Skip to main content
Windows Server · Managed · DE-RZ

BEKOM MANAGEDWindows-Server HostingDediziert und lizenzkonform

Windows Server als Managed-Hosting bei BEKOM: dedizierte Hardware, gepflegtes Patch-Management, lizenzkonforme Architektur, wählbare Verfügbarkeitsstufen und schriftliches Angebot.

Basis-Spezifikation ansehen
Dedizierte Hardware
Lizenzkonform
Patch-Disziplin
Deutsches RZ
Wann Windows-Server-Hosting bei BEKOM passtUnterschied zu Standard-Windows-TarifenBasis-Spezifikation als AusgangspunktVerfügbarkeit und LizenzkonformitätBEKOM-Ansatz und KostenstrukturHäufige Fragen
Einsatz-Szenarien

Wann Windows-Server-Hosting bei BEKOM passt

Windows Server bildet die Plattform für Active Directory, Fileservices, Microsoft-zentrierte Anwendungen, Branchen-Software mit Windows-Bindung, Terminal-Server-Umgebungen sowie ERP- und CRM-Backends im DACH-Mittelstand. Wer eine oder mehrere Windows-Server-Instanzen geschäftskritisch betreibt, aber Hardware-Beschaffung, Patch-Disziplin, Lizenzkonformität und 24/7-Bereitschaft nicht intern leisten will, braucht einen Microsoft-erfahrenen Betriebspartner. BEKOM betreibt Windows-Server im deutschen Rechenzentrum mit dedizierter Hardware, korrekter SPLA-/CSP-Lizenzierung und auditfähiger Betriebsdokumentation.

Typische Auslöser für Managed-Windows-Hosting

Drei Konstellationen führen Organisationen erfahrungsgemäß zum Managed-Windows-Hosting bei einem spezialisierten Microsoft-Betreiber statt zum Eigenbetrieb im Server-Raum oder zum reinen Hyperscaler-Tarif. Sie unterscheiden sich in Auslöser, Lizenzlage und Migrationsumfang.

Häufige Ausgangslagen im Mittelstand:

Ablösung des Eigenbetriebs im Server-Raum – Bestehende Windows-Server in lokalen Server-Räumen sollen ins Rechenzentrum verlagert werden – häufig im Zuge eines Hardware-Refresh, eines Standortrückbaus oder beim Wechsel von Einzelpersonen-Verantwortung auf einen 24/7-Betriebspartner.

Lizenz-Konsolidierung und SPLA-/CSP-Klärung – Eine über Jahre gewachsene Microsoft-Lizenzlandschaft soll sauber strukturiert werden; SPLA- und CSP-Modelle für gehostete Server, Software-Assurance-Rechte und CAL-Zählweisen sind komplex und brauchen Beratung vor Vertragsschluss.

Active Directory, DFS und Terminal-Services aus dem RZ – AD-Domain-Controller, DFS-Strukturen, File-Services oder Terminal-Server sollen aus dem internen Server-Raum in eine im Managed Service betriebene Umgebung verlagert werden – mit klarer Trust-Strategie und dokumentierter Migration.

Wann sich Windows-Server-Hosting bei BEKOM rechnet

Wenn AD-Domain-Controller, DFS-Strukturen, File-Services oder Terminal-Server aus dem internen Server-Raum heraus müssen, der bisherige Hardware-Refresh-Zyklus nicht mehr passt oder die Microsoft-Lizenzlage gegenüber Auditoren sauber dokumentiert sein soll, ist ein Microsoft-erfahrener Betriebspartner gefragt – kein generischer Windows-Tarif bei IONOS, Hetzner, Strato oder Contabo, der zwar eine virtuelle Maschine bereitstellt, aber keine Lizenzberatung und kein AD-Wissen mitbringt. BEKOM betreibt Windows-Server als dedizierte Instanz oder dezidierten VM-Pool im deutschen Rechenzentrum mit klar definierten Service-Bestandteilen.

Was BEKOM im Service-Vertrag liefert:

Lizenzmodell-Beratung im Vorfeld – Auslegung über SPLA, BYOL mit Software Assurance License Mobility oder CSP, abhängig von vorhandenen Verträgen, CAL-Bestand und Anwendungs-Typ; die Wahl wird im Vertrag dokumentiert, sodass spätere Audits sauber laufen.

Definierte Patch-Disziplin mit Test-Stage – Microsoft-Sicherheits-Updates werden auf Test-Stages validiert und im vereinbarten Wartungsfenster eingespielt; kritische Out-of-Band-CVEs außerplanmäßig nach abgekürztem Verfahren mit dokumentierter Patch-Historie.

AD-Migrationsplan und Trust-Strategie – Domain-Erweiterung, separater Forest mit Trust-Beziehung oder eigenständige Domäne; FSMO-Übertragung, SYSVOL-Synchronisation und Cutover mit definiertem Rückfall-Pfad pro Stufe.

Verfügbarkeitsstufe nach Anwendungs-Kritikalität – Single-Server, Failover-Cluster oder Multi-Site-Redundanz; konkrete Verfügbarkeits-Werte werden ausschließlich im individuellen Service-Vertrag festgehalten und nicht pauschal versprochen.

