mwiederkehr

Hallo zusammen Bei einem Kunden, welcher Terminalserver für seine Kunden betreibt, stürzt seit letzter Woche ungefähr jeden Tag eine VM ab. Man sieht im Failover Cluster Manager, dass die VM neu gestartet wurde. In der VM selbst sieht man kurz vor dem Absturz einen Eintrag von "Hyper-V-Guest-Drivers" mit ID 7 und folgendem Text: "The dynamic memory driver memory operation [Remove memory] failed with error: STATUS_SUCCESS." Danach noch ein paar Minuten panische Meldungen von diversen Anwendungen über ungültige Speicherzugriffe und dann startet die VM neu. Ich vermute mal, dass der Hyper-V den Arbeitsspeicher reduziert, die VM das aber irgendwie nicht richtig mitbekommt und die Daten im zu entfernenden Speicher nicht wegschreibt oder verwirft. Die Hosts sind alle WS2019, die VMs hauptsächlich auch. Abstürze gab es bei diversen VMs, die eine Gemeinsamkeit haben: auf allen ist Office 365 installiert. (Das könnte auch Zufall sein, allerdings ist die Wahrscheinlichkeit dafür gering, denn nur auf ca. 20% der VMs ist Office 365 installiert.) Da es die VMs schon länger gibt, aber die Probleme erst seit letzter Woche auftreten, vermute ich ein Problem im Zusammenhang mit den Windows Updates vom Juli. Ist euch in der Richtung etwas bekannt? Im Internet finde ich aktuell nichts dazu. Oder ist dynamischer Arbeitsspeicher ganz grundsätzlich eine doofe Idee? Ich sehe den Sinn bei Terminalservern, deren Nutzer sich alle in der gleichen Zeitzone befinden, jedenfalls nicht direkt.

Interessant, wie viele Leute den Montag b***d finden. Ich finde ihn eigentlich ganz gut. Am Montag kann man sich noch auf viele Projekte freuen und mit dem spannendsten beginnen. Am Freitag bringt man dann das zu Ende, welches man wegen "keine Lust" am längsten vor sich hin geschoben hat und muss es vor Feierabend erledigen. Die Vorfreude aufs Wochenende mindert das Leid dann wenigstens etwas. Von daher sind Montag und Freitag doch etwa gleich gut.

Ich mache in solchen Fällen jeweils ein Image (muss man ja sowieso, weil die Geräte ab und zu neu installiert zurück kommen, HP garantiert nicht für den Erhalt der Daten). Dann setze ich Windows 10 zurück. Bei Desktoprechnern, die man selbst öffnen darf, tausche ich der Einfachheit halber die SSD aus.

Ich finde Roaming Profiles auch nicht grundsätzlich schlimm, besonders nicht in Kombination mit Ordnerumleitungen. Probleme hatte ich schon beim Wechsel zwischen verschiedenen Releases von Windows 10, also wenn ein Benutzer an einem Rechner mit 1909 gearbeitet hat und sich dann wieder an einem mit 1903 angemeldet hat. Aber bei acht Rechnern kann man auch alle auf dem gleichen Stand halten. FSLogix ist sonst eine gute Wahl, aber in Deinem Umfeld schwierig zu lizenzieren (benötigt RDS oder VDA). Ausser, ihr habt sowieso Microsoft 365 E3. Theoretisch gingen User Profile Disks, aber ich weiss nicht, ob das auf Windows 10 supported ist und damit hat man dann ganz andere Probleme (mehrere gleichzeitige Anmeldungen nicht möglich etc.). Neue Versionen von Outlook 365 können die Einstellungen in der Cloud speichern. Das konnte ich aber noch nicht in der Praxis testen.

In diesem Fall würde ich das als "Client-Zertifikat" betrachten und finde es akzeptabel, wenn a.) die Datei für Benutzer nicht lesbar, b.) das gesamte Gerät BitLocker-verschlüsselt ist und es c.) separate Credentials pro Gerät gibt.

