Weingeist

Stimmt, auch wieder wahr. Wieder VmWare?

Vielen Dank für die zahlreichen Antworten. Probleme ist übertrieben, aber die gefühlt 27 verschiedenen Orte wo die ganzen Einstellungen gespeichert waren, fand ich super lästig. Änderungen auch. Auch mit verschiedenen vLANs auf dem gleichen Adapter war das irgendwie grottig gelöst. Soweit ich mich erinnere was das alles irgendwie verschachtelt. Bei VmWare war bzw. ist der Netzwerkstack extrem geradlinig. Kann mich so vage daran erinnern, dass ein Path-Down ein riesiges Theater war bzw. nicht selber wieder aufgenommen wurde. Multipathing eher mässig funktioniert hat bzw. gräuslich einzurichten war weil hälftig MS-Einstellungen und hälftig irgend nen Vendor-Treiber damit die Bandbreite nicht auf einen Adapter beschränkt war (heute wäre das nicht mehr so dramatisch mit 10Gbit und mehr). Die Updates einspielen der Hersteller für das Multipathing war dann das Tüpfelchen auf dem i. Aber eben, meine Erfahrungen liegen da ungefähr 15 Jahre retour oder so. Seither nie mehr iSCSI mit Windows benutzt. Bei VmWare war bzw. ist das ultra trivial auch wenn Active-Active früher auch je nach Vendor etwas spezieller in der Konfig war. Oder eben auch easy NFS für Datengräber oder sonstiges. Meine Umgebungen sind immer klein und müssen relativ statisch sein. Sonst gebe ich sie ab. Rollentrennung mache ich trotzdem. Sprich eigentlich Overkill aber halt auf lange Sicht trotzdem einfacher. Spart Stunden und somit Geld und ich kanns problemlos abgeben wenn es mir zu umfangreich wird. VmWare läuft halt alles drauf, egal was kommt. Auch altes Windows-Zeugs oder Unix. Ist aber mittlerweile fast alles ausgemustert, ausmusterbar oder beschränkt sich auf einen Offline Arbeitsplatz. Mit View/Horizon/Ominissa/Teradici kenne ich mich aus. Habe ich quasi seit der ersten (brauchbaren) Stunde benutzt. Mit dem Verkauf starben aber die alten "Rechte". Irgendwo hat der Komfort eine Kostengrenze, diese gehen mittlerweile schon in der Bereich von nicht lustig. Daher tendiere ich eher auf einen Rückschritt. Auch der Grafikteil wurde immer lästiger nur mit CPU-Cycles, weil viele neue Oberflächen mehr Grafikintensive Funktionen haben obwohl imho unnötig. Nvidia ist da viel zu teuer. Ansonsten: Die ganzen Cluster-Funktionen brauche ich eigentlich nicht. Weder bei HyperV noch bei VmWare. Viel zu viel Komplexität und ich mag es, wenn Hosts unabhängig sind und ihre eigene Rechteverwaltung haben. Hat zwar klar auch Nachteile aber die sind jetzt in kleinen Umgebungen nicht wirklich gravierend. Ausser eben mit vTPM, da wird es lästig. Wenn auch machbar mit VmWare. Windows habe ich mich noch nicht schlau gemacht. Aktuelles Fazit: Keine Ahnung. Ausprobieren muss ich HyperV wohl oder übel sicher.

Salut zusammen, Zugegeben, mit mit HyperV habe ich mich in den letzten Jahren nicht allzu gross beschäftigt weil vSphere A so einfach war und B mir die Netzwerkonfig von HyperV in den Anfängen viel zu mühsam war und ich öfter eine Branchenlösung auf UNIX-basis hatte. Dann war da noch die einfache Einbindung von Storage aller Art. Unter Windows fand ich iSCSI immer mühsam, NFS sowieso. Netzwerkkonfig heute einfacher? Storage-Einbindung mit iSCSI einfacher geworden? Footprint von Windows bleibt natürlich grässlich hoch für reine Virtualisierung... Gehen einige schon wieder zu physisch zurück aufgrund der Vm zu Host Breaks in Hyper V und vSphere? Einen Vorzug bei Hyper V sehe ich dennoch, Storage Spaces als lokale Datengrundlage. Proxmox kommt für mich nicht in Frage. Lernkurve ist mir da aktuell zu flach. Wenig Ahnung von Linux etc. Alternative bleibt nach wie vor vSphere, aber irgendwie traue ich Broadcom nicht so ganz, dass Sie Kleinkunden nach wie vor bedienen. Aktuell sind die Kosten ja noch erträglich, aber ob das so bleibt? Verträge sind ja nur auf Jahresbasis möglich für Kleinkunden. Auch Horizon mit Omnissa scheint teuer geworden zu sein. Zusammen mit Teradici bzw. HPE-Updates wird die Wartung zu teuer. War so einfach alles. Wurde doch genug Geld verdient. *hmpf* Grüsse und Danke

