Weingeist

Da es zeitlich eingrenzbar ist, kann es sein, dass ein Update oder eine GPO irgendwas verpfuscht? Ansonsten: Weiss gar nicht mehr ob DirectAccess zwingend 6to4 braucht. Zu TMG Zeiten war das noch so. Ging gar nicht mit reinem IPv6 oder IPv4. Weiss nur nicht mehr ob es an DA oder dem TMG lag Wenn es mit reinem IPv4 oder IPv6 theoretisch gehen müsste, könntest mal das ganze 6to4 Zeugs ganz deaktivieren und je nach dem IPv4 oder IPv6 priorisieren/erzwingen (Protokolle, Dienste, Priorisierung in Routing-Tabelle etc.)

Energietechnisch hast Du natürlich vollkommen recht. Eingeschaltet lassen ist quatsch. Auf neueren OS/Systemen habe ich auch schon länger keine Probleme mehr mit dem Ruhezustand/Schnellstart mehr gehabt und lasse ihn somit ebenfalls aktiviert. Vor Jahren - Zeit vergeht - machten Standby, Ruhezustand, Schnellstart, Ready Boost etc. bei manchen Systemen gerne mal Ärger oder der Vorgang dauerte einfach sehr viel länger als ein Neustart worauf ich das jeweils abgeschaltet habe. Nicht weil die Funktionen an sich schlecht waren sondern weil die Implementierung seitens der Hersteller teilweise grauselig war. Geräte die nicht richtig ruhten, nicht sauber aufgeweckt werden konnten, Batterie die leergezogen wurde, lausige Hardware, frühzeitiger Tod der SSD, Bluescreens usw.

Die ganzen Energiespar-Massnahmen oder allgemein gutes Produkt-Design steht und fällt leider mit der Masse. Bei Notebooks kommt das recht stark zum tragen. Ist genügend Masse in der Produktion vorhanden, können (müssen nicht) die Hersteller Zeit und Geld in die Testungen investieren und hochwertigere Teilkomponenten verwenden. Bei den grösseren Herstellern ist das bei den Business-Geräten gegeben, da im entsprechenden Leistungssegment der Produktpreis etwas höher ist. Daher die Chance ein gutes Stück grösser, dass die Geräte besser funktionieren oder Probleme zeitnah gefixt werden. Eine Garantie hat man aber nirgends, liegt das Problem im Hardware-Design, wird es schwierig es mit Software zuverlässig zu "reparieren". Mit einem deutschen Rugged-Spezialist hatte ich über Jahre fast ein General-Abonnement für den Tausch eines Tablets. Alle ~6 Monate ging das Motherboard über den Jordan. Militärstandard. Kostenpunkt des Tablets war über 6'000 Euro, also alles andere als Billigkram. Da die Grösse gebraucht wurde, gab es keine Alternativen. Vielleicht schmeckte es ihm einfach nicht, dass es nicht bestimmungsgemäss rumgeworfen und regelmässig auf Tauchstation geschickt wurde. Wie gesagt, das Problem sind manchmal nicht nur die externen Geräte sondern eben auch die internen die per USB angeschlossen sind. Integrierte Card-Reader zum Beispiel sind selten hochwertig. Intern die Kabel trennen sofern nicht fix verlötet, hat auch schon geholfen. Aber wie bei allem ist die Frage wie viel Zeit man überhaupt investieren will... Ab einem gewissen Alter/Erfahrung nimmt man gewisse Probleme hin oder tauscht ein Gerät eben aus, wenn das Problem zu sehr nervt. Investiere ich zwei oder drei Tage mit Suchen und mässiger Erfolgsaussicht, dann hätte ich auch ein neueres Gerät finanziert und das alte verkauft. Manchmal hat man aber auch einfach keine Wahl. Hast Du das echt schon erlebt, dass der Ruhezustand zu einer Problemlösung geführt hat? Ich sah ihn bis jetzt nur als Mitverursacher. Aber ausprobieren kann mans ja. Auf die Idee kam ich ehrlich gesagt noch nie.

