Jump to content

StefanWe

Members
  • Gesamte Inhalte

    1.330
  • Registriert seit

  • Letzter Besuch

Reputation in der Community

14 Neutral

2 Benutzer folgen diesem Benutzer

Über StefanWe

  • Rang
    Board Veteran
  • Geburtstag 09.07.1986
  1. Azure Hybrid AD Join verstehen

    Hallo, wir haben seit längerem Azure AD und auch die Geräteregistrierung über ADFS (Win 2016) und AD Connect Geräte Synchronisierung aktiv. Ich habe allerdings ein paar Verständnisfragen. Wir möchten unser lokales Active Directory als primäres AD nutzen, allerdings Cloud Dienste wie Hello for Business verwenden, allerdings erstmal nur für unsere mobilen Endgeräte. Dementsprechend möchten wir auch nur, dass diese Geräte Azure AD Joined sind. Wenn ich nun im Azure Portal nach Geräten suche, finde ich dort ALLE! Computer Konten vom lokalen Active Directory. Ich habe dann vor einigen Wochen auf oberster Domänen Ebene die Geräte Registrierung "deaktiviert". Wie in diesem KB Artikel: https://docs.microsoft.com/en-us/azure/active-directory/devices/hybrid-azuread-join-control Allerdings werden auch alle neuen Geräte direkt im Azure Portal angezeigt. Die Geräte sind idr. Aktiv aber die letzte Aktivität ist schon einige Wochen her. "Verknüpfungstyp" ist immer "Hybrid azure ad joined". Da frage ich mich, warum tauchen die Geräte dort auf ? Kommt das durch AD Connect ? Zieht die GPO nicht? Bei den Geräten wo ich Azure AD Join haben möchte, habe ich oben genannte Policy auf "aktiv" gesetzt. Diese sehen im Azure Portal jetzt nicht anders aus. Die letzte Aktivität ist dort auch meist schon einige Wochen her. Auch ist ein Besitzer nirgends hinterlegt. Wenn ich auf einem Computer der augenscheinlich Azure AD joined ist, dsregcmd/status ausführe, sehe ich folgendes: +----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DomainJoined : YES DomainName : DOM +----------------------------------------------------------------------+ | Device Details | +----------------------------------------------------------------------+ DeviceId : f66dbde4-3bf1-42c1-8795-5b8d395137ad Thumbprint : 078E2FA880AC1A731FB8BCC3FD25F967D2D3C716 DeviceCertificateValidity : [ 2018-12-07 12:13:32.000 UTC -- 2028-12-07 12:43:32.000 UTC ] KeyContainerId : 46485845-91bf-4e63-b076-23418fe1be08 KeyProvider : Microsoft Software Key Storage Provider TpmProtected : NO +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ NgcSet : YES NgcKeyId : {DD702248-CF28-487D-95F6-C6EC586CC16D} CanReset : DestructiveAndNonDestructive WorkplaceJoined : NO WamDefaultSet : YES WamDefaultAuthority : organizations WamDefaultId : https://login.microsoft.com WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd) Bei einem System, welches nicht Azure AD Joined sein sollte, sieht es wie folgt aus +----------------------------------------------------------------------+ | Device State | +----------------------------------------------------------------------+ AzureAdJoined : YES EnterpriseJoined : NO DeviceId : e0a67059-1f22-44a9-8448-c29b9b17a737 Thumbprint : 11EE2058C7675796C6A1E0070E4CB775DE3C6659 KeyContainerId : 9031e05f-422a-48c0-8949-3eed8f1c45e5 KeyProvider : Microsoft Software Key Storage Provider TpmProtected : NO KeySignTest: : MUST Run elevated to test. Idp : login.windows.net TenantId : a20f67f5-74f9-470b-af40-111fc5097c7f TenantName : gmbH & Co. KG AuthCodeUrl : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f/oauth2/authorize AccessTokenUrl : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f/oauth2/token MdmUrl : MdmTouUrl : MdmComplianceUrl : SettingsUrl : JoinSrvVersion : 1.0 JoinSrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/device/ JoinSrvId : urn:ms-drs:enterpriseregistration.windows.net KeySrvVersion : 1.0 KeySrvUrl : https://enterpriseregistration.windows.net/EnrollmentServer/key/ KeySrvId : urn:ms-drs:enterpriseregistration.windows.net WebAuthNSrvVersion : 1.0 WebAuthNSrvUrl : https://enterpriseregistration.windows.net/webauthn/a20f67f5-74f9-470b-af40-111fc5097c7f/ WebAuthNSrvId : urn:ms-drs:enterpriseregistration.windows.net DeviceManagementSrvUrl : https://enterpriseregistration.windows.net/manage/a20f67f5-74f9-470b-af40-111fc5097c7f/ DeviceManagementSrvId : urn:ms-drs:enterpriseregistration.windows.net DomainJoined : YES DomainName : DOM +----------------------------------------------------------------------+ | User State | +----------------------------------------------------------------------+ NgcSet : NO WorkplaceJoined : NO WamDefaultSet : YES WamDefaultAuthority : organizations WamDefaultId : https://login.microsoft.com WamDefaultGUID : {B16898C6-A148-4967-9171-64D755DA8520} (AzureAd) AzureAdPrt : YES AzureAdPrtAuthority : https://login.microsoftonline.com/a20f67f5-74f9-470b-af40-111fc5097c7f EnterprisePrt : NO EnterprisePrtAuthority : https://adfs.domain.de:443/adfs Gefühlt müsste es ja anders herum sein. Bei ersterem habe ich aber Hello For Business aktiv und nutze es auch. Letzterer ist eine VDI VM. Jetzt meine Frage: Was davon ist richtig? Fehlt mir eine Policy? Ist es richtig, dass im Azure Portal jedes Device vorhanden ist?(Selbst Server)
  2. Performance Analyse Exchange 2016