Haben sie eigentlich schon. Die Frage ist nur, welche Kunden Ich habe es via Born erfahren. Gebe Dir recht, die Kommunikation ist ein Desaster das seinesgleichen sucht. Die denken wohl, jeder meldet sich jeden Tag mal in Ihrem Support-Terminal an und sieht die fette Überschrift. Angeblich gibts die Sicherheitsupdates nach wie vor umsonst. Wie das laufen soll ohne aktuelles Abo, keine Ahnung. Da vSphere neu Abo-basiert ist und Du keine Lizenz kaufst, dürfte das so oder so hinfällig werden. Ob dann alles einfach stoppt wenn das Abo abläuft, weiss ich nicht. Bezüglich Deinem RZ. vSphere 7 gibts übrigens nur noch bis Oktober Patches für. Wurde wohl verlängert von April bis September/Oktober.

Das ist doch das gängige Problem mit dem NlaSvc (Network Location Awareness) als Schuldigen. Dürfte bei Server 2025 nicht anders sein. Ein Kaltstart statt reboot löst manchmal das Problem. am zuverlässigsten ist das aktivieren/deaktivieren des Netzadapters oder jede sonstige Aktualisierung welche den NlaSvc triggert. Dazu gehört das Beispiel ein Protokoll deaktivieren oder aktivieren was schon genannt wurde. Das abrufen einer IP bei DHCP gehört bei einer dynamischen IP üblicherweise auch dazu. Auch wenn die IP wieder identisch ist weil der Lease noch gültig ist. Das geht mit herkömmlich Userrights. --> Hilfreich bei Clients Schöner wäre allerdings, wenn jemand nen Trigger bei MS ausfindig machen könnte, der auch mit User-Rechten manuell anstossbar ist und auch bei fixen IP's hilft. Dann wäre das ganze gegessen. Ein (sinnvolle) Doku gibts ja nicht. Allenfals gäbe es auch einen WMI-Befehl. Sonstige Hintergrundinfos Die Ereichbarkeit der Adressen für das Active und Passive-Probing sind quasi Voraussetzung. Hier würde ich aber mittlerweile nichts am Standard mehr ändern ausser eben allenfalls interne Server anzugeben für den Connection Test. Alle anderen gängigen Tipps habe ich mittlerweile verworfen und alles auf Standard gelassen weils eh nicht langfristig hilft, Build-abhängig oder etwas krass ist. NlaSvc verzögern, NlaSvc restart erzwingen (möglich mit Process-Kill oder TI-Rights), DNS-Suffix vorgeben, NlaSvc von anderen Diensten abhängig machen um Start aktiv zu verzögern, Netzadapteränderungen, DNS-Cache usw. usf. In der Vergangenheit habe ich mich schon mehrere male recht lange damit beschäftigt. Konnte es damals so eingrenzen, dass nun entweder neu erstellte Netzwerk-Profile zusätzlich erstellt wurden (rauslöschen half mind. für 1 Reboot, manchmal hälts dann manchmal nicht) oder die Netzwerkkarte in der Registry nicht als erste in der Auflistung erschien. Vor allem mussten alte Einträge alle raus weil auch Überreste zählten die nicht mehr Gerätemanager erschienen, auch nicht bei den ausgeblendeten. Etwas doof weil GUID's mit von der Party sind. Das zuverlässig zu fixen war allerdings nur äusserst mühsam möglich und vor allem nicht langzeitstabil (OS, Treiberudates etc.) Habe ich aufgegeben. Reine Bastellösung. Das heftigste Problem hatte ich mal auf einem Client mit aktivierten Management-Funktionen von Intel, da war nichtmal der DHCP-Abruf beim Reboot erfolgreich ohne den Adapter zu deaktivieren/aktivieren. Bekam eine generische. Selbst eine fixe IP wurde durch eine generische ersetzt. Nach dem deaktivieren und löschen von all dem Zeugs war dann NlaSvc "geflickt" und DHCP wieder funktionstüchtig. Ganz schräg.

Salut zusammen, Auf der Suche nach Infos zu meinem "Freigabe-Problem" mit den Outbound-Rules von maskierten Services sowie Domänen-Namen in Rules bin ich über diese Seite gestolpert: https://firewall.dsinternals.com Inbesondere das Whitepaper zur DC-Firewall ist sehr lesenswert: https://firewall.dsinternals.com/ADDS/ Sie wurde von einem tschechischen Security-Researcher Namens Michael Grafnetter erstellt. Die Seite hat verhältnissmässig konzentriert die oder sicher viele der Fähigkeiten und Hürden der Windows Firewall zusammengefasst und gibt Konfigurationsempfehlungen sowie auch Beispielscripts ab. Auch wie sie einigermassen einfach implementiert werden können. Insbesondere die erweiterten Infos zu der RPC-Filterung finde ich interessant. Im Grunde bietet die Seite aber noch einiges mehr. Auch Interessant ist, wie FQDN's gefiltert werden können, statt nur IPs. Stichwort Dynamic Keywords. War mir gänzlich unbekannt. Grüsse und so

