Jump to content

Ninu

Newbie
  • Content Count

    63
  • Joined

  • Last visited

Everything posted by Ninu

  1. Also das Netz sieht so aus: Client (XXX.XXX.XXX.XXX)---------- | |------Firewall----Internet | Server (XXX.XXX.XXX.XXX+1)----- D.h. Die Firewall ist für Client und Server gleich, es gilt das gleiche Regelwerk. Vom Client aus alles bestens, vom Server aus alles doof. Ich schaue aber mal nach was anderem.... Nicht dass da jemand mal eine Regel "lustig" gestrickt hat, so dass der Server irgendwo anders rausfällt. Gruß Ninu
  2. Hallo Jan, Wie schon gesagt, von meinem Client aus alles kein Problem. Nur der TS mag nicht. Bei dem funktioniert auch das mit telnet nicht. Von meinem Client aus geht es. Warum RDP und kein VPN oder RD-GW? Weil die Gegenseite nichts anderes anbietet. Gruß Ninu
  3. Hallo zusammen. Ich muss mich mal wieder von ein bis 3 Knoten im Gehirn lösen. Folgendes Problem: Terminalserver auf 2008 R2 Basis. Dadrauf soll eine RDP-Sitzung nach extern geöffnet werden. Port TCP/3389 zu dem externen Server auf der Firewall geöffnet (Mein Client und der Server dürfen da hin) Von meinem Client (Windows 7) kein Problem die RDP-Sitzung zu starten. Vom Server aus kommt ein "Server nicht erreichbar" zurück. Was habe ich schon auf dem Server getestet: Windows-Firewall ausgeschaltet (komplett) TrendMicro, wg, Verdacht auf IPS/Firewall ausgeschaltet. RDP-Sitzung von dem TS auf einen anderen Server bei uns funktioniert. Nur nach extern nicht. Dass die Sperrliste für das Zertifikat vom Server aus erreichbar ist habe ich ebenfalls getestet. So langsam weiß ich nicht mehr weiter. Habt ihr noch Ideen? Gruß Ninu
  4. Ok. Damit ist klar, woran es liegt... TLS 1.2 ist erst ab Windows 8.1 standardmäßig drin :-)
  5. Moin, bin leider krank. geworden. Nach dem das mit "Warum Qualys und wie" geklärt ist: Hat jemand einen Tipp für mich wie ich den WSUS und TLS 1.0 hinbekomme? Gruß Ninu
  6. Hallo zusammen, erst einmal vielen Dank, für die Antworten. IISCrypto hatte ich benutzt. Den Artikel lese ich mir gleich durch. Aber ich muss mich korrigieren. Es ist nicht SSL 2.0, das kann ich deaktivieren, es ist das TLS 1.0 was mir in die Suppe spuckt. Habe ich gerade eben erst bemerkt. Man soll halt nicht bei der Fehlersuche schlampen und 2 Sachen gleichzeitig wieder auf "allow" stellen. Zur weiteren Ergänzung: Die Clients sind auf Windows 7 Basis. Können die TLS 1.1 bzw. 1.2? Gruß Ninu Nein, zumindest nicht direkt. Aber wir haben auch Maschinen, die nicht bei uns im Haus stehe und damit potentiell gestohlen und missbraucht werden können. Natürlich sind die gesondert noch einmal in einer gesicherten Umgebung. Aber sicher ist sicher.
