Weingeist

Sorry für die späte Antwort. Bin etwas eingespannt... Wie bereits gesagt wurde, in den seltensten Fällen ist das tatsächlich wirklich notwendig. Wenn die Reaktion nur ein paar Telefonate von genervten Leuten entstehen ist das wurscht und nur unangenehm. Wenn es die Firma richtig viel Geld kostet, dann muss man auch dementsprechend richtig viel Geld investieren. In der Regel wird es sehr schnell unnötig wenn man Ihnen aufzeigt was das kostet. Die einzigen bezahlbaren und sinnvollen Lösungen die ich kenne und auf eine sehr hohe Verfügbarkeit kommen ohne eine gigantische Materialschlacht zu starten, sind entweder Stratus-Server als Unterbau oder eben Xenserver mit der Marathon-Erweiterung. Bei Marathon wird wirklich alles gespiegelt, inkl. Storage. Dabei ist es egal wo der Storage liegt, ob lokal oder auf jeweils getrennten SAN. Die VM's laufen dann im Lockstep auf zwei Server, schmiert einer ab, dann läuft sie auf dem anderen ohne Unterbruch weiter. Kackt der Storage oder Netzwerk weg auf welchem die VM liegt, gibts kein Host-Wechsel in der Ausführung, sondern der Traffic wird via dem zweiten Host geleitet. Die Komplexität ist bei beiden überschaubar aber dennoch deutlich höher als einfach ein Standardserver. Die Materialschlacht beschränkt sich auf zwei bis drei Server. Aber auch da bewegen wir uns in einem deutlich höheren Bereich als Du hier ausgeben möchtest. Dann gibt es noch Replikationslösungen mit manueller oder automatischer Umschaltung welche auch sehr gut funktionieren. Sehr gute Erfahrungen habe ich da in der Vergangenheit z.B. mit DoubleTake gemacht. Heute löse ich bei wenig Budget aber möglichst hoher Verfügbarkeit meist so wie ichs oben schon beschrieben habe. Immer das beste an gerade noch bezahlbarer Hardware. Das heisst - jeweils höchste Xeon Serie, 1 CPU Hosts mit höchstmöglicher Taktrate (reicht normal völlig aus und ist bezahlbar) - SSD's welche den Namen verdienen - Magnetplatten die auch in richtigen SAN's verwendet werden - zwei völlig überdimensionierte USV's die die Zeit mehrere Stunden überbrücken können (Batterien leben sehr viel länger, in unseren Breitengraden meist nicht nötig tatsächlich herunterzufahren usw.) - verschiede Backupziele, wobei eines immer lokal ist und darauf auch sehr fleissig gesichert wird. Da sind dann sehr schnelle Wiederherstellzeiten garantiert. - Drahtlos-Netzwerkwartungsmöglichkeit via Mobil-Telefon usw. - NAS als wirkliche Disaster-Lösung in nem anderen Brandabschnitt - Backup/Verfügbarkeit ganz klassisch mit den verschiedenen Onboard-Lösungen wie Schattenkopien, DFS, Windows-Backup, Robocopy usw. Klar dauert bei nem Brand die Wiederherstellung so lange wie sie auch bei nem Einsteiger-Shared Storage dauern würde. Aber sind wir ehrlich, in nem Kleinbetrieb wos gebrannt hat, ist es sc***egal wie viele Stunden gebraucht werden um die EDV wieder hochzubringen. Man hat ganz andere Sorgen. Wichtig ist nur, dass die Daten noch da sind. Auch das ist alles andere als billig, aber zumindest preiswert für das was man erhält, die Komplexität ist tief gehalten und die laufenden Kosten überschaubar. Wenn etwas mehr Budget vorhanden ist, kann man natürlich mit ner gscheiten Backup-Lösung wie Veaam arbeiten wo man die Sicherung gleich produktiv hochfahren kann. Wird aber wieder komplexer und auch dessen Umgebung soll gscheit gesichert sein. Bei kleinen Umgebungen ist der viele Zusatz-Traffic in der Regel trotzdem vernachlässigbar. Aber eben, sowas wird als gebastelt abgetan, aber ich habe damit sehr gute Erfahrungen gemacht. Die Hardware ist für solche Umgebungen total überdimensioiert

