testperson

Hi, ggfs. sollte hier einmal geordnet werden. Momentan geht es hier um das Eigenleben der Windows Updates und "nebenbei" noch um DC(?)/DNS(?) Probleme. Zu den Windows Updates im Citrix-Umfeld ist das doch eigentlich recht "einfach", sofern man PVS oder MCS nutzt und die relevanten Komponenten redundant oder eben n+1 betreibt. Citrix veröffentlicht auch immer relativ zeitnah den Update Validation Report. Wir haben überwiegend "nur" mit DATEV zu tun, die ebenfalls zügig Verträglichkeitstest für Security Updates veröffentlichen und aktuelle Patchstände empfehlen. Gruß Jan

Hey Nils, wir warten da an verschiedenen Stellen auf Antworten. In ersten Gesprächen, bei denen ich dabei war, gab es zur Teams Anwendung die Aussagen von "Grauzone" über ja, nein bis zu vielleicht eigentlich schon alles. Selbst zu CSP Direct und*/oder QMTH zum Hosten eines O365 Paketes haben wir momentan zwei Aussagen. * für mich(!) ergibt sich für uns(!) zum jetzigen Zeitpunkt daraus, dass wir zum Hosten der O365 Pakete CSP Direct sein müssten und zusätzlich das QMTH Agreement abschließen müssten. Je nachdem wie man und/oder in welchem Rechenzentrum man hostet könnte das auch wiederum anders aussehen, was in unserem Fall aber nicht hilft. Gruß Jan

Hi, als Hoster der seine Kunden per SPLA lizenziert darf man die Office Pakete der Kunden aus Office 365 (bspw. aus dem E3) den Kunden nur bereitstellen sofern man CSP Tier 1 / Direct Tier ist und ein QMTH Agreement hat. Wie verhält sich das mit der MS Teams Anwendung? Braucht es hier ebenfalls CSP Tier 1 und QMTH? @lizenzdocIst dir hier vielleicht etwas bekannt? Vielen Dank und Gruß Jan

Das ist einmal für den DNS Server und dann noch für die Zone(n): https://www.faq-o-matic.net/2006/04/30/endlich-ordnung-auf-dem-dns-server/

Hi, das lässt sich im kleinen Rahmen durchaus mit PowerShell und bspw. der Aufgabenplanung angehen. Meistens stellt man dann aber fest, wie praktisch so eine "kleine Softwareverteilung" ist, und will mehr. Das geht dann zwar auch in PoSh, könnte aber schnell sehr komplex werden. Eine Mittelding zwischen selbstgescripted und einer großen Softwareverteilung könnte ein evtl. vorhandener WSUS mit der Windows Package Publisher (WPP) Erweiterung sein. Gruß Jan

Hi, zu 1) Das kommt drauf. So wie es sich hier ließt (und der Einfachheit halber), ja. zu 2) Ja. Eine Frage wäre noch, ob ein DC den Anforderungen genügt. Um wie viele User geht es denn hier? Gruß Jan

Hi, der "Computer Browser" braucht SMBv1 daher dürfte / sollte der in einem aktuellen Windows OS gar nicht mehr vorhanden sein (und auch nicht mehr funktionieren). Die Alternative dazu wären die Dienste "Function Discovery Provider Host" und "Function Discovery Resource Publication". Ob das (besser) Funktioniert, kann ich dir mangels Erfahrung nicht sagen. Aus https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/smbv1-not-installed-by-default-in-windows: (https://docs.microsoft.com/en-us/windows-server/storage/file-server/troubleshoot/smbv1-not-installed-by-default-in-windows#explorer-network-browsing) Gruß Jan

Das ist in der Tat Wahnsinn! Und ich musste direkt an eine ältere 3dfx Werbung denken: https://www.youtube.com/watch?v=ooLO2xeyJZA

Die QNAPs haben AFAIK rsync (und entsprechende Mechanismen) an Board. Bspw: https://www.qnap.com/en/how-to/tutorial/article/how-to-set-up-remote-replication-on-qnap-nas/

Hi, um was für NAS Systeme handelt es sich denn? Ggfs. haben die eine Möglichkeit für diesen Task an Board. Ansonsten, wenn du es schon anpackst, würde ich in Richtung rsync über SSH schauen. rsync kann halt Block Level und dürfte dadurch nochmal wesentlich flotter sein. Gruß Jan

Hi, bei Kunden habe ich dafür 8man gesehen selber allerdings keine Erfahrung damit. Scheint aber jetzt zu Solarwinds zu gehören: https://www.solarwinds.com/access-rights-manager Gruß Jan P.S.: @NilsK Wurde in dem Demo-Video auf deine AD-Testuser zurückgegriffen ?

