Weingeist

Ganz andere Frage, wie schafft man das auf "normalen" Clients auf den heutigen Festplatten? Bei VM's wo man möglichst klein bleiben möchte ja, aber bei physischen Clients? Was habt ihr den für Festplattengrössen? Kenne das nur noch auf Power-Maschinen mit vielen Anwendungen und kleinen Optans. Gängige Ansatzpunkte Daten werden statt auf dem Filer auf den Clients gespeichert, allenfalls auch privates Browser-Cache wird nicht limitiert bzw. allgemein viel zu viele Daten in den Profilen --> Ursachen herausfinden, Massnahmen ergreifen Die E-Mail-Postfächer sind übervoll und Zwischenspeicherung auf dem Client benötigt enorme Mengen an Platz --> Archivierungslösung in Betracht ziehen. Insbesondere bei mehreren User eines PC's kann das ein Problem werden und wird mit "Sammelpostfächern" maximiert wenn die Files nicht auf eine separate Festplatte mit Dedupe geschoben werden können. Updates werden nicht sauber bereinigt. Dazu mal auf ein paar Clients den Component-Store überprüfen (dism, Check-Health). Wenn der erfolgreich ist allenfalls noch mit Analyze eine tiefergehende Prüfung vornehmen oder gleich eine manuelle Bereinigung durchführen (Cleanup mit Reset-base). Wenn er beschädigt ist, keinesfalls reparieren wenn eh schon wenig Platz da ist. Ist die Reparatur nicht erfolgreich - was meistens der Fall ist - bleibt der verbrauchte Speicherplatz. --> Neuinstallationen mit aktueller Build einplanen Das System selbst erstellt viel zu viele Files --> Als Leitfaden für die Optimierung könnten z.B. VmWare Leitfäden dienen Oft hilft die Neu-Installation oder auch ein Inplace (eher schwierig wenn zu wenig Platz) mit einem aktuellen Build. [Spoiler]Bezüglich Windows 11: Ohne jetzt den Teufel an die Wand zu malen, aber wer 1 + 1 zusammenzählen kann, muss unweigerlich zum Schluss kommen, dass Tech-Konzerne mit der neuen Regierung der USA sehr viel freie Hand bekommen werden und deren Interessen auch politisch durchgedrückt werden. Entsprechende Hinweise gibt es bereits vom Tech-Zögling Vance. Die Risikobewertung muss angepasst werden. Ob man will oder nicht. Die EU wird es sich zweimal überlegen müssen, ob sie bei Verletzungen gegen unser Recht gegen die Tech-Firmen vorgeht. Stichwort Telemetrie, Recall etc. [/spoiler]

Yep, das mit dem zuverlässig machen und überprüfen war aber so eine Sache früher. Ja, wegen Veeam das eine Linux-Maschine als Rep mit unlöschbaren Files empfohlen hat, kam ich eigentlich mal auf die Idee mit den Synology. In der Theorie machen die ja das gleiche. Die Frage ist, ob die aufgeblasenen Synology der richtige Weg ist wenn man mit Bordmitteln sichert und ob deren Trennung genügend gut ist. Würde da ja eigentlich eher etwas sehr schlankes aber einfach zu verwaltendes bevorzugen. Zumindest wenn ich die Sicherung möglichst mit Bordmitteln oder einer Applikation vornehmen möchte. Für Veeam ist das natürlich schick. Die Konfig ist mit der neuen ISO schon cool. Fragt sich ob man das tatsächlich möchte, wenn man sich mit Linux nicht so richtig auskennt. Die Kiste muss man ja auch aktuell halten, pflegen und unterhalten.

