StefanWe

Schon ziemlich lang her. Gehts mittlerweile? reverse proxy ist nicht supported. Stell den Exchange ins Internet und begrenze den Zugriff von extern auf die Microsoft ips für Teams und Exchange. So läuft es bei uns. Alles andere ist Murks.

Toller Thread, ich hoffe noch nicht zu alt. wir haben das Tier Modell bei uns auch umgesetzt. Bis ich die alten Hasen erklärt habe, warum wir das tun, sind schon Monate vergangen. Der ein oder andere sagt heute noch, das die Arbeit kaum zu erledigen ist, weil der Verwaltungsoverhead enorm ist. Tier0 ist simpel. Bei Tier 1 und 2 wird’s haarig. Gerade Tier2. Wir haben dem normalen Useraccount das Tier2 Recht gegeben. Damit ist halbwegs normales arbeiten möglich. Nicht gut, ich weiß. paws haben wir noch nicht eingeführt, weil schlicht noch kein sauberes Konzept vorliegt, wie man auch aus dem Home Office diese nutzen kann. richtig Grenzwertig wurde es als wir 2 FA für die Tier User eingeführt haben. Zu erst mit Yubico als Smartcard. das geht aber nur sauber, wenn überall der yubico minidriver installiert wird. Da wir noch xp clients in der Produktion haben, hat uns dass das durchgängige Konzept verhagelt. Auch wollten wir nicht auf jedem Server den Treiber installieren. Ende vom Lied, kein durchgängiges Konzept, alle unzufrieden. als Lösung haben wir dann Silverfort gekauft, geniale Lösung. Auf einmal war jeder Netzwerkzugriff mit 2fa geschützt. Einzig, cached Credentials können es für die lokale Anmeldung außer Kraft setzen. Aber genau das war nun das Problem mit den eigenen Workstations. So richtig glücklich sind wir damit auch nicht. achja, die Tier1 Admins in die Protected User Gruppe aufnehmen? Schlechte Idee, wenn man Radius zur Anmeldung an den Switchen verwendet. Geht dann nämlich nicht mehr. also, eigener User zur Verwaltung der Switche? @wznutzer bei Service Accounts regelmäßig die Kennwörter zu ändern halte ich für nicht realistisch, jedenfalls nicht, wenn die IT normal bis unterbesetzt ist. das Thema ist so unfassbar komplex, es gibt nicht die eine Lösung. Aber sich damit zu beschäftigen und so viel wie möglich umzusetzen, ist schon mal ein sehr guter Schritt. @daabm mit welchen Usern verbindet ihr euch über cyberark mit den Servern? Gibt es da einen generellen Account und ihr verbindet euch mit dem persönlichen gegen cyberark?

um es abzuschließen, ist es dann auch eher aktuell ein "gehyptes" Thema, wo jedes Unternehmen sich zwar ärgert, dass es etwas teurer wird, aber die Kosten für einen Umbau stehen dann in keinem Verhältnis.

@zahni ich kenne aktuelle Preise von VMWare nicht, aber ein Abo Modell halte ich jetzt prinzipiell erstmal nicht für schlechter. Ja die Bestandslizenzen werden teurer, aber eine jährliche Preissteigerung ist auch bei Wartung nicht selten. Für 4000 Euro pro Jahr mehr ist das zwar Ärgerlich, der, der aber vorher schon Enterprise Plus hatte, wird auch die Features genutzt haben und für ihn gibt es derzeit keine wirkliche Alternative. vSphere Standard entfällt dann komplett? Für die Kunden wirds dann teuer. Da ist dann Hyper-V wohl eine Alternative. Ich möchte hier jetzt aber keinen "Vmware Lizenz Thread" von machen. Die Aussagen von @mwiederkehr und @cj_berlin sind ja schon ganz informativ. Ich höre im moment selbst viel von Azure Virtual Desktop, kann den Hype darüber aber selbst auch nicht ganz nachvollziehen.

Hallo, mich würde mal interessieren, was für Projekte und Anforderungen ihr so im Cloud Umfeld umsetzt. Für mich wirkt es so, als wenn niemand mehr sich um klassische on Prem Migrationen kümmert. AD updaten, oder ähnliches. allerdings fehlt es mir auch an Kreativität, zu erkennen, was heute alles umgesetzt wird. Lift and Shift? M365 Einführungen? Müsste doch mittlerweile jeder haben. eigene Programmierungen wo ich dann entsprechende Services von Azure nutze? Kann doch nicht jeder wollen. Ich freue mich auf eine rege Diskussion.

Hallo @NilsK, leider nicht ganz. Das könnte vielleicht funktionieren, wenn wir die Geräte undeployed und AzureAD only gejoined sind. Wir stellen die Geräte Active Directory und Azure AD hybrid gejoined zur Verfügung. Vermutlich ist das auch das große Problem an der Sache.

