mwiederkehr

Man darf Norbert beneiden: Der Wetterbericht sagt für St. Peter-Ording für heute eine Höchsttemperatur von 20°C voraus. Wobei ich mich nicht beklagen möchte, denn ich habe dank Kühlung über die Wärmepumpe auch nur 22°C. Beklagen dürften sich die Bauarbeiter, die an der prallen Sonne den Strassenbelag erneuern. Aber die beklagen sie nicht, die arbeiten.

Hallo zusammen Danke für eure Antworten. Die Schritte, welche die KI erwähnt hat, habe ich durchgeführt. Bis auf die Reparaturinstallation. Ich kann mir nicht erklären, weshalb der Host und eine VM (nicht aber die zweite VM) betroffen sind. Auf dem Host ist nur die Hyper-V-Rolle aktiviert. Da sonst alles läuft und es ein Markenserver ist, gehe ich nicht von einem Problem mit dem Speicher aus. Sysnative sieht interessant aus. Dass die Fixes für einzelne Systeme machen, erstaunt mich. Das sollte eigentlich Microsoft anbieten. LG Manuel

Hallo zusammen Auf einem Hyper-V laufen zwei VMs mit Windows Server 2025. Sowohl der Host als auch die VMs wurden mit der gleichen ISO installiert. Die Installation ist vor ein paar Wochen erfolgt. Das Mai-Update hat sich auf allen Systemen problemlos installieren lassen. Das Juni-Update bringt auf dem Host sowie einer VM den Fehler 0x80070306. Auf einer VM hat es funktioniert. Nach einem Update-Versuch zeigt "DISM.exe /Online /Cleanup-Image /CheckHealth" einen beschädigten Komponentenspeicher. Dieser lässt sich mit "DISM.exe /Online /Cleanup-Image /RestoreHealth" reparieren. "DISM.exe /Online /Cleanup-Image /StartComponentCleanup" ist ebenfalls erfolgreich durchgelaufen. Dies auch mit Angabe der install.wim von der ISO. Im Anhang einige, hoffentlich relevante, Zeilen aus der CBS.log. Was könnte das Problem sein? Eine beschädigte ISO sollte ausgeschlossen sein, da das Update in einer VM funktioniert hat. Und noch wichtiger: Was sind mögliche Lösungen? Besten Dank! cbc_log.txt

Die Demo sieht super aus! Beim Abruf der Daten von einer FortiGate erhalte ich diesen Fehler: Wird FortiOS 7.4 nicht unterstützt?

Der Azure Arc Update Manager wird aber nicht auch kostenlos?

Es scheint sich leider zu bestätigen, dass es sich bei dem "Feature" um einen unausgereiften Schnellschuss handelt. Die Signatur von RDP-Dateien unterstützt kein Timestamping. Läuft das Zertifikat ab, erscheint wieder die Warnung. Bekanntlich gibt es von öffentlichen CAs keine Zertifikate mit mehrjähriger Gültigkeit mehr. Die Vorschläge, die RDP-Dateien regelmässig auszutauschen oder ein selbst signiertes Zertifikat zu installieren, sind ohne Zugriff auf die Clients nicht praktikabel. Bei solchen Aktionen freut man sich umso mehr, die monatliche SPLA-Rechnung zu begleichen... Aber vielleicht ändert das nächste Update das Verhalten wieder.

Ich sehe, Du hast Secure Boot deaktiviert. Dann sollte die VM direkt von der VHDX starten. Versuch einmal, die "Festplatte" an den Anfang der Liste zu verschieben. Bei aktuellen Linux-Distributionen wäre shimx64.efi richtig, aber mit aktiviertem Secure Boot und der Microsoft UEFI-Zertifizierungsstelle. Wenn Du eine ältere Distribution (Appliance?) verwendest, hat diese evtl. keine shimx64.efi in der UEFI-Partition.

