Jump to content

Weingeist

Members
  • Gesamte Inhalte

    769
  • Registriert seit

  • Letzter Besuch

Reputation in der Community

39 Beliebt

Über Weingeist

  • Rang
    Board Veteran
  1. Das Konto dient dazu den Telemetry-Diensten Zugriff auf die komplette Registry zu geben. Ich vermute sogar von extern weil sonst könnte man es auch einfacher lösen. Das ist insbesondere deshalb verwerflich weil das Konto ja irgendwie ein Passwort haben muss. Das heisst entweder wird es irgendwie errechnet aufgrund anderer Telemetry-Daten des Systems oder es ist im Voraus schon bekannt. Beides nicht unbedingt der Brüller auch wenn es "nur" lesenden Zugriff zu haben scheint (Es wird ja z.B. auch jede Benutzerinteraktion aufgzeichnet). Der Zugriff erfolgt vermutlich mit irgend einer der zahlreichen Apps die in der Windows-Firewall auf der nicht per CMD/Powershell/GUI konfigurierbaren Ebene einen Freifahrtenschein bekommen. Im Endeffekt ist es also nichts anderes als eine hoffentlich einigermassen gut gesicherte Backdoor für das abgraben von sämtlichen Registry-Daten. Ich habe mich schon sehr viele Stunden mit solchen Eigenheiten von Windows 10 beschäftigt. Im Endeffekt lässt sich eigentlich alles was irgendwie verbogen ist, auf Telemetry zurückführen. Dank der kurzen Halbwertzeiten/Updatezyklen der Builds, wird das reagieren auf diese Situation zukünftig aber fast unmöglich.
  2. @DoseO: Es gibt ne Menge How-To's. Davon sehr viel die noch nie was taugten und noch mehr die nichts mehr taugen weil MS mit jedem Build die Spielregeln verschärft. Insofern verstehe ich seine Frage durchaus wenn er diese in einem wirklichen Profi-Forum stellt. Zu Deiner Frage, ich nehme an die meinst die Aufzeichnungen sowie Übermittlungen die permanent im Hintergrund laufen und A die Privatsphäre verletzen und B ne Menge IOPS versauen. Insbesondere die Writes. Man kriegt Windows 10's Aufzeichnungen auf praktisch 0 (Systmereignisse etc. ausgeschlossen, die machen ja Sinn). Der Aufwand dazu ist aber echt krank. Die Side-Effects bei den Tests enden z.B. mitunter in einer fehlenden Suche, defektem Startmenü, zerschossenem EventHandler usw. Wir sprechen hier von der Entfernung von Systemfiles, manueller Berarbeitung der zugehörigen WinSxs Store-Files auf der Platte und auf der Registry, feindliche Übernahme des TrustedInstallers weil Registry-Werte und Systemfiles weder für System noch für Administratoren zugänglich sind, eigene Hintergrundienste im Stile von MS um die entsprechenden Registry-einträge zu überwachen bei bestimmten Ereignissen zu triggern und zu reagieren, Entfernung gewisser Komponenten aus dem Component-Store, Bildung spezieller User/Gruppen mit denen dann ohne Anmeldung die Daten bearbeitet werden kann weil sonst die Werte wieder überschrieben werden usw. Einfach mal ein paar Stichworte dazu: - AIT-Agent ist ein fast komplett unsichtbarer Hintergrundtask der nicht (mehr) deaktivierbar ist obwohl es ihn nach wie vor gibt. - Diverse Systemdienste die irgendwelche kryptischen Logs wegschreiben auf die man selber nicht