RobertRiebisch.de

Hinweis: Diesen Beitrag habe ich manuell aus meinem im Jahr 2013 testweise mit Kirby betriebenen Blog übernommen.

Ganz abgesehen davon, dass die Verwendung der sophos_detoured_x64.dll bzw. sophos_detoured.dll mitunter eine ganze schlechte Idee ist (Performance and consistency issues when certain modules are loaded into SQL Server address space), muss den Entwicklern bei Sophos doch eigentlich selbst auffallen, dass es nicht normal sein kann, wenn in den Registry-Werten HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs und HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs jeweils bis zu 20x (!) die Zeichenkette C:\PROGRA~2\Sophos\Sophos Anti-Virus\sophos_detoured_x64.dll bzw. C:\PROGRA~2\Sophos\Sophos Anti-Virus\sophos_detoured.dll steht:

Im Artikel Working with the AppInit_DLLs registry value erfahrt ihr:

All the DLLs that are specified in this value are loaded by each Microsoft Windows-based application that is running in the current log on session.

Die o. g. 20 Einträge können also allein schon für die Performance des gesamten Systems nicht gut sein. Instabilitäten des Servers (Windows SBS 2011) sind mir im vorliegenden Fall zwar keine bekannt, allerdings war ich in der Vergangenheit an anderer Stelle schon einmal mit diesem Thema befasst und dort "zickte" der Server (Windows SBS 2008) sehr wohl. Ich konnte dessen Instabilität abschließend jedoch nicht eindeutig auf diese Einträge zurückführen.

Hinweis: Diesen Beitrag habe ich manuell aus meinem im Jahr 2013 testweise mit Kirby betriebenen Blog übernommen.

Manchmal ist es tatsächlich so einfach: Ein Mitarbeiter eines Kunden meldet sich bei mir. Er ist in Panik, weil er glaubt hunderte wichtiger Dateien gelöscht zu haben. Allerdings vermutlich bereits vor 14 Tagen. Er zeigt mir per TeamViewer, wo die Dateien abgelegt waren: auf einer Serverfreigabe. Er erinnert sich auch noch an bestimmte Dateinamen. Daher schiebe ich die portable Version von UltraSearch auf den Kundenserver. Nach dem Start und der Auswahl des Datenlaufwerks tippe ich einen Teil des vermuteten Dateinamens ein und habe in Sekundenbruchteilen den entsprechenden Ablageort gefunden. Der Mitarbeiter hatte die Dateien wohl nur versehentlich per Drag & Drop verschoben und so war er bereits nach wenigen Minuten wieder guter Laune; ohne, dass ich eine Rücksicherung vom Band vornehmen musste. Eine zu UltraSearch analog arbeitende Alternative (bzw. vielmehr das Original) ist Everything. Beide Programme benötigen jedoch Administratorrechte, da sie direkt auf die Master File Table des NTFS-Dateisystems zugreifen.

Ich sage nur: "Know your tools!"

Hinweis: Diesen Beitrag habe ich manuell aus meinem im Jahr 2013 testweise mit Kirby betriebenen Blog übernommen.

Nachdem ich kürzlich vor der Frage stand, ob Backup Exec in der Version 12.5 bereits LTO-6-Laufwerke unterstützt, habe ich mir mal die Links zu den Hardwarekompatibilitätslisten der letzten vier Versionen herausgesucht:

• Backup Exec 2014 Hardware (HCL)
• Backup Exec 2012 Hardware (HCL)
• Backup Exec 2010|2010 R2|2010 R3 Hardware (HCL)
• Backup Exec 12.5 Hardware (HCL)

Dem Dokument be_2010_hcl.pdf entnehme ich also, dass ich für LTO-6 mindestens Backup Exec 2010 R3 Revision 5204 Hotfix 202063 benötige. Mehr als LTO-5 ist mit Backup Exec 12.5 offenbar nicht drin… Es wurde sowieso mal Zeit für ein Upgrade.

Die o. g. Fehlermeldung erschien, als ich auf einem Server einen neuen Benutzer hinzufügen wollte.
Auf dem Screenshot könnt ihr sehen, dass keine Benutzerrolle angezeigt wird:

Ursache hierfür war, dass "jemand" im Active Directory in der OU "Domäne.local/MyBusiness/Users/SBSUsers" die Benutzerkonten "Netzwerkadministrator", "Standardbenutzer" und "Standardbenutzer mit Administrationslinks" aktiviert hatte. Diese musste ich einfach nur deaktivieren und schon erkannte die SBS-Konsole sie wieder als Benutzerrollen.

Wie man das Benachrichtigungssymbol deaktiviert und den MiniFilter-Modus aktiviert, steht in: Preventing performance issues with Worry-Free Business Security (WFBS) in a Citrix or Terminal Server environment

Trend Micro Worry-Free Business Security 9.0 hat, zumindest in der englischsprachigen Variante, die Beta-Phase hinter sich gelassen und kann seit Freitag offiziell heruntergeladen werden.

Windows 8.1, Windows Server 2012 R2 sowie Exchange 2010 SP3 und Exchange 2013 werden unterstützt. Die neue Funktion "Memory Scanning" soll die Sicherheit weiter erhöhen, da Prozessabbilder live auf mögliche Infektionen untersucht werden. Standardmäßig ist diese Funktion allerdings deaktiviert. Ich vermute aus Performancegründen. Um die Performance, zu Lasten der Sicherheit, auf langsamen Endgeräten zu verbessern, kann man über den Einsatz von "Deferred Scanning" nachdenken, womit der Untersuchungsvorgang dann etwas verzögert ausgeführt wird. Das soll die E/A-Last besser verteilen. Die "IP exceptions list" wird zwar als neues Feature verkauft, dahinter verbirgt sich aber offenbar die bereits bekannte "SEG_WhiteListIP"-Einstellung.

