Weingeist

Office hat seit 2007 seine eigene, +-systemunabhängige oder auf einer anderen Auflistung basierende Drucker-Geschichte als andere Programme am Start. Insofern gut möglich, dass nicht alles identisch funktioniert wie in anderen Programmen. Bildirektionale Kommunikation ist heute fast Standard bei den Drucker. Und wenn es nur Telemetrie-Quatsch ist. Wenn da viel und her geht, wirds übers I-netz lahm -->Auf herstellerspezifische Treiber verzichten und den Generik-Kram von MS verwenden oder mal versuchsweise die Ports nach aussen sperren (Nur eine Idee, keine Ahnung obs besser ist). Eventuell spielt in solchen Szenarien auch der "neumodische Kram" seine Stärken aus mit dem man sonst nur Ärger hat? ThinPrint und wie auch immer das Zeug alles heisst. Da sehe ich mittlerweile den Wald vor lauter Bäumen nicht mehr. ;) --> Ports sperren endet gerne in Ärger mit Hintergrundbilder/Overlay Auflistungen oder wie auch immer die Hersteller das jeweilsung nennen. Drucken funktioniert aber trotzdem nach Fire-Forget Prinzip (z.Bsp. bei Canon) wenn die Einstellungen vordefiniert sind oder aufs geratewohl getätigt werden. Vielleicht wird es aber genau schneller, weil eben kommuniziert werden kann statt X-mal zu versuchen. Evtl. kriegst ja mit einem Netzwerk-Analyse mehr raus was auf was wartet oder wie die Zugriffe ablaufen, wieviel Daten effektiv wohin übertragen werden? Ansonsten: Ich habe noch nicht ganz begriffen wo der Client sich befindet und wohin Du genau drucken möchtest und wann es eben langsam ist. zbsp. V1: Du bist zu Hause und druckst aus einer TS-Session heraus auf einen Drucker zu Hause, Kommunikation: DeinPC>VPN>TS>PrintServer>VPN>DeinPC>DeinDrucker zu Hause V2: Du bist zu Hause und druckst aus einer TS-Session auf einen Drucker im Geschäft, Kommunikation: DeinPC>VPN>TS>PrintServer>Drucker im Geschäft V3: ..... Dann gibt es noch zig-Möglichkeiten welche Drucker in der Auflistung sind, also nur lokale oder eben auch solche im RZ und wie sie angebunden werden. Ich würde nen Testclient aufsetzen und die verschiedenen möglichen Varianten durchspielen. Dürfte das schnellste sein.

Bin zwar nicht der Spezi punkto Viren-Befall, aber gehört habe ich sowas noch nicht. Solcher Kram ist mir bis jetzt erst mit DFS untergekommen wenn man mehr als ein aktives Ziel hat und nicht sauber gesynct wurde oder bei Netzwerkproblemen, wenn eine schlechte Leitung mit 1 Gbit betrieben wurde aber nur für 100MBit geeignet ist. Letzeres gibt die unmöglichsten Fehlerszenarien.

Kleines Update: Funktioniert übrigens durchs Band zuverlässig. Ziemlich angenehm wenn man in den Logs gleich sieht welcher Dienst bei einem Block/Allow betroffen ist. Bitte an das anpassen der Firewall-Regeln denken, falls es einer im Lab nachmachen möchte. Auch Static/Configurable sowie Default Rules sollen diese funktionieren. --> Falls es jemand möchte, kann ich das Script dann hier veröffentlichen wenn es +- fertig ist. Wird inklusive Modifikation der verschiedenen Firewall-Stores und der Services sein. Ausstehend ist noch die Frage ob es beim Ersatz der svchost.exe durch Windows-Updates die Hardlinks ebenfalls auf die neue Datei und nicht die alte Version pointern. Ich denke das müsste eigentlich der Fall sein. Evtl kann ja jemand grad bestätigen/dementieren wie das ist bei den Hardlinks ist, wenn Files ersetzt und nicht nur geändert werden. Oder gelöscht und dann ersetzt. Sonst werde ich das auch noch testen. Auch wie sich die Firewall-Regeln bei "Funktions-Upgrades" verhalten weiss ich noch nicht. Sprich ob sie ersetzt oder ergänzt werden. Ergänzen hätte den Vorteil, dass neue Dienste nicht einfach mal durchgelassen werden sondern erst wieder konfiguriert werden müssen. Die Hardlinks dürften neu erstellt werden müssen. Gruppierte Dienste die man auch gruppiert lassen sollte: - DcomLaunch, brokerinfrustructure, SystemEventsBroker, Power (warum auch immer Power hier reinkommt) - RpcSs, RpcEptMapper - mpssvc, BFE - UserDataSvc, OneSyncSvc, PimIndexMaintenanceSvc, UniStoreSvc Ich habe jeweils einen Dienst als "Chef" auserkoren und die anderen der gleichen Gruppe auf den gleichen Hardlink gemünzt. Die letzte Gruppe wird nicht nur maskiert sondern pro User als eigener Service + Instanz erstellt. (Gibt noch mehr davon, auch wenn diese nicht gruppiert sind). Evtl sind diese nur wegen Speicher sparen gruppiert, habe ich (noch) nicht getestet, da ich sie eh (noch) nicht brauche. Bei den oberen führt die Aufdröselung zu Problemen. Teilweise massive. Die anderen werden seit einiger Zeit sowieso schon durch Windows in eigene Prozess-Instanzen der svchost.exe aufgedröselt sobald RAM > 3.5GB ist.

