Samoth

Hi zusammen,

ich schick mal noch ein Sammel-Danke in die Runde! Ich wusste ja schon wohin mich die Frage führt, aber tatsächlich - keine Ironie - fand ich das aufschlussreich. Heute wurde beim Mittagessen auch schon mehr oder minder verkündet, dass BYOD wohl abgelöst wird, was letztlich auch klar war.

In diesem Sinn wünsch ich euch was und bis zur nächsten Diskussion

Grüße

Samoth

Hallo zusammen,

evtl. gehört das Thema auch nach "Sicherheit". Sorry, dann bitte verschieben.

Ich kann mir die Antworten bzw. deren Richtung schon vorstellen, aber ich frage trotzdem mal: Derzeit kann ich von außen auf meine Firmen-VDI zugreifen indem ich auf meinem privaten PC oder Macbook per VPN-Client eine Verbindung in die Firma herstelle und dann per MSTSC weiter auf die VDI springe. Das ist für mich sehr komfortabel, weil ich natürlich kein Firmen-Gerät mit herumschleppen muss und weil ich zu Hause schön über ein und denselben Rechner arbeiten kann. Zudem brauche ich keine zusätzliche Hardware (KVM-Switch, Docking-Station, what so ever,...).

Ich will es noch mal herausstellen: Innerhalb der VDI kann ich dann meinen Tätigkeiten nachgehen. Auf dem jeweiligen Endgerät mit dem die VPN-Verbindung hergestellt wird, also außerhalb der VDI, benötige ich keine firmenrelevanten Zugriffe.

So, nun wird darüber nachgedacht den Zugriff zu beschränken und diesen nur noch über Firmengeräte zuzulassen. Die Gründe dafür sind eigentlich ziemlich klar, brauchen wir nicht groß besprechen und ich gruppiere sie mal unter "Sicherheit" ein.

Mir gehts jetzt nur mal darum, eure Ansicht zu dem Thema einzuholen - wie seht ihr das? Mir ist völlig klar, dass das Abschaffen des Zugriffs über eigene Geräte ein reines Luxusproblem ist und dass ich beim Arbeitgeber nicht auf dem Ponyhof bin, der alle Wünsche erfüllt. Aber unsere IT-Jungs sind sehr zugänglich und man kann mit ihnen über viele Themen sprechen. Ich frage mich nun auch, was man machen könnte, damit ich (wir!) weiterhin den Komfort über eigene Geräte genießen können...?

Danke vorab und viele Grüße!

Samoth

Info an alle: Bitte nicht wundern, wenn ich nicht sofort antworte Ich prüfe das alles mal! Danke euch auf jeden Fall und schon mal ein schönes Wochenende.

vor einer Stunde schrieb teletubbieland:

Oder habe ich Dich nicht richtig verstanden?

Glaube nicht, vll. kommt das schriftlich auch nicht so toll rüber. Die Aktivierung des ersten Punktes blendet dann auf der gegenüberliegenden alle anderen Fenster ein und ich kann auswählen, welches daneben positioniert werden soll.

vor einer Stunde schrieb BOfH_666:

Macht es einen Unterschied, wenn das bereits angedockte Fenster vorher aktiv war?

Probiere ich mal aus - danke dir. Wäre aber auch unhandlich, weil ich dann das bereits angedockte erst inaktiv setzen müsste. In Win10 läuft das echt total gut: Links/Rechts ranziehen und schon ist es auf der Hälfte des Bildschirms.

vor 26 Minuten schrieb NilsK:

Schau dir mal die PowerToys an, da gibt es ein Tool namens "Fancy Zones", mit dem du sehr genaue Zuweisungen vornehmen kannst.

Ich prüfe das mal. Aber solche Zonen bietet Windows 11 doch auch am oberen Rand an, oder? Du kannst dann das Fenster (indem du es auf die passende Zone ziehst) dort positionieren.

Bitte nicht falsch verstehen - ich will euch eure Vorschläge nicht madig machen. Aber bei Win10 (auch Win7/8) war das easy peasy und jetzt... naja... nicht mehr so praktisch.