Besser mittels Switch. Gibt ja mittlerweile auch kleinere brauchbare/+-bezahlbare Switches mit SFP. Oder einem Konverter aus dem Industriebereich. Aber eben, wenn man es anders lösen kann, dann logischerweise lieber anders. Aufputz-Kanten für die Ecken sind zum Beispiel optisch ganz OK um Kabel ausserhalb der Rohre zu verlegen. Fiber sehe ich trotzdem als besser als per WLAN zu kommunizieren wenn es nicht anders geht. Die Fiber-Kabel für den Aussenbereich vertragen ordentliche Zugkräfte, insofern für suboptimale Einzugsbedingungen ganz gut geeignet. Aber Diskussion ist eh abgedriftet. Ob die schlechte Netzqualität hier überhaupt ein oder das Problem ist / geprüft wurde wissen wir ja nicht. Möglicherweise gibt es ja noch andere mögliche Ursachen für dieses Problem.

Fast immer hat das mit den Energiespareinstellungen zu tun. Sehr oft mit USB-Geräten die gerade angesteckt sind. Bei Notebooks eben gerne auch interne Dinge die per USB angeschlossen sind wie Card-Reader. Da die Tastatur auch per USB angesteckt ist, kommen die Befehle dann manchmal gar nicht bis zum OS. Abhilfe schafft dann meist nur ein Hersteller-Update oder eben die Ausschaltung der Energiesparmassnahmen. Bei Notebooks halt unschön. Oft reicht der USB-Part aus. Billig-Geräte sind öfter betroffen als Business-Geräte nahmhafter Hersteller. Ansonsten funktioniert das "holen" übrigens oft mit RDP. Sprich Du verbindest dich von einem anderen Rechner auf den Rechner mit dem schwarzen Bild und Schwupps, ist der Bildschirm wieder da.

Das macht im Grunde auch Windows. Wens zu viele male fehlschlägt, dann wird die Arbeitsstation eben rausgeschmissen. Welche Prozesse genau in die Hose gehen weiss ich nicht. Die Lösung mit aus der Domäne raus und wieder rein ist einfach zu easy. Ist ja auch nicht so, dass man keine Verbindung mehr hat. Die Verbindung ist einfach zu lausig. Die Leitung muss nichtmal zu alt sein oder ein Telefonstrippe. Es reicht wenn die Leitungen beim einziehen überstreckt oder schlecht angeschlossen werden. Selbst ein Cat 7 kann so problemlos zum 100mbit degradiert werden. Deshalb neu verlegte Leitungen nur mit Abnahmeprotokoll eines entsprechenden Messgerätes. Der Schnelltest für unerklärliche Probleme die auf Netzwerkprobleme hinweisen, ist eben die Reduzierung auf 100Mbit. Wird die Übertragung schneller, dann ist auch ohne Messgerät oder Analyse von Traffic klar wo der Hund begraben ist. Bleibt die Station nachher drin, ebenso. Halt so Dinge die jeder machen kann ohne zwingend den Elektriker mit den ziemlich teuren Messgeräten aufzubieten. Wens nicht sinnvoll gelöst werden kann, ist es besser ein Glasfaser einzuziehen. An einem Kabel für den Aussenbereich kann man ohne Schäden ordentlich ziehen und ist nicht wesentlich dicker als ein Cat Kabel. Für RDP reicht auch 100Mbit meistens aus =)

Da hast Du ja durchaus recht, bis jetzt hat mich schlicht der Zusatzaufwand davon abgehalten. Sprich allfällige zusätzliche Infrastruktur-Server + deren Pflege, Sicherung der Up-Time etc.

Nö, weil bei der 1Gbit Frequenz zu viele Pakete verloren gehen und der DC dann eben die Sicherheitsfreigabe nicht mehr erteilt. Dann wird der Arbeitstation nicht mehr vertraut und man kann sich nicht mehr an der Domäne anmelden. Bei 100Mbit funktioniert es aber oft, weil die Frequenz toleranter ist und somit weniger Paketverluste auftreten. Oft genug erlebt bei alten Installationen wo der 100Mbit Switch durch 1 Gbit ersetzt wurde ohne die Kabel zu ersetzen. ;)

Also ich kenne das bis jetzt nur von PC's mit Netzwerkproblemen. Sprich einer zu schlechten Leitung mit zu vielen Paketverlusten. Auch wenn das heute nicht mehr vorkommen sollte, es gibt noch einge LAN-Leitungen da draussen, die gar kein 1Gbit können, sondern nur 100Mbit. Die fliegen dann zwar nicht richtig raus in dem Sinne, dass das AD-Konto entfernt wird, sondern sie können einfach nicht mehr im AD verwendet werden weil der ganze Sicherheitskrempel nicht sauber ausgehandelt werden kann. Ich würde z.Bsp: - Traffic auf Paketverluste analysieren oder Leitung prüfen durch Elektriker mit entsprechendem Gerät (vorzugsweise beides) - Funktionierenden mit fehlerhaftem PC tauschen - 100 Mbit Switch in betreffende Leitung hängen oder sofern möglich den Port am Switch limitieren So kannst die vermutlich wahrscheinlichste Variante ausschliessen.

