xrated2

Passt jetzt nicht 100% rein aber ich habe u.a. einen einzelnen Windows Agent ohne Veeam Server laufen der schon seit längerer Zeit zu einem entfernten Standort auf ein NAS via SMB sichert. Dort ist keinerlei Full aktiviert weil das die Leitung nicht hergibt. Jetzt hab ich eigentlich damit gerechnet das auf dem NAS das vbk von der ersten vollen Sicherung liegt und nur die älteren vib Files gelöscht würden, aber das vbk ist gestern geändert worden und trägt im Namen das Datum 5.3 was ungefähr zu der 14 tägigen Retention passt. Was läuft denn da genau alles ab bei dem vbk File? Wird da dann nur rausgelöscht was nicht mehr benötigt wird? @DFSr mit den typischen Office Files kann das nur Chaos geben, deswegen gibt es auch Addons wie Peerlock https://blogs.technet.microsoft.com/askds/2009/02/20/understanding-the-lack-of-distributed-file-locking-in-dfsr/

Wie oben geschrieben weil die Kette an VIB Files je nach Vorhaltezeit womöglich extrem lang wird und womöglich Probleme durch diese Abhängigkeiten entstehen z.B. wenn ein File defekt ist. Auch Restore dürfte ziemlich lahm sein.

Ja ich denke mir auch das Forever Incremental auf längere Zeit ein Nogo ist. Replication soll wohl damit beschleunigt werden https://helpcenter.veeam.com/docs/backup/hyperv/changed_block_tracking.html?ver=95u4

Also ist das dann zu empfehlen mit ReFS wenn man sich darauf verlässt das das FS die Blöcke wie ZFS korrigiert? DFSR auf beiden Seiten aktiv zu nutzen halte ich für eine schlechte Idee da keine Filelocks implementiert sind. Wie Full Synthetic oberflächlich funktioniert steht ja auf deren Seite, dass es Platz spart und sehr belastend für die Zielstorage ist aber nicht wie sich das denn aufs Netzwerk auswirkt oder was da bei einem Replicationjob überhaupt aus dem vorhandenen Backup jeweils zum Zielserver übers Netz übertragen wird.

Sehr kompliziert sieht die Bedienung von B&R Community nicht aus. Ein simples Backup von VMs scheint ja nichts besonderes zu sein, auch wenn ich grade mangels Hyper-V in der Testumgebung nicht sehe ob da bei VM auch inkrementell geht. 1. Frage ich mich ob Inkrementell + Synth. Full mit ReFS Sinn macht bei einem lokalen, relativ langsamen RAID1. Die Geschwindigkeit wird mit ReFS drastisch erhöht aber hier: https://www.veeam.com/blog/de/inkrementelles-oder-vollstandiges-backup-wahl-des-richtigen-backup-modus.html Kehrseite: bei aller Euphorie über den potenziell geringeren Platzverbrauch darf man natürlich nicht vergessen, dass defekte Blöcke auf den Festplatten jetzt potenziell mehrere Full-Backups beschädigen können. 2. Es sind ja Replication Jobs enthalten, laut der Beschreibung vermute ich mal das sich damit bestehende Backups auf einen anderen Hyper-V schieben lassen. Die schreiben zwar das da Dedup enthalten ist aber macht das über WAN Sinn bei einem normalen Fileserver wo sich wenig ändert? Wieviel wird denn da über die Leitung geschoben bei einem synth. oder normalen Full der z.b. 1x pro Woche gemacht wird? Der WAN Accelerator soll das bis zu 50x beschleunigen aber den gibts natürlich nicht free. Ist das wirklich ein Ersatz für DFSR? https://helpcenter.veeam.com/docs/backup/hyperv/about_replication.html?ver=95u4 Veeam Backup & Replication lets you perform onsite replication for high availability (HA) scenarios and remote (offsite) replication for disaster recovery (DR) scenarios. To facilitate replication over the WAN or slow connections, Veeam Backup & Replication optimizes traffic transmission. It filters out unnecessary data blocks such as duplicate data blocks, zero data blocks, blocks of swap files and blocks of excluded VM guest OS files, and compresses replica traffic. Veeam Backup & Replication also allows you to use WAN accelerators and apply network throttling rules to prevent replication jobs from consuming the entire network bandwidth. Hört sich eher nicht so als ob das mit normalen DSL Leitungen mit Active Full viel spart aber vielleicht bei Synth. Full ? Oder lässt sich das gar mit einen zweiten B&R Server koppeln am entfernten Standort? 3. wenn man forever incremental laufen lässt, besteht doch irgendwann die Gefahr das ein Fehler in irgendeiner VIB ist und der Restore womöglich gar nicht mehr funktioniert?

