Weingeist

Deaktivieren ist nicht so einfach. Die meisten Einstellungen macht Windows selbständig mittels Tasks/Services wieder rückgängig. Ich bin aber auch grundsätzlich der Ansicht von Testperson, dass man zuerst mal die Probleme angehen sollte. Am meisten Ruhe hast mit der LTSB-Version. Da gibt es (fast) nur Sicherheitsupdates. Wie auch immer, es gibt auch Situationen wo man dazu gezwungen wird. Bei Industrie-Steuerungen sehe ich mich in die frühe XP Zeit zurückversetzt wo selbst Sicherheitsupdates auf Steuerungen nicht möglich waren ohne die Kisten abzuschiessen. Da eigentlich nur LTSB für die Industrie tauglich ist, diese aber so gut wie nie eingesetzt wird, kann man wieder munter Update-Dienste komplett abdrehen. Dabei war es die letzten 10 Jahre so schön. Habe so gut wie nie mehr Ärger gehabt mit Updates und heute legt es mir ganze Produktionszellen lahm. Zu deiner Frage: - In der GPO (lokal oder auf AD) eine fiktive WSUS-Adresse eintragen (3 Einstellungen) - Internetkonnektivitäts-Erlaubnis für Update-Dienst abdrehen (GPO) - Möglickeit entziehen, online nach Updates zu suchen (GPO) Dann ist Ruhe im Karton auch wenn W10 die Dienste selbständig wieder aktiviert. Auch restriktive Firewall-Regeln bzw. Whitelisting hilft, dazu sind aber Eingriffe in die Registry nötig (manuelle Bearbeitung von System-Regeln).

Hi Dr. Es wäre schön wenn Du mit genauso viel Elan diese Aussage in der Versenkung verschwinden lassen würdet, wie Du gegen jeden Kommentare vorgehst, der gegen die aktuelle MS-Politik spricht. Sie ist nämlich schlicht falsch. MS hat nach wie vor ein Quasi-Monopol im KMU-Bereich. Man hat nur eine Pseudo-Wahl an MS vorbeizukommen. Das weisst auch Du ganz genau. Erkenne das bitte auch endlich mal an. Und das die Regeln egal ob Preis-, Lizenz- oder Datenschutztechnischer Natur vor nicht allzulanger Zeit noch deutlich besser für den Kunden waren, ist nunmal ebenso Fakt. Da musst Du dich genauso damit abfinden, wie sich die Leute mit Deinen Aussagen zu diesem Thema abfinden müssen. Ändert natürlich nichts daran, dass sich der TO ebenfalls mit den Regeln abfinden muss. Ob er nun will oder nicht. Eine Wahl wird er wie viele andere auch - objektiv gesehen - nicht haben.

Kurze Rückmeldung (ist ja so dolles Wetter, kann man auch ohne Verlust arbeiten *g*) - mit der zusätzlichen Tabelle klappt es 1A. 1. Tabelle erstellt mit je einem Feld für jeden Datentyp 2. Qry erstellen die gleich aufgebaut ist (Feldnamen, Datentyp) wie die anderen (SELECT tbl0.valGUID AS Feld1_GUID, tbl0.valGUID AS Feld2_GUID tbl0.valCurrency AS Feld3 FROM tbl0) 3. die neue Qry an erster Stelle mit in die UNION SELECT aufnehmen Die Performance ist wie vermutet identisch. Bei nachfolgendem Joins mit Basis der Union-Qry vielleicht sogar ein tick schneller. Die tbl0 verwendete ich vorher schon für Berichte als Datengrundlage. (Access hat bei der Arbeit mit Instanzen und Manipulation am Design/Datengrundlage teilweise die Angewohnheit die Daten doppelt zu laden. Basiert die Datengrundlage auf einer Tabelle ohne Datensätze geht das öffnen von Reports nahezu doppelt so schnell.)

