Seit Testbetrieb von Windows 10 Internetleitung voll ausgeschöpft

[bauernjunge 10]

Hallo,

 

ich habe in einigen Abteilungen bei ausgewählten Personen Windows 10 Enterprice installiert. Insgesamt handelt es sich nun um 20 Arbeitsplätze.

Die Umstellung der auserwählten User fand in den letzten drei Monaten statt. Wobei die letzten 10 Clients in den letzten drei Wochen umgestellt wurden, nachdem durchweg positives Feedback kam.

Kommen wir zum Punkt.

 

In den letzten Tagen stellten wir fest, das regelmäßig die gesamte Bandbreite unserer Internetleitung im Downlink ausgeschöpft wird. Da wir eine Anonymisierung für die Analyse des Netzwerktraffics einsetzten, kann ich leider nicht sehen, von welchen Usern bzw. Clients dieser Traffic verursacht wird. Ich müsste zuerst an den Betriebsrat herantreten usw.

Ich kann aber sehen, dass der Traffic von dl.microsoft.com kommt.

Auch habe ich mal in Absprache mit einigen Testusern die Aktivität der Netzwerkkarte angeschaut. Dabei viel auf, dass im Vergleich zu den Windows 7 Usern einige 10er User einen extrem hohen Traffic haben. Bei einem Client in 6 Stunden über 300 GB. Andere 10er Clients hatten in 6 Stunden 50 bis 80 GB. Bei einigen 7er Clients die ein ähnliches Nutzerprofil haben waren es lediglich 250 MB Traffic im Downstream. Fahre ich den 300GB PC herunter, so kann ich eine kurze Entspannung der Lage auf unserer Leitung sehen. Nach ein paar Sekunden geht der Traffic dann aber wieder auf 100%. Es scheint so, als ob sich dann der nächste Client die freien Ressourcen schnappt. Auch kann ich keine Fehler im Ereignisprotokoll sehen, die im Zusammenhang mit Updates stehen.

 

Kennt jemand dieses Verhalten und wie stelle ich es ab? Eine tiefgründige Trafficanalyse (Sniffer) scheidet vorerst aus, da der Genehmigungsprozess sehr komplex ist. Aber wat mutt, datt mut. Im Notfall.

 

Vielen Dank

 

 

[Sunny61 807]

Hast Du denn auch die neuen Windows Update Einstellungen für die W10 Clients konfiguriert? Da hat sich etwas getan.

[bauernjunge 10]

Nein. Standard belassen.

Aber jeder Client sagt, er sei auf dem aktuellsten Stand.

Viele Grüße!

[NilsK 2.957]

Moin,

 

welche Build-Version ist genau installiert?

 

Schau doch mal unter Einstellungen - Update und Sicherheit - Windows Update - dort dann: Erweiterte Optionen - Übermittlung von Updates auswählen.

Was ist dort eingestellt?

 

Gruß, Nils

[bauernjunge 10]

Hi,

 

Updates von mehr als einem Ort = EIN

PCs in meinem lokalen Netz = AKTIV

 

Klingt für mich jetzt erst mal OK, oder?

 

Danke!

[Sunny61 807]

Nein. Standard belassen.

Schnapp dir einen W10 Client und installiere dort die GPMC. Mit der editierst Du dann die Windows Update GPO. Dort findest Du ein paar neue Einstellmöglichkeiten, die solltest Du dir anschauen und passend einstellen. Zusätzlich kannst Du dir den Teil Nutzungsdaten und Windows Update P2P aus diesem Artikel durchlesen und die Einstellungen passend konfigurieren. https://www.infrastrukturhelden.de/microsoft-infrastruktur/microsoft-windows/client/windows-10/windows-10-mundtot-machen-fuer-unternehmen.html

 

EDIT: Die ADMX Templates für W10 kannst Du auch von MSFT downloaden: https://www.microsoft.com/de-DE/download/details.aspx?id=48257

bearbeitet 14. Januar 2016 von Sunny61

[NilsK 2.957]

Moin,

 

schalte das mal auf allen Rechnern ab und schau, ob sich der Traffic dadurch reduziert.

 

Leider ist die Option nicht besonders ausführlich dokumentiert. Es lässt sich aber zumindest so lesen, als würden bei aktiver Einstellung die PCs immer (auch) Updates von Microsoft herunterladen - und ich würde derzeit nicht ausschließen, dass das auch an einem möglicherweise bestehenden WSUS vorbei geschieht.