Also die Erleuchtung hätte schon auf Seite 1 kommen können: https://www.mcseboard.de/topic/218052-wpp-und-powershell-scripts/?do=findComment&comment=1401007

Geht es tatsächlich nur um das Wallpaper oder ist das nur ein Beispiel? Was macht denn das Wallpaper bei euch, dass es sofort aktuell angezeigt werden soll und das es "keine Zeit" bis nach einem Reboot bzw. Anmelden hat? Ggfs. könntest du das Script etwas ins Eventlog protokollieren lassen worauf du einen per GPO erstellten Task triggerst, der dann deinen Code oben ausführt?

Hi, es hilft evtl. nur indirekt weiter: Computer sperren und entsperren ist kein Anmelden. Es könnte also sein, dass du mit der gesuchten Lösung gar nicht ans Ziel kommst und einen Logoff / Logon oder Reboot benötigst. Gruß Jan

Hach, schon wieder ein runder Geburtstag: https://news.xbox.com/de-de/2020/05/22/national-solitaire-day-2020/ 30 Jahre Solitär - Happy Birthday! Leider lässt sich das Jubiläums T-Shirt nicht nach Deutschland bestellen :(

Man könnte auch "In Private" testen. ;) Evtl. hat dir auch ein auf der Sophos vorhandener Cache reingespuckt.

Wenn ich das richtig verstehe, brauchst du die IPv4 nur, um zu prüfen, ob du intern oder extern bist oder ist das VPN Netz 192.168.3.x/24? $IPv4 = Get-NetIPAddress | where { $_.AddressFamily -eq "IPv4" -and $_.IPAddress -match "192.168.3."} # ... if(($vpn.ConnectionStatus -eq "Disconnected") -And (-not $ipv4)) Ich würde, wie gesagt, das Script nur dann starten, wenn ich es brauche. Hier solltest du mit den Events klar kommen bzw. mit "Bei Anmeldung" In meinem Bereich setzen wir ausschließlich auf Citrix-Terminalserver und veröffentlichen diese über das Netscaler Gateway. Daher habe ich da keine produktiv genutzten Lösungen. Der Netscaler könnte das allerdings. Ansosnten empfiehlt Richard Hicks, der ganz fit in dem Bereich ist "Netmotion": https://directaccess.richardhicks.com/netmotion/ Ich habe das Gefühl, dass du dich ein wenig auf deine potentielle "Lösung" versteift hast, die für dich in Richtung "Always On VPN Alternative" geht. In einem Anderen Thread hast du das Problem, dass Scripts / verschiedene CSEs so nicht funktionieren. Die Frage wäre daher, was ist die Anforderung dahinter? Müssen die Scripts überhaupt laufen oder sollte man z.B. bei den Scripts ansetzen und ggfs. ablösen?

Hi, du möchtest dir eine Art "Always On VPN" nachbauen? Dafür wäre eigentlich DirectAccess (Scheidet aus wegen Windows Enterprise am Client?), Always On VPN (Scheidet aus wegen nur Windows 10 oder Verwaltung/Verteilung?) oder 3rd Party (Scheidet aus wegen Kosten?) bessere Alternativen. Wenn das so mit dem Script per Task für dich passt und alles funktioniert, dann sollte das Script aber noch etwas optimiert werden. Anstatt das Script "mittendrin" mit "Exit" zu verlassen, solltest du dir einmal if / elseif / else ansehen und bspw. den Rest in ein else-Statement packen. Anstelle von *-WMIObject (ist AFAIK deprecated) solltest du *-CIMInstance nutzen Wenn möglich würde ich beides vermeiden und bei der IPv4 Adresse auf "Get-NetIPAddress" zurückgreifen Invoke-Expression würde ich durch "Start-Process" ersetzen Bzw.: https://adamtheautomator.com/powershell-start-process/ Eine Endlosschleife und "Start-Sleep" würde ich auch vermeiden. Anstelle dessen ggfs. Einen Task, der bei Anmeldung den VPN Tunnel prüft und ggfs. aufbaut Weiterer Task der auf ein "VPN Disconnect" Event triggered und VPN Aufbau startet (Wenn beim Aufbau einer VPN Verbindung etwas passieren soll: Weiterer Task der auf "VPN Connect" Event triggered Das wären zumindest meine groben Ansätze, die ich durchspielen würde. BTW.: Da du als externer ja auch Geld kostest, wäre es evtl. zielführender in eine o.g. Supportete Lösung bzw. fertige Lösung zu investieren. Gruß Jan

