Weingeist

Was Du genau anhaken sollst, kann ich Dir auch nicht sagen. Dafür habe ich mich noch zu wenig mit den W10 Installationen rumgeplagt. Habe bisher erst eine Installation wo ich die W10 Kröte Schlucken musste (Anmerkung hier: Finde W10 technisch absolut gelungen, wie fast immer bei MS - Nur die Randbedinungen sind mittlerweile eine Katastrophe). Das ist eine Steuerung die zum Glück Offline betrieben wird. Bin bei W10 erst bei Testungen bezüglich verhinderung von Datensammlungen etc. Ich hole mal etwas aus: Wenn man die Entwicklung bei MS der letzten Jahre etwas beobachtet braucht man dazu keine Glaskugel. Das zeichnet sich ab. Aktuell für die W10 Pro sieht man es daran, dass bereits jetzt einige GPO's nicht mehr greifen. Zum Beispiel kann nur in Enterprise-Versionen von Windows 10 der dämliche Lock-Screen deaktiviert werden, in Pro-Versionen seit 1 oder zwei Upgrades nicht mehr. MS möchte die Kunden Stück für Stück vergraulen damit man "freiwillig" ins Mietmodell wechselt. Alles in nur so grossen Schritten, damit nicht allzuviele Kunden aufs mal verärgert sind weil sonst der Aufstand zu gross wäre und eventuell sogar die Wettbewerbshüter auf den Plan rufen würde weil MS im Grunde eine Monopol-Stellung inne hat. ;) Das ganze hat im Grunde mit SP3 für Windows XP angefangen. Da wurden die Nutzungsbestimmungen das erste mal grosszügig verschärft. Es waren aber nur wenige Kunden tatsächlich betroffen. Weiter gings mit anderen Rand-Installation wie den virtuellen Desktops und eigentlich "Must-Have" Optionen für z.B. Exchange die nur per Miete erhältlich sind. Aktuell gehts weiter zu den physischen Desktops sowie den miesen Bedingungen für Kauflizenzen bei Office (im Vergleich zu 365). Per User ist zum Beispiel nicht käuflich erhältlich. Die Entwicklung wird ihren Abschluss in den Server-Versionen sowie Applikationen finden. Ich war ja bereits soweit, dass ich teure Server Versionen für meine Clients gekauft hätte weil mir die aktuelle Betriebsphilosophie des Managements in Sachen Mietmodell und Datenschutz überhaupt nicht gefällt. Kaufe zwar seit ich mich erinnern kann SA zu unseren Produkten hinzu aber erzwungene Miete geht mir komplett gegen den Strich. Da bleibt echte Innovation früher oder später auf der Strecke und nur noch der Profit zählt. Seit sie aber den Cortana-Müll sowie die aufgeblasene GUI auch auf die Server Versionen übertragen haben, gibt es dafür leider auch keinen Grund mehr. Die Schlanke GUI wurde schlicht gestrichen, dabei hätten Sie z.B. einfach die von W7 oder 2012 als Minimale-GUI behalten können ohne das ganze Desktop-Experience Gedöhns. Bei einem Mietmodell kann MS fast beliebig an der Preisschraube drehen weil niemand mehr so ohne weiteres aussteigen kann. Auch länderbezogene Preise die sich an der Kaufkraft orientieren, sind viel einfacher durchzusetzen weil es mit Miete keinen Parallel-Import mehr geben kann. Absolut krass finde ich ja, dass die Preise für die Kauflizenzen auch aktuell immer weiter steigen und gleichzeitig der Datenschutz total in den Keller geht. Doppelte Gewinnmarge. Geht alles weil Monopol. Nicht falsch verstehen, ich bin seit DOS ein absoluter Befürworter von MS-Produkten, aber das aktuelle Management ist leider geprägt von Managern und nicht mehr von verantwortungsvollen Inhabern. Wie leider mittlerweile in vielen grossen Konzernen.

Du wirst gar nicht drumrum kommen die Versions-Upgrades zu installieren weil MS die anderen Updates schlicht davon abhängig machen wird bzw. teilweise bereits macht. Zudem ist die Pro-Version ist in Zukunft nur noch bedingt Unternehmenstauglich, ist bereits teilweise und wird vermutlich komplett zum Consumer-Produkt degradiert. --> Mietmodell Falls Du tatsächlich eine Version behalten möchtest, wirst um Enterprise bzw. besser LTSB nicht herumkommen. LTSB ist (vermutlich neben den Industry-Versionen) die einzige Version mit langfristem Nicht-Update-Zwang.