Das "Problem" beim IT-Support ist doch, dass wir Helfer vermeintlich unkompliziert verfügbar sind. Ich helfe eigentlich sehr gerne, denn ich denke, eine Gemeinschaft / Nachbars***aft funktioniert besser, wenn alle von den Fähigkeiten der anderen profitieren können. So nutze ich denn auch das Wissen meines Nachbarn, der Schreiner ist, und ein Metallbauer hat mir mal das Schweissen beigebracht. Meine älteste "Kundin" ist 86 und bei der kann ich nicht mal per TeamViewer helfen, was aber nicht an der Technik liegt, sondern an ihrer Einsamkeit. Die Bezahlung erfolgt jeweils in Form eines selbst gebackenen Kuchens. Was mich aber ärgert, sind so beiläufige Anfragen bei Verwandtschaftstreffen und so. Wenn der Onkel das Notebook "per Zufall" gleich im Auto hat. Oder ich hatte schon Leute aus dem Dorf unangekündigt mit dem Notebook vor der Tür. Meist sind solche Probleme dann nicht schnell zwischen Hauptgang und Dessert gelöst, weil a.) das Gerät total verstellt ist mit allen möglichen Cleanern und Treiber-Updatern, b.) der "Kunde" die Ratschläge eigentlich gar nicht will, bzw. von einer besseren Lösung irgendwo gelesen hat und c.) weil mir oft einfach das Fachwissen fehlt. Ich weiss nicht auswendig, welche Grafikkarte es für den Flugsimulator braucht, ich weiss nicht, wie man die Daten von einem Samsung-Smartphone auf den PC überträgt und die App vom neuen Fotodrucker kenne ich auch nicht. Da haben die Leute oft wenig Verständnis, schliesslich arbeite ich mit so "Computer-Sachen". Da hilft es mir, dass ich Leute in der Hinterhand habe, die das besser können als ich. Die müssen dann auch nicht gratis arbeiten, schliesslich sind sie keine Kollegen von den "Kunden". Eine neue Website für den Verein? Macht die Tochter eines Kollegen. Gaming-PC zusammenbauen? Macht der Praktikant eines Kunden. So halte ich mir die Arbeit vom Hals, eine Nachwuchskraft kann neben dem Studium etwas verdienen und der Kunde bekommt eine gute Lösung.

Auf der verlinkten Seite (https://msrc.microsoft.com/update-guide/vulnerability/CVE-2021-34527) unter "Security Updates". Dort von "CVSS" zu "Updates" umschalten. Das Release Date ist überall auf dem 1. Juli, aber die verlinkten Updates sind aktuell. Hier die Links für 2019: https://support.microsoft.com/de-de/topic/july-6-2021-kb5004947-os-build-17763-2029-out-of-band-71994811-ff08-4abe-8986-8bd3a4201c5d https://www.catalog.update.microsoft.com/Search.aspx?q=KB5004947

Es ist jetzt ein Update gegen die Lücke verfügbar, leider noch nicht für Windows Server 2016: https://msrc-blog.microsoft.com/2021/07/06/out-of-band-oob-security-update-available-for-cve-2021-34527/

Oje, vorletzte Woche Zyxel, jetzt Windows. Es ist nicht einfacher geworden über die Jahre... Der aktuelle Fall zeigt sehr gut, wie viel "Legacy-Zeug" noch in aktuellen Versionen von Windows enthalten ist. Das mit W2k8 eingeführte Rollenkonzept ist ja sehr gut, nur sollten dann Sachen wie Druckwarteschlange auch als Rolle installierbar sein. Gerade auf einem DC, auf dem manche ja nicht mal DHCP betreiben wegen der Sicherheit... Und ein moderner Print Spooler müsste auch nicht als SYSTEM laufen... Man darf hoffen, dass dies in den kommenden Versionen nach und nach verbessert wird. In den Baseline Security Recommendations ist die GPO zum Blockieren von Remoteverbindungen auf den Spooler übrigens (noch) nicht drin.

Wenn ich es richtig sehe, ist das ein gehostetes Nextcloud. Die Nextcloud-App funktioniert gut, habe einige Kunden, die damit Fotos auf ihr System übertragen. Ich verwende Nextcloud privat auch, aber habe noch nicht besonders viel gemacht in der App. Bis jetzt hat aber immer alles funktioniert.

Ich bin da auch vorsichtig geworden. Wenn ein Bekannter mit einem Hersteller immer zufrieden war, versuche ich nicht, ihn zu „meinem“ Hersteller zu „bekehren“, sondern prüfe höchstens die Spezifikationen des von ihm ausgesuchten Gerätes und bestelle dieses allenfalls für ihn, wenn ich bessere Konditionen habe. Die Probleme mit Windows Live Mail kann ich übrigens bestätigen. Hatte da auch längere Diskussionen mit einem Bekannten. „Aber Live Mail und Windows 10 sind ja vom gleichen Hersteller, das muss doch gehen, im Internet steht auch, dass es ginge etc.“ Die Lösung war dann Thunderbird. Outlook ist beim kleinen Office nicht dabei und ohne Exchange bringt es auch keine grossen Vorteile. MailStore Home leistet bei der Konvertierung der E-Mails übrigens hervorragende Dienste: Import aus Live Mail, Export zu Thunderbird.