Klar ist das so, aber man kann es auch einfach von Anfang an verhindern. Heute ist das mit Virtualisierung verhältnismässig einfach möglich. Mann muss und sollte diesbezüglich nicht mehr basteln. Gerade auch in Kleinumgebungen lohnt es sich die Anwendungs-Komplexität - da wo möglich - tief zu halten. Spart einfach über alles ne Menge Arbeitsstunden. Und Printserver sind nunmal typische Ärgermacher. Unabhängig von der Sicherheit. Aber jeder wie er mag.

Unabhängig von Thema Sicherheit finde ich Printserver auf wichtigen Server ich ein NoGo. Insbesondere wegen allfälliger Rollbacks. Wäre mir viel zu gefährlich, dass dann z.Bsp. auch bei Files aus Versehen ein Rollback geschieht. DHCP packe ich mittlerweile gerne mal auf den Fileserver statt auf den DC. Und ganz ehrlich, so teuer ist eine Standard-Lizenz nicht. ;)

Vor allem wenn man bedenkt, dass viele Admins das gar nicht umsetzen dürften. Schlicht weil schon nicht bekannt. ;)

So verstehe ich den Text auch. Und das finde ich bei so einem Bug eigentlich bedenklich. Hätte da eher die anderen ins Messer laufen lassen und diese dann die Flags setzen lassen das es Ausnahmen geben kann wenn schon Exploits im freien Markt existieren.

Sag ich doch :-P Bezüglich der ISO's: sicher, dass die normalen LTSC-Builds die Funktionsupdates enthalten? Die kommen eigentlich nur im Semi Annual Channel. Also wo du spätestens nach 1.5 Jahren aktualisieren musst. Sprich das was sich in Bezug auf normale 0815 Server lohnt, gibts normal erst nächtes Jahr. Ansonsten finde ich die neuen Server völlig unnötig mit der GUI und Telemetrie von W10 überladen. Da brauchts für mich schon handfestester Update-Gründe wie eben die neuen ReFs Erweiterungen.

Yep, da hast Du schon recht. Ausser man benutzt von Anfang an welche. Muss man halt auch bei der Konfig bedenken, da ein Teil auch am Server selbst konfiguriert werden muss. Ich benutze Aliase gerne für PKI, VmWare View Connection Server usw. Migration ist dann halt schneller gemacht. Neuen Server hochziehen, testen mit dem Original-Namen, wens funktioniert, DNS-Record aktualisieren. Aber habe auch nur Kleinumgebungen. Aber wie vieles ist auch das Geschmackssache. =) Edit: Beim Fileserver bevorzuge ich aber klar DFS. SMB muss man auch etwas verbiegen.

