testperson

Der letzte Hyper-V Host bootet grade durch. Die Gans ist auch vor wenigen Minuten vom Grill und die Semmelknödel jeden Moment fertig... Alles nach Plan.

Da auch Windows Updates dabei waren, steht jetzt allerdings fest, dass das Hyper-V 2016 Cluster doch noch auf 2019 geupgraded wird..

Jetzt fehlen nur noch die Gen 9 Hosts bzw. das VMware Cluster..

Aber jetzt erstmal schönes Wochenende!

Hi,

danke für die Antwort. Alles andere (Windows / Office / SQL / Exchange) wird von den Clients angefordert. Ich habe jetzt testweise die o.g. Policy auf "Automatic silent updates only: Updates are applied only when they're found by the periodic update check." konfiguriert. Beim ersten Test wurde eine ältere 86er Stable Build auf die neuste am WSUS freigegeben gepatched. Wenn ich mir als User den Versionsstand ansehe, kann ich auch nicht selber updaten.

Dann muss ich jetzt mal abwarten, ob so ausschließlich die Updates vom WSUS gezogen werden oder ob hier die Edge eigene Routine dazwischen funken kann.

Gruß

Jan

vor 20 Minuten schrieb Plamatik:

Wenn du mir sagst, welche Infos du benötigst, kann ich dir gerne Screenshots senden.

Wie wäre es mit:

vor 21 Stunden schrieb tesso:

Autodiscover? 

SpliDNS?

vor 19 Stunden schrieb testperson:

wie ist denn der SBS bzw. der Exchange konfiguriert (insb. die Antworten auf die Fragen von tesso)

Wie sind die virtuellen Verzeichnisse konfiguriert?

Nutzt du ein selbstsigniertes Zertifikat, eins der SBS CA oder eines einer kommerziellen CA?

Was ist als Server (Name? IP?) im Telefon eingetragen?

Hi,

ich verzweifle seit ein paar Tagen daran den Edge (Chromium) per WSUS zu patchen. Auf den Clients (ausschließlich RDSHs bzw. Citrix VDAs Server) ist der Edge installiert und soll über den WSUS gepatched werden. Der Edge kommt im WSUS an allerdings werden die Updates von meinen Clients nicht angefordert. Bisherige Recherchen haben ergeben, dass per GPO die "UpdateDefault" (https://docs.microsoft.com/en-us/deployedge/microsoft-edge-update-policies#updatedefault) aktiviert und Updates deaktiviert werden sollen, damit die Updates vom WSUS bezogen werden. Hilft bei mir leider nicht bzw. habe ich auch einmal alle möglichen Einstellungen ohne Erfolg getestet. 

Was mache ich falsch?

Vielen Dank

Jan

vor 52 Minuten schrieb Nobbyaushb:

Muss zur Firma, an den Firewalls muss neue Firmware drauf

Scheinbar ist heute Firmware-Wochenende. Bei uns bekommen grade die HPE G10 Server die neue SPP.

Ebenfalls viel Erfolg!

Hi,

wie ist denn der SBS bzw. der Exchange konfiguriert (insb. die Antworten auf die Fragen von tesso) und was ist in der letzten Zeit passiert, was dieses Problem verursacht haben könnte?

Damit man dir helfen kann, brauchts halt ein paar Infos. Ansonsten gibt es sicherlich Leute in deiner Gegend, die sich so einen SBS / Exchange (vor Ort) gegen Bares ansehen. Mit denen könnte man dann sicherlich auch einen Plan in Richtung unterstützte Server- und Exchange-Versionen besprechen.

Gruß

Jan

vor 33 Minuten schrieb grc:

Aber wie du eh richtig geschrieben hast, bin ich einfach nur auf Fehlersuche

Ich vermute, du weißt es eh schon und es ist sicherlich auch schon im Script eingebaut. Aber was ergibt denn ein Logging in deinem Script? Notfalls, wie du sicher weißt und bereits verwendest, einfach mal per Start-Transcript (und Stop-Transcript).