@Zahni: Access nur für Backend: Naja, da hast sicher nicht unrecht. Aber gerade die Backend wäre eigentlich sinnvoll von Anfang an auf SQL. Ist halt ein typisches Access-Projekt, mit was kleinem Angefangen und ständig gewachsen. Sind an die 350 Tabellen und rund 150'000 Zeilen Code (alles objektorientiert, wenig doppeltes). Eine Migration wäre aufgrund vieler automatisierten Workflows mit Barcode-Reader, Waagen usw. extrem aufwändig. Dafür ist die Syntax seit nunmehr 20 Jahren identisch da VB6 und läuft (noch) einfach auf jeder Kiste. Bei .Net wären die laufenden Anpassungen viel Aufwendiger ;) @Frank: Jetzt hast dus! Hätte noch mehr auf Lager die man normalerweise nie zu Gesicht bekommt. Bis hin zur untersten Ebene mit C++ runtime Fehler wo das ganze Office abschmiert. Yep, das mit der Reihenfolge hatte ich auch rausgefunden, hilft aber nicht wenn Du deren zwei Qry's hast die jeweils ein einzigartiges Feld haben. Ein halbpatzige Lösungen habe ich, ist aber irgendwie nicht dauerhaft 1. die Abfrage mit einer ge-0-tenGUID speichern (ein allfälliges bereits existierendes Feld mit NULL das Kauderwelsch verursacht muss erst gelöscht und Abfrage gespeichert werden). 2. die 0er-GUID mit NULL ersetzen und wieder speichern Leider habe ich keine Ahnung wo Access die ganzen Quellcodes mit allen Angaben von Abfrage/Formularen/Klassen ablegt damit man es selber reinpatchen könnte. Läuft über irgendwelche XML-Schnittstellen, habe dazu aber leider noch keine Doku gefunden gefunden wie man das selber nutzen könnte. Habe da schon Stunden mit Analysen verbracht. Dann halt die Workarounds die ich teilweise schon genannt habe: 1. In den anderen Tabellen ein Phantomfeld (gefällt mir gar nicht) 2. Eine zusätzliche Tabelle nennen wir sie mal "tbl0union" mit jeweils einem Feld jedes Datentyps und dann mit dieser eine zusätzliche Abfrage erstellen, die man dann zuoberste in die UNION-QRY packt. Dürfte auf die Performance keine Auswirkungen oder höchstens eine positive haben, weil eine Tabelle ohne Datensätze den Feldtyp für sämtliche Felder erzwingt. Sprich keine der Folgeabfragen hat dann ein udefiniertes NULL-Feld mehr. Oder direkt mit Aliasen in die UNION-Qry ist dann aber weniger übersichtlich. (Die gefällt mir eigentlich gar nicht so schlecht, ist mir gestern Abend beim Bier als Gedankenblitz durch den Kopf) Bezüglich CAST: Der heisst in Access StringFromGUID und gibt die 36er Variante raus. Für SQL Qry's brauchst z.B. die 45er Variante und in der Software der Einfachheit halber die 32er oder 36er. Habe ich mit einer eigenen StringFromGUID gelöst wo ich die Länge als Argument übergeben kann. Die Arbeit mit GUID's ist eigentlich ziemlich easy. Sie vereinfachen sogar so manches. Solange man eben die Cave-Eats kennt und zu umgehen weiss. Richtig lästig ist nur das keine Verknüpfungen von Main und Subreports direkt möglich sind und eben die gecastete Variante in der zugrundeliegenden Abfrage notwendig ist. Solange man das aber in der letzten Qry macht, ist die Performance gut.

