Weingeist

Ist den das ursprüngliche AD 100% sauber? Vielleicht solltest mal Tests drüberrennen lassen ob da wirklich alles so funktioniert wie es soll. Kann gut sein, dass es im täglichen Betrieb tadellos funktioniert, eine Wiederherstellung aber nicht wirklich. Normal schlägt dann auch eine Sicherung fehl, dass z.b. Systemstate nicht gesichert werden konnte, aber da gibt es auch alles mögliche an Varianten. Ansonsten noch ein paar Anmerkungen: Muss ein DC aus einem Verbund wiederhergestellt werden gibt es öfter mal Komplikationen verschiedenster Ursachen. Ich installiere deshalb defekte Member DC's eigentlich immer neu wenn mehr als ein DC in einem AD vorhanden ist. Gibt es bei der Wiederherstelung des FSMO-Rollen-Trägers Probleme die nicht in kurzer Zeit behoben werden können fackle ich nicht mehr lange und fahre alle Member runter, stelle den FSMO-Träger von einer ColdCopy wieder her und schmeisse alle Member-DC's aus dem AD raus und alle Member werden neu erstellt. In der Regel mit gleichem Namen und IP. Die Zeit die in einer einfachen Umgebung für eine solche Aktion aufgewendet werden muss, stehen in der Regel in keinem Verhältnis zum Aufwand einer nachträglichen manuellen AD-Bereinigung sowie deren Prüfung wenn es bei der Wiederherstellung zu Problemen kommt. Ist aber nur meine persönliche Meinung die rein auf Erfahrungswerten basiert. Richtige AD-Profis werden das vielleicht komplett anders sehen und insbesondere in grösseren Umgebungen dürfte das vielleicht so nicht möglich sein. Ansonsten kann man es sich auch überlegen ob man heute wirklich mehr als einen AD-Server braucht. Bei nur einem Server ist ein Recovery nie ein Problem und mit SSD's als Primärspeicher in ein paar Minuten erledigt. Auch von einem Image. Wie schon erwähnt wurde, könntest den im Total-Notfall sogar auf dem Admin-PC als VM hochziehen. Jede noch so kleine manuelle AD-Bereinigung und deren Prüfung braucht mehr Zeit insbesondere wenn man nicht geübt ist. Folgeprobleme noch nicht eingerechnet. Auch die Replikations-überwachung fällt weg. Viele Dienste laufen ja sowieso nicht mehr richtig wenn die PDC-Emulator-Rolle weg ist. Wenn DFS noch auf dem gleichen Server läuft (was leider oft so gemacht wird) ist eh Ende Gelände mit Arbeiten. Da nehme ich die Lizenz viel lieber für einen zweiten Fileserver oder einen separaten Zertifikatserver der auch nur Ärger macht wenn er auf dem DC läuft und ein Upgrade ansteht. =) Wie schon oben, ist nur meine persönliche Meinung in Verbindung mit Kleinumgebungen, weil mir einfach die Zeit zu schade ist und ich in der Vergangnheit etliche Stunden mit AD-Bereinigungen verbracht habe die nicht selten irgendwann trotzdem wieder Probleme gemacht haben und im Endeffekt insgesamt deutlich mehr Down-Time verursacht haben als ein paar Minuten Image überspielen. Noch ein kleiner Tipp: Wiederherstellungs-Tests mit VM's auf der gleichen produktiven Maschine bzw. Netz würde ich falls möglich einfach immer vermeiden. Irgendwann wechselst mal nicht den vSwitch Namen der LAN-Karte und es sehen sich unter Umständen zwei DC's mit unterschiedlichen Versionsständen. Folgen: nicht nur deine Wiederherstellung sondern auch Dein produktives AD wird korrupt.

Es ist definitiv so, dass man für Industrie-PC's spezielle Versionen bekommen kann und eigentlich auch verwenden muss. Wie hoch die Hürden für die Hersteller sind, weiss ich allerdings nicht. Wenn deiner Dir 2016 LTSB gibt dürfte er Verträge mit MS haben und Du kannst Dich glücklich schätzen. Alles andere ist für einen IPC Obermurks, ich spreche aus leidiger Erfahrung! Ich hatte leider nicht so viel Glück, ein Maschinenhersteller wo ich das durchsetzen wollte, machte das nicht, der Kunde war - leider einmal mehr- ein zu kleiner Fisch um sowas zu erzwingen und meine Erklärungen haben die auch nicht die Bohne gejuckt. Er wollte es nichtmal machen wenn wir die Lizenzen/Images bringen weil sie ja alles vorkonfiguriert haben. Eine Wahl für einen andere Hersteller gab es nicht. Auf alle Fälle kamen die IPC's in der neuesten Anlage eines Kunden mit Windows 10 Pro angetanzt an dem man nichts verändern darf wegen der Gewährleistung. Ist der reinste Wahnsinn, die Maschine braucht Fernwartung und somit Internet. Kaum ist diese aktiv werden die neuesten Windows-Builds gezogen. Dann kracht irgendwann in der Nacht weil Windows einfach runterfährt und ein neues Build installiert und die Produktionszelle steht still. Die Maschine arbeitet nicht und der Hersteller darf wieder per Fernwartung alles reseten. Produktionszelle, Roboter, Warenlager, Werkzeugwechsler, Leitsystem usw. alles mit W10 Pro. Am liebsten hätte ich die Leute der IT-Abteilung auf der Stelle erschlagen. Nach dem dritten Crash habe ich und vor allem der Kunde dann die Schnautze voll gehabt und angefangen mit Firewall und GPO's die Zugriffsmöglichkeiten von W10 abzudrehen sowie einen imaginiären WSUS definiert. Wir werden sehen ob MS nicht irgendwo doch noch Backdoors eingebaut hat und trotzdem Updates zieht. An den Static/Configurable Rules habe ich hier nicht rumgemacht. Leider gibt es so auch keine Sicherheitsupdates. Aber die würde es ja dank dem super neuen Update-System eh nicht lang geben.