Das stimmt wohl. Leider. Das sind meine Bedenken. Streng genommen ist das ja bei allen Online-Speichersystemen so. Selbst bei Tape-Loadern. Wer kann schon wirklich WO garantieren solange eine Verbindung besteht. Die Frage ist, wie wahrscheinlich das aufgrund der getroffen Massnahmen der Hersteller jeweils ist. Genau da bin ich im Clinch, wie sehr kann man davon ausgehen, dass sich ein Synology oder QNAP nicht vollständig verschlüsseln lässt, solange nur die Dateizugriffsprotokolle auf einem Port verfügbar sind. Muss-kann-sollte man sich darauf verlassen, dass der Hersteller das sauber trennt/trennen kann und falls nicht, was sollte man sonst tun. Irgendwie fehlt mir immer noch ein KMU-Sicherungskonzept hinter dem ich uneingeschränkt stehen kann. Sowohl punkto Sicherheit als auch für die praktikable Bedinung. Insbesondere wenn Applikationsdaten gesichert werden, braucht es ja irgend eine Verbindung zwischen Sicherung und produktiven Netz, obwohl man die eigentlich am liebsten vermeiden möchte. Cloud-Backup ist irgendwie nicht wirklich praktikabel. Die Übertragung dauert viel zu lang. Sowohl für das sichern selbst als auch den Recovery-Test. Unabhängig davon, wenn ich mir die letzten Dienstleister-Hacks anschaue, kann man sich darauf irgendwie auch nicht so richtig verlassen. Und wer sagt, dass die nicht gleich mitgelöscht werden.

Salut zusammen, Synology NAS sind ja recht weit verbreitet in kleinen Firmen. Ich persönlich habe immer ein etwas zwiespältiges Verhältnis zu den Dingern, nutze sie aber ab und wann als Datengrab oder Backup-Ziel. Dennoch würde mich mal folgendes interessieren: 1. Wie sicher ist das OS wenn man das Management-Protokoll nur in einem eigens abgeschotteten Netz betreibt? Unmöglich via anderen Protokollen über andere Ports Konfig-Änderungen vorzunehmen via Bugs etc.? 2. Wie sicher sind die WORM-Volumes bzw. die gelockten Files mit einer fixen retention Time? Keine Chance da was zu löschen ohne Mangement-Zugriff? --> Wirksamer Ransomware-Schutz der Backups? 3. Etwas ganz banales, aber nigends gefunden: Ist eine RAID 1 mit >=3 Mirrors bei einem Scrubbing durchlauf ein Majority System oder wird Scrubbing auch dann ignoriert? (Bei zwei Mirror kann das System ja nicht wissen was korrekt ist) Grüsse und Danke

Ja fände ich auch interessant. Vor allem im Hinblick darauf, falls alte Flags allenfals doch noch ausgewertet werden obwohl sie mit dem aktuellen Rule-Set gar nicht mehr gesetzt werden können. Und: Du möchtest generell alle notwendigen Werte explizit konfiguriert haben damit sowas nicht passiert, auch nicht unabsichtlich. Oft sind es die Internetadresse wo nicht bezogen werden soll wo z.B. eine interne FQDN auch als Internetadresse angeschaut wird. Oder die Geschichte mit der Umgehung der neuen Routinen welche nicht von jedem UpdateClient genau gleich ausgewertet wird. Aber eben, interessant wäre tatsächlich welche das genau sind. Wirst ja sicher einen RegShot oder Export gemacht haben den man vergleichen kann oder?

Sofern dich das noch interessiert: Lizenztechnisch gibt es da keine Einschränkungen. Supported ist sicher Office LTSC auf Windows LTSC, egal ob Server oder Client. Das muss halt klassich per Device lizenziert werden. Office 365 ist dagegen so eine Sache. Offiziell schreiben die nicht supported auf den LTSC-Releases. Inoffiziell lauffähig mit Sicherheit 30 Monate ab release, also solange das normale Herbst-Build im Support ist. Dann gibts aber doch wieder offizielle Microsoft Artikel wo drin steht bis wann das trotzdem geht. Grund sind die ganzen RDS die es überall gibt. ;) Siehe z.B. https://learn.microsoft.com/en-us/microsoft-365-apps/deploy/deploy-microsoft-365-apps-remote-desktop-services MS wird zudem die Cash-Cow Office nicht beerdigen indem es Bedingungen so macht, dass es nicht mehr läuft. So wenig wie sie Office LTSC beerdigt. Sprich die Ausnahmen dürften noch eine Weile Bestand haben oder sogar erneuert werden. Office kommt in ein paar Tagen als LTSC.

