Weingeist

Deaktivieren ist nicht so einfach. Die meisten Einstellungen macht Windows selbständig mittels Tasks/Services wieder rückgängig. Ich bin aber auch grundsätzlich der Ansicht von Testperson, dass man zuerst mal die Probleme angehen sollte. Am meisten Ruhe hast mit der LTSB-Version. Da gibt es (fast) nur Sicherheitsupdates. Wie auch immer, es gibt auch Situationen wo man dazu gezwungen wird. Bei Industrie-Steuerungen sehe ich mich in die frühe XP Zeit zurückversetzt wo selbst Sicherheitsupdates auf Steuerungen nicht möglich waren ohne die Kisten abzuschiessen. Da eigentlich nur LTSB für die Industrie tauglich ist, diese aber so gut wie nie eingesetzt wird, kann man wieder munter Update-Dienste komplett abdrehen. Dabei war es die letzten 10 Jahre so schön. Habe so gut wie nie mehr Ärger gehabt mit Updates und heute legt es mir ganze Produktionszellen lahm. Zu deiner Frage: - In der GPO (lokal oder auf AD) eine fiktive WSUS-Adresse eintragen (3 Einstellungen) - Internetkonnektivitäts-Erlaubnis für Update-Dienst abdrehen (GPO) - Möglickeit entziehen, online nach Updates zu suchen (GPO) Dann ist Ruhe im Karton auch wenn W10 die Dienste selbständig wieder aktiviert. Auch restriktive Firewall-Regeln bzw. Whitelisting hilft, dazu sind aber Eingriffe in die Registry nötig (manuelle Bearbeitung von System-Regeln).

Hi Dr. Es wäre schön wenn Du mit genauso viel Elan diese Aussage in der Versenkung verschwinden lassen würdet, wie Du gegen jeden Kommentare vorgehst, der gegen die aktuelle MS-Politik spricht. Sie ist nämlich schlicht falsch. MS hat nach wie vor ein Quasi-Monopol im KMU-Bereich. Man hat nur eine Pseudo-Wahl an MS vorbeizukommen. Das weisst auch Du ganz genau. Erkenne das bitte auch endlich mal an. Und das die Regeln egal ob Preis-, Lizenz- oder Datenschutztechnischer Natur vor nicht allzulanger Zeit noch deutlich besser für den Kunden waren, ist nunmal ebenso Fakt. Da musst Du dich genauso damit abfinden, wie sich die Leute mit Deinen Aussagen zu diesem Thema abfinden müssen. Ändert natürlich nichts daran, dass sich der TO ebenfalls mit den Regeln abfinden muss. Ob er nun will oder nicht. Eine Wahl wird er wie viele andere auch - objektiv gesehen - nicht haben.

Kurze Rückmeldung (ist ja so dolles Wetter, kann man auch ohne Verlust arbeiten *g*) - mit der zusätzlichen Tabelle klappt es 1A. 1. Tabelle erstellt mit je einem Feld für jeden Datentyp 2. Qry erstellen die gleich aufgebaut ist (Feldnamen, Datentyp) wie die anderen (SELECT tbl0.valGUID AS Feld1_GUID, tbl0.valGUID AS Feld2_GUID tbl0.valCurrency AS Feld3 FROM tbl0) 3. die neue Qry an erster Stelle mit in die UNION SELECT aufnehmen Die Performance ist wie vermutet identisch. Bei nachfolgendem Joins mit Basis der Union-Qry vielleicht sogar ein tick schneller. Die tbl0 verwendete ich vorher schon für Berichte als Datengrundlage. (Access hat bei der Arbeit mit Instanzen und Manipulation am Design/Datengrundlage teilweise die Angewohnheit die Daten doppelt zu laden. Basiert die Datengrundlage auf einer Tabelle ohne Datensätze geht das öffnen von Reports nahezu doppelt so schnell.)

@Zahni: Access nur für Backend: Naja, da hast sicher nicht unrecht. Aber gerade die Backend wäre eigentlich sinnvoll von Anfang an auf SQL. Ist halt ein typisches Access-Projekt, mit was kleinem Angefangen und ständig gewachsen. Sind an die 350 Tabellen und rund 150'000 Zeilen Code (alles objektorientiert, wenig doppeltes). Eine Migration wäre aufgrund vieler automatisierten Workflows mit Barcode-Reader, Waagen usw. extrem aufwändig. Dafür ist die Syntax seit nunmehr 20 Jahren identisch da VB6 und läuft (noch) einfach auf jeder Kiste. Bei .Net wären die laufenden Anpassungen viel Aufwendiger ;) @Frank: Jetzt hast dus! Hätte noch mehr auf Lager die man normalerweise nie zu Gesicht bekommt. Bis hin zur untersten Ebene mit C++ runtime Fehler wo das ganze Office abschmiert. Yep, das mit der Reihenfolge hatte ich auch rausgefunden, hilft aber nicht wenn Du deren zwei Qry's hast die jeweils ein einzigartiges Feld haben. Ein halbpatzige Lösungen habe ich, ist aber irgendwie nicht dauerhaft 1. die Abfrage mit einer ge-0-tenGUID speichern (ein allfälliges bereits existierendes Feld mit NULL das Kauderwelsch verursacht muss erst gelöscht und Abfrage gespeichert werden). 2. die 0er-GUID mit NULL ersetzen und wieder speichern Leider habe ich keine Ahnung wo Access die ganzen Quellcodes mit allen Angaben von Abfrage/Formularen/Klassen ablegt damit man es selber reinpatchen könnte. Läuft über irgendwelche XML-Schnittstellen, habe dazu aber leider noch keine Doku gefunden gefunden wie man das selber nutzen könnte. Habe da schon Stunden mit Analysen verbracht. Dann halt die Workarounds die ich teilweise schon genannt habe: 1. In den anderen Tabellen ein Phantomfeld (gefällt mir gar nicht) 2. Eine zusätzliche Tabelle nennen wir sie mal "tbl0union" mit jeweils einem Feld jedes Datentyps und dann mit dieser eine zusätzliche Abfrage erstellen, die man dann zuoberste in die UNION-QRY packt. Dürfte auf die Performance keine Auswirkungen oder höchstens eine positive haben, weil eine Tabelle ohne Datensätze den Feldtyp für sämtliche Felder erzwingt. Sprich keine der Folgeabfragen hat dann ein udefiniertes NULL-Feld mehr. Oder direkt mit Aliasen in die UNION-Qry ist dann aber weniger übersichtlich. (Die gefällt mir eigentlich gar nicht so schlecht, ist mir gestern Abend beim Bier als Gedankenblitz durch den Kopf) Bezüglich CAST: Der heisst in Access StringFromGUID und gibt die 36er Variante raus. Für SQL Qry's brauchst z.B. die 45er Variante und in der Software der Einfachheit halber die 32er oder 36er. Habe ich mit einer eigenen StringFromGUID gelöst wo ich die Länge als Argument übergeben kann. Die Arbeit mit GUID's ist eigentlich ziemlich easy. Sie vereinfachen sogar so manches. Solange man eben die Cave-Eats kennt und zu umgehen weiss. Richtig lästig ist nur das keine Verknüpfungen von Main und Subreports direkt möglich sind und eben die gecastete Variante in der zugrundeliegenden Abfrage notwendig ist. Solange man das aber in der letzten Qry macht, ist die Performance gut.

