Antworten auf Ihre häufigsten Fragen rund um Windows-Systeme (Client und Server).
Für weitergehende Fragen wenden Sie sich bitte vertrauensvoll an das Windows-Team. Gerne können Sie uns Ihre Fragen auch per E-Mail zukommen lassen an rrze-windows@fau.de.
Möglich Ursachen:
– Meldungen beim Herunterfahren ignoriert
– nicht korrekte Einstellung der Nutzungszeit
– Funktion Neustart planen wurde nicht genutzt
Der Support für Windows 10 endet am 14.10.2025. Aus diesem Grund empfiehlt das Windows-Team für alle neu beschafften Geräten Windows 11 Enterprise einzusetzen.
Werden Altgeräte neu installiert so ist es sinnvoll zu prüfen ob die Hardware Windows 11 konform ist. Fällt die Prüfung positiv aus, so empfehlen wir auch hier Windows 11 Enterprise zu installieren.
Siehe auch Support Ende erreicht. Was tun?
Microsoft hat im Oktober 2022 die Sicherheitseinstellung für den Join von Computern in eine Domäne verschärft.
Konkret bedeutet dies, dass nur noch die Person einen Rechner in die Domäne joinen kann die den Rechner in der Domäne angelegt hat.
Microsoft beschreibt in ihrem Artikel einen Workaround
KB5020276—Netjoin: Domain join hardening changes
Beachten Sie dabei, dass der Workaround ein Sicherheitsrisiko darstellt. Sollte der Workaround Anwendung finden ist zwingend nach dem Join in die Domäne der Registry Key zu entfernen.
Für Rechner die über die Windows-Softwareverteilung (WinSV) installiert werden, ist dieser Workaround nicht notwendig. WinSV betrifft dies nicht.
Sofern Rechner mit Betriebssystemen und Software mit eingestellten Herstellersupport unbedingt weiterbetrieben werden müssen, sind diese unverzüglich vom UNI-Netz zu trennen und es muss sichergestellt werden, dass keine Verbindung mehr zum UNI-Netz aufgebaut werden kann, z.b. indem die Netzwerkkarte ausgebaut wird. Im Fall einer integrierten Netzwerkkarte ist diese zu versiegeln. Das Personal ist entsprechend einzuweisen. Der Datenaustausch erfolgt bei Bedarf über USB-Geräte (USB-Stick oder USM-Festplatte).
Alternativ kann geprüft werden, ob es möglich ist ein spezielles Sicherheitskonzept für diese Rechner aufzustellen. Dazu nehmen Sie Kontakt mit der Netzwerk-Abteilung und dem Windows-Team auf. Bedenken Sie dabei, dass nicht gewährleistet werden kann, dass der Zugriff auf Shares weiter möglich ist, weil Microsoft kontinuierlich sicherheitsrelevante Protokolle abschaltet.
Es gibt immer wieder Aussagen von Lieferanten, dass die Software unter Windows 10 nicht funktionsfähig ist. Erfahrung zeigt aber, dass doch die eine oder andere Software auch unter Windows 10 lauffähig ist. Der Trick dabei ist, Windows 10 nicht neu zu installieren, sondern einem Upgrade erstmal auf eine alte Windows 10 Version durchzuführen.
- Festplatte klonen und folgenden Versuch mit der geklonten Festplatte durchführen.
- Upgrade auf Windows 10 Enterprise LTSB 2015 (Support-Ende 14.10.2025) durchführen.
- Funktioniert dies dann weitere Upgrade durchführen und testen.
- Windows 10 Enterprise 2016 LTSB (Support-Ende 13.10.2026)
- Windows 10 Enterprise LTSC 2019 (Support-Ende 09.01.2029)
- Wie heißt es so schön: Versuch macht klug.
Hinweise:
Windows 10 LTSB/LTSC-Versionen werden von der Windows-Software-Verteilung (WinSV) nicht unterstützt.
- Windows 10 Enterprise LTSC (Long Term Servicing Channel) beinhaltet eingeschränkte Windows Funktionen und liefert nur Sicherheits-Updates. LTSC eignet sich für den Einsatz von speziellen, kritischen Rechnern, beispielsweise Geldautomaten, Anlagensteuerungen oder spezielle Systeme im Krankenhausbetrieb.
- Nicht jede Hardware wird unterstützt. Prüfen Sie vor dem Einsatz ob die Hardware für die LTSC-Version geeignet ist.
- Als Office-Versionen sind nur die passende Office LTSC zu verwenden.
- Es wird nicht empfohlen Windows 10 Enterprise LTSC als Arbeitsplatzrechner mit Office zu verwenden.
Weitergehende Informationen:
Neuere Laptops werden meist mit Windows 11 Home als qualifiziertes Betriebssystem geliefert.
Problem: Eine Installation mit Windows 10 Enterprise scheitert, weil die Festplatte (SSD) nicht gefunden wird.
Ursache: Die Festplatte (SSD) ist im BIOS als RAID oder RAID On eingetragen.
Lösung: Im BIOS die Einstellung von RAID auf AHCI ändern.
Vereinzelt gibt es Meldungen, dass der Update „2021-07 Cumulative Update for Windows 10 (KB5004945)“ bei einer Windows 10 Neuinstallationen mit der Meldung „Fehler bei der Installation am xx.yy.2021 – 0x80242017“ endet.
Ursache ist wohl der fehlende „Servicing Stack Update“ aus KB5003214.
Lösung für Windows 10 Rechner die in der FAUAD sind. Gilt für Windows 10 Version 2004,20H2 und 21H1 sowie Windows Server Version 2004 und 20H2.
- cmd als Administrator ausführen
- Befehl \\fauad.fau.de\NETLOGON\rrze\Tools\UpdateSSU.cmd ausführen.
- Rechner neu starten.
Hinweis: Der Befehl „dism.exe /online /add-package:.\SSU-19041.1022-x64.cab“ wird nur einmal ausgeführt, egal wie oft UpdateSSU.cmd gestartet wird. Soll dism nochmal ausgeführt werden ist die Datei ssu.txt zu löschen.
Für viele Rechner kann die GPO „GLOBAL Install SSU-19041.1022-x64 (M)“ verwendet werden.
Lösung für Rechner die nicht in der FAUAD sind.
Über den Microsoft®Update-Katalog ( https://www.catalog.update.microsoft.com/Home.aspx ) den für das Betriebssystem passenden KB5003214 herunterladen. Z.B. 2021-05 Kumulatives Update für Windows 10 Version 20H2 für x64-basierte Systeme (KB5003214) – Windows 10, version 1903 and later und nach c:\Temp kopieren.
- cmd als Administrator ausführen
- cd c:\Temp
- expand windows10.0-kb5003214-x64_ea5dec15d30be080e9aa13c46daa299781b2611d.msu . -F:*
- dism.exe /online /add-package:.\SSU-19041.1022-x64.cab
- Rechner neu starten
Weitere Möglichkeit: FAUSUS deaktivieren und die Updates von Microsoft beziehen.
Frage: Ich nutze einen Laptop des Lehrstuhls im Home-Office und muss z.B. Treiber installieren. Die Installation scheitert, weil ich mich mit meiner MU-Kennung nicht anmelden kann.
Antwort: Damit man sich mit einer Kennung, egal ob User- oder MU-Kennung, im Home-Office am Laptop anmelden kann, muss man sich mindestens einmal mit der Kennung im UNI-Netz anmelden. Mit dieser Erstanmeldung wird die Kennung am Laptop registriert.
