mwiederkehr

Die Installation pro Benutzer können sie ja noch mit den häufig erforderlichen Updates einigermassen begründen. Aber ich würde gerne die Erklärung eines Entwicklers hören, weshalb Teams den Cache im Roaming-Teil des Profils speichert. Konnte kaum glauben, dass eine Software aus dem Hause Microsoft so gegen die eigenen Prinzipien verstösst. Sonst macht nur Apple solchen Unsinn (iPhone-Backups liegen im Roaming-AppData), aber die kennen Windows halt nicht so gut.

Es gibt eine Datei "sconfig.cmd" unter "\windows\system32". Diese schaut in der Registry nach, welche Sprache eingestellt ist und nimmt "en-us", wenn sie nichts findet. Dann startet sie "sconfig.vbs" im Verzeichnis "\windows\system32\$sprache\sconfig.vbs". Bei einem deutschen Windows ist die sconfig.vbs nicht unter "en-us", sondern unter "de-de" zu finden. Evtl. fehlen die zwei ausgelesenen Registry-Keys im Profil des Administrators oder es ist ein Problem mit UAC. Lösung: Keine Built-In Admins und wenn es bei anderen Admins nicht geht, einfach direkt die VBS-Datei starten.

Ja, die Single-Core-Performance wird oft vernachlässigt, leider auch von den Herstellern. Ich würde mal sagen, die meisten Anwendungen auf einem Terminalserver laufen nur auf einem Core. Deshalb sind bei zehn Benutzern vier schnelle Cores besser als zwölf langsame. Denn die Benutzer erzeugen ja nicht dauernd Last wie ein Webserver mit vielen Anfragen, sondern es gibt viele einzelne kurze Spitzen. Von Anwendern auf Servern mit niedrigem (Turbo-)Takt hört man dann öfter "die Anwendung läuft auf meinem fünf Jahre alten Rechner schneller". Leider bekommt man immer weniger CPUs mit weniger, dafür schnelleren Cores. Ich rate den Kunden jeweils, lieber einen Xeon Gold zu nehmen als zwei Xeon Silver, ist auch lizenztechnisch günstiger.

Shortcuts (*.lnk) sind Dateien, die vom Betriebssystem interpretiert werden und nicht direkt auf eine Anwendung zeigen wie Symlinks. Sie funktionieren auch auf Dateisystemen ohne Symlink-Unterstützung. Und wichtiger: Sie können ein Icon definieren oder Einstellungen für den Kompatibilitätsmodus, die DPI-Einstellungen, "als Administrator ausführen" etc.

Seit Windows 2012 R2 habe ich keine Probleme mit vielen Benutzern mehr gesehen. Das skaliert gut, so wie man es von einem Betriebssystem erwartet. Es "verhaspelt" sich nicht, auch nicht bei vielen Cores und viel RAM. Ab ca. 20 Benutzern würde ich aber trotzdem mehrere Server einrichten, um bei einem Problem nicht einen totalen Stillstand zu haben.

Das ist, wie Nils schon erklärt hat, ein organisatorisches Problem. Die IT stellt die Arbeitsmittel zur Verfügung. Wenn diese nicht genutzt werden, ist es nicht ihr Problem. Ein Kunde, bei dem die Leute viel unterwegs (im Betrieb und extern) sind und wo deswegen viel telefoniert wird, hat die Telefonanlage mit Exchange Online gekoppelt. Ruft man Fritz Müller an und der ist nicht da, klingelt es nicht ins Leere, sondern man erhält direkt die Nachricht "abwesend bis $Ende_des_Termins". Das ist in dem Fall eine gute Lösung. Aber Mitarbeiter, die am Rechner sitzen, können gut im Outlook nachschauen. Zumal man dort auch eintragen kann, ob man abwesend und erreichbar (Arbeit von zu Hause, geschäftliche Reise) oder abwesend und nicht erreichbar ist. Das lässt sich gut über Farben lösen.

Bei den meisten Kunden sind die Kalender unter den Mitarbeitern freigegeben (lesend, für Sekretariat auch schreibend). Abwesenheiten bespricht man, falls nötig, mit dem Vorgesetzten und trägt sie dann in seinen eigenen Kalender ein. Will jemand wissen, wann XY wieder ins Büro kommt, schaut er in dessen Kalender. Bei Abwesenheiten von über einem Tag aktiviert man den Abwesenheitsassistenten mit einer Nachricht gemäss Vorlage.

