TechNet · Englische TechNet Blogs · TechNet Deutschland · itproblogs.de · .NET Blogs

Nail Own: Windows Server 2016 ist RTM!

Am gestrigen Montag nachmittag war es wie angekündigt soweit: Windows Server 2016 ist fertig – die RTM Version ist pünktlich zur „Ignite“ erschienen: » https://blogs.technet.microsoft.com/hybridcloud/2016/09/26/announcing-the-launch-of-windows-server-2016/ Die Evaluation-Version ist bereits als Download online, für die Allgemeinheit wird der neue Server 2016 … Weiterlesen

Michael Greth: Bis 30.9. Freikarten für SharePoint Konferenzen gewinnen

Nach dem Sommer geht es wieder los mit vielen Veranstaltungen zu Office365, SharePoint, Azure und Co. Und für einige dieser Veranstaltungen haben wir Freikarten bekommen, die wir über die Kanäle der SharePointCommunity verlosen.

Das sind die Gewinne:

Das musst Du machen um zu gewinnen

Abonniere unseren Newsletter, den wir ab Oktober regelmäßig herausgeben werden und der die wichtigsten Infos zu Office365, SharePoint, Community Events und mehr in regelmäßiger Folge in Deine Inbox bringt. Klicke im Anmeldeformular "Gewinnspiel0916" an und vergiss nicht die Opt-In-Email zu bestätigen. Falls Du den Newsletter bereits abonniert hast, kannst Du eine Email an info (at) mysharepoint.de mit dem Betreff "Gewinnspiel0916" schicken. Einsendeschluss ist der 30.9.2016, ausgelost wird am 1.10.2016. Wenn Du zu den glücklichen Gewinnern gehörst, benachrichtigen wir Dich über Deine Emailadresse. Der Rechtsweg ist ausgeschlossen, wir danken den Sponsoren.

faq-o-matic: AD: Standardobjekte umbenennen

In Umgebungen, die mehr als eine Sprache für die Betriebssysteme ihrer Server einsetzen, sind bisweilen die Standardobjekte des Active Directory in der falschen Sprache. Da es im AD grundsätzlich problemlos möglich ist, die Objektnamen von Usern und Gruppen zu ändern, kann man das auch in diesen Fällen tun. Die Tücke steckt hier im Detail, denn ein einfaches Umbenennen ist tatsächlich nicht für alle Objekte möglich.

Der Microsoft-Engineer Michael Fromm hat bereits vor einiger Zeit ein Skript veröffentlicht, mit dem man das Umbenennen strukturiert vornehmen kann. Es arbeitet in zwei Schritten: Der erste Durchlauf exportiert die betreffenden Objekte in eine Textdatei. Diese bearbeitet man und gibt dadurch die gewünschten Namen vor. Im zweiten Schritt verarbeitet das Skript die Datei und benennt die Objekte mit der jeweils geeigneten Methode um. Dabei prüft es auch vorhandene Gruppenrichtlinien, um bei Bedarf auch dort die neuen Namen einzutragen.

[Skript Rename standard security principals]
https://gallery.technet.microsoft.com/scriptcenter/81b1643f-7fc7-4df1-a289-8e3a4780a5f2

faq-o-matic: Microsoft-Konten: Künftig nicht mehr mit Firmen-Mailadresse

Microsoft hat den Prozess zum Erzeugen neuer Microsoft-Konten (früher als “Live-ID” bekannt) geändert. Künftig wird es nicht mehr möglich sein, einen persönlichen Account mit einer Firmen-Mailadresse zu erzeugen, sofern die Mail-Domain der Firma bereits in Azure eingerichtet ist.

Bestehende Konten sind hiervon nicht betroffen, die Änderung bezieht sich nur auf neue Konten. Der Hintergrund ist, dass gerade in großen Unternehmen, die mit Microsofts Cloud-Diensten arbeiten, immer wieder Namenskonflikte auftreten, die bei der Anmeldung hinderlich sind.

Näheres dazu:

[blog.atwork.at | No more ORG email addresses for MSA]
http://blog.atwork.at/post/2016/09/16/No-more-ORG-email-addresses-for-MSA

Dieter Rauscher: Cumulative Update 14 für Exchange Server 2013

Seit heute ist das vierzehnte Cummulative Update für Exchange Server 2013 verfügbar. Die Versionsnummer erhöht sich dadurch auf 15.00.1236.003.

Die Liste der behobenen Fehler findet ihr im KB-Artikel 3177670.

Weitere Informationen:

Viele Grüße
Dieter


Dieter Rauscher
MVP Cloud and Datacenter Management

Dieter Rauscher: Cumulative Update 3 für Exchange Server 2016

Seit heute ist das dritte Cummulative Update für Exchange Server 2016 verfügbar. Die Versionsnummer erhöht sich dadurch auf 15.01.0544.027.

Die Liste der behobenen Fehler findet ihr im KB-Artikel 3152589.

Was ist neu? Im Wesentlichen:

Windows Server 2016 Support

Windows Server 2016 support is now available with Exchange Server 2016 Cumulative Update 3. Customers looking to deploy Windows Server 2016 in their Exchange environments require Exchange Server 2016 Cumulative Update 3 or later. Domain Controllers running Windows Server 2016 are supported provided Forest Functional Level is Windows Server 2008R2 or later. Exchange does not currently support any new functionality provided by the updated operating system except for improved restart support in the Windows Installer. Installing Exchange on Windows Server 2016 provides a seamless installation experience including pre-requisites. Exchange Server 2013 will not be supported on Windows Server 2016.

Weitere Informationen:

Viele Grüße
Dieter


Dieter Rauscher
MVP Cloud and Datacenter Management

Scolab: WhatsApp Evolution – Sharepocalypse 36

WhatsApp Nutzer bringen unsere Gesellschaft ins datenschutztechnische Verderben… mit Anlauf und für Generationen. Warum uns zwei Bücher, über BigData und künstliche Intelligenz, vor Angst zittern lassen. Die WhatsApp Evolution – Nichts ist gratis Es ist eben doch nichts gratis. Das … Weiterlesen

Der Beitrag WhatsApp Evolution – Sharepocalypse 36 erschien zuerst auf Scolab.