Erst mit dieser Registrierung ist es möglich sich im Home-Office am Laptop anzumelden.
Frage: Ich bin im Home-Office und kann aktuell nicht ins Büro fahren. Gibt es eine alternative Lösung?
Antwort: Wenn es sich um die IdM-Hauptkennung handelt, dann gibt es keine Lösung dafür. Sie müssen das Büro aufsuchen und sich dort einmal anmelden. Für eine MU-Sonderkennung gibt es folgende Möglichkeit.
Gehen Sie folgendermaßen vor.
- Melden Sie sich mir der IdM-Hauptkennung an.
- Bauen Sie eine VPN-Verbindung auf.
- STRG+ALT+ENTF drücken, dann kommt ein Fenster mit Sperren, Benutzer wechseln, etc.
- Wählen Sie „Benutzer wechseln“ aus. Jetzt kommt die Anmeldemaske.
- In der Anmeldemaske melden Sie sich mit der MU-Kennung an.
Der Anmeldevorgang kann, je nach Internetverbindung, einige Zeit dauern. Bitte gedulden Sie sich.
Wenn die Anmeldung abgeschlossen ist, melden Sie sich ab. - Jetzt melden Sie sich wieder mit der IdM-Hauptkennung an und starten den Rechner neu.
- Nach dem Neustart sollte eine Anmeldung mit der MU-Kennung möglich sein.
Hinweis: Sollten die Auswahl „Benutzer wechseln“ nicht zur Verfügung stehen, so wurde diese Funktion vom Administrator gesperrt.
Es gibt verschiedene Dienstleistungen am Rechenzentrums die durch IT-Beauftragte wahrgenommen werden: RRZE-Kontaktperson, IT-Betreuer, Präfix-Verantwortliche allgemein, Mail- und AD-Präfix-Verantwortliche, etc.
Der Lehrstuhl muss mindestens einen einzigen Ansprechpartner benennen. Wir empfehlen auch einen Stellvertreter zu benennen um Fragen auch bei Urlaub bzw. Dienstreisen klären zu können.
Für alle Dienstleistungen kann es einen einzigen Verantwortlichen geben, muss es aber nicht. Da die Dienstleistungen zu unterschiedlich sind, ist es sinnvoll, dass vom Lehrstuhlverantwortlichen unterschiedliche Personen festgelegt werden.
Es gibt die Präfixverantwortlichen (der Hauptverantwortliche und sein Stellvertreter) für alles was mit dem Präfix zu tun hat. In der Regel ist dies der Lehrstuhlinhaber und sein Stellvertreter.
Die Verantwortlichen bestimmen den/die Mail-Präfix- und den/die AD-Präfix-Verantwortlichen. Wie der Name schon sagt, sind die Mail-Präfix-Verantwortliche für alles rund um die Mail zuständig und die AD-Präfix-Verantwortliche alles was mit der FAUAD (IT-Betreuung) zu tun hat.
Der Präfixverantwortliche kann auch der Mail- und AD-Präfixverantwortliche sein. Muss es aber nicht. In der Regel ernennt der Präfixverantwortliche unterschiedliche Personen für Mail und die FAUAD. Was auch Sinn macht, denn der AD-Verantwortliche muss ein gewisses Maß an EDV technischen Kenntnissen mitbringen. So bekommt die Sonderkennung für das Active Directory nur eine Person mit Kenntnissen über das Active Directory.
Bei einigen Lehrstühlen werden die FAUAD-Aufgaben (IT-Betreuung) an eines der IT-BetreuungsZentren delegiert.
Um einen Präfix zu beantragen wenden Sie sich an praefix@fau.de
Änderungen bei den Präfixverantwortlichen:
Der aktuelle Präfix-Verantwortliche muss nur eine formlose E-Mail an praefix@fau.de schreiben und die Änderung mitteilen.
Wer darf Sonderkennungen für die FAUAD beantragen und genehmigen?
Frage: Support-Ende für Windows 10-1809 ist der 11.05.2021. Wann wird Windows 10-1909 auf FAU-Current ausgerollt?
Antwort: Windows 10-1909 wird nicht auf FAU-Current ausgerollt, da im FAU-Current-Zweig immer der maximal möglicher Support-Zeitraum ausgenutzt werden soll, d.h. Funktionsupgrades gibt es nur alle 2 Jahre.
Windows 10-2009 wird voraussichtlich Ende Januar 2021 auf FAU-Current0 ausgerollt.
Frage: Rechner ist auf FAU-Next (Windows 10-1909) bzw. FAU-Test (Windows 10-2004) zugewiesen. Die Funktionsupgrades werden angezeigt, aber nicht installiert. Warum ist das so?
Antwort: Dieses Verhalten ist normal und so von Microsoft gewollt. Ist der Wunsch vieler User selbst entscheiden zu können, wann ein Funktionsupgrade installiert werden soll. Dies kann über die normale Update-Funktion erfolgen oder ist beim Herunterfahren im Menü auswählbar. Die automatische Installation erfolgt erst kurz vor dem Supportende der aktuell installieren Version.
Frage: Rechner ist auf FAU-Current zugewiesen. Installiert ist Windows 10-1903. Support-Ende für 1903 ist der 08.12.2020.
Nach dem Support-Ende gibt es keine Updates mehr und Upgrades werden auch nicht installiert, weil 1903 neuer als 1809 ist.
Wie soll hier vorgegangen werden?
Antwort: Verwenden Sie in diesem Fall nicht den FAU-Current-Zweig, sondern weisen den/die Rechner mit Windows 10-1903 FAU-Next2 zu. Auf FAU-Next wird noch vor Support-Ende von Windows 10-1903 Windows 10-2009 zugewiesen. Nach dem Funktionsupgrade kann der Rechner in FAU-Next2 bleiben, wenn einmal pro Jahr ein Funktionsupgrade gewünscht wird.
Ansonsten wieder dem FAU-Current-Zweig zuweisen.
Weitere Informationen sind auf der Windows-Webseite windows.rrze.fau.de zu finden:
https://www.rrze.fau.de/hard-software/betriebssysteme/windows/sicherheitspatches/
https://www.rrze.fau.de/hard-software/betriebssysteme/windows/dienste-service/#FAUSUS
Aktuelle Informationen werden über die Mailing-Liste „Informationen zu Windows-Updates und -Upgrades (FAUSUS-Nutzer)“ verteilt. Abonnieren der Benachrichtigung über Windows-Updates
Hinweise zum Verbinden eines Netzlaufwerkes im Home-Office: Netzlaufwerk im Home-Office verbinden
In neueren Windows-Versionen sind nicht mehr alle Windows-Features integriert, obwohl eine Auswahl zur Verfügung steht. Beispiel .Net Framework 3.5. Wird so eine Windows-Features aktiviert versucht Windows diese Funktion von Microsoft herunterzuladen.
Bedingt durch Nicht gewollter Windows 10 1607 auf 1709 ist „Keine Verbindungen mit Windows Update-Internetadressen herstellen“ per GPO aktiviert. Sobald diese Funktion aktiviert ist, können diverse Windows-Features, Apps, Handschriftenerkennung, etc. nicht mehr heruntergeladen werden.
Windows-Features können teilweise nur installiert werden, wenn Updates von Microsoft bezogen werden. Dazu muss der FAUSUS deaktiviert werden. Zum deaktivieren weisen Sie die GPO „GLOBAL MS-Windows Update 14/365 Tage HomeOffice (M)“ temporär zu.
Oder fragen Sie beim Windows-Team nach, ob eine paktierte Version der Funktion verfügbar ist.
