Erneut möglicher SSD-Ausfall bei HPE-Systemen

Hewlett Packard hat in den letzten Tagen eine Kundenmitteilung (Document id a00097382en_us) herausgegeben, in der vor Ausfall von bestimmten SSD-Typen gewarnt wird, wenn kein Firmwareupdate eingespielt wird. Dies betrifft vier SSD-Modelle, die in Servern verbaut sind. Die betroffenen Speichermedien mit einer Firmware kleiner als HPD7 stellen demnach ihren Dienst nach exakt 40.000 Stunden ein und werden vom System nicht mehr erkannt. Eine Reaktivierung und nachträgliches Einspielen der Firmware ist dann nicht mehr möglich.

HPE weist in dem Dokument ausdrücklich darauf hin, dass das Fehlerbild zwar ähnlich zu dem Vorfall vom November letzten Jahres ist, aber dennoch kein Zusammenhang besteht. „Erneut möglicher SSD-Ausfall bei HPE-Systemen“ weiterlesen

Home Office für Alle?

Das Thema ist aktuell in aller Munde. Die IT scheint sich auch mit nichts anderem zu beschäftigen, als Home Office. Ressourcen sind überlastet, die eigene Infrastruktur im Rechenzentrum bietet nicht genügend Freiraum, alle Arbeitsplätze von heute auf morgen virtuell abzubilden. Muss sie auch nicht!

Das ist die Stunde für eine Technologie, die Citrix schon lange im Portfolio, aber bisher immer ein Schattendasein geführt hat. Citrix Remote-PC.

In diesem Video wird anschaulich erklärt, was diese Technologie leisten kann.

Citrix Remote PC

Machen Sie ihre PC Arbeitsplätze Home Office-Ready und ermöglichen Sie damit ihren Mitarbeiter*innen, sicher über das Web von zu Hause aus mit ihren gewohnten Desktops zu verbinden. Wenn schon Citrix im Einsatz ist, kann eine Einbindung sehr einfach in die bestehende Infrastruktur erfolgen. Für Newbies kann ein schneller Einstieg über Cloud-Dienste von Citrix eine Option sein.

Für die Techies gibt es auch noch mal eine wunderbare Übersicht, wie das funktioniert.

Sprechen Sie uns an, wir unterstützen Sie gerne bei der Einführung, Beratung und Support.

Quelle: https://www.citrix.com/de-de/glossary/what-is-remote-access.html

Die ganze* Cloud mit Heimvorteil

Bildquelle: www.microsoft.com

Lange ersehnt, ist sie nun da. DIE Cloud in Deutschland! Nein, damit ist nicht eine wieder aufgewärmte Liaison Microsofts mit der T-Systems gemeint, sondern eine neue Region der globalen Microsoft Cloud in Deutschland. Genauer gesagt, in Frankfurt und Berlin.

Neben Azure können nun auch geschäftliche Office 365 und Dynamics 365 Kunden ihre Daten auf deutschem Boden ablegen. Dies erleichtert allen Unentschlossenen die Entscheidung, die mit der EU-Region bisher noch haderten.

Quelle: https://www.microsoft.com/de-de/cloud/deutsche-rechenzentren.aspx?wt.mc_id=2421505_QSG_558853&cr_cc=MRP

Aber mit *Sternchen*

Allerdings muss man beachten, dass nicht jeder kleinteilige Dienst auch aus good old Germany bereitgestellt wird. Das war auch schon in der EU Region so. Beispielsweise kommen die SMS für die Zweifaktor-Authentifizierung aus den USA. Das wird sich wohl auch nicht mit den deutschen Rechenzentren ändern.

Es werden also auch weiterhin nicht alle Dienste, in allen Regionen vorgehalten. Ist das schlimm? Unsere Antwort darauf ist: eher nicht, denn es geht um Risikoabschätzung. Die eigentlichen Nutzdaten, wie Emails, etc. liegen in Frankfurt und Berlin. Wie hoch ist also das Risiko, des Datenverlusts der Verbindungs- und Inhaltsdaten bei dem Dienst aus den USA? Eine SMS mit Tokencode ist wohl geringer einzuschätzen als die Email mit Bewerbungsunterlagen an die Personalabteilung.

