Weingeist

Über den Nutzen des Sicherheitscenters kann man streiten. Die Meldungen kannst auf unterstützter Basis eigentlich nur pro Benutzer abschalten. Geht via GPO oder Login-Script. Greift aber wohl nicht mehr oder nicht mehr lange auf allen W10 Versionen. Folgende Reg-Hives müssen gesetzt werden: HKCU\Software\Policies\Microsoft\Windows\Explorer DisableNotificationCenter DWORD 1 HKCU\Software\Microsoft\Windows\CurrentVersion\Notifications\Settings NOC_GLOBAL_SETTING_TOASTS_ENABLED DWORD 0 Supported ist eh fast nur noch die Standardkonfig. Im Supportfall musst einfach beweisen können, dass es auf einer unterstützten Maschine auch reproduzierbar ist. In Zeiten von VM's eh 0 Problemo. Auf nem Desktop-OS ist es MS eh fast komplett egal wenn du mal neu installieren musst. Also wozu Standardkonfig. Ich mache meine Manipulationen per Script oder GPO. Die Scripts haben auch ein RESET-Schalter mit dem ich das OS oder Teile davon auf Standard zurücksetzen kann. Von Hand manipuliere ich nur solange wie ich noch ned weiss welche Funktion was bewirkt. Daneben gibt es noch weitere Möglichkeiten wie Teile der Modern Shell und Cortana zu deinstallieren. Das wird aber aufwendiger.

Es wird echt immer besser. Deaktivierung von Schrott nur noch in Enterprise-Versionen. Und Enterprise gibts nur als Abo. Pro wird langsam aber sicher zur Upper-Privat degradiert. MS bzw. das Management will um jeden Preis die Unternehmenskunden in ein Abo-Modell drücken. Die Methoden sind mehr als fragwürdig. Also ich kann nicht wirklich nachvollziehen warum die Entwicklung 90% der Leute nicht wirklich stört. Im Privaten wie in Unternehmensbereich. Software wird nicht mal billiger als vor 10-15 Jahren sondern teurer. Leider sind auch die Behörden an den Daten interessiert, sonst gäbe es vielleicht mal eine Monopol-Klage. Schade wird sie nicht mal angedroht.

Also bezüglich der WFPLWF Protokolle der Ethernet-Adapter bin ich etwas weiter. 1. Die Blockierregeln der Windows Firewall scheinen trotzdem zu funktionieren. Ping läuft auf alle Fälle nimmer. 2. via Auditpol gesetztes Loggings im Security funktioniert trotzdem 3. via dem Windows-Firewall gesetztes Log funktioniert trotzdem Was der Kram nun macht, weiss ich aber trotzdem noch nicht. Jemand ne Idee?

Echt jetzt? Hat bei mir vielleicht 5% oder so gebracht bei über 200GB. Hab aber auch nur Deutsch aktiviert und nur jene Plattformen die ich auch tatsächlich habe, also nichts im Auto-Signatur-Modus.

