andrew

Was ich vorab verraten kann ist, dass ich in der Testumgebung (wir spiegeln die produktive Umgebung in eine Testumgebung) erfolgreich die MS Edge ADMX Vorlagen in den central Store der GPOs pflanzen konnte

Guten Tag Der eine oder andere unter uns kennt sich die Situation: Man spielt irgend einmal ADMX Vorlagen für das Windows 10 Version x ein und nach ein paar Monaten ist beispielsweise der MS Edge in Bezug Version einiges weiterentwickelt und es stehen wieder neue MS Edge ADMX Vorlagen für die entsprechende Version zur Verfügung. Da bei uns in Sachen MS Edge ADMX Vorlagen, welche zurzeit im Policy PolicyDefinitions Store auf dem/ den DCs tümpeln und den aktuellen, neusten, verfügbaren MS Edges ADMX Vorlagen eine, ja, sagen wir mal doch gewisse Diskrepanz entstanden ist, wollte ich soeben die MS Edge ADMX Vorlagen im PolicyDefinitions Store wieder mal updaten. Gesagt, getan, als ich das Tool GMPC.MSC öffnete, zu den MS Edge Einstellungen navigierte (in der grafischen Ansicht, NICHT GPO bearbeiten), stellte ich mit Schrecken fest, dass zwar die alten, bereits getätigten MS Edge Einstellungen ALLE anscheinend noch konfiguriert waren, mir aber in der grafischen Ansicht von GMPC.MSC NICHT mehr angezeigt werden konnten? Da kam irgendwie eine Fehlermeldung \\Servername\Domain\SysVol\Policides\.... Die Einstellung ist zwar vorhanden, aber in Zeile 5 .... könne nicht angezeigt werden oder sowas (habe mir die Fehlermeldung nicht aufgeschrieben). Bemerkung Als ich dann die GPO bearbeitet (ich musste noch ein, zwei, drei Meldungen wegklicken, welche plötzlich neu auch erschienen sind, bevor sich dann das GPMC.MSC Tool öffnete) habe und in der GPO zum Beispiel zu den Computer spezifischen Einstellungen navigierte, konnte ich alle von uns, bereits vorgenommenen MS Edge Anpassungen anschauen. Aber eben, wie erwähnt, als ich die bereits von uns vorgenommenen MS Edge Einstellungen im Tool GMPC.MSC in der grafischen Ansicht anschauen wollte und diese mir eben leider plötzlich NICHT mehr angezeigt wurden Und: beim Öffnen des Tools GMPC.MSC auch noch ca. 3 Meldungen kamen, welche ich quittieren musste, damit dann endlich das GPCM.MSC Tool aufging, war mir das nicht ganz geheuer und macht darum kurzerhand die Ganze MS Edge ADMX Geschichte rückgängig Wie erwähnt: Was ich dann möglichst schnell wieder gemacht habe ist ein Restore. Die alten, zum Glück zuvor gesicherten MS Edge ADMX Files wieder eingespielt (sprich, alles wieder rückgängig gemacht in Bezug MS Edge ADMX Files). Danach hat mir das GMPC.MSC Tool wieder wie gewohnt alle MS Edge spezifischen Konfigurationen in unserer Umgebung schön brav angezeigt. Wie ich die ADMX Files eingespielt habe? 1. MS Edge .CAB File vom Internet heruntergeladen 2. entpackt (daraus entstand ein .ZIP File) 3. dieses ZIP File entpackt (Da waren Ordner wie: Examples, MAC, Windows, HTML und Datei namens VERSION) Im Ordner Windows waren zwei Ordner, ADM und ADMX. Im Ordner ADMX die 3 spezifischen, MS Edge ADMX Dateien kopiert und auf den DC in den Ordner PolicyDefinitions kopiert (hier sind alle zig anderen .ADMX Dateien). Des Weiteren habe ich noch im Unterordner von PolicyDefinitions (de-DE) die 3 MS Edge.ADML Dateien hinein kopiert - fertig. Bemerkung betreffend .ADML Dateien Die MS Edge.ADML Files in den Unterordnern (en-US, fr-FR usw. vorhanden sind) habe ich NICHT kopiert. Bin der Meinung, dass wenn unser Server auf Deutsch ist, beim Öffnen des Tools GPMC.MSC alles auf deutsch erscheint, dass es ausreicht, wenn ich die 3 MS Edge.ADML Dateien in den Unterordner PolicyDefinitions\de-DE kopiere?! Wenn ich z.B. Windows 10 ADMX Vorlagen im GPO PolicyDefinitions Store ersetzt habe, da z.B. neu anstatt Windows 10 17xy im Einsatz war und dann erschien irgendwann 18xy, so bin ich soweit ich mich erinnern kann, genau gleich vorgegangen (vielleicht habe ich damals noch die .ADML Dateien vom Unterordner en-US mitkopiert) und konnte mich zum Glück an kein solches Szenario erinnern, dass dann bereits eingestellte GPO Einstellungen mir in der grafischen Ansicht des GPMS.MSC Tools plötzlich nicht mehr angezeigt wurden. Was läuft da schief? Hat Jemand schon solche Erfahrungen wie ich Sie hier geschildert habe, auch erlebt und auch eine Lösung gefunden, warum das Verhalten des GPMC.MSC Tools so war?