Frage: Warum enthalten die Mails über „Rechner mit eingestelltem Herstellersupport“ auch Windows 10 Rechner?
Antwort: Wenn Windows 10 Rechner enthalten sind, so bedeutet dies, dass diese Rechner eine veraltete Windows 10 Version nutzen, z.B. Windows 10-1511. Support Ende für diese Version war der 10.10.2017. Oder der Update-Mechanismus ist defekt.
Frage: Warum unterscheiden sich die Listen die per Mail versandt werden, von den Listen die der FAUSUS zur Verfügung stellt?
Antwort:
Der FAUSUS kennt Rechner die in der FAUAD, in der UBAD, in einer Lehrstuhl eigenen AD enthalten sind, sowie Rechner die keine AD nutzen.
Der FAUSUS ist dumm, d.h. er wartet darauf, dass der Client sich beim FAUSUS meldet. Alles was der Windows-Client meldet erfasst der FAUSUS.
Wenn der Windows-Client fehlerhafte Daten liefert, sind die Daten im FAUSUS auch fehlerhaft.
Meldet sich ein Rechner mehr als 30 Tage nicht am FAUSUS so löscht der FAUSUS diese Rechner aus der Datenbank.
Die Listen die der FAUSUS täglich (!) zur Verfügung stellt, kann also nur die Rechner enthalten, die sich beim FAUSUS innerhalb der letzten 30 Tage gemeldet haben.
Aktive-Directory:
Die Listen die per Mail versandt werden, stammen aus den Aktive-Directorys FAUAD und UBAD.
Im Gegensatz zum FAUSUS löscht ein Aktive-Directory keine Rechner. Das ist auch gut so, denn der Rechner kann eine unbestimmte Zeit nicht am Netz sein.
Ein Rechner in der AD verschwindet nur dann, wenn der OU Verantwortliche diesen löscht.
Ob der Rechner noch aktiv ist, kann kein Tool entscheiden. Das Tool weiß ja nicht ob der Rechner verschrottet wurde oder ob der Rechner ausgeschaltet ist weil sich der User für längere Zeit im Ausland aufhält.
Zusammenfassung und in Kurzform:
AD-Listen enthalten alle Rechner der RRZE-ADs, FAUSUS-Listen enthalten nur die Rechner die sich innerhalb der letzten 30 Tage gemeldet haben.
Über die AD kann nur ermittelt werden, ob der Herstellersupport für ein Betriebssystem, z.B. Windows 10-1511, abgelaufen ist.
Die FAUSUS-Listen liefern auch Infos, ob der Client nach Stand der Technik sicher ist.
Bsp. Wird im FAUSUS für Windows 10-1803 die Version 10.0.17134.11 angezeigt, obwohl es schon die Version 10.0.17134.1038 gibt, kann (!) dies ein Zeichen sein, dass mit den Updates etwas nicht stimmt. Der Rechner sollte zeitnah überprüft werden.
FAUAD-Vorgaben und -Richtlinien Betriebssysteme und Software mit eingestellten Herstellersupport
Frage: Rechner ist in der Liste, obwohl das Betriebssystem auf dem aktuellen Stand ist.
Ursache 1: Der Rechner wurde bei einer Neuinstallation nicht mehr in die AD aufgenommen und das Rechnerobjekt wurde nicht aus der AD gelöscht.
Empfehlung: Rechner aus der AD löschen.
Ursache 2: Der Rechner war schon lange nicht mehr mit der AD verbunden, weil der Rechner ein Homeoffice-Arbeitsplatz ist, oder es ist ein Laptop bei dem der Besitzer z.Zt. nicht an der UNI weilt.
Empfehlung: Erstellen Sie ein Protokoll des Rechners, am besten mit dem Tool RRZE-ClientAnalyse (https://www.rrze.fau.de/hard-software/betriebssysteme/windows/#tools) und senden dieses Protokoll an windows@fau.de. Die aktuelle Version des Rechners wird vom Windows-Team in der AD hinterlegt.
Frage: Der Rechner nutzt ein Betriebssystem und Software, bei denen der Herstellersupport eingestellt wurde. Kann der Rechner weiter genutzt werden, wenn der Rechner aus der AD gelöscht wird?
Antwort: Nein. Der Betrieb von Rechnern mit einem Betriebssystem und Software, bei denen der Herstellersupport eingestellt wurde, ist im Datennetz der FAU verboten.
Empfehlung: Sollte ein Betrieb derartiger Alt-Systeme am Datennetz der FAU aus technischen Gründen unvermeidbar sein (z.B. bei der Arbeit mit vernetzten Labor- oder Messsystemen), so muss für diese Systeme netzseitig ein individuelles Sicherheitskonzept erarbeitet werden. Hierzu ist eine Anfrage an die Gruppe Netzinfrastruktur und -dienste der Abteilung Kommunikationssysteme des RRZE (noc@fau.de) notwendig.
Bei Office 2016 ist die Microsoft-Empfehlung die 32 Bit-Version zu verwenden. Bei der 32 Bit Version gibt es sehr viel weniger Kompatibilitäts-Probleme mit Makros und AddOns. Für Office 2016 gibt es einzelne Updates zu Word, Excel, etc. über den FAUSUS. Bei bekannten Problemen ist es möglich Office 2016 Updates am FAUSUS zu sperren.
Für Office 2019 lautet die Microsoft-Empfehlung die 64 Bit Version zu verwenden. Office 2019 erhält Updates direkt über Microsoft meist als komplettes Paket. Es ist keine Updateversorgung über den FAUSUS möglich.
Per SCCM wird Office 2016 und Office 2019 jeweils nur in der 32 Bit-Version zur Verfügung gestellt.
Support-Ende für Office 2016 und Office 2019 ist der 14.10.2025.
Ist ein Roll-Back von Office 2019 auf Office 2016 notwendig?
Ein Roll-Back ist nur dann notwendig, wenn Software verwendet wird, bei der Office 2019 ausgeschlossen wird.
Beachten Sie auch den FAQ-Eintrag Office 2019 erhält keine Updates
01.08.2023: Office 2919 wird von der Windows Softwareverteilung (WinSV) nicht mehr unterstützt.
Die Empfehlung des Windows-Team lautet: Office 2021 zu verwenden.
Updates für Office 2019 werden nicht über den FAUSUS verteilt, da Microsoft die Office 2019-Updates für den FAUSUS nicht zur Verfügung stellt. Die Updates für Office 2019 müssen direkt über Microsoft erfolgen.
Es sind Office 2019 Installationen im Betrieb, die keine Updates erhalten. Ursache liegt in einer fehlerhaften Konfiguration.Erkennbar ist dies, wenn bei Office-Updates „Updates werden von Ihrem Systemadministrator verwaltet“ steht.
Word -> Datei -> Konto
Für Rechner, die in der FAUAD integriert sind, kann die Einstellung durch Zuweisung der GPO „GLOBAL Office2019 Update von Microsoft (M)“ auf die entsprechend OU korrigiert werden.
In allen anderen Fällen muss der Registry-Key OfficeMgmtCOM unter Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration von True auf False umgestellt werden.
Bedingt durch „Nicht gewollte Windows 10-Upgrades“ ist „Keine Verbindungen mit Windows Update-Internetadressen herstellen“ per GPO aktiviert. Sobald diese Funktion aktiviert ist, können keine Apps, Handschriftenerkennung, etc. mehr heruntergeladen werden. Wie die Sperre aufgehoben werden kann ist in Nicht gewollter Windows 10 1607 auf 1709 beschrieben.
