Jump to content

gysinma1

Members
  • Posts

    1,675
  • Joined

  • Last visited

Everything posted by gysinma1

  1. Hi Jan Danke vielmals. Ich werds mir nächste WO anschauen. LG, Matthias
  2. Grüezi Mitenand aus der Schweiz, Ich such eine virtuelle Appliance (möglichst free oder Trial) für einige Tests im LAB: > Zusätzlich zu Address/Ports rules muss ich definieren können, dass nur IIS Server mit gültigem PKI Web Cert der internen CA im HTTPS Protokoll Binding auf das Netz kommen können. > Hilfreich wäre evtl. auch eine Linux Basierende Lösung > Für die Produktion gibt es eine physikalische Lösung Hintergrund: > Azure PAck erstellt Dutzende von Self-Slgned Certs für den IIS. Diese wollen wir auf dem Netz jedoch nicht zulassen. (Der Kunde arbeitet im High Secure Bereich). Diese werden mit PKI WebCerts ersetzt und dann dürfen diese "schwatzen". Grüsse, Matthias
  3. Nimm bitte den ProcessExplorer von live.sysinternals.com (procexp.exe muss man nicht installieren. Der zeigt Dir alle laufenden (und auch versteckten) Threads an und sortier nach Private Bytes. Auf View/Lower Pane View Dlls siehst Du auch die DLLS mit Versionen.
  4. Dann kommt noch was dazu, was ich im Felde auch schon getroffen habe. Kunden, die ReFS für System Center Configuration Manager Komponenten Server (SCCM) einsetzen wollten z.bsp. Distritbution Points. ReFS formatierte Volumes können dazu generell nicht verwendet werden sondern nur NTFS. Das ist v.a. ärgerlich, wenn in Aussenstandorten ReFS formatierte Volumes für einen Distribution Point liegen. Im SystemCenter Umfeld (ausser virtualisierungen) sehe ich keinen Vorteil von ReFS.
  5. Was möchtest Du GENAU machen. Evtl. stehe ich auf dem Schlauch ;-). Ein bisschen mehr Informationen wären hilfreich,
  6. Wieder mal n Tipp für Windows 10 Insight Deployment: Mit dem MDT 2012 Update 1 (Beta Review) und dem ADK10 (Preview) können jetzt auch images out of the box gemacht werden d.h. der imaging prozess geht auch (Bei windows 8.1 wird für imaging imagex verwendet und im Windows 10 der DISM). Das ist ferner auch exakt der Grund wieso MDT 2012 ohne Update 1 kein Windows 10 capturen kann. Imagex ist ferner sehr langsam v.a. bis er startet, weshalb Kollege Mike Nyström für MDT 2012 ohne Update 1 eine Adaption für den MDT geschrieben hat damit pre Windows 10 den dism verwendet anstatt imagex. Siehe https://anothermike2.wordpress.com/2014/05/19/nice-to-know-switch-from-imagex-to-dism-in-mdt/ - und hier noch ein paar Tipps von Kollege Arwidmark: http://deploymentresearch.com/Research/Post/357/Building-reference-images-like-a-boss Wenn das Image nun erstellt ist könnte man das mit dem ConfigMgr (SCCM) verteilen. Leider ist jedoch so, dass die Agent Installation fehl schlägt im Schritt "Setup ConfigMgr Agent". Grund sind die Updates für den WSUS Agent für den Build 7.1 (Windows 8.1) "windowsupdateagent30-x64.exe" , welcher Windows 10 nicht mag . Diese lassen sich von dem Update Service exkluden. CCMSetup.exe /skipprereq:windowsupdateagent30-x64.exe. In der Task Sequence kann dieser Parameter dem Step "Setup ConfigMGr Agent" mitgegeben werden. Bei mir sieht das so aus im Step "Setup ConfigMgr Agent" SMSCACHESIZE=10000 /skipprereq:windowsupdateagent30-x64.exe. Die Parameter kurz erklärt: SMSCACHESIZE vergrössert den CCMCAche auf 10 MB skipprereq:windowsupdateagent30-x64.exe weist den Agent installationsservice an den WSUS Fix nicht zu installieren. Weiteres zu Parameter "da" https://technet.microsoft.com/en-us/library/gg699356.aspx Gruss, +mat P.s Und nicht vergessen !, Das ist ein Workaround. Offiziell wird Windows 10 erst im ConfigMGr vnext supported. Über künftiger Produktename (ConfigMgr 2014) und Releasedatum möchte ich hier keine Spekulationen lostreten !! P.s.2: Der SCEP Agent (Endpoint Protection 2012) lässt sich nicht installieren resp. habe ich noch keinen funktionierenden Workaround gefunden. Persönlich würde ich die Geräte z.zt. mit dem Defender laufen lassen.