Die Möglichkeit der Unterbindung durch .NET finde ich interessant. Könnte je nach Situation hilfreich sein.

Danke für den Link.

Ok. das finde ich nun mal eine richtig aussagekräftige Antwort Mit dieser kann ich was anfangen, vielen Dank. Gerne möchte ich da gleich einhacken: Jeden Monat stehen immer die bekannten Windows Updates zur Verfügung, welche nicht nur auf Clients, sondern natürlich auch auf Servern installiert werden müssen. Nun, wenn ich auf einem Exchange vielleicht mal ein .NET installiere oder installieren möchte, wie weiss ich denn, ob diese .NET Applikation mit der bestehenden installierten CU auf dem Exchange "kompatibel" ist? Mit ist nicht bekannt, dass in den System requirements des entsprechenden .NET, welches mir via WSUS zum Download bereit gestellt wurde, dort irgendwo angezeigt wird, dass z.B. als Voraussetzung CU Version xy installiert sein muss?

Will die Anwendung microsoft exchange web services managed api 2.2 NICHT auf einem Exchange 2016. Sie war bei einem Kunde installiert und wurde in der Zwischenzeit durch einen externe Informatik Firma deinstalliert Und: Es wurde die Frage gestellt, warum diese Applikation auf dem Exchange installiert gewesen sei. Warum und wieso diese Anwendung dort installiert war kann wohl auch schwer im nachhinein herausgefunden werden oder? Thema: Wenn ein Exchange vielleicht irgendwelche kleine Probleme aufweist wie: Nachrichten kommen ab und zu erst nach ein paar Minuten im Benutzerpostfach xy an oder wenn z.B. Mails mit starken Verzögerungen versendet werden usw. Dann kann es gemäss meiner Erfahrung passieren, dass dann mal ein Kunde schnell zum Hörer greift, der externen Firma xy anruft, der externe Mitarbeiter verbindet sich per remote, analysiert das System und stellt wohl berechtigt die Frage, warum und wieso eben beispielsweise diese Anwendung auf dem Exchange installiert war und deinstalliert Sie, weil er der Ansicht ist, dass diese nicht auf den Exchange gehöre und höchstes Probleme verursachen könnte. Spinnen wir den Faden nun noch weiter in das "Extreme". Man wird vielleicht vom Kunde sogar "angegriffen" im Sinne von: Hey, unser Exchange läuft nun stabil, die Anwendung microsoft exchange web services managed api 2.2 wurde auf dem Exchange installiert und nun deinstalliert und war schuld für diese "kleine Probleme". Miene genannten Probleme sind nur Beispiele, müssen nicht stimmen. Ich möchte nur darauf hinaus, dass eine solche Behauptung sehr "schwierig" zu beurteilen ist. Darum auch meine Frage im Titel und eingehend von meinem Post, denn wie soll ich dann beispielsweise beweisen können, dass diese Applikation Problem X oder Z eben NICHT zwingend schuld daran war. OK, vielleicht gehört eine solche Applikation wirklich nicht auf den Exchange, aber eben, ab und zu im Leben oder in der IT läuft was nicht immer nach Schema X ab, wenn Schema X als "der korrekte Weg oder Bestr Practices oder wie soll man das nennen?" verläuft. Darum wäre ich nach wie vor froh, um Stellung zu meiner gezielten Frage zu nehmen. Hat Jemand Erfahrungen, dass wenn diese Applikation auf einem Exchange installiert oder installiert würde, tatsächlich zu "zig Problemen" führen kann oder könnte, meine Frage nun verstanden? Vielleicht ist ja eine solche Anwendung auch unwissentlich auf dem Exchange installiert worden oder man wollte eine Anwendung xy auf dem Exchange installieren und by the way wurde halt diese Anwendung microsoft exchange web services managed api 2.2 auch mit installiert, wer weiss das schon?!

