Umzug oder der Neuinstallation von Servern in der Microsoft #Azure #Cloud, auch Iaas - Infrastructure as a Service genannt, bleibt die Verpflichtung und Pflege der Server bestehen. Viele Syskos haben die Frage gestellt, ob Open-Audit Classic auch unter Azure auf einem virtuellen Azure Server funktioniert und Inhalte bekommt.

auf Microsoft Azure VMs?

Mit Version 2020.12.30 verwendet Das Inventar-Tool aktuelle .net Framework Runtimes, Apache, MariaDB und PHP8, die von der jeweiligen Community allesamt für die Verwendung unter Azure Windows Servern 2019 und 20H2 angepasst wurden. Die Programmierung (in PHP) wurde ebenfalls an die neuen PHP8 Funktionen angepasst.

Von mir durchgeführte Praxistests belegen, dass Open-Audit Classic auch auf Azure Servern genutzt werden kann.

Wichtige Voraussetzungen

• Azure AD Connect bzw. das VPN zu Azure ist so eingerichtet, dass innerhalb der VPN-Tunnel keine Ports gesperrt sind
• Sowohl die Maschinen im lokalen Netz, als auch die Server in Azure können sich "untereinander und gegenseitig anPINGen und auch die Namensauflösung (DNS) funktioniert
• Die Leitungsbandbreite ist ausreichend (wobei für Open-Audit pro inventarisiertem Gerät im Durchschnitt nur 50 KiloByte als XMLHTTP-Posting übertragen werden - jede Webseite hat heutzutage rund 500 KB und mehr)
• Es sind noch mindestens 2 GB oberhalb der 15% Mindestplatz auf Laufwerk C: des Azure Inventarservers frei

Azure Windows virtual Desktop meist günstiger als Terminalserver

Wer keine neue Server #Hardware kaufen und BSI konform im eigenen Haus betreiben möchte, kann die benötigte Hardware und das Drumherum bei Microsoft mieten. Die Plattform heißt: Microsoft Azure.

RDS- oder Terminalserver (bzw. Citrix-) Farm

Bisher hat man dazu entweder schon Terminalserver eingesetzt oder eingeführt, damit der Zugriff auf die per Internet-VPN erreichbaren Dienste auch bei schwächeren Leitungen performant bedienbar waren. In #Azure (bzw. bei aktuellen Betriebssystemversionen spricht man von #RDP (Remote Desktop) Diensten oder Remote Desktop Services RDS.
Zum Betrieb der Dienste muss man also einen oder mehrere Windows Server mit RDS Diensten anmieten. Über einen Session Broker erfolgte die Verteilung der Sessions.
Als Betriebssystem kommt ein Multi-Session fähiges Windows Server Betriebssystem zum Einsatz (das ebenfalls monatlich bezahlt werden muss).
Zusätzlich wird pro User eine Remote Desktop Zugriffslizenz benötigt - beim Betrieb unter Azure mit Software-Assurance.
Alternativ kann man eine VDI Infrastruktur aufbauen und Windows Desktop-Betriebssysteme virtuell vom Server betreiben oder streamen, die aber wiederum eine Software-Assurance über ALLE Lizenzen erfordert.

WVD oder Windows virtual desktop

Der Windows Virtual Desktop Service wird hierbei aus der Cloud bezogen und ausgeführt. Der Administrator lizensiert und konfiguriert einen sogenannten WVD-Pool und gibt wie üblich die Nutzungszeit (Stunden pro Monat) an. Für Arbeiten ausserhalb der Kernzeit kann ebenfalls eine Anzahl von Maschinen bereitgestellt werden. Um die notwendige Hardware dahinter kümmert sich Microsoft. Man mietet also keine drei Terminalserver an, sondern z. B. 40 WVDs.
Azure stellt Windows 10 Business oder Enterprise (Multisession, das gibts nur in Azure) zur Verfügung. Der Zugriff erfolgt über das RDP Protokoll.

Der Administrator muss also - wie bei Terminalservern, die Software für alle Clients - wie beim Terminalserver pro Pool nur einmal installieren.

Außerdem spart man die RDP-Zugriffslizenzen.

Die Lizenz für das verwendete Betriebssystem muss über einen passenden Microsoft 365 Plan bereit gestellt werden.

Voraussetzungen

Damit das Ganze funktioniert, werden folgende Dinge benötigt:

* Ein Microsoft Azure Tenant für das Unternehmen

* für jeden User eine Microsoft 365 Business Premium Lizenz (enthält Exchange Online Postfach, Office und erweiterten Virenschutz und mehr... - Alternativ kann ein E3 Plan eingesetzt werden, aber !Achtung! Microsoft 365 E3 und nicht Office 365 E3! Nur der Microsoft 365 E3 Plan erlaubt WVD)

* Office muss eingerichtet sein und das Active Directory mit dem Azure-AD synchronisiert.

* Windows Virtual Desktop Pool muss in Azure lizensiert (gemietet) und konfiguriert werden. Hat man mehrere Anwendungsszenarien, legt man mehrere Pools an (Beispiel: Desktops mit Office Nutzung und Desktops ohne.

* Andere Azure Server für die restliche Infrastruktur (DC, Print, File, SQL, Service Tiers, Archivserver...)

Zugriff von überall

Ähnlich wie Exchange online sind Desktops mit AVD von überall im Internet erreichbar. Die notwendigen Gatewaydienste stellt Microsoft zur Verfügung.

Zur Absicherung (Mehr-Faktor-Authentifizierung) kann die Microsoft Authenticator App benutzt werden. Alternativ kann (und wird in den meisten Umgebungen) die Azure vpn Einwahl zusätzlich genutzt.

Kostenbetrachtung 40 User Beispiel, Listenpreise

Wer ohnehin Microsoft Office und ein Exchange Postfach benötigt, für den ist WVW günstiger als der Betrieb von Terminalservern in Azure. Dabei kostet ein Pool für das Rechenbeispiel mit 40 Usern etwa das gleiche, wie ein Terminalserver.

Für 40 User braucht man aber mindestens 2 Terminalserver und für jeden User auch nochmal eine RDP User CAL mit Software Assurance:

* Wenn ein typischer Terminalserver rund 450 € kostet pro Monat (also 2 für die 40 User mit 900€pm), die RDS-Cal 130 € + 30€ pro Jahr (6.400€ im ersten, 1200€ in den Folgejahren), liegt eine typische WVD-Umgebung etwa bei 550 € pro Monat. (Preisangaben ohne Gewähr. Genaue Details müssen ermittelt werden)

Fazit

AVD ist in vielen Fällen die bessere Lösung. Weil ein AVD Desktop ebenfalls das RDP Protokoll verwendet und eine Multi-User-Umgebung ist, gelten die gleichen technischen Voraussetzungen und Einschränkungen wie bei klassischen Terminalservices.
Vereinzelt (sehr selten) wird es Software geben, die feststellt, dass Multiuser-Betrieb unter Client Betriebssystem stattfindet und nicht funktioniert. In dem Fall sind die Hersteller gefragt - oder aber man setzt doch einen Terminalserver auf.