Ich kenne es als "wieso konntest du die EICAR.COM downloaden, wo wir doch extra die AV-Lizenz für die Firewall gekauft haben?" Man muss den Traffic lesen können, um ihn filtern zu können. Die Filterung nach Zertifikat (oder SNI bei TLS 1.3) funktioniert im Zeitalter der Cloud nicht zuverlässig. OneDrive ist einer der grössten Malware-Hoster. Neben der Sicherheit gibt es Anforderungen zur Filterung nach Inhaltskategorien. Ein Kunde wollte Facebook erlauben (weil die Mitarbeiter "Content" produzieren sollten), aber den Facebook Chat deaktiviert haben.

Ein Grund wird sein, dass Hyper-V gewissermassen eine Gratiszugabe ist. Microsoft verkauft nicht weniger Lizenzen, wenn die Kunden andere Hypervisoren einsetzen. Bei RDS ist es ebenso: Ob Citrix oder Parallels, Microsoft verkauft ihre CALs.

Das sieht sehr vielversprechend aus! Der Cluster Manager war für Hyper-V immer wie eine dreckige Fussmatte vor einer Villa. Wenn jetzt noch ein vollwertiges Cluster-Filesystem kommt, bin ich sehr zufrieden.

Ich habe es bei diversen Quellen gelesen, aber nicht selbst getestet. Habe den Test soeben nachgeholt: Nach Ablauf des Zertifikats kommt die "unbekannter Herausgeber"-Meldung ohne "nicht mehr fragen"-Checkbox. Es steht nichts von abgelaufen, sondern verhält sich wie ohne Signatur.

Ich meinte "mit Zertifikat und Timestamp signieren". Ohne Timestamp wird die Signatur mit Ablauf des Zertifikats ungültig. Im Link von Jan steht zwar das Gegenteil, aber dort wurde der Thumbprint als vertrauenswürdig ausgerollt.

Weiss jemand, wie man eine RDP-Datei mit einem Timestamp signiert? rdpsign.exe kann es nicht, Set-AuthenticodeSignature kann nicht auf das HSM zugreifen und signtool.exe kennt den Dateityp .rdp nicht.

Von meinen Kunden erhalte ich viele Meldungen, aber ob alle betroffen sind, weiss ich nicht. Gibt es allenfalls ein A/B-Testing? Oder darf man gar hoffen, dass die Änderung rückgängig gemacht wurde? Besteht die Möglichkeit, sich frühzeitig über solche Änderungen informieren zu lassen? Ich wurde von der automatischen Aktivierung von Smart App Control und den Verbindungswarnungen bei RDP kalt erwischt.

Das kann schon sinnvoll sein, allerdings meiner Meinung nach nicht als automatische Replikation. Wenn ihr für den Fall "lokaler Server geht kaputt" die Möglichkeit haben wollt, über einen Server im RZ zu arbeiten, ist es nicht so komplex. Dann reicht es, regelmässig Sicherungen von Datenbank und Logdateien ins RZ zu übertragen. Die Umschaltung wäre dann ein manueller (dokumentierter und getesteter) Prozess. Das ist wesentlich einfacher als "ich will für Wartungsarbeiten flexibel zwischen den Servern umschalten können".

Die Warnung kommt sogar, wenn die RDP-Datei mit einem EV-Zertifikat einer öffentlichen Zertifizierungsstelle signiert ist.

Ja, solche Änderungen des Verhaltens machen Spass... Besonders toll finde ich die fehlende Möglichkeit für "nicht erneut fragen"! Im von Dir verlinkten Artikel steht ganz am Schluss ein Registry-Key, mit dem man zum bisherigen Verhalten zurückkehren kann. Eine spezifische GPO habe ich nicht gefunden.

Besten Dank! Auf die Idee, die Registry aus dem Profil zu laden, bin ich nicht gekommen.

Gut ist relativ... Der Trick mit der reg1.exe hat auf jeden Fall nicht mehr funktioniert. Das setzt den Standard, aber die Benutzer können selbst eine andere Anwendung wählen. Das wäre in diesem Fall egal. Gesucht ist eine Lösung, um die Zuordnung bei allen bestehenden Benutzern zurückzusetzen.

Wie soll die Replikation ablaufen? Scriptet ihr das selbst? Reicht "read-only" für die Server in den Aussenstellen? Oder müssen auch Daten geschrieben werden können? Bezüglich Lizenz ist zu erwähnen, dass bei einer Lizenzierung mit CALs der Server selbst nicht extrem teuer ist. Und die CALs müsst ihr ja nur einmal kaufen.