Hallo zusammen,

seit einigen Wochen nutze ich privat einen neuen PC inkl. Windows 11. Ihr kennt ja sicher das Feature, dass ich ein Fenster in der an den linken/rechten Monitorrand ziehen kann, wodurch Windows das Fenster entsprechend positioniert. Bei Windows 10 war es so, dass das jeweilige Fenster immer auf die Hälfte meines Bildschirms angepasst wurde - wunderbar.

In Windows 11 bekomme ich genau dieses Verhalten mit dem gleichen Ablauf nicht mehr hin. Es funktioniert, wenn auf der anderen Hälfte noch kein Fenster angedockt ist. Wenn allerdings dieses Fenster angedockt ist und bspw. nur ein Viertel der Bildschirmbreite nutzt, wird mein aktuelles Fenster genau auf den Rest des Bildschirms gesized, also 3/4 des Bildschirms.

Die Einstellungen unter "System --> Multitasking --> Fenster andocken" kenne ich und war damit bisher erfolglos.

War das nachvollziehbar? Hat jemand eine Idee, wie ich das wieder anpassen kann?

Grüße + Danke

Samoth

vor 22 Minuten schrieb Nobbyaushb:

PS: wieder mieses Wetter…

:-D

vor einer Stunde schrieb NorbertFe:

Dass es eine ziemlich eklige Sicherheitslücke in 7.29 gibt (unabhängig ob du nu auf Wireguard umstellen willst oder nicht) ist dir egal?

OK, OK... das... hatte ich bei meinem Gedankegang tatsächlich ausgeblendet. Wurde ja hier im Thread schon erwähnt. Danke euch! Ich kümmere mich.

Moin zusammen!

vor 2 Stunden schrieb MurdocX:

Ich kenne das auch. Der ShrewVPN muss in diesem Fall de- und wieder installiert werden.

Haha, das will jetzt vll. keiner hören, aber das würde ich dann mal... ausprobieren

Ich sags aber noch mal: Bin wg. Wiregurad auf eurer Seite. Ich wills nur nicht jetzt hopplahopp dazwischenquetschen und evtl. hole ich mir noch andere Probleme mit dem FB-Udpate rein. Ich muss das alles Remote machen und im dümmsten Fall fahre ich dann einige km, um vor Ort zu sein.

Bei uns die FB hat seit Kurzem die neue FW. Ich denke dort spiele ich das mit dem Wireguard mal durch. Denn, wie gesagt, die Einrichtung lt. Anleitung scheint echt überschaubar zu sein.

Na da hätte ich gleich mal glotzen können, scheint tatsächlich easy zu sein: https://avm.de/service/vpn/wireguard-vpn-zur-fritzbox-am-computer-einrichten/

Ich wills mal noch nicht versprechen, aber ich plane mal die Aktualisierung mit ein.

Ich verstehe schon euren Ansatz von wegen neu machen und damit auch gleich etwas ohne großen Aufwand verbessern. Aber habt ihr eine Idee wo da auf einmal das Problem sein könnte? Evtl. ein Windows Update?

@NorbertFe Von welchen Einschränkungen sprichst du?

vor 6 Minuten schrieb teletubbieland:

Moin,

 

spricht was dagegen die Fritzbox zu aktualisieren und Wireguard zu verwenden?

Najaaaaaaa... Aufwand halt %-) Ich komme nur gerade nicht dazu und das Konstrukt läuft ja bisher gut. Aber ich bin schon bei dir! Ich wollte tatsächlich mal an AVM schreiben (oder vll. weiß das jemand hier), welche Nacharbeiten noch zu erledigen sind, nachdem die FB aktualisiert wurde.

Ich wollte damals bspw. auch nicht den FritzVPN-Client nutzen und war froh mit Shrewsoft eine schnelle und stressfreie Alternative gefunden zu haben. Ich weiß bei Wireguard auch noch nicht, ob ich bei WG wieder auf eine Fritz-Softare zurückgreifen muss oder ob es gute Alternativen gibt, etc.

