Alle Aktivitäten

Hallo zusammen Ich bin da relativ pragmatisch - das was funktioniert wird genommen proxy.pac deshalb weil ich dort Ausnahmen definieren kann function FindProxyForURL(url, host) { if (isPlainHostName(host)) return "DIRECT"; else if (shExpMatch(host, "*mobile*")) return "PROXY 192.168.1.1:3128"; else return "DIRECT"; } Also - alles was nicht "mobile" im domain namen hat geht ohne proxy direkt online und alle mit "mobile" im Domain Namen geht über den proxy.. @testperson - wenn ich dich richtig verstehe dann würdest du es per Startup Script in die Reg des Users schreiben - richtig ?

Hi, ist das Thema nicht etwas aus der Mode gekommen? Ich würde hinterfragen, ob es eine proxy.pac oder ein Client-Script sein muss - oder ob es einen moderneren Ansatz gibt. VG

Hi, schreib es dann doch per Scrip. o.ä. in die Registry. Gruß Jan

Ich bin gespannt, ob jemand Ideen hat. Ich bin am Freitag wieder im Lande und kann mir das anschauen, ich habe mindestens ein Labor, wo das funktioniert. (Disclaimer: Funktionierte im Sommer). Es ist in dieser unseren Zeit nicht auszuschließen, dass einer der letzten Patchdays das kaputt gemacht hat, selbst wenn's im Sommer noch funktioniert hat.

Servus Die beiden WTS hängen nicht an einem Domändencontroller sondern laufen "stand allone" - ohne Domäne ... Geht das dann auch ?

Solange das File per HTTP abrufbar ist, kann man den Pfad dazu auch per GPO verteilen. IE Proxy Settings.

Hallo soweit schon mal so gut - ich habe noch ein paar quellen gefunden wie das proxy.pac file aussehen kann und mir das was zusammengebaut. Das klappt auch soweit ganz wunderbar ! Ich möchte das File aber nicht per DHCP ausrollen sondern irgendwie anders .. Ich suche daher nach einer Möglichkeit das per gpedit oder regedit pro server für alle TS User fest zu vergeben -also dass alle eingeloggten User automatisch das entsprechende Skript zugewiesen bekommen. CU GTR

Hallo cj_berlin, ja, sowohl die Kerberos-Client als auch die KDC-Policy sind konfiguriert. Wenn die KDC-Policy auf Supported steht, werden auch Tickets mit der FAST-Option ausgestellt (KLIST). Clients sind alle Win11 oder Server 2019/2022. Ich hatte auch testweise nach der Aktivierung 2xKRBTGT-Resets durchgeführt (in der Testumgebung), ohne Auswirkung auf den Armoring-Fehler.

Moin, ist auf die DCs auch die Kerberos Client-Policy für Armoring ausgerollt oder nur die KDC-Policy? Das ist der häufigste Fehler

Hallo, bei der Aktivierung von Kerberos-Armoring in einer Umgebung mit mehreren Active Directory Domains und Forests stoße ich auf Fehler sobald Armoring erzwungen wird. Die Umgebung enthält einen Forest mit einer Root- und einer Tree-Domain sowie einen weiteren Forest mit nur einer einzigen Domain. Alle Domains sind mit 2-Way-Trust verbunden. Wird Armoring nur auf "Supported" gesetzt ist alles OK, bei "Required" funktionieren verschiedene Dinge nicht mehr. Es gibt Fehler bei der AD-Replikation zwischen den Domänen im gleichen Forest. Der Zugriff über die Domänengrenzen scheitert, z.B. Dateizugriff oder auch RDP-Anmeldung. Das gilt sowohl für die Domänen im gleichen Forest als auch zwischen den Forest. Als Fehlermeldung kommt immer, fehlerhafte Anmeldung oder vergleichbares. Wir konnten das Problem auch in neu aufgebauten Testumgebungen nachstellen. Kennt das jemand? oder besser noch, eine Lösung? Ich freue mich über jeden Tipp. Dank an Euch im Voraus. Michael

Moin an Board, dann wollen wir mal - ich koche Kaffee Allen einen ruhigen Dienstag, bleibt gesund! Hier regnet es bei 7°C, wir wohl den ganzen Tag so bleiben. Nachmittags kommt noch Wind dazu bis etwa 13°C

ABE=Access Based Enumeration in Deutsch: Zugriffsbasierte Aufzählung. Hier wird es kurz erklärt: https://anreiter.at/dateifreigabe-zugriffsbasierte-aufzaehlung-aktivieren/

Hi, erstelle doch eine Freigabe für alle und regele die Sichtbarkeit über ABE auf den einzelnen Ordnern innerhalb der Freigabe, nur wer Zugriff hat sieht diese auch.