Ihr seit aber nett zueinander =) Noch als kleine Ergänzung: Es gibt noch den Bericht den man sich pro Maschine anschauen kann. Da mal die "erforderlichen" Updates durchgehen. In der Regel erscheinen da dann die Übeltäter die Du dann wieder genehmigen kannst.

Hast ein manuelles wuauclt.exe /reportnow /detectnow in der cmd durchgeführt? Ansonsten dauert es eine Weile (je nach eingestelltem Zyklus ~1 Tag) bis das auch tatsächlich dem WSUS gemeldet und die Daten abgeglichen sind. Ist alles immer etwas träge wenn es nicht manuell angestossen wird. Und selbst dann kann es etwas dauern bis alles greift. Eine Aussnahme gibt es mit der ganzen Ablehnerei meines erachtens. Ich genehmige z.B. nur die Sicherheitsupdates über alle Clients. Das "Security und Qualityrollup dagegen bekommt nur ein Teil der Clients in eigenen Gruppen. Die normalen Updates genehmige ich selektiv für alle Clients. Das heisst die Clients würden sie nicht bekommen, wenn das Quality Rollup genehmigt wurde und jene Updates abgelehnt werden. --> Etwas unsicher bin ich, wie WSUS auf diese Situation reagiert wenn Updates durch neuere Updates ersetzt wurden und ein neuer Client diese wieder anfordert, das ersetztende Update aber nur für eine andere Computergruppe genehmigt wurde und nicht für alle. Würde mich auch mal interessieren ob es dann automatisch abgelehnt wird oder nicht. Ich meine - weiss es aber nicht mit Sicherheit - dass es wieder auf "Nicht genehmigt" gesetzt wird. Habe es zumindest schon erlebt, dass Updates wieder angezeigt wurden obwohl sie vorgängig mal abgelehnt wurden. Einen genauen Beschrieb habe ich dazu leider noch nicht gesehen. Würde Dir übrigens ein Wartungsscript ans Herz legen welcher Dir die Datenbank per Task (Aufgabenplanung) aufräumt und sowas automatisch erledigt. Findet man auch im Link der bereits als Lektüre gepostet wurde. Wie auch immer, wenn mir irgendwas suspekt ist, setze ich immer zuerst den WU-Client komplett zurück und lasse ihn neu mit WSUS syncen. Wie das geht stand alles mal auf der MS-Site, wurde aber kürzlich durch einen doofen Klick-Assistenten ersetzt der leider nur noch die Hälfte erzählt und insbesondere den wichtigen Kram einfach weglässt. Wenn es dann immer noch komisch ist, dann fange ich mit der weiteren Fehlersuche an. Zurücksetzen geht folgendermassen: net stop wuauserv net stop bit net stop cryptsvc net stop appidsvc löschen von SoftwareDistribution in System 32 (Del "%systemroot%\system32\SoftwareDistribution" löschen von Downloadmanager Files: ( Del "%ALLUSERSPROFILE%\Anwendungsdaten\Microsoft\Network\Downloader\qmgr*.dat" ) --> Musst Dir evtl. erst Zugriff geben löschen von Catroot2: (Del "%systemroot%\system32\catroot2" dann dienste wieder starten und ein wuauserv /reportnow /detectnow ausführen dann nach ein paar minuten die Updates suchen lassen. Gibt noch das Kuriosum, dass der Client Updates zieht aber nicht in WSUS erscheint. Dann läuft er in der Regel unter einer ID die schon ein anderer Client hat, wie auch immer das geht. Dann musst zusätzlich die WU client ID in der Registry des Clients löschen, am besten windows neu starten, und ein wuauserv /resetauthorization und anschliessend wuauserv /reportnow /detectnow durchführen.

Das Verhalten kenne ich eigentlich nur aus der Vergangenheit wenn mehrere Office-Versionen - oder Bestandteile davon - auf dem gleichen PC installiert waren (z.B. Access-Programme/Rutime die auf älterer Office-Version liefen). Insbesondere wenn zuerst eine neuere Version installiert war und anschliessend eine alte dazu kam. Dann kam bei einigen Clients beim Start der neueren Version der Installer. Kann auch passieren wenn die alte Installation der alten Version im Nachhinein angepasst wird. Auch bei Service-Packs habe ich es schon erlebt. Hilft dann nur die neue deinstallieren, alte nochmals reparieren, durchpatchen und dann die neue wieder aufspielen sofern man nicht Stunden damit verbringen will, die Ursache zu finden.

Schulungsräume nutzen ja gerne auch Lern-Videos. Viel von diesem Zeugs basiert auf Flash, Shockwave oder Quicktime. Auch heute noch. All dieser Kram ist unglaublich Single-Core lastig. Ich bin mir nicht ganz sicher ob da Virtualisierung / RDS wirklich dermassen das Gelbe vom Ei ist. Server mit Dual CPU's und hoher Taktrate sind richtig teuer. Dann würde ich persönlich eher auf mehrere Single CPU Systeme setzen dafür mit höherem Grundtankt (so ab 3GHZ). Kann mir aber auch gut vorstellen, dass im Endeffekt kleine günstige Clients einfacher und mit weniger Ärger zu betreiben sind, zumal Du bei allen RDS und Virtualisierungslösungen auch Thin Clients brauchst die unterhalten werden müssen. Bei Fat-Clients bleibt dann noch die Frage ob und wie die Clients zurückgstellt werden sollen. Bei VM's würde ich eher in Richtung ZeroClients (Teradici mit VmWare-VDI und NVIDIA Grid Beschleunigung) gehen. Da lässt sich mit sehr guter Peformance was machen sowie mit VM-Image's die beim Anmelden erstellt werden. Wird aber auch ziemlich aufwendig und die Problematik mit den Kosten pro GHZ bleiben.

