mwiederkehr

Langsam nicht, aber nicht so schnell wie mit Cache. Trotz vieler Diskussionen finden etwa die Hälfte der Benutzer das Arbeiten ohne Cache "mühsam". Es kommt wohl ganz auf die Arbeitsweise an: Wer E-Mails über die Suche aufruft, hat nicht viel Vorteil durch den Cache. Wer aber mit den Pfeiltasten navigiert und per Auge "sucht", merkt den Unterschied deutlich. Ein akzeptierter Kompromiss ist meist "Cache für einen Monat".

Eine Übersicht über alles ist mir nicht bekannt. Aber ich würde unterscheiden zwischen Installation und Konfiguration (wobei die Wortwahl nicht so passend ist). Installation ist neue Rolle hinzufügen, Netzwerkkonfiguration, Hostname setzen etc. Das geht in neueren Windows-Versionen eigentlich alles per Powershell und man kann die entsprechende Doku zurate ziehen. Konfiguration ist Passwortkomplexität einstellen, Energiesparmodus konfigurieren, Hintergrund setzen etc. Da würde ich so viel wie möglich per GPO machen. Dort sind die Einstellungen geordnet und erklärt. Diese Sachen lassen sich häufig nicht per Powershell machen bzw. es läuft dann auf Setzen von Registry-Keys hinaus, was mittels GPO viel einfacher geht.

Gibt es einen zwingenden Grund dafür? Ansonsten würde ich beim Benutzernamen bleiben, denn dieser ist garantiert eindeutig.

Es scheint zu funktionieren, wenn man die Forwarder konfiguriert: https://www.reddit.com/r/homelab/comments/kpyqxw/setting_up_active_directory_with_pihole_help/ Zu meinem Erstaunen scheint das gar keine so exotische Konfiguration zu sein. In den Foren gibt es Leute, die Pi-Hole redundant als VM betreiben und auch die Platzierung vor den DCs scheint üblich zu sein. (Da es sonst nicht sieht, von welchem Client eine Anfrage kommt und somit keine unterschiedlichen Filtersets angewendet werden können.) Bezüglich Stabilität hätte ich wenig Bedenken, da als Resolver das viel verwendete dnsmasq zum Einsatz kommt. Bedenken hätte ich eher, dass bei allzu forschem DNS-Blocking mehr Supportanfragen kommen, weil Apps oder Websites nicht mehr funktionieren, ohne eine Meldung zu zeigen.

Nachdem jetzt ein paar Wochen Erfahrungen gesammelt werden konnten, gebe ich gerne eine Rückmeldung: Das Update auf DSM 7.1 und Neu-Erstellen des SSD-Caches (damit das neue Verfahren verwendet wird) hat geholfen. Der Cache ist nun wesentlich intelligenter. Wenn die Disks nichts zu tun haben, wird der Inhalt des Caches auf die Disks geschrieben. Die Daten bleiben aber im Cache, einfach unter "überschreibbar" und nicht "verwendet". Kommen neue Daten dazu, werden sie überschrieben, ansonsten als Lese-Cache verwendet. (Der Cache ist für Veeam nicht unbedingt relevant, aber einfach zur Information, falls mal die Anschaffung einer Synology erwogen wird.) Ich habe eine LUN erstellt, diese per iSCSI an den Backupserver angehängt und mit ReFS (Clustergrösse 64K) formatiert. Danach im Veeam ein Repository erstellt und einen neuen Backupjob eingerichtet. (Wenn man die Backupdaten verschiebt und den bestehenden Job anpasst, wird Fast Clone nicht verwendet.) Resultat: Die Sicherungen laufen nun mit über 500 MB/s statt um die 30 MB/s. Zeitlich sind sie um einen grösseren Faktor schneller: elf Minuten statt sieben Stunden! Wie von Veeam versprochen benötigen die wöchentlichen Synthetic Fulls so gut wie keinen Speicherplatz. Besten Dank für die Unterstützung! Das Thema "Fast Clone" und damit die Nutzbarkeit von Forward Incremental ist komplett an mir vorbeigegangen.

Virenscanner müssen wesentlich mehr mit potenziell gefährlichen Daten machen als Mailserver. Sie müssen die Anhänge öffnen und analysieren. Dabei besteht die Möglichkeit, dass Sicherheitslücken im Viewer für einen Dateityp ausgenutzt werden. Auch deshalb ist es sinnvoll, den Virenscanner auf einem separaten System (muss nicht Windows sein) zu betreiben.

