Emmermacher

Hallo. Da ja bei den meisten von uns viele Clients nicht unbedingt in den Firmennetzen sind, würde ich von Euch gerne mal wissen, ob man die aktuellen Updates (April 2020) ohne große Probeme ausrollen kann. Zur Installation von Updates haben wir jetzt seit einpaar Tagen ein Mobile VPN eingerichtet. Das muss noch auf ca. 50 Rechnern eingerichtet werden, was halt entsprechend dauern wird. Bei 50 Servern und 100 Workstations habe ich leider keine freien Kapazitäten für eine Testumgebung. Was ist mit dem LDAP-Signing, was ja im März Thema war? Da ich nicht wußte, wie sich meine Maschinen (auch Linux mit Anbindung ans AD) verhalten, sind keine Updates im März installiert worden. Normalerweise gebe ich die Updates für Clients und Server parallel frei, was ja auch so in Orndung ist. Wie geht Ihr aktuell vor, um alles funktionstüchtig und sicher zu halten? Vielen Dank im voraus für Eure Anworten. LG aus dem Homeoffice Dirk Emmermacher

Guten Morgen. Mittlerweile habe ich eine Lösung gefunden. Für Chrome muss man sich hier die aktuellen admx-Dateien nutzen. Hier gibt es eine Einstellung unter Computerkonfiguration -> Adminstrative Vorlagen -> Google -> Google Chrome "Ausführen der Audio-Sandbox" muss deaktiviert werden. Bleibt gesund! Dirk

Hallo. Wir nutzen hier ein Serverfarm mit Server 2016, Citrix Xenapp 7 1912 LTSR mit der Webapp für MS Teams (Published Desktops). Als Browser ist Chrome 80 im Einsatz. Ich habe hier das Problem, dass das Mikro ohne Probleme auf den Servern genutzt wird, dieses aber leider nicht in Chrome ankommt. Für Teams habe ich schon URLS eingetragen, die ohne Nachfrage Zugriff aus das Mikro haben. https://teams.microsoft.com/* https://*.lync.com/* https://*.teams.microsoft.com/* https://*.broadcast.skype.com/* https://broadcast.skype.com/* https://*.skypeforbusiness.com/* https://*.keydelivery.mediaservices.windows.net/* https://*.streaming.mediaservices.windows.net/* https://officespeech.platform.bing.com https://login.microsoftonline.com/*teams* https://office.microsoft.com/* Die Policies von Citrix erlauben den Zugriff auf Mikrofon und Lautsprecher. Für Video werde ich wohl eine HDX-Umeitung einrichten. Auch ohne "/*" funktioniert es nicht. Was fehlt mir noch an Konfig, damit das funktioniert? Teams wollte ich eigentlich nicht installieren müssen. Das frisst mir zu viele Ressourcen... Vielen Dank im voraus für Eure Antworten. LG Dirk Emmermacher

