Jump to content

andrew

Members
  • Content Count

    353
  • Joined

  • Last visited

Community Reputation

11 Neutral

About andrew

  • Rank
    Member
  • Birthday 10/10/1975

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Ok. Diesen Sprungserver pflanzt Ihr dann in ein separates VLAN, habt Ihr euch da schon Gedanken gemacht ?
  2. Hi all Finde ich einen guten Ansatz, Sicherheitsmassnahmen wo immer möglich, umzusetzen. Weisst Du/ Ihr, wie ihr in Zukunft (wenn nicht schon umgesetzt) die Administration von Servern handhabt, sprich, wo und wie Ihr die administrativen Tools installieren werdet und wie der Zugriff/ die Zugriffe auf die Server konkret erfolgen soll? cheers André
  3. Hallo daabm Scheint ein interessanter Artikel zu sein, muss Ihn jedoch einmal in Ruhe durchlesen, ist etwas viel Material und verstehen muss man die Materie dann auch noch, nicht wahr. Wendest Du/ Ihr, sprich deine Firma, in welcher Du tätig bist, dieses Modell an?
  4. ok, die Sache mit "if you have to repeate it, script it" hört sich gut an. Bezogen auf unsere Infrastruktur und die Administration von Servern spreche ich mehr folgende Bereiche an und suche auch entsprechende Lösungsansätze hier im Board: Wir haben zig Windows Server, alle virtueller Natur auf Basis VMware. Dazu gehört einerseits die Windowsumgebung (Serverseitig, Client seitig, physikalisch wie virtuell) - Active Directory - sonstige Windows bezogene Dienste wie DHCP (2 Server), Fileserver oder Windows Patchmanagement (WSUS) Dritthersteller Tools - Software Verteilung - Sicherheitslösung von Kaspersky (Security Center) (kann oder könnte auch via Web Console, sprich, via Browser aufgerufen werden, z.B. von einem Client aus) - Monitoring Tool vom Veeam (glaube, es ist gratis). Erlaubt das Monitoren z.B. von Windows Servern, Speicherplatz der Festplatten Überwachung usw. - Support Tools für die Hauptaplikation, welche bei uns im Geschäft von den Angestellten verwendet wird. Nun, dass man den Admins im ICT-Team z.B. so genannte Admin PCs (virtuelle Windows 10 Maschinen) mit all den Admin Tools installiert und zur Verfügung stellt, finde ich persönlich nicht so sexy. Wenn es nach mir geht, dürfen z.B. eine - Software Verteilungs Software auf meinem Client System laufen. Öffne dieses Tool, dieses verbindet sich mit dem Server und fertig. Habe die grafische Oberfläche offen, kann mit der Software Verteilung schaffen und gut ist. - Wenn es um die Verwaltung von Windows Diensten, kann man z.B. das RSAT auf dem eigenen Windows 10 PC installieren und für bestimmte, adminstrative Dinge wie auf die Active Directory Konsole zugreifen, lokal auf meiner Kiste ausführen. Für das sind ja die RSAT Tools extra entwickelt worden. Wäre auch in meinem Sinn. - Wenn es darum geht, den Kaspersky Server zu verwalten, so könnte ich z.b. via Browser eine Verbindfung mit dem Kaspersky Security Center herstellen und diesen auch lokal via meine Wndows 10 Kiste verwalten. Man kann also demnach sehr vieles lokal von der eigenen Windows 10 Kiste aus administrativer Natur verwalten. Die Frage dabei, welche ich mir halte stelle ist, wie sieht es Security mässig aus? Ist eine solche Art zu arbeiten im ICT-Teeam so gang und gäbe oder habt Ihr in euren Umgebungen aus bestimmten Gründen (Security technisch oder so) genau ein solches Arbeiten verboeten oder sieht eure Firma ein