Der erste werde ich wohl kaum sein dem das auffällt. So wahnsinnig viele dürfte es aber noch nicht interessiert haben, man findet fast gar keine Infos über die einzelnen unsichtbaren Protokolle. Google spuckt nur jeweils ne handvoll Ergebnisse raus. Auf russisch gibts nen paar Seiten, aber A verstehe ich das nicht und B habe ich da ein paar Fragezeichen. Wird also nicht angesurft =) Die Sensation und ungeheuerlich wird es kaum sein. Da ich aber gerne zumindest im Ansatz verstehe wie Basistechnologien - insbesondere die Firewall und die Filtereinheit- implementiert sind, würde mich das eben interessieren. PPOE ist nicht aktiviert auf den ISATAP-Adaptern. Aber auf den normalen. Mit den neuen Powershell-Modulen in W10 mit dem sich das Protokoll-Binding auf sehr einfache Weise anpassen lässt, sind die versteckten Protokolle jedenfalls weder sichtbar noch mutierbar. Der sagt, sie existieren nicht. Also auch nicht als versteckte Flags. In der Registry sind die Bindings aber via der Device-ID klar erkennbar. Nach einiger weitergehenden Recherche bin ich dann auf das Tool Nvspbind gestossen, welches einem das mühsame manuelle rauskramen erspart und (noch) sämtliche Protokolle gelistet werden. Wass PPOE grundsätzlich macht verstehe ich schon, was ich nicht verstehe, wozu ich das im normalen Firmenumfeld tatsächlich brauchen sollte und warum der Kram versteckt und standardmässig aktiv ist. Das NDIS-Capture irgendwas einfängt/aufzeichnet/weiterleitet zur Aufzeichnung ist mir auch klar. Unklar ist mir, warum es vorher standardmässig aus war und ab W10 ein. Und wenn es aufgezeichnet wird, wo der Krempel abgelegt wird usw. Sowie ob es Unterschiede zu AD und Workgroup Umgebungen gibt. Werde noch ein paar weitere Tests machen. Insbesondere ob die Firewall-Filterung tatsächlich an den Protokollen hängt oder diese allenfalls nur Logging-Zwecke haben sowie was es mit dem Capturing auf sich hat. Falls der Traffic dann trotz Blockregel funktioniert wäre das schon ziemlich krank. Insbesondere weil die Tunnel-, WAN und ISATAP-Adapter dann wirklich an der Firewall vorbeigehen würden. Dann wiederum müsste man sich fragen, wie das wohl unter W10 implementiert wurde weil die zusätzlichen Adapter ja fehlen (zumindest in LTSB). Aber das ist im Moment alles nur reinste Spekulation. Falls also jemand doch noch etwas mehr Infos hat, wäre es cool nicht alles ber Try and Error herausfinden zu müssen. Eigentlich wollte ich ja nur mein allgemeines Konfig-Script so erweitern, dass es mir die Bindings für IPv6, Topologieerkennung etc. auf Wunsch aktiviert/deaktiviert und ich mir die GUI-Klickerei zukünftig ersparen kann.

Danke für die Links. Habe mich mal quergelesen. Obwohl es sehr interessant war, wurden meine Fragen leider noch nicht so richtig beantwortet oder ich habe es ned verstanden =) Tendiere im moment dazu, dass die Filtereinheit wohl übergangen wird, wenn die Protokolle in den entsprechenden Netzadapter fehlen. So ganz klar ersichtlich war es aber nicht. Falls dem so wäre, wäre es schon recht erstaunlich, wenn dann die meisten Build-In Miniports, Tunneladapter, Isatap etc. das bzw. die Protokolle nicht aktiviert haben. In W8/2012 sind dann die IP-Tunnels mit dem Lower-Protokoll ausgerüstet nicht jedoch mit dem Upper. Was wiederum die Frage aufwirft, ob beim Lower-Protokoll eigene Regeln links liegen gelassen werden oder nicht. In W10 fehlen die IPv6 Tunnels als eigenständiges Protokoll wie in 2012. Ebenso die ganzen Adapter zu Miniports etc. Zumindest in den LTSB Version. Ne andere habe ich noch nicht geprüft. Ndiscap ist ab W10 standarmässig aktiviert, in allen OS davor deaktiviert. Was dies macht?

Hallo Leute, Dem Netzwerkadapter sind ja teilweise mehr Protokolle zugewiesen als in der GUI ersichtlich sind. Unter anderem ms_wfplw (WSP Lightweight Filter in Windows 7) ms_wfplwf_upper (Lightweight Filter für WFP 802.3-MAC Schicht - Sicher ab W10 evtl. ab 8) ms_wfplwf_lower (Lightweight Filter für systemeigene MCA-Schicht - Sicher ab W10 evtl. ab 8) Kann mir jemand sagen was diese Protokolle genau bewirken bzw. wenn sie enabled oder disabled sind? Standardmässig sind sie aktiviert. Im Netz fand ich eigentlich nur heraus, dass sie zur Windows Filtering Plattform gehören. Also der Windows Firewall. Heisst Disabled evtl. es gibt kein Paketfiltering mehr und Pakete werden direkt weitergeleitet? Warum wird in W10 in upper und lower unterschieden? Wofür gelten selber erstellte Regeln? Dann gibts noch folgende Protokolle die ich ned genau zuordnen kann: ms_pppoe - Point to Point Protokoll über Ethernet ms_ndisuio - NDIS Benutzermodus-E/A Protokoll ms_ndiscap - Microsoft NDIS Aufzeichnung (Sicher ab W10, evtl. auch ab 8) Zweck sowie ob man sie abschalten kann. Wäre cool wenn hier jemand Lektüre dazu hätte. Gruss und Danke