Salut zusammen, Mal wieder eine alte, ungelöste Frage. Vielleicht habe ich ja Glück Wie gibt man Dienste unter Windows in der Firewall frei, die von Windows maskiert wurden? WuAuServ sowie ein paar andere - meist sicherheitskritische/anfällige - gehören dazu. Sprich Freigaben auf svchost.exe sowie den jeweiligen Dienst als Kriterium bewirken keine Freigabe bei Out oder In. Was funktioniert ist ein eigener Hardlink auf die svchost.exe gepaart mit einer Umbiegung des Dienstes sowie der Freigabe auf die neue exe. Die wird aber leider nicht aktualisert bei einem Systemupdate was immer nacharbeit erfordert nach den monatlichen Updates wenn die svchost.exe geändert wurde. Das kommt zwar selten vor, macht es aber nicht besser. Was nicht funktioniert sind: - übliche Firewallregeln - System-Konfigurierbare Firewall-Regeln in Configurable (Registry>Dienste>SharedAccess) --> per CMD und Admin-Rechten möglich - System-Fixe Firewall-Regeln in Static (Registry>Dienste>SharedAccess) --> Nur mit System/TI-Rechten möglich Warum eigene, fixe Static nicht funktionieren ist mir ein Rätsel, normal sind die etwas "spezieller". Sprich es funktionieren auch Freigaben die mit normalen Firewall-Regeln nicht greifen würden (zumindest war das mal so). Gibt es ausser dem SharedAccess Dienst noch einen anderen Ort wo Firewall Regeln definiert werden können? Grüsse und Danke

Die neue Software von APC ist einigermassen überladen für eine einzelne USV. Was genau stört dich den am aktuellen Verhalten per USB? Wenn es nur ein einzelner Server ist, soll der doch runterfahren. Wieder hochfahren und gut ist. Passiert ja nix. Wenn Du mehrere Server oder Virtualisierung betreibst, sieht es anders aus. Da wähle ich eher die Strategie genug Kapazität. Seit ~10 Jahren verwende ich auch nur noch Eaton. Keine Ahnung wie es mit APC heute aussieht aber vor 10-15 Jahren hatten die ein massives Qualitätsproblem. Waren zwar immer nur wenige lausige Bauteile die über den Jordan gingen und eigentlich sind die APC auch einfach von einem Elektronikfreak zu reparieren, aber es ist äusserst nervig und unnötig. USV's sind kein Hexenwerk sondern einfachste Elektrik mit minimaler Elektronik. Das kann problemlos mit fast ewiger Haltbarkeit gebaut werden. Man hat ja die USV als Problemverhinderer und nicht als Verursacher angeschafft. Ansonsten ein paar Tipps für die Stromversorgung/USV: Online und nicht Line-Interactiv --> Gründe im Netz nachlesen Tendenziell keine kleinen USV unter 2000/3000 KVA nehmen, Qualität nimmt oft rapide ab kleine USV haben aus Kostengründen nicht immer eine effektive Ladestrombegrenzung Bei entsprechendem Budget und notwendiger Grösse lohnt es sich auch im Industriebereich umzusehen. Anbindung ist eher aufwendiger (da keine eigene Software) aber die Qualität ist eben eine komplett andere. (Benning zum Beispiel, die meisten kennen die wegen den Messgeräten. Die können auch echte Redundanz mit Hot-Swap der Leistungsmodule, bei nichtbenötigter Leistung werden Module abgeschaltet im Milisekundenbereich zugeschaltet etc.) Generell zwei USV verwenden, soll ja nicht unzuverlässiger werden als ohne USV Beide mit separater Sicherung, am besten direkt aus der Hauptverteilung. Also möglichst wenig Sicherungen dazwischen die von anderen Verursachern fliegen können. Einsatz eines Automatic Transfer Switches für Geräte mit nur einem Netzteil (Die sind von APC übrigens 1A), oder eben auch aus der Industrie USV von Eaton werden üblicherweise mit 72Volt betrieben APC mit 48V. 72 Volt hat den Vorteil, dass man mit gleich grossen Akkus mehr Kapazität auf einen Strang bekommt. Aber eben auch mehr Akkus verwenden muss. Batteriepaket so gross auslegen, dass die Server gar nie runterfahren müssen. Inbesondere mit Virtualisierung hat man als Zuständiger weniger Ärger. Batteriepaket kann auch gut selber gebaut werden. Ist kein Hexenwerk. Statt den kleinen, billigen Akkus und jeder Menge Parallelstränge in den USV der grossen Hersteller kann das Paket aus einem einzelnen Strang mit hoher Qualität bestehen. Also Richtlinie so das Maximum aller Erweiterungen und der USV selbst. Grösser geht in der Regel aber auch. Nur Marken-USV mit Ladestrombegrenzung verwenden! --> Grosse Akkus = weniger Widerstand = mehr Leistung die geholt werdne könnte Höhere Sicherheit bei einem mechanischen Defekt der Batterie (Sicherheitsmassnahmen sind umfangreicher und zuverlässiger) Ausfallwahrscheinlichkeit des Akkupakets sinkt, da weniger aber höherwertige Komponenten. Selbstentladung und somit erzwungene Zyklen sind deutlich tiefer, weil keine Parallelstränge Akkus können selektioniert bestellt werden, wiederum weniger Selbstentladung Zyklenfestigkeit kann selber gewählt werden Lebensauder der Akkus ist sehr viel höher weil die Akkus bei Überdimensionierung nicht bei jedem bisschen Stromausfall Tiefentladen werden. Das ist Gift für jeden Akku. Es ist trotz Aufwand mit Elektriker in der Regel deutlich günstiger als die Erweiterungsboxen. Wers macht: Eigenes, nicht luftdichtes Gehäuse. Stecker z.B. wie sie in Flurgeräten verwendent werden (Stapler, Ameisen etc.), Sicherungschalter zwischen Paket und USV. M Nachteil: Es ist kein Standard, also man Verliert Anspruch auf Garantie (sofern man welche hat), Batterietausch durch Fachperson. Mir persönlich ist es das in jeder Umgebung die Nachteile wert. Nur schon weil ich keinerlei Stress durch Stromausfälle habe und meine Reaktionszeit die ich zu Verfügung habe, hoch geht. ;)

