Marco31

Es ist ein entsprechendes Out-of-Band Update (KB5039705) rausgekommen, unser WSUS hat es schon synchronisiert und auf den ersten 4 Servern wurde das Update ohne Probleme installiert. Siehe auch Windows Server 2019: Out-of-Band-Update KB5039705 veröffentlicht (23. Mai 2024) | Borns IT- und Windows-Blog (borncity.com)

Wer's nicht kennt, hier gibt's auch sehr aktuelle Informationen zum Thema, vor allem in den Kommentaren: Windows Server 2019: Installationsfehler 0x800f0982 bei Update KB5037765 bestätigt | Borns IT- und Windows-Blog (borncity.com) Den detection Bug kann ich bestätigen, der WSUS hat das Update mit Rev. 201 aber es wird bei keinem der 2019er als "needed" angezeigt. Wenn MS was verkackt dann richtig und konsequent...

Also das Update aus dem Update Katalog hat auch nicht funktioniert.

Sieht gerade eher so aus als wäre das Update im WSUS zurückgezogen (ich finde es da nicht mehr) und (noch) nicht neu freigegeben... Im Windows Update Katalog ist das Update aber anscheinend neu mit Datum 16.05.2024 drin. Werde ich mal bei meinem LanguagePack-Verweigerer testen.

In dem Fall leider ohne Wirkung... Ich hab's nicht nur ein mal versucht. 😤

Blöderweise lässt sich bei einem meiner 2019er das en-us LP nicht installieren; weder über Systemsteuerung noch manuell mit lpksetup... Ich könnt kotzen..

Hallo Forum, seit gestern funktioniert meine interne WSUS-DB nicht mehr. Der Dienst ist beendet und lässt sich nicht mehr starten, Fehler 1069... Merkwürdig ist, dass das gleiche Problem bei einem anderen Dienst auch auftrat, da habe ich es beheben können indem ich die Anmeldedaten für das Dienstkonto neu eingegeben habe; er hat dann den Benutzer auch bei "Anmelden als Dienst" eingetragen, dann ließ sich der Dienst wieder starten. Nur leider funktioniert das ja nicht beim Konto der internen DB, da habe ich ja keine Anmeldedaten... Hat jemand eine Idee wie man das Problem löst? Die einzige Veränderung am Server war die gestrige Installation der aktuellen Updates. Kleiner Nachtrag: Im Sicherheitsprotokoll wird gemeldet: "Dem Benutzer wurde nicht der angeforderte Anmeldetyp für diesen Computer gewährt." Anmeldetyp = 5 (Service) Tja, tatsächlich ist in der lokalen Sicherheitsrichtlinie "anmelden als Dienst" der Benutzer NT SERVICE\MSSQL$MICROSOFT##WID nicht vorhanden, ich kann diese aber auch nicht hinzufügen... Hat da Microsoft was geändert was mir entgangen ist bezüglich Dienstkonten...? LÖSUNG: Hat sich erledigt; war eigene Dummheit Hatte ne gpo für "Anmelden als Dienst" konfiguriert, die hatte das ganze überschrieben... GPO entfernt, schon läuft es wieder!

Das ist vielleicht falsch rübergekommen; primär sichern wir auf Disk mit Veeam, da habe ich auch vergleichbare Möglichkeiten. Instant Recovery, Surebackup etc. Und nachts geht's dann auf Band.

Ich sichere seit 20 Jahren auf Bänder, vor ein paar Jahren musste man sich noch anhören wie rückständig das wäre... Zeiten ändern sich 😉

Der Memory Bedarf scheint mir schon höher als normal... Wir haben eine sehr kleine Umgebung und LSASS genehmigt sich nach ner Woche Laufzeit 300MB. Nix was dem Server was ausmacht, aber mehr als normalerweise.

Veeam zum Beispiel funktioniert mit gMSA, gibt's auch Anleitungen zu.

Hallo Forum, eine Frage an alle die schon WDAC einsetzen. Ich bin am testen von WDAC um damit mittelfristig Applocker abzulösen. Als GUI für die Policy-Erstellung gibt's ja den Windows Defender-Anwendungssteuerungs-Assistent; das ist in dem Falle um einiges komfortabler als Powershell. Dabei sind mir aber trotz Studium der entsprechenden Microsoft-Artikel einige Sachen noch nicht ganz klar: - Wenn ich eine Richtlinie erstelle, generiert mir der WDAC-Assi eine .xml und eine .cip Datei. Auf welche von beiden muss die gpo verweisen? - Oder muss ich eine der beiden Dateien noch in besagte Binärdatei konvertieren? Laut Settings im Assi erstellt er ja bei Auswahl der Option die Binärdatei mit... - Wie kann ich feststellen ob die Policy auch wirklich verarbeitet wird? Bisher lässt sich nämlich auf dem Testclient jede Anwendung ohne Meldung im Ereignislog ausführen, da dürfte also noch was im argen liegen.

Hmmm, DNS Namensauflösung scheint zumindest nicht das einzige Problem zu sein... Die Kollegen des RZ haben jetzt bei der VPN-Verbindung den DNS mitgegeben, leider wird die Anmeldung von Mitgliedern in protected Users immer noch wegen Kontobeschränkungen abgelehnt. Jemand noch eine Idee? Im Zweifel müsste ich eine Art Jump Host bauen, auf den ich mich mit einem User anmelde und dann innerhalb des Netzes mit protected Users arbeite.

Firewall und VPN werden vom RZ bereitgestellt, bei dem Konstrukt bekomme ich über VPN keine Namensauflösung auf meine Domäne. Daher RDP per IP

Danke für den Hinweis, das werde ich dann so umsetzen👍