Weingeist

Nope, Du musst in den Einstellungen der Windows Firewall selbst Outgoing standardmässig blockieren und dann das mit einer Regel freigeben was Du möchtest. Sprich es ist dann einfach alles blockiert und nur das frei was Du frei haben möchtest. Ich finde das eigentlich ziemlich gut wenn man sich daran gewöhnt hat. Klar hat auch Schattenseiten, aber das haben alle Varianten ;)

Naja, wenn Du Outgoing standardmässig blockieren aktivierst, dann kannst ja einfach die gewünschten IP's freigeben und das Thema ist erledigt. Eventuell noch mit Authentifizierung auf Netzwerkebene. Ist einfach eine etwas andere herangehensweise aber nicht per se schlechter, nur ungewohnt. EDIT: Die Standardregeln für die Freigabe von 445 natürlich erst noch deaktivieren oder eben abändern. EDIT2: Ich denke mwiederkehr meinte das gleiche mit der Standardregel. Wenn ich das richtig im Kopf habe, ist für SMB keine Systemregel hinterlegt, sollte also nicht über die Hintertür dennoch freigegeben werden.

Mich persönlich wundert das überhaupt nicht. Die grossen Anbieter analysieren ja mittlerweile komplett alles und wie fast alles hat das zwei Seiten, Schutz und Überwachung

Och ich denke das ist alles ziemlich gezielt um möglichst sämtliche "Steuerungs-Wünsche" im Keim zu ersticken und auf 0815 Deployment zu setzen. Sieht man ja überall. Für alle die was anderes wollen, werden möglichst viele Steine in den Garten geworfen damit es möglichst mühsam ist und höchstens noch Grossbetriebe und Freaks nutzen. Der nächste Office LTSC Build Office 2021 oder 2022 (wie auch immer sie ihn nennen) ist jedenfalls auch der Click2run Käse... Edit: Top ist ja, der wird dann nur ein Jahr länger supported sein wie 2016/2019 [SPOILER]Hach wäre das Adminleben einfach mit Windows 7, Office 2003 oder 2010 + dem Componentstore von mind. 8.1 + ein paar Features wie Storage Spaces. Da funktionieren Startmenüs simpel, Firewallregeln sind easy usw. Sprich User wird nicht abgelenkt und ich habe weniger Arbeit[/SPOILER]

Wohl eher um dem Admin Arbeit zu generieren... Meine Meinung dazu: Hauptsächliche Marketing um unterdimensionierte Hardware zu benutzen. Am Ende führt nichts daran vorbei, dass man die physische Leistung für die Spitzenlast bereitstellen muss. Tut man das nicht, dann läuft man irgendwann in Ärger. Entweder man lebt damit, teilt generell weniger zu damit nur auf einer Ebene ausgelagert wird oder stellt halt mehr zu Verfügung. Gilt eigentlich bei allem, IOPS, Latenz, Single-Core Potenz, Dedupe usw. Aber das weisst Du im Grunde ja sicher auch, man verdängt es höchstens ab und an

Jo, die VM kann aber auch nur korrekt bereinigen wenn die Applikationen ihrerseits den Speicher sauber freigeben. Das wird dann manchmal selbst mit fixer Speicherzuteilung ein Problem. Dann helfen oft nur Neustarts. Aber eben, sinnlos ist es eigentlich eh. Wenn eine VM den Speicher benötigt, dann benötigt sie ihn. Ansonsten könnte man ihr auch einfach weniger geben. Ist ja sowieso schon lästig genug wenn ein OS statt im RAM in der Auslagerungsdatei rumwurstelt, dann muss der RAM von dem sie ausgeht tatsächlich zu haben, nicht auch noch in der Auslagerungsdatei der VM auf Hostebene rumwursteln. Das muss eigentlich Ärger geben. Eigentlich ist dieses dynamische Zeugs meiner Meinung nach nur für Migrationen, Hostausfälle wos nicht anders geht oder Testumgebungen sinnvoll aber nicht für den Normalbetrieb.