@Zahni: Ja klar, aber wenn ich nachher die UNION Qry wieder joinen muss ist eben essig. Könnte ich natürlich auch in den Zugrundeliegenden Abfragen bereits erledigen, ist aber deutlich langsamer (knapp 30%) als wenn ich erst auf Basis der UNION-Qry einen Join laufen lasse und auch die Komplexität/Wartung der zugrundeliegenden Abfragen sowie die Übersicht wird um ein vielfaches mühsamer. Warum GUID: Die ganze Anwendung basiert mehrheitlich auf GUID's. Hat verschiedene Gründe warum das im Endeffekt deutlich besser ist. Insbesondere dient es der wirkungsvollen Datenkonflikt-Vermeidung wenn viele Clients auf die gleiche Backend-Zugreifen. Man hat ja keine SP's in Access und muss alles in der Software abbilden. Die meisten Probleme die man mit Multi-User und Access haben kann, treten mit GUID's als Keys in Bearbeitungstabellen gar nicht erst auf. Auch kann man die Write-Zeiten auf ein Minimum reduzieren weil Datensätze inkl. PK's erstmal nur im RAM der Clients liegen und dann gesammelt geschrieben werden = Weniger gleichzeitige Writes = Vielfaches der Performance und keine Daten-Konflikte. Ein weiterer Punkt sind externe Daten. Die können generiert und ohne Anpassung exportier/importiert werden. Ein Abgleich ist mit GUID's als PK/FK ist viel einfacher als mit einfachen Zahlen. Einfache Zahlen kann eigentlich nur ein Server zuverlässig generieren, eine GUID auch problemlos ein Client. @Der Frank: Solange die zugrundeliegende Tabelle ein GUID-Feld hat, welches wiederum in manchen Datensätzen den Wert NULL und in manchen Datensätzen einen ForeignKey auf eine andere Tabelle aufweist, ist alles kein Problem. Wenn aber eine der Queries dieses Feld nicht in einer Tabelle hat, wird es zum Problem. Siehe dazu die SQL-Syntax der Abfragen meiner letzten Antwort. --> (SQL-Syntax: Feld2 AS NULL)

Die richtigen GUID's müsste ich dann auch umwandeln damit es so überhaupt klappt. Wenn aber GUID's in CHAR umgewandelt werden, wird die Performance unterirdisch wenn nachher noch ein Join gemacht werden muss. Kann man komplett knicken. Muss ich an manchen Stellen zwar auch machen, aber nur wenn ein Formular oder Report die GUID nicht selber wandeln kann und das ist nur bei der Verlinkung mit SubReports/Forms der Fall. Dann gibt es das aber immer als zusätzliches Feld und nicht anstatt. Eine ge-0-te GUID ( {guid {00000000-0000-0000-0000-000000000000}} ) funktioniert übrigens. Dann sind aber allfällige Joins auf eine grössere UNION SELECT Qry wieder sehr viel langsamer als wenn es wirklich NULL Werte sind. Diese werden bei JOINS ignoriert. Die realen Abfragen sind leider bei weitem nicht so trivial gestrickt wie mein Reproduzier-Muster hier.

Ja klar, Aliase sind ja SQL Basics. Die Syntax von Access (ADO) ist ja eh identisch mit SQL-Server. Wenn das Probleme geben würde, hätte ich mit dem Stück Software ganz andere Probleme. Das Problem gibt es auch nur mit GUID's. Mit alle anderen Datentypen habe ich diese Probleme nicht. Wenn noch jemand eine Idee hätte wäre das Klasse, ansonsten läuft es dann halt auf ein leeres PhantomFeld hinaus, was ich eigentlich vermeiden wollte.

