Archiv der Kategorie: Netzwerk

WLAN Accesspoints nicht ausschalten

Wir sind daran, flächendeckendes WLAN umzusetzen. Leider werden die Accesspoints immer wieder von den Lehrpersonen ausgeschaltet. Dies aus nachvollziehbaren Gründen wie Stromverbrauch oder Strahlenbelastung. Ich habe nun gebeten, diese immer laufen zu lassen und die interne Dokumentation mit dem unten stehenden Text entsprechend angepasst. Vielleicht gibt es ja andere Schulen, die an einem ähnlichen Punkt stehen und froh darum sind, daher der Text auch hier: Weiterlesen

Windows 10 fast startup

Windows 10 kennt wie Windows 8 einen sogenannten “fast startup”. Dabei wird Windows nicht vollständig heruntergefahren, sondern ein Teil des Systems wird ähnlich wie beim Ruhezustand in eine Datei ausgelagert, die schneller wieder eingelesen ist als bei einem Kaltstart (Cold Boot). Mit diesem “Trick” startet Windows 10 mit aktiviertem “fast startup” schneller als ohne und damit auch schneller als z.B. Windows 7, das den “fast startup” noch gar nicht kannte. Weiterlesen

Windows 10 Probleme mit Startmenü, Edge,…

Folgende Probleme sind bei uns im Zusammenhang mit Windows 10 schon aufgetreten:

  • Das Startmenü funktioniert überhaupt nicht mehr. Bei einem Klick auf das Startmenü oder die Suche passiert überhaupt nichts. Der Rechtsklick funktioniert weiterhin.
  • Wenn man Edge (oder eine andere Modern App) starten möchte, öffnet sich das Fenster und schliesst sich gleich wieder.

Im Internet finden sich viele ähnliche Fälle, scheinbar passieren diese Dinge nur im Zusammenhang mit wandernden Profilen (roaming profiles) und/oder angepassten Betriebssystemimages.

In diesem Beitrag wird das Problem mit dem nicht funktionierenden Startmenü beschrieben. Hier wurde das Betriebssystemimage mit copyprofile angepasst, was bei uns nicht der Fall ist. Der letzte Eintrag meldet, dass ein Microsoft Techniker das Verhalten als Bug bestätigt hat und im November ein Update folgen soll, dass das Problem behebe.

Auch in diesem Beitrag wird ein mit copyprofile angepasstes Betriebssystemimage als Ursache für den Bug (oder die Bugs) vermutet. Scheinbar hängt es auch mit der Reihenfolge von bestimmten Updates zusammen. Auch hier fehlt eine abschliessende Antwort.

In diesem Beitrag wird das Problem mit dem sofort wieder schliessenden Edge erwähnt und von vielen bestätigt. Mit Windows 10 Threshold 2 (auch Version 1511 genannt) scheint das ganze reproduzierbar mit wandernden Profilen immer aufzutreten. Es scheint unabhängig davon zu sein, ob die Profile auf einem DFS Share liegen oder nicht. Aus diesem Grund habe ich noch nicht auf 1511 gewechselt. Hier wird aber ein Workaround angeboten, der bei mir auch hilft. Dazu muss man folgenden Powershellbefehl mit erhöhten Rechten ausführen.

Remove-Item C:\Users\$($Env:Username)\AppData\Local\Packages\Microsoft.MicrosoftEdge_8wekyb3d8bbwe -Recurse -Force
Get-AppXPackage -AllUsers -Name Microsoft.MicrosoftEdge | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml" -Verbose}

Danach startet Edge wieder, es sind aber alle Einstellungen zurückgesetzt und so wie es aussieht, nützt es nur bis zur nächsten Anmeldung. Die letzten Beiträge von dieser Nacht deuten darauf hin, dass nach dem Update 3116869 das Problem nun auch im Build 10240 reproduzierbar vorhanden ist. Hoffe nicht.

Momentane Zusammenfassung: Das Problem (resp. die Probleme) tritt bei mir bisher nur selten auf. In einzelnen Fällen genügt ein Neustart (Herunterfahren und neu starten ist bei Windows 10 nicht mehr das gleiche wie Neustart, ausser man deaktiviert den Schnellstart). Das Edgeproblem lässt sich mit oben erwähntem Powershellbefehl lösen, aber nicht nachhaltig. Wenn das Startmenü gar nicht mehr funktioniert, hilft bis jetzt nur, das wandernde Profil sowohl auf dem Server wie auch auf dem Client zu löschen. Eigentlich habe ich gehofft, dass ein Dezemberupdate das Problem behebt, was nicht der Fall zu sein scheint. Sowohl der Powershellbefehl als auch das Profil zu löschen ist aufwendig und unmöglich, wenn es plötzlich viele Benutzer betreffen sollte…

Nachtrag
Ein Workaround für das Problem mit dem sich schliessenden Edge ist hier beschrieben.