@Zahni: Ja klar, aber wenn ich nachher die UNION Qry wieder joinen muss ist eben essig. Könnte ich natürlich auch in den Zugrundeliegenden Abfragen bereits erledigen, ist aber deutlich langsamer (knapp 30%) als wenn ich erst auf Basis der UNION-Qry einen Join laufen lasse und auch die Komplexität/Wartung der zugrundeliegenden Abfragen sowie die Übersicht wird um ein vielfaches mühsamer. Warum GUID: Die ganze Anwendung basiert mehrheitlich auf GUID's. Hat verschiedene Gründe warum das im Endeffekt deutlich besser ist. Insbesondere dient es der wirkungsvollen Datenkonflikt-Vermeidung wenn viele Clients auf die gleiche Backend-Zugreifen. Man hat ja keine SP's in Access und muss alles in der Software abbilden. Die meisten Probleme die man mit Multi-User und Access haben kann, treten mit GUID's als Keys in Bearbeitungstabellen gar nicht erst auf. Auch kann man die Write-Zeiten auf ein Minimum reduzieren weil Datensätze inkl. PK's erstmal nur im RAM der Clients liegen und dann gesammelt geschrieben werden = Weniger gleichzeitige Writes = Vielfaches der Performance und keine Daten-Konflikte. Ein weiterer Punkt sind externe Daten. Die können generiert und ohne Anpassung exportier/importiert werden. Ein Abgleich ist mit GUID's als PK/FK ist viel einfacher als mit einfachen Zahlen. Einfache Zahlen kann eigentlich nur ein Server zuverlässig generieren, eine GUID auch problemlos ein Client. @Der Frank: Solange die zugrundeliegende Tabelle ein GUID-Feld hat, welches wiederum in manchen Datensätzen den Wert NULL und in manchen Datensätzen einen ForeignKey auf eine andere Tabelle aufweist, ist alles kein Problem. Wenn aber eine der Queries dieses Feld nicht in einer Tabelle hat, wird es zum Problem. Siehe dazu die SQL-Syntax der Abfragen meiner letzten Antwort. --> (SQL-Syntax: Feld2 AS NULL)

Die richtigen GUID's müsste ich dann auch umwandeln damit es so überhaupt klappt. Wenn aber GUID's in CHAR umgewandelt werden, wird die Performance unterirdisch wenn nachher noch ein Join gemacht werden muss. Kann man komplett knicken. Muss ich an manchen Stellen zwar auch machen, aber nur wenn ein Formular oder Report die GUID nicht selber wandeln kann und das ist nur bei der Verlinkung mit SubReports/Forms der Fall. Dann gibt es das aber immer als zusätzliches Feld und nicht anstatt. Eine ge-0-te GUID ( {guid {00000000-0000-0000-0000-000000000000}} ) funktioniert übrigens. Dann sind aber allfällige Joins auf eine grössere UNION SELECT Qry wieder sehr viel langsamer als wenn es wirklich NULL Werte sind. Diese werden bei JOINS ignoriert. Die realen Abfragen sind leider bei weitem nicht so trivial gestrickt wie mein Reproduzier-Muster hier.

Ja klar, Aliase sind ja SQL Basics. Die Syntax von Access (ADO) ist ja eh identisch mit SQL-Server. Wenn das Probleme geben würde, hätte ich mit dem Stück Software ganz andere Probleme. Das Problem gibt es auch nur mit GUID's. Mit alle anderen Datentypen habe ich diese Probleme nicht. Wenn noch jemand eine Idee hätte wäre das Klasse, ansonsten läuft es dann halt auf ein leeres PhantomFeld hinaus, was ich eigentlich vermeiden wollte.

Hi, solange es separate Queries sind, ist das 0 Problem. Kann und darf keines sein. Nur innerhalb der UNION muss man mit den Alias logischerweise unterscheiden. Oder wenn mit Unterabfragen innerhalb der gleichen SQL-Qry gearbeitet wird. Gleiche Alias wird nur zum Problem wenn man innerhalb der Ursprungs-Qry mehrere Feldnamen mit dem gleichen Namen aus unterschiedlichen Tabellen hat, dann macht der Compiler Alias.Feld draus. Dann gibt es Probleme wenn man das Alias in der nächsten Abfrage wieder verwendet.

Danke für den Input. Es ist eine AccessDB in SQL-Server Format (Also ADO als Standard). Ob es beim SQL-Server genauso gehandhabt wird, habe ich ehrlich gesagt gar nicht nachgeprüft. Grade bemerkt, dass ich in SQL-Server gepostet habe. Im Grunde ist es ganz einfach, versuche es mal in anderen Worten: 1. In Abfrage 1 kommt in Feld 2 eine GUID oder NULL 2. In Abfrage 2 gibt es dieses Feld nicht und wird auch nicht gebraucht, Ich kann also kein Tabellenfeld als Feld 2 definieren sondern definiere das Feld direkt (berechnet). Syntax Abfrage 1 wäre: "SELECT A.Feld1, A.Feld2 From Tabelle1 AS A" Syntax Abfrage 2 wäre: "SELECT A.Feld1, NULL AS Feld2 FROM Tabelle2 AS A" Dann UNION SELECT über diese beiden Abfragen. Also (Bewusst zuerst die Abfrage 2, da er da eher auf die Schnautze fällt) SELECT * FROM Abfrage2 UNION ALL SELECT * FROM Abfrage1 Seltsamerweise hat es auch schon funktioniert. Scheinbar interpretiert er aber in diesem Fall nicht immer identisch oder aber es wird irgendwo ein Feldtyp gespeichert, den man aber nicht ändern kann.