Ehrlich gesagt würde ich produktiv nie dynamischen Arbeitsspeicher einsetzen. Bringt eh fast immer irgendwann Ärger, nicht immer nachvollziehbaren. Für einen Terminalserver sowieso lieber nicht. Aber ob das hier das Problem war, ist schwierig zu beantworten. Manchmal reichen ein paar User mehr, oder User mit einem anderen Arbeitsbild wie vorher, dass es Ärger in irgend einer Form gibt. Ich würde einfach mal auf fix umstellen und beobachten. ;) Theoretisch dürfte es aber auch bei dynamischer Zuweisung nix im Speicher verwerfen, weil ja dann einfach auf die Platte in die Auslagerungsdatei geschrieben wird und die Latenz ins übelste ansteigt. Normal wird dann alles einfach grottig langsam. Klar, wäre möglich das nicht alle Programme damit klar kommen aber hier tippe ich eher auf ein Problem mit der Speicher-Bereinigung als der dynamischen Zuteilung selbst, da ist dann irgendwann alles so voll, dass eben auch die System-Befehle nicht mehr sinnvoll funktionieren und evtl. auch die dynamische Speicherzuteilung in die Knie zwingt (wenn das mehrere Maschinen machen). Wer auch immer das verursacht. Not-Updates und mittlerweile auch normale Updates kann ich mir da durchaus aus Verursacher vorstellen bei der Qualität der letzten paar Jahre. Falls Speicher-Bereinigung ein Problem ist (Habe ich öfter gesehen wenn office Bibliotheken/Apis in anderer Software genutzt werden), dann hilft oft ein durchstarten in der Nacht, sofern machbar. Dann hat die Maschine wieder einen Tag Zeit alles zuzumüllen Daher mein Tipp: Umstellen auf fixe Speicherzuordnung, beobachten, falls immer noch ein Problem, jede Nacht durchstarten und beobachten. Eventuell der Ursache auf den Grund gehen. Wenn es mit durchstarten zuverlässig getan ist, das auch möglich ist, habe ich es mir abgewöhnt zuviel Zeit zu investieren, die ist meist verloren. Manchmal werden Probleme gefixt und manchmal kommen neue dazu. Aber wenn es mit durchstarten getan ist, ist es sehr oft ein Treiber oder Speicherbereinigungsproblem einer Applikation und selten Windows selbst.

Ist ja wieder mal nett gelöst. Bei den grossen Umgebungen mit KMS trauen sie sich wohl (noch?) nicht Ansonsten: Ich habe die Erfahrung gemacht, dass bei der Telefon-Aktivierung auch mal die Wege geändert werden die zum Ziel führen. Konnte Anfang Jahr auch mal partout etwas nicht nach dem logischen Ablauf gemäss der Telefon-Computer-Frau aktivieren. Nach dem 3. Versuch - weil ich erst an mir zweifelte - einfach einen "falschen" Weg mit einem anderen Produkt gewählt und es funktionierte. Vielleicht funktioniert das hier ja auch. Ich glaube sogar das war Office 2010, 100% sicher bin ich mir aber nicht mehr. Edit: Wenn das nicht hilft und man Volume-License Kunde ist: Auf die hinteren stehen, klar machen das man die Aktivierung für eine geschäftskritische, alte Arbeitsstation braucht und dann tun sich Wege auf die sich sonst nicht auftun. Aber ist halt super nervig bis man die richtigen Leute bekommt. Vor 10 Jahren war das noch deutlich einfacher ;)

Hehe, ist halt das was ich im kleinen öfter angetroffen habe. Selten waren beide DC's synchron. Aus verschiedenen Gründen. Doch auch ein paar mal bereits AD "versaut" wegen Rollbacks. Wenn wirklich der physische Host in die Knie geht, kann ein solcher Kunde eh nicht den Rest wieder selber raufziehen. Also sowieso ein Einsatz. Da spielen dann die 5 Minuten für die paar GB auch keine Rolle mehr. Da braucht man übers Jahr deutlich mehr Zeit für das Patchen und die Kontrollen. Aber eben, jeder wie er mag. ;) Ist mir gar nicht aufgefallen. ;) Wenn ihr das alles nutzt, dann macht es sicher Sinn. Wird nicht einfacher wenn man das mit Exchange-Online ablösen will. Exchange hat intern durchaus seine Vorzüge insbesondere weil Schnittstellen zu anderen Programmen fast immer auf Outlook/Exchange aufbauen. Gut möglich. Wäre dann ähnlich wie bei den Office-Lizenzen. Im Endeffekt läuft es sowieso darauf raus das man entweder einen physischen Arbeitsplatz oder einen User lizenzieren kann. Die Zugrifssart bei User wäre dann egal. Fat, Zero oder Thin Client, Mobiltelefon. Keine Ahnung warum sich MS so dagegen wehrt/gewehrt hat. Der Lizenz-Jungle macht ja nur alles kompliziert.