SharePointPodcast: SPPD352 Back again mit Gewinnspiel


352Nach 2 Monaten kreativer Pause melde ich mich zurück mit einem kurzen Update und habe ein Gewinnspiel, Infos zum ShareCamp 2017 und unserem neuen Newsletter mitgebracht.

Links

Flattr this!

Arnd Rößner: WSUS 3.0 SP2 Support endet 2017

Der Support für WSUS 3.0 SP2 wird im Juli 2017 eingestellt.Daher wird empfohlen, die vorhandenen WSUS Server unter Windows Server 2008/R2 auf Windows Server 2012 R2 bzw. auf Windows Server 2016 zu migrieren. WSUS Team Blog Viele Grüße Arnd Rößner

faq-o-matic: Solid State Disk bei Dell

Ich habe bei Dell eine amüsante Übersetzung für SSD gefunden:

image

Vielleicht ist das noch keinem aufgefallen. Zwinkerndes Smiley

Arnd Rößner: Letzter klassischer Microsoft-Patchday bringt sieben kritische Updates

Letzter klassischer Microsoft-Patchday bringt sieben kritische Updates – heise online

Carsten Rachfahl [Private Cloud]: Microsoft Azure: Virtuelle Maschine erstellen

faq-o-matic: Access-based Enumeration (ABE): Hintergründe und Empfehlungen

Ein lesenswerter Artikel auf dem Active-Directory-Blog im TechNet beschreibt einige Hintergründe zur Access-based Enumeration (ABE). Diese Funktion ermöglicht es, dass ein User nur die Ordner und Dateien einer Windows-Freigabe angezeigt bekommt, für die er auch tatsächlich Berechtigungen hat.

ABE ist bei Dateiserver-Admins beliebt, weil sie komplexe Ordnerstrukturen für den Anwender besser handhabbar macht. Gleichzeitig gilt sie als Sicherheitsfunktion, weil Anwender erst gar nicht die Existenz bestimmter sensibler Objekte wahrnehmen. Die Nachteile der ABE sind hingegen weit weniger bekannt.

Der Artikel, Teil 1 einer zweiteiligen Reihe, findet sich hier:

[Access-Based Enumeration (ABE) Concepts (part 1 of 2) | Ask the Directory Services Team]
https://blogs.technet.microsoft.com/askds/2016/09/01/access-based-enumeration-abe-concepts-part-1-of-2/

Dieter Rauscher: cim Lingen – die Vorträge

Wie gestern schon berichtet, sind inzwischen fast alle Vorträge der cim Lingen (27.08.2016) online verfügbar.

Ihr findet die Vorträge hier bei Youtube.

Viel Spaß dabei!

Besonders empfehle ich euch folgende Vorträge (hey, die anderen sind nicht schlechter!):

Viel Spaß dabei!

Viele Grüße
Dieter


Dieter Rauscher
MVP Cloud and Datacenter Management

Arnd Rößner: Cloud im Mittelstand – was heißt das für mich?

Schiss vor der Cloud? von Aurel Butz Wie bitte, darf man so weit gehen? Aber wie plakativ muss man jemanden ansprechen, wenn es darum geht, gegen die typischen Vorurteile anzukämpfen wie „Die Cloud ist unsicher – da haben doch eh NSA und CIA ihre Finger im Spiel“ oder „IT ist für mich immer noch am […]

Arnd Rößner: Cloud im Mittelstand – was heißt das für mich?

Schiss vor der Cloud? von Aurel Butz Wie bitte, darf man so weit gehen? Aber wie plakativ muss man jemanden ansprechen, wenn es darum geht, gegen die typischen Vorurteile anzukämpfen wie „Die Cloud ist unsicher – da haben doch eh NSA und CIA ihre Finger im Spiel“ oder „IT ist für mich immer noch am […]

Arnd Rößner: Cloud im Mittelstand – was heißt das für mich?

Schiss vor der Cloud? von Aurel Butz Wie bitte, darf man so weit gehen? Aber wie plakativ muss man jemanden ansprechen, wenn es darum geht, gegen die typischen Vorurteile anzukämpfen wie „Die Cloud ist unsicher – da haben doch eh NSA und CIA ihre Finger im Spiel“ oder „IT ist für mich immer noch am […]

Arnd Rößner: Cloud im Mittelstand – was heißt das für mich?

Schiss vor der Cloud? von Aurel Butz Wie bitte, darf man so weit gehen? Aber wie plakativ muss man jemanden ansprechen, wenn es darum geht, gegen die typischen Vorurteile anzukämpfen wie „Die Cloud ist unsicher – da haben doch eh NSA und CIA ihre Finger im Spiel“ oder „IT ist für mich immer noch am […]

Dieter Rauscher: Mein Vortrag zu Microsoft ATA von der cim Lingen

Am 27. August 2016 habe ich auf der Community Veranstaltung “cim Lingen” einen Vortrag gehalten:

Warum und wie sollte man Identitäten schützen?

Traditionelle Sicherheitslösungen sind erfreulicherweise in den meisten Unternehmen vorhanden aber schützen meist nur Endgeräte und Daten. Doch wie steht es um den Schutz von Identitäten? Nahezu jede Woche ist in den Nachrichten zu lesen, dass irgendwo Zugangsdaten gestohlen und missbraucht wurden. Welche Möglichkeiten gibt es, einen Identitätsmissbrauch im Unternehmensbereich zu erkennen und wie reagiert man darauf? Microsoft Advanced Threat Analytics (ATA) ist eine mögliche Antwort auf diese Frage und wird in diesem Vortrag behandelt.

Der Vortrag – wie auch alle anderen auch – wurde aufgenommen und ist nun auf YouTube verfügbar:

Viel Spaß!

