Ich greife mal ein potentielles Thema auf, was mir vor einigen Tagen bereits unter die Augen gekommen ist. In Windows gibt es die Funktion "Delivery Optimization", um Updates besser auf Clients zu verteilen. Ein Nutzer hat sich, nachdem er bei einer RDP-Sitzung in Probleme lief, diese Funktion genauer angesehen und einen "Speicherfresser" gefunden.
Was ist Delivery Optimization in Windows?
Windows-Updates, Upgrades und Anwendungen können Pakete mit großen Dateien enthalten. Das Herunterladen und Verteilen dieser Updates kann auf den empfangenden Geräten erhebliche Netzwerkressourcen beanspruchen.
Um diesen "Flaschenhals" zu entschärfen, hat Microsoft die Delivery Optimization in Windows 10 eingeführt und führt diese in Windows 11 fort. Es ist eine Funktion, bei der Windows-Clients die Update-Pakete, statt von den Microsoft Servern, auch von alternativen Quellen (z. B. anderen Geräten im Netzwerk und/oder einem dedizierten Cache-Server) herunterladen können.
Durch die Delivery Optimization (deutsch Bereitstellungsoptimierung) lässt sich auch der Bandbreitenverbrauch reduzieren, indem die Arbeit des Herunterladens dieser Update-Pakete auf mehrere Geräte verteilt wird. Die Verwendung von Peer-to-Peer-Verbindungen, um Updates zu beziehen, ist jedoch optional.
Microsoft gibt an, dass, um entweder die Peer-to-Peer-Funktionalität oder die Microsoft Connected Cache-Funktionen nutzen zu können, die Geräte über einen Internetzugang und Zugriff auf die Cloud-Dienste der Bereitstellungsoptimierung verfügen müssen. Ist die Bereitstellungsoptimierung für die Verwendung von Peers und Microsoft Connected Cache konfiguriert, stellt der Client eine parallele Verbindung zu Connected Cache und Peers her, um die bestmögliche Bereitstellung von Inhalten zu erzielen. Können die gewünschten Inhalte nicht von Connected Cache oder Peers abgerufen werden, greift die Delivery Optimization (Bereitstellungsoptimierung) nahtlos auf die HTTP-Quelle zurück, um die angeforderten Inhalte von den Microsoft Internet-Servern abzurufen.
Die Bereitstellungsoptimierung (Delivery Optimization) lässt sich mit Windows Update, Windows Server Update Services (WSUS), Microsoft Intune/Windows Update-Clientrichtlinien oder Microsoft Configuration Manager (wenn die Installation von Express-Updates aktiviert ist) verwenden. Im Support-Beitrag Windows Update Delivery Optimization and privacy ist auch beschrieben, wie sich die Delivery Optimization über die Einstellungen unter Windows Update – Erweiterte Optionen – Übermittlungsoptimierung – Download von anderen Geräten zulassen abschalten lässt.
Delivery Optimization verursacht Speicherprobleme
Abseits der obigen Beschreibung Microsofts, was die Bereitstellungsoptimierung (Delivery Optimization) tolles tun kann, bin ich kürzlich aber auf die Schattenseiten gestoßen. Vor einer Woche hat ein Benutzer mit dem Alias Niff_Naff auf reddit.com den Beitrag Delivery Optimisation Memory Issue eingestellt (ist hier aufgefallen).
Der Nutzer hatte kürzlich das Problem, dass einer seiner Windows 11-Rechner über RDP nicht mehr reagierte. Nach dem Neustart schaute der Anwender in den Ereignisprotokollen nach und fand viele Ereignisse mit der ID 2004 (Windows hat erfolgreich einen Zustand mit geringem virtuellen Speicher diagnostiziert) vor. Dabei konnte der Anwender sehen, dass svchost.exe der Prozess war, der am meisten Speicher verbrauchte. Das ging manchmal bis zu 20 GB hoch und spiegelt sich auch wider, wenn die VM in Proxmox im Bezug auf den Speicherverbrauch überwachst wurde.
