StefanWe

Hallo, wir nutzen sccm current brunch für unser Software Deployment. Nun benötigt die ein oder andere Software ja HKCurrentUser Registry Settings. Aktuell lassen wir diese per GPO setzen. Ich würde aber diese gerne mit in das Software Paket (exe,msi, sonstwas) hinzufügen. Gerne auch als Anhang Software Paket mittels Powershell, oder sonstwas. Die Frage ist, wo muss ich Die Keys auf dem Client setzen, so dass neue Benutzer, welche sich erstmalig an dem System anmelden, diese Keys in ihr Profil bekommen, aber eben auch Benutzer, welche schon ein Profil haben, die Keys bekommen, zum Beispiell bei der Software Installation oder bei Updates der Keys. habe da an Active Setup gedacht, aber dann müsste ich ja ein Powershell Script lokal speichern und dieses darüber starten lassen. Die Keys sollen eben auch nur einmal importiert werden. Sind sie schon da, dann soll nix passieren. Habt ihr noch andere Ideen?

Bei uns möchten sie handschriftlich auf den Zetteln schreiben - warum auch immer. Aber er an die kommentarfunktion habe ich so noch gar nicht gedacht. Vielen Dank.

Hallo, wir it haben mehrere hundert Sachbearbeiter, welche aktuell Aufträge ins System eingeben. Dazu liegt der Zettel am Platz und wird abgearbeitet. Der Bearbeiter schreibt sich Notizen auf den Zettel. Ziel es soll es sein, die Zettelwirtschaft loszuwerden. Um die manuelle Eingabe kommen wir aktuell noch nicht drum herum. Wir haben schon an Wacom Tablets gedacht, auf denen das PDF angezeigt wird und dann per Stift bearbeitet werden kann. Aber bei 800 Euro pro Bearbeiter eine Menge Holz. Was wäre eure Idee, das Problem zu lösen?

Vielen Dank. Es reicht ja erstmal für das Grundverständnis. Wie eingangs beschrieben, hab ich da schon sehr "verrückte" Aussagen von Dienstleistern gehört, welche allesamt auch DataCore zertifiziert waren. Die maximalen IOPS errechnen sich ja dann aus der Summe der einzelnen RAID1 Sets. Ich gehe mal davon aus, dass DataCore das entsprechend richtig behandelt ;)

mh.. Bedeutet, wenn ich in meinem zum Beispiel per SAS angeschlossenem Speicher 10 Festplatten habe, würden diese in 5 * Raid 1 Diskgruppen und damit in 5 LUN's dem DataCore System präsentiert werden. DataCore selbst, zieht dann über die 5 LUN's seine DiskGruppe und entscheided selbst, auf welches der 5 LUNs es die Daten schreibt ?

Du schreibst JBOD. Bedeutet, kein RAID über die Platten gezogen?

Gibt es denn bei DC Empfehlungen zu den LUN Größen?

Aktuell haben wir uns noch für gar nichts entschieden. Bzgl. DataCore habe ich eine grundsätzliche Frage. Ich bin vor Jahren einmal auf einen Dienstleister gestoßen, welcher bei DataCore empfohlen hat und dies war wohl angeblich auch eine offizielle Empfehlung von DataCore, dass pro VM eine LUN erstellt werden sollte. Begründung: Das Failover würde damit "besser" funktionieren. Wie stehst du zu dieser Aussage ?

Anforderung steht im 1. Beitrag. Mehr wird nicht benötigt.

Nicht dauernd. Aber es kommt vor. Dafür sind wir bereit, dass Mehrgeld auszugeben.

Und was machst du bei Wartungsarbeiten am gesamten Brandabschnitt? @norbert: datacore haben wir zur Zeit vor einer 3Par hängen. Ich melde mich im März mal per PN. Danke. Alternative Vorschläge noch? kennt jemand die Systeme von Hitachi?

Mit failover meine ich den Schwenk auf ein zweites synchron gespiegeltes Storage. Nicht auf einen zweiten Controller. Storagevilumen en brutto etwa 100 TB pro Seite. FC weil switche und Kabel vorhanden. Nfs fällt raus und iscsi ja ok, aber haben ja eh die switche.

Hi, es wird Zeit unser Storage auszutauschen. Wir betreiben eine vsphere Umgebung mit 6 Hosts. Vsan kommt nicht in Frage. Storage soll als block device per FC angebunden werden. Wichtigstes Feature, wir wollen einen transparenten failover ohne irgendetwas an den vsphere hosts umstellen zu müssen. Zwecks Wartungsarbeiten oder eben automatisch beim Ausfall. ssd und Spindel ist selbstverständlich mittlerweile. Aktuell habe ich eine Dell compellent oder auch SC Serie im Blick. Emc unity kann keinen vernünftigen transparenten failover. Was för Systeme fallen euch ein? Netapp Metro Cluster ist draußen!