Viele Grüße
Dieter


Dieter Rauscher
MVP Cloud and Datacenter Management

 

 

 

 

faq-o-matic: cim 2016: Die Videos sind online

Das Orga-Team der cim Lingen hat sich selbst übertroffen und die Video-Aufzeichnungen der diesjährigen Konferenz in Rekordzeit online gestellt.

Hier finden sich die Videos – natürlich kostenlos wie die Konferenz selbst:

[itemsland – YouTube]
https://www.youtube.com/user/itemslandlingen

faq-o-matic: Hyper-V-Training: Noch Plätze frei

Für das Hyper-V-Training, das ich am 28. September 2016 in Dortmund für die Zeitschrift “IT-Administrator” halte, sind noch Teilnehmerplätze erhältlich. Bei den beiden anderen Terminen in Hamburg und Dietzenbach (bei Frankfurt) wird es jetzt langsam eng.

Wer noch Interesse hat oder wer sich gleich anmelden möchte, findet alles Wichtige hier:

[IT-Administrator Workshops]
https://www.it-administrator.de/trainings/210433.html

Arnd Rößner: Privat–Blick über den Gartenzaun

Dies ist mein Ausblick vom Büro im HomeOffice – Das Allgäu ist so etwas von schön. Viele Grüße Arnd Rößner

Arnd Rößner: PartnerWerbung–Terrabit GmbH

Arnd Rößner: Das ändert sich bei den Windows-Updates

Windows Servicing Model: Das ändert sich bei den Windows-Updates – SearchSecurity.de Viele Grüße Arnd Rößner

faq-o-matic: AD-Gruppen leeren, in denen verwaiste Objekte Mitglied sind

Bei einem Kunden sollte eine Reihe von AD-Gruppen komplett geleert werden. OK, kein größeres Problem – dachten wir.

Ein Weg, das per PowerShell zu machen, geht so:

Get-ADGroupMember "test_group" | ForEach-Object {Remove-ADGroupMember "test_group" $_ -Confirm:$false}

Funktionierte hier aber nicht – die PowerShell gab “Unspecified Errors” zurück. Wie sich herausstellte, lag die Ursache an verwaisten Objekten, die als Mitglieder der Gruppen geführt wurden. Diese zeigte das AD-Verwaltungsprogramm auch nur als SID an.

So ein Phänomen kann im Normalbetrieb gar nicht auftreten, denn wenn man einen User löscht, dann wird er automatisch aus seinen Gruppen entfernt. Hier war die Situation aber eine andere: Die verwaisten Objekte gehörten zu einer anderen Domäne, zu der vorher einmal eine Vertrauensstellung bestanden hatte. Diese Vertrauensstellung gab es aber nicht mehr.

Als Workaround fanden wir folgendes Verfahren, das zwar nicht richtig elegant ist, aber immerhin schnell arbeitet:

  • Wir legten im AD eine neue, leere Dummy-Gruppe an.
  • Nun ersetzten wir die Mitgliedslisten der betroffenen Gruppen pauschal durch eine neue Liste, die nur die Dummy-Gruppe enthielt:
dsmod group "CN=test_group,OU=Gruppen,DC=beispiel,DC=tld" -chmbr "CN=Dummy160704-1,OU=Gruppen,DC=beispiel,DC=tld"
  • Am Ende löschten wir die Dummy-Gruppe.

faq-o-matic: USB in Hyper-V: Was geht und was nicht

Eric Siron hat in einem umfangreichen Artikel dargelegt, unter welchen Umständen man USB-Geräte mit Hyper-V verwenden kann. Viel mehr ist dazu in der Tat nicht zu sagen. Zwinkerndes Smiley

[Hyper-V USB Passthrough: 3 Alternatives to add USB support]
http://www.altaro.com/hyper-v/hyper-v-usb

Marc Grote: Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – Einrichtungen und Verwalten von privaten Clouds mit System Center 2016 Virtual Machine Manager

Hallo Leutz,

fuer die August 2016 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema “Einrichtungen und Verwalten von privaten Clouds mit System Center 2016 Virtual Machine Manager” geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Marc Grote: Artikel fuer die Printausgabe des IT Administrator (www.it-administrator.de) – System Center 2016 – Neuerungen im Clientmanagement

Hallo Leutz,

fuer die September 2016 Ausgabe der Print Ausgabe des IT Administrator habe ich einen Artikel zum Thema “System Center 2016 – Neuerungen im Clientmanagement” geschrieben.
Weitere Informationen findet man hier: http://www.it-administrator.de

Gruss Marc

Michael Greth: 25 Veranstaltungstipps im September aus der SharePointCommunity

Der Sommer neigt sich dem Ende und die Eventsaison geht wieder los - unser Terminkalender ist prall gefüllt mit spannenden Webinaren, Partnerveranstaltungen und natürlich auch den beliebten User Group Treffen (ganz neu auch in Kiel) und Meetups.

NEU! Abonniere den SharePointCommunity Newsletter

Die wichtigsten Informationen und Termine aus der Community in Deiner Inbox Jetzt hier gratis abonnieren.

Events im September 2016

faq-o-matic: Microsoft: Standardkennwörter sind das Hauptproblem

imageMicrosoft Research hat vor einigen Wochen eine lesenswerte Studie zur Kennwortsicherheit veröffentlicht, die mit einigen (teils liebgewonnenen) Mythen zum Thema aufräumt. Die Forscher haben sich dabei auf Erkenntnisse aus Microsofts Online-Umgebungen konzentriert, vorrangig auf Microsoft-Konten. Die meisten Erkenntnisse lassen sich aber durchaus verallgemeinern.