Dann Das der Infrastruktur VOR der Software Rechnung getragen wird ist sehr sehr selten. Trifft man so gut wie nie an in Kleinumgebungen an. Selbst da wo es zwingend wäre. Zwei DC's die mehr Probleme machen als lösen dagegen sehr oft. Genau wie nur eine USV die A über zu wenig Kapazität verfügt und B oft auch beide Netzteile drüber laufen. Schon klar nehmt ihr ihn für E-Mail. Geht mehr um den Rest, so war das gemeint. Sprich welche Funktionen nutzt ihr tatsächlich. Ist Exchange in andere Software integriert usw. Wenn es nur um E-Mail geht ist es so, dass man E-Mail-Dienste über lange Sicht oft günstiger, sicherer und mit einer höheren Verfügbarkeit extern bekommt als wenn man das selber intern betreibt. Zumindest wenn man ehrlich rechnet. Manchmal selbst wenn man die Lizenzen schon hat. Exchange bringt halt immer einen ziemlichen Rattenschwanz mit wenn man das wirklich hochverfügbar betreiben möchte und den Namen hochverfügbar auch verdient. Was heutzutage wo so viel über E-Mail läuft, halt fast schon Pflicht ist. ;) Sehr lange ist übrigens maximal bis 2025. Dann endet der Support von Exchange 2016. Aber bis dahin fliesst noch viel Wasser den Rhein runter.

Ist echt ein Problem. War zwischenzeitlich mal weg, dann kam es vermehrt mit VM's wieder und aktuell ist es wieder Up To date - Zwischenzeitlich hat es mal oft geholfen einfach den nla auf "automatisch verzögert" statt "automatisch" zu stellen. Klappt aber nicht immer und nicht auf jeder Maschine. - Meisten hilft es nla neu zu starten sobald die Maschine oben ist (wie bereits genannt wurde) - Hilft es nicht nla neu zu starten, muss Netzwerkadapter aktiviert und wieder deaktiviert werden (auf neueren OS relativ easy per Powershell zu automtisieren) Meine Vermutung geht so in Richtung von nicht aufgeräumten Netzwerkadaptern, Treiberprobs oder Load-Reihenfolge, insbesondere nach bestimmten Updates. Bei den Treibern/Firmware habe ich das insbesondere bei Intel-Karten festgestellt. Auf einer physischen Maschine hatte ich auch schon AMT in Verdacht das während dem Boot den Adapter blockiert und Windows ihn nicht genügend schnell bekommt oder so. Auf Neuinstallierten VM's tritt es normal nicht auf - meist bis zur Einspielung von bestimmten Updates. Hatte mir mir mal spasseshalber die Mühe genommen auf einer Maschine alles rauszukicken was irgendwie auffindbar war bezüglich Netzadapter. Sämtliche GUID's in der registry zu durchforsten usw. Danach war das Problem auf dieser Maschin weg und kam auch nicht wieder. ABER: das müsste auf den Netzwerkkartenanbieter, das Gerät selbst usw. angepasst werden. Alles ziemlich unbrauchbar für die Automation. Und ob das aktuell auch tut weiss ich nicht, vor ein paar Jahren war es ein ganz bestimmtes Update welches den Ärger auf VM's reproduzierbar verursacht hat weil irgendwie Netzwerkadapter neu eingeladen wurden aber der Alte nicht sauber entfernt (bekamen auch neue MAC's)