Arbeite schon seit es die Storage-Spaces gibt produktiv damit. Vorher schon mit dem quasi-Vorgänger. Meiner Erfahrung nach: Magnetdiscs in aller Regel sinnvoller mit RAID-Controller - unregelmässige sowie hohe Latenzen ziehen die Performance komplett in den Keller, das machen RAID-Controller mit Cache besser. In beschränktem Masse könnte man auch auf Windows Write Cache vertrauen, ist aber etwas fragwürdig weil Host-Unterbrüche und sei es nur ein BlueScreen, unweigerlich zu einem Datenverlust führen. Das ein Host die Grätsche macht ist wesentlich wahrscheinlicher als ein RAID-Controller. Bin da aber eventuell auch etwas altmodisch. Kommt halt immer auf den Einsatzzweck an. Das Filesystem kann es ab. Da kommt dann halt unweigerlich wieder der Spruch: Anforderungen definieren. Es spricht - eine gewisse Grösse vorausgesetzt - natürlich nichts dagegen, zum Beispiel Daten aus zwei einfachen per SAS angebundenen Hardware-RAID-Shelfs die Spiegelung oder ein Stripe per Storage-Spaces vorzunehmen. Auch wenn man zwei RAID-Controller in einem Computer hat kann man darüber nachdenken. Da gilt es dann hier halt wieder, was will man erreichen und wie erreicht man es am sinnvollsten. Für mich selber baue ich gerne mal spezielle Setups um Erfahrungen damit zu sammeln, bin dann aber auch selber Schuld wens in die Hose geht. SSD-Arrays können mit StorageSpaces gut ohne RAID-Controller betrieben werden, müssen aber nicht. HBA reicht dann aus bzw. ist besser. Damit die gewünschte Performance auch erzielt wird, auf hochwertige Discs aus dem Enterprise-Segment achten. Diese verfügen über regelmässige Latenzen für Writes und weisen eine kleinere min/max Streuung auf. Ansonsten zieht es die Performance runter weil immer eine der Discs gerade ausschert. In Ermangelung von Batteriegestütztem Cache sollten entweder direkt die Platten über eine abgesicherte Stromversorgung verfügen oder aber die Discs mit Kondensatoren ausgerüstet sein, damit sie im Fehlerfall die Writes noch ausführen können. Mein persönliches Fazit: Die Storage Spaces machen in kleinen Umgebungen produktiv eigentlich vor allem dann Sinn, wenn SSD's verwendet werden möchten. Ich persönlich setze es ausschliesslich in Verbindung mit sehr hochwertigen SSD's ein. Sonst ist für mich persönlich das Risiko zu hoch. Und zum Schluss der fast wichtigste Punkt: Sauber beschriften welche Disc mit welcher Serial in welchem Slot steckt. Es ist im Fehlerfall nicht unbedingt zuverlässig erkennbar um welche Disc es sich hadelt auch wenn theoretisch Windos das lämpchen blinken lassen kann. Ansonsten ziehst dem RAID die Füsse weg wenn die Falsche entfernt wird. Ein anschliessendes Force-Online ist bei Storage Spaces wesentlich heikler als bei nem Hardware-Controller. Eigentlich allgemein Tausch von defekten Discs.

Natürlich nicht. Im Falle von XP finde ich es aber schon extrem naja. Hätte ich ehrlich gesagt nicht erwartet, dass es verschwindet. Obwohl, eine 64bit Variante die fast niemand einsetzt, ist ja noch vorhanden *lol* @DocData: Du hast nicht überall die Wahl bei den Firmen. Bei Maschinen ist es kauf oder lass es. Wenn es maximal ne handvoll anbieter gibt, dann kaufst die, die technisch für die Funktion am besten passt und nicht eine, die das aktuellste Windows drauf hat. Wenn Du da nicht gleich ein Auto-Konzern oder Zulieferer bist, heisst das nur: Friss oder stirb. ;)

Ernst oder ned? Ich hab sehr viele Bekannte die mit Maschinen arbeiten, die auf W95 und XP laufen. Das ist ein echtes Problem wenn die Steuerung defekt ist. XP wird heute noch in Industrierechnern verkauft und ich kans ned mal mehr herunterladen, also ich finde das echt übel. Wenn auch von beiden Seiten.

