Admin-News
IVV Naturwissenschaften – Administrator-News
Sie können die Nachrichten auf dieser Seite auch als RSS-Feed unter der Adresse https://www.uni-muenster.de/NWZ/Aktuelles/feed_admin.rss abonnieren.
IVV Naturwissenschaften – Administrator-News
Sie können die Nachrichten auf dieser Seite auch als RSS-Feed unter der Adresse https://www.uni-muenster.de/NWZ/Aktuelles/feed_admin.rss abonnieren.
Aufgrund einer Warnung des BSI zu einer noch nicht gepatchten Office Schwachstelle, haben wir heute früh die entsprechenden Empfehlungen in der NWZ-Domain Policy umgesetzt.
Wenn Microsoft entsprechende Office Patches nachliefert, werden wir die Änderungen an der GPO wieder rückgängig machen.
Ab heute Nachmittag werden wir auf dem KeyServer eine Benachrichtigung zum Einsatz des Sophos Security & Control aktivieren.
Der Support für die Sophos Enterprise Console endet am 20. Juli 2023.
In diesem Zuge können wir unsere Sophos Enterprise Console ab dem 20. Juli 2023 nicht weiter betreiben. Ohne Update Server sind die betroffenen Clients nicht mehr geschützt.
Dienstliche Geräte müssen bis zum 20. Juli 2023 in eine Sophos Central Instanz migriert werden. Wir haben bereits für einige Institute des NWZ eigene Instanzen von Sophos Central bereitgestellt und Geräte migriert.
Für alle Geräte welche nicht bis zum 07. Juli 2023 migriert sind, werden wir ein zentrales Update über den ConfigMgr ausrollen um diese Clients in eine durch uns bereitgestellte Instanz von Sophos Central zu überführen.
Diese Geräte werden dann nicht mehr durch Sie als Administratoren verwaltbar sein.
Eine spätere Migration in eine weitere Sophos Central Instanz ist aber techn. umsetzbar.
Nicht mehr supportete Windows 7/Windows 8/Windows 10 Systeme werden ab dem 20. Juli 2023 somit ohne Virenschutz sein. Wir raten dringend dazu an, die betreffenden Geräte zu aktualisieren.
BitLocker wird zur Verschlüsselung der Festplatten von tragbaren Windows Computern in NWZ emfohlen. Und wurde ausfürlich in einem IVV-Kolloquiumsvortrag im Sommersemester 2022 vorgestellt.
Die Wiederherstellungsschlüssel werden geschützt im Active Directory am jeweiligen Computer Objekt hinterlegt. Bisher waren diese Schlüssel nur für Domänenadministratoren einsehbar.
Ab sofort sind diese Schlüssel jetzt auch von der jeweils zuständigen 2er-Gruppe (Y-Accounts) einsehbar.
Am 01.06.2023 finden ab ca. 6:45 Uhr dringende Wartungsarbeiten an unserem Lizenzserver „nwzkeyserver“ statt. Die Arbeiten werden vermutlich zu 07:15 Uhr beendet sein. Dies betrifft insbesondere die Lizenzen zu DNASTAR Lasergene, welche in diesem Zeitraum nicht Verfügbar sind. Alle weiteren Lizenzserver werden wie gewohnt zur Verfügung stehen.
Am 31.05.2023 um 07:00 Uhr werden die Lizenzen für den Autodesk Lizenzserver aktualisiert und es wird zu einer kurzzeitigen Unterbrechung von >5 Minuten bei der Nutzung von Autodesk Produkten kommen.
Wegen Umstellungen bei der zentralen Benutzerdatenbank (WWUBEN) ist die Benutzerprovisionierung im NWZ in der Nacht vom 22. auf den 23. Mai 2023 fehlgeschlagen.
Der Zugriff auf den benötigten Datenbank-View ist jetzt wiederhergestellt und alle angefallenen Aufgaben werden in der nächsten Nacht nachgeholt.
