Jump to content

Weingeist

Members
  • Gesamte Inhalte

    1.566
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von Weingeist

  1. Fragt sich, ob er die Zeit von extern oder intern bekommt. Würde mich nicht wundern bei W10, dass irgend nen Quatsch zu MS nach Hause telefoniert weil es ja bei älteren OS kein Problem ist wenn es korrekt konfiguriert wurde. Da alles ins leere führt, würde ich mal die Firewall auf Port UDP 123 (Time Service) auf den internen DC limitieren. In und Out Kommunikation. So kannst Du ausschliessen, dass auf regulärem Wege etwas auf deinen Client von extern kommt. Sowie dann evtl. beides protokollieren lassen. Entweder das extensive logging per Kommandozeile oder eben das schlichte innerhalb der Firewall.
  2. @Knorkator: Die eigentliche Verfügbarkeit hat erstmal nix mit dem Vor-Ort-Service zu tun. Der Vor-Ort-Service kommt zum Zuge, wenn das Kind in den Brunnen gefallen ist und die Verfügbarkeit wiederhergestellt werden mus und garantiert nur die Instandstellung defekter Geräte. Normalerweise ist der Tausch von Hardware der kleinste Teil der Arbeit und die eigentlichen Kosten für einen Controller in Form von Manpower schon mit dem ersten Schaden bezahlt. Meines erachtens kann man sich das nur bei sehr wenigen Szenarien sparen. z.B. bei neueren Filesystemen wie ReFs oder ZFS z.B. in Verbindung mit SSD's mit eigenen Kondis/Stromversorgung die diesen Job übernehmen. Wenn Du auch Bootpartitionen drauf hast, wirst Dein blaues Wunder erleben wenn Platte 1 ausfällt. Die Kiste fährt nämlich nicht hoch, weil die Bootinformationen auf der zweiten Platte fehlen. Diese müssen selber rüberkopiert werden. Ein richtiger Controller mit BBU gewährleistet z.B. dass die Daten nach einem Stromausfall auf die Platten bzw. alle Partner geschrieben werden. Sei es durch eine Cache-Sicherung per Batterie oder FlashChip. Das ist bei allen Pseudo-Controllern nicht der Fall. Im besten Fall sind einfach ein paar letzte Daten weg, im schlechtesten Fall können korrupte Files entstehen und bei gewissen Datenbanken wie dem Exchange wird es mit grosser Wahrscheinlichkeit in einer korrupten Datenbank enden, was man ned zwingend sofort bemerken muss, später aber grosse Auswirkungen haben könnten. Macht dann besonders Spass wenn alte Backups mit aktuellen Daten gefüttert werden müssen. Ein solcher Fall und Du hast eine vielzahl solche controller finanziert, auch wenn auch das nicht 100%ige Sicherheit gibt. Aber eben, ist immer die Frage was einem der Ärger, die Arbeitszeit, Tote Systemzeit und allfälliger Datenverlust wert ist. =) Edit: Ich bin nicht per se gegen diese Raids auf Pseudo-Controller, auf Desktop-Computer mache ich das sogar sehr oft weil ich kein Bock auf neuaufsetzen habe nur weil ne Platte ausfällt. Auf Servern hat das aber nix verloren.
  3. Die Pfade bringt man schon länger hin. Kann die Hälfte des Windows auch damit umgehen (irgendwo um 32'000 oder warens doch 65'000 zeichen ist Schluss). Die andere Hälfte von Windows hat aber Mühe wens mehr als 255 Zeichen sind. Allen voran - was ich gar ned verstehe das es nach so vielen Jahren immer noch so ist - der Explorer. Der Windows Unterbau, also das Filesystem an sich, hat 0 Probleme mit langen Strukturen. Robocopy packts z.B. auch. Manche andere Programme wiederum ned. Ein Relikt aus alten Tagen das leider immer noch bei weitem nicht durchgefixt ist. DFSR und Rechte: Nun, das ist theoretisch möglich, dass hier die fehlenden Berechtigungen mit reinpfuschen. Allerdings dürfte er deswegen ned hängenbleiben sondern müsste eigentlich Fehler produzieren wenn er tatsächlich keinen Zugriff hat. Wenn es gewollt ist, das Admin und System keinen Zugriff haben und es Probleme macht, muss man mit Dienstkonten für die benötigten Dienste arbeiten, die dann auch in den entsprechenden Gruppen Mitglied sind. Solche Konstrukte machen gerne immer wieder mal Probleme, weshalb manche Admins die Berechtigungen für System und oder Admin jeweils über Nacht hart setzen. Wiederum andere machen sich diese Mühe weil es - zumindest theoretisch - etwas weniger einfach ist, an die Daten zu kommen und passen eben alles auf Dienstkonten an. Ich entziehe dem System und den Admins vor allem im VDI-Bereich auch gerne Schreibrechte in Registry oder Filesystem die viele IO's produzieren oder mit Spy/Telemetry-Tätigkeit zusammenhängen. Man glaubt kaum, was da alles an unnötigen IO's zusammen kommen. Gleichzeitig gibts dann eine Dienst-Gruppe welche genau diese Rechte hat. Bei Problemen bzw. deren Lösung kommen Admin und System in die Gruppe rein und Problem wird gesucht.