Gerne mehr Infos in die Richtung

Hallo zusammen,

wahrscheinlich werde ich gleich geschimpft, weil ich mal wieder veraltete Software verwende, aber ich versuche es trotzdem Ich habe bei einem Bekannten vor längerer Zeit mal über das Fritzbox 7490 (Firmware v7.29) VPN und per fester IP einen Zugriff auf seinen Terminal Server eingerichtet. Ich nutze den Shrewsoft Client, um damit die Verbindung ins VPN aufzubauen. Danach einfach noch per mstsc die IP des Terminal Servers eingeben und schon klappt das - bis letzten Montag oder so.

Seit dem läuft es so, dass die Verbindung mit dem Client augenscheinlich aufgebaut wird, es wird connected angezeigt. Ich sehe auch per ipconfig, dass der PC zu Hause eine IP aus dem anderen Netzwerk bekommt und die kann ich auch pingen. Ich kann allerdings keine anderen Geräte auf der gegenüberliegenden Seite pingen. Der Zugriff auf den Terminal Server läuft ins Leere.

Interessanterweise kann er sich jedoch mit seinem iPad aus dem gleichen Netzwerk heraus per VPN verbinden *und* auch auf den Terminal Server zugreifen. Ein weiterer User, der die exakt selbe Zugriffsart benutzt (nur mit einem anderen Benutzernamen) hat auch keinerlei Probleme.

Der User meinte noch, dass am Montag auf seinem Home-PC "irgendwelche Updates eingespielt wurden", aber er kann mir leider nicht sagen, um welche es sich handelte. Ich habe nur gesehen, dass am 23.10. Windows Updates installiert wurden. Keine Idee, ob es da einen Zusammenhang gibt...?

Habt ihr noch eine Idee, was ich machen könnte, um den Zugriff wieder hinzubekommen?

Grüße und Danke schon mal

Habe auch versucht verschiedene SSUs manuell einzuspielen, aber da kam immer "Nicht für diese Version geeignet." Komsiche Sache bzw. für mich nicht erklärbar.

Hi zusammen,

Am 25.9.2023 um 09:29 schrieb zahni:

Die Frage ist: Welche Visual C Runtime hat SAP installiert? Das sollte man in den Installationsquellen herausfinden. Oft installieren Applikationen nicht das neuste Build einer Visual C Runtime.

Habe ich auch geprüft. SAP liefert mit den Kernel-Dateien im gleichen Verzeichnis auch immer die passende vcredist.exe mit aus. Die habe ich für den alten und neuen Kernel jeweils repariert, de- und installiert mit dem gleichen Problem. Scheinbar wurde die dll davon nicht angefasst.

Bisschen mehr zum Thema und dem Nachspiel: Soweit ich sagen kann, ist mit dem SAP alles OK, das lief auch alles wie erwartet. Wir haben dann auch noch einen Termin zur Nachbesprechung angesetzt und der lief... anders als erwartet. Ich habe geschildert, dass es letztlich die fehlenden Windows Updates waren, die uns die Suppe eingebrockt haben. Jetzt muss ich aufpassen, wie ich es schreibe, evtl. liest der Kunde das ja mal Da es sich bei den SAP-Systemen um Systeme handelt, die wir administrieren, installieren wir beim Kunden regelmäßig die Windows Updates inkl. Restart der VM, usw. Eigentlich unspektakulär. Konkret drücken wir in der Windows Update Funktion auf Suchen, dann Installieren und dann Restart. Das ganze machen wir so lange bis keine weiteren Updates mehr angezeigt werden. Mehr machen wir nicht, also keine weiteren Prüfungen.