Nachtrag 2
Scheinbar lässt sich das Problem mit dem nicht mehr funktionierenden Startknopf lösen, indem man alle Apps zurücksetzt.

Get-AppXPackage -AllUsers | Foreach {Add-AppxPackage -DisableDevelopmentMode -Register "$($_.InstallLocation)\AppXManifest.xml"}

Backup Config von ProCurve Switch

Bei mir funktioniert der Download der Konfiguration des Switches über das Webinterface nicht mehr.

image

Man kann dies aber auch über SSH mit SCP erreichen. Dies ist aber standardmässig nicht aktiviert.

image

Dies muss also zuerst mit folgendem Kommando auf dem Switch aktiviert werden:

(config)# ip ssh filetransfer

Danach kann man pscp beim gleichen Hersteller wie putty herunterladen. Auf der Kommandozeile wechselt man zum Verzeichnis mit der pscp.exe (oder fügt das Verzeichnis zur Path Variablen hinzu). Nun kann man die Konfigurationsdatei mit folgendem Befehl herunterladen.

pscp -scp -l USERNAME -pw PASSWORD –2 SWITCH-IP:cfg/running-config c:\switch.cfg

User State Virtualization

Da UE-V nach diversen Tests für uns doch nicht in Frage kommt, habe ich mich nun entschieden User State Virtualization umzusetzen. Microsoft bezeichnet so die Kombination aus “roaming profiles” (wandernden Profilen) und “folder redirection” (Ordnerumleitung).

Freigabe Ordnerumleitung
Gemäss diesem Technet-Artikel erstellt man eine Freigabe.

image

Im nächsten Schritt wählt man den Speicherort (in meinem Fall den DFS Unterordner und nicht einfach ein Laufwerk).

image

Die optionalen anderen Einstellungen habe ich nicht verwendet. Ich meine, gelesen zu haben, dass die “Zugriffsbasierte Aufzählung” ressourcenintensiv ist.

image

Nun vergibt man die entsprechenden Berechtigungen für die Freigabe. Unter anderem für die Benutzer, die die Freigabe benutzen. Ich habe zwei Freigaben mit entsprechenden Berechtigungen eingerichtet. Eine für die Lehrpersonen und eine davon unabhängige für die Schüler/-innen.

image

Um diesen Ordner später einmal problemlos zu migrieren habe ich ihn auch noch in den DFS Namespace aufgenommen.

Gruppenrichtlinie Ordnerumleitung
Nachdem die Freigabe eingerichtet ist, kann man die entsprechende Gruppenrichtlinie erstellen.

image

Unter Einstellungen habe ich das Häklein bei “Dem Benutzer exklusive Zugriffsrechte für Dokumente erteilen” entfernt. Im Moment habe ich diese Einstellung für alle Ordner eingetragen, mal schauen, ob das so bleibt. Falls ich das ändere, werde ich es hier anpassen.

Freigabe wanderndes Profil
Die Freigaben für die wandernden Profile werden gemäss diesem Technet Artikel analog zu der Ordnerumleitung oben erstellt.

Einrichtung wanderndes Profil
Es gibt zwei Varianten, das wandernde Profil einzurichten. Zum einen kann man den Profilpfad im Active Directory angeben.

image

Oder man verwendet die entsprechende Gruppenrichtlinie unter “Computerkonfiguration” –> “Richtlinien” –> “Administrative Vorlagen” –> “System” –> “Benutzerprofile”: “Pfad des servergespeicherten Profils für alle Benutzer festlegen”.

image

Da ich getrennte Freigaben für Lehrkräfte und Schüler/-innen eingerichtet habe, kann der Weg über die Gruppenrichtlinie nicht genommen werden, da dort nur eine Freigabe benutzt werden kann. Die erste Einstellung “Sicherheitsgruppe “Administratoren” zu servergespeicherten Profilen hinzufügen” habe ich aber gesetzt. So können z.B. auch die Profilordner gelöscht werden, wenn Schüler/-innen austreten.