Vielleicht der gleiche "Bug" bzw. Feature wie die Windows-Suche, da gibts auch Konstellationen wo unbeschränkte male die gleichen Dateien gefunden werden. Da dürften es irgendwelche Links sein die das verursachen. Vielleicht wurde der Defender intelligenter? Oder ihr habt tatsächlich viele ZIP's/CAB's. Da gibts tausende files in Installern.

Theoretisch schon. Doch. Nicht jedoch wenn die Probleme von den Härtungen kommen. Dann ist auch diese Auflistung manchmal etwas Random oder zäh bzw. hast Du Gewissheit, dass der Drucker unter Windows eben nicht verbunden ist und somit auch nicht verfügbar für die Programme. Daher ist das heute immer mein erster Ansatz, Treiber deinstallieren, Registry nach Printern durchsuchen, alle Anschlüsse und Warteschlangen löschen, Reboot, neueste Treiber auf Printserver installieren, einmal als Admin verbinden (ein neuerer Treiber hat den Vorteil, dass Du den alten nicht zwingend deinstallieren musst). Usern ein FQDN-Link auf den Desktop. Normal sind die Probleme dann weg. GPO so setzen das nur Admins Treiber installieren können. So als Erstmassnahme kannst auch eunfach das NTLM-Log aktivieren, falls nicht eh schon gemacht. Das Log wird regelrecht überschwemmt wenn Printer oder Netzlaufwerke sich mit Name zu verbinden versuchen. Fast vergessen, letzteres kann auch Probleme bei den Printern geben, da es der gleiche Stack ist! Also auch diese rauskicken in der Registry. Frühe war man sich fast sicher: Probleme mit Drucker = Treiber schrott. Gilt selbst heute leider noch oft. Daher nur Drucker aus dem Business-bereich, da hast eigentlich Ruhe. Die Härtungen sind aber trotzdem sehr wahrscheinlich bei Random-Problemen wie falsche Auflistung und z.B. zäher Druckeinstellungsaufruf. Du kriegst mit ein paar wenigen falsch verbundenen Druckern einen Terminal-Server in die Knie. Dies obwohl technisch gesehen, ein verbinden via Name gar nicht erst möglich sein sollte wenn NTLM blockiert wird.

Kommt drauf an von was Du sprichst. RAID-Controller mit NVMe brauchst eigentlich nicht. Storage Spaces tuts im Grunde genauso. Mögen manche anders sehen, aber ein zusätzlicher Controller gibt nur einen SPOF innerhalb des Systems, möglicherweise weniger Durchsatz und schlechtere Konfigurierbarkeit. Gilt natürlich nicht in einer SAN wo es doppelte Controller sind. ;) Wer viele NVMe Slots mögchte, sollte zu EPYC Systemen greifen. Da gibts auch Single-Socket mit jeder Menge NVMe in U.2/U.3

Das ist genau jene die buggy ist. Da reicht ein etwas lausiger Treiber und das Ding ist falsch. Oder auch gewisse Privacy Einstellungen verhindern die korrekt Auflistung. Mit eine der dümmsten Erfindungen von MS. Die dümmste ist der eigene Druckerstack von Office. Zumindest wenn man automatisiert. Sprich es ist 0,0 relevant was da angzeigt wird ob der Drucker tatsächlich vorhanden ist oder nicht. Erstelle einen Ordner mit dem Namen: Drucker Erweitert.{2227A280-3AEA-1069-A2DE-08002B30309D} Das ergibt Dir einen Link zur eigentlichen Druckerauflistung wie sie früher üblich war, MS aber ausgeblendet hat. Diese wird von den Programmen verwendet. Wenn er da nicht erscheint, ist er auch nicht vorhanden.

