Weingeist

Bei Click to Run musst Du das Paket händisch bereitstellen. Also nichts mit schick automatisiert wie mit WSUS. Sprich manuell jeden Monat das Image bei MS holen. Soweit ich mich erinnere, konnte man aber den Pfad zu den Installfiles via GPO verteilen. Ein Problem ist auch das Logging weil man eben keine Oberfläche hat wem was fehlt wie in WSUS. Du hast also keinen wirklichen Plan über die Update-Stände. Habe das selber nur mal im LAB durchgespielt, kann also keine Details über allfällig Stolpersteine sagen und andere Widrigkeiten sagen.

Schau, am Ende kann man viel machen. Sinnvoll ist das meiste nicht und alles was seltsam daherkommt in der Regel auch illegal. Verwende einfach offizielle Vertriebskanäle und fertig. Weder abkratzen von Keys noch der Erwerb von reinen Keys gehört dabei zu den sinnvollen Varianten. Pro Lizenzen sind aber sowieso so billig das sich keinerlei Ärger lohnt. Allerdings reichen die eben je nach gewünschtem Szenario nicht aus. Eigentlich möchte man gar keine Pro-Versionen im Unternehmensbereich einsetzen sondern eben Enterprise. Also wird eh eine Upgrade-Lizenz für einen physischen Computer fällig oder aber eine der mittlerweile zahlreichen Mietvarianten für Windows und/oder Office. Am besten sagst Du was Du vorhast und jemand wird Dir erklären wie Du es lizenzieren musst. Zu 7: Dafür gibts die Tesversionen bei MS direkt

Für Einzelplatten muss bei richtigen Controllern eigentlich immer ein Volume oder eben RAID 0 mit Einzeplatte (im Endeffekt +-das gleiche) erstellt oder aber eine HBA Firmware geflasht werden. letzeres geht nicht bei allen.

Die W10 2004 kam ja gerade raus, ist aber noch nicht für alle freigegeben. Die Stable-Releases kommen tendenziell aber eher im Herbst. Bezüglich Office: Immerhin ist Office Pro Plus 16 noch ~5 Jahre im Support. So lange dürfte man +- Ruhe habe (gleich lang wie 19).

Die ganze Update-Geschichte ist mittlerweile extrem undurchsitig geworden. Manche Hardware-Konfigurationen von PC's verhindern gewisse Updates. Bei manchen wohl auch einfach nur ein falscher Treiber. Dann wird nicht alles komplett gemeinsam an alle ausgerollt sondern gestuft. Das gibt dann im Endeffekt noch viel mehr Wildwuchs als man mit dem ganzen Update-Zwängerei mal verhindern wollte. Kombiniert mit der hundsmiserablen, quasi nichtvorhandenen internen Updateprüfung gibt das wahrlich erstklassige Ergebnisse. Ich könnte teilweise echt nur noch kotzen mit den ganzen Eigenheiten. Aber wir waren ja auch fast 15 Jahre verwöhnt mit WSUS. Jetzt ist es wieder ganz wie in alten Zeiten mit W95 und NT 3.5. Irgendwann - vielleicht in 10 Jahren - kommen die dann wieder zur Erkenntnis, das Updates vielleicht besser geprüft werden sollten und neue Releases vielleicht auch wieder länger dauern könnten und den Business-Usern vielleicht etwas mehr Freiheiten gegeben werden soll und der Fokus eher auf die Stabilität gelegt werden sollte. Privat-User können ja demnächst nichtmal mehr Updates aufschieben. *kopfschüttel* Ich freue mich demnächst die ersten Workstations mit CPU's der Generation 10 mit LTSC zu füttern. Habe mich ja lange gesträubt, aber jetzt steht so ein Ding hier das ich demnächst ausliefern muss. Hatte noch keinen Nerv dafür. Keinerlei Treiber für Chipsatz und Grafik als Download-verfügbar, nur über den unsäglichen Store den ich normal überall abschalte und bei LTSC gar nicht vorhanden ist. Sprich die Treiber gar nicht ins System kommen können. Weltklasse. Wieder irgendwas zusammenfrickeln. *kopfschüttel*

Alternativ: Vorher nacher ein RegShot und vergleichen. Dann siehst wohin was geschrieben wurde. Vorteilhaft ist dafür eine Maschine welcher man möglichst viel des Trackings abgewöhnt hat. ;)