Salut Zusammen, Kann mich mal jemand erleuchten ob es zwingend alle Varianten braucht oder nur die höchste Nummer 1.417.xx. 1.375.xxx 1.405.xxx 1.417.xxx Hintergrund meiner Frage: Es gab in der Vergangenheit Updates welche den Component-Store von Server 2022 zerschossen hat wenn die Updates der Unterschiedlichen Versionen im gleichen Atemzug installiert wurden. Auf diesen Maschinen war dann keine Bereinigung des Comonent-Store mehr möglich, sprich C: hat sich aufgebläht. Eine Reparatur schlug fehl, egal mit welcher Quelle. C war dann noch viel grösser aufgebläht. Also entweder so gelassen oder mit einem Inplace der gleichen Version gefixt. War ein Neustart zwischen 1.375 und 1.405 war die Installation kein Problem. Irgendwann so gefühlt nach einem Jahr hat MS dann mal ein (normales Monats CU) Update rausgebracht welches den Component Store tatsächlich wieder gefixt hat und Bereinigungen wieder möglich waren. Hatte schon jemand anderes diese Eigenart? Kann man die heute gefahrlos zusammen freigeben? Sollte man eine Version vor der anderen freigeben damit Installationsreihenfolge korrekt ist? Oder muss man sowieso nur die neueste freigeben und die anderen sind obsolet? Grüsse und Danke

Wie gesagt, ich würde einerseits die Kommunikation prüfen und auch die Einstellungen von Windows Update vergleichen und wens identisch ist, mal manuell mit dem Powershell-Script anstossen. Es muss etwas unterschiedlich sein, der Update-Client dürfte es nicht sein, aber irgend eine Einstellung. Möglich ist auch, dass ein Inplace die klassiche Update-Art verwendet und eine Neuinstallation die neuen kleinen Files und das Du nur eines von beidem in WSUS aktiviert hast. Daher Einstellungen vergleichen. Frisch aufgesetzt vs Inplace. Wenn Du alte Einstellungen drin hast, kann das problemlos eine neue Version der Update-Geschichte lahmlegen. Wenn bei W11 alles über UsoSvc läuft (weiss ich nicht, W11 noch nicht analysiert) und früher über wuauserv dann kann es auch sein, dass deine Firewall-Rules nicht mehr passen (Wenn Du Standard-Block-Out drin hast und neue Freigaben fehlen würden). Daher, FW-Logs aktivieren, dann siehst ob und wohin die Kommunikation geht. Ein paar Reg-Pfade zum vergleichen: HKLM\SOFTWARE\Microsoft\PolicyManager\default\Update HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate sowie die Wow64 Pendants Und ja Windows hat manchmal die Eigenart zu sagen, dass alles gut ist, obwohl gar keine Kommunikation möglich ist. Ich würde ja generell sagen mach alles neu, im kleinen mache ich das immer so. Aber bei so vielen würde ich da auch ein paar Stunden investieren. ;)

Bei einem Windows 11 Build dürfte es nicht an veraltetem Update Client liegen. Allerhöchstens an einem veralteten WSUS. Ist aber auch eher unwahrscheinlich. Synchronisiert der WSUS überhaupt die Windows 11-Updates? Sonst hilft nämlich alles nichts. Zum test könntest auch mal einen neuen Windows 11 aufsetzen und schauen ob der die Updates kriegt. Und da MS mit fast allen Builds irgendwas an den Update-Einstellungen rumschraubt und gleiche Einstellungen auf unterschiedlichen Builds teilweise unterschiedlich wirken, würde ich mal schauen ob Du einen aktuellen GPO-Satz mit aktuellen Einstellungen hast und verteilst. Oder mal nur den WSUS selber per GPO verteilen, keine sonstigen Einstellungen wie Internetadressen verhindern oder ähnliches. Am besten als FQDN und mit SSL. Das Powershell-Script von hier: https://woshub.com/pswindowsupdate-module/ nehme ich gerne um Industriemaschine up to date zu halten (Dienste deaktiviert). Das erzwingt eine Kommunikation zuverlässig und sofort. Wie auch immer es das anstellt. Zusätzlich könntest das Logging für die Windows-Firewall bzw. BFE aktivieren. Dann siehst ob etwas geblockt wird bzw. oder die Kommunikation an den falschen Ort gehen will. In Deinem Fall würde ich failure und success aktivieren. Zu guter letzte dann noch die Kommunikation mit Wireshark oder so prüfen. Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enable Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable Sprachübergreifend: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable Wenn Du exakt wissen möchtest welcher Dienst wohin möchte, musst den Update-Diensten wie bits, wuauserv und usosvc einen eigenen Hardlink auf die svchost.exe spendieren und im Dienst hinterlegen (z.B. svchost_bits.exe). Dann kannst gut analysieren. Die Exe erscheint dann auch im Sicherheitslog. Die Einträge erscheinen in Sicherheit. Am besten erstellst dann eine gefilterte Ansicht für die Eeignisse der BFE. Auch die Loggrösse würde ich auf mindestens 250 MB hochschrauben.