Den Profilpfad im AD kann man für viele Benutzer gleichzeitig setzen. Dazu kann man einfach mehrere Benutzer markieren und über einen Rechtsklick “Eigenschaften” auswählen. Im Register “Profil” kann der Profilpfad mit der Variablen %username% eingetragen werden.

image

Für neue Benutzer kann man das PowerShell Skript um diese Zeile ergänzen:

-ProfilePath („\\netzwerkpfad\schuelerprofile\“+$_.username) `

Anmeldegeschwindigkeit
Wie bei den Abklärungen zu UE-V beschrieben, soll eine Anmeldung möglichst schnell erfolgen. Ein Szenario speziell in Schulen ist, dass sich über 20 Schüler/-innen gleichzeitig in einem Raum mit nur einem Accesspoint über WLAN anmelden. Bei diesen Tests ist das noch nicht berücksichtigt, die Profildaten sind aber dank der Ordnerumleitung sehr klein und sollten nicht einen allzu grossen Einfluss haben. Die Messwerte entstanden auf virtuellen Windows 10 Maschinen und dürfen nicht absolut genommen werden, mehrere Versuche haben nicht immer die gleiche Zeit ergeben. Ausserdem waren die Testuserprofile sehr klein. Trotzdem gibt es einen Anhaltspunkt.

erste Anmeldung mit nur lokalem Profil 24 Sekunden
weitere Anmeldungen mit lokalem Profil 2 Sekunden
erste Anmeldung mit wandernden Profilen und Ordnerumleitung erstellen 95 Sekunden
erste Anmeldung an einem Computer mit vorhandenem Profil auf Server 12 Sekunden
weitere Anmeldung mit wandernden Profilen und Ordnerumleitung 3 Sekunden

Die erste Anmeldung im Netzwerk dauert extrem lange, dies ist aber nur einmal nötig. Danach ist die Anmeldung auf einem Computer, an dem man sich noch nie angemeldet hat, etwa doppelt so schnell, wie wenn ein lokales Profil eingerichtet werden muss. Wir werden also mit Windows 10 wieder wandernde Profile einführen – im Gegensatz zu damals unterstützt durch die Ordnerumleitung.

Gruppenrichtlinien für Windows 10

Um die neuesten Gruppenrichtlinien für Windows 10 zu verwalten, muss man die entsprechenden admx Vorlagen herunterladen und am besten in den Central Store kopieren.

Dummerweise hat sich da ein Fehler bei der Lokalisation eingeschlichen. Wenn man eine Gruppenrichtlinie bearbeiten möchte, kommt immer dieser Fehler:

“Die in der Eigenschaft “$(string.SUPPORTED_Vista_through_Win7)” aufgeführte Ressource displayName konnte nicht gefunden werden. Datei \\domain\SysVol\domain\Policies\PolicyDefinitions\PreviousVersions.admx, Zeile 11, Spalte 111”

image

Gemäss Technet-Forum fehlt in der deutschen adml Datei eine Zeile. Wenn man wie dort empfohlen diese in Zeile 57 hinzufügt, kommt die Fehlermeldung nicht mehr.

image

Wahrscheinlich werden die Vorlagen demnächst mal angepasst, damit dieser Workaround nicht mehr benötigt wird.

Benutzerprofile

Wir haben mit “roaming profiles” (wandernde Benutzerprofile) zu Windows XP Zeiten aufgehört, weil es immer wieder Probleme damit gab. Zum einen gab es zwar selten, aber immer mal wieder ein korruptes Profil, und zum anderen dauerte die Anmeldung extrem lange, wenn Benutzer grosse Dateien in ihrem Profil hatten.

Wenn sich ein Benutzer ohne wanderndes Profil zum ersten Mal an einem Computer anmeldet, wird eine Kopie des “default profile” für ihn angelegt. Änderungen die der Benutzer dann am Profil vornimmt, werden nur lokal gespeichert und sind bei einem anderen Computer nicht verfügbar. Die Benutzer sind entsprechend informiert und wissen, dass nur die Dateien auf den Netzlaufwerken wie z.B. das eigene Userhome gesichert werden. Dies hat sich auch durch die “Windows 7 Zeit” bewährt – viele Vorteile, ein paar wenige Nachteile.

