testperson

Hi, theoretisch (und nicht rechtsverbindlich ;)) benötigst du doch "nur" ein qualifiziertes Zertifikat (https://www.bundesnetzagentur.de/cln_132/EVD/DE/Verbraucher/Vertrauensdienste/Signatur/Signatur-start.html) auf einer "Signaturkarte" (Smartcard) und eine "Sichere Signaturerstellungseinheit" (Smartcard Lesegerät mit entsprechenden Eigenschaften). Die Software die das Dokument dann signiert ist doch zweitrangig(?). Gruß Jan

Hi, Err_6.4.5.exe 80072EFE # for hex 0x80072efe / decimal -2147012866 WININET_E_CONNECTION_ABORTED winerror.h # The connection with the server was terminated abnormally # 1 matches found for "80072EFE" ich vermute es liegt daran, dass deine Windows Server 2012 R2 kein TLS 1.2 mit Windows Update spricht. Daher einmal IIS Crypto für Server- und Client-Protokolle in Best Practice: https://www.nartac.com/Products/IISCrypto/ "reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SchUseStrongCrypto /T REG_DWORD /D 1" "reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1" "reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v2.0.50727 /V SystemDefaultTlsVersions /T REG_DWORD /D 1" "reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SystemDefaultTlsVersions /T REG_DWORD /D 1" durchboote Bzw. in detaillierter: https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2-client Gruß Jan

Hier noch ein kurzes (Zwischen?)-Fazit: Update Policy Override default / Update Policy Override "Automatic silent updates only" Wenn die automatische Edge Routine Updates findet, werden diese am WSUS vorbei bezogen (allerdings reported) Wenn der WU Client ein Update "schneller" findet kommt es vom WSUS (Benutzer dürfen nicht selber updaten) "Updates disabled" Die Edge Routine ist deaktiviert Updates kommen per WU Client ausschließlich vom WSUS Warum das zuerst mit "Updates disabled" bei mir nicht funktioniert hat, kann ich nicht wirklich sagen aber hinnehmen?! :)

Der letzte Hyper-V Host bootet grade durch. Die Gans ist auch vor wenigen Minuten vom Grill und die Semmelknödel jeden Moment fertig... Alles nach Plan. Da auch Windows Updates dabei waren, steht jetzt allerdings fest, dass das Hyper-V 2016 Cluster doch noch auf 2019 geupgraded wird.. Jetzt fehlen nur noch die Gen 9 Hosts bzw. das VMware Cluster.. Aber jetzt erstmal schönes Wochenende!

Hi, danke für die Antwort. Alles andere (Windows / Office / SQL / Exchange) wird von den Clients angefordert. Ich habe jetzt testweise die o.g. Policy auf "Automatic silent updates only: Updates are applied only when they're found by the periodic update check." konfiguriert. Beim ersten Test wurde eine ältere 86er Stable Build auf die neuste am WSUS freigegeben gepatched. Wenn ich mir als User den Versionsstand ansehe, kann ich auch nicht selber updaten. Dann muss ich jetzt mal abwarten, ob so ausschließlich die Updates vom WSUS gezogen werden oder ob hier die Edge eigene Routine dazwischen funken kann. Gruß Jan

Wie wäre es mit: Wie sind die virtuellen Verzeichnisse konfiguriert? Nutzt du ein selbstsigniertes Zertifikat, eins der SBS CA oder eines einer kommerziellen CA? Was ist als Server (Name? IP?) im Telefon eingetragen?

Hi, ich verzweifle seit ein paar Tagen daran den Edge (Chromium) per WSUS zu patchen. Auf den Clients (ausschließlich RDSHs bzw. Citrix VDAs Server) ist der Edge installiert und soll über den WSUS gepatched werden. Der Edge kommt im WSUS an allerdings werden die Updates von meinen Clients nicht angefordert. Bisherige Recherchen haben ergeben, dass per GPO die "UpdateDefault" (https://docs.microsoft.com/en-us/deployedge/microsoft-edge-update-policies#updatedefault) aktiviert und Updates deaktiviert werden sollen, damit die Updates vom WSUS bezogen werden. Hilft bei mir leider nicht bzw. habe ich auch einmal alle möglichen Einstellungen ohne Erfolg getestet. Was mache ich falsch? Vielen Dank Jan

Scheinbar ist heute Firmware-Wochenende. Bei uns bekommen grade die HPE G10 Server die neue SPP. Ebenfalls viel Erfolg!

