Jump to content

4zap

Members
  • Gesamte Inhalte

    353
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von 4zap

  1. Am 24.8.2021 um 10:40 schrieb zahni:

     

    Aber dann sind wir wieder bei einer managed PKI und wer will das schon. Meist nur wenn du S/Mime oder sowas noch in public verwenden willst. Jedes enrollte Zertifikat kostet halt.... im Gegensatz dazu eine eigene PKI ja auch am Ende... muss jeder selber wissen. Ich bin kein Freund davon.

     

    Es hat mir ja keine Ruhe gelassen mit NTLM relay -> https://support.microsoft.com/de-de/topic/kb5005413-mitigating-ntlm-relay-attacks-on-active-directory-certificate-services-ad-cs-3612b773-4043-4aa9-b23d-b87910cd3429

    bin mal alle Einstellungen durchgegangen - bis auf negotiated kerberos waren wir schon ganz nah dran :D 

  2. Ja, aber mit vorher gebrannter Server 2019 DVD - Image aus dem VLSC, nicht über Windows Update Server. also mehr oder weniger "in-place" :D

    Probleme gabs mit dem Teaming Netzwerkadapter des HP Servers - musste erst aufgelöst weden und mit der Grafikkarte von Matrox gabs zickereien.

    Wir hatten die gleiche Konfig - HyperV mit DC drauf. Auf einem neueren Lenovo Server gabs null Probleme.

    Longterm werden wie die onprem Kisten aber bald in Rente schicken. Wir sind soweit fertig mit Intune, Azure AD Domain join usw. Ziel ist 100% cloud.

     

  3. vor 14 Stunden schrieb NorbertFe:

    Was bringt das denn Security technisch? Damit der ie Mode funktioniert muss der ie11 weiterhin auf dem System installiert sein.

     

    Moin

    Zitat

    Internet Explorer 11, wenn Websites in einem eigenständigen Internet Explorer 11-Fenster geöffnet werden sollen (diese Option wird nach dem 15. Juni 2022 nicht mehr unterstützt, wenn die Internet Explorer 11-Desktopanwendung eingestellt und der Support eingestellt wird. Nach dem 15. Juni 2022, wenn IE11 nicht mehr verfügbar ist, verhält sich diese Option genauso wie die Internet Explorer-Modusoption.)

     

    Eine Ende scheint aber in Sicht.

  4. vor 1 Stunde schrieb NorbertFe:

    Nein er meint das webinterface ;) das war ja von petitpotam betroffen. 

     

    Ach stimmt. die NTLM Geschichte mit Domänenübernahme. Wir haben die RootCA und PKI abklopfen lassen, wir verwenden dort kein NTLM mehr seit einiger Zeit. Wir hatten aber ein faules Template gefunden was wir geändert hatten, da hatte mal ein admin mit rumgespielt und hatte böse Berechtigungen gesetzt für die User.... hätte böse enden können.  Thema Golden Ticket.....

  5. vor 6 Minuten schrieb NorbertFe:

    Wenn man zu schnell wechselt hat das eine re-Authentifizierung zur Folge. Nicht jedes System bekommt das sinnvoll hin. ;) im Zweifel einmal früh und dann zum Feierabend ein zweites Mal. Wenn’s kleine Umgebungen sind einfach testen.

    Super Danke, Norbert.... für den zweiten Wechsel hab ich Zeit, das kann ich am nächsten Tag machen. Ich ändere das Passwort heute abend, und dann Freitag abend nochmal. Die Umgebung ist zu groß zum Testen.... leider. Das AD zieht sich quer über den Planeten. Daher frag ich lieber mal vorher, die MS Docs sind nett, sagen aber nix über evtl. Folgen aus und meine Recherche hat kaum was ergeben, also scheints folgenlos zu sein wenn man nicht zu hekitsch die zweite Änderung nach sich zieht.

  6. Moin

     

    ich muss die Kennwortänderung für der Kbrgtr account durchführen. Die letzte Änderung ist zu lange her, wir müssen den jetzt alle 30 Tage erneuern wegen Compliance.

    Normalerweise sehe ich da kein Problem drin, ich ändere das Kennwort ....warte auf die Replikation und ändere dann nochmal. Was mich jetzt grad blockt ist die Tatsache das mit dem Account ja alle Token verschlüsselt werden.

