Kritieke systemen rebooten bij feature updates. - Windows clients

Vraag

zondag 14 januari 2018 13:43

Acties:

0 Henk 'm!

Topicstarter

Wij installeren onze client/serversystemen met windows 10 pro.
Deze systemen draaien 24/7 om opnames te maken van de aangesloten IP-cameras.
Het probleem is dat bij elke feature update de systemen rebooten en dus ook enkele minuten offline zijn, wat voor de eindklant natuurlijk onwenselijk is, en waarover we ook al klachten hebben binnengekregen.

De systemen krijgen alle laatste updates voordat ze geleverd worden.

Hoe kunnen deze feature updates uitgeschakeld of "oneindig" uitgesteld worden?
We zweten dat deze uit te stellen zijn, maar dan verplaatsen we enkel het probleem.
We leveren ongeveer 500 systemen per jaar momenteel, dus 2-3x per jaar met de klant afspreken van wanneer en hoe is niet mogelijk.

We hebben al geprobeerd:
- Van de LAN-verbinding een metered verbinding te maken met een soort van hack, zodat deze niet gedownload zou worden.

- In de registry defer updates aan te passen van 180 naar 9999 dagen, maar dit is nog niet getest of dit blijvend is (weten we pas op dag 181)

- Een idee was om in de group policies met een hex editor of op een andere manier de policy zelf aan te passen naar 9999 dagen.

De systemen moeten aan het internet hangen om gebruik te kunnen maken van remote camerabeheer en remote desktop, dus offline houden is zeker niet mogelijk.

Iemand nog ideeën?

Alle reacties

zondag 14 januari 2018 13:47

Acties:

+3 Henk 'm!

McKaamos

Master of the Edit-button

Uhm, geen WIndows 10 gebruiken voor dergelijke systemen?
Windows10 is voor desktop gebruik, niet voor recording toepassingen die 24/7 up moeten zijn.

Als je toch met alle geweld Win10 wil gebruiken, zorg dan voor LTSB versies voor de clients. Dat laat zich beter beheren in combinatie met een Windows 2016 server.
Je krijgt dan minder feature update gejengel, maar alleen noodzakelijkheden voor security.

Of gebruik gewoon geen WIndows voor de opnames, maar laat dat via een dedicated recording systeem lopen, b.v. op basis van Linux.
En dan parkeer je een MS Terminal Server voor de RDP access, welke dan de cameraserver kan benaderen die in het LAN staat.

[ Voor 13% gewijzigd door McKaamos op 14-01-2018 13:50 ]

Iemand een Tina2 in de aanbieding?

zondag 14 januari 2018 13:48

Acties:

+2 Henk 'm!

DutchKel

starfight schreef op zondag 14 januari 2018 @ 13:43:
Iemand nog ideeën?

Een ander OS gebruiken die meer geschikt is voor kritische bedrijfs processen. Een client OS is dat in elk geval niet.

Don't drive faster than your guardian angel can fly.

zondag 14 januari 2018 13:51

Acties:

+2 Henk 'm!

DarkSide

theres no place like ::1

Elke Quality update heeft een reboot nodig.
En feauture updates zijn ook nodig omdat anders het support (en dus ook de quality updates) vervallen.

Voor kritische systemen is de LSTB idd bedoeld. Maar ook die wordt voor zien van quality updates en moet je rebooten.

Je hebt altijd service windows nodig waarbij een systeem voor een periode uit mag.
Dit kan je ook gefaseerd doen.
Als je echt 24/7 up time nodig hebt moet je aan cluster software e.d gaan denken.
Waarbij je eerst 1 update en reboot. En daarna de andere.

ook Linux heeft patching nodig en soms reboots.
En ook andere server OS-en hebben dat nodig.

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

zondag 14 januari 2018 13:55

Acties:

0 Henk 'm!

McKaamos

Master of the Edit-button

DarkSide schreef op zondag 14 januari 2018 @ 13:51:
Elke Quality update heeft een reboot nodig.
En feauture updates zijn ook nodig omdat anders het support (en dus ook de quality updates) vervallen.

Voor kritische systemen is de LSTB idd bedoeld. Maar ook die wordt voor zien van quality updates en moet je rebooten.

Maar wel minder. Dus dan heb je al meer uptime te pakken.
Blijft sub-optimaal. Windows is gewoon niet geschikt voor dit soort dingen

Je hebt altijd service windows nodig waarbij een systeem voor een periode uit mag.
Dit kan je ook gefaseerd doen.
Als je echt 24/7 up time nodig hebt moet je aan cluster software e.d gaan denken.
Waarbij je eerst 1 update en reboot. En daarna de andere.

Dit zou idd ideaal zijn. Maargoed, een videostream live afbuigen naar een andere machine is opzich ook best pittig.
Misschien met een NginX streamproxy? evt een cluster van die machines? Want ook die proxies zullen af en toe moeten rebooten.

ook Linux heeft patching nodig en soms reboots.
En ook andere server OS-en hebben dat nodig.

True, maar onder Linux reboot hij niet automatisch. Dat moet je als beheerder zelf doen.

Iemand een Tina2 in de aanbieding?

zondag 14 januari 2018 14:01

Acties:

0 Henk 'm!

starfight

Topicstarter

DutchKel schreef op zondag 14 januari 2018 @ 13:48:
[...]

Een ander OS gebruiken die meer geschikt is voor kritische bedrijfs processen. Een client OS is dat in elk geval niet.