Ich mache es immer so: Sobald ich ein NB bekomme, baue ich eine hochwertige SSD (Enterprise) ein und darauf installiere ich frisch. Die Originale schliesse ich zusammen mit dem sonstigen Kram im Auslieferungszustand weg. Die originale Disc ist eh sehr oft ein Billig-Teil. Bei den NB's ist das Geheule bei den Mitarbeitern noch grösser wenn Daten weg sind als bei Desktops. Bei einem Service kommt die originale wieder rein. Kommt es vom Service zurück, einfach die eigene SSD wieder rein und es ist alles wie vorher. Gibt insgesamt am wenigsten Arbeit finde ich. Wenn das nicht so gemacht wurde, dann halt Disc sichern und mit den Rücksetzungsprogrammen der Hersteller zurücksetzen bzw. Disc komplett löschen. (Kann mitunter problematisch sein, wenn man keine Recovery-Datenträger bekommen hat und alles auf der Disc war)

oops. deine Antwort gar nicht zeitnah gesehen. Ich finde halt, es gehört erwähnt. Er beschreibt eine Umgebung die einen Exchange + Fileserver + DC betreibt. Das ist das typische SBS-Server Ablöseszenario im KMU-Feld. Und da sind nunmal die Voraussetzung in den Allermeisten Fällen nicht gegeben oder machen gar keinen Sinn. Daher bin ich der Überzeugung das ihm bzw. der Umgebung an sich wenig geholfen ist wenn man nur Fragen zur Hochverfügbarkeit + doppelte Lizenzen beantwortet. Mit sehr hoher Wahrscheinlichkeit ist es im Grunde einfach am Ziel vorbei. Dann hat er Geld für zusätzliche Lizenzen ausgegeben - die zudem jährlich kosten verursachen - statt in die Verfügbarkeit der Stromversorung, der Hardware, schnelles Recovery sowie Internet zu investieren welche im Endeffekt deutlich mehr zur effektiven Verfügbarkeit beitragen. Ganz zu schweigen von den Aufwand bzw. Kosten für Folgeprobleme wenn daran gespart wurde. Welche sich zudem vervielfachen wenn man Hochverfügbarkeit softwaremässig umgesetzt hat, bei Problemen zbsp. mit Strom aber jeweils alle Hardware-Systeme in Mitleidenschaft gezogen werden. Klar ist hier der Dienstleister in der Pflicht, auch bei der Klärung wozu der Exchange wirklich gebraucht wird und ob eine technische robustere Archiv-Lösung sowie Einkaufen des E-Mail als Dienstleistung nicht besser geeignet wäre. Aber eben, soll der TO sich ein paar Gedanken machen und dann allenfalls nochmals nachfragen.

Echte Hochverfügbarkeit sind nicht einfach zwei Hosts + zwei Lizenz-Sätze. Das wird - insbesondere im Kleinen - ziemlich unterschätzt. Insofern hat der Berater vielleicht sogar recht. (Zumindest gehört es vorher abgeklärt) Bevor man überhaupt daran denkt gibt es ziemlich viele und auch kostspielige Massnahmen die vorher umgesetzt werden sollten. Ansonsten hat man einfach nur eine trügerische Sicherheit. Sprich die Verfügbarkeit ist im tatäschlichen Eintrittsfall eines Problemes eigentlich tiefer als wenn man ein Single-Host-Prinzip für die Produktivdaten umgesetzt hätte. Und sei es nur, weil die USV mit einem Server länger läuft als mit deren zwei. ;) Dazu gehören z.Bsp. - duale Online-USV-Stromversorung mit mehren Stunden Kapazität oder kleinere USV+Notstromgruppe (USV-Ausfall war neben Magnetplatten die häufigste Hardware-Störung die ich in meiner ganzen Laufbahn hatte) - Separate Absicherung der einzelnen USV's (Ohne Umweg über X-Unterverteilungen) - Überspannungsschutzeinrichtungen + deren Überwachung - Netzteilumschalter für Single-Netzteile von Routern etc. mit Speisung von den beiden USV - duale Anbindung des Exchange via verschiedenen ISP und Anschlussarten, richtige Business-Leitungen (Alle ServerCrashes zusammengenommen waren ein deutlich kleinerer Teil der Ausfälle/Stunden verglichen mit der Zeit wo die normalen ISP's in den letzten 10 Jahren ausfielen. Für die hat man auch "Zeit", also hat man auch 1-2h für eine sonstige Wiederherstellung. Insbesondere weil der Serverausfall noch unwahrscheinlicher ist) - sehr schnelle Backup-Systeme die ein Recovery innerhalb kürzester Zeit auf das Original-System oder ein zweitsystem ermöglichen - Backupsystem, welches es erlaubt, dass die VM's direkt aus dem Store zu starten - Zweiter Kalter Server und/oder kompletter Satz Ersatzteile vor Ort (+ andere Hardwareteile wie Switches, vorkonifgurierte Router, Firewalls etc.) - sonstiges was mir grad nicht einfällt Erst danach würde ich mir Gedanken über Hochverfügbarkeit und den Rattenschwanz der die Komplexitätserhöhung auf Softwareebene mit sich bringt. Meist ist das Budget mit diesen oder einem Teil dieser Massnahmen bereits locker aufgebraucht. Ein defekter Server darf physisch immer ersetzt werden, dafür braucht man keine doppelten Lizenzen, das Geld für Doppellizenzen fliesst besser in die Infrastruktur wenn es nicht sowieso im Überfluss vorhanden ist. Wie immer, das ist nur meine gapersönliche Meinung zu diesem Thema. Aber ich bevorzuge eine Top-Infrastruktur und ein schnelles Recovery gegenbüber Pseudo-Hochverfügbarkeit in einer halbpatzigen Infrastruktur ;)