Das Domain Functional Level des NWZ Active Directory wurde von Windows Server 2012R2 auf Windows Server 2016 erhöht.
Das Forest Functional Level der WWU.DE ist aktuell Windows Server 2012, daher können die neuen Eigenschaften ,die mit dem Windows Server 2016 Functional Level von Microsoft eingeführt wurden, im NWZ noch nicht aktiviert werden
Seit heute vormittag gibt es Problem beim Aufruf der Sophos Enterprise Console. Wir stehen mit dem Sophos Support in Kontakt um das Problem zu beheben.
Wegen unerwarteter Updates des Haupt-Serverswitches am Serverstandort IG1 kam es gestern um 17 Uhr zu einer kurzen Netzwerkunterbrechung für alle dort aufgestellten Geräte.
Die Unterbrechung war lang genug, dass die Fehlerkorrekturmaßnahmen der zentralen Fileserver gegriffen haben und Ressourcen zwischen den Standorten geschwenkt sind.
An dieser Stelle möchten wir erneut auf das Laufzeitende am 01.12.2022, von Adobe Acrobat 2017, hinweisen. Nutzer der Anwendung erhalten bereits seit wenigen Wochen ein Infofenster beim Aufruf der Applikation.
Eine Verlängerung der Lizenz ist nicht möglich.
Als Nachfolgeprodukt steht "Adobe Acrobat DC" zur Nutzung bereit. Zur Nutzung wird ein Microsoft Azure Konto verwendet. Dies muß jeder Nutzer explizit im IT-Portal aktivieren.
Es handelt sich um eine Einzelplatzlizenz und sollte somit nur auf dem Hauptrechner installiert werden.
Pro Nutzer sind 2 Adobe Acrobat DC Instanzen zulässig und nutzbar.
Anleitung der WWU-IT: https://www.uni-muenster.de/IT/services/arbeitsplatz/software/adobe-acrobat-pro.html
Zur ausschließlichen Nutzung für Lern,- und Lehrräumen steht eine gesonderte Version zur Verfügung, dieses ist im ConfigMgr entsprechend benannt.
Seitens der WWU-IT wurde heute früh der Mattermost Server von "zivmattermost" nach "mattermost" umbenannt. Wir haben die entsprechende Änderung bereits in der Gruppenrichtlinie berücksichtigt und korrigiert.
Allerdings haben wir schon Rückmeldungen erhalten, dass sich der Mattermost Desktop Client nicht korrekt startet.
Zur Fehlerbehebung bitte die Serverliste editieren und den alten Eintrag "zivmattermost.uni-muenster.de" entfernen und im Anschluß den Mattermost Desktop Client neu starten.
Aus Komatibilitätsgründen werden am 30.09.2021 nur nur noch KeyAccess Clients von Version 7.4.1.2 oder neuer Zugriff auf den Lizenzserver haben. Ältere Versionen werden ab dem Zeitpunkt keinen Zugriff, auf den Lizenzserver, erhalten.
Benutzer der Version 7.4.1.1, oder älter, erhalten bei den Nutzung des Lizenzservers einen entsprechenen Hinweis und sollten sich bei Ihrem zuständigen Administrator melden.
Am 30.09.2020 wird die alte Sophos Enterprise Console (nwzsophos2012), wie bereits angekündigt wurde, abgeschaltet.
Seit September 2019 ist die neue Sophos Enterprise Console nwzsophos.nwz.wwu.de im Einsatz und kann von Ihnen über den Terminalserver des NWZ genutzt werden.
Der Follow-me-Drucker \\print.wwu.de\inpas wird ab sofort über die Gruppenrichtlinien "NWZ Domain Policy" und NWZ Domain Policy for Windows 10" als zusätzlicher Drucker bereitgestellt.
