routeserver
Goto Top

Server verliert Dateien und Ordner

Hallo Freunde,

ich habe hier ein Problem, das mich an meine Grenzen treibt und ich würde gerne wissen, ob Ihr noch eine Idee habt.

Ausgangssituation:

Dell-Server, HyperV 2012 R2
1. VM mit Domaincontroller
2. VM als Applikationsserver mit Terminalfunktion. Kunden loggen sich local oder per VPN auf diesen Terminalserver ein.

Alle gemeinsam nutzen ein Netzwerklaufwerk, was als virtuelle Festplatte beim DC aufliegt und von da als Netzlaufwerk für den App-Server bereitgestellt wird.

Problem:
In dem gemeinsam genutzten Netzlaufwerk gehen willkürlich Daten verloren. Nach jetziger Recherche schon länger immer mal wieder hier und da Dateien. Zuletzt ganze Ordnerstrukturen.
Auch nach der Wiederherstellung gibt es einen Datenschwund. SFirm hat plötzlich leere Ordner, während die Buchhaltung darin arbeitet.

Was ich bisher geprüft habe:

Daten liegen auf einem Raid 5 + Hotspare. Keine Fehlermeldungen, alle Platten online, Protokoll sauber.
DC und APP-Server meldet keine Datenabbrüche, Virtuelle Harddisc verloren etc.

Was ich bisher gemacht habe:

Zunächst Acronis-Restore. Dabei erkannt, dass die Daten nicht auf Schlag weg waren, sondern davor schon verteilt über Monate.
Bitdefender Check
Ich benutzte keine Cache-Funktionen, Daten werden nicht irgendwo hinkopiert (wie bei Benutzerprofilen), sondern werden direkt im Netzlaufwerk gestartet.
Alle Festplatten sind intern im Server. Es gibt also keine erwartbaren Infrastruktur-Fehler (USB fällt aus etc.)
In letzter Verzweiflung habe ich jetzt Sicherheitsüberwachung des Ordner angefangen, um alle Zugriffe zu speichern, um beim nächsten Verlust einen Anhaltspunkt zu haben.

Ich könnte noch mal die virtuelle Festplatte neu erstellen und in die Daten in diese neue Struktur schieben. Aber irgendwie möchte ich schon die Ursache finden.

Bin über jeden Denkansatz dankbar. Kunde ist verständlicherweise sauer. Mich stört eher, dass ich dem Fehler nicht auf die Schliche kommt.

Vielen Dank
Jörg

Content-ID: 384020

Url: https://administrator.de/forum/server-verliert-dateien-und-ordner-384020.html

Ausgedruckt am: 22.12.2024 um 11:12 Uhr

clSchak
clSchak 21.08.2018 um 15:52:34 Uhr
Goto Top
Hi

schalte Fileserver Audting ein und überwache die Dateizugriffe, damit wirst dem schnell auf die schliche kommen.

https://docs.microsoft.com/de-de/windows-server/identity/solution-guides ...

Das kannst dann soweit einstellen, dass der jeden Zugriff inkl. Löschen / ändern überwacht, von alleine löscht ein Server nichts.

Gruß
@clSchak
Ausserwoeger
Ausserwoeger 21.08.2018 um 16:00:15 Uhr
Goto Top
Zitat von @routeserver:
SFirm hat plötzlich leere Ordner, während die Buchhaltung darin arbeitet.


Hi

Intressantes Problem das du da hast. Wenn ich das richtig verstanden habe gibt es Ordner in denen die Buchhaltung noch arbeiten kann und alle daten da sind und ein anderer schon gar keine Daten mehr sieht.

Schau dir mal die Access-based enumeration an ob das bei dir aktiv ist und schalte es zum test mal aus.
https://jocha.se/blog/tech/enable-access-based-enumeration-in-windows-se ...

Ich würde weiters mal das Dateisystem auf deiner Platte auf fehler prüfen.
https://docs.microsoft.com/en-us/windows-server/administration/windows-c ...

Wenn das nichts hilft würde ich auf einen manuellen Eingriff tippen und mit der Firma berechtigungsstrukturen ausarbeiten wenn es noch keine gibt. Wenn die Mitarbeiter nicht alles dürfen können sie auch nicht alles löschen.

LG
chiefteddy
chiefteddy 21.08.2018 um 16:01:57 Uhr
Goto Top
Hallo,

im Allgemeinen sitzt der "Fehler" vor dem Monitor.

Also wer hat welche Rechte auf der Festplatte bzw Ordnern?
Gibt es Arbeitsweisen, dass der Anwender "aufräumt" und damit versehentlich Daten löscht?
Gibt es in der Applikation irgendwelche "Aufräum-Funktionen", die "alte" Daten löschen oder archivieren?
Ist auf dem Host eine Snapshot-Funktion aktiviert? Ich arbeite mit VMware. Da ist es möglich, alle Änderungen auf der virtuellen HDD in einen Snapshot zu schreiben, der zB. nach einem Reboot der VM gelöscht wird. (Damit wird das Original-System wieder hergestellt. Ist für Software- und Installationstest recht nützlich)

Jürgen
routeserver
routeserver 21.08.2018 um 16:11:13 Uhr
Goto Top
Das klingt sehr gut. In diese Richtung will ich nun auch vorbeugend aktiv werden. Aber mein Kunde verlangt Aufklärung, was passiert ist.
Gibt es vielleicht noch diagnostische Richtungen, in die ich recherchieren kann.
routeserver
routeserver 21.08.2018 um 16:14:29 Uhr
Goto Top
Wir haben Acronis Backups, Snapshots der VMs (aber ohne Daten). Und inzwischen auch noch ein FileBackup zusätzlich.

