Weingeist

RAM/CPU/Festplattenspeed: Telemetrie grösstmöglichst abdrehen. Also Dienste, Aufgaben, Leistungsmesser (Ereignisablaufverfolgungssitzungen). Da kannst Dich austoben ohne Ende (teilweise auch vergeigen). Der Unterschied im "Erlebnis" ist insbesondere auf älteren Maschinen teilweise ziemlich gross. Dann von manchen Diensten die Kommunikation nach aussen blocken (das merken die und brauchen so auch keine Ressurcen). --> Ganz interessant wie wenig solche bearbeitete Maschinen auf die HDD's schreiben im Vergleich zu anderen. Am einfachsten bekommst die "Kommunikatoren" und "Schreiberlinge" über ein Firewall-Logging (Auditpol) und den Ressourcenmonitor raus. Als Ausgangslage sind Konfiguratiosnscripts von VDI-Herstellern recht hilfreich. VmWare bzw. Omnissa oder allenfalls Citrix. Speicherplatz: Platz für Browser begrenzen und/oder direkt bei beenden löschen lassen. Ungenutzte Profile regelmässig löschen oder fast noch wirkungsvoller: allgemein einfach alle regelmässig löschen --> Sollte sehr gut kommunziert werden! ;) Welches Release ist immer so eine Sache. Vorzugsweise verwendest einen IoT LTSC oder normales LTSC Release, dann bleiben die Änderungen zuverlässig auch erhalten. Für manche Nervensägen brauchst TI-Rights, meist reicht System. Am besten das Ganze scripten und/oder GPO. Ich mag in einer Umgebung möglichst gleiche Releases über eine möglichst lange Zeit. Wechsel gibts nur wenn ich neue Features für richtig gut befinde. Gibt am wenigsten Aufwand. Daher würde ich selbst ein W10 IoT LTSC 21H2 nehmen, das läuft aktuell extremst stabil. Bei Tablets dürfte der Einsatzzweck eigentlich immer gegeben sein für die Lizenzberechtigung IoT zu nutzen. Support bis 2032. Wenn es W11 sein muss, IoT LTSC 24H2. Da habe ich noch ein zwiespältiges Verhältnis, weniger aus Erfahrung, sondern von Meldungen von Kollegen.

Ich weiss garn icht ob das in Excel auch geht, da noch nicht gebraucht, aber in Word kannst den Code auch in eine Vorlage verfrachten. Die muss sich dann halt am notwendigen Ort befinden. Allenfalls eine Option für euch und den Kunden? Er müsste dann auch nicht immer Excel-Dokumente mit Maktros verschicken, was ja sowieso eher verpönt ist. Sondern es reicht ab und wann die aktualisierte Vorlage. Sofern sich der Code überhaupt ändert, tut er normal ja eher selten. Ob sie sich darauf einlassen ist die andere Frage, ist ja etwas mehr Supportaufwand wenn die Vorlage nicht gefunden wird. Nachteil: Nur wer die Vorlage hat, kann auch die Funktionen Nutzen welche in VBA erstellt wurden. Auch sind Änderungen dann in älteren Dokumenten auch vorhanden (Je nach dem wie sauber man arbeitet ein Vorteil). EDIT: MIST erst jetzt datum gesehen sorry

Ich machs mittlerweile mit nem Inplace der gleichen (aber aktualisierten) Version. Das klappt in der Regel auch um vergeigte Component-Stores - an denen Update-Probleme oft liegen, zu lösen. Gibt noch etwas weniger Arbeit. Insbesondere bei Workstations die nicht nur Office-Programme haben. Aber klar, ganz neu ist noch sauberer.