BEKOM klärt mit dem Kundenteam Lizenzpfad, Hardware-Klasse und Migrationsumfang – das Ergebnis ist ein schriftliches Angebot mit dokumentiertem Leistungsumfang. Architekturhinweise zur breiteren Microsoft-Anwendungslandschaft finden sich auf dem Cluster Managed Microsoft.

Kostenstruktur des Windows-Server-Hostings im Überblick

Ein Managed-Windows-Server-Hosting wirkt auf drei Kostenebenen, die im Assessment gegeneinander gestellt werden. Eine belastbare Aussage zur Wirtschaftlichkeit entsteht erst, wenn alle drei Ebenen gegen die heutige Bestandssituation gerechnet werden – nicht entlang eines pauschalen Einsparversprechens.

Drei Kostenebenen im Vergleich:

Bestandsseite (heute Eigenbetrieb oder Hyperscaler-Tarif) – Hardware-Refresh-Zyklen, Microsoft-Lizenzkosten (Server-OS, CALs, SQL-Lizenzen, Software-Assurance-Renewals), Wartung, USV/Klima und Personalanteile für Patch-Disziplin und 24/7-Bereitschaft.

Hosting-Seite (laufender Service) – Monatliche Service-Pauschale abhängig von Hardware-Klasse, Anzahl Server, Lizenzmodell (SPLA/BYOL/CSP), Verfügbarkeitsstufe und Service-Modell; mit getrennt ausgewiesenem Lizenz-Anteil für klare Vergleichbarkeit.

Migrations-Einmalkosten – AD-Migration mit Trust-Aufbau, Datentransfer aus Bestandssystemen, Cutover mit definiertem Rückfall-Pfad und initiale Härtung der Zielumgebung nach Microsoft Security Baseline und CIS-Benchmark.

Das schriftliche Angebot weist die Anteile getrennt aus, sodass interne Budgetbegründungen und spätere Vergleiche sauber möglich bleiben.

Differenzierung

Unterschied zu Standard-Windows-Tarifen

Im Windows-Hosting-Markt gibt es zwei Modell-Klassen: standardisierte Cloud-Tarife auf Hyperscaler-Plattformen oder Massen-Hoster-Angeboten (Self-Service-Provisionierung, generische VM-Größen, keine Lizenzberatung) und individualisiertes Hosting bei einem deutschen Microsoft-Spezialisten. BEKOM steht in der zweiten Klasse: jede Windows-Instanz wird im Anforderungsgespräch ausgelegt, dediziert oder in dediziertem VM-Pool betrieben und mit auditfähiger Dokumentation begleitet.

Beratung zu Architektur und Lizenzkonformität

Vor Aufbau wird die Windows-Architektur im Anforderungsgespräch zwischen den Windows-Verantwortlichen aufseiten des Kunden und einem BEKOM-Architekten geklärt – nicht im Self-Service-Konfigurator. Microsoft-Lizenzierung im Hosting-Kontext (SPLA, CSP, BYOL mit Software Assurance License Mobility) ist komplex; die Beratung dazu ist Teil des Anforderungsgesprächs.

Geklärt im Anforderungsgespräch:

Anwendungs-Stack und Performance-Profil – Welche Anwendungen laufen sollen, ihre I/O-, CPU- und RAM-Anforderungen, Lizenz-Bindungen an konkrete Server-Versionen und der Bedarf an SQL Server, Reporting-Services oder anderen Microsoft-Bausteinen.

AD-Topologie und Domain-Strategie – Domain-Erweiterung, separater Forest mit Trust-Beziehung oder eigenständige Domäne; Berücksichtigung bestehender Trust-Beziehungen zu Partnern und der Trennung zwischen Standort-Infrastrukturen.

Lizenzmodell – SPLA, BYOL oder CSP – SPLA wird vom Anbieter gestellt und monatlich abgerechnet; BYOL setzt Software Assurance License Mobility voraus; CSP eignet sich für ausgewählte Server-Anwendungen. Mischbetrieb ist möglich.

Verantwortungsteilung zwischen BEKOM und interner IT – Vollständig BEKOM, geteilte Rollen mit dokumentierter Zugriffskette oder reine Begleitung mit primärem Zugriff beim Kunden; die Rollen-Matrix wird vor Vertragsschluss schriftlich fixiert.

Welcher Lizenzweg sinnvoll ist, hängt von bestehenden Lizenzen, Software-Assurance-Status und Anwendungs-Typ ab. Die Wahl wird im Vertrag dokumentiert, sodass spätere Audits sauber laufen.

Aktive Patch-Disziplin und Change-Prozess

Microsoft veröffentlicht monatlich Sicherheits-Updates am Patch Tuesday, dazu kommen kritische Out-of-Band-Patches. BEKOM betreibt einen dokumentierten Patch-Prozess – mit klar definierten Stufen statt sporadischer Reaktion auf einzelne CVEs.

Bestandteile des Patch-Prozesses:

Validierung auf Test-Stage – Sicherheits-Updates werden vor Produktiv-Einspielung auf einer Test-Stage geprüft; Anwendungs-Verträglichkeit und Boot-Verhalten sind Bestandteil der Freigabe.