Zou inderdaad een betere oplossing zijn, maar deze clients worden geleverd aan eindgebruikers die zelf niet altijd de kennis hebben om met een windows server versie te werken, en zeker niet met een bijkomende licentiekost. Het gaat meestal ook maar om celeron of i3 systemen met 8-16 cameras.

Security patches en kritieke updates kunnen natuurlijk altijd door ons gepushed worden, maar een feature update is niet "nodig".

Het is zeker niet de bedoeling dat klanten extra systeem gaan bijkopen zodat ze een andere kunnen updaten...

zondag 14 januari 2018 14:02

Acties:

0 Henk 'm!

DarkSide

theres no place like ::1

Onder Windows kan je dat ook instellen.
MIjn windows systemen heb ik reboot suppression aan staan voor de kritische machines

Voor de overige heb ik aanstaan dat gebruikers 4uur de tijd hebben om hun spullen op te slaan en zelf een reboot kunnen plannen. Na deze tijd hebben ze nog een uur. Daarna gaat hij geforceerd.

Voor servers heb ik maintenance windows waarbij ze wel mogen. Deze deel ik in. Dus niet dat alle DC's te gelijk gaan. Etc.

Voor de Presentatieschermen gaan ze gewoon savonds om 22:00u als er niemand is.

En een feature update is ook niet nodig.
Je kunt dit prima uitstellen maar niet eeuwig.
Je kunt ook gewoon Windows updates helemaal uitzetten en overstappen op WSUS of SCCM
Dan bepaal je helemaal zelf wanneer je overstapt. Maar houdt rekening met de support window.

Sommige mensen (5) zitten nog op 1607 bv. Maar het grootste deel op 1703.
1709 moet nog goedgekeurd worden. Een aantal apps blijken daar minder op te werken volgens de functioneel beheerders.
De update knop staat uit voor de eindgebruiker. En wij bepalen zelf wie wat wanneer krijgt.

[ Voor 34% gewijzigd door DarkSide op 14-01-2018 14:04 ]

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

zondag 14 januari 2018 14:06

Acties:

0 Henk 'm!

starfight

Topicstarter

DarkSide schreef op zondag 14 januari 2018 @ 14:02:
Onder Windows kan je dat ook instellen.
MIjn windows systemen heb ik reboot suppression aan staan voor de kritische machines

Voor de overige heb ik aanstaan dat gebruikers 4uur de tijd hebben om hun spullen op te slaan en zelf een reboot kunnen plannen. Na deze tijd hebben ze nog een uur. Daarna gaat hij geforceerd.

Voor servers heb ik maintenance windows waarbij ze wel mogen. Deze deel ik in. Dus niet dat alle DC's te gelijk gaan. Etc.

Voor de Presentatieschermen gaan ze gewoon savonds om 22:00u als er niemand is.

Maar deze systemen worden dus 95% van de tijd niet bekeken door de end user, aangezien de enige taak opnemen is. ook al is het maar voor een kwartier-45 minuten voor een feature update, dat kan gewoon niet met een (niet redundant) opnamesysteem.

zondag 14 januari 2018 14:08

Acties:

0 Henk 'm!

DarkSide

theres no place like ::1

Dus moet je nadenken over iets anders.
Als ze echt niet uit kunnen. kun je dus niet updaten. Punt.

Zoals gezegd. je kunt reboot suppression aanzetten. Dan gaan ze niet spontaan reboten en houdt je zelf controle. Maar reboten zullen ze toch een keer moeten.

Ook andere systemen, Denk aan NAS die iets opneemt. Heeft updates en patching nodig.

Daarbij: Als de systemen echt zo kritisch zijn. Neem ik aan dat ze in Raid draaien.
En alleen voorzien zijn van een UPS etc. Want ook daar kan wat mis gaan en dan duurt het langer dan een Quality update voordat ze up zijn

[ Voor 24% gewijzigd door DarkSide op 14-01-2018 14:15 ]

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

zondag 14 januari 2018 14:15

Acties:

0 Henk 'm!

Croga

The Unreasonable Man

starfight schreef op zondag 14 januari 2018 @ 14:01:
Zou inderdaad een betere oplossing zijn, maar deze clients worden geleverd aan eindgebruikers die zelf niet altijd de kennis hebben om met een windows server versie te werken, en zeker niet met een bijkomende licentiekost. Het gaat meestal ook maar om celeron of i3 systemen met 8-16 cameras.

Er is ook niemand die zegt dat je Windows moet gebruiken.....

Linux updates kunnen vaak wel zonder reboot installeren. Daarnaast heb je daar simpelweg meer controle. En als laatste is daar ook niet een dergelijke licentiekost aan verbonden....

zondag 14 januari 2018 14:21

Acties:

0 Henk 'm!

starfight

Topicstarter

Croga schreef op zondag 14 januari 2018 @ 14:15:
[...]

Er is ook niemand die zegt dat je Windows moet gebruiken.....

Linux updates kunnen vaak wel zonder reboot installeren. Daarnaast heb je daar simpelweg meer controle. En als laatste is daar ook niet een dergelijke licentiekost aan verbonden....

Helaas moet het wel windows zijn, de software die wij leveren met een licentiekost van 100 euro per camera heeft namelijk geen linux versie, en daar komt bovenop da een eindgebruiker in 90% van de gevallen niet met linux kan werken.

zondag 14 januari 2018 14:23

Acties:

0 Henk 'm!

starfight

Topicstarter

DarkSide schreef op zondag 14 januari 2018 @ 14:08:
Daarbij: Als de systemen echt zo kritisch zijn. Neem ik aan dat ze in Raid draaien.
En alleen voorzien zijn van een UPS etc. Want ook daar kan wat mis gaan en dan duurt het langer dan een Quality update voordat ze up zijn

Raid 10 en een UPS zijn ook dingen die we aanbieden als mensen een redudante oplossing willen.
Het gaat er puur om dat een klant niet wil dat er een kwartier niet opgenomen is bij een reboot/update.

zondag 14 januari 2018 14:24

Acties:

0 Henk 'm!

DutchKel

Iets zegt me dat een synology in dit geval al betrouwbaarder is.

