Emmermacher

Hallo. In unserer Außenstelle haben die Kollegen kuriose Probleme mit Windows 10 Build (1909 und 20H2) Die Maschinen frieren zeitweise für 10-30 Sekunden ein, Tastaturanschläge sind immer wieder stark verzögert. Das taucht in Chrome, Outlook (O365) und Teams auf. Bei Chrome ist das wohl ein bekannter Fehler. Auf meinem eigenen Rechner im Hauptstandort hatte ich das gestern auch massiv in Chrome. Die gefundenen Methoden Browser Cache löschen, Chrome zurücksetzen und Neuinstallation haben keine Änderung gebracht (Aktuelle Version) Vor zwei Wochen war in ich in der Außenstelle. Auf meinem Notebook gab es keine Probleme, die von den Kollegen geschildert worden sind. Teilweise war die CPU-Auslastung durch Interrupts auf 100%. Auf den Systemen habe ich Treiber aktualisiert. Das scheint einen Teilerfolg gebracht zu haben. Im AV-Programm habe ich noch weitere Exceptions hinzugefügt. Wirklich gebracht hat das an der Stelle nicht. Den Traffic zwischen den Standorten ist ein wenig verändert worden. Ein Server der Außenstelle übernimmt jetzt die Verteilung von Updates und Einstellungen der AV-Lösung. Die Priorisierung über die WAN-Optimizer ist auch noch mal angepasst worden. Mehr als Rechner einziehen und neu aufsetzen fällt mir aktuell nicht ein. Im Gastnetz und im Homeoffice soll es keine Probleme geben. Das Regelwerk der Firewall wurde für O365 auch noch mal angepasst. Die Ausnahmenn in einer Proxy-Policy wurde durch einen vorgeschaltete Paketfilterregel ersetzt. Diese greift auch so, wie sie soll. Hat da jemand eine Idee, wo man noch suchen kann? Neuinstallation der AV-Programme? Vielen Dank im Voraus für Eure Ideen. Bleibt gesund! Dirk Emmermacher

Hallo Janguru. Wir nutzen hier eine Citrix-Farm mit published Desktops. Insgesamt haben wir ca 60 User, die auf vier Servern arbeiten. In der Praxis sind aber selten mehr als 40 zeitgleich angemeldet. Die Server haben bei uns 4 CPUs mit je 2 Cores und 48GB RAM. In der Regel ist das ausreichend. Teams und Co fordern hier eider Ihre Tribute. Ein Tipp um eine hohe CPU-Auslastung zu reduzieren: Trage die empfohlenen Exceptions bei deiner AV-Software ein. Die User werden es Dir danken ;) LG Dirk

ich habe das mal heraus genommen. Schönen Feierabend :) Dirk

Damit meine User sehen, das Updates zu installieren sind. Oder ist das hier überflüssig?

Einen WSUS gibt es. Einstellungen: Anzeigeoptionen für Updatebenachtictgungen: 0 (standard) Automatische Upates konfigurieren: 4 Während automatischer Wartung installieren: deaktiviert Geplanter Installationstag: 0 - Täglich Geplante Installationszeit: 14:00 Uhr Jede Woche: Aktviert Erste - vierte Woche. deaktiviert Automatische Updates sofort installieren: aktiviert Automatischen Neustart nach Updates während der Nutzungszeit deaktivieren: aktiviert Nutzungszeit Start: 07:00 Uhr Ende: 18:00 Uhr Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen: deaktiviert empfohlene Updates über automatische Updates aktivieren: aktiviert Der interne Pfad ist entsprechend gesetzt. Nichtadminstratoren dürfen Updates installieren Option "Updates installieren und herunterfahren2 im Dialogfeld "Windows herunterfahren" nicht anzeigen: deaktiviert Der Key UpdateServiceUrlAlternmate ist auch eingetragen. LG Dirk

