Marco31

Hallo Leute, wir haben für das Application Whitelisting momentan SRP im Einsatz. Jetzt bin ich auch am testen und konfigurieren von Applocker (im Audit Modus), musste aber folgendes bemerken: Sobald eine Applocker-GPO aktiv ist, werden die SRP-Regeln ignoriert und nix wird geblockt. Sobald ich die Applocker-GPO deaktiviere, funktionieren die SRP wieder... War das schon immer so? Ist das so gewollt? Ist halt b***d für den Testzeitraum...?! Ach ja, BS ist Windows 10 21H1

Ja, aber das waren nur drei Beispiele; je mehr Programme upgedatet werden müssen je größer der Aufwand. Habe selbst Jahre mit WSUS und WPP gearbeitet. Ja, funktioniert gut, aber DC ist dann doch ne Erleichterung. Was einem die wert ist muss jeder selbst entscheiden.

Kleine Rückmeldung. Habe mich vor ca drei Monaten dann für Desktop Central entschieden. Bin bisher sehr zufrieden damit, gerade das automatische patchen von Browsern, Adobe Reader etc. Ist sehr praktisch und spart Arbeit. Die Server werden (noch) mit WSUS upgedatet.

Werde ich testen, schon mal vielen Dank:-)

Hallo Leute, ich habe ein kleines Problem mit einer VM, die ich mit Veeam wiederhergestellt habe. Es kommt jetzt nach jedem Neustart die Meldung dass der Server unerwartet herunter gefahren wurde. Dem ist aber nicht so. Ist da irgendein Registry Key falsch gesetzt? Ist eine Windows Server 2019 VM.

Ok, so dachte ich mir das. Danke für die Hilfe dazu!

Ja, aber hier fängt das Problem ja an; sobald ich das Update im WPP aus dem Katalog importiere, lädt er das komplette Update herunter. Ich müsste also entweder genau selektieren, welche Updates meine Geräte möglicherweise brauchen, oder ich importiere alles und lade auch alles herunter. Ich kann ja im WPP leider nur komplette Updates aus den Katalogen runterladen, und nicht nur Metadaten.

Also berichtige mich wenn ich falsch liege, aber die Maschinen können nur Updates anfordern, die auch im WSUS sind. Und wenn ich im WPP keine Updates aus einem Katalog in den WSUS importiere (und damit auch herunterlade), hat der WSUS keinerlei Kenntnis der Updates und die Maschinen können diese auch nicht anfordern. Also müsste ich die Updates erst alle aus dem Katalog importieren, damit die PC's überhaupt "Bedarf anmelden" können... Oder liege ich hier komplett daneben?

Ok. Also wenn ich nicht genau weiß, welche Maschine was braucht, gebe ich alle mutmaßlich benötigten Updates frei und lade auch alle herunter. Nicht so schön, aber dafür gratis

Hmm, habe mir das mal angeschaut und testweise den Agent installiert. Habe aber noch nicht herausgefunden, wie da überhaupt auf relevante Updates gefiltert werden soll... Muss ich wissen welche Maschinen welche Updates brauchen und dann selektiv freigeben? Gebe ich alle frei (die dann blöderweise ja auch alle runtergeladen werden) und warte welche Maschine welches Update zieht? Da sind noch ne Menge Fragezeichen für mich. Vielleicht liest Norbert ja mit und kann mich aufklären

Erst mal vielen Dank für die Hinweise @ testperson: Die Probleme von Desktop Central mit der Software-Verteilung und den Exit-Codes werde ich mal mit der zu verteilenden SW testen, danke für den Hinweis. Zum Preis für die Lizenz kommt noch ein Language Pack für knapp 300 $ dazu, wenn man das ganze auf Deutsch haben möchte... Und ja, 25 Devices sind kostenlos, aber es fehlen dann Funktionen und ich hätte zwei Clients die ich dann "zu Fuß" administrieren muss. Auch b***d. @mwiederkehr: Habe mal auf der Homepage von PDQ Deploy geschaut, also preislich ist das eher noch teurer... Ohne das Inventory-Tool fehlt wenn ich das richtig lese ne ganze Menge Komfort, und wenn man Deploy und Inventory kauft ist man bei 2000 $. Zum Thema BIOS und Treiber; wir haben tatsächlich Dell und HP im Einsatz, habe mir auch schon mal den Dell Katalog angeschaut im WPP... Blöderweise habe ich da noch nicht herausgefunden, wie ich nur die Treiber freigebe die auch von den Maschinen benötigt werden.... Gebe ich da alle frei und warte was angefordert wird? Ja, und der Betriebswirtschaftliche Teil ist tatsächlich das was ich nur schwer einschätzen kann. Letzens musste ne Software auf allen Maschinen manuell aktualisiert werden, da ist man halt recht lange dran und muss zum Teil die Aktualisierung nach Feierabend der anderen Kollegen machen. Passiert nicht so oft, ist aber auch nicht das gelbe vom Ei Einer der größten Vorteile von Desktop Central und Co. finde ich halt die Kataloge von Software, in denen man direkt auch wichtige oder kritische Updates hingewiesen wird. Nicht immer bekommt man gleich mit wenn was dringend aktualisiert werden muss. Mal schauen. Schwierige Entscheidung