Ik denk dat jullie de requirements niet goed hebben opgesteld toen het project werd opgezet.

Geef ons eens de functionele en technische requirements, misschien kunnen we dan beter advies geven.

Don't drive faster than your guardian angel can fly.

zondag 14 januari 2018 14:27

Acties:

+1 Henk 'm!

breew

Twee servers draaien:
schaduwserver (B ) , productiesysteem (A).

Komt een update binnen waarbij reboot benodigd is:
1. B updaten en rebooten
2. B wordt het nieuw productiesysteem
3. A updaten en rebooten, dit wordt nu het schaduwsysteem

zondag 14 januari 2018 14:28

Acties:

0 Henk 'm!

McKaamos

Master of the Edit-button

Je zegt wel dat de betreffende software niet onder Linux werkt, maar heb je wel eens gekeken naar Wine?
Zelfs high-end gaming met Windows games onder Linux is mogelijk.

Zie b.v. ook: YouTube: How to Game on Linux

Iets zegt me dat je camera software prima op Linux kan werken. Iig de kans is relatief klein dat het niet kan.

breew schreef op zondag 14 januari 2018 @ 14:27:
Twee servers draaien:
schaduwserver (B ) , productiesysteem (A).

Komt een update binnen waarbij reboot benodigd is:
1. B updaten en rebooten
2. B wordt het nieuw productiesysteem
3. A updaten en rebooten, dit wordt nu het schaduwsysteem

Daar gaat t niet om

De clients nemen op. Die mogen niet rebooten.

Iemand een Tina2 in de aanbieding?

zondag 14 januari 2018 14:29

Acties:

0 Henk 'm!

starfight

Topicstarter

breew schreef op zondag 14 januari 2018 @ 14:27:
Twee servers draaien:
schaduwserver (B ) , productiesysteem (A).

Komt een update binnen waarbij reboot benodigd is:
1. B updaten en rebooten
2. B wordt het nieuw productiesysteem
3. A updaten en rebooten, dit wordt nu het schaduwsysteem

Dan moet een klant 2 systemen kopen in plaats van 1, en kijken ze verder.
Voor grote klanten is dit al onze gang van zaken, maar de schoenwinkel om de hoek wil dat niet.

De vraag blijft gewoon: Hoe stel ik updates permanent uit?

zondag 14 januari 2018 14:31

Acties:

0 Henk 'm!

starfight

Topicstarter

McKaamos schreef op zondag 14 januari 2018 @ 14:28:
Iets zegt me dat je camera software prima op Linux kan werken. Iig de kans is relatief klein dat het niet kan.
[...]

Hebben we getest, maar de software in kwestie draait niet op linux, de ene versie geeft problemen met de licentie usb-key en de softkey versie geeft problemen met de slimme zoekfuncties in het opnamearchief.

zondag 14 januari 2018 14:31

Acties:

+1 Henk 'm!

Punkbuster

Zou er lekker een cluster van maken. Dit draai je toch niet op een win10 os..

automation fanboy

zondag 14 januari 2018 14:33

Acties:

+1 Henk 'm!

breew

starfight schreef op zondag 14 januari 2018 @ 14:29:
[...]
Dan moet een klant 2 systemen kopen in plaats van 1, en kijken ze verder.
Voor grote klanten is dit al onze gang van zaken, maar de schoenwinkel om de hoek wil dat niet.
De vraag blijft gewoon: Hoe stel ik updates permanent uit?

Welke klant heeft nou als usecase dat hij geen 15 minuten downtime accepteert, maar wel met ongepatchte systemen wil werken?

zondag 14 januari 2018 14:34

Acties:

0 Henk 'm!

starfight

Topicstarter

breew schreef op zondag 14 januari 2018 @ 14:33:
[...]

Welke klant heeft nou als usecase dat hij geen 15 minuten downtime accepteert, maar wel met ongepatchte systemen wil werken?

Zowat elke klant die een camerasysteem koopt na een inbraak die in totaal nog geen 5 minuten duurde

zondag 14 januari 2018 14:34

Acties:

+1 Henk 'm!

DutchKel

starfight schreef op zondag 14 januari 2018 @ 14:29:
[...]

Dan moet een klant 2 systemen kopen in plaats van 1, en kijken ze verder.
Voor grote klanten is dit al onze gang van zaken, maar de schoenwinkel om de hoek wil dat niet.

De vraag blijft gewoon: Hoe stel ik updates permanent uit?

Op windows 10 clients niet, maar daar ben je zelf ook al achter gekomen. Microsoft staat het niet meer toe omdat ze in het verleden een slechte naam hebben gekregen mbt ongepatchte machines.

Heb je nog een andere vraag of was dit het?

Don't drive faster than your guardian angel can fly.

zondag 14 januari 2018 14:35

Acties:

0 Henk 'm!

DarkSide

theres no place like ::1

Hoe beheer je updates nu dan?
Je levert nu "gewoon" een pc met software een een klant. En succes?

Of wordt de werkplek nog gemanaged? SCCM oid?