Vielen Dank für die Inputs! Whitelisting mit SAFER: Habt ihr hierfür ein Logging eingerichtet um zu sehen ob es tatsächlich Schrott gibt, der gestartet werden möchte? Von E-Mail anhängen z.B.? Whitelisting mit Applocker: Hmm ok, eigentlich eher weniger, da viele Pro unterwegs. Auch wenn schon einige kleinere auch VDI haben. Wäre etwas granularer einzustellen da unterschiedliche Rechte für unterschiedliche Gruppen und wohl einfacher zu administrieren soweit ich das beurteilen kann. EMET: Alles klar, Pflichtprogramm ist eine Ansage =) Firewall Windows: Yep, Standard Out ist alles erlaubt. Bin ich eh drann an nem Stanardprofil für granulares freigeben.

Hallo Leute, Ist es normal, das Windows XP, Office 2003 aktuell verschwunden sind. Ohne Akündigung? Brrr, da bin ich nur froh, dass ich auch selber ein ISO-Archiv habe und die Keys ab und wann zwischengespeichert habe. Danke EDIT: Mist, falsches Fenster. Hätte ins OT sollen.

So gut wie keine Erfahrung, weil mir bis dato der Aufwand schlicht zu gross war für kleinere Umgebungen. Sonst würde ich nicht nachfragen. Da wäre es eben sehr interessant ob solche Massnahmen tatsächlich schon schlimmeres verhindert haben oder ob es die aktuell übliche Malware genauso so wenig stört wie allfällige Virenscanner.

Hallo Leute, Aufgrund aktueller Ereignisse bei diversen Foren-Teilnehmer, immer besser verfassten Mails die auf meinen Server eintrudeln, gehackte Seiten von beliebten Webportalen, ein Vorfall bei nem Kunden der auf ne perfekt verfasste Offertenanfrage doppelklickte bin ich daran meine Standardkonfigs zu überdenken/überarbeiten. Irgendwie werden mir die Meldungen über verschlüsselte Server einfach etwas zu viel. Aufwändige und teure Proxy-Lösungen, Live-Überwachungen, Auswertungen usw. fallen ja bei KMU's raus. A zu teuer, B kein Personal, C kein Fachwissen. Daher muss es etwas sein, dass möglichst nur das zulässt, was erlaubt ist und alles andere verbietet und granular freigegeben werden muss. Auch wenn der Startaufwand evtl. deutlich grösser ist. Vieles dürfte aber standardisierbar sein. Was bei mir grad auf dem Radar steht zur näheren Prüfung bezüglich Aufwand, Nutzen, Kosten, Benutzerfreundlichkeit folgendes - Konsequentes Whitelisting mit Safer, AppLocker etc. - Nutzung von EMET - Whitelisting für die Windows-Firewall - Sandboxie - Getrennte Arbeitsplätze Internet/Local - Deinstallieren von nichtgebrauchten Packages, Deaktivieren von Diensten etc. Ein paar Fragen dazu: Whitelisting für ausführbare Files: Theoretisch sagt MS, dass dazu nur noch AppLocker gebraucht wird. Wenn man aber das Netz ein wenig durchforscht, dann gibt es einige Seiten die behaupten, AppLocker sei weniger sicher als Safer und es wird teilweise auf einen (bereits geschlossenen?) Exploit verwiesen. SAFER sei dagegen nach wie vor besser. Was stimmt nun? EMET: Setzt das jemand standardmässig ein? Erfahrungen? Windows-Firewall: Bin ich in ner Testumgebung schon relativ weit mit vollständig unabhänigen und expliziten Regeln. Sandboxie: Ist das so gut wie es klingt? So wie ich das nach einiger Recherche verstehe habe, ist das eine ziemlich sichere Sache fürs Surfen oder allgemein für Programme die ins Internet müssen. Falls das jemand professionell einsetzt, wie nutzt ihr das? Ist es Anwenderfreundlich --> Favoriten in IE, Speichern von Files, usw.? Getrennte Arbeitsplätze: Macht das jemand? - Reine Internetkisten - Zugriff mit nem möglichst sicheren Protokoll von intern auf die Internetkiste - Transfer-Shares wo Internet und local-Kiste Zugriff haben Wäre sicher nicht so benutzerfreundlich, aber mit VDI einigermassen einfach machbar. ERP und andere Geschichten die Internet brauchen, wären dann etwas die Showstopper oder aber bräuchten auch nen beschränkten Internetzugang z.B. mit Whitelisting für entsprechende IP's, Programme etc. Windows strippen: Also alles unnötige bzw. nichtgebrauchte aus dem Component-Store raushauen. Was nicht da ist, kann nicht missbraucht werden. Dienste deaktivieren, auf Dienstkonten umbiegen etc. Enormer Testaufwand, mitunter mühsam wieder instand zu stellen. Unter Umständen nicht supported von MS etc. Mache ich teilweise bereis in beschränktem Masse. Grüsse und vielen Dank für eure Inputs