Hallo. Leider konnte das Logging erst heute einrichten. Zur schnelleren Übernahme hatte bemerkt, dass das gpudate /force Probleme mit meinem Adminkonto hatte. Die Maschine habe ich kurz aus derm Domain genommen und ohne Neustart wieder hinzu gefügt. Seitdem funktionieren das gpupdate wieder ohne Probleme. Meinen eigentlichen Fehler konnte ich komplett leider nicht reproduzieren. Der Kollege hatte seinen Rechner wirklich man herunter gefahren. Heute morgen fehlte noch ein Laufwerk, das über WAN gemappt wird. Hier mal ein Ausschnitt aus dem Log: 2020-02-26 08:17:38.226 [pid=0x630,tid=0x14d8] EVENT : Das Benutzer "S:"-Einstellungselement im Gruppenrichtlinienobjekt "B_Laufwerke_ {yyyyyyy-zzzz-vvvv-xxxx-xxxxxxxxxxxx}" wurde erfolgreich angewendet. 2020-02-26 08:17:38.242 [pid=0x630,tid=0x14d8] Completed class <Drive> - S:. 2020-02-26 08:17:38.242 [pid=0x630,tid=0x14d8] Completed class <Drives>. 2020-02-26 08:17:38.257 [pid=0x630,tid=0x14d8] Completed package execution. 2020-02-26 08:17:38.257 [pid=0x630,tid=0x14d8] Completed execution of apply package. 2020-02-26 08:17:38.279 [pid=0x630,tid=0x14d8] Update GPH : apmCreateFoldersEx 2020-02-26 08:17:38.279 [pid=0x630,tid=0x14d8] Update GPH : xmlRemovalPackage 2020-02-26 08:17:38.295 [pid=0x630,tid=0x14d8] Update GPH : apmWriteFile 2020-02-26 08:17:38.295 [pid=0x630,tid=0x14d8] Updated GPH. 2020-02-26 08:17:38.311 [pid=0x630,tid=0x14d8] Completed apply GPO. 2020-02-26 08:17:38.311 [pid=0x630,tid=0x14d8] Completed GPO post-processing. 2020-02-26 08:17:38.326 [pid=0x630,tid=0x14d8] Completed get next GPO. [SUCCEEDED(S_FALSE)] 2020-02-26 08:17:38.342 [pid=0x630,tid=0x14d8] Completed calculate precedence. 2020-02-26 08:17:38.342 [pid=0x630,tid=0x14d8] Completed get RSoP class. 2020-02-26 08:17:38.357 [pid=0x630,tid=0x14d8] Completed initialize namespace. 2020-02-26 08:17:38.357 [pid=0x630,tid=0x14d8] WQL : SELECT * FROM RSOP_PolmkrSetting WHERE polmkrBaseCseGuid = "{yyyyyyy-zzzz-vvvv-xxxx-xxxxxxxxxxxx}" 2020-02-26 08:17:38.373 [pid=0x630,tid=0x14d8] Executed WQL query. 2020-02-26 08:17:38.373 [pid=0x630,tid=0x14d8] Purged 0 old RSoP entries. 2020-02-26 08:17:38.389 [pid=0x630,tid=0x14d8] Logging 3 new RSoP entries. 2020-02-26 08:17:38.404 [pid=0x630,tid=0x14d8] RSoP Entry 0 2020-02-26 08:17:38.404 [pid=0x630,tid=0x14d8] <INSTANCE CLASSNAME="RSOP_PolmkrDriveSetting"> Muss man beim mappen Laufwerken über WAN dann noch zusätzliche Einstellungen durchführen? Die Kollegen in der Außenstelle nutzen ein Share von unserem Standort. Da gab es meines Wissens nach noch keine Probleme. LG Dirk

Hallo @lefg . Per GPO habe ich generell "Warten auf Netzwerk aktiviert. Dem Mitarbeiter hatte ich auch schon gebeten, 1-2 Minuten zu warten, bis eine Anmeldung durchgeführt wird. Ob das getan wird, kann ich nicht sagen. Leider kann ich hier am Dienstag weiter arbeiten. in den Logfiles hatte ich schon geschaut. Bezgl. der Anmedlung hatte ich nichts gefunden. Es gab ein paar andere "critical" Fehler. Nach einer kurzen Suche habe ich sfc /scannow laufen lassen. Hier wurden auch Fehler korrigiert. Das Notebook hatte von Anfang an eine SSD. Euch allen ein schönes Wochenende! :) LG Dirk

Hallo Jan. Danke für die Anwort. Die Website kannte ich noch. Dad Logging habe ich jetzt aktiviert. Den User muss ich noch dazu kriegen, den Rechner neu zu starten (Die Kiste läuft schon wieder 4 Tage... Geschäftsführer dazu zwingen, den Rechner neu starten, ist halt so die Sache. Wir Admins haben ja eh nie recht) Ich hatte als Admin mal gpresult ausgeführt. Da sind angeblich keine Daten vorhanden. Auch ein gpupdate /force gibt Fehlermeldungen. Hier gibt Probleme mit dem Benutzerkonto. LG Dirk

Hallo zahni. Danke für Deine Antwort. Nein, meine User bekommen keine lokalen Adminrechte. LG Dirk