Das mit dem ADC werde ich mir mal überlegen... Die Notebook sind, wenn überhaupt einen Tag im Büro. Wer im Büro ist, installiert dann häufig keine Updates :(. Für Intune und SCCM sind wir zu klein. Wir haben hier ca. 100 Workstations und Notebooks. Wir haben hier seit ein paar Wochen TeamViewer im Einsatz. Da gibt es auch noch eine Option, Updates von MS und anderen zu installieren. Hast Du da Erfahrungen sammeln können? Für Softwareverteilung hatten wir auch schon mal DeskCenter gestestet. Ist aber zeitaufwändig, immer zu paketieren. Haben wir aus Zeitmangel nicht weiter verfolgen können. Zumal das nur intern funktioniert. LG Dirk

Citrix nutzen wir auch. Das Windows darunter sollte ja auch einigermaßen aktuell sein. BYOD ist bei uns kein Thema. Jeder hat bei uns jetzt das Recht auf einen Tag Homeoffice im Monat. Wir dürfen dann entsprechend neue Notebooks einrichten. Da bis ich auf CRM und Webseiten alles machen muss, habe ich mittlerweile die Kapazitätsgrenzen mehr als überschritten. Gibt es Möglichkeiten, aktuelle Updates voraus zu setzen, um einen Zugang zur Citrix-Farm zu bekommen? LG Dirk

Hallo Norbert. Kann man sich den Kollegen "ausleihen"? LG Dirk

Hallo Gulp. Theoretisch sehe ich das auch so. Mittlerweile habe ich gelesen. das beim Update von 1909 mit den Oktober Updates wohl die Zertifikate gelöscht werden. Leider haben dank der aktuelle Situation meine Systeme einen bunten Strauss von Updates im Einsatz. Im Homeoffice machen meine Kollegen häufig keine Updates.

Guten Morgen. Wie sind Eure Erfahrungen mit Build 2004? Ist das mittlerweile ohne große Nebenwirkungen im Unternehmen nutzbar? Mit einem alten Rechner den ich upgedatetn hatte, konnte ich so erst mal nichts negatives feststellen. Gibt es bei Euch so was wie Checklisten, an den man sich lang hangeln kann? Privat nutze ich das, aber da habe ich auch keine Domain... Von 20H2 werde ich erst mal die Finger lassen. Vielen Dank im Voraus für Eure Antworten. LG Dirk Emmermacher

Hallo. Zurück zum eigentlichen Thema. Testweise habe ich mal einen Xenapp-Server eingerichtet. Dieser steht, im Gegensatz zu den Produktivsystemen, im VLAN der Server. Meine Xenapp-Farm ist im Client VLAN. Die Userprofile liegen auf einem Server im Server VLAN. Auf dem Testserver läuft das Login wesentlich schneller (10GBe statt 1GBe, das hatte ich erwartet). Die eigentliche GPO Einstellung zieht jetzt auch. Warum, wissen vermutlich nur die Götter... Da ich meine TS-Server im Client VLAN lassen wollte (Ich sehe solche Maschinen als Clients an), ergibt sich mir die Frage, ob es sinnvoll wäre, den Profilserver ins Client VLAN zu stellen. Eine Änderung der IP-Adresse auf Server und DNS ist schnell gemacht. Eine Anpassung am Hypervisor auch. Gibt es aus Eurer Sicht noch Fallstricke, die ich nicht beachtet habe? Alternativ halte ich es auch für denkbar, nur für die UPM-Profile einen neuen Server im Client VLAN einzurichten und die Daten per Robocopy oder aus dem Backup zu holen. FSLogix würde ich erst mal verschieben. Aktuell habe ich leider kaum Zeit, mich darum zu kümmern. Euch allen ein schönes Wochenende :). LG Dirk

Hallo Jan. Werde ich demnächst mal testen. Euch allen wünsche ich einen schönen Feierabend :) LG Dirk

So gesehen ja. Das machen wir aber alle eher ungern.