Kenne das aus dem Industriebereich. Viele Hersteller wollen in erster Linie Ihren eigenen Kram haben weil es so definierte Bedingungen gibt und möglichst wenig "Reinfunkt-Potential" gibt. Einige sind aber in solchen Punkten einigermassen flexibel, wenn man darlegen kann, dass man es auf andere Weise vielleicht besser machen kann. Bei manchen gibts halt schlicht keinen Support wenn die Bedingungen nicht exakt so sind wie vorgegeben. Erfahrungsemäss liegt aber bei vielen - auch wenn sie einsichtig waren - jedes Problem erstmal immer daran, dass eben nicht ihre Standardbedingungen herrschen. Egal wie absurd es ist. Dein Kunde wird dann immer erst hören, dass Du das Problem bist. Die erste 30-60min Support gehen dann für die Beweisführung drauf. Mittlerweile bin ich soweit, dass ich nach Möglichkeit abgeschottete Inselsysteme nach Ihren Vorgaben erstelle wenn einer für mich unerklärliche Bedingungen hat und diese auch nicht erklären kann. Spart viel Ärger. Also soweit möglich vollständig abgeschottet und ein System als Bindeglied. Kostet halt etwas mehr, dafür ist Ruhe im Karton. Wird nur immer mühsamer und aufwendiger mit den ganzen Integrationen andere Systeme, Fernzugriff etc. Dazu dann Firewall-Logging der Windows-Firewall um zu sehen wie die Kommunikation effektiv abläuft. In allen Variationen. Also Fernzugriff, Kommunikation untereinander etc. abläuft. Dann schotte ich die Systeme per Script ab (Firewall) und erstelle gleichzeitig ein Gegenscript um alles rückgängig zu machen. Gleichzeitig Scripts um Fernzugriff zu aktivieren/deaktivieren --> Firewall-Regeln In/Out. So gibts dann wenigstens minimale Sicherheit.

Die Frage dürfte lauten wie man mit dem neuen Zeugs sinnvoll Einstellungen treffen kann. Zu gegebenen Zeitpunkt ist das nicht möglich. Es ist einfach völlig bescheiden gelöst. Dazu langsam und ineffizient. Eine excellente GUI mit ein paar Schwächen - auch grundlegenden - wird abgelöst durch immer mehr Schwachsinn und Bling Bling die kein Mensch zum arbeiten braucht.

Die sicherste Variante wo alles weg ist? --> Dism.exe und die Pakete von Cortana etc. entfernen. Etwas weniger martialisch und Reversibel: Firewall-Ordner der Registry sperren bzw. System/TI etc. den Schreibzugriff in der Registry entziehen und einer speziellen Firewall-Admin-Gruppe erteilen. Die Folge davon ist, dass die vorinstallierten Apps auf Benutzerebene nicht installiert werden, da das Fehlschlagen der Installation der (imho) unsäglichen, automatisierten Firewall-Regeln auf Benutzerebe zu einer Exception führt und die Apps nicht installiert werden bzw. vermutlich ein Rollback passiert. Der Desktop selber funktioniert nach wie vor einwandfrei, aber Startmenü, Taskleiste, Reminder etc. ist Geschichte. Dafür werden viele Write-IO's eingespart und viel weniger Daten gesammelt. =) EDIT: Um es wieder zu aktivieren Schreibzugriff wieder erlauben und die betroffenen Profile löschen. Dann werden Sie neu erstellt und alles funktioniert wieder wie gehabt.

NVMe-RAID habe ich bis jetzt erst in meiner Testmühle. Noch nicht produktiv, da ich noch keinen für mich optimale Serverbasis gefunden habe. Der nächste wird wohl ein AMD Epyc System von Supermicro, zum Beispiel dieser hier: https://www.supermicro.com/en/Aplus/system/1U/1114/AS-1114S-WN10RT.cfm Vorzüge von AMD: viele PCI-Express lanes und CPU's mit hoher Taktrate zu moderatem Preis verfügbar. Normal nehme ich einen Hardware-Controller für das Local-High-Speed-Backup sowie das Host-OS + wenn Super-Speed gefragt ist, Storage Spaces für die Daten. Braucht aber auch potente CPU's um die Leistung wegzuschaufeln. Stand Heute würde ich wohl alles auf einen bzw. zwei separate RAID-Controller packen mit U.2 Laufwerken. Also einen für Produktivdaten und einen für das Local-High-Speed Backup.