ohne weiters Zugriff hat. - Als Stromspar getarnte SleepStudy in Power sowie Energiesparungs-Modulen welche die exakte Nutzungsdauer, Anwesenheit usw. protokollieren. - Netzwerkdatenzwischenspeicherung in User-Files ohne Zugriff was hier gespeichert wird - Datenschutzeinstellungen auf Nutzerebene anstatt Systemweit - Automatisch erstellte Firewall-Ausnahmen auf Benutzerebene für moderne Apps wie Cortana - abschalten/konfigurieren nicht ohne weiters möglich (diesen Punkt finde ich extrem krank) - zahlreiche Firewall-Regeln im Static-Bereich für moderne Apps die man selber nicht sieht und per Powershell/Cmd-Prompt nicht bearbeiten kann - früher war das auf absolut notwendige Systemdienste beschränkt. - Dienste und Hintergrundtask die völlige immun gegen Powershell und teilweise auch Command-Prompt-Befehle sind --> Aktuell noch mit Registry-Bearbeitung möglich - Index auf Handschrift-Komponenten und andere persönlichkeitsrelevanten Dateiendungen die nicht ohne weiteres entfernt werden können - Nicht-Vorhandener Benutzer im System (SID ersichtlich) der Leserechte auf alles hat. Vermute das ist ein Online-Account von MS - Eideutige ID's für den PC bei Telemtry und ErrorFiles (wozu - wenn nicht zur identifizerung - soll das gut sein?) - Dann gibt es noch irgend einen Account/Dienst der sich nicht um eingestellte ACL's schert und trotz kompletten Rechte-Entzug oder Zuteilung an eine eigene Gruppe die Values immer noch überschreiben kann. Das konnte ich in dieser Art früher nicht feststellen. Wenn das Schule macht, dann können wir uns auf etwas gefasst machen. Vor allem als Privat-Nutzer. Hat man mal etwas gescheites gescripted, heisst es nicht, dass es mit den nächsten Builds oder Updates immer noch funktioniert. Bei Enterprise/LTSB stehen die Chancen noch am besten. Auf alle Fälle sind die Hürden so hoch, dass die meisten sich den Aufwand der Analyse schlicht sparen können. Im Privatbereich wo alle 3 Monate ein neues Windows aufgespielt wird sowieso. Ist ein Fass ohne Boden. Aus eigenem Interesse (Firma) sowie etwas Obrigkeitsrebellion arbeite ich selber seit längerem immer wieder mal an einem solchen Script auf Basis der LTSB-Version. Was nur schon vom ersten zum zweiten LTSB Release nicht mehr funktioniert hat ist beachtlich. Der Aufwand ist irgendwie total schwachsinning, insbesonder wenn das Script reversibel sein soll. Hat mittlerweile mehrere tausend Zeilen. Entweder man nimmts hin oder tut sich das an. Wenn MS den gleichen Effort für die Qualitätsprüfung der Updates aufwenden würde wie für die Verschleierung und Schützung "ihrer" Telemetry und Index-Daten, dann hätten wir innert kürzester Zeit ein fehlerfreies Windows. Ein Teil davon hat sicher auch einen gewissen Nutzen für den Admin und manche Indexe dienen auch massiv der Bequemlichkeit (Startmenü-Suche z.B.). Da der Kram aber A in Cortana gelistet ist und B einen solchen Aufwand betreibt damit sie nicht abgedreht werden können gehe ich stark davon aus, dass die Daten eben auch bei MS landen.
  3. Storage Spaces Direct in Windows Server 2016

