Doso

Das Rollup habe ich bei uns nie wirklich zum laufen bekommen. Alternativ wäre halt ein 3rd Party Pack wie das von Winfuture.de

Was ist dem auf dem 2016 Server in der Netzwerkconfig als DNS Server eingetragen? Es ist immer DNS! Sollte es nicht DNS sein, ist es wahrscheinlich die Firewall ;-)

Wir haben einfach ältere Server genommen die wir durch neue Hardware ausgetauscht haben. Dort dann Hyper-V drauf und fertig ist die Testumgebung. Der Großteil der Server läuft einfach im normalen Servernetz mit. Wobei wir halt sowieso recht restriktive Firewalls haben und erstmal außer der IT niemand auf die Systeme kommt. Sollte man eine komplett abgeschirmte Umgebung brauchen kann man das ja mit privaten Hyper-V Switches bauen, ggf. spielt eine VM halt Router zwischen den Netzen (bei mir eine VM mit Pfsense). Dahinter dann halt dein AD-DC ggf. mit DHCP und Exchange etc. Im einfachsten Fall hat der Admin geht das auch mit etwas leistungsfähigeren Arbeitsplatzrechner bzw. Laptop mit mehr RAM. Windows 8/10 haben ja Hyper-V eingebaut, ansonsten VMWare Workstation oder VMWare Player (kostenlos).

Wir haben das bei Server 2012R2 und Server 2016 gemacht, es funktioniert.

Da müssen die Nutzer anders arbeiten, mit Shared Mailbox geht das nicht. Zum Beispiel mit Unterordner oder durch die Verwendung von Kategorien. Alternativ ein Ticket System verwenden.

Das Problem stellt sich bei uns nicht, Fujitsu hat noch keine Updates herausgegeben. Weiß nicht ob ich das gut oder schlecht finde :)

DFS-R ist nicht was du willst. Ansonsten Flaschenhals Netzwerk. Dickere Leitung, 10 GBe verwenden oder zumindest NIC Teaming ggf. mit LACP. Hatte ich schon erwähnt das DFS-R nicht das ist was du willst?

https://support.microsoft.com/en-us/help/4011626/descriptionofthesecurityupdateforoutlook2016january9-2018 Trifft das "Known issues" auf dich evtl. zu?

Letztlich Geschmacksfrage ob man Server per DHCP oder statisch konfiguriert. Hat beides seine Vor und Nachteile. Zumindest die Domain Controller, DHCP Server selbst und Firewall/Router sollte aber statisch konfiguriert sein. Wir haben bei uns vor einer Weile die Netze neu gemacht (VLANs, IP-Readressierung) und dort Bereiche vergeben wo wir Reservierungen hinpacken. Also z.B. ein /23 und die ersten 100 Adressen des Netzwerkes sind für Reservierungen. Macht das Troubleshooting halt einfacher da man ggf. weiß "ah, niedrige IP - muss irgendwo reserviert sein".

Auf GPP umstellen. Mit Skripten werdet ihr ab Windows 8 nicht mehr glücklich.

AFAIR muss es ein Ordner höher sein als man denkt. Ich glaube es ist WindowsImageBackup. Wenn man den falschen Ordner freigibt sieht man dann bei der Wiederherstellung schlicht nichts.

Soweit ich das verstanden habe, und das ist alles etwas komplex: Die Windows und Betriebssystemupdates, ggf. mit Registry Keys für die Server, gehen die Meltdown Lücke an. Sie schaffen zusätzlich ggf. Voraussetzungen für Spectre Fixes. Die BIOS/UEFI/Firmware Updates sorgen dafür das eine der Spectre Varianten schwieriger auszunutzen sind. Das ist aber auch kein 100%iger Schutz, für eine der Spectre Lücken gibt es wohl aktuell gar keinen Schutz. Wie man liest hat Intel auch einige der CPU Microcode Updates zurückgezogen da es zu Systemabstürzen kommt. Darauf hin haben auch einige Hersteller ihre BIOS Updates zurückgezogen. Andere Hersteller wie Fujitsu haben noch gar nicht damit angefangen Updates zu veröffentlichen. Bei uns hat der erste Versuch die Windows Updates per SCCM auf unsere Windows Server zu verteilen schon mal nicht geklappt. Im SCCM hat kaum ein System die Patches als notwendig erkannt. Ich hoffe mal das klappt jetzt am nächsten Wochenende. Einige Testgeräte unter Windows 10 haben dafür den Patch mehrfach installiert o_O Totales Chaos irgendwie :(

Wieso habt ihr drei verschiedene Exchange Server im Einsatz? Die Ko-Existenz ist eigentlich nur für die Migration gedacht, nicht als Dauerlösung.

