mwiederkehr

Das Problem ist gelöst oder besser gesagt Kerberos als Workaround implementiert. Mit CredSSP habe ich es unter keinen Umständen zum Laufen gebracht. Ich verstehe nicht, weshalb.

Deshalb habe ich den Tipp von @cj_berlin befolgt und Kerberos verwendet. Also eine Vertrauensstellung eingerichtet und die Delegation konfiguriert. Seither gibt es keine Berechtigungsprobleme mehr. Besten Dank!

Danke für Deine Antwort! Der Account ist nicht in der Protected Users-Gruppe. Es ist ein lokaler Admin-Account (aber nicht der "Administrator").

Die Domänen vertrauen sich nicht und ich wollte das nach Möglichkeit so lassen, da sich aktuell die DCs der beiden Domänen nicht sehen.

Hallo zusammen

Ich bringe es nicht fertig, VMs zwischen zwei Hosts in unterschiedlichen Domänen zu verschieben. CredSSP ist aktiviert und Trusted Hosts gesetzt. Ich kann die Hosts gegenseitig im Hyper-V-Manager hinzufügen und PowerShell-Sessions auf dem jeweils anderen Host starten. Kommandos wie "Get-VM" funktionieren, aber "Move-MV" bricht ab:

The operation on computer 'hostname' failed: WinRM cannot process the request. The following error with errorcode
0x8009030e occurred while using Kerberos authentication: A specified logon session does not exist. It may already have
been terminated.

Ebenso das Verschieben über den Hyper-V-Manager.

Live Migration ist auf beiden Hosts auf CredSSP gesetzt. Ich verwende jeweils den lokalen Administrator. Auch eine PS-Session vom Ziel- auf den Quellhost und darin Move-VM starten hat nicht geholfen.

Es scheint, also zwinge ihn irgendwas auf Kerberos. Hat jemand eine Idee?

Arbeitest Du mit Adminrechten? Eine Anwendung, die mit Benutzerrechten läuft, kann keine Systemdienste beenden. Allenfalls stürzt ein Dienst ab und reisst die Abhängigkeiten mit sich. Das wäre aber in der Ereignisanzeige protokolliert.

vor 2 Stunden schrieb Squire:

Wenn Du Veeam einsetzt, dann kannst Du das Backup mit Veeam selbst moven.

+1 auch von mir. Ich habe noch zu wenig Routine mit V12, deshalb war mir das Feature nicht präsent.

Falls noch kein V12 im Einsatz ist, würde ich einen Neuaufbau der Backups prüfen, um die neuen Features nutzen zu können.

vor 39 Minuten schrieb cj_berlin:

Du kannst die Volumes mit ziemlicher Sicherheit mounten. Allerdings sind reichlich Versionen, Bugfixes und Features dazwischen, so dass ich es lieber lassen würde.

Sehr guter Einwand! Bei ReFS ist viel mehr gegangen, als ich mir gedacht habe und es geht immer noch was.

Die Tabelle auf https://gist.github.com/0xbadfca11/da0598e47dd643d933dc zeigt, dass 2012 ReFS 1.2 unterstützt. Danach ging es mit 2016 direkt zu Version 3.1. Bei 2022 läuft 3.7.

Da 3.x nicht kompatibel ist mit 2012, kann man das Volume nicht einfach auf dem 2022er-Server formatieren und dann umhängen. Es gibt auch keinen Upgrade-Pfad von 1.x auf 3.x. Innerhalb von 3.x werden Volumes aber automatisch beim ersten Write-Mount aktualisiert.

Fazit: Besser den Speicher am neuen Server anhängen und formatieren und die bestehenden Sicherungen per SMB kopieren.