  7. Ich wäre da vorsichtig eine Sicherheitsplatform wie TMG Forefront auf einem nicht supporteten Operating System zu installieren. Das würde so höchstwahrscheinlich keiner Sicherheitsprüfung standhalten, da der Hersteller den Support und Betrieb auf 2012 R2 negiert und i.d.r. diese Supportstatements die Basis für weitere Test bilden Updates und Service Packs hin oder her.
  8. Hi Zusammen Ich hatte da zwei Wochen lang Krieg gehabt mit meinem Lab ;-). Es geht um Enrollment von Zertifikate via NDES über ConfigMgr und Windows Intune. Ich bin da wirkllich scheint mir dem Teufel aufgesessen scheint mir ... der Issue war dass es nicht möglich war Zertifikate auf Surfaces zu enrollen jedoch auf Android 4.2. Es ist halt in Englisch geschrieben von mir .. https://social.technet.microsoft.com/Forums/en-US/43cbcc5f-6588-4caa-bcf3-8968fc1950b8/ndes-certificate-enrollment-on-surface-fails?forum=configmanagermdm&prof=required Falls jmd Bedarf hat .. happerts bei (meinem) Englisch bitte einfach kurz replien ... vielleicht hilft es jmd in selbem Problem weiter. LG, +mat
  9. Hi Ich habe das genau wie beschrieben hast bereits konfiguriert. Ich tausche den Switch demnächst aus. (Der Nachfolger wird Cisco sein, denn gleichzeitig wird auch Radius und NPAS ein Thema. Die Dose war eh schon sehr alt) Ist wie ich sagte eh "nur" mein Lab und keine Produktion. Trotzdem vielen Dank. LG, Matthias
  10. @all Danke Euch allen. Ich denke das Baby ist put. Ich habe das alles mehr oder weniger schon durch gemacht. @da_flo Vielen Dank. Die VLANS kann ich nicht verbinden (auf VLAN1) denn das sind verschiedene DMZ Perimeter. Alle Services sind aus. Factory Reset auch mehrfacht getan. Ich habe soeben auch mal ins SYSlog vom Switch geschaut und da ist alles gerammelt voll Fehler "Failed to open "NVRAM with op=COUNT" (denke ein Problem mit dem Switch Memory). Papa gysinma1 hat n neuen ins Budget genommen für den May ... es ist nur meine XXL Spielwiese Gruss aus CH +mat
  11. Mini Repeater das Modell vom Mediamarkt für 19€ mit 4 Ports ...Netgear. Es hat auch ein VLAN von dem ISP da gehen auch die DHCP Requests der WAN Interface nicht durch mit anderen Worten die Firewalls sind alle direkt via sonem Mediamarkt Repeater gepached ....da via Switch keine IP abgerufen wird. Gemäss ISP kommt auch gar kein DHCP Req an.