Quelle: https://docs.microsoft.com/en-us/azure/active-directory/fundamentals/active-directory-data-storage-eu

Zum aktuellen Zeitpunkt fehlen leider auch noch die Dienste Dynamics 365 Finance und Dynamics 365 Supply Chain Management, sowie Power BI, Power Automate und Power Apps. Microsoft gibt aber an, dass diese in diesem Jahr noch folgen sollen.

Daten aus der EU nach DE verschieben

Kunden, die bereits einen Tenant in der EU haben und sich fragen, ob und wie eine Migration auf die deutsche Region stattfinden kann, können dazu einen Antrag stellen. Wichtig zu wissen ist hier, dass diese Migration im Hintergrund von Microsoft durchgeführt wird und bis zu 24 Monate dauern kann. Also ist das nicht für einen kurzen Sprint, während der Sommerferien gedacht.

Quelle: https://docs.microsoft.com/en-us/Office365/Enterprise/moving-data-to-new-datacenter-geos

Aus der Microsoft Cloud Deutschland heraus migrieren

Nachdem Microsoft schon vor einiger Zeit die Microsoft Cloud Deutschland (MCD) im Treuhändermodell abgekündigt hat, fragten uns viele Kunden nach einer Migrationsmöglichkeit. Insbesondere, da Bestandskunden der MCD keine neuen Services mehr buchen können.

Bisher gab es nur direkte Migrationsmöglichkeiten von einigen Azure-Diensten, die möglich waren. Immer wieder mussten wir Office 365 Kunden leider mitteilen, dass eine Migration nicht ohne weiteres möglich ist. Besonders ärgerlich für Kunden, die vor nicht all zu langer Zeit erst von lokal in die Deutschlandcloud migriert sind. Es kamen also erneut Kosten und Ausfallzeiten hinzu. Ganz davon abgesehen, dass der technische Migrationspfad von Cloud zu Cloud nur über Umwege und nicht weniger aufwändig ist wie von lokaler Infrastruktur in die Cloud.

So waren wir überrascht, vor kurzem in den Microsoft Tech-Docs auf einen Artikel vom 09.12.2019 zu stoßen, der eine „geleitete“ Migration von Office 365-MCD zu den neuen deutschen Rechenzentrumsregionen verspricht.

Quelle:
https://docs.microsoft.com/de-de/office365/enterprise/ms-cloud-germany-transition

Zitat: „Die bestehenden Kunden von Microsoft Cloud Germany (Microsoft Cloud Deutschland) können nun mit der Migration ihrer Office 365, Dynamics 365 Customer Engagement und Power Platform BI beginnen. Der erste Schritt besteht darin, sich für die von Microsoft geleiteten Migration in unsere neuen deutschen Rechenzentrumsregionen anzumelden.“

Was muss man dafür tun?

Nun… diesen Knopf im Admincenter drücken.
Liebe MCD-Kunden, bitte lesen Sie erst weiter, bevor Sie das wild entschlossen tun.

Wo ist der Haken bei der Sache?

Wir können zum jetzigen Zeitpunkt leider noch nichts zu dem Ablauf sagen, da das auch für uns Partner aktuell noch eine Blackbox ist. Bisher konnten wir diese Migration auch noch nicht mit einem Kunden begleiten.

Wer in der Dokumentation weiter liest, wird folgende Passagen finden:

„Die Migrationen für Organisationen, die sich für den von Microsoft geleiteten Ansatz anmelden, werden voraussichtlich in 2020 durchgeführt. Als Ergebnis der Migration werden die wichtigsten Kundendaten und -abonnements in die neuen deutschen Regionen verschoben.“

Quelle:
https://docs.microsoft.com/de-de/office365/enterprise/ms-cloud-germany-migration-opt-in

Für uns stellen sich die Fragen:

  • Wie lange dauert denn tatsächlich so eine Migration, wenn sie „voraussichtlich“ in 2020 durchgeführt wird?
  • Welche Auswirkungen sind währenddessen zu spüren?
    • Microsoft verspricht zwar: „Mandantenmigrationen sind so angelegt, dass sie nur minimale Auswirkungen auf Endkunden und Administratoren haben“ aber was bedeutet denn „minimal“?
  • Auch ist die Aussage, dass die „wichtigsten“ Kundendaten migriert werden, recht schwammig. Was sind denn die wichtigsten Daten und welche fehlen?