  7. Hallo zusammen, ich habe mal wieder eine doofe Frage: wir machen regelmäßige Qualys-Scans über unsere Server. Dabei sind auch auf den WSUS-Servern einige Kleinigkeiten aufgefallen, z.B. das diese Server über SSL 3.0 und SSL 2.0 für Poodle angreifbar sind. Was macht Klein-Doofi im ersten Schreck? Richtig! SSL 2.0 und 3.0 in der Registry deaktivieren (Client und Server), gibt ja noch SSL 1.0 und TLS. So zumindest der Plan. b***d nur, dass dann die WSUS-Server nicht mehr erreichbar sind. RDP geht, WSUS-Konsole und Updates gehen nicht mehr. Google bemüht, nichts sinnvolles gefunden. Wahrscheinlich zu b***d zum suchen gewesen. Nur wie bekomme ich jetzt meine WSUS-Server Poodle-fest? Wir nutzen den neuesten WSUS mit allen Patchen auf BS- und WSUS-Ebene. Als Server-BS läuft Windows 2016 mit dem dazugehörigen IIS. Hat jemand einen Tipp für mich? Gruß Ninu
  8. Hallo zusammen. Boah ich weiß gar nicht wie und wo ich anfangen soll. Fangen wir mal klein an. Wir wollen Microsoft-Updates und ggf. auch noch andere Updates die MS anbietet, wie z.B. Flash Player, per WSUS verteilen. Oder auch nicht. wo bei "Oder" auch heißt, die Updates sollen zwar verteilt werden, aber ggf. über einen anderen Weg, nämlich über eine Softwareverteilung. Warum nicht alles über die Softwareverteilung? Weil die nicht agil genug ist, wenn es um sicherheitskritische Dinge geht. Jetzt hat mein Chef die Anforderung gestellt, dass eine Entscheidungsmatrix her soll, frei nach dem Motto " Diese Patches werden aus dem und dem Grund über diesen (oder jenen) Weg, an diese (oder jene) Testgruppe, sofort (oder später) verteilt und in dieser für so und so lange abhängen, bevor sie an alle Clients geht. Oder auch vielleicht mal nicht freigegeben werden.". Den Wunsch kann ich nachvollziehen. Schließlich will nicht jeder immer bei jedem Update einer 3-stündigen Konferenz beisitzen, bei der nach 5 Minuten schon alles gesagt ist, aber noch nicht von jedem. Sprich Entscheidungen ob Freigabe am WSUS oder Softwareverteilung, wann und an welche Test-Gruppe soll anhand der Entscheidungsmatrix definiert werden. Damit entsprechend zügig entschieden werden kann, ohne jedesmal den Chef zu fragen. Jetzt kommt mein Problem: Ich habe keine Ahnung, wie ich da anfangen soll. Ich hoffe, dass ich nicht der einzige bin, der so was aufstellen muss, sondern, dass hier in der Security-Gruppe, so etwas schon der eine oder andere machen musste und einsetzt. Vielleicht kann mir ja jemand einen Link nennen, wo so etwas schon einmal beispielhaft dargestellt ist oder hat selber so eine Matrix im Einsatz, die er mir (geschwärzt) als Screenshot zukommen lassen kann. Ich habe meine eigene Entscheidungsmatrix im Kopf bzw. Bauch. und BSI-Empfehlungen sind auch immer sehr hilfreich beim entscheiden. Aber das Ganze aufschreiben ... dafür denke ich meinem Chef entweder zu komplex oder nicht komplex genug :-). Gruß Ninu
  9. Hallo magheinz, auch wenn dies jetzt von meiner Frage wegführt: Die LUN ist nicht das Problem, die kann vergrößert werden bis der Platz der Netapp aufgebraucht ist, das iSCSI ist das Problem. Und CIFS oder iSCSI ist auch nicht die Frage. Es ist wie es ist. Damit muss ich leben. Für mich ist, in der derzeitigen Situation, nur relevant: Swing-Server oder einfach als weiteres Ziel mit in das DFS-R aufnehmen und nach einer Weile (wenn der initiale Sync durch ist) das alte Ziel deaktivieren und aus der Repli rausnehmen? RoboCopy als Pre-Deploy auf neu HDD oder nicht? Gruß Ninu
  10. Es ist ein iSCSI-Target, weil das ganze Konstrukt in einer VM-Ware Umgebung mit NetApps läuft und die ESX-Hosts nicht "voll gemüllt" werden sollten. Und vergrößern lässt es sich nicht, weil das doofe iSCSI sich nur um den Faktor 10 vergrößern ließ und sich die Anforderungen nach Fertigstellung massiv verändert haben... :mad: :D MfG aus Frankfurt.
