Analyse & Empfehlung: Salto Server-Infrastruktur
Stand: 19. Februar 2026 Autor: Claude Code (Analyse per WinRM-Remotezugriff)
1. Ist-Zustand
1.1 Hyper-V Host — Salto-Host (10.128.40.7)
| Eigenschaft | Wert |
|---|---|
| Hardware | TAROX Business PC SFF, Intel Core i5, Desktop-Klasse |
| RAM | 16 GB (kein ECC) |
| Festplatte | 465 GB SSD (303 GB frei), kein RAID |
| OS | Windows 11 Pro (OEM, Key: ...BBJGG) |
| Lizenzstatus | Aktiviert (OEM_DM Channel) |
| Hyper-V | Aktiviert, 1 VM ("SALTO") |
| Netzwerk | 10.128.40.7/24 (vSwitch "DefaultLAN") |
| Software | Sophos Endpoint, SALTO USB-Treiber |
| Letzter Boot | 18.02.2026 |
1.2 Virtuelle Maschine — Salto-Server (10.128.40.6)
| Eigenschaft | Wert |
|---|---|
| VM-Typ | Hyper-V Generation 2, 1 Checkpoint aktiv |
| vCPUs | 8 (= 100% der Host-Kerne) |
| RAM | 8 GB statisch (= 50% des Host-RAM) |
| VHD | 65 GB (Differencing Disk, 38 GB belegt) |
| OS | Windows Server 2019 Standard (Key: ...DYKRD) |
| Lizenzstatus | Aktiviert |
| Daten-Disk | E: 500 GB Synology iSCSI (364 GB frei) |
| OS-Disk | C: 64 GB (nur 19 GB frei — kritisch!) |
| Letzter Boot | 10.02.2026 (9 Tage Uptime) |
1.3 Software auf der VM (40.6)
| Software | Version | Zweck |
|---|---|---|
| SALTO ProAccess Space | 6.12.2.3 | Zutrittskontrolle |
| SALTO Local IO Bridge | 1.5.0.0 | USB-Geräte-Kommunikation |
| SQL Server 2022 | 16.0.1000.6 | Datenbank (Instanz "SALTO") |
| FlexiHub | 7.0 | USB-over-Network (Workaround) |
| HHD Virtual USB Tools | 3.10 | USB-Virtualisierung |
| Hornetsecurity VM Backup | 9.13.3 | VM-Backup |
| Physical Server Backup | 2.2.0 | Physisches Backup |
| Sophos Endpoint | 2025.1 | Endpoint-Protection |
| TeamViewer | 15.74 | Fernwartung |
| Blackbox Exporter | — | Prometheus Monitoring |
| SNMP Exporter | — | Prometheus Monitoring |
| Node.js | 22.14.0 | SALTO-Abhängigkeit |
| OpenSSH Server | — | Remote-Zugang |
1.4 USB-Durchleitung
Die SALTO USB-Encoder (PPD/Keylaser) stecken physisch im Host (40.7) und werden per FlexiHub/HHD Virtual USB Tools über das Netzwerk in die VM (40.6) durchgereicht. Dies ist ein Workaround, weil SALTO direkt in einer VM läuft statt auf dem physischen Rechner.
2. Identifizierte Probleme
2.1 Lizenzverstoß (kritisch)
Windows 11 Pro erlaubt laut Microsoft-Lizenzbestimmungen als Hyper-V Host nur eine VM mit dem gleichen Produkt (also Win 11 Pro). Das Betreiben einer Windows Server 2019 Standard VM auf einem Win 11 Pro Host ist nicht lizenzkonform.
Die Windows Server 2019 Standard Lizenz würde 2 VMs abdecken — aber nur auf einem Windows Server als Host-Betriebssystem.
Risiko: Bei einem Microsoft-Audit kann dies beanstandet werden.