Hallo. Auf einem einzelnen Rechner (Geschäftsleitung) habe ich Probleme mit Laufwerksmapping. Die Zuordnung wird per GPO durchgeführt. Verbunden wird auf zwei 2012 R2 Server und einen 2008 R2 Server. Die Einstellungen per Get-SmbClientconfiguration sind auf den 2012 R2 Servern identisch. Hier ist nur das Mapping des Home-Laufwerks erfolgreich. Laut Gruppenrichtlinienmodellierung sind die Laufwerke vorhanden. Ein gpresult auf dem Rechner hat auch ein Mapping angzeigt. Nutzt man das alte Net use ist alles Ok. Eine Anmeldung mit einem anderen User auf dem gleichen Rechner funktioniert ohne Probleme. Der Rechner hat Build 1903 installiert (mit 1809 trat das Prblem auch schon auf). Außer löschen des Userprofils fällt mir hier nichts gescheites mehr ein, um das zu beheben. Habt ihr hier noch Ideen zur Fehlerbeseitigung? Vielen Dank im voraus für Eure Antworten. LG Dirk Emmermacher

Hallo @Sunny61 Danke für die Info. Wir setzen nur Windows 10 Pro ein. Dann werde ich mal in diese Richtung weiter lesen. LG Dirk

Moin @zahni. Danke für den Hinweis. Das Thema klingt interessant. Da werde ich mal ein wenig im Netz herumstöbbern. Wie viel Zeit für Vorbereitung uns Umsetzung benötigt man dafür in etwa? Ohne gute Planung und Tests rollt man das ja wohl nicht aus. LG Dirk

@daabm: Hallo Martin. Formate wie docm sind hier in E-Mails gesperrt. In meinen GPOs ist die Ausführung von Makros auch nicht zulässig. Maktos nutzt hier sowieso niemand. Zum Thema AV: Auch bei AV-Herstellern können Sicherheitslücken vorhanden sein. Unschön, aber wohl nicht zu ändern. Andere Hersteller kann es hier auch erwischen. LG Dirk

Hallo @Harris. Keine Panik. Zum Patchen fahre ich keine 150km. Dort gibt es auch einen WSUS-Server, der die Updates von unserem Server übernimmt. Da meistens nicht alle Mitarbeiter vor Ort sind, findet sich meistens ein anderer Arbeitsplatz. Mit Ersatzgeräten vor Ort haben wir eher schlechte Erfahrungen gemacht, da diese monatelang im Schrank liegen und keine Updates bekommen. Hallo Ingo. Danke für die Info :) LG Dirk

Hallo @Harris. Das ist halt immer eine Sach der Abwägung. Unser System halte ich für relativ gut geschützt (eine absoluten Schutz gibt es ja leider nicht, das isz schon klar). Firewall und AV-Programm machen hier meiner Meinung nach einen guten Job. Lücken zu patchen hätte bei mir auch Vorrang, wenn es hier genügend Manpower gäbe. Mal eben150km zu seiner Außenstelle fahren, geht halt auch nicht. LG Dirk

Einen schönen guten Morgen. Herzlichen Dank für Eure Antworten. @Sunny61: Danke für den Tipp mit dem Regkey. Den werde ich mal nutzen. Wie viele Rechner sind bei Dir repräsentativ? Bei mir würde ich wohl etwa 5 Rechner nehmen. Das sollte eigentlich ausreichen. @Harris: Das Build 1909 habe ich zuhause mal installiert. Im Verhältnis zu den vorigen Updates ging das wesentlich schneller. Die Änderungen werden wohl nicht allzu groß sein. LG aus Hannover Dirk

