StefanWe

Hallo,

 

unsere Notebooks sind im lan per Kabel im Subnetz 192.168.0.0/24. wenn die Kollegen nun sich aus dem Dock lösen, bekommen sie eine WLAN ip aus dem Netz 10.254.0.0/24

 

das Problem ist, oft wird der DNS Eintraf nicht aktualisiert. Tritt meist beim zurück wechseln ins lan auf, so dass im DNS noch die wlan ip eingetragen ist.

 

damit können wir die Clients mittels dameware nicht erreichen im Supportfall.

 

wir haben bereits die Ttl auf 60 Sekunden reduziert, aber das hilft leider nicht wirklich.

 

wie geht ihr das Thema an?

vor 18 Stunden schrieb daabm:

"Beste Grüße ssd" ist gut Ich kann das alles nicht nachvollziehen. Ich arbeite hier gerade auf einem Pro3, der Akku reicht i.d.R. locker für 7 bis 9 Stunden. Ist halt alles immer relativ, wenn Ihr viele Hintergrunddienste habt. Vor allem selber geschriebene... xd

Eigentlich bis auf Trend Micro haben wir nichts an Hintergrundprozessen. Jedenfalls bewusst. Windows macht ja mittlerweile immer mehr. 

 

Kennt ne jemand ein Tool zur Protokollierung von Hintergrund Jobs bzw. Wer wie viel Akku frisst ?

Halle,

 

gibt es unter euch Erfahrung mit dem Surface Pro LTE?

 

wir haben die 256 Beste Grüße ssd, 8gb ram und i7 mittlerweile im Einsatz, aber über die Zeit zwei Kernprobleme

 

zum einen beträgt die Akkulaufzeit grade mal 4-5 Stunden bei Mails bearbeiten, rdp und OneNote. Grade aus dem Standby kommend dauert es einige Zeit bis wlan wieder verbunden ist. 

 

Zum anderen das eigentlich versprochene Feature, es als Tablet und Stift als Notizblock zu nutzen ist irgendwie nicht gut gelungen. Das Schreiben funktioniert nicht wirklich gut. 

 

Und zu guter letzt, das wechseln zwischen Tablet und Desktop Modus von Win 10 ist nicht rund. Vor allem Outlook im touch Modus ist nicht zu gebrauchen. Dann auf die Mail App wechseln, puh Medienbruch. Fühlt sich nicht rund an. 

 

Welche Erfahrung habt ihr?

Am 6.5.2019 um 23:07 schrieb daabm:

<OT> Oft frustrierend, wie sparsam man von Hilfesuchenden mit Informationen versorgt wird - nicht nur hier, auch in vielen vielen anderen Threads </OT>

Wenn man beim Thema bleiben würde, wäre es sicherlich auch anders. 

 

Aber da MS nun angekündigt hat, MBAM in intune und sccm aufgehen zu lassen, hat sich die Frage damit beantwortet.

Vielen Dank für die Hinweise zum Firmware Update der Surface Geräte. Aber die Ursprüngliche Frage bezog sich auf die Überwachung / Sicherstellung von Bitlocker.

 

Das Bitlocker Administration Tool ist ja leider abgekündigt.

vor 31 Minuten schrieb Sunny61:

Was genau haben die Geräte gemeinsam, die Probleme mit Bitlocker haben/hatten? BIOS Version aktuell? Sind es die gleichen Geräte oder unterschiedlich?

Sind die gleichen Geräte. Alles ms Surface 

Hallo,

 

wir managen unsere Windows 10 Geräte mittels SCCM aktuellstes Release.

 

Beim Deployment der Rechner aktivieren wir Bitlocker in der Task Sequence. Klappt soweit ganz gut.

 

Nun haben wir einige Geräte von 1709 auf 1809 upgegraded und festgestellt, dass bei manchen Geräten Bitlocker nach dem Upgrade nicht mehr aktiviert war.

Wie stellt ihr sicher, dass bei allen Geräten Bitlocker aktiv ist und die Festplatte auch verschlüsselt ist ?

