Jump to content

Ninu

Members
  • Gesamte Inhalte

    63
  • Registriert seit

  • Letzter Besuch

Beiträge erstellt von Ninu

  1. Also das Netz sieht so aus:

     

    Client (XXX.XXX.XXX.XXX)----------

                                                           |

                                                           |------Firewall----Internet

                                                           |

    Server (XXX.XXX.XXX.XXX+1)-----

     

    D.h. Die Firewall ist für Client und Server gleich, es gilt das gleiche Regelwerk.

    Vom Client aus alles bestens, vom Server aus alles doof.

     

    Ich schaue aber mal nach was anderem....

    Nicht dass da jemand mal eine Regel "lustig" gestrickt hat, so dass der Server irgendwo anders rausfällt.

     

    Gruß

     

    Ninu

  2. Hallo zusammen.

     

    Ich muss mich mal wieder von ein bis 3 Knoten im Gehirn lösen.

     

    Folgendes Problem:

    Terminalserver auf 2008 R2 Basis.

    Dadrauf soll eine RDP-Sitzung nach extern geöffnet werden.

    Port TCP/3389 zu dem externen Server auf der Firewall geöffnet (Mein Client und der Server dürfen da hin)

     

    Von meinem Client (Windows 7) kein Problem die RDP-Sitzung zu starten.

    Vom Server aus kommt ein "Server nicht erreichbar" zurück.

     

    Was habe ich schon auf dem Server getestet:

    Windows-Firewall ausgeschaltet (komplett)

    TrendMicro, wg, Verdacht auf IPS/Firewall ausgeschaltet.

    RDP-Sitzung von dem TS auf einen anderen Server bei uns funktioniert.

    Nur nach extern nicht.
    Dass die Sperrliste für das Zertifikat vom Server aus erreichbar ist habe ich ebenfalls getestet.
     

    So langsam weiß ich nicht mehr weiter.

     

    Habt ihr noch Ideen?

     

    Gruß

     

    Ninu

  3. Hallo zusammen,

     

    erst einmal vielen Dank, für die Antworten.

     

    IISCrypto hatte ich benutzt.

    Den Artikel lese ich mir gleich durch.

     

    Aber ich muss mich korrigieren. Es ist nicht SSL 2.0, das kann ich deaktivieren, es ist das TLS 1.0 was mir in die Suppe spuckt.

    Habe ich gerade eben erst bemerkt.

    Man soll halt nicht bei der Fehlersuche schlampen und 2 Sachen gleichzeitig wieder auf "allow" stellen.

     

    Zur weiteren Ergänzung: Die Clients sind auf Windows 7 Basis.

    Können die TLS 1.1 bzw. 1.2?

     

    Gruß

     

    Ninu


    Euer WSUS ist öffentlich erreichbar? Oder wie testet ihr das? Nicht falsch verstehen, interne Server abzusichern ist auch wichtig, aber der Zusammenhang zu Qualsys erschließt sich mir grad nicht. :)

    Bye
    Norbert

     

    Nein, zumindest nicht direkt.

    Aber wir haben auch Maschinen, die nicht bei uns im Haus stehe und damit potentiell gestohlen und missbraucht werden können.

    Natürlich sind die gesondert noch einmal in einer gesicherten Umgebung. Aber sicher ist sicher.

  4. Hallo zusammen,

     

    ich habe mal wieder eine doofe Frage:

     

    wir machen regelmäßige Qualys-Scans über unsere Server.

    Dabei sind auch auf den WSUS-Servern einige Kleinigkeiten aufgefallen, z.B. das diese Server über SSL 3.0 und SSL 2.0 für Poodle angreifbar sind.

    Was macht Klein-Doofi im ersten Schreck?

    Richtig! SSL 2.0 und 3.0 in der Registry deaktivieren (Client und Server), gibt ja noch SSL 1.0 und TLS.

    So zumindest der Plan.

     

    b***d nur, dass dann die WSUS-Server nicht mehr erreichbar sind. RDP geht, WSUS-Konsole und Updates gehen nicht mehr.

     

    Google bemüht, nichts sinnvolles gefunden. Wahrscheinlich zu b***d zum suchen gewesen.

