Alle Aktivitäten

@Weingeist Du stehst evtl. auf dem Schlauch, denn bei NTLM ist die Ressource dafür zuständig, die Authentifizierung durchzuführen, und sie sucht dann einen DC, falls es sich um einen Domänen-User handelt. Bei Kerberos spricht der Client ja *zuerst* mit dem KDC und besorgt sich ein TGT und dann daraus ein Service-Ticket, und erst dann tritt die Ressource in Aktion. Somit muss bei LocalKDC ja erst mal der Client überhaupt wissen, dass er die Ressource nach dem TGT fragen muss. Bei Windows werden sie es vielleicht irgendwie hinbiegen, als Fallback oder so, was dann vermutlich irgendeinen Angriffsvektor öffnet, an den vorher niemand gedacht hat. Bei einem Scan-To-Folder-Gerät hast Du vielleicht nur einen Fileserver und kannst ihn explizit als KDC eintragen. Was aber, wenn Du mehrere Fileserver hast, aber nur einen Eintrag für den KDC im Client-System, weil der Hersteller davon ausgeht, dass das ganze im AD steht, wenn es schon Kerberos machen will? Alles lösbare Probleme, die aber nicht einseitig durch MSFT gelöst werden können. Da muss die ganze Branche mit anpacken. Und dass Canon, die heute gar kein Kerberos können, morgen neben einem zentralen KDC auch noch LocalKDC spielen, ist eben illusorisch. Insofern wäre IAKerb meines Erachtens erst mal wichtiger, und wenn die ganzen Dritthersteller es sich angewöhnt haben, die Zielressource nach Kerberos zu fragen (IAKerb), *dann* könnte man für Workgroup-Ressourcen auch LocalKDC implementieren.

Livescribe und Wacom habe ich im Chat gefragt, nichts aktuelles ohne zusätzliche Hardware

Amazon sagt, dass LAMY auch sowas herstellt. Ob es was taugt? Da hilft wohl nur Youtube-Videos gucken,

Moin, die Geräteklasse nennt sich "Smart Pen". In Aktion habe ich sowas noch nicht gesehen, daher bin ich skeptisch, ob es wirklich belastbare Erfahrungen mit sowas gibt. Die Idee finde ich ganz hübsch. Gruß, Nils

Danke für die Antworten, ich möchte kein zusätzliches Gerät mitschleppen. Deswegen default Windows für egal welchen Rechner wäre ideal...

@cj_berlin Sehe noch nicht ganz die Problematik. Entweder meldet man sich mit EINEM User an EIN Ziel und somit EINEN lokalen KDC an oder man verwendet EIN Domänenkonte wo die Authentifzierung gegen MEHRERE Ziele (DC's) möglich ist. In beiden Fällen liefert der DNS doch die entsprechenden IP's der bzw. des Anmeldeservers für einen externen Zugriff. Bedingt natürlich, dass der zugreifende User nicht einfach ein Username sondern eben der vollständige Anmeldename ist. Also "user@domänexy.xy" oder "user@computer.domäne.xy". Oder "User@computer.xy". Ist kein DNS vorhanden müsste man eben die IP händisch mit angeben. So wie auch für NTLM wo sie einfach via Broadcast oder auch mit DNS ermittelt wird. Mit der Ressource selbst hat das ja erstmal nichts zu tun, das ist ja immer eine separate Angabe. Oder stehe ich auf dem Schlauch? Wie die ganze Vortrauenssache aussieht damit überhaupt eine geschützte und sichere Authentifizierung vorgenommen werden kann, steht wieder auf einem anderen Blatt. Aber da wird ja MS schon eine Idee haben wenn sie das implementieren. Dazu habe ich mich noch zu wenig damit beschäftigt. Vielleicht weiss ja Du dazu mehr? Ansonsten bin ich mal gespannt wie lange es geht bis die Malware-Entwickler so kreativ werden und die integrierten KI-Funktionen gleich für den Angriff zu nutzen. Könnte "interessant" werden. Hat etwas von der Büchse der Pandora. Ich würde jedenfalls lieber die Lizenzgebühren für ein reines, stabiles, sicheres OS bezahlen. Vielleicht lässt es sich dann ja auch easy entfernen. MS hat ja mittlerweile eine sehr gute Kapselung der Komponenten.