 

 

Wie sieht’s wie UE V aus? Ich finds ein bisschen schade dass man dazu so gut wie nichts liest.

Hallo,

 

wir haben seit längerem Azure AD und auch die Geräteregistrierung über ADFS (Win 2016) und AD Connect Geräte Synchronisierung aktiv.

 

Ich habe allerdings ein paar Verständnisfragen.

 

Wir möchten unser lokales Active Directory als primäres AD nutzen, allerdings Cloud Dienste wie Hello for Business verwenden, allerdings erstmal nur für unsere mobilen Endgeräte.

 

Dementsprechend möchten wir auch nur, dass diese Geräte Azure AD Joined sind.

 

Wenn ich nun im Azure Portal nach Geräten suche, finde ich dort ALLE! Computer Konten vom lokalen Active Directory.

 

Ich habe dann vor einigen Wochen auf oberster Domänen Ebene die Geräte Registrierung "deaktiviert". Wie in diesem KB Artikel:   https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-control

 

Allerdings werden auch alle neuen Geräte direkt im Azure Portal angezeigt. Die Geräte sind idr. Aktiv aber die letzte Aktivität ist schon einige Wochen her. "Verknüpfungstyp" ist immer "Hybrid azure ad joined".

 

Da frage ich mich, warum tauchen die Geräte dort auf ? Kommt das durch AD Connect ? Zieht die GPO nicht?

Bei den Geräten wo ich Azure AD Join haben möchte, habe ich oben genannte Policy auf "aktiv" gesetzt. Diese sehen im Azure Portal jetzt nicht anders aus. Die letzte Aktivität ist dort auch meist schon einige Wochen her.

Auch ist ein Besitzer nirgends hinterlegt.

 

Wenn ich auf einem Computer der augenscheinlich Azure AD joined ist, dsregcmd/status ausführe, sehe ich folgendes:

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

             AzureAdJoined : YES
          EnterpriseJoined : NO
              DomainJoined : YES
                DomainName : DOM

+----------------------------------------------------------------------+
| Device Details                                                       |
+----------------------------------------------------------------------+

                  DeviceId : f66dbde4-3bf1-42c1-8795-5b8d395137ad
                Thumbprint : 078E2FA880AC1A731FB8BCC3FD25F967D2D3C716
 DeviceCertificateValidity : [ 2018-12-07 12:13:32.000 UTC -- 2028-12-07 12:43:32.000 UTC ]
            KeyContainerId : 46485845-91bf-4e63-b076-23418fe1be08
               KeyProvider : Microsoft Software Key Storage Provider
              TpmProtected : NO



+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                    NgcSet : YES
                  NgcKeyId : {DD702248-CF28-487D-95F6-C6EC586CC16D}
                  CanReset : DestructiveAndNonDestructive
           WorkplaceJoined : NO
             WamDefaultSet : YES
       WamDefaultAuthority : organizations
              WamDefaultId : https://login.microsoft.com
            WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)

Bei einem System, welches nicht Azure AD Joined sein sollte, sieht es wie folgt aus

+----------------------------------------------------------------------+
| Device State                                                         |
+----------------------------------------------------------------------+

          AzureAdJoined : YES
       EnterpriseJoined : NO
               DeviceId : e0a67059-1f22-44a9-8448-c29b9b17a737
             Thumbprint : 11EE2058C7675796C6A1E0070E4CB775DE3C6659
         KeyContainerId : 9031e05f-422a-48c0-8949-3eed8f1c45e5
            KeyProvider : Microsoft Software Key Storage Provider
           TpmProtected : NO
           KeySignTest: : MUST Run elevated to test.
                    Idp : login.windows.net
               TenantId : a20f67f5-74f9-470b-af40-111fc5097c7f
             TenantName : gmbH & Co. KG
            AuthCodeUrl : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f/oauth2/authorize
         AccessTokenUrl : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f/oauth2/token
                 MdmUrl :
              MdmTouUrl :
       MdmComplianceUrl :
            SettingsUrl :
         JoinSrvVersion : 1.0
             JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/
              JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net
          KeySrvVersion : 1.0
              KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/
               KeySrvId : urn:ms-drs:enterpriseregistration.windows.net
     WebAuthNSrvVersion : 1.0
         WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/a20f67f5-74f9-470b-af40-111fc5097c7f/
          WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net
 DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/a20f67f5-74f9-470b-af40-111fc5097c7f/
  DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net
           DomainJoined : YES
             DomainName : DOM