Hallo, wir würden gerne Hello for Business einsetzen. Es ist konfiguriert und funktioniert. Aber wir haben im Lifecycle noch folgende Fragen: Ziel soll es sein, Kennwortlos im Unternehmen zu arbeiten. Szenario A: Ein neuer Mitarbeiter fängt bei uns an und bekommt ein Gerät in die Hand, welches Mitglied unserer Active Directory Domäne und Hybrid gejoind ins Azure AD ist. Muss ich dem Mitarbeiter jetzt erstmalig ein Passwort mitgeben? Wie erzwinge ich anschließend, das er sich nur noch mit Hello for Business anmeldet und nicht weiter mit dem Passwort? Szenario B: Ein bereits vorhandener Mitarbeiter nutzt seit geraumer Zeit Hello for Business und kennt sein Passwort nicht mehr. Sein Gerät geht kaputt. Er bekommt ein neues Gerät. Muss er dann zwingend vom Help Desk ein neues Passwort erhalten? Wenn ich die GPO "Erzwinge Hello for Business oder Smart Card Anmeldung" für Computer aktiviere, kann sich ein Benutzer nicht neu an einem Gerät mit Password anmelden. Auch ein IT Mitarbeiter kann sich nicht an dem Gerät anmelden. Welche Erfahrung habt ihr im Lifecycle gemacht?

@PadawanDeluXe grundsätzlich guter Gedanke. Mit was automatisiert ihr? Ich denke da gerade an Ansible...

Hallo, wir betreiben eine interne AD integrierte PKI für unsere Computer und Webserver Zertifikate. Da wir mittlerweile auch intern immer mehr auf SSL umstellen, benötigen wir auch intern mehr Zertifikate für unsere Webserver. Da aber bei einer Anzahl von > 50 Webservern ( IIS, Apache, Jenkins, sonstwas ) die Arbeit massiv zunimmt, die Frage, wie ihr automatisch die Zertifikate an die Webserver verteilt. Welche Tipps habt ihr?

Hallo, wir haben einen EA mit M365 und einigen on Prem Lizenzen. Im EA beinhaltet die M365 Lizenz das VDA Recht zum Betrieb von virtuellen Windows 10 Desktops als VDI. derzeit haben wir auf unseren thinclients Windows iot. Überlegen aber, auf Linux zu migrieren. ist dies so ohne weiteres Lizenzrechtlich in Ordnung, oder muss ich für jeden Endpunkt trotzdem eine Windows Lizenz haben?

Das ich bei jedem Bild immer wieder mit allen Objekten und Abhängigkeiten von Vorne anfangen muss.

Hallo, vermutlich nicht das richtige Unterforum, ich wüsste aber auch keinen besseren Ort. Ich bin auf der Suche nach einer alternativen Software zur Zeichnung von Architekturbildern als Visio. In confluence als Wiki haben wir derzeit draw.io eingebettet. Aber dies ist im Grunde ähnlich wie Visio. Als Architekturbilder geht es zum einen um reine technische Bilder, wie welche Software / Server im Netzwerk verbunden ist, aber auch um Prozessbilder, wie welche Software von anderer Software abhängig ist. Wie die Kommunikation erfolgt. Was mir fehlt ist eine Lösung, welche Objekte und ihre Abhängigkeiten im Hintergrund speichert, so dass man nicht bei jeder Zeichnung von vorne anfängt. Beispiel: Ich erstelle ein Objekt ESX Server, verbinde ihn dem Storage System und male in dem Bild eine VM, welche auf dem ESX Server läuft. In einem anderen Bild möchte ich die Prozesse visualisieren, welche auf dieser VM arbeiten. Um aber dennoch zu erkennen, von was diese VM abhängig ist, wäre hier eine entsprechende Referenz interessant. Ich habe schon öfters von Enterprise Architekt gelesen. ArchiMate oder ähnliche Produkte. Allerdings ist dies ja eher UML Sprache, anstatt ansehnliche Architekturbilder. Wie und wo erstellt ihr solche Architekturbilder?

Nach langer Suche haben wir nun den Grund gefunden. Es lag tatsächlich überhaupt nicht an den Zertifikaten bzw. der Kette an Systemen, sondern eine Fehlerhafte Konfiguration in der MDM Software Soti. Diese hat immer den Usernamen in das Profil auf das iPad geschrieben, anstatt dem iPad zu sagen, es sollte doch das Zertifikat verwenden. Erst ein Löschen und neuerstellen der Konfiguration in Soti hat das Problem beheben können. Sieht nach einem Bug in der MDM Software aus.

sehr cool. Ich habe jetzt auch mal das Modul TameMyCerts installiert, da die Zertifikatsanfrage eine offline ist und der Request durch die MDM Software erstellt wird und dann erst bei der CA eingereicht wird. Allerdings, auch dies - kein Erfolg.

ok, das kann ich nachvollziehen. Ich frage mich halt nur, wo kann der Fehler liegen, da ich mittlerweile echt ratlos bin...