Jump to content

mwiederkehr

Expert Member
  • Gesamte Inhalte

    1.496
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von mwiederkehr

  1. Das geht wohl nur über Umwege: Speicherbelegung messen, Objekt erstellen, Speicherbelegung nochmals messen, Differenz bilden. Damit weisst Du, wie viel mehr RAM das Script nach Instanziierung des Objekts benötigt. Je nachdem, wie das Objekt aufgebaut ist, benötigt es selbst aber weniger Speicher und ein Teil des Speichers ist frei, um vom Garbage Collector geleert zu werden. (Wenn man einem String ein Zeichen hinzufügt, wird ein neuer Speicherbereich alloziert und der String sowie der Zusatz werden dorthin kopiert. Der vorherige Speicherbereich wird als frei markiert. Wenn ein Objekt gewisse Felder durch String-Concatenation füllt, kann es viel als frei markierten Speicher geben.) Etwas näher kommst Du der "Wahrheit" also noch, indem Du vor der ersten und zweiten Messung den Garbage Collector aufrufst.
  2. Benutzer- und Gerätelizenzen können auch gemischt werden. Das lohnt sich aber nur in Ausnahmefällen. Wenn ein Unternehmen fünf Mitarbeiter im Büro beschäftigt (mit eigenem PC, Smartphone etc.) und 30 im Lager, welche sich zwei Rechner und ein MFC teilen, reichen fünf Benutzer- und drei Gerätelizenzen. Wenn man nicht aufpasst, wird man bei einem Audit ein paar Jahre später aber ziemlich sicher Probleme bekommen, weil in der Zwischenzeit Barcode-Scanner für die Lagermitarbeiter angeschafft wurden, die auf das ERP auf dem Server zugreifen oder Ähnliches.
  3. Ist es das nicht? Der Aufwand ist sicher grösser, wenn man Ausweis und Handelsregisterauszug fälschen muss. Und vor allem: Die Prüfung würde durch Menschen durchgeführt. Ich hätte gehofft, die würden keine Zertifikate für Domains, deren Namen dem einer richtigen Bank ähnelt, ausstellen.
  4. Ich finde es schade, dass EV-Zertifikate ihren Status verloren haben. "Beim Online-Banking muss die Adressleiste grün sein" war auch für Laien einfach zu merken.
  5. Für die Berechnung der benötigten Device-CALs würde ich nur die Geräte zählen, die Dienste von einem Windows-Server beziehen müssen. Luftreiniger, Türklingel etc. kann man gut in ein separates VLAN stecken, welches DHCP und DNS von der Firewall bezieht. Wenn die Drucker eine fixe IP haben und kein Scan2Folder nutzen, benötigen sie ebenfalls keine Device-CAL, vorausgesetzt, das Gerät, von dem aus gedruckt wird, ist lizenziert. Bei Exchange zählen die Benutzer im Sinne von Personen. Die Anzahl Mailboxen ist nicht relevant. Ja, das ist so. Bei Exchange unterscheidet der Key nur zwischen Standard und Enterprise. CALs trägt man nicht ein.
  6. Das kommt leider immer wieder vor. Viele Leute geben URLs nicht in der Adressleiste ein oder verwenden ein Lesezeichen, sondern suchen in Google und nehmen das erste Resultat. Nur ist dieses gekaufte Werbung. Dank Unicode kommt man sehr einfach zu einer ähnlich aussehenden Domain. "meinebank.de.irgendwas.de" ist nicht nötig, man kann direkt "meᎥnebank.de" (man beachte das "i") nehmen. Dafür bekommt man problemlos ein SSL-Zertifikat. Wie Nils schon erwähnt hat, gibt es keine Lösung dafür. Es kann helfen, auf der Firewall Verbindungen zu neu registrierten Domains zu blockieren.
  7. Es wird zwar eine andere Datei gesucht, aber evtl. hilft das: https://learn.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/owa-stops-working-after-update Ich bin mehr oder weniger fassungslos über das Desaster. Weshalb wurde das Update nicht ein einziges Mal auf einer anderen Sprachversion getestet? Weshalb aktiviert der Installer die Dienste nicht wieder, wenn er doch ein Rollback macht? Und wer hatte (vor vielen Jahren) die überaus glorreiche Idee, Benutzernamen und Verzeichnisse zu lokalisieren? Man muss gar nicht "mit Linux ist alles besser" propagieren; es reicht schon, wenn man zu SQL Server hinüberschaut. Dessen Setup akzeptiert zwar seit mindestens 18 Jahren immer noch kein "de-CH", aber ansonsten funktioniert alles.
