Jump to content

StefanWe

Members
  • Gesamte Inhalte

    1.456
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von StefanWe

  1. Hallo,

     

    wir würden gerne Hello for Business einsetzen. Es ist konfiguriert und funktioniert. Aber wir haben im Lifecycle noch folgende Fragen:

     

    Ziel soll es sein, Kennwortlos im Unternehmen zu arbeiten.

     

    Szenario A: Ein neuer Mitarbeiter fängt bei uns an und bekommt ein Gerät in die Hand, welches Mitglied unserer Active Directory Domäne und Hybrid gejoind ins Azure AD ist. Muss ich dem Mitarbeiter jetzt erstmalig ein Passwort mitgeben? Wie erzwinge ich anschließend, das er sich nur noch mit Hello for Business anmeldet und nicht weiter mit dem Passwort?

     

    Szenario B: Ein bereits vorhandener Mitarbeiter nutzt seit geraumer Zeit Hello for Business und kennt sein Passwort nicht mehr. Sein Gerät geht kaputt. Er bekommt ein neues Gerät. Muss er dann zwingend vom Help Desk ein neues Passwort erhalten? 

     

    Wenn ich die GPO "Erzwinge Hello for Business oder Smart Card Anmeldung"  für Computer aktiviere, kann sich ein Benutzer nicht neu an einem Gerät mit Password anmelden. Auch ein IT Mitarbeiter kann sich nicht an dem Gerät anmelden.

     

    Welche Erfahrung habt ihr im Lifecycle gemacht? 

     

     

  2. Hallo,

    wir betreiben eine interne AD integrierte PKI für unsere Computer und Webserver Zertifikate. Da wir mittlerweile auch intern immer mehr auf SSL umstellen, benötigen wir auch intern mehr Zertifikate für unsere Webserver.

     

    Da aber bei einer Anzahl von > 50 Webservern ( IIS, Apache, Jenkins, sonstwas ) die Arbeit massiv zunimmt, die Frage, wie ihr automatisch die Zertifikate an die Webserver verteilt. 

     

    Welche Tipps habt ihr?

  3. Hallo,

     

    wir haben einen EA mit M365 und einigen on Prem Lizenzen. Im EA beinhaltet die M365 Lizenz das VDA Recht zum Betrieb von virtuellen Windows 10 Desktops als VDI. 
    derzeit haben wir auf unseren thinclients Windows iot. Überlegen aber, auf Linux zu migrieren. 
     

    ist dies so ohne weiteres Lizenzrechtlich in Ordnung, oder muss ich für jeden Endpunkt trotzdem eine Windows Lizenz haben?

  4. Hallo,

     

    vermutlich nicht das richtige Unterforum, ich wüsste aber auch keinen besseren Ort. 

     

    Ich bin auf der Suche nach einer alternativen Software zur Zeichnung von Architekturbildern als Visio. In confluence als Wiki haben wir derzeit draw.io eingebettet. Aber dies ist im Grunde ähnlich wie Visio.

    Als Architekturbilder geht es zum einen um reine technische Bilder, wie welche Software  / Server im Netzwerk verbunden ist, aber auch um Prozessbilder, wie welche Software von anderer Software abhängig ist. Wie die Kommunikation erfolgt.

     

    Was mir fehlt ist eine Lösung, welche Objekte und ihre Abhängigkeiten im Hintergrund speichert, so dass man nicht bei jeder Zeichnung von vorne anfängt.

     

    Beispiel: Ich erstelle ein Objekt ESX Server, verbinde ihn dem Storage System und male in dem Bild eine VM, welche auf dem ESX Server läuft. 
    In einem anderen Bild möchte ich die Prozesse visualisieren, welche auf dieser VM arbeiten. Um aber dennoch zu erkennen, von was diese VM abhängig ist, wäre hier eine entsprechende Referenz interessant.

     

    Ich habe schon öfters von Enterprise Architekt gelesen. ArchiMate oder ähnliche Produkte. Allerdings ist dies ja eher UML Sprache, anstatt ansehnliche Architekturbilder.