Also slmgr tut eigentlich immer... sonst ist es wirklich der falsche Key. Bei Problemen am besten die Internetverbindung kappen und das ganze telefonisch aktivieren. So ein Drama wie bei den ersten LTSC wird es ja hoffentlich nicht sein. Telefon-Nummer und die richtigen Durchgangs-Ziffern ist je nach dem etwas mühselig. Nicht unbedingt entspricht die korrekte Durchgangs-Ziffer auch dem was die nette Dame am Telefon sagt Wens bei einer Durchwahl also nicht klappt, einfach die nächste nehmen, eine wird funktionieren bei einem korrekten Key. Und wenn es das Office-Kürzel statt Windows ist... Ahja, slmgr muss mit erhöhten Rechten ausgeführt werden, sonst wird das nix.

Jo, so mache ichs normal im kleinen. 802.1x wäre logischerweise sinnvoller/zusätzlich besser. Bin da auch schon länger am überlegen ob ich das standardisiert einführen könnte. Bis dato hat mich der Aufwand aber abgeschreckt. Also nicht Initial sondern Wartung, Pflege, Fehlerfall etc. WLAN würde ich mich nicht getrauen ohne zu betreiben, aber WLAN setze ich aufgrund der Risiken wie Parkplatztäter, Kiddies mit Spieltrieb, Mitarbeiter mit ihren Privat-Geräten, Monteure mit Laptops etc. sowie dem Absicherungs- und Wartungs- und Monitoring-Aufwandes bis dato nie ein. Schwatze ich immer allen aus. Aber auch da kommen mit Tablets in der Produktionsumgebungen so langsam Anforderungen aufs Tapet, wo eine komplette WLAN-Verweigerung immer schwieriger zu halten ist. Bis jetzt konnte ich immer Kabel-Alternativen aufzeigen. =) Ist immer die Frage wo und wie man die Kompromisse macht. Am Ende des Tages verhindert meines Wissen auch ein 802.1.X keine Kommunikation mit einem anderen Client. Hat er ein Zertifikat, darf er sich im Netz tummeln. So richtig in verschiedene VLANs stecken kann man die Abteilungen ja auch nicht, sonst brauchts wieder Router zwischen den Segmenten und den Servern. Im kleinen wieder too much. Allgemeine Komplexität wird halt massiv hochgeschraubt. Am Ende muss man ein System auch noch "leben" können, sonst bringt alles nix. Ein Einstöpseln vor Ort eines fremden Gerätes erfordert zudem eine gewisse lokale Kriminialität und dieses Risiko ist im kleinen - sofern man nicht in der Rüstung oder sonstigem Unternehmen von Belang tätig ist - doch eher gering. Vielleicht eine Fehlseinschätzung, vielleicht auch nicht. *schulterzuck*

Doch, ein betriebsfremder erhält ja automtisch eine IP aus dem DHCP Range und jeglicher Zugriff auf die alle/meisten Server und alle Clients wird verwehrt. Gibt so immerhin Log-Einträge und Fehlermeldungen von doppelten IP's etc. wenn er selber eine IP bestimmt. Ich lege sogar die Local-IP für Allow-Regeln fest, damit Mehrfach-IPs pro Adapter nicht ziehen, sprich solange die BFE filtert, solange wird protokolliert wenn etwas geblockt wird. Auch wenn es eine doppelte IP ist. Wenn BFE nicht filtert, dann gibts Fehlermeldungen weil der Dienst nicht läuft und dann ist eh etwas gröber im Argen. Auch Schreibzugriff auf Static-Firewall-Freigaben wird abgedreht/kontrolliert, sprich System hat kein Änderungsrecht (wird eh nur bei Installation angerührt). --> Ich hab meistens fixe und kleine Umgebungen mit sehr wenig mobilen Geräten. Da geht sowas ganz gut. Alles was LAN ist, hat dann fixe IP's. Wenn einer wirklich mehrere LAN's braucht, dann gibts nen kleines Script welches von DHCP auf fix wechselt und anders rum. Mit Umweg über Taskplaner aufgrund der Credentials. Einrichtungsaufwand etwas höher, Wartungsaufwand - so meine Erfahrung - über alles gesehen tiefer. Fixe IP's schaffen mir sämtliche Probleme von Stromunterbrüchen vom Hals. Server wieder hochfahren und gut ist, egal ob die Clients vorher schon oben waren. Fehlendes/geblocktes IPv6 gibt mir weniger Verwaltungsaufwand für die Firewall. ;) Wie gross der Nutzen ist? Keine Ahnung, ist halt hochgradig unüblich und daher stolpert vielleicht die eine oder andere Malware bezüglich verbreitung. Und es wird etwas protokolliert das zudem einfach auszuwerten ist. Insbesondere wenn Telemetrie auch grösstmöglich abgedreht ist. Aber insgesamt gibt es mir weniger Verwaltungsaufwand auch wenn der Einrichtungsaufwand grösser ist. Aber auch überschaubar, wenn es die Regel ist. Erschlage das ja eh mit Scripts.