Das habe ich noch gefunden: https://lingvanex.com/de/anwendungen/windows-uebersetzer/. Die Anwendung soll offline funktionieren und das Layout von Dokumenten erhalten. Wäre einen Versuch mit der Testversion wert.

Deepl kann Dokumente übersetzen und das sogar ausgezeichnet. Das Layout bleibt so gut wie möglich erhalten, auch bei Formularen mit Ankreuzfeldern etc. Aber: Selbst wenn man die Windows-Anwendung verwendet, werden die Dokumente bei ihnen auf dem Server übersetzt. Sie versprechen jedoch, diese sofort nach dem Übersetzen zu löschen und bei Pro-Kunden die Inhalte nicht für das Training der Engine zu verwenden.

Das kann ich so bestätigen. Im Test mag es gut aussehen, aber später werden Sachen auftreten, die nicht funktionieren. Gehäuft, wenn noch andere Add-ins in Outlook laufen. Wenn ihr von Exchange und Outlook weg, aber weiterhin eine Groupware wollt, würde ich mir eine Web-Groupware anschauen: eGroupware, Horde, SOGo, Zimbra... Wenn es gehostet sein darf, Google Workspace. Damit könnte man Office auch gleich ablösen. (Wobei eine solche Entscheidung natürlich gut überlegt sein will, denn Briefe schreiben kann man mit vielen Anwendungen, aber an Microsoft Office ist man häufig wegen Drittsoftware gebunden. Ich kenne nur wenige Firmen, die ohne Office arbeiten.)

Langsam nicht, aber nicht so schnell wie mit Cache. Trotz vieler Diskussionen finden etwa die Hälfte der Benutzer das Arbeiten ohne Cache "mühsam". Es kommt wohl ganz auf die Arbeitsweise an: Wer E-Mails über die Suche aufruft, hat nicht viel Vorteil durch den Cache. Wer aber mit den Pfeiltasten navigiert und per Auge "sucht", merkt den Unterschied deutlich. Ein akzeptierter Kompromiss ist meist "Cache für einen Monat".

Eine Übersicht über alles ist mir nicht bekannt. Aber ich würde unterscheiden zwischen Installation und Konfiguration (wobei die Wortwahl nicht so passend ist). Installation ist neue Rolle hinzufügen, Netzwerkkonfiguration, Hostname setzen etc. Das geht in neueren Windows-Versionen eigentlich alles per Powershell und man kann die entsprechende Doku zurate ziehen. Konfiguration ist Passwortkomplexität einstellen, Energiesparmodus konfigurieren, Hintergrund setzen etc. Da würde ich so viel wie möglich per GPO machen. Dort sind die Einstellungen geordnet und erklärt. Diese Sachen lassen sich häufig nicht per Powershell machen bzw. es läuft dann auf Setzen von Registry-Keys hinaus, was mittels GPO viel einfacher geht.

Gibt es einen zwingenden Grund dafür? Ansonsten würde ich beim Benutzernamen bleiben, denn dieser ist garantiert eindeutig.

Es scheint zu funktionieren, wenn man die Forwarder konfiguriert: https://www.reddit.com/r/homelab/comments/kpyqxw/setting_up_active_directory_with_pihole_help/ Zu meinem Erstaunen scheint das gar keine so exotische Konfiguration zu sein. In den Foren gibt es Leute, die Pi-Hole redundant als VM betreiben und auch die Platzierung vor den DCs scheint üblich zu sein. (Da es sonst nicht sieht, von welchem Client eine Anfrage kommt und somit keine unterschiedlichen Filtersets angewendet werden können.) Bezüglich Stabilität hätte ich wenig Bedenken, da als Resolver das viel verwendete dnsmasq zum Einsatz kommt. Bedenken hätte ich eher, dass bei allzu forschem DNS-Blocking mehr Supportanfragen kommen, weil Apps oder Websites nicht mehr funktionieren, ohne eine Meldung zu zeigen.