     

    Wie und wo erstellt ihr solche Architekturbilder? 

  5. Nach langer Suche haben wir nun den Grund gefunden. Es lag tatsächlich überhaupt nicht an den Zertifikaten bzw. der Kette an Systemen, sondern eine Fehlerhafte Konfiguration in der MDM Software Soti.

    Diese hat immer den Usernamen in das Profil auf das iPad geschrieben, anstatt dem iPad zu sagen, es sollte doch das Zertifikat verwenden.

    Erst ein Löschen und neuerstellen der Konfiguration in Soti hat das Problem beheben können. Sieht nach einem Bug in der MDM Software aus.

  6. vor 23 Stunden schrieb testperson:

     

    sehr cool. Ich habe jetzt auch mal das Modul TameMyCerts installiert, da die Zertifikatsanfrage eine offline ist und der Request durch die MDM Software erstellt wird und dann erst bei der CA eingereicht wird. Allerdings, auch dies - kein Erfolg.

  7. vor 28 Minuten schrieb NilsK:

    Moin,

     

     

    zum Beispiel an einem Update des Radius-Systems oder einer Konfigurationsänderung eines Systems in der Kette. Es kann durchaus sein, dass das hier nicht zutrifft, mein Punkt ist einfach, dass die Fehlermeldung anscheinend nicht nur dann auftritt, wenn es wirklich ein Problem mit der Authentifizierung gibt. Darauf weisen die Fundstellen im Web hin. Und was du berichtest, legt den Gedanken ja durchaus nahe.

     

    Gruß, Nils

     

    ok, das kann ich nachvollziehen. Ich frage mich halt nur, wo kann der Fehler liegen, da ich mittlerweile echt ratlos bin...

  8. vor 17 Stunden schrieb NilsK:

    Moin,

     

    "Kette" war missverständlich. Natürlich muss die Zertifikatskette auch gültig sein. Ich meinte aber die Systemkette. Ich habe mehrere Quellen gefunden, wo die Ursache Änderungen an den Systemen waren, z.B. dem Radius.

     

    Gruß, Nils 

    Ich kann mir nicht vorstellen, woran es liegen soll. Die CA stellt auch für MAC Systeme die Zertifikate aus. Zwar Computer und nicht User, aber da funktioniert auch die Authentifizierung am gleichen Radius (NPS)

     

    Ich habe jetzt mal diesen Artikel durchgearbeitet: https://support.microsoft.com/en-us/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16

     

    Habe also das User Zertifikat auf den User manuell gemappt. Auch das fruchtet leider nicht.

  9. vor 1 Stunde schrieb NorbertFe:

    Stimmt denn die Kette noch? Ab und an werden ja aus "Gründen" mal die Root/Intermediate Zertifikate auch bei internen CAs aktualisiert und wenn du dann ein neues Zertifikat ziehst, basiert das eben auf dem neuen Root Zert und ist damit dann je nach Konfiguration eben nicht mehr korrekt prüfbar. :) Wäre also auch eher Nils' Meinung, dass du eher die Kette als das Zertifikat prüfen solltest.

    Die Kette passt. Von der gleichen ca die gleiche CERT Vorlage nutze ich um mich am vpn von Windows Rechnern aus zu authentifizieren. Das klappt. Nur eben von den iPads nicht mehr. 
    Die Fehlermeldung lässt ja auf das cert Mapping schließen. Aber leider ist es das nicht :(

  10. Hallo,

    wir nutzen auf unseren iPads schon länger Zertifikate unserer internen PKI zur Authentifizierung am WLAN. Dies funktioniert soweit auch super. Seit einiger Zeit scheint es so zu sein, das neu ausgestellte Zertifikate nicht mehr für die Authentifizierung genutzt werden können. Es erscheint im Eventlog der Error 6273 mit dem Reason Code 16 und der folgenden Fehlermeldung:

    Zitat

    Authentication failed due to a user credentials mismatch. Either the user name provided does not map to an existing user account or the password was incorrect.

    wenn ich mir aber das Zertifikat anschaue, ist es gültig, der samaccountname und UPN im Zertifikat passen aber exakt zu dem User, der dort angelegt ist. Es muss also matchen.