Acronis macht Restore-Tests, aber nicht in die Originalstruktur. Aufräumfunktionen, in die Richtung habe ich schon gesucht, aber nichts gefunden.

Da wohl eher neuere Daten verloren gehen, während alte Daten noch bleiben, hatte ich ihn Richtung eines Caches gedacht. Aber ich kenne keinen Cache im Netzwerkordner, der serienmäßig an ist und Gigabytes verlieren könnte.
Penny.Cilin
Penny.Cilin 21.08.2018 um 16:16:20 Uhr
Goto Top
Hallo,

Alle gemeinsam nutzen ein Netzwerklaufwerk, was als virtuelle Festplatte beim DC aufliegt und von da als Netzlaufwerk für den App-Server bereitgestellt wird.
Was ich jetzt nicht verstehe, ist wie das Netzwerklaufwerk bereit gestellt wird.

Verstehe ich richtig, daß der DC virtuell ist und zugleich die Fileserverrolle hat?
Der Hyper-V Host hat ein RAID5 und stellt via VHD oder VHDx eine virtuelle Platte als Share zur Verfügung?

Ein Domain Controller sollte eigentlich nicht zusätzlich als Fileserver dienen.

Gruss Penny
Ausserwoeger
Ausserwoeger 21.08.2018 aktualisiert um 16:23:11 Uhr
Goto Top
Zitat von @routeserver:

Das klingt sehr gut. In diese Richtung will ich nun auch vorbeugend aktiv werden. Aber mein Kunde verlangt Aufklärung, was passiert ist.
Gibt es vielleicht noch diagnostische Richtungen, in die ich recherchieren kann.

Hi

Wenn die Dateizugriffsüberwachung wie clSchak beschrieben hat nicht aktiv war wird dein Kunde da pech haben.
Mir ist kein weg bekannt wie man im nachhinein die Löschaktionen nachvollziehen könnte.

Einschalten und hoffen das derjenige so dumm ist nochmal zu löschen. Und nicht an die grosse glocke hängen das du jetzt nachvollziehen kannst was gemacht wird.


Zitat von @routeserver:

Wir haben Acronis Backups, Snapshots der VMs (aber ohne Daten). Und inzwischen auch noch ein FileBackup zusätzlich.

Acronis macht Restore-Tests, aber nicht in die Originalstruktur. Aufräumfunktionen, in die Richtung habe ich schon gesucht, aber nichts gefunden.

Da wohl eher neuere Daten verloren gehen, während alte Daten noch bleiben, hatte ich ihn Richtung eines Caches gedacht. Aber ich kenne keinen Cache im Netzwerkordner, der serienmäßig an ist und Gigabytes verlieren könnte.

Auf Daten Laufwerken würde ich die Schattenkopien aktivieren und wenn du da genug platz einstellst kannst du Monate zurück Daten wiederhestellen. Habt ihr keine Monatsbackups bzw. Jahresbackups die im Tressor verschwinden ????

PS: Ich würde auch das Admin kennwort ändern möglicherweise kennt das ja jemand.

LG
routeserver
routeserver 21.08.2018 um 16:22:02 Uhr
Goto Top
Zitat von @Ausserwoeger:

Zitat von @routeserver:
SFirm hat plötzlich leere Ordner, während die Buchhaltung darin arbeitet.


Hi

Intressantes Problem das du da hast. Wenn ich das richtig verstanden habe gibt es Ordner in denen die Buchhaltung noch arbeiten kann und alle daten da sind und ein anderer schon gar keine Daten mehr sieht.

Ja so ähnlich. SFIRM hat alle Daten in einer mdb-Datei. Die war nicht gelöscht, weil das Programm sie blockiert hatte. Die anderen Dateien, etwa die Key-Datei zum Überweisen war wieder weg. Deswegen konnte die Buchhaltung noch mit SFIRM arbeiten, aber nix mehr überweisen.

Rechtetechnisch kann ich SFIRM nicht beschränken. Aber ich glaube auch, irgendein Programm wütend hier blind im Hintergrund und "räumt" auf.

Danke für die Hinweise.
Vision2015
Vision2015 21.08.2018 um 16:26:30 Uhr
Goto Top
Moin...
Zitat von @routeserver:

Hallo Freunde,

ich habe hier ein Problem, das mich an meine Grenzen treibt und ich würde gerne wissen, ob Ihr noch eine Idee habt.

Ausgangssituation:

Dell-Server, HyperV 2012 R2
1. VM mit Domaincontroller
ok...
2. VM als Applikationsserver mit Terminalfunktion. Kunden loggen sich local oder per VPN auf diesen Terminalserver ein.
ok..

Alle gemeinsam nutzen ein Netzwerklaufwerk, was als virtuelle Festplatte beim DC aufliegt und von da als Netzlaufwerk für den App-Server bereitgestellt wird.
super schlechte idee....