Der Betroffene hat dann beschlossen, die Speichernutzung für jede PID und jeden Dienstnamen grafisch darzustellen. Er hat dann obige Grafik gepostet, die den steigenden Speicherverbrauch dokumentiert. Es sieht so aus, schreibt Niff_Naff, als hätte DoSvc (Delivery Optimization) möglicherweise ein Speicherleck (ich tippe eher auf den Speicher-Cache, der gemäß dieser Anleitung gelöscht werden kann), und er glaubte nicht, dass er der Einzige mit dem Problem sei.
Auf reddit.com wurde schnell klar, dass es weitere Betroffene gibt und der Effekt tatsächlich durch die Delivery Optimization (Bereitstellungsoptimierung) verursacht wird, wie Benutzer cinepleex schreibt. Der Tread-Starter auf reddit.com schreibt, dass er nicht weiß, was die Ursache ist. Aber er hat die Delivery Optimization und den Dienst DoSvc gestoppt. Danach sei alles wieder normal, was auch von anderen Betroffenen bestätigt wird.
Aktuell kann ich nicht angeben, ob das Problem schon immer bestand, oder sich mit einem der letzten Updates in Windows 11 24H2 – 25H2 eingeschlichen hat. Unter Windows 10 ist mir das Problem bisher nicht untergekommen. Daher nur als Hinweis verorten, bei Problemen in dieser Ecke ggf. mal nachzuschauen.
MVP: 2013 – 2016
Bereitstellungsoptimierung = Übermittlungsoptimierung
unterhalb der Windows-Komponenten der Administrativen Vorlagen
Da kann die Übermittlungsoptimierung konfiguriert, aber nicht abgeschaltet werden. Oder ich habe was übersehen.
ja, hast du.
-> Download Mode, 0 http, no peering
In der Übermittlungsoptimierung (von Microsoft verwendete Übersetzung) in Windows 11 gibt es noch mehr Probleme.
Wir haben diese seit Jahren deaktiviert bzw per GPO auf Bypass (DODownloadMode 100) gestellt, weil sie teilweise zu unkontrollierbaren externem und internem Netzwerkverkehr führte (das war als man das Feature eingeführt hatte). Modus 100 wurde jedoch als veraltet erklärt (und war nicht nur wie im Support Artike erwähnt in Windows 11, sondern auch in Windows 10!!) was urplötzlich dazu führte dass Microsoft Teams nicht mehr aktualisiert wurde. Der dann gewählte alternative Modus 99 führte dann zu Problemen mit dem Download von Windows Updates, sodass es bei uns jetzt auf Modus 0 (http only) steht, was zwar theoretisch den Download von MS Connted Cache erlaubt, aber immerhin keine lokalen Cache anlegt.
Im Ergebnis ein katastrophaler Service der viel Kopftschmerzen verursacht hat.
Und im übrigen bin ich auch nicht Microsoft CDN, was denken die überhaupt??
Ich will den Versuch, die weltweite Bandbreite zu reduzieren, nicht kritisieren.
Du bist erst ein "Microsoft CDN" wenn Du die Daten aus dem eigenen Haus hinaus anderen bereitstellst, also ich denke, das ist eine Übertreibung.
Ordentliche Prügel verdient MS eher dafür, den WSUS nicht mehr weiter zu entwickeln.
Als ich eben am Heimrechner nachgeguckt thabe, war ich überrascht:
Ich hatte da mit Win10 im Jahr 2022 via gpedit.msc "0 = Nur HTTP" eingestellt,
jetzt ist da "100 = Umgehungsmodus" eingestellt.
(Nur interessant, falls andere auch sowas haben, mein Irrtum nicht ausgeschlossen.)
Ich mache da jetzt wieder 0 rein. Referenz:
[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\DeliveryOptimization]
"DODownloadMode"=dword:00000000
aka
"Computer/Administrative Vorlagen/Windows Komponenten/Übermittlungsoptimierung"
Downloadmodus = Nur HTTP (0)
Ich schätze, dass die riesigen Datensammlungen in C:\Windows\SoftwareDistribution\Download weniger werden.