Hi, solange es separate Queries sind, ist das 0 Problem. Kann und darf keines sein. Nur innerhalb der UNION muss man mit den Alias logischerweise unterscheiden. Oder wenn mit Unterabfragen innerhalb der gleichen SQL-Qry gearbeitet wird. Gleiche Alias wird nur zum Problem wenn man innerhalb der Ursprungs-Qry mehrere Feldnamen mit dem gleichen Namen aus unterschiedlichen Tabellen hat, dann macht der Compiler Alias.Feld draus. Dann gibt es Probleme wenn man das Alias in der nächsten Abfrage wieder verwendet.

Danke für den Input. Es ist eine AccessDB in SQL-Server Format (Also ADO als Standard). Ob es beim SQL-Server genauso gehandhabt wird, habe ich ehrlich gesagt gar nicht nachgeprüft. Grade bemerkt, dass ich in SQL-Server gepostet habe. Im Grunde ist es ganz einfach, versuche es mal in anderen Worten: 1. In Abfrage 1 kommt in Feld 2 eine GUID oder NULL 2. In Abfrage 2 gibt es dieses Feld nicht und wird auch nicht gebraucht, Ich kann also kein Tabellenfeld als Feld 2 definieren sondern definiere das Feld direkt (berechnet). Syntax Abfrage 1 wäre: "SELECT A.Feld1, A.Feld2 From Tabelle1 AS A" Syntax Abfrage 2 wäre: "SELECT A.Feld1, NULL AS Feld2 FROM Tabelle2 AS A" Dann UNION SELECT über diese beiden Abfragen. Also (Bewusst zuerst die Abfrage 2, da er da eher auf die Schnautze fällt) SELECT * FROM Abfrage2 UNION ALL SELECT * FROM Abfrage1 Seltsamerweise hat es auch schon funktioniert. Scheinbar interpretiert er aber in diesem Fall nicht immer identisch oder aber es wird irgendwo ein Feldtyp gespeichert, den man aber nicht ändern kann.

Hallo Leute, Gibt es eine Möglichkeit einem berechneten/neuen Feld in einer Qry den Wert NULL eines bestimmten FieldTypes zuzuweisen? Insbesondere GUID? Ausgangslage: Abfrage 1: Feld 1: GUID als Autowert Feld 2: GUID als FK auf Tabelle 2 (also NullWerte oder eben ein ForeignKey auf eine andere Tabelle) Feld X: Diverse Felder Abfrage 2: Feld 1: GUID als AutoWert Feld 2: NULL (Kein zugehöriges Tabellenfeld) Feld X: Diverse Felder Lege ich nun eine UNION-SELECT über diese beiden bzw. mehrere Abfragen mit gleichem Stil, dann werden die "richtigen" GUID's des Feldes 2 aus Abfrage1 in Kauderwelsch, also Sonderzeichen, chinesische Zeichen usw. umgewandelt. Ich vermute, dass die Null-Werte von Feld 2 der anderen Abfragen nicht als NULL-Werte von GUID's interpriert werden sondern als Binary oder sonstwas. Dies Obwohl die einzig vorhandenen Werte in Feld 2 - die nicht NULL sind - aus den verschiedenen Abfragen ausschliesslich GUIDs sind. Wie kann man nun Feld 2 in Abfrage 2 verklickern, dass es eben eine GUID mit Wert NULL ist? Einen Work-Around gibt es, indem ich einfach in der Datengrundlage von Abfrage2 in einer Tabelle ein GUID Feld ohne Funktion erzeuge. Wenn es anders geht, fände ich das aber schöner. Grüsse und Danke

Hi, dürfte am nicht gestarteten oder nicht erreichbaren Dienst Remoteregistrierung auf dem Server liegen (net start RemoteRegistry). Sollte er gestartet sein, Firewall-Regeln prüfen. Zum Beispiel indem das Auditing eingeschaltet wird: In CMD: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:disable /failure:enable Danach Ereignisviewer Sicherheit aufrufen, dann siehst alle verworfenen Pakete mit Protokoll, Port sowie die Prozess-ID welche es verursacht hat. Mit Tasklist /svc findest die entsprechenden Dienste raus die zum Prozess gehören. Dann kannst für diese entsprechende Regeln erstellen. Insbesondere Hilfreich wenn das Standardverhalten von Outgoing Allow auf Outgoing Block gestellt wird (was eigentlich immer gemacht werden sollte).