Meine Frage ist eine allgemeine Frage: Mich würde interessieren, wenn auf einem Exchange 2016 diese Anwendung hier installiert ist microsoft exchange web services managed api 2.2, ob diese Anwendung auf dem Exchange zu Problemen führen kann im Sinne von: Dass der Exchange 2016 instabil wird und oder dass andere, Unannehmlichkeiten auftreten könnten! Welche CU aktuell auf unserem Exchange installier ist, kann ich jetzt gerade nicht überprüfen, da nicht im Geschäft und heute nicht am Arbeiten. "Schätzungsweise müsste ist das letzte CU vor ca. 6 Monaten installiert worden" Mich würde es interessieren, ob es Gründe gibt, die strikt dagegen sprechen, auf einem Exchange 2016 diese Anwendung zu installieren?

Liebes MCSE Board Ist euch Exchange Spezialisten bekannt, dass auf einem Exchange 2016 folgende Anwendung zu Problemen führen und oder Instabilitäten hervorrufen kann? Anwendung: microsoft exchange web services managed api 2.2 Wenn ja, welche Probleme und oder Instabilitäten könnten hervorgerufen werden? Nette Grüsse Andrew

Das Geld Und: die Zeit, welche ich bräuchte, um alles zum Laufen zu bringen Glaube, wenn ich mehr Zeit habe (nach meiner Weiterbildung), werde ich solches in Angriff nehmen. Habe in den letzten Tagen schon viel Zeit investiert, welche ich eigentlich hätte für anderes benutze sollen und ja, ansonsten spricht gar nichts gegen deinen Vorschlag Würde ich sehr spannend finden, zum Konfigurieren. Aber ich habe nun mal ein Webhosting gelöst, dann muss ich mich um sehr vieles nicht mehr kümmern, weil dies vom Webhoster übernommen wird

Nein, aber ich habe zwischen den Zeilen gelesen und wohl, so denke ich, deine Freude zu diesem Produkt "herausgespührt" Passt schon Nils, alles im grünen Bereich.

Ja, ein Webhosting steht sicher auch zur Diskussion Und: je nach je werde ich auch zu einem wechseln ;) Aber im Moment läuft mein System wieder, denn ich habe nun im Gegensatz zum ersten Reboot NICHT beide Webserver auf dem NLB-Cluster gleichzeitig neu gestartet, sondern zuerst Webserver A, gewartet, bis dieser im NLB-Cluster wieder als Online erscheint, dann das gleiche Spiel für den Webserber B und siehe da, nach dem Neustart der beiden Webserver war die Webseite wieder erreichbar. Tja, man muss ja nicht immer alles verstehen ;)

@ Nils, hallo erstmal ;) Warum ich Wordpress nicht auf einer anderen Plattform laufen lasse als Windows? 1. Weil ich schon vor Jahren mehrere Webseiten mit der oben genannten ICT-Infrastruktur erfolgreich betrieben habe. Damals hatte ich mich natürlich schon vorgängig schlau gemacht, ob Wordpress auch unter Windows lauffähig ist, was der Fall ist. 2. Weil meine ganze ICT-Infrastruktur Privat (sage dieser immer, meine Spielwiese) aus lauter Windows Servern besteht und natürlich schon aus dieser Hinsicht daran interessiert war, ob man Wordpress auf einem IIS Webserver anständig zum Laufen bringt. 3. Nun bin ich auch gerade in der Situation, dass mich Jemand gefragt hat, ob ich nicht eine Webseite erstellen könne und da ich da von früher noch Erfahrungen mitbringe, dachte ich natürlich, warum nicht. Wie es leider so oft in der Informatik ist, man stösst ab und zu auf unerwartete Probleme - nicht wahr. Was würden wir Informatiker machen, wenn immer alles auf Anhieb funktionieren würde, wäre ja schon fast ein wenig langweilig oder? Spass bei Seite, auch ich finde solche unerwartete Fehlermeldung nervig, besonders dann, wenn man Gas geben und vorwärts kommen will und im Prinzip keine überflüssige Zeit hat, um solche Zusatzaufwände auch noch zu "meistern". @DocData, auch Dir ein liebes Hallo erstmals ;) Ja, ein NLB-Cluster nicht "ohne" ist, habe ich mittlerweile gemerkt und erinnere mich an früher, als ich mich damals das erste Mal mit dem befasst hatte. Die Sache mit Unicast und den "Flooding" ist mir bewusst, danke. Tja, gibt es denn für mich armen keine Workarround, ich will doch jetzt vorwärts kommen mit Wordpress konfigurieren

Ok, ich danke erstmal für diesen Hinweis.