(Diesen Download-Ordner lösche ich am Heimrechner in stillen Zeiten komplett manuell und habe nie Probleme bekommen.)
Oh man.
Hast du dich ersthaft mal mit DO beschäftigt anstatt manuell an deinem Windows Home Pc zu frickeln?
Dann wäre dir klar, dass die Service sehr wohl auch ausgehenden Datentransfer erlaubt und das im Zweifel nicht sehr knapp.
Das Thema kam erst richtig in Schwung als man auf CUs umgestiegen ist und MS eine Lösung finden musste die eigenen Server am Monatsanfang nicht zu überlasten.
Und nochmal: DoMode 100 ist veraltet und führt zu Problemen. Mode 99 bei uns auch (was ggf. eine Wechselwirkung mit anderen GPOs ist).
Die Kritik an WSUS kann ich nicht nachvollziehen. Es ist einfaches und wirksames Instrument zur Steuerung von Windows Updates im Netzwerk.
Wer mehr braucht kann auf SCCM setzen, mit welchem sich Updates auf die Minute steuern lassen und das sogar automatisch über entsprechende ADRs ohne monatlich einzugreifen. Darüber kann man auch entsprechende Stagings oder Rollout Gruppen (automatisch!) abbilden.
Nur Hotpatching geht glaube ich nicht, aber ist ohnehin nur für Enterprise und Server verfügbar.
Und wem das zu kompliziert ist, der setzt über GPO die Clients in die entsprechenden Update Ringe.
Oder steuert es über Intune, was sehr granular und ohne großen „DeepDive", lokale Hardware etc möglich ist.
Die letzten beiden Möglichkeiten ziehen die Updates von außerhalb des Netzwerks (zumindest ohne DO), aber das sollte heutzutage deutlich weniger ein Thema sein, als damals (TM) als man mit CUs angefangen hat.
Nö ich habe mich nicht ernsthaft mit DO beschäftigt, ich habe es überall via GPO auf 0 = HTML gesetzt und war davon ausgegangen, damit nur LAN-Querfunk und Cacheing zu vermeiden.
Meinen Heimrechner erwähne ich nur, weil ich dort die Daten abgelesen habe – ich hoffe, ich konnte Dir trotzdem Deinen nötigen Weihnachtswut-Ball zuspielen und will lieber nicht wissen was bei Dir los ist.
WSUS ist wertvoll und ich möchte MS dafür prügeln weil sie ihn nicht mehr weiter entwickeln und man via Cloud regulieren soll – das hast Du irgendwie falsch gelesen.
> Nö ich habe mich nicht ernsthaft mit DO beschäftigt,.
Ja gut dann einfach keine Falschbehauptungen.
> WSUS ist wertvoll und ich möchte MS dafür prügeln weil sie ihn nicht mehr weiter entwickeln
Was fehlt dir denn und warum? Unterlege es doch Ma ganz konkret fachlich was dir fehlt.
Die vielfältigen Möglichen sind doch oben beschrieben, auch ganz ohne Cloud.
Und ehrlicherweise wäre ich froh, wenn Microsoft Dinge einfach mal nicht weiterentwickeln würde. Einfach Sicherheitsupdates und fertig.
Alleine die Umstellung auf Windows 11 hat bei uns die die Anpassung von diversen Richtlinien notwendig gemacht.
Darunter undokumentierte Verhaltensänderungen (aka Verarbeitung von lokalen Richtlinien funktioniert nicht mehr, was die SCCM Updateverteilung verhindert), Behebung von Bugs (was wiederum zu Fehler geführt hat, weil „drumrumkonfiguriert" hatten) sowie neue Bugs (aka Erkennung des Netzwerks anhand von Netzwerkadresse funktioniert nicht mehr, was den Zugriff auf Netzwerkfreigaben verhindert, was wiederum zu Problemen mit SCCM Client Installation führt) und natürlich neue Funktionen (aka „Credential Gard" – kein automatische Wifi Anmeldung mehr möglich) .