Daarbij hoeveel systemen heeft een klant draaien en wat nemen ze op.
Is opname rond de lunch tijd zo kritisch? kan me voorstellen savonds en na werktijden en in het weekend.
Maar op een maandag tussen 12:00 en 12:30 lijkt me minder kritisch.

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

zondag 14 januari 2018 14:36

Acties:

+1 Henk 'm!

breew

DarkSide schreef op zondag 14 januari 2018 @ 14:35:
Is opname rond de lunch tijd zo kritisch? kan me voorstellen savonds en na werktijden en in het weekend.
Maar op een maandag tussen 12:00 en 12:30 lijkt me minder kritisch.

Precies.. en anders bied je als service aan om gedurende de tijd van de update drie vaste klanten van sportschool "Gekke Henk" bij de ingangen te posten

[ Voor 19% gewijzigd door breew op 14-01-2018 14:37 ]

zondag 14 januari 2018 14:38

Acties:

0 Henk 'm!

starfight

Topicstarter

DarkSide schreef op zondag 14 januari 2018 @ 14:35:
Hoe beheer je updates nu dan?
Je levert nu "gewoon" een pc met software een een klant. En succes?

Of wordt de werkplek nog gemanaged? SCCM oid?

Daarbij hoeveel systemen heeft een klant draaien en wat nemen ze op.
Is opname rond de lunch tijd zo kritisch? kan me voorstellen savonds en na werktijden en in het weekend.
Maar op een maandag tussen 12:00 en 12:30 lijkt me minder kritisch.

Het probleem lijkt ons inderdaad ook niet zo groot, maar voor bepaalde klanten is het dat blijkbaar dus wel.
Zij willen elke seconde van de dag 30 frames kunnen herbekijken.
Wij leveren de pc aan een installateur die de klant uitleg en opleiding geeft over de software, en dan is het inderdaad succes, tot ze een probleem hebben en ze bij ons binnenbellen en wij de pc remote overnemen of repareren.

zondag 14 januari 2018 14:39

Acties:

+1 Henk 'm!

TheBorg

Resistance is futile.

Afbeeldingslocatie: https://tweakers.net/ext/f/uL0Jrzq1KzG9sR9CJpcKi5Y8/full.png

1630 dagen zonder rebooten.

Maar alle gekheid op een stokje, ik zou met de klanten een tijdswindow afspreken waarbinnen gereboot kan worden. In 90% van de gevallen is een bedrijf wel op een moment van de dag gesloten.

zondag 14 januari 2018 14:41

Acties:

0 Henk 'm!

starfight

Topicstarter

TheBorg schreef op zondag 14 januari 2018 @ 14:39:
Maar alle gekheid op een stokje, ik zou met de klanten een tijdswindow afspreken waarbinnen gereboot kan worden. In 90% van de gevallen is een bedrijf wel op een moment van de dag gesloten.

Het gaat net om die 1-2% van de klanten voor wie dat geen optie is, en updaten wanneer het bedrijf gesloten is zou al helemaal geen optie zijn natuurlijk, maar ik begrijp wat je bedoelde

zondag 14 januari 2018 14:42

Acties:

+1 Henk 'm!

Tralapo

IP-camera's sluit je toch aan op een NVR, die je vervolgens vanaf elke random PC of telefoon via de bijbehorende webinterface of native software kunt benaderen om de beelden terug te kijken? Een werkwijze waarbij een W10 PC beide functies vervuld komt op mij heel onlogisch over.

zondag 14 januari 2018 14:43

Acties:

0 Henk 'm!

starfight

Topicstarter

Tralapo schreef op zondag 14 januari 2018 @ 14:42:
IP-camera's sluit je toch aan op een NVR, die je vervolgens vanaf elke random PC of telefoon via de bijbehorende webinterface of native software kunt benaderen om de beelden terug te kijken? Een werkwijze waarbij een W10 PC beide functies vervuld komt op mij heel onlogisch over.

Wij gebruiken de windows 10 pc als NVR om bepaalde slimme zoekfuncties te kunnen gebruiken, wat op standaard NVR's niet mogelijk is. We leveren ook gewone NVR's, maar daar gaat dit probleem niet om.

Het gaat dan bijvoorbeeld over hard hat detection, sabotage detection, face/personnel detection, ...

[ Voor 8% gewijzigd door starfight op 14-01-2018 14:45 ]

zondag 14 januari 2018 14:44

Acties:

0 Henk 'm!

DarkSide

theres no place like ::1

starfight schreef op zondag 14 januari 2018 @ 14:38:
[...]

Het probleem lijkt ons inderdaad ook niet zo groot, maar voor bepaalde klanten is het dat blijkbaar dus wel.
Zij willen elke seconde van de dag 30 frames kunnen herbekijken.
Wij leveren de pc aan een installateur die de klant uitleg en opleiding geeft over de software, en dan is het inderdaad succes, tot ze een probleem hebben en ze bij ons binnenbellen en wij de pc remote overnemen of repareren.

Dat zijn altijd leuke eisen. Wij hebben ook op sommige zaken 100% uptime.
Maar dat kan gewoon niet. Niet alles is geclusterd bv. Of willen ze niet voor betalen.

Dus komen daar exceptions in het contract. Dat bepaalde reboots niet mee gelden in de uptime meting bijvoorbeeld.
Iets met voor een duppeltje op de eerste rij willen zitten.