Habe mir das Video jetzt nicht angeschaut. Macht er das so, dass jeder Hyper-V-Host zugleich Storage-Cluster-Mitglied ist oder gar mit Storage-VM's auf jedem Host? Ob solche Dinge allgemein sinnvoll sind, muss jeder für sich selbst beantworten. Die Komplexität steigt aber deutlich an, auch wenn das Klicki-Klicki für das einrichten einfach ist und anderes vermuten lässt. Dessen muss man sich bewusst sein. Ob es supported ist, weiss ich auch nicht. Ich bin mir zudem nicht ganz sicher ob Du das Prinzip des Storage-Cluster verstehst, welches man mit Windows bereitstellen kann. Jeder Host braucht Zugriff auf den gleichen Plattensatz. Das heisst Du bräuchtest nen JPOD sowie Shared RAID-Controller (gibts aktuell nur für 2 Hosts von LSI, für ca. 5k Euro). Ansonsten landest Du wieder bei Software RAID und da ist die Performance erfahrungsgemäss mit Magnetplatten richtig schlecht. Von der Sicherheit ganz zu schweigen. Imho nur mit SSD's oder Festplatten aus nem RAID-Verbund brauchbar. SSD's bräuchtest wiederum nen SAS-Interface oder nen SAS-Interposer. Das JPOD wäre übrigens wieder nen SPOF. Einen einzigen Storage-Server zu verwenden würde gehen, sehe ich aber keinen wirklichen Vorteil. Liegt alles auf den Hosts kann ich zwar nicht identisch gut hin und herschieben (wozu eigentlich? Ausser hohen Lizenzkosten und Risiko beim verschieben gewinne ich wenig) und muss mit einer kleinen Downtime von ein paar minuten leben, dafür ist die Hälfte noch online. Bei einem Windows-Server für Storage muss bei dessen Patchung theoretisch alles heruntergefahren werden, das heisst du brauchst wieder irgendwo nen DC. Ich bin ja auch in dem Gebiet tätig, kleine Firmen, wenig Geld. Aber richtiges HA das den Namen verdient und auch etwas nützt bzw. in erster Linie nicht schadet, ist nicht mit einem schmalen Geldbeutel vereinbar. Egal was einem die neuen Windows-Features suggerieren möchten. Gleichzeitig ist es wie gesagt im Normalfall auch gar nicht nötig. Falls doch, gibts mit Xen + Marathon ne nette Lösung für Kleinumgebungen welche das Problem eigentlich ziemlich elegant erschlägt. Das ist dann richtiges HA bis hin zu richtigem Multi-CPU- Lockstep. Community aber sehr klein und nach der faktischen Einstellung des Xen-Servers auch etwas schwammig für die Zukunft. Oder gleich ein Stratus (wiederum nicht günstig). ABER: Man kann aber mit Bordmitteln nette Dinge für ein super schnelles Recovery machen. Da holt man viel mehr raus. Da kann man bei den Recovery-Zeiten auf Einstiegs-SAN mit z.B. iSCSI nur träumen von. Auf meiner habe ich mit 1Gbit iSCSI max. ca. 100 MB/s bei 12 Platten (1Gbit Lan-Karte beschränkt). Das geht Lokal viel schneller. Was ich also damit meine: Viel lieber Geld in die Festplatten und RAID-Controller der beiden Hosts stecken anstatt in eine SAN wenn man sich den Rest nicht leisten kann. Das heisst auf alle Fälle SAS und mindestens 10k Spindeln und davon wiederum sicher nicht nur 2 Discs. Je schneller das Disc-System, desto schneller kannst nen Recovery drauf fahren. Mit zwei Servern kannst in kleinen Umgebungen fast immer ne Menge System bereitstellen. Es hakt fast immer an der Diskleistung und nicht an der CPU-Power. Wie gesagt ich sichere jeweils auf den gleichen und auf nen anderen Host. File-Server synce ich generell und lasse nur den Zugriff auf einen Knoten zu (mit DFS). Im Fehlerfall kann man den einfach umswitchen Sicherung auf nen Netzwerk-Share oder eine vDisk welches auf einem per iSCSI oder NFS bereitgestellten Volume des jeweils anderen Host liegt (für Nutzung inkrementell notwendig, dass Windows die Disks als Block-Storage hat). Ansonsten: Wenn du Supermicro-Systeme + Enterprise Discs + zertifizierte Hardware-Controller von z.B. LSI nimmst, dann ist das weder eine Bastellösung noch schlechtere Hardware als die der grossen wie HP, Dell, Fujitsu etc. Supermicro ist meines wissens immernoch die Nummer 4 im Server-Bereich und bei grossen High-Performance Cluster-Installation ziemlich vorne mit dabei. Wurde jetzt ein kleiner Bandwurm, aber das meiste dürfte klar sein.