Geplantes Wartungsfenster mit Vorab-Information – Standard-Updates werden im vereinbarten Fenster eingespielt; Wartungs-Termine und betroffene Systeme werden vorab kommuniziert.

Kritische CVEs außerplanmäßig nach abgekürztem Verfahren – Bei aktiv ausgenutzten Schwachstellen erfolgt das Einspielen außerhalb des Standard-Fensters mit beschleunigter Freigabe.

Auditfähige Patch-Historie – Vollständige Dokumentation je System, Wartungsfenster-Bezug, Vorher-/Nachher-Zustand; im Reporting-Zyklus nachvollziehbar und für externe Prüfer abrufbar.

Damit ist der Patch-Stand der Windows-Plattform jederzeit nachweisbar – auch über mehrere Patch-Zyklen hinweg.

Auditfähige Betriebsdokumentation

Die Windows-Server-Plattform wird mit auditfähiger Betriebsdokumentation begleitet – als fester Service-Bestandteil. Welche Artefakte vorgehalten werden und mit welcher Aufbewahrungsfrist, wird im Service-Vertrag vereinbart.

Auditfähig vorgehalten:

Konfigurations-Stände und Versions-Historie – Server-Konfigurationen mit Genehmigungspfad, Vorher-/Nachher-Zustand und Wartungsfenster-Bezug; Rollback nach dokumentiertem Verfahren möglich.

AD-Änderungen und Zugriffsprotokolle – Administrative Zugriffe mit Nutzer-Identität und Zeitstempel; AD-Schema-Änderungen, Group-Policy-Anpassungen und Berechtigungs-Vergaben dokumentiert.

Backup-Reports und Restore-Nachweise – Backup-Status mit Aufbewahrungsfristen je Datenklasse; protokollierte Restore-Tests in vereinbartem Turnus als Audit-Nachweis für ISO 27001 oder TISAX.

Lizenz-Bestände und SPLA-/CSP-Reports – Monatliche oder quartalsweise Lizenz-Berichte, Software-Assurance-Status, CAL-Zählungen; bei einem Microsoft-Audit ohne lange Vorbereitungsphase abrufbar.

Für ISO 27001-, TISAX-, KRITIS- oder branchenspezifische Audits liegt die Dokumentation prüfungsbereit vor und reduziert den Vorbereitungsaufwand auf Kundenseite signifikant.

Deutscher Vertrags- und Datenraum

Server, Speicher und Backups laufen in zertifizierten deutschen Rechenzentren, die BEKOM für den Windows-Betrieb nutzt. Vertrag, SLA und Support sind deutsch. Damit ist die Kette von Vertrag bis zum technischen Eingriff vollständig im deutschen Rechtsraum verankert.

Deutscher Vertrags- und Datenraum bedeutet konkret:

Server und Speicher in zertifizierten deutschen Rechenzentren – BEKOM nutzt Rechenzentren mit dokumentiertem Standort und kontrolliertem physischem Zugriff durch den RZ-Betreiber; keine Datenweitergabe an Anbieter mit US-CLOUD-Act-Bindung.

AD-Daten und Fileservices im deutschen Rechtsraum – Domain-Controller, File-Services, Print-Services und Terminal-Server-Daten verbleiben im deutschen Rechtsraum mit definierten Sub-Auftragsverarbeitern.

Backups innerhalb des deutschen Rechtsraums – Mit definierten Aufbewahrungsfristen je Datenklasse und protokollierten Restore-Test-Nachweisen für Audits und Versicherungs-Prüfungen.

Vertragstexte, SLAs und Support in Deutsch – Kein Übersetzungsabgleich nötig, kein Rechtsraum-Wechsel im Streitfall, klare Auslegungspraxis nach deutschem Recht; Eskalationen ohne Zeitzonenverzug.

Leistungsumfang

Basis-Spezifikation als Ausgangspunkt

Die folgende Beschreibung dient als Showcase einer typischen Basis-Konfiguration für Windows-Server-Hosting bei BEKOM: vier Bausteine, die im Angebot durchgängig adressiert werden – Hardware und Plattform, Windows-Stack, inkludierte Services und individualisierte Bereiche. Sie ist Ausgangspunkt für das Anforderungsgespräch, nicht fertiges Produktpaket – konkrete Preise stehen ausschließlich im individuellen Angebot. Windows-Version, Anwendungs-Stack, AD-Topologie, Lizenzmodell und Verantwortungsteilung werden gemeinsam mit dem Kundenteam festgelegt.

Hardware und Plattform

Die Plattform-Ebene umfasst Compute, Speicher, Netzwerk-Trennung und Hardware-Klasse. Diese Bausteine werden bei jedem Setup an Anwendungs-Profil und Compliance-Anforderung angepasst.

Typische Bausteine im Angebot:

Dedizierte Hardware oder dezidierter VM-Pool – Im von BEKOM genutzten deutschen Rechenzentrum mit gehärtetem Hypervisor (Hyper-V, VMware oder vergleichbar); kein Multi-Tenancy auf Compute-Ebene.