Noch eine kleine Anmerkung. Ich würde dem DC einen neuen Namen spendieren und dem neuen Fileserver den alten Namen des DC "schenken", auch wenn es nicht "schön" ist. Entweder als Alias oder einfacher direkt den Namen. Zumindest wenn Du nicht ausschliesslich per DFS die Filezugriffe gemacht hast. Grund: Der Grund ist ganz einfach, wenn man direkt auf die Freigaben zugegriffen hat, statt über DFS, dann hat man nachher verwahrloste Verknüpfungen z.Bsp. innerhalb Office-Dokumenten (Serienbriefe, eingebetete Excel in Word etc.). Das Theater endet nie. Teilweise noch Jahre später flucht man darbüer. ;) Alte IP wieder verwenden gibt nur manchmal in DNS Ärger. Muss man dann halt unter Umständen händisch korrigieren/erzwingen. Ich musste mal tausende CAD-Dokumente händisch ändern (lassen), also jedes Dokument öffnen weil der Hersteller nicht kooperativ war bezüglich Fileformat. Die Dateien hatten Prüfziffer und ich fand nicht heraus wie die zustande kam. Also Pfad per Walker ersetzen ging nicht obwohl man diese per Reintext im Dokument erkannte obwohl der Rest verschlüsselt war. Daher keine Änderungen an Fileserver-Namen und keine Änderungen an Domänen-Namen wenn es sich vermeiden lässt. Ich bin jedenfalls geheilt. Ändere nichtmal mehr die alten ad.local Domänen. =) Printer würde ich immer eine eigene Rolle spendieren! Egal wie gross die Umgebung ist. A aus Sicherheitsgründen, die Treiber sind ziemlich anfällig und B damit Du ihn immer gefahrlos zurücksetzen kannst. Mehr als einen DC halte ich für Verschwendung und in Zeiten von virtualisierung eine unnötige Komplexitätssteigerung in Kleinumgebungen. Zumindest solange man ausser Anmeldungen nicht auf AD angewiesen bzw. ständig Änderungen erfolgen (z.Bsp. Exchange). Ein einzelner DC kann beliebig wiederhergstellt werden. Selbst ein ColdClone den Du auf dem Admin-PC vorhälst und ab und wann aktualisierst reicht völlig aus wenn die interen Sicherungen nicht wiederherstellbar wäre. 17-20GB sind Ruckzug kopiert. Die ganzen Versionstände interessieren dann nicht wirklich welche bei mehreren DC's Probleme machen können bei Wiederherstellungen. Auch die ganzen allfälligen Replikationsprobleme fallen weg. EDIT: würde mit der Aktualisierung aber eh grad auf den nächsten LTSC Build von Windows Server 2019 warten. Dürfte nächstes Jahr soweit sein. Dann sind auch die neuen beschleunigten ReFs-Features vorhanden. Solange kannst eigentlich gut auf 2012R2 bleiben, wird nicht viel bringen. Nur Printer würde ich rausziehen.

Hab auf die schnell das hier gefunden, sieht vernünftig aus: https://www.msoutlook.info/question/775 Funktioniert aber nicht alles so wie man es vielleicht gerne hätte. Wobei ich immer nur Reintext versende ;) Edit: Möglicherweise kannst auch das Nachrichtenformat ändern in html. Müsste eigentlich auch irgendwie gehen.

Hi Danke, also immer als das aktuell SSU installiert und erst dann das CU? Ich kann machen was ich will, bei meinen Images egal ob bei mir selbst oder anderen funktioniert das nie. Weder 7, 8.1 noch 10. Immer Ärger mit dem Cleanup des Images. Wenn ich erst das CU installiert und dann die SSU kein Problem. Nun vielleicht wurde das ja anders, werde mal mit nem aktuelleren Builds ein paar Tests machen. Nehme ja fast immer die LTSC Builds und der ist noch bei 1809.

Sollte kein Problem sein. Zumindest ist es hier keines.

Hallo Leute, MS empfiehlt ja grundsätzlich die SSU's des gleichen Monat wie die CU's vor der CU zu installieren. Ich habe damit immer Ärger, insbesondere wenn ich neue Gold-Images mit den aktuellen kumulativen Updates vorbereite. Auch das aufräumen mit ComponentCleanup /ResetBase verursacht nach einem SSU-Update des gleichen Monats sehr gerne Ärger. Ohne nie. Lasse ich die Bereinigung erst laufen und spiele dann das aktuelle SSU auf, ist es dagegen kein Problem. Selbst mit SSU auf Auslieferungszustand nicht. Allgemein hatte ich immer am wenigsten Ärger wenn ich die SSU's gar nicht erst installiert habe. Sondern nur weil z.Bsp. WSUS ein neues brauchte. Was aber normal auch mit dem neuesten Update-Client erledigt werden konnte. Irgendwie kommt mir das mit den SSU's immer etwas spanisch und undurchsichtig vor ;) Was sind so eure Erfahrungen damit? Ist das eine Fehlinformation seitens MS? MS will ja ab 2020-04 die SSU's in die CU's integrieren, habe da etwas Bauchweh. Grüsse und Danke