  12. Hi da_flo Vielen Dank - Das habe ich alles schon durch leider erfolglos. (Ich habe Untaged zu den Devices und kein Tagging versucht) Routing (sofern man davon reden kann denn zwischen den VLANS ist nur HTTPS erlaubt) geht via den FW Walls wunderbar, denn sobald ich die Geräte direkt auf die FW patche geht das auch. (DHCP Relay benötige ich keinen, da jedes VLAN selbst DHCP Server hat resp. statische IPs hat. Typische DMZs). Wie ich sagte ersetze ich den Switch mit einem Mini Repeater geht's weshalb ich eigentlich eher den Verdacht habe, dass der Switch das am segnen ist .. ich möchte mich hier einfach nochmal vergewissern .. lg +mat
  13. Es sind beide in demselben VLAN und sind nicht getagged (ich kann beim "Tagging" Untag und Tag oder auch leer lassen konfigurieren). Ich habe es bei "leer-lassen" belassen. Untag habe ich versucht mit demselben Resultat. Es ist auch nicht zwingend zwischen Firewall und Server Interface sondern auch wenn ich testhalber zwei Server so verbinde. Ich denke deshalb dass es auch nicht am Zusammenspiel FW und Switch liegt. Eher dass der Switch sich am Verabschieden ist. ...
  14. Hi Zahni und Lefg Ja das ist richtig. Das Routing machen die Firewalls. Jedes VLAN ist an einem Firewall Port und ist ein anderes Permiter (DMZ, Prod, Isolated DMZ etc.). Das funktioniert soweit auch, denn sobald ich den Firewall Port direkt auf die Server NIC verbinide geht's wunderbar. Ist der Switchport dazwischen (z.bsp. Port A Firewall und Port B Server beide in demselben VLAN) ist nicht mal ein Ping möglich (trotz fester IP) und die Karte des Server geht auf 100 runter. Gruss, +mat
  15. Hi Zusammen Ich habe in meinem Bastellab einen Zyxel Switch GS-1548 ( low cost) und habe darauf 6 VLANs definiert. Leider werden diese wohl "isoliert" untereinander aber es sieht so aus, dass die Ports nicht zusammenarbeiten wollen so kommen z.bsp. DHCP Requests innerhalb des VLANS nicht an oder die Devices (alles Firewalls oder Server NICs) sind nicht pingbar und teilweise gehen die Ports auf 100 MB runter (auch wenn ich Serverseitig 1000 GB fix einstelle geht der Port auf "disconnected"). Nun meine Frage: Ich kann bei der VLAN konfig noch Tagging oder Untagging konfigurieren ... Leider ist da meine damalige Netzwerktätigkeit schon bald 16 Jahre her :-(. Ich habe einfach die Ports in das richtige VLAN definiert. Aehm muss man da was einstellen ? Der Switch hat keinen "Bruder" im Netz sondern nur Firewall Ports die direkt in das VLAN gesteckt sind. Da sollte mir ja auch VLAN Tagging nichts bringen das wäre ja dafür gedacht, wenn ein mindestens zweiter Switch im Spiel ist ... oder seh ich das falsch ? Oder sieht es so aus, dass dieser Switch eine "Flade" hat (nach 5 Jahren) und ein Ersatz notwendig wird ? (Ich bin eigentlich fast bei dieser Schlussfolgerung angekommen). Firmware ist latest. Nehme ich 6 kleine Repeaterli funktioniert alles wunderbar. Nicht dass ich wegen eigener Dummheit ein Gerät das noch geht entsorge ;-) Grüsse aus CH +mat
  16. Hi Zusammen Hat jmd folgendes schon ausprobiert nen WAP (Windows Application Proxy) vom Server 10 mit einem ADFS Server 2012 R2 zu verbinden und diesen als ADFS Proxy zum Beispiel für Intune oder Azure zu verwenden ? Grund ich möchte den ADFS selbst nicht unbedingt updaten nur für n Test. Dachte Euch zu fragen, bevor ich den Radiergummi im Lab hervornehme ... Grund der WAP Proxy vom 2012 R2 kann lediglich https publizieren und der Server 10 sollte http auch publizieren können und das ist exakt was ich brauchen würde. (TMG ist depreciated entsprechend möchte ich mich damit nicht mehr auseinandersetzen). Anbei es geht wirklich nur um ein lab zum rumspielen ... Gruss, +mat