+----------------------------------------------------------------------+
| User State                                                           |
+----------------------------------------------------------------------+

                 NgcSet : NO
        WorkplaceJoined : NO
          WamDefaultSet : YES
    WamDefaultAuthority : organizations
           WamDefaultId : https://login.microsoft.com
         WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd)
             AzureAdPrt : YES
    AzureAdPrtAuthority : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f
          EnterprisePrt : NO
 EnterprisePrtAuthority : https://adfs.domain.de:443/adfs

Gefühlt müsste es ja anders herum sein. Bei ersterem habe ich aber Hello For Business aktiv und nutze es auch.

Letzterer ist eine VDI VM.

 

Jetzt meine Frage: Was davon ist richtig?

Fehlt mir eine Policy? 

 

Ist es richtig, dass im Azure Portal jedes Device vorhanden ist?(Selbst Server)

 

 

vor 15 Minuten schrieb testperson:

Aus deiner Signatur würde ich darauf schließen, dass ihr XenApp / XenDesktop nutzt. Wieso dann nicht den CPM mit: https://support.citrix.com/article/CTX235347

Und ggfs.: https://4sysops.com/archives/user-profile-disks-on-windows-10/

Die Signatur ist "veraltet". Soweit sind wir aktuell nicht. Das der Cache Modus die Probleme verschleiert ist mir bewusst. Ich versuche nur herauszufinden, woran es aktuell liegt. Ich kann keine Performance Engpässe aktuell feststellen. Aber irgendwodran muss es ja liegen. Und bei 1200 Mailboxen ist jetzt auch nicht unbedingt die Welt.

weil wir roaming Profile und VDI einsetzen und aktuell keine Technik wie FSlogix im Einsatz haben.

 

PS: Healthchecker sagt: alles ok.

Gerade eben schrieb testperson:

Hi,

 

Autodiscover funktioniert für alle beteiligten Domains?

Wie viele freigegebene Postfächer / Kalender / etc. sind in den Outlooks eingebunden?

Mapi over HTTP ist vermutlich aktiv?

 

Gruß

Jan

autodiscover - check

Anzahl Postfächer: mal nur eins - mal 2-3

mapi - check

ja - die Clients laufen alle im Online Mode. Geht auch aktuell nicht anders.

Netscaler SDX als loadbalancer

vsphere 6.5

aktuelles Cu sowohl Windows 2016 als auch Exchange. 

 

Tcp offloading ist im Standard. Deaktiviert man das wirklich noch bei 2016 auf aktueller Hardware? Sind die neuesten Dell Server. 

 

Netzwerk. Puh ich denke ja. Die esx sind direkt mit zwei mal 10 gig angebunden. 

Hallo,

 

wir betreiben zwei exchange 2016 im dag Cluster. Je dB ca 300gb Daten. 

 

Die clients melden sporadisch dass ihr Outlook hängt. Gerade beim Wechsel in die Kalender Ansicht. Oder einfach mal so. 

 

Die Server sind Virtualisierungssoftware. Das Storage kann es eigentlich nicht sein. Auch ansonsten sieht der Server nicht zu ausgelastet aus. Ich habe keine Ahnung wo ich noch ansetzen soll. 

 

Es gibt ja das Performance logging. Aber da sind ja Millionen werte erfasst. 

 

Kennt ihr einen Artikel wie man mit den Daten umgeht und bottlenecks findet ?

Hallo,

 

wir möchten gerne verschiedene Dinge per Powershell bei uns im Netzwerk automatisieren. Die Scripte würden idr. mit Powershell erstellt werden. Nun möchten wir diese irgendwo zentral ablegen und starten.