Microsoft dokumentiert auf seiner Webseite bekannte Probleme („known issues“), die das Upgrade auf neue Windows-10-Versionen verhindern.
Auffälligkeiten/Probleme:
Voraussetzungen:
Rechner müssen vom Hersteller für Windows 10 – 1903 Support werden. Siehe Windows 10 Kompatibilität bei Fujitsu-, Dell- und Lenovo-Rechnern. BIOS und Treiber müssen auf den aktuellen Stand sein.
Keine Upgrade-Probleme:
FUJITSU ESPRIMO P758 von Windows 10-1809
FUJITSU ESPRIMO P720 von Windows 10-1809 (vereinzelt ist ein Upgrade auf 1903 nicht möglich)
kein Upgrade möglich:
Fujitsu Celsius W550 Power von Windows 10-1809 mit Grafikkarte: AMD FirePro W4100
Lösung: Austragen des Rechners aus dem Updateszweig FAU-Next
kein Upgrade möglich (kein offizieller Support durch den Hersteller):
Fujitsu Celsius W360 von Windows 10-1809
Fujitsu Esprimo P700 von Windows 10-1809
Lösung: Austragen des Rechners aus dem Updateszweig FAU-Next
Problem: FUJITSU ESPRIMO P720 von Windows 10-1809. Nach Aus- und Einschalten des Rechners wird die Vorgängerversion wiederhergestellt.
Lösung: Austragen des Rechners aus dem Updateszweig FAU-Next
Auffälligkeiten/Probleme:
Problem: Ist in einem Rechner Fujitsu Esprimo Typ P900, P910, P920 (Mainboard D3402-B21) eine Grafikkarte vom Typ Radeon HD3450 eingebaut, zerstört das Windows 10 Upgrade auf 1709 die komplette vorhandene Installation.
Lösung: Grafikkarte Radeon HD3450 ausbauen und nicht mehr verwenden.
Umstellungszeiten:
Fujitsu (Intel Core2 Q9550) aus dem Jahre 2008, Festplatte, 16GB RAM:
– Rechner ist in der FAUAD
– Upgrade ca. 60 Minuten
– erster Login nach dem Upgrade ca. 3 Minuten
– Grafik-Treiber wurde nicht aktualisiert, musste per Hand gesucht werden.
Fujitsu (Intel Core i7-4770) aus dem Jahre 2013, SSD, 32GB RAM:
– Rechner ist in der FAUAD
– Upgrade ca. 20 Minuten
– erster Login nach dem Upgrade ca. 3 Minuten
– Treiber OK
Dell-Laptop (Intel Core i7-6600U) aus dem Jahre 2016, SSD, 16GB RAM
– Rechner ist in der FAUAD
– Upgrade ca. 30 Minuten
– erster Login nach dem Upgrade ca. 3 Minuten
– Treiber OK
– einige Einstellungen wurden nicht übernommen wie z.B. die Dell-Einstellungen zum Desktop.
Fujitsu Workstation W520 (Xeon E3-1275 V2) aus August 2012, Samsung 840 Evo SSD, 16GB RAM)
- Rechner ist in der FAUAD
- unmittelbar vorher via SCCM mit 1511 betankt
– ca. ein Dutzend kleinere Updates bis 1607 erscheint
– Download/Vorbereitungen für 1607 (im Hintergrund) ca. 10 Minuten
– Ab „jetzt neustarten für Installation 1607“ ca. 15 Minuten
– erster Login nach Upgrade ca. 30 Sekunden
– Alle Onboard-Komponenten wurden erkannt
Auffälligkeiten/Probleme:
Problem: Netzwerkeinstellungen werden beim Upgrade gelöscht.
Lösung: Auf DHCP umstellen. IP-Adressen bringen heute keine Vorteile mehr.
Problem: Remoteserver-Verwaltungstools wurden nicht übernommen, sondern gelöscht
Lösung: neu installieren
Auffälligkeit: Defender ist wie unter 1511 deaktiviert, wird im Infobereich aber angezeigt.
Lösung: im Infobereich ausblenden
Problem: Upgrade hat VMWare-Netzwerk kaputt gemacht: Kein Netzwerkzugriff mehr möglich.
Lösung: VMWare neu installieren
Problem: Suchen ist möglich, Ergebnisse werden angezeigt können aber nicht ausgewählt werden.
Lösung: nach weiteren Updates sowie nach Logout/Login funktioniert die suche wie gewohnt.
Problem: Bei einigen Rechnern (nicht bei allen) wurde der Computerschutz für Laufwerke deaktiviert
Lösung:
Auffälligkeit: einige (nicht alle) APPs sind wieder da, obwohl diese deaktiviert wurden.
Lösung: Aktuell müssen die APPs wieder deaktiviert werden. MS plant dies in einer der nächsten Upgrade’s zu berücksichtigen.
Fujitsu-PCs, -Workstations und Windows 10 *** Kompatibilität – Version 1506 bis 1903 ***
https://support.ts.fujitsu.com/Productsupport/Win10/Win10_Update.asp
Dell: Für das Windows 10 Mai 2019 Update und frühere Versionen von Windows 10 getestete Dell Computer
https://www.dell.com/support/article/de/de/debsdt1/sln297954/
Lenovo devices tested for Windows 10 version 1809 (October 2018)
https://support.lenovo.com/us/en/solutions/ht507291
Lenovo devices tested for Windows 10 version 1903 (May 2019)
https://support.lenovo.com/us/en/solutions/ht508488
Gelegentlich erreichen uns Anfragen, dass Home-Office-Rechner bzw. Laptops keine oder nur sporadisch Windows- und Office-Updates erhalten.
Ursache dafür ist, dass der FAUSUS nur im UNI-Netz erreichbar ist.
Updates vom FAUSUS bekommen Home-Office-Rechner bzw. Laptops nur dann, wenn diese Rechner regelmäßig mit dem UNI-Netz verbunden sind. Dies kann z.B. durch eine VPN-Verbindung erfolgen.
Vielen Benutzern im Home-Office oder Nutzern von Laptops ist dies nicht bewusst oder es ist in Vergessenheit geraten, dass eine regelmäßige VPN-Verbindung notwendig ist um die Updates zu erhalten.
Diese Problematik kann dadurch umgangen werden, indem die Home-Office-Rechner und Laptops die Updates vom Microsoft-WSUS-Server beziehen.
Home-Office-Rechner und Laptops in der FAUAD verschieben Sie in eine eigene OU und weisen dieser OU die GPO „GLOBAL Windows Update HomeOffice (M)“ zu. Siehe auch OU MUSTER in der FAUAD.
Die GPO „GLOBAL Windows Update HomeOffice (M)“ sorgt dafür, dass die Updates von Microsoft bezogen werden. Dabei werden die normalen Updates, wie am FAUSUS um 14 Tage verzögert. Funktionsupdates von Windows 10 werden nach der Freigabe durch Microsoft um 365 Tage zurückgestellt.
Für Standalone-Rechner oder Rechner die nicht in der FAUAD/UBAD sind, konfigurieren Sie die Updates per Hand oder nutzen den Update-Mechanismus von Microsoft.
Ordner und/oder Dateinamen bei der der gesamte Pfad über 255 Zeichen lang ist, lässt sich mit Windows-Bordmitteln nur dadurch lösen indem der Gesamtpfad gekürzt wird. Ein sehr mühevolles unterfangen. Enthält der Dateiname noch spezielle Sonderzeichen (kommt bei MAC oder Linux-Usern schon mal vor) so ist ein löschen teilweise nicht möglich.