Houdt ook rekening met meltdown etc. Dit zorgt voor extra onderhoud en patching.
Want als ze niet patchen en reboten moeten ze ook niet klagen dat er wel 24/7 opgenomen is.
Maar ondertussen op afstand wel hun klantenbestand gestolen is vanwege een niet gepatche vulnarability

There are 10 kinds of people in this world..... Those who know binary. And those who don't.

zondag 14 januari 2018 14:48

Acties:

0 Henk 'm!

eric.1

starfight schreef op zondag 14 januari 2018 @ 14:34:
[...]

Zowat elke klant die een camerasysteem koopt na een inbraak die in totaal nog geen 5 minuten duurde

Dat kan, maar dan willen ze toch wel een paar euro extra (al is t een paar honderd - ze betalen toch al 100 per camera(?) aan licentiekosten) besteden om het goed in te regelen?

Windows 10 gebruiken voor een zeer kritiek systeem, waar geen gebruiker achter werkt en wel 24/7 iedere seconde moet werken; dat is bij mijn weten gewoon een slecht idee. Wij zouden intern zeggen; terug naar de tekentafel.

We hebben wel een soortgelijke situatie met bepaalde systemen, maar die laten we gewoon overdag tijdens een werkdag rebooten indien benodigd (dan zijn we toch aanwezig en paraat indien er onverhoopt iets fout gaat tijdens/na de reboot). Zoiets kan wellicht ook?

zondag 14 januari 2018 14:48

Acties:

0 Henk 'm!

starfight

Topicstarter

DarkSide schreef op zondag 14 januari 2018 @ 14:44:
[...]

Dat zijn altijd leuke eisen. Wij hebben ook op sommige zaken 100% uptime.
Maar dat kan gewoon niet. Niet alles is geclusterd bv. Of willen ze niet voor betalen.

Dus komen daar exceptions in het contract. Dat bepaalde reboots niet mee gelden in de uptime meting bijvoorbeeld.
Iets met voor een duppeltje op de eerste rij willen zitten.

Houdt ook rekening met meltdown etc. Dit zorgt voor extra onderhoud en patching.
Want als ze niet patchen en reboten moeten ze ook niet klagen dat er wel 24/7 opgenomen is.
Maar ondertussen op afstand wel hun klantenbestand gestolen is vanwege een niet gepatche vulnarability

Deze staan niet op hetzelfde systeem natuurlijk, het enige wat dit systeem doet (in deze usecase)is camerabeelden opnemen.

securitypatches worden wel toegepast wanneer nodig in samenspraak met de klant (1000+ systemen bij intel management engine probleem etc). maar om de 7 maanden een feature update die niet NODIG is zijn klanten niet akkoord mee.

zondag 14 januari 2018 14:53

Acties:

+1 Henk 'm!

ThinClientQ

Windows Update uitzetten in services.msc, probleem opgelost.
Advies is dan wel om periodiek, in advies met de klant, updates uit te voeren.

Dat nog niet niemand deze informatie heeft gepost is mij een raadsel.

zondag 14 januari 2018 14:58

Acties:

0 Henk 'm!

McKaamos

Master of the Edit-button

Wat voor videostream komt er uit die camera's?

Misschien moet je eens gaan kijken naar het verwerken van de videostreams via een andere machine. Of beter nog, een clustertje.

Ik stel voor:
Twee compacte Linux machines, met zuinige hardware.
NginX er op, ingesteld om dienst te doen als loadbalancing proxy.
Ze kunnen dan naar elkaar overdragen als een van beide plat gaat.
NginX is namelijk in staat om TCP en streaming video te proxyen/loadbalancen.

De streams van de camera's wijs je dan naar de proxycluster.

Dan neem je twee Windows 10 machines die beide alle camera's opnemen, maar nemen de stream af van de Linux machines (die dus dienst doen als loadbalancing proxy).
Dan stel je de zogeheten 'Active Hours' van Win10 op de ene machine in op 00:00-12:00 en de ander van 12:00-24:00.
Dan reboot de ene snachts en de ander overdag, maar gecombineerd heb je wel 100% coverage met opnames.

En stel dat de Linux machines moeten rebooten, dan reboot je eerst de ene, en dan de andere.
Ze zullen dan onderling loadbalancen, waardoor je nooit je connectiviteit met de camera's verliest richting je Windows machines.

Iemand een Tina2 in de aanbieding?

zondag 14 januari 2018 15:10

Acties:

+1 Henk 'm!

TheBorg

Resistance is futile.

McKaamos schreef op zondag 14 januari 2018 @ 14:58:
Wat voor videostream komt er uit die camera's?

Misschien moet je eens gaan kijken naar het verwerken van de videostreams via een andere machine. Of beter nog, een clustertje.

Ik stel voor:
Twee compacte Linux machines, met zuinige hardware.
NginX er op, ingesteld om dienst te doen als loadbalancing proxy.
Ze kunnen dan naar elkaar overdragen als een van beide plat gaat.
NginX is namelijk in staat om TCP en streaming video te proxyen/loadbalancen.

De streams van de camera's wijs je dan naar de proxycluster.

Dan neem je twee Windows 10 machines die beide alle camera's opnemen, maar nemen de stream af van de Linux machines (die dus dienst doen als loadbalancing proxy).
Dan stel je de zogeheten 'Active Hours' van Win10 op de ene machine in op 00:00-12:00 en de ander van 12:00-24:00.
Dan reboot de ene snachts en de ander overdag, maar gecombineerd heb je wel 100% coverage met opnames?

En stel dat de Linux machines moeten rebooten, dan reboot je eerst de ene, en dan de andere.
Ze zullen dan onderling loadbalancen, waardoor je nooit je connectiviteit met de camera's verliest richting je Windows machines.