Das Problem beim Index-Dienst bzw. eigentlich der kompletten Datenkrake mit dem Überbegriff Cortana aus Windows 10 (Und ja sogar Server 2016 ist vollgestopft mit dem Kernschrott) liegt leider tiefgreifend. Immer mehr ist mittlerweile von dem Krempel abhängig. Einfach deaktivieren ist nicht und bringt massive Eingriffe ins System und den Nutzungskomfort mit sich. Granular einstellen lässt er sich auch nur mit enormsten Aufwand. Wir der Kram komplett deaktiviert, hast Du unter Windows 10 weder ein Startmenü noch eine Taskleiste oder die Info-Symbole. Also der komplette Steuerbalken fehlt. Möchte man etwas einschränken, dann wirds echt heftig weil nichtmal der Benutzer System den Schrott deaktivieren kann. Man muss sich also noch weitere Rechte erschleichen (Aktuell reicht TrustedInstaller). Der Aufwand der MS betreibt um die Deaktivierung zu verhindern ist enorm. Zu Deinen Fragen: - Outlook: Keine Ahnung wie stark mittlerweile Outlook in Cortana eingebunden ist. Ich tippe darauf, dass dies in aktuellen Versionen noch nicht so stark der Fall sein wird in künftigen aber mit Sicherheit. - Dateien finden: Nun der neue Finder in Windows ist ja eh schon grottenschlecht im Vergleich zu XP. Auch wenn er theoretisch mehr kann. Ohne Index ist die Suche sogar um Welten zuverlässiger (für alles was nicht grad Word und Excel ist) dafür aber sehr IOPS-Intensiv und deutlich langsamer. - Abschalten per GPO: Richtige Flags gibt es nicht dafür. Zumindest keine die tatsächlich übergreifend wirksam sind. Etwas beschränken kannst Cortana schon, aber für das meiste Du selber Hand anlegen und entsprechende Massnahmen treffen sowie mühselig eruieren wo der Schrott überhaupt gespeichert wird. Ohne Enterprise Versionen wird das aber sowieso mühsam werdenin Zukunft weil die GPO's gar nicht greifen werden. --> Weitere Massnahme zum schleichenden Übergang Mietmodell. Es gibt verschiedene Möglichkeiten. Bis hin zu Entzug sämtlicher Rechte für System und TrustedInstaller für bestimmte Regionen auf der Festplatte sowie Registry. So kannst Du - zumindest zurzeit - wirksam verhindern, dass ein Index gepflegt wird. Später wird MS das wohl ins RAM verschieben wo ein Nachvollzug der Tätigkeiten schwieriger wird. Aktuell lässt sich mit RegShot und anderen Tools die Veränderungen im laufenden Betrieb sehr gut protokollieren, du wirst nicht glauben wie viele Hives verändert werden ohne das Du auch nur einen Klick machst. Ich bin der enormen Datenkrake jendenfalls sehr skeptisch eingestellt, zumal sich MS quasi die Rechte "erschleicht" diesen zu Nutzen mit den Nutzungsbedingungen. Völlig egal ob man eine teure Lizenz oder so ein quasi "Gratis-Windows" auf Consumer Geräten hat. Es gibt keine Möglichkeit zu weichen, auch nicht für Geld. Es gibt wohl nichts was aussagekräftiger ist als ein guter, gepflegter Index. Nicht umsonst erstellt Microsoft z.B. für jeden Benutzer automatisch eine Firewallausnahme für Cortana. Ein Schelm wer böses dabei denkt. Cortana ist die Schaltzentrale aller Indexe des Systems. Eigentlich gibt es kein Grund, dass diese nach draussen senden muss. Ich warte auf den Tag, wo es eine versteckte Firewall-Regel wird (die übrigens mit W8.1 und vor allem 10 sprungartig zugenommen haben). Aktuell ist sie noch direkt ersichtlich. Ich meine Privat kann man damit leben oder eben darauf verzichten. Den meisten ist das ja eh völlig egal wie man an der Nutzung der Mobiltelefone sieht. Im Behörden oder Unternehmensbereich halte ich das aber für unmöglich, man kommt an den grossen Konzernen sehr selten vorbei. Da zieht im Grund jeder die Unterhosen aus.

Was heisst genügend? 3-4 GB oder 10-12GB? Das ganze auch schon im abgesicherten Modus versucht? Aber, wenn sfc scannow fehlschlägt ist normal etwas im argen. Könntest noch ein Abgleich mit einem Original-Image machen wie im KB-Artikel vom Dr. beschrieben. Birgt aber - soweit ich mich erinnere - immer etwsa die Gefahr, dass Einstellungen etc. verloren gehen. --> Evtl. auch mal im abgesicherten Modus. Post doch auch mal die Fehler die SFC bringt.