Mit dem Windows eigenen Tool Robocopy lässt sich über einen kleinen Umweg das Problem elegant lösen.
Man lege einen leeren Ordner an und kopiere diesen leeren Ordner mit Robocopy mit der Option /mir in den zu löschenden Ordner. Als Ergebnis davon wird der Inhalt des Zielordners gelöscht.
PowerShell-Script:
Function ClearOrdner ($Pfad) {
New-Item -Path $TempLocal\Leer -ItemType directory -force | Out-Null
robocopy $TempLocal\Leer $Pfad /mir | Out-Null
Remove-Item -path $Pfad -Recurse -force -ErrorAction SilentlyContinue
Remove-Item -Path $TempLocal\Leer
}
In der Lenovo-Dockingstation ist eine eigene Netzwerkkarte integriert, somit besitzen Lenovo-Notebooks mit Dockingstation zwei Netzwerkkarten. Damit stellt sich die Frage, welche Netzwerkarte muss für SCCM und/oder für DHCP angegeben werden?
Für SCCM und/oder DHCP muss immer die Notebook eigene Netzwerkkarte angegeben werden. Damit dies funktioniert, ist im BIOS „MAC Address Pass Througt“ zu aktivieren. Nur wenn „MAC Address Pass Througt“ aktiviert ist, wird die Notebook eigene Netzwerkkarte an die Dockingstation durchgereicht. Das durchreichen der Netzwerkkarte funktioniert erst dann korrekt, wenn der Treiber für die Lenovo Dockingstation (Thunderbolt Dock) installiert ist.
Die Installation (z.B. über SCCM) eines Lenovo-Notebook muss somit immer ohne Dockingstation erfolgen.
Konfiguration:
- Im BIOS unter Config/Thunderbolt „Support in Pre Boot Environment: Thunderbolt“ auf Enabled stellen (sonst funktioniert weder Maus noch Tastatur an Thunderbolt 3 Dock)
- Im BIOS „MAC Address Pass Through“ auf Enabled stellen.
- Installation ohne Thunderbolt 3 Dock
- Treiber fürs Thunderbolt Dock installieren, Lenovo Webseite, notwendig ist der ThinkPad Thunderbolt 3 Driver
(Nicht notwendig bei Rechnern, die per SCCM installiert werden. Treiber ist in SCCM integriert.)
Wenn Ausfälle wie Server down, Netzwerkstörung, defekte Netzwerkkabel, etc. auszuschließen sind, kann die Ursache auch in der GPO-Konfiguration des Netzlaufwerkes liegen.
Ist das Netzlaufwerk in der GPO mit der Aktion „Ersetzen“ konfiguriert, so kommt es zyklisch zum Trennen und neu verbinden des Laufwerkes.
Warum kommt zum Trennen und neu verbinden des Laufwerkes?
Im Aktive Directory werden die Gruppenrichtlinien (GPO) regelmäßig (ca. alle 45 Minuten) aktualisiert und somit auch auf den Clients.
Bezogen auf die Netzlaufwerk-GPO bedeutet dies bei der Aktion „Ersetzen“ dass das Laufwerk bei der Aktualisierung der GPO getrennt und neu verbunden wird.
Dieses trennen des Laufwerkes kann verhindert werden, wenn in der GPO die Aktion „Ersetzen“ auf „Erstellen“ oder „Aktualisieren“ geändert wird.
Sollte „Ersetzen“ ausgegraut sein, und keine Änderung zulassen so muss im Register „Gemeinsame Optionen“ das Häkchen vor „Element entfernen, wenn es nicht mehr angewendet wird“ entfernt werden.
Wie funktioniert die WebDAV-Freigabe eigentlich?
Die WebDAV-Freigabe ist zweistufig.
Um WebDAV nutzen zu können ist eine FAUAD-Gruppe notwendig, z.B. <Präfix>_WebDAV_Freigabe. Über diese Gruppe wird das Lehrstuhl-Share für WebDav freigegeben.
Die FAUAD-Admins des Lehrstuhls entscheiden, wer überhaupt über WebDAV das Share nutzen darf. Die Admins tragen entweder einzelne Personen in die FAUAD-Gruppe <Präfix>_WebDAV_Freigabe ein und/oder vorhandene Gruppen. Zum Beispiel „Alle Studenten“ oder „Alle Beschäftigte“ des Lehrstuhls. Alle Personen, die in <Präfix>_WebDAV_Freigabe eingetragen sind, sehen dann im WebDAV, neben dem persönlichen Home, auch das Lehrstuhl-Share.
Auf welchen Ordner des Lehrstuhl-Share der einzelne User zugreifen darf wird über die normale Rechtefreigabe des Share geregelt.
Wie komme ich zu einer WebDAV-Freigabe?
Senden Sie einfach eine E-Mail an das RRZE Windows-Team rrze-windows@fau.de mit folgenden Informationen:
- Name der FAUAD-Gruppe für die WebDAV-Freigabe
- DFS-Pfad des Shares
- Angezeigter Name in WebDAV
- Problem: Auf Windows 10 Rechnern fehlen APPs wie Movies&TV, Xbox, GrooveMusic, etc.
- Ursache: Wird ein Rechner per SCCM installiert, werden alle Windows 10 Standard-APP deaktiviert (ab Windows 10 – 1709).
Die Ausnahmen sind unter System Center Configuration Manager (SCCM) dokumentiert. - Lösung: Windows 10 APPs können nachinstalliert werden. Wenden Sie sich bitte an Ihren lokalen Systembetreuer bzw. an die zuständige Außenstelle.
- Problem: FAUSUS kann keine Updates mehr zur Verfügung stellen.
- Ursache: Im BIOS einiger Rechner sind ganz spezielle Sonderzeichen (z.B. ¬) hinterlegt was zur Folge hat, dass der FAUSUS seine Arbeit einstellt.
- Lösung 1: BIOS des Rechners aktualisieren. Der Powershell-Befehl „gwmi win32_bios | fl PS*,BiosV*,D*,M*,R*,Sm*,So*,V*“ zeigt die BIOS-Einträge an.
- Lösung 2: Steht keine korrigierte BIOS-Version zur Verfügung muss der Windows-Updates-Kanal vom FAUSUS auf Microsoft umgestellt werden.
Ist der Rechner in der FAUAD informieren Sie zeitnah das Windows-Team (windows@fau.de). Das Windows-Team stellt per GPO den Windows-Update-Kanal auf Microsoft um.
- Problem: PDF-Creator fehlt in Windows 10
- Lösung: Microsoft eigenen PDF-Drucker (Microsoft Print to PDF) verwenden
- Weitergehende Informationen:
Die aktuellen PDF-Creator Version lassen sich nicht mehr automatisiert paketieren.
Da Windows 10 einen eigenen PDF-Drucker (Microsoft Print to PDF) mitliefert stellt das RRZE keinen paketierten PDF-Creator für Windows 10 mehr zur Verfügung.
- Problem: 31.01.2018 Update KB4011626 – Outlook 2016 entfernt PDF Dokumente beim weiterleiten
- Lösung: Microsoft hat mit dem Update https://support.microsoft.com/en-us/help/4011123 eine Fehlerbeseitigung zur Verfügung gestellt. Bis zum jetzigen Zeitpunkt hat Microsoft dieses Update für den FAUSUS-Server noch nicht zur Verfügung gestellt.