anderes Arbeiten vor? Eben, wir haben es gehört, z.B. habt Ihr hierfür extra einen Terminal Server, auf welchem die ganzen administrativen Konsolen installiert sind und wenn ihr extra was an eurem Servern, oder sonst irgendwie überwachen/ überprüfen müsst, dann verbindet Ihr Admins euch alle gleichzeitig auf den Terminal Server und macht, was es zu machen gibt oder wie jetzt? Oder gibtes es hier im Forum stimmen, die finden, hey, die Idee, jedem Admin eine virtuelle Windows 10 Büchse mit dem genazen Karsumpel darauf zur Verfügung zu stellen die Beste Idee? Wenn ja, warum und wieso? Ich finde diese Idee nicht gut, ich finde, warum soll ich extra eine Admin Maschine auf VM Basis erhalten? Das Thema ist auch, wenn ich z.B. via Home Office arbeite, dann verbinde ich mich via VMware View auf einen virtuellen Pool mit Windows 10 Maschinen. Dieser ist für die Leute, welche von zu Hause aus Home Office machen und so konfiguriert, dass er im Minimum alle Tools etc. beinhaltet, welche eine Mitarbeiterin/ ein Mitarbeiter braucht, damit er produktiv von zu Hause aus arbeiten kann. Wenn jetzt ich als Admin mich von zu Hause aus auf diesen, virtuellen Pool verbinde, dann ist klar, dass ich auf einer solchen virtuellen, Windows 10 Maschine (so wie Sie zurzeit konfiguriert sind), keine administrativen Tools für die Verwaltung von Servern zu Verfügung habe. Ich müsste mich dann entweder auf meinen physikalischen PC per RDP verbinden, welcher ja nicht läuft (gut, ich könnte ich per Wake on LAN aufwecken), oder ich müsste mich eben auf eine, administratrive Windows Maschine verbinden, weil dort alle Tools, RDP Tool mit allen Servern drin sind usw. Aber ich könnte ja auch diverse Tools für die Verwaltung von Servern in diesem virtuellen Home Office Pool (Windows 10 Maschinen) zur Verfügung stellen, was spricht dagegen? Dass plötzlich ein Mitarbieter X auf die Idee kommen könnte, irgendwie via ein solches Tool "herumspielen zu wollen" ? Dieser virtuelle Home Office Pool ist zwar in einem anderen Subnetz als unsere produkte Client uns Serverumgebung (Server und Clients sind im gleichen Netz), jedoch ist es mir schon jetzt z.b. möglich, via disen Home Office Pool z.b. eine RDP Verbindung auf den Server xy herzustellen. also insofern könnte ja ein Benutzer schon jetzt wenn er möchte, Schaden anrichten bzw. es zumindest versuchen (wobei: er bräuchte ja noch einen Admin Benutzer, welcher auf dem Server xy berechtigt wäre), RDP aurfuen könnte er auch vom Geschäft aus, von seinem physikalischen PC aus. Ja, in diese Richtungen gehen meine Überlegungen und Fragen, wie man am sichersten und effizietesten die ganze Geschichte mit der Administration von Servern aufgleist
  5. Hey Jungs, dsa sind ja sehr interessnate Aspekte. Genau so habe ich mir die Diskussion vorgestellt. Ok, die Sache mit den Server Cals werde ich noch überprüfen. Zuerst mus ich wohl herausfinden, was wir überhaupt für ein Lizenzmodell pflegen, damit ich auf diese Frage eine Antwort geben kann. Danke euch für die Argumentationen/ Inputs *smile* cheers Andrew