  11. Hallo zusammen, eine Frage an die DFSR-Cracks. Ich habe gerade folgendes "Problem" Szenario: 2 Server 2008R2, zwischen denen repliziert wird. Jetzt ist auf dem einen Server die Platte zu knapp geworden (iSCSI) eine 2. größere Platte (ebenfalls iSCSI) wurde an den Server geklemmt auf die die Daten umgezogen werden sollen. Jetzt die Fragen aller Fragen: Kann man beide Platten (Freigaben) in die gleiche Replikation hängen, so dass Änderungen immer auf beiden Platten geschrieben werden und dann irgendwann (natürlich möglichst zügig) die alte Platte aus der Replikation herausnehmen? Oder sollte ich über einen Swingserver gehen? Oder alles mit Robocopy kopieren und dann hart die Repli kappen und neu aufbauen? Viele Grüße und vielen Dank im Voraus Ninu
  12. Sorry das ich jetzt erst antworte, ich hatte ein ungewöhnliches Event, das nur alle Schaltjahre vorkommt... Ich habe sagen hören, man nennt es Urlaub :-) Ich ahnte ja, dass ich zu b***d zum googlen bin :-) Ich schau mir den Link mal an in der Hoffnung, dass dann die Erleuchtung kommt. Gruß Ninu.
  13. 156 Aufrufe und keiner hat eine Idee? Wow dann habe ich hier wohl ein einzigartiges Phänomen :-)
  14. Es war ein einfacher Haken, den wir rausnehmen mussten. In den Ordnerumleitungen gibt es 2 Tabs. Der 2. heißt, glaube ich, "Einstellungen". Dort gibt es den Punkt "An neuen Speicherplatz verschieben" nimmt man den Raus, dann kopiert er nur, bzw. tut nichts, wenn alter und neuer Speicherort identisch sind. Nachteil daran, sind neuer und alter Speicherort nicht Ident hat man den ganzen Kram zweimal. Und das kann die User irritieren. Gruß Ninu
  15. Hallo zusammen, wir haben jetzt einen Teil unserer Home-Laufwerke auf DFS-R umgestellt. Ein File-Server steht jew. am Remote Standort und einer in der Zentrale, zu dem alle Server aus den Remote-Standorten hinreplizieren. Dabei ist folgendes aufgefallen: Der Zugriff auf einzelne Dateien ist langsamer als vorher, am einfachsten zu sehen, wenn man eine leere Textdatei im DFS-Share erstellt und dann, nach einiger Zeit, wieder löscht. Namespace-Server sind dir DFS-Server und die DCs DNS läuft auf den DCS und sie sind GCs Sites&Services ist korrekt konfiguriert, d.h. die Clients verbinden sich auch mit dem korrekten Server vor Ort. Google ergab folgendes: Zugriff auf \\domäne.com\DFS ist langsam, \\DomäneCom\DFS ist schnell. Kurz geprüft, stimmt, ist bei uns auch so. Weiter gelesen Lösung: Read-Berechtigungen auf DFSRoot stimmten nicht. Ok, so weit, so gut. Würde dem ja auch gerne folgen können, aber was ich nicht raus finden konnte war Was zum Henker hat er denn da korrigiert? Wie sind denn die "korrekten" Einstellungen für die Sicherheit? Ich bitte untertänigst um Erleuchtung :-) Gruß Ninu
  16. Sorry, dass ich mich so lange nicht gemeldet habe. Es ging hier ein bisschen stressiger zu als beim normalen Wahnsinn :-). Inzwischen konnte ich es, Dank euch, lösen. Vielen Dank und freundliche Grüße Ninu
  17. Hallo daabm, im Prinzip ja, allerdings finde ich das nicht in den Policies von Win2008. Gruß Ninu