Veeam ist wohl der Anwendungsfall, in welchem ReFS am meisten Vorteile bringt. Nur ReFS kann man Fast Clone nutzen und bei Synthetic Fullbackups viel Datenträger-Auslastung und Speicherplatz sparen. Deshalb würde ich auf jeden Fall ReFS verwenden. Aber eben, nur in solchen Spezialfällen und nicht generell. (Habe letzte Woche wieder einen Hyper-V-Cluster gesehen, dessen Volumes mit ReFS formatiert waren, weil das "ja neuer ist"...)

vor einer Stunde schrieb karlh:

Mit PDF X-Change habe ich den ersten "kleinen" Erfolg. Ich kann hier keinen Text in der PDF markieren, was für mich so aussieht, als ob kein OCR Layer existiert. Ist aber kein Problem, das Archivsystem wird dann automatisch eine OCR Erkennung durchführen. 

 

Kann man das im PDF X-Change irgendwo einstellen (copy-paste verhindern oder ähnliches?)

Beim Drucken gehen unsichtbare Informationen (wie der OCR-Layer) verloren. Es ist wie ausgedruckt und wieder eingescannt, nur mit dem Unterschied, dass Vektorgrafiken und Schriften erhalten und nicht gerastert werden.

Falls es mit OCR im Archivsystem nicht klappt, könntest Du mit den PDF Tools von PDF X-Change einen Workflow einrichten, welcher OCR macht.

Wird eine spezielle Schriftart verwendet? Könntest Du zum Test eine andere Schriftart wählen? Sind irgendwelche Optionen zur Optimierung/Verkleinerung der erzeugten Datei aktiviert?

Ich kann problemlos PDFs mit dem virtuellen Drucker von PDF X-Change als PDF drucken und daraus Text kopieren.

Eine Zahl im Namen habe ich erst einmal erlebt, das wurde nicht als schön empfunden. Öfter gesehen habe ich, dass man den Vornamen abkürzt ("hp" statt "Hans-Peter") oder den Rufnamen verwendet ("Mike" statt "Michael").

Wiki.js ist nicht ohne Grund schnell bekannt geworden. Im Vergleich zu anderen Wikis ist es sehr komfortabel in der Bedienung. Leider, und das ist der Grund, weshalb ich es (noch) nicht einsetze, kann man keine Bilder direkt aus der Zwischenablage einfügen. Wenn man mit Screenshots arbeitet, ist das essenziell.

Von MediaWiki rate ich ab. Es ist sehr mächtig, schliesslich läuft die Wikipedia damit. Aber es scheint nur für diese oder ähnlich grosse Umgebungen gedacht zu sein. Updates bedingen häufig händische Anpassungen in Dateien, es wird auf Tools wie ImageMagick zugegriffen, was in restriktiven Hosting-Umgebungen nicht erlaubt ist etc.

Interessant ist BookStack. Es lässt sich komfortabel bedienen und das Rechtemodell scheint ausgeklügelt genug zu sein für den Einsatz in Unternehmen. Kenne es aber nicht im Detail, werde es aber definitiv bei Gelegenheit genauer anschauen.

Falls es auch eine Windows-Anwendung sein kann, würde ich Obsidian anschauen. Das läuft als native Anwendung und bietet den entsprechenden Komfort. Die Daten können zwischen mehreren Benutzern synchronisiert und mittels Plugin als Website exportiert werden. Schön ist, dass sich einfach interne Links erstellen lassen, welche dann auch grafisch dargestellt werden.

Einen Druckserver würde ich nicht per Inplace-Upgrade aktualisieren. Wenn ihr schon Datacenter-Lizenzen habt, würde ich lieber eine neue VM installieren und die Drucker exportieren und importieren. Dann die jeweils neusten Treiber installieren und in Ruhe im Parallelbetrieb testen.

Ich hätte den Fehler zuerst in der Firmware der Dockingstation vermutet, denn damit habe ich schon viel erlebt. Aber das kann ja nicht sein bei verschiedenen Herstellern.

Haben die Monitore alle die gleiche Auflösung? Oder werden die Monitore so getauscht, dass ein Arbeitsplatz, der vorher 2x Full-HD oder 1x Full-HD und 1x 4K hatte, neu 2x 4K hat und das die maximale Auflösung der Dockingstation übersteigt? Könnte sein, dass der DVI-Adapter die maximale Auflösung senkt.

Das geht wohl nur über Umwege: Speicherbelegung messen, Objekt erstellen, Speicherbelegung nochmals messen, Differenz bilden.

