Weingeist

Ich finde es nur irgendwie schräg, dass ein LTSC-Build solch grundlegenden Kram nachträglich eingebaut bekommt. 4GB Updates nach wenigen Monaten klingt eher nach short-release und insider build als Security Fix. Vielleicht schieben sie ja kurzfristig ein R2 nach.

Als Vergleich: Bei Server 2022 war das im Mai 2022 um die "243,2 MB" ende Jahr dann "316,3 MB"

vor 29 Minuten schrieb testperson:

kommt auch noch in der dritten Hälfte des Jahres

vor 14 Stunden schrieb cj_berlin:

Auf zwei meiner Labs ist das Mai-Update jetzt drauf und, wenn Copilot jetzt ausgerollt wurde, ist davon jedenfalls nichts zu sehen.

Nun, gemäss verschiedenen Blog-Quellen ist es aber wohl so, dass die ganzen AI-Funktionen im Mai-Update eingebaut wurden. Vielleicht plappern aber auch alle einander nach und ich bin drauf reingefallen. Logisch gedacht, was sonst soll bei einem Cumulative Update soviel Speicherplatz brauchen? Wäre in 20 Jahren das erste mal das über 3GB an zusätzlichen updates in einem Monat reinflattern. Sehr unrealistisch. 

Muss ja jetzt nicht heissen, dass die ganzene Fotoaufnahmen erstellt werden. Oder sonstige automatischen Übermittlungen an MS gleich mit aktiviert werden.  Das passiert dann vermutlich wieder aus versehen.

vor 1 Stunde schrieb testperson:

 

Wenn es wirklich servergespeicherte Profile sein müssen, gibt es ja auch noch Software wie den Invanti User Environment Manager. Alternativ könnte man auch in Richtung VDI / Remote Desktop Services schauen und FSLogix nutzen. (Theoretisch könnte man FSLogix (ggfs. mit Cloud Cache) auch für Fat Clients evaluieren.)

Ja klar könnte man. VDI entpannt aber auch nur bedigt. Wird das Profil gelöscht, sind die Einstellungen auch weg. Gleiches gilt bei der Golden-Image erneuerung. Ist zudem halt wieder etwas zusätzliches das allenfals nach einem Update nicht mehr geht. FSLogix entspannt da zwar einiges gegenüber klassichen servergespeicherten Priflen, ist aber auch nicht zwingend ohne mit den Versions-Updates. Gab da auch schon Ärger. Und ist etwas zusätzliches. Sofern irgendwie machbar löse ich alles nur noch per Script und/oder GPO. Ist auf lange Sicht einfach schmerzfreier und weniger Arbeit. Ich mags wenn ich wenig Support-Arbeit habe. Und es durch weniger zusätzlichen externen Komponenten tendenziell auch sicherer ist.

Gibt noch einen Punkt. Copilot etc. wird wohl mit den Mai-Updates auf allen Maschinen ausgerollt. Unabhängig davon, dass ich das nicht möchte, heisst das auch, dass das kumulative Update für W11 24h2 und Server 2025 bereits ein paar Monate nach dem Release rund 4GB gross sind! Sprich es braucht enorm viel freien Speicherplatz für die Installation des Updates. Wahnsinnig toll für schmale VM's.

Meine Fresse, Windows Server ist ein LTSC-Build, da gehört sich so ein enormes "Feature-Update" nicht. Gehört in einen neuen Release. Aber der Persilschein für die Techbranche von Trump zeigt wohl seine Wirkung und MS setzt sich über nationale Bedenken anderer Länder hinweg. *hmpf*

Für mich macht es den anschein wie damals Server 2016. Noch nicht wirklich ausgereift.

Am 13.5.2025 um 09:26 schrieb wicksupport:

Da es um Einstellungen von einzelnen Usern geht, die diese selbst in Programmen vornehmen können, ist die Vorgabe per GPO oder per Script keine Lösung. 

Wir haben auch keine Schwierigkeiten mit der momentanen Konstellation, da aber gut läuft. Es ging lediglich um die Frage, ob auch andere die gleiche Erfahrung gemacht haben, oder ob die Anmeldung auch bei der Konstellation wieder möglich ist, wie das bisher war. 

Ein Lösungsansatz: Nimm einen User, lösche sein lokal zwischengespeichertes Profil (Neustart des Computers - damit sauber gelöscht werden kann -, anmelden mit anderem User, Profil des anderen Users über erweiterte System-Einstellungen löschen). Wenn er sich erneut anmeldet und dann alles gut ist, hast einen Lösungsweg. Wenn nicht, machst das gleiche mit einem User der kein servergespeichertes Profil hat. Klappts dann, weisst es liegt am servergespeicherten Profil und Deine zweite Aussage trifft nicht zu. Eben weil ihr Probleme habt. Auch wenn ihr bis anhin keine hattet. Das ist ein gängiges Szenario bei servergespeicherten Profilen, irgendwann krachts, weil MS mit jeder Build irgendwas an den Profilen schraubt und für sie servergespeicherte Profile eigentlich tot sind und somit nur stiefmütterlich testet.

