monstermania

Ja, aber der Einarbeitungsaufwand/Managementaufwand bei OPSI ist nicht ohne! OPSI wird bei uns im Schulungsbereich eingesetzt (~5000PC) und z.Zt. wird dort nach einer Alternative dazu gesucht. Support lässt sich nämlich auch OPSI sehr gut bezahlen! Verstehe ich irgendwie nicht. Klar, Intune ist mit Sicherheit noch deutlich ausbaufähig, aber die Richtung von MS ist klar. AAD/Intune/Autopilot ist die Zukunft. Da passiert richtig viel und langfristig soll Intune lt. Microsoft auch SCCM ablösen. Wer sich damit beschäftigt mach also mit ziemlicher Sicherheit nichts falsch. Und so wie Du es bisher geschildert hast, erscheint AAD/Intune für den Kunden ideal, eben weil abgesehen von der stabilen Internetanbindung AAD/Intune keine weiteren lokalen Ressourcen benötigt. Und was das mit anderen Kunden zu tun hat erschließt sich mir auch nicht,. Die Kunden die mit MS-Produkten arbeiten müssen eh mittelfristig alle in die Cloud. Und spätestens dann ist Intune eh kein Problem mehr.

Genau für solche Anwendungsfälle ist intune eigentlich die ideale Lösung. Es braucht außer einer vernünftigen Internetleitung eigentlich nix weiter um die Devices verwalten zu können. Software kann per Intune paketiert und bereit gestellt werden (z.B. Citrix-Receiver) und auch für die Windows-Updates lassen sich entsprechende Richtlinien managen. Per Autopilot ist es sogar möglich die PC direkt beim Kunden zu deployen. PC geht direkt vom Hersteller zum Kunden. Kunde schließt den PC ans Netzwerk an und startet den Rechner -> Voila per Autplilot wird der Rechner komplett deployed. OK, ein WOL oder PXE gibt es bei Intune nicht. Es muss immer bereits ein OS auf dem Device installiert sein. Aber warum setzt dieser Kunde überhaupt Fat-Clients ein!? Da wären doch Thin-Clients fast die bessere Lösung.

Ich würde in so einem Fall ganz klar in Richtung Microsoft 365 denken. Zentrale Verwaltung/Management der Clients dann per Intune. Sind auch gerade dabei uns in das Thema AAD/Intune/Autopilot einzuarbeiten (Verwaltung unserer mobilen Notebookuser).

Ich würde gleich auf eine Monitoring-Lösung setzten (z.B. Zabbix). Die Monitoring-Lösung holt sich die Informationen aktiv von den konfigurierten Komponenten und informiert die Administratoren dann wenn ein Vorfall auftritt (z.B. Email/SMS). Vorteil; Man hat eine Lösung/Oberfläche für alle Devices im Unternehmen. Für gleiche Geräte kann man Templates definieren, die dann nur einmal gepflegt werden müssen. Und außerdem kann man je Schweregrad des Vorfalls unterschiedliche Nachrichtentypen definieren. Fällt z.B. am Wochenende die Klimaanlage im Serverraum aus, kann man gleich automatisch eine SMS an die Haustechnik/Notdienst schicken.

Moin, ich tippe mal auf ein Problem mit dem SMB-Protokoll! Seit Windows 10 (1709) ist SMB v1 deaktiviert! Und das ist auch gut so und sollte auch nicht wieder aktiviert werden! SMB v1 ist seit Jahren unsicher. Ich würde daher mal prüfen, ob und welche smb Version der RedHat Server spricht. Sollte mindestens auf smb v2 laufen. Gruß Dirk

Moin, muss der Datenaustausch in Echtzeit erfolgen, oder ist eine getaktete Datenübertragung ausreichend!? Wir haben so etwas mit Auftrags/Lieferdaten seinerzeit per Filezilla Server und WinSCP realisiert. Auf Server 1 lief der Filezilla Server als sFTP-Server. Auf Server 2 wurde per Aufgabenplaner alle 30 Minuten ein WinSCP-Script ausgeführt, dass entsprechend die Daten auf den Filezilla Server geschoben/abgeholt hat. War natürlich auch noch per Firewall so abgesichert, dass ausschließlich die beteiligten Server miteinander kommunizieren konnten! Gruß Dirk

Ja, man darf die Community Edition im Unternehmen nutzen. Ob nun Sicherung auf NAS, Backup-Server und/oder Tape hängt von Deinem Konzept ab! Ich finde es persönlich sinnvoll, wenn Veeam B&R auf einem eigenen Server läuft. Dann hat man bei einem Crash der virtuellen Systeme zumindest sofort Zugriff auf die Backups. Bei entsprechend leistungsfähiger HW kann man einzelne VM sogar direkt aus dem Backup heraus starten.