Sollte Outlook 2016 PDF-Dokumente beim Weiterleiten entfernen, so muss auf den betroffenen Computern der Update KB4011123 per Hand installiert werden. Wenden Sie sich dazu an Ihren lokalen Systembetreuer bzw. an das für Sie zuständige IT-BetreuungsZentren. - Lösung mit FAUSUS: 22.02.2018 Updateprobleme für Outlook KB4011626 wurden mit dem KB4011682 behoben.
Informationen rund um die Sicherheitslücke Meltdown und Spectre
RRZE: Hinweise zu den Sicherheitslücken Meltdown und Spectre
Bekannte Probleme zu Microsoft-Updates:
Heise: Gravierende Prozessor-Sicherheitslücke: Nicht nur Intel-CPUs betroffen, erste Details und Updates
Heise: Meltdown und Spectre: Update für Windows 10 legt einige PCs lahm
Lesenswerte Artikel zu Meltdown und Spectre
Heise: CPU-Sicherheitslücken Spectre-NG: Updates und Info-Links
Heise: CPU-Lücke Spectre V2: Microcode-Updates jetzt unter Windows 10 1803, unter Linux lückenhaft
Heise: Spectre-NG: Intel verschiebt die ersten Patches – koordinierte Veröffentlichung aufgeschoben
Heise: Spectre-NG: Intel-Prozessoren von neuen hochriskanten Sicherheitslücken betroffen
Heise: Meltdown- & Spectre-Updates für alle: Microsoft entfernt Antiviren-Registry-Schlüssel
Heise: Sicherheitslücke Spectre V2: Ältere Intel-Prozessoren bleiben schutzlos
Heise: Kernel-Lücke Total Meltdown: Meltdown-Patch für Windows 7 verschlimmert die Lage dramatisch
Heise: Spectre und Meltdown: Intel-Prozessoren mit vollem Hardwareschutz bereits 2018
Heise: Spectre-Lücke: Intels Microcode-Updates für Linux und Windows
Heise: Spectre-Lücke: Microcode-Updates nun doch als Windows Update
Heise: Spectre-Lücke: Updates für aktuelle Intel-Prozessoren auf dem Weg
Heise: Spectre-2-Lücke: Intel verspricht Updates auch für ältere Prozessoren
Heise: Meltdown & Spectre: Intel bringt wieder Microcode-Updates
Heise: Meltdown & Spectre: Windows-Update deaktiviert Schutz gegen Spectre V2
Heise: Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück
Heise: FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?
Heise: Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau
Heise: Intel-Benchmarks zu Meltdown/Spectre: Performance sackt um bis zu 10 Prozent ab, SSD-I/O deutlich mehr
Meltdown und Spectre: Neustart-Probleme auch mit Skylake- und Kaby-Lake-CPUs, neue Intel-Benchmarks
Der FAU-Lieferant Bechtle geht in einem Blog auf einige Fragen zu den Sicherheitslücken ein.
https://www.bechtle-blog.com/home/sicherheitsluecken-meltdown-und-spectre-aktuelle-einschaetzung-und-empfehlungen
Erste BIOS-Updates sind Verfügbar oder werden in Kürze zur Verfügung gestellt
- Problem: Auf einigen Windows 10 Computern wird ein Upgrade von Windows 10 Version 1607 auf 1709 eingespielt, obwohl der Computer nicht in einer der „FAUSUS-Next-Gruppen“ ist.
Windows 10 Version 1607 greift am FAUSUS vorbei direkt auf den Microsoft-Updatedienst zu und holt sich von dort die Upgrades.
Nach unserem aktuellen Kenntnisstand trifft dies aber nicht auf alle Windows 10 Version 1607 Computer zu. Die Ursache dafür ist uns bisher unbekannt. - Lösung: „Keine Verbindungen mit Windows Update-Internetadressen herstellen“ aktivieren.
FAUAD: In der GPO „GLOBAL Windows Update (M)“ wurde die Funktion „Keine Verbindungen mit Windows Update-Internetadressen herstellen“ aktiviert. - Weitergehende Informationen:
Das Windows überhaupt auf den Microsoft-Updatedienst zugreifen kann, ist wohl auf einen neu hinzugefügten Eintrag in den Gruppenrichtlinien zurückzuführen. Die Standard-Einstellung der Funktion „Keine Verbindungen mit Windows Update-Internetadressen herstellen“ ist bisher dort noch nicht konfiguriert.
Leider hat diese Änderung auch Auswirkungen auf öffentliche Dienste wie z.B. dem Windows Store. Sobald „Keine Verbindungen mit Windows Update-Internetadressen herstellen“ aktiviert ist, können von dort auch keine Apps mehr heruntergeladen werden.
FAUAD: Lehrstuhl-Administratoren, die einen Download aus dem Windows Store erlauben, können diese Sperre aufheben, indem die GPO „GLOBAL Windows-Internet-Zugriff erlauben (M)“ auf die entsprechenden OU zuweisen wird.
Sie haben aus Versehen eine Datei gelöscht?
Lag diese Datei auf der lokalen Festplatte, so können Sie diese über den Papierkorb wieder herstellen. Ist die Datei im Papierkorb nicht mehr vorhanden, so besteht keine einfache Möglichkeit – ohne ein Spezialprogramm und Kosten – diese wieder herzustellen.
Wenn die vermisste Datei auf einem vom RRZE betreuten Server lag, so gibt es folgende Möglichkeiten:
1. Die Datei ist noch im Serverpapierkorb vorhanden:
Sie markieren den Ordner in dem die gelöschte Datei vorhanden war.
Mit der rechte Maustaste wählen sie Eigenschaften und dort das Register „Vorgängerversionen“ aus. Im Fenster „Ordnerversionen“ markieren Sie den gewünschten Tag und Uhrzeit.
Sie können jetzt mit „Öffnen“ den Serverpapierkorb einsehen, die gewünschte Datei kopieren und am alten Ort wieder einfügen, oder Sie nutzen die Funktion „Kopieren“, um den gesamten Ordner zu kopieren.
Die Funktion „Wiederherstellen“ sollte mit Bedacht genutzt werden, damit nicht neuere Dateien überschrieben werden.
Ist das Register „Vorgängerversionen“ leer, müssen Sie eine Ordnerebene höher gehen und den Vorgang wiederholen.
2. Die Datei ist nicht mehr im Serverpapierkorb vorhanden:
Senden Sie eine E-Mail an backup@fau.de mit folgenden Informationen:
– Ihre IdM-Benutzerkennung
– Name des Ordners, der restauriert werden soll (Servername und genauen Pfad). Sollte Ihnen der genaue Ordnerpfad nicht bekannt sein, so fragen Sie Ihren EDV-Betreuer vor Ort.
– Von welchem Tag an die Rücksicherung erfolgen soll
Hinweise:
– Ein Backup steht nur zur Verfügung, wenn der Lehrstuhl ein Backup beauftragt hat.
– Eine Datei muss mindestens 24h am RRZE-File-Server liegen bis die Datei im Backup aufgenommen wird. D.h. pro Tag kann nur eine einzige Version einer Datei wiederhergestellt werden.
– Nach 3 Monaten werden die Daten im Backup überschrieben. D.h. Dateien, die älter als 3 Monate sind können nicht wiederhergestellt werden.
Für weitergehende Fragen zum Thema Backup wenden Sie sich bitte an das Backup-Team (backup@fau.de)
Tipps für den Endanwender:
Es kommt immer wieder einmal vor, dass sich der Rechner nicht mehr so verhält wie gewohnt.