  • Das wichtigste Ergebnis: Das größte Sicherheitsproblem sehen die Forscher in Standardkennwörtern. Recht eindrucksvoll belegen sie, dass schon recht simple Negativlisten von beliebten Kennwörtern das Sicherheitsniveau drastisch erhöhen können.
  • Kaum ein gutes Wort lässt die Studie an den typischen Gepflogenheiten, Anwender zu sehr langen Kennwörtern oder solchen mit einer komplexen Vorgabe von Zeichen zu nötigen. Hier argumentieren sie mit den praktischen Auswirkungen, dass Anwender dadurch zu sehr leicht vorhersagbaren Ausweichmustern greifen.
  • Wenig überraschend: Die Studie empfiehlt dringend, von einfacher Kennwort-Authentifizierung zu anderen Verfahren zu wechseln, insbesondere zur Multifaktor-Authentifizierung.

Hier die Zusammenfassung der Studie (der Download-Button ist oben links):

[Password Guidance – Microsoft Research]
https://www.microsoft.com/en-us/research/publication/password-guidance/

Meine Anmerkung: Ich werde seit Jahren nicht müde, Administratoren den Einsatz langer Kennwörter zu empfehlen, vorzugsweise Kennwortsätze. Die Empfehlungen der Studie scheinen hier eher das Gegenteil zu empfehlen. Trotzdem sehe ich meine Forderung damit nicht als widerlegt oder widersprochen an: Die Studie bezieht sich auf die Konfiguration und den Einsatz für “massenweise” Benutzerkonten. Administratoren arbeiten allerdings regelmäßig mit wesentlich umfangreicheren Berechtigungen und Privilegien als normale Anwender. Zudem sind Admins in aller Regel gut ausgebildet und besonders IT-affin. Von Leuten, auf diese Kombination zutrifft, werde ich auch weiter fordern, dass sie selbst für ein hohes Sicherheitsniveau ihrer Kennwörter setzen, und das geht sehr effizient mit Kennwortsätzen.

Bemerkenswert finde ich an der Studie besonders den Umstand, dass einfache Negativlisten (Blacklists) unerwünschter Kennwörter als sehr effektiv bezeichnet werden. Leider enthält Windows keinen Mechanismus, solche Listen einzubinden. Jahrelang habe ich hingegen (besonders) von Microsoft-Mitarbeitern den Einwand gehört, solche Negativlisten würden nichts bringen, und daher würde Microsoft so etwas auch nicht implementieren. Dass Microsofts eigene Forscher dem nun widersprechen, dürfte allerdings leider nicht dazu führen, dass die Windows-internen Filterfunktionen überarbeitet werden.

faq-o-matic: Bitlocker: Einfluss auf die Platten-Leistung

Dieser Artikel erschien zuerst auf Timos Blog.

Um die Informationssicherheit zu gewährleisten, rate ich jedem dringend, insbesondere bei mobilen Geräte wie Notebooks/Laptops und Tablets (aber nicht begrenzt darauf), die Nutzung vollständiger Festplattenverschlüsselung zu erwägen. Das Verschlüsseln des permanenten Speichers (ganz gleich, ob Festplatte mit bewegelichen Teilen oder auf Flash-Speicher basierende SSD) stellt einen wichtigen Baustein für die Datensicherheit dar, hat aber auch seine Schattenseite: Die zur Verschlüsselung und Entschlüsselung benötigten Berechnungen erhöhen die Systemauslastung.

BitLocker ist in den beiden für professionelle Nutzung vorgesehenen Versionen von Windows 10 enthalten: Windows 10 Pro und Windows 10 Enterprise.

Nachdem ich neugierig war, welchen Einfluss die Verschlüsselung mittels BitLocker auf die Leistung der Festplatte hat, führte ich ein paar Tests durch. Das verwendete System ist ausgestattet mit einer i7-6700HQ CPU und 8 GiB RAM. Der Test berücksichtigt zwei verschiedene Speichermedien: eine „herkömmliche“ Festplatte mit rotierenden Scheiben sowie eine SSD.

Bitte beachtet, dass dieser Test absolut nicht wissenschaftlichen Kriterien genügt und die Ergebnisse abweichen können und werden.


SSD LITEON CV1-8B256

Test : 1024 MiB

Einheit

unverschlüsselt

verschlüsselt

Verlust

Sequenziell Lesen (Q= 32,T= 1)

MB/s

558,66

538,78

3,6%

Sequenziell Schreiben (Q= 32,T= 1)

MB/s

362,26

361,04

0,3%

Zufällig Lesen 4KiB (Q= 32,T= 1)

MB/s

276,64

234,95

15,1%

Zufällig Lesen 4KiB (Q= 32,T= 1)

IOPS

67540,00

57359,90

15,1%

Zufällig Schreiben 4KiB (Q= 32,T= 1)

MB/s

253,51

210,32

17,0%

Zufällig Schreiben 4KiB (Q= 32,T= 1)

IOPS

61891,10

51348,40

17,0%

Testergebnisse: SSD-Laufwerk

HDD Toshiba MQ01ABD100 2.5in 5.4k

Test : 1024 MiB

Einheit

unverschlüsselt

verschlüsselt

Verlust

Sequenziell Lesen (Q= 32,T= 1)

MB/s

113,97

96,96

14,9%

Sequenziell Schreiben (Q= 32,T= 1)

MB/s

111,04

80,20

27,8%

Zufällig Lesen 4KiB (Q= 32,T= 1)

MB/s

0,92

0,76

16,9%

Zufällig Lesen 4KiB (Q= 32,T= 1)

IOPS

224,40

186,50

16,9%

Zufällig Schreiben 4KiB (Q= 32,T= 1)

MB/s

0,92

0,87

4,8%

Zufällig Schreiben 4KiB (Q= 32,T= 1)

IOPS

223,90

213,10

4,8%

Testergebnisse: Festplatte

Der Test wurde mittels CrystalDiskMark 5.1.2 durchgeführt.

Die Leistung für wahlfreies Lesen/Schreiben wurde in meinem Fall durch die Verschlüsselung im Schnitt um circa 16% verringert bei der SSD und ungefähr den gleichen Wert bei der HDD, mit Ausnahme des wahlfreien Schreibens. Die Ursache hierfür ist mir unklar.

Aus diesen Benchmark-Ergebnissen lässt sich ein nennenswerter Leistungsverlust des reinen Datendurchsatzes ableiten. Vermutlich wird man diesen bei besonders IO-intensiven Aufgaben bemerken können.