    Liest sich je nach Interpretation doch etwas forscher als beabsichtigt, korrekt. Nicht in meinem Sinne. ReFs ist meines erachtens technisch ausgereift, ebenso wie die Storage Spaces. Waren sie bis auf einen wirklich misslichen Bug eigentlich von Anfang an. Klar fehlen ein paar Features, hat aber mit der Zuverlässigkeit meines Erachtens nichts zu tun. Setze das schon seit es das gibt produktiv ein. Da war Software RAID bei vielen noch mehr als verpöhnt. Aber egal anderes Thema. ;) Klar ist 3-Nodes besser als 2. Ist alles eine Frage der Logik. Wenn ich Stripes über mehrere bzw. alle verfügbaren Platten konstruiere, dann ist logisch, dass wenn in Stripe 1 auf Host A und Stripe 2 auf Host B ne Platte defekt ist, unter Umständen alles am ars*** ist. Ist aber - wenn es dumm läuft - in jeder normalen SAN nicht anders. Da hat man zudem noch das Mainboard als gemeinsame Komponente, raucht die ab, ist auch alles tot. Ausserdem heulen die meisten ja bereits rum, wenn zwei SSD's für nen Spiegel gekauft werden muss. Bei dreien hört es dann meist ganz auf. Aber auch ein 2-Node Cluster lässt sich so aufbauen, dass dieser Fall nicht eintritt. Insofern kann man auch gut mehrere Pools à 2 Discs machen um das Striping von Anfang an zu verhindern. Die Performance ist dadurch gerade bei etwas günstigeren Enterprise Platten nicht schlechter sondern sehr oft sogar besser. Im Endeffekt ist es wie bei vielem, irgend einen Tod muss man sterben und Designfehler bleiben Designfehler. Konventionelle RAID-Discs: Klar kannst Du konventionelle RAID-Volumes als Basis verwenden. Würde ich bei Magnet-Discs auch in jedem Fall so machen sonst ist die Performance absolut unterirdisch. Da nutzt unter Umständen auch der Cache nicht mehr so viel. Von Rebuilds bei nem Discfehler will ich gar nicht erst sprechen (evtl. wurde das aber verbessert, keine Ahnung). Wie auch immer, die Hauptfragezeichen punkto Performance mit Storage Spaces stehen nach meiner Erfahrung im direkten Zusammenhang mit den verwendeten SSD's. Wird top Ware verwendet, gibts ein Top Ergebnis. Skaliert auch nahezu linear. Bei mässiger Ware ein verhältnissmässig schlechtes bis sogar sehr schlechtes. Mittelmass ist leider eher schwer möglich, je mehr Discs im Stripe, desto schwieriger wirds (Latenz-Problematik).
  4. Storage Spaces Direct in Windows Server 2016

