Doso

Auf meinem Arbeitsplatzrechner mit Windows 10 konnte ich den Patch einfach so online per Windows Update installieren. Ich habe eine VM mit Server 2012R2 manuell mit Patch aus dem Update Katalog aktualisiert und dann die Registry Einstellungen gesetzt. Soweit alles wie erwartet. Ich versuche nun einen physischen Server mit Windows Server 2012R2 und Hyper-V den Patch über Windows Update zu installieren. Leider wird mir der Patch dann nicht angeboten. Auf dem Server gibt es keinen Virenscanner, entsprechend habe ich wie hier angegeben den Registry Schlüssel manuell gesetzt: https://support.microsoft.com/en-us/help/4072699 Leider wird mir das Update immer noch nicht angeboten. Ich vermute daher die Patches kommen erst regulär am Patch Tuesday in das normale Windows Update rein. Krass finde ich folgende Aussage. Letztlich werden dadurch Geräte ohne Virenscanner wo der Admin nicht eingreift schlicht keine Windows Updates mehr erhalten.

Täusche ich mich oder sind da gerade noch Registry Einträge dazu gekommen bei den Server Patches? :( Das man alle VMs neustarten muss und ggf. die Live Migration zwischen gepatchten und nicht gepatchten Hosts scheitert ist irgendwie nervig.

Wir haben das nur auf Laptops an und mussten da vor kurzem an das BIOS ran. Haben wir auf Grund der geringen Anzahl der betroffenen Systeme "per Hand" gemacht. Surface wird ja durch Windows Update gepatcht. Die BIOS Updates auf den Servern werde ich wohl. ggf. per Hand machem. Was mir mit den Desktop Rechnern und BIOS Updates machen.. hmmm.. mal schauen. Haben wir bisher eigentlich nicht aktualisiert...

Evtl. sind das Updates für irgendwelche Integrationskomponenten, kann ich mir z.B. bei Access gut vorstellen. Skype for Business ist glaube ich bei aktuellen Windows 10 Varianten sogar Teil des Betriebssystems.

https://testconnectivity.microsoft.com mal drüber laufen lassen. Ansonsten, was ist das für ein E-Mail Server, welches CU habt ihr installiert? Seit ihr gerade an der Migration oder schon damit fertig?

Es gibt wohl auch Fixes im CPU Microcode, Intel will da für viele CPUs entsprechende Updates veröffentlichen. Diese müssen dann von den Herstellern über BIOS/Firmware Updates verteilt werden. Bin mir noch nicht ganz schlüssig ob man letztlich beides braucht, also die Patches (mit Registry Eintrag) und die BIOS Updates oder ob eines davon schon reicht. Wir wollen relativ zeitnah sowohl Server (alle! auch VMs) und Clients über SCCM patchen.

Danke für Anregungen! Habe das Netzwerk Team auf dem Cluster/Livemigrations Netz wieder aufgelöst. Es hat zwar die Zeiten etwas reduziert wenn ein Host leer gemacht wurde. Aber wie Nils schon schrieb, so wirklich groß ist der Unterschied nicht. Habe weiterhin bemerkt das einer der Node ein Problem hatte und immer mal wieder kurz aus dem Cluster flog. Habe mir das Ding dann mal angeschaut. Irgendwie war eine Netzwerkkarte etwas locker im Gehäuse, da war dann die Verbindung nicht so wirklich stabil. Habe weiterhin bemerkt das wir ja doch eine physische Netzwerkverbindung haben. Wir haben da ein Verwaltungsnetz. Das würde zwar bedeuten das die Netzwerkstörung mehrere Switches, eine Firewalls und VLANs übersprungen hat.. und eigentlich sollte das nicht .. aber... So wirklich oft müssen wir nicht an die kleinen Switches ran, da kann ich notfalls die paar Meter zum Serverraum auch laufen. Daher die Management Verbindung getrennt (Kabel gezogen). Ob davon nun irgendwas wirklich was gebracht hat weiß ich nicht. Bis zur nächstes großen Netzwerkstörung dann... wenn der Trend anhält in 3 Jahren dann?!

Du patcht den Host damit nicht eine VM die Daten einer anderen VM zu fassen bekommt. Aber in einer VM laufen ja auch Anwendungen die dann zumindest die Daten anderer Anwendungen zu gesicht bekommen. Ungepatchter Host: Webserver A liest die Daten der ERP Anwendung B aus. Gepatchter Host, ungepatchte VM Webserver A: Anwendung liest den privaten Schlüssel eines SSL Zertifikates der Anwendung Apache aus. So zumindest habe ich es verstanden.