Ich versuchs auch mal... Kann mich nur den Vorrednern anschliessen, so macht das keinen Sinn. Wozu willst du zwingend eine separate Maschine für den Storage? Alles was du gewinnen wirst, ist eine schlechtere Performance als wenn Du nen richtigen RAID-Controller in deine beiden Server baust und eine instabile Umgebung. Wenn das Budget nicht vorhanden ist für nen anständiges Shared Storage, eine Lösung für deren Ausfall UND eine potente Datensicherungslösung, dann sollte man den Kram einfach komplett bleiben lassen und mehr oder weniger klassisch aufbauen, das funktioniert nämlich auch. Auch wenn man viele tolle Features vor den Latz geknallt bekommt. Spart viele Nerven. Gründe: - Budget ist dann meist auch nicht für die notwendigen Lizenzen (Stichwort Lizenzmobilität) vorhanden - Budget und Wissen für den Unterhalt ist meist ebensowenig vorhanden - Aufwand für Dokumentation von eher komplexen Umgebungen muss auch bezahlt werden, verstehen muss es auch einer Deshalb: Entweder man machts richtig oder man baut klassisch. Es gibt kein günstiges HA. Man kann es drehen und wenden wie man will. Glaube mir, ich habe das Rückwärts, Vorwärts und wieder zurück durchgespielt. Meist erreicht man nur, dass die Umgebung unnötig komplex wird, obwohl man z.B. gut damit leben kann, wenn ein Host 5min down ist für einen Reboot nach nem Update. Daher investiere das Gelb lieber in sauber getrennte Server-Dienste, potentes Local-Storage sowie nen schnelles Backupsystem UND richtige Serverhardware. Wenn Dir die Dinger zu teuer sind, nimm halt Supermicro. Ist immerhin der viertgrösste Server-Hersteller und da kannst die Komponenten wie Festplatte etc. selber bestimmen. Das Angebot an Varianten ist riesig. Hat für jeden was dabei. Würde in deinem Fall heissen: - Hyper-V Server (2 Stück) für die VM's, in beiden Local Storage, DC einen virtuell - Gute und schnelle Backup- / Recoverylösung - 'Normale' Sicherungen z.B. jeweils auf den anderen Host. --> Umgebung sehr schnell wieder oben - z.B. nen kleines NAS für Desaster-Recovery --> Sicherungen Bei Updates muss der Host halt runter. Wenn Du auf beiden Server nen DC hast (sowieso zu empfehlen), dann kannst bequem einen nach dem anderen Updaten machen. Ich erstelle bei ner Handvoll VM's jeweils eine virtuelle Discs pro VM auf dem zweiten Host und binde diese in der VM des anderen Hosts als Backupplatte ein. Dann kann ich mit der internen Windows-Sicherung arbeiten und die virtuelle Platte als direkt angeschlossen nutzen --> Inkrementelle Sicherung. Zusätzlich sichere

