testperson

Hi, das sollte sich in PowerShell nachscripten lassen. Das Script kann dann täglich per Task gestartet werden und informieren. Alternativ wäre halt eine "richtige" Monitoring Lösung (Zabbix, PRTG, Nagios, Icinga, CheckMK und wie Sie alle heißen) ein Ansatz. Je nachdem wäre hier auch eine Cloud Lösung (Kaseya, Solarwinds, ...) sinnvoll. Gruß Jan

Einen kleinen Ansatz in PowerShell hätte ich hier schonmal vorbereitet: https://www.mcseboard.de/topic/218102-gpo-wird-erst-nach-gpupdate-angewandt/?do=findComment&comment=1401640

Hi, ich würde am "$smtpserver" einmal in die SMTP Logs schauen, ob da im Fehlerfall etwas zu sehen ist. Wenn dort das Logging aktiv und die Retention hoch genug ist, solltest du da auch rückwirkend noch Infos finden können. Gruß Jan

Der nagt aber auch an Exchange und da käme dann direkt die Frage auf, ob es tatsächlich einen On-Prem Exchange braucht. "Die Zeit" wäre hier Exchange online. Um mit der Zeit zu gehen bräuchtest du von den o.g. Server vor Ort eigentlich "nur" DC und ADFS sowie ggfs. den Printserver und Mailstore. Der Rest lässt sich als Service aus der Cloud beziehen. Ich zitiere dich einmal, da das auch hier gilt:

Dann solltest du deine GPOs anpassen, da hättest du zwei Möglichkeiten: In neuem GPO: Loopbackverarbeitungsmodus "Replace" für die RDSHs FSLogix Konfiguration für die RDSHs Entfernen der lokalen Policy/ies Im bestehenden Profil GPO: Anpassen der Sicherheitsfilterung Den RDSHs das Lesen verweigern Das Lesen der "Authentifizierten Benutzer" entfernen und einer Gruppe mit deinen Client-Computern das Lesen erlauben Neues GPO für FSLogix Konfiguration für die RDSHs Entfernen der lokalen Policy/ies Was für dich besser / einfacher ist, ist schwer zu sagen, da müsste man dein AD Design für sehen bzw. kennen. Laufen bei euch nur bestimmte Applikationen auf den Terminalservern und ein Teil der Anwendungen auf den lokalen Clients oder wozu benötigen die User lokal immer ihr Profil? Generell würde ich mir einen Plan machen, die Roaming Profiles auf den Clients zu entsorgen.

Wo hast du denn welche Roaming Profiles konfiguriert? Und warum benötigst du am lokalen Client Roaming Profiles?

Du könntest damit mal an Thomas Krenn rantreten. Evtl. haben die ja Erfahrungen damit oder äußern sich dazu.

Hi, das sollte eigentlich automatisch passieren. Die Policies bzgl. FSLogix sollten in der Theorie und nach korrekter Konfiguration nur auf den RDSHs / VDIs angewendet werden. Ebenfalls sollten die benötigten FSLogix Komponenten nur auf den RDSHs installiert sein. Somit sollten die lokalen Clients eigentlich gar nicht erst auf die Idee kommen ein FSLogix Profil zu laden, da unter anderem die benötigten Gruppen nicht vorhanden sind. Gruß Jan

Ohne weitere Anforderungen zu kennen würde ich sagen, dass es in dem Szenario maximal "RDP" gibt, das von schnellem Storage profitieren könnte. Welche Anwendungen laufen denn später auf den RDSHs? Generell würde ich hier das Geld lieber in schnellere CPUs investieren, da Storage selten der begrenzende Faktor ist.

