Alle Aktivitäten

Hi, wenn Sicherung auf NAS, dann bitte am Besten gleich in einem anderen Brandabschnitt oder anderem Gebäude. Sowohl Synology als auch QNAP haben bei den NAS Modellen mittlerweile Software dabei, mit denen sich HyperVisor Systeme sichern und wiederherstellen lassen. Bei QNAP auch physikalische Server (also den Windows Host) und die VMs .. Die Backup Lösung von Synology kenn ich jetzt persönlich nicht, sollte aber den gleichen Funktionsumfang haben. Solltest Du Proxmox einsetzen wollen ... Am Besten eine NAS mit Intel oder AMD CPU nehmen ... darauf dann in einer VM den Proxmox Backupserver installieren. Nebenbei ... den 2012er Server solltest Du dringend in die Tonne drücken oder auf ein aktuelles System migrieren!

In Hinblick der ganzen Ransomware und Hypervisor-Sicherheitslücken (Hostübernahme durch VM) der letzten Jahre, bin ich recht skeptisch geworden mit der Sicherung in eine Storage bzw. Backupserver VM rein. Hatte einige schlaflose Nächte deswegen, da ich oft genau solche Konzepte für die aktuellen Backups benutzt habe. Ein paar Gedanken zu Backups (Fokus KMU-Umfeld) Die Backups selbst sollten möglichst immutable, also nicht löschbar sein. Mindestens ein Ziel, besser zwei und unterschiedliche Technik (z.B. NAS und Server) über die LAN-Verbindung ins produktive Netz bzw. die Verwaltungsebene nur das erlauben was für Übertragung notwendig ist. Verwaltung wieder über eigene Anschlüsse. Agentless Sicherung und ohne Hypervisor-VM Kommunikation kann man z.B. bewerkstelligen indem Applikations-Daten auf eine separate Fesplatte der produktiven VM gesichert werden. Die sind dann immer Konsistent wenn der Backup eine Kopie zieht. Bei einem Restore ist halt ein zusätzlicher Schritt notwendig. Erst VM zurück, dann Applikations-DB. Backup in die Cloud ist je nach dem unglaublich Bandbreitenintensiv. Kommt drauf an wie viel gesichert werden muss und vor allem was. Nur Nutzdaten oder wirklich die ganze Umgebung. Externe Backups Inkrementell zu sichern finde ich auch immer etwas speziell. Restore-Geschwindigkeit ist heute erschwinglich geworden. Sowohl 10gbit als auch SSD's. Sprich das Primäre Backup kann auch HighSpeed sein oder sogar auf der gleichen Maschine wo man dann die Platten in den zweiten Server steckt wenn nötig. (Hardware-Ausfällen, Update-Ärger oder Aus-Versehen-Löschungen) Bei Ransomware oder Totalausfall wegen Brand etc. spielt die Zeit (in einem KMU) oft eh nur noch eine untergeordnete Rolle. Also ob das dann von der Cloud oder einem lahmeren Repo kommt ist dann grad auch egal weil der Rest sowieso schon viel Zeit in Anspruch nimmt Ich mag zum Beispiel Files und Datenbanken-Sicherheits-Kopien als Kopie auf einer unabhängigen eigenen Maschine für diesen Zweck. Also Server oder NAS nicht innerhalb der Domäne und über eigenes VLAN. Der Kopiervorgang direkt von Filesystem zu Filesystem. Grund: Wird die VM-Disc z.B. zwei Monate vorher verschlüsselt und erst dann die Keys gelöscht, hat man mit etwas Glück trotzdem aktuelle Nutz-Daten.

Ich glaube Konzepte wie die Delos Cloud sind ein Aspekt. Wenn Kunden sich mit Meta Daten in der Cloud arrangieren können, ihren Exchange und/oder Share Point Server aus Gründen (Platz, Datenhoheit, etc.) lieber OnPrem im eigenen RZ hätten, dann wäre das Konstrukt Azure Local (aka. Azure Stack HCI) + M365 Cloud sicherlich auch schon interessant. Beste Grüße Marc

OK, das mit dem OneDrive war mir nicht bewusst, ich hatte das Appx-Paket "OneDriveSync" im Verdacht und mich dann gewundert, dass sich das in den Provisioned Packages nicht findet. Kriege ich das auch schon vor Installation aus dem Image irgendwie raus? Genau das Paket meine ich, dass ist irgendwie erst da, wenn sich ein Benutzer anmeldet aber nicht in den Provsioned Packages der aktuellen install.wim. Das löschen über das Kommando hatte ich versucht, es wird damit auch beim aktuellen Benutzer entfernt, aber sobald sich ein neuer Benutzer anmeldet ist es für ihn wieder da. Das -AllUsers scheint hier irgendwie nicht zu greifen oder nur für bestehende Nutzerprofile, nicht für ganz neue. Sieht man auch sehr schön mit Get-AppxPackage-allusers, da taucht das weiterhin auf,