2.2 Ressourcen-Überdimensionierung
Die VM beansprucht nahezu alle Ressourcen des Hosts:
| Ressource | Host (40.7) | VM (40.6) | Verhältnis |
|---|---|---|---|
| CPU-Kerne | 16 | 8 | 50% |
| RAM | 16 GB | 8 GB (statisch) | 50% |
Der Host selbst hat kaum Luft für eigene Prozesse. Bei statischem RAM wird der Speicher auch bei Leerlauf der VM nicht freigegeben.
2.3 Speicherplatz C: kritisch
Die OS-Partition der VM hat nur 19 GB frei von 64 GB. Mit Windows Updates, SQL Server Logs und temporären Dateien kann der Platz schnell ausgehen. Dies kann zu: - Fehlgeschlagenen Windows Updates - SQL Server-Ausfällen - Systeminstabilität führen
2.4 Aktiver Checkpoint
Die VM hat 1 aktiven Checkpoint (Snapshot). Die VHD ist eine "Differencing Disk", d.h. alle Änderungen seit dem Checkpoint werden in einer separaten AVHDX-Datei gespeichert. Dies: - Verbraucht zusätzlichen Speicherplatz auf dem Host - Reduziert die I/O-Performance - Sollte nicht dauerhaft aktiv sein
2.5 Unnötige Komplexität durch USB-Workaround
Die USB-Durchleitung über FlexiHub/HHD Virtual USB Tools ist eine zusätzliche Fehlerquelle. SALTO ProAccess Space benötigt keinen Windows Server — es läuft auch auf Windows 10/11 Pro (siehe Abschnitt 3).
2.6 Desktop-Hardware als Server
Der TAROX Business PC SFF ist ein Desktop-PC ohne: - ECC-RAM (kein Schutz vor Speicherfehlern) - RAID (kein Schutz vor Festplattenausfall) - Redundantes Netzteil - Server-Grade Mainboard
Für eine Zutrittskontrolle (sicherheitskritisch) ist dies nicht ideal.
3. Braucht SALTO einen Windows Server?
Nein. Laut den offiziellen SALTO Systemanforderungen:
- SALTO ProAccess Space läuft auf Windows Server 2008+ oder einem anderen OS
- Windows Server ist nur dann erforderlich, wenn ein USB-Gerät angeschlossen werden soll — aber das geht genauso auf Windows 10/11 Pro
- Mindestanforderungen: 2.5 GHz CPU, 8 GB RAM, 10 GB Festplatte
- SQL Server 2016+ (Express reicht aus, ab Version 6.13)
Fazit: Die gesamte VM-Konstruktion ist nicht notwendig. SALTO kann direkt auf dem Windows 11 Pro Host laufen.
4. Warum wurde die VM-Konstruktion gewählt?
Vermutliche Gründe: 1. Isolation: SALTO sollte in einer eigenen Umgebung laufen (Backup, Snapshots) 2. Vorhandene Lizenz: Die Windows Server 2019 Lizenz war vorhanden und wurde genutzt 3. Best Practice Annahme: Server-Software → Windows Server (ist aber bei SALTO nicht nötig) 4. Backup: Hornetsecurity VM Backup kann ganze VMs sichern
5. Lösungsoptionen
Option A: SALTO direkt auf dem Host installieren (Empfohlen)
| Kosten | 0 EUR |
| Aufwand | Mittel (Migration, ca. 1 Tag) |
| Lizenz | Kein Problem (Win 11 Pro OEM reicht) |
Vorgehen: 1. SQL Server 2022 Express auf dem Host (40.7) installieren 2. SALTO-Datenbank von der VM exportieren und auf dem Host importieren 3. SALTO ProAccess Space auf dem Host installieren 4. SALTO Local IO Bridge konfigurieren — USB funktioniert nativ, kein FlexiHub nötig 5. Hornetsecurity Physical Server Backup einrichten (Agent ist bereits auf der VM installiert) 6. VM herunterfahren und als Fallback behalten 7. Nach Testphase: VM und Server-Lizenz stilllegen