Hatte vor ein paar Jahren auch mal so einen halbintelligenten tagesaktuellen-Virus. Der kam als simples Textfile, zusammen mit nem als Textfile getarnten Script (dopelendung). Bekam fast täglich Mails des gleichen Viruse, jedes mal mit anderem Textfile. Das textfile wurde auf irgend eine Weise mit Bordmitteln direkt via dem wenigen KB grossen Einzeiler kompiliert bzw. direkt als Objekt ins System geladen. Hat sich dann anschliessend gleich selber im System eingenistet. Ser perfide wie ich finde. Vermute, dass das ganze schon fast fertiger x86 Maschinencode war, der mit ein paar Apis direkt ins Ram geladen wurde. Sah zumindest so aus. Da hilft alles Virenscannen nichts, weil die Signatur des Textfiles immer ändert. Man musste bei dieser Variante aber dennoch auf ein zweites als Textfile getarntes, unscheinbares, simples einzeiler Script klicken. Weil mir das Ding strange vorkam, habe ich das Spasseshalber in ner abgeschotteten virtuellen Maschine ohne jegliche Netzwerkkonnektivität ausprobiert. Der Virenscanner hatte ned mal Zeit zum reagieren und wurde einfach komplett deaktiviert, ohn das man wirklich etwas davon gemerkt hätte. Obwohl das nur Admins hätten tun dürfen. Anschliessend versuchte es mit dem dem Internet zu plaudern. Sichtbar etwas gemacht hatte das Ding nicht. Vermutlich diente es also für ein Botnetz. Bezüglich der aktuellen Fälle: Finde ich vor allem in kleinen Firmen und bei privaten Problematisch. Einigermassen sicherer Schutz wäre die Produktivsystem vom Netz zu nehmen und ähnlich wie das Prinzip der Graphic-Firewall auf den Kisten zu Arbeiten. Dazu eine Form von Datei-veröffentlichung sowie Einpflegung um diese per Internet zu verschicken.

@buggix: Dann ist der Zweck der Virtualisierung aber wieder entfremdet. Virtuell darf man meines wissens sogar eine zusätzliche VM betreiben. Wie bereits gesagt, es gibt aktuell nur etwas mögliches wenn man keine Mietstruktur möchte. Das ist Windows Server mit RDS-Lizenz. Ansonsten ist 1 Maschine 1 Desktop oder Miete.

Ebenfalls ein paar Zyxel im Einsatz, kannst sogar nen Handy als Bakcup anschliessen. ;) Der Support ist wirklich erstklassig. Auch bei Uralt-Geräten schon Lüfter und dergleichen für Lau bekommen. Auch meist kompetente Leute am Apparat.

Es gibt meiner Meinung nach langfristig nur eine sinnvolle Lösung wenn man auf die ganze Sklaverei verzichten möchte: Windows Server als Client, zusammen mit Remote-Desktop Lizenzen. Anders kannst Du einen Arbeitsplatz nicht virtualisieren ohne SA zu bezahlen. Ich habe Nix gegen SA und kaufe die auch immer mit solange ich überzeugt vom Produkt bin. Aber ich möchte die "Herrschaft" über die Umgebung haben. Die hat man nicht, weil es eben keine Ausstiegsklausel gibt. Sprich läuft die SA, VDA etc. ab und verlängerst nicht weiter, ist Deine Umgebung illegal. Moderner Sklave quasi, weil eine Migration ist oft schwierig und teilweise undenkbar. Im Serverbereich hatten Sie noch keine Eier das durchzuziehen. Solange das so ist, Server OEM kaufen + RDP Lizenz. SA wie man mag --> Würde ich auf alle Fälle für RDS, weil dann kann man wenigstens mit der gerade dann aktuellen Serverversion (die sicher länger supported ist als Desktop) sowie den RDS-Lizenzen noch ca. 10-12 Jahre weiter arbeiten inkl. aller Updates. Die SA bekommt dann ab diesem Zeitpunkt MS weder von mir noch meinen Kunden. Office habe ich gerade aufgehört jeweils SA zu bezahlen und kaufe im Moment nur noch Open License und verwende Office 2010 weil mich die ganze Spyware Integration der Apps, Facebook usw. im Business-Bereich tierisch nervt. Ebenso wie Installer die automatisch allen Schrott installieren anstatt das, was man möchte. Kleine Rebellion, kleine Wirkung, aber vielleicht denken ja noch andere so und machens ähnlich. Hoffnung stirbt zuletzt. Ich hoffe MS fällt gnadenos auf die Schnautze und Chrome hält vermehrt Marktanteile damit sie wieder zu Ihren Wurzeln zurückkrebsen müssen. Faire Lizenzierung über jede Art von Lizenz. Ausstieg wann immer man Lust dazu hat. Momentan leider keine Chance, Trend absolut in Richtung Miet-Only. Zu angeblich günstigeren Tarifen, was ein schmarrn. Jeder der das behauptet kann nicht rechnen. ;)