Hallo Forengemeinde, ich stehe hier vor einem Problem was ich zwar letztendlich selbst lösen/entscheiden muss, aber ich möchte zumindest mal ein paar Meinungen anhören. Wir haben ein Netzwerk mit derzeit 27 Clients (alles Windows 10), geringfügige Steigerung in den nächsten Jahren möglich aber eher unwahrscheinlich. Derzeit patche ich die MS-Produkte mit WSUS, auf allen PC's vorhandene Anwendungen wie Chrome, Firefox, Keepass etc. werden mit dem WPP installiert/gepatcht. Funktioniert auch soweit. Leider stößt das ganze bei einigen Programmen an seine Grenzen (Visual C++, Clients für Anwendungen, etc) wo dann teilweise auch mal Turnschuh (bzw. Remotedesktop) Administration gefordert ist. Auch würde ich gerne BIOS-Updates und Treiber aktuell halten. Außerdem hat so eine Patchmanagement Software den Vorteil, dass man aktuelle Patches auch für nicht-MS-Produkte angeboten bekommt, wo man sonst immer schauen muss ob es ne aktuellere Version gibt... Ich habe mir daher mal Desktop Central von Manageengine angeschaut, da wir von denen auch den OPManager haben mit dem ich recht zufrieden bin. Leider schreckt mich da doch der Preis "etwas" ab, würde da bei knapp 1.300 €/Jahr für die Enterprise Version liegen. Professional wäre so um die 200 € günstiger, da fehlt aber dann Bios & Treiber Update. Daher mal meine Umfrage an euch; lohnt sich sowas in der Größenordnung überhaupt? Kennt ihr Kunden in der Größe die sowas einsetzen oder verwaltet ihr Netzwerke in der Größe die sowas einsetzen?

Ja, da hast du wohl recht. Problem ist halt dass ein Großteil meiner Arbeit eher nicht mit administrativen Konten erfolgt, da läuft halt viel mit Office, Outlook, DMS etc außerhalb des Arbeitsbereiches "Administration". Das wäre so in der Konstellation schon ne ziemliche Arbeitsbremse... Aber ok, muss ich mal schauen.

Also ich bin hier der einzige Admin, das Netzwerk ist doch recht überschaubar (30 Clients, 2 VMWare Hosts, physischer Backup-Server und DC), Firewall, Proxy und co. liegen im Rechenzentrum. Geht also eher um einen (meinen) User

Hallo Forengemeinde, bisher mache ich meine Administrativen Tätigkeiten und meine "normalen" Nicht-IT-Arbeiten an einem Rechner. Als normaler Benutzer, administrative Tätigkeiten dann per RDP oder ""ausführen als". Da das ganze ja Sicherheitstechnisch kein Idealzustand ist, hatte ich mir überlegt für meine Administrativen Tätigkeiten auf meinem Rechner eine VM aufzusetzen mittels HyperV. Wäre das sinnvoll oder was spricht sicherheitstechnisch dagegen?

Ein hp proliant Micro Server wäre nichts für dich?

So, kleine Rückmeldung. Ich hatte dann noch mal djmakers Hinweis auf die Treiber verfolgt, tatsächlich soll man für Arcserve die Hersteller-Treiber deinstallieren und die generischen Windows-Treiber installieren. Hatte aber nicht wirklich Erfolg gebracht. Gestern kam dann das Austauschgerät, und siehe da: Wesentlich bessere Performance, Datenträger-Überprüfung und Restore funktionieren wieder. Scheint tatsächlich das nagelneue Laufwerk defekt gewesen zu sein. Hatte ich auch noch nie. Vielen Dank an alle die Tipps gegeben haben!

Hallo Zahni, erstmal vielen Dank. Also der Array-Controller hat einen Cache und ist auch funktionstüchtig; ist auch alles in der Konstellation Server-ArrayController-Library so Kompatibel. Firmware habe ich alles aktualisiert, es ist ein Neugerät. Blocksize habe ich schon auf 256 KB gestellt. Arcserve unterstützt das Laufwerk so viel ich weiß, ich wüsste aber nicht wo ich zwischen Windows-Treiber und Arcserve-Treiber umschalten kann. Da muss ich dann ggf. nochmal den Arcserve Support kontaktieren. Ich hatte heute mal HP deswegen kontaktiert. Die Auswertung des Tests hat ergeben, dass beim lesen Probleme auftreten - die Margin Rate soll wohl bei neuen Geräten bei 100% sein, beim lesen sind's aber um die 97%. Die tauschen das Gerät aus, dann werde ich mal sehen ob sich Besserung ergibt...