Ne hat nix mit dem Artikel zu tun. Wie gesagt, mir ist durchaus bewusst, dass es erst die Ankündigung vom Ende ist. War ja bei den ganzen Ankündigen für SMB, RPC, Printer- und Laufwerksverküpfungen, Printertreiber-Rechten, Zertifikatserweiterungen etc. nicht anders. Konnte man alles schon frühzeitig machen umstellen und man fiel nicht auf die Nase wie sehr viele andere als MS das scharf geschaltet hat. War ja auch sinnvoller/sicherer ist. Printer- und Laufwerksmappings waren der reinste Horror auf den Testclients. Bis ich geschnallt habe wo die Ursachen der Probleme liegen. Danach war alles komlett entspannt, inklusive der Updates als MS den Kram scharf geschaltet hat. Für NTLM ist es ja ebenso sinnvoll das abzudrehen. Also auch VOR dem offiziellen Ende (das vermutlich noch SEHR lange dauern wird). Und es gibt die Reg Flags dazu. Die Blog-Einträge von MS-Mitarbeitern (z.B. Link oben) in 2023 legen nahe, dass man man gewillt war für Windows 11 und das Serverderivat die hart-codierte Abhängigkeit von NTLM herauszuprogrammieren. Wenn der das so schreibt, dann dürfte es wohl auch der Fall sein. Entweder also exklusiv für die neuen OS oder es ist eben auch ohne Ankündigung für ältere OS so. Meines Wissens war das bei gewissen Clusterdiensten noch der Fall und eben bei den Zertifikatdiensten. Wobei ich bei letzterem nicht mehr so sicher bin auch wenn mir auch schon andere das Verhalten bestätigt haben. Wenn also Evgenij Recht hat - wovon ich ausgehe - dann sollte das für den Zert-Server nicht gelten, dass eine zwingende Abhängigkeit besteht. Normal ist NTLM ja nur der Fallback wenn Kerberos nicht klappt. Ausser eben MS hat Kerberos nicht vorgesehen und nutzt hart-codiert ausschliesslich NTLM.

Du hast ein Dell Server und Dell möchte - wie leider mittlerweile die meisten Hersteller auch - einen Dell Controller sehen und der wieder Dell Festplatten. Obwohl alles haargenau identisch ist. Nichtmal wirklich eine andere Firmware. Es geht fast immer ausschliesslich um das Branding/Kundenbindung, auch Abzocke genannt. Früher war das Coding auf SAN's beschränkt wo das zumindest teilweise eine Logik hatte (eigentlich auch nicht, ist aber ein anderes Thema), heute ist die Seuche überall angekommen. Selbst in den kleinen Notebooks. Zum k***en. Man kann nichtmal mehr Enterprise-SSD's einbauen, weil man das gar nicht für vernünftige Preise bekommt. HPE bringts teilweise sogar auf die Spitze, dass wenn du ein HPE Netzwercontroller für eine Standard PCE-Express Schnittstelle für ein "falsches" OS oder ein "Out-Of-Date OS" hast oder eines das noch nicht offiziell unterstützt wird, nichtmal die Netzwerkkarte nutzen kannst. Obwohl die Treiber grundsätzlich ohne weiteres für funktionieren würden. ;) Es gibt sogar Hersteller die branden ihre CPU. Das heisst Du kannst nicht ein Workstation kaufen und z.B. die CPU in eine andere Kiste einbauen oder sie durch eine Aftermarked CPU mit höherer Leistung tauschen. Es gibt eigentlich nur einen grossen Hersteller wo das noch nicht so ist: Supermicro. Bei den anderen hast Du Glück wenn Du noch was fremdes einbauen kannst. Du bekommst aber auch Komplettsysteme von denen und es gibt Mittlerweile auch Firmen die Support dafür anbieten! Falls Du Dich noch weiter ärgern möchtest: Die grossen Kunden bekommen die Preise die wir für Aftermarked bezahlen, nur die kleinen schröpft man. Ist aber in anderen Branchen nicht anders. Was zählt ist das Potential Deiner Firma, nicht wie viel Du tatsächlich bestellst. Sprich ein Grosskonzern kann auch sehr guten Konditionen bestellen auch wenn er nur für ein paar hunderter oder tausender einkauft.

@MurdocX Meinte eigentlichen den TO ;)

DC: Ja das ist mir im Grunde schon klar. Aaaaber ganz logisch ist es mir dan doch nicht, dass ich es nur auf dem Zertserver aktivieren muss. Wie läufts mit der Schärfe? =) Mal noch die Details der Fehlermeldung: Auf der CA: lsass.exe TargetServer: ldap/dcFQDN/domainFQDN@domainFQDN UserIdentityOfClientProcess: Computerkonto des Clients welches das Cert erneuern möchte nicht FQDN (sollte üblich sein?) Domain name of user identity of client process: DomainName nicht FQDN (sollte üblich sein?) --> Fehlt vielleicht für LDAP ein Kerberos Ticket? Auf dem Client: Fehlermeldung: bla bla konnte nicht registrieren. Fehler: Die Anforderung wird nicht unterstützt. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED) Habe auch nochmals die die ganze Registry und Konfig-Einstellungen geprüft, es sind eigentlich überall FQDN's drin wo ich das erwarten würde das welche rein müssen. Auch im Konfig-File der CA. Hast allenfalls eine Idee?