Nun was bleibt einem schon anderes übrig. Läuft ja in anderen Branchen auch so. Gerade wieder mal so eine geile Übung mit einem Lift mitbekommen. Total krank was da abgeht für etwas das eigentlich völlig banal ist. Bei den SPS ist genauso. Siemens ist ein riesiger Krampf, insbesondere die Anzeige und Eingabgeräte chronisch veraltet, zu klein und völlig überteuert. Aber Du findest in unseren Breitengraden überall einen der Siemens programmieren kann. Die Ersatzteile kriegst an jedem Eck und für alte Maschinen bekommst gebrauchte Komponenten und wenn alles fehlschlägt, findest bestimmt jemanden der Dir die defekten Teile (sind eh immer die gleichen) aus- und wieder einlötet. Nimmst Beckhoff oder Mitsubishi und das Feld der Leute die es nur schon kennen ist verschwindend klein. Dafür sind es dann häufig Top-Cracks die sehr effektiv arbeiten. So ist das halt mit Quasi-Monopolisten...

Das ist schon ein seltsames Phänomen. Allerdings wundert mich bei dem Gebastel des Druckerstacks überhaupt nichts mehr. Aber eben, seit ich die ganzen Anschlüsse, Treiber, Verbindungen etc. aus der Registry gecleant habe, anschliessend das erste mal als admin verbunden und auch die User zur Benutzung von FQDN "nötige", sind alle Probleme wie weggeblasen. Als ich mit den Härtungs-Flags rumprobiert habe als sie noch optional waren gabe es verschiedenste seltsamen Probleme. Daher würde ich erst das mal ausschliessen. MS hat viel gemacht das es irgendwie auch ohne geht und selbst mit deaktiviertem NTLM irgendwie doch manchmal mit dem Namen funktioniert. Aber eben nicht zuverlässig. (Zumindest war das so als die Flags aufkamen, weiss nicht was mit aktuellsten Updates Sache ist) Eine Frage hätte ich dazu aber noch: sprichst Du eigentlich von der richtigen Druckerauflistung oder der Geräteauflistung wo auch die Drucker drin sind? Das sind zwei komplett unterschiedliche Dinge. Die Geräteauflistung ist ziemlich buggy. Die richtige Druckerauflistung mit vernünftigen Treibern, das erste mal durch einen Admin installiert und zuverlässig per FQDN verbunden ist dagegen üblicherweise völlig unproblematisch. Treiber von Billig-Geräten verhinderten in der Vergangenheit aber gerne mal die zuverlässige Auflistung. Ich weigere mich heute sowas zu installieren. ;)

Danke.... Da frage ich mich, warum ich das nicht gefunden habe. War eigentlich sicher das ich diese banalste Form der Suche auch in About:config auch eingegeben habe. *hmpf*

So siehts aus und auch wenn Du alles abgeschaltet hast, allenfalls sogar die Update-Services auf eigene svchost.exe umgebogen in der Firewall deaktiviert etc. gibts noch den Medic Service welcher Dir alles zurücksetzt. Der Medic Service wird wiederum per Taks aktiviert. Den man auch deaktivieren kann. Ein eingespieltes Windows-Update aktiviert dann wieder alles. Ich kann Dir sagen, Windows findet heute fast immer einen Weg um die Updates irgendwoher an den gewünschten Einstellungen vorbei zu ziehen. Das noch gefühlt jede zweite Build anders reagiert macht es nicht einfacher. Daher: Script und Gegenscript mit Totalblockade der Updatedienste per Windows-Firewall (z.B. eigene svchost bzw. eigene für alle anderen) und deaktivieren der Dienste sowie Tasks. Einzige Lösung die Nachhaltig funktioniert. Bis zum nächsten Funktionsupdate "würg". Irgendwann hast die Schnautze so voll, dass Du eben nichts mehr machst. Das ist das Ergebnis was MS erreich hat.