Der zweite Lösungsansatz ist wie von BOfH_666, Link auf Desktop. Warum Alt + F4 nicht gut sein soll, werde ich nie verstehen. Ist viel schneller und Programme werden sauber geschlossen.

Auch wenn ich mich wiederhole: Plane die die Ablösung von servergespeicherten Profilen und ersetze es mit Scripts und GPO's. Falls Du das - aus Gründen - nicht willst, nimm wenigstens durchgängig den gleichen LTSC-Build von Windows auf allen Maschinen wo das Profil geshared werden soll und verhindere das servergespeicherte Profil auf anderen Maschinen. So hast getan was getan werden kann damits nicht kracht.

Seit Windows 8 (oder wars sogar 7?)tue ich mir servergespeicherte Profile nicht mehr an. Selbst Ordnerumleitung habe ich abgeschafft und durch simple Links auf Fileserver ersetzt.

Wie das geht? User beeinflussen. Arbeitet mit dem Standard, rechnete jeden Tag mit einem neuen. Schieb die Schuld auf MS dass dies notwendig ist und jeder begreift es. Nicht vollständig fair, aber zweckmässig. Schau gleichzeitig, dass sich möglichst wenig ändert. Die User gewöhnten sich zu meinem erstaunen sehr schnell an diese arbeitsweise. Seither ist der Supportaufwand unglaublich tief geworden.

Natürlich mache ich auch Anpassungen die müssen dann aber per Script oder GPO umsetzbar sein und sind so in der Regel auch Versionsresistent.

Gerade eben schrieb NilsK:

nein, natürlich nicht.

Dann ist es grässlich. Cloud und MS-Konten werden quasi erzwungen. Über den (günstigen) Preis geregelt.

vor 1 Minute schrieb NilsK:

In Bezug auf Office 365 ist das ... Schwurblerei. Man darf datenschutzrechtliche Bedenken haben, aber dies ist nicht die passende Stelle.

Was genau MS übermittelt, weiss niemand. Es wird nicht offengelegt. Selbst Windows analysiert extrem genau wie ein Computer von wem genutzt wird. Dazu dann noch Copilot, KI etc.  in Windows und Office. Das ist eine herrliche Spielwiese. Von der US-Regierung haben sie quasi einen Freipass. Unsere werden soweit erpresst, dass wir die Gesetzte anpassen. Ist ja bereits im Gang. Aber ich gebe dir recht, nicht ganz der richtige Ort. Aber gehört halt trotzdem dazu. Ist immerhin unser Nachwuchs

@lizenzdoc Gibt es super-günstig Programme auch für die lokale Installation im Bildungswesen? Kaum oder? =)

An der Stelle von MS würde ich das auch tun, nur schon um Office in die Köpfe zu pflanzen. Aber ist es zu schön um wahr zu sein oder gilt die Lizenz auch für lokale Installationen ohne MS-Konto? Weil wenn nicht, finde ich das grässlich. Nicht die Tatsache, dass es günstig ist, sondern zu welchem Preis.

Ich finde es allgemein höchstgradig bedenklich wenn bereits Schüler in grossem Ausmass durch Techfirmen "telemetriert" werden. Einstufung von Mensch quasi bereits auf Schulniveau. Gilt auch für die ganzen Prüfungen etc wo Reaktionszeiten, Verweildauer etc. gemessen werden. Vielleicht bin ich diesbezüglich für manche ein Schwurbler aber ich kann dem gar nichts abgewinnen.

Oh wow, dann ist das aktuell ein K.O Kriterium. Ich nutze ReFs/Storage Spaces sehr oft und gerne.

Scheint ja doch recht heftig zu sein, waren nicht mal nur migrierte Volumes (was ich nicht machen würde) oder iSCSI,

Ich nehme alles zurück und behaupte das Gegenteil.

Aber im Ernst, so ganz kann ich das noch nicht glauben, dass NlaSvc nicht mehr beteiligt sein soll. Netprofm/NLS hängt - zumindest was Dienstabhängigkeit angeht - am Tropf von NLA, auch wenn netprofm wohl für die eigentlichen Reg-Einträge zuständig ist. Oder wurde diese Abhängigkeit technisch gekappt oder sogar die abhängigkeiten vergessen?

Könnte eine Erklärung sein, warum das bis jetzt nie zuverlässig geklappt hat. BFE verliess sich für die Profilwahl auf NLA und NLA müsste durch NLS/netprofm getriggert werden, tut es aber nicht wenn die Daten identisch sind. Wenn aber beim Reboot DNS vor NLA oben war, hat NLA funktioniert weil sich NLA  (wohl je nach Build) auf DNS verlies.