Hätte des öfteren erlebt, dass zu wenig Festplatten-Platz schuld war das .NET Updates fehlschlagen. Ist so aber nicht unbedingt in einem Log erkennbar. Was Du auch versuchen kannst sind alle .NET relevanten Dienste zu deaktivieren/abzuschalten und dann die Updates zu installieren. Ein weiterer Versuch wäre die Updates im abgesicherten Modus zu installieren, dann hättest die Gewissheit, dass irgend ein Dienst oder Task das Update blockiert.

Ohje, auch wenn man MS mittlerweile sehr viel zutrauen muss, dass sie hier je gegen den Kunden aktiv werden garantiert nicht. Man würde ja so die SA Käufer gegenüber den ab und zu Neukäufern benachteiligen und das ist zu 1000% Sicherheit völliger quatsch. Wöllig Wurscht ob es nun in den Bedingungen durchverklausuriert ist oder nicht. Ausserdem war Migration noch nie ein Schwarz/Weiss Thema. Wie lange es dauert bis ein System komplett abgeschaltet oder gelöscht werden kann, ist selbst in kleinen Umgebungen nicht immer zu 100% im voraus klar. Wenn die Doku nicht vollständig war oder selbst wenn sie es ist und irgend eine Software fix einprogrammierte Pfade hat die man nicht selber ändern kann, macht man deswegen nicht gleich die ganze Migration rückgängig. Bei MS wird bei einer Lizenzprüfung schlicht und ergreifend darauf geschaut, warum nun ein System eben 2 Wochen oder 3 Monate nachläuft. Wenn es ihrer Meinung nach zu lange ist (mehrere Monate) braucht man eben eine schlüssige Erklärung. Genügt Ihnen das nicht weil die Erklärung fadenscheinig ist oder mehrere Monate schlicht des guten zuviel, braucht man eben ne zusätzliche Lizenz. Kleine Anmerkung: Insofern verstehe ich es nicht wirklich, warum in einem so klaren Fall (siehe Satz 1) bei Microsoft nach fixen Regeln bzw. einem fixen Statement nachgefragt wird und die Praxis die nun seit über 20 Jahren herrscht nicht einfach so hinnimt. Sobald etwas im Detail beschrieben ist, sind es harte Facts wo der Handlungsspielraum der Prüfer massiv eingeschränkt wird und eine tiefergreifende Abklärung nötig wird. Das ist wohl weder im Interesse von MS noch von den Kunden. Just my 2cents.

Du könntest schauen welche Veränderungen in der Registry/Dateisystem gemacht werden und aus den releavanten Parts ein Script und/oder GPO zusammenbauen und ausrollen. --> zB. mit Regshot Ist auch ganz witzig um zu sehen was und wie oft Windows alles für Schrott loggt... =)

Verstehe das so: Er möchte mehr Sicherheit durch Beschränkung des Traffics auf einen bestimmten Empfänger für eine bestimmte Website. Allerdings geht der Traffic dieser bestimmten Website bei Port 80 wie ja schon angemerkt wurde, auf unverschlüsselte Weise durchs Netz. Das heisst in dem Moment wo ein Zugriff stattfindet, kann der Zugriff relativ einfach mitgeschnitten werden. Fast noch schlechter wenn auch noch authentifiziert werden muss. Dann gibt man auch noch die Zugangsdaten preis. Deshalb: Wenn Du sowas tatsächlich brauchst, entweder wie erwähnt wurde mit Authentifzierung und verschlüsselt oder aber in einem dedizierten Netz. Wenn verschlüsselte Authentifzierungen ein zu grosser Aufwand wäre oder schlicht nicht zu Verfügung steht, kann man sich auch einfach mit einer "Zugangskiste" einen Einstiegspunkt bereitstellen. Sie hätte dann eine dedizierte LAN-Leitung zum Server (Auch z.B. virtuell Hostintern möglich) wo die Website auf einem Port auf einer eigenen IP präsentiert wird. Diesen Port blockt man in der Firewall für alle anderen Adressen. Zudem hätte die Zugangsiste eine zweite IP im regulären Netz auf die man sich per Remotedesktop verbinden kann. So hat man einigermassen elegant ohne grosse Konfiguration eine verschlüsselte Authentifzierung auf Windows-Ebene ohne sich selber darum kümmern zu müssen. Kleine Zusatz-Anekdote zur Windows Firewall (wens dich interessiert) Die Windowsfirewall lässt leider nur das Filtern auf einen bestimmten Adaptertyp sowie IP-Adressen etc. zu aber keine Begrenzung auf einen bestimmten Adapter selbst. Auch wenn hier Microsoft leider nicht die absoluten Basics des TMG in die Windows-Firewall übernommen hat, ist so die Hürde doch relativ hoch, via dem regulären Netz direkt auf die Seite zu kommen. Der TMG-Aufsatz (Der Installer ist gerade mal lächerliche 124MB gross mit enormer zusätzlicher Funktionalität) hat diese Einschränkung nicht. Hoffe ja immer noch, dass dessen Basis-Funktionalität irgendwann mal offiziell in die Windows-Firewall übernomen wird, dann wäre sie endlich mal wirklich tauglich. Seit aber Server 2016 raus ist und dem nicht so ist, schwinden meine diesbezüglichen Hoffnungen. Keine Ahnung ob es in den tiefen des Stacks irgendwo versteckte, nichtkommentierte Commandlines gibt, welche diese Filtertechnik zulässt und sich der TMG dieser bedient oder ob dies tatsächlich durch den TMG selbst gemacht wird. Gefunden habe ich die Alternative auf Kisten ohne TMG leider nie obwohl ich schon stundenlang im Netz gesucht habe. Verschwörungstheorie: Vielleicht wäre das auch schlicht viel zu effektiv, weil damit die ganzen unsichtbaren MS-internen Adapter auf absolut simple Weise ausgehebelt würden. Keine gute Sache wenn man BigData betreiben möchte und die Bedingungen in W10/SV2016 entsprechend festlegt. ;)