Nachdem jetzt ein paar Wochen Erfahrungen gesammelt werden konnten, gebe ich gerne eine Rückmeldung: Das Update auf DSM 7.1 und Neu-Erstellen des SSD-Caches (damit das neue Verfahren verwendet wird) hat geholfen. Der Cache ist nun wesentlich intelligenter. Wenn die Disks nichts zu tun haben, wird der Inhalt des Caches auf die Disks geschrieben. Die Daten bleiben aber im Cache, einfach unter "überschreibbar" und nicht "verwendet". Kommen neue Daten dazu, werden sie überschrieben, ansonsten als Lese-Cache verwendet. (Der Cache ist für Veeam nicht unbedingt relevant, aber einfach zur Information, falls mal die Anschaffung einer Synology erwogen wird.) Ich habe eine LUN erstellt, diese per iSCSI an den Backupserver angehängt und mit ReFS (Clustergrösse 64K) formatiert. Danach im Veeam ein Repository erstellt und einen neuen Backupjob eingerichtet. (Wenn man die Backupdaten verschiebt und den bestehenden Job anpasst, wird Fast Clone nicht verwendet.) Resultat: Die Sicherungen laufen nun mit über 500 MB/s statt um die 30 MB/s. Zeitlich sind sie um einen grösseren Faktor schneller: elf Minuten statt sieben Stunden! Wie von Veeam versprochen benötigen die wöchentlichen Synthetic Fulls so gut wie keinen Speicherplatz. Besten Dank für die Unterstützung! Das Thema "Fast Clone" und damit die Nutzbarkeit von Forward Incremental ist komplett an mir vorbeigegangen.

Virenscanner müssen wesentlich mehr mit potenziell gefährlichen Daten machen als Mailserver. Sie müssen die Anhänge öffnen und analysieren. Dabei besteht die Möglichkeit, dass Sicherheitslücken im Viewer für einen Dateityp ausgenutzt werden. Auch deshalb ist es sinnvoll, den Virenscanner auf einem separaten System (muss nicht Windows sein) zu betreiben.

Hallo zusammen Eine Exchange-Umgebung (Exchange 2016, aktuelles CU, DAG aus zwei Servern) stellt Postfächer für mehrere Kunden bereit. Diese sind mittels Adressbuchrichtlinien voneinander getrennt. Nun kam es, wie es früher oder später kommen musste: Ein Benutzer arbeitet bei zwei Firmen auf diesem System und sollte zwei Postfächer im Outlook haben, je eines von Firma A und Firma B. Einrichten lässt sich das problemlos, aber Outlook bringt bei jedem Start und danach alle paar Stunden eine Kennwortabfrage. Gibt man die Zugangsdaten ein, funktioniert alles bis zur nächsten Abfrage. Wählt man "Anmeldeinformationen speichern", wird bei der nächsten Abfrage das Kennwort für das andere Konto abgefragt. Das Verhalten scheint logisch, da Outlook die Zugangsdaten in der Anmeldeinformationsverwaltung speichert und dort pro Server nur ein Eintrag stehen kann. Sobald eine neue Verbindung aufgebaut wird, funktioniert entweder das eine oder das andere Postfach. Bei mehreren Konten, die einander im Adressbuch sehen, funktioniert das meines Wissens aber. Was ist da anders? Lässt sich das überhaupt sinnvoll lösen? Mein Argument, dass Multi-Tenancy nur mit Exchange Online sauber funktioniert, wurde vom Kunden gekontert mit "dafür hat Microsoft ja extra die Adressbuchrichtlinien eingeführt". Kennt jemand das Problem und eine Lösung (oder weiss, dass es keine Lösung gibt)?

Wichtig ist zuerst einmal die gewünschte Funktionalität. Ist nur ein Paketfilter und VPN-Gateway gefragt, oder Reverse Proxy, Load Balancer und Clusterbetrieb? "Einfach" zu konfigurierende Firewalls können häufig nicht so viel. Da fällt mir ZyXEL ein: Einfaches Web-GUI, aber keine grosse Funktionalität, Clusterbetrieb etwas speziell gelöst. Die Sophos können sehr viel, gerade im Bereich Reverse Proxy. Habe aber keine grossen Erfahrungen damit. WatchGuard mag ich in grösseren Umgebungen, weil sie gut als Cluster laufen und über ein Windows-Tool konfiguriert werden können, was es ermöglicht, die Konfiguration (XML-Datei) zu versionieren. Ein Netzwerker im Freundeskreis schwört auf Fortinet, weil die sich am besten über CLI konfigurieren lassen.