Serieus ja? Het gebeurd gewoon te vaak op Tweakers dat er wordt afgeweken van de vraag of er wordt geadviseerd om op elk continent racks vol servers neer te flikkeren om een private could te bouwen terwijl het met een USB stick ook zou kunnen. Heb je je al afgevraag wat het kost om je oplossing toe te passen? We hebben het hier over MKB die dat niet kunnen betalen. Is er binnen het bedrijf wel Linux kennis aanwezig? De load balancer hoeft nooit gepatched te worden? Is het niet gewoon mogelijk om met twee Windows machines de stream tegelijk op te nemen.

ThinClientQ schreef op zondag 14 januari 2018 @ 14:53:
Windows Update uitzetten in services.msc, probleem opgelost.
Advies is dan wel om periodiek, in advies met de klant, updates uit te voeren.

Dat nog niet niemand deze informatie heeft gepost is mij een raadsel.

Ik sluit me hier bij aan. Een andere oplossing zie ik ook niet.

zondag 14 januari 2018 15:12

Acties:

0 Henk 'm!

Croga

The Unreasonable Man

starfight schreef op zondag 14 januari 2018 @ 14:41:
Het gaat net om die 1-2% van de klanten voor wie dat geen optie is, en updaten wanneer het bedrijf gesloten is zou al helemaal geen optie zijn natuurlijk, maar ik begrijp wat je bedoelde

Ah! Perfect!
Alle tijd die jij hier nu aan besteed hebt is al duurder geweest dan het geld wat je aan die klanten verdient. De enige juiste, commerciele en economische, optie is tegen deze klanten zeggen dat ze een andere leverancier moeten zoeken. Jullie systemen zijn hier simpelweg niet geschikt voor.

zondag 14 januari 2018 15:15

Acties:

0 Henk 'm!

starfight

Topicstarter

Croga schreef op zondag 14 januari 2018 @ 15:12:
[...]

Ah! Perfect!
Alle tijd die jij hier nu aan besteed hebt is al duurder geweest dan het geld wat je aan die klanten verdient. De enige juiste, commerciele en economische, optie is tegen deze klanten zeggen dat ze een andere leverancier moeten zoeken. Jullie systemen zijn hier simpelweg niet geschikt voor.

Het is zondag, dus ik doe dit sowieso in mijn vrije tijd

Ik stel een simpele vraag en misschien is er een antwoord of manier die heel simpel uit te voeren is maar waar ik niet aan gedacht heb, maar blijkbaar is zoiets hier niet mogelijk

zondag 14 januari 2018 15:24

Acties:

+2 Henk 'm!

Brilsmurfffje

Parttime Prutser

Ik zou overstappen op een LTSB versie van Windows, die zijn al in zijn geheel een stuk kaler en het voordeel daarvan is dat er 1x per jaar een nieuwe versie uitkomt en je gemakkelijk oude images bij Microsoft vandaan kunt plukken.

De machine dan met Hyper-V uitrollen en Device Guard configureren. Dan kan je alleen vooraf goedgekeurde software draaien. Normaal is dit een vrij groot gedoe maar aangezien deze systemen zeer specifiek zijn moet dit te doen zijn.
https://docs.microsoft.co...ce-guard-deployment-guide

Dan kan je daarna de updates uitzetten en periodiek in samenspraak met de klant handmatig de machine een schop geven naar een nieuwe versie. In ieder geval hoef je dan niet meer bang te zijn voor maleware omdat dat simpelweg niet kan draaien.

zondag 14 januari 2018 15:24

Acties:

0 Henk 'm!

Room42

starfight schreef op zondag 14 januari 2018 @ 14:41:
[...]

Het gaat net om die 1-2% van de klanten voor wie dat geen optie is, en updaten wanneer het bedrijf gesloten is zou al helemaal geen optie zijn natuurlijk, maar ik begrijp wat je bedoelde

Mooi! Dan kunnen net die 1-2% van de klanten wél een redundant systeem kopen.
Een ongepatchte Windows-machine in je netwerk(!) met internet verbonden(!!) is een nog veel groter bedrijfsrisico. Dat je dat überhaupt aan wilt bieden vind ik al dom. Neem jij de schade op je als blijkt dat juist het beveiligingssysteem het lek in het netwerk betrof?

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

zondag 14 januari 2018 15:52

Acties:

0 Henk 'm!

Tralapo

McKaamos schreef op zondag 14 januari 2018 @ 14:58:
Wat voor videostream komt er uit die camera's?

Misschien moet je eens gaan kijken naar het verwerken van de videostreams via een andere machine. Of beter nog, een clustertje.

Ik stel voor:
Twee compacte Linux machines, met zuinige hardware.
NginX er op, ingesteld om dienst te doen als loadbalancing proxy.
Ze kunnen dan naar elkaar overdragen als een van beide plat gaat.
NginX is namelijk in staat om TCP en streaming video te proxyen/loadbalancen.

De streams van de camera's wijs je dan naar de proxycluster.

Dan neem je twee Windows 10 machines die beide alle camera's opnemen, maar nemen de stream af van de Linux machines (die dus dienst doen als loadbalancing proxy).
Dan stel je de zogeheten 'Active Hours' van Win10 op de ene machine in op 00:00-12:00 en de ander van 12:00-24:00.
Dan reboot de ene snachts en de ander overdag, maar gecombineerd heb je wel 100% coverage met opnames.

En stel dat de Linux machines moeten rebooten, dan reboot je eerst de ene, en dan de andere.
Ze zullen dan onderling loadbalancen, waardoor je nooit je connectiviteit met de camera's verliest richting je Windows machines.