Als temporäre Lösung könntest Du einen Proxy wie Caddy vor den IIS setzen. Der kann HTTPS und sollte unter Windows 2008 laufen.

Ich war auch der Meinung, dass HCI eher etwas für grosse Umgebungen ist (wenn überhaupt). Aber der von Norbert verlinkte TerraXaler sieht gerade auch für kleine Umgebungen sehr interessant aus. Wenn man nur wenige VMs betreibt, aber eine hohe Verfügbarkeit braucht, kann das Konzept passen. Anstatt zwei Hosts und einem SAN (mit zwei Controllern) hat man nur noch zwei Hosts. Ich denke, man muss solche Systeme dann einfach als Black Box kaufen, also "hier kann ich verbinden und die VMs erstellen, da installiere ich Updates und da rufe ich an, wenn etwas nicht funktioniert" und nicht als "ich kaufe 2x Windows Server 2019, 2x DataCore...". Interessant wären die Preise vom TerraXaler. Ist das kleinste System günstiger als zwei normale Hosts und zum Beispiel ein MSA20xx mit 2 SAS-Controllern, oder machen die Lizenzkosten die Ersparnisse bei der Hardware zunichte?

Huawei hat sich soweit ich weiss nur mit den Servern verabschiedet. Storage und Netzwerk machen sie noch und das mit viel Elan. Ein Kunde war kürzlich zu einer Demo eingeladen, auf der auch Referenzprojekte aus Europa gezeigt wurden. Ich würde mir das Dorado V6 von denen unbedingt anschauen. Aktuell ist Huawei sehr aggressiv am Markt unterwegs, so dass man gute Rabatte erhalten kann. Ein Kunde hat für ein Dorado V6 mit 100 TB SSD weniger als 30000 EUR bezahlt. Schön ist, dass alle Funktionen dabei sind, man muss also nicht separat bezahlen für Snapshots oder Replikation. Nichts sagen kann ich zum Support. Ob im Falle eines Falles wirklich innerhalb der vereinbarten Zeit ein Techniker erscheint, musste ich noch nicht erfahren. In kleineren Umgebungen war ich sonst mit den MSA20xx von HPE immer zufrieden. Auch das 3PAR ist super, ich würde es mit dem Dorado vergleichen von den Leistungsdaten her, aber es ist preislich in einer anderen Kategorie. Der Support ist sehr gut, beim 3PAR wird das Gerät sogar proaktiv überwacht, so dass eine neue Disk schon unterwegs ist, bevor man ein Ticket aufmacht.

Wenn es Richtung Marketing geht, kann ich noch Mailtastic anfügen. Ein Kunde hat das im Einsatz. Man kann wie bei anderen Lösungen die Signaturen zentral verwalten, aber hat noch Möglichkeiten wie verschiedene Signaturen nach E-Mail-Empfänger (vorhanden in Kundenstamm / Interessent etc.), zeitliche Steuerung etc. Die Signaturen können vom Marketing selbst erstellt werden und die Klicks werden getrackt. Erfahrungsgemäss führt die Einführung solch toller Marketing-Möglichkeiten (bzw. Opportunities, wie die Fachleute sagen) anfangs zu erhöhten Support-Anfragen zum Thema "wieso werden unsere E-Mails als Spam erkannt?". Man sollte da von Anfang an die Leute etwas bremsen. Rekord war mal bei einer Hotelkette eine Signatur mit Banner für das Restaurant jedes der fünf Hotels und deneben noch je ein Facebook- und Instagram-Link.

Bei mir sieht es anders aus: (Wobei das jetzt wirklich das Minimum ist, bei einer produktiven Anwendung will man nicht unbedingt das Servicelevel "Basic".)

Ich glaube, Du hast nicht das passende Preismodell für Deinen Zweck ausgesucht. Es gibt aktuell grob gesagt drei Modelle: eines mit fixer CPU-Zuweisung (im Prinzip eine VM für Deine Datenbank), eines mit dynamischer Zuweisung von CPU-Leistung und noch das Dritte, welches für Dich wohl besser wäre: DTU. Dort bezahlt man eine Anzahl Transaktionen pro Zeiteinheit. Ich kann mir vorstellen, dass der kleinste Tarif für eure Zwecke schon ausreichen würde. Das wären dann weniger als 10 CHF/Monat.

So viel Auswahl gibts da leider nicht... Tools wie mRemoteNG, Remote Desktop Manager etc. sind eher für Admins gedacht, die viele Sitzungen mit Tabs getrennt öffnen möchten. Bei speziellen Anforderungen (Multimonitor auf Windows 7) hat mir der Parallels Client (ehemals 2X Client) schon geholfen. Da kann man bezüglich Darstellung mehr einstellen als beim offiziellen Client. Ob er die Fensterpositionen speichert, müsstest Du allerdings ausprobieren. Mit Remote Desktop Plus kann man zumindest vorgeben, auf welchem Monitor eine Sitzung starten soll.