Ja Win10, vielleicht haben die mal wieder was umgestellt (was die seit 1-2 Jahren ja ständig tun*), wenn man so ein optionales Paket installiert sieht das auch so aus wie unter Win7 von der Optik bei den Updates. Die Fehlermeldung hat aber mit WPP nichts zu tun, dass ist bei den Gruppenrichtlinien. * So langsam drehe ich durch mit MS

Rein mit GPO gibts dieses Feature ja auch beim verteilen, nur hab ich da nie ein MSI reinbekommen wegen einer Fehlermeldung. Angezeigt wurden die WPP Pakete jedenfalls unter Programme wie erwünscht solange bis man auf Updates suchen gegangen ist.

Es gibt ja bei Approve auch eine optionale Installation. Wenn ich dann am Client auf Update suchen gehe, dann wird es aber ungefragt installiert. Wo liegt denn da der Sinn?

Ah ich wusste gar nicht das es da 2 Free Versionen gibt, vor 1 Monat gabs da nur eine. Die Community hat ja wirklich beeindruckende Features für kostenlos. Edit: auf der deutschen Seite taucht die gar nicht auf, kein Wunder das ich die nicht gefunden habe wo die Seite eh schon so unübersichtlich ist (aber Hauptsache riesen Bilder und Texte)

https://www.veeam.com/blog/de/veeam-backup-free-edition-now-with-powershell.html Die kostenlose kann aber nur Fullbackup

Für dieses Event (mass copy) gibts leider kein separates Ereignis

Das Problem warum es mal ging und mal nicht, liegt wohl am Netzwerk bzw. höchstwahrscheinlich Wifi Und Reg32 funktioniert auch nicht unter 64Bit OS, ich dachte das hat was mit dem RegTyp zu tun aber da ist wohl das komplette Windows gemeint mit 32 Bit.

Falsche Subnetmaske?

Ja von den Gruppen passt alles, das Paket wird installiert sobald ich die Rules rausnehme (allerdings nicht immer!). Auch eine ganz simple Registry Abfrage geht nicht, den Key habe ich mit einer Policy gesetzt die über Gruppenmitgliedschaft zum PC verbunden ist. Sobald ich irgendwas aus dem Dateisystem oder der Registry abfrage funktioniert nichts. Der enthaltene Remote MSI Manager kann sich nicht mit dem PC verbinden (als Domänen Admin angemeldet). Bei Update Event History taucht Unable to Find Resource auf, allerdings wesentlich geringer oft als ich probiert habe. Das könnte auch was anderes sein. Bei Show Pending Updates sind Firewall Rules auf dem Client notwendig. Die habe ich mal so wie hier gesetzt: https://help.symantec.com/cs/CCS11.5.2/USER_GUIDE/v97300448_v125263363/Creating-firewall-rules-to-enable-remote-querying-of-Windows-Updates?locale=EN_US Aber dann auch wieder entfernt weil der Client Probleme hatte den Server zu erreichen.

Siehst du denn einen Syntax- oder Logikfehler in den Rules? Muss man eigentlich eine Zeit warten wenn man was in dem Paket ändert? WPP ist so eingestellt das die Pakete nicht in der WSUS Console erscheinen, falls das irgendwas ausmacht. Am Client drücke ich nur auf Updates suchen.

Finde ich einfach übersichtlicher und einfacher bei den Rules

Also ich weiß nicht warum WPP so rumbockt, es geht kein einziges Paket bei mir. Nur die ohne oder Default Rules. Und mir kommt vor das sich die Pakete gegenseitig blockieren. Wenn ich von 3 Paketen wie unten, eins ohne Rules mache dann funktioniert das auch nicht. Was ist denn da falsch? Update Rule: <lar:Or> <lar:Not><bar:FileExists Path="NetPhone Client\NetPhone Client.exe" Csidl="42"/></lar:Not> <bar:FileVersion Path="NetPhone Client\NetPhone Client.exe" Comparison="LessThan" Version="9.40.0.127" Csidl="42"/> </lar:Or> Package Rule: <lar:And> <bar:Processor Architecture="9"/> <bar:RegDword Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Netphone" Value="wppinstall" Comparison="EqualTo" Data="1" RegType32="true"/> <msiar:MsiApplicationInstallable/> </lar:And>

Leider nicht, hab aktuell diese Rule. Die GUI ist echt schwierig zu bedienen bei verschachtelten Rules. <lar:And> <bar:Processor Architecture="9"/> <lar:Or> <lar:Not> <bar:FileExists Path="NetPhone Client\NetPhone Client.exe" Csidl="42"/> </lar:Not><bar:FileVersion Path="NetPhone Client\NetPhone Client.exe" Comparison="LessThan" Version="9.40.0.127" Csidl="42"/></lar:Or> </lar:And>