Hallo Forum, ich habe seit letzter Woche Probleme mit unserer neuen Tape Library bei denen ich nicht mehr weiter weiß, und ehrlich gesagt nicht mal weiß welchen Support ich Montag zuerst kontaktieren soll. Und zwar habe ich Anfang letzter Woche unser altes Tape Library (HP 1/8G2 Autoloader mit LTO5 Drive) gegen eine neue HP 1/8G2 Autoloader mit LTO7 Drive getauscht. Installation und anschließen hat alles geklappt, habe auch gleich Firmware- und Treiber Updates für Host und Library gemacht (hängt an einem HPE Proliant ML350 Gen10 über einen SmartArray E208e-p. Alles wie von HP empfohlen und supportet. Library wurde auch sofort von Arcserve erkannt. Bei ersten Backup mit ArcServe fingen dann die Probleme an; die Performance im Gegensatz zu dem alten Library ist mies (6,7 GB/min beim neuen gegenüber 8-9 GB/min beim alten). Außerdem ist das überprüfen des Datenträgers nach dem Backup dermaßen langsam, dass das ganze 30 Stunden dauern würde (bei 10 Stunden Backup-Zeit). Ein Restore-Test hat gezeigt, dass das Restore nach einigen GB so langsam wird, dass ich vermute dass es sich aufhängt. Dann habe ich einen Test mit Veeam gemacht. Die Backup-Performance ist eigentlich recht gut, diese lag bei 10,7 GB/min. Überprüfung der Sicherung gibt's in Veeam leider nicht, daher konnte ich das nicht testen. Das Restore unter Veam ist aber auch wieder extrem lahm - durchschnittlich 34 MB/s ist unterirdisch und weit von dem entfernt was mit der alten Library lief. Ich habe mir dabei die Datenträger-Aktivität der Festplatte angeschaut, hier sind immer wieder große Zeitspannen in denen einfach nichts nennenswertes ankommt; dann springt die Aktivität wieder für ein paar Minuten auf um die 100 MB/s, dann geht's wieder für einigen Zeit gegen Null. Als ob das LTO Drive die Daten nicht schnell genug an den Server sendet - was aber performancetechnisch nicht sein sollte... Ich kann das ganze einfach nicht deuten, und ich frage ich auch ernsthaft welchen Support man da zuerst anruft... Bin für jede Idee dankbar!

So. Danke erstmal für die Hinweise. Habe die Prüfung jetzt anhand der Dateiversion der firefox.exe (64Bit) erstellt. Sieht jetzt folgendermaßen aus: Regel1: <bar:FileVersion Path="C:\Program Files\Mozilla Firefox\Firefox.exe" Comparison="EqualTo" Version="78.3.1.7577"/> Regel2: <bar:FileVersion Path="C:\Program Files\Mozilla Firefox\Firefox.exe" Comparison="LessThan" Version="78.3.1.7577"/> Funktioniert. Ist aber schon etwas komisch mit den Produktcodes. Das macht Chrome dann definitiv besser. Spannend wird's dann wieder beim nächsten Update

Das Problem taucht aber bei allen msi-Dateien von der Mozilla Seite auf; ich habe die 78.3.1 ESR in 32 und 64 Bit getestet und die Version 81.0.1. Immer das gleiche, bei jedem suchen nach Updates wird das Paket wieder neu installiert.

Da gab's nur die x86er Versionen meines Wissens nach. Ich hatte im WPP nichts verändert, einfach alle Punkte durchgeklickt. Lief. Beim Vergleich der MSI-Dateien für Firefox ist mir aber was aufgefallen - wie soll da jemals ein Update ordentlich funktionieren wenn die Produktcodes der MSI's identisch sind? 81.0.1.0 ProductCode {1294A4C5-9977-480F-9497-C0EA1E630130} UpgradeCode {3118AB4C-B433-4FBB-B9FA-8F9CA4B5C103} 78.3.1.0 ProductCode {1294A4C5-9977-480F-9497-C0EA1E630130} UpgradeCode {3118AB4C-B433-4FBB-B9FA-8F9CA4B5C103}

Hallo Forengemeinde, ich habe hier ein Problem bei dem ich nicht weiter komme. Ich hatte bis vor kurzem an allen Clients die Frontmotion Community Edition von Firefox installiert, das lief immer bestens. Leider scheint das Projekt derzeit nicht mehr weiter bearbeitet zu werden, letzter Stand war Version 68.8. Also wollte ich jetzt den Firefox 78.3.1 64Bit von der Mozilla-Seite verteilen. MSI geladen, im WPP als Update bereitgestellt. Der wird auch auf den Clients installiert, blöderweise scheinen die Clients aber nicht zu erkennen dass das Update bereits installiert ist - es wird immer wieder zur Installation angeboten und auch installiert, in der WPP-Konsole wird es als installiert angezeigt. Hat jemand eine Ahnung wo hier das Problem liegen könnte? WPP hat die aktuelle Release-Version, die Clients sind Windows10 1909 64Bit.

Muss gestehen dass ich von SafeDLLSearchMode noch nie was gehört habe... Was macht der?

Ja, auch dass bereitet mir Kopfschmerzen. Ich hatte die Testweise mal für nen Client aktiviert, da wird man mit Eventlog-Mails bombardiert...