Hi, das OneDrive Setup liegt in C:\Windows\(system32|SysWow64)\OneDriveSetup.exe. Die Installation im Autostart liegt ausschließlich in der Registry vom Default User (C:\Users\Default\NTUSER.DAT) und müsste dort entfernt werden. Falls du auch die OneDriveSetup.exe löschen willst, musst du diese erst in Besitz nehmen. Beim Copilot meinst du das AppxPackage "Microsoft.Copilot" Get-AppxPackage -Name Microsoft.Copilot Das sollte sich mit Get-AppxPackage -Name Microsoft.Copilot | Remove-AppxPackage -AllUsers loswerden lassen. Gruß Jan

Hallo zusammen, ich stehe gerade irgendwie auf dem Schlauch und bräuchte mal einen Denkanstoß von euch bitte. Bei uns werden die Clients per Softwareverteilung mit Windows betankt, dafür haben wir bisher immer die Standard ISOs aus dem M365-Portal verwendet. Da ja inzwischen jede Menge "Müll" mit vorinstalliert wird (Outlook new z.Bsp.) habe ich mir mal die Mühe gemacht die unerwünschten Pakete aus der install.wim zu entfernen. Klappt soweit auch, aber ich scheitere daran, den Copilot (nicht M365-Copilot, den habe ich gefunden und bin den auch losgeworden) und OneDrive loszuwerden. Wenn ich die install.wim mounte und dann mit "Get-AppxProvisionedPackage" schaue finde ich da beide nicht. Entsprechend kann ich die auch nicht rausnehmen. Beides ist aber nach der Installation vorhanden und für jeden Benutzer installiert, der sich anmeldet, im Fall von OneDrive sogar im Autostart. Kann mir einer von euch einen Tipp geben, wie ich die aus dem Installationsimage rausbekomme? Lieben Dank.

Tach an Board, bin spät dran heute, nur eine kleine Kanne Kaffee Fülle die Bestände an Wasser etc. auf TGIF! Allen einen stressfreien Freitag, bleibt gesund! Hier sonnig bei 17°C, wird heute nicht so warm bis etwa 23°C Ideal zu Radfahren

Moin an Board, dann wollen wir mal - ich koche eine kleine Kanne Kaffee Schorle usw. steht auch bereit Allen einen guten Donnerstag, bleibt gesund! Hier sonnig bei 15°C, da es etwas windig wird nur bis etwa 21°C erwartet

Steht was im Eventlog? Tasks evtl.? Ansonsten wirds irgendwann mühselig sowas im Forum lösen zu wollen. ;)

Leider wird mir auch nichts dort angezeigt

Guten morgen zusammen, ich habe ein Problem an einem Win11 PC mit aktuellem Office 2019 Patchstand. Wenn ich aus Onedrive (geteilte Freigabe aus dem selben Unternehmen) ein Excel-Dokument öffne, wird es immer mit dem Hinweis "Schreibgeschützt" geöffnet. Öffne ich ein Word-Dokument aus dem selben Onedirve-Ordner, bekomme ich die Meldung nicht. Ich habe Excel bereits schon neu installiert, und auch Onedrive neu verbunden. In Excel ist auch der User mit dem Benutzerkonto von MS angemeldet. Im Trustcenter habe ich Vertrauenswürdige Speicherorte im Netzwerk zulassen -> aktiviert Geschützte Ansicht -> überall Haken entfernt Zugriffschutzeinstellungen : Ausgewählte Dateitypen in geschützter Ansicht aktiviert und alle Haken entfernt. | Ich habe auch schon versucht Ausgewählte Dateitypen in der geschützten Ansicht öffnen und Bearbeitung erlauben In den Internetoptionen unter "Vertrauenswürdige Sites" steht https://kunde-my.sharepoint.com/ drin. Und die Eigenschaften der Excel-Dateinen sind NICHT schreibgeschützt. Das öffnen von Excel-Dateien vom Desktop sowie aus dem eigenen Onedrive funktioinert einwandfrei. Ich bekomme aber weiterhin in Excel die Meldung: Diese Arbeitsmappe wurde von einem Server im schreibgeschützten Modus geöffnet. Hat jemand von euch noch eine Idee? Vielen Dank. Tobias

Moin an Board, auf geht’s in den Tag - ich koche aber nur eine kleine Kanne Kaffee Stelle noch Wasser und Schorle bereit, auch kühl wenn jemand möchte Bergfest! Allen einen ruhigen Mittwoch, bleibt gesund! Hier sonnig bei aktuell 19°C, es wird teilweise bedeckt bis etwa 26°C Kein Regen in sicht

Moin, danke! Allerdings ist bei der "Fehler" doch schon vorher passiert, oder? Bzw. benötigt der Angreifer da doch (theoretisch) gar kein Veeam mehr für eine erfolgreiche Kompromittierung? Gruß Jan

Moin, auch Veeam stopft eine Lücke https://www.veeam.com/kb4743 Happy Patching

Hab gestern auch 2 Instanzen aktualisiert. Bisher problemfreier Betrieb.