Ich definiere mittlerweile immer In und Out inkl. der erlaubten Adress-Ranges für jeden Client/Server. Ein Betriebsfremder PC kommt so auch mit ihm bekannten Credentials nicht ohne weiteres auf irgendwas drauf und vor allem, wird protokolliert. Schafft mir angenehmerweise auch gleich die Telemetrie (teilweise) vom Hals. Auch Out-Traffic für etwas kritischere Protokolle ist dann auch Clientmässig begrenzt. Obs was nützt, keine Ahnung. Halt eine (kleine) Hürde mehr. Mit deaktiviertem IPv6 ist das easy, ohne halt mühsamer und doppelter Pflegeaufwand. Server brauchen halt fixe IP's, im kleinen eh kein Problem bzw. einfacher. Mit ein paar Funktionen des ISA/TMG wäre es deutlich einfacher. Frage mich heute noch ob das nur eine GUI für bestehende aber schlecht dokumentiere Möglichkeiten ist oder ob tatsächlich eigene Funktionalität rein kommt. =) Ist halt das erste mal ein Mordsaufwand. Insbesondere wenn man nciht auf der grünen Wiese beginnen kann. Mit der Zeit hat man aber den dreh raus. Automatisieren ist nicht ganz trivial/aufwändig und erfordert eine gewisse Disziplin (Erweiterung der Konfig-Scripts für Firewall-Regeln).

Zumindest das würde ich ohnen zwingenden Grund unterbinden... Clients sollen untereinander nicht quatschen müssen, sondern eben über zentrale Stellen wie Du selbst geschrieben hast. Je nach Grössenordnung reicht hier sogar die Windows-Firewall aus (Kommunikation nur zu Adress-range der Server). Wo das Share dann liegt, kannst mit DFS definieren. ;) Gewisse Segmentierung kannst auch erreichen indem Du die Clients in verschiedene Tears unterteilst, so wie man das auch für die Server macht/machen sollte. Sprich sehr wichtige Gruppen bekommen eine eigene Admin-Gruppe und nur diese dürfen sich an den Clients anmelden. Alle anderen bekommen ein Deny. Gleiches gilt für deren User. Die bekommen dann einen zweiten Usernamen wenn sie sich in einem anderen Bereich anmelden müssen. Insbesondere für User die Admin-Rechte benötigen, käme eigentlich nur sowas in Frage und grundsätzlich dürften die auch nur über eine zweite VM surfen. ;) --> einfacher logischer Aufbau ist halt wichtig, damit die Pflege nicht ausartet. Evtl. auch Automatisationsfreundlichen, gibt da so Ansätze von einem User hier, habe leider grad den Thread nicht gefunden.