Moin, DFS-N mit ABE. Braucht aber AD, und lokale Gruppen auf dem Fileserver, der die Freigabe tatsächlich hostet, werden schwierig.

Hi, ich setze gerade einen Fileserver auf. Jetzt möchte ich die Freigaben nur für bestimmte Gruppen sichtbar machen. Geht das? Mit "Freigabe$" ist die Freigabe dann komplett unsichtbar. Ich möchte aber die Freigabe Vertrieb auch nur für die lokale Gruppe "local_Vertrieb " sichtbar halten. Alle anderen solle dies nicht sehen.

Wenn nur Zertifikate auf Basis derselben Vorlage erstellt werden, wird dort keine neues Zertifikat bezogen. Wäre mir jedenfalls neu. Aber selbst wenn, wo ist denn das Problem?

Die Vorlage, auf der meine DCs ihre jetzigen Zertifikate ausgestellt haben, wird angezeigt/angeboten, wenn ich auf dem DC ein neues Zertifikat anfordern möchte. Auf der Vorlage besitzen die DCs ja auch das Recht "Automatisch Registrieren" Würden Sie das Recht nicht besitzen oder die Vorlage nicht angeboten werden, würde ich mir keine Sorgen um die Aktivierung der GPO machen Edit: was mir dann nicht ganz klar ist: Wenn ich den DCs das Recht zum AutoEnrollment wegnehme und die GPO aktiviere.. wann gebe ich den DCs das Recht auf AntoEnrollment dann wieder? Sie brauchen es ja

Ja, und gibt es die konkret bei Dir? Du kannst ja certlm.msc auf einem DC öffnen und schauen, welche Vorlagen für einen DC überhaupt zum Enrollment angeboten werden, um dann zu überprüfen, welche von ihnen auf Autoenroll für DCs, Domain Computers oder Authenticated Users stehen (letzteres sollte es grundsätzlich nicht geben).

Entschuldige, hätte es spezifizieren sollen, statt hoffen, dass man die Stelle findet, die ich meine :) Ich meine folgendes: Achtung: Bei der erstmaligen Aktivierung der Richtlinie muss darauf geachtet werden, welche Zertifikate bereits für den oder die Domain Controller ausgestellt worden sind. Sollten bereits Zertifikate, die Zertifikatsvorlagen nutzen, ausgestellt worden sein, werden diese Zertifikate ebenfalls aktualisiert und ggf. abgeändert. Da dies in der Regel nicht gewünscht ist, muss die Zertifikatsvorlage des entsprechenden Zertifikats angepasst werden, sodass dem Domain Controller die Autoenroll Berechtigung entfernt wird. Damit ist gewährleistet, dass die bestehenden Zertifikate durch Aktivierung der Gruppenrichtlinie nicht verändert werden

In dem von Dir verlinkten Artikel sehe ich nicht, dass man das Recht "Automatisch registrieren" herausnehmen soll - man soll vielmehr verifizieren, DASS es besteht??? Oder was war Deine Frage? Und zur Zeitschiene der Ablösung: Wenn Deine PAM-Software nicht ein bestimmtes Zertifikat auf den DCs erwartet, das man dort händisch hochladen soll, ist es doch kein Problem, wenn lange vor Ablauf ein {vertrauenswürdiges Zertifikat mit korrekten Namen und EKUs} gegen ein anderes {vertrauenswürdiges Zertifikat mit korrekten Namen und EKUs} ausgetauscht wird?

PAM Software im Einsatz.. Automatische Passwort Rotation etc. Wäre cool, wenn nochmal Jemand was zu meiner vorherigen Frage sagen könnte, falls bekannt

Moin, aber habt ihr auch tatsächlich einen Use Case für LDAPS? Denn nur dann lohnt es sich, den ganzen Aufwand zu betreiben.

Wenn ich nun die GPO aktiviere, ziehen die DCS sich sofort ein neues Zertifikat obwohl das jetzige noch Monate lang aktiv ist? Wird zumindest hier https://www.escde.net/blog/dc-zertifikat-autoenrollment-teil-1 so beschrieben, dass man auf der Vorlage "Automatisch Registrieren" herausnehmen soll Wann setzt man das Recht auf Automatisch Registrieren dann wieder? P.S. Warum die GPO nicht aktiv ist, weiß ich nicht. Ich habe das Zertifikat selber auch nicht ausgestellt bzw. die Vorlage erstellt

Ja, musst du. Gibts Gründe, warum du die Optionen deaktiviert hast?

Hi, ich habe die Vorlage Kerberos Authentifizierung dupliziert. Folgende Eigenschaften: Server - und Client Authentifizierung, Smart Card und KDC Authentifizierung. SAN nicht aktiviert.. sprich Name kommt aus dem AD. Also müsste ich in dem Fall die GPO aktivieren?