  17. Hi Natürlich ist jedes (bekannte) Loch technisch zwar (theoretisch) stopfbar jedoch fragt es sich halt auch immer wie der Aufwand aussieht und ob das Verhältnismässig ist. Meiner Erfahrung nach können solche "administrative" Eingriffe wie Rechner Plattmachen ohne genügend Grundlagen teilweise auch ohne Einverständnis des Benutzers (teilweise auch ohne Einbezug eines Betriebsrates) rechtlich ziemlich heikel werden (v.a. wenn Reglemente fehlen) - wem gehören die Daten ? Sind noch private Hochzeitsfotos des Benutzers darauf gespeichert und sind weg. Trotzdem ich für die IT Infra Verantwortlich wäre, würde ich das nicht als Admin alleine entscheiden wollen, sondern meinen eigenen Vorgesetzten auch involvieren (um mir den Rücken zu decken) v.a. wenn es nicht 100% klar ist. Ist der Mitarbeiter nicht mehr im Unternehmen gibt es (oder sollte es) einen Austrittsprozess geben, dann gehört die Dose meiner Meinung nach sowieso platt gemacht (auch um den ehemaligen Mitarbeiter zu schützen). Ich denke wir sind da definitiv auch in einem rechtlichen Bereich, worin entpsrechend versierte Personen und nicht "nur" das MCSEboard gefragt werden müssten. Gruss, Matthias
  18. Hi Zusammen Für diejenigen, welche Windows 10 Server Preview am Testen sind .. Offiziell ist der Agent vom System Center Endpoint Protection 2012 R2 nicht installierbar und nicht supported auf Server 10. Es gibt jedoch einen Workaround, damit wenigstens ein Virenschutz vorhanden ist (in Kombination mit System Center 2012 R2 - Configuration Manager). Es handelt sich dabei um einen nicht supporteten Workaround ... und NICHT für PRODUKTIVE Umgebungen !! Den Agent (scepinstall.exe) aus dem Client Installation Ordner auf den Server 10 kopieren und starten. Der Agent wird dabei entpackt. Den entpackte Inhalt (amd64) nehmen darin sind vier MSIs. Diese in folgender Reihenfolge mit folgenden Parameter installieren: 1) cmd /c msiexec.exe /i EppManagement.msi /qb /l* %temp%\EppManagement.log ENABLEPROMANWMI=1 SECURITY_POLICY_LOCATION="c:\windows\CCM\EPAMPolicy.xml" MARKET="en-us" 2) cmd /c msiexec.exe /i FEPClient.msi /qb /l* %temp%\FEPClient.msi ENABLEMANAGEMENT=1 ENABLEFIREWALLMANAGEMENT=0 3) cmd /c msiexec.exe /i dw20shared.msi /qb /l* %temp%\dw20shared.msi 4) cmd /c msiexec.exe /i epp.msi /qb /l* %temp%\epp.log AMPRODUCT="SCEP" PRODUCTICON="c:\Program Files\Microsoft Security Client\EppManifest.dll,-100" PRODUCTLOCALIZEDNAME="c:\Program Files\Microsoft Security Client\EppManifest.dll,-1000" REMEDIATIONEXE="c:\Program Files\Microsoft Security Client\msseces.exe" SIGNATURECATEGORYID="a38c835c-2950-4e87-86cc-6911a52c34a3" PRODUCT_SKU="SCEP 2012" Server neu starten. Finito. Gruss, Mat P.s. Das Ganze noch mit Bilder hier auf Englisch https://ndswanson.wordpress.com/2015/01/09/installing-system-center-endpoint-protection-on-windows-10/ P.s 2 . Noch ein kleiner Nachtrag. Policies für den Agent können nicht via ConfigMgr verteilt werden, da dabei der Agent reinstalliert würde, was eben nicht geht. Am Einfachsten ist von einem Rechner mit denselben SCEP-Policies WS 2012 R2 den Registry Hive [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Microsoft Antimalware] zu exportieren in ein REG File und dieses auf dem Server10 Preview zu importieren. Die Fehlermeldung "Unable to query registry value (ProductName), return (0x80070002) means EP client is NOT installed successfully." im Logfile "EndpointProtectionAgent.log" ist dabei völlig normal and "as expected" da der ccmexec Agent versucht den SCEP Agent zu installieren. Die FM kann dabei ignoriert werden. P.s. 3 Danke Lian für die Formatierung :-)