Hi, wie ist denn der SBS bzw. der Exchange konfiguriert (insb. die Antworten auf die Fragen von tesso) und was ist in der letzten Zeit passiert, was dieses Problem verursacht haben könnte? Damit man dir helfen kann, brauchts halt ein paar Infos. Ansonsten gibt es sicherlich Leute in deiner Gegend, die sich so einen SBS / Exchange (vor Ort) gegen Bares ansehen. Mit denen könnte man dann sicherlich auch einen Plan in Richtung unterstützte Server- und Exchange-Versionen besprechen. Gruß Jan

Ich vermute, du weißt es eh schon und es ist sicherlich auch schon im Script eingebaut. Aber was ergibt denn ein Logging in deinem Script? Notfalls, wie du sicher weißt und bereits verwendest, einfach mal per Start-Transcript (und Stop-Transcript).

Auch wenn du grade am Testen bist: Read-Write für Domänencomputer / Everyone ist ein absolutes No-Go bei Pfaden die ein (unbeaufsichtigtes) Script bereitstellen / ausführen.

Hi, wo liegt denn das PowerShell Script und hat der Computer Account überhaupt Zugriff auf das Script? Generell würde ich bei diesem Vorhaben das Script (samt benötigter Dateien) auf den ausführenden Rechner in einen "gehärteten Pfad" kopieren das Script dann lokal ausführen Script und Daten würde ich - bevorzugt - per geplantem Task auf die PCs verteilen. Den Task wiederum würde ich per GPO auf die PCs bringen. Das Script kann dann wiederum per Task oder "notfalls" auch als Shutdown Script gestartet werden. Tasks per GPO in Verbindung mit Item Level Targeting sollte das auch "selbstaufräumend" hinbekommen. Ansonsten würde ich hier aber auch in Richtung Softwareverteilung schauen oder zumindest einmal auf WSUS + WPP. Wenn man einmal Software (per PoSh) ausrollt, kommt man schnell auf den Geschmack und die Grenzen der eigenen Scripte. Da macht eine SW-Verteilung durchaus mehr Sinn. Gruß Jan P.S.: Frickeln? Ich mache bei uns die Citrix Virtual Apps and Desktop Rollouts/Updates sowie Verteilung/Updates der Workspace App per PoSh. P.P.S.: Ja, du hast Recht. Das ist aber ein sehr gut funktionierende Not- / Übergangslösung...

Passiert doch grade "immer mal wieder", dass bspw. irgendwo / irgendwie Mails abgeschnorchelt wurden und in diese bestehende Korrespondenz mit "wichtigen Unterlagen" eingestiegen wird. P.S.: Stell dir / Stell dem Urheber der Frage mal vor bei eurem Reinigungsservice schleicht sich "d'r fiese Möpp" ein und attackiert eure IT Infrastruktur in aller Ruhe von intern. Da braucht er/man gar keine Exploits, um sich umständlich von extern in euer Unternehmen zu schleusen. Sowas könnte ja durchaus am Freitagabend ab 18 Uhr passieren und bis Montagmorgen 6 Uhr andauern. Da kriegt man "viel geschafft".

Hi, an der Stelle sprichst du dann wohl vom "CVE-2019-19781" (https://support.citrix.com/article/CTX267027) und gehst davon aus, dass der Netscaler ADC nicht zwingend von wem fremden kompromittiert wurde, sondern dass die IT eurer Kunden euch da auch angreifen möchte? Mit sehr viel Konjunktiv könnte an einer solch zentralen Stelle sicherlich sehr viel möglich sein. Alleine eine Verbindung per "Workspace App" kann ja "clientless" oder auch per "Full VPN" erfolgen. Generell könntet ihr an eurer Stelle clientseitig per GPO dem Citrix Receiver / der Workspace App jede Menge "Features" abdrehen, ob das aber dann nicht auch exploitet wurde/wird... Gruß Jan P.S.: Wenn die Kundenseite kompromittiert ist bzw. die Kunden IT euch angreifen will, hast du eh ein Problem. Egal ob Citrix, Site2Site oder Teamviewer und Co.