CPU-, RAM- und Speicher-Klasse nach Anwendungs-Profil – Auslegung auf I/O-Profil, Concurrent-User-Last und Datenbank-Bedarf; keine generische Mittelwert-Auslegung.

Lokale Speicherung mit redundanter Konfiguration – Storage mit redundanter Auslegung (RAID, Cluster-Storage oder Software-Defined-Storage) und definierter Wachstumsreserve je Volume.

Separates Backup-Netz für Datenstrom-Trennung – Backup-Verkehr läuft auf eigener Netz-Strecke, ohne Konkurrenz mit produktivem Anwendungs-Traffic; getrennte Sicherheits-Domänen.

Windows-Stack

Der Windows-Stack umfasst Server-Version, Härtung, AD-Integration und Konfigurations-Versionierung. Diese Bausteine werden je nach Lifecycle-Strategie und Compliance-Profil zusammengestellt.

Typische Bausteine im Angebot:

Windows Server in aktueller LTS-Version – Typisch Windows Server 2022 oder 2025 oder definierter Vorgänger; Lifecycle-Pfad mit Microsoft-Mainstream- und Extended-Support-Phasen dokumentiert.

Standard-Härtung nach Microsoft Security Baseline und CIS – Härtung entlang offizieller Empfehlungen mit dokumentierten Abweichungen für Anwendungsbedarf; LAPS, Tiering-Modell und privilegierte Rollen-Trennung.

Active-Directory-Integration nach Vereinbarung – Eigene Domäne, Erweiterung der bestehenden Kunden-Domäne oder separater Forest mit Trust-Beziehung; FSMO-Verteilung dokumentiert.

Konfigurations-Versionierung mit Audit-Spur – Vollständige Historie über die Vertragslaufzeit; Group-Policy-Stände, Server-Konfigurationen und Drift-Erkennung als laufender Bestandteil.

Inkludierte Services

Im Unterschied zu Self-Service-Tarifen sind operative Services bereits enthalten – als Bestandteil des Service-Vertrags. Damit liegt der laufende Plattform-Betrieb bei BEKOM, nicht in einer Grauzone zwischen Plattform-Anbieter und interner IT.

Typisch im Service-Vertrag enthalten:

Plattform-Monitoring auf Hardware-, OS- und Anwendungs-Ebene – Überwachung der Hardware (Disk, Memory, CPU, Netzwerk), des Betriebssystems (Service-Status, Event-Log-Auffälligkeiten) und der Anwendungs-Schicht (Antwortzeiten, Verfügbarkeit) mit Alarmierung an das BEKOM-Betriebsteam.

Patch-Management mit dokumentiertem Change-Prozess – Sicherheits-Updates innerhalb definierter Fristen, größere Updates in geplanten Wartungsfenstern, kritische CVEs außerplanmäßig nach abgekürztem Verfahren.

Backup-Strategie mit definierter Wiederherstellbarkeit – Tägliche Backups mit System-State, File-Level und Application-Level (z. B. SQL Server, Exchange); dokumentierte Restore-Tests in vereinbartem Turnus.

Incident-Response mit Eskalationskette – Definierte Rollen (1st-/2nd-/3rd-Level), Reaktionspfade und Kommunikationswege; Anbindung an interne Security-Operations oder das BEKOM-SOC nach Vereinbarung.

Service-Reviews in vereinbartem Turnus – Strukturierte Besprechung mit Verfügbarkeits-Bilanz, Patch-Stand, Backup-Status, Kapazitäts-Trend und offenen Themen aus dem Kunden-Geschäft.

Reporting für Compliance-Verantwortliche – Aufbereitete Übersicht für ISO-Beauftragte, Sicherheitsverantwortliche oder externe Prüfer ohne tiefe Plattform-Vorbildung.

Was BEKOM mit dem Kunden individualisiert

Über die typischen Bausteine hinaus gibt es Bereiche, die erst aus konkreten Anforderungen heraus festgelegt werden. Diese sechs Felder sind im Anforderungsgespräch der eigentliche Hebel: Sie entscheiden über Wirtschaftlichkeit, Auditfähigkeit, Sicherheits-Tiefe und Verantwortungsschnitt.

Individuell pro Setup ausgelegt:

Windows-Version und Lifecycle-Pfad – Welche Server-Generation initial gesetzt wird (2022, 2025), welche Rolling-Strategie für Major-Upgrades gilt und wie mit Anwendungen außerhalb des Mainstream-Supports umgegangen wird.

Lizenzmodell – SPLA, BYOL oder CSP – Wahl des Lizenzwegs nach vorhandenen Verträgen, Software-Assurance-Status und Anwendungs-Typ; Mischbetrieb mit klarer Abgrenzung der Lizenz-Quellen.

AD-Architektur und Trust-Strategie – Standalone-Domäne, Forest-Erweiterung oder Trust-Beziehung; Berücksichtigung bestehender Partner-Trusts und gewünschter Trennung zwischen Standorten.

Anwendungs-Stack und Microsoft-Dienste – ERP-Backend, File-Services, Terminal-Server, Branchen-Software, SQL Server (Stand-Alone, Always-On oder Failover-Cluster), Exchange in modernen Versionen.

