mwiederkehr

In diesem Fall den Server starten, einloggen und sofort die Windows Firewall konfigurieren, dass sie von aussen alles blockt, ausser es kommt von Deiner IP-Adresse. Danach den Server neu starten, wieder einloggen und schauen, ob immer noch Traffic verursacht wird. Falls ja: dann läuft Schadsoftware auf dem Server und Du lässt ihn am besten neu installieren. Es gibt übrigens auch Terminalserver-Angebote von Hostern. Dann betreut der Hoster den Server und man kann sich als Benutzer einloggen. So hat man genau die Sicherheitsverantwortung nicht, die Dir jetzt zum Verhängnis wurde.

Mach mal einen Portscan von aussen, zum Beispiel mit nmap. Ist DNS von extern offen? Der sehr hohe Traffic in Kombination mit sonst keinen ungewöhnlichen Merkmalen könnte eine DNS-Amplification-Attacke sein.

Eine offizielle Stellungnahme von Microsoft gibt es dazu nicht so viel ich weiss. Kann mir vorstellen, dass sie den Aufwand als zu hoch erachten: Supportanfragen wegen voller Mailboxen, rechtliche Probleme, wenn etwas nicht mehr im Archiv zu finden ist etc. Du kannst jedoch eine Kopie aller ein- und ausgehenden Mails per Transportregel an eine bestimmte Mailbox schicken lassen. Rechtssicher ist das dann aber wohl nicht.

Bei den meisten Providern schon, bei der Swisscom nicht. Bei der ist die Netzwerkgrenze hinter dem Router. Man kann auf dem Router zwar Sachen wie NAT einrichten, aber die sind gerne mal weg nach einem Update. Es gibt schon einen Grund dafür: sie machen zwei PPPoE-Sessions auf, eine in ihr internes Netz für VoIP und TV und eine ins Internet. So können sie QoS garantieren. Ausserdem kann man die Dinger einfach einstecken und sie holen sich die Konfiguration. Und man bekommt einen 4G-Stick. Fällt DSL aus, schaltet der Router auf 4G um. Man hat dort dann sogar seine fixe IP-Adresse. (Das kann soweit ich weiss kein anderer Anbieter.) Man könnte hinter dem Router selbst PPPoE- oder IP-Passthrough machen, aber dann geht das 4G-Fallback nicht mehr. Die offizielle -und funktionierende- Lösung ist es, für 20 Fr./Monat ein 4er Subnetz zu bestellen und die Firewall hinter dem Router anzuschliessen. Telefone und allenfalls TV bleiben direkt am Router. Tausendfach erprobt, funktioniert bestens, auch mit IPsec etc. Nur eben: 20 Fr./Monat extra. Zu viel für Kunden, bei denen "es zuhause ja auch läuft ohne separate Firewall".

Ganz genau. Wobei der Swisscom etwas Schmerzen auch gut täten für ihre besch..eidenen Zwangsrouter... Auf jeden Fall vielen Dank für die Unterstützung!

Ja das sowieso. Es geht mir aber nur um die "lokale" Anmeldung am DC, also per Bildschirm oder iLO. Tröstlich ist, dass das jetzt genau die Kunden betrifft, denen ein richtiger Router bzw. eine Firewall zu teuer waren...

Ist dann etwas schwierig auf den iLO zu kommen. Habe es aber gestern versucht zum dem Kunden durchzuspielen: Netzwerkkabel ausgesteckt, neu gestartet => ging auch nicht. (Und das sollte ja gehen, wenn 127.0.0.1 als DNS eingetragen ist, oder?) Werde das nächste Mal dem Kunden aber sagen, er soll das Netzwerkkabel am Router abziehen, nicht am Server.

Habe ich mich nie getraut, weil es von Microsoft heisst, es sei nicht empfohlen. Er präferiert IPv4 nicht so, wie man sich das vorstellt, wie ich gerade gesehen habe: mit "nslookup www.google.com" fragt er immer noch AAAA und A ab, nimmt dann beim ping einfach den A-Record. Das dass bei einem Memberserver Probleme verursachen kann, wenn er den falschen DNS befragt, ist klar. Aber auf dem DC steht als DNS fix "::1" drin und DNS gibt lokal über IPv6 auch Antwort. Ja, das vermute ich auch. Nur verstehe ich nicht, weshalb das auf einem DC Probleme mit der Anmeldung geben soll. Memberserver können den DC wegen der Firewall allenfalls nicht mehr erreichen, aber am DC selbst sollte man sich ja immer anmelden können. Falls nicht, hätte jeder das Problem, der einen DC zum Kunden bringt. Langsam frage ich mich, ob es nicht dieses Problem ist: http://blog.becker.sc/2018/08/windows-domain-controller-es-sind.html Leider habe ich nicht ausprobiert, ob ich mich bei den Servern im Fehlerzustand mit dem AD-Recovery-Passwort hätte anmelden können. Vielleicht sind die tatsächlich in den DSRM gestartet. Allerdings habe ich noch nie gehört, dass ein Server aus einer Laune heraus die Bootkonfiguration verstellt.