Vorteile: - Keine Lizenzprobleme - Keine USB-Durchleitung nötig (native USB) - Bessere Performance (kein Hypervisor-Overhead) - Einfachere Wartung - Physical Server Backup bereits vorbereitet
Nachteile: - Kein VM-Snapshot für schnelles Rollback - Migration erfordert Downtime
Option B: Windows Server auf dem Host installieren
| Kosten | 600–900 EUR (Server 2022 Standard OEM) |
| Aufwand | Hoch (Neuinstallation Host) |
| Lizenz | Sauber (Server-Host + 2 VMs erlaubt) |
Vorgehen: 1. Windows Server 2022 Standard als Host-OS installieren 2. Hyper-V Rolle aktivieren 3. Bestehende VM migrieren 4. Server 2019 Lizenz für die VM verwenden
Vorteile: - Professionelles Setup, lizenzkonform - VM-Snapshots weiterhin möglich
Nachteile: - Zusätzliche Lizenzkosten - Neuinstallation des Hosts erforderlich - Desktop-Hardware bleibt das Grundproblem
Option C: Status Quo bereinigen (Minimalaufwand)
| Kosten | 0 EUR |
| Aufwand | Gering (1 Stunde) |
| Lizenz | Weiterhin problematisch |
Sofortmaßnahmen: 1. Checkpoint löschen (spart Platz, verbessert Performance) 2. VM-Disk C: auf 100 GB vergrößern 3. VM-RAM auf 6 GB reduzieren, dynamisch aktivieren 4. VM-CPUs auf 4 reduzieren
Vorteile: - Schnell umsetzbar - Verbessert Stabilität
Nachteile: - Lizenzproblem bleibt bestehen - USB-Workaround bleibt bestehen
6. Empfehlung
Option A (SALTO direkt auf dem Host) ist die beste Lösung, weil:
- Kostenlos — keine neue Lizenz erforderlich
- Lizenzkonform — Win 11 Pro OEM reicht für SALTO
- Einfacher — keine VM, kein FlexiHub, kein USB-Workaround
- Zuverlässiger — weniger Komponenten = weniger Fehlerquellen
- Performanter — kein Hypervisor-Overhead
Unabhängig von der gewählten Option sollten sofort diese Maßnahmen umgesetzt werden: - Checkpoint auf der VM löschen - C: Partition überwachen (Alert bei < 10 GB) - Firewall-Regel für Port 8102 erstellen (siehe Dokument 11)
7. Migrationsplan (Option A)
| Schritt | Aktion | Dauer |
|---|---|---|
| 1 | SQL Server 2022 Express auf Host installieren | 30 Min |
| 2 | SALTO-Datenbank sichern und auf Host importieren | 30 Min |
| 3 | SALTO ProAccess Space auf Host installieren | 45 Min |
| 4 | SALTO Local IO Bridge auf Host konfigurieren | 15 Min |
| 5 | USB-Encoder direkt am Host testen | 15 Min |
| 6 | Web-Interface testen (http://10.128.40.7:8100) | 15 Min |
| 7 | DNS/Firewall-Regeln anpassen (40.6 → 40.7) | 15 Min |
| 8 | Monitoring-Targets in Prometheus anpassen | 15 Min |
| 9 | Hornetsecurity Physical Backup einrichten | 30 Min |
| 10 | VM herunterfahren (als Fallback behalten) | 5 Min |
| Gesamt | ca. 3–4 Stunden |
Wichtig: Die Migration sollte außerhalb der Geschäftszeiten durchgeführt werden, da die Zutrittskontrolle temporär nicht verfügbar ist.
Erstellt: 19.02.2026 Quelle: Automatisierte Analyse per WinRM-Remotezugriff auf beide Server Referenz: SALTO Systemanforderungen