 

Gruß, Nils

[Doso 77]

Geht das in diese Richtung? Habe da ein paar Mal von gelesen als ich Infos zu einem anderen Windows 10 Problem gesucht habe. Bei Windows 1511 crasht bei Roaming Profilen immer die searchui.exe bei uns.

 

https://social.technet.microsoft.com/Forums/de-DE/25cbca6a-246f-4ad0-a10f-aedfaf840a4d/windows-10-pro-1511-search-and-cortana-searchuiexe-non-stop-upload-to-20479197200-bing?forum=win10itprogeneral

[bauernjunge 10]

Hi,

 

bei uns handelt es sich ja nicht um einen massiven Upload, sondern um Download. Ich habe nun mal bei dem Clients die Option ausgeschaltet wie von NilsK vorgeschlagen, aber das brachte leider auch keinen Erfolg.

Jetzt gehe ich an die neuen Gruppenrichtlinien.

 

Danke schon mal, ich werde berichten.

[Sunny61 807]

Jetzt gehe ich an die neuen Gruppenrichtlinien.

 

Danke schon mal, ich werde berichten.

Da gibt es eine Option:

 

Turn off the upgrade... Zusätzlich gibt es noch eine weitere: Keine Verbindungen mit Windows Update-Internetadressen herstellen.

 

Computerkonfig > Admin Vorlagen > Windows Komponenten > Store. Im gleichen Zweig gibt es auch Maps: Turn off Automatic Download and Update of Map Data. Keine Ahnung ob das passt, aber anschauen solltest Du es.

[bauernjunge 10]

Hi,

ich komme der Sache näher. Die Leitung ist jetzt frei und ich kann mit einem einzigen Testrechner die gesamten 20 M/Bits unserer I-Net-Leitung ausschöpfen. 

Ich schreibe nachher, zu welchem Ergebnis ich gekommen bin. Hat auf jeden fall mit den Updates zu tun. 

 

Dafür habe ich mir jetzt die GPO-Templates zerschossen :-(

[NilsK 2.957]

Moin,

 

da bin ich auf jeden Fall gespannt.

 

Gruß, Nils

[bauernjunge 10]

So,

 

das passiert auch dann, wenn man den Haken setzt "Suchen Sie online nach Updates von Microsoft".

Das ganze sieht dann so aus wie im Anhang gezeigt.

 

Dabei handelt es sich um einen gerade auf SSD umgerüsteten Client-PC, auf dem ich Windows 10 installiert habe (1511) und

• einen lokalen Benutzer angelegt,
• den PC dann in die Domäne aufgenommen,
• mich als Domänen-Admin angemeldet.
• Dann auf Einstellungen und Updates wie beschrieben.

 

Und Brumm, Leitung zu.

 

Also ich denke mal WSUS + Gruppenrichtlinien und gut.

 

Aber das Verhalten von Windows war doch zuvor auch nicht so? Gibt es BITS nicht mehr?

 

Viele Grüße!

 

Timo

 

 

[Weingeist 159]

Die Windows-10 Download und auch Upload Datensammlungswut ist echt krank und jenseits von Gut und Böse. Dann stimmt man dem auch noch zu in den Bedingungen. Das ist echt nicht mehr normal. Termine, Kontaktdaten, E-Mail-Verkehr alles drum und drann mit Freipass für MS, Drittparteien sowie Regierungen und das auf Firmenrechner.

 

Was es neben den GPO's noch gibt, wäre das anpassen diverser Dienste sowie Tasks sowie vollständige Blockierung von In und Out Traffic via Windows-Firewall. Anschliessend für jeden Dienst und Programm entsprechende Freigaben. Nach Möglichkeit nur ins interne Netzwerk bzw. zu den entsprechenden Rechner. Dazu noch explizite Verbote für bekannte Verbindungsaufbauten. Ein Spass ist das nicht, aber möglich.

 

 

Hilfsmittel:

- auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable

- tasklist

- Process-Explorer von SysInternals

- svchost.exe Dienste separieren usw. zum besseren herausfinden wer was tut

 

Völliger Overkill und unglaublich viel arbeit aber man wird nicht mehr drum rumkommen wenn MS nicht vernünftiger wird. Bei Privatpersonen und geschenkten OS kann ich den sc*** ja verstehen, man muss das ja finanzieren. Wenn man aber viel Geld dafür bezahlt eine Frechheit.

[Sunny61 807]

Und nach jedem Upgrade fängst Du wieder von vorne an.