Ganz einfach, Windows erkennt eine Internetverbindung und holt sich die Updates die er sonst nicht bekommen würde, da nicht am Internet. Je nach Fernwartungstyp zieht es die dann auch mal via dem Internet des Herstellers. Und schon machts Peng. Man muss schon recht viel Effort in das deaktivieren der Update-Dienste stecken damit Windows das nicht wieder selber aktiviert und sich das Zeug irgendwie zieht (Teredo, IPv6 etc). Früher war das kein Problem als man das einstellen konnte das Updates nur auf Verlangen eingespielt werden. Aber so ist das für die Industrie unbrauchbar. Aber nichtmal für IoT gibts vernünftige Einstellungen. Ist ein Heidenspass wenn z.B. das HMI des Materiallagers nen Reboot macht und der Roboter in die Material-Lagerzelle fährt und seine Ware ablegen möchte. Den ganzen Müll wieder reseten von PPS, Robo-Zelle, Materiallager, Messystem, CNC etc. dauert dann gerne mal einen halben Tag. Kostenpunkt viele tausend Euro für den Produktionsausfall und den Support von drei verschiedenen Firmen. Und das ist nur ein Beispiel einer Produktionszelle, keine ganze Strasse. Bei einer Strasse hast bei einem Problem auch mal 7-10 Leute auf Platz à jeweils 2'000 Euro pro Tag um einen Fehler zu finden. Zusätzlich zu Deinen eigenen 20 Mann die rumstehen und der Kunde der seine Ware nicht bekommt. Das geht enorm schnell ins grosse Geld selbst wenn das Update selbst nicht mal Probleme verursachen würde. Da willst solche "vermeidbaren Probleme" schlicht nicht verantworten. Das Problem ist heute, dass man Daten aus diesen Netzen im ERP etc. haben möchte, Fernwartungen braucht usw. Interessiert wären grundsätzlich schon alle. Nicht jedoch an dem damit verbundenen massiven Zusatzaufwand und den Risiken das die Anlage nachher steht und der Support der Hersteller genötigt werden muss und sie dann eh keine Ahnung haben. Die Betreiber haben zu viele schlechte Erfahrungen gemacht und die Hersteller haben keine Ahnung und konnten nicht helfen. Nur wenn der Betreiber selber IT mässig gut aufgestellt ist, hast da überhaupt eine Chance. Da hängen teilweise so viele Systeme drin, da willst eigentlich am liebsten gar nix dran machen. Update eines einzigen Programms kann wieder Änderungen seiner Schnittstelle bedeuten was wieder Einsätze verursacht usw. Auch wurde früher leider sehr (zu) viel Glas zerschlagen weil tatsächlich manchmal die Programme nicht mehr funktioniert haben nach WindowsUpdates. Sicherheitsupdates habe ich immer eingespielt und nie Ärger gehabt. Nur die Funktionsupdates wurden teilweise zum Problem als MS angefangen hat, das zu kombinieren und manchmal an den API's rumzuspielen. Mit den Halbjahresbuilds bei Pro (das meistens eingesetzt wird) wurde es zum Desaster.

Tippe auch auf die Härtung. Da wurden ein paar Änderungen mittlerweile standardmässig scharf geschaltet die man vorher selber aktivieren musste. Des weiteren sollten Drucker und Netzlaufwerke nur noch mit der FQDN und nicht dem Namen verbunden werden. --> Kerberos statt NTLM. Damit das so bleibt, eine Verknüpfung des Printerservers als FQDN auf den Desktop damit sie selber neu verbinden können wenn man das nicht über Scripts löst. Am besten deinstallierst alle Treiber und wirfst sämtliche Anschlüsse und Druckerwarteschlangen von verbundenen Druckern aller User raus und verbindest die Drucker neu. Am einfachsten erzwingst das Neuinstallieren des Treibers mit einem Update auf dem Print-Server. Das erste Neuverbinden am besten als Admin. Wie stark Du das automatisierst, kommt natürlich auf die Grösse der Firma an. ;)

Och, so schlimm ist das gar nicht mehr. Seit 7 ist die wirklich proprietäre Software/Hardware extrem zurückgegangen. A weil Windows nich mehr so einfach direkte Hardwarezugriffe zulässt und B weil vieles mittlerweile über TCP/IP läuft. Es sind auch weniger die Maschinenhersteller selbst sondern die HMI-Hersteller das Problem. Deren Software ist an die Hardware gekoppelt und eine "freie" Lizenz welche auf jedem PC läuft, lassen die sich fürstlich bezahlen. Meist sind dann deren lahme HMI's und grottigen SD-Karten schuld an der zähen Bedienung. Willst das ändern ist der Aufwand beträchtlich. Aber klar, es gibt auch heute noch propritäre Hardware welche direkt in die PC's gesteckt wird. Insbesondere von Messsystemen. Die Hardware von z.B CNC-Maschinen hat in der Regel aber heute eine von der Bedienung abgekoppelte Steuerung. Die HMI's dienen quasi als Schnittstelle die manchmal leider doch mehr machen, als sie sollten. HDD tauschen: Nun, so verbreitet ist es noch nicht. Am Ende machen sie aber auch nur das, was in der IT auch eine richtige Seuche geworden ist. Da werden ja teilweise selbst Treiber so an einzelne OS gebunden, dass sich eine Netzwerkkarte z.B. nicht nutzen lässt (HPE). Das wirklich eine eigene Firmware drauf ist, habe ich noch nicht erlebt. Meist kriegst eine Kopie mit Sektor-Sektor Kopie hin sofern eben das HMI nicht die ID checkt.

