Windows 11 auf RootServer installieren?

  • Hallo zusammen,


    ich habe den RS 4000 G9.5 und aktuell ist dort Windows 10 installiert. Verwenden tue ich das System als Terminal Server und connecte per RDP.


    Jetzt versuche ich, Windows 11 zu installieren... Laut PC Health Check muss secure boot und TPM 2.0 vorhanden sein. Kein Problem... Windows 11 benutze ich bereits "unsupported" auf meinem PC, wahrscheinlich bin ich da längst nicht der einzige. Das sehe ich weniger als Problem.


    Allerdings gibt es im SCP auf der Treiber-DVD nur Windows 10 Treiber. Werden diese mit Windows 11 funktionieren, oder müssen wir warten, bis netcup Windows 11 Treiber zur Verfügung stellt?

  • Weder Windows 10 noch Windows 11 sind Serverbetriebssysteme, außer der Tatsache dass sie garnicht auf Servern laufen dürfen (und auch nicht sollten) kannst du sie auch garnicht richtig bei netcup lizensieren.


    Ich würde an deiner Stelle lieber gleich auf Linux setzen. Dort gibts auch RDP und wenn du keine besonderen Windows Anwendungen hast die nicht unter Linux gehen (die meisten Windows Anwendungen kann Linux problemlos ausführen!) dann sparst du dir damit Zeit und Ärger, brauchst keine Lizenz mehr, und lernst was fürs leben.


    Sorry, du weißt sicherlich dass wir Linux User wie Veganer sind, wann immer wir jemandem erzählen können dass wir besser sind weil wir Linux nutzen müssen wir das tun! ¯\_(ツ)_/¯


    Wies mit den Treibern für Windows 11 aussieht habe ich keine Ahnung, und ob netcup die bereitstellt auch nicht. Ich würde erwarten dass die alten Windows Treiber schlicht weiter funktionieren (weil in Windows 11 größtenteils nur kosmetische Änderungen reinkamen).


    Wenn netcup Treiber bereitstellen wird dann wahrscheinlich in erster Linie für Windows Server Betriebssysteme...

  • Meine Frage bezieht sich nur darauf, ob jemand Erfahrung mit der Installation von Windows 11 hat.


    ---


    1. Ich besitze eine gültige Windows 10 Lizenz.
    2. Ich verwende das System nicht als Server (Hosting), sondern als Terminal Server exklusiv für RDP Zugang
    3. Ich verwende dort Windows Anwendungen (alle, die ich auf meinem PC auch verwende)
    4. Die Lizenzbedingugen sehe ich nicht als verletzt
    5. Ich bin nach mehreren Jahren Administration von Debian zu Shared Hosting gewechselt, weil ich zu wenig Zeit habe, einen Linux Server zu warten.
    6. Ich habe Gründe, wieso es ein Client-OS sein sollte, das auf Windows basiert
  • Ich habe es noch nicht mit Windows 11 versucht, du kannst dir aber auch die VirtIO Treiber ISO selbst herunter laden und diese bei der Windows-Installation im SCP einlegen. Die Version hier ist meist etwas neuer als die von Netcup. Vielleicht sind hier inzwischen schon die Windows 11 Treiber drin.

    https://pve.proxmox.com/wiki/Windows_VirtIO_Drivers


    Secure Boot und TPM 2.0 gibt es aber hier auf den KVM Umgebungen definitiv momentan (noch) nicht. Wer weiß schon wie lange Microsoft dieses Schlupfloch noch offen lässt und "unsupported Hardware" unterstützt.

    Hoffe aber du nimmst das dann nur kurzzeitig zum herumspielen und reinen kurzzeitigen Test und nicht produktiv ;)

  • Hay,

    Ich verwende das System nicht als Server (Hosting), sondern als Terminal Server exklusiv für RDP Zugang

    ich habe hier zwei Windows Server laufen (produktiv und backup). Da ich regelmäßig unrechtmäßige Aktivitäten auf rdp wahrnehme, die den Server im Schnitt zweimal die Woche komplett bis zum Anschlag gefahren haben (d.h. nur noch hard reset über scp hat funktioniert), habe ich rdp komplett weggeschaltet. Seitdem ist Ruhe, ich greife übers Terminal zu, falls ich mal was klicken muss. Ist aber anderer usecase.