  19. Hi Vielleicht kann ich helfen. Es gibt im Logobuilder (Microsoft.com/mcp) einen verbindlichen Guide dazu welcher automatisch mit den Logos im Download mitdabei ist: Aktuelle Ausgabe ist "June 2013". Darin sind Verwendung, Farbe und Grösse geregelt. Und da steht bezüglich Verwendung zsp siehe u.a. Seite 17/18: .. > Microsoft Certification name or logo(s) may not be used on any product, book, packaging or other materials, except as identified in these guidelines or without the express written consent of Microsoft. >Microsoft Certification logo(s) or “Microsoft” may not be displayed as part of the MCP’s name, company name, logo, or Trademark. Ich sehe es manchmal auch in Mailsignaturen von Firmen dass MCPs gelistet werden, aber Briefpapier ists was anderes. Meiner Ansicht nach macht es eher Sinn, dass eine Firma den Partnerstatus (Gold, Silber, Platin) wie bereits erwähnt angibt. Nachträglich ergänzt: @Real/Unreal wenn du einen MCP Logon hast (Voraussetzung für die erste Prüfung), gehe auf den Logo Builder und mache Dir ein schmuckes Logo Deiner "Trophäe", wenn Du es downloaded hast Du den Guide auch dabei wie Du es verwenden darfst. Gruss, Matthias
  20. gysinma1

    Gugus

    lol .. Danke Euch .. in der Zwischenzeit habe ich auch herausgefunden dass Blogs mehrere Seiten haben (können) :jau: . Naja es ist halt n bissel her
  21. Hi Ich verstehe nicht ganz ... sorry (vielleicht steh ich auf dem Schlauch). Du hast ein Hyper-V Host 2012 R2 mit einer virtuellen Gast Maschine mit mehreren Disks. Eine/mehrere möchtest Du nicht backupen und nimmst diese offline ? Das Wbadmin (Windows Backup sichert diese Disk mit ? Läuft dieses in der virtuellen Gastmaschine oder auf dem Host ? Danke für die Infos und Gruss, Matthias
  22. Hi Das ist leider meist alles was sich da rausholen lässt. Der Grund ist, dass der Store eine Userkomponente ist, welche sich mit der ersten Anmeldung des Users installiert (vorher sind die binaries generalisiert ähnlich sysprep) vorinstalliert und je nachdem dauert es halt. Gruss, Matthias
  23. Ok nehmen wir es ganz genau :-). Der Agent auf IOS ist von Apple und derjenige von Android von Google. Der Intune Management Point greift über die OMA Schnittstelle auf diesen Agent zu. Funktionsumfang der Verwaltung unterliegen deshalb diesem Agent. Microsoft selbst stellt diese als offene Schnittstelle zur Verfügung. Leider habe ich in zahlreichen Intune Projekte auch Probleme damit gehabt, dass diese Agents (leider) nicht alle Funktionen analog einem Microsoft Produkt abbilden (können) so ist zum Beispiel das Zeitintervall der Hardware Inventory unter IOS zwar konfigurierbar de facto werden diese Policies von dem IOS Agent jedoch nicht abgearbeitet.
  24. Hi Hmm ich finde das nicht eine wirklich gute Idee, denn aus irgendeinem Grunde bindet er das ISCSI LW in das Baremetal Backup ein. Bevor diese Ursache nicht gefunden ist, würde ich einem solchen Backup Satz nicht trauen, denn das ist ein Baremetal Backup wo faktisch bei einer Disk das Stromkabel gezogen ist. Das Baremetall Backup soll ja grad NOTFAELLE abdecken - sonst gibt es evtl. viele frustrierte Gesichter bei dem Restore. Gruss, Matthias
×
×
  • Create New...