  6. Hi all Jede und Jeder, welcher für eine IT-Infrastruktur zuständig ist, weiss, dass man mittlerweile viele administrative Tätigkeiten auch via einen Client erledigen kann. Schreibe absichtlich via einen Client und NICHT, via den "eigenen" PC. Warum? Beispiel Microsoft Wie sicher die meisten wissen, gibt es z.B. in Bezug Microsoft die Möglichkeit, auf einen Windows Client die RSAT (remote Server Administration Tools) auf den Client zu pflanzen. Und nun? Nun kann man je nach je diverse Server Rollen administrativ verwalten (z.B. die DHCP Console, oder das Active Directory usw.), welche man pflegen/ darf (je nach je, was die Organisation an internen Sicherheits Richtlinien pflegt?). Weitet man nun diese Thematik aus, so stellt sich bald die Frage, ob es sicherheitstechnisch "schlau" ist, auf einem oder seinem Client zig administrative Tools zu installieren, damit man dann die Server, welche jetzt in unserem Fall im gleichen Subnetz sind, verwalten zu können? Sicherheit Ich möchte von euch in Erfahrung bringen, was Ihr so für Praktiken pflegt, was die Vor- und Nachteile sind, in Bezug Sicherheit usw. sind. Stelle mir z.B. die Frage: Angenommen, ich entscheide mich für eine Lösung, dass jeder Administrator seine, eigene virtuelle Admin Maschine hat (z.B. ein Win10 PC). Macht das Sinn und wenn ja, wie sollte sicherheitstechnisch die Umgebung aussehen, müssten die Admin PCs (VMs) gehärtet sein, in einem separaten Subnetz? Habe ich Sie in einem separaten Subnetz und öffne dann zig Ports, damit ich schlussendlich doch am Schluss zugriff auf die Serversysteme erhalte, um diese administrativ verwalten zu können - macht ein solches Szenario Sinn? Sinnvoll | Nutzen? Macht es mehr Sinn, eine Art Terminal Server zu betreiben mit Terminal Server Lizenzen? Dann hätte man anstatt 3 virtuelle PCs, einen Server (vielleicht auch nur mit minimalen Rollen installiert) und würde auf diesem ALLE Tools instlalieren, welche es braucht und würde immer dann, wenn man die Server administieren möchte, sich auf diesen "Jumping Server" verbinden (dieser müsste dann wohl auch in einem anderen Netz sein?) So, die Dikussion ist eröffnet, finde persönlich dieses Thema sehr spannend und freue mich extrem auf euren Input - go for it cheers André
  7. Hi all Server 2016 oder Server 2019? Dieser Beitrag hier soll das Thema pro und contra Server 2016/ Server 2019 OS thematisieren Wir haben im Geschäft rund 20 Server (Plus Minus, Minus Plus). Praktisch ohne Ausnahme sind alle virtuellen Serversysteme mittlerweile auf Server 2016 angehoben worden. Die Frage, welche ich mir persönlich stelle ist, wenn es jetzt darum geht, bestehende, virtuelle Systeme zu erneuern, welches OS hierzu verwendet werden soll, Server 2016 oder Server 2019? Was wird erneuert? - Erneuert wird z.B. eine Software Verteilung von Version x auf Version y. Auf dieser VM läuft als OS zurzeit Server 2012. Der Hersteller der Softwareverteilung empfiehlt als OS Server 2019. Hauptgrund: Das Booten eines Server 2019 OS sei um ein vielfaches schneller als bei einem OS mit Server 2016. - Des Weiteren wird auch unsere Sharepoint Lösung erneuert. Unsere Sharepoint 2010 Version, aktuell auf zwei VMs verteilt (Frontend, Backend mit SQL DB) läuft auf jeweils einem Server 2008 R2 OS. Meinung des Vorgesetzten Ergänzend kann ich noch erwähnen, dass vom Vorgesetzten das OS Server 2016 favorisiert wird. - Als Haupt Argument wird die Vereinheitlichung in den Vordergrund gestellt (am Schluss alles Server 2016 als OS). - Des Weiteren war in Bezug Backup Software Veeam auch das Thema wegen der Duplizierung. - Wir bereiben unsere VMs in einer VMware Infrastruktur. Das OS, welches