Es ist auch noch hinzuzufügen, dass die ganze Migration nicht vollautomatisch abläuft, sondern auch noch einige Tätigkeiten für die Office-Administrationen oder uns als Partner anfallen. Zum Beispiel die DNS Updates und Records, die geändert werden müssen. Die lokalen Security-Systeme, wie Proxy, Firewall etc. müssen angepasst werden, da sich die Adressen der Cloud-Dienste ändern. Wer noch hybrid unterwegs ist, muss auch noch einiges dafür tun, damit das funktioniert.

Unser Fazit

Man muss also noch allerhand beachten, wenn man die geleitete Migration durchführen möchte. Viele Fragen bleiben offen, die auch wir im Moment nicht beantworten können.

UPDATE: Zwangsaktivierung von Microsoft LDAP-Kanalbindung und -Signatur

Bekanntermaßen ist LDAP das Protokoll zur Verwaltung eines Active Directory. Administratoren verwalten damit die Benutzer, die Gruppenmitgliedschaften und vieles mehr. Nicht nur Exchange-Server fragen den Domain Controller nach der Attributen des Benutzers ab, sondern auch Firewalls, Drucker oder andere Systeme.

LDAP-Verbindungen sind somit ein interessantes Ziel für Hacker, um diese abzufangen und Aktionen zu fälschen. Dagegen helfen Signaturen und Verschlüsselungen.

Im Jahr 2017 hat Microsoft bereits ein Update der Clients und Server bereitgestellt, welches die LDAP-Kanalbindung sowie LDAP-Signierung hinzufügt, aber noch nicht erzwingt.

Zunächst hatte Microsoft vor, die LDAP-Signierung beim kommenden Patchday im März zu erzwingen, doch hat nun Microsoft den Termin auf Mitte bzw. Ende 2020 erneut verschoben. Ein genauer Termin steht somit noch nicht endgültig fest.

Daten, die nicht verschlüsselt werden, können immer mitgelesen werden. Falls die Signierung fehlt, können Pakete sogar in beide Richtungen verändert werden. Für Angreifer ist natürlich der schreibende Zugriff auf das Active Directory ziemlich interessant, um sich eigene Konten anzulegen oder Gruppenmitgliedschaften zu ändern. Dazu hat Microsoft 2017 ein eigenes Security Advisory (CVE-2017-8563 | Windows Elevation of Privilege Vulnerability) veröffentlicht. Darin steht auch, dass Microsoft keine „Workarounds“ vorsieht.

Sind alle Systeme halbwegs aktuell, werden Sie keine Probleme mit den Windows Clients und Server bekommen, da diese bereits seit 2017 darauf eingestellt sind und alle Funktionen enthalten.

Probleme könnte es aber mit folgenden Systemen geben:

VoIP-Gateways

VoIP-Gateways beziehen ggf. die Rufnummer via LDAP vom Domain Controller, um die Anrufe zu Skype for Business, Teams oder einer TK-Anlage zu routen.

Scan2Mail

Professionelle Multifunktionsgeräte können eingescannte Dokumente per Mail als PDF/TIFF weiterleiten. Dafür kann der Anwender im Firmenadressbuch nach Personen suchen. Dazu wird meistens ein Dienstkonto mit Lese-Rechte und LDAP verwendet. Nach der Zwangsaktivierung wird zumindest das Adressbuch nicht mehr funktionieren.

AntiSpam-Systeme

AntiSpam-Systeme prüfen beim Erhalt von Mails aus dem Internet intern, ob der Empfänger tatsächlich vorhanden ist und kann so ohne einen NDR zu erzeugen ungültige Mails ablehnen. Dazu werden meistens mittels LDAP die Email-Adressen des Mailservers über einen Domain Controller eingelesen.