Also in einem Betrieb mit 15 Leuten bekommt man eigentlich immer auch ein vernünftiges Budget für einen vernünftigen Server inkl. RAID, SAS Platten, USV und Backup hin. Alles eine Frage der Argumentation. ;) Es muss ja nicht gleich ein Dual CPU System sein. Ein Single-CPU System auf Xeon Basis tut es auch da. Die Relation zu Löhnen für nen Angestellten pro Monat / Jahr ist z.B. immer ein guter Vergleich. Nen vernünftiges Setup kostet ned zwingend mehr als 2-3 Monatslöhne eines besseren Angestellten. Den gerne gebrachten Vergleich mit dem Dienstwagen für den auch Geld aufgebracht wird, mag ich persönlich ned und habe ich noch nie gebracht. Da fühlen sich mit Sicherheit einige KMU-Chefs/Inhaber auf den Schlips getreten. Den Spruch kann man einem Nicht-Inhaber vor den Latz knallen wenn man den wirklich mag. ;)

Boote die VM einfach mit einer gparted Iso-CD und verkleinere die Partition. Dann bist OS-Technisch schonmal auf dem richtigen Weg. Finde ich für Manipulationen an der Partitionstabelle angenehmer / vertrauenserweckender als das OS. Vor allem bei älteren Windows Versionen. Zumal Windows oft Probleme hat, wenn da noch Journal-Files etc. des Dateisystems drauf liegen was es nicht defragmentieren kann vor dem verkleinern. Anschliessend musst evtl. noch die VHDX an sich verkleineren, damit kenne ich mich aber zu wenig aus, da nur VM Ware.

Hi Nils, OK, alles klar. Betreffend Optik: Nein, nicht wirklich wegen der Optik sondern weil das Teil die ganze Festplatte mit Müll füllt und Daten ohne Ende sammelt sowie das Suchmenü mit seinen 100 einträgen beglückt. Da ich es partout nicht deinstalliert bekomme obwohl ich schon mehrere Anläufe genommen habe, wollte ich es eben von vornherein weg haben. Unter W10 gehts ja fast schon standardmässig den Store und die Immersive Shell rauszuschmeissen. Unter 8.1 aber eben ned. Store schon, aber die Immersive ist wohl schwierig. Grüsse und Danke

Hallo zusammen, Ist es lizenztechnisch eigentlich erlaubt ein Windows Industrial anstelle des Pro oder Enterprise als Basis-Image zu verwenden? Eingabe dann logischwerise des Pro/Enterprise Lizenzschlüssels. --> Grund: Ein paar Build-In Features wie das Immersive Control Panel fehlt in den Builds von Industrial. Grüsse und vielen Dank