Alles + ggf. Registry Einstellungen setzen. Wobei Patches aktuell teilweise noch gar nicht über Windows Update / WSUS zur Verfügung stehen bzw. noch gar nicht zur Verfügung stehen (Windows Server 2016).

Der Fehler liegt letztlich an Verfahren in der CPU, und das ist länger drin. Daher kann man eigentlich davon ausgehen das quasi alles davon betroffen ist.

TLS negotiation failed with error InternalError Scheint mir eine recht eindeutige Fehlermeldung zu sein. Die Systeme können sich nicht auf eine TLS Verschlüsselung einigen. Das kann daran liegen das eine Partei das Zertifikat des anderen nicht akzeptiert, das dürfte hier sein das SAP das Zertifikat des Exchange Servers nicht akzeptiert. Alternativ kommt keine Verbindung zu Stande da sie sich nicht auf eine TLS Version oder entsprechende Verschlüsselungsmethoden einigen können. Beispiel: Der Windows Server unter dem Exchange wurde so konfiguriert das er nur noch TLS 1.2+ akzeptiert, aber SAP kann nur TLS 1.0 und kein TLS 1.2. Ist da ein öffentliches Zertifikat auf dem Exchange Server? Ist diese CA dann öffentlich akzeptiert? Nicht immer ist jede CA überall bekannt, ich kenne ältere Windows Mobile Geräte die kennen die Telekom Root CA nicht.

Mein Google-Fu ist schwach. Kann ein Windows Server bzw. Domain Controller SNTP Server für andere Geräte sein? Als das der Server der NTP Server ist. Ich finde in den weiten des Internet nur Anleitungen wie ein DC sich mit einem externen NTP Zeitserver verbindet um dann diese Zeit weiter an die Domänen Mitglieder verteilt. Konkret möchte man eine Netzwerkkamera installieren welche einen SNTP Server benötigt, welcher möglichst intern sein sollte.

Ich habe Live Migration und Cluster/CSV Verkehr über ein NIC Team laufen. Kann es sein das die Hosts irgendwie panisch versuchen Live Migration zu machen z.b. weil ein Host raus ist und dadurch auch dieses Netzwerk zu macht? Evtl. sollte ich das NIC Team auflösen und sowohl Cluster/CSV Verkehr und Live Migration wieder trennen. Hatte die eigentlich zusammen gepackt um mehr Speed bei der Live Migration zu bekommen.

Cryptomator als Alternative zu Boxcryptor.

Nicht die Daten zu den Nutzern holen, sondern die Nutzer zu den Daten. Stichwort Terminalserver. Ansonsten halt dieses ganze Onedrive und Office 365 Zeugs.

Hört sich ziemlich gruselig an. Sowohl Amazon als auch Microsoft führen gerade Notfallwartungsarbeiten an ihren Cloud Angeboten durch. Man kann nämlich über den Fehler die Isolierung von virtuellen Systemen aushebeln, also Speicher von fremden Systemen lesen. Microsoft und die Linux Community haben außer der Reihe Patches veröffentlicht. Meldung bei Heise: https://www.heise.de/security/meldung/Massive-Luecke-in-Intel-CPUs-erfordert-umfassende-Patches-3931562.html Beschreibung bei Intel: https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html Allgemeine Infos: https://meltdownattack.com Mögliche Auswirkung, Passwörter auslesen: https://twitter.com/misc0110/status/948706387491786752 Microsft KB Artikel: Microsoft Guides für Server https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s Microsoft Guide für Desktop Betriebssysteme: https://support.microsoft.com/en-us/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe

Habe es oben hinzugefügt. Der Heartbeat sollte über das NIC Team laufen, zusammen mit dem Live Migrations Verkehr.

Selbst einen Host per Hand zu installieren geht schneller als da irgendwie mit der Windows Server Sicherung rumzuhantieren. Habe Ende letzten Jahres mal einen Hyper-V Server in einem Cluster mal per Hand neu installiert, ging recht flott. Das längste an der Aktion waren die Windows Updates.

DFS Namespaces sind toll. DFS Replikation ist leider für viele Anwendungen Mist. Sobald mehrere Leute auf irgendwas parallel schreiben könnten wird es schief gehen. Wir sind hier auch mal ordentlich auf die Nase gefallen. Vor allem Office Dokumente funktionieren quasi gar nicht mit DFS-R, Datenverlust quasi garantiert. Wir nutzen DFS-Namespaces immer noch da ein einheitlicher Namensraum einigen Sachen sehr viel einfacher macht. Wir haben dann halt die Fileserver hoch verfügbar gemacht.