ich für die neue Softwrae Verteilung vorbereite oder vorbereiten soll, entsteht aus einer Vorlage. Diese habe angeblich ein externen IT- Betreuer vorbereitet und basiert auf Server 2016. Das sei auch ein Grund, warum er OS Server 2016 favorisiere Meine persönliche Meinung: - betreffend Backup Veeam: Wenn dem so wäre (Die Argumentierung wegen der Duplizierung), so könnte man ja neu z.B. einen Backup Job erstellen, welcher nur die Server mit dem OS Server 2019 sichern würde, wo ist das Probem? - in einer Vereinheitlichung der Server OS sehe ich keine Vorteile, seht Ihr Vorteile? - Eine neue Vorlage für ein OS Server 2019 System in der VMware Umgebung sollte sicher technisch keine grosse Hürde darstellen - obwohl ich mich diesbezüglich zuerst in das Thema einlesen müsste Info: will Niemandem zu nahe treten bzw. achte jede Meinung. Jedoch habe ich auch Anrecht auf Überprüfung einer bevorstehenden Aufgabe (pro und contra) und genau das soll das Ziel hier sein, nicht mehr, nicht weniger So, die Diskussion ist eröffnet - go for it cheers Andrew
  8. Sie sagen, man soll in den Standard Einstellungen neu den Microsoft Edge Chromium als Default einstellen, was bei uns schon der Fall ist P.S. Word 2016 öffnet die XML Datei nicht korrekt bzw. zuerst erscheint eine Fehlermeldung im Sinne von: "Es ist ein XML-Erweiterungspaket für den Namenspace 'http://www.xyz.ch' verfügbar. Wollen Sie dieses XML-Erweiterungspaket von C:\Users\BenutzerXY\AppData\Local\Microsoft\Windows\INetCache\Content.Word\generallnvoiceRequest_440.xsd installieren? (Ja, Nein) Sage ich Ja, erscheint: "Das XML-Erweiterungspaket oder die Schemadatei konnte nicht installiert werden. Bestäte ich diese Fehlermeldung, öffnet Word 2016 die Datei mit der Meldung "Diese Datei enthält benutzerdefinierte XML-Elemente, die in Word nicht mehr unterstützt werden ......
  9. Hi all Frage 01) Wir haben seit wenigen Tagen in unserer Firma den Leuten via GPO das Benutzen des alten IE verboten (beim Versuch, den IE zu starten, erscheint kann diese EXE Datei einfach nicht ausgeführt werden, nichts passiert, es soll ja auch nicht gehen) Aktuell ist nun als Standard Browser der Microsoft Edge Chromium auf allen Clients installiert, soweit funktioniert auch alles bis auf eine Sache: Starten die Leute ein Programm zur Verwaltung von Rechnungen und klicken dort auf einen Knopf, um sich die elektronische Rechnung xy anzeigen zu lassen, so öffnet, man höre und staune, der alte IE diese Datei (liegt als XML File im Ordner C:\Users\UserZ\AppData\Local\Temp\ProgrammName\raw\ vor). Quizfrage: Welcher XML Viewer öffnet diese XML Datei auch einfach in grafischer Form, sprich, zeigt die elektronische Rechnung an - ohne den XML Code im Klartext darzustellen (denn XML Programmiercode interessiert ja die Anwender nicht) Frage 02) Wie können wir den alten IE komplett via GPO unterbinden, auch das Öffnen einer lokalen Datei xy soll NICHT mehr durch den alten IE geschehen?! P.S. Edge Chromium kann dies scheinbar nicht. Man könnte den Edge Chromium via GPO mit dem IE Mode konfigurieren, damit der Microsoft Chromium Browser "älter" Seiten dann wieder im alten IE anzeigt, was ja bereits automatisch schon passiert und wir NICHT wollen! cheers André
  10. Ok, verschiebe das Thema in einen anderen Bereich - hier, sorry