    Die Signatur ist "veraltet". Soweit sind wir aktuell nicht. Das der Cache Modus die Probleme verschleiert ist mir bewusst. Ich versuche nur herauszufinden, woran es aktuell liegt. Ich kann keine Performance Engpässe aktuell feststellen. Aber irgendwodran muss es ja liegen. Und bei 1200 Mailboxen ist jetzt auch nicht unbedingt die Welt.
  3. Performance Analyse Exchange 2016

    weil wir roaming Profile und VDI einsetzen und aktuell keine Technik wie FSlogix im Einsatz haben. PS: Healthchecker sagt: alles ok. autodiscover - check Anzahl Postfächer: mal nur eins - mal 2-3 mapi - check
  4. Performance Analyse Exchange 2016

    ja - die Clients laufen alle im Online Mode. Geht auch aktuell nicht anders.
  5. Performance Analyse Exchange 2016

    Netscaler SDX als loadbalancer vsphere 6.5 aktuelles Cu sowohl Windows 2016 als auch Exchange. Tcp offloading ist im Standard. Deaktiviert man das wirklich noch bei 2016 auf aktueller Hardware? Sind die neuesten Dell Server. Netzwerk. Puh ich denke ja. Die esx sind direkt mit zwei mal 10 gig angebunden.
  6. Performance Analyse Exchange 2016

    Hallo, wir betreiben zwei exchange 2016 im dag Cluster. Je dB ca 300gb Daten. Die clients melden sporadisch dass ihr Outlook hängt. Gerade beim Wechsel in die Kalender Ansicht. Oder einfach mal so. Die Server sind Virtualisierungssoftware. Das Storage kann es eigentlich nicht sein. Auch ansonsten sieht der Server nicht zu ausgelastet aus. Ich habe keine Ahnung wo ich noch ansetzen soll. Es gibt ja das Performance logging. Aber da sind ja Millionen werte erfasst. Kennt ihr einen Artikel wie man mit den Daten umgeht und bottlenecks findet ?
  7. Zentrale Automatisierung