Uns viel vor Längerem schon auf, dass das Problemsystem bei dieser Suche keine bis sehr wenig Updates fand. Das haben wir so berichtet. Nun wurden wir im Gespräch komplett dafür verantwortlich gemacht, dass diese Aktion so gelaufen ist. Wir hätten damals "Patch-Management verkauft" und da gehört doch "natürlich auch dazu, dass man sich nach den Updates mal die Versionen anschaut." Ich warf dann ein, dass es mal hieß, die Server werden von Kaspersky mit Windows Updates versorgt. Darauf kam dann, dass das noch nie der Fall gewesen sei. Eine von mir zitierte Mail aus 2021 in der stand, dass die VMs ab da aus der Kaspersky-Richtlinie entfernt wurden, fand keine Beachtung. Viel mehr ist es ja dramatisch, dass seit 2016 (auf dem Release war der Server ja irgendwie) ein so riesen Sicherheitsloch bestand, von dem niemand etwas merkte. Interessanterweise fand ich noch eine Mail von meinem Kollegen, die einen Screenshot beinhaltet, auf dem zu sehen ist, dass 2020 vom System gemeldet wurde "Ihr System ist auf dem neuesten Stand." So richtig ergibt das alles für mich keinen Sinn. Ich empfand das Gespräch sehr unsportlich. Aber es wurde noch erwähnt, dass es vll. gut war diesen Schuß vor den Bug bekommen zu haben. So sehen wir nun, dass es hier Verbesserungspotential gibt

Ja, für morgen ist schon eine Nachbesprechung terminiert. Da gibt es noch einiges zu tun

Wow - der Kollege hat es hinbekommen Er konnte letztlich über div. Reparaturen das Inplace-Upgrade durchführen. Es lag tatsächlich an der veralteten Windows-Version! Ich mache nun heute das Update fertig, dann wirds sicher noch ein Gespräch mit dem Kunden geben.

Danke an euch!

Moin zusammen,

ein Dankeschön in die Runde! Ich habe heute morgen mit dem Kunden telefoniert und der wollte dann auch irgendwann wissen, wie es um eine Neuinstallation steht. Ja, das geht schon, aber derzeit befindet sich das SAP-System mitten im Update und wenn ich den Snapshot zurücksetze direkt vor der Downtime. Mann müsste bei der "Neue-VM-Lösung" dann mit dem SAP-Update neu beginnen. Aber diese Lösung rückt tatsächlich immer näher :-(

vor 1 Stunde schrieb teletubbieland:

Wenn eine VM ist, könntest Du einen Snapshot machen und es mit einer inplace Installation versuchen.

Ist oftmals mein letzter Rettungsversuch.

Ich gehe mal davon aus, dass Du es schon mit sfc  /scannow probiert hast?

Ja, sfc habe ich direkt am Anfang laufen lassen - es wurden keine Integritätsverletzungen gefunden. Die Reparatur des Windows/Updates hat gestern einer meiner Kollegen aus der Infra versucht - erfolglos. Ich habe den Kunden dann noch gebeten alle 2016 ISOs bereitzustellen, die er hat. Leider kam dabei auch nichts rum. Entweder wollte das Inplace keine Daten übernehmen oder es war einfach nicht die passende ISO.

vor 46 Minuten schrieb testperson:

Ist da evtl. ein Virenschutz, der hinter der Aktion den "malicious user" vermutet?

Auf dem Server lief ursprünglich Kaspersky und unter "Berichte" gab es tatsächlich eine endlos lange Liste mit div. Objekten auf die der Zugriff blockiert wurde. Den Kaspersky hat die Kunden-IT dann aber vom Server geputzt, doch der Fehler bleibt uns. Auf der VM selbst sind mWn keine weiteren Schutz-Tools. Habt ihr noch eine Idee was die Meldung "malicious user" verursachen könnte?

Nachträglic noch ein Extra-Dankeschön für den Tip mit dem Fehlercode Hatte ich noch nicht auf dem Schirm.

vor 16 Minuten schrieb Sunny61:

EDIT: Gibt es dort einen WSUS? Falls ja, kann der Server dort nicht die aktuellsten Updates holen?

Glaube nicht, dafür wird ja der Kaspersky genutzt. Ich habe mir gestern mal den Offline Installer von Heise geladen und damit Updates geladen und eingespielt. Aber das brachte letztlich für die Build auch nichts.

Ich weiß nicht, warum das mit den manuellen Updates nicht geht. Kann mir das einer erklären? Wieso kann ich für die Version anscheinend kein Update finden, mit dem ich manuell auf einen höheren Build-Stand komme?

Viele sonntagliche Grüße an euch!