Oder wenn die Einträge in den Neztwerklisten gelöscht wurden, erfolgte der Trigger (über welche Umwege auch immer) weil der Dienst nach NLA gestartet wurde (abhängigkeit). Allerdings nur bei einmalig bei einem Reboot. Interessant wäre nun, ob die Abhängigkeit eigentlich anders rum sein müsste. Sprich was passiert, wenn man NLA von netprofm abhängig macht, also ob dann Nla auch Infos von den Netzwerklisten holt. Oder nur DNS den man wiederum als voraussetzung für netprofm nehmen könnte. Muss ich die Tage mal testen. 

Schöner wäre es wenn MS das Problem endlich mal nachhaltig und zuverlässig lösen würde bevor wirklich 20 Jahre rum sind.

Wie auch immer, in Horizon-Umgebungen werde ich wohl wegen der AD-Integration noch mit 2025 warten bis andere andernorts keine mehr haben. Spare ich mir aktuell den Aufwand für Tests. Danke für die Info!

vor 1 Minute schrieb NorbertFe:

Zwar kein Problem von 2025, aber ab und an gibts ja noch angrenzende Systeme. ;)

OK, das Probleme dürfte ich hoffentlich nicht haben, da ich üblicherweise keine MS-fremde Software auf DC's installiere.

vor 1 Minute schrieb NorbertFe:

Ja, nur dass bei 2025 der NLA dafür gar nicht mehr zuständig ist, afair. ;)

Ansonsten gerade als DC fällt mir nur das hier ein:

Das bezweifle ich mal stark, weil es immer die gleiche Laier ist mit dem Teil. Seit Vista. Also 20 Jahre. NlaSvc startet bevor die Dienste, Verbindungen etc. die es zur zuverlässigen Erkennung braucht, oben sind. Den Bug gibts seit Vista. Mit DHCP gabs ihn lange nicht, mit fixen IP's - insbesondere IPv4 - war er noch nie zverlässig weg. Ständig wird irgendwas dran rumgebastelt. Manchmal tut es wieder irgendwann nicht mehr oder der Lösungsweg wird anders. Der einzige Weg der immer funktioniert ist Adapter deaktivieren und wieder aktivieren oder z.B. ein Protokoll zu aktivieren/deaktivieren damit NlaSvc getriggert wird. Wenn DHCP aktiv ist, reicht ein ipconfig /Renew. MS müsste nur mal nen Trigger einbauen den man anstossen kann, sie kriegen es ja sowieso seit 20 Jahren nicht gebacken. Weil so muss man immer nen Script basteln und mit Admin-rechtne ausführen.

vor 2 Minuten schrieb mwiederkehr:

... ausser dem Problem mit der Windows Firewall auf Domänencontrollern nach dem letzten Update. Aber das hätte bei jeder Version passieren können.

Meinst den ***ischen Bug den es eigentlich in jeder Windows Version gibt, mal auftritt und mal nicht aber bei DC's noch viel peinlicher ist? Also dass der NlaSvc seine eigene Domäne nicht erkennt? Ode hab ich was verpasst?

Salut zusammen,

Gibt es irgendwelche gröberen Dinge abseits von den Issues die bei MS gelistet sind?

Die gemeldeten Probleme scheinen mir extrem überschaubar zu sein. RDS scheint etwas zu nerven aber sonst hört man im Gegensatz zu W11 extrem wenig.

WSUS gabs mal noch eine Installations-Verhinderung nach einem Update, aber das haben sie auch schon früher immer wieder mal hingekriegt. Älteren Build nehmen, Rolle installieren, Updaten und gut ist.

Grüsse und Danke

vor 25 Minuten schrieb ineedhelp:

Diese Arbeit wollte ich eigentlich sparen. AppLocker ist eigentlich leicht einzurichten. Welche Gruppenrichtlinieneinstellungen müsste ich vornehmen, um den Desktop auf das wesentliche zu beschränken? Hättest/Habt Du/Ihr ein Paar Vorschläge für mich?

Per GPO... Puuuh das ist schwierig. Problem ist, Du musst System die Rechte in Registry-Schlüsseln und/oder Ordner der Apps entziehen. Dann können diese Apps nicht mehr in einem neuen User-Profil installiert werden. Bestehende laufen laufen aber weiter im User-Kontext und können ausgeführt werden. Im Grunde reicht es aus, dem System die Schreibrechte auf Firewall-Regeln zu entziehen, die auf App-Basis erstellt werden. Das verhindert die Installation der Apps sowie die vielen Firewall-Ausnahmen die für jedes Profil/App erstellt werden.  Ist etwas tricky das ganze. Und halt doof wenn es jemand anders als Du es betreut .--> Doku. Sofern möglich, darauf verzichten. Meistens stört das Startmenü ja nicht.

Ich benutze das manchmal für Industriemaschinen wo dann eine eine eigene App läuft weil es flexibler ist als der Kioskmodus.

vor 25 Minuten schrieb ineedhelp:

Damit habe ich bisher keine Erfahrungen sammeln können. Hast/Ihr Du/Ihr weiterführende Links für mich, um weiter in diese Materie einzulesen.