Hallo Leute, Gibt es eine Möglichkeit einem berechneten/neuen Feld in einer Qry den Wert NULL eines bestimmten FieldTypes zuzuweisen? Insbesondere GUID? Ausgangslage: Abfrage 1: Feld 1: GUID als Autowert Feld 2: GUID als FK auf Tabelle 2 (also NullWerte oder eben ein ForeignKey auf eine andere Tabelle) Feld X: Diverse Felder Abfrage 2: Feld 1: GUID als AutoWert Feld 2: NULL (Kein zugehöriges Tabellenfeld) Feld X: Diverse Felder Lege ich nun eine UNION-SELECT über diese beiden bzw. mehrere Abfragen mit gleichem Stil, dann werden die "richtigen" GUID's des Feldes 2 aus Abfrage1 in Kauderwelsch, also Sonderzeichen, chinesische Zeichen usw. umgewandelt. Ich vermute, dass die Null-Werte von Feld 2 der anderen Abfragen nicht als NULL-Werte von GUID's interpriert werden sondern als Binary oder sonstwas. Dies Obwohl die einzig vorhandenen Werte in Feld 2 - die nicht NULL sind - aus den verschiedenen Abfragen ausschliesslich GUIDs sind. Wie kann man nun Feld 2 in Abfrage 2 verklickern, dass es eben eine GUID mit Wert NULL ist? Einen Work-Around gibt es, indem ich einfach in der Datengrundlage von Abfrage2 in einer Tabelle ein GUID Feld ohne Funktion erzeuge. Wenn es anders geht, fände ich das aber schöner. Grüsse und Danke

Hi, dürfte am nicht gestarteten oder nicht erreichbaren Dienst Remoteregistrierung auf dem Server liegen (net start RemoteRegistry). Sollte er gestartet sein, Firewall-Regeln prüfen. Zum Beispiel indem das Auditing eingeschaltet wird: In CMD: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:disable /failure:enable Danach Ereignisviewer Sicherheit aufrufen, dann siehst alle verworfenen Pakete mit Protokoll, Port sowie die Prozess-ID welche es verursacht hat. Mit Tasklist /svc findest die entsprechenden Dienste raus die zum Prozess gehören. Dann kannst für diese entsprechende Regeln erstellen. Insbesondere Hilfreich wenn das Standardverhalten von Outgoing Allow auf Outgoing Block gestellt wird (was eigentlich immer gemacht werden sollte).