Ich habe nun noch mal einen neuen Versuchsaufbau gemacht. Das Client Zertifikat spielt keine Rolle bei der Verschlüsselung. Traffic lässt sich sauber entschlüsseln. Warum ich aber in meinem Trace nicht an die Daten komme, versuch ich gerade herauszufinden. DH und ECC ist "eigentlich" deaktiviert. Als Cipher wird TLS_RSA verwendet. Session Reuse habe ich auch versucht zu deaktivieren. "ServerCacheTime" in der Registry auf 0 gesetzt und neugestartet. Frage ist, warum lassen sich die Daten nicht entschlüsseln...

Das ist es ja, was mich wundert. Ich habe den private key. Es wird TLS—RSA als cipher verwendet, also kein DH oder ECC. Trotzdem kann ich den Traffic nicht einsehen. Den Traffic ohne Client cert, übrigens mit gleichem Server Zertifikat, kann ich entschlüsseln..

Ok danke. Wie befürchtet. Allerdings interessant warum das so ist. Sorry, muss noch mal nachfragen. https://community.developer.visa.com/t5/Developer-Tools/What-is-Mutual-Authentication/ba-p/5757 Der Artikel erklärt eigentlich ganz gut wie der handshake funktioniert. Wenn ich das richtig sehe, wird doch das Client Zertifikat nur zum authentifizieren verwendet. Der Session key zum Verschlüsseln wird doch ein Stück wie gewohnt oben schon ausgehandelt. Daher dürfte doch das Client Zertifikat keinen Einfluss auf die Verschlüsselung haben. Was habe ich übersehen?

Klar mit fiddler. Weil er selbst den Traffic intercepted und dadurch mitschneiden kann. Ich meinte aber nachträglich decrypted mit zum Beispiel Wireshark.

Oben steht eine Vermutung, nicht eine Lösung. Vlt. habe ich etwas falsch gemacht. Hinterlege ich in wireshark das Client Zertifikat (privater Schlüssel) dann wird der Traffic trotzdem nicht entschlüsselt. Auch das www scheint hier keine Dokumentation bereitzuhalten.

Richtig. Ich werd es mir ansehen. Dennoch die Frage, ist es überhaupt möglich, Traffic zu entschlüsseln, welcher durch Client certificate geschützt ist?

ok schau ich mir an. Also Wireshark scheint es dann nicht zu können ?

Hallo, ich muss eine Web Applikation debuggen, welche zwingend den Traffic mittels Client Zertifikat verschlüsselt. Ich habe sowohl das Client Zertifikat, als auch den gesamten Traffic bereits mit Wireshark aufgezeichnet. Habe auch den privaten Schlüssel, das pfx File unter den RSA Keys hinterlegt. Aber scheinbar scheint das nicht zu reichen. Der Traffic vom Webserver zum Client, welcher vor dem Client Zertifikat läuft, konnte ich erfolgreich entschlüsseln. Ist Traffic mit Client Zertifikat überhaupt möglich zu entschlüsseln?

Hallo, ich arbeite zur Zeit mit der Smartcard Management Lösung Gemalto SafeNet Authentication Manager. Allerdings nutzen wir die Software ausschließlich, um USB Token auszurollen. Ich denke, dafür ist die Lösung eigentlich zu "groß". Uns reichen die klassischen Smartcards. Reader sind im Notebook oder ThinClient verbaut. Die Frage an euch, welche Software habt ihr, um die Zertifikate auf die Smartcards auszurollen, bzw. zu erneuern und wo beschafft ihr die Karten, bzw. von welchem Hersteller ? Vielen Dank.

Hi Nils, vielen Dank. Du schreibst, "aber öffentlich nicht nutzen". Meinst du damit, Services wie Exchange und Sharepoint nicht über diesen Namen veröffentlichen? UPN dann gleich der Abstrakte Name, oder wie idr. empfohlen, die E-Mail Adresse ?

Hallo, ich würde gerne einmal mit euch über Vor und Nachteile von AD Namen diskutieren. Aus der Historie kenne ich, dass AD Namen wie zum Beispiel corp.local gerne genommen wurden. Also ein AD Name, welcher öffentlich nicht auflösbar ist und auch nichts mit dem Namen des Unternehmens zu tun hat. Eine Zeit lang hörte man an jeder Ecke, den AD Namen als Sub Domain der öffentlich bekannten Domäne des Unternehmens zu wählen. Bsp: ad.meinefirma.de Und aktuell meine ich aufgeschnappt zu haben, dass Microsoft empfiehlt, den AD Namen = der öffentlichen Domäne zu wählen, also meinefirma.de. Ich persönlich favorisiere eigentlich corp.local mit Split DNS und UPN = meinefirma.de. Bin da allerdings bei manchen Kerberos Szenarien schon an Herausforderungen gestoßen. Nehme ich allerdings den offiziellen DNS Namen, sehe ich als Herausforderung, wenn die Firma verkauft wird, steht idr. gleich eine AD Migration mit an. Wie seht ihr das? Welche Erfahrungen habt ihr. Welche Pro und Kontra würdet ihr zu den Szenarien nennen ?

ich würde es bevorzugen ;)