Emmermacher
-
Gesamte Inhalte
240 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von Emmermacher
-
-
vor 2 Stunden schrieb NorbertFe:
Wäre ja die Frage, warum der Nutzer da überhaupt Einfluss drauf hat?
Und WSUS gibts nicht?
Einen WSUS gibt es.
Einstellungen:
Anzeigeoptionen für Updatebenachtictgungen: 0 (standard)
Automatische Upates konfigurieren: 4
Während automatischer Wartung installieren: deaktiviert
Geplanter Installationstag: 0 - Täglich
Geplante Installationszeit: 14:00 Uhr
Jede Woche: Aktviert
Erste - vierte Woche. deaktiviert
Automatische Updates sofort installieren: aktiviert
Automatischen Neustart nach Updates während der Nutzungszeit deaktivieren: aktiviert
Nutzungszeit
Start: 07:00 Uhr
Ende: 18:00 Uhr
Standardoption "Updates installieren und herunterfahren" im Dialogfeld "Windows herunterfahren" nicht anpassen: deaktiviert
empfohlene Updates über automatische Updates aktivieren: aktiviert
Der interne Pfad ist entsprechend gesetzt.
Nichtadminstratoren dürfen Updates installieren
Option "Updates installieren und herunterfahren2 im Dialogfeld "Windows herunterfahren" nicht anzeigen: deaktiviert
Der Key UpdateServiceUrlAlternmate ist auch eingetragen.
LG
Dirk
-
vor 15 Minuten schrieb testperson:
Ja. Das Citrix Gateway / der Netscaler / der ADC kann eine Endpoint Analyse (EPA). Das macht aber zusätzliche Arbeit.
Dann sollten die Notebooks ja genügend Tage im Büro sein, um sich mit Updates vom WSUS zu versorgen.
Damit du die Devices auch außerhalb softwareseitig im Griff hast, wäre eine Softwareverteilung / Endpoint Management was: In-Tune, OPSI, Microsoft Endpoint Configuration Manager (SCCM), ManageEngine Desktop Central, ...
Das sehen unsere Kunden irgendwie anders. ;) Immerhin kriege ich das in den eigenen Reihen ebenfalls so durch. :)
Das mit dem ADC werde ich mir mal überlegen...
Die Notebook sind, wenn überhaupt einen Tag im Büro. Wer im Büro ist, installiert dann häufig keine Updates :(.
Für Intune und SCCM sind wir zu klein. Wir haben hier ca. 100 Workstations und Notebooks.
Wir haben hier seit ein paar Wochen TeamViewer im Einsatz. Da gibt es auch noch eine Option, Updates von MS und anderen zu installieren. Hast Du da Erfahrungen sammeln können?
Für Softwareverteilung hatten wir auch schon mal DeskCenter gestestet. Ist aber zeitaufwändig, immer zu paketieren. Haben wir aus Zeitmangel nicht weiter verfolgen können. Zumal das nur intern funktioniert.
LG
Dirk
-
vor 9 Minuten schrieb NorbertFe:
Im Zweifel gibts halt den HTML 5 Client. Und wenn der nicht geht, wird der Nutzer schon irgendwann seinen Browser aktualisieren. Und wenn nicht, ist ja nicht meine Arbeit die er nicht erledigen kann. ;)
Citrix nutzen wir auch. Das Windows darunter sollte ja auch einigermaßen aktuell sein. BYOD ist bei uns kein Thema. Jeder hat bei uns jetzt das Recht auf einen Tag Homeoffice im Monat. Wir dürfen dann entsprechend neue Notebooks einrichten. Da bis ich auf CRM und Webseiten alles machen muss, habe ich mittlerweile die Kapazitätsgrenzen mehr als überschritten.
Gibt es Möglichkeiten, aktuelle Updates voraus zu setzen, um einen Zugang zur Citrix-Farm zu bekommen?
LG
Dirk
-
vor 8 Minuten schrieb Nobbyaushb:
Alle neueren PC bei uns, und alles was den Weg in die IT gefunden hat ist auf 2004 - in der Domäne und bislang keine Probleme.
Der Kollege, der die GPO´s betreut hat das vorbereitet
Hallo Norbert.
Kann man sich den Kollegen "ausleihen"?
LG
Dirk
-
vor 20 Minuten schrieb Gulp:
Wir lassen die Finger von den März Builds und nutzen nur die Herbst Builds, da erfahrungsgemäß dort die gröberen Bugs der neuen Features aus dem Jahresanfang beseitigt sind ......
Grüsse
Gulp
Hallo Gulp.
Theoretisch sehe ich das auch so.