Also wenn du kein richtigen Kiosk willst, also genau eine Funktion, warum dann nicht einfach Fullscreen? Was stört Dich die zusätzlich aufpoppende Adresszeile wenn man mit der Maus an den oberen Bildschirmrand geht? Zum Tab-Wechsel musst sowieso da hoch mit der Maus und dann kommt es doch auf die paar Pixel auch nicht mehr an, man will ja die Ansicht wechseln. Aber selbst diese Zeile kannst ja anpassen in Firefox über die Ansicht. Ich verstehe nur nicht, wie man etwas nicht Originales einsetzen kann wenn der "Schaden" zum Maximalwunsch so klein ist. Wenn mich das stören würde, dann würde ich bevor ich etwas nich mit Bordmitteln erreiche, immer ein paar Stunden investieren. In diesem Fall wäre das CSS. Aber ich muss ja auch nicht alles verstehen.

Hmm interessant. Hast Du grad eine Idee wo ich ansetzen könnte? Auch interessant ist, dass ich NTLM Traffic eingehend/ausgehend für Domain Konten nur auf der CA aktivieren muss nicht jedoch auf dem DC. Wenigstens lohnt sich die erneute Suche, wenn ich weiss, dass es mit Kerberos gehen müsste.

Salut zusammen, Beim stöbern gelesen, hab mal nen neuen Thread gemacht statt zu kapern. Weiss jemand ob der Spass in die W10 Distris bzw. Stack-Updates übernommen wird? Sprich kann bzw. muss man neueste ADMX verwenden im Central Store oder muss man selber die Optionen reinbauen und nach Versionsstand filtern? Oder fleigen wie von Geisterhand W11 Upgrades ein bei 99 auf 10er oder sonstige Spässe? (nicht ganz ernst gemeint, aber mich würde auch nichts mehr wundern) Die Verantwortlichen könnte ich echt .... [Beliebige Massnahme Deiner Wahl] ... für Ihre ständigen Rumbastelungen an Update-Stack-Settings. Grüsse und Danke Zitat aus folgendem Thread:

Oder dynamische IP inkl. Zwangstrennug und es dauert bis die umgeswitched wurde...

Moin, Danke für den Input. Je nach Artikel die man liest klingt es schon fast wie die Beerdigung. Aber mir ist natürlich klar, dass dies erst der Anfang vom Ende ist. Was ich meine: Damit z.B. Server 2022 (oder auch die Vorgänger) ein Zertifikat ausstellen kann wenn ein Client eines anfragt, checken die Zertifikatdienste irgendwas mittels NTLM und nicht via Kerberos. Warum, keine Ahnung. Möglicherweise auch eine Fehlkonfiguration. Den Klassiker wie einen Servernamen statt einer FQDN in irgendwelchen Settings konnte ich nirgendwo finden obwohl ich schon oft gesucht habe. Auf alle Fälle funktioniert die Ausstellung von Certs nicht wenn Domain Accounts für NTLM auf einem CertServer blockiert werden. Weder Manuell noch mittels AutoEnrollments noch direkt mit der MMC. Die Mühe mit Server 2025 habe ich mir aus Zeitgründen bis jetzt noch nicht gemacht. Hoffe immer noch, dass schon jemand darauf hochgzogen hat und das bestätigen kann obs klappt oder nicht. Aktuell ist das etwas lästig, muss immer aktivieren/deaktivieren wenn jemand Certs möchte. Ist zwar handelbar in Kleinumgebungen aber dennoch mühsam. NTLM würde ich gerne mindestens für Domain Accounts nicht nur in das geschaufelte Grab werfen, sondern das Grab auch wieder zudecken. Aktuell stehen mir fast immer nur die Cert Services im Weg, die restlichen Krücken habe ich auf LocalAccounts und spezielle Maschinen gebogen. Grüsse und Danke Quelle der Ankündigung z.B. https://techcommunity.microsoft.com/blog/windows-itpro-blog/the-evolution-of-windows-authentication/3926848