Ist den das ursprüngliche AD 100% sauber? Vielleicht solltest mal Tests drüberrennen lassen ob da wirklich alles so funktioniert wie es soll. Kann gut sein, dass es im täglichen Betrieb tadellos funktioniert, eine Wiederherstellung aber nicht wirklich. Normal schlägt dann auch eine Sicherung fehl, dass z.b. Systemstate nicht gesichert werden konnte, aber da gibt es auch alles mögliche an Varianten. Ansonsten noch ein paar Anmerkungen: Muss ein DC aus einem Verbund wiederhergestellt werden gibt es öfter mal Komplikationen verschiedenster Ursachen. Ich installiere deshalb defekte Member DC's eigentlich immer neu wenn mehr als ein DC in einem AD vorhanden ist. Gibt es bei der Wiederherstelung des FSMO-Rollen-Trägers Probleme die nicht in kurzer Zeit behoben werden können fackle ich nicht mehr lange und fahre alle Member runter, stelle den FSMO-Träger von einer ColdCopy wieder her und schmeisse alle Member-DC's aus dem AD raus und alle Member werden neu erstellt. In der Regel mit gleichem Namen und IP. Die Zeit die in einer einfachen Umgebung für eine solche Aktion aufgewendet werden muss, stehen in der Regel in keinem Verhältnis zum Aufwand einer nachträglichen manuellen AD-Bereinigung sowie deren Prüfung wenn es bei der Wiederherstellung zu Problemen kommt. Ist aber nur meine persönliche Meinung die rein auf Erfahrungswerten basiert. Richtige AD-Profis werden das vielleicht komplett anders sehen und insbesondere in grösseren Umgebungen dürfte das vielleicht so nicht möglich sein. Ansonsten kann man es sich auch überlegen ob man heute wirklich mehr als einen AD-Server braucht. Bei nur einem Server ist ein Recovery nie ein Problem und mit SSD's als Primärspeicher in ein paar Minuten erledigt. Auch von einem Image. Wie schon erwähnt wurde, könntest den im Total-Notfall sogar auf dem Admin-PC als VM hochziehen. Jede noch so kleine manuelle AD-Bereinigung und deren Prüfung braucht mehr Zeit insbesondere wenn man nicht geübt ist. Folgeprobleme noch nicht eingerechnet. Auch die Replikations-überwachung fällt weg. Viele Dienste laufen ja sowieso nicht mehr richtig wenn die PDC-Emulator-Rolle weg ist. Wenn DFS noch auf dem gleichen Server läuft (was leider oft so gemacht wird) ist eh Ende Gelände mit Arbeiten. Da nehme ich die Lizenz viel lieber für einen zweiten Fileserver oder einen separaten Zertifikatserver der auch nur Ärger macht wenn er auf dem DC läuft und ein Upgrade ansteht. =) Wie schon oben, ist nur meine persönliche Meinung in Verbindung mit Kleinumgebungen, weil mir einfach die Zeit zu schade ist und ich in der Vergangnheit etliche Stunden mit AD-Bereinigungen verbracht habe die nicht selten irgendwann trotzdem wieder Probleme gemacht haben und im Endeffekt insgesamt deutlich mehr Down-Time verursacht haben als ein paar Minuten Image überspielen. Noch ein kleiner Tipp: Wiederherstellungs-Tests mit VM's auf der gleichen produktiven Maschine bzw. Netz würde ich falls möglich einfach immer vermeiden. Irgendwann wechselst mal nicht den vSwitch Namen der LAN-Karte und es sehen sich unter Umständen zwei DC's mit unterschiedlichen Versionsständen. Folgen: nicht nur deine Wiederherstellung sondern auch Dein produktives AD wird korrupt.

Es ist definitiv so, dass man für Industrie-PC's spezielle Versionen bekommen kann und eigentlich auch verwenden muss. Wie hoch die Hürden für die Hersteller sind, weiss ich allerdings nicht. Wenn deiner Dir 2016 LTSB gibt dürfte er Verträge mit MS haben und Du kannst Dich glücklich schätzen. Alles andere ist für einen IPC Obermurks, ich spreche aus leidiger Erfahrung! Ich hatte leider nicht so viel Glück, ein Maschinenhersteller wo ich das durchsetzen wollte, machte das nicht, der Kunde war - leider einmal mehr- ein zu kleiner Fisch um sowas zu erzwingen und meine Erklärungen haben die auch nicht die Bohne gejuckt. Er wollte es nichtmal machen wenn wir die Lizenzen/Images bringen weil sie ja alles vorkonfiguriert haben. Eine Wahl für einen andere Hersteller gab es nicht. Auf alle Fälle kamen die IPC's in der neuesten Anlage eines Kunden mit Windows 10 Pro angetanzt an dem man nichts verändern darf wegen der Gewährleistung. Ist der reinste Wahnsinn, die Maschine braucht Fernwartung und somit Internet. Kaum ist diese aktiv werden die neuesten Windows-Builds gezogen. Dann kracht irgendwann in der Nacht weil Windows einfach runterfährt und ein neues Build installiert und die Produktionszelle steht still. Die Maschine arbeitet nicht und der Hersteller darf wieder per Fernwartung alles reseten. Produktionszelle, Roboter, Warenlager, Werkzeugwechsler, Leitsystem usw. alles mit W10 Pro. Am liebsten hätte ich die Leute der IT-Abteilung auf der Stelle erschlagen. Nach dem dritten Crash habe ich und vor allem der Kunde dann die Schnautze voll gehabt und angefangen mit Firewall und GPO's die Zugriffsmöglichkeiten von W10 abzudrehen sowie einen imaginiären WSUS definiert. Wir werden sehen ob MS nicht irgendwo doch noch Backdoors eingebaut hat und trotzdem Updates zieht. An den Static/Configurable Rules habe ich hier nicht rumgemacht. Leider gibt es so auch keine Sicherheitsupdates. Aber die würde es ja dank dem super neuen Update-System eh nicht lang geben.