Damit weisst Du, wie viel mehr RAM das Script nach Instanziierung des Objekts benötigt. Je nachdem, wie das Objekt aufgebaut ist, benötigt es selbst aber weniger Speicher und ein Teil des Speichers ist frei, um vom Garbage Collector geleert zu werden. (Wenn man einem String ein Zeichen hinzufügt, wird ein neuer Speicherbereich alloziert und der String sowie der Zusatz werden dorthin kopiert. Der vorherige Speicherbereich wird als frei markiert. Wenn ein Objekt gewisse Felder durch String-Concatenation füllt, kann es viel als frei markierten Speicher geben.)

Etwas näher kommst Du der "Wahrheit" also noch, indem Du vor der ersten und zweiten Messung den Garbage Collector aufrufst.

Benutzer- und Gerätelizenzen können auch gemischt werden. Das lohnt sich aber nur in Ausnahmefällen. Wenn ein Unternehmen fünf Mitarbeiter im Büro beschäftigt (mit eigenem PC, Smartphone etc.) und 30 im Lager, welche sich zwei Rechner und ein MFC teilen, reichen fünf Benutzer- und drei Gerätelizenzen. Wenn man nicht aufpasst, wird man bei einem Audit ein paar Jahre später aber ziemlich sicher Probleme bekommen, weil in der Zwischenzeit Barcode-Scanner für die Lagermitarbeiter angeschafft wurden, die auf das ERP auf dem Server zugreifen oder Ähnliches.

vor 50 Minuten schrieb cj_berlin:

Viele haben halt ursprünglich angenommen, dass es zu aufwendig ist, fürs Phishing eine Firma anzumelden 🤣

Ist es das nicht? Der Aufwand ist sicher grösser, wenn man Ausweis und Handelsregisterauszug fälschen muss. Und vor allem: Die Prüfung würde durch Menschen durchgeführt. Ich hätte gehofft, die würden keine Zertifikate für Domains, deren Namen dem einer richtigen Bank ähnelt, ausstellen.

Ich finde es schade, dass EV-Zertifikate ihren Status verloren haben. "Beim Online-Banking muss die Adressleiste grün sein" war auch für Laien einfach zu merken.

Für die Berechnung der benötigten Device-CALs würde ich nur die Geräte zählen, die Dienste von einem Windows-Server beziehen müssen. Luftreiniger, Türklingel etc. kann man gut in ein separates VLAN stecken, welches DHCP und DNS von der Firewall bezieht. Wenn die Drucker eine fixe IP haben und kein Scan2Folder nutzen, benötigen sie ebenfalls keine Device-CAL, vorausgesetzt, das Gerät, von dem aus gedruckt wird, ist lizenziert.

Bei Exchange zählen die Benutzer im Sinne von Personen. Die Anzahl Mailboxen ist nicht relevant.

vor 31 Minuten schrieb franzjosef:

Sehe ich das außerdem richtig das die Server CALs genauso wie Exchange-CALs nur auf dem Papier bestehen und im Sinne von Vertrauen und nicht Registrierung sind? Lediglich der RDS bekommt Lizenzen eingetrichtert und "arbeitet" auch mit diesen?

Ja, das ist so. Bei Exchange unterscheidet der Key nur zwischen Standard und Enterprise. CALs trägt man nicht ein.

Das kommt leider immer wieder vor. Viele Leute geben URLs nicht in der Adressleiste ein oder verwenden ein Lesezeichen, sondern suchen in Google und nehmen das erste Resultat. Nur ist dieses gekaufte Werbung. Dank Unicode kommt man sehr einfach zu einer ähnlich aussehenden Domain. "meinebank.de.irgendwas.de" ist nicht nötig, man kann direkt "meᎥnebank.de" (man beachte das "i") nehmen. Dafür bekommt man problemlos ein SSL-Zertifikat.

Wie Nils schon erwähnt hat, gibt es keine Lösung dafür. Es kann helfen, auf der Firewall Verbindungen zu neu registrierten Domains zu blockieren.