     

    Nur wie bekomme ich jetzt meine WSUS-Server Poodle-fest?

     

    Wir nutzen den neuesten WSUS mit allen Patchen auf BS- und WSUS-Ebene.

    Als Server-BS läuft Windows 2016 mit dem dazugehörigen IIS.

     

    Hat jemand einen Tipp für mich?

     

    Gruß

     

    Ninu

  5. Hallo zusammen.

     

    Boah ich weiß gar nicht wie und wo ich anfangen soll.

     

    Fangen wir mal klein an.

    Wir wollen Microsoft-Updates und ggf. auch noch andere Updates die MS anbietet, wie z.B. Flash Player, per WSUS verteilen. Oder auch nicht.

    wo bei "Oder" auch heißt, die Updates sollen zwar verteilt werden, aber ggf. über einen anderen Weg, nämlich über eine Softwareverteilung.

    Warum nicht alles über die Softwareverteilung? Weil die nicht agil genug ist, wenn es um sicherheitskritische Dinge geht.

     

    Jetzt hat mein Chef die Anforderung gestellt, dass eine Entscheidungsmatrix her soll, frei nach dem Motto " Diese Patches werden aus dem und dem Grund über diesen (oder jenen) Weg, an diese (oder jene) Testgruppe,  sofort (oder später) verteilt und in dieser für so und so lange abhängen, bevor sie an alle Clients geht. Oder auch vielleicht mal nicht freigegeben werden.".

     

    Den Wunsch kann ich nachvollziehen.

    Schließlich will nicht jeder immer bei jedem Update einer 3-stündigen Konferenz beisitzen, bei der nach 5 Minuten schon alles gesagt ist, aber noch nicht von jedem.

    Sprich Entscheidungen ob Freigabe am WSUS oder Softwareverteilung, wann und an welche Test-Gruppe soll anhand der Entscheidungsmatrix definiert werden.

    Damit entsprechend zügig entschieden werden kann, ohne jedesmal den Chef zu fragen.

     

    Jetzt kommt mein Problem:

     

    Ich habe keine Ahnung, wie ich da anfangen soll.

     

    Ich hoffe, dass ich nicht der einzige bin, der so was aufstellen muss, sondern, dass hier in der Security-Gruppe, so etwas schon der eine oder andere machen musste und einsetzt.

    Vielleicht kann mir ja jemand einen Link nennen, wo so etwas schon einmal beispielhaft dargestellt ist oder hat selber so eine Matrix im Einsatz, die er mir (geschwärzt) als Screenshot zukommen lassen kann.

     

    Ich habe meine eigene Entscheidungsmatrix im Kopf bzw. Bauch. und BSI-Empfehlungen sind auch immer sehr hilfreich beim entscheiden.

    Aber das Ganze aufschreiben ... dafür denke ich meinem Chef entweder zu komplex oder nicht komplex genug :-).

     

    Gruß

     

    Ninu

  6. Hallo magheinz,

     

    auch wenn dies jetzt von meiner Frage wegführt:

    Die LUN ist nicht das Problem, die kann vergrößert werden bis der Platz der Netapp aufgebraucht ist, das iSCSI ist das Problem.

    Und CIFS oder iSCSI ist auch nicht die Frage.

    Es ist wie es ist.

    Damit muss ich leben.

     

    Für mich ist, in der derzeitigen Situation, nur relevant:

    • Swing-Server oder einfach als weiteres Ziel mit in das DFS-R aufnehmen und nach einer Weile (wenn der initiale Sync durch ist) das alte Ziel deaktivieren und aus der Repli rausnehmen?
    • RoboCopy als Pre-Deploy auf neu HDD oder nicht?

     

    Gruß

     

    Ninu

  7. Hallo zusammen,

     

    eine Frage an die DFSR-Cracks.

     

    Ich habe gerade folgendes "Problem"

    Szenario:

    2 Server 2008R2, zwischen denen repliziert wird.

    Jetzt ist auf dem einen Server die Platte zu knapp geworden (iSCSI) eine 2. größere Platte (ebenfalls iSCSI) wurde an den Server geklemmt auf die die Daten umgezogen werden sollen.