Multihoming gibt früher oder später fast immer Ärger mit der Namensauflösung. Kan man zwar tatsächlich alles so konfigurieren, dass es korrekt funktioniert, habe das in mehreren Umgebungen vor Jahren auch über sehr lange Zeit gemacht, weil eben Budget für viele physische Server, Router, zusätzliche USV-Leistung etc. nicht vorhanden waren und es Virtualisierung noch nicht gab. Lief also alles über einen SBS. Hat auch super funktioniert solange alles korrekt konfiguriert ist. Aber die Fehlersuche ist der totale Graus weil es bei Fehlkonfigurationen manchmal tut und manchmal nicht. Sprich Du gehst nach Hause und alles tut, am nächsten morgen steht die ganze Umgebung und solche Spässe. Nachzuvollziehen warum es nicht tut ist definitiv kein Spass. Insbesondere aufgrund der verschiedenen Namensauflösungs-Möglichkeiten wie Hosts, DNS, Wins und gecachten Namen. Früher war es meist auch nicht gleichermassen schlimm wenn mal nen Tag die IT stillstand, heute wo man in sehr vielen Betrieben hauptsächlich mit der IT arbeitet, sollte der Fokus eher in Richtung möglichst unkompliziertem, standardisierten Aufbau und schnelle Fehlerbehebung gelegt werden. Auch die Stundenansätze der IT-ler sind viel höher und etwas mehr 0815 Hardware hat keine wesentlich Einfluss mehr auf die Gesamtkosten. @Norbert: Naja eine Trennung bekommst ja eigentlich schon hin mit Multihoming und mehreren Netzwerkadaptern. Wenn der DC korrumpiert ist, ist eh ende Gelände. Insofern müsste die Trennung ausreichen. Dumm nur, dass am Maschinennetz öfter auch Externe arbeiten und so etwas ins Hauptnetz einschleppen können. Eigentlich müsste man physikalisch abtrennen. Sprich komplett eigene Struktur für den Maschinenpark. Funktionierte früher, heute nicht mehr wirklich. Daher: Wenn es wichtig ist, würde mir einen Linux-Spezi schnappen und einen Transfer-Server/Router erstellen welche die Welten möglichst gut trennt und jeden einzelnen Schritt sauber dokumentieren lassen. Oder eine Low-Budget Variante wählen, z.Bsp. mit einer NAS die in beiden Netzen hängt und zwei ansonsten getrennte Netze pflegen. Die NAS kannst dann auf die Hauptserver sichern, aber Daten welche beide Seiten brauchen, liegen auf der NAS.

Och von Musk persönlich kann man halten was man will. Er polarisiert halt enorm. Aber er ist ein Macher und kein Schaumschläger. Ob seine Firmen nun überbewertet sind oder nicht, spielt dabei keine Rolle. Er hat es als einzige Firma geschafft, sich in den eigentlich ziemlich aufgteilten Automarkt einzumischen, doch einiges an Marktanteile zu gewinnen, die ganze Branche in Zugzwange zu bringen und "gewöhnliche" Fahrzeuge erschwinglich anzubieten die fast jeden Verbrenner alt aussehen lassen. In enorm kurzer Zeit wohlverstanden. Und dann hat er noch Space X und und und. Das soll erst mal einer nachmachen. Der Typ ist ein Genie, da gibts nichts dran zu rütteln und Genies sind nunmal selten die einfachsten Zeitgenossen. ;)

Kann Dir nachfühlen, habe auch diversen solchen Kram. Ein Roboter eines sehr nahmhaften Herstellers ist z.Bsp. noch auf W95 obwohl das damals schon völlig veraltet war. Aber der braucht wenigstens kein ERP-Zugriff. Solange es bei Filezugriff bleibt, kriegt man das meist irgendwie hin. z.Bsp. auch per FTP oder NFS via separaten Netzwerkadapter und dann alles andere per FW abklemmen. Beim Transferserver könnte man das ganze evtl. auch mit einer Linux-Kiste lösen. Linux kann ja alles mögliche direkt mounten als ob es lokal angeschlossen wäre, also vermutlich auch ein Netzwerkshare auf einem Widows-Server. Das wird dann gleich wieder per SMB1 in das abgeschottete Netz mit einem eigenen Netzwerkadapter wieder zu Verfügung stellt. Leider kenne ich mich mit Linux zu wenig aus, aber hätte auch ein paar Szenarien wo das hilfreich wäre. Die sonstigen "Transfer-Übungen" mit Files manuell rein- und rauskopieren sind eine Katastrophe.