Hi all Situation (alles virtualisiert auf Hyper-V, Server 2016 Ausser der Hyper-V Host: ist Server 2019) - Habe in meiner Umgebung einen Microsoft NLB-Cluster im Unicast Modus. - Auf diesem NLB-Cluster laufen zwei Webserver mit einer Webseite, welche zurzeit im Aufbau ist und nur intern läuft (extern somit nicht erreichbar). - Die Webseiten sind unter http wie auch https erreichbar, wobei ich eine Umleitung von http auf https "erzwungen" habe (auf den Webservern). - Das SSL Zertifikat ist von einer internen CA ausgestellt. (die Root CA ist Offline). Habe bis anhin für alle Server immer von dieser internen CA Zertifikate ausgestellt, auch für den Exchange und habe bisher damit keine Probleme gehabt. Der Exchange (OWA oder ECP) ist nach wie vor erreichbar und funktioniert, hat aber nichts mit der NLB-Umgebung zu tun. Habe ich nur erwähnt, dass das Ausstellen von internen SSL Zertifikaten bis anhin ohne Probleme funktioniert hat. Erwähne ich auch im Zusammenhang mit der Fehlermeldung, weil ich vielleicht beim Zertifikat schlussendlich doch nach einem möglichen Fehler suchen muss? - Die Webseite basiert auf Wordpress (SQL Server mit Maria DB läuft auf separatem SQL Server). Die letzte Änderung war, dass ich ein Plugin für rund 20 Dollar gekauft und installiert habe. Dieses erlaubt das Erstellen von Slidern und ist sehr bekannt. Problem - Nachdem ich gestern Abend beide Webserver des NLB-Clusters heruntergefahren hatte, damit ich die RAM Einstellungen von dynamisch auf fix einstellen konnte (beiden Webservern 8GB vergeben) und beide Webserver des NLB-Cluster wieder neu startete, war danach meine Webseite nicht mehr erreichbar (siehe den beigefügten Screenshot). Google Suche ergibt im Zusammenhang mit IIS Webservern sehr wenige Suchtreffer, so gut wie fast keine was in der Regel darauf hindeutet, dass es ein NICHT alltägliches Problem ist? Einer hat von einem Tool geschrieben, weiss den Namen gerade nicht mehr, das ist oder war eine EXE Datei, welche man auf einem ISS laufen kann und dann zeigt das Tool an, welche Sicherheitsfunktionen aktiviert sind (SHA, SHA256, SHA512 usw.) Und: Er musste in seinem Fall im Programm einen Haken bei SHA setzen, den Wert speichern, seinen Webserver booten und gemäss Ihm trat das Problem im Browser im Zusammenhang mit seiner Webseite NICHT mehr auf?! - Bei mir sind alle Sicherheitsfunktionen angekreuzt, sprich, anscheinend auf meinen Webservern verfügbar bzw. konfiguriert?!

Hi all Ziel Eine Wordpress Webseite soll in einem Netzwerk Share abgelegt/gespeichert werden bzw. natürlich auch zugegriffen werden können. Problem Wenn ich auf dem Webserver via rechte Maustaste auf die Webseite x klicke und im Kontextmenü Manage Website/ Advanced Settings aufrufe Und: beim Punkt: Physical Path einen Netzwerk Share hinterlege (\\Server\Share\) und gleich ein Feld untendran Physical Path Credentials einen AD Benutzer in der Form UPN Name (benutzername@domain.xy) eingebe, ein Feld untendran Physical Path Credentials Logon die Einstellung auf Clear Text belasse, diesen AD Benutzer auf dem Filserver auf dem entsprechenden Share mit Minimum Leserechte ausstatte, so ist der Zugriff NICHT möglich, sobald ich im Webbrowser die IPv4 Adresse des Webservers aufrufe und prüfe, ob ich auf mein Test PHP File (index.php) zugrreifen kann (welches eben im Share \\Server\Share liegt) Ändere ich in den Bindings für die Webseite von der hinterlegten IPv4 Adresse (die IP des Webservers) auf * (* = stellvertretend für localhost) so kann ich im Web Browser mit der Eingabe von localhost mein Index.php File aufrufen (eine Auflistung der verwendenten PHP Version auf dem Webserver etc. erscheint somit, einfach als Test, um mein Problem in Bezug mit IIS und dem Ablegen von Webseitendaten in einem Share ablegen zu wollen, auf den Grund zu kommen) Zusammenfassung Sobald ich in den Bindings für die Webseite eine IP hinterlege und so versuche, auf Webseitenressourcen zuzugreifen, welche in einem Network Share liegen, so klappt der Zugriff nicht mehr. Ich bin der Meinung, dass ich genau diese Konfiguration früher schon verwendet hatte (weil die Webseiten noch auf meinem Webserver im IIS vorhanden sind und ich ja die aktuelle Konfiguration nachprüfen kann) und eben, der Zugriff funktionert so einfach nicht - was läuft schief? Sagen wir mal so, mir ist nicht bewusst, dass ich die Webseiten, welche ich nicht mehr Online habe und welche aktuell auch nicht im internen Netz aufrufbar sind), dass ich bei diesen Webseiten, wo ich auch so vorgegangen bin (damals), meines Wissens sonst nichts andereres konfiguriert habe oder hatte als eben, auf \\Server\Share einen AD Benutzer berechtigt (bei den damaligen Wordpress Seiten hatte ich für den damaligen AD Benutzer Änderungrechte verwendet) und diesen Benutzer eben dann auch im IIS (wie oben beschrieben) entsprechend hinterlegt (connect as). Mir ist unklar, warum der Zugriff so nicht mehr funktioniert, habt Ihr eine Idee?