Das ist in der Tat nicht wie es gewollt ist. Bei mir waren die Beweggründe aber anders und das fehlen der GUI in manchen Situationen ein netter, in manchen lästiger Side-Effect. ;) Aber mal ganz allgemein: Wieso lässt das Startmenü nicht einfach auf Standard (Edit: Rein Lokal, ohne Admin-Pflege) und verschiebst alles "wichtige" auf den Desktop? Das Starmenügeraffel wechselt doch eh mit jeder Build irgendwas. Da tobt sich die Abteilung richtig aus. Lohnt irgendwie nicht, hier zu viel Energie reinzustecken, macht ja teilweise schon genug Ärger wenn man nicht mal dran rumspielt. Stattdessen z.Bsp. ein Ordner-Link auf dem Desktop mit allen Verknüpfungen die wichtig sind. Simpel zu pflegen, die Leute kapieren es. Wenn sie selber genug findig sind, ziehen sie den Ordner in die Schnellstartleist, Startmenü oder auf eine Symbolleiste wie Links/Favoriten. Anleitung dazu könntest als Grafik im Desktop hinterlegen oder auch als Link in diesem Ordner. So mache ich das jeweils. Die meisten Arbeiten dann wieder vom Desktop aus, wie früher und sparen sich das anpassen des Startmenüs wenns immer mal wieder zurückgesetzt wird, nicht funktioniert oder... Back to the Roots von W3.1 wenn MS einem das Leben als (Edit: KMU)-Admin immer nur weiter erschwert. ;) Bei mehr Speiltrieb, sich in die Möglichkeiten von Windows für Industriemaschinen/IoT/POS/Kiosk etc. einarbeiten und eigene GUI machen. Desktop bleibt auch dann funktionsfähig - sofern man den Fokuswechsel erlaubt. Hat aber teilweise auch wieder einige Stolpersteine.

Beim Hersteller habt ihr schon gefragt woher die ungewöhnliche CPU-Auslastung kommt? Cisco dürfte bei 4000 Desktops eigentlich ein gewisses Interesse haben, dass es wie gewünscht funktioniert. Manchmal sind es einfach gewisse Loggings, höherer Netzwerktraffic durch mehr Features (z.Bsp. Audio, Video, bessere Standard-Qualitätseinstellung etc.) die man wieder abdrehen kann. Auch die Verwendung von Verschlüsselung oder einem höheren Standard kann sowas verursachen. Wenn Cisco auf den algemeinen Hype aufgesprungen ist, CPU-Cycles an die Graka abzutreten, dann wird es Insbesondere im virtualisierten Umfeld ganz schnell uninteressant. Möglicherweise sind es dann auch ein paar Einstellungen die das verhindern können. Das wird oft bei gegenüber dem Vorgänger überladenen GUI's zum Problem. Sprich z.Bsp. Animationen usw. die sich evtl. auch wieder abdrehen lassen. Aber ist alles Kaffeesatzleserei, entweder (versuchen) selber analysieren oder den Support machen lassen. Wenn Du Dich bis ins X-Level durchschlagen kannst und tatsächlich an kompetente Leute gerätst geht es manchmal ganz schnell. Ansonsten: Mal von VmWare die VDI-Guide-Lines durchgehen. Spart ne Menge IOPS und CPU-Zyklen. Vielleicht holst durch die Einsparung an Telemetrie-Daten für MS die notwendigen Cycles wieder rein die Du für die Software benötigst.

Das Erstellen von AppX Firewall-Regeln auf User Basis verhindern, dann werden keine System-Apps mehr installiert und es funktioniert nur noch der Desktop =) --> Entziehen der Schreib-Rechte auf die Hives für System usw. und nur noch für eine spezielle Gruppe erlauben. Aber vorsicht, es gehen wirklich alle modernen System-AppX wie Cortana nicht mehr. Nutze ich ab und wann für Industriemaschinen. Ansonsten sind mir keine nachhaltig funktionierende Lösungen bekannt. Das ganze wird aber immer lästiger, weil auch Menüs etc. teilweise durch den modernen Kram abgelöst werden, daher nutze ich es auch nicht mehr für normale Desktops und lösche die automatisch erstellten Regeln per Script.

Gibt leider nicht viele brauchbare Lösungen für dieses Problem. Software-Mässig funktioniert Teamviewer ganz annehmbar. Halt auf die IP-Adresse verbinden. Besser/Performanter ist eine Extender Lösung auf Glasfaser oder CAT-Kabel-Basis. Neben den klassischen Varianten aus dem Video-Bereich gibt es da z.Bsp. auch noch PCoIP. Letzteres ist etwas teuer geworden seit die Jungs sich massiv verkalkuliert haben mit ihrem letzten Hardware-Projekt. Die Firmware gibts nun nur noch mit teuren Abos. Gibt aber noch eine brauchbare Firmware die eigentlich genügt, die nix kostet. Für USB würde ich dann ein separates Extender-Modul mit eigenem Kabel legen, sonst ist die Leistung unterirdisch. ;) Ich mache das zum Beispiel jeweils mit den teuren CAD-Maschinen. Die hänge ich ins Rack und verbinde mittels PCoIP. So sind die ganzen Emissionen wie Lärm, trockene und lausige Luft aus dem Büro verbannt.