Hi, ich habe keine direkte oder hilfreiche Antwort, würde aber fragen, was du denn am Ende erreichen willst also was soll der Server später wofür bereitstellen? Eine weitere Frage wäre, brauchst du am Ende auch "so viel Disk / Cache Leistung"? Gruß Jan

Guten Morgen Franz, vielen Dank für die Antwort. CSP Tier 1 würde dann neben dem geforderten Umsatz noch ganz andere Herausforderungen auf den Tisch bringen. Als Alternative käme mir da momentan Azure, Umstellung auf Housing oder evtl. ein passender RZ Anbieter in den Sinn. Hier noch ein Edit: Da sich Teams leider auch im Benutzerkontext installieren lässt und somit in unserem Fall erstmal an uns als Hoster vorbeiläuft, wären wir in diesem Fall ohnehin nicht compliant? Dann könnte ich der obigen, für uns eher negativen, Aussagen doch noch was positives abgewinnen, da wir dann nicht an AppLocker vorbei kämen. Gruß Jan

Hi, du kannst dir mit Get-ADUser alle User zusammensuchen und dann durch eine foreach-Schleife jagen und mittels "Replace" den neuen DisplayName setzen (Set-ADUser). In grob: $Users = Get-ADUser -Filter * -SearchBase $("OU=<deine>;OU=<BenutzerOU>,DC=<Domain>,DC=<TLD>") -Properties DisplayName # foreach Set-ADUser $User -DisplayName $User.DisplayName.Replace("alter Wert","neuer Wert") Je nach Aufbau solltest du das ggfs. noch prüfen, nicht das der "alte Wert" an weiteren Stellen im DisplayName auftaucht und dort auch ersetzt wird. "Notfalls" kannst du dir alt und neu auch erst in eine CSV exportieren und dort händisch ggfs. nacharbeiten. Gruß Jan

Hi, dann würde ich die Updates auch entsprechend über den WSUS bereitstellen. Wenn das einmalig ist oder nur selten zum Einsatz kommen soll, wäre halt auch PowerShell ein Ansatz. In ganz grob: $Package = Get-Package -ProviderName MSI | where { $_.Name -eq "<dein Paket>" } # ggfs. die Versionsprüfung mittels [long]$Package.Version.Replace(".","") wandeln und mittels -lt prüfen, damit nicht neuere Versionen mit einer alten überschrieben werden if($Package.Version -ne "<neue Version>"{ Uninstall-Package $Package # ggfs. auch per msiexec.exe deinstallieren $InstallProc = Start-Process -FilePath $($env:windir + "\system32\msiexec.exe") -ArgumentList $("/i <Pfad zum MSI> /qb- <ggfs. Parameter> /L*v <Pfad zum Log> < ggfs. /norestart>") -PassThru -Wait do{ #Warten... Start-Sleep -Seconds 5 }until($InstallProc.HasExited) # An dieser Stelle bspw. mit Switch-Case den $InstallProc.ExitCode auswerten und reagiern und/oder das Logfile nach Erfolg / Misserfolg / Reboot durchforsten } Das lässt sich dann per StartUp-Script und/oder Aufgabe zum / auf den Client bringen und ausführen. Mit ein wenig Kreativität lässt sich die neue Version bspw. zum Paket in eine CSV legen und somit hättest du eine "kleine Softwareverteilung". Generell sollte natürlich noch ein wenig (besser mehr) Logging ins Script und bspw. auch erfasst werden, falls ein Client bereits aktuell ist. Gruß Jan

Du könntest an wöchentlich oder monatlich präventiv du Umlaufprotokollierung aktivieren, DBs abhängen, anhängen, Umlaufprotokollierung deaktivieren, DBs abhängen und wieder anhängen. ;) Alternativ die an Exchange beteiligten Volumes auf 10%-20% freien Speicher monitoren oder allerspätestens bei diesen Events (https://docs.microsoft.com/en-us/exchange/mail-flow/back-pressure?view=exchserver-2019#back-pressure-logging-information) eingreifen.