Hallo. Danke für Eure Antworten. @NorbertFe: Da bin ich ich nicht sonderlich anspruchsvoll. Da wir in der digitalen Welt unterwegs sind, reicht ein "geht" oder "geht nicht". @Sunny61: Ich arbeite mit WSUS. Da wird eigentlich nichts automatisch auf den Rechnern angeboten. Spannenderweise suchen ein paar Systeme trotzdem Online. Die Einstellungen hatte ich kontrolliert. Die GPOs passen und in der Registry ist auch alles OK. Das ist aber ein anderes Thema... @Harris: Mit dem, was man so im Netz findet, ist das ja immer so die Sache, welchen Informationen man trauen kann. Bugss in den Updates gab es ja schon immer, damit müssen ja leider leben. Ist halt die Frage, was vertrauenswürdig ist. Da ich für ca 150 Windowssysteme (alleine) verantwortlich bin, habe ich kein Zeit, Updates wieder zu deinstallieren. Da lebe ich dann zwangsweise lieber mit Sicherheitslücken, als mit Rechnern, die mehr Bugs, als notwendig. Vernünftige Listen findet man kaum. Für Updates unterhalb von 1903 habe ich diese Seite gefunden: https://www.rockwellautomation.com/ms-patch-qualification/qualifications.htm . Das funktioniert auch ganz gut. Was haltet Ihr den askwoody.com? Die Leute dahinter beschäftigen sich ja nur mit Updates. Euch allen einen schönen Feierabend. LG Dirk

Hallo. Zum Wochenende mal eine Frage zum Thema Windows-Updates an Euch. Wir rollen hier jetzt langsam das Build 1903 aus. Da ich keine Testumgebung habe, muss ich mich der Freigabe die Ergebnisse von Google verlassen. Hier bekommt zwar Ergebnisse, aber leider lässt gerade bei Fehlern in den Updates nicht immer beurteilen, ob die Updates "brauchbar" sind. Gefühlt ist die Qualität der Updates mit der Einführung von Windows nicht gerade besser geworden. Welche Udpates lassen sich aktuell freigeben, ohne zu große Ausfälle zu riskieren? Vielen Dank im Voraus für Eure Antworten. Ich wünsche Euch ein schönes Wochenende ! Dirk Emmermacher

Guten Morgen. @testperson Hallo Jan. Das hilft mir schon weiter. Das werde ich mal mit meinen Kollegen diskutieren. Aktuell werde ich keine größeren Veränderungen vornehmen können, da hier bis Ende des Monats noch eine große Versanstaltung läuft. @daabm Moin. Ihr glücklichen. Das macht vieles einfacher. Ich arbeite in einem Sportverband. DSGVO ist zwar auch Thema, aber wenn die Geschäftsleitung beschließt, die Daten bei MS in die Cloud legen zu lassen, können wir auch nur auf mögliche Risiken hinweisen. Bis Oktober hatten wir unser Mailsystem On Prem im Haus. Ich wünsche Euch ein schönes Wochenende :) LG Dirk

Hallo Jan. Zum Thema FSLogix habe ich mich mal ein wenig informiert. Das Thema klingt interessant für uns. Unter https://www.kreyman.de/index.php/microsoft/ms-sonstiges/164-fslogix-profile-container-vs-citrix-user-profil-manager habe ich einen Vergleich FSLogix vs. UPM gefunden. Kann man existierende Profile unter FSLogix nutzbar machen? Meine User wären nicht amused, alles neu anzulegen. Was ist mit mobilen Arbeitsplätzen? Wer mit dem Notebook extern unterwegs ist, hat ja keinen Zugriff auf das entsprechende Share. Was ist im Betrieb praktikabler? Profile- oder Officecontainer? Wäre die Nutzung von beiden auch machbar? Lassen sich die VHD-Dateien nachträglich in der Größe anpassen? Von Citrix gab dioch ein Prgramm für virtuelle Desktops, um VHDs anzupassen. LG Dirk

Guten Morgen Jan. Danke für Deine Antwort. Files on Demand wäre ein Ansatz. Wenn ich das richtig gehesehen habe, kann man die Grüße des Onedrives auch noch verändern. Der böse Admin kann das ja auch verkleinern ;-). Die Citrix-Farm wollte ich eigentlich (noch) nicht auf Server 2019 bringen. Da habe ich noch genug Baustellen, die dringender sind. Auf jeden Fall wird bei mir die Speicherung der OneDrive-Ordner aus dem Profil heraus genommen. Mit Dropbox und einigen anderen Ordner mache ich das schon. Bei Desktops ist das ja kein Problem. Bei TS-Serverumgebungen würde ich wohl eher den Zugriff über den Browser vorziehen. Bei Teams machen wir das so. Soweit ich weis, wird diese hier nicht empfohlen, bzw. unterstützt. LG aus Hannover Dirk