  4. Weingeist

    Backup Konzept

    Gibts das tatsächlich schon? Wäre ja echt heftig... Aber auch so schon extrem schwierig da nen ziemlich lückenloses Konzept auf die Reihe zu kriegen.
  5. Kleiner Tipp: Speichere die VM's auf zwei und nicht nur auf einem Datenträger/RAID-Verbund. Also wie im Normalbetrieb, Backup und Laufdaten. Mir ist mal vor ein paar Jahren genau bei einer solchen Aktion eine Festplatte abgeraucht. War ein Heidenspass ne passende Elektronik auf die schnelle aufzutreiben und die Daten wiederherzustellen. Bezüglich HyperV: Kann ich Dir auch nicht sagen obs dem Schmeckt oder ned. Kannst das ganze ja auch im abgesicherten Modus zurückspielen. Oder mit einer Start-CD, oder einem extra dafür aufgesetzten Windows wenn Du ganz sicher gehen willst. Bleibt halt immer noch die Unsicherheit, dass Windows auf Denträger-ID und nicht Laufwerkbuchstaben zugreift bei Hyper-V. Kann ich schlicht nicht sagen. Edit: Sofern Dom's Variante nicht gehen sollte. Wird aber sicher ewig dauern bis alles durch ist.
  6. Die Silex "SX-DS-4000U2" haben mir bis jetzt jedes USB-Gerät auf die Mühlen gebracht. Ist auch ziemlich flott vom Speed her. Mit einem Dongle hatte ich erst einmal Mühe, da gabs aber bereits ein Firmware-Update das Bereit stand. Die Jungs sind schon sehr fix mit den Anpassungen.
  7. Ganz einfach, DirectAccess ist quasi EOL. Da werden sie keinen Bock haben, das auch noch auf neueren Systemen zu supporten. ;)
  8. Das habe ich Dir doch bereits geschrieben. Du nimmst einen Hex-Editor und vergleichst die ersten Sektoren der Festplatte. Da sie gespiegelt ist, sind alle Sektoren identisch, bis eben auf den Boot-Record der bei Software-RAID häufig bzw. eigentlich nie mitkopiert wird. Die nicht Bootbare hat an der Stelle keine Informationen. Daher ist das sehr einfach zu erkennen. Die paar Werte kopierst dann direkt mit dem Hex-Editor von Festplatte A auf Bestplatte B. Ist wirklich kein Akt. Habe ich früher - als es im Winter noch schneite - sehr oft für Arbeitsstationen gemacht wo die Kohle für ein Hardware-Controller nicht zu Verfügung stand mir aber die Zeit zu Schade war, immer die Kisten neu aufzusetzen wenn mal wieder eine Festplatte über den Jordan ging. Zudem war das mit günstigen Festplatten zu realisieren weil die Hardware-Controller Mühe mit normalen Platten hatten und die von Zeit zu Zeit abhängten. Mittlerweile aber auch schon länger nimmer, da ich das mit Virtualisierung auf den Layer unterhalb des ausführenden OS verschieben kann und es das OS quasi nicht mehr interessiert. Der Typ von MagHeinz könnte auch funktionieren. War mir aber immer zu undurchsichtig. Hex-Editor ist eine klare Sache und Windows bekommt davon gar nichts mit.
  9. Je nach Software-RAID isser vielleicht schon mitkopiert. Relativ einfach prüfen/ergänzen kannst mit einem Hex-Editor. Ist ned viel was es dazu braucht. Liegt zudem ganz am Anfang der Platte. Da sie ja gespiegelt sind, solltest die Differenzen sofort sehen. Bei 2008 brauchst ausser Admin-Rechte ned mehr. Ab 2012 wird es tricky, da kein direkter Hardware-Zugriff mehr möglich ist. Auch nicht mit Admin-Rechten.