Allerdings empfehle ich, sich nicht von diesen Werten abschrecken zu lassen. Das beruhigende Gefühl, schützenswerte Daten recht gut geschützt zu wissen, entschädigt für die Festplatten-Leistungseinbuße, die sicherlich in vielen realen Anwendungsfällen nicht die größte Rolle spielt. Dennoch solltet ihr eure Tests auf euren eigenen Systemen durchführen, falls die Festplatten-Leistung in eurer Umgebung als kritischer Faktor anzusehen ist – wenngleich ihr dann vermutlich ohnehin ein anderweitiges Speichersystem wie ein SAN mit verschlüsselten Platten/SSDs nutzen wollt.

Abschließend möchte ich darauf hinweisen, dass der BitLocker-Wiederherstellungschlüssel unbedingt an einem oder mehreren sicheren Orten verwahrt werden sollte.

Dieter Rauscher: Termin für die cim Lingen 2017

Nach der cim ist vor der cim ;)

Am Samstag (27.08.2016) fand ja die diesjährige cim Lingen statt. Diese kostenfreie Community Veranstaltung (früher bekannt unter ICE Lingen) mit rund 300 Teilnehmern fand in diesem Format nun schon zum 12. Mal statt. Für mich war es die 9. Teilnahme, diesmal als Referent mit einem Vortrag zum Schutz von Active Directory Identitäten mit Microsoft Advanced Threat Analytics (ATA).

Erfreulicherweise wurde am Samstag bereits der Termin für die Konferenz im nächsten Jahr bekanntgegeben – das erleichtert die Planung:

Die nächste cim Lingen wird am 09. September 2017 stattfinden!

Ich werde versuchen, wieder dabei zu sein. Ihr auch?

Viele Grüße
Dieter


Dieter Rauscher
MVP Cloud and Datacenter Management

Torsten Meringer: [UPDATE] EPP-Files in eppmgr.box

Update: https://support.microsoft.com/en-us/kb/3186654 („Description of Update Rollup 1 for System Center Configuration Manager current branch, version 1606“), welches über \Administration\Overview\Cloud Services\Updates and Servicing zu Verfügung steht, behebt unter anderem dieses Problem.

Es gibt bei Configuration Manager (ConfigMgr) Current Branch 1606 (und ggfs. auch bei den Vorgängerversionen 1511 und 1602) einen Bug, der nur bei Verwendung von Endpoint Protection zum Tragen kommt. Die Inbox <InstDir>\inboxes\epmgr.box\process füllt sich mit ca. 25MB großen *.EPP-Files, die nach der Verarbeitung eigentlich automatisch gelöscht werden sollten. Die Product Group hat dies als Bug bestätigt, ein Hotfix ist in Arbeit und die Dateien können gefahrlos gelöscht werden:

EPPmgr.box

 

Der Beitrag [UPDATE] EPP-Files in eppmgr.box erschien zuerst auf Torsten's Blog.

Scolab: Wachsam bleiben – Sharepocalypse 35

Selbständig fahrende Autos haben keine Moral. Die Signale von Graphen arbeiten gegen uns. Datenschleuder ‚Pokémon Go’. Microsoft und Salesforce schlüpfen unter den Privacy Shield. Grönlandhaie werden 400 Jahre alt. Die Sharepocalypse ‚Pokémon Go‘ Wohin Pokémon Go seine Daten überträgt, hat … Weiterlesen

Der Beitrag Wachsam bleiben – Sharepocalypse 35 erschien zuerst auf Scolab.

Torsten Meringer: Tastaturlayout WinPE-Boot-Images

Die einfachste Möglichkeit, das Tastaturlayout in der WindowsPE-Phase zu ändern, ist die Verwendung von

wpeutil.exe SetKeyboardLayout 0407:00000407

Dies kann ganz einfach als „Run Command Line“-Step am Anfang der Task Sequenz eingebaut werden:

wpeutil

Eine Tabelle der Language Codes gibt es hier: https://msdn.microsoft.com/de-de/goglobal/bb964664.aspx.

Der Beitrag Tastaturlayout WinPE-Boot-Images erschien zuerst auf Torsten's Blog.

Carsten Rachfahl [Technik]: Event ID 7053 – WSUS Konsole lässt sich nicht mehr starten

Bei einem WSUS Server hatten wir nun auch das Problem, dass das Update KB3159706 den Betrieb des WSUS stört und die Funktionalität komplett abgewürgt hat. Im Eventlog tauchen dann Meldungen mit der ID 7053 auf und folgenden Fehlern auf: [crayon-57ea9b018856c020562894/] und [crayon-57ea9b0188579562946860/] Im Netz gibt es bereits einige (ganz ganz viele ;)) Beiträge und Beschreibungen zu dem Problem und der Lösung, zum Beispiel auf den folgenden Seiten: WSUS-Konsole funktioniert nicht mehr nach KB3159706-Installation ESD Decryption Update KB3159706 Breaks WSUS on Server 2012 R2 Dank der Beschreibung habe ich den WSUS Server wieder ans Laufen bekommen, allerdings nur mit der folgenden Besonderheit: Reines Copy/Paste funktioniert nicht, da die „-Zeichen falsch übernommen werden und der Befehl fehlschlägt. Lösung in diesem Fall: Befehl(e) in ein Notepad oder Notepad++ kopieren und erst dann die Zeichen ersetzen. Danach klappt auch die Ausführung, hier ein Beispiel mit erst „falscher“ Syntax und danach mit der korrekten: Wenn man …

Weiterlesen

Bent Schrader: Windows 10 Anniversary Update (Version 1607) – Windows Hello aktivieren

Nach der Neuinstallation von Windows 10 Enterprise (Version 1607, Annniversary Update) war ich gezwungen, einige Einstellungen erneut anzuwenden. Dazu gehörte auch die Aktivierung von Windows Hello, um den Fingerprint-Sensor des Notebooks für die Anmeldung nutzen zu können. Bisher (Version 1511) hatte das reibungsfrei funktioniert. Die neuen biometrischen Funktionen von Windows 10 haben den Vorteil, dass die Funktionen von Windows Hello (for Business) wie eine Zwei-Faktor-Authentifizierung funktionieren. Faktor 1 sind die biotmetrischen Daten (Fingerabruck, PIN oder Gesichtserkennung), die nur auf dem Gerät gespeichert werden und dieses niemals verlassen. Faktor 2 ist das Gerät selbst, auf dem die Daten verschlüsselt abgelegt sind.