Also wenn das auch in abgeschotteten Umgebungn auftritt, tippe ich auf Authentifizierungsprobleme mit einem unsäglichen "Korrekturverhalten" das gegen DC läuft oder aber W10 hat zwischendurch das Bedürfnis sich eben doch extern abzugleichen mit höherer Prio als DC wobei DC gar nicht mehr gefragt wird. Ist also extern nicht erreichbar, wird eben die Zeit auf irgendwas das von der Bios-Zeit abhängig ist (evtl. Redmonder Zeitverschiebung, abweichung zu Bios jeweils identisch?) anstelle DC genommen oder sonst auf irgend Zeit gestellt. Irgendwoher muss er diese ja haben. Würde nach wie vor mal das Security Journaling einschalten um herauszufinden ob indem moment eine externe Anfrage läuft oder nicht. Aufgrund des Zeitstempels im Security-Log siehst dann auch gleich wo es Zeitsprünge gab und was auf welchem Port an die Kiste angekomen ist, raus ging bzw. raus wollte. Eventuell reichen die verworfenen Pakete schon aus. Ansonsten eben alles loggen. Würde mal damit beginnen. Einschalten: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:disable /failure:enable Tipp: Schreibe dir immer auf was du mit Auditpol aktivierst/deaktivierst. Damit Du nachher wieder weisst wie Du es abschalten kannst. Sonst wird Dein Log unter Umständen ohne Ende geflutet. ;) Wenn es von extern kommt bzw. nahc extern geht via UDP 123 kannst vor Auditpol auch mit dem normalen Firewall-Journaling prüfen ob da Pakete im Success oder Failure raus oder reingehen. Mit Auditpol hast den Vorteil, dass eben die Prozesse auch mitgeliefert werden, nicht nur Adressen. Diese findest dann wiederum mit der Tasklist in ner Kommandozeile (sofern sie noch laufen - was sie tun wenn es sich um Dienste handelt).

Hallo Leute, Hat jemand eine Ahnung wie das Package heisst, welches PCSettings.exe bzw. die Immersive Shell enthält welche unter den Client-Versionen existiert, nicht aber unter Windows Server. Sollte irgendwo unter "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing\Packages\" zu finden sein. Finde es nur ned. *hmpf* Also dieses Pseudo, unglaublich-mühsam neue Setting-Tool anstelle Systemsteuerung. =) EDIT: Den Paketnamen weiss ich mittlerweile, ist nur nicht am gleichen Ort gespeichert wie die anderen Pakete. Entfernen lässt er sich aber leider trotzdem nicht. Gruss und Danke

Fragt sich, ob er die Zeit von extern oder intern bekommt. Würde mich nicht wundern bei W10, dass irgend nen Quatsch zu MS nach Hause telefoniert weil es ja bei älteren OS kein Problem ist wenn es korrekt konfiguriert wurde. Da alles ins leere führt, würde ich mal die Firewall auf Port UDP 123 (Time Service) auf den internen DC limitieren. In und Out Kommunikation. So kannst Du ausschliessen, dass auf regulärem Wege etwas auf deinen Client von extern kommt. Sowie dann evtl. beides protokollieren lassen. Entweder das extensive logging per Kommandozeile oder eben das schlichte innerhalb der Firewall.

@Knorkator: Die eigentliche Verfügbarkeit hat erstmal nix mit dem Vor-Ort-Service zu tun. Der Vor-Ort-Service kommt zum Zuge, wenn das Kind in den Brunnen gefallen ist und die Verfügbarkeit wiederhergestellt werden mus und garantiert nur die Instandstellung defekter Geräte. Normalerweise ist der Tausch von Hardware der kleinste Teil der Arbeit und die eigentlichen Kosten für einen Controller in Form von Manpower schon mit dem ersten Schaden bezahlt. Meines erachtens kann man sich das nur bei sehr wenigen Szenarien sparen. z.B. bei neueren Filesystemen wie ReFs oder ZFS z.B. in Verbindung mit SSD's mit eigenen Kondis/Stromversorgung die diesen Job übernehmen. Wenn Du auch Bootpartitionen drauf hast, wirst Dein blaues Wunder erleben wenn Platte 1 ausfällt. Die Kiste fährt nämlich nicht hoch, weil die Bootinformationen auf der zweiten Platte fehlen. Diese müssen selber rüberkopiert werden. Ein richtiger Controller mit BBU gewährleistet z.B. dass die Daten nach einem Stromausfall auf die Platten bzw. alle Partner geschrieben werden. Sei es durch eine Cache-Sicherung per Batterie oder FlashChip. Das ist bei allen Pseudo-Controllern nicht der Fall. Im besten Fall sind einfach ein paar letzte Daten weg, im schlechtesten Fall können korrupte Files entstehen und bei gewissen Datenbanken wie dem Exchange wird es mit grosser Wahrscheinlichkeit in einer korrupten Datenbank enden, was man ned zwingend sofort bemerken muss, später aber grosse Auswirkungen haben könnten. Macht dann besonders Spass wenn alte Backups mit aktuellen Daten gefüttert werden müssen. Ein solcher Fall und Du hast eine vielzahl solche controller finanziert, auch wenn auch das nicht 100%ige Sicherheit gibt. Aber eben, ist immer die Frage was einem der Ärger, die Arbeitszeit, Tote Systemzeit und allfälliger Datenverlust wert ist. =) Edit: Ich bin nicht per se gegen diese Raids auf Pseudo-Controller, auf Desktop-Computer mache ich das sogar sehr oft weil ich kein Bock auf neuaufsetzen habe nur weil ne Platte ausfällt. Auf Servern hat das aber nix verloren.

