zahni

Dann darfst Du auch nicht mehr als 8 Cores konfigurieren. Der RAM ist gleichmäßig auf beide NUMA-Nodes verteilt? Also beide CPU'en haben die gleiche Anzahl an RAM-Riegeln? Eine VM sollte immer so konfiguriert sein, dann sie nicht Ressourcen außerhalb eines NUMA-Nodes benötigt. Sonst wird es richtig langsam.

Die CPU hat 8 Cores. davon ist nur eine verbaut. Daher kannst Du nicht mehr als 8 Cores, besser 7, den VMs zuweisen. Hyperthreading hilft Dir hier nicht, sondern höchstens dem Hypervisor, die CPU-Ressourcen besser auf die VMs zu verteilen. Wenn Du 10 Cores konfigurierst, müssen sich mindestens 2 Cores hinten anstellen. Mein Tipp: Pro VM bei der Hardware nicht mehr als 4 vCPU konfigurieren und dann nochmal testen.

Bitte mal die genaue Konfiguration des HPE ML350 Gen10 posten und die Konfiguration der einzelnen VM's. Also RAM, Anzahl und Type CPU. VM: RAM und Anzahl vCPU.

Ohne Fachkonzept und Change mache ich nichts.,

Ob das unsere Firewall gut findet?

Was soll denn die Alternative sein? Soll sich jeder Client die Updates selber runterladen? Beteiligt sich MS am DE-CIX?

Ist wohl ein RFC https://www.heise.de/hintergrund/Chrome-blockt-ab-sofort-Zertifikate-mit-Common-Name-3717594.html

Chrome meint sogar, dass Zertifikate ohne SAN-Attribut ungültig sind. Was diese Änderung soll, habe ich bisher nicht herausfinden können.

Wobei das DNS-Attribut mittlerweile Pflicht ist, sonst mault Chrome rum.

Das halte ich für sehr hypothetisch. 1. Ist der Common-Name natürlich mit dem FQDN ausgestellt, sonst geht es eher nicht und 2. sind es interne Systeme. Das funktioniert nur, wenn der Client den DNS-Suffix kennt. Wie sollte "jemand" nun ein Zertifikat ausstellen? 1. müsste er es mit einer Public CA machen. Da geht sowas nicht. Und mit einer internen CA müsste er dem WSUS sein Server-Zertifikat unterschieben und dem Client sein Root-Zertifikat. Da habe ich in beiden Fällen was dagegen.

Wieso? Darf man das beim SAN-Attribut DNS nicht mehr reinschreiben?

Bei und stehen beide Namen in Zertifikat 😏

Der WSUS lädt Updates immer (noch) per HTTP herunter, auch wenn die Kommunikation per HTTPS erfolgt. Was steht denn genau in der WSUS-GPO, bitte alle Parameter. Beispiel:

Ah ja, sorry. Habe das kurz vor einem Termin geschrieben.

Hast echt, man muss es mindestens 2x ändern: https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password

Siehe auch: https://support.microsoft.com/en-gb/topic/kb5037754-how-to-manage-pac-validation-changes-related-to-cve-2024-26248-and-cve-2024-29056-6e661d4f-799a-4217-b948-be0a1943fef1 Es kann nicht schaden, bei dem Konto ein neues Kennwort zu setzen. Welches ist egal. Schön lang und man muss es sich nicht merken. Damit werden alle ausgestellten Tickets ungültig.

Da wäre ich mir nicht sicher: PKCS#12 hat ein RFC: https://de.wikipedia.org/wiki/Public-Key_Cryptography_Standards

Ja, dafür sind sie da. Und wenn man fertig ist, löscht man sie und lässt sie nicht dauerhaft bestehen. Eine Ausnahme ist VMWare Horizon. Das ist aber ein anderes Thema.

Der private Key ist schon besonders schutzwürdig. Da ist eine PFX-Datei am einfachsten. BTW: Auch die entsprechenden Server können langsam mal PFX-Support nachrüsten. Bei neueren Tomcat-Servern kann man PFX direkt einbinden, ohne einen Java Keystore zu erzeugen. wobei das KSE-Tool PFX auch direkt lesen kann.

Eigentlich findet man das bei Google, z.B. hier: https://www.ibm.com/docs/en/arl/9.7?topic=certification-extracting-certificate-keys-from-pfx-file

Solche Effekte gab es mal bei anderen Windows-Versionen, wenn der SUS-Client zu alt war. Ich habe eben noch das hier gefunden: https://learn.microsoft.com/de-de/windows-server/administration/windows-server-update-services/plan/plan-your-wsus-deployment#uup-considerations

Bist Du Dir sicher, dass wuauclt bei Windows 11 noch funktioniert? Müsste es nicht UsoClient genommen werden?

Genau. Unter DOS. Später kam dann Windows dazu. Ich wollte damit nur ausdrücken, dass es die Fa. schon eine Weile gibt...

ich werfe mal die Produkte von https://www.hamburger-software.de/ in den Ring. Bis vor 25 Jahren habe ich die oft technisch installiert. Deren Produkt wurden damals als IBM-Produkte vermarktet. Wie die heute sind, kann ich nicht sagen. Die haben aber eine echte skalierbare Warenwirtschaft.

Nur als Ergänzung: Snapshots kann man zur Datensicherung nutzen, die macht man dann aber auf dem Storage. Guter Storage kann die performanceneutral bereitstellen und er bietet dann auch noch weitere Sicherungsmöglichkeiten kann. VM-Snapshot kosten immer Performance, besonders, wenn man mehr als eine Instanz hat. Die kann man nutzen, aber nur für Wartungsaufgaben, z.B. leichtes Rollback bei Software-Updates.