    @Net Runner: Verstehst Du wie die Storage Spaces funktionieren bzw. hast es bereits eingesetzt? Das ist technisch sehr ausgereift ob nun das neue Direct oder "klassisch". Wenn man das überhaupt bereits als klassisch betiteln kann. Ist ja noch nicht viel mehr als 1-2 Computergenerationen alt. =) Ausserdem hindert Dich niemand daran anstelle einzelner Discs Volumes die auf einem Hardware-RAID liegen zu Verfügung zu stellen. Das ist sicher kein Argument. Macht bei Magnetplatten unter Umständen sogar durchaus noch Sinn weil der Write-Cache den klassischen Storage-Systemen nach wie vor etwas hinterherhinkt. Des weiteren kannst Du mit Storage Spaces problemlos Mehrfachfspeicherungen vornehmen. Es gibt nicht viele Speichersysteme mit einer solchen Flexibilität. Warum das bei Storage Spaces Direct nicht so sein soll erschliesst sich mir jetzt nicht wirklich. Kannst Du gerne näher ausführen. Nichts desto trotz sind 2 Nodes anfälliger als 3 oder 4 Nodes und die Einstiegskosten sind enorm weil für Direct erstens spezifische Hardware benötigt wird und bei den Lizenzen für SS Direct Datacenter gefragt ist. Denke hier will MS verhindern, dass SMB-Kunden die Cloud-Pläne von sich selber und allfälligen Partnern mittelfristig zunichte machen sobald der benötigte Hardware-Kram günstiger wird. Dürfte ein Schulterschluss sein. Dann wäres es noch sinnvoll neben Starwind noch den aktuellen Platzhirsch zu nennen: Datacore
  5. WSUS: Produkte und Klassifizierungen - Windows 10