Samoth

vor 45 Minuten schrieb chrismue:

ich würde einmal die Update Einstellungen in der Registry löschen. 

Danke dir! Leider keine Veränderung.

Hallo zusammen,

bitte dabei bleiben - es ist letztlich eine Windows-Frage! Habe wg. der Masse an Text mal die wichtigen Passagen fett markiert.

Ich habe gestern bei einem Kunden ein SAP-Update des produktiven Systems durchführen wollen und während des Prozesses wird das ganz einfache SAP-Tool "sapcpe.exe" aufgerufen. Leider kommt es dabei zu einem Absturz des Tools mit entsprechendem Eintrag ins Eventlog:

Name der fehlerhaften Anwendung: sapcpe.exe, Version: 7540.200.33.39521, Zeitstempel: 0x6491d4e9
Name des fehlerhaften Moduls: ucrtbase.dll, Version: 10.0.14393.0, Zeitstempel: 0x578997b5
Ausnahmecode: 0xc0000409
Fehleroffset: 0x000000000006d5b8
ID des fehlerhaften Prozesses: 0xedc
Startzeit der fehlerhaften Anwendung: 0x01d9ee4b47764807
Pfad der fehlerhaften Anwendung: E:\usr\sap\SID\SYS\exe\uc\NTAMD64\sapcpe.exe
Pfad des fehlerhaften Moduls: C:\Windows\System32\ucrtbase.dll

Hier wird auf die ucrtbase.dll verwiesen. Ich komme da nicht weiter. Das Update habe ich vorher schon ohne Probleme auf einem Testsystem durchgeführt. Gestern recherchierte ich dann mal zu dieser dll. Auf dem Testsystem (da war alles OK) hat die Datei einen Datumsstempel von 2020 auf dem Prod ist sie von 2016. Beide Systeme laufen unter Server 2016 Datacenter. Das Testsystem zeigt bei winver.exe Version 1607 Build 14393.6252 und beim Prod Version 1607 Build 14393.206, also schon niedriger, oder?

Meine Vermutung ist, dass die dll zu alt ist und daher der Programmabsturz erfolgt. Nun weiß ich aber nicht, wie ich an eine aktuelle Version der ucrtbase.dll komme. Ich habe es so verstanden, dass man per Windows Update eine Chance haben könnte. Vermutlich muss das komplette Windows auch mal aktualisiert werden. Da kommen wir dann auch schon zum nächsten Problem für das Board hier: Die Windows Updates Funktion funktioniert nicht. Soweit ich verstanden habe, werden die per Kaspersky verteilt, aber der ist deinstalliert. Ich kann auch nicht sagen, ob das jemals funktioniert hat. Bei den Windows Updates wird die Option "Online Suchen" gar nicht angezeigt.

Ich hatte die Hoffnung, das ich mir für den Server die Updates manuell laden und installieren kann, aber wenn ich mir da durchnavigiere und die heruntergeladene msu-Datei starte, erhalte ich nur "Das Update ist nicht für Ihren Computer geeignet". Ausgewählt habe ich immer "Windows Server 2016 und x64", was auch zum OS passt.

https://www.catalog.update.microsoft.com/ScopedViewInline.aspx?updateid=7e2b50fd-db19-4784-b966-e3a9d3995b69

https://www.catalog.update.microsoft.com/ScopedViewInline.aspx?updateid=95335a9a-923a-47b2-abb1-7584d685de6a

Meine große Hoffnung war, dass ich per Windows Update die Kiste so aktuell bekomme, als dass die dll dann auch ein neueres Datum hat und ich so as SAP-Update fortsetzen kann. Habt ihr noch Ideen?

Grüße und Danke

Samoth

vor 20 Stunden schrieb zahni:

Mal alle Druckerobjekt löschen und dann die Druckertreiber.

Übersehe ich gerade was? Der Artikel beschreibt wie ich Objekte im %WINDIR%\system32\spool\printers lösche. Aber das ist auch genau der Ordner in dem nach dem Anstoßen des Drucks (Adobe/Konstruktion) nichts ankommt. Zudem ist der Ordner bei den betroffenen Rechnern eigentlich immer leer, da die Objekte nach erfolgreichem Ausdruck automatisch gelöscht werden.