Korrekt, die ist sogar sehr gut. Überwachung muss einfach manuell eingerichtet werden via Triggers in der Ereignisanzeige. Komplexität ist tief und es braucht keine Zustzsoftware. Die Sicherungsgeschwindigkeit kommt vor allem auf den Speed der Medien an. Wenn da 7.2k SATA Einzelplatten werkeln und viele kleine Files kopiert werden müssen, dann kann das schon ewig dauern. Bei sehr grossen Files, kann es aber auch mit den langsamen Platten einigermassen funktionieren. Bezüglich Robocopy: Robocopy ist ein umfangreiches File-Kopiertool. Sichert also auch nur das und z.B. nicht das OS. Backups mit Versionsständen kann mit Benamsung der Ordner z.B. durch einen Timestamp erreicht werden. Ist aber nur beschränkt in Einzelfällen wirklich sinnvoll bzw. eigentlich nur dann, wenn nur ein paar GB Daten gesichert werden müssen und nicht bei mehreren 100 oder 1000. Oder für andere Spezialfälle. Ein Backup-Mirror auf eine Zweitplatte hat immer das Risiko, dass man nur die letzte Version hat, die unter Umständen Schrott ist. Kann man zwar mit rotierenden Platten etwas entgegen wirken aber Backup-Tool macht meist mehr Sinn.

Aber: Eigentlich soll man nach MS ja eh Dokumentenhaltung in Share-Point betreiben =) Denke MS checkt erstmal ab ob die Vorschlaghammer-Methode bei den Server OS genausogut funktioniert wie bei den Desktop OS. Ist die Gegenwehr klein - wovon ich heute ausgehe - wird Cortana mit seinen umfassenden Indexierungs- und Auswertdiensten auch auf dem Server komplett Einzug halten. Der erste Schritt mit der GUI ist ja bereits gemacht. Entweder Cortana mit Xbox etc. oder nüx. Der nächste folgt wohl mit der Infek.. äh Integration von Cortana in SQL-Server. Glaube mir, MS pusht da ohne Ende. Das wird nicht mehr ewig dauern. Wie lange es dann dauert bis und ob der alte Indexdienst auf Filesystemebene dann überhaupt angepasst wird, wird sich dagegen zeigen. Gut möglich, dass dieser nur aus Kompatibilitätsgründen noch mitgeliefert aber nicht aktualisiert wird und am Ende alles über Cortana eigene Dienste läuft und somit auch nicht mehr partiell abeschaltet werden kann ohne die kompletten Suchfunktionen und GUI zu verlieren.