Nehme mir gerne einen Kaffee, danke! Bei uns hat es auch etwas geregnet und nach einigen sonnigen Tagen soll es heute 16°C werden. Die Kirschen stehen in voller Blüte. Die frühen Sorten wurden leider vom Frost erwischt, von denen ist dieses Jahr nicht mit viel Ertrag zu rechnen. Die späteren Sorten haben die Blust zu Ostern begonnen und sollten keine Minustemperaturen erleiden müssen. Das "Chriesifäscht" (Kirschenfest) kann also stattfinden.

Danke! Das hatte ich gesehen, aber ich habe gehofft, dass es eine offizielle Lösung gibt. Dass man UCPD irgendwie kenntlich machen kann, dass die Änderung von der GPO kommt und nicht einer aufdringlichen Anwendung. Hier habe ich etwas gefunden: https://github.com/cloudskytian/WinEU/blob/main/UCPD-fix.cmd Es scheint, als würden sie die rundll32.exe an einen anderen Ort kopieren und umbenennen. Dann haben sie eine von Microsoft signierte EXE, die DLLs ausführen kann und nicht auf der Blacklist vom UCPD steht. Dazu eine eigene DLL, welche die Einstellungen vornimmt. Das lässt sich leicht nachbauen. So leicht, dass es als Beispiel dient, dass solche "Schutzmassnahmen" nur sinnlosen Aufwand generieren...

Hallo zusammen Eine vermeintlich einfache Aufgabe beschäftigt mich nun schon mehrere Stunden... Die Benutzer sollen den Edge als PDF-Viewer zugewiesen bekommen. Dies soll für alle neuen Benutzer gelten und für die bestehenden Benutzer einmalig gesetzt werden. Danach dürfen sie eine andere Anwendung auswählen, wenn sie möchten. Den Standard für neue Benutzer festlegen ist mit "Import-DefaultAppAssociations" kein Problem. Für die bestehenden Benutzer habe ich gedacht, ich lösche einmalig den Schlüssel "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pdf\UserChoice". Manuell mit Regedit hat das einwandfrei funktioniert: Es wurde danach der Systemstandard verwendet. Also eine GPP erstellt mit "einmal ausführen" => kein Erfolg. "Remove-Item" im Anmeldescript => Zugriff verweigert. Die Einschränkung mit dem Hash war mir bekannt. Aber ich will doch keine andere Anwendung setzen, sondern nur die Zuordnung einmalig aufheben. Eine Recherche hat mich zum "User Choice Protection Driver" geführt, der hier der Spielverderber zu sein scheint. Gefunden habe ich auch diverse mehr oder weniger abenteuerliche "Tricks". Die Problematik, dass Anwendungen sich nicht ungefragt mit Dateitypen verknüpfen können sollen, ist klar. Aber Microsoft hat doch sicher einen offiziellen Weg vorgesehen, wie der Admin die Zuordnungen verwalten kann? Wie macht ihr das? Besten Dank für eure Tipps!

Hier von einem Exchange 2019 CU14 (Update ist "schon" terminiert): Ich habe die Fehlermeldung auch, wenn ich bei "PowerShell-Proxy" auf "Authentication" klicke. Bitte entschuldige, ich hatte vorhin nur das Verzeichnis angeklickt. Normalerweise erscheinen Fehler in der web.config direkt dort. Aus Sicht von IIS ist die Meldung nachvollziehbar: Module kann man nur auf Websites oder Anwendungen aktivieren, nicht auf Verzeichnissen. Ich weiss nicht, was die Überlegung der Exchange-Entwickler dahinter war. Auf jeden Fall läuft der Server trotzdem. Und, wie einem Exchange-Leute ja immer wieder sagen, soll man den IIS-Manager nicht verwenden.

Kannst Du die Zeile <authentication mode="Windows" /> einmal auskommentieren? Meldet der IIS danach immer noch einen Fehler? Bei mir ist die Zeile aber auch drin und der IIS-Manager meldet kein Problem. Dann müsste auf höherer Ebene (evtl. applicationhost.config) etwas verstellt sein.