Die Komponenten sind leider undokumentiert. Ich kann Dir nur sagen wie Du dich herantasten kannst. Ist aber mit viel Aufwand verbunden der sich grundsätzlich nicht lohnt.  Für den Spieltrieb ganz nett, produktiveher nicht. Es gibt Komponenten die lassen sich problemlos entfernen ohne spätere App-Crashes etc, andere wiederum nicht. Im Grunde erreicht man ähnliches wie früher mit N-Lite.

Auch wenn die Kiste in der Domäne ist, kann man sich grundsätzlich auch mit einem Lokalen Konto anmelden. Hast Dann einfach keinen Zugriff auf Domänen-Ressourcen. Würde aber reichen für das surfen und die Kiste ist dennoch zentralt verwaltet. Aber auch ein Domänen-Konten welcher explizit jede Anmeldeberechtigung (Lokal/Remote) auf alle anderen Comuter in der Domäne verweigert wird, ist machbar. Mit den jeweiligen Vor- und Nachteilen.

Die Aufnahme in die Domäne würde ich persönlich grundsätzlich bevorzugen wenn die Kiste nicht "öffentlicher" ist, als andere auch. Wenn sie wesentlich öffentlicher ist, würde ich eh nicht wollen, dass sich Leute mit RDP auf ihre VM verbinden können und das ganze würde sich erübrigen.

Für Schulen gibts übrigens noch extra so Wächter-Computer die sich automatisch zurücksetzen. Musst mal im Bord suchen.

Ansonsten: Die "Schmerzen" - eimalige, chronische, wiederkehrende - die mit dem Kiosk-Modus verbunden waren, lohnten sich früher eher nicht. Den Kiosk-Mode behandelte MS in der Vergangenheit nur sehr stiefmütterlich. Ich befürchte, dass gilt heute noch. Ausser auf LTSC-Releases würde ich den sowieso nirgendwo einsetzen. Ansonsten lieferte MurdocX bereits ein paar wichtigste Tipps. 

Ich bevorzug es, mit sonstigen Bordmitteln wie AppLocker granular dicht machen. Selbst die ganze GUI mit Taskleiste, Benachrichtigungen etc. bringt man komlett weg, so dass nur noch der Desktop selbst funktioniert. Back to the Roots quasi.

Entweder tatsächlich deinstalliert mit dism (experimentell, nicht reversibel, viele Tests notwendig, keinerlei Support) oder per Verweigerung der Userbasierten Installation indem dem System und TI gewisse Rechte entzogen werden. Das UserProfil ist dann quasi GUI-los, so ähnlich wie früher die minimale MMC-Variante (Name fällt mir grad nicht mehr ein). Ein Vorteil der immer besseren "Kapselung" der Komponenten im Unterbau von Windows. Angenehmer Nebeneffekt: Auch der Wildwuchs an unerwünschten Firewallfreigaben auf Apps werden nicht mehr erstellt und keinerlei Bloat-Apps installiert. Je nach dem wie weit man das treibt, ists dann eine aufgebohrte Core mit den wichtigsten grafischen Bibliotheken für Server-Tools von anderen Herstellern oder Industrie-Computer.

vor 18 Stunden schrieb PCS07:

 

Wie kann ich aber unterscheiden, ob es sich um ein Office Standard oder ein Office Professional handelt?

Für MS sind das zwei unterschiedliche Produkte die nur am gleichen Ort installiert werden und teilweise die gleichen Programme haben. Die Installation von Word, Excel, Outlook mit einem Pro installationmedium ist z.B. ein Lizenzverstoss wenn der Client nur über eine Standard-Lizenz verfügt, auch wenn der Rest nicht installiert wird. Daher zwingend auch als separate Produkte behandeln. In jeder Hinsicht. Sonst gibt es vielleicht mal Schmerzen.

 

Das heisst Du bist verantwortlich, dass jeder Client "seine" Medien zu Verfügung bekommt. Es liegt auf der Hand, dass es nicht einfacher wird, wenn zusätzlich benutzerbasierte Lizenzen dazukommen.

 

Benötige ich für mein Szenario (siehe alten Beitrag) 2 GPOs für die Testuser und die Normalos und  auch noch unterschiedliche GPOs, die zwischen Office Standard oder Professional unterscheiden?

Ja. Siehe oben. Selbst wenn es gehen würde.

 

Oder lade ich nur die aktuelle Office Professional Dateien herunter und der "Office Standard Client" aktualisiert sich aus dem Office Pro Dateien mit den Dateien die er benötigt?

Nein. Siehe oben. Selbst wenn es gehen würde.

 

vor 10 Stunden schrieb zahni:

Wie migrieren ja in ein neues RZ. Da will man hier nichts mehr investieren.

Stimmt, auch wieder wahr. Wieder VmWare?

Vielen Dank für die zahlreichen Antworten.

vor 7 Stunden schrieb testperson:

wenn du das "damals" kompliziert/mühsam fandest mit der Netzwerkkonfiguration unter Hyper-V, dann wird sich da nichts* geändert haben. Was hattest du denn für Probleme?