    @MC: Ich wiederhole es gerne auch hier, wollte den Thread nicht für die Diskussion missbrauchen daher habe ich ihm ne PN geschrieben. Persönliches gehört in PN's finde ich zumindest. Genau wie allfällige Anfeindungen. Klar für Vielbesucher werden meine Bedenken etwas arg oft gelesen, aber nicht jeder ist pausenlos da. Habe es ihm (Sunny) auch angeboten "Kritik/Information" dieser Art zukünfigt in einem "spoiler" zu schreiben, dann muss man es extra einblenden. Gleichzeitig habe ich ihn darum gebeten mir einen Alternativen Weg zu nennen. Genannt hat er mir übrigens beides nicht. ;) Fakt ist numal, dass sich MS quasi jedes Recht herausholt mit den Bestimmungen die A jeder anklickt, gleichzeitig sicher nicht liest und B man nunmal nicht an MS vorbeikommt. MS hat nunmal ein Quasi-Monopol im Desktopbereich (Was ich im Grund gar nicht schlecht finde - deutlich einfacher). So wie Apple und Google den Mobilbereich untereinander aufteilen. Es kann bzw. darf eigentlich nicht sein, dass ein Konzern wie MS - der eine sehr hohe Verantwortung trägt - die zahlende Kundschaft zu einem Produkt und in ein bestimmtes Nutzungs-Modell drängt oder nötigt (wie auch immer man das nennen mag), gleichzeitig ausspioniert (im übertragenen Sinne - so ganz genau weiss man es ja auch nicht) und die erhobenen Daten irgendwie verwendet - wie genau weiss man auch nicht. Man weiss eigentlich gar nichts, ausser das man einfach mal alles erlaubt. Die im Internet verfügbaren "Aktuellen" Bestimmungen sind zudem so vage formuliert, dass sie eigentlich auch keine wirkliche Relevanz haben. Zumal ja fast alle MS-Internet-Angaben keinen rechtlichen Charakter geniessen. Von daher habe ich immer noch die Hoffnung, dass mit einer besseren Information der Nutzer der Druck auf MS bzw. eben die Entscheidungsträger etwas steigt und diesbezüglich etwas gemacht wird. Ist übrigens mein "Antrieb" das überhaupt regelmässig zu beschreiben. Mir persönlich ist es egal mehr für ein Produkt zu bezahlen wenn dafür meine Daten bei mir verbleiben. Aber ich habe die Möglichkeit dazu gar nicht. Als Privatperson noch weniger als im Geschäft. Nur zur Klarstellung: Ich bin ein MS-Befürworter (fast) erster Stunde (habe mit Dos 6 angefangen) und war bis auf Vista mit jedem Ihrer Produkte im Allgemeinen mehr als zufrieden und bin es heute noch. Aber was hier auf der nicht-technische Seite abgeht finde ich persönlich sehr heftig und braucht meines erachtens nunmal Aufklärung. Da hilft es nix wenn die Produkte technisch excellent sind, man sie aber eigentlich gar nicht guten Gewissens bei den Kunden installieren kann weil einfach die effektiven Datensammel-Aktionen sowie deren Verwendung unglaublich unpräzise oder gar nicht formuliert sind. Auf jedem Computer steckt Know How der Firmen drinn. Am Ende ist noch der Installateur mitschuldig weil er die "Häckchen" setzt und nicht die Chefs der Firmen selbst, weil die sowas angeblich niemals bestätigt hätten. ;) Es wurde wieder eine A4-Seite. =)
  6. KB3205402 kommt immer wieder

    Nun, das sind einige. Du kannst versuchen die fehlerhaften Files bzw. die kompletten Ordner direkt von einer Windows-CD/Windows Image zu holen und reinzukopieren. Im Link von Sunny's Post steht beschrieben wie. Danach sollte SFC grundsätzlich durchlaufen. Von Repair-Installationen rate ich ab, dann lieber gleich frisch aufsetzen. Was ich vergessen habe zu erwähnen, weil ich das jeweils automatisch mache: Hast Du "C:\Windows\SoftwareDistribution" vor den Updates sowie nach der Deinstallation mal komplett gelöscht und 1-2 reboots gemacht? --> Dafür musst vorher die Dienste Windows Update sowie BITS deaktivieren. --> Hilft bei sehr vielen unerklärlichen Update-Problemen. (Bei dir sind sie eigentlich erklärbar wenn auch nicht zwingend zusammenhängend, weil sfc Fehler spuckt).
  7. WSUS: Produkte und Klassifizierungen - Windows 10