  11. Hi all Frage 01) Wir haben seit wenigen Tagen in unserer Firma den Leuten via GPO das Benutzen des alten IE verboten (beim Versuch, den IE zu starten, erscheint kann diese EXE Datei einfach nicht ausgeführt werden, nichts passiert, es soll ja auch nicht gehen) Aktuell ist nun als Standard Browser der Microsoft Edge Chromium auf allen Clients installiert, soweit funktioniert auch alles bis auf eine Sache: Starten die Leute ein Programm zur Verwaltung von Rechnungen und klicken dort auf einen Knopf, um sich die elektronische Rechnung xy anzeigen zu lassen, so öffnet, man höre und staune, der alte IE diese Datei (liegt als XML File im Ordner C:\Users\UserZ\AppData\Local\Temp\ProgrammName\raw\ vor). Quizfrage: Welcher XML Viewer öffnet diese XML Datei auch einfach in grafischer Form, sprich, zeigt die elektronische Rechnung an - ohne den XML Code im Klartext darzustellen (denn XML Programmiercode interessiert ja die Anwender nicht) Frage 02) Wie können wir den alten IE komplett via GPO unterbinden, auch das Öffnen einer lokalen Datei xy soll NICHT mehr durch den alten IE geschehen?! P.S. Edge Chromium kann dies scheinbar nicht. Man könnte den Edge Chromium via GPO mit dem IE Mode konfigurieren, damit der Microsoft Chromium Browser "älter" Seiten dann wieder im alten IE anzeigt, was ja bereits automatisch schon passiert und wir NICHT wollen! cheers André
  12. Guten Tag zusammen Zuerst zu Dir o.kolb Ja, die Benutzerin hat auch schon an zwei verschiedenen Arbeitsplätzen gearbeitet, Fazit da war: - an einem Arbeitsplatz trat das Problem nicht auf - am zweiten Arbeitsplatz trat das Problem auf. Deine Vermutung oder wie soll ich dein Input nennen, "Gedanken" ist durchaus möglich, jedoch sind mir keine Netzwerkprobleme geschildert worden. Wenn das Netzwerk unterbrochen ist, funktionieren weitere Dinge wie Zugriff auf Shares usw. auch nicht mehr und die Laufwerke wären mit einem roten Kreuz verbunden. Noch jedes Mal, wenn ich gerufen wurde und das war öfters der Fall, wenn das Outlook Passwort Fenster aufpoppte, fand ich im Datei Explorer keine "rot gekreuzte" Shares vor. Darum würde ich einfach Mal so ohne gross Tests in diese Richtung getätigt zu haben, diese Problematik eher ausschliessen. Anbei noch der konkrete Zwischenstand: Zwischenstand Gestern hat die Benutzerin via Home Office am Nachmittag gearbeitet, keine Outlook PW ist erschienen. Heute Morgen bis nach dem Mittag war die Benutzerin hier im Geschäft, keine Outlook PW ist erschienen. Weiteres Vorgehen Habe trotzdem nun vor wenigen Minuten alle vorhandenen Einträge im Windows Tresor (diese beziehen sich ja auf Ihr Benutzerkonto) gelöscht und warte nun ab, wie es in den nächsten Tagen weitergeht. Betreffend Windows Tresor und BN spezifische Anmeldeinfos löschen Bei der Benutzerin gab es nur zwei Einträge zum Löschen - virtualapp/didlogical - SSO_POP_Device Die Einträge, welche z.B. jetzt auf meiner Windows 10 Kiste im Windows 10 Tresor existieren sind um 2 Einträge reicher (nur so am Rande erwähnt), nämlich - MicrosoftAccount:user=BenutzerVorname.BenutzerNachname@domain.ch - MicrosoftOffice16_Data:live:cid=6a6...... Tja. Sollte das Phänomen wieder auftreten, würde ich weitere Lösungsansätze umsetzen cheers André