Problem:
In dem gemeinsam genutzten Netzlaufwerk gehen willkürlich Daten verloren. Nach jetziger Recherche schon länger immer mal wieder hier und da Dateien. Zuletzt ganze Ordnerstrukturen.
Auch nach der Wiederherstellung gibt es einen Datenschwund. SFirm hat plötzlich leere Ordner, während die Buchhaltung darin arbeitet.
wiso kann jemand, der nicht zur buchhaltung gehört, bei sfirm daten löschen?

Was ich bisher geprüft habe:

Daten liegen auf einem Raid 5 + Hotspare. Keine Fehlermeldungen, alle Platten online, Protokoll sauber.
DC und APP-Server meldet keine Datenabbrüche, Virtuelle Harddisc verloren etc.
ok...

Was ich bisher gemacht habe:

Zunächst Acronis-Restore. Dabei erkannt, dass die Daten nicht auf Schlag weg waren, sondern davor schon verteilt über Monate.
Bitdefender Check
was hast du genau im AV programm geprüft... hast du ausnahmen für Sfirm etc... ?
Ich benutzte keine Cache-Funktionen, Daten werden nicht irgendwo hinkopiert (wie bei Benutzerprofilen), sondern werden direkt im Netzlaufwerk gestartet.
Alle Festplatten sind intern im Server. Es gibt also keine erwartbaren Infrastruktur-Fehler (USB fällt aus etc.)
In letzter Verzweiflung habe ich jetzt Sicherheitsüberwachung des Ordner angefangen, um alle Zugriffe zu speichern, um beim nächsten Verlust einen Anhaltspunkt zu haben.
gut... die Dateizugriffsüberwachung sollte klarheit bringen!

Ich könnte noch mal die virtuelle Festplatte neu erstellen und in die Daten in diese neue Struktur schieben. Aber irgendwie möchte ich schon die Ursache finden.
hm... ich würde auch mal die rechte vergabe prüfen... und ein DC ist kein File Server

Bin über jeden Denkansatz dankbar. Kunde ist verständlicherweise sauer. Mich stört eher, dass ich dem Fehler nicht auf die Schliche kommt.

Vielen Dank
Jörg


Frank
Ausserwoeger
Ausserwoeger 21.08.2018 aktualisiert um 16:29:23 Uhr
Goto Top
Zitat von @routeserver:
Aber ich glaube auch, irgendein Programm wütend hier blind im Hintergrund und "räumt" auf.

Danke für die Hinweise.

Was habt ihr den für einen Virenschutz und wie aktuell ist der ? Hast du den Server und die Clients schon auf Viren/Trojaner und Co. geprüft ?

Gibt es eine Managment Oberfläsche für den Virenschutz bzw. eine Automatische Benachrichtigung bei einem Befall ?

LG
Vision2015
Vision2015 21.08.2018 um 16:32:42 Uhr
Goto Top
Moin...
Managment Oberfläsche

jo.. gut das du es sechst, ist 16 Uhr, isch mach mir ne Fläsch Bier uff... face-smile
die hat auch eine schöne Oberfläsche face-smile

Frank
routeserver
routeserver 21.08.2018 um 16:50:25 Uhr
Goto Top
Zitat von @Penny.Cilin:

Hallo,

Alle gemeinsam nutzen ein Netzwerklaufwerk, was als virtuelle Festplatte beim DC aufliegt und von da als Netzlaufwerk für den App-Server bereitgestellt wird.
Was ich jetzt nicht verstehe, ist wie das Netzwerklaufwerk bereit gestellt wird.

Verstehe ich richtig, daß der DC virtuell ist und zugleich die Fileserverrolle hat?
Der Hyper-V Host hat ein RAID5 und stellt via VHD oder VHDx eine virtuelle Platte als Share zur Verfügung?

Ein Domain Controller sollte eigentlich nicht zusätzlich als Fileserver dienen.

Gruss Penny


Ja, DC ist virtuell und stellt eine VHD als Share bereit. Und ja, ich weiß DC und Fileserver sollten nicht zusammen. Aber der Kunde hat eine Win2012R2 Standardlizenz. Da gehen nur 2 Instanzen und ich muss DC, Terminal und Fileserver zusammen bringen. Da DC und Terminal gar nicht gehen, ist der Fileserver (Kleinstunternehmen) zusammen mit DC die bessere Alternative.
routeserver
routeserver 21.08.2018 um 16:52:54 Uhr
Goto Top
Zitat von @Ausserwoeger:

Zitat von @routeserver:
Aber ich glaube auch, irgendein Programm wütend hier blind im Hintergrund und "räumt" auf.

Danke für die Hinweise.

Was habt ihr den für einen Virenschutz und wie aktuell ist der ? Hast du den Server und die Clients schon auf Viren/Trojaner und Co. geprüft ?

Gibt es eine Managment Oberfläsche für den Virenschutz bzw. eine Automatische Benachrichtigung bei einem Befall ?

LG

Wir haben Bitdefender Cloud Gravity Zone. Dort läuft wöchentlich ein Scan auf allen Geräten, Server und Clientseitig. Bisher gabs da noch nie Probleme.
Außerdem vermute ich, wenn es ein Virus wäre, da wären die Zerstörungen nicht so selektiv.
routeserver
routeserver 21.08.2018 um 17:04:26 Uhr
Goto Top
Zitat von @Vision2015:

Moin...
Zitat von @routeserver:

Hallo Freunde,

Alle gemeinsam nutzen ein Netzwerklaufwerk, was als virtuelle Festplatte beim DC aufliegt und von da als Netzlaufwerk für den App-Server bereitgestellt wird.
super schlechte idee....
Siehe Parallelpost. Es ist ein 3 Mann unternehmen, der Fileserver läuft quasi im Leerlauf.