Die Schäfchen sind im Trockenen. Bis jetzt scheint alles unfallfrei auf die aktuelle 13.1 58.32 geupgraded worden zu sein.

Hi, da sollte wohl flott gepatched werden: https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420&articleTitle=NetScaler_ADC_and_NetScaler_Gateway_Security_Bulletin_for_CVE_2025_5349_and_CVE_2025_5777 CVE ID Description Pre-conditions CWE CVSSv4 CVE-2025-5349 Improper access control on the NetScaler Management Interface Access to NSIP, Cluster Management IP or local GSLB Site IP CWE-284: Improper Access Control CVSS v4.0 Base Score: 8.7 (CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L) CVE-2025-5777 Insufficient input validation leading to memory overread NetScaler must be configured as Gateway (VPN virtual server, ICA Proxy, CVPN, RDP Proxy) OR AAA virtual server CWE-125: Out-of-bounds Read CVSS v4.0 Base Score: 9.3 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:L) HTH Jan

Normalerweise wird Dir GPRESULT sogar anzeigen, aus welcher GPO die effektive Einstellung kommt, aber natürlich gibt es keine Garantie, dass es die *einzige* GPO ist, wo diese Einstellung gesetzt ist...

Man könnte da bei einem der Hersteller in der Kategorie "Mini Server" zuschlagen, eine weitere Server 2025 Standard Lizenz buchen und auf diesem System dann einmal den Backupserver virtualisieren und einen zweiten Domain Controller. Evtl. macht es je nach Backuplösung dann auch Sinn, die Backuplösung auf dem Blech selber zu betreiben.

In kleineren Umgebungen und wenn keine Bänder benötigt werden, kann ein NAS als Backupserver dienen. Die Plus-Modelle von Synology enthalten "Active Backup for Business", welches unter anderem VMs von Hyper-V sichern kann. Mit "Hyper Backup" kann man die Daten auf einen S3-kompatiblen Speicher spiegeln. Active Backup for Business kann einzelne Dateien wiederherstellen, aber es bietet nicht ansatzweise die Funktionalität von Veeam, mit welchem man einzelne AD-Objekte oder E-Mails aus Exchange-Postfächern wiederherstellen kann.

Wie Dukel schon schrub: zweite HW ist zu favorisieren bei Veeam. Dabei tut es auch ein ausgedienter Win11 PC. Du kannst natürlich auch einen ausgedienten Server verwenden. Das ist aber von den Stromkosten her nicht sinnvoll. Meist verwnde ich einen alten Win-PC mit den bereits erwähnten Sicherungsmedien.

In einer Admin Commandline ein gpresult /H gpresult.html ausführen und die gpresult.html anschauen. Dort werden die GPOs gelistet die auf diesen Computer verlinkt sind, die einfach mal alle überprüfen.

Daher der Blick auf den Restore. Du kannst den Veeam Server (und Repo Server) auf den Prod. Server installieren (als VM oder auf den Hypervisor, wenn Hyper-V). In einem Restore Fall musst du - HW Ersetzen - OS Installieren - ggf. zusätzlich VM OS installieren - Veeam Installieren - Restore der restlichen VM's starten Mit einer eigenen Backup HW sparst du dir die hälfte: - HW Ersetzen - Restore der restlichen VM's starten

Hallo, danke für die zahlreichen Antworten. Bis jetzt wurde das Backup auf Band erstellt allerdings war das Band im Haus, nicht wirklich ideal! @teletubbieland Die Idee gefällt mir: Backup auf NAS Backup auf USB HDD Backup in die Cloud Wer erstellt das Backup auf die entsprechende Hardware (NAS, USB, CLoud) der Hypervisor direkt oder extra Hardware? Ich habe Erfahrung mit Veeam und finde das dies wirklich gut und zuverlässig funktioniert. Der Veeam Server erstellt Backup auf die internen HDDs und auf das RDX Laufwerk, funktioniert prima. Allerdings wird dafür ein extra Server mit HDDs benötigt. -> Geht das inzwischen anders? Gruß und danke

Danke Dir