Danke für die ersten Rückfragen und Antworten. Glaube, das Problem hat sich in der Zwischenzeit erledigt und taucht nicht mehr auf, warum auch immer?! ... Danke trotzdem für die Unterstützung

Hi all Situation: auf div. Clients im Geschäft wird der Ordner %LocalAppData%\Local\Microsoft\Outlook per irgendeinen Mechanismus automatisch gelöscht. Das heisst konkret, ich erstelle einen Testuser im Active Directory indem Ich einen bestehenden Benutzer X (einen beliebigen Benutzer im Active Directory) kopiere und so erstelle - spielt anscheinend keine Rolle, in welcher Abteilung dieser arbeitet, So, nun habe ich einen Testbenutzer und logge mich an einen X beliebigen, physikalischen und oder virtuellen Maschine (VMware View Umgebung) an. Ich stelle fest, dass beim Starten des Outlook Clients der Ordner mit dem Namen Outlook im Pfad %LocalAppDatea%\Local\Microsoft neu erstellt wird. Das entspricht dem Standard Verhalten und somit ist auch alles noch in Ordnung. Wenn ich aber meinen Testbenutzer 1 Tag später, xy Tage später wieder an einem X beliebigen System anmelde, passiert das selbe in grün. Der Outlook Ordner im Pfad %LocalAppDatea%\Local\Microsoft wird stets immer wieder neu erstellt, natürlich inklusive dessen Inhalt (Cache Datei des Exchange Adressbuch, die Cachde Datei des Outlooks .OST usw.) wird somit stets neu erstellt, Aber: interessanterweise nicht bei jedem Benutzer im Haus. Als ich Stichproben gemach habe, stellte ich fest, dass dies nicht bei jedem Benutzer im Haus automatisch geschieht. Quizfrage an ALLE hier im Forum: Nach meinem Verständnis wird der Ordner Outlook im besagten Pfad in folgenden Situation neu erstellt: - beim Erstellen eines neuen Benutzer Profils - oder man verwendet einen Skript, welcher entweder beim Anmelden oder beim Abmelden via GPO den Befehl beinhaltet, den Ordner Outlook im Pfad %LocalAppData%\Local\Microsoft\ zu löschen. Kurz: Mir ist so spontan kein anderes Szenario bekannt, wie man bewerkstelligen kann oder könnte, dass einfach dieser Outlook Ordner gelöscht wird Und: Ich frage mich/ euch ALLE hier im Forum, wie kann ich herausfinden, was für ein Mechanismus diesen Ordner löscht? Was habe ich bis jetzt gemacht? - ALLE GPOs kurz geprüft, ob in den Benutzereinstellungen ein Skript ausgeführt wird und wenn ja, ob in diesem Batch File ein Befehl vorhanden ist, welcher diesen Ordner löscht. Fand aber leider keine Skript, welcher das macht. - nach X Tagen erneut geprüft, wenn ich mich mit dem Test Benutzer an X einen beliebigen Client anmelde, ob das BN Profil ggf. jedes Mal neu erstellt wird. Auch dies ist nicht der Fall, habe Ihr noch Ideen? Liebe Grüsse Andrew

Ok. Diesen Sprungserver pflanzt Ihr dann in ein separates VLAN, habt Ihr euch da schon Gedanken gemacht ?