Problem:
In dem gemeinsam genutzten Netzlaufwerk gehen willkürlich Daten verloren. Nach jetziger Recherche schon länger immer mal wieder hier und da Dateien. Zuletzt ganze Ordnerstrukturen.
Auch nach der Wiederherstellung gibt es einen Datenschwund. SFirm hat plötzlich leere Ordner, während die Buchhaltung darin arbeitet.
wiso kann jemand, der nicht zur buchhaltung gehört, bei sfirm daten löschen?

Das ist ein SFIRM Dilema. Ich habe mit der Hotline von SFIRM gesprochen. Ich kann dem User nicht den Schreibzugriff auf die Daten verwehren, dann würde SFIRM nicht mehr starten (Zitat: SFIRM Technik). Ist bescheuert, zumal SFIRM bei Klein- und Mittelständler echt Standard ist.

Bitdefender Check
was hast du genau im AV programm geprüft... hast du ausnahmen für Sfirm etc... ?
Bitdefender macht den klassischen Zugriffscan und wöchtlichen einen Komplettscan, Ausgeschlossen werden Datenbanken Kundenprogrammen (Domus) und ebenso komplett das Datenlaufwerk (inkl. der SFIRM-Daten). Diese führe ich regelmäßig manuell durch.

Frank

Besten Dank
Jörg
goscho
goscho 21.08.2018 aktualisiert um 17:47:28 Uhr
Goto Top
Hallo Jörg
Zitat von @routeserver:

Zitat von @Penny.Cilin:
Verstehe ich richtig, daß der DC virtuell ist und zugleich die Fileserverrolle hat?
Der Hyper-V Host hat ein RAID5 und stellt via VHD oder VHDx eine virtuelle Platte als Share zur Verfügung?

Ein Domain Controller sollte eigentlich nicht zusätzlich als Fileserver dienen.

Ja, DC ist virtuell und stellt eine VHD als Share bereit. Und ja, ich weiß DC und Fileserver sollten nicht zusammen. Aber der Kunde hat eine Win2012R2 Standardlizenz. Da gehen nur 2 Instanzen und ich muss DC, Terminal und Fileserver zusammen bringen. Da DC und Terminal gar nicht gehen, ist der Fileserver (Kleinstunternehmen) zusammen mit DC die bessere Alternative.
Du hast die Aufteilung der VMs schon richtig gemacht.
Man muss die Kirche auch mal im Dorf lassen.
In dem gemeinsam genutzten Netzlaufwerk gehen willkürlich Daten verloren. Nach jetziger Recherche schon länger immer mal wieder hier und da Dateien. Zuletzt ganze Ordnerstrukturen.
Das sind Anwender, die versehentlich oder schlimmer noch - absichtlich Daten löschen.
Das Fileserver-Auditing kann natürlich helfen.

Auch nach der Wiederherstellung gibt es einen Datenschwund. SFirm hat plötzlich leere Ordner, während die Buchhaltung darin arbeitet.
Ich vermute auch hier ein Anwenderproblem.
Jemand hat aus dem SFIRM selbst eine Funktion benutzt, die ein Explorerfenster startet und dort versehentlich den ganzen SFIRM-Ordner löschen wollen. Da du diesen Benutzern die Rechte an den Ordnern nicht nehmen kannst, sollte das Backup aktuell sein.
Eventuell hilft es ja, wenn die den SFIRM-Benutzern einiges an Rechten wegnimmst und nur benötigtes lässt. Klar könnten diese Benutzer dann immernoch zufällig in den Pfad der SFIRM-Installation.

Was mir noch einfällt:
Ist das Netzlaufwerk, welches SFIRM als Pfad nutzt, zufällig das selbe, wie das in welchen die normalen Userdaten liegen?
Wenn ja, dann unbedingt trennen und einen anderen Ordner mit eigener Berechtigungsstruktur nur für die SFIRM-Benutzer und Admins anlegen.
Vision2015
Vision2015 21.08.2018 um 17:53:14 Uhr
Goto Top
Moin..
Zitat von @routeserver:

Zitat von @Vision2015:

Moin...
Zitat von @routeserver:

Hallo Freunde,

Alle gemeinsam nutzen ein Netzwerklaufwerk, was als virtuelle Festplatte beim DC aufliegt und von da als Netzlaufwerk für den App-Server bereitgestellt wird.
super schlechte idee....
Siehe Parallelpost. Es ist ein 3 Mann unternehmen, der Fileserver läuft quasi im Leerlauf.


Problem:
In dem gemeinsam genutzten Netzlaufwerk gehen willkürlich Daten verloren. Nach jetziger Recherche schon länger immer mal wieder hier und da Dateien. Zuletzt ganze Ordnerstrukturen.
Auch nach der Wiederherstellung gibt es einen Datenschwund. SFirm hat plötzlich leere Ordner, während die Buchhaltung darin arbeitet.
wiso kann jemand, der nicht zur buchhaltung gehört, bei sfirm daten löschen?