Windows hat die MFT, also das Inhaltsverzeichnis von NTFS, im Cache und sieht deshalb Dateien nicht, die es nicht selbst hinzugefügt hat. Mir ist kein Weg bekannt, die MFT neu zu laden, ohne die Disk ab- und wieder anzuhängen. Man kann das jedoch mittels Script automatisieren. Erstelle dazu eine Textdatei "script.txt" mit folgendem Inhalt (angenommen, der Buchstabe der Partition ist Z): SELECT VOLUME Z REMOVE ASSIGN LETTER=Z Du kannst nun mittels Taskplaner "diskpart /s script.txt" das Dateisystem neu laden. Der Laufwerksbuchstabe verschwindet dabei kurz und erscheint dann wieder.

Unsere beiden Kater scheinen Weihnachtsgefühle zu haben und sind besonders anhänglich. Kann aber auch am Wetter liegen. Im Frühling haben sie dann wieder kaum Zeit für ihr Personal. Ich schliesse jetzt dann auch bald Visual Studio und den Android-Emulator. Jetzt gibt es ein paar Tage weniger Flutter, dafür mehr Futter. Ich danke euch allen für die guten Ratschläge und interessanten Diskussionen, die ihr mir das ganze Jahr über beschert habt und wünsche euch frohe Feiertage!

Ich würde noch weiter gehen und dafür sorgen, dass auch ein Angreifer mit Adminrechten in der Produktivumgebung die Sicherungen nicht zerstören kann. Virtualisierung ist da schon mal ein Vorteil, da auf Ebene Hypervisor gesichert werden kann und dieser nicht vom Produktivnetzwerk aus erreichbar sein muss. Für die Ablage der Sicherungen gibt es verschiedene Möglichkeiten: Tape, Veeam Cloud Connect mit Insider Protection, S3 mit Object Lock, neuerdings Hardened Repositories. Wichtig sind regelmässige Wiederherstellungs-Tests. Einmal im Monat eine zufällig ausgewählte Datei zurückholen und prüfen, ob sie sich öffnen lässt. Zusätzlich gibt es Lösungen zur automatischen Prüfung, zum Beispiel "Backup Verification" von Synology oder "SureBackup" von Veeam. Die starten VMs aus der Sicherung und schicken ein Video vom Bootvorgang (Synology) bzw. prüfen laufende Dienste (Veeam).

Das hilft tatsächlich oft. Deswegen haben viele Programmierer ein Quietscheentchen am Arbeitsplatz. Wenn man dem Entchen das Problem Schritt für Schritt erklärt, kommt man häufig selbst auf die Lösung.

Die cmd.exe sollte offen bleiben und warten, bis die Anwendung beendet wird und dann die Datei löschen (letzte Zeile). Mit etwas VBS (oder natürlich PS) kann man das Konsolenfenster verstecken, sodass der Benutzer es nicht beendet, bevor die Anwendung beendet wird.

Ohne die Software anzufassen, könnte man das so machen: Statt der Software starten die Benutzer eine Batchdatei, welche Folgendes macht: echo "%date% %time%" > \\server\share\%username%.txt anwendung.exe del \\server\share\%username%.txt Allenfalls noch etwas verfeinert mit neuem, unsichtbarem Cmd-Fenster. Der Chef könnte dann in der Freigabe nachschauen, von welchen Benutzern es eine Datei gibt.

In Sachen Benutzerfreundlichkeit war es früher tatsächlich besser. Da war das Verhalten wie beschrieben: Man hat den Haken gesetzt und bei der nächsten Anmeldung (= PC starten, Ctrl-Alt-Del drücken) musste der Benutzer das Kennwort ändern. Solange der PC lief, konnte er ohne Meldungen arbeiten. Damals hatte man aber nur Netzlaufwerke und Exchange ging noch über RPC, heute hat man viel über HTTPS, was auch tagsüber neue Anmeldungen auslöst. Setzt man den Haken abends, sind die Benutzer genervt, weil sie nach Feierabend von Meldungen auf dem Smartphone genervt werden, wegen ActiveSync. Man hat es nicht leicht, aber leicht hat es einen.