Treiber löschen geht über Druckserver-Eigenschaften oder wie der Punkt heißt?

@zahni Ich verstehe was du schreibst, aber ich störe mich daran, dass der Plotter an den anderen sieben Windows 10 Rechnern (gleicher Treiber) überhaupt kein Problem macht. Dort klappt auch der Ausdruck aus den beiden Programmen, die bei den anderen beiden Rechnern nicht funktionieren. Es ist mysteriös...

Ich glaube, dass ich mal einen Universal Treiber von HP verwendet habe. Die aktuelle Version finde ich gerade nicht zum Download. Eben habe ich auf der HP-Seite mal den Treiber für Windows Server 2012 64-Bit geladen, der aus dem Jahr 2013 stammt und die Version 8.10 hat. Aktuell nutze ich auf den Workstations 7.10. Irgendwie schaffe ich es aber nicht den neueren Treiber einzubinden. 7.10 bleibt weiterhin vorhanden, wenn ich "Neuer Treiber..." versuche.

Am 3.8.2023 um 16:26 schrieb zahni:

Was ist das denn für ein Drucker? Bei extrem-billig Druckern wird gern das sog. Host- oder GDI-Printing benutzt (man kann an der CPU im Drucker sparen). Das kann bei Netzwerkdruck schonmal Probleme verursachen. Gibt es einen PCL- oder Postscript-Treiber?

Es ist ein HP DesignJet 500. Nicht mehr das neueste Modell, aber läuft noch. Ob es PCL oder PS ist, konnte ich gerade gar nicht feststellen. Ich nehme aber eigentlich immer PCL. Werde mich da noch mal schlau machen und die Info nachliefern.

Am 4.8.2023 um 13:34 schrieb Alith Anar:

wenn das PDF Dokument eine sehr hohe Pixelauflösung hat

Kann ich mir in meinem Fall nicht vorstellen. Ich habe auch mal versucht ein Mini-PDF mit 50 KB zu drucken und dauch das schlägt fehl.

Am 4.8.2023 um 13:34 schrieb Alith Anar:

Tritt das Problem nur bei Acrobat (also PDF-Dateien) auf und tritt es immer auf oder nur bei bestimmten Dokumenten?
PS oder PCL Treiber?

Ne, es kommt beim Adobe Reader und bspw. auch in einem Konstruktionsprogramm. Ausdruck aus Word geht aber beispielsweise und die normale Windows Testseite auch.

Wird gechekt und Rückmeldung folgt

Ich bin ab morgen erst mal eine Woche beim Radfahren und schaue es mir danach im Detail an Vorher klappt das wahrscheinlich nicht mehr.

Ich habe eben mal den Artikel gelesen doch zumindest in der Theorie passt das mMn nicht zu meiner Konstellation:

- Ich nutze keinen Druckserver, die Drucker sind direkt per IP vom jeweiligen Rechner aus verbunden/installiert.

- Im Artikel geht es um Berechtigungen auf das PRINTERS-Verzeichnis, aber der jeweilige User darf ja ins Verzeichnis schreiben. Das sehe ich auch anhand anderer Druckaufträge. Aber auch wenn ich auf den Plotter drucke und eine funktionierende App (Word) nutze.

vor 8 Stunden schrieb Userle:

In welchem Modus läuft der Treiber? 3 oder 4? Es gibt Anwendungen die mit Modus 4 Treibern Probleme haben. Dann äußert sich das genau so wie beschrieben.

Wo kann ich den Modus prüfen? Klingt interessant!

Ja hallo Der Drucker ist immer da. Den habe ich auf den Rechnern einfach händisch per IP-Adresse und Treiber von HP angelegt.

Ich schaue mal nach dem Reset für den Spooler, evtl. hilft es ja, wenn ich das mal laufen lasse. Das mit der API finde ich auch interessant. Das würde tatsächlich so ein wenig erklären, warum manche Ausdrucke funktionieren und manche nicht. Ich hab schon mal ein wenig mit ProcMon geschaut, aber daraus werde ich gerade noch nicht schlau.