     

    Jetzt die Fragen aller Fragen:

    Kann man beide Platten (Freigaben) in die gleiche Replikation hängen, so dass Änderungen immer auf beiden Platten geschrieben werden und dann irgendwann (natürlich möglichst zügig) die alte Platte aus der Replikation herausnehmen?

    Oder sollte ich über einen Swingserver gehen?

    Oder alles mit Robocopy kopieren und dann hart die Repli kappen und neu aufbauen?

     

    Viele Grüße und vielen Dank im Voraus

    Ninu

  8. Es war ein einfacher Haken, den wir rausnehmen mussten. In den Ordnerumleitungen gibt es 2 Tabs. Der 2. heißt, glaube ich, "Einstellungen".

    Dort gibt es den Punkt "An neuen Speicherplatz verschieben" nimmt man den Raus, dann kopiert er nur, bzw. tut nichts, wenn alter und neuer Speicherort identisch sind.

    Nachteil daran, sind neuer und alter Speicherort nicht Ident hat man den ganzen Kram zweimal. Und das kann die User irritieren.

     

    Gruß

     

    Ninu

  9. Hallo zusammen,

     

    wir haben jetzt einen Teil unserer Home-Laufwerke auf DFS-R umgestellt.

    Ein File-Server steht jew. am Remote Standort und einer in der Zentrale, zu dem alle Server aus den Remote-Standorten hinreplizieren.

     

    Dabei ist folgendes aufgefallen:

    Der Zugriff auf einzelne Dateien ist langsamer als vorher, am einfachsten zu sehen, wenn man eine leere Textdatei im DFS-Share erstellt und dann, nach einiger Zeit, wieder löscht.

     

    Namespace-Server sind dir DFS-Server und die DCs

    DNS läuft auf den DCS und sie sind GCs

     

    Sites&Services ist korrekt konfiguriert, d.h. die Clients verbinden sich auch mit dem korrekten Server vor Ort.

     

    Google ergab folgendes:

    Zugriff auf \\domäne.com\DFS ist langsam, \\DomäneCom\DFS ist schnell.

     

    Kurz geprüft, stimmt, ist bei uns auch so.

    Weiter gelesen

     

    Lösung: Read-Berechtigungen auf DFSRoot stimmten nicht.

     

    Ok, so weit, so gut. Würde dem ja auch gerne folgen können, aber was ich nicht raus finden konnte war

    Was zum Henker hat er denn da korrigiert?

    Wie sind denn die "korrekten" Einstellungen für die Sicherheit?

     

    Ich bitte untertänigst um Erleuchtung :-)

     

    Gruß

     

    Ninu

  10. Hallo zusammen,

     

    ich habe folgendes Problem und damit ein paar Fragen an die GPO-Gurus unter euch:

     

    Unsere Home-Laufwerke sollen auf einen DFS-Pfad umgestellt werden, also von \\fileserver_am_standort.do.mäne\userdata auf \\do.mäne\userdata.

    Dabei soll aber der "physische" Ort nicht verändert werden. So weit so trivial.

     

    Diese Daten sollen dann noch an den Hauptstandort repliziert werden, um nur noch einen Server sichern zu müssen. Auch kein Thema.

     

    Jetzt sollen aber auch alle Ordner, die wir bislang auf \\fileserver_am_standort.do.mäne\userdata umgeleitet haben auf den Entsprechenden DFS-Pfad umgeleitet werden und schon beginnt das Dilemma.

    Ändere ich den Pfad per GPO will Windows die umgeleiteten Ordner vom FileServer-Pfad auf den DFS-Pfad verschieben.

    Klar, da ja in der Policy (nach guter alter Manier), drin steht "Inhalt von 'XYZ' an den neuen Speicherort verschieben=Aktiviert "

    Da dies aber physisch der selbe Pfad ist schlägt das fehl und die User hätten dann auf einmal nur noch einen leeren Ordner für z.B. Desktop, Eigene Bilder, Eigene Dokumente, usw.