Die Ursache ist simpel, durch den Zusammenzug der Blöcke sowie entsprechende Verweise ist es mit den bisherigen Standardfunktionen nicht mehr möglich einen sauberen Index zu erstellen. Der Grund warum nix gemacht wird ebenfalls, erstens sind die neuen File-Features noch nicht 100%ig ausgebaut und zum zweiten hat MS mit Cortana eine neue Index-Such-Maschinerie auf die Beine gestellt die laufend ausgebaut wird. Sofern die aktuellen Pläne weiterhin Bestand haben, kommt dieser Kram zukünftig so ziemlich in jede Ecke von Windows Server als leistungsfähige Auswertungseinheit zum tragen. Das macht es uninteressan sogenannte alte Zöpfe zu aktualisieren. Ich bin sicher, MS möchte mittelfristig alles in Cortana packen. A können Sie so selber Daten Zentral abgreifen - was sie gemäss Nutzerbedingungen ziemlich weitreichend dürfen - und B hat der Kunde ein allumfassenden Index den es auswerten kann. Zukünftig wird es wohl so sein, dass man kaum auf Cortana verzichten es evtl. sogar gar nicht los werden kann oder third-Party Produkte für die Suche einsetzen muss. Die Hürde dazu wird wiederum sehr hoch sein, weil Exchange, Outlook, SQL etc. mit Sicherheit von Cortana abhängig sein werden.

Ich schalte IPv6 immer ab, komplett. Wichtig ist hierbei ausschliesslich, dass die Prefixpolicy auf die IPv4 Priorisierung gewechselt wird damit z.B. Loopback auch IPv4 verwendet. 1. Prefix Policy anpassen netsh int ipv6 set prefixpolicy ::ffff:0:0/96 60 4 netsh int ipv6 set prefixpolicy ::/96 55 3 netsh int ipv6 set prefixpolicy ::1/128 50 0 netsh int ipv6 set prefixpolicy ::/0 40 1 netsh int ipv6 set prefixpolicy 2002::/16 30 2 netsh int ipv6 set prefixpolicy 2001::/32 5 5 netsh int ipv6 set prefixpolicy fc00::/7 3 13 netsh int ipv6 set prefixpolicy 3ffe::/16 1 12 netsh int ipv6 set prefixpolicy fec0::/10 1 11 2. IPv6 Protokolle von Adaptern entfernen Geht manuell oder via nvspbind (Google) oder sehr mühsam per Registry-Walker 3. IPv6, IP-Hilfsdienst, Teredo, Isatap abdrehen REM IPv6 deaktivieren inklusive tunnel REM ----------------------------------- netsh interface ipv6 6to4 set state state=disabled undoonstop=disabled netsh interface ipv6 isatap set state state=disabled netsh interface teredo set state disabled REM IPv6 komplett ausschalten reg add "hklm\System\CurrentControlSet\Services\Tcpip6\Parameters" /v DisabledComponents /t REG_DWORD /d 255 /f REM IPv6 Service deaktivieren reg ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TCPIP6" /v Start /t REG_DWORD /d 00000004 /f reg ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\TCPIP6" /v Start /t REG_DWORD /d 00000004 /f reg ADD "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\TCPIP6" /v Start /t REG_DWORD /d 00000004 /f REM Evtl. schon mit obigem weiss ich jetzt grad nimmer auswendig =) Powershell Set-Service 'iphlpsvc' -startuptype "disabled" Wer mag kann auch noch die Firewall-regeln für IPv6 deaktivieren oder sogar explizite Block-Regeln erstellen. Dann Reboot. Ob nun sinnvoll oder nicht muss jeder für sich entscheiden. Ich mache das schon ewig so und habe keinerlei Probleme damit, im Gegenteil. Habe einfach keinen Bock zwei Firewallregeln für ein Problem zu erstellen sowie weltweit eindeutige Adressen in die Welt hinaus zu posaunen (etwas überspitzt) und auch noch mehrere Adresse pro Adapter zu haben. Einzige Vorraussetzung ist, dass Punkt 1 auch wirklich gemacht wird, dann ist auch das komplette abdrehen bzw. die Verhinderung durch Priorisierung kein Thema. Packt man das ganze in nen Script mit Flags, kann man es auch auf Knopfdruck rückgängig machen wenn der Support rumnörgelt.