Hi, ggfs. sollte hier einmal geordnet werden. Momentan geht es hier um das Eigenleben der Windows Updates und "nebenbei" noch um DC(?)/DNS(?) Probleme. Zu den Windows Updates im Citrix-Umfeld ist das doch eigentlich recht "einfach", sofern man PVS oder MCS nutzt und die relevanten Komponenten redundant oder eben n+1 betreibt. Citrix veröffentlicht auch immer relativ zeitnah den Update Validation Report. Wir haben überwiegend "nur" mit DATEV zu tun, die ebenfalls zügig Verträglichkeitstest für Security Updates veröffentlichen und aktuelle Patchstände empfehlen. Gruß Jan

Hey Nils, wir warten da an verschiedenen Stellen auf Antworten. In ersten Gesprächen, bei denen ich dabei war, gab es zur Teams Anwendung die Aussagen von "Grauzone" über ja, nein bis zu vielleicht eigentlich schon alles. Selbst zu CSP Direct und*/oder QMTH zum Hosten eines O365 Paketes haben wir momentan zwei Aussagen. * für mich(!) ergibt sich für uns(!) zum jetzigen Zeitpunkt daraus, dass wir zum Hosten der O365 Pakete CSP Direct sein müssten und zusätzlich das QMTH Agreement abschließen müssten. Je nachdem wie man und/oder in welchem Rechenzentrum man hostet könnte das auch wiederum anders aussehen, was in unserem Fall aber nicht hilft. Gruß Jan

Hi, als Hoster der seine Kunden per SPLA lizenziert darf man die Office Pakete der Kunden aus Office 365 (bspw. aus dem E3) den Kunden nur bereitstellen sofern man CSP Tier 1 / Direct Tier ist und ein QMTH Agreement hat. Wie verhält sich das mit der MS Teams Anwendung? Braucht es hier ebenfalls CSP Tier 1 und QMTH? @lizenzdocIst dir hier vielleicht etwas bekannt? Vielen Dank und Gruß Jan

Das ist einmal für den DNS Server und dann noch für die Zone(n): https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/

Hi, das lässt sich im kleinen Rahmen durchaus mit PowerShell und bspw. der Aufgabenplanung angehen. Meistens stellt man dann aber fest, wie praktisch so eine "kleine Softwareverteilung" ist, und will mehr. Das geht dann zwar auch in PoSh, könnte aber schnell sehr komplex werden. Eine Mittelding zwischen selbstgescripted und einer großen Softwareverteilung könnte ein evtl. vorhandener WSUS mit der Windows Package Publisher (WPP) Erweiterung sein. Gruß Jan

Hi, zu 1) Das kommt drauf. So wie es sich hier ließt (und der Einfachheit halber), ja. zu 2) Ja. Eine Frage wäre noch, ob ein DC den Anforderungen genügt. Um wie viele User geht es denn hier? Gruß Jan

Hi, der "Computer Browser" braucht SMBv1 daher dürfte / sollte der in einem aktuellen Windows OS gar nicht mehr vorhanden sein (und auch nicht mehr funktionieren). Die Alternative dazu wären die Dienste "Function Discovery Provider Host" und "Function Discovery Resource Publication". Ob das (besser) Funktioniert, kann ich dir mangels Erfahrung nicht sagen. Aus https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/smbv1-not-installed-by-default-in-windows: (https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/smbv1-not-installed-by-default-in-windows#explorer-network-browsing) Gruß Jan

Das ist in der Tat Wahnsinn! Und ich musste direkt an eine ältere 3dfx Werbung denken: https://www.youtube.com/watch?v=ooLO2xeyJZA

Die QNAPs haben AFAIK rsync (und entsprechende Mechanismen) an Board. Bspw: https://www.qnap.com/en/how-to/tutorial/article/how-to-set-up-remote-replication-on-qnap-nas/

Hi, um was für NAS Systeme handelt es sich denn? Ggfs. haben die eine Möglichkeit für diesen Task an Board. Ansonsten, wenn du es schon anpackst, würde ich in Richtung rsync über SSH schauen. rsync kann halt Block Level und dürfte dadurch nochmal wesentlich flotter sein. Gruß Jan

Hi, bei Kunden habe ich dafür 8man gesehen selber allerdings keine Erfahrung damit. Scheint aber jetzt zu Solarwinds zu gehören: https://www.solarwinds.com/access-rights-manager Gruß Jan P.S.: @NilsK Wurde in dem Demo-Video auf deine AD-Testuser zurückgegriffen ?