Access-Gateways, WebApp Auth, Reverse Proxy und andere 3rd Party Apps

Firewall-Systeme, Access-Gateways, Proxys bieten meist einen Webserver-Schutz an, welcher Dienste vor Angreifern schützt und nach Anmeldedaten fragt. Diese Daten werden dann über ein Formular oder Basic Authentification abgefragt und ein Login-Versuch am Domain Controller mittels LDAP durchgeführt. Beispiele wären hier Sophos, Citrix ADC (NetScaler), Apache oder Azure ATP.

Empfohlende Aktionen

  • Finden Sie alle Systeme, die noch ungesicherte LDAP-Verbindungen zum Domain Controller aufbauen
  • Prüfen Sie die Systeme auf Kompatibilität für LDAP-Kanalbindung und LDAP-Signierung
  • Stellen Sie alle LDAP-Verbindungen auf das verschlüsselte Protokoll um
  • Falls noch keine Enterprise-PKI (Zertifizierungsstelle) in der Domäne vorhanden ist, sollte diese installiert und konfiguriert werden, da LDAPS natürlich ein gültiges Zertifikat benötigt.

Microsoft MyAnalytics

MyAnalytics ist ein Dienst in der Microsoft Office 365–Welt, um „Produktivitäts-Daten“, auf die ein Benutzer Zugriff hat, für sich selbst und automatisiert aufbereitet darzustellen. Der nett gemeinte Ansatz für sein eigenes Arbeitsleben Optimierungspotenziale zu erkennen, dürfte insbesondere für den datensensiblen Mitarbeiter ein unwillkommener Service sein. Besonders Betriebsräte wittern hier eine Mitarbeiterüberwachung.

MyAnalytics Dashboard (Bildquelle: Office.com)

Was macht MyAnalytics eigentlich?

Grob gesagt, nutzt es die Daten aus dem eigenen Kalender, Email, Chat, Skype, Teams, (ggf. auch Windows 10) und aggregiert sie zu einer Übersicht. Also Daten, auf die der Benutzer sowieso selbst zugreifen könnte. Hier kann ich mir dann anschauen, wie effizient ich meine Zeit einplane, mit wem ich häufig korrespondiere und andere Statistiken. Der Service macht auch Vorschläge zur Optimierung meines digitalen Tagesgeschäfts.

Und wer hat Zugriff auf diese Daten?

Die zusammengefassten Statistiken werden im Exchange Postfach jedes einzelnen Users gespeichert. Es gibt kein „Admin-Tool“ das eine zentrale Auswertung ermöglicht. Im Grunde kann jeder Benutzer selbst entscheiden, mit wem diese Daten anschließend geteilt werden sollen. Umgekehrt sehe ich als Anwender natürlich auch keine Daten meiner Kollegen.

Quelle:
https://docs.microsoft.com/de-de/workplace-analytics/myanalytics/overview/privacy-guide

Jetzt kommt das „Aber“…

Aber…es gibt eine Funktionserweiterung (Add-On) namens Workplace Analytics, als übergreifende Verwaltungsmöglichkeit für MyAnalytics. Dieses Tool ist aktuell noch nicht überall verfügbar oder käuflich zu erwerben. Damit können sehr wohl die Produktivitätsdaten von Mitarbeitern zentral ausgewertet werden, um dem Management Steuerungsmöglichkeiten an die Hand zu geben. Allerdings muss hier schon aktiv etwas getan werden um das zu ermöglichen (Gruppen hinzufügen, auswertende Benutzer benennen, etc.). Es lässt sich schlecht voraussagen, ob Workplace Analytics irgendwann in den höheren Plänen automatisch enthalten und standardmäßig aktiviert sein wird. IT-Verantwortliche sollten darauf achten, diese Funktion (sofern Verfügbar) nicht ohne entsprechende Vereinbarungen zu aktivieren.

Quelle:
https://docs.microsoft.com/de-de/workplace-analytics/privacy/data-protection-intro

Zusammengefasst:

Verwechseln Sie also bitte nicht MyAnalytics mit Workplace Analytics und klären Sie ihre Benutzer auf.

Einmal aktiviert, versendet MyAnalytics unglücklicherweise auch direkt Emails, die bei so manchem Mitarbeiter den Eindruck erwecken könnten, von nun an vollkommen überwacht zu werden.