Ist den das ursprüngliche AD 100% sauber? Vielleicht solltest mal Tests drüberrennen lassen ob da wirklich alles so funktioniert wie es soll. Kann gut sein, dass es im täglichen Betrieb tadellos funktioniert, eine Wiederherstellung aber nicht wirklich. Normal schlägt dann auch eine Sicherung fehl, dass z.b. Systemstate nicht gesichert werden konnte, aber da gibt es auch alles mögliche an Varianten. Ansonsten noch ein paar Anmerkungen: Muss ein DC aus einem Verbund wiederhergestellt werden gibt es öfter mal Komplikationen verschiedenster Ursachen. Ich installiere deshalb defekte Member DC's eigentlich immer neu wenn mehr als ein DC in einem AD vorhanden ist. Gibt es bei der Wiederherstelung des FSMO-Rollen-Trägers Probleme die nicht in kurzer Zeit behoben werden können fackle ich nicht mehr lange und fahre alle Member runter, stelle den FSMO-Träger von einer ColdCopy wieder her und schmeisse alle Member-DC's aus dem AD raus und alle Member werden neu erstellt. In der Regel mit gleichem Namen und IP. Die Zeit die in einer einfachen Umgebung für eine solche Aktion aufgewendet werden muss, stehen in der Regel in keinem Verhältnis zum Aufwand einer nachträglichen manuellen AD-Bereinigung sowie deren Prüfung wenn es bei der Wiederherstellung zu Problemen kommt. Ist aber nur meine persönliche Meinung die rein auf Erfahrungswerten basiert. Richtige AD-Profis werden das vielleicht komplett anders sehen und insbesondere in grösseren Umgebungen dürfte das vielleicht so nicht möglich sein. Ansonsten kann man es sich auch überlegen ob man heute wirklich mehr als einen AD-Server braucht. Bei nur einem Server ist ein Recovery nie ein Problem und mit SSD's als Primärspeicher in ein paar Minuten erledigt. Auch von einem Image. Wie schon erwähnt wurde, könntest den im Total-Notfall sogar auf dem Admin-PC als VM hochziehen. Jede noch so kleine manuelle AD-Bereinigung und deren Prüfung braucht mehr Zeit insbesondere wenn man nicht geübt ist. Folgeprobleme noch nicht eingerechnet. Auch die Replikations-überwachung fällt weg. Viele Dienste laufen ja sowieso nicht mehr richtig wenn die PDC-Emulator-Rolle weg ist. Wenn DFS noch auf dem gleichen Server läuft (was leider oft so gemacht wird) ist eh Ende Gelände mit Arbeiten. Da nehme ich die Lizenz viel lieber für einen zweiten Fileserver oder einen separaten Zertifikatserver der auch nur Ärger macht wenn er auf dem DC läuft und ein Upgrade ansteht. =) Wie schon oben, ist nur meine persönliche Meinung in Verbindung mit Kleinumgebungen, weil mir einfach die Zeit zu schade ist und ich in der Vergangnheit etliche Stunden mit AD-Bereinigungen verbracht habe die nicht selten irgendwann trotzdem wieder Probleme gemacht haben und im Endeffekt insgesamt deutlich mehr Down-Time verursacht haben als ein paar Minuten Image überspielen. Noch ein kleiner Tipp: Wiederherstellungs-Tests mit VM's auf der gleichen produktiven Maschine bzw. Netz würde ich falls möglich einfach immer vermeiden. Irgendwann wechselst mal nicht den vSwitch Namen der LAN-Karte und es sehen sich unter Umständen zwei DC's mit unterschiedlichen Versionsständen. Folgen: nicht nur deine Wiederherstellung sondern auch Dein produktives AD wird korrupt.

Es ist definitiv so, dass man für Industrie-PC's spezielle Versionen bekommen kann und eigentlich auch verwenden muss. Wie hoch die Hürden für die Hersteller sind, weiss ich allerdings nicht. Wenn deiner Dir 2016 LTSB gibt dürfte er Verträge mit MS haben und Du kannst Dich glücklich schätzen. Alles andere ist für einen IPC Obermurks, ich spreche aus leidiger Erfahrung! Ich hatte leider nicht so viel Glück, ein Maschinenhersteller wo ich das durchsetzen wollte, machte das nicht, der Kunde war - leider einmal mehr- ein zu kleiner Fisch um sowas zu erzwingen und meine Erklärungen haben die auch nicht die Bohne gejuckt. Er wollte es nichtmal machen wenn wir die Lizenzen/Images bringen weil sie ja alles vorkonfiguriert haben. Eine Wahl für einen andere Hersteller gab es nicht. Auf alle Fälle kamen die IPC's in der neuesten Anlage eines Kunden mit Windows 10 Pro angetanzt an dem man nichts verändern darf wegen der Gewährleistung. Ist der reinste Wahnsinn, die Maschine braucht Fernwartung und somit Internet. Kaum ist diese aktiv werden die neuesten Windows-Builds gezogen. Dann kracht irgendwann in der Nacht weil Windows einfach runterfährt und ein neues Build installiert und die Produktionszelle steht still. Die Maschine arbeitet nicht und der Hersteller darf wieder per Fernwartung alles reseten. Produktionszelle, Roboter, Warenlager, Werkzeugwechsler, Leitsystem usw. alles mit W10 Pro. Am liebsten hätte ich die Leute der IT-Abteilung auf der Stelle erschlagen. Nach dem dritten Crash habe ich und vor allem der Kunde dann die Schnautze voll gehabt und angefangen mit Firewall und GPO's die Zugriffsmöglichkeiten von W10 abzudrehen sowie einen imaginiären WSUS definiert. Wir werden sehen ob MS nicht irgendwo doch noch Backdoors eingebaut hat und trotzdem Updates zieht. An den Static/Configurable Rules habe ich hier nicht rumgemacht. Leider gibt es so auch keine Sicherheitsupdates. Aber die würde es ja dank dem super neuen Update-System eh nicht lang geben.

Ihr seit aber nett zueinander =) Noch als kleine Ergänzung: Es gibt noch den Bericht den man sich pro Maschine anschauen kann. Da mal die "erforderlichen" Updates durchgehen. In der Regel erscheinen da dann die Übeltäter die Du dann wieder genehmigen kannst.