ReFs crasht grundsätzlich nicht einfach so, normal hat das eine gravierende Ursache und die musst Du herausfinden. Durch sein Design können sich die Sicherheitsfeatures die ein Crash des Fs verhindern sollen, aber je nach Situation nachteilig statt vorteilig auswirken. Also nur ein Reboot und dann wars Geschichte und vorher keine Probleme? Darf man fragen warum er dann einen Neustart braucht wenn man nichts gemacht hat? Crash? EventLog gab nix her? Dedupe aktiv oder nicht? Wenn das ein RAID 10 ist (Was für ein Controller? Pseudo oder richtiger?) Warum hat das OS und die Datendisc kein eigenes Volume? RAM-Probeleme könnte ich mir heute am ehesten noch vorstellen, dass es bei ReFs auch heute noch Ärger machen könnte. Zum Beispiel ein Memory-Leak oder ein RAM-Fehler. Bei ersterem Crasht normal irgendwann das OS. Erkennbar ist es daran, dass der effektiv "freie" RAM (Kontrolle z.B. mit dem Ressourcenmanager) immer kleiner wird und jener der bereinigt werden könnte, nicht bereinigt wird. Geschieht gerne mal bei langer Laufzeit. Ein abgeschossenes ReFs hatte ich deswegen aber nie. Richtige RAM-Fehler können insbesondere wenn sie nicht als solche erkannt werden, alle möglichen Auswirkungen haben. ReFs nutzt ziemlich exzessiv RAM wenn z.B. Dedupe aktiv ist. Fehlendes ECC ist dann ein Totschläger.

Schon etwas her aber.... Zu Deiner Frage: LTSC 2021 ist eine neue Version. Daher wird auch eine neue Lizenz benötigt. Wenn Du mindestens eine laufende SA auf ein Enterprise Produkt hattest, wird Dir auch die LTSC angezeigt. Das Upgrade ist also nur umsonst bei laufender SA bzw. Bestandteil von den Leistungen die Du gekauft hast. Etwas Hintergrundinfo: LTSC braucht eigentlich keine SA. Aber Du kommst quasi nicht zum Nutzungsrecht einer LTSC ohne SA. Zumindest ist mir spontan kein reines Upgrade ohne SA-Zusatz bekannt. Das geht nur mit einer "IoT LTSC" welche dann auch 10 Jahre statt nur 5 Jahre Support wie die "normale" LTSC geniesst. Durch den Ablauf der SA von einer Enterprise-Lizenz beschränkt sich das Nutzungsrecht auf die LTSC-Verison. Sprich Du darfst zwar die normale Enterprise Version nicht mehr benutzen, aber die zum Zeitpunkt des Auslaufs gültige LTSC Version nach wie vor. Einschränkung: Vorausgesetzt Du hast eine Kauf- und nicht eine reine Mietlizenz! Natürlich darfst Du auch vorher schon LTSC einsetzen.

Auch wenn als gelöst markiert, war das Volume durch 2022 erstellt worden oder hast Du es von einem älteren OS übernommen? Da habe ich mal von einem Szenario gelesen, dass dies in seltenen Fällen Probleme machen kann. Habe mich nicht näher damit befasst weil ich immer neu erstellt habe. Es würde mich aber brennend interessieren wie der exakte Werdegang war. Hatte schon ewig und retour kein zerschossenens ReFs mehr. Überhaupt braucht es dafür unter normalen Betriebsbedingungen sehr viel. Ganz am Anfang - so vor 10-12 Jahren - führte das Überlaufen eines Volumes zu einem solchen Szenario. Wobei das wenn ich mich richtig erinnere nicht durch das "normale" kopieren zustanden kam, sondern wenn eine Datei die grösser als der freie Platz war, abgeändert wurde. Mittlerweile gibt es da aber entsprechende Sicherheitsvorkehrungen.

