maksle
Goto Top

Tools zur Wartung mehrerer Kundenserver

Hallo zusammen,

bin neu hier und wag mich mal an die erste Frage:

Wir entwickeln seit vielen Jahren Software für gesetzl. Betreuer und soziale Dienste. Meist wird die auf den Rechnern der Kunden direkt installiert. Vor allem seit Corona und dem zunehmenden Wunsch nach Homeoffice nimmt aber ein weiterer Geschäftszweig immer mehr zu. Unsere Kunden mieten sich (meist bei Strato) einen virtuellen Windows-Server. Wir richten den ein und bieten auch die Wartung an. Bislang geht das alles manuell. Sprich, wir logen uns auf den einzelnen Servern ein, installieren Updates für Windows und diverse andere Software,... und rebooten die Teile bei Bedarf. Mittlerweile hat die Anzahl dieser Wartungen aber so zugenommen, dass wir schon mehrfach MItarbeiterstunden aufstocken mussten. Wir sind nun auf der Suche nach Möglichkeiten, hier eine gewisse Automatisierung hinzubekommen. Hab die letzten Tage viel gegoogelt und mir einiges angesehen. Hab mir z.B. von Microsoft das Windows Admin Center installiert. Leider schaffe ich es aber trotz Anleitungen und Videos nicht, da eine Verbindung zu einem Remote-Server aufzubauen. Bevor ich mich da aber weiter reinhänge, erst hier meine Fragen:
  • Welches Vorgehen/welche Technik ist hier am besten geeignet?
  • Es gibt ja zahlreiche Tools von verschiedenen Anbietern. Was ist empfehlenswert bzw. für unsere Zwecke am besten geeignet.
  • Ist das Windows Admin Center grundsätzlich für diesen Zweck geeignet? Wenn ja, was muss ich beachten, um über eine IPv4-Adresse eine Verbindung aufbauen zu können?

Nachtrag:
Auf den Servern befinden sich auch personenbezogene Daten. Die Lösung sollte also DSGVO-konform sein.

Mit bestem Dank und freundlichen Grüßen
Markus

Content-ID: 8579485801

Url: https://administrator.de/forum/tools-zur-wartung-mehrerer-kundenserver-8579485801.html

Ausgedruckt am: 26.12.2024 um 21:12 Uhr

Snuffchen
Snuffchen 20.12.2023 aktualisiert um 14:35:13 Uhr
Goto Top
Ich finde Royal TS ganz praktisch -> https://royalapps.com/ts/win/features

royalts
pebcak7123
pebcak7123 20.12.2023 aktualisiert um 15:50:10 Uhr
Goto Top
Wie sieht denn die verbindung zu den Servern aus ? Windows Admin Center benötigt WinRM und das sollte definitiv nicht aus dem Internet erreichbar sein.
Anbieten würde sich vermutlich eine agenten-basierte Lösung/ RMM anbieten, da gibts ne menge zB. ManageEngine , Kaseya, Solarwinds , Microsoft Configuration Manager / SCCM, Azure Arc + Azure Automanage ...
Mr-Gustav
Mr-Gustav 20.12.2023 um 15:47:53 Uhr
Goto Top
Oder Baramundi / Matrix42 / Endpoint Manager etc...... es gibt da viele möglichkeiten.
DerMaddin
DerMaddin 20.12.2023 um 16:05:27 Uhr
Goto Top
Soweit mir bekannt ist bei Strato nur SSH, RDP und KVM möglich. Wenn man das anders haben möchte, dann muss man mit Agenten arbeiten wie bereits von anderen erwähnt.
erikro
erikro 20.12.2023 um 16:16:20 Uhr
Goto Top
Moin,

was wollt Ihr denn wie automatisieren?

Liebe Grüße

Erik
MaksLe
MaksLe 20.12.2023 um 16:17:14 Uhr
Goto Top
Zitat von @pebcak7123:
Wie sieht denn die verbindung zu den Servern aus ?
Wir gehen in der Regel über TSPlus drauf. Das wiederum nutzt einen modifizierten RDP-Client.

Windows Admin Center benötigt WinRM und das sollte definitiv nicht aus dem Internet erreichbar sein.
OK, gut zu wissen, genau das hatte ich in Anleitungen gelesen und versucht.