  18. Hallo zusammen, ich habe folgendes Problem und damit ein paar Fragen an die GPO-Gurus unter euch: Unsere Home-Laufwerke sollen auf einen DFS-Pfad umgestellt werden, also von \\fileserver_am_standort.do.mäne\userdata auf \\do.mäne\userdata. Dabei soll aber der "physische" Ort nicht verändert werden. So weit so trivial. Diese Daten sollen dann noch an den Hauptstandort repliziert werden, um nur noch einen Server sichern zu müssen. Auch kein Thema. Jetzt sollen aber auch alle Ordner, die wir bislang auf \\fileserver_am_standort.do.mäne\userdata umgeleitet haben auf den Entsprechenden DFS-Pfad umgeleitet werden und schon beginnt das Dilemma. Ändere ich den Pfad per GPO will Windows die umgeleiteten Ordner vom FileServer-Pfad auf den DFS-Pfad verschieben. Klar, da ja in der Policy (nach guter alter Manier), drin steht "Inhalt von 'XYZ' an den neuen Speicherort verschieben=Aktiviert " Da dies aber physisch der selbe Pfad ist schlägt das fehl und die User hätten dann auf einmal nur noch einen leeren Ordner für z.B. Desktop, Eigene Bilder, Eigene Dokumente, usw. Um genau zu sein ist das _eine_ GPO, die die Ordnerumleitungen in Abhängigkeit von der Zugehörigkeit in einer AD-Gruppe setzt. Also wenn ein User in einer Gruppe "Fileserver" drin ist, dann sollen die Ordnerumleitungen auf \\fileserver_am_standort.do.mäne\userdata verweisen, ist der User in eine DFS-Gruppe, dann sollen die Ordner-Umleitungen auf \\do.mäne\userdata verweisen, die Policy wird also nicht "gelöscht". Damit wirkt natürlich auch "Verhalten bei Entfernen der Richtlinie=Inhalt belassen " nicht. Saublöd so was. Vor allem aber ein Ärgernis-Potential, das ich gerne vermeiden würde. Wie kann ich das verhindern, also wie kann ich der GPO beibringen dass sie die Pfade in der Registry zwar anpassen soll, aber die Ordner nicht verschieben soll? Was passiert eigentlich wenn man "Inhalt von 'XYZ' an den neuen Speicherort verschieben" nicht auf "Aktiviert" sondern auf "Deaktiviert" setzt? Kopiert sie dann? Ignoriert sie den neuen Pfad und legt neue Ordner an? Oder was? Da schweigt Microsoft irgendwie und mein Wissen um die korrekte Benutzung von Google. Vielen Dank im Voraus für die Erleuchtung. Ninu
  19. Hallo daabm, erst einmal vielen Dank für die Information. Ich schau jetzt erst einmal was ich damit anfange und sage dann noch einmal Bescheid, für was ich mich dann entschieden habe :-) Gruß Ninu
  20. Hallo zusammen, folgende Konstellation bereitet mir Kopfschmerzen: Die eigenen Dokumente sollen per GPO nach \\Server\Userdata\%Username%\Documents umgeleitet werden. So weit, so gut, so einfach. Clients sind Windows 7, DCs sind Windows 2008 R2 Also eigentlich alles ganz einfach. Richtline machen, in Ordnerumleitungen Rechtsklick auf "Dokumente", Eigenschaften auswählen. "Erweitert" auswählen, weil verschiedene Server an verschiedenen Standorten->verschiedene Gruppen. Dann "Hinzufügen", Gruppe eintragen, "Einen Ordner für jeden Benutzer..." auswählen, "\\Server\Userdata" eintragen und Schuss. Nun passiert folgendes: Mal verweist die Umleitung auf "Eigene Dateien" mal auf "Documents".... Hä? Ja wat denn nu? XP-Standard doof, Win7-Standard schön (soll ja auch so). Es ist für mich nicht nachvollziehbar, weshalb mal auf "Eigene Dateien" und mal auf "Documents" verwiesen wird. Wie kann ich definitiv festlegen, wohin umgeleitet wird? Macht es einen Unterschied, ob ich die Policy auf einem Windows 7 Client oder einem 2008 Server erstelle? Mir langt auch ein "Schau hier, du ***!", so lang der Link meine Fragen beantwortet. :-) Gruß Ninu