Auch wenn du grade am Testen bist: Read-Write für Domänencomputer / Everyone ist ein absolutes No-Go bei Pfaden die ein (unbeaufsichtigtes) Script bereitstellen / ausführen.

Hi,

wo liegt denn das PowerShell Script und hat der Computer Account überhaupt Zugriff auf das Script? Generell würde ich bei diesem Vorhaben

• das Script (samt benötigter Dateien) auf den ausführenden Rechner in einen "gehärteten Pfad" kopieren
• das Script dann lokal ausführen

Script und Daten würde ich - bevorzugt - per geplantem Task auf die PCs verteilen. Den Task wiederum würde ich per GPO auf die PCs bringen. Das Script kann dann wiederum per Task oder "notfalls" auch als Shutdown Script gestartet werden. Tasks per GPO in Verbindung mit Item Level Targeting sollte das auch "selbstaufräumend" hinbekommen.

Ansonsten würde ich hier aber auch in Richtung Softwareverteilung schauen oder zumindest einmal auf WSUS + WPP. Wenn man einmal Software (per PoSh) ausrollt, kommt man schnell auf den Geschmack und die Grenzen der eigenen Scripte. Da macht eine SW-Verteilung durchaus mehr Sinn.

Gruß

Jan

P.S.:

vor 16 Minuten schrieb BOfH_666:

Ja - man könnte das so irgendwie hinfrickeln, aber das ist wirklich keine gute Idee

Frickeln?  Ich mache bei uns die Citrix Virtual Apps and Desktop Rollouts/Updates sowie Verteilung/Updates der Workspace App per PoSh.  

P.P.S.: Ja, du hast Recht. Das ist aber ein sehr gut funktionierende Not- / Übergangslösung...

vor 39 Minuten schrieb Samoth:

Das klingt btw. interessant! Was meinst du damit?

Passiert doch grade "immer mal wieder", dass bspw. irgendwo / irgendwie Mails abgeschnorchelt wurden und in diese bestehende Korrespondenz mit "wichtigen Unterlagen" eingestiegen wird.

P.S.: Stell dir / Stell dem Urheber der Frage mal vor bei eurem Reinigungsservice schleicht sich "d'r fiese Möpp" ein und attackiert eure IT Infrastruktur in aller Ruhe von intern. Da braucht er/man gar keine Exploits, um sich umständlich von extern in euer Unternehmen zu schleusen. Sowas könnte ja durchaus am Freitagabend ab 18 Uhr passieren und bis Montagmorgen 6 Uhr andauern. Da kriegt man "viel geschafft".

Hi,

an der Stelle sprichst du dann wohl vom "CVE-2019-19781" (https://support.citrix.com/article/CTX267027) und gehst davon aus, dass der Netscaler ADC nicht zwingend von wem fremden kompromittiert wurde, sondern dass die IT eurer Kunden euch da auch angreifen möchte?

Mit sehr viel Konjunktiv könnte an einer solch zentralen Stelle sicherlich sehr viel möglich sein. Alleine eine Verbindung per "Workspace App" kann ja "clientless" oder auch per "Full VPN" erfolgen. Generell könntet ihr an eurer Stelle clientseitig per GPO dem Citrix Receiver / der Workspace App jede Menge "Features" abdrehen, ob das aber dann nicht auch exploitet wurde/wird...

Gruß

Jan

P.S.: Wenn die Kundenseite kompromittiert ist bzw. die Kunden IT euch angreifen will, hast du eh ein Problem. Egal ob Citrix, Site2Site oder Teamviewer und Co.

vor 22 Minuten schrieb kaineanung:

Man müsste die Antwort auch verständlich schreiben.