  8. Mich würde interessieren, ob der Fehler bei allen deutschen Installationen auftritt und falls ja, weshalb das die Kunden merken müssen. "If it compiles, ship it" und so...
  9. 1:1 Nils' Vorschlag setzt das Script auf https://lazyadmin.nl/office-365/migrate-users-home-drives-to-onedrive-for-business-with-powershell/ um. Dateien per Robocopy kopieren und bei Erfolg eine Textdatei im Quellverzeichnis hinterlegen. Zusätzlich prüft es per PowerShell-Modul, ob OneDrive fehlerfrei läuft, bevor es den Kopiervorgang startet. Ein möglicher Nachteil dieser Variante ist, dass die Daten vollständig auf dem Rechner der Benutzer liegen. Direkt zu OneDrive hochladen könnte man sie mit Tools wie rclone, aber das kann nicht das vorhandene Auth-Token nutzen, sondern der Benutzer müsste sich separat anmelden. In den allermeisten Fällen wird der lokale Speicherplatz kein Problem sein.
  10. Da das Aufräumen durch den Garbage Collector Ressourcen benötigt, macht er es nur, wenn nötig. Es bringt nichts, alle paar Millisekunden aufzuräumen, wenn vielleicht ein paar Sekunden später der ganze Prozess entsorgt werden kann. Ein Kriterium für das Starten des Aufräumvorgangs ist Speicherknappheit. Wahrscheinlich hast Du in Deinem Rechner genügend RAM, sodass es auf das Gigabyte mehr oder weniger nicht ankommt. Selbst wenn man den Garbage Collector mit "[System.GC]::Collect()" manuell startet, räumt er ohne Zwang nicht auf. Das scheint aber spezifisch für die PowerShell zu sein, bei .NET macht er es sonst schon. Zwingen kann man ihn mit "[System.GC]::GetTotalMemory(‘forcefullcollection’) | out-null". (Vorher muss natürlich die Variable mit "Clear-Variable" geleert werden.) Quelle: https://www.jhouseconsulting.com/2017/09/25/addressing-the-powershell-garbage-collection-bug-1825 Aber das sollte nicht notwendig sein. Ich betreibe .NET-Dienste, die wochenlang laufen und täglich grosse Datenmengen verarbeiten. Wenn man die Objekte sauber leert, macht der GC seine Arbeit zuverlässig und man hat keine Memory Leaks zu befürchten.
  11. Der Einwand mit den Browser-Benachrichtigungen ist gut! Wenn man am falschen Ort auf "erlauben" klickt, können Benachrichtigungen eingeblendet werden, die aussehen, als kämen sie vom System. In denen steht dann auch häufig, der Virenscanner sei ausgefallen oder die Treiber seien veraltet. Diese Benachrichtigungen funktionieren über JavaScript-Web-Worker, also in der Browser-Sandbox und ohne Plugin. Das habe ich schon öfter gesehen. Meist wurde auf eine der unseriösen Werbungen auf der Edge-Startseite geklickt. Man muss also nicht tief in böse Websites abtauchen.
  12. Ein Kriterium wäre noch, wie aktuell das System beim "Befall" war und ob der Benutzer lokale Adminrechte hatte. Falls er Adminrechte hatte, ist das gesamte System als kompromittiert zu betrachten, andernfalls nur sein Profil. Profile schmeisse ich schon beim kleinsten Verdacht weg.
  13. Alle mir bekannten dieser Lösungen nutzen keine Spitzfindigkeiten, sondern leben davon, dass der Kunde gegen die EULA verstösst und nicht sie. Sie umgehen mehr oder weniger geschickt die Limitierung auf eine gleichzeitige Session. ("Geschickt" meint in dem Zusammenhang, dass der Zugriff nach Windows Updates noch funktioniert, ohne dass man von Hand DLLs austauschen muss.) Ich hatte schon Kunden, die eine solche Lösung wollten und habe einige dieser "Terminalserver mit Client-OS"-Hersteller angefragt und um eine Bestätigung der Lizenzkonformität gebeten. Habe ich von niemandem erhalten.
  14. Bei den Ausnahmen für Servernutzung sind nur Dienste erwähnt, die Windows bereitstellt: Dateidienste, Druckdienste, IIS... Drittsoftware ist nicht erwähnt. Es ist mir nicht klar, ob der Betrieb eines Dienstes einer Drittanwendung, welcher direkt über das Netzwerk kommuniziert (also ohne Dateifreigabe oder IIS), somit unlimitiert oder im Gegenteil überhaupt nicht erlaubt ist.