Ihr seit aber nett zueinander =) Noch als kleine Ergänzung: Es gibt noch den Bericht den man sich pro Maschine anschauen kann. Da mal die "erforderlichen" Updates durchgehen. In der Regel erscheinen da dann die Übeltäter die Du dann wieder genehmigen kannst.

Hast ein manuelles wuauclt.exe /reportnow /detectnow in der cmd durchgeführt? Ansonsten dauert es eine Weile (je nach eingestelltem Zyklus ~1 Tag) bis das auch tatsächlich dem WSUS gemeldet und die Daten abgeglichen sind. Ist alles immer etwas träge wenn es nicht manuell angestossen wird. Und selbst dann kann es etwas dauern bis alles greift. Eine Aussnahme gibt es mit der ganzen Ablehnerei meines erachtens. Ich genehmige z.B. nur die Sicherheitsupdates über alle Clients. Das "Security und Qualityrollup dagegen bekommt nur ein Teil der Clients in eigenen Gruppen. Die normalen Updates genehmige ich selektiv für alle Clients. Das heisst die Clients würden sie nicht bekommen, wenn das Quality Rollup genehmigt wurde und jene Updates abgelehnt werden. --> Etwas unsicher bin ich, wie WSUS auf diese Situation reagiert wenn Updates durch neuere Updates ersetzt wurden und ein neuer Client diese wieder anfordert, das ersetztende Update aber nur für eine andere Computergruppe genehmigt wurde und nicht für alle. Würde mich auch mal interessieren ob es dann automatisch abgelehnt wird oder nicht. Ich meine - weiss es aber nicht mit Sicherheit - dass es wieder auf "Nicht genehmigt" gesetzt wird. Habe es zumindest schon erlebt, dass Updates wieder angezeigt wurden obwohl sie vorgängig mal abgelehnt wurden. Einen genauen Beschrieb habe ich dazu leider noch nicht gesehen. Würde Dir übrigens ein Wartungsscript ans Herz legen welcher Dir die Datenbank per Task (Aufgabenplanung) aufräumt und sowas automatisch erledigt. Findet man auch im Link der bereits als Lektüre gepostet wurde. Wie auch immer, wenn mir irgendwas suspekt ist, setze ich immer zuerst den WU-Client komplett zurück und lasse ihn neu mit WSUS syncen. Wie das geht stand alles mal auf der MS-Site, wurde aber kürzlich durch einen doofen Klick-Assistenten ersetzt der leider nur noch die Hälfte erzählt und insbesondere den wichtigen Kram einfach weglässt. Wenn es dann immer noch komisch ist, dann fange ich mit der weiteren Fehlersuche an. Zurücksetzen geht folgendermassen: net stop wuauserv net stop bit net stop cryptsvc net stop appidsvc löschen von SoftwareDistribution in System 32 (Del "%systemroot%\system32\SoftwareDistribution" löschen von Downloadmanager Files: ( Del "%ALLUSERSPROFILE%\Anwendungsdaten\Microsoft\Network\Downloader\qmgr*.dat" ) --> Musst Dir evtl. erst Zugriff geben löschen von Catroot2: (Del "%systemroot%\system32\catroot2" dann dienste wieder starten und ein wuauserv /reportnow /detectnow ausführen dann nach ein paar minuten die Updates suchen lassen. Gibt noch das Kuriosum, dass der Client Updates zieht aber nicht in WSUS erscheint. Dann läuft er in der Regel unter einer ID die schon ein anderer Client hat, wie auch immer das geht. Dann musst zusätzlich die WU client ID in der Registry des Clients löschen, am besten windows neu starten, und ein wuauserv /resetauthorization und anschliessend wuauserv /reportnow /detectnow durchführen.