zahni

Das sollte unser DL auf dem SMTP-GW auch machen. 

Ich wohl mal wieder mit unserem Mail-DL sprechen.

Wir bekommen aktuell sehr viele SPAM-Mails über Google-Groups Listen. Die Anwender beschweren sich schon...

Und sogar Phishing-Mails werden über Google-SMTP-Server verwendet (allerdings nicht über Google Groups).

Ich tippe auf ACLs in der Registry... 

Danke. Ich schicke denen einfach mal den Link.

PS: Das Problem mit den überflüssigem Abfragen konnte geklärt werden, da war eine überflüssige Funktion in der PAC-Datei.

Allerdings schreit der Client weiter in einer Endlosschleife nach irgendwelchen MS-S und Symantec-Servern. Natürlich immer mit den 4s Timeout. 

Danke, aber kann man das irgendwo nachlesen? Wenn ich ihm das sage, reicht es nicht.

Hi,

ich streite mich mal wieder mit unserem DL rum.

Lt. dem DL wäre es so, dass bei der Deaktivierung der Recursion auch keine conditional forwarder funktionieren.

Das Problem: In unserer noch existierenden Alt-Umgebung funktioniert es genau  so.

Das Problem hier: Aus irgendwelchen mir nicht bekannten Gründen macht der Edge zuerst lokale DNS-Abfragen und geht dann erst zum konfigurierten Proxy (per PAC-Datei)

Der DNS braucht nun 4  Sekunden um mir zu sagen, dass es die Adresse bei ihm nicht gibt (Server Error, Timeout). Ohne Recursion geht es wesentlich flotter, weil der mit "Query refused" antwortet.

Frage: Kann man irgendwo "offiziell" nachlesen, das die Einstellung zur Recursion nicht auf conditional forwarder wirkt?

Ich werde leider bei Google nicht ganz schlau draus.

Danke. Dann muss ich wohl SCP aufrufen. Das ist zumindest flott.

Edit: So flott auch nicht. SCP kopiert mit rund 40 Mbyte/s, Beide Server sind im LAN mit einer Firewall dazwischen.

Hallo Zusammen,

bitte nicht fragen, warum ich von einem Windows-Server nach  einem Windows-Server via SSH Dateien kopieren will, sonst breche ich in Tränen aus

Ich habe also unter Windows Server 2022 als FOD den OpenSSH-Server und Powershell 7 installiert. Auf dem Client der OpenSSH Client und auch Powershell 7.

Für den User ist User Public Key Authentication eingerichtet und funktioniert auch.

In der sshd_config gibt es den Eintrag

Subsystem powershell C:/progra~1/powershell/7/pwsh.exe -sshs

Nun das folgende Test-Script mit Powershell 7:

Write-Output $(Get-Date)
$session = New-PSSession -HostName remote-server -UserName User

copy-Item -FromSession $session "F:\5_7_Gbyte_Datei" -Destination "C:\meine Daten"
Remove-PSSession $session
Write-Output $(Get-Date)

Das funktioniert auch. 

Ist es normal, dass die Kopieraktion rund 6,5 Minuten dauert? Kann man das irgendwie beschleunigen oder das Protokoll SFTP vorgeben?

Update: Das native SCP geht wesentlich flotter. Gibt es in PS7 ein SCP-Äquivalent oder geht es nur mit der SCP.exe?

Danke Euch im Voraus

-Zahni

Nicht mal alle DLLs von MS sind signiert.

Wir hatten hier beim neuen DL ein Problem mit einen speziellen Outlook-Addin. Das Addin vom Hersteller ist korrekt signiert. DLLs der benutzen .Net-Version aber nicht..

Der DLL hatte konfiguriert: nur signierte Addins ausführen... 

Gibt es Firewalls zwischen den Domänen? Von Dom Neu müssen alle DC der Dom Alt erreichbar sein. Keine Ports vergessen,, insbesondere nicht KDC TCP UND UDP 88.

Wenn es Zugriffe von DOM ALT auf DOM NEU geben soll, dann umgekehrt auch.

Und ich habe mich gefragt: Was will der mit BASIC? 

Tatsächlich würde ich mal schauen, ob "Fast-Startup" irgendwo aktiv ist, vielleicht sogar in den VM's. 

Den RAM kann man auch mit Memtest  https://www.memtest.org/ testen. Wenn man genug Zeit mitbringt, ist der normalweise aussagekräftig,

Viel Spaß beim Trouble-Shooting, wenn der Server die TCP-Antworten über das falsche Interface rausschickt. Windows versucht immer eine Lastverteilung zu machen. Es kann Dir passieren, dass Windows die Antworten aus den zusätzlichen Subnet zum Default-Gateway schickt. 