Hast ein manuelles wuauclt.exe /reportnow /detectnow in der cmd durchgeführt? Ansonsten dauert es eine Weile (je nach eingestelltem Zyklus ~1 Tag) bis das auch tatsächlich dem WSUS gemeldet und die Daten abgeglichen sind. Ist alles immer etwas träge wenn es nicht manuell angestossen wird. Und selbst dann kann es etwas dauern bis alles greift. Eine Aussnahme gibt es mit der ganzen Ablehnerei meines erachtens. Ich genehmige z.B. nur die Sicherheitsupdates über alle Clients. Das "Security und Qualityrollup dagegen bekommt nur ein Teil der Clients in eigenen Gruppen. Die normalen Updates genehmige ich selektiv für alle Clients. Das heisst die Clients würden sie nicht bekommen, wenn das Quality Rollup genehmigt wurde und jene Updates abgelehnt werden. --> Etwas unsicher bin ich, wie WSUS auf diese Situation reagiert wenn Updates durch neuere Updates ersetzt wurden und ein neuer Client diese wieder anfordert, das ersetztende Update aber nur für eine andere Computergruppe genehmigt wurde und nicht für alle. Würde mich auch mal interessieren ob es dann automatisch abgelehnt wird oder nicht. Ich meine - weiss es aber nicht mit Sicherheit - dass es wieder auf "Nicht genehmigt" gesetzt wird. Habe es zumindest schon erlebt, dass Updates wieder angezeigt wurden obwohl sie vorgängig mal abgelehnt wurden. Einen genauen Beschrieb habe ich dazu leider noch nicht gesehen. Würde Dir übrigens ein Wartungsscript ans Herz legen welcher Dir die Datenbank per Task (Aufgabenplanung) aufräumt und sowas automatisch erledigt. Findet man auch im Link der bereits als Lektüre gepostet wurde. Wie auch immer, wenn mir irgendwas suspekt ist, setze ich immer zuerst den WU-Client komplett zurück und lasse ihn neu mit WSUS syncen. Wie das geht stand alles mal auf der MS-Site, wurde aber kürzlich durch einen doofen Klick-Assistenten ersetzt der leider nur noch die Hälfte erzählt und insbesondere den wichtigen Kram einfach weglässt. Wenn es dann immer noch komisch ist, dann fange ich mit der weiteren Fehlersuche an. Zurücksetzen geht folgendermassen: net stop wuauserv net stop bit net stop cryptsvc net stop appidsvc löschen von SoftwareDistribution in System 32 (Del "%systemroot%\system32\SoftwareDistribution" löschen von Downloadmanager Files: ( Del "%ALLUSERSPROFILE%\Anwendungsdaten\Microsoft\Network\Downloader\qmgr*.dat" ) --> Musst Dir evtl. erst Zugriff geben löschen von Catroot2: (Del "%systemroot%\system32\catroot2" dann dienste wieder starten und ein wuauserv /reportnow /detectnow ausführen dann nach ein paar minuten die Updates suchen lassen. Gibt noch das Kuriosum, dass der Client Updates zieht aber nicht in WSUS erscheint. Dann läuft er in der Regel unter einer ID die schon ein anderer Client hat, wie auch immer das geht. Dann musst zusätzlich die WU client ID in der Registry des Clients löschen, am besten windows neu starten, und ein wuauserv /resetauthorization und anschliessend wuauserv /reportnow /detectnow durchführen.

Das Verhalten kenne ich eigentlich nur aus der Vergangenheit wenn mehrere Office-Versionen - oder Bestandteile davon - auf dem gleichen PC installiert waren (z.B. Access-Programme/Rutime die auf älterer Office-Version liefen). Insbesondere wenn zuerst eine neuere Version installiert war und anschliessend eine alte dazu kam. Dann kam bei einigen Clients beim Start der neueren Version der Installer. Kann auch passieren wenn die alte Installation der alten Version im Nachhinein angepasst wird. Auch bei Service-Packs habe ich es schon erlebt. Hilft dann nur die neue deinstallieren, alte nochmals reparieren, durchpatchen und dann die neue wieder aufspielen sofern man nicht Stunden damit verbringen will, die Ursache zu finden.

Schulungsräume nutzen ja gerne auch Lern-Videos. Viel von diesem Zeugs basiert auf Flash, Shockwave oder Quicktime. Auch heute noch. All dieser Kram ist unglaublich Single-Core lastig. Ich bin mir nicht ganz sicher ob da Virtualisierung / RDS wirklich dermassen das Gelbe vom Ei ist. Server mit Dual CPU's und hoher Taktrate sind richtig teuer. Dann würde ich persönlich eher auf mehrere Single CPU Systeme setzen dafür mit höherem Grundtankt (so ab 3GHZ). Kann mir aber auch gut vorstellen, dass im Endeffekt kleine günstige Clients einfacher und mit weniger Ärger zu betreiben sind, zumal Du bei allen RDS und Virtualisierungslösungen auch Thin Clients brauchst die unterhalten werden müssen. Bei Fat-Clients bleibt dann noch die Frage ob und wie die Clients zurückgstellt werden sollen. Bei VM's würde ich eher in Richtung ZeroClients (Teradici mit VmWare-VDI und NVIDIA Grid Beschleunigung) gehen. Da lässt sich mit sehr guter Peformance was machen sowie mit VM-Image's die beim Anmelden erstellt werden. Wird aber auch ziemlich aufwendig und die Problematik mit den Kosten pro GHZ bleiben.