  10. @blub: Oh, jemand der die Meinung teilt... Habe ich extrem selten in diesem Punkt =) @DocData: Interessante Sichtweise. Kommentiere ich nicht weiter... ;)
  11. Wenn ich alle - Tunnels im Geräte-Manager - Firewallregeln für Tunnels, IPv6 komplett abdrehe - Protokolle in Adapter entferne - Registry-Werte für IPv6 deaktivieren - Allgemeine IP-Prio von IPv6 nach hinten schiebe - Loopback Prio von IPv6 nach hinten schiebe dann vermute ich, dass auch IPv4 für die Kommunikation zwischen Clients und Servern verwendet wird solange es verfügbar ist. Zumindest suggerieren mir das die Firewall-Protokolle. Ansonsten müsste der Traffic komplett an der Windows-Firewall vorbei. Was auch nicht deren Zweck wäre. Beschäftigen: Na klar, das werde ich mit Sicherheit noch tun müssen, habe ich auch schon und den Aufwand für eine korrekte durchgehende Konfig als deutlich höher taxiert. Unkonfiguriert schmeckt mir ned. In der Tat :D
  12. Tja, da hast Du teilweise sogar Recht. Insbesondere der Sinn zwei Übertragungs-Technologien für dasselbe innerhalb eines Netzwerkes zu nutzen und vor allem bereitzustellen, verschliesst sich mir in der Tat solange eine Technolgie noch wunderbar funktioniert. Solange das Thema also bei Grossfirmen nicht komplett durch ist, sehe ich keinen Sinn als Minifirma und Betreuer von anderen Minifirmen vor der Musik herzurennen und den Turn-Around zu vollziehen bzw. parallel zu betreiben. Sehe schlicht keinerlei Vorteile gegenüber einigen Nachteilen. Zudem wäre es mit ner simplen GPO-Anpassung oder nem Script innert kürze wieder ausgerollt, sollte der Tag X kommen und die OS immer noch aktuell sein. Aber eben, jedem wie er mag. Schön wenn Du schon Heute komplett von IPv6 überzeugt bist, den Zweck sämtlicher unsichtbaren Tunnels verstehst, die Kommunikation die darüber läuft analysieren und das ganze auch noch komplett kontrollieren kannst. Ich habe da so meine Mühe damit. ;)
  13. MS wechselt auf alle nicht-Sicherheits-relevanten Updates auf ein Update-Rollup. Nun bekommt man den ganzen Schrott doch noch mit aufs Auge gedrückt den man unter Umständen gar ned haben möchte. - Telemetrie-Updates - Irgendwelche zusätzliche Programmiersprachen - Tunnels (z.B. ISATAP) - Online-Integrationen - Apps - usw. Von anderen Problemen wie Active-X oder PlattformUpgrades für ältere Software ganz zu schweigen. Wird sicher wieder toll, vor allem bei der Qualität der Updates die MS in letzter Zeit raushaut. Hoffentlich werden wenigstens die Unternehmenskunden davon verschont. Glaube ich aber noch ned... Quelle: http://www.itmagazine.ch/Artikel/62181/Microsoft_vereinfacht_Windows-7-Installation.html
  14. Wird halt immer schwieriger, je besser die Leute die Landessprache beherrschen oder vermutlich sogar Landsleute einsetzen. Habe heute auch grad von einem Bekannten erfahren, dass seine Firma letzte Woche davon betroffen war. Hochpersonalisiert, perfektes Deutsch und eine Offertenanfrage mit einer technischen Zeichnung zum downloaden. Also genau so wie er jeden Tag zich Mails bekommt. Ergebnis war wie so oft eine verschlüsselte Festplatte. Bei grossen Files hat sich in dessen Branche so eingbürgert, dass man die 3D Zeichnungen oft per Download bekommt. Sei es von eine Firmenportal oder auf einem epxliziten Portal. Denke die aktuelle Entwicklung kann man ned nur noch auf Selber-Schuld schieben, da muss man schon fast paranoid sein und einfach jedes einzelne Mail hinterfragen und den Link vorher prüfen. Bei X angestellten mit unterschiedlich hohem Faktor an Misstrauen, kein leichtes Unterfangen.