Ja, es ist aus. Nur hat das leider keinen Effekt wegen eines Bugs in der Firmware... Was könnte denn noch das Problem sein mit IPv6? Wenn ich IPv4 präferiere, sollte es dem Server doch egal sein, was irgendein Router über IPv6 verzapft?

Swisscom Centro Business 2.0. Sollte aber (hoffentlich) nichts damit zu tun haben. Wir hatten in letzter Zeit schon Anmeldeprobleme wegen dem Router. Nach einem Firmwareupdate hat er sich trotz gegenteiliger Einstellung über IPv6 als DNS-Server angeboten. Windows Server 2012 R2 und 2016 finden das Angebot unwiderstehlich und man kann sich dann nicht mehr anmelden, weil der DC seine eigene Domäne nicht mehr findet. IPv4 zu präferieren hat in diesen Fällen jeweils geholfen. (Der Server 2008 R2 scheint in dieser Hinsicht übrigens robuster zu sein: habe schon bei Kunden DCs gesehen, die nur einen externen DNS-Server eingetragen hatten und man konnte sich trotzdem anmelden. Der scheint zuerst zu schauen, ob er DC ist, bevor er im DNS einen DC sucht.) Folgendes habe ich gerade gefunden: anscheinend sollen gewisse Server automatisch im AD-Wiederherstellungsmodus starten: http://blog.becker.sc/2018/08/windows-domain-controller-es-sind.html Lese ich zum ersten Mal. Könnte aber schon sein, dass es etwas mit einem Update zu tun hat, denn ich habe die letzten Jahre viele Server bei mir installiert und dann beim Kunden gestartet und hatte nie ein solches Problem.

Hallo zusammen Bei einem Kunden steht ein physischer Domänencontroller mit Windows Server 2012 R2, es ist der einzige DC der Domäne. Heute wurde dort der Router ausgetauscht und es gab einen geplanten Stromunterbruch, weswegen der Server heruntergefahren wurde. Nach dem Neustart konnte man sich nicht mehr anmelden, auch am Server selbst nicht mehr: "Es stehen keine Server zum Verarbeiten der Anmeldeinformationen zur Verfügung." Das Netzwerksymbol auf der Anmeldemaske zeigte ein rotes X, "keine Verbindungen verfügbar". Es war nicht das IPv6-Problem (Router bietet sich als DNS-Server an und DC verwendet diesen statt sich selbst), da IPv4 per Registry präferiert wird. Also in den AD-Wiederherstellungsmodus gestartet und angemeldet. Es kam die Meldung "es steht ein neues Netzwerk zur Verfügung, wollen Sie Computer finden etc.?". Auf "Ja" geklickt. Im Ereignisprotokoll stand, dass der Server keine Domänencontroller finden könne. Als DNS-Server eingetragen ist 127.0.0.1 (und zusätzlich habe ich noch die IP-Adresse des Servers selbst eingetragen als sekundären DNS-Server). Neustart in den normalen Modus, alles wieder OK. Netzwerksymbol wieder normal. Kommt das jemandem bekannt vor? Kann mir fast nicht vorstellen, dass man sich nicht mehr bei Windows anmelden können soll, nur weil der Router ausgewechselt wurde. Zumal die Netzwerkkarte ja nicht auf DHCP steht. Es fällt mir "Network Location Awareness" ein, aber das sollte ja allenfalls entfernte Rechner betreffen, aber nicht die lokale Anmeldung am DC?

Wir haben das jahrelang gemacht (System auf C:, Programme auf D:, Daten auf E:). Der Grund war, das System und die Anwendungen getrennt wiederherstellen zu können. In Zeiten von Snapshots und Schattenkopien ist das aber kein grosser Vorteil mehr. Deshalb kommen wir seit einiger Zeit davon weg. Das Problem ist auch dass, wie von Nils bereits erwähnt, viele Anwendungen Teile auf C: installieren, selbst wenn man beim Installer etwas anderes auswählt. Zudem hatte ich es auch schon, dass eine Anwendung auf D: nicht fehlerfrei funktioniert hat, obwohl man bei der Installation den Pfad frei wählen konnte. Die Antwort vom Support war dann "installieren Sie halt auf C:"...

Müssen die Anwendungen wirklich lokal installiert sein? Gerade einfachere Programme lassen sich auch einfach auf ein Netzlaufwerk installieren und dann von dort starten. Alternativ lassen sich die Anwendungen vielleicht virtualisieren, Stichwort App-V bzw. ThinApp. Dann wäre die gesamte Anwendung in einer EXE und würde ohne Installation laufen.

Vielen Dank für die Tipps! Werde in Zukunft in diesen Fällen den Cache auf den Clients löschen.

Danke für die Antwort. Bin etwas erstaunt, denn so bringt die Verzögerung ja nichts ohne manuelle Eingriffe. Bei einem solchen Vorfall, bei dem ein fehlerhaftes Update zurückgezogen wurde, müsste ich also auf allen Clients den Cache löschen, damit sie es nicht später installieren.