Mittlerweile habe ich gelesen. das beim Update von 1909 mit den Oktober Updates wohl die Zertifikate gelöscht werden. Leider haben dank der aktuelle Situation meine Systeme einen bunten Strauss von Updates im Einsatz. Im Homeoffice machen meine Kollegen häufig keine Updates.
-
Guten Morgen.
Wie sind Eure Erfahrungen mit Build 2004? Ist das mittlerweile ohne große Nebenwirkungen im Unternehmen nutzbar? Mit einem alten Rechner den ich upgedatetn hatte, konnte ich so erst mal nichts negatives feststellen.
Gibt es bei Euch so was wie Checklisten, an den man sich lang hangeln kann?
Privat nutze ich das, aber da habe ich auch keine Domain...
Von 20H2 werde ich erst mal die Finger lassen.
Vielen Dank im Voraus für Eure Antworten.
LG
Dirk Emmermacher
-
Hallo.
Zurück zum eigentlichen Thema. Testweise habe ich mal einen Xenapp-Server eingerichtet. Dieser steht, im Gegensatz zu den Produktivsystemen, im VLAN der Server. Meine Xenapp-Farm ist im Client VLAN. Die Userprofile liegen auf einem Server im Server VLAN. Auf dem Testserver läuft das Login wesentlich schneller (10GBe statt 1GBe, das hatte ich erwartet). Die eigentliche GPO Einstellung zieht jetzt auch. Warum, wissen vermutlich nur die Götter...
Da ich meine TS-Server im Client VLAN lassen wollte (Ich sehe solche Maschinen als Clients an), ergibt sich mir die Frage, ob es sinnvoll wäre, den Profilserver ins Client VLAN zu stellen.
Eine Änderung der IP-Adresse auf Server und DNS ist schnell gemacht. Eine Anpassung am Hypervisor auch. Gibt es aus Eurer Sicht noch Fallstricke, die ich nicht beachtet habe?
Alternativ halte ich es auch für denkbar, nur für die UPM-Profile einen neuen Server im Client VLAN einzurichten und die Daten per Robocopy oder aus dem Backup zu holen.
FSLogix würde ich erst mal verschieben. Aktuell habe ich leider kaum Zeit, mich darum zu kümmern.
Euch allen ein schönes Wochenende :).
LG
Dirk
-
Hallo Jan.
Werde ich demnächst mal testen.
Euch allen wünsche ich einen schönen Feierabend :)
LG
Dirk
-
So gesehen ja. Das machen wir aber alle eher ungern.
-
Hallo.
Für die Einrichtung habe ich diese Anleitung genutzt:
Ich habe jetzt noch mal Freigegebene Nachrichtenordner herunterladen deaktiviert.
Die Empfehlung mit 3 Tagen läßt sich bei uns nicht durchsetzen. Unabhängig von den getroffenen Einstellungen wäre es ja schon gut, wenn überhaupt eine Einstellung hier greifen würde.
Wäre es denkbar, das Outlook in TS-Umgebungen einen Bug haben könnte?
Mit dem FSLogix hatte ich auch überlegt, das nutzten. Die Lizenzen dafür haben wir. Lässt sich das im laufenden Betrieb ändern. Eine Testumgebung habe ich nicht.
LG
Dirk
-
vor 20 Minuten schrieb testperson:
Oh, wo ich grade nochmal den Screenshot sehe und es um den CachMode geht.. Ich meine mich zu erinnern, dass das ein Bug in der Outlook GUI ist..
Was landet denn beim User in "HKCU\software\policies\microsoft\office\16.0\outlook\cached mode" im DWORD "syncwindowsetting"?
Hallo Jan.
Das landet alles in dem Schlüssel:
Die OST-Datei habe ich heute morgen mal gelöscht und danach Outlook gestartet. Die scheint wirklich alles zu cachen. In der Umgebung hat die OST-Datei knapp 1,3GB. Auf meinem Desktop komme ich auf 300MB.
LG
Dirk
-
vor 1 Minute schrieb testperson:
Das ist jetzt ein Ergebnis von "gpresult /h gpo.html" auf einer der VDAs oder ein Screenshot aus der gpmc.msc?
Wo ist/sind die C_XenApp_Serversettings" und die "C_Loopback" verlinkt?
Wo ist die "B_Office_2016_CacheMode" verlinkt?
Hallo Jan.
Die Ergebnisse stammen aus der gpmc.msc. Ein gpresult führt bei meinem User bei Office-Einstellungen zum gleichen Ergebnis. Computerrichtlinien werden hier ja nicht angezeigt.