Das ist ein SFIRM Dilema. Ich habe mit der Hotline von SFIRM gesprochen. Ich kann dem User nicht den Schreibzugriff auf die Daten verwehren, dann würde SFIRM nicht mehr starten (Zitat: SFIRM Technik). Ist bescheuert, zumal SFIRM bei Klein- und Mittelständler echt Standard ist.
wer sagt, das du den SFirm Usern den schreibzugriff verwehren sollst? da hat der SFirm support recht, das ist sinnfrei!
was du machen sollst, ist die rechte ordentlich vergeben... die 3 grazien aus der BH bekommen eine freigabe... meinetwegen SFirm, und kein anderer hat da zugriff drauf... gut... der administrator schon... aber du wirst ja nicht selber hingehen und löschen!
und andere admin´s gibbet nicht... oder etwa doch?


Bitdefender Check
was hast du genau im AV programm geprüft... hast du ausnahmen für Sfirm etc... ?
Bitdefender macht den klassischen Zugriffscan und wöchtlichen einen Komplettscan, Ausgeschlossen werden Datenbanken Kundenprogrammen (Domus) und ebenso komplett das Datenlaufwerk (inkl. der SFIRM-Daten). Diese führe ich regelmäßig manuell durch.
oh weh... das ist sowas von sinnfrei!
wenn dein ganzer server eine ausnahme ist, brauchst du kein AV Programm... da tobt sich wer aus.. und du bekommst es nicht mit... na ja... jetzt schon face-smile
nach mal zurück zu meinen fragen... hast du eine übersicht, wer auf was zugreifen darf, und wer nicht?
nicht das sich der AZUBI im keller einen spass erlaubt face-smile
und wer hat es gelöst, und was war die lösung?

Frank

Besten Dank
Jörg
Frank
routeserver
routeserver 21.08.2018 um 21:37:38 Uhr
Goto Top
Hi Frank,

lass mal kurz berichtigen, damit es nicht Missverständnisse gibt.
Kleine Firma, gerade mal 5 Leute, nutzen Terminalserver, weil sie mit einer zentralen Software arbeiten wollen und häufig HomeOffice machen.
Keine Azubis, kein unbekannter Nutzerkreis.
Alle 5 User nutzen ein Datenverzeichnis, Rechtetechnisch abgegrenzt ist nur die Geschäftsführung. Und das reicht auch komplett.

In der Regel bin ich komplett bei Deiner Sichtweise. Aber hier ist der Rahmen so winzig, dass man allen Mitarbeitern noch persönlich begegnet.


Das ist ein SFIRM Dilema. Ich habe mit der Hotline von SFIRM gesprochen. Ich kann dem User nicht den Schreibzugriff auf die Daten verwehren, dann würde SFIRM nicht mehr starten (Zitat: SFIRM Technik). Ist bescheuert, zumal SFIRM bei Klein- und Mittelständler echt Standard ist.
wer sagt, das du den SFirm Usern den schreibzugriff verwehren sollst? da hat der SFirm support recht, das ist sinnfrei!
was du machen sollst, ist die rechte ordentlich vergeben... die 3 grazien aus der BH bekommen eine freigabe... meinetwegen SFirm, und kein anderer hat da zugriff drauf... gut... der administrator schon... aber du wirst ja nicht selber hingehen und löschen!
und andere admin´s gibbet nicht... oder etwa doch?

Nur ein Admin face-smile
siehe oben, ja, ich könnte jetzt einen ausschließen, der nicht buchhaltert...
Aber die SFIRM Verzeichnisse sind nur ein Beispiel. Die Datenverluste ziehen sich durch die gesamte Struktur des Datenverzeichnisses. Es sind meist jüngere Dateien. Alte Ordner sind meist nicht betroffen. Dokumente sind meist Jahresweise abgelegt. 2016/2017 waren immer noch da. 2018 fehlten häufig. Spooky.



Bitdefender Check
was hast du genau im AV programm geprüft... hast du ausnahmen für Sfirm etc... ?
Bitdefender macht den klassischen Zugriffscan und wöchtlichen einen Komplettscan, Ausgeschlossen werden Datenbanken Kundenprogrammen (Domus) und ebenso komplett das Datenlaufwerk (inkl. der SFIRM-Daten). Diese führe ich regelmäßig manuell durch.
oh weh... das ist sowas von sinnfrei!
wenn dein ganzer server eine ausnahme ist, brauchst du kein AV Programm... da tobt sich wer aus.. und du bekommst es nicht mit... na ja... jetzt schon face-smile

sehe ich anders. Der gesamte Server wird abgescannt. Im Datenverzeichnis liegen nur PDF-Dateien, Office-Dokumente und nicht viel mehr.


nach mal zurück zu meinen fragen... hast du eine übersicht, wer auf was zugreifen darf, und wer nicht?
nicht das sich der AZUBI im keller einen spass erlaubt face-smile
und wer hat es gelöst, und was war die lösung?

siehe oben.
Bitte nicht verstehen. Ich will mich nicht blind gegen Deine Darstellung wehren. Ich brauche ja fremden Input. Deine Sichtweise ist für größere Unternehmen absolut Standard, aber in dieser kleinen Bude, wo nur ein Standserver in der Ecke steht und die paar Nasen mit Laptops drumherum hocken, kann die Rechtehierachie klein sein. Und war vom Kunden auch gewünscht. Natürlich holt mich das jetzt ein.
Ich werde jetzt die Zugriff protokollieren und hoffen, das ich damit Erfolg habe. Rückwirkend zu den bisherigen Verlusten kann ich allerdings nur die Flügel strecken und habe trotz all der Logfiles nur ein "Keine Ahnung" anzubieten. Das kratzt mich persönlich etwas.