Anbieten würde sich vermutlich eine agenten-basierte Lösung/ RMM anbieten, da gibts ne menge zB. ManageEngine , Kaseya, Solarwinds , Microsoft Configuration Manager / SCCM, Azure Arc + Azure Automanage ...
Ja, hab da auch schon zig Sachen gefunden. Interessant wär, ob jemand was empfehelen kann, was für unsere Zwecke gut geeignet ist.
MaksLe
MaksLe 20.12.2023 um 16:21:59 Uhr
Goto Top
Zitat von @erikro:
was wollt Ihr denn wie automatisieren?
Z.B. die Installation von Windows-Updates. Das frißt devinitiv die meiste Zeit.
Interessant wär auch ein gewisses Monitoring (z.B. läuft der Server?, sind Benutzer drauf?, ist das Backup erfolgreich gelaufen?)
opsec2022
opsec2022 20.12.2023 um 16:37:06 Uhr
Goto Top
Hallo,

Z.B. die Installation von Windows-Updates

auf Servern werden, unabhängig vom Betriebssystem, Updates und sämtliche sonstigen, sich wiederholende Tätigkeiten und Konfigurationen, mit Ansible durchgeführt.

Interessant wär auch ein gewisses Monitoring

Was nutzt ihr denn fürs Monitoring eurer eigenen Infrastruktur?

Gruß
erikro
erikro 20.12.2023 um 16:46:16 Uhr
Goto Top
Zitat von @MaksLe:

Zitat von @erikro:
was wollt Ihr denn wie automatisieren?
Z.B. die Installation von Windows-Updates. Das frißt devinitiv die meiste Zeit.

Da fällt mir spontan WSUS ein. Ob das allerdings über das Internet rund läuft, weiß ich ehrlich gesagt nicht. Aber da könnte man das so konfigurieren, dass man einen Testserver hat, auf dem man die Updates erst einmal einspielt und guckt, was passiert, bevor man die zur Installation auf den produktiven Maschinen frei gibt. Die Maschinen selbst kann man dann so konfigurieren, dass sie die Updates irgendwann in der Nacht machen und automatisch neu starten. Klar, das Restrisiko, dass sie nicht wieder hoch kommen, bleibt dabei. Aber das hast Du immer, wenn Du es automatisieren willst.

Interessant wär auch ein gewisses Monitoring (z.B. läuft der Server?, sind Benutzer drauf?, ist das Backup erfolgreich gelaufen?)

Nagios?

Liebe Grüße

Erik
pasu69
pasu69 20.12.2023 um 17:14:25 Uhr
Goto Top
Wenn es etwas mit Agenten sein darf, kann ich Atera empfehlen.

Man hat ein komplettes Remote-Management mit Ticket System, kann Updates etc. automatisieren und vieles, vieles mehr. Man zahlt pro Techniker, nicht pro Server/Device und ich finde die Preise - verglichen mit vielen Mitbewerbern - recht vernünftig.

pasu
StefanKittel
StefanKittel 20.12.2023 um 17:19:10 Uhr
Goto Top
Hallo,

schaut Euch mal bei RMM-Anbietern für MSP um.
z.B. N-Able (https://www.n-able.com/de/lp/products).

Darin sind praktische Dinge enthalten wie:
- Inventarisierung
- Remote-Management
- Patch-Management
- Softwareverteilung
- Skript-Management und -Ausfürung

Stefan
Vision2015
Vision2015 20.12.2023 um 17:52:30 Uhr
Goto Top
Moin...

Nachtrag:
Auf den Servern befinden sich auch personenbezogene Daten. Die Lösung sollte also DSGVO-konform sein.
und dann sind die Server bei Strato, ich hoffe doch nicht per RDP ohne VPN!
wie Sichert ihr den die Daten DSGVO-konform?
Frank
tech-flare
tech-flare 20.12.2023 aktualisiert um 22:39:57 Uhr
Goto Top
Zitat von @MaksLe:

Hallo zusammen,
Hallo
bin neu hier und wag mich mal an die erste Frage:

Wir entwickeln seit vielen Jahren Software für gesetzl. Betreuer und soziale Dienste. Meist wird die auf den Rechnern der Kunden direkt installiert. Vor allem seit Corona und dem zunehmenden Wunsch nach Homeoffice nimmt aber ein weiterer Geschäftszweig immer mehr zu. Unsere Kunden mieten sich (meist bei Strato)
strato? Ok…. Wenns sein muss

Sprich, wir logen uns auf den einzelnen Servern ein, installieren Updates für Windows und diverse andere Software,... und rebooten die Teile bei Bedarf.