Hmm, waren Copy-Jobs nicht Bestandteil von Veeam Enterprise!? Sorry, aber bin bei Veeam inzwischen etwas raus. Mein neuer AG setzt Rubrik ein. Gruß Dirk

Moin, bei den inkrementellen Backups baut Veeam das letzte 'Vollbackup' jeden Tag syntetisch neu auf. Es wird also jeden Tag das älteste inkrementelle Backup vor der Löschung in das 'Vollbackup' integriert. Dabei wächst das Vollbackup i.d.R. kontinuierlich in der Größe an. Ein 'Active-Full' erzeugt ein echtes Vollbackup der Daten. Daher dann auch die 2 Vollbackupdateien. Ich hoffe ich hab das verständlich erklärt. Wir haben eigentlich nur 'Forever-Inkremental' mit Veeam genutzt und damit auch nie Probleme gehabt. Ich kenne aber Firmen, die z.B. monatlich extra ein 'Active-Full' erzeugen, um dass dann auf Tape zu sichern (Bankschließfach). Gruß Dirk

Ha, das sind wir ja 100%ig einer Meinung! Die Sticks mit unserem Logo gibt es schon lange. Und nun hatte Jemand die glorreiche Idee, dass man doch Geld sparen kann, wenn man zurückkommende Sticks 'recycelt'. Wäre ja auch besser wegen Umweltschutz und so... Das es aber Zeit braucht jeden Stick einigermaßen sicher zu löschen und außerdem die Gefahr besteht, dass versehentlich mal ein Stick ungelöscht durchrutscht, lässt man dabei vollkommen außer acht!

Geht darum, dass sichergestellt ist, dass auf den USB-Sticks keine Daten der vorherigen Teilnehmer lesbar bzw. wiederherstellbar sind (z.B. Zeugnisse, Lebensläufe). Das wäre ein echter Super-GAU! Als mögl. Angriffsvektor spielt der USB-Stick keine Rolle. Ich bin ja auch der Meinung, dass man wegen den paar Euro auf das 'Recycling' der Sticks verzichten sollte. Ganz davon ab, dass mir die Gefahr, dass das Löschen 'vergessen' wird zu groß wäre!

@NilsK Hmm, ich wollte ja keine Grundsatzdiskussion. Aber ja, da hast Du recht. Faktisch kann man ein Flashmedium nur bis zur jeweiligen Kapazitätsgrenze beschreiben. Da jeder Flashspeicher u.a. 'Reservespeicher' für defekte bzw. stark beanspruchte Flashzellen bereit hält ist ein 100%iges Löschen von Flashspeichermedien nicht möglich (jedenfalls nicht ohne direkt an den Flashspeicherchip zu gehen!). Allerdings ist es natürlich sehr wohl möglich ein Flashspeichermedium bis zur Kapazitätzsgrenze zu beschreiben. Das wird ja von den Tools auch gemacht, dauert aber entsprechend lang. Vor allem, wenn man das Flashmedium nicht nur 1 mal, sondern mehrfach komplett überschreibt... M.E, ist das 'Löschen' der USB-Sticks eh betriebswirtschaftlicher Unsinn! Aber ich bin ja auch nur IT'ler!

Moin, wir suchen eine Software um USB-Sticks sicher zu löschen. Wir geben eine große Anzahl von USB-Sticks an Teilnehmer an Kursen/Schulungen heraus. Eine nicht unerhebliche Anzahl der USB-Sticks kommt wieder zurück und die Kollegen würden die zurückgekommenen USB-Sticks gerne wieder an andere Teilnehmer herausgeben. Es muss natürlich sichergestellt sein, dass die Sticks vor der erneuten Herausgabe zunächst sicher gelöscht werden. Kennt Jemand eine entsprechende Software!? Die Software sollte ohne Admin-Rechte lauffähig sein und sich per SW-Verteilung installieren lassen. Und darf natürlich auch was kosten! Gruß Dirk PS: Bitte keine Diskussionen über die Sinnhaftigkeit. Ich habe mich diesbezüglich schon unbeliebt gemacht, als ich darauf hinwies, dass es betriebswirtschaftlicher Unsinn ist, USB-Sticks sicher löschen zu wollen (Zeitaufwand). Es wäre m.E, sinnvoller die Rückläufer zu sammeln und Shreddern zu lassen und an jeden TN einen neuen Stick auszugeben. PSS: Ich habe bereits einige Tools gesichtet. Die brauchen entweder Admin-Rechte oder können nur vorhandene Daten auf einem USB-Stick sicher löschen. Das ist aber vollkommen unsicher, da der Stick bereits zuvor schnellformatiert/händisch gelöscht worden sein könnte,

Wir nutzen m.W. nach VMWare 6.7. Ist aber nicht meine Baustelle da für die VMWare-Umgebung andere Kollegen zuständig sind. Wir sind aber immer ziemlich aktuell was SW-Updates angeht. Wenn laut 'smsts.log' Deine Tasksequenz komplett (und fehlerfrei!?) durchläuft es aber trotzdem nicht funktioniert stimmt wohl etwas mit Deiner TS nicht! Wir installieren hier auch Windows 10 per TS komplett mit Domain-Join usw. Und falls ein Domain-Join fehlschlägt, bricht die TS natürlich ab weil wir innerhalb der TS prüfen, ob der Domain-Join auch erfolgreich war! Gruß Dirk

Moin, also zunächst mal kann ich Dir versichern, dass das grundsätzlich nichts mit VMWare zu tun hat. Bei uns läuft SCCM auch unter VMWare und das vollkommen ohne Probleme! Was steht denn im 'smsts.log' des Win 10 Clients!? Gruß Dirk

Noch zur Anmerkung. Veeam B&R unterstützt auch den Modus, dass das jeweils letzte inkremintelle Backup in das Fullbackup integriert wird (forever incremental). Dann braucht es nur das letze Backup für das aktuelle Restore.