Probleme ist übertrieben, aber die gefühlt 27 verschiedenen Orte wo die ganzen Einstellungen gespeichert waren, fand ich super lästig. Änderungen auch. Auch mit verschiedenen vLANs  auf dem gleichen Adapter war das irgendwie grottig gelöst. Soweit ich mich erinnere was das alles irgendwie verschachtelt. Bei VmWare war bzw. ist der Netzwerkstack extrem geradlinig.

vor 6 Stunden schrieb mwiederkehr:

Die GUI für die iSCSI-Konfiguration ist in der Tat nicht so toll. Bei Multipath mit mehreren Initiatoren kann die Einrichtung zu regelrechten Klickorgien ausarten.

Kann mich so vage daran erinnern, dass ein Path-Down ein riesiges Theater war bzw. nicht selber wieder aufgenommen wurde. Multipathing eher mässig funktioniert hat bzw. gräuslich einzurichten war weil hälftig MS-Einstellungen und hälftig irgend nen Vendor-Treiber damit die Bandbreite nicht auf einen Adapter beschränkt war (heute wäre das nicht mehr so dramatisch mit 10Gbit und mehr). Die Updates einspielen der Hersteller für das Multipathing war dann das Tüpfelchen auf dem i. Aber eben, meine Erfahrungen liegen da ungefähr 15 Jahre retour oder so. Seither nie mehr iSCSI mit Windows benutzt. Bei VmWare war bzw. ist das ultra trivial auch wenn Active-Active früher auch je nach Vendor etwas spezieller in der Konfig war. Oder eben auch easy NFS für Datengräber oder sonstiges.

vor 8 Stunden schrieb cj_berlin:

für Horizon findest Du sicherlich keine echte Alternative für on-prem mit reinen Microsoft-Mitteln. Je nachdem, wieviel Du in Teradici investiert hast, könnte Citrix interessant sein, oder eben auch nicht. Allerdings würde Citrix mit Hyper-V SCVMM voraussetzen, was wieder nichts für schwache Nerven ist. Also vielleicht doch Azure Virtual Desktop, kann man auch on-prem hosten.
Nope, das ist mir bewusst. Wobei ich eigentlich nur ein einziges Feature brauche. Die Verbindung eines Zeros zu einer VM. Ausser Teradici (und seine Ableger) bringt aber kein anderes System einen echten Managementvorteil in kleinen Umgebungen. Die Pflege der Zeros ist super easy. Jene von Thin Clients nicht wirklich. Da geht auch gleich nen Fat. ;)

Für Server-Virtualisierung ist Hyper-V absolut praxistauglich. Ich würde frühzeitig mit WAC beginnen, macht vieles einfacher, und Du kannst damit sogar VMs in einem Arbeitsgang klonen. Wenn Du mit Storage Spaces Direct anfängst, führt eh kein Weg am WAC vorbei.

OK. Tendenziell werde ich wohl künftig eh auf VDI verzichten. Aus verschiedenen Gründen. Storage Spaces Direct würde ich schon nutzen. Nur ist das von der Lizenzierung her keine Option (DC). Dazu sind meine Umgebungsgrössen zu klein. Auch wenn ich es technisch klasse finde und für mich selbst nutzen würde. WAC habe ich mich aktuell noch drum herum gedrückt weil ich normal alles an Remote-Funktionalität abdrehe und aktiv per Firewall verhindere.

íSCSI konfiguriert man am besten per PowerShell. Oder man nutzt SMB3, wenn der Storage das hergibt und für Windows Clustering freigegeben ist.

Das macht Sinn. Geht heute ja scheinbar auch gut. Cluster-Funktionen nutze ich üblicherweise aus Komplexitätsgründen nicht produktiv sondern nur zum testen.

vor 2 Stunden schrieb NilsK:

Und generell zu den "größeren Umgebungen", die in solchen Situationen ja jedes Mal genannt werden: Ja, klar, wenn die Umgebung so beschaffen ist, dass die Vorteile von XYZ zum Tragen kommen, dann hat XYZ einen Vorteil.

Meine Umgebungen sind immer klein und müssen relativ statisch sein. Sonst gebe ich sie ab. Rollentrennung mache ich trotzdem.

Sprich eigentlich Overkill aber halt auf lange Sicht trotzdem einfacher. Spart Stunden und somit Geld und ich kanns problemlos abgeben wenn es mir zu umfangreich wird.

VmWare läuft halt alles drauf, egal was kommt. Auch altes Windows-Zeugs oder Unix. Ist aber mittlerweile fast alles ausgemustert, ausmusterbar oder beschränkt sich auf einen Offline Arbeitsplatz.

vor 4 Stunden schrieb zahni:

Wie oben schon stand ist die Desktop-Virtualisierung auch gut gelöst, wobei der Teil an Omnissa verkauft wurde, 

Es geht generell noch noch um das Management umfangreicherer Umgebungen. Hier hatte MS noch nie die besten Produkte. 

Es hängt von den Anforderungen ab.

