Alle Aktivitäten

Wenn ich nun die GPO aktiviere, ziehen die DCS sich sofort ein neues Zertifikat obwohl das jetzige noch Monate lang aktiv ist? Wird zumindest hier https://www.escde.net/blog/dc-zertifikat-autoenrollment-teil-1 so beschrieben, dass man auf der Vorlage "Automatisch Registrieren" herausnehmen soll Wann setzt man das Recht auf Automatisch Registrieren dann wieder? P.S. Warum die GPO nicht aktiv ist, weiß ich nicht. Ich habe das Zertifikat selber auch nicht ausgestellt bzw. die Vorlage erstellt

Ja, musst du. Gibts Gründe, warum du die Optionen deaktiviert hast?

Hi, ich habe die Vorlage Kerberos Authentifizierung dupliziert. Folgende Eigenschaften: Server - und Client Authentifizierung, Smart Card und KDC Authentifizierung. SAN nicht aktiviert.. sprich Name kommt aus dem AD. Also müsste ich in dem Fall die GPO aktivieren?

Hi, wenn du eh schon dran bist, auf welcher Vorlage basiert denn das Zertifikat, welches deine DCs nutzen? Wenns Domaincontroller ist, dann brauchst du nichts tun, denn das ist hardcoded für die Erneuerung. Es wird allerdings nicht mehr empfohlen, sondern verwende lieber die Vorlage für die Kerberos-Authentifizierung. Für das musst du dann natürlich die Automatische Registrierung in der Vorlage aktivieren und den Enrollmentclient aktivieren.

Hallo, ich habe auf unseren DCs jeweils ein Domänenzertifikat für LDAPS aktiviert. Läuft dieses Jahr aus. Würde gerne das Auto Enrollment für diese beiden aktivieren, falls man es doch mal vergisst manuell zu verlängern. Die Domaincontroller haben das recht "Registrieren" und "Automatisch Registrieren" Allerdings fehlt noch die GPO unter Computer Konfiguration > Windows Settings > Sicherheitseinstellungen > Richtlinien für automatische Schlüssel -> Automatische Registrierung Muss die GPO heutzutage noch aktiviert werden, oder reicht die Berechtigung "Automatisch Registrieren" auf der Zertifikatsvorlage? Gibt es etwas, was dagegen spricht, das AutoEnrollment für die DC-Zertifikate zu aktivieren? Danke Euch Edit: Wenn ich jetzt die GPO aktiviere, würden die DCs sich sicherlich direkt ein neues Zertifikat ziehen? Nehme ich denen dann das Recht "Automatisch Registrieren" raus? Jemand eine Idee, wie man das am besten macht?

Viel Erfolg! 👍

Kaffe kann ich gut gebrauchen. Habe gleich ein Meeting.

Moin an Board, so starten wir dann in eine neue, spannende Woche, die letzte im Oktober - ich koche Kaffee Allen einen guten Montag, bleibt gesund! Hier derzeit Nieselregen bei 9°C, der Tag bleibt regnerisch bis etwa 11°C Am Freitag Helloween…

Ich diskutiere nicht mehr mit dem DL. Jeder ist dort für was Anderes zuständig, aber nie für das aktuelle Problem.

Moin, sowas in der Art? https://www.davidpashley.com/articles/automatic-proxy-configuration-with-wpad/

Hallo zusammen. Ich bin auf der Suche nach einem Template für die Proxy Konfiguration in Win Server 2016/2019/2022. Hintergrund: Ich möchte erreichen dass nur bei bestimmten Webseiten der Proxy genutzt wird und ALLES ANDERE seinen normalen weg ohne Proxy geht. Ist dafür ein Skript der richtige weg oder gibt es sonst Möglichkeiten das zu bewerkstelligen ? Die Anzahl Webseiten für die der Proxy verwendet werden liegt im 1 stelligen Bereich... Grüße GTR

Willkommen in der NORMALzeit! Wieder halbwegs im Einklang mit dem globalen Rhytmus. VG Damian

Willkommen in der Winterzeit ! Alle Zeitumstellungen abgeschlossen Gleich geht es los zurück nach Hause 🏠 Bis Montag…

Naja dann steht er ja auch nicht direkt im netz (quasi). ;)

Das hatten wir mal gemacht für Genehmigungen, aber da war ein Reverse Proxy mit Cert Preauth davor.

https://www.heise.de/news/WSUS-Luecke-Bereits-Attacken-beobachtet-10899799.html gibt’s wirklich Leute die den internen wsus ins Internet veröffentlichen und ihre eigenen Clients damit versorgen? Ich mein, ja ist bequem, aber ich hätte da auch vor dieser Lücke definitiv kein gutes Gefühl gehabt.