Edit: oh nicht zu vergessen die Richtlinie/Reg Eintrag zur Deaktivierung des Tablet Modus wird nicht durchgesetzt, was in bestimmten Anwendungsfällen und darüberhinaus für einige Geräte grundsätzlich dazu führt dass man das per Hand an verschiedenen Stellen manuell ausschalten bzw. umschalten muss. Einige Geräte deswegen weil die Computer wegen schlampiger Treiber dauerhaft in Tablet Modus sind.
Die nicht mehr frei Verschiebbare Taskleiste (rechts, oben, links) ist dann nur noch das kleinste Problem (warum jemand das so benutzt, ist nicht relevant)
Nur mal um dir ein kleines Gefühl zu geben „was hier so los ist".
Gut, DO macht also ggf. grenzübergreifendes P2P. OK, glaube ich Dir, ich setze es immerhin überall auf 0.
WSUS ist gut wie er ist und ich brauche da keine Featuritis wie sie sonst überall aufgedrängt werden, richtig!
Aber die Zukunft abzukündigen ist kein gutes Signal, ich muss dabei an WDS in Kombi mit Win11 denken (ich trickse da, passt momentan).
Die GPOs überblicke ich im Moment ausreichend, werde aber bald wieder regelmäßig die ADMX-Files diffen wie in der groben Win10-Anfangszeit.
Wir kämpfen alle unsere Schlachten mit Win11, meine sieht anders aus, hat aber auch lauter hässliche Details und Überraschungen.
Gute Tage wünsch ich
> WSUS ist gut wie er ist und ich brauche da keine Featuritis wie sie sonst überall aufgedrängt werden, richtig!
Dann sind wir uns ja entsprechend einig :)
> WDS
Machen wir aktuell über SCCM – dafür würde man aber dafür würde man entsprechende Drittanbieter finden, z.B. iVentoy (bisher selbst nicht getestet)
> Die GPOs überblicke ich im Moment ausreichend
Das tue ich auch und durch eine entsprechende Untergliederung bin ich auch relativ schnell bei der problematischen Richtlinie, alleine durch Try&Error wenn es sein muss.
Wenn aber ein Bug in NCSI plötzlich dazu führt, dass die Computer nicht korrekt dem Netzwerk zugeordnet werden, was wiederum dazu führt, dass kein Zugriff via Netzwerkfreigabe möglich ist, dann hilft das leider auch alles nicht
-> https://www.reddit.com/r/sysadmin/comments/15y7u8q/windows_11_22h2_domain_unauthenticated_if_ncsi/?show=original
> Gute Tage wünsch ich
Danke gleichfalls & frohe Weihnachten.
> Credential Gard" – kein automatische Wifi Anmeldung
der ist nicht neu. den gibt es in der Form seit 1607 und hieß vorher IUM, isolated user Mode
ihr habt euer WiFi " falsch" konfiguriert, würdet ihr mit Zertifikat auf Maschinen Ebene arbeiten, statt User authentication mit Benutzerkennwort, gäbe es kein Problem.
jede alte(!) Benutzeranmeldung hat Probleme, da sie nicht wissen wie der Credential guard anzusprechen ist.
die Methoden wollen direkt zugreifen und genau das verhindert der CG, das ist sein Job, denn den Zugriff möchten auch die Bösen Jungs
> ihr habt euer WiFi " falsch" konfiguriert
Ich verstehe diese Wertung hier schon wieder nicht und sehe es anders. Vielleicht nicht mehr "State-of-the-art", aber sicher nicht "falsch".
> den gibt es in der Form seit 1607 und hieß vorher IUM, isolated user Mode
War bzw. ist unter Windows 10 (bis inkl. 19045) kein Problem.
Edit: Siehe auch noch den u.g. Link zu dem Hinweis von Microsoft "MSCHAPv2-based connections are subject to similar attacks as for NTLMv1. Windows 11 Enterprise, version 22H2 (build 22621) enables Windows Defender Credential Guard, which might cause issues with MSCHAPv2-based connections."
> statt User authentication mit Benutzerkennwort, gäbe es kein Problem.