  21. Ok, Fall gelöst: Obwohl alle Zertifikate des RMS-Servers und der dazugehörigen CA valide sind, wurde der Zugriff auf den Server durch eine GPO geblockt die auf gesperrte Server-Zertifikate prüft Interessanterweise zog das nur, wenn man geschützte Dokumente öffnen wollte. Rief man die beiden Pipes direkt aus dem IE auf wurde kein einziges Zertifikat geblockt. Ich hoffe das hilft hier noch anderen. Viele Grüße Ninu
  22. Hallo zusammen, ich habe da ein Problem, dass ich nicht verstehe was da schief ist: Folgende Gegebenheiten: Domäne 1 = User/Client-Domäne Domäne 2 = AD RMS-Domäne Die Domänen sind nicht "verheiratet" (kein Forest, kein Domänen-Vertrauen, o.ä) In der Domäne 1 befindet sich ein konditioneller Forwarder auf die AD RMS -Domäne im DNS und ein SCP für das AD RMS Beides mit Windows 2008 R2 DCs Wenn sich ein User an einem XP-Client anmeldet und ein geschütztes Dokument öffnet wird er ganz brav nach dem Usernamen und dem Passwort für seinen User in der AD RMS-Domäne gefragt. Tippt er das ordentlich ein, wird das Dokument entschüsselt und er kann es lesen. Wenn sich der gleiche User an einen Windows 7-Client anmeldet kommt nur die Meldung "Benutzerinformationen können zurzeit nicht überprüft werden. Möchten Sie diese(s) Dokument mit anderen Anmeldeinformationen öffnen?" Klickt man auf "Ja" kommt noch ein "Der Dienst ist vorübergehend nicht verfügbar. Stellen Sie sicher, dass eine Verbindung mit diesem Server besteht. Dieser Dehler kann darauf zurückzuführen sein, dass Sie offline arbeiten, dass die Proxyeinstellungen die Verbindung verhindern oder dass Netzwerkprobleme auftreten." Ich habe schon das INet durchforstet, den Proxy mal ganz abgeschaltet, so dass das ganze im Lan abläuft ohne, dass mir der Proxy dazwischen springen kann, Registry verglichen, etc... Unterschiede sind: Client A: Windows XP 32 Bit Client B: Windows 7 64 Bit Office ist jeweils in der 32-bit Version installiert. Es wäre toll, wenn mir hier jemand auf die Sprünge helfen könnte. Vielen Dank Ninu Was ich noch vergessen habe: Wenn ich auf dem Windows 7 Client die Pipes (also z.B. https://<rms-cluster>/_wmcs/certification/certification.asmx) direkt aus dem IE heraus aufrufe werde ich nach dem Usernamen gefragt, nur aus Office heraus klappt es nicht. Gruß Ninu Und noch etwas: Das Maschienen-Certifikat wird gezogen.
  23. Hallo Doso, Muhahaha :p . Ich habe es noch nirgendwo gesehen, dass User den Empfehlungen der IT folgen. Leider auch hier nicht der Fall. Hallo Dunkelmann, Punkt 1 (DFS-N) ist ohnehin der Weg den wir gehen wollen. Aber wenn ein Test mit einem simplen Fileserver schon zu der Erkenntnis führt, dass das Konzept des "Ich stelle im AD den Profilpfad um und alles ist 'gut'" nicht mehr so funktioniert, wie es das noch unter 2003 tat, dann ist das schon etwas "gewöhnungsbedürftig" (man könnte auch sagen: "MS hat das was gut war noch 'verschlimmbessert'"). Wenn es zumindest eine vernünftige Erklärung dazu geben würde, warum das jetzt so ist wie es ist... :suspect: . Viele Grüße Jörg
  24. Das Problem ist, dass ich ungern 1000 Usern sagen möchte: "Ich habe jetzt ihren Profilpfad umgestellt bitte melden Sie sich jetzt ab, dann an und dann wieder ab. Und wo wir schon mal so schön dabei sind können Sie sich jetzt wieder anmelden...". Das führt im Ernstfall dazu, dass hier demnächst ein Kopfloser Sys-Admin rumläuft ;-) Gruß Jörg
×
×
  • Create New...