Sie finden in der Hilfe unter IT-Administratoren -> Anleitungen -> Windows -> Konfiguration des Windows Remote Desktop Services nun eine Zusammenstellung der Informationen und Schritte die ggf. notwendig sind, um NWZ-Arbeitsplatzrechner (Windows PCs) auf den Zugriff per Remote Desktop aus dem Internet über den Remote Desktop Gateway der Universität vorzubereiten.
Die bisher für alle Remotezugriffe propagierte Verwendung von VPN soll für Remote Desktop aktuell nicht mehr eingesetzt werden, um die in der Kapazität beschränkten VPN-Gateways der Universität nicht weiter zu be- und ggf. überlasten.
Die Anleitung umfasst Aufgaben, die auch Bestandteil der Weiterbildung im Rahmen des Praktikums zur Rechneradministration sind. So hoffen wir, dass Sie mit der teilweise ggf. etwas verkürzten Darstellung zurecht kommen.
Bis auf die Tätigkeiten, die durch das NOC ausgeführt werden müssen, können Sie die Konfiguration selbst durchführen.
Wir haben am Ende der "Anleitung" auch den Link zu einer NWZ-spezifischen Endbenutzerinformation bereitgestellt. Er ist anderweitig nicht veröffentlich, da die Nutzung die vorherige Konfiguration durch Sie erfordert, sowie zusätzliche individuelle Information von Ihnen und ggf. eine Einweisung durch Sie. Sie dürfen den Link weitergegeben.
Die Verwaltung hat am Montag eine Anleitung zur Home Office Nutzung von Arbeitsplatzrechner veröffentlich und teilt weiter Informationen bzgl. Heimnutzung, die nicht für die Fachbereiche, Institute und Arbeitsgruppen zutreffend sind.
Dies gilt insbesondere für erzwungene Beschränkungen beim Zugriff auf Geräte und Daten bei der Nutzung eines Windows Remote Desktop Zugriffes.
Die WWU-IT hat mittlerweile auch Systeme aufgebaut, die ausserhalb der Verwaltung für ein Home Office Szenario mit Window Remote Desktop genutzt werden können, ohne die VPN-Gateways der Universität weiter zu belasten
DIe Citrix-Systeme in der IVV Naturwissenschaften sind aktuell nicht ungewöhnlich stark belastet und können für die Nutzung von Apps und den Zugang zu Daten derzeit regulär genutzt werden.
Die Nutzung von Citrix reduziert die benötigte Netzwerkbandbreite und entlastet so die VPN-Gateways gegenüber Remote Desktop und direkter Anbindung von Netzwerklaufwerken per SMB. Wir beobachten die Nutzung regelmäßig und sind darauf vorbereitet die Anzahl der Nutzer in Citrix mindestens temporär und relativ kurzfristig zu erhöhen, sollte dies notwendig werden.
Sollten Sie als IT-Administrator*innen für Ihren Bereich dennoch einen Windows Remote Desktop Zugriff auf NWZ-Arbeitsplatzrechnern (Windows PCs) einrichten, so verwenden Sie bitte für den Zugriff aus dem Internet NICHT die VPN-Gateways der Universität, sondern den für die nicht-Verwaltungsbereiche von der WWU-IT neu eingerichteten Remote Desktop Gateway.
Zur Nutzung des Remote Desktop Gateways und der Windows Remote Desktop Services auf NWZ-Arbeitsplatzrechnern (Windows PCs) müssen zunächst windows- und netzseitig einige Voraussetzung erfüllt werden.
Es sind dabei drei Ebenen zu beachten:
Der Windows Defender Antivirus, welcher eigentlich automatisch durch Sophos Anti-Virus deaktiviert werden sollte, musste über die "NWZ Domain Policy for Windows 10" Gruppenrichtlinie deaktiviert werden.
In den Windows 10 Versionen 1903 und 1909 kam es z einem gegenseitigen blockieren, welches zu einer 100%-igen CPU Last geführt hat.