Die TS-Server habe ich in der OU=Citrix stehen. Meine User sind nach Standorten und Abteilungen in anderen OUs. Alle 3 GPOs werden nur in Citrix genutzt.
LG
Dirk
-
Moin.
Herzlichen Dank für Eure Antworten.
Hier mal ein paar Auszüge aus meinen GPOs:
Das wird auch angewendet.
Die GPO verwendet hier als Sicherheitsfilter den Standard Authentifizierte Benutzer.
Diesen Regkey habe ich auch noch hinzugefügt:
Der hilft aber auch nicht. Ohne den Key ändert sich hier auch nichts :(.
Im Outlook bekomme ich aber das angezeigt:
Wir nutzen UPM. Die OST-Dateien lasse ich auf eine Fileserver liegen. Die müssen wirklich nicht kopiert werden.
Die Richtlinie wird ja hier angeblich angewandt. Die gleichen Einstellungen nutze wir auch für normale Clients. Da funktioniert die Einstellung.
LG
Dirk
-
Hallo.
In unserer Citrix Farm Xenapp 7 Build 1912 LTSR CU1 auf W2k16 werden die GPO nicht so abgearbeitet, wie es eingestellt ist. In Outlook wird die gesamte Mailbox gecached. Eingestellt sind 3 Monate (Nach Best Practice von Citrix)
Die Loopback-Policy enthält nur den Loopback Mode und wird auch als erstes ausgeführt. Der steht auf "Ersetzen". Testweise habe ich eine Maschine mal auf "Zusammenführen" umgestellt. Keine Änderung. Auch ein erzwingen der Einstellungen hatte im Vorfeld zu keinem Ergebnis geführt. Von den Rechten her steht die GPO auf Authenticated User.
Wie bekomme ich hier eine saubere Abarbeitung der GPOs hin.
Vielen Dank im Voraus für Eure Tipps.
Ich wünsche Euch ein schönes Wochenende :) - Und bleibt gesund!
LG
Dirk Emmermacher
-
Hallo.
Auf einigen Windows 10 Rechnern (Build 1903) kommt es beim Herunterfahren zu Fehlermeldeungen, dass das Profil nur teilsysnchronisiert wird. Den Fehler gab es Build 1803. Wir nutzen aber 1903. Den Regkey HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
"ExcludeProfileDirs"="AppData\\Local;AppData\\LocalLow;$Recycle.Bin;OneDrive;Work Folders" ist so gesetzt. Bei einem User habe ich auf dem Server den Ordner seines Profils umbenannt und auf den Rechner gelöscht, inkl. Reg-Einträge.
Habt Ihr eine Idee, was icht tun kann (außer jetzt das Roaming zu deaktivieren).
Vielen Dank im Voraus für Eure Antworten.
Schönes Wochenende :)
Dirk Emmermacher
-
Hallo.
Sorry, das ich mich erst jetzt melde. Dank Urlaubszeit haben mich meine User ein wenig im Stich gelassen.
Die Regkeys sind jetzt eingetragen. Diese Meldungen erscheinen jetzt nicht mehr. Mein Testaccount arbeitet ohne Probleme. Mein Arbeitskonto synct die Chats teilweise nicht. Das werde ich aber später angehen. Die nächsten Wochen gibt es wichtigeres als arbeiten...
LG
Dirk
-
Hallo Jan.
Die Einstellungen sind eingerichtet. Mal schauen, was dabei heraus gekommen ist.
Genieß den Feierabend.
Dirk
-
Guten Morgen Jan.
Danke für Deine Antwort. Auf unseren Server ist die Desktop App installiert. Diese möchte die Einstellungen haben. Für die Browser App habe ich bislang Chrome empfohlen, da der IE nicht supported wird. Edge habe ich (bislang) noch nicht dort ausgerollt.
LG
Dirk
-
Hallo.
Auf unseren Citrixserver (w2k16 Xenapp 7 Build 1912 CU1) haben wir Teams installiert. Leider verlangt die App das zulassen von Drittanbieter-Cookies. Meine Idee hier war, die URLs für Teams bei den vertrauenswürdigen Sites einzutragen und dann die Einstellungen für die Cookies vorzunehmen. Da die Entwickler es wohl nicht für nötig befunden haben, das bei den GPOs hier Einstellungen vornehmen kann :( , werde ich wohl eine andere Lösung finden müssen. Bei MS habe ich dazu zwar einen Artikel gefunden, aber bislang noch nicht wirklich verstanden. Was für Regkeys müssen hier gesetzt werden, um das Verhalten einzustellen?