    Was Du genau anhaken sollst, kann ich Dir auch nicht sagen. Dafür habe ich mich noch zu wenig mit den W10 Installationen rumgeplagt. Habe bisher erst eine Installation wo ich die W10 Kröte Schlucken musste (Anmerkung hier: Finde W10 technisch absolut gelungen, wie fast immer bei MS - Nur die Randbedinungen sind mittlerweile eine Katastrophe). Das ist eine Steuerung die zum Glück Offline betrieben wird. Bin bei W10 erst bei Testungen bezüglich verhinderung von Datensammlungen etc. Ich hole mal etwas aus: Wenn man die Entwicklung bei MS der letzten Jahre etwas beobachtet braucht man dazu keine Glaskugel. Das zeichnet sich ab. Aktuell für die W10 Pro sieht man es daran, dass bereits jetzt einige GPO's nicht mehr greifen. Zum Beispiel kann nur in Enterprise-Versionen von Windows 10 der dämliche Lock-Screen deaktiviert werden, in Pro-Versionen seit 1 oder zwei Upgrades nicht mehr. MS möchte die Kunden Stück für Stück vergraulen damit man "freiwillig" ins Mietmodell wechselt. Alles in nur so grossen Schritten, damit nicht allzuviele Kunden aufs mal verärgert sind weil sonst der Aufstand zu gross wäre und eventuell sogar die Wettbewerbshüter auf den Plan rufen würde weil MS im Grunde eine Monopol-Stellung inne hat. ;) Das ganze hat im Grunde mit SP3 für Windows XP angefangen. Da wurden die Nutzungsbestimmungen das erste mal grosszügig verschärft. Es waren aber nur wenige Kunden tatsächlich betroffen. Weiter gings mit anderen Rand-Installation wie den virtuellen Desktops und eigentlich "Must-Have" Optionen für z.B. Exchange die nur per Miete erhältlich sind. Aktuell gehts weiter zu den physischen Desktops sowie den miesen Bedingungen für Kauflizenzen bei Office (im Vergleich zu 365). Per User ist zum Beispiel nicht käuflich erhältlich. Die Entwicklung wird ihren Abschluss in den Server-Versionen sowie Applikationen finden. Ich war ja bereits soweit, dass ich teure Server Versionen für meine Clients gekauft hätte weil mir die aktuelle Betriebsphilosophie des Managements in Sachen Mietmodell und Datenschutz überhaupt nicht gefällt. Kaufe zwar seit ich mich erinnern kann SA zu unseren Produkten hinzu aber erzwungene Miete geht mir komplett gegen den Strich. Da bleibt echte Innovation früher oder später auf der Strecke und nur noch der Profit zählt. Seit sie aber den Cortana-Müll sowie die aufgeblasene GUI auch auf die Server Versionen übertragen haben, gibt es dafür leider auch keinen Grund mehr. Die Schlanke GUI wurde schlicht gestrichen, dabei hätten Sie z.B. einfach die von W7 oder 2012 als Minimale-GUI behalten können ohne das ganze Desktop-Experience Gedöhns. Bei einem Mietmodell kann MS fast beliebig an der Preisschraube drehen weil niemand mehr so ohne weiteres aussteigen kann. Auch länderbezogene Preise die sich an der Kaufkraft orientieren, sind viel einfacher durchzusetzen weil es mit Miete keinen Parallel-Import mehr geben kann. Absolut krass finde ich ja, dass die Preise für die Kauflizenzen auch aktuell immer weiter steigen und gleichzeitig der Datenschutz total in den Keller geht. Doppelte Gewinnmarge. Geht alles weil Monopol. Nicht falsch verstehen, ich bin seit DOS ein absoluter Befürworter von MS-Produkten, aber das aktuelle Management ist leider geprägt von Managern und nicht mehr von verantwortungsvollen Inhabern. Wie leider mittlerweile in vielen grossen Konzernen.
  8. WSUS: Produkte und Klassifizierungen - Windows 10