Die Storage-Pools sind schon auch geeignet als RAID-Controller-Ersatz. Ist absolut robust genug. Eigentlich sogar robuster, da ein Gerät weniger in der Kette (!bitte erst alles lesen!). Mittlerweile setze ich Storage Pools doch ca. 7 Jahre in diversen Projekten produktiv ein. Quasi seit es sie gibt. Anfangs nur für VDI mittlerweile für alles. Schlechter oder besser als Hardware-RAID kann man nicht wirklich pauschal beantworten. Hat beides Vorzüge und Nachteile. Es kommt wie bei allem halt sehr stark auf die Implementierung und die Anforderungen an. Hardware-RAID ist halt einstecken, konfigurieren, fertig. Fehlerquelle extrem gering. Aufwand im Fehlerfall auch gering. Mittlerweile hat z.Bsp. Broadcom (LSI) auch vernünftiges NVMe RAID mit U.2-Laufwerken. Insofern kann man es sich schon überlegen wieder nen Hardware-RAID aufzubauen. Die neuen Controller sind sogar ziemlich schnell. Das wurde anfangs total verschlafen. Das Problem ist dann eher, das wirklich gute Zeugs von einem der grossen Herstellern in sinnvoller Gesamt-Austattung unter einen Hut zu bekommen. Meist endet man irgendwann bei Supermicro. Storage Pools sind dagegen definitiv nicht trivial. Weder in der korrekten Erstellung noch dem Unterhalt. Man hat sehr viele Möglichkeiten einen kompletten Schwachsinn zusammenzuzimmern der am Ende sogar läuft und dann plötzlich total versagt. Die Reparatur ist dann sehr aufwendig bis nicht möglich. Man sollte sich schon sehr intensiv mit Storage Pools befassen und dessen Eigenheiten und insbesondere Schwächen kennen bevor man es tatsächlich produktiv einsetzt. Sprich Fehlerszenarien durchgehen, Tests mit Stromausfällen, Plattenausfälle, Sektorfehler, grosse Dateien verschieben, zu gross konfigurierte Thin-Volumes und und und. Mein Fazit für oder gegen Storage Spaces: Storage Pools sind quasi eine bewusste Entscheidung für ein ziemlich mächtiges, flexibles Stück Software welches richtig eingesetzt viel Spass bereitet, falsch aber extrem viel Kummer. Quasi die Eierlegende Wollmilchsau die beim falschen Futter, Bewegung oder Pfleger sofort wegstirbt. ;) Man sollte auch immer einen allfälligen Nachfolger im Hinterkopf haben. Die wenigsten IT-Fachleute sind so mit Storage Spaces vertraut, dass man Ihnen gefahrlos eine Umgebung "überlassen" kann. Als keine sinnvollen Hardware-Controller verfügbar waren, überwiegten die enormen Performance-Vorteile von SP mit SSD's oder NVMe gegenüber Hardware-Controller mit SSD's für mich klar. Heute denke ich, dass es vielleicht auch wieder nen Hardware-Controller sein dürfte. Ist halt viel Schmerzfreier die Umgebung in andere Hände zu übergeben - sofern man sowas wie ein Gewissen hat. ;) Wahl der SSD: Das wichtigste ist bei allen SSD's die für Produktivdaten eingesetz werden die Wahl der Laufwerke. Die müssen über eigene Kondis für das Wegschreiben der ausstehenden Daten verfügen (weil die SSD's in der Regel die Commits rausgeben BEVOR effektiv geschrieben wurde). Dann müssen SSD's welche im RAID-Betrieb eingesetzt werden, über eine regelmässige und tiefe Latenz verfügen (Average und Max Latency müssen tief sein). Bezüglich Speed ob man ihn braucht oder nicht: Ist er vorhanden, reklamiert niemand. Ist er es nicht, wird es mühsam zum ändern. Meine Erfahrung ist, dass in Kleinumgebungen der Speed immer relevant ist für irgend eine Aufgabe. Und sei es nur ein paar komisch programmierte Programme die aber sehr nützlich sind. Die anderen profitieren einfach auch davon, auch wenn es eigentlich unnötig ist. Mehrere Speed-Levels für Produktivdaten machen da selten Sinn. Auch kann man sich oft das teilweise aufwendige optimieren in der Regel schenken, das spart auch Zeit und somit Geld und die Umgebung bleibt einfach aufgebaut. Auch die Taktrate der CPU nehme ich nichts unter 3GHZ. Bringt in Kleinumgebungen normal viel mehr als viele Kerne oder Dualsysteme. Vieles skaliert einfach nicht toll oder ist nach wie vor auf Single-Core ausgelegt. Die gefühlte Performance ist (Latenz) viel wichtiger ist als die effektive über längere Zeit und gesamthaft vefügbare Leistung. Es wird auch selten viel Performance "gemeinsam" benötigt. Es sind die Peaks die relevant sind. Für einen typischen KMU-Chef gibt es nichts schlimmeres als wenn der PC die Sanduhr bringt. Das ist offensichtliche, verlorene Zeit. Also immer frei nach dem Motto viel hilft viel zusammenstellen. ;) OS auf gespiegelte schnelle Platten oder nicht: Würde ich immer machen. Zu schnell gibts nicht und RAID = eine Ausfallvariante weniger. Ich setze immer alles um was mit wenig Aufwand redundant gemacht werden kann und fängt bei der Stromversorgung an. Doppel-Online-USV, separat abgesichert, genügend Batteriekapazität, Strom-Switch für Geräte mit nur einem Netzteil etc. Da ist die Kohle z.B. viel besser aufgehoben als in einem zweiten Server oder einem teuren Dual-CPU-System. Aber wie immer, alles ist irgendwoe Geschmackssache und kommt auf die Anforderungen und auch etwas auf die persönlichen Vorlieben an. Wie so oft.