Hi, ich würde Applikationen eigentlich immer an den "Standardpfad" installieren und dann die Datenhaltung auf ein anderes Volume schieben. Eines Tages kommt halt irgendetwas "hardcoded" auf %programfiles% oder %programfiles(x86)% und fällt auf die Nase. Bei der Exchange-Installation dann zum Beispiel: setup.exe /mode:install /roles:Mailbox /MdbName:<Name der DB> /DbFilePath:<Pfad zur DB>\<Name der DB>.edb /LogFolderPath:<Pfad zu den Logs>\<Name der DB> /IAcceptExchangeServerLicenseTerms /InstallWindowsComponents (/Organizationname:<Organisationsname nur bei Erstinstallation>) Mit ein bisschen (oder auch ein bisschen mehr) PowerShell drum rum, lässt sich das dann auch recht dynamisch bei Kunden verwenden. Gruß Jan

Hi, sofern es nur extern über die WAF der Sophos Probleme gibt, würde ich da einfach mal ein Ticket aufmachen. Gruß Jan

Hi, vier Terminalserver mit je 64GB RAM für 15 User? Wie sieht denn die RAM Auslastung bzw. weitere RAM Konfig der anderen VMs auf den Hosts aus? Mit Punkt 2 meinst du meinen Punkt "Energieoptionen"? Damit meine ich Im BIOS alles auf Performance stellen bzw. eben Energiesparfunktionen "C-States" deaktivieren In VMware kannst du ebenfalls die Energieverwaltung auf "Höchstleistung" konfigurieren Im Windows Betriebssystem sollte der Energiesparplan ebenfalls "Höchstleistung" sein Ist hier der Windows (Datei) Explorer oder der Internet Explorer gemeint? Wenn die Terminalserver "langsam" sind, findet sich dann etwas im Windows Eventlog? Generell habe ich die Befürchtung, dass deine Umgebung zu viele und teilweise auch zu komplexe Möglichkeiten für ein Foren-Troubleshooting bietet. Evtl. wäre es zielführender den VMware oder Microsoft Support auf das Problem anzusetzen und mit dem Ergebnis weiter zu sehen. Gruß Jan

Hi, hier könnten weitere Details helfen. Auf was für einer Hardware läuft die VM und was laufen ansonsten noch für VMs auf der Hardware? Ist die Hardware im BIOS sowie im Hypervisor und der VM selber auf Höchstleistung konfiguriert bzw. das Energieschema ist Höchstleistung? 2x vCPU (5-Core) heißt die VM hat 10 vCPUs oder hast du 2 vCPUs konfiguriert und der Host hat 5(?) Kerne Welcher Hypervisor? Welche Software läuft auf dem Terminalserver? Generell würde ich immer mehrere (kleinere) Terminalserver bevorzugen, wie einen großen. Gruß Jan

OT: Hier wäre es spannend zu wissen, wie das lizenziert ist und ob das überhaupt (und generell ohne SPLA) richtig zu lizenzieren wäre.

Hi, hier müsste man dein Problem kennen, welches du mit "Network Sign-In" bzw. mit einem VPN vor Anmeldung lösen willst. Warum sollen denn Startup-Scripts(?) bzw. weitere (welche) "CSEs" abgearbeitet werden und was sollen die erledigen? Gruß Jan

Hi, wie viele DCs gibts denn? Ist der DC ein reiner DC oder läuft da noch mehr drauf? Seit wann tritt das Problem auf, was wurde geändert? Generell wäre es ohne weitere Informationen möglich den ein oder anderen Schuss ins Blaue zu feuern: IPv4 / IPv6 Konfig passt bzw. "spuckt" ein Router mit falschen DNSv6 Servern dazwischen? DNS Konfiguration passt -> Erster DNS ein anderer DC; zweiter DNS selber oder weiterer DC? Ggfs. fremd AV oder fremd FW? Windows Updates aktuell? Unterschiedliche GPOs zu den anderen DCs? Findet sich etwas in den "Anwendungs- und Dienstprotokollen" -> Directory Service oder DNS Server? Sollte es ein reiner DC ohne weitere Rollen / Software sein, würde ich mir überlegen den DC zu entsorgen und neu zu installieren. Gruß Jan