Hi all Finde ich einen guten Ansatz, Sicherheitsmassnahmen wo immer möglich, umzusetzen. Weisst Du/ Ihr, wie ihr in Zukunft (wenn nicht schon umgesetzt) die Administration von Servern handhabt, sprich, wo und wie Ihr die administrativen Tools installieren werdet und wie der Zugriff/ die Zugriffe auf die Server konkret erfolgen soll? cheers André

Hallo daabm Scheint ein interessanter Artikel zu sein, muss Ihn jedoch einmal in Ruhe durchlesen, ist etwas viel Material und verstehen muss man die Materie dann auch noch, nicht wahr. Wendest Du/ Ihr, sprich deine Firma, in welcher Du tätig bist, dieses Modell an?

ok, die Sache mit "if you have to repeate it, script it" hört sich gut an. Bezogen auf unsere Infrastruktur und die Administration von Servern spreche ich mehr folgende Bereiche an und suche auch entsprechende Lösungsansätze hier im Board: Wir haben zig Windows Server, alle virtueller Natur auf Basis VMware. Dazu gehört einerseits die Windowsumgebung (Serverseitig, Client seitig, physikalisch wie virtuell) - Active Directory - sonstige Windows bezogene Dienste wie DHCP (2 Server), Fileserver oder Windows Patchmanagement (WSUS) Dritthersteller Tools - Software Verteilung - Sicherheitslösung von Kaspersky (Security Center) (kann oder könnte auch via Web Console, sprich, via Browser aufgerufen werden, z.B. von einem Client aus) - Monitoring Tool vom Veeam (glaube, es ist gratis). Erlaubt das Monitoren z.B. von Windows Servern, Speicherplatz der Festplatten Überwachung usw. - Support Tools für die Hauptaplikation, welche bei uns im Geschäft von den Angestellten verwendet wird. Nun, dass man den Admins im ICT-Team z.B. so genannte Admin PCs (virtuelle Windows 10 Maschinen) mit all den Admin Tools installiert und zur Verfügung stellt, finde ich persönlich nicht so sexy. Wenn es nach mir geht, dürfen z.B. eine - Software Verteilungs Software auf meinem Client System laufen. Öffne dieses Tool, dieses verbindet sich mit dem Server und fertig. Habe die grafische Oberfläche offen, kann mit der Software Verteilung schaffen und gut ist. - Wenn es um die Verwaltung von Windows Diensten, kann man z.B. das RSAT auf dem eigenen Windows 10 PC installieren und für bestimmte, adminstrative Dinge wie auf die Active Directory Konsole zugreifen, lokal auf meiner Kiste ausführen. Für das sind ja die RSAT Tools extra entwickelt worden. Wäre auch in meinem Sinn. - Wenn es darum geht, den Kaspersky Server zu verwalten, so könnte ich z.b. via Browser eine Verbindfung mit dem Kaspersky Security Center herstellen und diesen auch lokal via meine Wndows 10 Kiste verwalten. Man kann also demnach sehr vieles lokal von der eigenen Windows 10 Kiste aus administrativer Natur verwalten. Die Frage dabei, welche ich mir halte stelle ist, wie sieht es Security mässig aus? Ist eine solche Art zu arbeiten im ICT-Teeam so gang und gäbe oder habt Ihr in euren Umgebungen aus bestimmten Gründen (Security technisch oder so) genau ein solches Arbeiten verboeten oder sieht eure Firma ein anderes Arbeiten vor? Eben, wir haben es gehört, z.B. habt Ihr hierfür extra einen Terminal Server, auf welchem die ganzen administrativen Konsolen installiert sind und wenn ihr extra was an eurem Servern, oder sonst irgendwie überwachen/ überprüfen müsst, dann verbindet Ihr Admins euch alle gleichzeitig auf den Terminal Server und macht, was es zu machen gibt oder wie jetzt? Oder gibtes es hier im Forum stimmen, die finden, hey, die Idee, jedem Admin eine virtuelle Windows 10 Büchse mit dem genazen Karsumpel darauf zur Verfügung zu stellen die Beste Idee? Wenn ja, warum und wieso? Ich finde diese Idee nicht gut, ich finde, warum soll ich extra eine Admin Maschine auf VM Basis erhalten? Das Thema ist auch, wenn ich z.B. via Home Office arbeite, dann verbinde ich mich via VMware View auf einen virtuellen Pool mit Windows 10 Maschinen. Dieser ist für die Leute, welche von zu Hause aus Home Office machen und so konfiguriert, dass er im Minimum alle Tools etc. beinhaltet, welche eine Mitarbeiterin/ ein Mitarbeiter braucht, damit er produktiv von zu Hause aus arbeiten kann. Wenn jetzt ich als Admin mich von zu Hause aus auf diesen, virtuellen Pool verbinde, dann ist klar, dass ich auf einer solchen virtuellen, Windows 10 Maschine (so wie Sie zurzeit konfiguriert sind), keine administrativen Tools für die Verwaltung von Servern zu Verfügung habe. Ich müsste mich dann entweder auf meinen physikalischen PC per RDP verbinden, welcher ja nicht läuft (gut, ich könnte ich per Wake on LAN aufwecken), oder ich müsste mich eben auf eine, administratrive Windows Maschine verbinden, weil dort alle Tools, RDP Tool mit allen Servern drin sind usw. Aber ich könnte ja auch diverse Tools für die Verwaltung von Servern in diesem virtuellen Home Office Pool (Windows 10 Maschinen) zur Verfügung stellen, was spricht dagegen? Dass plötzlich ein Mitarbieter X auf die Idee kommen könnte, irgendwie via ein solches Tool "herumspielen zu wollen" ? Dieser virtuelle Home Office Pool ist zwar in einem anderen Subnetz als unsere produkte Client uns Serverumgebung (Server und Clients sind im gleichen Netz), jedoch ist es mir schon jetzt z.b. möglich, via disen Home Office Pool z.b. eine RDP Verbindung auf den Server xy herzustellen. also insofern könnte ja ein Benutzer schon jetzt wenn er möchte, Schaden anrichten bzw. es zumindest versuchen (wobei: er bräuchte ja noch einen Admin Benutzer, welcher auf dem Server xy berechtigt wäre), RDP aurfuen könnte er auch vom Geschäft aus, von seinem physikalischen PC aus. Ja, in diese Richtungen gehen meine Überlegungen und Fragen, wie man am sichersten und effizietesten die ganze Geschichte mit der Administration von Servern aufgleist