Zusätzlich gibt es die "NWZ Windows Defender disabled" Policy. Diese deaktiviert den Windows Defender Antivirus ebenfalls.
Am 02.03.2020 wird der Lizenzserver (nwzflexlm) für Origin 2015/2016 abgeschaltet.
Bitte aktualisieren Sie Ihre betreffenden Clients auf eine aktuellere Version.
Seit Origin 2017 ist der Lizenzserver nwzorigin.nwz.wwu.de konfiguriert und in Nutzung.
Alternativ besteht die Möglichkeit Origin über den Terminalserver des NWZ zu nutzen.
Am 17.01.2020 werden wir, ab 07:00 Uhr, an der NWZ Domain Policy folgende Änderungen durchführen:
Die Installation des SCCM-Agenten wird in die Gruppenrichtlinie NWZ_SCCM-Agent ausgelagert, welche per WMI-Filter nur auf Client Betriebssysteme Anwendung findet.
Wenn Sie OU's ohne Vererbung einsetzen, müssen Sie die GPO NWZ_SCCM-Agent an diese OU's anhängen.
Hintergrund dieser Maßnahme ist, dass wir die Installation des SCCM-Agenten auf Serverbetriebssystemen verhindern müssen.
Wichtiger Hinweis!
Thunderbird wird ab dem 01.02.2020 auf dem N-Laufwerk nicht mehr zur Verfügung gestellt.
Wenden Sie sich für eine lokale Installation per SCCM an Ihren zuständigen Administrator.
Im Juli und August sind bei einer Reihe von Autodesk Produkten die Subskriptionen abgelaufen und in Folge dessen kann es zu Fehlermeldungen bei der Nuztung von z.B. Inventor HSM, Vault kommen.
Von den meisten Produkten sind die verlängerten Lizenzen inzwischen eingespielt, allerdings werden diese nur noch vom neuen Autodesk-Lizenzserver angeboten:
Am 31.08.2019 werden wie in der PC-Management Sitzung vom 25.07.2019 angekündigt, sämtliche GPSI-Policies deaktiviert und gelöscht.
Bitte entfernen Sie daher schnellstmöglich alle angehängten GPSI-Policies für Ihre Institute und Arbeitsgruppen.
Wir haben aktuelle Reports unter dem Pfad N:\Group\Fachbereiche\Physik\p0admin\GPSI-Reports\ abgelegt.
An dieser Stelle können Sie überprüfen ob in Ihren OU’s noch angehängte GPSI-Policies bestehen und veraltete und teilweise sicherheitskritische Software zugewiesen ist.
Hintergrund dieser Maßnahme ist die erfolgreiche Ablösung und Implementierung des SCCM.
Die Liste der Anwendungen aus den Arbeitskreisen welche von den Administratoren selbst in SCCM erstellt wurden, wurde aktualisiert.
Wie bereits in diversen Kolloquien angekündigt, wurde in der NWZ Domain Policy folgende Änderung durchgeführt. Der Configuration Manager-Client(SCCM-Agent) wird nun an alle Windows Clientsysteme verteilt. Dies bedeutet, dass die "GPSI - 28 - Configuration Manager-Client" somit obsolet ist und Sie diese Policy bei Ihren OU's entfernen können.
Ab sofort finden Sie alle neuen und archivierten [GPSI] und [SCCM] Ankündigungen in den Windows News.
In der NWZ Domain Policy for Windows 10 wurde eingestellt, dass Windows 10 Upgrades mit dem "Semi-Annual Channel" empfangen werden. Dies bedeutet, dass Feature Upgrades, zum Beispiel von Windows 10 - 1703 auf Windows 10 - 1709, erst vier Monate nach Veröffentlichung auf den Clients installiert werden.
Möchte man die Updates direkt erhalten, muss man in einer Policy folgendes ändern:
1. Unter Computerkonfiguration - Administrative Vorlagen - Windows Komponenten - Windows Update - Clientseitige Zielzuordnung aktivieren und "NWZ-Default Clients fast Updates" eintragen.