Eine Lösung per GPO halte ich für sinnvoller, als den Kollegen eine Anleitung zu schicken. DAUs sind ja leider überall vorhanden...
Vielen Dank im Voraus für Eure Antworten.
LG
Dirk Emmermacher
-
Moin @lefg .
Due hast recht. Aktueller Stand: Die Citrix-Server, die das Serviceing-Update bekommen habe, lassen aus dem Backup leider nicht wieder herstellen. Hatte hier schon mehrere Fernwartungen mit dem Hersteller. Ein funktionierende Lösung habe ich hier immer noch nicht. Die Maschinen laufen aber trotzdem erst mal weiter. Hier planen wir bereits einen Austausch.
Was hier auf jeden Fall gelernt habe, das Updates schneller installiert werden müssen.
Die Fehler, die im AD/DNS gefunden worden sind, sind immer noch nicht vollständig behoben. Auch hier muss ich wohl mehr Monitoring und Maintenance betreiben.
Wie häufig sollte man hier Maintenance mindestens betreiben? Reicht hier dann ein dcdiag aus (Die AD-Replikation überwache ich jetzt mit PRTG)?
LG
Dirk
-
vor 15 Stunden schrieb mwiederkehr:
Ich sehe das recht pragmatisch und zähle mich weder zur "alle Updates sofort installieren, sonst ist man so gut wie gehackt"- noch zur "nicht anfassen, solange es läuft"-Fraktion. Ich informiere mich zeitnah über behobene Sicherheitsprobleme. Behebt ein Update ein kritisches Problem im Browser oder der Bildvorschau, wird es auf den Terminalservern sofort installiert. Nicht aber auf den Hyper-V-Hosts, denn auf denen surft niemand im Internet.
Für Linux habe ich den Debian-Security-Newsletter abonniert. Wenn dort steht, dass ein Apache-Patch ein Problem in einem Modul behebt, welches ich nicht aktiviert habe, schreckt mich das nicht auf.
Selbstverständlich installiere ich die Updates auch auf nicht direkt gefährdeten Servern, aber da zum Beispiel nicht auf allen Hyper-V im Cluster am gleichen Tag.
Zum Thema "keine Probleme": auf Servern, auf denen nur Windows-Dienste laufen, gab es die letzten Jahre tatsächlich so gut wie keine Probleme. Citrix ist aber ein Spezialfall und beim Exchange ist man auch froh, wenn nicht eines Morgens ein neues .NET Framework installiert ist...
Moin @mwiederkehr .
Informationen zu Sicherheitsproblemen kann ich nur lesen, wenn die Zeit dazu da ist. So habe ich kaum mal Zeit, mich zu aktuellen Sicherheitsproblemen informieren. Seit März habe ich gefühlt immer noch mehr zu tun. Installation von Updates läuft dann nur noch "nebenbei". Das ist mit Sicherheit nicht der Zustand, den ich mir wünsche, aber quasi als Einzelkämpfer in der IT kaum anders machbar.
Exchange und Co ist bei mit kein Thema (O365). Das hatte ich aber von meiner Kollegin gehört, das Exchange ein grauseliges Thema ist.
Schöne Pfingsten :)
Dirk
-
Hi @MurdocX Generell hast Du recht. Irgendwie waren die Updates bei älteren Betriebssystemen gefühlt besser. Da kann ich aber auch falsch liegen...
LG
Dirk
-
Hallo.
Danke für Eure Kommentare. Irgenwie sträubt sich bei mir ziemlich viel, alle Updates automatisch freizugeben. Bei Citrix-Maschinen halte ich mich an die Empfehlungen des Herstellers.
Die Server mögen zwar so nicht unbedingt die sichersten sein, dafür laufen die dann.
Bei Windows 10 werde ich auch bei manuell bleiben. Hier gab es immer wieder Probleme.
Abwarten hat hier manches Problem erst gar nicht entstehen lassen.
Übrigens hat das AD im DNS noch nicht alle Uppercase-Einträge entfernt. Hier werde ich mich noch in Geduld üben.
LG
Dirk
-
Hallo @Sunny61.
Das waren die letzten Server, auf denen noch die April-Updates fehlen. Die Updates vom Mai gibt es demnächst. Ohne Testumgebung warte ich lieber ein paar Wochen, bevor ich Updates freigebe. Das war schon häufiger ein gute Idee, bei den Updates zu warten... Vorsicht ist halt besser als Nachsicht.
Schönen Feierabend :)
Dirk
Windows 10 - Build 2004
in Windows 10 Forum
Geschrieben
Damit meine User sehen, das Updates zu installieren sind. Oder ist das hier überflüssig?