    Das Zertifikat wurde ja auch genau für den User ausgegeben.

    Ich kann nicht sagen, seit wann das ist, aber ich tippe auf irgendein Windows Update der DC's bzw. des Radius. Als Radius verwenden wir übrigens einen Windows 2016 mit der NPS Rolle.

     

    Ich erinnere mich, das MS im Laufe des Jahres in der Richtung Patches rausgebracht hat. Die Erweiterung ist auch in den neuen Zertifikaten enthalten. 

    Den Regkey certificatemappingmethods ist auf unseren Dcs auf 0x1F gesetzt wie hier beschrieben:

    https://learn.microsoft.com/en-us/answers/questions/846654/nps-stopped-working-after-may-2022-updates.html

     

    Habt ihr eine Idee, was es noch sein kann?

  11. Hallo,

     

    wir sind gerade dabei und führen Smartcards für unsere Administratoren ein. Leider können wir den Haken im User Objekt "require smartcard authentication" nicht setzen, da wir an einigen Systemen nur Benutzername + Kennwort Authentifizierung haben.

    Gibt es eine Möglichkeit, die Smartcard nur für interaktive Anmeldungen zu erfordern. Oder wenn es eine Computereinstellung ist, für alle Computer zu aktivieren, aber nur für den Personenkreis der Administratoren?

  12. Gerade eben schrieb NorbertFe:

    Ist das immer noch so?

     

    Das ist ja genau meine Frage. Installiere ich 10 2016er RDS per User Lizenzen und 10 2019er Lizenzen. Und der User meldet sich an beiden RDS Servern an, werden 2 Lizenzen in SUmme gezogen.

     

    Aber eigentlich hat testperson recht. Ich kann im Lic Server ja ruhig mehr Lizenzen aktivieren als ich im Schrank habe, wichtig ist, das ich effektiv für jeden "per User" im Schrank die passende Lizenz liegen habe.

  13. Hallo,

    wir möchten gerne einen zentralen RDS Lizenzserver betreiben, welcher für die verschiedenen RDS Server die Lizenzen auf "per User" Basis ausstellt. Wir haben den zentralen RDS nun in der aktuellsten Version 2022 installiert.

    Unsere RDS Server sind 2016, 2019 und 2022. Nun habe ich im ersten Schritt meine RDS Lizenzen per User für 2022 ausgestellt. 

    Dabei ist mir aufgefallen, wenn ich mich nun am 2016er anmelde, wird für den User keine Lizenz ausgestellt. Jedenfalls wird der User nicht bei den 2022er Lizenzen angezeigt.

    Habe dann 2016er Lizenzen mit der gleichen Anzahl User wie 2022 hinzugefügt und siehe da, dem User wird eine Lizenz zugeordnet.

    Nun ist ja das Problem, wenn ein User einen 2016er, einen 2019er und einen 2022er RDS nutzt, er gleich 3 mal eine Lizenz zieht.

     

    Wir haben unsere RDS Lizenzen über EA mit Software Assurance lizenziert. Nun meine Frage, ist das in Ordnung, das ich die maximal Anzahl an RDS Lizenzen einmal für 2016, einmal für 2019 und einmal für 2022 dort aktivieren?

    Oder wie ist die richtige Vorgehensweise?

  14. vor 19 Minuten schrieb cj_berlin:

    Moin,

     

    entweder ein eigenes Try/Catch für jeden Aufruf (das würde man vermutlich ohnehin in einer Schleife machen, dann wäre es nur ein Try/Catch - in der Schleife halt), oder Add-ADPrincipalGroupMembership mit mehreren Gruppen verwenden, oder aber ein Trap - dann aber aufpassen, in welchem Scope die Aufrufe sind - Trap springt immer hinter das Ende des Script Blocks, in den der Fehler aufgetreten ist (hier wäre die Schleife evtl. ungünstig).