Hatte das schon öfter auf nem SBS 2008. Ursachen gibts da einige. Die häufigste die ich sah waren Fehler mit den Journaling. Dazu müsste es aber eigentlich auch Logs geben. Wenn dem so ist, ist das mitunter ziemlich lästig weil man es nicht so richtig reparieren kann auf einem DC und zwar weil die Replikation davon abhängt. Sprich löscht man den Kram und lässt ihn neu erstellen, hast Du mächtig Ärger mit den anderen DC's. Mögliche Ursachen: - Harte Shutdowns z.B. durch Stromausfälle - Manipulation von Last-Access Bit der Files - Bei VM's aber auch Time-Out von Festplatten-Writes (sollte erhöht werden bei 2008 auf ca. 200 --> Registry) Insofern kann man eigentlich nur sagen, dass man solche DC's möglichst aus dem Dienst stellen sollte. Vorher unbedingt alle GPO's sichern! Möglich, dass die auf den anderen DC's nicht (sauber) repliziert wurden, vom Client aber immer vom SBS gezogen wurde. Mein Vorgehen wäre SBS DC Herunterstufen, SBS-Relevante Tasks und Dienste abdrehen und nach und nach alles deinstallieren was migriert wurde. Da Exchange anwesend ist, wäre es sinnvoll diesen vorher herunterzufahren damit der AD-Stand exakt der selbe ist vor und nach den Mutationen und allfälligen Recovery des SBS als DC. Ich persönlich fahre jeweils alle DC's herunter und ziehe nen Cold-Clone des SBS sowie der DC's die sonst noch rumschwirren + Exchange, dann kann ich zurück zum Start ohne Risiko eines AD-Rollbacks. Oder falls nicht möglich, alle zweit DC's vor den Manipulationen herunterstufen, dann nen Cold-Clone vom SBS damit man zum sauberen AD-Stand zurück kommt und keine anderen DC's rumschwirren können bei nem Recovery. In deinem Fall wo der SBS nen Knacks hat, würde ich aber eher ersten Weg wählen. Zum Schluss soll noch gesagt sein: Um das sinnvollste Vorgehen einigermassen exakt zu bestimmen, müssen wirklich alle Fakten auf den Tisch. Also was wollen die Maschinen vom SBS haben, sind das nur Freigaben oder auch sonstigen Kram. Können die installer-Pakete auch sonst realisiert werden usw. Warum nicht Chkdsk: Weil das eigentlich nie repariert sondern höchstens verschlimmbessert. Wenn dann nur prüfen ohne jegliche Reparatutur, dann sind auch Erfolge mit Recovery Tools wahrscheinlicher.

- DHCP auf Fileserver hätte ich jetzt keine wirklichen Bedenken. - Printserver auf Fileserver habe ich ein zwiespältiges Verhälgnis. Solange die Treiber top sind, ist es schon ok. Wenn man Home-Office Drucker integrieren muss, dann hört der Spass unter Umständen auf. - WSUS und Software-Management würde ich nicht auf den Filer packen, die Leute werden es Dir danken wenn es da mal ein Problem gibt. Da ist ja ne Menge Zusatzsoftware wie SQL-Server, ReportViewer etc. mit installiert. Sprich, lass alles wies ist. Kostet im Endeffekt mit grosser Wahrscheinlichkeit weniger oder ist zumindest auch weniger nervig (kann man nicht mit Geld aufwiegen :D). Immer dran denken, wenn 20 Leute nix arbeiten weil Du zig mal die VM neustarten willst, hast die Kosten für eine Zusatzlizenz sehr sehr schnell drin. Oder Du musst alles am Week-End machen, auch nicht so prickelnd. ;)

Unschöne Sache, hier liegt der grosse Vorteil von DFS. Da hast den Mist erst wenn Du eine Domäne umbenennen musst oder das Ordner-Design mies war. Wobei man für letzteres nen unsichtbaren Ordner in DFS übrig lassen kann. ;) Alias-Namen sind zudem recht problematisch in Verbindung mit Freigaben. Zumindest war das noch anno Server 2003 oder so noch der Fall. Seither habe ich das tunlichst vermieden. =) In meine Unterlagen habe ich damals nen Workaround vermerkt: Regedit: HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters neuen Key mit DisableStrictNameChecking auf 1 dann noch nen SPN erstellen: setspn -a host/aliasname targetserver Artikel bei ms war: Q281308 Ich würde die Übung sein lassen und nur im Notfall nutzen. Lieber wie vorgeschlagen Temp-DC hernehmen und alles nach und nach auf DFS umstellen. Ersparst Dir viel Ärger. Ich habs einmal gemacht und nie wieder. Holt dich immer wieder mal ein. Beim SBS war und ist das eine recht mühsame Angelegenheit bei Standardprodukten ist das kein Akt. ;)