Hallo zusammen Vielen hier ist das Problem mit dem Update für den Tastaturtreiber von HP ("HpqKbFiltr.sys") bestimmt bekannt. Das Update erschien im Oktober und hat nach dem Neustart einen Bluescreen verursacht. Es wurde von Microsoft wieder zurückgezogen. Nun hatte ich diese Woche den Fehler aber bei kleineren Kunden, bei denen ich mangels WSUS die Updates verzögert habe. Anscheinend funktioniert "Updates verzögern" nicht so, wie ich es erwartet hätte. Erwartet hätte ich, dass Windows Update nach Updates sucht und nur die installiert, die X Tage alt sind (und nicht zurückgezogen wurden!). Es scheint aber, als hätten die Rechner die fehlerhaften Updates heruntergeladen, von deren Rückzug nichts erfahren und diese jetzt schön brav nach der eingestellten Zeit installiert. Ist das so? In dem Fall würde die Verzögerung ja nicht viel bringen. Bei Microsoft habe ich leider keine Angabe gefunden, wie sich das genau verhält. Weiss da jemand mehr?

Ihr könnt ja noch froh sein... Wir armen, vernachlässigten Schweizer können den SQL Server seit Version 2005 nicht mehr installieren, ohne die Sprache auf "Deutsch (Deutschland)" umzustellen. Mehrmals gemeldet, nach über zehn Jahren immer noch nicht behoben.

Das geht problemlos. Der WSUS ist quasi eine Kopie des Windows Updateservers. Er greift nicht aktiv auf die Clients zu, sondern diese holen sich die Updates so, wie sie es auch beim Server von Microsoft tun würden (über HTTPS, deshalb der IIS). Der WSUS weiss nichts von den Clients, was die ihm nicht berichtet haben. Welche Updates man für welchen Client freigegeben hat, kann er also nicht wissen. Diese Information müsste vom alten WSUS übertragen werden.

Das Problem ist bzw. wäre bei meinen Kunden nicht die Funktionalität, sondern die Integration. Outlook ist gesetzt, davon wollen sie sich nicht lösen. Einerseits aus Gewohnheit, andererseits weil der CTI-Client halt nur dafür ein Add-In anbietet. (Ist ja bei Office auch so, den meisten kleineren Firmen würde LibreOffice gut reichen.) Wenn Outlook, dann muss man entweder ein Add-In für die Groupware nehmen oder über ActiveSync arbeiten, wobei man nicht alle Funktionen zur Verfügung hat. Dann gibt es noch Software, welche direkt einen Exchange verlangt. Zum Beispiel die Adressbuchsynchronisation der Telefonanlage: da kann man den URL für EWS eingeben und sonst nichts. (Klar könnte man ein Script schreiben, welches die Daten als CSV ins Webinterface schiebt, aber das wäre wieder Aufwand.)

Ja, das Problem ist der Firefox bzw. die Kombination von Firefox und Audio-Dienst. Der Microsoft Support hat auf die Anfrage locker-flockig geantwortet, man arbeite daran, aber mit niedriger Priorität, da es mit dem Internet Explorer ja funktioniere. Wir haben den hier beschriebenen Workaround umgesetzt: https://social.technet.microsoft.com/Forums/en-US/4e3ff4ea-ad23-4dda-b1e9-022f8d76c8e6/remote-desktop-rds-2016-gives-back-screen-on-logon-and-prevents-progression-to-desktop-audiodgexe?forum=winserverTS - Anmeldesounds deaktiviert per GPO => dann bleibt die Anmeldung nicht mehr stehen, wenn der Dienst hängt; sonstige Sounds funktionieren trotzdem - Audiodienst regelmässig (morgens bevor die ersten User kommen und über Mittag) neu starten => gibt höchstens einen kleinen Unterbruch wenn jemand ein Video schaut, aber die Anwendungen laufen weiter

Vielen Dank euch beiden, wieder was gelernt. Habe die Gruppe zuletzt bei XP für ein altes CAD gebraucht.

Ich sehe im Trace nirgends einen verweigerten Zugriff. Steuert die Software die Maschine über eine serielle oder parallele Schnittstelle an? Das kann Probleme geben, wenn die Software Einstellungen wie Baudrate etc. verändern will. Hast Du es mal mit Hauptbenutzer-Rechten probiert?

Theoretisch lässt sich ein WSUS auch übers Internet ansprechen. Wird aber wohl bezüglich Lizenzierung etwas schwierig/teuer (wobei evtl. SPLA ginge). Ansonsten fallen mir https://www.pandasecurity.com/usa/business/solutions/ (Cloudlösung) und https://www.highsystem.ch/loesungen/lifecycle-clientmanagement/ (selbst gehostet, aber über Internet ansprechbar) ein, oder allenfalls Microsoft Intune. Daneben noch PRTG um zu prüfen, ob nach dem Neustart alle Dienste wieder korrekt laufen.

Kann ebenfalls imapsync empfehlen. Das hat bei solchen Szenarien immer funktioniert.

Wenn Du auch lokal mit dem Windows arbeitest, wurde es ja nicht "ausschliesslich zur Verwendung durch Remotenutzer" installiert. Die Klausel zielt meines Erachtens auf VDI-Szenarien, bei denen niemals jemand lokal arbeitet.