Nach der Aufnahme meines Laptops in der Domäne und der Aktivierung des Betriebssystems war ich in der Lage persönliche Einstellungen über die neuen Windows-Einstellungen vorzunehmen. Leider aber nicht für Windows Hello.

Problem

In den Windows-Einstellungen (Windows-Taste + I) findet sich Windows Hello unter Konten und Anmeldeoptionen wieder. In meinem Fall aber vollständig ausgegraut und nicht somit nicht administrierbar. Windows meldete zudem die Einstellungen zu Windows Hello wären über eine Gruppenrichtline im Unternehemen gesetzt worden:

Windows Hello deaktiviert

Die Kontrolle in den GPOs brachte leider keinen Erfolg, Einschränkungen zu biometrischen Funktionen waren nicht vorhanden.

Lösung

Die Suche im Internet gab leider nur wenig Hinweise, nach einiger Zeit aber fand ich den entsprechenden Hinweis im Technet-Forum von Microsoft. Mit Hilfe der folgenden Registry-Einstellung

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\System]
„AllowDomainPINLogon“=dword:00000001

konnte ich Windows Hello auf meinem Notebook aktivieren. Danach war ich in der Lage sowohl eine eigene PIN als auch Fingerabdrücke zu registrieren und zu verwenden. Kurioserweise spricht der folgende Artikel von Microsoft gegen dieses Vorgehen, da hier gesagt wird: „The Group Policy setting Turn on PIN sign-in does not apply to Windows 10. Use Windows Hello for Business policy settings to manage PINs.“

Fazit

Vermutlich sind in unserer Umgebung die Gruppenrichtlinien-Vorlagen (ADMX) für Windows 10 (Version 1607) noch nicht aktualisiert worden. Ich werde das bei Gelegenheit testen und kontrollieren, ob sich damit das Verhalten von Windows Hello (for Business) ändert und somit über GPOs steuern und aktivieren lässt. Über Hinweise zum beschriebenen Problem bin ich natürlich dankbar.

Wie bei allen meinen Beiträgen gilt: Bei Tipps, Vorschlägen sowie Fragen oder Kritiken hinterlasst bitte einen Kommentar.

Bent Schrader: Windows 10 Anniversary Update (Version 1607) endet mit Fehler 0xc0210000

Wie viele andere in der vergangenen Woche, habe ich auf meinen Windows 10 Geräten das von Microsoft umworbene Anniversary Update (intern Redstone, Version 1607) installiert. Während auf meinen privaten Systemen das Update nahezu* reibungsfrei installiert wurde, verlief die Installation auf meinem Arbeits-Laptop alles andere als erwartet. Beruflich nutze ich ein HP Elitebook 850 G2 mit Windows 10 Enterprise und Bitlocker-Verschlüsselung. Die Installation erfolgte über das von Microsoft pünktlich am 2. August 2016 bereitgestellte ISO. Die Installation selbst verlief ohne Probleme, 3 Neustarts während der Installation – nach 100 % folgte die erste Anmeldung. Bis zu diesem Zeitpunkt verhielt sich das Betriebssystem ohne Probleme – bis zum ersten selbst-initiierten Neustart.

Problem

Nachdem ich mein Gerät neu gestartet hatte, empfing mich der folgende Bluescreen:

BSOD Windows 10 1607 Update

Beim Drücken der Eingabetaste wurde ich um Eingabe meines Bitlocker-Schlüssels gebeten. Leider meldete das System daraufhin die folgende Meldung:

BSOD Windows 10 1607 Update

Der Versuch, das Betriebssystem mit Hilfe eines USB-Sticks (mit der 1607er Windows Version) zu reparieren, führte zu keiner Besserung. Am Ende der Reparatur meldete der Assistent, dass das System nich repariert werden konnte.

Ursache

Es gibt inzwischen diverse Meldungen anderer Benutzer, die das gleiche Problem erfahren haben. Weitere Tests haben gezeigt, es liegt an der Verwendung von BitLocker in Verbindung mit dem integrierten Trusted Plattform Module (TPM). Deaktiviert man BitLocker vor der Aktualisierung durch das Update, verläuft die Installtion fehlerfrei. Meine Kollegen mit anderen HP-Modellen, aber ebenfalls aktiviertem Bitlocker auf Basis des TPM, machten die selben Erfahrungen.

Lösung

Meine Lösung bestand in der Durchführung eines Firmware-Updates für das HP Elitebook 850 G2 von Version 1.13 auf Version 1.15. Da ich ohnehin UEFI mit SecureBoot aktivieren wollte (und durch die Änderung des Festplattenlayouts auf GPT zu einer Neuinstallation gezwungen wurde), installierte ich Windows 10 Version 1607 kurzerhand neu. Durch die Software-Verteilung innerhalb unseres Unternehmens war mein Notebook in relativ kurzer Zeit wieder einsatzbereit. Die restlichen, kleineren Details stellte ich über die (in diesem Blog vorgestellte) Datensicherungslösung Veeam Endpoint Backup wieder her.

*Bei der Installation meiner privaten Geräte nutzte ich das von Microsoft erhältlich Update-Tool. Leider erhielt ich nach dem Download und dem Start der Installation bei 2 Prozent die Fehlermeldung 0x80070057. Bei mir half hier der Trick mit dem Trennen der Verbindung zum Internet während der Installation (es handelte sich daher vermutlich um das Problem, dass sich Installer und Update-Dienst in die Quere kamen). Nach der Installation des Updates liefen aber meine privaten Geräte allesamt reibungsfrei.