Viele Dank
Jörg
routeserver
routeserver 21.08.2018 um 21:45:22 Uhr
Goto Top
Hi Goscho,

danke für Deine Lösungshinweise!!

In dem gemeinsam genutzten Netzlaufwerk gehen willkürlich Daten verloren. Nach jetziger Recherche schon länger immer mal wieder hier und da Dateien. Zuletzt ganze Ordnerstrukturen.
Das sind Anwender, die versehentlich oder schlimmer noch - absichtlich Daten löschen.
Das Fileserver-Auditing kann natürlich helfen.

Jupp, in die Richtung habe ich bisher auch gesucht. Ich habe in meinem 20 Berufsjahren noch keine Server erlebt, die willkürlich einzelne Ordner löschen. Das macht keinen Sinn. Aber die Quote ist hier sehr ungewöhnlich. Im Datenverzeichnis gibt es eine winzigen Rechtestruktur. Es gibt Leitungsordner, aber auch persönliche Ordner (hat nix mit den Windows Profilen zu tun). Es gibt ausser Admin/System keinen User, der Rechte an beiden Ebenen hat. Dennoch sind weit gestreut Daten überall verloren gegangen. SFIRM habe ich erwähnt, weil es so aktuell und offensichtlich war. Aber es ist nur ein Beispiel von vielen.


Auch nach der Wiederherstellung gibt es einen Datenschwund. SFirm hat plötzlich leere Ordner, während die Buchhaltung darin arbeitet.
Ich vermute auch hier ein Anwenderproblem.
Jemand hat aus dem SFIRM selbst eine Funktion benutzt, die ein Explorerfenster startet und dort versehentlich den ganzen SFIRM-Ordner löschen wollen. Da du diesen Benutzern die Rechte an den Ordnern nicht nehmen kannst, sollte das Backup aktuell sein.
Eventuell hilft es ja, wenn die den SFIRM-Benutzern einiges an Rechten wegnimmst und nur benötigtes lässt. Klar könnten diese Benutzer dann immernoch zufällig in den Pfad der SFIRM-Installation.

Was mir noch einfällt:
Ist das Netzlaufwerk, welches SFIRM als Pfad nutzt, zufällig das selbe, wie das in welchen die normalen Userdaten liegen?
Wenn ja, dann unbedingt trennen und einen anderen Ordner mit eigener Berechtigungsstruktur nur für die SFIRM-Benutzer und Admins anlegen.

Aktuell läuft die 3.1 Version, die läuft direkt aus einem Netzwerkpfad. Aber der 3.2er Version wird es eine lokale Installation und nur noch die KeyDaten liegen im Netz oder in Userverzeichnissen. Ich glaube, da hat Starmoney die Rechtelage etwas aufgeräumt. Die Version kommt im nächsten Schritt rauf.


Viele Grüße
Jörg
java667
java667 22.08.2018 um 08:34:32 Uhr
Goto Top
Hi,

ich würde dringend dazu raten, die Ordner mit NTFS Berechtigungen zu steuern. Selbst bei 5 Mitarbeitern, lässt sich das bewerkstelligen.

Ich kann mir nur schwer vorstellen, das z.B. jeder der 5 auf SFirm zugreifen muss. Weiterhin vermute ich, dass die Leute Vollzugriff auf den SFirm-Ordner haben. Das ist zu 99,9 % der Fälle nicht notwendig, selbst wenn der Support das so empfiehlt. Vollzugriff hat im besten Fall nur der Admin. Die Jungs und Mädels haben halt meist von NTFS keine Ahnung, Hauptsache ihr Programm funktioniert.

Also beschränke das SFirm Verzeichnis auf die 1-2 Leute die SFirm nutzen müssen und gib da Ändern Rechte drauf. Sollten dann immer noch Dateien (innerhalb SFirm) gelöscht werden, kannst du zumindest das ganze auf die Nutzer mit Ändern-Rechte einschränken. Natürlich nur, sofern deine Rechtestruktur passt und niemand der Nutzer als Admin arbeitet (oder ggf. auch Schadsoftware).

Gruss,
Java
Ausserwoeger
Ausserwoeger 22.08.2018 um 08:56:18 Uhr
Goto Top
Zitat von @routeserver:


Wir haben Bitdefender Cloud Gravity Zone. Dort läuft wöchentlich ein Scan auf allen Geräten, Server und Clientseitig. Bisher gabs da noch nie Probleme.
Außerdem vermute ich, wenn es ein Virus wäre, da wären die Zerstörungen nicht so selektiv.

Moin

Naja also wenn da ein Trojaner auf einem Rechner oder server sitzt wäre ein zugriff von außen möglich. Und irgendwer der euch schaden will löscht hald ab und zu gewisse Daten.

Prüfen würde ich auf alle Fälle. Ich würde in alle Richtungen ermitteln und nichts ausschließen.