Habe gerade festgestellt, das überhaupt kein DC installiert war Füge ich jetzt einmal nachträglich hinzu, kann mich ja austoben weil ich mit dem geklonten System arbeite. Lernen ist immer gut. Der Hersteller und auch meine Meinung ist, das WIN11 Pro völlig ausreichend ist. Ich wollte eigentlich ein System mit 2x NVME Raid1 und eine zusätzlich WD RED oder Plus als Backuplösung zusätzlich zum Bandlaufwerk aufsetzen. Dafür möchte ich aber kein Gaming Board von ASUS benutzen. Also weiter umsehen, was es an bootfähigen Raid Controllern gibt. Das bedeutet aber eine Neuinstallation und die Pfade an den Clients anpassen. Kann ich aber nicht entscheiden und Chef liegt in der Sonne.

Moin, wenn es nur drei Clients sind, kann man sich den Zauber mit dem zusätzlichen DC vielleicht auch sparen. Einfach auf dem neuen Server ein neues AD installieren, die Daten kopieren, die Anwendung installieren. Die drei Clients dann eben neu aufnehmen. Falls dort Daten in den Profilen der früheren Anmeldekonten gespeichert sind, kommt man da mit Adminrechten lokal ran und kann die in die neuen Profile verschieben. Ob das grundsätzlich funktioniert, weiß man in ca. 2 Stunden. Die Chance ist groß. Falls doch nicht, dann gilt der Weg von Evgenij im Groben. Gruß, Nils

Moin, das ist alles irgendwie sehr konfus. Wenn nur Clients dieses Programm aus einer Freigabe starten, muss es doch nach dem Umzug lediglich diese Freigabe wieder geben, idealerweise unter demselben Namen. Nun habe ich Foundation nicht mehr so im Kopf, glaube aber mich zu erinnern, dass er zwingend Domain Controller sein muss. Somit hast Du ein Active Directory, in dem (wieder Annahme) die Clients Mitglied sind. Wenn das alles zutrifft, sähe die Migration wie folgt aus: BACKUP!!!!!! Server 2019 wird zur Domäne hinzugefügt und zum DC hochgestuft Datenordner werden per Robocopy kopiert und unter den gleichen Namen freigegeben FSMO-Rollen werden vom 2012R2 auf 2019 verschoben, der 2012R2 heruntergestuft und aus der Domäne entfernt, danach vom Netz getrennt oder zumindest umbenannt. Server 2019 wird gemäß Rename Domain Controller - Der Windows Papst - IT Blog Walter in den Namen des 2012R2 umbenannt Theoretisch müssten die Clients die Anwendung wieder finden und auch aufrufen können. Wenn jetzt auf dem 2012R2 ein Datenbankserver irgendeiner Art läuft (SQL, Firebird, MySQL, was weiß ich), dann lass lieber den Hersteller der Anwendung die Migration machen. Das werden wir hier im Forum nicht gelöst bekommen.

Die Daten und Rollen müssen erhalten bleiben. Der Hersteller der installierten Software muss ein Update machen und da sehr viele Kundendaten usw. in der / einer Datenbank sind, dürfen die auf keinen Fall verloren gehen. Eine Neuinstallation über den Support ist preislich gesehen unangemessen hoch und ich müsste dann auch alle anderen Rechner bearbeiten. So blöde wie Foundation damals eigerichtet wurde müssen wir trotzdem erst einmal auf 2019 Standart kommen. Es soll später auch von 2019 auf 2025 ein Upgrade gemacht werden. Im Augenblick kann ich aber nur ein MB nehmen, wo es Treiber für Win8 und Win10 gibt. Deswegen wird nach dem endgültigen EOL von Server 2019 das ganze Spiel noch einmal mit Server 2025 oder neuer gemacht.

Ok, danke euch. So hatte ich das jetzt gar nicht gesehen, macht aber Sinn. Anders wäre es auch irgendwie komisch gewesen, aber bei MS weiß man ja nie

Noch einer

Genau so interpretiere ich das auch. Was ja auch vollkommen logisch ist. Es bezeichnet eben den Fall, dass jemand meint er wäre jetzt nicht betroffen weil er keinen WSUS nutzt und 2 Wochen später kommt Kollege Schnürschuh auf die Idee jetzt den WSUS auf diesem "nicht gepatchten" Server in Betrieb zu nehmen und macht damit die RCE Lücke auf.

Ich lese das eher als Warnung für Admins: Wenn man einen Server hat und das Update nicht installiert hat, weil der bisher nicht die WSUS Rolle hatte, und jetzt die WSUS Rolle aktiviert ist der Server angreifbar. Ich lese da nicht raus, das zur Installation des Patches die Rolle deinstalliert werden müsste.

Hallo zusammen, es gibt eine schwerwiegende Sicherheitslücke im WSUS https://www.heise.de/news/Microsoft-WSUS-Notfallupdate-stopft-kritische-Codeschmuggel-Luecke-10845666.html https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-59287 Was mich wundert ist folgende Aussage von MS Heißt das jezt, dass ich die WSUS Rolle vorher deinstallieren muss, dann fix installieren und dann wieder die Rolle installieren? Oder verstehe ich das falsch?