Wie? Rdp? Ich hoffe mit VPN und MFA
Leider schaffe ich es aber trotz Anleitungen und Videos nicht, da eine Verbindung zu einem Remote-Server aufzubauen.
Ihr schafft es nicht nach Anleitung die Konfiguration hinzubekommen, aber bietet Wartung an?

Auf den Servern befinden sich auch personenbezogene Daten. Die Lösung sollte also DSGVO-konform sein.

Ich hoffe für euch bzw. Eure Kunden, dass die Server nicht nackig mit IPv4 im Internet stehen und ihr euch einfach via RDP oder noch schlimmer via VNC einloggt. VPN bestenfalls mit MFA wird da vorausgesetzt.

Ich werfe mal Ansible in den Raum.
Alternative simple automatisierte PowerShell Scripte

Gruß
pebcak7123
pebcak7123 21.12.2023 um 08:12:41 Uhr
Goto Top
Ansible, so gut ich es auch finde, ist nen eher seltsamer vorschlag für standalone windows systeme im internet, da müsste man ja schon entweder alle mit sdwan / vpn vernetzen oder winrm für eingehende verbindungen öffnen...
Ansible-pull gibts ja schliesslich nicht für windows.
tech-flare
tech-flare 21.12.2023 aktualisiert um 08:46:23 Uhr
Goto Top
Zitat von @pebcak7123:

Ansible, so gut ich es auch finde, ist nen eher seltsamer vorschlag für standalone windows systeme im internet, da müsste man ja schon entweder alle mit sdwan / vpn vernetzen oder winrm für eingehende verbindungen öffnen...
Ansible-pull gibts ja schliesslich nicht für windows.

Du baust in dein Update Playbook ein Connect to VPN (Ziel Host) ein und fertig.

Wir wollen ja hoffen, dass der Ersteller der Frage VPN davor hat und das Teil nicht offen im Internet steht

Alternativ SSH als Feature nach installieren und Ansible darüber connecten lassen. Da benötigst du auch kein WinRm
opsec2022
opsec2022 21.12.2023 um 09:52:13 Uhr
Goto Top
da müsste man ja schon entweder alle mit sdwan / vpn vernetzen oder winrm für eingehende verbindungen öffnen...

Ersteres habe ich als selbstverständlich vorausgesetzt. Alles andere wäre ja bei der Wartung von Kundenservern mehr als bedenklich.

Gruß
Mr-Gustav
Mr-Gustav 21.12.2023 um 10:25:17 Uhr
Goto Top
Wenns eine Managed Lösung sein soll kann ich eventuell Server-Eye empfehlen.
Du Installierst einen Agent und den Rest machst du über das Webinterface. Zusätzlich hast du noch die Möglichektit über Servter Eye eine Sichere Remoteverbindung über RDP/Powershell/Irgendeine Teamviewer Lösung aufzubauen und du hast auch noch ein Monitoring mit drinne.

Ich habe einen Kunden übernommen bei dem der Dienstleister auf diese Art sie Server "Wartet"
Funktioniert und tut was es soll.
Das Webinterface ist m.M.n. gewöhnungsbedürftig aber ich denke das eher Geschmackssache

LG
itisnapanto
itisnapanto 21.12.2023 um 10:56:06 Uhr
Goto Top
Steke0
Steke0 21.12.2023 aktualisiert um 11:57:17 Uhr
Goto Top
Wir hatten WSUS fürs Servermanagment, sind jetzt zu NinjaOne gewechselt da wir hier schon gute Erfahrungen im Clientmanagement sammeln konnte.
Vermutlich wird ein RMM Service das Mittel deiner Wahl.