Am besten im Kontext eines Service Users. Die Frage ist, wie regelt ihr so etwas?

 

Ich stell mir irgendeine Art Webserver vor, wo ich auch bei Bedarf Parameter mit geben kann und dieser startet dann die Powershell Scripte. 

 

Gibt es etwas fertiges ? Habt ihr etwas?

vor 11 Stunden schrieb DocData:

Der Cluster ist dein Root Pool. Wenn darunter ein RP und 10 VM liegen, dann erhält der RP im Engpass (Shares Normal) 50% der Ressourcen, die 10 VM bekommen jeweils 5%. Dir leuchtet damit sicherlich ein, warum das totaler Murks ist. RP werden in den meisten Fällen falsch eingesetzt, weil sie nicht verstanden wurden. Schon gar nicht sind sie ein Instrument zur Ordnung.

Sowas hatte ich im Hinterkopf. Kommt aber nur bei Engpässen zu tragen, oder beeinflusst es direkt den cpu scheduler? Gerade im Bezug auf Cup ready Zeiten?

 

habt ihr den vsphere kB Artikel dazu? Ich hatte noch nix passendes gefunden gehabt. 

Danke testperson: kannst du bitte erklären warum keine vom außerhalb liegen sollte. 

Hallo zusammen,

 

beim Verwenden von Ressource Pools sollte ja das ein oder andere beachtet werden, da die vorhandenen Ressourcen aufgeteilt werden. Daher hab ich ein paar Fragen:

1) Gilt das Aufteilen der Ressourcen erst in Engpässen, oder immer ? Beispiel CPU Shares?

2) Ich habe einen Cluster aus 6 ESXi Hosts. Idr. platziere ich die VM's einfach auf den Cluster und gut. Unser DL hat für die Deep Security Appliances einen Ressource Pool angelegt (Zur besseren Übersicht)Beeinträchtigt der Ressource Pool die restlichen VM's ? Bzw. anders gesagt, wenn ich 100 VM's und einen Ressourcen Pool mit 6 VM's habe, dürften doch die 6 VMs (also Insgesamt 106 VM's)  eigentlich nur soviel CPU Shares erhalten, wie eine VM. Da die vorhandenen 100 ja gleichwertige Anteile am Cluster haben, wie eben der Ressource Pool.

3) Würde ich jetzt einen zweiten Ressource Pool anlegen und die 100VMS da rein legen, dann hätten die 6 VMs aus dem ersten Pool, die gleichen Anteile zur Verfügung wie die restlichen 100, oder? Also 50/50 Aufteilung.

 

 

vor 2 Stunden schrieb NorbertFe:

Anhand des Verwendungszwecks der ausgestellten Zertifikate? ;)

Der ist ja nur Client authentication oder Server auth.

Und sowohl vpn als auch für E-Mail brauch ich Client auth

 

@Nils: Vielen Dank. Hab ich mir schon gedacht.

 

Wie unterscheide ich denn zwischen Benutzerzertifikaten für VPN Einwahl und zum Beispiel Zertifikaten für E-mail Verschlüsselung oder Signierung ?

Über unterschiedliche Issuing CA's ? Weil Verwendungszweck Clientauth ist es ja in beiden fällen.

Hallo,

 

wir stellen für Benutzer Zertifikate zur Authentifizierung am VPN Gateway aus. Nun ist es so, wenn ein Benutzer sich an drei Geräten anmeldet, wird drei mal automatisch für den Benutzer ein Zertifikat ausgerollt und lokal auf dem Rechner gespeichert.

Als CA wird ein Win 2016 als 2 Tier genutzt. 

Gibt es eine Möglichkeit, dass beim ersten Ausstellen eines Benutzerzertifikates dieses samt priv Key in der CA DB gespeichert wird und beim Anfordern von einem anderen Rechner das gleiche Zertifikat ausgerollt wird?

 

Oder wie handhaben das andere Unternehmen ?

vor 1 Minute schrieb NilsK:

Moin,

 

natürlich finden Meta-Operationen statt. Der Server muss ja schließlich die Zugriffsrechte prüfen usw. Das ist  hier aber nicht das Thema, das wäre bei einer Nutzung des CSV-Volumes als normaler Dateiserver relevant.