Hallo zusammen Eine Exchange-Umgebung (Exchange 2016, aktuelles CU, DAG aus zwei Servern) stellt Postfächer für mehrere Kunden bereit. Diese sind mittels Adressbuchrichtlinien voneinander getrennt. Nun kam es, wie es früher oder später kommen musste: Ein Benutzer arbeitet bei zwei Firmen auf diesem System und sollte zwei Postfächer im Outlook haben, je eines von Firma A und Firma B. Einrichten lässt sich das problemlos, aber Outlook bringt bei jedem Start und danach alle paar Stunden eine Kennwortabfrage. Gibt man die Zugangsdaten ein, funktioniert alles bis zur nächsten Abfrage. Wählt man "Anmeldeinformationen speichern", wird bei der nächsten Abfrage das Kennwort für das andere Konto abgefragt. Das Verhalten scheint logisch, da Outlook die Zugangsdaten in der Anmeldeinformationsverwaltung speichert und dort pro Server nur ein Eintrag stehen kann. Sobald eine neue Verbindung aufgebaut wird, funktioniert entweder das eine oder das andere Postfach. Bei mehreren Konten, die einander im Adressbuch sehen, funktioniert das meines Wissens aber. Was ist da anders? Lässt sich das überhaupt sinnvoll lösen? Mein Argument, dass Multi-Tenancy nur mit Exchange Online sauber funktioniert, wurde vom Kunden gekontert mit "dafür hat Microsoft ja extra die Adressbuchrichtlinien eingeführt". Kennt jemand das Problem und eine Lösung (oder weiss, dass es keine Lösung gibt)?

Wichtig ist zuerst einmal die gewünschte Funktionalität. Ist nur ein Paketfilter und VPN-Gateway gefragt, oder Reverse Proxy, Load Balancer und Clusterbetrieb? "Einfach" zu konfigurierende Firewalls können häufig nicht so viel. Da fällt mir ZyXEL ein: Einfaches Web-GUI, aber keine grosse Funktionalität, Clusterbetrieb etwas speziell gelöst. Die Sophos können sehr viel, gerade im Bereich Reverse Proxy. Habe aber keine grossen Erfahrungen damit. WatchGuard mag ich in grösseren Umgebungen, weil sie gut als Cluster laufen und über ein Windows-Tool konfiguriert werden können, was es ermöglicht, die Konfiguration (XML-Datei) zu versionieren. Ein Netzwerker im Freundeskreis schwört auf Fortinet, weil die sich am besten über CLI konfigurieren lassen.

Windows hat die MFT, also das Inhaltsverzeichnis von NTFS, im Cache und sieht deshalb Dateien nicht, die es nicht selbst hinzugefügt hat. Mir ist kein Weg bekannt, die MFT neu zu laden, ohne die Disk ab- und wieder anzuhängen. Man kann das jedoch mittels Script automatisieren. Erstelle dazu eine Textdatei "script.txt" mit folgendem Inhalt (angenommen, der Buchstabe der Partition ist Z): SELECT VOLUME Z REMOVE ASSIGN LETTER=Z Du kannst nun mittels Taskplaner "diskpart /s script.txt" das Dateisystem neu laden. Der Laufwerksbuchstabe verschwindet dabei kurz und erscheint dann wieder.

Unsere beiden Kater scheinen Weihnachtsgefühle zu haben und sind besonders anhänglich. Kann aber auch am Wetter liegen. Im Frühling haben sie dann wieder kaum Zeit für ihr Personal. Ich schliesse jetzt dann auch bald Visual Studio und den Android-Emulator. Jetzt gibt es ein paar Tage weniger Flutter, dafür mehr Futter. Ich danke euch allen für die guten Ratschläge und interessanten Diskussionen, die ihr mir das ganze Jahr über beschert habt und wünsche euch frohe Feiertage!

Ich würde noch weiter gehen und dafür sorgen, dass auch ein Angreifer mit Adminrechten in der Produktivumgebung die Sicherungen nicht zerstören kann. Virtualisierung ist da schon mal ein Vorteil, da auf Ebene Hypervisor gesichert werden kann und dieser nicht vom Produktivnetzwerk aus erreichbar sein muss. Für die Ablage der Sicherungen gibt es verschiedene Möglichkeiten: Tape, Veeam Cloud Connect mit Insider Protection, S3 mit Object Lock, neuerdings Hardened Repositories. Wichtig sind regelmässige Wiederherstellungs-Tests. Einmal im Monat eine zufällig ausgewählte Datei zurückholen und prüfen, ob sie sich öffnen lässt. Zusätzlich gibt es Lösungen zur automatischen Prüfung, zum Beispiel "Backup Verification" von Synology oder "SureBackup" von Veeam. Die starten VMs aus der Sicherung und schicken ein Video vom Bootvorgang (Synology) bzw. prüfen laufende Dienste (Veeam).