    Die Token werden on the fly neu erstellt. Ich hab diverse service account die per oauth API aufs AD zugreifen aus anderen Systemen usw.

    Was nicht passieren darf das irgendwelche Accounts dann erstmal aus irgendwelchen Gründen keine valides token bekommen und es kommt zu Unterbrechungen in der Produktion.

    Die AD Helden im Forum hier wissen doch bestimmt welche Folgen das evtl. hat? Lauf ich Gefahr irgendeinen Account auszusperren den ich dann per quick fix wieder an der Start bringen muss oder ist es total unberechtigt das ich mir hier Sorgen mache?

     

    Danke und Gruß

  7. vor 8 Stunden schrieb cj_berlin:

    Moin,

     

    auch wenn es eine große Umstellung ist: certreq.exe ist vom Browser unabhängig.

    Moin

     

    das wäre natürlich eine Alternative auf Befehlzeilenebene. Danke. Aber kann ich miit certreq.exe auch auf eine PKI pointen, im AD Intranet ist das ja kein Problem?  Der DC sagt ja wo es langegehen soll. Es geht um Clients die kein connect zur Domäne haben. Intern laufen GPOs für Device und Userzertifikate. Die Roadwarrior ziehen sich momentan per IE und client Anmeldung die Zertifikate bei Bedarf übers Webenrollment portal. Ich brauchs nicht zwingend aber das Webenrollment ist schon gut besucht und ich würds gern weiter führen. Wenn certreq damit klar kommt würds schon passen. Ich acker mich mal durch die Referenz. Danke.

  8. Hi

    ich betreibe eine eigene RootCA und SubCA im AD. Für manche Anwendungsfälle haben wir ein Zertifikats Web enrollment aufgesetzt und können per IE Zertifikate auf domain joined clients ausrollen die keine aktive Verbindung zur Domäne haben. Klappt super, aber nur mit IE.

    Jetzt ist IE abgekündigt, ich find keine Alternative für einen Browser mit dem das Web enrollment noch funktionieren würde. Hat jemand eine Alternative parat? Im nächsten Win10 deployment build ist kein IE mehr am Start.

    Ích ging davon wir sind nicht die Einzigen mit dem Problem aber via Google und MS Technet find ich nicht einen Hinweis darauf, entweder bin ich zu doof zum Suchen oder es gibt wirklich keinen Ersatz. Weiß jemand mehr?

     

  9. SBS neu installieren? Ich mochte SBS sehr gerne, war ne gute Lösung für kleine Unternehmen damals. Ich erinnere mich das SBS2011 nur wenig Unterschiede zu SBS2008 aufwies, daher kann das schon sein das der beim install 2008R2 anzeigt wenn ich mich recht erinnere. Aber ernsthaft, willst du die Kiste wirklich noch an den Start bringen? Funktioniert der Exchange überhaupt noch? Mal abgesehen von der ganzen Sicherheitsproblematik würd ich einen SBS nirgendwo mehr hinstellen in ein produktives Netzwerk.

  10. Am 12.2.2020 um 19:44 schrieb djmaker:

    NAS sind prinzipiell auch angreifbar. Es sei denn, sie haben eine WORM-Funktion (z.B. DataDomain).

    Ja stimme zu. Hab schonmal zwei an Chinesische Hacker verloren..... exploit kam durch, danach wars ne Spamschleuder. Solange die Interfaces nicht mit PortForwarding ins Internet bringt is alles gut.

     

    Mit LTO Bändern fang ich erst gar nicht mehr an..... wasn Krampf über die ganzen Jahre. Hat funktioniert aber was für ein Aufwand war das immer.

     

    Alle wichtigen Daten haben wir in der Cloud mit Versionierung (OneDrive Business) da mach ich mir keine Sorgen drum wegen Ransomware. Sind die Weg hat MS ein Problem.

    Die SSD läuft jetzt dank erweitertem aktivem Hub. Läuft auch erstmal so weiter bis sie verglüht.

  11. kurzes Update:

     

    wenn man schnelle USB Festplatten verwenden will  sollte man sicher stellen das die Stromversorgung ausreichend ist am USB Port. Bei max. Schreibgeschwindigkeit kackt die Platte ab. Mit aktivem USB HUB fährt das Backup, aber ein aktiver USB Hub ist nicht unbedingt meine erste Wahl wenn ich sicherstellen will das die Backups laufen. Aber erstmal geht es damit.