Ist zwar auch OT, aber passt hier trotzdem. Klar wurde er vor-vor-vorgestern erfunden. Aber nicht alles was alt ist, ist auch automatisch überholt. Wäre dem so, wäre er nicht so beliebt. Wenn etwas so bequem und beliebt bei den Anwendern ist - jung und alt -, sollte man mit und nicht dagegen arbeiten. Finde ich. Egal was die persönliche Einstellung dazu ist. Vor allem ist er X-Win-Versionen übergreifend identisch aufgebaut und tut folglich immer. Ich pflege die sogar aktiv mit Links, weil sie dann nicht auf dem Desktop speichern sondern auf die Ziele (erscheint in den Dialogen ja generell zuoberst) Das W10 Design finde ich zwar sehr hübsch anzusehen, für meine eigene Mühle wo ich unzählige verschiedene Tools brauche auch sehr viel übersichtlicher als der Desktop, aber bringt für - ich behaupte - 99% der Mitarbeiter keinerlei Mehrwert. Eher im Gegenteil, das Ding ist viel zu überladen, irgendwelche Live-Apps lenken nur vom Arbeiten ab. Die meisten Leute/Arbeitsplätze brauchen zum Arbeiten max. 10 Programme, meist eher gegen 5-6. Ob das nun via Desktop, Taskleiste oder Starmenü geschieht, ist eher zweitrangig. Hier wird nicht die relevante Zeit vergeudet. Den Aufwand der Startmenü-Pflege in W10 für die paar Programme zu betreiben ist meiner Meinung nach eher sinnbefreit. Dann lieber der Desktop und die Taskleiste ;)

@TO: Und ganz genau deshalb wäre es grundsätzlich auch fair das andere Szenario zu lösen. Den da lag das Problem. Sprich z.Bsp. das vorgeschlagene Logging umzusetzen. Wurde ja immerhin recht viel Zeit durch andere investiert. Finde ich persönlich zumindest enorm unbefriedigend wenn man ne halbe Ewigkeit ein Problem versucht zu lösen und nachher wird es einfach umschifft weil jemandem dann diese Zeit zu Schade ist. Just my 2ct und wie immer, mag jeder wieder anders sehen.

Also wenigstens die OS-Version die es betrifft sollte man schon im Anfangspost auf die Reihe kriegen. Ist ja obermühsam so Hilfestellung zu bieten. Allerdings ist es tatsächlich so, dass auch 2012R2 das nicht kann. Habe ich komplett falsch im Kopf gehabt aber grad vorher nachgeprüft. Also eine andere Variante nehmen. 3. Anbieter Backupprogramm, neues OS (2012R2 läuft Anfang nächstes Jahr aus) oder wenn es eine VM ist, Festplatte von einem anderen Speicherort einbinden, dann ist sie für Windows auch lokal.