     

    Um genau zu sein ist das _eine_ GPO, die die Ordnerumleitungen in Abhängigkeit von der Zugehörigkeit in einer AD-Gruppe setzt. Also wenn ein User in einer Gruppe "Fileserver" drin ist, dann sollen die Ordnerumleitungen auf \\fileserver_am_standort.do.mäne\userdata verweisen, ist der User in eine DFS-Gruppe, dann sollen die Ordner-Umleitungen auf \\do.mäne\userdata verweisen, die Policy wird also nicht "gelöscht". Damit wirkt natürlich auch "Verhalten bei Entfernen der Richtlinie=Inhalt belassen " nicht.

     

    Saublöd so was.

    Vor allem aber ein Ärgernis-Potential, das ich gerne vermeiden würde.

    Wie kann ich das verhindern, also wie kann ich der GPO beibringen dass sie die Pfade in der Registry zwar anpassen soll, aber die Ordner nicht verschieben soll?

     

    Was passiert eigentlich wenn man  "Inhalt von 'XYZ' an den neuen Speicherort verschieben" nicht auf "Aktiviert" sondern auf "Deaktiviert" setzt?

    Kopiert sie dann? Ignoriert sie den neuen Pfad und legt neue Ordner an? Oder was?

    Da schweigt Microsoft irgendwie und mein Wissen um die korrekte Benutzung von Google.

     

    Vielen Dank im Voraus für die Erleuchtung.

     

    Ninu

     

  11. Hallo zusammen,

     

    folgende Konstellation bereitet mir Kopfschmerzen:

     

    Die eigenen Dokumente sollen per GPO nach \\Server\Userdata\%Username%\Documents umgeleitet werden.

     

    So weit, so gut, so einfach.

    Clients sind Windows 7, DCs sind Windows 2008 R2

    Also eigentlich alles ganz einfach.

    Richtline machen, in Ordnerumleitungen Rechtsklick auf "Dokumente", Eigenschaften auswählen. "Erweitert" auswählen, weil verschiedene Server an verschiedenen Standorten->verschiedene Gruppen.

    Dann "Hinzufügen", Gruppe eintragen, "Einen Ordner für jeden Benutzer..." auswählen, "\\Server\Userdata" eintragen und Schuss.

     

     

    Nun passiert folgendes:

    Mal verweist die Umleitung auf "Eigene Dateien" mal auf "Documents"....

    Hä?

    Ja wat denn nu?

    XP-Standard doof, Win7-Standard schön (soll ja auch so).

     

    Es ist für mich nicht nachvollziehbar, weshalb mal auf "Eigene Dateien" und mal auf "Documents" verwiesen wird.

    Wie kann ich definitiv festlegen, wohin umgeleitet wird?

    Macht es einen Unterschied, ob ich die Policy auf einem Windows 7 Client oder einem 2008 Server erstelle?

     

     

    Mir langt auch ein "Schau hier, du ***!", so lang der Link meine Fragen beantwortet. :-)

     

    Gruß

     

    Ninu

     

  12. Ok, Fall gelöst:

     

    Obwohl alle Zertifikate des RMS-Servers und der dazugehörigen CA valide sind, wurde der Zugriff auf den Server durch eine GPO geblockt die auf gesperrte Server-Zertifikate prüft

    Interessanterweise zog das nur, wenn man geschützte Dokumente öffnen wollte.

     

    Rief man die beiden Pipes direkt aus dem IE auf wurde kein einziges Zertifikat geblockt.

     

    Ich hoffe das hilft hier noch anderen.

     

    Viele Grüße

     

    Ninu

  13. Hallo zusammen,

     

    ich habe da ein Problem, dass ich nicht verstehe was da schief ist:

    Folgende Gegebenheiten:

     

    Domäne 1 = User/Client-Domäne

    Domäne 2 = AD RMS-Domäne

     

    Die Domänen sind nicht "verheiratet" (kein Forest, kein Domänen-Vertrauen, o.ä)

    In der Domäne 1 befindet sich ein konditioneller Forwarder auf die AD RMS -Domäne im DNS und ein SCP für das AD RMS

     

    Beides mit Windows 2008 R2 DCs

     

    Wenn sich ein User an einem XP-Client anmeldet und ein geschütztes Dokument öffnet wird er ganz brav nach dem Usernamen und dem Passwort für seinen User in der AD RMS-Domäne gefragt. Tippt er das ordentlich ein, wird das Dokument entschüsselt und er kann es lesen.