Das hilft tatsächlich oft. Deswegen haben viele Programmierer ein Quietscheentchen am Arbeitsplatz. Wenn man dem Entchen das Problem Schritt für Schritt erklärt, kommt man häufig selbst auf die Lösung.

Die cmd.exe sollte offen bleiben und warten, bis die Anwendung beendet wird und dann die Datei löschen (letzte Zeile). Mit etwas VBS (oder natürlich PS) kann man das Konsolenfenster verstecken, sodass der Benutzer es nicht beendet, bevor die Anwendung beendet wird.

Ohne die Software anzufassen, könnte man das so machen: Statt der Software starten die Benutzer eine Batchdatei, welche Folgendes macht: echo "%date% %time%" > \\server\share\%username%.txt anwendung.exe del \\server\share\%username%.txt Allenfalls noch etwas verfeinert mit neuem, unsichtbarem Cmd-Fenster. Der Chef könnte dann in der Freigabe nachschauen, von welchen Benutzern es eine Datei gibt.

In Sachen Benutzerfreundlichkeit war es früher tatsächlich besser. Da war das Verhalten wie beschrieben: Man hat den Haken gesetzt und bei der nächsten Anmeldung (= PC starten, Ctrl-Alt-Del drücken) musste der Benutzer das Kennwort ändern. Solange der PC lief, konnte er ohne Meldungen arbeiten. Damals hatte man aber nur Netzlaufwerke und Exchange ging noch über RPC, heute hat man viel über HTTPS, was auch tagsüber neue Anmeldungen auslöst. Setzt man den Haken abends, sind die Benutzer genervt, weil sie nach Feierabend von Meldungen auf dem Smartphone genervt werden, wegen ActiveSync. Man hat es nicht leicht, aber leicht hat es einen.

Wir Schweizer haben (nicht nur diesbezüglich ) den Hang zum Neutralen: das E-Mail, das SMS, das Tram. Aber: der PIN, der Butter.

Ja, es erzeugt die doppelte Schreiblast im Vergleich zu Forward Incremental (1x lesen, 2x schreiben vs. 1x lesen, 1x schreiben). Dafür entfällt die Belastung durch (Synthetic) Fulls. Das ist eine gute Idee. Ist mir gar nicht eingefallen, die zu fragen. Hatte in der Vergangenheit bei anderen Herstellern die Erfahrung gemacht, dass man einfach ein paar Links zugeschickt bekommt, aber nicht direkt etwas aus der Praxis. Dass 64 KB Chunk Size nicht ihrer Empfehlung entsprechen, habe ich selbst in der Doku gefunden. Aber der Kunde hat genug bezahlt für Lizenz & Support, da kann ich mal anfragen. Es scheint (wenn der Storage schnell genug ist) die eleganteste Lösung zu sein: Die aktuelle Sicherung ist immer die Vollsicherung, die Wiederherstellung also schnell. Und es entfallen Aufwand und Speicherbedarf für (synthetische) Vollsicherungen. (Wobei die Geschwindigkeit mit ReFS kein Problem mehr sein sollte, wenn ich die Doku richtig verstanden habe.)

BSD. Habe den besten TCP/IP-Stack. Ob Open-, Free- oder NetBSD ist noch Gegenstand erbitterter Diskussionen. Was bezüglich WAF zu beachten ist: Böse Anfragen haben nicht "ich bin böse" angeschrieben. Wenn es nicht gerade um SQL-Statements im Querystring geht, ist ein auf die Anwendung angepasstes Ruleset wichtig. Als Basis nimmt man sicher das Ruleset des Herstellers (oder OWASP). Das ist vergleichbar mit signaturbasierter Malware-Erkennung. Dann ergänzt man es durch anwendungsspezifische Regeln. Im Idealfall ist dann, wie bei Paketfiltern, alles verboten, ausser was erlaubt ist. Für Exchange, WordPress & Co. gibt das (gegen Geld) vom Hersteller, sonst muss man selbst ran und wissen, wie weit man gehen will.

Entschuldige, ich habe nicht verstanden, dass der Webserver nicht in der Domäne ist. Du könntest eine Kommandozeile mit dem Benutzer des Anwendungspools starten und mittels "cmdkey.exe /add:server.domain.com /user:username /pass" Anmeldeinformationen für die Freigabe hinterlegen. Danach sollte die Anwendung über UNC-Pfade \\server.domain.com\freigabe auf die Daten zugreifen können.