Wir verwendeten bisher PEAP/EAP über das Computer Konto, was für unsere Zwecke vollkommen ausreichend war und da das Computer Konto in der Standardkonfiguration alle 30 Tage geändert wird auch hinreichend sicher ist.
Teilweise wird dies auch von Microsoft noch "unterstützt" oder sagen wir besser beschrieben (auf jeden fall aber nicht mehr empfohlen (siehe unten):
https://learn.microsoft.com/en-us/windows-server/networking/technologies/extensible-authentication-protocol/network-access?tabs=eap-tls%2Cserveruserprompt-eap-tls%2Ceap-sim
> die Methoden wollen direkt zugreifen und genau das verhindert der CG, das ist sein Job, denn den Zugriff möchten auch die Bösen Jungs
Genauer gesagt:
"Cause of the issue:
Applications and services are affected by the issue when they rely on insecure protocols that use password-based authentication. Such protocols are considered insecure because they can lead to password disclosure on the client or the server, and Credential Guard blocks them. Affected protocols include:
– Kerberos unconstrained delegation (both SSO and supplied credentials are blocked)
– Kerberos when PKINIT uses RSA encryption instead of Diffie-Hellman (both SSO and supplied credentials are blocked)
– MS-CHAP (only SSO is blocked)
– WDigest (only SSO is blocked)
– NTLM v1 (only SSO is blocked)
Note: Since only SSO is blocked for MS-CHAP, WDigest, and NTLM v1, these protocols can still be used by prompting the user to supply credentials."
Der letzte ist übrigens der, der mich zweifeln lässt, ob das hier wirkliche etwas bringt. Der Nutzer kann immer noch deine Daten händisch eingeben mit dem gleichen Ergebnis. Es wird eben nur die automatische Anmeldung verhindert.
"Resolution:
Microsoft recommends moving away from MSCHAPv2-based connections (for example, PEAP-MSCHAPv2 and EAP-MSCHAPv2), to certificate-based authentication (for example, PEAP-TLS or EAP-TLS). Credential Guard doesn't block certificate-based authentication.
For a more immediate, but less secure fix, disable Credential Guard. Credential Guard doesn't have per-protocol or per-application policies, and it can either be turned on or off. If you disable Credential Guard, you leave stored domain credentials vulnerable to theft."
"Tip: To prevent default enablement, configure your devices to disable Credential Guard before updating to a version which received default enablement. If the setting is not configured (which is the default state) and if the device is eligible, the device automatically enable Credential Guard after the update.
If Credential Guard is explicitly disabled, the device won't automatically enable Credential Guard after the update."
Na gut, dann wollen wir mal.
es ist keine Wertung. "falsch" in Anführungszeichen meint halt. das deine Kombination der Technik so nicht funktioniert.
wäre es "richtig", weil du das Empfinden hast, das es gehen sollte, würde es gehen.
ich habe sowohl unter 10 als auch 11 die Benutzer authentication in WiFi und anderen Komponenten bei aktivem CG scheitern sehen.
das es gehen sollte, ändert ja nichts am Ergebnis.
Falsch hat für mich etwas absolutes, bspw. deine Rechtschreibung inkl. Groß-/Kleinschreibung, Interpunktion, die klaren Regeln widerspricht.
Zweifelsohne scheint die gewählte Konfiguration so nicht mehr wie gewünscht kompatibel bzw. erst nach der Deaktivierung der gesamten „Virtualization-Based Security" (VBS) was langfristig nicht das Ziel sein sollte.
Der springe Punkt auf den ich eigentlich hinweisen wollte ist, dass durch die fortlaufende Anpassungen die Komplexität zunehmend (schneller) steigt. Wir sind eben keine Großorganisation, wo jede Release Note von Feature Updates erstmal durchgearbeitet wird, ob irgendeine gewählte Konfiguration dem entgegen steht.
An dieser Stelle beende ich aber die Diskussion und bedanke mich für den Austausch.
Deaktivierung geht auch als Administrator einfach über O&O ShutUp 10++: "Windows Update Peer-to-Peer deaktivieren"!