Update vom 16. August 2016

Inzwischen hat Darell Gorter (Microsoft) im Microsoft Technet Forum unter folgendem Thread einen Workaround präsentiert:

When does a user hit the bitlocker recovery issue?

  • User has upgraded from Th1 to Th2 and then now upgrading to RS1
  • User either has Hyper-V ON or want to turn it on in RS1 after OS upgrade
  • First reboot after Hyper-V is enabled in RS1 will hit bit locker recovery – this can be soon after OS upgrade if Hyper-V was already enabled downlevel
  • Due to separate Bitlocker issue even after entering the Bitlocker key we fail to recover.  Still under investigation.

Workaround – here are the 4 workaround that customers can choose from to avoid getting into this situation:

  1. Keep Hyper-V disabled during OS upgrade and keep it disabled till servicing update on 8/23 comes through
  2. Reset the Device guard RegKeys (delete the DG regkey node) and then enabled Hyper-V in RS1
  3. Reset the Device guard RegKeys (delete the DG regkey node) and then upgrade to RS1 while keeping Hyper-V however customers want (ON or OFF is both fine)
  4. Disable Bitlocker till 8/23

Fazit

Microsoft hat sich meiner Meinung nach mit dem kurzen Release-Zyklus, den geplanten Änderungen und der einfach zu wenig getesteten Version etwas weit aus dem Fenster gelehnt. Die Windows-Insider-Idee mag die Qualitätssicherung in punkto Fehlersuche und -bereinigung auf einen deutlich größeren Personenkreis ausweiten – allerdings aber eher im Home- als im Enterprise-Umfeld. Microsoft warb in den vergangenen Wochen immer wieder mit der höheren Sicherheit durch neue Funktionen des Updates. Wenn das Update aber zum Ausfall eines produktiven Arbeitsmittels im Enterprise-Segment führt, so wirft das nicht das beste Licht auf die Produktentwicklung von Microsoft und schafft zudem nur wenig Vertrauen. Habt ihr – auf das beschriebene Problem bezogen – ähnliche bzw. die gleichen Erfahrungen gemacht?

Wie bei allen meinen Beiträgen gilt: Bei Tipps, Vorschlägen sowie Fragen oder Kritiken hinterlasst bitte einen Kommentar.

Torsten Meringer: ConfigMgr und Windows 10 Anniversary Edition

Ein kurzer Support-Tipp am Rande: ConfigMgr 2012 unterstützt nur die ersten beiden Builds von Windows 10. Redstone (= Anniversary Edition = 1607 = 10.0.14393) ist bereits das dritte Release von Windows 10, somit offiziell nicht mehr supportet.
Das Support-Verhalten von ConfigMgr Current Branch ist hier beschrieben. ConfigMgr Current Branch 1511 ist also nicht mehr geeignet, um Windows 10 Redstone (= Anniversary Edition = 1607 = 10.0.14393) zu verwalten.

Der Beitrag ConfigMgr und Windows 10 Anniversary Edition erschien zuerst auf Torsten's Blog.

Torsten Meringer: Service Connection Point in CM CB 1606 Critical [updated]

Wer auf ConfigMgr 1606 im Fast Ring aktualisiert hat (d.h. das Skript https://gallery.technet.microsoft.com/ConfigMgr-1606-Enable-043a8c50 verwendet hat, um das Upgrade in der Konsole unter \Administration\Overview\Cloud Services\Updates and Servicing zu sehen), der wird sicher schon bemerkt haben, dass der Service Connection Point im Status Critical ist:

SCP01

Das ist laut Aussage der Product Group nur ein kosmetischer Fehler und es steht auch schon ein Hotfix (ebenfalls über Updates and Servicing) zu Verfügung: https://support.microsoft.com/en-us/kb/3180992. Neben dem Service Connection Point sind noch weitere Probleme behoben, Stichwort PullDPs, Pre-Production Client Deployment Zahlen falsch, usw. Details im kB-Artikel.
Der Client wurde dabei ebenfalls aktualisiert:

SCP02

Von diesem Bugs sind nur diejenigen betroffen, die das Upgrade im Fast Ring installiert haben.

UPDATE: der kB-Artikel wurde angepasst, da ein weiterer manueller Schritt nach der Installation nötig ist:

Change the Availability State registry value from 1 to 4 under HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SMS\Operations Management\SMS Server Role\SMS Dmp Connector

Restart the SMS Executive service on the site server

Der Beitrag Service Connection Point in CM CB 1606 Critical [updated] erschien zuerst auf Torsten's Blog.

Mark Heitbrink: Windos 10 - 1607 - Liste der Gruppenrichtlinien die nur in der Enterprise/Education Version funktionieren

Windos 10 - 1607 - Liste der Gruppenrichtlinien die nur in der Enterprise/Education Version funktionieren

Nail Own: Storage Performance Test

Als Alternative zu IOmeter kann auch ein aktuelles Microsoft-Tool zum Einsatz kommen, das Performance-Tests von lokalen Festplatten und SSDs (DAS), LUNs einer SAN, Storage Spaces oder SMB Freigaben ermöglicht: » DiskSPD (https://aka.ms/DiskSpd) Dabei läuft das Tool auf 32-Bit, 64-Bit und … Weiterlesen

Torsten Meringer: Windows 10 (1607 / Anniversary Update / Redstone) und ConfigMgr [updated]

Seit gestern steht das Windows 10 Anniversary Update (auch unter den Namen Redstone bzw. 1607 bekannt) zu Verfügung. Die Installation kann schon über Windows Update erfolgen, die .iso’s gibt es zum Download auf MSDN und der Volume Licensing Seite.
ConfigMgr Current Branch kann Servicing Plans verwenden, um auf eine neue Version von Windows 10 zu aktualisieren – doch dies wird noch bis zum 16. August 2016 dauern, bis das Upgrade auf diesem Wege zu Verfügung stehen wird.