Outlook nutzt meines Wissens gar nicht Active-Sync. Outlook 2016 und Exchange 2010 müssten RPC/HTTP (aka Outlook Anywhere) sprechen. Aber auch hier glaube ich kann man den Port nicht umbiegen.

Kamen offiziell am gleichen Patch Day raus. Die Meltdown/Spectre Patches kamen halt auf Grund der Dringlichkeit schon ein paar Tage früher raus. Geplant waren die eigentlich auch regulär für den Patch Tuesday.

Kann man machen, evtl. gleiche eine Nummer größer- /22. Wobei es sich vielleicht anbieten wurde das Netzwerk aufzuteilen. Separates Netzwerk für die Server und Zubehör. Dann kann man vielleicht auch mal etwas besser mit Firewall/Router absichern.

Für den Server 2003 gäbe es Integrationsdienste, muss man halt installieren. Aber allgemein solltest du den nicht mehr betreiben, stark veraltet und damit eine einzige Sicherheitslücke. Den zweiten DNS Server nimmst du mal raus und trägst bei dem DNS Server auf DC deine Router IP als Forwarder ein.

1. Server 2003 ist schon sehr lange aus dem Support raus. Außerdem, ältere Netzwerkkarte?! 2. Du hast wohl ein Netzwerkproblem. Ich vermute Fehlkonfiguration am DC.

Nein, werden sie bei Hyper-V 2012 nicht.

Es gibt parallel zu dem Security Update für die Meltdown Lücke auch wieder .NET Framework Updates. Wenn man diese installiert werden beim nächsten Neustart irgendwelche .NET Sachen neu aufgebaut. Die CPU ist derweil bei 100%. Das dauert ein paar Minuten dann ist der Spuk vorbei. Dies hat aber absolut nichts mit Meltdown zu tun.

Auf Servern bzw. Geräten ohne Anti-Virus muss man diesen QualityCompat Registry Schlüssel manuell setzen. Sonst bekommt man das entsprechende Januar Cumulative Update gar nicht erst angezeigt. Das gilt sowohl für Windows Updates, WSUS als auch für SCCM. Bei uns wird im SCCM der Patch dann meist nicht mal "needed" für den Server angezeigt. Zum aktivieren der Patches braucht es dann nochmal drei Registry Einstellungen. Überraschend kompliziert das alles... :( Microsoft hat Links zu den Ankündigungen der Hardware Hersteller gesammelt: https://support.microsoft.com/en-us/help/4073757/protect-your-windows-devices-against-spectre-meltdown Teilweise verlinken die dann direkt auf BIOS Updates die man in den normalen Support Kanälen noch gar nicht sieht.

Hört sich für mich klassich nach zu wenig Arbeitsspeicher an. Dann greifen die VMs auf die (virtuelle) Festplatte zu um Arbeitsspeicher zu emulieren. Was dann bei HDDs nochmal ein ganzes Stück langsamer ist als bei SSDs. Aber auch da wird man nicht wirklich glücklich. Wir haben unsere produktiven Server eigentlich alle noch auf HDDs. Bis auf das booten sehe ich da jetzt auch nicht die enormen Vorteile im normalen Betrieb da man ja selten entsprechende IOPs Spitzen haben sollte

Der eigentliche Embargo Termin war ja wohl erst der 9.1.2018. Daher kann ich mir vorstellen das viele Hersteller erst etwas später dran sind als diese Woche.

Stellt sich eher die Frage wann bzw. ob überhaupt man seine Gerätschaften aktualisieren kann mit den nötigen Firmware/BIOS Updates die die Microcode Updates mitbringen. Ich habe mal bei unseren Servern (Fujitsu) und unseren üblichen Client Gerätschaften (Lenovo Laptop, HP und Fujitsu Desktop) geschaut. Bisher keine Updates zu finden. Letztlich wird auch ein Teil der Geräte gar keine Updates bekommen, weil aus dem Support raus.

Evtl. hat der Mensch keinen Dateinamen angegeben und irgendwas den automatisch vergeben?