Mit digitalem Stift auf Normalpapier habe ich keine Erfahrung, aber ich verwende ein reMarkable. Das ist ein ePaper-Tablet. Das Schreibgefühl ist dank der nicht ganz glatten Oberfläche wie "echt".

Keine Ahnung. Sowas gibt es und funktioniert? Wie wäre es mit einem13" Ipad und Stift?

Hallo zusammen, wer kann mir hier einen Stift empfehlen, wo man parallel z.B. an Teams Meetings auf Normalpapier Notizen machen kann und diese dann am PC bzw. 2. Bildschirm verfügbar sind? Ebenso wäre es Klasse, damit auch im MS Whiteboard zeichnen zu können. Empfohlen wurde mir der Livescribe Echo2, App und Treiber aus den Rezessionen eher nicht so toll... Gruß Gill

Die Clients bekommen vom DHCP die IP-Adressen aus unserem Client-Netz zugewiesen und im DHCP stehen unsere beiden DNS drinnen (also der DC1 ->primär und der DC2 -> sekundär) Die Clients laufen überwiegend als LAN Geräte können aber auch übers WLAN arbeiten. Der DHCP ist für beide Fälle gleich nur der IP-Adressbereich außerdem die IP vergeben wird ist anders im WLAN

Moin und willkommen an Board, wie bekommen die Clients ihre IP, welcher DNS ist im DHCP?

Das ist eine Illusion. Dafür ist es ja notwendig, dass ein zugreifendes System davon ausgeht, dass der KDC identisch mit der Zielressource ist. Wenn IAKerb sich irgendwann herumgesprochen hat, werden manche Hersteller das als Standard oder als Konfigurationsoption übernehmen - Quasi Kerberos ohne explizite KDC-Angabe und ohne einen KDC Locator-Algorithmus. Bis dahin wird es auf Kommunikationsbeziehungen beschränkt bleiben, wo man EIN Ziel und EINEN KDC eintragen kann, dann ginge das.

Hallo zusammen. Wir haben im Moment ein Problem das auch zwei Notebooks keine GPOs mehr aktualisiert werden. (einer mit Windows 10 und einer mit Windows 11. Ich habe hier die Infos von dem Windows 11 Rechner gepostet weil die vom Windows 10 gleich sind was Errorcode und zugegriffen Dateien/Pfade angeht) Am Notebook kommt bei "gpupdate /force" folgender Fehler: Wir haben schon versucht von dem entsprechenden Notebooks auf den DC zuzugreifen in den sysvol Ordner was ohne Probleme funktioniert. Anderes Benutzerkonto verhält sich gleich, und rejoin in die Domäne (Objekt im DC gelöscht und dann wieder gejoint) brachte auch keine Besserung. Wenn ich mich mit einem Konto anmelde was an dem Rechner noch nie angemeldet war kommt nachdem der Desktop geladen wurde "Windows konnte Sie nicht anmelden...,ein ab und wieder anmelden kann das Problem beheben,... etc." Den Anmeldespeicher in Windows hatte ich Verdachtsweise auch mal geleert aber das Ergebnis bleibt. Die Replikation scheint auch zu funktionieren da das Objekt vom Notebook abgeglichen wurde auf den DC2 und unsere anderen Rechner (egal ob Windows 10 oder 11) alle normal sich die Gruppenrichtlinie ziehen Ist ein ähnliches Problem wie bei dem Beitrag: Dieser endet leider ohne wirkliche Lösung :( Wir sind so langsam an verzweifeln woher das Problem kommt weil wir nicht sehen was da falsch läuft auf den zwei Rechnern. Danke schon mal im Voraus @edit: Der Ansatz unter C:\Windows\System32\GroupPolicy\Machine die Datei Registry.pol umzubenennen/löschen hab ich auch schon durch. Leider keine Lösung.