Ganz Vergessen, den Standard-Tipp bei Unerklärlichen Problemen mit Hängers: Mal alle Energieeinstellungen auf Höchstleitung. Unter Umständen etwas suboptimal bei Notebooks, aber hilft halt auch oft weil irgendwelche Geräte irgendwo hängen. Gerade bei alter und eher günstiger Hardware ist das oft katastrophal umgesetzt und die Probleme werden mit neueren OS-Versionen immer akuter. Auch Standby oder Hibernate funkt da gerne mal rein. Sogar Log/Telemetrie-Aufzeichnungen hatte ich mal in diesem Zusammenhang.

Eine Funktionalität die nicht vorhanden ist, ist halt einfach nicht vorhanden. Incremental geht erst ab 2012/8 auf Shares. Das kann man drehen und wenden wie man möchte. Du könntest mehrere Backupziele und Task verwenden um mehrerere Versionsstände vorzuhalten. Oder auf ein Backupziel mit Dedupe sichern und Ordnernamen immer neu erstellen lassen oder eben ein Fremdanbieter Tool verwenden. Ein Dedupe-Ziel nehme ich auch heute noch gerne für Applikations-Sicherungen aus 0815 Programmen heraus. Ansonsten: Mir ist grad keine Software bekannt - auch keine ältere - die auf 2008 läuft, nicht jedoch auch auf neueren Systemen zum laufen zu bewegen ist. Also wozu sich da lange die Mühe machen wenn eine gewünschte Funktionalität fehlt, in neueren Versionen aber vorhanden ist? Just my 2cts. Nur direkte Hardware-Zugriffe oder hochspezifische einlinkungen in Basic-OS-Kram kann da einen Strich durch die Rechnung machen.

Soweit ich mich richtig erinnere ist in 2008 das alles noch etwas hemdsärmelig per Kommandozeile und eben in der Funktion recht bescheiden. Habe aber grad keine 2008er zur Hand. In 2012 kommt die Server-Sicherung-MMC wenn mann wbadmin eingibt.

Ich würde bei alter Hardware im Grundsatz immer einen LTSC-Build nehmen. Dann ist sehr oft Ruhe im Karton. Auch wenn Updates kommen. So meine Erfahrung. Treiber dann nach Möglichkeit direkt vom Hersteller der Module und nicht vom Hersteller des Notebooks wie bereits empfohlen wurde. Versuchen würde ich es mit 1809. Wenn das nicht geht halt 1607. Beide dürften vermutlich noch genügend lange im Support-Bereich liegen bis Du neue Notebooks bekommst =)

Nun, das Tool an sich ist nicht sooooo enorm flexibel. Macht also keine komplexen Dinge wie inkrementelle Backupas (siehe auch kommandozeile>wbadmin start backup /?) ;) Dazu kannst die Server-Sicherung verwenden. Oder ein Backuptool wie Veeam.

Um es direkt zu sagen: Schlüssel in einem zweiten Mail zu schicken ist schwachsinnig. Das ist reine Pseudo-Sicherheit. Wer die erste Mail abfangen kann, fängt auch die zweite ab. Entweder den Schlüssel auf einem anderen Weg wie z.Bsp. Handy oder Post zukommen lassen oder man lässt es besser bleiben und schafft andere Möglichkeiten.