Da gebe ich Dir absolut recht... Trotzdem finde ich leben und leben lassen. Heute muss alles durchgenormt sein, die sogenannten Toleranten sind die intolerantesten gegen alles was nicht ist wie sie. Klima und Vegan ist die neue Welt-Religion seit Gott nicht mehr so modern ist. ;) Viel wichtiger wäre es aber eigentlich wenn man mal da ansetzt wo es Gobal-Klimatechnisch tatsächlich etwas bringt. Kerosin besteuern wie bei Kraftfahrzeugen, Frachtschiffe auf saubere Antriebe umstellen, Kreuzfahrtscheiffe etc. Die Hexenjagt gegen die Autos ist ein Tropfen auf den heissen Stein. Alleine die 40 grössten Container-Schiffe stossen mehr Schadstoffe aus, als sämtliche Autos die auf dieser Welt rumkurven. Also inkl. aller uralt-Kisten in Afrika und sonstwo die wir exportieren. Und es gibt tausende solcher Schiffe! Muss man sich mal vorstellen! Aber da schmerzt es eben richtig. Ferien und Flüge wären plötzlich teuer, Waren auch nicht mehr so billig etc. Für das lokale Wohlbefinden der Bevölkerung hat es aber schon einen Einfluss. Zumindest in Städten. Auf dem Land sehe ich die Autos egal mit welchem Antrieb völlig unkritisch. Aber keine Frage, ich bin auch für die Elektromobilität und jede neue Technologie braucht nunmal ihre Entwicklungszeit. Dass nicht von Anfang an alles super duper ist, ist klar, aber die Zukunft ist mit Sicherheit elektrisch. Die Argument wegen der Batterien, seltenen Erden und das ganze Bla bla kann ich nicht mehr hören. Der Verbrenner hat über 100 Jahre "Entwicklung" hinter sich, die E-Fraktion legt erst jetzt so richtig los. Und es sind die Amis die hier wieder mal vorlegen und nicht unsere schöne grosse Automobilindustrie.

Ist sie auch. Auch ziemlich schnell. Ist ein Clone es eines Rennwagens der 70er Jahre. Der Besitzer macht regelmässig an Rennen und History-Cups mit. Ist immer der totale Zuschauerliebling. ;) CW-Wert ist bei den Birds für damalige Zeiten extrem gut. Das Chassis wurde tatsächlich auch auf gute Strömungswerte getrimmt. So sieht er Original aus.

Ich habe keine der Ereignisse mitgeschnitten... Hat das schon jemand?

Wobei Soundgeneratoren nicht überall wirklich Generatoren sind. Bei den besseren Modellen wird das reale Geräusch der Elektromotoren aufgenommen und teilweise gefiltert und anschliessend verstärkt. Ich würde ja immer noch einen Mustang Mach-E 1400 nehmen =) Oder nen Tesla Model S Plaid, wird ja demnächst auch produziert, bestellen kann man schonmal. Ich persönlich wäre ja auch für nen Hybriden à la LMP2 Klasse zu haben... Och es gibt so viele tolle Autos und je länger je mehr auch tolle Elektro-Autos. Aber soviel Emtionen wie bei sowas kommt halt nicht hoch. Ich hab leider "nur" die Strassenversion fürs Week-End. Wobei dieser sogar Strassenzulassung hat oder zumindest hatte. Wies aktuell aussieht weiss ich nicht. =)

Mich wundert die Time-Line etwas. Exploit-Code ist doch bereits aufgetaucht oder? Klar wegen Drittanbieter Software ist es doof, aber sind die Voraussetzungen damit der Hack überhaupt durchgeführt werden kann relativ hoch oder nimmt man es einfach in Kauf?

AMC Pacer, Yeah die Heckschleuder schlechthin... =) Och, dann aber bitt die 1400er Version. Da würde ich auch schwach werden. =) Der "käufliche" ist irgendwie weder Fisch noch Vogel. Zu SUV-Mässig.

Brrr, schäme dich ;) Kommt gleich vor der Magnatrolle im Kofferraum. :-P @zahni: Finde die Beschleunigung von E-Autos auch extraklasse, aber die Emotionen fehlen irgendwie noch völlig. Der Taycan bringt da zwar schon etwas Feeling rein mit dem Soundverstärker. Aber sonst? Für den Alltag Super, für die Freizeit nein. Eine uralte Ami-Schwarte - sie muss nicht mal speziell laut sein - bringt da schon etwas mehr. Auch wenn die teilweise nur schneller aussehen aber nicht wirklich sind. =)

Yep, Scheint extrem krass zu sein der Bug. Braucht angeblich 3 Sekunden für der Hack...