Verantwortungsteilung – Fully Managed, Co-Managed oder begleitet – Vollständig BEKOM, geteilte Zugriffe mit dokumentierten Rollen oder beratungsbegleiteter Eigenbetrieb mit primärem Kundenzugriff.

Compliance-Profil und Reporting-Tiefe – DSGVO-Basis, ISO 27001, TISAX, KRITIS oder branchenspezifisch; mit zugeschnittenen TOMs, Reporting-Formaten und Sub-Auftragsverarbeiter-Liste.

Verfügbarkeitsstufen

Verfügbarkeit und Lizenzkonformität

Windows-Server tragen häufig Anwendungen, deren Ausfall direkt geschäftliche Folgen hat – AD-Authentifizierung blockiert Anmeldungen, File-Services halten Arbeitsplätze an, ERP-Backends stoppen Geschäftsprozesse. Die drei Verfügbarkeitsstufen orientieren sich an der Geschäftsbedeutung der Anwendung; Lizenzkonformität wird im BEKOM-Ansatz (siehe nächste Sektion) als laufender Service-Bestandteil gepflegt. Konkrete Verfügbarkeits-Werte werden ausschließlich im individuellen Service-Vertrag dokumentiert und für jede Konstellation einzeln vereinbart.

Stufe 1: Einfache Verfügbarkeit

Ein Windows-Server mit Tagesbackup, dokumentiertem Wiederanlauf-Verfahren und definierter Reaktionskette bei Hardware-Defekt. Geeignet, wenn ein toleranzfähiges Wiederherstellungs-Zeitfenster akzeptabel ist – etwa für sekundäre Anwendungen oder Test- und Vorproduktions-Umgebungen.

Architektur – Single-Server mit Tagesbackup auf separat verwaltetes Speicherziel; Anwendungs-Konsistenz über VSS oder applikationsspezifische Backup-Methoden gesichert.

Typische Anwendungen – Test- und Entwicklungsumgebungen, sekundäre Anwendungen, isolierte Branchen-Software ohne 24/7-Geschäftskritikalität.

Ausfallverhalten – Bei Hardware-Defekt erfolgt Wiederanlauf nach dokumentiertem Verfahren mit definierter Reaktionskette und protokolliertem Restore-Pfad.

Pflege – Updates im vereinbarten Wartungsfenster mit kurzem geplantem Ausfallfenster für Major-Updates; Sicherheits-Updates außerplanmäßig nach abgekürztem Verfahren.

Stufe 2: Hochverfügbarkeit (Failover-Cluster)

Windows Server Failover Cluster mit gemeinsamem Storage und automatischer Service-Übernahme. Häufig genutzt für SQL Server (Always-On Availability Group oder Failover-Cluster-Instanz), File-Services oder Hyper-V-Cluster.

Architektur – Failover-Cluster mit gemeinsamem Storage (Shared SAN, S2D oder vergleichbar); Quorum-fähige Auslegung gegen Split-Brain mit Witness-Konfiguration.

Ausfallverhalten – Automatische Service-Übernahme bei Knoten- oder Pfad-Ausfall, ohne manuellen Eingriff; bestehende Sessions werden über Cluster-Aware-Anwendungen oder Reconnect-Logik weitergeführt.

Wartung – Wartungen erfolgen rolling über die Cluster-Knoten; bei Hyper-V mit Live-Migration ohne Service-Unterbrechung, bei Anwendungs-Clustern fenstergesteuert je Knoten.

Typische Anwendungen – Produktive SQL-Server, geclusterte File-Services, Hyper-V-Hosts mit produktiven VMs und Anwendungs-Backends mit täglicher Geschäftskritikalität.

Stufe 3: Multi-Site-Redundanz

Windows-Plattform über zwei räumlich getrennte BEKOM-Standorte. Geeignet für geschäftskritische Anwendungen mit BCM-Anforderung aus Konzern- oder Regulatorik-Vorgaben.

Architektur – Storage-Replikation zwischen Standorten (z. B. Storage Replica, Hardware-basierte Replikation oder applikationseigene Mechanismen wie SQL Always-On Distributed AGs); getrennte Strom-, Klima- und Netzdomänen je Standort.

Failover – Definierte Failover-Strategie mit dokumentiertem Runbook, regelmäßige Tests in vereinbartem Turnus und protokollierte Wiederanlauf-Übungen als Audit-Nachweis.

Schutzziel – Toleranz gegen Standort-Komplettausfall (Strom, Brand, Netz, regionale Störung) sowie gegen geplante Großwartungen am primären Standort.

Typische Anwendungen – KRITIS-relevante Systeme, Konzern-Backends mit BCM-Auflagen, ERP- und Mandanten-Plattformen mit Erreichbarkeits-Zusagen rund um die Uhr.

BEKOM-Ansatz

BEKOM-Ansatz und Kostenstruktur

Über die Verfügbarkeitsstufen hinaus entscheidet das Betriebsmodell, wie eine Windows-Server-Landschaft langfristig wirkt. Der BEKOM-Ansatz setzt auf einen festen Ansprechpartner mit Microsoft-Expertise, ein Hosting in zertifizierten deutschen Rechenzentren mit deutschsprachiger Betreuung und sauberer Microsoft-Lizenzierung sowie eine Kostenstruktur, die variable Eigenbetriebs-Aufwände in eine planbare Monatspauschale überführt.