Beschäftige mich schon seit einiger Zeit mit der Windows-Firewall. Die Einstellungen der Firewall sind alle in der Registry abgelegt. Man kann also auch darüber Modifikationen tätigen. GPO oder lokal. Damit Outbound-Block zielführend ist, sind folgende Befehle hilfreich: Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:enable /failure:enable Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:enable /failure:enable Alle Sprachen: auditpol.exe /set /category:"{6997984A-797A-11D9-BED3-505054503030}" /subcategory:"{0CCE9225-69AE-11D9-BED3-505054503030}" /success:enable /failure:enable Damit erscheinen die Drops und Success-Versuche im Sicherheits-Event-Log und man kann entsprechende Regeln erstellen. Mit Befehlen Tasklist.exe /svc sowie netstat -a -b und -n erhält man nütztliche Infos zu den betroffen Prozessen. Die Lernkurve ist übrigens nur auf den ersten Moment steil. Sobald man tiefer geht, wird es lästig. ;) - Moderne Apps sind enorm mühsam im Handling - Filterungen auf Dienste welche die svchost zugrunde haben, funktionieren in neueren OS nicht mehr korrekt weil die SID maskiert werden - Kopien/alias/hardlinks der svshost.exe ermöglich eine effektive Filterung auf Dienstebene. Ist etwas aufwändiger, dafür erkennt man auch welche Programme effektiv wann wie Zugriff via svchost tätigen (ich blockiere dann standardmässig die originale svchost.exe und erlaube nur traffic auf die aliase) - Apps Entscheidet man sich für eine Aufdröselung der Dienste in verschiedene svchost.exe Hardlinks, sollte man folgende Dienste auf eine gemeinsame gleiche svchost.exe datei zeigen lassen, sonst gibt es ärger (diese sind auch sonst gruppiert und haben einen gemeinsamen prozess, die anderen wurden weitesgehend von MS bereits aufgedröselt) - DcomLaunch, brokerinfrustructure, SystemEventsBroker, Power (warum auch immer Power hier reinkommt) - RpcSs, RpcEptMapper - mpssvc, BFE - UserDataSvc, OneSyncSvc, PimIndexMaintenanceSvc, UniStoreSvc Die Systeminternen Rules müssen dann ebenfalls angepasst werden, sonst laufen sie ins leere bzw. muss sie selber erstellen. Wo liegen alle Rules?: HKLM\System\CurrentControlSet\services\sharedaccess\Parameters\ Unterordner Static von Restricted Services sind die System-regeln die weder mit Powershell noch mit GPO's verändert werden können noch in der GUI erscheinen und somit auch nicht mit GPO's geändert werden können. Unterordner configurable: sind die Regeln die mit NetSH oder Powershell geändert werden können aber nicht in der GUI erscheinen. Die Regeln für Apps sind je nach W10 Build anders aufgebaut und abgelegt. Ziemlich mühsame Sache. Auch deren Pflege ist Horror weil sie auf Benutzerebene angelegt werden. Eine enorme Anzahl ausnahmen die jegliche Kommunikation mit diesen Apps erlaubt und nicht auf Anhieb ersichtlich sind. --> Deren Erstellung kann man theoretisch verhindern wenn man den Zugriff auf die Reg-Hives beschränkt, nur scheitert dann die Installation von Apps auf Benutzerebene beim erstmaligen Anmelden. Sprich kein Startmenü etc. --> Ich finde das ganz praktisch auf Servern und Industriemaschinen. Der Desktop an sich funktioniert trotzdem. Quasi minimale Gui Hier noch ein alter Thread von mir: - Audit der Filter-Engine hilft bei Block-Out, die Standardregeln von MS sind leider nicht vollständig für einen normalen Domänenbetrieb.

Wurde früher wohl so gemacht. Mir wars immer zu mühsam. Ja klar geht auch das redundant, aber wozu? Läuft genau wie der zweite DC auch in die unnötige Komplexität rein bei KMU. Man kanns beliebig weiterspinnen, wenn man bei Redundanz anfängt, ist man bei Lizenzkosten die selten Sinn machen. DHCP + DC auf zwei verschiedenen Servern frisst bereits zwei Standard-Lizenzen für je zwei VM's + laufende Kosten mit SA. Ohne das die Umgebung weiterlaufen würde im Fehlerfall, weil z.Bsp. der Fileserver und Applikationsserver fehlt. Intervention ist bei einem Ausfall sowieso notwendig und die max. 5 Minuten für die Wiederherstellung einer DC-VM (sofern überhaupt notwendig) fällt nun wirklich nicht ins Gewicht. Dazu der Zusatz-Aufwand für Einrichtung, Betrieb, Unterhalt, Vorsichtsmassnahmen etc. Also wozu das Ganze? Ich setze die Kohle lieber in eine Überdimensionierte Stromversorgung (Doppel Online-USV mit viele Akkus, Netzumschalter für Single Netzteile usw.)+zusätzliches lokales Backupziel, dann habe ich 90% der Problemverursacher und der Behebung in Kleinumgebungen schonmal erschlagen. Die restlichen kommen dann von fehlerhaften Applikationen auf die ich keinen Einfluss habe. Aber eben, viele Wege führen nach Rom.