https://www.ninjaone.com/de/

-Patchmgmt
-Softwarebereitstellung
-einsatz von Skripten
-kleines Monitoring
Mr-Gustav
Mr-Gustav 21.12.2023 um 12:41:52 Uhr
Goto Top
an den Kollegen die Ninjaone einsetzen:
Ist euch der vertrieb auch auf den Sack gegangen ?
Ich hatte mich Informiert und war bei einer Live Demo dabei.
Asnchließend versuchte mich der Mitarbeiter mich penetrant zum Vertragsabschluss
zu überreden in dem er jeden Tag ! angerufen hat und zum Schluss wurde es auch immer
billiger. Als er uns dann den Vertrag mit 50% Rabatt zu gesendet kam beim lesen die
Überraschung das die 50% nur für 6 Monate gelten ( Die Monate waren aber in Tagen angegeben )
und nur für bestimmte Geräte und wenn wir weitere Lizenzen brauchen dann würden die auch
nicht gelten.
Fand ich schon ein bisschen nun ja ......
Habt Ihr da ähnliche Dinge erlebt ?
MaksLe
MaksLe 21.12.2023 um 15:19:43 Uhr
Goto Top
Herzlichen Dank für eure zahlreichen Rückmeldungen. Ihr habt mir schon mal schon ganz gute Tips gegebn. Das Windows Admin Center ist dann wohl nicht das Mittel der Wahl. Bin schon dabei, mir ein paar RMM-Tools anzusehen. Von Atera teste ich grad die Demoversion. Ich denke auch, dass sowas für uns das beste Werkzeug wär.
b-nice
b-nice 21.12.2023 um 22:06:15 Uhr
Goto Top
Wir hatten vorher auch Server-eye. Fanden wir von der Benutzbarkeit, nicht ganz so toll. Was da gut ist , sind die vorgefertigten Connectoren (oder wie das bei denen heißt) für diverse Anbieter. Sind dann aber auch zu Ninja gewechselt. Da gibt es auch viele vorgefertigte Templates über die Community. Sind damit sehr zufrieden. Mittlerweile haben wir per Powershell und SSH schon viele Hersteller mit angebunden. Also sollte man schon ein wenig Powershell können, aber auch da gibt es ja diverse Anleitungen im Netz, vor allem am Anfang. Ja der Vertrieb ist gewöhnungsbedürftig (ich drücke es mal so aus). Aber da kann man ja selbst gegensteuern.

Vg
Dani
Dani 23.12.2023 um 11:11:53 Uhr
Goto Top
Da fällt mir spontan WSUS ein. Ob das allerdings über das Internet rund läuft, weiß ich ehrlich gesagt nicht.
Tut es. Am Besten den Service nicht mit den Standard Ports 80, 443, 8530, 8531 betreiben. Allerdings bist du damit maximal unflexibel.
Denn was nach wie vor ein Manko ist, ist die Deinstallation von Updates. Wenn das Update X das nicht unterstützt, bist du mit WSUS aufgeworfen. Da sehe ich den Vorteil klar bei UEM Lösungen.

Bin schon dabei, mir ein paar RMM-Tools anzusehen. Von Atera teste ich grad die Demoversion. Ich denke auch, dass sowas für uns das beste Werkzeug wär.
Wichtig wäre an der Stelle, dass die Tools vollständig verschlüsselt kommunzieren. Sprich von der Verbindung zu Agent bis hin zur Übertragung der Daten.

Auf den Servern befinden sich auch personenbezogene Daten. Die Lösung sollte also DSGVO-konform sein.
Hast du das auch zu Microsoft gesagt? face-wink

Es gibt ja zahlreiche Tools von verschiedenen Anbietern. Was ist empfehlenswert bzw. für unsere Zwecke am besten geeignet.
Wir setzen als UEM bei uns ACMP von Aagon ein. Das Produkt ist modular aufgebaut und kann nach Bedarf gekauft werden. Was mir persönlich gut gefällt, dass die Software Repositories der ACMP Instanz auch im Internet stehen kann. Von den Repos ziehen sich die Clients dann die Software und Updates. Somit ist das Ganze a) besser skalierbar, da oftmals der Upload der Flaschenhals ist b) ein Load Balancing für die Clients eingerichtet werden kann.


Gruß,
Dani