Fals es noch hilft, ich finde Orgamax sehr gut geeignet solange man keine Produktion anbinden möchte. Aber das kann man eh mit allen 0815 Lösungen knicken. Eigentlich mit das beste was ich schon gesehen habe. Habe schon viele Jahre Erfahrungen mit denen in ein paar Umgebungen. Support ist bis anhin auch sehr gut und schnell. Die Kosten für die Module, Arbeitsplätze und verschiedene Mandanten sind allesamt äusserst überschaubar und den Preis wert. Kostet eigentlich immer alles etwa gleich viel. Von der Anschaffung bis hin zu den Anpassungen. Die Anpassungen werden üblicherweise nur einmalig bezahlt und bei Versionsupdates kostenlos angepasst sofern notwendig. Auf Wunsch machen sie auch noch Bezahllizenzen statt Miete. Nur Umsatzsteuerupdates erfordern zwingend ein Update. Selbst Automationen sind möglich. Mittels einem speziellen Dienst können Datenbankmanipulationen vorgenommen werden. Kann man nicht selbst erstellen nur sie selbst. Dafür stellen sie die Funktion auch bei Updates sicher. Ein Kunde nutzt das z.B. um automatisiert Warenbestände ausgleichen weil er bestimmte Funktionen nicht nutzen möchte weil es schneller von Hand ist aber anders schneller mit dem Computer. Aus Sicht des ITlers ist die Lösung etwas albacken im Hintergrund. Die Lösung nutzt zwar - wenn man möchte - eine zentrale Datenbank auf einem Server, viele Filter-Operationen werden aber dennoch auf dem Client durchgeführt. Sie profitiert wie so viele KMU-Lösungen von schneller Single-Core Leistung, zackigen Festplatten mit niedriger Latenz und ein möglichst latenzarmes und schnelles LAN. Aus meiner Sicht überwiegen aber die Vorteile bei weitem.

Dazu findet man sehr viele Threads. Auch hier. Würde mal die SuFu bemühen. Oft liegt es anf folgenden Problemen Die korrekten Updatekategorien sind nicht für die Synchronisierung freigeschaltet (Einstellungen im WSUS). Banalste Variante. Neusync fällig nach ändern. Computer zieht sich bereit selber die Updates von MS Online (gängiges verhalten, da MS in den letzten 10 Jahren gefühlt mit jeder Build die GPO-Auslegung der Update-Richtlinien geändert hat). Frage mich nicht mehr zu den exakten Details der einzelnen Builds. Short Answer: Entweder Du verabschiedest Dich vom Central Store oder verwendest einen einheitlichen Build welcher die GPO's allesamit identisch verabeitet. Ist ein Problem wenn die GPO im Central Store lagern und mit einem System gesetzt werden und man gar nicht erkennt, dass die Einstellungen unterschiedlich wären. Ist ein Problem wenn man wirkungsvoll verhindert hat, dass sich PC's von MS Online Updates ziehen können, der WSUS aufgrund "falscher" GPO aber gar nicht korrekt kontaktiert wird. Die Verbindung möchte als SSL aufgebaut werden aber der Server bietet kein SSL. Oder der falsche Port genommen. Oder die Firewall blockiert einen Teil der Kommunikation/Schlüsselaustausch Man nimmt unübliche Anpassungen vor welche vom "Windows Update Health Service" zurückgesetzt werden.

Genau. In Kleinumgebungen gibt es je nach Betrachtungsmeise für den Einen bessere Argumente. Für die Entscheidung ist m.E. eher Ausschlaggebend was AD für einen Zweck erfüllt. Reine Authentifzierung im Einschichtbetrieb oder eben auch Live-Daten von ERP/Exchange etc. Aber eben, dazu gibts genügend Diskussionsbeiträge im Forum Host in AD: Also für mich ist irgendwie die Aufnahme ins AD unlogisch, auch wenn es technisch machbar ist. Imho sollte die getrennt vom Rest sein. Sonst sind auch immer alle für saubere Trennung, warum hier nicht? Imho mit etwas vom wichtigsten. Ausser es ist wirklich eine eigene AD-Struktur für die Infrastruktur. *schulterzuck* Soweit irgendwie möglich heisst das für mich immer eine physische Trennung von Infrastruktur und produktivem Netz. Mindestens eigene physische Netzwerkkarte, eigene Switches, eigene Admin-Kiste(n). So brauchts ein VM zu Host Break. Diese Lücken sind äusserst selten. Dann ist die Versicherung ziemlich sicher auch ohne MFA zufrieden im Infrastrukturbereich.