Wir hatten die Tage eine größere Netzwerkstörung. Jemand hatte eine Schleife im Backend Netzwerk gesteckt, was sich dann auch zu unserem Serverraum Netzwerk verbreitet hatte. Dies hat dann dazu geführt das unsere Hyper-V 2012R2 Cluster Nodes alle in einen Blue Screen gegangen sind, Meldung User_Mode_Health_Monitor. Die Server sind dann alle mehrfach neu gestartet, mit entsprechenden Auswirkungen auf die virtuellen Maschinen. Der Spuk hat erst aufgehört als die Schleife aufgelöst war. Wir haben auch noch einen Testcluster, hier war zwar auch das Netzwerk nicht nutzbar, aber die Server sind nicht ständig neu gestartet. Ich vermute das hat hiermit zu tun: https://blogs.technet.microsoft.com/askcore/2009/06/12/why-is-my-failover-clustering-node-blue-screening-with-a-stop-0x0000009e/ Die Server sind neu gestartet weil sie keinen Hearthbeat mehr voneinander erhalten haben. b***d nur das ich eigentlich ein getrenntes Netzwerk mit eigenen kleinen Switches für diese Cluster Kommunikation / Live Migration vorgesehen habe. Und dieses Netzwerk sollte eigentlich auch dafür genommen werden, da niedrigste Metrik. Ich stehe daher aktuell total auf dem Schlauch was man dagegen tun könnte. Jemand eine Idee? Im Anhang ein Screenshot der Cluster Netzwerke. ClusterMove Team ist ein NIC Team aus 2x 1GBe Ports, Serverraum Teaming sind 2x 1GBe NIC Team für die Anbindung der VMs (hier war die Störung). Dies restlichen 4 Ports sind für die Anbindung von Storage, iSCSI, ohne NIC Teaming. Edit: Get-ClusterNetwork | ft Name,Metric Name Metric ---- ------ ClusterMove Team 30384 DS3512-gross-3 79985 DS3512-gross-4 70384 DS3524-schnell-3 79841 DS3524-schnell-4 79840 Serverraum Teaming 79842

4 Festplatten mit je 2 TB. RAID 6 - es fallen 2 Festplatten weg RAID 1 - es fällt die Hälfte der Festplatten weg -> es fallen 2 Festplatten weg Am Ende haste die gleich Kapazität. Nur ist RAID 6 vermutlich schlechter von der Performance her. RAID 5 wäre für die 6 TB. Bei lediglich 4 Platten kann man wohl auch mit RAID 5 leben wenn man sich der Risiken bewusst ist.

Wie gesagt: Dann kannste bei 4 Platten auch gleich RAID 1 nehmen.

Ich habe das auch. Ich glaube das ist bei Exchange 2016 / Windows Server 2012R2 normal, in einer Testumgebung habe ich das auch beobachtet. Einfach etwas Geduld haben und gut ist.

Für die LTSB kriegt man auch mittelfristig wohl ein Problem mit Treibern bzw. neuer Hardware. Das hat Microsoft ja schon bei Windows 7 gemacht. Aktuelle CPUs und Windows 7 -> keine Treiber und keine Windows Updates mehr. Ist halt nicht für normale Arbeitsplätze gedacht die Version. Ich vermute stark das man die Arbeit die man sich jetzt spart halt dann später investieren muss. Dann halt z.B. auf neue LTSB Versionen oder normale Windows 10 Versionen zu migrieren weil irgendeine Software nicht mehr unter LTSB tut oder es für neue Hardware keine Treiber mehr für die alte LTSB Version gibt.

RAID 6 mit 4 Festplatten macht jetzt aber auch nicht so viel wirklich Sinn, oder? Gehen jetzt 2 Festplatten für die Parität drauf. Kannste auch gleich die Platten in RAID 1 packen und sparst dem Controller dann viel Rechnerei, hast dadurch mehr Performance. Aber trotzdem selben Speicherplatz zur Verfügung. Ansonsten: Mach 2 virtuelle Festplatten. Einmal OS mit vielleicht 100 GB und Rest in die Daten. Je nach Konfiguration kannst du sonst nicht mehr als 2 TB nutzen. Klassisches MBR kann halt schlicht nicht mehr.