Hallo. Für die Einrichtung habe ich diese Anleitung genutzt: https://www.citrix.com/content/dam/citrix/en_us/documents/products-solutions/deployment-guide-office-365-for-xenapp-and-xendesktop.pdf Ich habe jetzt noch mal Freigegebene Nachrichtenordner herunterladen deaktiviert. Die Empfehlung mit 3 Tagen läßt sich bei uns nicht durchsetzen. Unabhängig von den getroffenen Einstellungen wäre es ja schon gut, wenn überhaupt eine Einstellung hier greifen würde. Wäre es denkbar, das Outlook in TS-Umgebungen einen Bug haben könnte? Mit dem FSLogix hatte ich auch überlegt, das nutzten. Die Lizenzen dafür haben wir. Lässt sich das im laufenden Betrieb ändern. Eine Testumgebung habe ich nicht. LG Dirk

Hallo Jan. Das landet alles in dem Schlüssel: Die OST-Datei habe ich heute morgen mal gelöscht und danach Outlook gestartet. Die scheint wirklich alles zu cachen. In der Umgebung hat die OST-Datei knapp 1,3GB. Auf meinem Desktop komme ich auf 300MB. LG Dirk

Hallo Jan. Die Ergebnisse stammen aus der gpmc.msc. Ein gpresult führt bei meinem User bei Office-Einstellungen zum gleichen Ergebnis. Computerrichtlinien werden hier ja nicht angezeigt. Die TS-Server habe ich in der OU=Citrix stehen. Meine User sind nach Standorten und Abteilungen in anderen OUs. Alle 3 GPOs werden nur in Citrix genutzt. LG Dirk

Moin. Herzlichen Dank für Eure Antworten. Hier mal ein paar Auszüge aus meinen GPOs: Das wird auch angewendet. Die GPO verwendet hier als Sicherheitsfilter den Standard Authentifizierte Benutzer. Diesen Regkey habe ich auch noch hinzugefügt: Der hilft aber auch nicht. Ohne den Key ändert sich hier auch nichts :(. Im Outlook bekomme ich aber das angezeigt: Wir nutzen UPM. Die OST-Dateien lasse ich auf eine Fileserver liegen. Die müssen wirklich nicht kopiert werden. Die Richtlinie wird ja hier angeblich angewandt. Die gleichen Einstellungen nutze wir auch für normale Clients. Da funktioniert die Einstellung. LG Dirk

Hallo. In unserer Citrix Farm Xenapp 7 Build 1912 LTSR CU1 auf W2k16 werden die GPO nicht so abgearbeitet, wie es eingestellt ist. In Outlook wird die gesamte Mailbox gecached. Eingestellt sind 3 Monate (Nach Best Practice von Citrix) Die Loopback-Policy enthält nur den Loopback Mode und wird auch als erstes ausgeführt. Der steht auf "Ersetzen". Testweise habe ich eine Maschine mal auf "Zusammenführen" umgestellt. Keine Änderung. Auch ein erzwingen der Einstellungen hatte im Vorfeld zu keinem Ergebnis geführt. Von den Rechten her steht die GPO auf Authenticated User. Wie bekomme ich hier eine saubere Abarbeitung der GPOs hin. Vielen Dank im Voraus für Eure Tipps. Ich wünsche Euch ein schönes Wochenende :) - Und bleibt gesund! LG Dirk Emmermacher

Hallo. Auf einigen Windows 10 Rechnern (Build 1903) kommt es beim Herunterfahren zu Fehlermeldeungen, dass das Profil nur teilsysnchronisiert wird. Den Fehler gab es Build 1803. Wir nutzen aber 1903. Den Regkey HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon "ExcludeProfileDirs"="AppData\\Local;AppData\\LocalLow;$Recycle.Bin;OneDrive;Work Folders" ist so gesetzt. Bei einem User habe ich auf dem Server den Ordner seines Profils umbenannt und auf den Rechner gelöscht, inkl. Reg-Einträge. Habt Ihr eine Idee, was icht tun kann (außer jetzt das Roaming zu deaktivieren). Vielen Dank im Voraus für Eure Antworten. Schönes Wochenende :) Dirk Emmermacher