Die Lizenzierung gilt pro Blech und nicht pro Hypervisor. Also: Egal ob Hyper-V, VMware, KVM, AHV, ... Du darfst immer zwei VMs bzw. "vOSe" (Standard) bzw. unlimited VMs/vOSe (Datacenter) auf dem Blech betreiben. Bei Hyper-V hast du halt das "Goodie", dass du auch den Host selber noch mit einem Windows OS installieren darfst.

vor 22 Minuten schrieb kaineanung:

Oder ich bewerbe mich bei deiner Firma? Die scheinen ja nicht auf Geld zu achten weil im Überfluss vorhanden? Schade das ich nie so ein Glück hatte den richtigen Arbeitgeber zu erwischen...

Da hindert dich wahrlich keiner dran. Den Job darfst du dir in der BRD (GmbH noch :-D) selber aussuchen.

vor 22 Minuten schrieb kaineanung:

Wenn es einen Ausfall gibt dann verschieben wir. Hatten noch keinen Ausfall und warum sollten wir Ping-Pong mit den Instanzen spielen?

Wartungen? Auch ein (VMware) Cluster bzw. die Hardware da drunter muss gepatched werden.

Hat dein IT-Leiter denn auch mal nachgerechnet, ob Linux wirklich billiger ist? Oder ist das so eine (schwäbische) Milchmädchenrechnung (und generell wäre das mit Linux alles nicht passiert!!!1!!11!eins!!elf!1!!!). Egal ob Linux oder Windows, in beiden Fällen braucht es Know-How (kostet mehr oder weniger Geld; zeigt sich i.d.R. schnell in der Qualität) und Support (kostet vermutlich gleich viel).

P.S.: Ein größeres Unternehmen, wo ich die IT "am Rande aus Anwendersicht mitbekomme" migriert derzeit (in welchen Bereichen entzieht sich mir bzw. sind vage Vermutung) weg von Linux. Das die einfach aus Spaß an der Freude Geld verbrennen wollen kann ich mir nicht vorstellen.

Hi,

kurz gesagt, wenn ich das so lese, bleibe ich bei meinem Ratschlag aus einem der anderen Threads: Suche dir einen Berater mit dem ihr eure Lizenzierung einmal checkt und vermutlich dann auch direkt grade zieht.

Zitat

Ausserdem verschieben wir keine VMs von Node zu Node. Dies würden wir nur im Ausfall machen oder bei einer längeren Wartung.

Genau bei diesem Vorgehen* musst du deine Windows Workloads für jedes darunter befindliche Blech lizenzieren. Bei dir also tatsächlich, im Fall von Windows Server Standard, 3x 24 Cores pro 2 VMs. Für jedes Blech eine Lizenz. Ebenfalls bedingt das AFAIK Software Assurance für SQL sowie ggfs. auch Exchange.

Hier oder auch im Internet gibt es entsprechende Lizenzrechner die ganz gut funktionieren. Die sagen dir dann i.d.R. auch genau wo der Break-even zwischen Windows Server Standard (2 VMs pro Blech pro Lizenz) und Windows Server Datacenter (unlimited VMs pro Blech pro Lizenz) ist.

Die 300€ oder auch die 6000€ kannst du dir in beide Richtungen schön rechnen. Bei - in meinen Augen unwahrscheinlichen - 7-8 Jahren Laufzeit und deinen 6k€ bist du bei ~66€ pro Monat. Wenn du das einmal durch die Anzahl Mitarbeiter teilst, hättest du eine Summe, die es euch nicht wert ist zusätzlich in benötigtes "Arbeitsmaterial" zu stecken?

Ein anderes Thema wäre, warum VMware? Hier würde ich bei euch tatsächlich Potenzial zum Geld sparen sehen. Allerdings müsste man da etwas mehr zur Umgebung wissen.

Gruß

Jan

*) Theoretisch ist das so auch ohne entsprechend viele Lizenzen machbar, dann musst du aber 90 Tage warten bevor du die VMs zurückschieben darfst bzw. bis du eben die Lizenz erneut einem anderen Blech zuweisen darfst.

vor 7 Minuten schrieb kaineanung:

Mich interessiert nur woran ich erkenne ob dieses Angebot rechtlich in Ordnung ist bevor ich das kaufe. Daher meine Frag an euch hier im Forum woran ich das erkennen kann?