Die Fälle, in denen eine Website im IIS (oder sonst einem Webserver) mit Adminrechten laufen sollte, lassen sich an einer Hand abzählen und Dein Fall zählt wohl nicht dazu. Statische Dateien ruft der IIS über den Benutzer ab, den Du einträgst. Anwendungen laufen im Kontext des Anwendungspools. Du musst einen Domänenbenutzer mit den notwendigen Rechten erstellen und den Anwendungspool darunter laufen lassen. Dem Benutzer kannst Du (Lese-)Rechte auf das inetpub-Verzeichnis erteilen. Schränke den Benutzer so weit wie möglich ein. Da ich "veröffentlichen" und "Datenbank" gelesen habe: Falls es sich um einen Microsoft SQL Server handelt, beachte die Lizenzierung.

Hallo zusammen Ein Kunde hat sich über zu lange dauernde Backups beschwert. Diese werden nicht mehr innerhalb der Nacht fertig. Er hat einen Hyper-V-Cluster (Windows Server 2019) mit vier Hosts und ca. 150 VMs. Die Backups laufen über einen separaten Server mit Veeam Backup & Replication 11a. Der Datenbestand im Repository beträgt 80 TB, die tägliche Änderung ca. 500 GB. Die Sicherungen sind als Reverse Incremental mit 90 Tagen Rückhaltezeit konfiguriert. Der Speicher liegt auf einer Synology Rackstation und ist über SMB mit 10 Gig angebunden. Es besteht ein RAID 6 aus 12 x 12 TB SATA-Disks (7.2k). Zusätzlich ist ein SSD-Cache mit 2x 1.8 TB (RAID 1) konfiguriert. Veeam sind das Bottleneck beim Target und wenn ich auf die Synology schaue, ist der Durchsatz nicht das Problem, aber sie kommt nicht über 200 IOPS beim Schreiben. Aus meiner Sicht bestehen folgende Probleme: - Bei der Synology ist die Chunk Size 64 KB und lässt sich (ausser inoffiziell mit mdadm über SSH) nicht anpassen. Wenn Veeam mit 256 oder 512 KB kommt, werden zu viele Disks beschäftigt. - Der SSD-Cache auf der Synology schreibt die Daten erst auf die Disks, wenn er fast voll ist. Er ist somit in diesem Szenario nur von beschränktem Nutzen. Zur Verbesserung fällt mir als Erstes ein anderer RAID-Level ein. Mit RAID 10 sollte sich eine massive Verbesserung erzielen lassen. Wäre eine Umstellung von SMB auf iSCSI (mit ReFS) und Umstellung auf Forward Incremental ratsam? Ich kenne die Theorie, aber die Erfahrung mit Repositories dieser Grösse fehlt mir. Damit ich keine falsche Empfehlung abgebe, bin ich froh um Ratschläge. Wie sehen eure Speicher in dieser Grössenordnung aus? Besten Dank für eure Erfahrungsberichte.

Die detaillierten Fehlermeldungen kannst Du im IIS Manager unter "Fehlerseiten" - "Featureeinstellungen bearbeiten" - "detaillierte Fehlermeldungen" aktivieren. Wenn die gesamte Website und nicht nur der Node-Teil nicht mehr funktioniert nach Hinzufügen der Änderung, liegt wohl ein Syntaxfehler in der web.config vor. Das sollte in der Ereignisanzeige protokolliert werden.

Eine Möglichkeit wäre das hier schon diskutierte OpenPasswordFilter: https://www.mcseboard.de/topic/222097-openpasswordfilter-meinungen/ Wobei ich aber die Anforderungen anpassen und nicht zusätzliche Software einsetzen würde. Die sicherste Software ist die, die man nicht einsetzt.

Meine Kenntnisse der Stochastik sind zu eingerostet, um beweisen zu können, dass die Wahrscheinlichkeit dafür bei zufälligen Passwörtern mit Sonderzeichen sehr klein ist. Aber ich glaube, es liegt ein Missverständnis vor. Die Definition der Regel gemäss Microsoft: Quelle: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh994562(v=ws.11) "Substrings of the tokens are not checked" heisst, dass keine Teile von Namen geprüft werden. Ein "Hans Muster" kann also schon "ans" oder "ust" im Kennwort haben.

Error 500 kann leider so ziemlich alles sein. Von einem Fehler im IIS (falsche Syntax in Konfiguration) über Fehler in IISNode (Konfiguration, fehlende Voraussetzungen) bis zu einem Fehler in der ausgeführten Anwendung. Schalte mal detaillierte Fehler ein, schau in die Ereignisanzeige und aktiviere die Ablaufverfolgung für Anforderungsfehler. Bei IISNode sind Beispiele dabei, die man mit einer Batch-Datei installieren kann. Laufen diese?