Weil im Update Catalog nur ein Acrobat Update ist habe ich mal eine Vollversion geschnürt mit dem selben Ergebnis: not applicable. Dann habe ich nacheinander die Rules deaktiviert und es liegt tatsächlich daran bei isinstallable rules: <bar:FileVersion Path="Adobe\Acrobat Reader DC\Reader\AcroRd32.exe" Comparison="LessThan" Version="19.10.20098.54430" Csidl="42"/> Dann funktioniert FileVersion also gar nicht d.h. auch keine 0 wenn die Datei nicht existiert? Schau ich mir also doch noch mal das "oder" in der Rule an

Ja mit Leerzeichen aber der Pfad existiert noch gar nicht weil der Client noch nicht installiert ist. Siehe auch: https://www.wsus.de/de/WSUS-Package-Publisher/Chrome-per-WPP-als-Update-bereitstellen Wenn kein Chrome installiert ist, ist die Version auch kleiner als die zu verteilende Version. Das Update würde also an alle verteilt werden. Das Csidl 42 steht für ProgramFiles86

Das Update habe ich approved aber es erscheint not applicable. Ich vermute das es an den Rules liegt, gibt es da ein Log wo man mehr sieht? Im Log des Wua steht, er hätte 0 Updates gefunden. Es ist ein MSI Paket, der abgefragte RegKey existiert auch definitiv. Das Paket ist auf dem PC nicht installiert und es ist ein 64Bit OS.

Das Problem ist u.a. das die Belegschaft extrem wechselhaft ist, mal sind alle im Büro, mal arbeiten fast alle über VPN. Die Leitung hat nur 12/1MBit/s. Es ist OpenVPN im Einsatz und da erfolgt die Einwahl erst nach dem anmelden, also werden alle Policies im Background verarbeitet so das eine Softwareverteilung über VPN nicht funktioniert. Oder betrifft das nur die Verteilung über GPO, nicht die über WSUS WPP ? Dann lag ich oben total daneben. Ich will nur vermeiden das die VPN Leitung durch Softwareinstallationen geplättet wird und das aber auch jeder trotzdem die Installationen im Büro kommt. Die MS Updates sind zwar WSUS gesteuert aber die holen sich die Clients gemeinsam übers Internet (also nicht vom WSUS Server) weil sich die WSUS Clients nicht nach Ort steuern lassen und sonst auch wieder das Internet zu stark ausbremsen würden wenn sehr viele über VPN von zu Hause arbeiten. Lässt sich das in dem Fall überhaupt nicht steuern? Ich bräuchte sowas wie das bei Slowlink nichts vom WSUS Server sondern von MS direkt bezogen wird. Aber der Client holt sich die Updates ja selbst, da bleibt dann nur das Interval möglichst groß zu lassen.

Hallo Ich suche eine Lösung mit der man das kopieren einer gewissen Anzahl von Dateien (mass copy) überwachen und unterbinden kann. Nun gibts da ja einige Produkte die da eine eMail versenden bei einem Alarm aber das wars dann auch schon. Man könnte ja dann noch via Script das Konto sperren und den PC runterfahren wenn das Program das als Parameter übergibt. Ausserdem wäre es schön wenn das recht zügig von statten geht d.h. Realtime. Optional auch am besten agentless. Und mit den Preisen ist das auch so eine Sache, mehr als 1k€ sind nicht drin. Sind nur ~20 User. Habe mir bis jetzt nur Netwrix und IS Decisions von den Features angesehen, vielleicht kennt noch jemand was in Frage kommt. In der Demo von Netwrix sah das auch nicht wirklich nach Realtime aus und die entsprechenden Parameter können nicht übermittelt werden. McAfee DLP ist vermutlich zu teuer und kompliziert. Gruß Thomas

Moin Problem gibt es noch gar keins aber ich möchte die vermeiden durch entsprechende Planung und Durchführung

Also ich habe jetzt viel nachgelesen u.a. https://blogs.technet.microsoft.com/grouppolicy/2013/05/23/group-policy-and-logon-impact/ https://blogs.technet.microsoft.com/musings_of_a_technical_tam/2012/02/27/gpos-and-slow-link-detection/ Und ich glaube in dem Fall kann ich auf die ganzen Einstellungen wohl verzichten da wegen dem VPN gar keine synchrone Anmeldung möglich ist. A particular CSE requires synchronous foreground processing. There are four CSEs provided by Microsoft that currently require synchronous foreground processing: Software Installation, Folder Redirection, Microsoft Disk Quota and GP Preferences Drive Mapping. If any of these are enabled within one or more GPOs, they will trigger the next foreground processing cycle to run synchronously when they are changed. Daraus verstehe ich das die spätestens bei der 2. Anmeldung synchron abgearbeitet werden. Aber das geht dank VPN wohl eh nicht weil der DC nie vor der Anmeldung erreichbar ist und die über Background processing nicht funktionieren d.h. da braucht man ja nicht mal slowlink einstellen um Software installation zu verhindern, welches mittlerweile mit NLA statt nur ping funktioniert.