Warte nur, der Server 2021 braucht dann vielleicht DirectX 12. Mir wäre es lieber, die Limite auf eine RDP-Sitzung bei Windows 10 bzw. 11 würde entfallen, wenn man RDS-CALs eingetragen hat. Ein Terminalserver ist für mich näher an einem Client als einem Server. Also Connection Broker, Web Interface etc. auf Server-OS, Session Hosts auf Client-OS. Das würde viele Probleme lösen (aber wohl neue bringen...). (So abwegig kann der Gedanke nicht sein, Microsoft macht mit Windows Virtual Desktop in etwa das.)

Da möchte ich widersprechen. Kommt natürlich auf die Umgebung an, aber ich kenne kleinere Firmen, die haben viel in der Cloud (Microsoft 365) und auf dem lokalen Server nur die CAD-Daten sowie die Buchhaltung. Wenn da der lokale Server ausfällt, können sie mit Einschränkungen weiter arbeiten. Ausser, es ist der DC und sie haben keinen DNS mehr. Kein DC => kein Internet, das geht häufig vergessen. (Man kann natürlich je nach Umgebung die Firewall als DNS nehmen und die Domäne auf den DC forwarden, aber das geht nicht mit jeder Firewall.) Ich halte die Kosten für einen zweiten, kleinen Server (Intel NUC oder so) deshalb nicht für übertrieben. Auf dem zweiten Server installiere ich gerne eine VM als DC und eine für das Backup (Veeam). So hat man im Falle eines Ausfalls auch gleich die Software bereit und muss sie nicht erst installieren, die Backups inventarisieren etc. Falls es das Netzwerk zulässt, nehme ich die Backup-VM und den Host in ein anderes, getrenntes VLAN und erhoffe mir so einen gewissen Schutz vor Malware.

Ich würde wenn irgendwie möglich auf eine Quarantäne verzichten. Das Problem ist, dass man eine Quarantäne "bewirtschaften" muss. Man ist verantwortlich dafür, die darin gelandeten E-Mails zu sichten, denn schliesslich hat man sie angenommen und der Absender weiss nichts von der Quarantäne. Deshalb Spam lieber gleich ablehnen. Dann bekommt es der Absender mit und ruft an.

Würde auch sagen entweder Cisco ESA als VM vor Ort oder NoSpamProxy entweder vor Ort oder als Cloud Service. Preislich solltest Du bei beiden Varianten gut im Budget sein. Bei 100 Benutzern kostet die ESA soweit ich weiss um die 20$/Benutzer/Jahr und NoSpamProxy Cloud eher noch etwas weniger (und Du hast keinen Aufwand für Updates etc.).

Zeigt "ipconfig /all" auf einem "fehlerhaften" Client einen IPv6-DNS? Hatte das schon, wenn keine Firewall vorhanden ist und der Router sich auf IPv6 als DNS announced.

Das finde ich extrem wichtig. Viele Fragende, seien es Mitglieder hier im Forum oder Kunden im Berufsleben, sind auf eine bestimmte Lösung fixiert. Das mag in anderen Bereichen auch so sein, aber in der IT dünkt es mich am auffälligsten. Die guten Forum-Experten und IT-Dienstleister erkennt man daran, dass sie einen Schritt zurück machen und die Frage nach dem Ziel stellen. Häufig ist die Lösung für das eigentliche Problem nicht das, wonach gefragt wurde. (Wobei aber auch klar ist, dass es gewisse Sachzwänge gibt und nicht jeder Mitarbeiter wöchentlich neue Konzepte vorschlagen kann.)

"Prefer" wirkt leider nicht überall. Die Hosts untereinander kommunizieren dann zwar brav per IPv4, aber sie tragen immer noch einen über IPv6 angekündigten DNS-Server ein und fragen diesen dann auch bevorzugt an statt dem DC über IPv4. In Kleinstnetzen mit einem Router, bei dem man IPv6 bzw. seine Advertisements nicht deaktivieren kann, hilft also nur "disable". (Oder das blockieren der Advertisements mit der Windows Firewall.) In grösseren Netzwerken lasse ich IPv6 aktiviert. Per IPv6 ins Internet kommt aber erst ein Kunde im Testbetrieb. Viele Firewalls unterstützen zwar IPv6, aber Features wie Multi-WAN gehen damit noch nicht.