Hallo. Sorry, das ich mich erst jetzt melde. Dank Urlaubszeit haben mich meine User ein wenig im Stich gelassen. Die Regkeys sind jetzt eingetragen. Diese Meldungen erscheinen jetzt nicht mehr. Mein Testaccount arbeitet ohne Probleme. Mein Arbeitskonto synct die Chats teilweise nicht. Das werde ich aber später angehen. Die nächsten Wochen gibt es wichtigeres als arbeiten... LG Dirk

Hallo Jan. Die Einstellungen sind eingerichtet. Mal schauen, was dabei heraus gekommen ist. Genieß den Feierabend. Dirk

Guten Morgen Jan. Danke für Deine Antwort. Auf unseren Server ist die Desktop App installiert. Diese möchte die Einstellungen haben. Für die Browser App habe ich bislang Chrome empfohlen, da der IE nicht supported wird. Edge habe ich (bislang) noch nicht dort ausgerollt. LG Dirk

Hallo. Auf unseren Citrixserver (w2k16 Xenapp 7 Build 1912 CU1) haben wir Teams installiert. Leider verlangt die App das zulassen von Drittanbieter-Cookies. Meine Idee hier war, die URLs für Teams bei den vertrauenswürdigen Sites einzutragen und dann die Einstellungen für die Cookies vorzunehmen. Da die Entwickler es wohl nicht für nötig befunden haben, das bei den GPOs hier Einstellungen vornehmen kann :( , werde ich wohl eine andere Lösung finden müssen. Bei MS habe ich dazu zwar einen Artikel gefunden, aber bislang noch nicht wirklich verstanden. Was für Regkeys müssen hier gesetzt werden, um das Verhalten einzustellen? Eine Lösung per GPO halte ich für sinnvoller, als den Kollegen eine Anleitung zu schicken. DAUs sind ja leider überall vorhanden... Vielen Dank im Voraus für Eure Antworten. LG Dirk Emmermacher

Moin @lefg . Due hast recht. Aktueller Stand: Die Citrix-Server, die das Serviceing-Update bekommen habe, lassen aus dem Backup leider nicht wieder herstellen. Hatte hier schon mehrere Fernwartungen mit dem Hersteller. Ein funktionierende Lösung habe ich hier immer noch nicht. Die Maschinen laufen aber trotzdem erst mal weiter. Hier planen wir bereits einen Austausch. Was hier auf jeden Fall gelernt habe, das Updates schneller installiert werden müssen. Die Fehler, die im AD/DNS gefunden worden sind, sind immer noch nicht vollständig behoben. Auch hier muss ich wohl mehr Monitoring und Maintenance betreiben. Wie häufig sollte man hier Maintenance mindestens betreiben? Reicht hier dann ein dcdiag aus (Die AD-Replikation überwache ich jetzt mit PRTG)? LG Dirk

Moin @mwiederkehr . Informationen zu Sicherheitsproblemen kann ich nur lesen, wenn die Zeit dazu da ist. So habe ich kaum mal Zeit, mich zu aktuellen Sicherheitsproblemen informieren. Seit März habe ich gefühlt immer noch mehr zu tun. Installation von Updates läuft dann nur noch "nebenbei". Das ist mit Sicherheit nicht der Zustand, den ich mir wünsche, aber quasi als Einzelkämpfer in der IT kaum anders machbar. Exchange und Co ist bei mit kein Thema (O365). Das hatte ich aber von meiner Kollegin gehört, das Exchange ein grauseliges Thema ist. Schöne Pfingsten :) Dirk