Die Lizenzierung gilt pro Blech und nicht pro Hypervisor. Also: Egal ob Hyper-V, VMware, KVM, AHV, ... Du darfst immer zwei VMs bzw. "vOSe" (Standard) bzw. unlimited VMs/vOSe (Datacenter) auf dem Blech betreiben. Bei Hyper-V hast du halt das "Goodie", dass du auch den Host selber noch mit einem Windows OS installieren darfst. Da hindert dich wahrlich keiner dran. Den Job darfst du dir in der BRD (GmbH noch :-D) selber aussuchen. Wartungen? Auch ein (VMware) Cluster bzw. die Hardware da drunter muss gepatched werden. Hat dein IT-Leiter denn auch mal nachgerechnet, ob Linux wirklich billiger ist? Oder ist das so eine (schwäbische) Milchmädchenrechnung (und generell wäre das mit Linux alles nicht passiert!!!1!!11!eins!!elf!1!!!). Egal ob Linux oder Windows, in beiden Fällen braucht es Know-How (kostet mehr oder weniger Geld; zeigt sich i.d.R. schnell in der Qualität) und Support (kostet vermutlich gleich viel). P.S.: Ein größeres Unternehmen, wo ich die IT "am Rande aus Anwendersicht mitbekomme" migriert derzeit (in welchen Bereichen entzieht sich mir bzw. sind vage Vermutung) weg von Linux. Das die einfach aus Spaß an der Freude Geld verbrennen wollen kann ich mir nicht vorstellen.

Hi, kurz gesagt, wenn ich das so lese, bleibe ich bei meinem Ratschlag aus einem der anderen Threads: Suche dir einen Berater mit dem ihr eure Lizenzierung einmal checkt und vermutlich dann auch direkt grade zieht. Genau bei diesem Vorgehen* musst du deine Windows Workloads für jedes darunter befindliche Blech lizenzieren. Bei dir also tatsächlich, im Fall von Windows Server Standard, 3x 24 Cores pro 2 VMs. Für jedes Blech eine Lizenz. Ebenfalls bedingt das AFAIK Software Assurance für SQL sowie ggfs. auch Exchange. Hier oder auch im Internet gibt es entsprechende Lizenzrechner die ganz gut funktionieren. Die sagen dir dann i.d.R. auch genau wo der Break-even zwischen Windows Server Standard (2 VMs pro Blech pro Lizenz) und Windows Server Datacenter (unlimited VMs pro Blech pro Lizenz) ist. Die 300€ oder auch die 6000€ kannst du dir in beide Richtungen schön rechnen. Bei - in meinen Augen unwahrscheinlichen - 7-8 Jahren Laufzeit und deinen 6k€ bist du bei ~66€ pro Monat. Wenn du das einmal durch die Anzahl Mitarbeiter teilst, hättest du eine Summe, die es euch nicht wert ist zusätzlich in benötigtes "Arbeitsmaterial" zu stecken? Ein anderes Thema wäre, warum VMware? Hier würde ich bei euch tatsächlich Potenzial zum Geld sparen sehen. Allerdings müsste man da etwas mehr zur Umgebung wissen. Gruß Jan *) Theoretisch ist das so auch ohne entsprechend viele Lizenzen machbar, dann musst du aber 90 Tage warten bevor du die VMs zurückschieben darfst bzw. bis du eben die Lizenz erneut einem anderen Blech zuweisen darfst.

Das wird dir hier niemand sagen können / dürfen. Ansonsten siehe der Link oben, dafür musst du das Produkt aber erst kaufen und danach wird im Falle der Fälle eine langwierige Diskussion zwischen dir, Microsoft und dem Händler entstehen, die schnell mehr kostet wie 300€. Meiner Meinung nach machst du es dir hier sehr einfach. Im Worst-Case ist dann User X aus Forum Y schuld weil er Z gesagt hat? Letztlich müsstet ihr bzw. deine Geschäftsführung in einem Audit schlüssig und dokumentiert darlegen können, dass das alles rechtens ist. Und auch hier gilt, sowas - alleine die investierte Zeit - kostet schnell mehr wie 300€.