Hallo Leute, MS propagiert ja seit längerem grossspurig das Ende von NTLM in Windows. Hat es den MS schon selbst hingekriegt in Server 2025? So wie mal 2023 angekündigt? Konkret: Zertifikat-Ausstellung mit Kerberos statt NTLM möglich? Wäre ein Upgrade-Grund. Der Vollständigkeitshalber, Cluster? By the Way, jemand schon Erfahrung mit LocalKDC bei Nicht-Domain-Maschinen/Konten? Müssen zugreifende Clients das explizit unterstützen oder ist das Ganze so gelöst, dass es transparent zu NTLM ist? Infos sind irgendwie noch etwas spärlich. Oder ich finde es mal wieder nicht. Gehe aber stark davon aus, dass es nicht transparent zu NTLM ist. Würde ja sonst keinen Sinn machen. Dezember Updates schmecken dem LocalKDC übrigens nicht: https://learn.microsoft.com/en-us/answers/questions/2136070/windows-server-2025-kerberos-local-key-distributio Grüsse und Danke

aaaaaaha... Na dann verstehe ichs nicht mehr Dann ist Dir am Ende nur eine einzige Zeile zu viel die man nicht mit Klicki-Bunti im Orignal ESR wegbekommt sondern nur mit nem halben bis Stündchen CSS ändern oder suchen im Netz und deshalb nimmst ein Derviat vom ESR *hust*

Pffft, macht man doch nicht produktiv mit sowas altem rumbasteln. Hab mal schnell gesucht und festgestellt... Firefox kann das out of the box https://support.mozilla.org/en-US/kb/firefox-enterprise-kiosk-mode

Achso, du verwendest nur Edge im Kiosk-Modus nicht das ganze System? Dann dürfte es nicht so easy zu lösen sein bis ein Update kommt. =) --> Kenne jetzt openkiosk nicht, aber willst nicht lieber einen offiziellen ESR-Firefox Build nehmen? Dessen Ansicht lässt sich ja auch modifizieren mit CSS. Findet man sicher etwas.

Kannst die PPS-Webseite ausschliessen? Sprich passiert es auch mit einer andere Webseite? z.B. einer leeren? Theoretisch geht mittlerweile Multi-App. https://learn.microsoft.com/de-de/windows/iot/iot-enterprise/customize/multi-app-kiosk Der Ressourcenmonitor (resmon.msc) wäre aussagekräftiger als der Taskmanager. Vielleicht kanns ihn parallel starten lassen? MS behandelt(e?) den Kioskmode gerne stiefmütterlich. Aufgrund allerlei negativer Kiosk-Erfahrung in der Vergangenheit (die allerdings auch schon ca. 10 Jahre her sind, nehme immer mal wieder nen Anlauf) mag ich den Self-Made-Kiosk im Industriebereich lieber. Ausführung der ganzen System-Apps verhindern bzw. gleich den AppX Dienst deaktivieren. Dann gibts kein Startmenüe, Taskleiste, Benachrichtigungen, Firewallregeln der User und sonstigen modernen Quatsch der auf ner Industriemaschine nicht gebraucht wird (und CPU, Netz etc. frisst). Der Desktop ist aber voll funktionsfähig, also keine seltsamen Fehler die man sonst nicht hatte. Auf dem Desktop dann eine Handvoll Verknüpfungen die erlaubt sind. Ausführung sonstiger App allenfalls mit anderen Massnahmen sperren. Da kann man dann auch problemlos etwas als anderen User ausführen. Möglicherweise nicht ganz so sicher wie ein Kiosk, im Arbeitsumfeld aber oft deutlich entspannter. Irgendwie habe ich was im Hinterkopf, dass ein zusätzlicher Programmstart mit einem Script das per Task gestartet wird, möglich war. Mit anderen Credentials. Ist aber echt zu lange her. Wie gesagt ich habs mir nicht mehr angetan...

Vielleicht bereits das neue tolle Feature mit CoPilot aktiv, dass jedes Dokument an MS überträgt *hust* (Ne Spass - sofern es einer ist - das sollte es eigentlich noch? nicht) Dann dreh doch mal dieses Telemetrie- und vermutlich Lizenzcheck ab. Vielleicht hilfts. Blockiere in der Windows-Firewall explizit die Verbindungen der beteiligten EXE's nach Aussen oder wenn es die gleichen EXE's sind, erlaube nur explizit die IP's eures Netzwerks. Mit IPv4 easy, mit IPv6 etwas mühsamer. Könntest auch mal die zeitliche Abfolgen prüfen (Wireshark oder Loggin der BFE einschalten) insbesondere ob ein Teil z.B. mit IPv4 versucht wird und der andere mit IPv6. Gut möglich das wenn z.B. das eine mehrmals fehlschlägt, dann das andere versucht wird. Seltsam wäre dann nur, dass Office anders reagiert als Windows.