Er zijn kerncentrales en centrale banken die hun camerafeeds met minder heisa dan dit inrichten. Laat staan de schoenenwinkel om de hoek.

Misschien kun je ze aanraden deze automatisch af te laten gaan op de momenten dat de PC moet rebooten, dan heb je namelijk toch niets aan de beelden.

[ Voor 6% gewijzigd door Tralapo op 14-01-2018 15:55 ]

zondag 14 januari 2018 16:02

Acties:

0 Henk 'm!

Raven

Marion Raven fan

Brilsmurfffje schreef op zondag 14 januari 2018 @ 15:24:
Ik zou overstappen op een LTSB versie van Windows, die zijn al in zijn geheel een stuk kaler en het voordeel daarvan is dat er 1x per jaar een nieuwe versie uitkomt en je gemakkelijk oude images bij Microsoft vandaan kunt plukken.

Een keer per 2 jaar, al wordt het deze keer 3 jaar lijkt het. 2016 was de laatste, in 2019 komt de volgende grote update pas.

After the first glass you see things as you wish they were. After the second you see things as they are not. Finally you see things as they really are, and that is the most horrible thing in the world...

Oscar Wilde

zondag 14 januari 2018 16:35

Acties:

+2 Henk 'm!

DJMaze

starfight schreef op zondag 14 januari 2018 @ 14:21:
Helaas moet het wel windows zijn, de software die wij leveren met een licentiekost van 100 euro per camera heeft namelijk geen linux versie, en daar komt bovenop da een eindgebruiker in 90% van de gevallen niet met linux kan werken.

Ik voel hier een aantal rare dingen:

Gebruikers zouden niet moeten kunnen rommelen met een camera systeem, die gebruiken een remote desktop client
Alleen technische beheerders mogen rommelen in een camera systeem
Jullie hebben het systeem lang geleden gekozen toen Windows 10 nog niet bestond (en dus geen auto-reboot),
en/of jullie technische kennis van Windows is niet goed genoeg,
en/of jullie hebben het systeem nooit uitvoerig getest toen er werd overgegaan van Windows 7 naar Windows 10
Er is niet goed gekeken naar alternatieven die draaien op mission-critical OS'en zoals Linux, BSD en QNX
Er is niet met de klant besproken dat Windows 10 af en toe moet herstarten en de stream er niet is

Tijd om je bedrijfsproces eens te herzien?

Maak je niet druk, dat doet de compressor maar

zondag 14 januari 2018 16:45

Acties:

0 Henk 'm!

starfight

Topicstarter

DJMaze schreef op zondag 14 januari 2018 @ 16:35:
[...]

Ik voel hier een aantal rare dingen:
Gebruikers zouden niet moeten kunnen rommelen met een camera systeem, die gebruiken een remote desktop client
Alleen technische beheerders mogen rommelen in een camera systeem
Jullie hebben het systeem lang geleden gekozen toen Windows 10 nog niet bestond (en dus geen auto-reboot),
en/of jullie technische kennis van Windows is niet goed genoeg,
en/of jullie hebben het systeem nooit uitvoerig getest toen er werd overgegaan van Windows 7 naar Windows 10
Er is niet goed gekeken naar alternatieven die draaien op mission-critical OS'en zoals Linux, BSD en QNX
Er is niet met de klant besproken dat Windows 10 af en toe moet herstarten en de stream er niet is
Tijd om je bedrijfsproces eens te herzien?

Dit is geen antwoord op mijn vraag, het gaat hier ook niet om grote bedrijven waar we standaard redundant servers zetten en een update schedule hebben en effectief on-site-support bieden, maar op een pc'tje dat bij een bakker staat met 4 tot 8 cameras, en waarvoor we geen 24/7/365 support kunnen bieden, De software die wij uitvoerig getest, vergeleken en mee ontwikkeld hebben draait enkel op windows, daar kunnen wij nu eenmaal niet onderuit, omdat we dan voor alle klanten van de laatste 10 jaar ook ofwel nieuwe software moeten installeren en aanleren, of met 2 systemen werken, wat supportsgewijs ook geen goede oplossing is.

Het gaat om ene klein percentage van de klanten die niet wil dat hun pc herstart zonder dat het absoluut nodig is, en natuurlijk geven wij aan hun ook wel aan dat het niet aangeraden is en dat het beveiligingsrisicos met zich gaat meebrengen, maar het enige wat ik vraag is om voor deze 25-50 klanten per jaar voornamelijk feature updates kan blokkeren.

zondag 14 januari 2018 17:03

Acties:

+2 Henk 'm!

DJMaze

@starfight ik begrijp je wel hoor, maar zo werkt de wereld niet.
Ik ontwikkel een PMS en dankzij Spectre waren er twee klanten met een server op AMD CPU met Windows 10 met de bekende BSOD.
Ik moest ze per direct naar hun IT leverancier sturen omdat hun bedrijf plat ligt totdat er een werkende server is.
Geen reboot is geen optie vanwege PCI-DSS en meer verplichtingen.

Daarop heb ik binnen 1 week een PMS versie ontwikkelt die ook op GNU/Linux werkt in WINE.
Niet omdat de klant dat wil, maar omdat bedrijfskritieke systemen gewoon niet offline mogen.
Sindsdien monitoren wij ook de servers en krijg ik via XMPP een bericht als een server langer dan 10 minuten offline is.
Er zijn namelijk ook klanten die hun Windows10 in "de cloud" draaien en dan bij het inloggen een nieuwe RDP instance krijgen te zien met een nieuwe netbios.
Aangezien 1 PC als "server" dient gaat het daar ook fout als de "computernaam" wijzigt door die instance.