Ja, sobald der geht, kannst im Grunde NTLM komplett in Rente schicken. Wie stark es tatsächlich ein Sicherheitsgewinn ist, kann ich nicht beurteilen, aber immerhin musst dann keine Ausnahmen mehr machen für NTLM. Zumindest solange andere Software-Hersteller zeitnah nachrüsten. Bis dahin kann bzw. sollte man es für Domänen-Konten deaktivieren und auf einzelnen Maschinen für lokale Konten zulassen.

Moin an Board, so starten wir nun in eine neu, spannende Woche - ich koche Kaffee Allen einen guten Montag, bleibt gesund! Hier sonnig bei 12°C, es wird ein schöner Tag bis etwa 21°C Könnte mal wieder regnen…

Hallo zusammen. es ging über die bekannten WLAN Verbindungen. Cool!!!! Danke!!!

Ja, aber der macht ja im Moment noch nix...

Hmmm ... na, zumindestens gibt es auf einem Server 2025 einen Dienst der sich "Kerberos Local Key Distribution Center" nennt. Meinst Du das?

Glatt überlesen: Nope, nochmals die Logik aktiviert: Die Binary vom halben OS austauschen geht nur, wenn Du in der Hälfte des Codes etwas nachrüstest und somit alle Files ersetzen musst. Denke so extrem viel neuer Code wirds wohl nicht sein aber ne Menge Datein denen was nachgerüstet wurde. Ich vermute es wird tendenziell nicht Local KDC sein, auch wenn das Cool wäre, könnte ich Canon mal wieder schreiben, dass es nun sogar mit "normalen" Computern geht... (die können immer noch kein Kerberos....)

@Damian @Nobbyaushb Hersteller Kermi, Lautstärke "auf der Straße nicht wahrnehmbar". Und im Haus eh nicht. 2 Meter Abstand seitlich kannst gemütlich dasitzen, sanftes Rauschen. Ist grad noch in der Einlauf-Phase, Wärmespeicher werden zum ersten Mal beheizt. Kermi scheint größer zu sein als ich vorher wußte - alles gescheit gemacht mit Cloud-Anbindung, .NET für Linux auf der Steuerung, egal wie Du zugreifst immer das gleiche Interface (inkl. App natürlich). Internes 10.0.0.0/27 Netz für Modbus TCP. Mein Gefühl bei der IT-Infrastruktur der Steuerung selbst und auch bei portal.kermi.com - da waren gute Leute am Werk, fühlt sich an wie "alle Hausaufgaben gemacht". Online-Account erstellen läuft quasi klassisch - Daten und Mailadresse eintragen, 2FA-Code per Mail. Dann Anlage hinzufügen über Seriennummer, das muß dann physisch an der Anlage bestätigt werden (auch wieder 2FA). Lokaler Zugriff geht per simplem PW, aber der funktioniert halt auch nur lokal - und ich stelle die IP meiner Heizung nicht ins Internetz 😂 Soll ja Menschen geben, die nicht wissen, was VPN ist.

Da schließe ich mich doch an. :) Viel Spaß und Erfolg.

Hallo Markus, das Leben geht weiter und man weiß nie, wohin es einen führt. Ich wünsche Dir viel Erfolg in deinem neuen Tätigkeitsbereich. VG Damian

Ja, über die bekannten WLAN Netze sollte das eigentlich machbar sein, solange die Umgebung um die es hier geht nicht dieselbe SSID haben. ;)

Ich habe hier leider gerade kein Windows-PC mit WLAN. Geht das eventuell über "Manage known Networks"? https://www.makeuseof.com/windows-manage-network-profiles/

Moin Ich sage dann mal leise tschüss - habe nach über 25 Jahren der Administration den Rücken gekehrt und arbeite seit Anfang des Jahres als IT-Berater. Habe somit mit Windows-Servern nichts mehr zu tun - nur noch mit IBM-Mainframes, zOS, JCL und viel Kundenkontakt. Das Board hat mir viel weiter geholfen und mich weiter gebracht. Auch der persönliche Kontakt zu einigen Membern war sehr gut. Die Treffen damals waren sehr interessant. Auch die CIM / ICE haben Spaß gemacht. Meine Prioritäten liegen jetzt aber woanders und somit bin ich weg - Tschüss und noch viel Spass Gruß vom Jadebusen Markus