Hey Jungs, dsa sind ja sehr interessnate Aspekte. Genau so habe ich mir die Diskussion vorgestellt. Ok, die Sache mit den Server Cals werde ich noch überprüfen. Zuerst mus ich wohl herausfinden, was wir überhaupt für ein Lizenzmodell pflegen, damit ich auf diese Frage eine Antwort geben kann. Danke euch für die Argumentationen/ Inputs *smile* cheers Andrew

Hi all Jede und Jeder, welcher für eine IT-Infrastruktur zuständig ist, weiss, dass man mittlerweile viele administrative Tätigkeiten auch via einen Client erledigen kann. Schreibe absichtlich via einen Client und NICHT, via den "eigenen" PC. Warum? Beispiel Microsoft Wie sicher die meisten wissen, gibt es z.B. in Bezug Microsoft die Möglichkeit, auf einen Windows Client die RSAT (remote Server Administration Tools) auf den Client zu pflanzen. Und nun? Nun kann man je nach je diverse Server Rollen administrativ verwalten (z.B. die DHCP Console, oder das Active Directory usw.), welche man pflegen/ darf (je nach je, was die Organisation an internen Sicherheits Richtlinien pflegt?). Weitet man nun diese Thematik aus, so stellt sich bald die Frage, ob es sicherheitstechnisch "schlau" ist, auf einem oder seinem Client zig administrative Tools zu installieren, damit man dann die Server, welche jetzt in unserem Fall im gleichen Subnetz sind, verwalten zu können? Sicherheit Ich möchte von euch in Erfahrung bringen, was Ihr so für Praktiken pflegt, was die Vor- und Nachteile sind, in Bezug Sicherheit usw. sind. Stelle mir z.B. die Frage: Angenommen, ich entscheide mich für eine Lösung, dass jeder Administrator seine, eigene virtuelle Admin Maschine hat (z.B. ein Win10 PC). Macht das Sinn und wenn ja, wie sollte sicherheitstechnisch die Umgebung aussehen, müssten die Admin PCs (VMs) gehärtet sein, in einem separaten Subnetz? Habe ich Sie in einem separaten Subnetz und öffne dann zig Ports, damit ich schlussendlich doch am Schluss zugriff auf die Serversysteme erhalte, um diese administrativ verwalten zu können - macht ein solches Szenario Sinn? Sinnvoll | Nutzen? Macht es mehr Sinn, eine Art Terminal Server zu betreiben mit Terminal Server Lizenzen? Dann hätte man anstatt 3 virtuelle PCs, einen Server (vielleicht auch nur mit minimalen Rollen installiert) und würde auf diesem ALLE Tools instlalieren, welche es braucht und würde immer dann, wenn man die Server administieren möchte, sich auf diesen "Jumping Server" verbinden (dieser müsste dann wohl auch in einem anderen Netz sein?) So, die Dikussion ist eröffnet, finde persönlich dieses Thema sehr spannend und freue mich extrem auf euren Input - go for it cheers André