    Hallo, wir möchten gerne verschiedene Dinge per Powershell bei uns im Netzwerk automatisieren. Die Scripte würden idr. mit Powershell erstellt werden. Nun möchten wir diese irgendwo zentral ablegen und starten. Am besten im Kontext eines Service Users. Die Frage ist, wie regelt ihr so etwas? Ich stell mir irgendeine Art Webserver vor, wo ich auch bei Bedarf Parameter mit geben kann und dieser startet dann die Powershell Scripte. Gibt es etwas fertiges ? Habt ihr etwas?
  8. vSphere Ressource Pools

    Sowas hatte ich im Hinterkopf. Kommt aber nur bei Engpässen zu tragen, oder beeinflusst es direkt den cpu scheduler? Gerade im Bezug auf Cup ready Zeiten? habt ihr den vsphere kB Artikel dazu? Ich hatte noch nix passendes gefunden gehabt.
  9. vSphere Ressource Pools

    Danke testperson: kannst du bitte erklären warum keine vom außerhalb liegen sollte.
  10. vSphere Ressource Pools

    Hallo zusammen, beim Verwenden von Ressource Pools sollte ja das ein oder andere beachtet werden, da die vorhandenen Ressourcen aufgeteilt werden. Daher hab ich ein paar Fragen: 1) Gilt das Aufteilen der Ressourcen erst in Engpässen, oder immer ? Beispiel CPU Shares? 2) Ich habe einen Cluster aus 6 ESXi Hosts. Idr. platziere ich die VM's einfach auf den Cluster und gut. Unser DL hat für die Deep Security Appliances einen Ressource Pool angelegt (Zur besseren Übersicht)Beeinträchtigt der Ressource Pool die restlichen VM's ? Bzw. anders gesagt, wenn ich 100 VM's und einen Ressourcen Pool mit 6 VM's habe, dürften doch die 6 VMs (also Insgesamt 106 VM's) eigentlich nur soviel CPU Shares erhalten, wie eine VM. Da die vorhandenen 100 ja gleichwertige Anteile am Cluster haben, wie eben der Ressource Pool. 3) Würde ich jetzt einen zweiten Ressource Pool anlegen und die 100VMS da rein legen, dann hätten die 6 VMs aus dem ersten Pool, die gleichen Anteile zur Verfügung wie die restlichen 100, oder? Also 50/50 Aufteilung.
  11. Benutzerzertifikate nur einmal

    Der ist ja nur Client authentication oder Server auth. Und sowohl vpn als auch für E-Mail brauch ich Client auth
  12. Benutzerzertifikate nur einmal

    @Nils: Vielen Dank. Hab ich mir schon gedacht. Wie unterscheide ich denn zwischen Benutzerzertifikaten für VPN Einwahl und zum Beispiel Zertifikaten für E-mail Verschlüsselung oder Signierung ? Über unterschiedliche Issuing CA's ? Weil Verwendungszweck Clientauth ist es ja in beiden fällen.
  13. Benutzerzertifikate nur einmal

    Hallo, wir stellen für Benutzer Zertifikate zur Authentifizierung am VPN Gateway aus. Nun ist es so, wenn ein Benutzer sich an drei Geräten anmeldet, wird drei mal automatisch für den Benutzer ein Zertifikat ausgerollt und lokal auf dem Rechner gespeichert. Als CA wird ein Win 2016 als 2 Tier genutzt. Gibt es eine Möglichkeit, dass beim ersten Ausstellen eines Benutzerzertifikates dieses samt priv Key in der CA DB gespeichert wird und beim Anfordern von einem anderen Rechner das gleiche Zertifikat ausgerollt wird? Oder wie handhaben das andere Unternehmen ?
  14. Cluster NTFS nutzen

    Danke. Eine Frage Nebenbei, Scale Out Fileservices sind ja auch nicht für Dateiserver freigegeben, oder ?
  15. Cluster NTFS nutzen

    Der Hersteller sagt gar nix dazu. In der Regel wird jedem Server eine Kopie der VHDX abgelegt. Was natürlich Speicherplatz frisst. Metaoperationen finden nicht statt, da es nur lesezugriffe sind. Außer es gibt ein Update. Dann erstellt einer der Server eine neue VHDX Datei. Danach wieder reiner lesezugriff.
×