Mit View/Horizon/Ominissa/Teradici kenne ich mich aus. Habe ich quasi seit der ersten (brauchbaren) Stunde benutzt. Mit dem Verkauf starben aber die alten "Rechte". Irgendwo hat der Komfort eine Kostengrenze, diese gehen mittlerweile schon in der Bereich von nicht lustig. Daher tendiere ich eher auf einen Rückschritt. Auch der Grafikteil wurde immer lästiger nur mit CPU-Cycles, weil viele neue Oberflächen mehr Grafikintensive Funktionen haben obwohl imho unnötig. Nvidia ist da viel zu teuer.

Ansonsten: Die ganzen Cluster-Funktionen brauche ich eigentlich nicht. Weder bei HyperV noch bei VmWare. Viel zu viel Komplexität und ich mag es, wenn Hosts unabhängig sind und ihre eigene Rechteverwaltung haben. Hat zwar klar auch Nachteile aber die sind jetzt in kleinen Umgebungen nicht wirklich gravierend. Ausser eben mit vTPM, da wird es  lästig. Wenn auch machbar mit VmWare. Windows habe ich mich noch nicht schlau gemacht.

Aktuelles Fazit: Keine Ahnung. Ausprobieren muss ich HyperV wohl oder übel sicher.

Salut zusammen,

Zugegeben, mit mit HyperV habe ich mich in den letzten Jahren nicht allzu gross beschäftigt weil vSphere A so einfach war und B mir die Netzwerkonfig von HyperV in den Anfängen viel zu mühsam war und ich öfter eine Branchenlösung auf UNIX-basis hatte. Dann war da noch die einfache Einbindung von Storage aller Art. Unter Windows fand ich iSCSI immer mühsam, NFS sowieso.

• Netzwerkkonfig heute einfacher?
• Storage-Einbindung mit iSCSI einfacher geworden?
• Footprint von Windows bleibt natürlich grässlich hoch für reine Virtualisierung...
• Gehen einige schon wieder zu physisch zurück aufgrund der Vm zu Host Breaks in Hyper V und vSphere?

Einen Vorzug bei Hyper V sehe ich dennoch, Storage Spaces als lokale Datengrundlage.

Proxmox kommt für mich nicht in Frage. Lernkurve ist mir da aktuell zu flach. Wenig Ahnung von Linux etc.

Alternative bleibt nach wie vor vSphere, aber irgendwie traue ich Broadcom nicht so ganz, dass Sie Kleinkunden nach wie vor bedienen. Aktuell sind die Kosten ja noch erträglich, aber ob das so bleibt? Verträge sind ja nur auf Jahresbasis möglich für Kleinkunden.

Auch Horizon mit Omnissa scheint teuer geworden zu sein. Zusammen mit Teradici bzw. HPE-Updates wird die Wartung zu teuer. War so einfach alles. Wurde doch genug Geld verdient. *hmpf*

Grüsse und Danke

vor 16 Stunden schrieb zahni:

 

Nicht das Broadcom irgendwie vorher informiert hätte...

 

Haben sie eigentlich schon. Die Frage ist nur, welche Kunden Ich habe es via Born erfahren. Gebe Dir recht, die Kommunikation ist ein Desaster das seinesgleichen sucht. Die denken wohl, jeder meldet sich jeden Tag mal in Ihrem Support-Terminal an und sieht die fette Überschrift. Angeblich gibts die Sicherheitsupdates nach wie vor umsonst. Wie das laufen soll ohne aktuelles Abo, keine Ahnung. Da vSphere neu Abo-basiert ist und Du keine Lizenz kaufst, dürfte das so oder so hinfällig werden. Ob dann alles einfach stoppt wenn das Abo abläuft, weiss ich nicht.

Bezüglich Deinem RZ. vSphere 7 gibts übrigens nur noch bis Oktober Patches für. Wurde wohl verlängert von April bis September/Oktober.

Das ist doch das gängige Problem mit dem NlaSvc (Network Location Awareness) als Schuldigen. Dürfte bei Server 2025 nicht anders sein. Ein Kaltstart statt reboot löst manchmal das Problem. am zuverlässigsten ist das aktivieren/deaktivieren des Netzadapters oder jede sonstige Aktualisierung welche den NlaSvc triggert. Dazu gehört das Beispiel ein Protokoll deaktivieren oder aktivieren was schon genannt wurde. Das abrufen einer IP bei DHCP gehört bei einer dynamischen IP üblicherweise auch dazu. Auch wenn die IP wieder identisch ist weil der Lease noch gültig ist. Das geht mit herkömmlich Userrights. --> Hilfreich bei Clients

Schöner wäre allerdings, wenn jemand nen Trigger bei MS ausfindig machen könnte, der auch mit User-Rechten manuell anstossbar ist und auch bei fixen IP's hilft. Dann wäre das ganze gegessen. Ein (sinnvolle) Doku gibts ja nicht. Allenfals gäbe es auch einen WMI-Befehl.