Schritt 1: Fehlersuche – Hilfe zur Selbsthilfe
- Wurde der Rechner bereits neu gestartet? (Reboot tut immer gut)
- Wurden alle anstehenden Updates eingespielt, d.h. stehen noch Updates aus?
- Wurde die Uhrzeit/Zeitzone überprüft, d.h. ist die Uhrzeit/Zeitzone korrekt?
- Wurde der Speicherplatz der Festplatte geprüft, d.h. ist vielleicht die Festplatte voll?
Generelle Empfehlung: Fahren Sie den Rechner immer herunter, wenn er nicht gebraucht wird. Das spart nicht nur Energie, sondern verhindert oft seltsames Verhalten des Rechners.
Schritt 2: Bevor Sie sich an den für Sie zuständigen EDV-Betreuer wenden, sollten Sie einige Informationen sammeln. Sie erleichtern damit die Fehlersuche und umso schneller funktioniert der Rechner wieder wie gewohnt.
Erstmal die berühmten W-Fragen:
- Wie äußert sich das Problem?
- Seit wann tritt das Problem auf?
- Was wurde seitdem verändert?
- Wurde der Rechner schon einmal neu gestartet?
- Wurden alle anstehenden Updates eingespielt?
- Wurde die Uhrzeit/Zeitzone überprüft?
- Wurde der Speicherplatz der Festplatte geprüft?
- Arbeiten Sie an verschiedenen Rechnern, wenn ja an welchen?
- Tritt das Problem ebenfalls auf, wenn Sie sich an einem anderen Rechner anmelden?
Treten dieselben Probleme auf, wenn sich Ihr Arbeitskollege/Arbeitskollegin an ihrem Rechner anmeldet?
Diese Informationen werden zur Analyse benötigt:
- Kennung des Users:
- Betriebssystem:
- Rechnername:
Wenn der Rechner per SCCM verwaltet ist, hilt das Tool RRZE-ClientAnalyse bzw. RRZE Networking Tool Client (je nach Update-Stand) die wichtigsten Daten aufzusammeln.
Rechner ohne SCCM-Verwaltung finden das Tool auf der Windows-Webseite Hilfreiche Werkzeuge in zwei verschiedenen Varianten.
- Variante 1 zum direkten Download und Start des Tool RRZE-ClientAnalyse.exe
- Variante 2 für die dauerhafte Installation auf dem Rechner Install-RRZE-ClientAnalyse.exe
Tipps für den EDV-Betreuer
EDV-Betreuer sollten weitere Informationen einholen, bevor sie sich an das Windows-Team (rrze-windows@fau.de) wenden.
Bitte fragen Sie die Punkte aus „Tipps für den Endanwender“ ab.
Was sollte noch geprüft werden:
- Ist der Rechner in der FAUAD?
- Ist der Rechnername im DNS vorhanden?
- Ist der Rechnername im DHCP eingetragen?
- Meldet sich der User auch in der FAUAD an?
folgende Log-Files sind zu erstellen:
- ipconfig /all > ipconfig.txt
- systeminfo > systeminfo.txt
- net use > netuse.txt
- gpresult /H User.html und (!)
- „Als Administrator ausführen“ gpresult /H UserAdmin.html unter dem User ausführen bei dem das Problem auftritt.
Wird ein Desktop oder ein Laptop verwendet?
Wenn ein Laptop verwendet wird:
- Anmeldung per LAN oder WLAN?
- Prüfen Sie, ob die Netzwerkverbindung mit LAN oder WLAN erfolgt.
- Wird die Netzwerkverbindung mit LAN und WLAN aufgebaut?
- Sind Offline-Files aktiv?
Ist FAUBox installiert?
Wenn Ja, wie lautet der Basispfad der FAUBox?
Werden Shares verbunden, auf die der User keine Rechte hat?
Fragen zum Home:
- Wo liegt das Home?
- Laufwerksbuchstabe?
- Ist Home voll?
- Ist Folder Redirection aktiv?
Arbeitet der User an verschiedenen Rechnern, wenn ja an welchen?
Zeigt sich das Problem auch, wenn sich ein anderer User an diesen PC anmeldet?
„Wandert“ das Problem mit, wenn sich der User an einem anderen PC anmeldet?
Wenn der Rechner per SCCM verwaltet ist, hilt das Tool RRZE-ClientAnalyse bzw. RRZE Networking Tool Client (je nach Update-Stand) die wichtigsten Daten aufzusammeln.
Rechner ohne SCCM-Verwaltung finden das Tool RRZE-ClientAnalyse auf der Windows-Webseite Hilfreiche Werkzeuge in zwei verschiedenen Varianten.
- Variante 1 zum direkten Download und Start des Tool RRZE-ClientAnalyse.exe
- Variante 2 für die dauerhafte Installation auf dem Rechner Install-RRZE-ClientAnalyse.exe
Windows 10 Updates schlagen fehl. Was kann ich tun?
Oft sind es banale Dinge, die verhindern, dass Updates eingespielt werden.
Als Vorbereitung ist zu prüfen:
- Wann wurde der Rechner zuletzt neu gestartet (Tool systeminfo -> Systemstartzeit)
- Ist Datum/Uhrzeit und Zeitzone korrekt eingestellt
- Genügend freier Speicherplatz auf Laufwerk C:\ vorhanden
Microsoft empfiehlt 7-12 GB für Upgrades. Praktische Erfahrungen zeigen, dass dies das absolute Minimalwerte ist.
Zu den Upgrades (7-12 GB) kommt noch die Sicherheitskopie hinzu, was schon mal 20 GB und mehr sein kann.
Evt. mit der Windows Datenträgerbereinigung Platz schaffen. - BIOS auf dem aktuellen Stand
- Sind die Treiber aktuell. FAUSUS verteilt keine (!) Treiber
Aktuell sind uns folgende Workarounds bekannt, der in vielen Fällen erfolgreich waren.
Variante 1:
- Laden Sie sich von der RRZE-Webseite UpdateRepair.zip herunter und entpacken Sie diese.
- Starten Sie „Als Administrator ausführen“ UpdateRepair.bat
- UpdateRepair.bat setzt den Windows-Updates zurück.
- Starten Sie den Rechner neu und rufen Windows Update auf.
Meist reicht das zurücksetzen der Windows-Updates. Sollte Variante 1 ohne Erfolg bleiben, versuchen Sie es mit Variante 2.
Variante 2:
- Erstellen Sie unbedingt eine Sicherheitskopie des Rechners
- Laden Sie sich von der RRZE-Webseite https://www.rrze.fau.de/hilfe/security/patches.shtml die „WSUS-Offline DVD für Windows 10“ herunter und erstellen Sie eine DVD.
- für 32 Bit Systeme: WSUS-Offline-DVD Windows 10 multilingual
- für 64 Bit Systeme: WSUS-Offline-DVD Windows 10 / Server 2016 multilingual x64
- Melden Sie sich als Administrator an.
- Deaktivieren Sie den Virenscanner.
- Prüfen Sie, ob genügend Festplattenspeicher (C:) zur Verfügung steht. Es sollten mind. 20GB frei sein.
- Legen Sie die DVD ein und starten „UpdateInstaller.exe“ sofern kein automatischer Start erfolgt.
Die Updates können mehrere Stunden in Anspruch nehmen! Geduld ist angesagt. - Wenn alle Offline-Updates eingespielt sind, lassen Sie Online „Nach Updates suchen“
- Virenscanner wieder aktivieren.
Dieser Workaround ist nur für erfahrene Administratoren zu empfehlen.