  15. Bekomme hier auch täglich solche Mails. Mit fast jeder Woche werden Sie in Sachen Deutsch und Sache besser.
  16. Weil es etwas fragwürdig ist da weltweit eindeutige Adresse bzw. eben mehrere Adressen pro Adapter wo man als Nicht-Tägliches-Brot-Ausschliesslich-Netzwerkler keinerlei Übersicht hat? IPv6 ist evil =) Weil man intern meistens weniger Probleme hat? Weil IPv6 Firewall-Regeln vermutlich in 99% der Fälle nicht mit IPv4 Regeln gesynct sind und Weil wohl ungefähr gleich viele Leute nicht wirklich begreifen wie IPv6 tatsächlich aufgebaut ist Weil für IPv6 so viele (zwielichtige?)Tunnels auf den Systemen standardmässig installiert sind? Das sind so meine Gründe warum ich den Kram möglichst komplett auf jeder möglichen Ebene deaktiviere oder blockiere. System wie Firewallmässig. Nicht alle davon sind tatsächlich objektiv, aber stimmen für mich trotzdem. ;) Wenn mans deaktiviert sollte man halt die Side-Effects beachten. Also Prioritätenliste anpassen für Loopback - weil IPv6 eben nicht komplett deaktviert werden kann - , Exchange, Direct Access (was ja eh schon wieder Out-of-Date ist) usw. Aber eben, alles ne Philosophie-Frage. Der Tag wird kommen wos vielleicht mühsam wird wenn End-to-End-Kommunikation explizit gefordert bzw. benötigt wird. Bis dahin spare ich mir den Aufwand.
  17. Vielen Dank für die Inputs. Ich finde solche Dinge immer hochproblematisch. Das Missbrauchspotential ist einfach zu gross. Mir persönlich isses ja grundsätzlich total schnuppe wenn die NSA oder andere Geheimdienste mein Zeuch durforsten würden, aber bei politisch aktiven Personen ist das zum Beispiel meines Erachtens schon ein nicht zu unterschätzendes Problem. Über solche Zugänge kann unliebsamen Personen auch gut etwas untergejubelt werden. In Geheimdiensten dürfte die Korruption nicht mehr und nicht weniger verbreitet sein als in anderen Gebieten auch. Deshalb schlicht vorhanden. Sind die Backdoors bekannt, wird es zudem sehr gefährlich.
  18. Quelle: http://www.tagesanzeiger.ch/digital/computer/die-9-groessten-probleme-bei-windows-10/story/28315664#mostPopularComment Ist dem tatsächlich so? Ist schon älter, aber gewusst hab ich das ned...
  19. Sehe das wie die beiden. Erstmal so wie im Link umsetzen. Alles andere lohnt sich in wahrscheinlich allen Fällen überhaupt rein gar nicht Zeit zu investieren. Zumindest meiner Meinung nach =) was die Befehle genau bedeuten sagt Dir Technet von MS ;)
  20. Bei einem Printer habe ich ein ähnliches Phänomen, wirklich nachvollziehen konnte ich es bis jetzt nicht wirklich. Allerdings habe ich das Problem, wenn ich den Printer verbinde. Es rauschen ca. 20 Printer in 0,0 nix durch. Bei einem gibts aber immer eine Pause um die 20-40 Sekunden. Dann ist er aber auch verbunden und funktioniert einwandfrei. Ich habe mehrere Drucker am gleichen Anschluss auf dem gleichen Printserver definiert. Unterschied ist lediglich die unterschiedlichen Standardeinstellungen. Die anderen Drucker auf dem gleichen Anschluss rauschen einfach durch, Einer macht Probleme. Nicht mal der erste, wo man es auf die Treiberabfrage schieben könnte. Andere Fächer mit identischen Einstellungen machen wiederum keine Probleme. Sehr komisch. Seltsamerweise ist es auch nicht auf jedem Client der Fall. Meine Vermutung geht in die Richtung, dass eventuell irgendwo noch Überreste von der alten Printserver-Adresse rumfliegen die ich noch nicht gefunden habe. Vielleicht wurde das nicht sauber entfernt beim trennen/löschen und nu will er zuerst diesen Kontaktieren, was aber nicht geht. Der Printer-Freigabename ist bei mir gleich geblieben, der Printserver hat aber gewechselt.