Hi, ggfs. sollte das hier aber mal abgetrennt und in einen eigenen Thread gepackt werden. Das hat ja so gesehen nichts / nicht viel mit dem OP zu tun. :) Ansonsten würde ich auch hier mit den "Basics" anfangen und erstmal die Energiesparfunktionen im BIOS (alles auf Performance) checken, danach die vom Host (Höchstleistung) sowie die der VMs (Höchstleistung) prüfen. Danach checken, ob Firmware-, Treiber- und Softwarestände aktuell sind. Bei Terminalservern dann, wie Norbert schon schreibt, einmal sämtliches FairShare deaktivieren: Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Quota System] "EnableCpuQuota"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSFairShare\Disk] "EnableFairShare"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSFairShare\NetFS] "EnableFairShare"=dword:00000000 Ansonsten wäre ein Virenschutz (auf dem Host /) in den VMs immer ein verdächtiger Kandidat. Ebenfalls kann es auch Probleme im Bereich Offloading / RSC / RSS mit den Netzwerkkarten im Host bzw. auch mit den vNICs in den VMs geben. Gruß Jan

Hi, letztlich so: https://www.microsoft.com/de-de/rechtliche-hinweise/pidservice Eine Kurze Suche nach der Firma liefert eine Website eines Unternehmens, dass scheinbar mit gebrauchten Lizenzen handelt. Ob das dann letztlich alles rechtskonform ist? Eine Gegenfrage könnte jetzt sein, ob die "paar" gesparten Euro auf die geplante Lebenszeit des Servers den potenziellen Ärger wert sind. Gruß Jan

Hi, dafür benötigst du entweder einen vorhanden Datenträger samt dazugehörigem Key oder du musst zusätzlich ein "Downgrade Kit" kaufen. Alternativ bleibt dir noch die Lizenz als VL zu erwerben, womit du dann auch auf die entsprechenden "downgegradeten" Datenträger zum Download zugreifen kannst. Ggfs. ist das auch per Software Assurance machbar. Gruß Jan

Ich will niemandem zu nahe treten: Halbwissen auf Kundenseite sowie Halbwissen auf Lieferantenseite kann (nicht nur) bei Lizenzierungsthemen in die Hose (und den Geldbeutel) gehen. Evtl. könnte man hier etwas besser Unterstützen, wenn du einmal eure derzeitigen Windows Workloads auf dem Cluster auflistest und mit welchen Lizenzen die Bleche unten drunter lizenziert sind.

Benötigt der SQL an dieser Stelle (im Virtualisuerungs-Cluster) nicht auch eine Software Assurance? @kaineanung Bevor es eine böse (und evtl. teure) Überraschung gibt, solltet ihr euch evtl. einmal einen Lizenzberater schnappen und eure Umgebung mit Hinblick auf den neuen Server + SQL beleuchten lassen.

Ja Mensch.. Citrix, sag das doch gleich. Evtl. ist Local App Access was für euch: https://docs.citrix.com/en-us/citrix-virtual-apps-desktops/general-content-redirection/laa-url-redirect.html

Hi, auch wenn der Thread fast drei Jahre alt ist: Bei einem Kunden gab es ein identisches(?) Problem. Da war allerdings im DHCP eine Bereichsgruppierung (Superscope) konfiguriert. Nachdem die Bereichsgruppierung entfernt wurde, bekamen die Clients beim Wechsel des VLANs direkt eine zum VLAN passende IP. Falls du (@killtux) noch auf der Suche nach einer (möglichen) Lösung bist. Gruß Jan

Wer ist denn "FRMPDC21"? Was sagt folgender Befehl auf DC3 / DC4: net share | findstr -i -r "^NETLOGON ^SYSVOL" Ist auf DC3/DC4 der Inhalt vorhanden / aktuell: C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\scripts C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\Policies