Du suchst nach CASE

https://www.w3schools.com/sql/sql_case.asp

Lies mal diese Seite und den Hinweis zu Windows 2025.

https://learn.microsoft.com/de-de/windows-server/identity/ad-ds/manage/delegated-managed-service-accounts/credential-guard-protected-machine-accounts

Wenn ich das korrekt verstehe, ist die Funktion von validen Zertifikaten und Credential Guard abhängig.. Und Credential Guard braucht bestimmte Hardware- oder Hypervisor-Funktionen:

https://learn.microsoft.com/en-us/windows/security/identity-protection/credential-guard/additional-mitigations

Firewalls habt Ihr nicht dazwischen? Man übersieht gern mal, dass Kerberos Port 88 UDP benötigt.

Ich diskutiere nicht mehr mit dem DL. Jeder ist dort für was Anderes zuständig, aber nie für das aktuelle Problem. 

Es ist schwierig. Wir migrieren in ein neues AD (nicht meine Idee) und wechseln dabei den Anmeldnamen. Es gibt einen Trust mit SID-History via Quest-Software.

Das Problem: Die Herrschaften auf der anderen Seite verwenden nicht "HomeShare" zum Mappen vom UserHome, sondern den Inhalt von SamAccoountName, CN, oder ähnlich.

Das passt dann aber nicht zu den Namen der User-Ordner, die wir aber noch nicht ändern können.

Verstanden? Ich auch nicht. Der DL raubt mir den letzten Nerv. Aktuelle Idee: Den alten Usernamen in ein Extensionattribut schreiben (durch Quest).

Das habe ich mich auch gefragt... :-D:

"Name" und "CN" ist also immer identisch,

Hi,

da  ich in den offiziellen Dokus von MS das irgendwie nicht finde:

Kann mir jemand sagen, wozu das Attribut "name" beim Benutzer gut ist? Das ist offenbar vom Inhalt her identisch mit dem "cn" und wird in der GUI immer identisch mit geändert.

Da wir gerade in einem Projekt sind, bei dem der Quest-AD-Migrator benutzt wird, bei dem der CN und der SamAccountName geändert werden soll, zeigt es sich aber, dass dieses Attribut scheinbar keine Funktion hat. Es muss also mit CN nicht identisch  sein. Wir würden den Inhalt eventuell temporär für etwas Anderes nutzen. Kann man das Attribut überhaupt unabhängig vom CN ändern? In einem Attributeditor lassen sich CN und NAME jedenfalls nicht ändern. Per LDP kommt

Error 0x20B1 Das Attribut konnte nicht geändert werden, da es dem System gehört.

Wireshark mitlaufen lassen. Danach solltest Du einen Blick auf den I/O-Graph werfen. Viele TCP-Fehler können das erklären. Ursache? Bei DSL kann es an der Leitung bzw. dem DSLAM liegen. 

Ich hatte hier auch ewig ähnliche Probleme. Auch durch lange Tickets bei der Telekom wurde dann endlich "auf Verdacht" eine neue Software für "meinen" Port bzw. DSLAM installiert, womit das Problem endlich gelöst wurde.

Die Telekom scheint hier Softwareupdate nur bei Bedarf zu installieren und nicht generell. Daher kann jeder Anschluss, trotz identischem DSLAM-Hersteller. mit unterschiedlichen Softwareversionen ausgestattet sein.

-Zahni

Soll das ein Test sein, oder warum will man eine VM hier per WDS deployen? Ich würde dort ein Cloning der VM mit Sysprep usw. bevorzugen. 

Sowas gibt es doch mit Bluetooth und App, z,.B. lt Google hier:

https://www.obd-2.de/shop/fahrzeugmarke/bmw/

Rein technisch kann in einem VLAN jede IP-Adresse erreicht werden, Der IP-Stack macht einen ARP-Request und bekommt die MAC, fertig. 

Hier kommt es auf die Konfiguration des IP-Stacks an. Ich erinnere mich, dass der IP-Stack von Windows dafür einen Parameter hat und das sich das Verhalten bei neueren Windows-Versionen geändert hat. Mir fehlt leider gerade die Zeit mich damit zu beschäftigen. Ich kann mich an einen "Vorfall" zu Hause erinnern, bei dem ich jede IP-Adresse in meinem privaten LAN erreichen konnte...

Falls das Thema sicherheitsrelevant ist: Nicht machen.