Guten Abend daabm. Danke für Deine Antwort. Ich kenne meine Kollegen. Das kennen wir alle. Der Mensch, Jäger und Sammler... Wenn ich mir unsere Shares anschaue, liegt da ziemlich viel Kram, der über Jahre liegen bleibt. Löschen ist halt Luxus. Da bei uns mittlerweile auch Teams, Exchange und SharePoint genutzt wird, ist das Thema Datenschutz zwar wichtig, aber da eine deutsche oder europäische Cloud nicht verfügbar ist, spielt leider eine geringere Rolle. Vertrauliche Daten sollen nicht Online gestellt werden. Überprüfen können wir das nicht. Ich bin auch nicht der Big brother. Dafür haben wir ja die NSA?. Wie wird bei euch Onedrive genutzt (Sofern Du darüber Infos geben möchtest)? Schönen Abend Dirk

Hallo. Euch allen wünsche ich ein frohes neues Jahr! Zur Nutzung von OneDrive habe ich mal ein paar Fragen an Euch. Wir haben letztes Jahr O365 eingeführt. Mittlerweile kommen Anfragen zu OneDrive. Aktuell ist das noch nicht weiter eingerichtet, da wir uns noch sicher sind, wie das genutzt werden soll. Wir arbeiten mit Desktop, Notebooks und einer Citrix-Umgebung mit "normalem" und UPM-Roaming. (Citrix 7.15 LTSR CU4 mit published Apps und Desktop). Unsere User wollen unbedingt OneDrive im Explorer nutzen. Hier sperre ich mich, da unser Storagesystem auf Dauer solche Datenmengen nicht aufnehmen kann. Aktuell haben rund 40TB zur Verfügung. Mit den aktuellen Standardeinstellungen von 1TB pro User müssten wir bei ca. 100 Usern auch 100TB (plus Reserve) vorhalten. Wie wird das bei Euch eingerichtet? Von meiner Seite aus würde ich den Zugriff nur über Browser zulassen, um eine Synchronisation zu vermeiden. Vielen Dank im voraus für Eure Antworten. LG aus Hannover Dirk Emmermacher

Hallo Norbert. Danke für Info. Ist eigentlich logisch. Die anderen Ressourcen prüfe ich gerade. Hier steht bei allenAutomateProcessing ein AutoAccept und bei ResourceDelegates sind Personen eingetragen. Eine Resource haben wir jetzt getestet. Das funktioniert jetzt. Der Rest ist auch umgestellt, muss aber noch getestet werden. Schönen Feierabend :) Dirk

Hallo. Wir haben hier ein Problem mit Terminen für Ressourcen in Office 365. Sowohl in Outlook als auch Online tauchen Termine mit Ressourcen (Räumen) nicht in den Kalendern der Ressourcen auf . Per Powershell habe ich schon versucht, hier Einstellungen zu ändern: Set-CalendarProcessing raum@mydomain.de -AutomateProcessing AutoAccept Quelle: https://support.microsoft.com/en-us/help/2005631/resources-in-exchange-don-t-respond-to-meeting-requests Über die Konsole hatte ich das schon eingestellt. Leider habe ich keine Ahnung, ob der Schalter auch so funktioniert hat. Der Raum hat noch zwei Personen, an die delegiert wird. Wie stellt man das ein, sofern das nicht ein Bug sein sollte?... Vielen Dank im voraus für Eure Antworten. LG aus Hannover Dirk Emmermacher

Hallo Jan. Wir nutzen Networks von CAS. Angeblich soll der Bug in der aktuellen Version gefixt worden sein. Schönes Wochenende Dirk

Hallo. Der Hersteller kennt den Bug bereits. Für mich das Thema damit gelöst. Ich wünsche Euch allen ein schönes Wochenende :) LG Dirk