Hi, das verhalten kenne ich aus Tests für die Absicherung von W10. Insbesondere wenn man im Nachhinein was macht, merkt man erst, dass nix mehr geht wenn sich ein neuer User anmeldet oder ihm ein neues Profil erstellt wird. Daher ein paar Schüsse ins blaue: 1. Hast ein nichtkonfiguriertes W10 oder selber umfangreiche Änderungen vorgenommen? --> Insbesondere Cortana, SystemHost, CloudHost (habe die Testumgebung grad nicht zur Hand wo die ganz korrekte Bezeichnung von System und CloudHost nachschauen kann) 2. Hast einen Teil der Appx-Umgebung deaktiviert? Insbesondere die Bereitstellung? Was bei Vorgängerversionen noch problemlos war, ist in W10 problematisch, da die ganze GUI eigentlich auch sowas wie eine App ist. Deaktivieren kannst zwar Teile davon, aber nur nachdem alle Benutzer erstellt wurden. --> Nicht wirklich sinnvoll produktiv, ausser Du hast nie neue User. --> Das gute daran, so kann man auf dem Server fast alles vom fragwürdigen Teil (Nutzerdatenübermittlung/Telemetry) des Desktop-Experience wieder loswerden und dennoch den Rest der GUI haben kann. Trotzdem schade hat MS die "Classic GUI" nicht mehr am Start. Wenigstens für den Server. 3. Hast Du an den Firewall-Richtlinien herumgespielt? Insbesondere den versteckten in der Registry? Einige verhindern - isbesondere bei der Erstanmeldung - die korrekt installation der GUI auf Benutzerebene. Hilft dann nur das Profil löschen (In Systemeinstellungen, nicht im Benutzer selbst). --> Zwar irgendwie fragwürdig, dass die lokale GUI vollständige Freipässe in der Firewall benötigt, aber so ist das nunmal. Möglicherweise hat das einen gewissen Sinn um System von Eingabe zu trennen (keine exakte Ahnung auf welcher Ebene das tatsächlich gemacht wird, schätze es geht vor allem um die Daten), aber rein sicherheitstechnisch müsste das meiner Meinung nach auf den lokalen PC beschränkt sein. Zumindest Standardmässig. Eigentlich tragisch wie die eigentlich recht sichere Windows-Firewall mit massig und oft unnötigen, versteckten Öffnungen wieder aufgebohrt wird auf Allow von überall.

Das Konto dient dazu den Telemetry-Diensten Zugriff auf die komplette Registry zu geben. Ich vermute sogar von extern weil sonst könnte man es auch einfacher lösen. Das ist insbesondere deshalb verwerflich weil das Konto ja irgendwie ein Passwort haben muss. Das heisst entweder wird es irgendwie errechnet aufgrund anderer Telemetry-Daten des Systems oder es ist im Voraus schon bekannt. Beides nicht unbedingt der Brüller auch wenn es "nur" lesenden Zugriff zu haben scheint (Es wird ja z.B. auch jede Benutzerinteraktion aufgzeichnet). Der Zugriff erfolgt vermutlich mit irgend einer der zahlreichen Apps die in der Windows-Firewall auf der nicht per CMD/Powershell/GUI konfigurierbaren Ebene einen Freifahrtenschein bekommen. Im Endeffekt ist es also nichts anderes als eine hoffentlich einigermassen gut gesicherte Backdoor für das abgraben von sämtlichen Registry-Daten. Ich habe mich schon sehr viele Stunden mit solchen Eigenheiten von Windows 10 beschäftigt. Im Endeffekt lässt sich eigentlich alles was irgendwie verbogen ist, auf Telemetry zurückführen. Dank der kurzen Halbwertzeiten/Updatezyklen der Builds, wird das reagieren auf diese Situation zukünftig aber fast unmöglich.

@DoseO: Es gibt ne Menge How-To's. Davon sehr viel die noch nie was taugten und noch mehr die nichts mehr taugen weil MS mit jedem Build die Spielregeln verschärft. Insofern verstehe ich seine Frage durchaus wenn er diese in einem wirklichen Profi-Forum stellt. Zu Deiner Frage, ich nehme an die meinst die Aufzeichnungen sowie Übermittlungen die permanent im Hintergrund laufen und A die Privatsphäre verletzen und B ne Menge IOPS versauen. Insbesondere die Writes. Man kriegt Windows 10's Aufzeichnungen auf praktisch 0 (Systmereignisse etc. ausgeschlossen, die machen ja Sinn). Der Aufwand dazu ist aber echt krank. Die Side-Effects bei den Tests enden z.B. mitunter in einer fehlenden Suche, defektem Startmenü, zerschossenem EventHandler usw. Wir sprechen hier von der Entfernung von Systemfiles, manueller Berarbeitung der zugehörigen WinSxs Store-Files auf der Platte und auf der Registry, feindliche Übernahme des TrustedInstallers weil Registry-Werte und Systemfiles weder für System noch für Administratoren zugänglich sind, eigene Hintergrundienste im Stile von MS um die entsprechenden Registry-einträge zu überwachen bei bestimmten Ereignissen zu triggern und zu reagieren, Entfernung gewisser Komponenten aus dem Component-Store, Bildung spezieller User/Gruppen mit denen dann ohne Anmeldung die Daten bearbeitet werden kann weil sonst die Werte wieder überschrieben werden usw. Einfach mal ein paar Stichworte dazu: - AIT-Agent ist ein fast komplett unsichtbarer Hintergrundtask der nicht (mehr) deaktivierbar ist obwohl es ihn nach wie vor gibt. - Diverse Systemdienste die irgendwelche kryptischen Logs wegschreiben auf die man selber nicht ohne weiters Zugriff hat. - Als Stromspar getarnte SleepStudy in Power sowie Energiesparungs-Modulen welche die exakte Nutzungsdauer, Anwesenheit usw. protokollieren. - Netzwerkdatenzwischenspeicherung in User-Files ohne Zugriff was hier gespeichert wird - Datenschutzeinstellungen auf Nutzerebene anstatt Systemweit - Automatisch erstellte Firewall-Ausnahmen auf Benutzerebene für moderne Apps wie Cortana - abschalten/konfigurieren nicht ohne weiters möglich (diesen Punkt finde ich extrem krank) - zahlreiche Firewall-Regeln im Static-Bereich für moderne Apps die man selber nicht sieht und per Powershell/Cmd-Prompt nicht bearbeiten kann - früher war das auf absolut notwendige Systemdienste beschränkt. - Dienste und Hintergrundtask die völlige immun gegen Powershell und teilweise auch Command-Prompt-Befehle sind --> Aktuell noch mit Registry-Bearbeitung möglich - Index auf Handschrift-Komponenten und andere persönlichkeitsrelevanten Dateiendungen die nicht ohne weiteres entfernt werden können - Nicht-Vorhandener Benutzer im System (SID ersichtlich) der Leserechte auf alles hat. Vermute das ist ein Online-Account von MS - Eideutige ID's für den PC bei Telemtry und ErrorFiles (wozu - wenn nicht zur identifizerung - soll das gut sein?) - Dann gibt es noch irgend einen Account/Dienst der sich nicht um eingestellte ACL's schert und trotz kompletten Rechte-Entzug oder Zuteilung an eine eigene Gruppe die Values immer noch überschreiben kann. Das konnte ich in dieser Art früher nicht feststellen. Wenn das Schule macht, dann können wir uns auf etwas gefasst machen. Vor allem als Privat-Nutzer. Hat man mal etwas gescheites gescripted, heisst es nicht, dass es mit den nächsten Builds oder Updates immer noch funktioniert. Bei Enterprise/LTSB stehen die Chancen noch am besten. Auf alle Fälle sind die Hürden so hoch, dass die meisten sich den Aufwand der Analyse schlicht sparen können. Im Privatbereich wo alle 3 Monate ein neues Windows aufgespielt wird sowieso. Ist ein Fass ohne Boden. Aus eigenem Interesse (Firma) sowie etwas Obrigkeitsrebellion arbeite ich selber seit längerem immer wieder mal an einem solchen Script auf Basis der LTSB-Version. Was nur schon vom ersten zum zweiten LTSB Release nicht mehr funktioniert hat ist beachtlich. Der Aufwand ist irgendwie total schwachsinning, insbesonder wenn das Script reversibel sein soll. Hat mittlerweile mehrere tausend Zeilen. Entweder man nimmts hin oder tut sich das an. Wenn MS den gleichen Effort für die Qualitätsprüfung der Updates aufwenden würde wie für die Verschleierung und Schützung "ihrer" Telemetry und Index-Daten, dann hätten wir innert kürzester Zeit ein fehlerfreies Windows. Ein Teil davon hat sicher auch einen gewissen Nutzen für den Admin und manche Indexe dienen auch massiv der Bequemlichkeit (Startmenü-Suche z.B.). Da der Kram aber A in Cortana gelistet ist und B einen solchen Aufwand betreibt damit sie nicht abgedreht werden können gehe ich stark davon aus, dass die Daten eben auch bei MS landen.