    Du wirst gar nicht drumrum kommen die Versions-Upgrades zu installieren weil MS die anderen Updates schlicht davon abhängig machen wird bzw. teilweise bereits macht. Zudem ist die Pro-Version ist in Zukunft nur noch bedingt Unternehmenstauglich, ist bereits teilweise und wird vermutlich komplett zum Consumer-Produkt degradiert. --> Mietmodell Falls Du tatsächlich eine Version behalten möchtest, wirst um Enterprise bzw. besser LTSB nicht herumkommen. LTSB ist (vermutlich neben den Industry-Versionen) die einzige Version mit langfristem Nicht-Update-Zwang.
  9. Win 10 Search Indexer abschalten per GPO

    Das Problem beim Index-Dienst bzw. eigentlich der kompletten Datenkrake mit dem Überbegriff Cortana aus Windows 10 (Und ja sogar Server 2016 ist vollgestopft mit dem Kernschrott) liegt leider tiefgreifend. Immer mehr ist mittlerweile von dem Krempel abhängig. Einfach deaktivieren ist nicht und bringt massive Eingriffe ins System und den Nutzungskomfort mit sich. Granular einstellen lässt er sich auch nur mit enormsten Aufwand. Wir der Kram komplett deaktiviert, hast Du unter Windows 10 weder ein Startmenü noch eine Taskleiste oder die Info-Symbole. Also der komplette Steuerbalken fehlt. Möchte man etwas einschränken, dann wirds echt heftig weil nichtmal der Benutzer System den Schrott deaktivieren kann. Man muss sich also noch weitere Rechte erschleichen (Aktuell reicht TrustedInstaller). Der Aufwand der MS betreibt um die Deaktivierung zu verhindern ist enorm. Zu Deinen Fragen: - Outlook: Keine Ahnung wie stark mittlerweile Outlook in Cortana eingebunden ist. Ich tippe darauf, dass dies in aktuellen Versionen noch nicht so stark der Fall sein wird in künftigen aber mit Sicherheit. - Dateien finden: Nun der neue Finder in Windows ist ja eh schon grottenschlecht im Vergleich zu XP. Auch wenn er theoretisch mehr kann. Ohne Index ist die Suche sogar um Welten zuverlässiger (für alles was nicht grad Word und Excel ist) dafür aber sehr IOPS-Intensiv und deutlich langsamer. - Abschalten per GPO: Richtige Flags gibt es nicht dafür. Zumindest keine die tatsächlich übergreifend wirksam sind. Etwas beschränken kannst Cortana schon, aber für das meiste Du selber Hand anlegen und entsprechende Massnahmen treffen sowie mühselig eruieren wo der Schrott überhaupt gespeichert wird. Ohne Enterprise Versionen wird das aber sowieso mühsam werdenin Zukunft weil die GPO's gar nicht greifen werden. --> Weitere Massnahme zum schleichenden Übergang Mietmodell. Es gibt verschiedene Möglichkeiten. Bis hin zu Entzug sämtlicher Rechte für System und TrustedInstaller für bestimmte Regionen auf der Festplatte sowie Registry. So kannst Du - zumindest zurzeit - wirksam verhindern, dass ein Index gepflegt wird. Später wird MS das wohl ins RAM verschieben wo ein Nachvollzug der Tätigkeiten schwieriger wird. Aktuell lässt sich mit RegShot und anderen Tools die Veränderungen im laufenden Betrieb sehr gut protokollieren, du wirst nicht glauben wie viele Hives verändert werden ohne das Du auch nur einen Klick machst. Ich bin der enormen Datenkrake jendenfalls sehr skeptisch eingestellt, zumal sich MS quasi die Rechte "erschleicht" diesen zu Nutzen mit den Nutzungsbedingungen. Völlig egal ob man eine teure Lizenz oder so ein quasi "Gratis-Windows" auf Consumer Geräten hat. Es gibt keine Möglichkeit zu weichen, auch nicht für Geld. Es gibt wohl nichts was aussagekräftiger ist als ein guter, gepflegter Index. Nicht umsonst erstellt Microsoft z.B. für jeden Benutzer automatisch eine Firewallausnahme für Cortana. Ein Schelm wer böses dabei denkt. Cortana ist die Schaltzentrale aller Indexe des Systems. Eigentlich gibt es kein Grund, dass diese nach draussen senden muss. Ich warte auf den Tag, wo es eine versteckte Firewall-Regel wird (die übrigens mit W8.1 und vor allem 10 sprungartig zugenommen haben). Aktuell ist sie noch direkt ersichtlich. Ich meine Privat kann man damit leben oder eben darauf verzichten. Den meisten ist das ja eh völlig egal wie man an der Nutzung der Mobiltelefone sieht. Im Behörden oder Unternehmensbereich halte ich das aber für unmöglich, man kommt an den grossen Konzernen sehr selten vorbei. Da zieht im Grund jeder die Unterhosen aus.
  10. KB3205402 kommt immer wieder