    Mit dieser Erfahrung würde ich empfehlen, den Port nicht standardmäßig offen zu haben, sondern mit einem Art Port-knocking erst aufzumachen, wenn Du ihn brauchst. Dafür gibt es sicher für Windows Tools (aber bitte nicht mich fragen, ich lasse meine Finger von Windows, wenn es nicht sein muss...).


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

    Like 3
  • Ich erreiche den RDP-Port von meinem Windows-Server nur noch über WireGuard. Vorher hatte ich ZeroTier im Einsatz. Hat auch wunderbar funktioniert.

    VPS 500 G8 Plus | VPS Karneval 2020 | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*

  • Hay,

    Was spricht dagegen die Windows Firewall so einzustellen,

    dass nur auserwählte per RDP sich verbinden können?

    solange RDP offen ist (selbst wenn er von 3389 wegverlegt wird, was alleine schon ein bißchen helfen kann), wird der Port gef*ckt. Um per RDP zu kompromittieren braucht es keinen validen Benutzer.


    Komplett dichtmachen bis auf die eigene IP wäre noch eine Lösung. Deswegen mein Vorschlag mit dem Port-Knocking, das hilft vor allem, falls man selbst keine feste IP hat. Wenn man dann doch lieber eine feste IP haben möchte, hier einfach noch auf einem VPS und mit dem kostenlosen 250 MBit VPN einen Zwischenhop machen.


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Genau diesen Aufbau kann ich nur empfehlen.

    Also den Windows Root Server, komplett vom Internet trennen, und mit einem zweiten Server die Firewall betreiben. Bei mir hat sich OPNsense mit ZeroTier bestens bewährt (auf den Gegenseiten läuft ein Raspberry pi mit ZeroTier)

    Und wenn es im SCP endlich möglich ist das direkte Internet von Server zu trennen (quasi den Netzwerkstecker ziehen) wäre es optimal, sodass der Windows Rechner nur über ein VLAN ins Internet kommt. Aktuell muss immer darauf geachtet werden, dass die Netzwerkkarte deaktiviert ist und sich nicht nach irgendwelchen Windows Updates wieder aktiviert.

    VPN regelt dann die Firewall.

  • Aktuell muss immer darauf geachtet werden, dass die Netzwerkkarte deaktiviert ist und sich nicht nach irgendwelchen Windows Updates wieder aktiviert.

    Die hinterlegte Schnittstellenkonfiguration sollte Windows aber trotzdem nicht vergessen, oder? Als zusätzliche Absicherung also einfach statisch konfigurieren und eine private IP-Adresse eintragen, die zu keinem lokalen Subnetz passt.

  • Die hinterlegte Schnittstellenkonfiguration sollte Windows aber trotzdem nicht vergessen, oder? Als zusätzliche Absicherung also einfach statisch konfigurieren und eine private IP-Adresse eintragen, die zu keinem lokalen Subnetz passt.

    Ja, im Standard ist die Netzwerkkarte auf DHCP konfiguriert. Dort eine IP-Adresse und Subnetzmaske außerhalb des Subnetz, ohne Gateway und DNS-Server.
    Und dann habe ich für die Netzwerkkarte noch IPv4 & IPv6 deaktiviert.

  • Hay,

    Hatte das nicht nur 100?

    ja, richtig. Danke fürs nachfragen. Ich hatte im Kopf, dass die untere Grenze bei 250MBit liegt, aber das war falsch. Für meine Anwendungszwecke (nächtliche Backups eines Servers auf den anderen) war es jedenfalls ausreichend, deswegen habe ich nach Einrichtung nie mehr danach geschaut :rolleyes:


    CU, Peter

    Peter Kleemann // https://www.pkleemann.de // +49 621 1806222-0 // Kann Programme, Internet, Netzwerke und Telefon.

  • Was spricht dagegen die Windows Firewall so einzustellen,

    dass nur auserwählte per RDP sich verbinden können?

    Die Windows Firewall hat ein großes Problem: sie läuft auf Windows.

    Die guten Firewalls laufen alle unter *NIX Systemen - ich habe noch nie einen CoreRouter mit Windows drauf gesehen.