Liest sich je nach Interpretation doch etwas forscher als beabsichtigt, korrekt. Nicht in meinem Sinne. ReFs ist meines erachtens technisch ausgereift, ebenso wie die Storage Spaces. Waren sie bis auf einen wirklich misslichen Bug eigentlich von Anfang an. Klar fehlen ein paar Features, hat aber mit der Zuverlässigkeit meines Erachtens nichts zu tun. Setze das schon seit es das gibt produktiv ein. Da war Software RAID bei vielen noch mehr als verpöhnt. Aber egal anderes Thema. ;) Klar ist 3-Nodes besser als 2. Ist alles eine Frage der Logik. Wenn ich Stripes über mehrere bzw. alle verfügbaren Platten konstruiere, dann ist logisch, dass wenn in Stripe 1 auf Host A und Stripe 2 auf Host B ne Platte defekt ist, unter Umständen alles am ars*** ist. Ist aber - wenn es dumm läuft - in jeder normalen SAN nicht anders. Da hat man zudem noch das Mainboard als gemeinsame Komponente, raucht die ab, ist auch alles tot. Ausserdem heulen die meisten ja bereits rum, wenn zwei SSD's für nen Spiegel gekauft werden muss. Bei dreien hört es dann meist ganz auf. Aber auch ein 2-Node Cluster lässt sich so aufbauen, dass dieser Fall nicht eintritt. Insofern kann man auch gut mehrere Pools à 2 Discs machen um das Striping von Anfang an zu verhindern. Die Performance ist dadurch gerade bei etwas günstigeren Enterprise Platten nicht schlechter sondern sehr oft sogar besser. Im Endeffekt ist es wie bei vielem, irgend einen Tod muss man sterben und Designfehler bleiben Designfehler. Konventionelle RAID-Discs: Klar kannst Du konventionelle RAID-Volumes als Basis verwenden. Würde ich bei Magnet-Discs auch in jedem Fall so machen sonst ist die Performance absolut unterirdisch. Da nutzt unter Umständen auch der Cache nicht mehr so viel. Von Rebuilds bei nem Discfehler will ich gar nicht erst sprechen (evtl. wurde das aber verbessert, keine Ahnung). Wie auch immer, die Hauptfragezeichen punkto Performance mit Storage Spaces stehen nach meiner Erfahrung im direkten Zusammenhang mit den verwendeten SSD's. Wird top Ware verwendet, gibts ein Top Ergebnis. Skaliert auch nahezu linear. Bei mässiger Ware ein verhältnissmässig schlechtes bis sogar sehr schlechtes. Mittelmass ist leider eher schwer möglich, je mehr Discs im Stripe, desto schwieriger wirds (Latenz-Problematik).