Ne, muss ned sein bei Block-Zugriff mit Random IO wenn der Controller ohne BBU - richtigerweise - auf das Write-Commit der Platte wartet. Da erreichst dann locker unterirdische Übertragungsraten. Rechnung ist auch schnell gemacht: ca. 55 x 4kb = 220 Kb/s x Anzahl Platten = Schreibleistung bei 7.5k (ok manche machen auch etwas mehr) oder 200 x 4kb = 1MB/s x Anzahl Platten bei 15k ;) Für den TO (die anderen wissens ja bestimmt): Deshalb ist es auch so wichtig bei RAID-Betrieb mit Magnetplatten einen Hardware-Controller mit möglichst viel Cache und BBU zu verwenden. Da werden die Commits geschickt wenn die Daten im Cache liegen und durch die BBU gepuffert werden. Bei Software RAID muss die Platte eben dementsprechend schnell sein und über regelmässige Zugriffszeiten verfügen. Bei Magnet ist das gegeben, wenn auch auf tiefem Niveau. Bei SSD's nur bei den sehr teuren Enterprise-Modellen. Je mehr platten da mit von der Party sind, desto eher geht die Performance in den Keller weil die Latenz von irgend einer betroffenen Platte immer grad bescheiden ist. Magnetplatten bekommen nur Beine wenn man ned aufs Commit der Platte wartet, dann ist ein Stromausfall unter Umständen aber ziemlich fatal.

Och, die gibts bestimmt, wird sich wohl mittlerweile auf VM's in Hyper-V beschränken. Da ist die Hardware immer gleich. *hust*

Wenn solch Granulare Berechtigungen für Unterordner in Frage kommen würde ich die komplette Berechtigungskette ganz dringend per Wartungscript lösen welches die Berechtigungen explizt auf Excel-Files oder bestimmte Ordner setzt. Ansonsten fliegt Dir der Kram früher oder später um die Ohren und Du hast kein Plan mehr was alles zu setzen ist. Also wenn z.B. Unterodner andere Rechte haben. ;) Je nach der gewünschten Strukturtiefe kann man auch DFS dafür hernehmen. Einen in DFS erstellte Struktur kann durch die User nicht gelöschten werden. Somit kann man eine z.B. eher flache Ordnerstruktur in eine leicht verschachtelte verwandeln (z.B. interessant wenn gewisse Files auf schnelleren oder langsameren Plattenverbünden liegen sollen als der restliche Kram der dazugehört. Da aber für jedes effekte Ordnerziel eine Freigabe benötigt wird, geht man vorteilhafterweise auch etwas sparsam damit um. So ein Schuss ins Blaue, evtl. gibt es für den Inhaber der Datei dennoch Rechte zum löschen obwohl der User diese per Gruppenberechtigung nicht hat? Dann könntest z.B. per Script durch alle Excelfiles walken und die Inhaber auf die die Bearbeitungsgruppe setzen. Nicht schön, könnte aber eventuell funktionieren. Zu Access: Die Löschrechte brauchts vor allem für die kleine ldb Datei die automatisch erstellt wird sowie zum komprimieren oder decompilieren. Daher auch gleich auf den Ordner. Gibt ganz schönen Ärger ohne. Auf der Backend kann man tricksen, auf der Frontend sollte mans lassen.

Lustig ist ja, es funktioniert ned mal immer mit en-us. Dann zum Beispiel wenn Cookies deaktiviert sind. Wird dann seit neuestem immer Deutsch angezeigt. Auch geil: Javascript wird seit einigen monaten für die KB-Artikel benötigt und für manche Artikel ein MS-Login. Zu Frage: Viel Fantasie brauchts da ned oder? Mit den Vorschau-Updates beerbst Du hochoffiziell das ehemalige Update-Auf-Herz-und-Nieren-Prüf-Team das aus Kostengründen abgeschafft wurde. Du wirst als Dankeschön fürs Testen mit attraktiven Preisen sowie excellenten Lizenz- und Datenschutzbedingungen bei neuen OS belohnt. :jau:

Ne ne, die machen das mit Sicherheit bewusst. Sicher nicht bewusst falsch aber bewusst das neue System mit aller Gewalt durchboxen. Koste es was es wolle. Alle OS von MS auf dieser Welt sollen identisch sein und den gleichen Patchlevel aufweisen. Das Ganze soll automatisch ablaufen ohne dass der User etwas machen muss oder sogar kann. Bis es soweit ist, gibts Kollateral-Schaden.

Updatezwang seitens MS durch diese Klauseln hineinzuinterpretieren ist sicher verfehlt. Und zwar alleine schon deswegen, weil es mit schlichten Einstellung wie z.B. nem Registry-Flag oder ner Firewall-Richtlinie möglich ist, den Kram per Bordmittel abzudrehen. MS versucht sich hier vor allem gegenüber dem Staat irgendwie abzusichern und nicht gegenüber dem Kunden. Das aber von Staateswegen Bestrebungen im Gange sind Richtlinien für eine sogrfältige Nutzung von IT-Komponenten herauszugeben bzw. teilweise schon Vorhandne sind, ist im Zuge der vermehrten Cyber-Atacken sonnenklar und im Grundsatz auch richtig. Man handelt grobfahrlässig wenn Computer am Netz hängen und bewusst nie aktualisiert werden. Das eigentliche Ziel wird aber insofern eh komplett verfehlt werden, weil die Probleme der Zukunft kaum gekaperte Desktop-Rechner sein werden sondern die Millionen an billigen IoT-Devices die bewusst oder unbewusst über entsprechende Sicherheitslücken verfügen, damit sie gekapert werden können und garantiert nie aktualisiert werden seitens der Hersteller. Da der Kram aus Fernost kommt, wird da auch niemand belangt werden können. Schlicht weil entsprechende Verträge fehlen und nie Zutande kommen werden.

