zahni

Sowas gibt es doch mit Bluetooth und App, z,.B. lt Google hier: https://www.obd-2.de/shop/fahrzeugmarke/bmw/

Rein technisch kann in einem VLAN jede IP-Adresse erreicht werden, Der IP-Stack macht einen ARP-Request und bekommt die MAC, fertig. Hier kommt es auf die Konfiguration des IP-Stacks an. Ich erinnere mich, dass der IP-Stack von Windows dafür einen Parameter hat und das sich das Verhalten bei neueren Windows-Versionen geändert hat. Mir fehlt leider gerade die Zeit mich damit zu beschäftigen. Ich kann mich an einen "Vorfall" zu Hause erinnern, bei dem ich jede IP-Adresse in meinem privaten LAN erreichen konnte... Falls das Thema sicherheitsrelevant ist: Nicht machen.

Neben dem Virenschutz solltest Ihr mindestens eine geeignete Applocker-Policy ausrollen. Die ist u.U. wirkungsvoller als ein Virenscanner. Nur ganz kurz: finales Ziel muss sein, dass ein User nur von dort Programme starten darf, wo keine Schreibberechtigung hat. Viren speichern sich meist erst in irgendeinem Ordner des Users und werden dann gestartet. Das Speichern kannst Du mit dem Applocker nicht verhindern, aber die Ausführung. Euer Virenscanner wird dann ein paar Tage später den Virus hoffentlich kennen und entsorgen. Zur Abwehr aktueller Bedrohungen sind Virenscanner meist nutzlos ("Schlangenöl"), da kein verantwortungsvoller Hacker Dir einen Virus sendet, der von einem Virenscanner erkannt wird. Falls Deine Windows-Edition keinen Applocker hat: Mit den SRP erreicht man das Gleiche. -Zahni

Hi, hat zufällig jemand Erfahrung damit? Problem: Unser neue DL nutzt Credential Guard und wir ein paar Java-Anwendungen, die Kerberos-SSO geben einen Tomcat/Websphere machen sollen. Das SSO ist mittels JAAS/krb5loginmodule implementiert. Wie ich leider erst jetzt herausgefunden habe (Google ist nicht immer hilfreich), unterstützt krb5loginmodule die native Windows SSPI-API nicht. Da ist geht nur, wenn man auf die vergleichsweise neue Java-GSS-Implementierung schwenkt. Hier braucht man dann auch kein "AllowTGTSessionKey". Credential Guard verhindert aber die Nutzung von des TGT Session Keys. Nun entwickeln wir nicht alle Anwendungen selber... Kennt sich jemand mit Credential Guard aus? Kann man da irgendwelche Ausnahmen definieren? Wen es interessiert: Die Java-Doku. Dort sind beide Variantenbeschrieben: https://docs.oracle.com/javase/8/docs/technotes/guides/security/jgss/single-signon.html Hier ein relevanter Bug: https://bugs.openjdk.org/browse/JDK-8054026 und die finale Lösung: https://bugs.openjdk.org/browse/JDK-8214079 Die native SSPI-Bridge gibt es im Java also seit 2019. Dank an Euch im Voraus. -Zahni

Ohne das getestet zu haben. https://znil.net/index.php/Batch_RDP_Verbindung_starten_mit_Benutzername_und_Passwort Das könnte man mit einem Powershell-Dialog zur Abfrage von User/Password kapseln...

Wenn ich diese Matrix vom Mainboard richtig lese, werden DUAL Rank x4 RDIMMS nur bis 32 GB unterstützt. Es hängt aber auch von der verwendeten CPU ab. https://www.supermicro.com/support/resources/memory/X11_memory_config_guide.pdf

Ob es bringt, kann ich nicht sagen, es wäre aber mal einen Versuch wert. Setze das Kennwort vom krbtgt-Konto 2x (!) zurück und nach 10 Stunden nochmal. Das Kennwort sollte sicher sein, Du musst es Dir aber nicht merken. https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/forest-recovery-guide/ad-forest-recovery-reset-the-krbtgt-password Das im Übrigen auch Golden-Tickets ungültig...

Hier ist due Kurzfassung: https://learn.microsoft.com/en-us/troubleshoot/windows-server/networking/dns-cname-alias-cannot-access-smb-file-server-share Allerdings würde ich das auf einem DC auch nicht ausprobieren. Den Usern stellt man per Anmeldeskript oder GPO feste Netzlaufwerke zur Verfügung. Niemand, außer Admins, greift bei uns via Explorer und UNC-Path auf eine Freigabe zu. Daher ist ein besonderer Alias auch nicht nötig.

Ja. Das mache ich. Ich vermute eine bestimmte Version der Windows-Updates.

Administrators, zwei der Transaktionslogs SYSTEM. Das Phänomen hat sich bei den jüngsten Windows-Updates nicht wiederholt.

Und jetzt noch Stack und Module bei den einzelnen Threads. PS: Hier wird indirekt empfohlen die HP-Software zu entfernen: https://learn.microsoft.com/en-us/answers/questions/3313816/spooler-subsystem-app-and-high-cpu-usage Ich kenne die aktuelle HP-Software nicht. Erfahrungsgemäß kommt da aber immer irgendwelcher Müll mit, den man tatsächlich nicht braucht. Z.B. irgendwelche App, die den Tonerstand anzeigen, oder so. Sowas fragt dann ständig den Drucker ab und könnte die hohe Last verursachen. Ich würde während des Fehlers auch mal mit netstat prüfen, ob der Server Verbindungen aufbauen will, die nicht mehr antworten (SYN_SENT).

Noch ein PS: Wenn man z.B. einen Syntax-Fehler in der Server.xml hat, beendet sich der Tomcat ganz schnell wieder und beschwert sich dann in der Catalina-Log darüber.

Wenn Euer ELO-Business-Partner sich nicht auskennt, solltet ihr selbigen wechseln.

@ Q Wenn der User lokaler Admin ist, muss man ihm eigentlich keine weiteren Userrechte erteilen. Es sei denn, Euer DL hat irgendwelche anderen Richtlinien Härtungsrichtlinien konfiguriert. Da können wir dann auch nicht helfen. Binde einfach Deinen Business-Partner ein. PS: Der Tomcat im ELO schreibt übrigens Log-Dateien, nur so als Tipp.

Wir setzen auch ELO Enterprise ein. Wenn man einen Domain User nimmt, hat der natürlich keine Domain-Admin Rechte. Das macht man einfach nicht. Wenn es unbedingt sein muss nimmt man den User in die Gruppe der lokalen Admins des Servers auf. Ist die Software etwa auf einem Domain Controller installiert? Der User 1 ist in ELO der Service-User, dessen Passwort in den div. Konfigurationen verdrahtet ist. Je nach Konfiguration von ELO ist der User im AD integriert oder ein interner ELO-User. Wenn er im AD integriert ist, muss den User dort geben und dieses Passwort besitzen. Der User könnte auch der Lokale Admin auf dem Server sin. Falls Kerberos konfiguriert wurde, die Keytab mit einem anderen User erzeugen. Das klappt mit diesem User nicht. Ansonsten wende Dich bitte an einen der Business-Partner von ELO, da ELO keinen direkten Endkunden-Support macht. Machen wir übrigens aus.