@Net Runner: Verstehst Du wie die Storage Spaces funktionieren bzw. hast es bereits eingesetzt? Das ist technisch sehr ausgereift ob nun das neue Direct oder "klassisch". Wenn man das überhaupt bereits als klassisch betiteln kann. Ist ja noch nicht viel mehr als 1-2 Computergenerationen alt. =) Ausserdem hindert Dich niemand daran anstelle einzelner Discs Volumes die auf einem Hardware-RAID liegen zu Verfügung zu stellen. Das ist sicher kein Argument. Macht bei Magnetplatten unter Umständen sogar durchaus noch Sinn weil der Write-Cache den klassischen Storage-Systemen nach wie vor etwas hinterherhinkt. Des weiteren kannst Du mit Storage Spaces problemlos Mehrfachfspeicherungen vornehmen. Es gibt nicht viele Speichersysteme mit einer solchen Flexibilität. Warum das bei Storage Spaces Direct nicht so sein soll erschliesst sich mir jetzt nicht wirklich. Kannst Du gerne näher ausführen. Nichts desto trotz sind 2 Nodes anfälliger als 3 oder 4 Nodes und die Einstiegskosten sind enorm weil für Direct erstens spezifische Hardware benötigt wird und bei den Lizenzen für SS Direct Datacenter gefragt ist. Denke hier will MS verhindern, dass SMB-Kunden die Cloud-Pläne von sich selber und allfälligen Partnern mittelfristig zunichte machen sobald der benötigte Hardware-Kram günstiger wird. Dürfte ein Schulterschluss sein. Dann wäres es noch sinnvoll neben Starwind noch den aktuellen Platzhirsch zu nennen: Datacore

@MC: Ich wiederhole es gerne auch hier, wollte den Thread nicht für die Diskussion missbrauchen daher habe ich ihm ne PN geschrieben. Persönliches gehört in PN's finde ich zumindest. Genau wie allfällige Anfeindungen. Klar für Vielbesucher werden meine Bedenken etwas arg oft gelesen, aber nicht jeder ist pausenlos da. Habe es ihm (Sunny) auch angeboten "Kritik/Information" dieser Art zukünfigt in einem "spoiler" zu schreiben, dann muss man es extra einblenden. Gleichzeitig habe ich ihn darum gebeten mir einen Alternativen Weg zu nennen. Genannt hat er mir übrigens beides nicht. ;) Fakt ist numal, dass sich MS quasi jedes Recht herausholt mit den Bestimmungen die A jeder anklickt, gleichzeitig sicher nicht liest und B man nunmal nicht an MS vorbeikommt. MS hat nunmal ein Quasi-Monopol im Desktopbereich (Was ich im Grund gar nicht schlecht finde - deutlich einfacher). So wie Apple und Google den Mobilbereich untereinander aufteilen. Es kann bzw. darf eigentlich nicht sein, dass ein Konzern wie MS - der eine sehr hohe Verantwortung trägt - die zahlende Kundschaft zu einem Produkt und in ein bestimmtes Nutzungs-Modell drängt oder nötigt (wie auch immer man das nennen mag), gleichzeitig ausspioniert (im übertragenen Sinne - so ganz genau weiss man es ja auch nicht) und die erhobenen Daten irgendwie verwendet - wie genau weiss man auch nicht. Man weiss eigentlich gar nichts, ausser das man einfach mal alles erlaubt. Die im Internet verfügbaren "Aktuellen" Bestimmungen sind zudem so vage formuliert, dass sie eigentlich auch keine wirkliche Relevanz haben. Zumal ja fast alle MS-Internet-Angaben keinen rechtlichen Charakter geniessen. Von daher habe ich immer noch die Hoffnung, dass mit einer besseren Information der Nutzer der Druck auf MS bzw. eben die Entscheidungsträger etwas steigt und diesbezüglich etwas gemacht wird. Ist übrigens mein "Antrieb" das überhaupt regelmässig zu beschreiben. Mir persönlich ist es egal mehr für ein Produkt zu bezahlen wenn dafür meine Daten bei mir verbleiben. Aber ich habe die Möglichkeit dazu gar nicht. Als Privatperson noch weniger als im Geschäft. Nur zur Klarstellung: Ich bin ein MS-Befürworter (fast) erster Stunde (habe mit Dos 6 angefangen) und war bis auf Vista mit jedem Ihrer Produkte im Allgemeinen mehr als zufrieden und bin es heute noch. Aber was hier auf der nicht-technische Seite abgeht finde ich persönlich sehr heftig und braucht meines erachtens nunmal Aufklärung. Da hilft es nix wenn die Produkte technisch excellent sind, man sie aber eigentlich gar nicht guten Gewissens bei den Kunden installieren kann weil einfach die effektiven Datensammel-Aktionen sowie deren Verwendung unglaublich unpräzise oder gar nicht formuliert sind. Auf jedem Computer steckt Know How der Firmen drinn. Am Ende ist noch der Installateur mitschuldig weil er die "Häckchen" setzt und nicht die Chefs der Firmen selbst, weil die sowas angeblich niemals bestätigt hätten. ;) Es wurde wieder eine A4-Seite. =)

;)

Nun, das sind einige. Du kannst versuchen die fehlerhaften Files bzw. die kompletten Ordner direkt von einer Windows-CD/Windows Image zu holen und reinzukopieren. Im Link von Sunny's Post steht beschrieben wie. Danach sollte SFC grundsätzlich durchlaufen. Von Repair-Installationen rate ich ab, dann lieber gleich frisch aufsetzen. Was ich vergessen habe zu erwähnen, weil ich das jeweils automatisch mache: Hast Du "C:\Windows\SoftwareDistribution" vor den Updates sowie nach der Deinstallation mal komplett gelöscht und 1-2 reboots gemacht? --> Dafür musst vorher die Dienste Windows Update sowie BITS deaktivieren. --> Hilft bei sehr vielen unerklärlichen Update-Problemen. (Bei dir sind sie eigentlich erklärbar wenn auch nicht zwingend zusammenhängend, weil sfc Fehler spuckt).