Mit der Einführung von Windows 10 wollte ich das wieder einmal angehen. Vor allem, da das Einrichten des lokalen Profils doch einige Zeit dauert…

image

In einer schnellen virtuellen Maschine braucht die Ersteinrichtung des Profils 24 Sekunden, die zweite Anmeldung dann nur noch 2 Sekunden. Wenn man das auf 5-jährigen Laptops mit einer 5’400er Harddisk macht, dauert es entsprechend noch viel länger…

Also habe ich mich da mal ein wenig eingelesen. Aussagen wie diese lassen befürchten, dass wir auch die alten Probleme wieder bekommen:

“After using Roaming profiles for many years I think that „Best Practices“ are DON’T use them.”

User State Virtualization
Microsoft hat die “roaming profiles” seit den Windows XP Zeiten weiterentwickelt. Das Problem mit den zu grossen Profilen löst man am besten mit “folder redirection” (Ordnerumleitung). Die Kombination von “roaming profiles” und “folder redirection” nennt Microsoft ”User State Virtualization”. In diesem Technet Tutorial wird erklärt, was damit gemeint ist. Im zweiten Teil wird “folder redirection” genauer erklärt und im dritten die “roaming user profiles”.

image

User Experience Virtualization
Microsofts “User Experience Virtualization” (UE-V) gilt als Weiterentwicklung der “roaming profiles”. Gemäss diesem Blogbeitrag liegt der Vorteil darin, dass viel detaillierter entschieden werden kann, welche Teile der Userdaten wirklich wandern (roam). Microsoft sieht UE-V als Technik für grosse Umgebungen und verkauft es als Teil von MDOP (Microsoft Desktop Optimization Pack). MDOP ist nur für Software Assurance Kunden verfügbar. Mit unserer Schullizenz erfüllen wir das alles. Damit kommt UE-V für uns auch in Frage. Bei UE-V muss man einen Agent auf dem Windows Client installieren und konfigurieren. Bis jetzt habe ich aber noch nicht herausgefunden, ob bei der ersten Anmeldung dann nicht doch ein lokales Profil (vgl. oben) angelegt werden muss, das dann durch UE-V angepasst wird. Dann würde die Erstanmeldung auch lange wie bei lokalen Profilen dauern.

Was nehmen?
Als Schule haben wir andere Anforderungen als in einer Firma. Ein typisches Szenario ist, dass sich über 20 Schüler/-innen gleichzeitig in einem Raum mit nur einem Accesspoint über WLAN anmelden. Das Erstellen eines lokalen Profils aus dem lokalen “default profile” dauert Zeit (abhängig vom Client – CPU, Festplatte, …), benötigt aber keine WLAN Bandbreite. Roaming Profiles (optimiert durch folder redirection), werden vom und auf den Server kopiert. Wenn 20 Schüler/-innen je nur 100MB über WLAN holen, müssen 2 GB übers WLAN…

Ich kann im Moment also nicht sagen, wie ich das mit Windows 10 umsetze. Weiterhin nur lokale Profile, “roaming profiles” mit möglichst kleinen Profilen dank “folder redirection” und Profilausschlüssen oder doch “User Experience Virtualization”. Im Internet habe ich da keine abschliessende Antwort gefunden, bleibt wohl nichts anderes übrig, als eigene Tests durchzuführen.

Nachtrag
Nun habe ich einige Tests mit UE-V durchgeführt und bin nicht wirklich zufrieden. Für meine Tests habe ich unter Windows 10 den Sync Provider auf “none” gestellt. Scheinbar gibt es ein Problem mit den Offline Folders, das man lösen konnte, aber für meine Tests war “none” ausreichend (damit werden die Daten nicht lokal zwischengespeichert, sondern direkt in den SettingsStore auf dem Server geschrieben).

Problemlos funktioniert haben Änderungen am Bildschirmhintergrund und Einstellungen an Office Programmen (Word Autokorrektur und andere Einstellungen). Das Hauptproblem ist aber, dass immer zuerst ein lokales Profil erstellt werden muss, bevor UE-V Änderungen vornehmen kann. Die ganze Einrichtung (Bild 1 oben) dauert also mindestens so lange wie wenn man nur lokale Profile hätte. Ausserdem kam auch beim Start von Word auf einem neuen Computer erneut der Willkommensdialog und Outlook musste auch erneut eingerichtet werden (Einstellungen nach der Ersteinrichtung wurden dann aber problemlos synchronisiert).