Sonstige Hintergrundinfos

Die Ereichbarkeit der Adressen für das Active und Passive-Probing sind quasi Voraussetzung. Hier würde ich aber mittlerweile nichts am Standard mehr ändern ausser eben allenfalls interne Server anzugeben für den Connection Test. Alle anderen gängigen Tipps habe ich mittlerweile verworfen und alles auf Standard gelassen weils eh nicht langfristig hilft, Build-abhängig oder etwas krass ist. NlaSvc verzögern, NlaSvc restart erzwingen (möglich mit Process-Kill oder TI-Rights), DNS-Suffix vorgeben, NlaSvc von anderen Diensten abhängig machen um Start aktiv zu verzögern, Netzadapteränderungen, DNS-Cache usw. usf.

In der Vergangenheit habe ich mich schon mehrere male recht lange damit beschäftigt. Konnte es damals so eingrenzen, dass nun entweder neu erstellte Netzwerk-Profile zusätzlich erstellt wurden (rauslöschen half mind. für 1 Reboot, manchmal hälts dann manchmal nicht) oder die Netzwerkkarte in der Registry nicht als erste in der Auflistung erschien. Vor allem mussten alte Einträge alle raus weil auch Überreste zählten die nicht mehr Gerätemanager erschienen, auch nicht bei den ausgeblendeten. Etwas doof weil GUID's mit von der Party sind. Das zuverlässig zu fixen war allerdings nur äusserst mühsam möglich und vor allem nicht langzeitstabil (OS, Treiberudates etc.) Habe ich aufgegeben. Reine Bastellösung.

Das heftigste Problem hatte ich mal auf einem Client mit aktivierten Management-Funktionen von Intel, da war nichtmal der DHCP-Abruf beim Reboot erfolgreich ohne den Adapter zu deaktivieren/aktivieren. Bekam eine generische. Selbst eine fixe IP wurde durch eine generische ersetzt. Nach dem deaktivieren und löschen von all dem Zeugs war dann NlaSvc "geflickt" und DHCP wieder funktionstüchtig. Ganz schräg.

Salut zusammen,

Auf der Suche nach Infos zu meinem "Freigabe-Problem" mit den Outbound-Rules von maskierten Services sowie Domänen-Namen in Rules bin ich über diese Seite gestolpert: https://firewall.dsinternals.com

Inbesondere das Whitepaper zur DC-Firewall ist sehr lesenswert: https://firewall.dsinternals.com/ADDS/

Sie wurde von einem tschechischen Security-Researcher Namens Michael Grafnetter erstellt.

Die Seite hat verhältnissmässig konzentriert die oder sicher viele der Fähigkeiten und Hürden der Windows Firewall zusammengefasst und gibt Konfigurationsempfehlungen sowie auch Beispielscripts ab. Auch wie sie einigermassen einfach implementiert werden können. Insbesondere die erweiterten Infos zu der RPC-Filterung finde ich interessant. Im Grunde bietet die Seite aber noch einiges mehr.

Auch Interessant ist, wie FQDN's gefiltert werden können, statt nur IPs. Stichwort Dynamic Keywords. War mir gänzlich unbekannt.

Grüsse und so

Salut zusammen,

Mal wieder eine alte, ungelöste Frage. Vielleicht habe ich ja Glück

Wie gibt man Dienste unter Windows in der Firewall frei, die von Windows maskiert wurden?

WuAuServ sowie ein paar andere - meist sicherheitskritische/anfällige - gehören dazu. Sprich Freigaben auf svchost.exe sowie den jeweiligen Dienst als Kriterium bewirken keine Freigabe bei Out oder In.

Was funktioniert ist ein eigener Hardlink auf die svchost.exe gepaart mit einer Umbiegung des Dienstes sowie der Freigabe auf die neue exe. Die wird aber leider nicht aktualisert bei einem Systemupdate was immer nacharbeit erfordert nach den monatlichen Updates wenn die svchost.exe geändert wurde. Das kommt zwar selten vor, macht es aber nicht besser.

Was nicht funktioniert sind:

- übliche Firewallregeln

- System-Konfigurierbare Firewall-Regeln in Configurable (Registry>Dienste>SharedAccess) --> per CMD und Admin-Rechten möglich

- System-Fixe Firewall-Regeln in Static (Registry>Dienste>SharedAccess) --> Nur mit System/TI-Rechten möglich

Warum eigene, fixe Static nicht funktionieren ist mir ein Rätsel, normal sind die etwas "spezieller". Sprich es funktionieren auch Freigaben die mit normalen Firewall-Regeln nicht greifen würden (zumindest war das mal so).

Gibt es ausser dem SharedAccess Dienst noch einen anderen Ort wo Firewall Regeln definiert werden können?

Grüsse und Danke

Die neue Software von APC ist einigermassen überladen für eine einzelne USV. Was genau stört dich den am aktuellen Verhalten per USB? Wenn es nur ein einzelner Server ist, soll der doch runterfahren. Wieder hochfahren und gut ist. Passiert ja nix. Wenn Du mehrere Server oder Virtualisierung betreibst, sieht es anders aus. Da wähle ich eher die Strategie genug Kapazität.