Was Du genau anhaken sollst, kann ich Dir auch nicht sagen. Dafür habe ich mich noch zu wenig mit den W10 Installationen rumgeplagt. Habe bisher erst eine Installation wo ich die W10 Kröte Schlucken musste (Anmerkung hier: Finde W10 technisch absolut gelungen, wie fast immer bei MS - Nur die Randbedinungen sind mittlerweile eine Katastrophe). Das ist eine Steuerung die zum Glück Offline betrieben wird. Bin bei W10 erst bei Testungen bezüglich verhinderung von Datensammlungen etc. Ich hole mal etwas aus: Wenn man die Entwicklung bei MS der letzten Jahre etwas beobachtet braucht man dazu keine Glaskugel. Das zeichnet sich ab. Aktuell für die W10 Pro sieht man es daran, dass bereits jetzt einige GPO's nicht mehr greifen. Zum Beispiel kann nur in Enterprise-Versionen von Windows 10 der dämliche Lock-Screen deaktiviert werden, in Pro-Versionen seit 1 oder zwei Upgrades nicht mehr. MS möchte die Kunden Stück für Stück vergraulen damit man "freiwillig" ins Mietmodell wechselt. Alles in nur so grossen Schritten, damit nicht allzuviele Kunden aufs mal verärgert sind weil sonst der Aufstand zu gross wäre und eventuell sogar die Wettbewerbshüter auf den Plan rufen würde weil MS im Grunde eine Monopol-Stellung inne hat. ;) Das ganze hat im Grunde mit SP3 für Windows XP angefangen. Da wurden die Nutzungsbestimmungen das erste mal grosszügig verschärft. Es waren aber nur wenige Kunden tatsächlich betroffen. Weiter gings mit anderen Rand-Installation wie den virtuellen Desktops und eigentlich "Must-Have" Optionen für z.B. Exchange die nur per Miete erhältlich sind. Aktuell gehts weiter zu den physischen Desktops sowie den miesen Bedingungen für Kauflizenzen bei Office (im Vergleich zu 365). Per User ist zum Beispiel nicht käuflich erhältlich. Die Entwicklung wird ihren Abschluss in den Server-Versionen sowie Applikationen finden. Ich war ja bereits soweit, dass ich teure Server Versionen für meine Clients gekauft hätte weil mir die aktuelle Betriebsphilosophie des Managements in Sachen Mietmodell und Datenschutz überhaupt nicht gefällt. Kaufe zwar seit ich mich erinnern kann SA zu unseren Produkten hinzu aber erzwungene Miete geht mir komplett gegen den Strich. Da bleibt echte Innovation früher oder später auf der Strecke und nur noch der Profit zählt. Seit sie aber den Cortana-Müll sowie die aufgeblasene GUI auch auf die Server Versionen übertragen haben, gibt es dafür leider auch keinen Grund mehr. Die Schlanke GUI wurde schlicht gestrichen, dabei hätten Sie z.B. einfach die von W7 oder 2012 als Minimale-GUI behalten können ohne das ganze Desktop-Experience Gedöhns. Bei einem Mietmodell kann MS fast beliebig an der Preisschraube drehen weil niemand mehr so ohne weiteres aussteigen kann. Auch länderbezogene Preise die sich an der Kaufkraft orientieren, sind viel einfacher durchzusetzen weil es mit Miete keinen Parallel-Import mehr geben kann. Absolut krass finde ich ja, dass die Preise für die Kauflizenzen auch aktuell immer weiter steigen und gleichzeitig der Datenschutz total in den Keller geht. Doppelte Gewinnmarge. Geht alles weil Monopol. Nicht falsch verstehen, ich bin seit DOS ein absoluter Befürworter von MS-Produkten, aber das aktuelle Management ist leider geprägt von Managern und nicht mehr von verantwortungsvollen Inhabern. Wie leider mittlerweile in vielen grossen Konzernen.

Du wirst gar nicht drumrum kommen die Versions-Upgrades zu installieren weil MS die anderen Updates schlicht davon abhängig machen wird bzw. teilweise bereits macht. Zudem ist die Pro-Version ist in Zukunft nur noch bedingt Unternehmenstauglich, ist bereits teilweise und wird vermutlich komplett zum Consumer-Produkt degradiert. --> Mietmodell Falls Du tatsächlich eine Version behalten möchtest, wirst um Enterprise bzw. besser LTSB nicht herumkommen. LTSB ist (vermutlich neben den Industry-Versionen) die einzige Version mit langfristem Nicht-Update-Zwang.

Das Problem beim Index-Dienst bzw. eigentlich der kompletten Datenkrake mit dem Überbegriff Cortana aus Windows 10 (Und ja sogar Server 2016 ist vollgestopft mit dem Kernschrott) liegt leider tiefgreifend. Immer mehr ist mittlerweile von dem Krempel abhängig. Einfach deaktivieren ist nicht und bringt massive Eingriffe ins System und den Nutzungskomfort mit sich. Granular einstellen lässt er sich auch nur mit enormsten Aufwand. Wir der Kram komplett deaktiviert, hast Du unter Windows 10 weder ein Startmenü noch eine Taskleiste oder die Info-Symbole. Also der komplette Steuerbalken fehlt. Möchte man etwas einschränken, dann wirds echt heftig weil nichtmal der Benutzer System den Schrott deaktivieren kann. Man muss sich also noch weitere Rechte erschleichen (Aktuell reicht TrustedInstaller). Der Aufwand der MS betreibt um die Deaktivierung zu verhindern ist enorm. Zu Deinen Fragen: - Outlook: Keine Ahnung wie stark mittlerweile Outlook in Cortana eingebunden ist. Ich tippe darauf, dass dies in aktuellen Versionen noch nicht so stark der Fall sein wird in künftigen aber mit Sicherheit. - Dateien finden: Nun der neue Finder in Windows ist ja eh schon grottenschlecht im Vergleich zu XP. Auch wenn er theoretisch mehr kann. Ohne Index ist die Suche sogar um Welten zuverlässiger (für alles was nicht grad Word und Excel ist) dafür aber sehr IOPS-Intensiv und deutlich langsamer. - Abschalten per GPO: Richtige Flags gibt es nicht dafür. Zumindest keine die tatsächlich übergreifend wirksam sind. Etwas beschränken kannst Cortana schon, aber für das meiste Du selber Hand anlegen und entsprechende Massnahmen treffen sowie mühselig eruieren wo der Schrott überhaupt gespeichert wird. Ohne Enterprise Versionen wird das aber sowieso mühsam werdenin Zukunft weil die GPO's gar nicht greifen werden. --> Weitere Massnahme zum schleichenden Übergang Mietmodell. Es gibt verschiedene Möglichkeiten. Bis hin zu Entzug sämtlicher Rechte für System und TrustedInstaller für bestimmte Regionen auf der Festplatte sowie Registry. So kannst Du - zumindest zurzeit - wirksam verhindern, dass ein Index gepflegt wird. Später wird MS das wohl ins RAM verschieben wo ein Nachvollzug der Tätigkeiten schwieriger wird. Aktuell lässt sich mit RegShot und anderen Tools die Veränderungen im laufenden Betrieb sehr gut protokollieren, du wirst nicht glauben wie viele Hives verändert werden ohne das Du auch nur einen Klick machst. Ich bin der enormen Datenkrake jendenfalls sehr skeptisch eingestellt, zumal sich MS quasi die Rechte "erschleicht" diesen zu Nutzen mit den Nutzungsbedingungen. Völlig egal ob man eine teure Lizenz oder so ein quasi "Gratis-Windows" auf Consumer Geräten hat. Es gibt keine Möglichkeit zu weichen, auch nicht für Geld. Es gibt wohl nichts was aussagekräftiger ist als ein guter, gepflegter Index. Nicht umsonst erstellt Microsoft z.B. für jeden Benutzer automatisch eine Firewallausnahme für Cortana. Ein Schelm wer böses dabei denkt. Cortana ist die Schaltzentrale aller Indexe des Systems. Eigentlich gibt es kein Grund, dass diese nach draussen senden muss. Ich warte auf den Tag, wo es eine versteckte Firewall-Regel wird (die übrigens mit W8.1 und vor allem 10 sprungartig zugenommen haben). Aktuell ist sie noch direkt ersichtlich. Ich meine Privat kann man damit leben oder eben darauf verzichten. Den meisten ist das ja eh völlig egal wie man an der Nutzung der Mobiltelefone sieht. Im Behörden oder Unternehmensbereich halte ich das aber für unmöglich, man kommt an den grossen Konzernen sehr selten vorbei. Da zieht im Grund jeder die Unterhosen aus.