Fester Ansprechpartner mit Microsoft-Expertise

Jede Windows-Installation wird einem festen Ansprechpartner mit Microsoft-Erfahrung zugeordnet, der Konfigurationsanfragen, Active-Directory-Themen und Patch-Tuesday-Koordination direkt bearbeitet. Reaktionspfade und Eskalationsstufen sind je Installation im Service-Vertrag dokumentiert — statt anonymer Ticket-Queues oder rotierender Bereitschaft.

Aufgaben des festen Ansprechpartners:

Konfiguration von Server-Rollen, Features und Diensten (Hyper-V, AD DS, File-Services, RDS)

Pflege von AD-Trust-Beziehungen, Sites und Replikations-Topologie

Koordination der Patch-Tuesday-Einspielung und Out-of-Band-CVE-Reaktion

Pflege von Gruppenrichtlinien (GPO), OU-Struktur und delegierten Rollen

Reaktionspfade und Eskalation:

  • Service-Levels und Reaktionspfade je Installation im Vertrag fixiert
  • Definierte Eskalation an 2nd- und 3rd-Level-Spezialisten im Störungsfall
  • Service-Reviews in vereinbartem Turnus mit Verfügbarkeits- und Patch-Bilanz
  • Reporting in Abstimmung mit Geschäftsleitung und Compliance-Stellen

Hosting und Lizenzkonformität im DACH-Raum

BEKOM nutzt für Windows-Server-Installationen zertifizierte Rechenzentren in Deutschland. Konfigurations- und Wartungs-Tätigkeiten erfolgen durch deutschsprachige Windows-Administratoren; die Microsoft-Lizenzierung wird sauber dokumentiert und über die Vertragslaufzeit gepflegt, sodass spätere Lizenz-Audits ohne lange Vorbereitungsphase auskommen.

Betriebsumgebung:

Hosting in zertifizierten deutschen Rechenzentren (BEKOM als Nutzer)

Deutschsprachige Windows-Administratoren für Konfiguration und Incident-Response

Patch-Management entlang der Microsoft-Release-Zyklen (Patch Tuesday und Out-of-Band)

Monitoring von Diensten, Eventlog, Active Directory und Anwendungs-Schicht

Lizenzkonformität:

  • Microsoft-Server-Lizenzen sauber je Installation zugeordnet und dokumentiert
  • CAL-Modelle (Device- und User-CAL) sowie SQL-Lizenzen je System nachweisbar
  • SPLA-Reporting durch BEKOM oder BYOL-Pflege mit Software-Assurance-Status
  • Audit-Vorbereitung mit dokumentierter Stückzahl, Versions-Stand und Mobility-Rechten

Planbare Kostenstruktur statt variabler Aufwände

Im Eigenbetrieb fallen Kostentreiber an, die in der internen Kalkulation oft unterschätzt werden — von der laufenden Lizenz-Pflege bis zur Patch-Tuesday-Koordination. BEKOM überführt diese Aufwände in eine monatliche Pauschale; ein vorgelagertes Assessment klärt den konkreten Betriebsumfang und die zugehörige Kostenstruktur.

Typische Kostentreiber im Eigenbetrieb:

Laufende Pflege der Microsoft-Server-Lizenzen, CALs und Software-Assurance-Renewals

Monatlicher Patch-Tuesday-Aufwand mit Test-Stage, Wartungsfenster und Dokumentation

AD- und GPO-Wartung, OU-Pflege, Schema-Updates und Berechtigungs-Reviews

Update- und Upgrade-Pfade entlang der Windows-Server-LTSC-Generationen

Inhalte der Monatspauschale:

  • Windows-Patches und Updates einschließlich Major-Upgrade-Begleitung
  • Monitoring der Dienste, des Eventlogs und der Active-Directory-Replikation
  • Incident-Response über die definierten Reaktionspfade und Eskalationsstufen
  • Service-Reviews und Reporting für Geschäftsleitung, Revision und externe Prüfer

Häufige Fragen zum Windows-Server-Hosting

Worin unterscheidet sich BEKOM-Windows-Hosting von Hyperscaler-Tarifen oder Massen-Anbietern?

Hyperscaler-Tarife liefern Windows-Server in standardisierten Größen mit Self-Service-Provisionierung und Pay-as-you-go-Abrechnung ohne Beratungsanteil. BEKOM betreibt jede Windows-Instanz dediziert oder in dezidiertem VM-Pool, mit individueller Hardware-Wahl, AD-Architektur-Beratung und Lizenz-Compliance-Begleitung. Beide Modelle haben ihre Berechtigung — BEKOM ist die richtige Wahl, wenn Beratung, Pflege und Compliance-Tiefe gegenüber Auditoren und der internen Revision gefragt sind.

Wer hat administrativen Zugriff auf die gehosteten Windows-Server?