LG
goscho
goscho 22.08.2018 um 09:06:46 Uhr
Goto Top
Moin
Zitat von @java667:
ich würde dringend dazu raten, die Ordner mit NTFS Berechtigungen zu steuern. Selbst bei 5 Mitarbeitern, lässt sich das bewerkstelligen.
Richtig.
Ich kann mir nur schwer vorstellen, das z.B. jeder der 5 auf SFirm zugreifen muss. Weiterhin vermute ich, dass die Leute Vollzugriff auf den SFirm-Ordner haben. Das ist zu 99,9 % der Fälle nicht notwendig, selbst wenn der Support das so empfiehlt. Vollzugriff hat im besten Fall nur der Admin. Die Jungs und Mädels haben halt meist von NTFS keine Ahnung, Hauptsache ihr Programm funktioniert.
Falsch. Das Programm legt beim Arbeiten so viele Dateien in seinen Laufwerken an, löscht diese wieder etc. das klappt nur mit Vollzugriff für die Benutzer, die damit arbeiten müssen.
Also beschränke das SFirm Verzeichnis auf die 1-2 Leute die SFirm nutzen müssen und gib da Ändern Rechte drauf. Sollten dann immer noch Dateien (innerhalb SFirm) gelöscht werden, kannst du zumindest das ganze auf die Nutzer mit Ändern-Rechte einschränken. Natürlich nur, sofern deine Rechtestruktur passt und niemand der Nutzer als Admin arbeitet (oder ggf. auch Schadsoftware).
Wie schon geschrieben, dass reicht nicht.
Was er aber machen könnte, wäre, eine separate Freigabe nur für den SFIRM-Ordner erzeugen, diese zu mappen (SFIRM braucht ein gemapptes Laufwerk) und den nötigen Benutzern darauf Zugriff gewähren.

Da er aber schreibt, dass der SFIRM-Ordner nur ein Teil ist, sollte er vielleicht auch schauen, ob bei einem PC Offline Files eingestellt sind und dort Daten auf dem PC gelöscht werden.

Zum Thema AV auf dem Server:
Ich betreue viele kleine Firmen mit 1-8 Servern. So lange es in diesen Firmen niemanden gibt, der selbst auf dem Server rumwerkeln will, installiere ich kein AV-Programm auf den Windows-Servern. Wenn es dort einen "Möchtegern-Admin" gibt, dann richte ich einen Grundschutz ein. Das ist aber sehr selten.
Wenn Exchange lokal vorhanden ist, richte ich dort den AV/Antispamschutz von Symantec ein (Mailsecurity for MSE).
VGem-e
VGem-e 22.08.2018 um 14:16:59 Uhr
Goto Top
Moin,

wie schon beschrieben, würde auch ich hier künftig ein abgestuftes Rechte-Konzept vorschlagen. Natürlich ist kein Domänenuser mit Adminrechten unterwegs (trifft bei uns auch für mich zu!).
Dazu zählt für mich z.B. auch eine vernünftige Gruppenzuweisung übers Active Directory. Bei uns sind so nur 2 User im Kassenbereich in einer solchen AD-Gruppe mit den entsprechenden Zugriffsrechten auf das Netzwerkshare des SFirm unterwegs.

Gruß
VGem-e
chiefteddy
chiefteddy 22.08.2018 um 15:49:10 Uhr
Goto Top
Hallo,

um das Problem mit den "verschwundenen" Daten etwas zu entschärfen, fällt mir noch das ein:

https://www.windowspro.de/andreas-wienhusen/schattenkopien-vorgaengerver ...

Ich habe diese Funktion auf meinem Windows-Fileserver zu laufen und konnte schon einigen Usern schnell und unkompliziert bei versehentlich gelöschten oder überschriebenen Daten helfen.

Das Wiederherstellen über die Schattenkopien geht wesentlich schneller als über ein Backup. Außerdem lasse ich die Schattenkopien mehrmals am Tag erstellen (wärend der Arbeitszeit alle 3 Stunden) und habe damit auch noch eine Art Versionierung.

Jürgen
routeserver
routeserver 22.08.2018 um 18:29:39 Uhr
Goto Top
Hallo Java
Zitat von @java667:

Hi,

ich würde dringend dazu raten, die Ordner mit NTFS Berechtigungen zu steuern. Selbst bei 5 Mitarbeitern, lässt sich das bewerkstelligen.

Ich kann mir nur schwer vorstellen, das z.B. jeder der 5 auf SFirm zugreifen muss. Weiterhin vermute ich, dass die Leute Vollzugriff auf den SFirm-Ordner haben. Das ist zu 99,9 % der Fälle nicht notwendig, selbst wenn der Support das so empfiehlt. Vollzugriff hat im besten Fall nur der Admin. Die Jungs und Mädels haben halt meist von NTFS keine Ahnung, Hauptsache ihr Programm funktioniert.

Natürlich habe ich NTFS Berechtigungen gesetzt. Ich habe es hier nur nicht so detailliert ausgeführt. Kein User hat Vollzugriff. Die Mitarbeiter haben eine Rechtegruppe, die Leitung eine erweiterte. Aber es gibt defakto nur eine Person, die kein SFIRM benutzt. Und selbst das ist nur vorübergehend so. Die anderen machen es oder wollen es können (weil Chef).



Also beschränke das SFirm Verzeichnis auf die 1-2 Leute die SFirm nutzen müssen und gib da Ändern Rechte drauf. Sollten dann immer noch Dateien (innerhalb SFirm) gelöscht werden, kannst du zumindest das ganze auf die Nutzer mit Ändern-Rechte einschränken. Natürlich nur, sofern deine Rechtestruktur passt und niemand der Nutzer als Admin arbeitet (oder ggf. auch Schadsoftware).