Was heisst genügend? 3-4 GB oder 10-12GB? Das ganze auch schon im abgesicherten Modus versucht? Aber, wenn sfc scannow fehlschlägt ist normal etwas im argen. Könntest noch ein Abgleich mit einem Original-Image machen wie im KB-Artikel vom Dr. beschrieben. Birgt aber - soweit ich mich erinnere - immer etwsa die Gefahr, dass Einstellungen etc. verloren gehen. --> Evtl. auch mal im abgesicherten Modus. Post doch auch mal die Fehler die SFC bringt.

Hätte des öfteren erlebt, dass zu wenig Festplatten-Platz schuld war das .NET Updates fehlschlagen. Ist so aber nicht unbedingt in einem Log erkennbar. Was Du auch versuchen kannst sind alle .NET relevanten Dienste zu deaktivieren/abzuschalten und dann die Updates zu installieren. Ein weiterer Versuch wäre die Updates im abgesicherten Modus zu installieren, dann hättest die Gewissheit, dass irgend ein Dienst oder Task das Update blockiert.

Ohje, auch wenn man MS mittlerweile sehr viel zutrauen muss, dass sie hier je gegen den Kunden aktiv werden garantiert nicht. Man würde ja so die SA Käufer gegenüber den ab und zu Neukäufern benachteiligen und das ist zu 1000% Sicherheit völliger quatsch. Wöllig Wurscht ob es nun in den Bedingungen durchverklausuriert ist oder nicht. Ausserdem war Migration noch nie ein Schwarz/Weiss Thema. Wie lange es dauert bis ein System komplett abgeschaltet oder gelöscht werden kann, ist selbst in kleinen Umgebungen nicht immer zu 100% im voraus klar. Wenn die Doku nicht vollständig war oder selbst wenn sie es ist und irgend eine Software fix einprogrammierte Pfade hat die man nicht selber ändern kann, macht man deswegen nicht gleich die ganze Migration rückgängig. Bei MS wird bei einer Lizenzprüfung schlicht und ergreifend darauf geschaut, warum nun ein System eben 2 Wochen oder 3 Monate nachläuft. Wenn es ihrer Meinung nach zu lange ist (mehrere Monate) braucht man eben eine schlüssige Erklärung. Genügt Ihnen das nicht weil die Erklärung fadenscheinig ist oder mehrere Monate schlicht des guten zuviel, braucht man eben ne zusätzliche Lizenz. Kleine Anmerkung: Insofern verstehe ich es nicht wirklich, warum in einem so klaren Fall (siehe Satz 1) bei Microsoft nach fixen Regeln bzw. einem fixen Statement nachgefragt wird und die Praxis die nun seit über 20 Jahren herrscht nicht einfach so hinnimt. Sobald etwas im Detail beschrieben ist, sind es harte Facts wo der Handlungsspielraum der Prüfer massiv eingeschränkt wird und eine tiefergreifende Abklärung nötig wird. Das ist wohl weder im Interesse von MS noch von den Kunden. Just my 2cents.

Du könntest schauen welche Veränderungen in der Registry/Dateisystem gemacht werden und aus den releavanten Parts ein Script und/oder GPO zusammenbauen und ausrollen. --> zB. mit Regshot Ist auch ganz witzig um zu sehen was und wie oft Windows alles für Schrott loggt... =)

