gysinma1

Hi Jan Danke vielmals. Ich werds mir nächste WO anschauen. LG, Matthias

Grüezi Mitenand aus der Schweiz, Ich such eine virtuelle Appliance (möglichst free oder Trial) für einige Tests im LAB: > Zusätzlich zu Address/Ports rules muss ich definieren können, dass nur IIS Server mit gültigem PKI Web Cert der internen CA im HTTPS Protokoll Binding auf das Netz kommen können. > Hilfreich wäre evtl. auch eine Linux Basierende Lösung > Für die Produktion gibt es eine physikalische Lösung Hintergrund: > Azure PAck erstellt Dutzende von Self-Slgned Certs für den IIS. Diese wollen wir auf dem Netz jedoch nicht zulassen. (Der Kunde arbeitet im High Secure Bereich). Diese werden mit PKI WebCerts ersetzt und dann dürfen diese "schwatzen". Grüsse, Matthias

Nimm bitte den ProcessExplorer von live.sysinternals.com (procexp.exe muss man nicht installieren. Der zeigt Dir alle laufenden (und auch versteckten) Threads an und sortier nach Private Bytes. Auf View/Lower Pane View Dlls siehst Du auch die DLLS mit Versionen.

Dann kommt noch was dazu, was ich im Felde auch schon getroffen habe. Kunden, die ReFS für System Center Configuration Manager Komponenten Server (SCCM) einsetzen wollten z.bsp. Distritbution Points. ReFS formatierte Volumes können dazu generell nicht verwendet werden sondern nur NTFS. Das ist v.a. ärgerlich, wenn in Aussenstandorten ReFS formatierte Volumes für einen Distribution Point liegen. Im SystemCenter Umfeld (ausser virtualisierungen) sehe ich keinen Vorteil von ReFS.

Was möchtest Du GENAU machen. Evtl. stehe ich auf dem Schlauch ;-). Ein bisschen mehr Informationen wären hilfreich,

Wieder mal n Tipp für Windows 10 Insight Deployment: Mit dem MDT 2012 Update 1 (Beta Review) und dem ADK10 (Preview) können jetzt auch images out of the box gemacht werden d.h. der imaging prozess geht auch (Bei windows 8.1 wird für imaging imagex verwendet und im Windows 10 der DISM). Das ist ferner auch exakt der Grund wieso MDT 2012 ohne Update 1 kein Windows 10 capturen kann. Imagex ist ferner sehr langsam v.a. bis er startet, weshalb Kollege Mike Nyström für MDT 2012 ohne Update 1 eine Adaption für den MDT geschrieben hat damit pre Windows 10 den dism verwendet anstatt imagex. Siehe https://anothermike2.wordpress.com/2014/05/19/nice-to-know-switch-from-imagex-to-dism-in-mdt/ - und hier noch ein paar Tipps von Kollege Arwidmark: http://deploymentresearch.com/Research/Post/357/Building-reference-images-like-a-boss Wenn das Image nun erstellt ist könnte man das mit dem ConfigMgr (SCCM) verteilen. Leider ist jedoch so, dass die Agent Installation fehl schlägt im Schritt "Setup ConfigMgr Agent". Grund sind die Updates für den WSUS Agent für den Build 7.1 (Windows 8.1) "windowsupdateagent30-x64.exe" , welcher Windows 10 nicht mag . Diese lassen sich von dem Update Service exkluden. CCMSetup.exe /skipprereq:windowsupdateagent30-x64.exe. In der Task Sequence kann dieser Parameter dem Step "Setup ConfigMGr Agent" mitgegeben werden. Bei mir sieht das so aus im Step "Setup ConfigMgr Agent" SMSCACHESIZE=10000 /skipprereq:windowsupdateagent30-x64.exe. Die Parameter kurz erklärt: SMSCACHESIZE vergrössert den CCMCAche auf 10 MB skipprereq:windowsupdateagent30-x64.exe weist den Agent installationsservice an den WSUS Fix nicht zu installieren. Weiteres zu Parameter "da" https://technet.microsoft.com/en-us/library/gg699356.aspx Gruss, +mat P.s Und nicht vergessen !, Das ist ein Workaround. Offiziell wird Windows 10 erst im ConfigMGr vnext supported. Über künftiger Produktename (ConfigMgr 2014) und Releasedatum möchte ich hier keine Spekulationen lostreten !! P.s.2: Der SCEP Agent (Endpoint Protection 2012) lässt sich nicht installieren resp. habe ich noch keinen funktionierenden Workaround gefunden. Persönlich würde ich die Geräte z.zt. mit dem Defender laufen lassen.