Das wird dir hier niemand sagen können / dürfen. Ansonsten siehe der Link oben, dafür musst du das Produkt aber erst kaufen und danach wird im Falle der Fälle eine langwierige Diskussion zwischen dir, Microsoft und dem Händler entstehen, die schnell mehr kostet wie 300€.

vor 9 Minuten schrieb kaineanung:

Mehr tun als das kann ich dann auch nicht.

Meiner Meinung nach machst du es dir hier sehr einfach. Im Worst-Case ist dann User X aus Forum Y schuld weil er Z gesagt hat? Letztlich müsstet ihr bzw. deine Geschäftsführung in einem Audit schlüssig und dokumentiert darlegen können, dass das alles rechtens ist. Und auch hier gilt, sowas - alleine die investierte Zeit - kostet schnell mehr wie 300€.

Hi,

ggfs. sollte das hier aber mal abgetrennt und in einen eigenen Thread gepackt werden. Das hat ja so gesehen nichts / nicht viel mit dem OP zu tun. :)

Ansonsten würde ich auch hier mit den "Basics" anfangen und erstmal die Energiesparfunktionen im BIOS (alles auf Performance) checken, danach die vom Host (Höchstleistung) sowie die der VMs (Höchstleistung) prüfen. Danach checken, ob Firmware-, Treiber- und Softwarestände aktuell sind. Bei Terminalservern dann, wie Norbert schon schreibt, einmal sämtliches FairShare deaktivieren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Quota System]
"EnableCpuQuota"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSFairShare\Disk]
"EnableFairShare"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TSFairShare\NetFS]
"EnableFairShare"=dword:00000000

Ansonsten wäre ein Virenschutz (auf dem Host /) in den VMs immer ein verdächtiger Kandidat. Ebenfalls kann es auch Probleme im Bereich Offloading / RSC / RSS mit den Netzwerkkarten im Host bzw. auch mit den vNICs in den VMs geben.

Gruß

Jan

Hi,

letztlich so: https://www.microsoft.com/de-de/rechtliche-hinweise/pidservice

Eine Kurze Suche nach der Firma liefert eine Website eines Unternehmens, dass scheinbar mit gebrauchten Lizenzen handelt. Ob das dann letztlich alles rechtskonform ist? Eine Gegenfrage könnte jetzt sein, ob die "paar" gesparten Euro auf die geplante Lebenszeit des Servers den potenziellen Ärger wert sind.

Gruß

Jan

Hi,

dafür benötigst du entweder einen vorhanden Datenträger samt dazugehörigem Key oder du musst zusätzlich  ein "Downgrade Kit" kaufen. Alternativ bleibt dir noch die Lizenz als VL zu erwerben, womit du dann auch auf die entsprechenden "downgegradeten" Datenträger zum Download zugreifen kannst. Ggfs. ist das auch per Software Assurance machbar.

Gruß

Jan

Ich will niemandem zu nahe treten: Halbwissen auf Kundenseite sowie Halbwissen auf Lieferantenseite kann (nicht nur) bei Lizenzierungsthemen in die Hose (und den Geldbeutel) gehen.

Evtl. könnte man hier etwas besser Unterstützen, wenn du einmal eure derzeitigen Windows Workloads auf dem Cluster auflistest und mit welchen Lizenzen die Bleche unten drunter lizenziert sind.

Benötigt der SQL an dieser Stelle (im Virtualisuerungs-Cluster) nicht auch eine Software Assurance?

@kaineanung

Bevor es eine böse (und evtl. teure) Überraschung gibt, solltet ihr euch evtl. einmal einen Lizenzberater schnappen und eure Umgebung mit Hinblick auf den neuen Server + SQL beleuchten lassen.