Ist nicht meine Aussage sondern jene des Supports. Demzufolge kann man darauf ungefähr gleich viel vertrauen wie die Aussage das Telefon-Auth und SMS Auth bleiben

Die Aussagen von MS sind relativ widersprüchlich. Anfang 2024 habe ich mich mit dem Support in Verbindung gesetzt um herauszufinden was genau die Absicht von MS sei mit den - für mich - kryptischen Meldungen bezüglich veralteten 2FA-Methoden. Ob denn die 2FA aus genau dieser Liste veraltet sind oder bleiben. Da wurde mir von höherer Stelle versichert, dass insbesondere SMS/Telefonanruf und die FIDO's bleiben. Als ich kurz vor Ende Jahr nicht in einen Account kam wo 2 Faktor mit Telefon/SMS aktiviert war, kam dann die Meldung des Supports, dass nur noch die MS Authenticator als 2. Faktor akzeptiert wird. Habe den Meldungen aufgrund der Supportabklärung keine Beachtung geschenkt. Das war wohl etwas naiv. Immerhin weiss ich jetzt, dass man tatsächlich reagieren muss. Also auch da wo ich mal die Verlängerung angeklickt habe. Habe daher noch ein paar Monate Zeit. ;)

Ganz andere Frage, wie schafft man das auf "normalen" Clients auf den heutigen Festplatten? Bei VM's wo man möglichst klein bleiben möchte ja, aber bei physischen Clients? Was habt ihr den für Festplattengrössen? Kenne das nur noch auf Power-Maschinen mit vielen Anwendungen und kleinen Optans. Gängige Ansatzpunkte Daten werden statt auf dem Filer auf den Clients gespeichert, allenfalls auch privates Browser-Cache wird nicht limitiert bzw. allgemein viel zu viele Daten in den Profilen --> Ursachen herausfinden, Massnahmen ergreifen Die E-Mail-Postfächer sind übervoll und Zwischenspeicherung auf dem Client benötigt enorme Mengen an Platz --> Archivierungslösung in Betracht ziehen. Insbesondere bei mehreren User eines PC's kann das ein Problem werden und wird mit "Sammelpostfächern" maximiert wenn die Files nicht auf eine separate Festplatte mit Dedupe geschoben werden können. Updates werden nicht sauber bereinigt. Dazu mal auf ein paar Clients den Component-Store überprüfen (dism, Check-Health). Wenn der erfolgreich ist allenfalls noch mit Analyze eine tiefergehende Prüfung vornehmen oder gleich eine manuelle Bereinigung durchführen (Cleanup mit Reset-base). Wenn er beschädigt ist, keinesfalls reparieren wenn eh schon wenig Platz da ist. Ist die Reparatur nicht erfolgreich - was meistens der Fall ist - bleibt der verbrauchte Speicherplatz. --> Neuinstallationen mit aktueller Build einplanen Das System selbst erstellt viel zu viele Files --> Als Leitfaden für die Optimierung könnten z.B. VmWare Leitfäden dienen Oft hilft die Neu-Installation oder auch ein Inplace (eher schwierig wenn zu wenig Platz) mit einem aktuellen Build. [Spoiler]Bezüglich Windows 11: Ohne jetzt den Teufel an die Wand zu malen, aber wer 1 + 1 zusammenzählen kann, muss unweigerlich zum Schluss kommen, dass Tech-Konzerne mit der neuen Regierung der USA sehr viel freie Hand bekommen werden und deren Interessen auch politisch durchgedrückt werden. Entsprechende Hinweise gibt es bereits vom Tech-Zögling Vance. Die Risikobewertung muss angepasst werden. Ob man will oder nicht. Die EU wird es sich zweimal überlegen müssen, ob sie bei Verletzungen gegen unser Recht gegen die Tech-Firmen vorgeht. Stichwort Telemetrie, Recall etc. [/spoiler]