Ich wäre da vorsichtig eine Sicherheitsplatform wie TMG Forefront auf einem nicht supporteten Operating System zu installieren. Das würde so höchstwahrscheinlich keiner Sicherheitsprüfung standhalten, da der Hersteller den Support und Betrieb auf 2012 R2 negiert und i.d.r. diese Supportstatements die Basis für weitere Test bilden Updates und Service Packs hin oder her.

Hi Zusammen Ich hatte da zwei Wochen lang Krieg gehabt mit meinem Lab ;-). Es geht um Enrollment von Zertifikate via NDES über ConfigMgr und Windows Intune. Ich bin da wirkllich scheint mir dem Teufel aufgesessen scheint mir ... der Issue war dass es nicht möglich war Zertifikate auf Surfaces zu enrollen jedoch auf Android 4.2. Es ist halt in Englisch geschrieben von mir .. https://social.technet.microsoft.com/Forums/en-US/43cbcc5f-6588-4caa-bcf3-8968fc1950b8/ndes-certificate-enrollment-on-surface-fails?forum=configmanagermdm&prof=required Falls jmd Bedarf hat .. happerts bei (meinem) Englisch bitte einfach kurz replien ... vielleicht hilft es jmd in selbem Problem weiter. LG, +mat

Hi Ich habe das genau wie beschrieben hast bereits konfiguriert. Ich tausche den Switch demnächst aus. (Der Nachfolger wird Cisco sein, denn gleichzeitig wird auch Radius und NPAS ein Thema. Die Dose war eh schon sehr alt) Ist wie ich sagte eh "nur" mein Lab und keine Produktion. Trotzdem vielen Dank. LG, Matthias

@all Danke Euch allen. Ich denke das Baby ist put. Ich habe das alles mehr oder weniger schon durch gemacht. @da_flo Vielen Dank. Die VLANS kann ich nicht verbinden (auf VLAN1) denn das sind verschiedene DMZ Perimeter. Alle Services sind aus. Factory Reset auch mehrfacht getan. Ich habe soeben auch mal ins SYSlog vom Switch geschaut und da ist alles gerammelt voll Fehler "Failed to open "NVRAM with op=COUNT" (denke ein Problem mit dem Switch Memory). Papa gysinma1 hat n neuen ins Budget genommen für den May ... es ist nur meine XXL Spielwiese Gruss aus CH +mat

Mini Repeater das Modell vom Mediamarkt für 19€ mit 4 Ports ...Netgear. Es hat auch ein VLAN von dem ISP da gehen auch die DHCP Requests der WAN Interface nicht durch mit anderen Worten die Firewalls sind alle direkt via sonem Mediamarkt Repeater gepached ....da via Switch keine IP abgerufen wird. Gemäss ISP kommt auch gar kein DHCP Req an.

Hi da_flo Vielen Dank - Das habe ich alles schon durch leider erfolglos. (Ich habe Untaged zu den Devices und kein Tagging versucht) Routing (sofern man davon reden kann denn zwischen den VLANS ist nur HTTPS erlaubt) geht via den FW Walls wunderbar, denn sobald ich die Geräte direkt auf die FW patche geht das auch. (DHCP Relay benötige ich keinen, da jedes VLAN selbst DHCP Server hat resp. statische IPs hat. Typische DMZs). Wie ich sagte ersetze ich den Switch mit einem Mini Repeater geht's weshalb ich eigentlich eher den Verdacht habe, dass der Switch das am segnen ist .. ich möchte mich hier einfach nochmal vergewissern .. lg +mat

Es sind beide in demselben VLAN und sind nicht getagged (ich kann beim "Tagging" Untag und Tag oder auch leer lassen konfigurieren). Ich habe es bei "leer-lassen" belassen. Untag habe ich versucht mit demselben Resultat. Es ist auch nicht zwingend zwischen Firewall und Server Interface sondern auch wenn ich testhalber zwei Server so verbinde. Ich denke deshalb dass es auch nicht am Zusammenspiel FW und Switch liegt. Eher dass der Switch sich am Verabschieden ist. ...

Hi Zahni und Lefg Ja das ist richtig. Das Routing machen die Firewalls. Jedes VLAN ist an einem Firewall Port und ist ein anderes Permiter (DMZ, Prod, Isolated DMZ etc.). Das funktioniert soweit auch, denn sobald ich den Firewall Port direkt auf die Server NIC verbinide geht's wunderbar. Ist der Switchport dazwischen (z.bsp. Port A Firewall und Port B Server beide in demselben VLAN) ist nicht mal ein Ping möglich (trotz fester IP) und die Karte des Server geht auf 100 runter. Gruss, +mat