UPDATE 2016/08/05:

Damit Windows 10 (1607 / Anniversary Update / Redstone) über das Servicing von ConfigMgr verteilt werden kann muss kb3159706 auf dem WSUS/SUP installiert werden. Achtung: nach Installation des Updates sind manuelle Schritte notwendig (siehe kb-Artikel!).

Der Beitrag Windows 10 (1607 / Anniversary Update / Redstone) und ConfigMgr [updated] erschien zuerst auf Torsten's Blog.

Johannes Schmidt: Automatisches Update für einen Debian Server

In der Windows Welt ist es ganz normal, dass man nach der Installation gefragt wird, ob sich das System selbst mit (Sicherheits-) Updates versorgen soll. Auf einem Debian System ist dies etwas anderst und bedarf einer kurzen Konfiguration. Ich empfehle für diesen Zweck die Installation des Tools „unattended-upgrades“: # apt-get install unattended-upgrades Die Grundkonfiguration ist […]

Torsten Meringer: ConfigMgr 1606 verfügbar

Die Version 1606 (Jahr ’16, Monat 06) von ConfigMgr Current Branch wurde freigegeben und steht bald über die Updates & Servicing Node zur Installation zu Verfügung. Da der Rollout quasi gestaffelt erfolgt kann es noch dauern, bis das Update überall verfügbar ist.

Der Beitrag ConfigMgr 1606 verfügbar erschien zuerst auf Torsten's Blog.

SharePointPodcast: SPPD351 Microsoft WPC 2016 – was lernt uns das?


Vor der Sommerpause noch mal ein Update und ein Ausblick.

351Die Themen – bei Microsoft hat ein neues Geschäftsjahr begonnen und die Zeichen stehen auf Cloud. Die World Wide Partner Conference in Toronto hat gezeigt, wohin sich Microsoft bewegt. Das IT ProNetzwerk auf Yammer weicht dem neuen network.office.com

Flattr this!

Dieter Rauscher: Advanced Threat Analytics (ATA) im WSUS verfügbar

Mit der Version 1.6 von ATA hat Microsoft die Unterstützung für WSUS und Microsoft Update eingeführt. Ich habe leider keinen eigenen WSUS-Server mehr zur Hand, deswegen habe ich es erst am Freitag durch Zufall entdeckt:

Inzwischen ist in den Windows Server Update Services (WSUS) die Kategorie für ATA verfügbar:

ATA WSUS

Sofern die ATA Updates automatisch installiert werden und auch die Gateway-Aktualisierung aktiviert ist, kann so – wenn gewünscht – eine künftig vollautomatische Aktualisierung einer ATA-Installation durchgeführt werden. Ob ihr das wollt müsst ihr selber entscheiden.

In Microsoft Update habe ich das Update 1 für Version 1.6 allerdings noch nicht gesehen. Habt ihr es schon gesehen?

Viele Grüße
Dieter


Dieter Rauscher
MVP Cloud and Datacenter Management

Marc Grote: Speaker auf der cim (community in motion) 2016 in Lingen

Hallo Leutz,

Ich darf zum dritten Mal auf der cim (community in motion) 2016 in Lingen am 27.08.2016 einen Vortrag halten und somit zum zwoelften Mal in Folge (ice:Lingen inkludiert) im schoenen Lingen sein. Danke an das ganze Team. Ich freue mich sehr dabei sein zu duerfen.

Mein Thema dieses Jahr: “Windows Security mit Bordmitteln”

Weitere Infos findet Ihr hier: http://www.cim-lingen.de
Die Praesentation kann hier heruntergeladen werden: http://www.it-training-grote.de/download/cim-Security.pdf

Gruss Marc

Dieter Rauscher: Vortrag auf der cim in Lingen

Ich freue mich, dass es dieses Jahr wieder klappt und ich einen Vortrag auf der cim in Lingen am 27. August 2016 halten darf.

Was ist die cim Lingen?
Seit zwölf Jahren finden sich im IT-Zentrum im beschaulichen Lingen einmal jährlich IT-Experten, MVPs, CTPs und weitere anerkannte Größen der IT-Szene ein, um sich einen Tag lang intensiv auszustauschen und ihre neusten Erkenntnisse mit der IT-Community zu teilen. Zielgruppe sind Unternehmer, IT-Verantwortliche, IT-Dienstleister und Entwickler, sowie Vertreter der regionalen Unternehmensnetzwerke.

Vorgestellt werden neuste Erfahrungen, aktuelle Trends und Visionen aus der IT-Welt. Abseits vom Marketing-Gebrabbel wird auf der cim lingen Klartext gesprochen, Farbe bekannt und (very) good practise präsentiert.

Hinter dem IT-Event steht die it.emsland als Veranstalter, ein achtköpfiges Organisationsteam und zahlreiche freiwillige Helfer. Dank aktivem Sponsoring ist die cim lingen für die Teilnehmer wie in den vergangenen Jahren kostenfrei.

Mein Vortrag wird sich einem meiner aktuellen Lieblingsthemen widmen: Microsoft Advanced Threat Analytics (ATA).

Mehr dazu in den nächsten Wochen.

Anmelden könnt ihr euch noch hier.

Viele Grüße
Dieter


Dieter Rauscher
MVP Cloud and Datacenter Management

Arnd Rößner: Windows 10 und Surface: Neue Angebote für Unternehmen sorgen für mehr Flexibilität und höhere Sicherheit

auf der Worldwide Partner Conference hat Microsoft heute mit „Windows 10 Enterprise E3“ für CSP und „Surface as a Service“ zwei neue Abo-Modelle für Unternehmen vorgestellt. Diese Modelle werden dem wachsenden Bedarf an höherer Sicherheit und flexibleren Lösungen von Firmen gerecht. Windows 10 Enterprise E3 für CSPÜber das neue Modell „Windows 10 Enterprise E3“ für […]

Don't contact us via this (fleischfalle@alphasierrapapa.com) email address.