So einfach ist das ja eben nicht. Wenn z.B. eine Maschine eine Fernwartung aufgeschaltet bekommt, dann zieht sich Windows gleich die Updates und installiert diese. Dann folgt z.B. am nächsten Morgen der Crash. Du kannst das nicht ohne Weiteres mit Einstellungen verhindern sondern musst die Update-Dienste und die zugehörigen Tasks welche die Dienste wieder aktivieren, deaktivieren. Wenn Du dann installieren willst, das ganze wieder aktivieren und dann nicht vergessen wieder zu deaktivieren. Kann man alles mi Tasks und Scripts lösen, aber ist halt doch einiges an Aufwand. MS macht einem das nicht gerade leicht. Ein Ende alles ein ziemlich mühsames Prozedere mit viel Potential für "lassen wirs halt ganz". Das Problem ist, dass diese "Dienstleistung" niemand bezahlt und die Hesteller auch gar nicht die Kapazität haben diesbezüglich alle Kunden oder ihre Techniker entsprechend zu schulen. Alleine deren Stundenansätze verhindern schon, dass man die zu oft bestellt. Dann haben die Techniker der Hersteller von Windows in der Regel soviel Ahnung wie der Bäcker von Wurstwaren herstellen. Daher lieber abdrehen, dann haben sie keinen Ärger. Und der Kunde auch nicht. Wenn der Kunde eine gewissenhafte IT hat, macht er das dann auf eigenens Risiko. Wie auch immer, der Aufwand den die Hersteller für eine vernünftige Update-Politik betreiben müssten ist jedenfalls enorm. Und der Kunde bräuchte das KnowHow das durchzuführen, Rollbacks zu machen etc. und benötigt auch noch das Wartungsfenster dafür. Am Ende ist es im Industrieumfeld eben einfacher gesagt als getan.

Nun so richtig will man W11 24H2 ja auf ner Steuerung eingentlich auch noch nicht auch wenn es dafür nen IoT LTSC Build gibt. Was anderes als LTSC will man aber sowieso nicht. Nur haben sie wie du schon sagst, keine Ahnung das es IoT LTSC gibt. Und selbst wenn, dann scheitert es bei der Beschaffung. Nicht weil es schwierig wäre, sondern weil man gleich abgeschreckt ist. Weiss nicht wie viele Stunden ich schon in das Überzeugen der Hersteller gesteckt habe. Inklusive Kurz-Anleitung + Firma wo sie beziehen könen. Müsste eigentlich Provisionen kriegen. Sicherheit des Kunden: So einfach ist es leider nicht. Windows und seinen Standardeinstellungen machen es selbst für Update-Willige unglaublich schwer. Insbesondere die für industriezwecke unbrauchbare Update-Steuerung ist ein Desaster. Eine Industriemaschine die z.B. in eine Produktionszelle oder sogar eine ganze Fertigungsstrasse eingebunden ist, darf nicht einfach nach Gutdünken einen Reboot machen. Das Abdrehen seitens der Zulieferer-Firmen ist daher reiner Selbstschutz und der ihrer Kunden. Schadcode is ein potentielles Risiko. Ein monatlich wiederkehrender Stillstand oder gar Maschinencrash kostet zuverlässig tausende von Euros. Es braucht da schon einen sehr hohen Effort seine ganzen Steuerungen up to date zu halten. Sehr viele geben es wieder auf weil einfach auch weil das notwendige Wissen fehlt und Overkill ist jemanden dafür einzustellen. Der ITler sollte die Netze dann möglichst abkapseln. Nur halt auch immer schwieriger fon Fernwartungen etc. Muss man auch gar nicht. Entweder man hat die Philosophie und die Möglichkeiten das gepatched wird oder nicht. Echtzeitsysteme verbieten sogar Backups von SQL-Datenbanken, weil das VSS im dümmsten moment eine Pause generiert. Z.B. weil dei Hardware zu langsam ist. Ist dann die Sache des Betriebes ob er es trotzdem macht. Die Steuerungen selbst juckt die Updaterei eigentlich schon lange nicht mehr. Solange es eben bei Sicherheitsupdates bleibt. Selbst unter XP waren Sicherheitsupdates eigentlich nie ein Problem. Nur will das kein Hersteller empfehlen weil eben die meisten das Management des Patchens nicht wirklich im Griff haben.