2. Unter Computerkonfiguration - Administrative Vorlagen - Windows Komponenten - Windows Update - Windows-Update für Unternehmen - Auswählen, wann Preview-Builds und Feature-Updates empfangen werden auf "Semi-Annual Channel (targeted)" stellen und 0 Tage eintragen.
Am Mittwoch, 2. August 2017 wurden die folgenden Lizenzserver für alte Software, die nicht mehr von NWZnet nach NWZ übertragen wurde, abgeschaltet:
Ab sofort steht die CMTrace Anwendung für Administratoren in Citrix zur Verfügung. Zu finden in dem Ordner NWZ Management.
Im NWZ stehen nun zwei Gruppenrichtlinien bereit, um die Energiespareinstellungen in Windows zu konfigurieren. Für weitere Informationen bitte auf die Überschrift klicken.
Mit der Einführung von Windows 10 Anniversary Edition und Windows Server 2016 hat Microsoft stillschweigend die neue Version 6 der Benutzerprofile eingeführt.
Bei allen, die bisher schon Windows 10 Anniversary Edition und Windows Server 2016 genutzt haben, wurde das neue Profile beim ersten Login von Windows automatisch als I:\Profile\[Benutzerkennung].V6 angelegt und kann seit dem benutzt werden.
Allerdings ist die Hilfestellung durch Y-Accounts bei dieser neuen Profilversion bisher nicht möglich, da die Profileverzeichnisse durch Windows automatisch ohne die erforderlichen Zugriffsrechte angelegt werden.
Ab 24.11.2016 werden bei allen neuangelegten Benutzerkennungen die Profileverzeichnisse in den Versionen 1-6 vorbereitet (bisher 1-5).
Bei allen bestehenden Benutzerkennungen wird das .V6-Profilverzeichnis im Laufe des 23.11.2016 angelegt und mit den passenden Zugriffsrechten versehen. Sollte bereits ein .V6-Verzeichnis vorhanden sein, werden nur die Zugriffsrechte entsprechende modifiziert.
In der NWZ Domain Policy wurde die Einstellung des Firefox Session Restore Intervalls geändert. Dieses Feature speichert standardmäßig kontinuierlich alle paar Millisekunden die geöffneten Tabs in einer Datei ab, um Sie bei Bedarf wiederherstellen zu können. Dadurch kann ein nicht unerheblicher Traffic von bis zu 100 GB pro Benutzer und Tag entstehen. Aus diesem Grund wurde der Wert nun auf 15 Minuten festgelegt.
Folgende Einstellung wurde geändert:
Computerkonfiguration-Richtlinien-Administrative Vorlagen-Mozilla Advanced Options-Locked Settings-browser
Einstellung: browser.sessionstore.interval - aktiviert
Number: 900000 (ms = 15 Minuten)
Bislang ist der Windows Papierkorb in der Domäne NWZ standardmäßig aktiviert, sodass Dateien nicht direkt gelöscht, sondern in den Papierkorb verschoben werden.
Ab dem 14.03.2016 werden wir den Papierkorb standardmäßig deaktivieren, sodass Dateien beim Löschen auch tatsächlich gelöscht werden.
Möchten Sie in Ihrer OU den Papierkorb dennoch aktiviert lassen, müssen Sie in Ihrer Policy folgende Einstellung ändern:
User Configuration – Policies – Windows Components – File Explorer – Do not move deleted files to the Recycle Bin --> deactivated
Aufgrund der Crypto-Trojaner-Bedrohung, ist das Ausführen von Makros in Microsoft Office Dokumenten per NWZ Domain Policy ab sofort nur noch nach vorheriger Bestätigung durch den Benutzer möglich.
Beim Öffnen von Microsoft Office Dokumenten aus Emails in Outlook, werden diese zusätzlich erst nur im abgesicherten Modus geöffnet.