Hi all Server 2016 oder Server 2019? Dieser Beitrag hier soll das Thema pro und contra Server 2016/ Server 2019 OS thematisieren Wir haben im Geschäft rund 20 Server (Plus Minus, Minus Plus). Praktisch ohne Ausnahme sind alle virtuellen Serversysteme mittlerweile auf Server 2016 angehoben worden. Die Frage, welche ich mir persönlich stelle ist, wenn es jetzt darum geht, bestehende, virtuelle Systeme zu erneuern, welches OS hierzu verwendet werden soll, Server 2016 oder Server 2019? Was wird erneuert? - Erneuert wird z.B. eine Software Verteilung von Version x auf Version y. Auf dieser VM läuft als OS zurzeit Server 2012. Der Hersteller der Softwareverteilung empfiehlt als OS Server 2019. Hauptgrund: Das Booten eines Server 2019 OS sei um ein vielfaches schneller als bei einem OS mit Server 2016. - Des Weiteren wird auch unsere Sharepoint Lösung erneuert. Unsere Sharepoint 2010 Version, aktuell auf zwei VMs verteilt (Frontend, Backend mit SQL DB) läuft auf jeweils einem Server 2008 R2 OS. Meinung des Vorgesetzten Ergänzend kann ich noch erwähnen, dass vom Vorgesetzten das OS Server 2016 favorisiert wird. - Als Haupt Argument wird die Vereinheitlichung in den Vordergrund gestellt (am Schluss alles Server 2016 als OS). - Des Weiteren war in Bezug Backup Software Veeam auch das Thema wegen der Duplizierung. - Wir bereiben unsere VMs in einer VMware Infrastruktur. Das OS, welches ich für die neue Softwrae Verteilung vorbereite oder vorbereiten soll, entsteht aus einer Vorlage. Diese habe angeblich ein externen IT- Betreuer vorbereitet und basiert auf Server 2016. Das sei auch ein Grund, warum er OS Server 2016 favorisiere Meine persönliche Meinung: - betreffend Backup Veeam: Wenn dem so wäre (Die Argumentierung wegen der Duplizierung), so könnte man ja neu z.B. einen Backup Job erstellen, welcher nur die Server mit dem OS Server 2019 sichern würde, wo ist das Probem? - in einer Vereinheitlichung der Server OS sehe ich keine Vorteile, seht Ihr Vorteile? - Eine neue Vorlage für ein OS Server 2019 System in der VMware Umgebung sollte sicher technisch keine grosse Hürde darstellen - obwohl ich mich diesbezüglich zuerst in das Thema einlesen müsste Info: will Niemandem zu nahe treten bzw. achte jede Meinung. Jedoch habe ich auch Anrecht auf Überprüfung einer bevorstehenden Aufgabe (pro und contra) und genau das soll das Ziel hier sein, nicht mehr, nicht weniger So, die Diskussion ist eröffnet - go for it cheers Andrew

Sie sagen, man soll in den Standard Einstellungen neu den Microsoft Edge Chromium als Default einstellen, was bei uns schon der Fall ist P.S. Word 2016 öffnet die XML Datei nicht korrekt bzw. zuerst erscheint eine Fehlermeldung im Sinne von: "Es ist ein XML-Erweiterungspaket für den Namenspace 'http://www.xyz.ch' verfügbar. Wollen Sie dieses XML-Erweiterungspaket von C:\Users\BenutzerXY\AppData\Local\Microsoft\Windows\INetCache\Content.Word\generallnvoiceRequest_440.xsd installieren? (Ja, Nein) Sage ich Ja, erscheint: "Das XML-Erweiterungspaket oder die Schemadatei konnte nicht installiert werden. Bestäte ich diese Fehlermeldung, öffnet Word 2016 die Datei mit der Meldung "Diese Datei enthält benutzerdefinierte XML-Elemente, die in Word nicht mehr unterstützt werden ......