Bei Windows 10 bietet Microsoft auch einen LTSB (Long Term Servicing Branch) an. Die LTSB-Version ist in erster Linie für Industrieanwendungen, Krankenhäuser, Labore, Maschinensteuerungen, etc. gedacht. Bei diesen Anwendungsfällen liegt der Schwerpunkt auf Kontinuität und Stabilität, d.h. es sind keine neuen Funktionen erwünscht.
Die Windows 10 LTSB-Version gibt es nur in der Enterprise-Linie. Nach aktuellen Stand sind keine Upgrades möglich. Es wird nicht jede Hardware unterstützt; es gibt keine neuen Features, sondern nur Sicherheitsupdates. Neue Features bedeutet auch, dass neue Hardware (Grafikkarten, Netzwerkkarten, etc.) die nach dem Freigabedatum der entsprechenden LTSB-Version auf dem Markt kommen, nicht unterstützt werden.
Weitergehende Info finden Sie auf den Microsoftseiten, wie z.B. https://technet.microsoft.com/itpro/windows/manage/introduction-to-windows-10-servicing
Das RRZE empfiehlt im normalen IT-Umfeld keine LTSB-Version zu verwenden.
Sollte für Spezialanwendungen doch einmal eine LTSB-Version von Nöten sein so beachten Sie folgendes:
- Die LTSB-Version erhalten Sie über die Softwareabteilung (software@fau.de). Begründen Sie warum die LTSB-Version notwendig ist.
- Vor der Bestellung müssen Sie prüfen, ob die Hardware unterstützt wird. Dabei nicht nur das Motherboard betrachten, sondern auch die optionalen Zubehörteile wie z.B. Grafikarten, USB-Geräte, etc.
- Klären Sie mit dem Lieferanten/Hersteller wie lange es Ersatzteile zu der Hardware gibt. Bei Industriegeräten sind 10 Jahre sehr oft die Regel.
Von RRZE gibt es für die LTSB-Versionen keinen Support. In Problemfällen müssen Sie sich an Microsoft und/oder an den Hardwarehersteller wenden.
Mit der Version 1809 wurde die Bezeichnung in LTSC „Long Term Servicing Channel“ geändert.
Es häufen sich die Anfragen, dass Windows 7 Updates fehlschlagen mit der Folge, dass keine weiteren Updates mehr installiert werden.
Aktuell ist uns nur ein Workaround bekannt, der in vielen Fällen geholfen hat.
- Erstellen Sie unbedingt eine Sicherheitskopie des Rechners
- Laden Sie sich die Datei von der Seite https://www.idm.fau.de/go/file/download/CMD-W7U.zip herunter und entpacken Sie diese.
- Melden Sie sich als Administrator an.
- Deaktivieren Sie den Virenscanner.
- Prüfen Sie ob genügend Festplattenspeicher (C:) zur Verfügung steht. Es sollten mind. 20GB frei sein.
- Starten Sie die Datei W7U-CMD_3.0.bat. Nach Abschluss der Updates starten Sie den Rechner neu.
- Wenn alle Offline-Updates eingespielt sind, lassen Sie Online „Nach Updates suchen“
- Virenscanner wieder aktivieren.
Hinweis: In vereinzelten Fällen muss W7U-CMD_3.0.bat mehrmals gestartet werden.
Dieser Workaround ist nur für erfahrene Administratoren zu empfehlen.
Problem: Aktivierung am KMS-Server schlägt fehl.
Nach einem Hardwaredefekt haben wir ein geklontes Windows 7 Enterprise System erfolgreich wieder starten können, aber es ging dabei die Aktivierung über den KMS-Server verloren.
Beim Versuch einer manuellen Aktivierung kommt nach dem Befehl slmgr -ato die Fehlermeldung vom Windows Script Host ‚Produkt nicht gefunden‘.
Lösung:
Eine Anleitung zum Aktivieren des KMS finden Sie auf der RRZE-Webseite Key Management Server (KMS)
Sollte auch dies fehlschlagen, so finden Sie einen Key auf der Webseite https://technet.microsoft.com/de-de/library/JJ612867.aspx
Problem: Partition System-reserviert fehlt
Bei der Installation von neueren Windows-Versionen wird standardmäßig eine 100/500 MByte große Partition mit der Bezeichnung „System-reserviert“ angelegt. In einigen Fällen wird diese Partition aber nicht erstellt, beispielsweise wenn sich bei der Installation schon ein vorheriges Windows auf der Festplatte befindet. Auch bei vorinstallierten PCs oder bei einer automatischen Installation kann die Partition System-reserviert fehlen.
Lösung:
Die Lösung bietet das „BitLocker Drive Preparation Tool“ (BdeHdCfg.exe).
Folgenden Befehl ausführen: BdeHdCfg -target default
Danach muss der Computer neu gestartet werden.
Frage: Für welche Betriebssystemvarianten ist FAUSUS geeignet?
Antwort: Für alle Windowsbetriebssysteme Betriebssysteme, bei denen der Herstellersupport noch nicht eingestellt wurde.
Frage: Welche Software-Pakete sind in FAUSUS enthalten?
Antwort: FAUSUS-Produktliste.txt
Frage: Wer entscheidet, welche Pakete auf den FAUSUS kommen und nach welchen Gesichtspunkten geschieht dies?
Antwort: Das RRZE gibt die Updates nach festen zeitlichen Regeln vor. Siehe Windows-Webseite Sicherheitspatches Update-Gruppen. Updates werden nur zurückgehalten, wenn Probleme auftreten.
Frage: Was passiert, wenn das Windows Update von Hand aufgerufen wird und die zusätzlich gefundenen Patches eingespielt werden?
Antwort: Windows Update kann von Hand gestartet werden um zusätzliche Updates einspielen. FAUSUS deinstalliert keine Updates. Uns sind keine Probleme in dieser Kombination bekannt.
Frage: Gibt es Optionen für FAUSUS?
Antwort: Ja. Sie haben die Möglichkeit bei der Installation des FAUSUS eine Update-Gruppe zu wählen, siehe Windows-Webseite Sicherheitspatches
Wer darf Sonderkennungen für die FAUAD beantragen?
Sonderkennungen für die FAUAD darf jede Person der FAU beantragen, bei denen ein aktives Beschäftigungsverhältnis mit der FAU besteht. Weitere Voraussetzung sind Kenntnisse des Microsoft Active Directory (AD).
Ein Antrag auf eine Sonderkennung für die FAUAD kann nur bearbeitet werden, wenn die „Richtlinien für Administratoren“ unterschrieben vorliegen. Siehe Windows-Webseite windows.rrze.fau.de
Wer darf einen Antrag für eine Sonderkennung in der FAUAD genehmigen?
Für jeden AD-Präfix sind in einer Präfix-Datenbank berechtigte Personen hinterlegt. Nur Personen die in der AD-Präfix-Datenbank hinterlegt sind, dürfen den Antrag genehmigen. Anträge die von Personen genehmigt wurden, die in der Präfix-Datenbank nicht hinterlegt sind werden mit dem Hinweis abgelehnt, wer der Berechtigte für diesen Antrag ist.
Bitte beachten: Die Kontaktperson kann Präfix-Verantwortlicher sein. In vielen Fällen sind Kontaktperson und Präfix-Verantwortlicher verschiedene Personen.
Wir lange ist eine Sonderkennung aktiv?
Eine Sonderkennung läuft mit dem Beenden der entsprechenden Zugehörigkeit aus. Dies ist in IdM ersichtlich.