     

    Wie meinst du das mit einer Schleife?

  15. Hallo,

    mir ist die Tage leider etwas blödes in meinem Script aufgefallen. Und zwar füge ich ein User Objekt in mehrere Gruppen hinzu. Das Hinzufügen  habe ich in ein try catch gebaut. 

    Leider war eine der Gruppen in der Mitte mittlerweile gelöscht. Das Script lief, hat den User in die ersten Gruppen aufgenommen, bei der 3. ist es dann in den Catch gesprungen und hat die restlichen Gruppen nicht verarbeitet.

    Jetzt meine Frage, wie würde man dies so optimieren, das das Script sauber läuft aber auch das Logging so ist, das man später genau sehen kann, was ist schief gelaufen?

     

    Aktuell

    try {
       	Add-ADGroupMember -Identity "Group2" -Members $sAMAccountName
        Add-ADGroupMember -Identity "Group3" -Members $sAMAccountName
        Add-ADGroupMember -Identity "Group4" -Members $sAMAccountName
        Add-ADGroupMember -Identity "Group5" -Members $sAMAccountName
        Add-ADGroupMember -Identity "Group6" -Members $sAMAccountName
    
     	    
    } catch { Write-Host "$($_.Exception.Message)"}  

     

    Für jedes cmdlet ein eigenes try Catch?

  16. Hallo,

     

    wir wollen unsere Admin Accounts absichern, so dass die Anmeldung nur mittels Smartcard möglich ist. 
    jetzt haben wir yubikey getestet was soweit gut funktioniert. Allerdings muss auf dem Remote Endpoint der Minidriver von yubikey installiert sein. Das würde ich gern vermeiden. 
     

    habt ihr eine Idee wie es bei yubikey ohne geht, oder kennt ihr Alternative Smartcards wo ich den Driver für Rdp Zugriffe auf dem Remote Endpoint nicht installieren muss?

  17. vor 35 Minuten schrieb testperson:

    Hi,

     

    schau dir mal die smartmontools (smartmontools) an.

     

    Gruß

    Jan

    Hi,

    das ist ja das Tool, welches ich heute schon nutze. Nur leider hilft es nicht bei ssds. Die Dinger gehen einfach kaputt, obwohl smartctl sagt, alles gut.

    vor 34 Minuten schrieb Nobbyaushb:

    Wir haben das bei uns anders gelöst.

     

    Für die wichtigen Rechner gibt es immer einen in Reserve, der identisch eingerichtet ist.

    Zudem haben wir die SSD auf Verdacht alle 18 Monate getauscht 

     

    Ausfall der Produktion ist um Längen teurer

     

    my2cents

    Rechner in Reserve haben wir auch. Für die Rechner mit Spindelplatte lassen wir die Werte in unser Splunk laufen und können damit sehr gut erkennen, ob eine Platte sich dem Lebensende nähert. Leider geht es eben bei ssds nicht. 
     

    regelmäßig die Platten tauschen wäre natürlich auch eine Idee, wobei ich natürlich die Vorhersage um Längen besser finde ;)

     

     

    die Frage ist natürlich, ob es technisch überhaupt möglich ist, zu erkennen, das eine SSD sich dem Lebensende nähert. Ggf die Writes Auslesen und ab hohen Werten das schon mal die Platte tauschen.

  18. vor 16 Stunden schrieb Damian:

    Hi,

     

    für solche Dinge empfehlen sich in der Regel die Tools der SSD-Hersteller.

     

    VG

    Damian

    Mh, könnte ich beim nächsten Mal probieren. 

    falls noch jemand eine andere Alternative kennt, immer her damit. Hintergrund ist, das ich gerne bei unseren 300 Rechnern in der Produktion automatisiert prüfen möchte, wenn sich eine Festplatte dem Lebensende nähert. 

×
×
  • Neu erstellen...