Hi Daniel, Vielen Dank für den Input und Hintergrundinfos. Hat also schon seine Daseinsberechtigung. Intern, auf Servers und in VM's scheint er aber zumindest nicht notwendig zu sein. Dann kann ich ihn auch gut deaktivieren. Etwas weniger was 'einfach' so automatisch geschieht und man nachher nicht weiss warum etwas vielleicht nimmer geht. Logging: Naja, Logging deaktiviere ich nie gerne. Da sucht man sich am Ende nen Ast obwohl die Kiste eigentlich Fehler spucken würde. Dann lieber gleich ganz deaktivieren. Zumindest auf Server und Desktop-VM's. Grüsse und schönes Weekend

Hi, vielen Dank für die Rückmeldung! Dann macht der tatsächlich nur das und wird für manuelle Installation/Erkennung nicht gebraucht? Dann werde ich den auch mal abschiessen. ;)

Also ich persönlich würde das Netz ein Week-End lahm legen und folgendermassen vorgehen: Variante 1: - Blocklevel Copy der Volumes ziehen und Image auf zwei verschiedenen Backupdatenträger ablegen - Mit orginaler Hardware hochfahren und versuchen den Ursprungszustand herzustellen, zu Fuss. Evtl. reicht es alles an Hardware treiber rauszuwerfen was du finden kannst (Abgesicherter Modus) - Anschliessend Migration nochmals versuchen Variante 2: Du erstellst die Domäne neu - Mittels ADMT auf einem Mittelcomputer der in der alten Domäne liegt, einem Benutzerkonto (Vorzugsweise Build-In Domänen-Administrator) mit gleichem Kennwort in beiden Domänen kannst die Benutzer, Gruppen und evtl auch gleich die Computerkonten mit der alten SID in die neue Domäne migrieren. Der Mittelcomputer mit zwei Netzwerkkarten und je einem separaten IP-Bereich. Ich persönlich würde das ohne Exchange tun, so hast keinerlei Altlasten. - Du exportierst wie bereits genannt wurde alle Postfächer der alten Domäne in PST Dateien - Du importierst die Postfächer wieder pro Benutzer Ansonsten: Das Kind ist ja eh schon in den Brunnen gefallen, aber SBS-Migrationen ohne downtime am Produktivsystem ist so ziemlich das letzte was zu empfehlen ist. Solange der SBS läuft ist er sehr unproblematisch, fängt man an rumzudoktern, dann kann das schnell in die Hose gehen. Das gilt auch für die Migration.

Hi, doch, habe 2012R2 zu Verfügung. Hast Du grad einen entsprechenden Befehl zur Hand? So auf die schnelle habe ich leider nichts gefunden.

Hallo Zusammen, Ich arbeite ja gerne und mittlerweile sehr viel mit den neuen Storagepools. Insbesondere für System-Platten von VM's für VDI. Quasi verhältnissmässig günstiger High-Speed Speicher. Ein Storagepool erweitern ist ja an sich keine grosse Hexerei. Auch die Anzahl Discs pro Datensetk/Stripe kann man neu setzen. Allerdings gilt diese Änderung ja nur für neue Daten. Kann mir jemand sagen wie man bestehende Daten auf einem bestehenden, aber erweiterten Pool auf alle Discs, also auch die neuen verteilt? Insbesonder den Dedup-Store? Irgendwie habe ich dazu keine Infos gefunden. Bevor ich mir also die Mühe mache die Daten auf ein anderes Volume zu verschieben, den Dedup-Store zu cleanen und die Daten wieder einzuspielen, würde es mich interessieren ob da jemand eventuell eine bessere Idee hat. Falls sich jemand die Frage stellt ob es das bringt: Habe das bereits getestet. Bei gescheiten SSD's ist die Skalierung der Performance quasi linear zu den Anzahl Discs pro Datenset. Sowohl Copy als auch reiner 4k Random Write/Read. Vielen Dank für Tipps

SSL: Ja stimmt, das ist sehr mühsam! Tracking: Funktionieren die genauso zuverlässig wie in Firefox?

Chrome bzw. alles was irgendiwe Google oder Apple drauf steht käme mir persönlich schon aufgrund des Trackings nicht ins Haus. Da traue ich MS zumindest im Moment noch deutlich mehr über den Weg. Auch wenn MS auch auf dem besten Weg ist, Ihre eigenen Interessen deutlich über jene des Kunden zu stellen. Noch ist es glücklicherweie nicht ganz soweit. Firefox ist nicht unbedingt sparsam in Sachen Ressourcen. Vor allem bezüglich RAM. Mir gefällt bei Firefox aber das Add-In AdBlockPlus und das flexiblere Cookie-Handling. Update ist halt mühsamer. Auf nem Terminal-Server aber eigentlich auch eher verschmerzbar als auf vielen Einzelsystemen. Dennoch: IE ist halt absolut problemlos mit den Einstellungen, läuft flüssig, Updates kommen automatisch via MS. Deshalb meist auch IE. Bei Firefox wird es halt aufwendiger.