Yep, das mit dem zuverlässig machen und überprüfen war aber so eine Sache früher. Ja, wegen Veeam das eine Linux-Maschine als Rep mit unlöschbaren Files empfohlen hat, kam ich eigentlich mal auf die Idee mit den Synology. In der Theorie machen die ja das gleiche. Die Frage ist, ob die aufgeblasenen Synology der richtige Weg ist wenn man mit Bordmitteln sichert und ob deren Trennung genügend gut ist. Würde da ja eigentlich eher etwas sehr schlankes aber einfach zu verwaltendes bevorzugen. Zumindest wenn ich die Sicherung möglichst mit Bordmitteln oder einer Applikation vornehmen möchte. Für Veeam ist das natürlich schick. Die Konfig ist mit der neuen ISO schon cool. Fragt sich ob man das tatsächlich möchte, wenn man sich mit Linux nicht so richtig auskennt. Die Kiste muss man ja auch aktuell halten, pflegen und unterhalten.

Das stimmt wohl. Leider. Das sind meine Bedenken. Streng genommen ist das ja bei allen Online-Speichersystemen so. Selbst bei Tape-Loadern. Wer kann schon wirklich WO garantieren solange eine Verbindung besteht. Die Frage ist, wie wahrscheinlich das aufgrund der getroffen Massnahmen der Hersteller jeweils ist. Genau da bin ich im Clinch, wie sehr kann man davon ausgehen, dass sich ein Synology oder QNAP nicht vollständig verschlüsseln lässt, solange nur die Dateizugriffsprotokolle auf einem Port verfügbar sind. Muss-kann-sollte man sich darauf verlassen, dass der Hersteller das sauber trennt/trennen kann und falls nicht, was sollte man sonst tun. Irgendwie fehlt mir immer noch ein KMU-Sicherungskonzept hinter dem ich uneingeschränkt stehen kann. Sowohl punkto Sicherheit als auch für die praktikable Bedinung. Insbesondere wenn Applikationsdaten gesichert werden, braucht es ja irgend eine Verbindung zwischen Sicherung und produktiven Netz, obwohl man die eigentlich am liebsten vermeiden möchte. Cloud-Backup ist irgendwie nicht wirklich praktikabel. Die Übertragung dauert viel zu lang. Sowohl für das sichern selbst als auch den Recovery-Test. Unabhängig davon, wenn ich mir die letzten Dienstleister-Hacks anschaue, kann man sich darauf irgendwie auch nicht so richtig verlassen. Und wer sagt, dass die nicht gleich mitgelöscht werden.

Salut zusammen, Synology NAS sind ja recht weit verbreitet in kleinen Firmen. Ich persönlich habe immer ein etwas zwiespältiges Verhältnis zu den Dingern, nutze sie aber ab und wann als Datengrab oder Backup-Ziel. Dennoch würde mich mal folgendes interessieren: 1. Wie sicher ist das OS wenn man das Management-Protokoll nur in einem eigens abgeschotteten Netz betreibt? Unmöglich via anderen Protokollen über andere Ports Konfig-Änderungen vorzunehmen via Bugs etc.? 2. Wie sicher sind die WORM-Volumes bzw. die gelockten Files mit einer fixen retention Time? Keine Chance da was zu löschen ohne Mangement-Zugriff? --> Wirksamer Ransomware-Schutz der Backups? 3. Etwas ganz banales, aber nigends gefunden: Ist eine RAID 1 mit >=3 Mirrors bei einem Scrubbing durchlauf ein Majority System oder wird Scrubbing auch dann ignoriert? (Bei zwei Mirror kann das System ja nicht wissen was korrekt ist) Grüsse und Danke

Ja fände ich auch interessant. Vor allem im Hinblick darauf, falls alte Flags allenfals doch noch ausgewertet werden obwohl sie mit dem aktuellen Rule-Set gar nicht mehr gesetzt werden können. Und: Du möchtest generell alle notwendigen Werte explizit konfiguriert haben damit sowas nicht passiert, auch nicht unabsichtlich. Oft sind es die Internetadresse wo nicht bezogen werden soll wo z.B. eine interne FQDN auch als Internetadresse angeschaut wird. Oder die Geschichte mit der Umgehung der neuen Routinen welche nicht von jedem UpdateClient genau gleich ausgewertet wird. Aber eben, interessant wäre tatsächlich welche das genau sind. Wirst ja sicher einen RegShot oder Export gemacht haben den man vergleichen kann oder?