Verstehe das so: Er möchte mehr Sicherheit durch Beschränkung des Traffics auf einen bestimmten Empfänger für eine bestimmte Website. Allerdings geht der Traffic dieser bestimmten Website bei Port 80 wie ja schon angemerkt wurde, auf unverschlüsselte Weise durchs Netz. Das heisst in dem Moment wo ein Zugriff stattfindet, kann der Zugriff relativ einfach mitgeschnitten werden. Fast noch schlechter wenn auch noch authentifiziert werden muss. Dann gibt man auch noch die Zugangsdaten preis. Deshalb: Wenn Du sowas tatsächlich brauchst, entweder wie erwähnt wurde mit Authentifzierung und verschlüsselt oder aber in einem dedizierten Netz. Wenn verschlüsselte Authentifzierungen ein zu grosser Aufwand wäre oder schlicht nicht zu Verfügung steht, kann man sich auch einfach mit einer "Zugangskiste" einen Einstiegspunkt bereitstellen. Sie hätte dann eine dedizierte LAN-Leitung zum Server (Auch z.B. virtuell Hostintern möglich) wo die Website auf einem Port auf einer eigenen IP präsentiert wird. Diesen Port blockt man in der Firewall für alle anderen Adressen. Zudem hätte die Zugangsiste eine zweite IP im regulären Netz auf die man sich per Remotedesktop verbinden kann. So hat man einigermassen elegant ohne grosse Konfiguration eine verschlüsselte Authentifzierung auf Windows-Ebene ohne sich selber darum kümmern zu müssen. Kleine Zusatz-Anekdote zur Windows Firewall (wens dich interessiert) Die Windowsfirewall lässt leider nur das Filtern auf einen bestimmten Adaptertyp sowie IP-Adressen etc. zu aber keine Begrenzung auf einen bestimmten Adapter selbst. Auch wenn hier Microsoft leider nicht die absoluten Basics des TMG in die Windows-Firewall übernommen hat, ist so die Hürde doch relativ hoch, via dem regulären Netz direkt auf die Seite zu kommen. Der TMG-Aufsatz (Der Installer ist gerade mal lächerliche 124MB gross mit enormer zusätzlicher Funktionalität) hat diese Einschränkung nicht. Hoffe ja immer noch, dass dessen Basis-Funktionalität irgendwann mal offiziell in die Windows-Firewall übernomen wird, dann wäre sie endlich mal wirklich tauglich. Seit aber Server 2016 raus ist und dem nicht so ist, schwinden meine diesbezüglichen Hoffnungen. Keine Ahnung ob es in den tiefen des Stacks irgendwo versteckte, nichtkommentierte Commandlines gibt, welche diese Filtertechnik zulässt und sich der TMG dieser bedient oder ob dies tatsächlich durch den TMG selbst gemacht wird. Gefunden habe ich die Alternative auf Kisten ohne TMG leider nie obwohl ich schon stundenlang im Netz gesucht habe. Verschwörungstheorie: Vielleicht wäre das auch schlicht viel zu effektiv, weil damit die ganzen unsichtbaren MS-internen Adapter auf absolut simple Weise ausgehebelt würden. Keine gute Sache wenn man BigData betreiben möchte und die Bedingungen in W10/SV2016 entsprechend festlegt. ;)

Korrekt, die ist sogar sehr gut. Überwachung muss einfach manuell eingerichtet werden via Triggers in der Ereignisanzeige. Komplexität ist tief und es braucht keine Zustzsoftware. Die Sicherungsgeschwindigkeit kommt vor allem auf den Speed der Medien an. Wenn da 7.2k SATA Einzelplatten werkeln und viele kleine Files kopiert werden müssen, dann kann das schon ewig dauern. Bei sehr grossen Files, kann es aber auch mit den langsamen Platten einigermassen funktionieren. Bezüglich Robocopy: Robocopy ist ein umfangreiches File-Kopiertool. Sichert also auch nur das und z.B. nicht das OS. Backups mit Versionsständen kann mit Benamsung der Ordner z.B. durch einen Timestamp erreicht werden. Ist aber nur beschränkt in Einzelfällen wirklich sinnvoll bzw. eigentlich nur dann, wenn nur ein paar GB Daten gesichert werden müssen und nicht bei mehreren 100 oder 1000. Oder für andere Spezialfälle. Ein Backup-Mirror auf eine Zweitplatte hat immer das Risiko, dass man nur die letzte Version hat, die unter Umständen Schrott ist. Kann man zwar mit rotierenden Platten etwas entgegen wirken aber Backup-Tool macht meist mehr Sinn.

Aber: Eigentlich soll man nach MS ja eh Dokumentenhaltung in Share-Point betreiben =) Denke MS checkt erstmal ab ob die Vorschlaghammer-Methode bei den Server OS genausogut funktioniert wie bei den Desktop OS. Ist die Gegenwehr klein - wovon ich heute ausgehe - wird Cortana mit seinen umfassenden Indexierungs- und Auswertdiensten auch auf dem Server komplett Einzug halten. Der erste Schritt mit der GUI ist ja bereits gemacht. Entweder Cortana mit Xbox etc. oder nüx. Der nächste folgt wohl mit der Infek.. äh Integration von Cortana in SQL-Server. Glaube mir, MS pusht da ohne Ende. Das wird nicht mehr ewig dauern. Wie lange es dann dauert bis und ob der alte Indexdienst auf Filesystemebene dann überhaupt angepasst wird, wird sich dagegen zeigen. Gut möglich, dass dieser nur aus Kompatibilitätsgründen noch mitgeliefert aber nicht aktualisiert wird und am Ende alles über Cortana eigene Dienste läuft und somit auch nicht mehr partiell abeschaltet werden kann ohne die kompletten Suchfunktionen und GUI zu verlieren.

Die Ursache ist simpel, durch den Zusammenzug der Blöcke sowie entsprechende Verweise ist es mit den bisherigen Standardfunktionen nicht mehr möglich einen sauberen Index zu erstellen. Der Grund warum nix gemacht wird ebenfalls, erstens sind die neuen File-Features noch nicht 100%ig ausgebaut und zum zweiten hat MS mit Cortana eine neue Index-Such-Maschinerie auf die Beine gestellt die laufend ausgebaut wird. Sofern die aktuellen Pläne weiterhin Bestand haben, kommt dieser Kram zukünftig so ziemlich in jede Ecke von Windows Server als leistungsfähige Auswertungseinheit zum tragen. Das macht es uninteressan sogenannte alte Zöpfe zu aktualisieren. Ich bin sicher, MS möchte mittelfristig alles in Cortana packen. A können Sie so selber Daten Zentral abgreifen - was sie gemäss Nutzerbedingungen ziemlich weitreichend dürfen - und B hat der Kunde ein allumfassenden Index den es auswerten kann. Zukünftig wird es wohl so sein, dass man kaum auf Cortana verzichten es evtl. sogar gar nicht los werden kann oder third-Party Produkte für die Suche einsetzen muss. Die Hürde dazu wird wiederum sehr hoch sein, weil Exchange, Outlook, SQL etc. mit Sicherheit von Cortana abhängig sein werden.