Alles klar, vielen Dank... :)

Hallo Leute, Jemand eine Ahnung was mit dem Ende des Supports von Windows XP mit den WSUS-Updates geschieht? Wird das ebenfalls abgestellt? Muss man also selber vorsorgen um alle Updates zu haben? Dankeschön

Kleiner Anhang: RunAsSystem geht auch mit nem MS-Tool, dann hat man sicher keine Dubiose Quelle. http://technet.microsoft.com/en-us/sysinternals/bb897553.aspx

@Norbert: Hatte damit bis jetzt nur manuell 'rumgespielt'. Manipulation normal mit Regedit, teilweise mit Owner-Ship übernahme und dann Rechte-Entzug. Man braucht halt die SID des Users wenn man es nicht auf den Current anwendet. Mit der Massenmanpulation von Registry-ACL's habe ich mich aber auch noch nicht wirklich auseinander gesetzt. Schneller gehts mit einschlägigen Tools wie RegOwnIt. Wenn alles nix hilft weil Rechte fehlen, braucht man Systemrechte. Diese bekommt man entweder indem man ein Script im Aufgabenplaner als System ausführt oder indem man sich ein Tool besorgt, das RunAsSystem und nicht nur runasadmin erlaubt. Mit Systemrechten bekommt man eigentlich alles irgendwie geändert. ;) So kriegt man auch in 8.1 den Windows-Store und AppX komplett deaktiviert und wird alle unerwünschten Apps los und muss sich um etwas weniger kümmern. Heute geht das noch, in ein paar Jahren vermutlich nimmer. Eigentlich genau dann, wenn viele Programmierer Apps anstatt Windows-Programm schreiben und man keine Wahl mehr hat. ;) Aber eben, man muss da schon wirklich wissen was man tut und in Testumgebungen ausprobieren und sauber dokumentieren. Sonst beisst sich ein anderer dann die Zähne aus, dies rückgängig zu machen. Rein theoretisch dürfte (angeblich) die Registry-Manipulation auch mit Powershell gehen, wenn auch ziemlich kompliziert wie ich finde. Anbei ne kleine Lektüre: http://technet.microsoft.com/en-us/magazine/2008.02.powershell.aspx EDIT: Zu guter letzt sollte das auch noch irgendwie sicher sein. Ich persönlich würde versuchen möglichst alles in ein Script zu packen, auf welches nur Admins zugriff haben. Dieses Script dann mit System-Rechten z.B. mit dem Taskplaner ausführen lassen. Dazu mit Trigger die man für sinnvoll findet.

Wow, das ist mal wieder ein grandioser technischer Fortschritt. Ein weiterer Punkt auf der grossen Liste der Verbesserungen von MS für die Kundschaft. Warum wird überhaupt noch OEM angeboten. Mal sehen wie lange es noch Office Open zum kaufen gibt. Der Einstiegsbutton ist ja bereits Klitzeklein. Zu deinem Problem: Möglicherweise kann Du die Registrywerte mit Sicherheitsbeschränkungen versehen, dann sollten Sie eigentlich nicht mehr geändert werden können.

Du machst doch sowieso ein Backup vor einem solchen Schritt oder? Viel mehr wird dir auch nicht übrigbleiben. Inplace ist immer mit nem Restrisiko verbunden gegenüber einer Neuinstallation. Ich mache generell neu und nicht wenige tun das auch. Gibt aber auch solche die gerne Inplaces fahren. Jeder wie er mag.