  15. Ich frage in solchen Situationen, was man sich von einem Wechsel in die Cloud, zu Exchange Online, OneDrive oder was auch immer gerade modern ist, erhofft. Wenn die Antwort dann "meine Kollegen vom Unternehmerclub sind alle in der Cloud und ich will auch modern sein" ist, merken die Entscheidungsträger oft selbst, dass das nicht ganz ausreicht als Begründung. In wohl keinem Bereich divergieren Kundenwunsch und Kundenbedürfnis so fest wie in der IT. "Mein PC ist langsam" heisst oft "ich möchte meine Terminalserver-Infrastruktur erneuern" und "ich benötige Excel auf dem Smartphone" kann "ich möchte eine mobile Zeiterfassung" heissen. Zum Thema "alles machen, auch wenn unsinnig" denke ich, dass man als Dienstleister zwar nicht von abgelehnten Aufträgen leben kann, aber es sich auch nicht lohnt, einfach alles zu machen. Auch nicht nach schriftlicher Information des Kunden. Das Problem ist, dass im Falle des Falles immer "Dienstleister XY hat das gemacht" herumgereicht wird, und "ich wollte das entgegen ausdrücklicher Warnung so" vergessen geht. Je nach Umfeld, in dem man tätig ist (regionale Gewerbevereine etc.) kann sich solches Hörensagen negativ auswirken. Wenn ich dem Automechaniker sage, er soll beim Radwechsel nur vier statt fünf Schrauben nehmen, das halte auch so, wird er es nicht tun.
  16. Ich nutze ebenfalls Veeam, die kostenpflichtige Version. Damit lassen sich die Sicherungen zentral verwalten und überwachen. Da es nur geänderte Daten sichert, ist die Sicherung innerhalb weniger Minuten erledigt und der Benutzer merkt nichts, da sie über Mittag läuft.
  17. Die geblockten URLs sind nicht das Problem, das Problem sind die nicht geblockten. Oder anders: Wenn jemand klickt, der Aufruf blockiert wird und nichts weiter passiert, würde ich nichts unternehmen. Wenn von dem Client aus aber mehrere Anfragen blockiert werden, insbesondere zu ungewöhnlichen Zeiten, ist die Gefahr gross, dass etwas läuft, was nicht laufen sollte und eine Neuinstallation ist angesagt. 20 Minuten für eine Neuinstallation sind machbar übers Netzwerk. Wobei sich solche Beispiele auf ideale Umgebungen beziehen, in denen alle Software paketiert ist oder ausser Office keine Anwendungen benötigt werden. Es gibt da ganz andere Fälle, zum Beispiel bei Ingenieuren. Dort hat jeder fünf Versionen von drei CAD- und Berechnungs-Anwendungen installiert, die teilweise telefonisch aktiviert werden müssen, den Grafikkartentreiber genau in Version X benötigen und gewisse Daten lokal speichern. Aber das soll kein Hindernis sein für eine Neuinstallation bei Verdachtsfällen. In solchen Umgebungen sichere ich die Clients täglich über Mittag und das Zurückspielen der Sicherung dauert auch ziemlich genau 20 Minuten.
  18. Danke! Der Beitrag von Frank hat mir den Mut gegeben, das virtuelle Verzeichnis im IIS zu löschen. Danach hat "New-EcpVirtualDirectory" funktioniert und es läuft wieder.
  19. Hallo zusammen Ein Kunde hat auf einem Server mit Exchange 2013 Windows Updates mit der Option "Updates für andere Microsoft-Produkte einschliessen" installiert. Bei der Installation des aktuellen SU kam es zu einem Fehler. Danach waren auf dem System viele Dienste deaktiviert (alle Exchange-Dienste, aber auch die IIS-Verwaltung und WMI). Ich habe die Dienste wieder aktiviert und das SU wie erforderlich von einem "elevated prompt" aus installiert. Nach einem Neustart läuft alles bis auf das ECP wieder. Dieses wurde versucht neu anzulegen, was wegen nicht laufendem IIS-Verwaltungsdienst nur so halb funktioniert hat. "Get-EcpVirtualDirectory" liefert kein Resultat und keinen Fehler. Im AD sind die Objekte für ECP (Frontend und Backend) weg. Im IIS existiert im Front- als auch im Backend noch ein virtuelles Verzeichnis "/ecp". "Create-EcpVirtualDirectory" meldet, das Objekt ECP existiere schon in der Default Web Site. OWA funktioniert, auch der "ECP-Teil" von OWA funktioniert, also die Verwaltung der Regeln etc. Nur wenn man per "?ExchClientVer=15" auf das "Admin-ECP" zugreifen will, kommt Fehler 400. Wie erstellt man das ECP neu? Ich hätte gesagt, ich muss die virtuellen Verzeichnisse im IIS manuell löschen. Ist das richtig? Gibt es einen besseren Weg? Besten Dank für eure Tipps! P.S.: Termin für die Migration ist eingeplant. Wusste bis heute nicht, dass der Server existiert.