Auch wenn ich da wieder mal in der Unterzahl sein dürfte... ich sehe keinen Vorteil in den meisten kleinen Umgebungen zwei DC's zu betreiben. Ausgenommen, wenn mit AD-Daten tatschlich gearbeitet wird wie z.Bsp. Exchange oder wenn eben die Verfügbarkeit wirklich gebraucht wird. - DC ist in ein paar Minuten wiederhergstellt (wohl die Maschine die am schnellsten geht, da nur OS-Grösse von 12-18GB) - bei einem einzigen DC ist die Sicherung und Recovery-Art total egal (Cold z.Bsp. Kopie der heruntergefahren VM, Image, "AD-Konform") - Änderungen am AD sind in der Regel minimalst, wozu brauchts im Zweifelsfalle also einen Top aktuellen DC - Wartungsaufwand ist höher, Lizenzkosten etc. (Prüfung auf Replikation ob sie immer tut usw.) - Niemand interessiert die Downtime von ein paar Minuten bei Updates oder einem Tag für die Migration auf ein neues OS Auch redundantes DHCP sehe ich nicht als Vorteil. Bei kleinen Umgebungen verwende ich in der Regel sogar fixe IP's und DHCP nur für "wechselnde" oder mobile Geräte. Meiner Erfahrung nach ist das insgesamt stressfreier. Von all den komplexen und von MS teilweise eher spärlich gepflegten Dingen würde ich jeweils Abstand nehmen. Offline-Dateien, Server-Profile, Cluster usw. Keep it simple. Will man eine eher komplexe Technik dennoch verwenden, deren Eigenheiten beachten, Infos im Netz sammeln und sich überlegen wo und wie es Konflikte geben kann. Offline-Dateien die z.Bsp. nur von einer Person genutzt werden, deren Bearbeitung normal von einer Quelle her geschieht, dürfte selten bis nie Ärger machen. Sobald mehrere Quellen oder sogar unterschiedliche Personen an den Daten rumwerkeln ist dagegen Ärger vorprogrammiert. Sprich damit überhaupt ein Mehrwert und nicht ein Nachteil entsteht braucht es bei all den Dingen doch einiges auf Aufwand. Nicht nur bei der Inbetriebnahme. Ein Recovery ist in Kleinumgebungen oft einfach viel schneller als Stundenlanges nachforschen. Insbesondere bei reinen Infrastruktur-Maschinen wie AD. Ein Filer dagegen dauert länger. Daher lieber trennen. Und dennoch, normales Recovery bekommt man Hostintern z.Bsp. von SSD zu NVMe im GB/s Bereich hin. Nie war es einfacher KMU-Bedürfnisse quasi mit Brute-Force zu erschlagen. Für Desaster-Szenarien wie Brand/Hack etc. ist erfahrungsmäss auch ein oder mehrere Tage Unterbruch kein Weltuntergang. Aber das gilt es halt vorher zu klären wo die Bedürfnisse sind. Und Anmerkungen bezüglich Privat: Ich setze auch Private Umgebungen um wie bei einer Kleinfirma. Einfach weil ich kein Bock auf Ärger habe und mich lieber um anderes kümmere. Sonst lasse ich die Finger davon. Bin zu alt für Ärger der für ein paar hunderter verhindert werden kann. Aber Privat reicht möglicherweise wirklich ein Filer und ein DC aus. Printserver ganz weglassen ist auch ok, dürften ja überschaubere Anzahl Drucker sein die auch direkt auf den Clients installiert werden können. Mittels Export/Import ist das verteilen eines eingerichteten PC's auf ein paar andere PC's easy. Imho sinnvoll, wenn es nicht viele Automatisierungen, Papierfächer, Vorlagen etc. gibt. Wenn es dennoch einen geben soll, auf alle Fälle separat, nicht nur aus Gründen der Sicherheit sondern eben auch wegen der Updates. (Verlorene Einstellungen durch Treiberupdate usw.).