Spannend sind die Systemanforderungen: Bei einem Windows SBS 2011, der auf Server 2008 R2 Standard basiert und damit max. 32 GiB RAM unterstützt, komme ich kumuliert so auf 13 GiB RAM (2 GiB Security Server + 10 GiB Security Agent + 1 GB Messaging Security Agent). Also werden 40 Prozent des Arbeitsspeichers des Hauptservers allein durch die Sicherheitssoftware beansprucht. Dazu kommen dann auch noch ca. 14 GB auf der Festplatte, wenn man alle o. g. Komponenten auf einer Maschine installiert. Puh!

Eine kurze Testinstallation in einer leeren, englischsprachigen Windows 8.1-VM mit nur 1 GiB RAM verlief problemlos.

Hier noch einige interessante Links:

• New features and enhancements of Worry-Free Business Security (WFBS) 9.0
• Technical Support: Worry-Free Business Security 9.0
• Navigating the User Interface (UI) of Worry-Free Business Security (WFBS) 9.0
• Enabling Memory Scanning in Worry-Free Business Security (WFBS) 9.0
• Enabling Defer Scanning in Worry-Free Business Security (WFBS) 9.0
• Adding IP exceptions in Worry-Free Business Security (WFBS) 9.0
• Global and Granular Approved/Blocked List feature of Worry-Free Business Security (WFBS) 9.0

In der Solution ID 1101658 steht: "The UI no longer depends on ActiveX in order to load." Das mag stimmen, aber ohne das Encrypt Class ActiveX Control kann man sich gar nicht erst einloggen. Somit bleiben Firefox & Co. weiterhin außen vor.

Wirft man unter Windows 8.1 x64 die PUTTY.EXE aus Macht der Gewohnheit in den Ordner C:\Windows\System32 kann man im Remote Desktop Manager (32-Bit-Version) diesen Pfad zwar bestätigen, beim Öffnen einer Sitzung erscheint dann aber trotzdem o. g. Fehlermeldung. Die PUTTY.EXE muss nämlich zusätzlich in den Ordner C:\Windows\SysWOW64 kopiert werden.

Zwei nette Menschen haben dazu Links gesammelt:

• VMware: Vsphere Client Direct Download Links
• VMware vSphere Client Download URL

Bei meinen Installationsarbeiten ist meine externe Festplatte häufig per USB am Kundensystem angeschlossen. Da nervt es dann aber gewaltig, wenn Windows XP meint, die Festplatte jedes Mal in die Überwachung durch die Systemwiederherstellung einbeziehen zu müssen.

Das lässt sich aber mit einem Trick ein für alle Mal verhindern:

1. Systemwiederherstellung für das gewünschte Laufwerk abschalten
2. Besitz über den darauf versteckten Ordner System Volume Information übernehmen
3. "Vollzugriff"-Rechte verschaffen
4. neue (leere) Datei namens System Volume Information anlegen
5. auf der Kommandozeile den Befehl attrib +r +s +h "System Volume Information" ausführen

Ähnlich funktioniert das übrigens auch mit den "Papierkorb-Ordnern" $RECYCLE.BIN und RECYCLER.

Wie das immer so mit Ideen zu Blog-Beiträgen ist, bleibt aus Zeitmangel gern mal was liegen. Vor folgendem Problem stand ich daher bereits Anfang August: Auf einem Windows SBS 2011 funktionierten die Windows Server Update Services (WSUS) nicht mehr. Offenbar auch schon länger. Die Konfigurationskonsole konnte ich nicht öffnen.

In der Windows-Ereignisanzeige fand ich massig Einträge folgender Art (gekürzt):

Event code: 3008
Event message: Es ist ein Konfigurationsfehler aufgetreten.
Event time: 02.08.2013 18:07:33
Event time (UTC): 02.08.2013 16:07:33
Event ID: f00cb7b6aaa14c9491570b58dfb8d276
Event sequence: 1
Event occurrence: 1
Event detail code: 0

Application information:
    Application domain: /LM/W3SVC/908950345/ROOT/DssAuthWebService-40-130199332535170547
    Trust level: Full
    Application Virtual Path: /DssAuthWebService
    Application Path: C:\Program Files\Update Services\WebServices\DssAuthWebService\
    Machine name: W2K11SBS

Process information:
    Process ID: 16616
    Process name: w3wp.exe
    Account name: NT-AUTORITÄT\NETZWERKDIENST

Exception information:
    Exception type: HttpException
    Exception message: Die Datei oder Assembly "DssAuthWebService, Version=3.1.6001.1, Culture=neutral, PublicKeyToken=31bf3856ad364e35" oder eine Abhängigkeit davon wurde nicht gefunden. Falscher Parameter. (Ausnahme von HRESULT: 0x80070057 (E_INVALIDARG))

Nicht nur für "/DssAuthWebService", sondern ebenso für "/SimpleAuthWebService" und "/ClientWebService".

Weiteren Einträgen der Ereignisanzeige konnte ich dann entnehmen, dass der Server schon einmal abgestürzt sowie die System-Festplatte vollgelaufen war. Nach vielen Lösungsansätzen stieß ich auf den Beitrag Could not load file or assembly ... The parameter is incorrect ... HRESULT: 0x80070057 (E_INVALIDARG) des Benutzers "derekslager".

Das simple Leeren des Ordners "C:\Windows\Microsoft.NET\Framework64\v2.0.50727\Temporary ASP.NET Files" löste endlich das Problem.