@BOfH_666 Stichwort Tricky Powershell. Bezieht sich auf Task-Scheduler und die aufrundene Syntax. Habe mal Stunden mit dem Kram verbracht der in der Kommandozeile funktioniert hat, im Taskscheduler aber nicht. Der Scheduler hat dann gerne die eingebene Zeile im Fomularfeld beim wiederaufrufen der Einstellungen auf die anderen Felder verteilt. Funktioniert hat es auch nicht. Habe damals leider nichts gefunden im Netz. Daher der Workaround mit dem Batch, der funktioniert immer. =) Ansonsten: Der Input mit den Powershell DataFiles klingt auch vernünftig bzw. ist wohl besser.

Die Aufgabenplanung nimmt immer jenen User den man definiert hat. Powershell-Scripts sind etwas tricky um die Syntax genau zu treffen damit sie direkt funktionieren. Kleine Howto: https://devblogs.microsoft.com/scripting/weekend-scripter-use-the-windows-task-scheduler-to-run-a-windows-powershell-script/ oder auch lesenswert: https://devblogs.microsoft.com/scripting/schedule-powershell-scripts-that-require-input-values/ Insbesondere der zweite Link ist wichtig bei Textargumenten. Umgehen kannst den Ärger mit den Argumenten indem Du einfach ein aufrundes Batchfile nimmst, das funktioniert schmerzfrei. Hat den Vorteil, dass man nicht am Task selbst herummachen muss sondern einfach das aufrufende Script etwas abändert. Mich hat die Testerei mit den Argumenten teilweise wahnsinnig gemacht und habe deshalb einfach standardmässig eine zusätzliche Batch erstellt. Aber das ist wie so vieles geschmackssache und auch etwas verbohrte Gewohnheit. ;)

Das Produkt von Stratus ist grundsätzlich sehr erprobt in der Gebäudetechnik. Wurde früher eigentlich auch ausschliesslich da verwendet, in der IT kam es nie wirklich an. Der Kram funktioniert wirklich. Ist halt relativ kostspielig (wars damals zumindest). VmWare hat das mehr schlecht als recht kopiert und zudem bei weitem nicht vollständig. FT haben die damals +- nur gemacht um eben auch ein solches Feature zu haben. Entwickelt wurde es von Marathon als Aufsatz auf den Xen Hypervisor. Wurde später an Stratus verkauft. Die Fault-Tolerance ist über alle Komponenten gewährleistet. Der Wechsel der aktiven VM geschieht nur, wenn der Host tatsächlich tot ist. Solange also CPU/RAM funktioniert, wird die VM nicht gewechselt, höchsten die Datenbeschaffung/Netzwerkverbindung. Eigentlich sehr durchdacht das Ganze. Ich habe es damals nicht produktiv umgesetzt weil die Community quasi nicht vorhanden ist. Im Fehlerfall bist also wirklich zu 100% auf den Hersteller angewiesen. Die haben leider auf den falschen Hypervisor gesetzt.

Ich finde das Thema enorm schwierig. In letzter Zeit trudeln hier immer mehr perfektere Mails rain. Steuerbehörde, Telekomanbieter, Microsoft, Apple, GMX, Airlines. Echt krass. Sogar teilweise in perfektem Deutsch. Eigentlich müsste man den kompletten internen Verkehr von den Maschinen mit Online-Zugriff trennen. docx/slxs etc. kann wenigstens gleich jeder manipulieren =) Ist ja im Endeffekt nur ein ZIP-Archiv. Würde mich auch brennend interessieren was daran sicherer sein soll. Hätte jetzt - wenn - eher zu weniger sicher tendiert da automatisierte Verarbeitung evtl. erzwungen werden könnte. ZIP ist ja nicht gerade als besonders sicher bekannt und wird eigentlich überall geblockt. Also müssten es grundsätzlich auch alle Word-Files. Das DOCX sicher sein soll ist meiner Meinung nach der gleiche Unsinn wie das W7 im Kern unsicherer sein soll als W10. Der Firewall-Stack is ziemlich identisch bzw. W7 fehlt sogar der ganze App-Quatsch der im FW-Stack völlig undurchsichtig ist. Er ist wesentlich eingeschränkter als in W10. Ich behaupte W7 mit Firewall extern Block war vermutlich sicherer als jedes W10, weil W10 die Firewall wie ein Schweizer Käse löchert und es auch keine funktionierende Abhilfe gibt, weil die Regeln auf Benutzerbasis automatisiert erstellt werden. Da helfen eigentlich auch all die neuen Features nichts.