Seit ~10 Jahren verwende ich auch nur noch Eaton. Keine Ahnung wie es mit APC heute aussieht aber vor 10-15 Jahren hatten die ein massives Qualitätsproblem. Waren zwar immer nur wenige lausige Bauteile die über den Jordan gingen und eigentlich sind die APC auch einfach von einem Elektronikfreak zu reparieren, aber es ist äusserst nervig und unnötig. USV's sind kein Hexenwerk sondern einfachste Elektrik mit minimaler Elektronik. Das kann problemlos mit fast ewiger Haltbarkeit gebaut werden. Man hat ja die USV als Problemverhinderer und nicht als Verursacher angeschafft.

Ansonsten ein paar Tipps für die Stromversorgung/USV:

• Online und nicht Line-Interactiv --> Gründe im Netz nachlesen
• Tendenziell keine kleinen USV unter 2000/3000 KVA nehmen, Qualität nimmt oft rapide ab
  • kleine USV haben aus Kostengründen nicht immer eine effektive Ladestrombegrenzung
• Bei entsprechendem Budget und notwendiger Grösse lohnt es sich auch im Industriebereich umzusehen. Anbindung ist eher aufwendiger (da keine eigene Software) aber die Qualität ist eben eine komplett andere. (Benning zum Beispiel, die meisten kennen die wegen den Messgeräten. Die können auch echte Redundanz mit Hot-Swap der Leistungsmodule, bei nichtbenötigter Leistung werden Module abgeschaltet im Milisekundenbereich zugeschaltet etc.)
• Generell zwei USV verwenden, soll ja nicht unzuverlässiger werden als ohne USV
  • Beide mit separater Sicherung, am besten direkt aus der Hauptverteilung. Also möglichst wenig Sicherungen dazwischen die von anderen Verursachern fliegen können.
• Einsatz eines Automatic Transfer Switches für Geräte mit nur einem Netzteil (Die sind von APC übrigens 1A), oder eben auch aus der Industrie
• USV von Eaton werden üblicherweise mit 72Volt betrieben APC mit 48V. 72 Volt hat den Vorteil, dass man mit gleich grossen Akkus mehr Kapazität auf einen Strang bekommt. Aber eben auch mehr Akkus verwenden muss.
• Batteriepaket so gross auslegen, dass die Server gar nie runterfahren müssen. Inbesondere mit Virtualisierung hat man als Zuständiger weniger Ärger.
• Batteriepaket kann auch gut selber gebaut werden. Ist kein Hexenwerk. Statt den kleinen, billigen Akkus und jeder Menge Parallelstränge in den USV der grossen Hersteller kann das Paket aus einem einzelnen Strang mit hoher Qualität bestehen. Also Richtlinie so das Maximum aller Erweiterungen und der USV selbst. Grösser geht in der Regel aber auch.
  • Nur Marken-USV mit Ladestrombegrenzung verwenden! --> Grosse Akkus = weniger Widerstand = mehr Leistung die geholt werdne könnte
  • Höhere Sicherheit bei einem mechanischen Defekt der Batterie (Sicherheitsmassnahmen sind umfangreicher und zuverlässiger)
  • Ausfallwahrscheinlichkeit des Akkupakets sinkt, da weniger aber höherwertige Komponenten.
  • Selbstentladung und somit erzwungene Zyklen sind deutlich tiefer, weil keine Parallelstränge
  • Akkus können selektioniert bestellt werden, wiederum weniger Selbstentladung
  • Zyklenfestigkeit kann selber gewählt werden
  • Lebensauder der Akkus ist sehr viel höher weil die Akkus bei Überdimensionierung nicht bei jedem bisschen Stromausfall Tiefentladen werden. Das ist Gift für jeden Akku.
  • Es ist trotz Aufwand mit Elektriker in der Regel deutlich günstiger als die Erweiterungsboxen.
  • Wers macht: Eigenes, nicht luftdichtes Gehäuse. Stecker z.B. wie sie in Flurgeräten verwendent werden (Stapler, Ameisen etc.), Sicherungschalter zwischen Paket und USV. M
  • Nachteil: Es ist kein Standard, also man Verliert Anspruch auf Garantie (sofern man welche hat), Batterietausch durch Fachperson. Mir persönlich ist es das in jeder Umgebung die Nachteile wert. Nur schon weil ich keinerlei Stress durch Stromausfälle habe und meine Reaktionszeit die ich zu Verfügung habe, hoch geht. ;)

Vielleicht der gleiche "Bug" bzw. Feature wie die Windows-Suche, da gibts auch Konstellationen wo unbeschränkte male die gleichen Dateien gefunden werden. Da dürften es irgendwelche Links sein die das verursachen. Vielleicht wurde der Defender intelligenter? Oder ihr habt tatsächlich viele ZIP's/CAB's. Da gibts tausende files in Installern.