Hi, das verhalten kenne ich aus Tests für die Absicherung von W10. Insbesondere wenn man im Nachhinein was macht, merkt man erst, dass nix mehr geht wenn sich ein neuer User anmeldet oder ihm ein neues Profil erstellt wird. Daher ein paar Schüsse ins blaue: 1. Hast ein nichtkonfiguriertes W10 oder selber umfangreiche Änderungen vorgenommen? --> Insbesondere Cortana, SystemHost, CloudHost (habe die Testumgebung grad nicht zur Hand wo die ganz korrekte Bezeichnung von System und CloudHost nachschauen kann) 2. Hast einen Teil der Appx-Umgebung deaktiviert? Insbesondere die Bereitstellung? Was bei Vorgängerversionen noch problemlos war, ist in W10 problematisch, da die ganze GUI eigentlich auch sowas wie eine App ist. Deaktivieren kannst zwar Teile davon, aber nur nachdem alle Benutzer erstellt wurden. --> Nicht wirklich sinnvoll produktiv, ausser Du hast nie neue User. --> Das gute daran, so kann man auf dem Server fast alles vom fragwürdigen Teil (Nutzerdatenübermittlung/Telemetry) des Desktop-Experience wieder loswerden und dennoch den Rest der GUI haben kann. Trotzdem schade hat MS die "Classic GUI" nicht mehr am Start. Wenigstens für den Server. 3. Hast Du an den Firewall-Richtlinien herumgespielt? Insbesondere den versteckten in der Registry? Einige verhindern - isbesondere bei der Erstanmeldung - die korrekt installation der GUI auf Benutzerebene. Hilft dann nur das Profil löschen (In Systemeinstellungen, nicht im Benutzer selbst). --> Zwar irgendwie fragwürdig, dass die lokale GUI vollständige Freipässe in der Firewall benötigt, aber so ist das nunmal. Möglicherweise hat das einen gewissen Sinn um System von Eingabe zu trennen (keine exakte Ahnung auf welcher Ebene das tatsächlich gemacht wird, schätze es geht vor allem um die Daten), aber rein sicherheitstechnisch müsste das meiner Meinung nach auf den lokalen PC beschränkt sein. Zumindest Standardmässig. Eigentlich tragisch wie die eigentlich recht sichere Windows-Firewall mit massig und oft unnötigen, versteckten Öffnungen wieder aufgebohrt wird auf Allow von überall.

Das Konto dient dazu den Telemetry-Diensten Zugriff auf die komplette Registry zu geben. Ich vermute sogar von extern weil sonst könnte man es auch einfacher lösen. Das ist insbesondere deshalb verwerflich weil das Konto ja irgendwie ein Passwort haben muss. Das heisst entweder wird es irgendwie errechnet aufgrund anderer Telemetry-Daten des Systems oder es ist im Voraus schon bekannt. Beides nicht unbedingt der Brüller auch wenn es "nur" lesenden Zugriff zu haben scheint (Es wird ja z.B. auch jede Benutzerinteraktion aufgzeichnet). Der Zugriff erfolgt vermutlich mit irgend einer der zahlreichen Apps die in der Windows-Firewall auf der nicht per CMD/Powershell/GUI konfigurierbaren Ebene einen Freifahrtenschein bekommen. Im Endeffekt ist es also nichts anderes als eine hoffentlich einigermassen gut gesicherte Backdoor für das abgraben von sämtlichen Registry-Daten. Ich habe mich schon sehr viele Stunden mit solchen Eigenheiten von Windows 10 beschäftigt. Im Endeffekt lässt sich eigentlich alles was irgendwie verbogen ist, auf Telemetry zurückführen. Dank der kurzen Halbwertzeiten/Updatezyklen der Builds, wird das reagieren auf diese Situation zukünftig aber fast unmöglich.

@DoseO: Es gibt ne Menge How-To's. Davon sehr viel die noch nie was taugten und noch mehr die nichts mehr taugen weil MS mit jedem Build die Spielregeln verschärft. Insofern verstehe ich seine Frage durchaus wenn er diese in einem wirklichen Profi-Forum stellt. Zu Deiner Frage, ich nehme an die meinst die Aufzeichnungen sowie Übermittlungen die permanent im Hintergrund laufen und A die Privatsphäre verletzen und B ne Menge IOPS versauen. Insbesondere die Writes. Man kriegt Windows 10's Aufzeichnungen auf praktisch 0 (Systmereignisse etc. ausgeschlossen, die machen ja Sinn). Der Aufwand dazu ist aber echt krank. Die Side-Effects bei den Tests enden z.B. mitunter in einer fehlenden Suche, defektem Startmenü, zerschossenem EventHandler usw. Wir sprechen hier von der Entfernung von Systemfiles, manueller Berarbeitung der zugehörigen WinSxs Store-Files auf der Platte und auf der Registry, feindliche Übernahme des TrustedInstallers weil Registry-Werte und Systemfiles weder für System noch für Administratoren zugänglich sind, eigene Hintergrundienste im Stile von MS um die entsprechenden Registry-einträge zu überwachen bei bestimmten Ereignissen zu triggern und zu reagieren, Entfernung gewisser Komponenten aus dem Component-Store, Bildung spezieller User/Gruppen mit denen dann ohne Anmeldung die Daten bearbeitet werden kann weil sonst die Werte wieder überschrieben werden usw. Einfach mal ein paar Stichworte dazu: - AIT-Agent ist ein fast komplett unsichtbarer Hintergrundtask der nicht (mehr) deaktivierbar ist obwohl es ihn nach wie vor gibt. - Diverse Systemdienste die irgendwelche kryptischen Logs wegschreiben auf die man selber nicht ohne weiters Zugriff hat. - Als Stromspar getarnte SleepStudy in Power sowie Energiesparungs-Modulen welche die exakte Nutzungsdauer, Anwesenheit usw. protokollieren. - Netzwerkdatenzwischenspeicherung in User-Files ohne Zugriff was hier gespeichert wird - Datenschutzeinstellungen auf Nutzerebene anstatt Systemweit - Automatisch erstellte Firewall-Ausnahmen auf Benutzerebene für moderne Apps wie Cortana - abschalten/konfigurieren nicht ohne weiters möglich (diesen Punkt finde ich extrem krank) - zahlreiche Firewall-Regeln im Static-Bereich für moderne Apps die man selber nicht sieht und per Powershell/Cmd-Prompt nicht bearbeiten kann - früher war das auf absolut notwendige Systemdienste beschränkt. - Dienste und Hintergrundtask die völlige immun gegen Powershell und teilweise auch Command-Prompt-Befehle sind --> Aktuell noch mit Registry-Bearbeitung möglich - Index auf Handschrift-Komponenten und andere persönlichkeitsrelevanten Dateiendungen die nicht ohne weiteres entfernt werden können - Nicht-Vorhandener Benutzer im System (SID ersichtlich) der Leserechte auf alles hat. Vermute das ist ein Online-Account von MS - Eideutige ID's für den PC bei Telemtry und ErrorFiles (wozu - wenn nicht zur identifizerung - soll das gut sein?) - Dann gibt es noch irgend einen Account/Dienst der sich nicht um eingestellte ACL's schert und trotz kompletten Rechte-Entzug oder Zuteilung an eine eigene Gruppe die Values immer noch überschreiben kann. Das konnte ich in dieser Art früher nicht feststellen. Wenn das Schule macht, dann können wir uns auf etwas gefasst machen. Vor allem als Privat-Nutzer. Hat man mal etwas gescheites gescripted, heisst es nicht, dass es mit den nächsten Builds oder Updates immer noch funktioniert. Bei Enterprise/LTSB stehen die Chancen noch am besten. Auf alle Fälle sind die Hürden so hoch, dass die meisten sich den Aufwand der Analyse schlicht sparen können. Im Privatbereich wo alle 3 Monate ein neues Windows aufgespielt wird sowieso. Ist ein Fass ohne Boden. Aus eigenem Interesse (Firma) sowie etwas Obrigkeitsrebellion arbeite ich selber seit längerem immer wieder mal an einem solchen Script auf Basis der LTSB-Version. Was nur schon vom ersten zum zweiten LTSB Release nicht mehr funktioniert hat ist beachtlich. Der Aufwand ist irgendwie total schwachsinning, insbesonder wenn das Script reversibel sein soll. Hat mittlerweile mehrere tausend Zeilen. Entweder man nimmts hin oder tut sich das an. Wenn MS den gleichen Effort für die Qualitätsprüfung der Updates aufwenden würde wie für die Verschleierung und Schützung "ihrer" Telemetry und Index-Daten, dann hätten wir innert kürzester Zeit ein fehlerfreies Windows. Ein Teil davon hat sicher auch einen gewissen Nutzen für den Admin und manche Indexe dienen auch massiv der Bequemlichkeit (Startmenü-Suche z.B.). Da der Kram aber A in Cortana gelistet ist und B einen solchen Aufwand betreibt damit sie nicht abgedreht werden können gehe ich stark davon aus, dass die Daten eben auch bei MS landen.