Ja Mensch.. Citrix, sag das doch gleich. Evtl. ist Local App Access was für euch: https://docs.citrix.com/en-us/citrix-virtual-apps-desktops/general-content-redirection/laa-url-redirect.html

Hi,

auch wenn der Thread fast drei Jahre alt ist: Bei einem Kunden gab es ein identisches(?) Problem. Da war allerdings im DHCP eine Bereichsgruppierung (Superscope) konfiguriert. Nachdem die Bereichsgruppierung entfernt wurde, bekamen die Clients beim Wechsel des VLANs direkt eine zum VLAN passende IP.

Falls du (@killtux) noch auf der Suche nach einer (möglichen) Lösung bist.

Gruß

Jan

vor 21 Minuten schrieb powlmowl:

Event-Log im DC4 und DC3
Fehler 5008
The DFS Replication service failed to communicate with partner FRMPDC21 for replication group Domain System Volume. This error can occur if the host is unreachable, or if the DFS Replication service is not running on the server.
Partner DNS Address: DC1.<domänenname>
Optional data if available:
Partner WINS Address: DC1
Partner IP Address: ....67
 
The service will retry the connection periodically.

Wer ist denn "FRMPDC21"?

Was sagt folgender Befehl auf DC3 / DC4:

net share | findstr -i -r "^NETLOGON ^SYSVOL"

Ist auf DC3/DC4 der Inhalt vorhanden / aktuell:

C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\scripts
C:\Windows\SYSVOL\sysvol\%USERDNSDOMAIN%\Policies

Ach an der Stelle "berechtigst" du auf Gruppen. Das habe ich noch nie benutzt. Da würde ich in deinem Fall vermutlich "Standard" wählen und das GPO nur von Benutzern lesen/übernehmen lassen, die dürfen (aus 2) Möglichkeit 1).

Das ist zwar für den WVD, aber ein Schelm könnte das ja einfach mal auf einem RDSH testen: https://docs.microsoft.com/en-us/azure/virtual-desktop/teams-on-wvd

Bzw. man könnte einfach hoffen, dass Microsoft die Teams-Optimierung auch in RDSH "portiert".

Mit Citrix Virtual Apps & Desktops und der Teams HDX Optimization läuft das ziemlich gut (https://docs.citrix.com/en-us/citrix-virtual-apps-desktops/multimedia/opt-ms-teams.html). Ansonsten nutze ich im Homeoffice noch ein "durchgereichtes" Headset mit dem SwyxIt Client als Softphone. Andere Konferenzlösungen würden bei CVAD sicherlich auch durch die ein oder andere Möglichkeit der "Virtual Channels" oder der Browser Content Redirection profitieren können. Im Bereich CVAD könnte man dann sicherlich auch noch von Citrix SD-WAN profitieren.

Hi,

zu 1) Da gibt es auf der Registerkarte "Einstellungen" der entsprechenden Umleitung unten den Punkt "Entfernen der Richtlinie" mit zwei Radio Buttons.

zu 2)

• Möglichkeit 1: Du erstellst eine Gruppe in der die Computerkonten der "WinTablets" Mitglied sind und eine Gruppe mit den berechtigten Benutzern. Jetzt entfernst du im GPO in der Sicherheitsfilterung die "Authentifizierten Benutzer" und nimmst dafür die beiden Gruppen auf. Die Gruppe mit den Computerkonten darf das GPO lesen und die Gruppe mit den Benutzern zusätzlich übernehmen.
  • Wichtig: Starte die Computer nach der Aufnahme in die Gruppe neu, da die ansonsten nichts von ihrer errungenen Gruppenmitgliedschaft wissen.
• Möglichkeit 2: Du schaust dir den Loopbackverarbeitungsmodus an: https://evilgpo.blogspot.com/2014/01/loopback-was-ist-das-und-warum-ist-es.html / https://evilgpo.blogspot.com/2012/02/loopback-demystified.html
• Möglichkeit 3: Eine Mischung aus den beiden Möglichkeiten.

Gruß

Jan