No, das hat erstmal damit nichts zu tun da der TO ja nicht den Build bzw. die Installationsweise genannt hat. So ist SMB v1 erst ab Windows 10 Build 1709 per default bei der Neuinstallation deaktiviert. Bei einem Windows 10 Upgrade von einem älteren Build auf die 1709 bleibt bzw. blieb auch SMB v1 aktiv.

Sorry, hatte überlesen, dass Ihr DFS schon jetzt einsetzt! Dann sollte es ja damit keine Probleme geben.

@Weingeist Ja, ist schon klar. Nur fängt der TO nicht auf einer 'grünen' Wiese neu an, sondern übernimmt einen Datenbestand von ca. 1,5 TB. Dann sollte man zumindest mal prüfen welche Daten betroffen sein könnten. Soll ja Firmen geben, bei denen (hundert)tausende von Office-Dokumenten mit Dateiverknüpfungen betroffen sind...

Zum Thema DFS geb ich auch noch mal meinen Senf dazu, da wir gerade vor einer ähnlichen Herausforderung stehen (Migrationsplanung zu DFS). Nach der Umstellung des Filesystems auf DFS funktionieren die bestehenden Links innerhalb von Dateien (z.B. Excel) nicht mehr! Das sollte man zumindest einplanen. Kann je nach Unternehmen und Nutzung ganz schön böse sein.

Moin, das Rätsel ist gelöst! Microsoft hat zwischenzeitlich die Dokumentation zum WOL SCCM 'angepasst'. Die neue Methode des WOL ab SCCM 1810 funktioniert ausdrücklich nicht im Rahmen des SW-Deployments! https://docs.microsoft.com/de-de/sccm/core/clients/deploy/configure-wake-on-lan Vielen Dank auch MS und WTF soll so etwas!? Da brauchen die Jahre um endlich ein halbwegs funktionierendes WOL über Subnetzgrenzen hinweg in SCCM zu integrieren und dann ist das wieder nur halber Kram! Gruß Dirk

Moin, danke für die gutgemeinten Hinweise. Das Problem ist nicht das Wake On LAN! Das eigentliche WOL ist eingerichtet und funktioniert ja wie geschrieben wenn wir es manuell per SCCM Konsole anstoßen. Wir haben konkret das Problem, dass im Deployment die Rechner nicht aufgeweckt werden. Das Deployment an sich funktioniert und berücksichtigt auch das Wartungsfenster der Rechner nur werden halt keine Wake Pakte gesendet... Gruß Dirk

Crosspost im Technet

Moin, wir wollen in den nächsten Wochen per SCCM (CB1810) Windows 10 Enterprise (Build 1809) per Inplace-Upgrade auf unsere Clients ausrollen. Die Tasksequenz für das Inplace-Upgrade funktioniert problemlos. Wir möchten das Upgrade pro Standort nachts ausrollen und die Clients entsprechend per Wake ON LAN (WOL) aufwecken. WOL per SCCM funktioniert! Es lassen sich sowohl einzelne Clients als auch Device-Collections über die SCCM Console per WOL aufwecken (siehe Bild). Leider klappt es aber nicht mit dem WOL, wenn ich die Inplace-Upgrade Task-Sequenz auf eine Testcollection verteile (siehe Bild). Natürlich sind die Zeiten so gesetzt, dass das Ausrollen erst Nachts startet (23:30 Uhr). Beim Test waren 3 PC in der Collection. 2 waren ausgeschaltet und einer war aktiv. Bei dem aktiven PC wurde auch pünktlich um 23.30 mit dem Inplace-Upgrade begonnen. Die beiden ausgeschalteten PC wurden aber eben nicht per WOL aufgeweckt! Unter in der SCCM-Console unter Monitoring\Overview\Client Operations sind keine Einträge für ein versuchtes WOL der beiden ausgeschalteten Clients zu finden. Manuell über die SCCM Console lassen sich die beiden Clients problemlos per WOL starten. Hat Jemand eine Idee, warum das mit dem WOL im Deployment der Tasksequenz nicht funktioniert!? Gruß Dirk

Bei den 'Home & Business' Offices > V2010 hat MS die Konfigurationsmöglichkeiten per GPO herausgenommen. Nur als Hinweis, auch wenn es wahrscheinlich für Dich eh keine Rolle spielt.