Liest sich je nach Interpretation doch etwas forscher als beabsichtigt, korrekt. Nicht in meinem Sinne. ReFs ist meines erachtens technisch ausgereift, ebenso wie die Storage Spaces. Waren sie bis auf einen wirklich misslichen Bug eigentlich von Anfang an. Klar fehlen ein paar Features, hat aber mit der Zuverlässigkeit meines Erachtens nichts zu tun. Setze das schon seit es das gibt produktiv ein. Da war Software RAID bei vielen noch mehr als verpöhnt. Aber egal anderes Thema. ;) Klar ist 3-Nodes besser als 2. Ist alles eine Frage der Logik. Wenn ich Stripes über mehrere bzw. alle verfügbaren Platten konstruiere, dann ist logisch, dass wenn in Stripe 1 auf Host A und Stripe 2 auf Host B ne Platte defekt ist, unter Umständen alles am ars*** ist. Ist aber - wenn es dumm läuft - in jeder normalen SAN nicht anders. Da hat man zudem noch das Mainboard als gemeinsame Komponente, raucht die ab, ist auch alles tot. Ausserdem heulen die meisten ja bereits rum, wenn zwei SSD's für nen Spiegel gekauft werden muss. Bei dreien hört es dann meist ganz auf. Aber auch ein 2-Node Cluster lässt sich so aufbauen, dass dieser Fall nicht eintritt. Insofern kann man auch gut mehrere Pools à 2 Discs machen um das Striping von Anfang an zu verhindern. Die Performance ist dadurch gerade bei etwas günstigeren Enterprise Platten nicht schlechter sondern sehr oft sogar besser. Im Endeffekt ist es wie bei vielem, irgend einen Tod muss man sterben und Designfehler bleiben Designfehler. Konventionelle RAID-Discs: Klar kannst Du konventionelle RAID-Volumes als Basis verwenden. Würde ich bei Magnet-Discs auch in jedem Fall so machen sonst ist die Performance absolut unterirdisch. Da nutzt unter Umständen auch der Cache nicht mehr so viel. Von Rebuilds bei nem Discfehler will ich gar nicht erst sprechen (evtl. wurde das aber verbessert, keine Ahnung). Wie auch immer, die Hauptfragezeichen punkto Performance mit Storage Spaces stehen nach meiner Erfahrung im direkten Zusammenhang mit den verwendeten SSD's. Wird top Ware verwendet, gibts ein Top Ergebnis. Skaliert auch nahezu linear. Bei mässiger Ware ein verhältnissmässig schlechtes bis sogar sehr schlechtes. Mittelmass ist leider eher schwer möglich, je mehr Discs im Stripe, desto schwieriger wirds (Latenz-Problematik).