Das wird im Vertrag geregelt und ist Teil der Verantwortungsteilung. Drei Modelle stehen zur Wahl: vollständiger BEKOM-Betrieb mit Reporting an den Kunden (Fully Managed); geteilter Zugriff mit dokumentierten Rollen für BEKOM und internes Team (Co-Managed); reine BEKOM-Begleitung mit primärem Zugriff beim Kunden (begleiteter Eigenbetrieb). Die Rollen-Matrix wird vor Vertragsschluss schriftlich fixiert mit klar definierten Zugriffsketten und Eskalationspfaden.

Wie wird die Microsoft-Lizenzierung sauber aufgesetzt?

Drei Wege sind üblich. SPLA (Service Provider License Agreement): Die Lizenz wird von BEKOM gestellt, der Kunde nutzt sie über die Vertragslaufzeit. BYOL (Bring Your Own License) mit Software Assurance: Der Kunde bringt vorhandene Lizenzen mit, sofern Software Assurance License Mobility erlaubt. CSP (Cloud Solution Provider): Microsoft-Subscription über CSP-Lizenzen für bestimmte Server-Anwendungen. Welcher Weg passt, hängt von vorhandenen Verträgen, Anwendungs-Typ und Vertragsbevorzugung ab und wird im Anforderungsgespräch ermittelt.

Können wir bestehende Windows-Server strukturiert zu BEKOM migrieren?

Ja. Migration umfasst Inventarisierung, Lizenz-Bewertung mit Software-Assurance-Status-Prüfung, Aufbau der Ziel-Systeme im genutzten deutschen Rechenzentrum, Datentransfer (über Backup-Restore, Storage-Replikation oder VM-Konvertierung je nach Quell-System), Cutover und Nachbereitung. Bei AD-Migrationen sind zusätzlich Trust-Aufsetzung, FSMO-Übertragung und SYSVOL-Synchronisation Bestandteil. Der Migrationsplan wird im Angebot mit Stufen-Logik, definierten Test-Phasen pro Anwendungsgruppe und Rollback-Optionen je Stufe ausführlich dokumentiert.

Lässt sich Active Directory in ein Bestands-AD integrieren, oder ist eine separate Domäne sinnvoll?

Ja, drei Modelle sind üblich: vollständige Domänen-Erweiterung (BEKOM-Server werden Mitglieder Ihrer bestehenden Domäne), separater Forest mit Trust-Beziehung (saubere Trennung mit kontrollierten Berechtigungen über die Trust-Beziehung), oder eigenständige BEKOM-Domäne ohne AD-Verbindung. Welches Modell passt, hängt von Bestandsstruktur, Sicherheitsanforderungen, Verwaltungs-Workflow, vorhandenen Trust-Beziehungen zu Partnern und der gewünschten Trennung zwischen Standort-Infrastrukturen ab und wird im Anforderungsgespräch festgelegt.

Wie wird die Sicherheit der gehosteten Windows-Server gewährleistet?

Standard-Maßnahmen: Härtung nach Microsoft Security Baseline und CIS Benchmark, restriktive Firewall- und Netzwerk-Regeln, Zwei-Faktor-Authentifizierung für privilegierte Zugriffe, RDP-Zugang nur über Bastion oder VPN, Logging an SIEM mit Korrelation, regelmäßige Schwachstellen-Scans und dokumentiertes Vulnerability-Management. Für besonders schutzbedürftige Systeme zusätzlich Defender for Endpoint, AppLocker oder Windows Defender Application Control mit fein abgestimmter Konfiguration.

Lassen sich auch SQL Server, Exchange oder andere Microsoft-Anwendungen bei BEKOM betreiben?

Ja, Microsoft-Anwendungen gehören zum Portfolio. SQL Server wird in Stand-Alone, Always-On-Availability-Group oder Failover-Cluster betrieben — abhängig von Verfügbarkeits-Anforderung, Datenbankgröße und Lizenzmodell. Exchange wird in modernen Versionen meist als alleinstehende Variante oder DAG-Setup gehostet. Für komplexe Microsoft-Anwendungslandschaften gibt es zusätzlich Managed Microsoft mit weiterer fachlicher Tiefe sowie spezifischen Operating-Mustern für Microsoft-Stack-Migrationen.

Was kostet das Windows-Server-Hosting bei BEKOM, und wie wird kalkuliert?

Konkrete Preise stehen nicht auf der Webseite, weil Hardware-Klasse, Anzahl Server, Lizenzmodell (SPLA/BYOL/CSP), Anwendungs-Komplexität, Verfügbarkeitsstufe und Service-Modell stark variieren. Im Anforderungsgespräch entsteht eine Kosten-Struktur ohne Verbindlichkeit; das schriftliche Angebot enthält dann die transparente Aufschlüsselung pro Service-Bestandteil — inklusive separat ausgewiesenem Lizenz-Anteil zur klaren Vergleichbarkeit mit anderen Angeboten und für interne Budgetbegründung.

Welche Vertragslaufzeiten gibt es, und wie wird mit alten Windows-Versionen umgegangen?