Die Pfade bringt man schon länger hin. Kann die Hälfte des Windows auch damit umgehen (irgendwo um 32'000 oder warens doch 65'000 zeichen ist Schluss). Die andere Hälfte von Windows hat aber Mühe wens mehr als 255 Zeichen sind. Allen voran - was ich gar ned verstehe das es nach so vielen Jahren immer noch so ist - der Explorer. Der Windows Unterbau, also das Filesystem an sich, hat 0 Probleme mit langen Strukturen. Robocopy packts z.B. auch. Manche andere Programme wiederum ned. Ein Relikt aus alten Tagen das leider immer noch bei weitem nicht durchgefixt ist. DFSR und Rechte: Nun, das ist theoretisch möglich, dass hier die fehlenden Berechtigungen mit reinpfuschen. Allerdings dürfte er deswegen ned hängenbleiben sondern müsste eigentlich Fehler produzieren wenn er tatsächlich keinen Zugriff hat. Wenn es gewollt ist, das Admin und System keinen Zugriff haben und es Probleme macht, muss man mit Dienstkonten für die benötigten Dienste arbeiten, die dann auch in den entsprechenden Gruppen Mitglied sind. Solche Konstrukte machen gerne immer wieder mal Probleme, weshalb manche Admins die Berechtigungen für System und oder Admin jeweils über Nacht hart setzen. Wiederum andere machen sich diese Mühe weil es - zumindest theoretisch - etwas weniger einfach ist, an die Daten zu kommen und passen eben alles auf Dienstkonten an. Ich entziehe dem System und den Admins vor allem im VDI-Bereich auch gerne Schreibrechte in Registry oder Filesystem die viele IO's produzieren oder mit Spy/Telemetry-Tätigkeit zusammenhängen. Man glaubt kaum, was da alles an unnötigen IO's zusammen kommen. Gleichzeitig gibts dann eine Dienst-Gruppe welche genau diese Rechte hat. Bei Problemen bzw. deren Lösung kommen Admin und System in die Gruppe rein und Problem wird gesucht.

Gibts das tatsächlich schon? Wäre ja echt heftig... Aber auch so schon extrem schwierig da nen ziemlich lückenloses Konzept auf die Reihe zu kriegen.

Kleiner Tipp: Speichere die VM's auf zwei und nicht nur auf einem Datenträger/RAID-Verbund. Also wie im Normalbetrieb, Backup und Laufdaten. Mir ist mal vor ein paar Jahren genau bei einer solchen Aktion eine Festplatte abgeraucht. War ein Heidenspass ne passende Elektronik auf die schnelle aufzutreiben und die Daten wiederherzustellen. Bezüglich HyperV: Kann ich Dir auch nicht sagen obs dem Schmeckt oder ned. Kannst das ganze ja auch im abgesicherten Modus zurückspielen. Oder mit einer Start-CD, oder einem extra dafür aufgesetzten Windows wenn Du ganz sicher gehen willst. Bleibt halt immer noch die Unsicherheit, dass Windows auf Denträger-ID und nicht Laufwerkbuchstaben zugreift bei Hyper-V. Kann ich schlicht nicht sagen. Edit: Sofern Dom's Variante nicht gehen sollte. Wird aber sicher ewig dauern bis alles durch ist.