Wenn Du deine Firewall auf Auto-Block-Out stellst (dabei halt alles konfigurieren musst) kannst Windows Update auf den Client die Kommunikationsfreudigkeit auf das local-Subnet beschränken. Dann noch den Ordner Sofwaredistri killen und schauen ob er sich mit dem WSUS verbindet und Updates holt. Würde ich bei aktuellen Windows sowieso empfehlen. (Dazu die unsichtbaren Freigaben beachten) MS macht in letzter Zeit in diese Richtung kaum etwas unbewusst. Tippe da eher auf bewusste Testläufe für die Zeit nach WSUS. In Zukunft wird wohl das Ziel sein, dass sich einmalig ein Client im lokalen Netz die Updates zieht und die anderen sich dann über diesen Versorgen sollen.

Die zusätzlichen kosten für nen Mini-Server für den DC mit Files wird mit grosser Sicherheit mit den ersten Problemen bezahlt sein --> Stichwort Wartung =) Keine 6 Jahre alt: Nun, 6 Jahre ist nicht wenig für ne Platte die 24h läuft. Vor allem wenn es Desktop-Produkte sind. Nur fallen jene erfahrungsgemäss auch ned so schnell aus die schon Jahre störungsfrei liefen.

Meines Wissens steht nirgendwo, dass er die Terminal-Server Rolle tatsächlich installieren muss. Es steht ja immer schön dabei: Oder ähnliche Technologien. Damit ist jede Art von Fernzugriff gemeint. Ob nun von MS oder einem anderen Anbieter wie Citrix. ;) Er braucht also lediglich die zwei RDP-Lizenzen. Wenn ihm 2 Zugängen reichen ist doch gut. Ansonsten macht eben Windows bei mehr als zwei dicht und will die TS-Rolle sehen. Die DC Rolle würde ich dennoch installieren. Kost ja nix. Macht vieles einfacher. Wenn Du in einzeln betreibst auch egal ob Du image oder normal-Sicherungen machst. Nachteile gibt es eigentlich keine. Hast Namensauflösung, zentrale Kennwörter usw. Ob Du die nun auf Deinem Zentralen Server arbeiten lässt oder wenn da noch der DC drauf ist kommt dann aufs gleiche raus. Man machts eigentlich ned aber wenn man eh nen single-Server-Prinzip betreibt kann mana auch mal pragmatisch bleiben. Wenn etwas mehr Geld vorhanden ist, würde ich den DC/Essentials mit Files einfach auf einen kleinen Mini-Server mit RAID10 und ECC RAM packen. Rest mit Anwendungen, Printer-Driver, Datenbanken etc. auf einen zweiten. Dann ist das grösste "Gefahrenpotential" in Sachen Sicherheit und auch Anwendungsstabilität weg von den Files und Kennwörter. Files deshalb weil Recovery eben länger dauert als ein paar DB's in ner Kleinumgebung. Die Hürde für nen Rollback ist dann tiefer wenn Druckertreiber spinnen, DBs korrupt sind etc. Den "Anwendungs-Server" kannst dann auf den DC sichern und umgekehrt.

Das kann gut sein. Habe ich auch nix dagegen bei der halb-GUI Mgmt. Aber eine "normale" Server GUI, also die schlanke Variante ist doch nicht nutzlos?!? Bin 100% sicher das waren an die 90% aller Nicht-Grossunternehmensinstallationen von 2008 bis 2012er Version. Viele Fremd-Software braucht ja die GUI nur schon für eine sinnvolle Verwaltung. Wenn was nutzlos ist, dann Desktop Experience. - normale schlanke Server GUI wie in 2012 in den Standard-Installations-Optionen - Desktop-Experience zur Nachinstallation mit Media-Player und dem ganzen Schwachsinn für die dies brauchen oder für den TS - Aktuell ist das die neue Standard GUI von Server 2016 Die 2016er GUI ist es nicht wert als Server genannt zu werden wenn der ganze oder das meiste des Desktop-Schrotts drauf ist. Hat noch wer Zugriff auf die früheren Technical Previews?