Mit zu viel Sparen schiesst man sich manchmal aber auch einfach unnötig selber ins Knie. Ich meine das gibt immer ne Menge unnötiger Arbeit und Zeit ist was auch viel kostet. Der (finanzielle) Aufwand für ne sparate Nic ist minimal. ;) Allerdings tippe ich eher auf die QNAP. Die Dinger machen mit iSCSI einfach viel zu oft Ärger. Was ich da alles schon erlebt habe geht auf keine Kuhhaut (egal ob unter Windows oder ESX). Ob nun Qnap oder der NIC-Treiber Schuld ist, ist nicht immer einfach zu eruieren. Ich mache das nicht mehr. Sind nunmal NAS und kein Block-Storage. Sprich sie funktionieren als NAS einfacher viel zuverlässiger, das ist ihre Domäne. Zudem ist das ganze robuster für Stromausfälle und dergleichen. Zumal das Recovery von einer iSCSI-QNAP schnell mal sehr sehr nervig werden kann. Kann ich auch ein Lied von singen. Aber ich kenne natürlich die Problematik wegen den Sicherungen. Wenn Du wirklich Block-Storage brauchst, könntest auch eine virtuelle Discs auf dem NAS anlegen. Ist immer noch zuverlässiger als iSCSI. ;)

Da Du das Problem der Windows-Firewall ansprichst, hast Du es schonmal mit einem Logging auf die BFE/Firewall versucht? Möglicherweise fehlen ein paar primäre Berechtigungen und die Kommunikation wird erst über einprogrammierte alternativ-wege freigegeben der etwas zu lange dauert. Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enable Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable Sprachübergreifend: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:disable /failure:enable Im Sicherheitslog findest Du dann was abgeht. Schauen, dass die Zeit vorher schon synchron war (Host) sonst ist evtl. essig mit dem Auffinden. Wen Dir zu viele Einträge sind, einfach eine gefilterte Ansicht erstellen. Log-File-Grösse von Sicherheit würde ich noch erhöhen, das Log füllt sich rasch =) Mit - tasklist /svc - netstat -a -b Kann herausgefunden werden welcher Prozess es effektiv betrifft. Wenn Du Glück hast, ist er noch aktiv nach dem Start. Einen Verdacht hätte ich auch noch parat. Und zwar den Netzwerkerkennungsdienst (NLA). Der verursacht verschiedensten Ärger insbesondere wenn via UNC auf einen Domänen-Ressource zugegriffen wird. Kann mir gut vorstellen, dass dies mit Profilen ebenso der Fall ist. Mit einer Verzögerung (Auto Delayed) des Dienstes kann man ihm manchmal den Ärger abgewöhnen. Habe aber auch Maschinen wo das nicht funktioniert. Insbesondere wenn Treiber aktualisiert wurden oder die ursprünglich erste Netzwerkkarte nicht mehr die primäre Netzwerkkarte ist (weil es sie zum Beispiel nicht mehr gibt), vorzugsweise wenn Hardware-Version einer VM geändert hat und somit die MAC. Da muss dann erst der Adapter deaktiviert/aktiviert werden. Super hässlicher Work-Around. Richtig lösen kann man es nur, wenn man alle alten Überreste aus der Registry bekommt/neu installiert. Ansonsten könntest versuchsweise mal direkt auf das Fileshare verbinden, da muss dann DFS nicht funktionieren. Ich weiss, nicht im Sinne des Erfinders, aber DFS ist teilweise auch von der Domänen-Erkennung abhängig. Meine Fileshares funktionieren auch nur wenn die korrekt war. Ob man das abgewöhnen kann, keine Ahnung. Scheint aber irgendwas geprüft zu werden. Habe ich aber nicht weiter verfolgt, da ohne den NLA eben auch anderes Zeug nicht richtig tut.

Wie wird den der freie Arbeitspeicher angezeigt im Ressourcenmonitor? frei, geändert, standby? Jener der im Standby ist, wird im Taskmanager z.Bsp. als frei angzeigt, nicht jedoch im Ressourcenmonitor. So 100% weiss ich nicht mehr wie er mir damals angzeigt wurde, müsste ich bei der Installation vorbeigehen. Ich meine der verwendete Speicher war Standby der nicht freigeschaufelt wurde. Der effektiv freie ging damals gegen 0 soweit ich mich erinnere und das schmeckte Windows irgendwann nicht mehr. Könnte im Grunde auch die NTFS-Timeouts erklären, darum reite ich drauf rum. Die VM würde anfangen im Page-File rumzuwursteln. Sprich Paging innerhalb der VM, Paging auf dem Host und dann geht nix mehr in der VM. Noch was anderes, RAM hat die RDS-VM exklusiv zu Verfügung? Host 4 nicht zufällig ohne Überbuchung oder viel Reserven und die anderen mit Überbuchung/wenige Reserven? (Geht das überhaupt bei HyperV? --> Sorry hab nur ESXi) Ansonsten bin ich dann auch eher ratlos. Mal die VM's zwischen den Hosts getauscht? Also VM von Host 4 auf 3 und anders rum? (Sorry hab jetzt nicht mehr alles gelesen)