Dus ja, wij veranderen constant mee met wat er gebeurt in de wereld.
Stilstand is achteruitgang

[ Voor 3% gewijzigd door DJMaze op 14-01-2018 17:06 ]

Maak je niet druk, dat doet de compressor maar

zondag 14 januari 2018 17:49

Acties:

0 Henk 'm!

TheBorg

Resistance is futile.

DJMaze schreef op zondag 14 januari 2018 @ 17:03:
@starfight ik begrijp je wel hoor, maar zo werkt de wereld niet.
Ik ontwikkel een PMS en dankzij Spectre waren er twee klanten met een server op AMD CPU met Windows 10 met de bekende BSOD.
Ik moest ze per direct naar hun IT leverancier sturen omdat hun bedrijf plat ligt totdat er een werkende server is.
Geen reboot is geen optie vanwege PCI-DSS en meer verplichtingen.

Daarop heb ik binnen 1 week een PMS versie ontwikkelt die ook op GNU/Linux werkt in WINE.
Niet omdat de klant dat wil, maar omdat bedrijfskritieke systemen gewoon niet offline mogen.
Sindsdien monitoren wij ook de servers en krijg ik via XMPP een bericht als een server langer dan 10 minuten offline is.
Er zijn namelijk ook klanten die hun Windows10 in "de cloud" draaien en dan bij het inloggen een nieuwe RDP instance krijgen te zien met een nieuwe netbios.
Aangezien 1 PC als "server" dient gaat het daar ook fout als de "computernaam" wijzigt door die instance.

Dus ja, wij veranderen constant mee met wat er gebeurt in de wereld.
Stilstand is achteruitgang

Een update verwijderen is meer werk dan, voor maar twee klanten notabene, de software klaar maken voor Wine en Linux op de servers installeren?

En wat is verder je suggestie? Wine installeren? Linux hoeft nooit te rebooten?

Ik ben een groot fan van Linux, zie screenshot boven, maar ik zou niet weten waarom je een camera systeem niet op Windows kan draaien.

zondag 14 januari 2018 18:04

Acties:

+1 Henk 'm!

TheVMaster

Moderator WOS

starfight schreef op Sunday 14 January 2018 @ 16:45:
[...]

Dit is geen antwoord op mijn vraag, het gaat hier ook niet om grote bedrijven waar we standaard redundant servers zetten en een update schedule hebben en effectief on-site-support bieden, maar op een pc'tje dat bij een bakker staat met 4 tot 8 cameras, en waarvoor we geen 24/7/365 support kunnen bieden, De software die wij uitvoerig getest, vergeleken en mee ontwikkeld hebben draait enkel op windows, daar kunnen wij nu eenmaal niet onderuit, omdat we dan voor alle klanten van de laatste 10 jaar ook ofwel nieuwe software moeten installeren en aanleren, of met 2 systemen werken, wat supportsgewijs ook geen goede oplossing is.

Het gaat om ene klein percentage van de klanten die niet wil dat hun pc herstart zonder dat het absoluut nodig is, en natuurlijk geven wij aan hun ook wel aan dat het niet aangeraden is en dat het beveiligingsrisicos met zich gaat meebrengen, maar het enige wat ik vraag is om voor deze 25-50 klanten per jaar voornamelijk feature updates kan blokkeren.

Volgens mij is het enige antwoord (voor wat betreft Windows 10) de LTSB versie installeren. Deze versie is juist bedoelt voor 'bedrijfskritische' systemen, al vraag ik me persoonlijk wel af wat voor klanten dat dan zijn dat een systeem niet offline zou mogen zijn voor patches?

Hoe ga je overigens om met de maandelijke quality updates dan? Of worden die ook niet geinstalleerd?

Nogmaals....LTSB....en anders ga je zaken doen die niet gesupport worden waar je waarschijnlijk potentieel meer 'gedoe' mee gaat krijgen.

zondag 14 januari 2018 19:12

Acties:

0 Henk 'm!

DJMaze

TheBorg schreef op zondag 14 januari 2018 @ 17:49:
Een update verwijderen is meer werk dan, voor maar twee klanten notabene, de software klaar maken voor Wine en Linux op de servers installeren?

En wat is verder je suggestie? Wine installeren? Linux hoeft nooit te rebooten?

Een update terug draaien als hij niet start is lastig. Het is inderdaad wel minder werk dan dat ik een GNU/Linux server in elkaar zet.
Echter zijn er meer factoren in het spel om zo'n keuze te maken.
En Linux hoeft inderdaad niet te rebooten, je wisselt van kernel of doet een live-patch in 4.x
Daarnaast kan je, als de reboot mislukt, een oude kernel opstarten zodat het systeem wel werkt.
Tevens, zijn er klanten die nog Windows 7 gebruiken en helemaal niet Windows 10 willen en dan liever overstappen op een ander OS.
etc.

Maak je niet druk, dat doet de compressor maar

zondag 14 januari 2018 19:24

Acties:

0 Henk 'm!

SMSfreakie

unpatched OS.. even een backdoor gebruiken om een loop te maken, of de camera's gewoon even niet te laten opnemen..

toko leegroven... en je bent terug bij af..

404 Signature not found

zondag 14 januari 2018 20:43

Acties:

0 Henk 'm!

matsuba

Al eens gekeken om een buffer in te schakelen op de meest kritische camera's? Mocht er toch een reboot zijn, dat zodra de server online is deze direct kan worden gefuseerd?

Pagina: 1

Reageer