Sollten Sie eigene Office-Konfigurationen über die Gruppenrichtline verteilen, so müssen Sie ggf. die Einstellungen entsprechend anpassen. Sie können die in der NWZ Domain Policy gemachten Einstellung dazu als Vorlage verwenden.
Verschlüsselungs- oder Cryptotrojaner verschlüsseln unbemerkt Daten und geben diese nur gegen Lösegeld (ransom), wenn überhaupt, wieder frei.
Haupt-Verbreitungswege von Schadsoftware sind präparierte Webseiten und E-Mails. Eine aktuelle und sichere Softwarekonfiguration (insbes. Betriebssystem, Virenscanner, Browser, Browser-Plugins und E-Mail-Programm) ist Grundvoraussetzung, sie bietet aber keine hundertprozentige Sicherheit. Wichtig ist der bewusste und vorsichtige Umgang mit Internet und Email.
Öffnen Sie keine Emails, vor allem aber keine Anhänge, von Absendern die Sie nicht kennen oder die verdächtig aussehen. Dazu gehören auch Microsoft Office, Adobe PDF Dokumente oder ZIP-Archive.
Sollten Sie Opfer eines Verschlüsselungstrojaners werden, benachrichtigen Sie UMGEHEND Ihren IT-Administrator. Nur so kann eine Ausbreitung auf weitere Datenbestände eingedämmt werden, und bereits verschlüsselte Dateien aus der Datensicherung einer frühreren Version wiederhergestellt werden.
Eine Anleitung, wie sie selbst Netzzugriffsregeln (ACLs) im NIC_online Netzzonenbrowser ändern und erweitern können, finden Sie in der Hilfe für Administratoren im neuen Abschnitt "Sicherheit".
Diese Regeln im Netz wirken unabhängig vom Betriebssystem und einer Firewall. Sie stellen die bevorzugte Methode dar, um Netzwerk-Zugriffe innerhalb der Universität zu steuern, ersetzen aber keine Firewall.
Wenn Sie Geräte mit öffentlichen IP-Adressen (128.176.*.*) gegen Zugriff von außen Schützen möchten, lassen Sie sich bitte durch die WWU IT zur Einrichtung einer Firewall beraten.
Die Firewall-Regeln in den Domänen NWZnet und NWZ haben sich in folgenden Bereichen geändert:
* File and Printer sharing exception
* Remote Administration exception
* Remote Desktop exception
Es wurde jeweils ein Subnetz ergänzt.
Sollten Sie eigene Filterregeln in der Gruppenrichtlinie definiert haben, so ergänzen Sie die Regeln entsprechend der Einstellungen in der NWZnet Domain Policy for Windows XP/7 bzw. NWZ Domain Policy.
In letzter Zeit häufen sich die Fälle, wo der Zugang zu Dokumentationen unter https://sso.uni-muenster.de/IVVNWZ/hilfe/administration verwehrt wird. Dies kann mehrere Gründe haben.
Wir haben dies zum Anlaß genommen, eine bereits länger mögliche Bereinigung vorzunehmen, die eine Reihe von Problemen beseitigt.
Ab sofort sind die Dokumentationen nur noch mit der Standard-Kennung eines IT-Administrators zugänglich und nicht wie bisher auch mit der administrativen Kennung (W- oder Y-Account).
Sollte Ihnen der Zugriff trotz Verwendung der Standardkennung verwehrt werden und Sie sind ein offiziell bestellter IT-Administrator, so prüfen Sie bitte ob Sie Ihr Passwort ggf. längere Zeit nicht geändert haben.
Ein veraltetes Passwort (zuletzt geändert 2007), das nach der Umstellung des Webserverparkes nicht mehr akzeptiert wird, kann der Grund für den Fehlschlag des Logins sein. Bitte ändern Sie Ihr Passwort über meinZIV.