@Net Runner: Verstehst Du wie die Storage Spaces funktionieren bzw. hast es bereits eingesetzt? Das ist technisch sehr ausgereift ob nun das neue Direct oder "klassisch". Wenn man das überhaupt bereits als klassisch betiteln kann. Ist ja noch nicht viel mehr als 1-2 Computergenerationen alt. =) Ausserdem hindert Dich niemand daran anstelle einzelner Discs Volumes die auf einem Hardware-RAID liegen zu Verfügung zu stellen. Das ist sicher kein Argument. Macht bei Magnetplatten unter Umständen sogar durchaus noch Sinn weil der Write-Cache den klassischen Storage-Systemen nach wie vor etwas hinterherhinkt. Des weiteren kannst Du mit Storage Spaces problemlos Mehrfachfspeicherungen vornehmen. Es gibt nicht viele Speichersysteme mit einer solchen Flexibilität. Warum das bei Storage Spaces Direct nicht so sein soll erschliesst sich mir jetzt nicht wirklich. Kannst Du gerne näher ausführen. Nichts desto trotz sind 2 Nodes anfälliger als 3 oder 4 Nodes und die Einstiegskosten sind enorm weil für Direct erstens spezifische Hardware benötigt wird und bei den Lizenzen für SS Direct Datacenter gefragt ist. Denke hier will MS verhindern, dass SMB-Kunden die Cloud-Pläne von sich selber und allfälligen Partnern mittelfristig zunichte machen sobald der benötigte Hardware-Kram günstiger wird. Dürfte ein Schulterschluss sein. Dann wäres es noch sinnvoll neben Starwind noch den aktuellen Platzhirsch zu nennen: Datacore

@MC: Ich wiederhole es gerne auch hier, wollte den Thread nicht für die Diskussion missbrauchen daher habe ich ihm ne PN geschrieben. Persönliches gehört in PN's finde ich zumindest. Genau wie allfällige Anfeindungen. Klar für Vielbesucher werden meine Bedenken etwas arg oft gelesen, aber nicht jeder ist pausenlos da. Habe es ihm (Sunny) auch angeboten "Kritik/Information" dieser Art zukünfigt in einem "spoiler" zu schreiben, dann muss man es extra einblenden. Gleichzeitig habe ich ihn darum gebeten mir einen Alternativen Weg zu nennen. Genannt hat er mir übrigens beides nicht. ;) Fakt ist numal, dass sich MS quasi jedes Recht herausholt mit den Bestimmungen die A jeder anklickt, gleichzeitig sicher nicht liest und B man nunmal nicht an MS vorbeikommt. MS hat nunmal ein Quasi-Monopol im Desktopbereich (Was ich im Grund gar nicht schlecht finde - deutlich einfacher). So wie Apple und Google den Mobilbereich untereinander aufteilen. Es kann bzw. darf eigentlich nicht sein, dass ein Konzern wie MS - der eine sehr hohe Verantwortung trägt - die zahlende Kundschaft zu einem Produkt und in ein bestimmtes Nutzungs-Modell drängt oder nötigt (wie auch immer man das nennen mag), gleichzeitig ausspioniert (im übertragenen Sinne - so ganz genau weiss man es ja auch nicht) und die erhobenen Daten irgendwie verwendet - wie genau weiss man auch nicht. Man weiss eigentlich gar nichts, ausser das man einfach mal alles erlaubt. Die im Internet verfügbaren "Aktuellen" Bestimmungen sind zudem so vage formuliert, dass sie eigentlich auch keine wirkliche Relevanz haben. Zumal ja fast alle MS-Internet-Angaben keinen rechtlichen Charakter geniessen. Von daher habe ich immer noch die Hoffnung, dass mit einer besseren Information der Nutzer der Druck auf MS bzw. eben die Entscheidungsträger etwas steigt und diesbezüglich etwas gemacht wird. Ist übrigens mein "Antrieb" das überhaupt regelmässig zu beschreiben. Mir persönlich ist es egal mehr für ein Produkt zu bezahlen wenn dafür meine Daten bei mir verbleiben. Aber ich habe die Möglichkeit dazu gar nicht. Als Privatperson noch weniger als im Geschäft. Nur zur Klarstellung: Ich bin ein MS-Befürworter (fast) erster Stunde (habe mit Dos 6 angefangen) und war bis auf Vista mit jedem Ihrer Produkte im Allgemeinen mehr als zufrieden und bin es heute noch. Aber was hier auf der nicht-technische Seite abgeht finde ich persönlich sehr heftig und braucht meines erachtens nunmal Aufklärung. Da hilft es nix wenn die Produkte technisch excellent sind, man sie aber eigentlich gar nicht guten Gewissens bei den Kunden installieren kann weil einfach die effektiven Datensammel-Aktionen sowie deren Verwendung unglaublich unpräzise oder gar nicht formuliert sind. Auf jedem Computer steckt Know How der Firmen drinn. Am Ende ist noch der Installateur mitschuldig weil er die "Häckchen" setzt und nicht die Chefs der Firmen selbst, weil die sowas angeblich niemals bestätigt hätten. ;) Es wurde wieder eine A4-Seite. =)

;)

Nun, das sind einige. Du kannst versuchen die fehlerhaften Files bzw. die kompletten Ordner direkt von einer Windows-CD/Windows Image zu holen und reinzukopieren. Im Link von Sunny's Post steht beschrieben wie. Danach sollte SFC grundsätzlich durchlaufen. Von Repair-Installationen rate ich ab, dann lieber gleich frisch aufsetzen. Was ich vergessen habe zu erwähnen, weil ich das jeweils automatisch mache: Hast Du "C:\Windows\SoftwareDistribution" vor den Updates sowie nach der Deinstallation mal komplett gelöscht und 1-2 reboots gemacht? --> Dafür musst vorher die Dienste Windows Update sowie BITS deaktivieren. --> Hilft bei sehr vielen unerklärlichen Update-Problemen. (Bei dir sind sie eigentlich erklärbar wenn auch nicht zwingend zusammenhängend, weil sfc Fehler spuckt).