  12. vor einer Stunde schrieb NorbertFe:

    Ja aber nur für öffentliche Schlüssel und die Anforderung klingt nach private keys, was aber per goo nicht funktioniert.

    Äh mit einer eigenen rootCA bzw. PKI sollte das doch problemlos möglich sein. Oder versteh ich was falsch?

    UserCert Auto-Enrollment.

    Funktioniert bei uns so das bei jeder ersten Useranmeldung am Device das UserCert mit ausgerollt wird.

    Kann man so konfigurieren das kein Usereingriff notwendig ist. In der Standardkonfig wird der User ständig benachrichtigt. Nervt. Bloss nicht den Haken unten setzen.

     

    Capture.PNG

    Capture.PNG

  13. Hi

     

    ich bin auf der Suche nach eine HCL für Server2019 und find nix.  Windows Backup auf externe Platte soll ermöglicht werden. Bislang bin ich mit den WD USB Platten ganz gut gefahren war aber auch zuletzt Server2012r2.

    Seagate Fast SSD 4TB haben wir versucht. Per Skript nimmt der wbadmin die Platte auch an, der Backup scheitert aber mittendrin. Sind diese SSDs überhaupt geeignet für den Server Backup. Ich diskutiere gerade mit einem Kollegen und bin der Meinung die taugen nicht dafür.

  14. vor 11 Stunden schrieb NilsK:

    Moin,

     

    falscher Weg. Die "Domänen-Benutzer" willst du i.d.R. in der lokalen Gruppe "Benutzer" belassen, weil sonst verschiedene andere Dinge kompliziert werden. Du willst die Gruppe "Benutzer" aber aus den Ordnerberechtigungen* entfernen. Das wiederum erledigst du am besten über die Vererbung, d.h. schon aus dem übergeordneten Ordner sollte diese Gruppe verschwinden, dann stört sie "unten" nicht mehr.

     

    * hier ist es wichtig zu unterscheiden: wir sprechen hier von den NTFS-Berechtigungen, nicht von den Freigabeberechtigungen. Letztere sind standardmäßig für die Gruppe "Jeder" vordefiniert, "Benutzer" tauchen dort gar nicht auf. In nahezu allen Fällen will man das auch so lassen und die Freigabe mit "Jeder: Vollzugriff" berechtigen.

     

    [Datei- und Freigabeberechtigungen in Windows | faq-o-matic.net]
    https://www.faq-o-matic.net/2015/12/28/datei-und-freigabeberechtigungen-in-windows/

     

    Gruß, Nils

     

    Endlich mal die Sache auf den Punkt gebracht! Wie oft erntete ich doofe Blicke  von non MS Admins wenn ich die Freigabe für "Jeden" setze. Da stehen denen die Haare zu Berge. Deine Erklärung sollte man oben anpinnen :)

  15. Der Chatverlauf von S4B liegt in Outlook im Ordner Aufgezeichnete Unterhaltungen und nicht in S4B selbst. S4B ( online ) wurde schon abgekündigt letzte Woche. Also lange geht das eh nicht mehr und ihr solltet auf Teams umsatteln.

    Wenn der Chatverlauf nicht im Ordner in Outlook sichtbar ist fehlt er auch auf dem Exchange Server im Konto.... (nutzt ihr onprem Exchange?). Ich würde erstmal da suchen. Ich kenne es von Mac OSX und Outlook, dort fehlt der Chatverlauf auch komplett. Erst wenn sich der User einmal auf einem echten Windows System mit Outlook anmeldet werden die fehlenden Ordner erstellt und synchronisiert. Dann sind sie auch auf dem Mac im Outlook zu sehen.

    Ich vermute bei euch irgendwas in diese Richtung... 

  16. Am 10.9.2019 um 15:11 schrieb monstermania:

    Ich würde in so einem Fall ganz klar in Richtung Microsoft 365 denken.

    Zentrale Verwaltung/Management der Clients dann per Intune.

     

    Sind auch gerade dabei uns in das Thema AAD/Intune/Autopilot einzuarbeiten (Verwaltung unserer mobilen Notebookuser).

    Ja, mit Windows 10 pro  einen Azure AD join - Intune konfigurieren - feddisch!

    Vorteile: du kannst komplett auch Handys mit MDM abdecken und bekommst auch die Exoten zum Großteil in den Griff. 

×
×
  • Neu erstellen...