Sollte jemand aus ihrem Unternehmen den Bedarf anmelden Workplace Analytics nutzen zu wollen, seien Sie aufmerksam und hinterfragen Sie den Einsatz.  

Deaktivieren von MyAnalytics

So schalten Sie MyAnalytics als Benutzer aus:

Gehen Sie auf ihr MyAnalytics Dashboard und öffnen die Einstellungen.

Anschließend kann man die Features deaktivieren.

Global als Administrator deaktivieren:

MyAnalytics kann man als Administrator unter „Einstellungen“ – „Services“ global konfigurieren (Eine Änderung kann bis zu 24h dauern).

Microsoft Service Adoption Specialists

Schon länger in Projekten praktiziert und erfolgreich gezeigt unter anderem in Veröffentlichungen wie dieser – jetzt auch formal dokumentiert: wir sind Spezialisten für die erfolgreiche Einführung von Services für die Zusammenarbeit in Unternehmen. Microsoft hat jüngst zwei unserer Berater*innen mit dem Zertifikat „Microsoft Service Adoption Specialist“ versehen.

Microsoft Teams

Das entsprechende Know-How und Vorgehen praktizieren noch zahlreiche weitere Berater*innen aus unserem Haus. Dem Change Management in der Transformation der Arbeit kommt dabei eine besondere Bedeutung zu. Wir stellen die Menschen in den Mittelpunkt. Gerne begleiten wir auch Sie und Ihr Unternehmen in einem entsprechenden Vorhaben.

Erfolgsfaktoren in der agilen Zusammenarbeit, Stolperfallen, Tipps und Tricks in der agilen Zusammenarbeit

Es gibt viele Bücher, Kurse etc. zu den Techniken und Tools von Scrum, Kanban & Co. Was aber eher weniger im Blickfeld steht, für den Erfolg von agilen Projekten aber substantiell ist, ist die agile Zusammenarbeit.

Agilität lebt von Flexibilität. Das hört sich aus der Sicht eines Mitarbeiters im agilen Projekt zunächst positiv an: Flexibilität verspricht ein gewisses Maß an Freiheit und das wiederum ist ein Anreiz für diejenigen, die sich in zu starren Organisationen und Projekten nicht wohl fühlen. Falsch eingesetzte Flexibilität kann aber auch zu Problemen führen:

Kommunikationsfehler

Fehlende oder falsche Kommunikation ist ein Beispiel, wobei das natürlich ein generelles Problem (nicht nur) in der IT-Branche ist und keineswegs ein Problem ausschließlich in agilen Projekten. Aber in Zusammenhang mit Flexibilität können Probleme in der Kommunikation gravierendere Auswirkungen haben als beispielsweise im Wasserfall-Vorgehen, wo es oft umfangreichere formale Vorgaben / Dokumente gibt, auf die man zurückgreifen kann, wenn es an der Kommunikation mangelt. Agiles Arbeiten bedeutet u.a. auch gemeinsame Verantwortung des agilen Teams für den Erfolg, und dazu muss die Kommunikation stimmen, sowohl innerhalb des Teams als auch zwischen Team und dem Rest des Unternehmens.

„Erfolgsfaktoren in der agilen Zusammenarbeit, Stolperfallen, Tipps und Tricks in der agilen Zusammenarbeit“ weiterlesen

Unser soziales Engagement 2019

Soziales Engagement 2019

Bei michael wessel ist soziales Engagement fest in der Wertschöpfung integriert. Wir wollen der Gesellschaft, aus der wir kommen, etwas zurück geben und engagieren uns in Projekten aus den Bereichen Familie, Bildung, Regional und Kids. In unserer Leistungserfassung wird monatlich ein pro-zentualer Betrag einem CSR-Konto gutgeschrieben – vollautomatisch.
Gemeinsam mit unseren Kunden unterstützen wir Organisationen, die Herausragendes leisten, mit nicht unerheblichen Beträgen. Dieses Jahr neu dabei: Die Hannöversche Tafel.

„Unser soziales Engagement 2019“ weiterlesen