    Wenn sich der gleiche User an einen Windows 7-Client anmeldet kommt nur die Meldung "Benutzerinformationen können zurzeit nicht überprüft werden. Möchten Sie diese(s) Dokument mit anderen Anmeldeinformationen öffnen?"

     

    Klickt man auf "Ja" kommt noch ein "Der Dienst ist vorübergehend nicht verfügbar. Stellen Sie sicher, dass eine Verbindung mit diesem Server besteht. Dieser Dehler kann darauf zurückzuführen sein, dass Sie offline arbeiten, dass die Proxyeinstellungen die Verbindung verhindern oder dass Netzwerkprobleme auftreten."

     

    Ich habe schon das INet durchforstet, den Proxy mal ganz abgeschaltet, so dass das ganze im Lan abläuft ohne, dass mir der Proxy dazwischen springen kann, Registry verglichen, etc...

     

    Unterschiede sind:

    Client A: Windows XP 32 Bit

    Client B: Windows 7 64 Bit

     

    Office ist jeweils in der 32-bit Version installiert.

     

    Es wäre toll, wenn mir hier jemand auf die Sprünge helfen könnte.

     

    Vielen Dank

     

    Ninu



    Was ich noch vergessen habe:

     

    Wenn ich auf dem Windows 7 Client die Pipes (also z.B. https://<rms-cluster>/_wmcs/certification/certification.asmx) direkt aus dem IE heraus aufrufe werde ich nach dem Usernamen gefragt, nur aus Office heraus klappt es nicht.

     

    Gruß

     

    Ninu



    Und noch etwas: Das Maschienen-Certifikat wird gezogen.

  14. Hallo Doso,

     

    Oder du vertraust darauf das das gut geht weil sich die Nutzer sowieso jeden Tag abmelden? :)

     

     

    Muhahaha  :p .

     

    Ich habe es noch nirgendwo gesehen, dass User den Empfehlungen der IT folgen. Leider auch hier nicht der Fall.



     

    Moin,

     

    es gibt Migrationen, die nicht oder nur schwirig ohne Benutzerinteraktion zu bewältigen sind.

     

    Ich möchte zwei Dinge anregen:

    1. Die neuen Pfade gleich auf einen serverunabhängigen Pfad legen; also Cluster oder DFS Namespace (Domäne). Dann gibt es wenigstens bei der nächsten Migration keine Probleme, wenn sich der Server ändert.
    2. Die Migration sukzessiv durchführen. Je nach dem, was ihr im Support bewältigen könnt, könnten Blöcke á 50 oder 100 User je Woche angemessen sein.

    Hallo Dunkelmann,

     

    Punkt 1 (DFS-N) ist ohnehin der Weg den wir gehen wollen.

     

    Aber wenn ein Test mit einem simplen Fileserver schon zu der Erkenntnis führt, dass das Konzept des "Ich stelle im AD den Profilpfad um und alles ist 'gut'" nicht mehr so funktioniert, wie es das noch unter 2003 tat, dann ist das schon etwas "gewöhnungsbedürftig" (man könnte auch sagen: "MS hat das was gut war noch 'verschlimmbessert'").

     

    Wenn es zumindest eine vernünftige Erklärung dazu geben würde, warum das jetzt so ist wie es ist...  :suspect: .

     

    Viele Grüße

     

    Jörg

  15. Das Problem ist, dass ich ungern 1000 Usern sagen möchte: "Ich habe jetzt ihren Profilpfad umgestellt bitte melden Sie sich jetzt ab, dann an und dann wieder ab. Und wo wir schon mal so schön dabei sind können Sie sich jetzt wieder anmelden...".

    Das führt im Ernstfall dazu, dass hier demnächst ein Kopfloser Sys-Admin rumläuft ;-)

     

    Gruß

     

    Jörg

×
×
  • Neu erstellen...