  13. Saludos AlexTann Vielen Dank für deinen Hinweis. Mir sind hier im Haus keine deiner genannten Probleme bekannt. Ob es AutoDiscover Probleme gibt, merkt man meines erachtens auch sehr schnell, wenn man ein Outlook Profil einrichtet bzw. im Nachhinein einen AutoDiscover Test laufen lässt via Tastenkombination CTRL Taste drücken und gedrückt halten, im gleichen Moment dann mit der rechten Maustaste (wenn man Rechtshänder ist) auf das Outlook Symbol in der Taskleiste klicken und dann im Kontextmenü, welches dann erscheint, folgenden Eintrag wählen: "E-Mail-Autokonfiguration testen …" Danach bei Guestsmart verwenden den Hacken raus, auch bei Sichere Guestsmart-Authentifzierung den Hacken raus (meines Wissens braucht man diese beiden nicht). Auch muss kein Passwort in das Feld Kennwort eingegeben werden, sondern einfach direkt auf den Knopf "Test" klicken und im Reiter Ereignisse prüfen, was angezeigt wird bzw. auch den Reiter Protokoll aufrufen und schauen, ob erfolgreich oder nicht. Bei uns erfolgreich. Auch haben wir nichts am Öffentlichen SSL Zertifikat gemacht, welches im IIS für das oder die Exchange Verzeichnisse hinterlegt bzw. konfiguriert ist. Dieses ist noch gültig bis im Jahre 2021. Soweit alles im grünen Bereich
  14. Hallo Sunny61 Danke für die Stellungnahme. Ja, Leute, welche bei uns Home Office machen, arbeiten mit dem gleichen Windows Benutzer in der virtualisierten VMware Umgebung. Demnach korrekt, ja, Sie hat auch dort ein servergespeichertes Profil. cheers André
  15. Guten Tag zusammen Einleitung Zurzeit habe ich folgende Situation und gerade keine Idee, was ich noch weiter unternehmen könnte bzw. was konkret die Ursache ist und erhoffe mir durch das Forum hier Unterstützung, Ratschläge oder Hinweise, woran es liegen könnte bzw. was ich für Massnahmen ergreifen könnte. Problembeschreibung Eine Benutzerin in unserer Firma meldet, dass nach einer bestimmte Zeit plötzlich bei Ihr ein Microsoft Outlook Fenster erscheint mit der Bitte, das Passwort einzugeben. Nun, was habe ich bereits alles unternommen? Folgende Massnahme bereits getroffen - A) Outlook Cache deaktiviert und wieder aktiviert. Dadurch wurde die Cache Datei (.ost) gelöscht bzw. neu erstellt => Problem Tritt dann auf, nachdem der PC gesperrt war, Mitarbeiterin von Sitzung zurück kehrte, sich am PC einloggte und nicht nur das noch immer offene Outlook vorfand, sondern zusätzlich auch das Microsoft Outlook Fenster mit der Aufforderung zur Eingabe des Passwortes für Ihre Postfach. - B) Outlook Profil gelöscht und wieder neu erstellt => Das gleiche Problem wie bei A) Immer, wenn die Dame von einer Sitzung zurück gekommen ist, den PC entsperrte, fand Sie plötzlich dieses Passwort Fenster vor. - C) Ihr Benutzer Profil (servergespeichertes) neu erstellt => gleiches Problem wie A) bzw. B) - D) PC neu per Software Verteilung aufgesetzt Und: auch gleichzeitig das servergespeicherte Profil neu erstellt => Problem immer noch vorhanden Wissenswertes Spannend ist noch folgende Tatsache, welche mir von der Benutzerin mitgeteilt wurde. - Die Benutzerin hat übrigens Ihr AD-Passwort selber mittlerweile sicher auch schon Minimum 3x oder so neu geändert - Wenn die Benutzerin HomeOffice macht (hat gestern z.B. ca. 5 Stunden via virtualisierte VMware Umgebung gearbeitet), dann kam zumindest während dieser Zeit nie eine PW Abfrage (ob das Glück war?) Ja, langsam gehen mir die Ideen aus bzw. verstehe die Ursache nicht, diese müsste ich kennen, um das Problem lösen zu können. Wer hat noch eine Idee?
×
×
  • Create New...