Übliche Bandbreite reicht von 12 Monaten Mindestlaufzeit bis zu mehrjährigen Verträgen mit dedizierter Hardware. SPLA-Lizenzen werden monatlich abgerechnet, was Vertragsanpassungen flexibler macht. Bei Versionen außerhalb des Microsoft-Supports wird ein Migrationsplan auf eine aktuelle Version Teil des Hosting-Projekts; bei Branchen-Software-Bindungen sind Microsoft Extended Security Updates (ESU) als Übergangslösung integriert. Bei Vertragsende erfolgt eine strukturierte Daten-Übergabe.

Können wir Microsoft Defender for Endpoint und EDR-Lösungen integrieren?

Ja. Microsoft Defender for Endpoint und vergleichbare EDR-Lösungen werden auf den gehosteten Windows-Servern aktiviert und mit dem internen Security-Operations-Team oder dem BEKOM-SOC verbunden. Telemetrie fließt in die SIEM-Korrelation, Auffälligkeiten werden über die Incident-Response-Kette mit definierten Reaktionszeiten bearbeitet. Welche EDR-Lösung passt, hängt von vorhandenen Microsoft-Lizenzen, dem Sicherheits-Stack und der gewünschten Telemetrie-Tiefe ab.

Welche Kosten entstehen bei der Migration bestehender Windows-Server vom Eigenbetrieb zu BEKOM?

Die Migrationskosten hängen von der Komplexität der Active Directory-Struktur, der Anzahl Terminal-Server-Sessions und den bestehenden Microsoft-Lizenzen ab. BEKOM prüft vorhandene Volume-Lizenzen auf Übertragbarkeit und entwickelt eine SPLA-konforme Lizenzstrategie für den Hosting-Betrieb. Die Migration erfolgt schrittweise mit Parallelbetrieb, um Geschäftsprozesse nicht zu unterbrechen. Bestehende Lizenzinvestitionen werden soweit möglich in die neue Hosting-Architektur integriert.

Wie sichert BEKOM den Wissensübergang bei der Übernahme bestehender Windows-Landschaften?

Die Übernahme beginnt mit einer dokumentierten Bestandsaufnahme: Active-Directory-Topologie, Gruppenrichtlinien, Berechtigungsstruktur, Patch-Stände, Backup-Lage, Lizenzlage (SPLA / Volume-Lizenzen), kritische Anwendungen und ihre Abhängigkeiten. Das Ergebnis wird im Service-Design-Dokument festgehalten – inklusive Verfahrensdokumentation für Patch-Fenster, Change-Prozesse und Wiederanlauf-Reihenfolgen. Während einer definierten Übergabe-Phase laufen alte und neue Betriebsverantwortung parallel, mit klaren Eskalationspfaden. So entsteht kein Wissens-Einzelpunkt: Wenn BEKOM den Betrieb übernimmt, ist die Landschaft so dokumentiert, dass sie ohne den bisherigen Administrator wieder anlaufen kann.

Nächster Schritt: Hosting-Angebot anfragen

Den Einstieg bildet ein unverbindliches Anforderungsgespräch zur geplanten Windows-Landschaft. Auf Basis der besprochenen Eckpunkte entsteht ein schriftliches Angebot mit individualisierter Spezifikation, dokumentierter Verfügbarkeitsstufe, Lizenz-Strategie und transparent ausgewiesenem Service-Umfang.

Das Windows-Server-Assessment verschafft Klarheit über die aktuelle Microsoft-Lizenzlage, dokumentiert den Ist-Zustand der Active Directory-Struktur und entwickelt eine Architektur-Empfehlung für den deutschen Rechenzentrum-Betrieb. BEKOM analysiert bestehende Terminal-Server-Konfigurationen, ERP-Integrationen und File-Server-Strukturen für eine maßgenaue Service-Design-Empfehlung. Der Betriebsumfang wird transparent definiert – von der SPLA-konformen Microsoft-Lizenzierung bis zur 24/7-Überwachung geschäftskritischer Windows-Dienste.

1

Windows-Bedarf gemeinsam strukturieren

Im Anforderungsgespräch klären BEKOM-Microsoft-Spezialisten mit Ihrem Team die wesentlichen Eckpunkte: Anwendungslandschaft, AD-Bestand, Lizenz-Status, Performance-Anforderungen, Compliance-Profil. Das Gespräch ist unverbindlich.

2

Spezifikation auf Ihre Anforderungen anpassen

Auf Basis des Gesprächs entsteht eine maßgeschneiderte Spezifikation mit Hardware-Dimensionierung, Windows-Version, Lizenzmodell, AD-Architektur, Verfügbarkeitsstufe und Migrations-Plan, falls eine Bestandsmigration vorgesehen ist.

3

Schriftliches Angebot mit dokumentiertem Leistungsumfang

Das Angebot dokumentiert vollständig Leistungsumfang, Migrations-Schritte, SLA, Patch-Zyklen, Backup-Strategie, Lizenz-Modell, Vertragsbedingungen, Kündigungsregelungen und Kostenstruktur inklusive Lizenz-Anteil. Es bildet die transparente Grundlage für die Vertragsverhandlung – ohne versteckte Bestandteile oder nachgereichte Aufpreise.