    Was heisst genügend? 3-4 GB oder 10-12GB? Das ganze auch schon im abgesicherten Modus versucht? Aber, wenn sfc scannow fehlschlägt ist normal etwas im argen. Könntest noch ein Abgleich mit einem Original-Image machen wie im KB-Artikel vom Dr. beschrieben. Birgt aber - soweit ich mich erinnere - immer etwsa die Gefahr, dass Einstellungen etc. verloren gehen. --> Evtl. auch mal im abgesicherten Modus. Post doch auch mal die Fehler die SFC bringt.
  11. KB3205402 kommt immer wieder

    Hätte des öfteren erlebt, dass zu wenig Festplatten-Platz schuld war das .NET Updates fehlschlagen. Ist so aber nicht unbedingt in einem Log erkennbar. Was Du auch versuchen kannst sind alle .NET relevanten Dienste zu deaktivieren/abzuschalten und dann die Updates zu installieren. Ein weiterer Versuch wäre die Updates im abgesicherten Modus zu installieren, dann hättest die Gewissheit, dass irgend ein Dienst oder Task das Update blockiert.
  12. Lizenzierung während Exchange Migration

    Ohje, auch wenn man MS mittlerweile sehr viel zutrauen muss, dass sie hier je gegen den Kunden aktiv werden garantiert nicht. Man würde ja so die SA Käufer gegenüber den ab und zu Neukäufern benachteiligen und das ist zu 1000% Sicherheit völliger quatsch. Wöllig Wurscht ob es nun in den Bedingungen durchverklausuriert ist oder nicht. Ausserdem war Migration noch nie ein Schwarz/Weiss Thema. Wie lange es dauert bis ein System komplett abgeschaltet oder gelöscht werden kann, ist selbst in kleinen Umgebungen nicht immer zu 100% im voraus klar. Wenn die Doku nicht vollständig war oder selbst wenn sie es ist und irgend eine Software fix einprogrammierte Pfade hat die man nicht selber ändern kann, macht man deswegen nicht gleich die ganze Migration rückgängig. Bei MS wird bei einer Lizenzprüfung schlicht und ergreifend darauf geschaut, warum nun ein System eben 2 Wochen oder 3 Monate nachläuft. Wenn es ihrer Meinung nach zu lange ist (mehrere Monate) braucht man eben eine schlüssige Erklärung. Genügt Ihnen das nicht weil die Erklärung fadenscheinig ist oder mehrere Monate schlicht des guten zuviel, braucht man eben ne zusätzliche Lizenz. Kleine Anmerkung: Insofern verstehe ich es nicht wirklich, warum in einem so klaren Fall (siehe Satz 1) bei Microsoft nach fixen Regeln bzw. einem fixen Statement nachgefragt wird und die Praxis die nun seit über 20 Jahren herrscht nicht einfach so hinnimt. Sobald etwas im Detail beschrieben ist, sind es harte Facts wo der Handlungsspielraum der Prüfer massiv eingeschränkt wird und eine tiefergreifende Abklärung nötig wird. Das ist wohl weder im Interesse von MS noch von den Kunden. Just my 2cents.
  13. Du könntest schauen welche Veränderungen in der Registry/Dateisystem gemacht werden und aus den releavanten Parts ein Script und/oder GPO zusammenbauen und ausrollen. --> zB. mit Regshot Ist auch ganz witzig um zu sehen was und wie oft Windows alles für Schrott loggt... =)
  14. Verstehe das so: Er möchte mehr Sicherheit durch Beschränkung des Traffics auf einen bestimmten Empfänger für eine bestimmte Website. Allerdings geht der Traffic dieser bestimmten Website bei Port 80 wie ja schon angemerkt wurde, auf unverschlüsselte Weise durchs Netz. Das heisst in dem Moment wo ein Zugriff stattfindet, kann der Zugriff relativ einfach mitgeschnitten werden. Fast noch schlechter wenn auch noch authentifiziert werden muss. Dann gibt man auch noch die Zugangsdaten preis. Deshalb: Wenn Du sowas tatsächlich brauchst, entweder wie erwähnt wurde mit Authentifzierung und verschlüsselt oder aber in einem dedizierten Netz. Wenn verschlüsselte Authentifzierungen ein zu grosser Aufwand wäre oder schlicht nicht zu Verfügung steht, kann man sich auch einfach mit einer "Zugangskiste" einen Einstiegspunkt bereitstellen. Sie hätte dann eine dedizierte LAN-Leitung zum Server (Auch z.B. virtuell Hostintern möglich) wo die Website auf einem Port auf einer eigenen IP präsentiert wird. Diesen Port blockt man in der Firewall für alle anderen Adressen. Zudem hätte die Zugangsiste eine zweite IP im regulären Netz auf die man sich per Remotedesktop verbinden kann. So hat man einigermassen elegant ohne grosse Konfiguration eine verschlüsselte Authentifzierung auf Windows-Ebene ohne sich selber darum kümmern zu müssen. Kleine Zusatz-Anekdote zur Windows Firewall (wens dich interessiert) Die Windowsfirewall lässt leider nur das Filtern auf einen bestimmten Adaptertyp sowie IP-Adressen etc. zu aber keine Begrenzung auf einen bestimmten Adapter selbst. Auch wenn hier Microsoft leider nicht die absoluten Basics des TMG in die Windows-Firewall übernommen hat, ist so die Hürde doch relativ hoch, via dem regulären Netz direkt auf die Seite zu kommen. Der TMG-Aufsatz (Der Installer ist gerade mal lächerliche 124MB gross mit enormer zusätzlicher Funktionalität) hat diese Einschränkung nicht. Hoffe ja immer noch, dass dessen Basis-Funktionalität irgendwann mal offiziell in die Windows-Firewall übernomen wird, dann wäre sie endlich mal wirklich tauglich. Seit aber Server 2016 raus ist und dem nicht so ist, schwinden meine diesbezüglichen Hoffnungen. Keine Ahnung ob es in den tiefen des Stacks irgendwo versteckte, nichtkommentierte Commandlines gibt, welche diese Filtertechnik zulässt und sich der TMG dieser bedient oder ob dies tatsächlich durch den TMG selbst gemacht wird. Gefunden habe ich die Alternative auf Kisten ohne TMG leider nie obwohl ich schon stundenlang im Netz gesucht habe. Verschwörungstheorie: Vielleicht wäre das auch schlicht viel zu effektiv, weil damit die ganzen unsichtbaren MS-internen Adapter auf absolut simple Weise ausgehebelt würden. Keine gute Sache wenn man BigData betreiben möchte und die Bedingungen in W10/SV2016 entsprechend festlegt. ;)
×