So in der Art habe ich es bereits aufgebaut, keiner ist Admin. Und die Schreibrechte werden jetzt überwacht.
Aber das sind eben alles nur zukünftige Dinge. Ich glaube weiterhin, dass hier eher ein Programm aufgeräumt hat oder ein Offline-Cache oder sonstwas dazwischen war und sich vergessen hat. Denn das passt zu dem Phänomen, dass nur aktuelle Dateien weg sind. Teilweise fehlen Worddokumente im Nachtbackup, die tagsüber erstellt und ausgedruckt wurden. Das ist spooky.

VG
Jörg
routeserver
routeserver 22.08.2018 um 18:31:45 Uhr
Goto Top
Hi Jürgen,
Zitat von @chiefteddy:

Hallo,

um das Problem mit den "verschwundenen" Daten etwas zu entschärfen, fällt mir noch das ein:

https://www.windowspro.de/andreas-wienhusen/schattenkopien-vorgaengerver ...

Ich habe diese Funktion auf meinem Windows-Fileserver zu laufen und konnte schon einigen Usern schnell und unkompliziert bei versehentlich gelöschten oder überschriebenen Daten helfen.

Das Wiederherstellen über die Schattenkopien geht wesentlich schneller als über ein Backup. Außerdem lasse ich die Schattenkopien mehrmals am Tag erstellen (wärend der Arbeitszeit alle 3 Stunden) und habe damit auch noch eine Art Versionierung.

Jürgen

Ich hatte diese Funktion auch mal probelaufen lassen. Aber bei mir lief der Festplattenverbrauch davon. Ich denke, ich werde da noch mal intensiver testen müssen.

Viele Grüße
Jörg
routeserver
routeserver 22.08.2018 um 18:34:55 Uhr
Goto Top
Zitat von @VGem-e:

Moin,

wie schon beschrieben, würde auch ich hier künftig ein abgestuftes Rechte-Konzept vorschlagen. Natürlich ist kein Domänenuser mit Adminrechten unterwegs (trifft bei uns auch für mich zu!).
Dazu zählt für mich z.B. auch eine vernünftige Gruppenzuweisung übers Active Directory. Bei uns sind so nur 2 User im Kassenbereich in einer solchen AD-Gruppe mit den entsprechenden Zugriffsrechten auf das Netzwerkshare des SFirm unterwegs.

Gruß
VGem-e
Hallo VGem-e,

vielen Dank noch mal für die Klarstellung. Ich habe es gerade parallel beschrieben. Es gibt dieses Rechte Struktur, alle User sind in Gruppen im AD verankert und können nur auf relevante Ressourcen zugreifen. Aber bei 5 People muss letztendlich jeder MA alles können, deshalb sind die vorhandenen Hierarchien sehr flach, aber existent.

Beste Grüße
Jörg
routeserver
routeserver 22.08.2018 um 18:42:52 Uhr
Goto Top
Moin Goscho,

Zitat von @goscho:

Moin

Was er aber machen könnte, wäre, eine separate Freigabe nur für den SFIRM-Ordner erzeugen, diese zu mappen (SFIRM braucht ein gemapptes Laufwerk) und den nötigen Benutzern darauf Zugriff gewähren.

Das wäre sicherlich eine Alternative. Hier regelt sich das angeblich mit SFIRM 3.2, welches in die lokale Programmstruktur des Server installiert werden muss. Nix Netzlaufwerk. Da muss ich erstmal schauen, was man da noch freigeben kann und muss.


Da er aber schreibt, dass der SFIRM-Ordner nur ein Teil ist, sollte er vielleicht auch schauen, ob bei einem PC Offline Files eingestellt sind und dort Daten auf dem PC gelöscht werden.

Das ist ein interessanter Hinweis. Einige User und gerade aktuell die Buchhaltung arbeitet per VPN und RDP. Aber andererseits sind das auch nur Remote-Logins auf dem Terminalserver und der TS ist virtuell ja auf der gleichen Kiste wie auch der DC. Ich glaube, für Bilderuploads haben wir mal den Datenordner als SMB Share via VPN freigeben (für'n Chef). Da könnte ich noch mal schauen, ob dort Offline-Cache aktiviert ist. Aber reicht da für solche Löschaktionen?

Viele Grüße
Jörg
Penny.Cilin
Penny.Cilin 22.08.2018 um 18:44:24 Uhr
Goto Top
Zitat von @routeserver:

So in der Art habe ich es bereits aufgebaut, keiner ist Admin. Und die Schreibrechte werden jetzt überwacht.
Aber das sind eben alles nur zukünftige Dinge. Ich glaube weiterhin, dass hier eher ein Programm aufgeräumt hat oder ein Offline-Cache oder sonstwas dazwischen war und sich vergessen hat. Denn das passt zu dem Phänomen, dass nur aktuelle Dateien weg sind. Teilweise fehlen Worddokumente im Nachtbackup, die tagsüber erstellt und ausgedruckt wurden. Das ist spooky.
Es gibt keine Software, die einfach so Dateien löscht. Schau mal nach Scheduled Tasks, und evtl. auch Richtlinien.

VG
Jörg

Gruss Penny
Pletty
Pletty 29.08.2018 um 18:42:29 Uhr
Goto Top
moin,

nur mal so interessehalber.. war das die Lösung?