 

Also, mir wäre so eine Bastelei zu heikel, wenn sie nicht supported ist. Da CSV für so einen Einsatz nicht entworfen wurde, kann dir keiner sagen, was beim Dauerbetrieb passiert.

 

Gruß, Nils

 

Danke. Eine Frage Nebenbei, Scale Out Fileservices sind ja auch nicht für Dateiserver freigegeben, oder ?

vor 2 Stunden schrieb NilsK:

Moin,

 

für normale Dateiserver ist CSV ausdrücklich nicht gedacht, ebenso ist ein SoFS nicht als allgemeiner Dateiserver supported. Der Ansatz von CSV bedingt, dass nur wenige Metadaten-Operationen stattfinden dürfen, und das verträgt sich nicht mit  einem normalen Dateiserver, auf dem schnell mal tausende von Dateien offen sind.

 

Supported wäre CSV für deine Applikation auch nicht. Ob es technisch überhaupt funktioniert, müsste man versuchen. Wenn die Applikation aber eine Bedeutung für das Unternehmen hat, dann würde ich nicht experimentieren. Was sagt denn der Hersteller zum Thema Verfügbarkeit?

 

Gruß, Nils

 

Der Hersteller sagt gar nix dazu. In der Regel wird jedem Server eine Kopie der VHDX abgelegt. Was natürlich Speicherplatz frisst. 

Metaoperationen finden nicht statt, da es nur lesezugriffe sind. 

Außer es gibt ein Update. Dann erstellt einer der Server eine neue VHDX Datei. Danach wieder reiner lesezugriff. 

Hallo,

 

ich habe eine Anwendung, welche eine VHDX nutzt. Idr. Nur lesend. Die VHDX wird nicht gemeinten, sondern direkt raus gelesen. Die Anwendung soll auf zwei Servern laufen. Nun möchte ich die VHDX ungern zwischen den Servern replizieren. Die Windows 2016 Server die die Anwendung zur Verfügung stellt sind virtuell unter vSphere 6.5. 

 

Cluster NTFS ist ja eigentlich für hyper v gedacht, aber wie sieht es für diesen Einsatz aus? Supported ist es soweit ich weiß nicht. 

Funktioniert es? Hat jemand damit Erfahrung?

 

könnte ich CSV eigentlich auch für Fileserver nutzen?

vor 14 Stunden schrieb NilsK:

Moin,

 

es ist nicht so, dass mir die Risiken nicht bekannt wären. Seit Jahren bin ich aber eher dafür, die Fachabteilungen ernst zu nehmen und sie nicht als verantwortungslose Wirrköpfe anzusehen, wie es in vielen IT-Abteilungen leider gepflegt wird. Es gibt dort offensichtlich Bedarf. Ich bin überzeugt, dass eine IT-Abteilung besser daran tut, sich als Ermöglicher für Innovationen zu betrachten (also z.B. aktiv auf Fachabteilungen zuzugehen und dort positiv zu beraten statt sich zu beschweren, dass unvollständige oder keine Bedarfsmeldungen kämen) und nicht als Verhinderer von Entwicklungen.

 

Und genau deshalb finde ich die Eingangsfrage dieses Threads viel zu kurz gegriffen. Mag sein, dass man eine "Lösung" braucht, aber dann sollte man sich erst mal über das Problem klar werden.

 

Gruß, Nils

 

Ich geb dir vollkommen Recht. Die IT sollte der Unterstützer und Treiber der Innovationen aus den Fachabteilungen sein. 

 

Leider ist dies schwierig umzusetzen, wenn in den Köpfen der Leute drin steckt, lieber selbst machen als mit der IT. 

 

Ja es bedarf Aufklärung in den Fachabteilungen, geht aber nicht von heute auf morgen. Daher die Frage, wie ihr mit dem Thema umgeht. 

Whitelisten ist sicherlich ein Ansatz, aber eben auch mit viel Aufwand.