  20. Ich versuche, wo immer möglich, mindestens zwei Exchange Server zu betreiben. Man muss dann zwar zwei Server updaten, die Dienste sind aber während der ganzen Zeit verfügbar. Siehe zum Beispiel https://www.frankysweb.de/exchange-2019-database-availability-group-dag/. Man kann Snapshots als Backups mit schneller Wiederherstellung ansehen, dann würde ich aber den Server vor dem Erstellen des Snapshots herunterfahren.
  21. Grundsätzlich sollte man beim RAM nicht sparen, aber "doppelt so viel RAM wie die DB gross ist", ist keine allgemeine Regel. Ein Beispiel: Die ERP-Datenbank eines Kunden ist 30 GB gross. Die Tabellen mit allen Artikeln, Aufträgen und Stundenrapporten (diese allein mit mehr als einer Million Datensätze) sind 1 GB gross. Die restlichen 29 GB belegt die Tabelle "dok" mit den Spalten "dok_id" (int) und "dok_image" (varbinary(max)). Will heissen: Die 29 GB werden nur angefasst, wenn ein Dokument geöffnet oder erstellt wird, was relativ selten (ein paar Mal pro Stunde, nicht ein paar Mal pro Sekunde) passiert.
  22. HP Notebooks haben einen zuschaltbaren Blickschutz ("SureView"). Diesen empfinde ich als nicht sehr störend, auch wenn der Kontrast natürlich etwas leidet. Wie ich gesehen habe, haben die besseren Desktop-Bildschirme ("EliteDisplay") diese Funktion auch. Ich würde es mal mit so einem probieren. SureView funktioniert über eine veränderte Hintergrundbeleuchtung. Das verspricht eine bessere Qualität als eine nachgerüstete Folie.
  23. Je nach Anforderungen und Netzwerkverkehr, kann es besser sein, die interne Filterung über die Switches zu machen statt über eine separate Firewall. Zur Filterung des Verkehrs von und nach aussen ist eine Firewall sinnvoll, mit VPN, Content Filter, Reverse Proxy etc. Intern reicht oft ein Paketfilter, mit dem man Sachen wie "VLAN 20 darf auf VLAN 40 zugreifen, aber nicht umgekehrt" oder "von VLAN 20 zu VLAN 40 ist nur DNS offen" umsetzen kann. Layer-3-Switches haben meist Paketfilter integriert. Im Gegensatz zu einer Firewall ist der Durchsatz kein Problem, und wenn man einen Stack hat, ist die Redundanz auch gleich gegeben.
  24. Nach meinem Kenntnisstand geht das zumindest offiziell nicht. Server 2022 basiert auf der GUI von Windows 10. Die Previews von "vNext" haben die GUI von Windows 11. Ich denke nicht, dass Microsoft die neue GUI zurückportieren wird zu Server 2022. Von allenfalls erhältlichen Tools von Drittanbietern rate ich ab. Die mögen gut sein, damit Opa noch das alte Startmenü hat, aber auf einem Terminalserver möchte man so was nicht haben. Grundsätzlich ist zu beachten, dass Microsoft immer weniger Client-Tools auf den Servern zur Verfügung stellt. Die "Desktop Experience" von Server 2022 enthält nur die GUI, aber nicht die Tools wie die nachinstallierbare "Desktop Experience" bei Server 2012 R2. Es fehlt unter anderem die Scansoftware sowie die Möglichkeit, mehrere Bilder auf einer Seite zu drucken. Die Lösung wäre Multi-Session Windows 11, denn eigentlich ist ein Terminalserver näher an einem Client als an einem Server. Aber leider erlaubt Microsoft das nur in Azure. Es wäre schön, wenn man das dazu lizenzieren könnte oder es einfach mit TS-Lizenzen funktionieren würde.
×
×
  • Neu erstellen...