Jop, Danke. Genehmigungen scheinen wirklich per Powershell zu gehen. Habe mittlerweile herausgefunden, dass es in der DB bereit eine Sicht gibt welche einem die ganzen Daten ausliest. So hat man nen Anhaltspunkt mit welchen Tabellen man arbeiten muss. Selber eine Liste pflegen habe ich nicht so Lust. Schafft man eh fast nicht mit allen Ablehnungen usw. Denke da eher an sowas wie von meinem WSUS alles auslesen und dann automatisch abarbeiten. Muss dafür natürlich alle definierten Spezial-Gruppen der Kunden auch bei mir vorhalten (Spezielle Maschinensteuerung welche nicht alle Updates erhalten dürfen z.B.). Am Ende sollt es dann quasi so ablaufen: Schau ob das Update in der Liste/Tabelle den gleichen Status hat wie in der DB, falls nein, ändere es. Bissel was gefunden habe ich dazu schon, zumindest zum setzen aufgrund einer CSV-Datei. Mal sehen was da sonst noch auftreiben kann. Was ich mich noch gefragt habe: Die SQL-DB scheint so aufgebaut zu sein, dass man mehrer Übergeordnete Gruppen wie die Gruppe "Alle Computer" haben kann, gibt es dafür eine offizielle Prozedur, kann man die direkt in der DB eintragen oder überwirft sich da die GUI? Bis jetzt konnte ich via GUI nur Untergruppen von "Alle Computer" erstellen. Hätte ich mir schon öfter gewünscht. Gerade für Spezial-Clients wie Industriesteuerungen wo ich gerne einen komplett separaten Stamm hätte, damit für gewöhnlich das "Alle Computer" trotzdem ausgewählt werden kann und nicht aus versehen nicht plötzlich doch was falsches genehmigt wird. Wäre sinnvoller als diese Clients komplett von WSUS und Windows-Updates abzuschotten, damit keiner dumme Sachen machen kann. Ist der interne WSUS zuständig und die Gruppe komplett separat, könnte man das gut steuern und auch ab und wann wieder gezielt Updates einspielen oder ablehnen.

Danke für die Antwort... Jo das ist schon so. Aber alle Kundennetze mit meinem zu verbinden finde ich nach reiflicher Überlegung aber eigentlich auch nicht so prickelnd. Bei einer solchen Verbindung werden aber im Haupt-WSUS immer alle Computer-Konten abgelegt oder? Und die Updates werden doch dann auch von diesem Master-WSUS geholt und nicht von Microsoft. Oder habe ich das falsch verstanden? Ob das lizenztechnisch geht weiss ich auch nicht so wirklich. Aber ich denke ich werde versuchen automatisch ein Script zusammenzustellen aufgrund der Einträge für die jeweiligen Updates in der SQL-Datenbank. Dürfte sicherer und einfacher zu realisieren sein. Muss ich nur herausfinden in welchen Tabellen die ganzen Angaben gespeichert sind. Hat evtl. schon jemand sowas gemacht und hat ne entsprechend SQL-Abfrage am Start?

Frag den Hersteller was für Bibliotheken er von Excel benötigt. Mit etwas Glück sind diese auch in der Runtime enthalten, dann kannst Dir das unter Umständen sparen. Ansonsten: Wenn Dir das alles zuviel ist, dann stelle eine Arbeitsstation hin wo jeder der in Frage kommt, seine Files erstellen kann. Und nur genau von dieser.

Hallo Leute, Gibt es eine Möglichkeit einen WSUS-Server quasi als Master für beliebige WSUS-Server in verschiedenen Domänen zu definieren? Er soll sich dabei nur die Genehmigungen von diesem Master-WSUS holen, nicht jedoch die Daten. Diese sollen nach wie vor via MS kommen. Geht das? Habe leider nix im Netz gefunden. Die entsprechenden Computergruppen müsste der Master-Server auch alle haben. Eine andere Idee wäre ein Script mit jeweils allen genehmigten/abgelehnten Updates mit Hilfe der SQL-Datenbank zu erstellen bzw. erstellen zu lassen und dann jeweils bei den Kunden durchlaufen zu lassen. Entweder direkt als SQL-Script oder über den Powershell-Umweg. Ziel der Übung wäre es, bei Kundensystemen nicht immer alles genehmigen zu müssen. Ansonsten soll aber nix übertragen werden, keine Dateien, keine Computerkonten etc. Jemand ne Idee oder schon gemacht? Vielen Dank

Ahja, was auf 2012 nicht laufen wird, ist soweit ich mich erinner deren Fernwartungstool. Musst Ihnen Teamviewer oder so schmackhaft machen. ;)