Ominös muss die software nicht sein. Nur Ihren Speicher nicht sauber freigeben. Gerne ergibt sich das zum Beispiel wenn Software Office-Programme "integrieren", also auf deren Funktionalität zurückgreifen. Bei einer CAD-Software konnte ich das mal einigermassen zuverlässig auf die Office-Integration zurückverfolgen. Je mehr die gebraucht wurden, desto schneller ging die Maschine in die Knie. Bei jedem Start der CAD-Software wurde das Plugin/Bibliotheken neu geladen, bei der Schliessung aber nicht sauber entladen. Irgendwann war kein "richtig" freier RAM mehr verfügbar (war nur erkennbar mit dem Ressourcenmonitor) und die Kiste ging in die Knie. In einem anderen Fall wars ein ERP, welches Excel und Word-Funktionen eingebaut hatte. In beiden Fällen konnte mit einem Reboot Abhilfe geschaffen werden. Prozesse abschiessen und neu starten ging im Fall des ERP, das CAD bzw. der Lizenzdienst war weniger happy. Habe dann auch nicht allzulange gesucht, da Reboot zu einfach war. ;) Gibt aber auch andere Software die nicht sauber entlädt, Adobe ist hier auch so ein Fall. Ich vermute fast, die meisten die irgendwelche Schrott im Hintergrund laufen haben (Lizenzmanager, irgendwelche Inter-Programm-Kommunikation etc.) und mit den Hauptprogrammen kommunzieren, leiden verstärkt an solchen Problemen. Selbst die Windows CMD hat (evtl. hatte) solch ein Speicherleck. Schliesst du es per Kreuzchen und nicht per Exit-Befehl, dann wird sie nicht sauber entladen. Irgendwann ist kein RAM mehr da. Heute eher weniger ein Problem da es nur ein paar KB pro Sitzung sind. ;) Lange Red kurzer Sinn, wenn die RDS-Host wirklich über identische Installationen verfügen, klingt es schon etwas seltsam, dass einer davon nicht betroffen ist. Fragt sich, ob auf dem 4. Host ein anderes Nutzungsprofil herrscht. Sprich immer die gleichen User da drüber arbeiten die vielleicht bestimmte Programme nicht so oft brauchen, weniger surfen usw. Browser-Games und solche Spässe würde ich eh nicht dulden. Das braucht viel zuviel unnötige CPU. (Spiel selbst + Grafikbeschleunigung). Dafür kann man das private Handy nehmen. Betriebscomputer sind zum arbeiten da. Aber das ist nur meine Meinung. ;) Youtube, Home-Office etc. haben die Problematik diesbezüglich aber sowieso verschärft.

Damit ist das Probleme behoben? Also dann tippe ich auf eine Software welche sich nicht sauber entlädt. Was läuft denn da drauf ausser Office und Windows?

Hui, da war mal eine Antwort... Wie gesagt, da geht nur systematisches Vorgehen. Wenn Du Dinge an der Umgebung geändert hast mach sie als erstes rückängig. Wenn Du das Gefühl hast, es ist seit dem aktiven Teaming, hebe es doch einfach wieder auf und teste es Teaming kenne ich mich nicht wirklich sinnvoll aus, meine wenigen Gehversuche unter Windows waren immer von Ärger gekrönt. Ist aber doch einige Jahre her. In Zeiten von 10Gbit vermisse ich das halt nicht wirklich. Bin kein Fan der Netzwerkonfig unter HyperV, in ESXi ist das so absolut simpel gestrickt in der Konfig, dass ich mich mit HyperV nur sehr ungerne rumschlage (Einer DER Haupgründe warum ich ESXi statt HyperV verwende, einfach kein Bock auf allfällige Netzwerkproblemsuche und mich in die Eigenheiten einarbeiten)