  21. Denke der ein oder andere hat auch noch Datenschutzgedanken. Man "traut" mehr oder weniger standardisiertem VPN einfach eher über den Weg als einem Herstellerspezifischem Protokoll. Dann kommt noch erschwerend hinzu, dass MS mit der ganzen Telemetrie und Datensammlungs-Wut diesbezüglich nicht unbedingt zur Transparenz und Vertrauensbildung beigetragen hat. Die haben sich meiner Meinung nach gleich selbst das Bein gestellt für solche eigenen Internetabhängigen Technologien. Intelligenterweise hätten Sie es wenigstens andersrum gemacht. ;) Was mir in Bezug auf den Sicherheitsgedanken immer noch schleierhaft ist, warum sie das nicht sinnvoll TMG tauglich bzw. den TMG nicht als Rolle direkt in Windows Server integriert und entsprechend gepusht haben. Das Teil ist gerade mal ca. 120MB schwer. Mit genialer Zugriffsbeschränkungsmöglichkeiten und Protokoliierungsmassnahmen. Stattdessen kommen so grauenhafte und aufgeblasenen und hochkomplexe ISS-Proxies zum Zug. Eine Kommunikation so ganz ohne Firewall schmeckt halt immer noch vielen Kunden nicht. DA macht subjektiv den Anschein als sei das von Haus aus "suspekt". Objektiv mag das vielelicht anders aussehen, aber dieser FAktor wurde imho unterschätzt.
  22. Der muss gehen. Sonst hast generell ein Problem, dass nichts mit den Problemen hier zu tun hat. Servername natürlich als UNC-pfad also "\\Servername\Druckerfreigabename" wenn das nicht klar war ;)
  23. Ich würde mir das nicht antun wollen mit DFS-R. Das ist dafür schlicht nicht sinnvoll geeignet. Das ist ja lokal schon ein Krampf via Internet mit Sicherheit zum weit davonrennen. DFS-R finde ich super um eine Kopie der Daten auf einem deaktivierten DFS-Ziel vorzuhalten um im Fehlerfall schnell auf einen möglichst aktuellen Datenbestand zurückgreifen zu können ohne sich sofort mit einer Recovery-Orgie rumschlagen zu müssen die ja beim Fileserver doch seine Zeit dauern kann. Da muss man sich aber mit den Konflikten ned rumschlagen da es eine One-Way Sync ist. Auch der benötigte Traffic dürfte nicht unerheblich sein. Insbesondere wenn ein Problem herrscht und ein Resync ansteht. Das dauert ja lokal bei einigen TB's schon ewig. Ein paar Vorschläge - Wie bereits genannt wurde eine professionelle Lösung mit Lock. Sowas wie Sharepoint oder auf Fileserver aufbauendem System - Arbeit mit Transfer-Ordnern quasi für ein Check-In/Check Out und manueller Pflege - Immer am Hauptstandort einwählen zum arbeiten (was halt nicht geht für Offline-Arbeit) --> Zweiteres erfordert etwas vernünftiges Personal klappt in der Praxis aber sehr gut wie ich finde. Kommt halt drauf an wie viele Leute das brauchen, wie zuverlässig diese sind, wie oft die Files gebraucht werden, wie schnelle diese verfügbar sein müssen etc. Alles eine Frage der Abwägung/Anforderung und Wille Geld dafür auszugeben bzw. der Rechnung ob allfällige Fehlmanipulationen teurer/wahrscheinlicher sind als eine Profi-Lösung die ja auch Komplexität mitbringt.
  24. Habt Ihr die Probleme auch mit klassischen Login-Scripts? Mit GPP und GPO habe ich einfach immer Probleme mit den Drucker gehabt. Irgendwann habe ich die modernen Methoden aufgegeben. Unter 2012 gar nie erst probiert. Mit rundll32 habe ich noch überhaupt gar nie Probleme gehabt. Nur die Pflege der Scripts ist etwas mühsam. Aber eigentlich auch keine Hexerei. Verbinden; rundll32 printui.dll,PrintUIEntry /in /n PrintServerName\Printername --> Mit welchen Flags verbunden wird, ist Geschmackssache. So sind sie quasi fix und werden nach dem neuanmelden automatisch verbunden, dafür müssen Sie auch explizit gelöscht werden. Script rennt dann sehr schnell durch. Standarddrucker setzen: rundll32 printui.dll,PrintUIEntry /y /n PrintServerName\Printername
  25. Ganz Banal ohne PiPaPo: Steganos LockNote. Ein sich selbst verschlüsselndes Textfile.
×
×
  • Neu erstellen...