Salut Leute, Es ist mir zwar ziemlich peinlich, das mir das irgendwie wieder aus meinem Hirn wich, aber wie verhindert man das Screen Sharing im Browser? Habe nicht allzu viele Infos darüber gefunden, war nur "etwas" irritiert, dass dies viel zu einfach möglich war nachdem ein externer Dienstleister aus einer völlig anderen Sparte das so machen wollte. Das Feature hat z.B. unter Firefox keinerlei offensichtliche Einstellmöglichkeiten wie das sonst bei Mikro etc. so üblich ist. Nach einer Recherche ist WebRTC dafür verantwortlich. Realisiert mit Javascript. Die Api ist sicher so foolproof, dass die Interaktion nicht umgangen werden kann. Aber selbst wenn, ich will nicht, das die User das beliebig tun. In About:config finden sich einige Einstellungen, aber auch das eher für die Einstellung als für das abschalten. Hat sich jemand schonmal damit beschäftigt? Meine Frage ist, wie konfiguriere ich effektiv, dass dies nicht erlaubt ist oder irgendwie granular durch den Admin freigegeben werden kann? Weils grad so schön ist. Teamviewer will seit neuestem auch die neue mit "webview2" erstellte Oberfläche durchdrücken. Wird einfach installiert sofern die FW den Download nicht verhindert. Scheint eine ähnliche Technologie zu sein? Auch das will ich eigentlich nicht auf meinen Maschinen haben. Geht das nur mir so, dass diese Dinger "Unbehagen" erzeugen da zu einfach? Grüsse und Danke

Oh, mal einer ders verstanden hat wies läuft... Die IT'ler die nicht mit Produktionen arbeiten verstehen das so gut wie nie. Ich sehe das nicht so eng solange es File-basiert ist, mit obigem Workaround kann man alles mit Windows erschlagen. Mir graut es erst davor, wenn die ersten hochautomatisierten Maschinen mit ERP-Anbindung etc. keine Updates mehr bekommen. Windows CE ist in ziemlich allem etwas eigen. Imho die grösste Fehlkonstruktion neben 98 ME. Zudem fast immer auf elendiglich lahmer Hardware. Was braucht die Maschine den genau? Nur Files? Nur solche von der Produktion oder muss ein Hin und Her Transfer vom Büro erfolgen?

Aus eigener Erfahrung liegt es zu 99% daran, dass nicht mit der FQDN zugegriffen wird sondern mit dem Namen. Ganz perfide sind Netzwerk-Druckerverbindungen und Netzlauwerkverknüpfungen, da musst erstmal ordentlich die Registry aufräumen und alles alte rauskicken sonst gibt das ein ziemliches Desaster. Da hat MS was gebastelt, das es meist irgendwie trotzdem geht, aber eben nicht zuverlässig und manchmal total lahm. Vor allem wenn erst mit Name und dann manche User mit FQDN verbinden. Einen TS kriegst da recht einfach in die Knie =) --> Es hilft Printserver mit der FQDN auf den Desktop zu legen wenn die User selber verbinden sollen. Sonst versuchen sie es mit dem Namen und meist klappt es dann leider auch irgendwie, läuft aber nicht zuverlässig. Bei Admin-Accounts bzw. Protected Users kann es vorkommen, dass dein Token abläuft. Das merkst aber auch anderswo. Wenn die Meldung kommt, kurz sperren und wieder anmelden. Eine weitere Stolperstelle ist manchmal der Network Location Service (nlasvc) wenn die Location bei der Anmeldung nicht zu Verfügung steht, werden Scripts nicht zwingend ausgeführt. Ist aber irgendwie Random das Problem. Sprich sicherstellen, dass der beim Boot auch seine Domäne hat und nicht am drehen ist. --> Netzlaufwerk Adapter Deaktivieren/Aktivieren ist die zuverlässigste Variante. Es müsste auch nen WMI Befehl geben, konnte mir bis jetzt aber niemand nennen. Grundsätzlich ist es dann schmerzfrei ohne NTLM. Ich hab aktuell nur noch Probleme mit der Cert-Austellung, da Fehlkonfig. Da aktiviere ich bei einigen Fehlschlägen NTLM auf dem CertServer. Blockiere aber gleichzeitig die gängigen RPC-Schwaschstellen mit der Windows-Firewall (Printer, EFS etc.). ;) Ahja, manche Scanner auf SMB sind auch mühsam, weil die Hersteller ewig hinterherhinken. Da kann man z.B. über nen separaten Server wo man dann die Verzeichnisse synchronisiert auf einen anderen Server wo dann auch die Leute zugriffen haben. NTLM mit Local-Accounts funktioniert nach wie vor.

Das geht aus eigener Erfahrung nicht immer. Zudem bei einigen Maschinen mit Komfortverlust verbunden und die Leute sind es sich anders "gewöhnt". Die Leute mochten es nicht. Zudem hatte Filezilla als ich das engerichtete hatte, ein Speicherleak und stürzte ab und wann ab was nervig war bzw. über Script ein restart gemacht werden musste. ;) Zumal man dann die Maschinen ins Netz einbinden muss was ich vermeiden wollte.