Es wird zwar eine andere Datei gesucht, aber evtl. hilft das: https://learn.microsoft.com/en-us/exchange/troubleshoot/client-connectivity/owa-stops-working-after-update

Ich bin mehr oder weniger fassungslos über das Desaster. Weshalb wurde das Update nicht ein einziges Mal auf einer anderen Sprachversion getestet? Weshalb aktiviert der Installer die Dienste nicht wieder, wenn er doch ein Rollback macht? Und wer hatte (vor vielen Jahren) die überaus glorreiche Idee, Benutzernamen und Verzeichnisse zu lokalisieren?

Man muss gar nicht "mit Linux ist alles besser" propagieren; es reicht schon, wenn man zu SQL Server hinüberschaut. Dessen Setup akzeptiert zwar seit mindestens 18 Jahren immer noch kein "de-CH", aber ansonsten funktioniert alles.

Mich würde interessieren, ob der Fehler bei allen deutschen Installationen auftritt und falls ja, weshalb das die Kunden merken müssen. "If it compiles, ship it" und so...

1:1 Nils' Vorschlag setzt das Script auf https://lazyadmin.nl/office-365/migrate-users-home-drives-to-onedrive-for-business-with-powershell/ um. Dateien per Robocopy kopieren und bei Erfolg eine Textdatei im Quellverzeichnis hinterlegen. Zusätzlich prüft es per PowerShell-Modul, ob OneDrive fehlerfrei läuft, bevor es den Kopiervorgang startet.

Ein möglicher Nachteil dieser Variante ist, dass die Daten vollständig auf dem Rechner der Benutzer liegen. Direkt zu OneDrive hochladen könnte man sie mit Tools wie rclone, aber das kann nicht das vorhandene Auth-Token nutzen, sondern der Benutzer müsste sich separat anmelden. In den allermeisten Fällen wird der lokale Speicherplatz kein Problem sein.

Da das Aufräumen durch den Garbage Collector Ressourcen benötigt, macht er es nur, wenn nötig. Es bringt nichts, alle paar Millisekunden aufzuräumen, wenn vielleicht ein paar Sekunden später der ganze Prozess entsorgt werden kann. Ein Kriterium für das Starten des Aufräumvorgangs ist Speicherknappheit. Wahrscheinlich hast Du in Deinem Rechner genügend RAM, sodass es auf das Gigabyte mehr oder weniger nicht ankommt. Selbst wenn man den Garbage Collector mit "[System.GC]::Collect()" manuell startet, räumt er ohne Zwang nicht auf. Das scheint aber spezifisch für die PowerShell zu sein, bei .NET macht er es sonst schon. Zwingen kann man ihn mit "[System.GC]::GetTotalMemory(‘forcefullcollection’) | out-null". (Vorher muss natürlich die Variable mit "Clear-Variable" geleert werden.) Quelle: https://www.jhouseconsulting.com/2017/09/25/addressing-the-powershell-garbage-collection-bug-1825

Aber das sollte nicht notwendig sein. Ich betreibe .NET-Dienste, die wochenlang laufen und täglich grosse Datenmengen verarbeiten. Wenn man die Objekte sauber leert, macht der GC seine Arbeit zuverlässig und man hat keine Memory Leaks zu befürchten.

Der Einwand mit den Browser-Benachrichtigungen ist gut! Wenn man am falschen Ort auf "erlauben" klickt, können Benachrichtigungen eingeblendet werden, die aussehen, als kämen sie vom System. In denen steht dann auch häufig, der Virenscanner sei ausgefallen oder die Treiber seien veraltet. Diese Benachrichtigungen funktionieren über JavaScript-Web-Worker, also in der Browser-Sandbox und ohne Plugin.

Das habe ich schon öfter gesehen. Meist wurde auf eine der unseriösen Werbungen auf der Edge-Startseite geklickt. Man muss also nicht tief in böse Websites abtauchen.

Ein Kriterium wäre noch, wie aktuell das System beim "Befall" war und ob der Benutzer lokale Adminrechte hatte. Falls er Adminrechte hatte, ist das gesamte System als kompromittiert zu betrachten, andernfalls nur sein Profil. Profile schmeisse ich schon beim kleinsten Verdacht weg.