UE-V ist also sicher eine schlanke, schnelle, einfach zu wartende Alternative zu Roaming Profiles, wenn Mitarbeiter immer an den gleichen Computern arbeiten. Sobald die Ersteinrichtung auf allen benutzten Computern abgeschlossen ist, funktioniert es schnell und problemlos. Unser Problem ist aber, dass die Schüler auf jedem neuen Computer (z.B. wenn sie einfach einen vom Laptopwagen nehmen) die Ersteinrichtung von Profil und Programmen abwarten müssten, bis UE-V die Synchronisation übernimmt. Also im Moment keine Alternative. Leider.

Nachtrag 2
Wir werden wieder wandernde Profile einsetzen. Das Vorgehen ist in diesem Beitrag dokumentiert.

Sophos UTM: Advanced Threat Protection

Die Sophos UTM bietet unter “Network Protection” –> “Advanced Threat Protection” eine Funktion an, mit der man das Netzwerk nach Malware überwachen kann. Dabei wird ausgenutzt, dass viele Malware eine Verbindung mit sogenannten “Command and Control” Servern aufnimmt, um Daten zu übermitteln oder neue Befehle entgegen zu nehmen. Wenn ein Computer versucht, eine Verbindung mit einem bekannten “Command and Control” Server aufzunehmen, wird die Verbindung geblockt und ein Alarm angezeigt (und per Mail verschickt).

image

Dies bietet neben einem lokal installierten Virenschutz auf den Clients eine weitere Barriere gegen Malware in einem Netzwerk. Genauere Informationen über den Vorfall erhält man, wenn man unter “Logging & Reporting” –> “View Log Files” –> “Advanced Threat Protection” –> “View” auswählt.

image

In dieser Datei wird angezeigt, welcher Client mit welchem Server Kontakt aufnehmen wollte. Dummerweise wird hier der DNS Server angezeigt.

image

Wenn die Malware eine Verbindung zu ihrem “Command and Control” Server über einen Domänennamen und nicht über eine fixe IP Adresse herstellen will, stellt der Computer zuerst eine DNS Anfrage an den DNS Server. Wenn dieser den Eintrag nicht selber liefern kann, stellt dieser eine weitere Anfrage an den externen DNS Server (häufig derjenige des Providers), um die entsprechende IP Adresse zu erhalten. Dies bedeutet also, dass auf der Firewall der DNS Server der erste ist, der eine Anfrage nach dem betroffenen DNS Namen resp. der IP auslöst. Dies ist meiner Meinung nach ein Fehlverhalten der UTM. Besser wäre es, wenn die DNS Abfrage zugelassen wäre (dies ist ja nur Verkehr mit dem vorgelagerten DNS Server) und erst der direkte Kontakt des Clients mit dem entsprechenden Server unterbunden würde. Dann könnte man im Logfile auch den Client identifizieren. Da ich nicht ganz sicher bin, habe ich eine Anfrage im Forum gestellt).

Da ich schon einmal so einen Vorfall hatte und wissen wollte, welches der betroffene Client ist, habe ich auf dem DNS Server Logging aktiviert. Weil das viel Last auf dem Server generiert, sollte man das nur zu Testzwecken aktivieren. Habe nun aber gesehen, dass es eine andere Möglichkeit gibt, die nicht so viel Last erzeugen sollte.

Auf jeden Fall findet man in den DNS Logs dann den Client, der die Anfrage ausgelöst hat, wenn man z.B. nach dem Domänennamen sucht (in meinem Fall cwporter).

image

Nun kann man diesen Client weiter überprüfen. Die beste ist wohl, den Client neu aufzusetzen, die zweitbeste, den Computer mit mehreren Virenscannern aus einer verlässlichen Umgebung zu testen und am Schluss kann man noch mit dem im Betriebssystem installierten Virenscanner einen Vollscan auslösen, was die unsicherste Methode ist.

Die Seite cwporter hat mit dem zweiten Weltkrieg zu tun.

image

Es ist also gut möglich, dass eine Lehrperson nur durch eine Internetrecherche auf diese Seite gekommen ist. Auch wenn auf dieser Seite ein “Command and Control” Server aktiv wäre (z.B. weil der Webserver gehackt wurde) wird der Alarm von der Sophos UTM reproduzierbar wieder ausgelöst, wenn man versucht, in einem Browser die Seite aufzurufen. Die UTM kann ja nicht entscheiden, ob eine Malware diesen Aufruf ausgelöst hat, oder ein Benutzer durch eine Internetrecherche. Es kann sich also genauso gut um eine sogenannte “false positive” Meldung handeln.

Auf jeden Fall handelt es sich bei Advanced Threat Protection um eine weitere sinnvolle Möglichkeit, sein Netzwerk gegen Malware zu schützen.