RalphT

Moin,

ich habe hier eine neue AD-Umgebung vor ca. 40 Tagen aufgebaut. 3 Server 2019 als Domaincontroller, einer an einem anderen Standort.
Clients alle Windows 10.

Nun hatte ich schon die folgende Fehlermeldung an 2 versch. Clients:

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden

Ich habe die Rechner einfach nur neu geatartet, ohne etwas zu machen. In beiden Fällen funktionierte es danach.
Jetzt ist natürlich die Frage, wo das Problem liegen könnte.

Folgende Dinge habe ich überprüft:

Uhrzeit. Auf allen DCs und auf den Clients stimmt die Zeit auf die Sekunde.
Auf allen DCs habe ich dcdiag und repadmin /showrepl ausgeführt. Alles ok.
Auf den DCs zeigt die Ereignisanzeige keine Fehler an.
Die beiden betroffenen Clients sind/waren eigentlich immer in Benutzung. Es wurde auch nichts aus einem Image hergestellt.

Meine Vermutung ist, dass nach dem zweiten Neustart der Client erfolgreich sein Computerkennwort erfolgreich ändern konnte.

An welcher Stelle könnte man denn mal nachsehen, ob es ein Problem gibt?

Moin,

ich habe bei ein paar Nutzern ein gemeinsames Teampostfach unter Exchange 2016 (Vollrechte unter Postfachstellvertretung) eingerichtet.

Die Signatur habe ich im Exchange unter Haftungsausschluss realisiert. Die Werte dazu kommen aus der AD.

Jetzt möchte ich ganz gerne, wenn ein Nutzer eine Mail über das Teampostfach sendet, dass auch die richtige Signatur vom Besitzer des Teampostfaches angehangen wird. Dort wird aber derzeit keine Signatur angehangen.

Gibt es dafür überhaupt eine Möglichkeit das mit Bordmitteln zu lösen? Oder brauche ich dafür eine Drittanbieterlösung?

Nachtrag:

Ach sorry,

das funktioniert doch. Ich war nur etwas zu ungeduldig. Ich hatte den Besitzer vom Teampostfach in die Gruppe hinzugefügt. Das wirkte wohl nicht sofort.

Ich habe mir mal einige Stellenanzeigen angesehen. Fast alle Firmen suchen Administratoren mit Cloud Erfahrung. Das passt natürlich auch zum Angebot der meisten Lehrgänge. Es sieht so aus, dass doch viele Firmen in die Cloud umgezogen sind.

vor 4 Minuten schrieb NorbertFe:

:/ was erwartest du denn bei einer gratis Stunde? Egal welches Thema?

Dann hattest du mich falsch verstanden. Ich wollte damit nur sagen, dass online Schulungen für mich nichts sind. Davon abgesehen, war der Kurs kostenpflichtig. Ich durfte diesen Kurs nur für eine Stunden besuchen. Mir ging es damals auch nicht um den Inhalt, sondern nur, wie sind online-Kurse. Ich kannte das damals noch nicht.

vor 24 Minuten schrieb NilsK:

Moin,

 

Wenn es um Praxis geht, sind zugeschnittene, frei vereinbarte Kurse meist viel besser. Das ist dann allerdings auch nur für Firmen finanzierbar, die mehrere Leute auf einmal schulen wollen, weil man dann nicht mehr über günstige Pauschalpreise pro Teilnehmer spricht, sondern über Tagessätze.

 

Gruß, Nils

 

Diese Art der Weiterbildung hatten wir vor ein paar Jahren auch mal hier. War zwar nichts für Admins, ging mehr um Datenbanken. Aber diese Art kam gut an. Es wurde das unterrichtet, was man auch hier braucht. Die Kosten sind auch überschaubar. aber wie du schon geschrieben hattest, da müssen schon ein paar Leute zusammenkommen. In meinen Augen derzeit für Firmen die beste Lösung.

Ich  hatte mal vor ein paar Jahren so einen Schnupperkurs für Server 2012 geschenkt bekommen. Dieser Schnupperkurs ging ca. 1 Stunde.

Für mich ist das überhaupt nichts. Das Ganze war für mich total anstrengend. Mal eben dazwischenquatschen geht nicht. Selbst wenn die Internetverbindung top ist, hat man immer mal kleine Aussetzer oder Delays. Vielleicht bin ich da zu konservativ, da liebe ich den old-school Klassenraum. Ist einfach ein besseres Miteinander.

Konkrete Antworten suche ich nicht. Mir ist das beim Surfen nur aufgefallen. Ich hatte mal vo ca. 8 Jahren nach Kursen gesucht. Da waren noch genug Angbote in dieser (alten) Richtung. Daher denke ich, dass es auch in dieser Richtung einen Wandel gab.

Moin,

ich habe mal gerade nach Lehrgänge z.B. für Server 2019, Exchange oder auch Win 10 gesucht. Ich gebe zu ich habe jetzt nicht intensiv gesucht. Mir ist aber aufgefallen, dass die Angebote der Schulen/Firmen dort sehr stark 365-lastig sind. Man findet eigentlich nur noch Lehrgänge für diesem Bereich.

Ich suche jetzt keinen Lehrgang, sondern habe nur mal so danach gesucht.

Frage:

Ist jetzt eigentlich nur noch für diese Richtung Bedarf? Werden demnächst keine Admins mehr gebraucht, die sich mit den physischen Servern vor Ort auskennen müssen?

Moin,

ich habe mal eine Frage, wie ich das am besten lösen kann.

Ich habe hier ein paar wenige Smartphones, die ich über das WLAN an das Netz anbinden möchte. Die Smartphones verbinden sich mit dem WLAN und authentifizieren sich am NPS-Server. Dort ist eine Richtlinie hinterlegt, die einmal die AD-Gruppe vom Nutzer, die SSID und die MAC-Adresse vom Smartphone überprüft.

Die Smartphones benötigen das ROOT-Zertifkat und ein WLAN-User-Zertifikat. Auf dem NPS-Server ist EAP-TLS eingestellt.

Den wenigen Smartphonenutzern würde ich die beiden Zertifikate per Mail zukommen lassen. Das WLAN-Zertifikat muss ich den Nutzern mit einem privaten Schlüssel zustellen lassen.

Nun wollte ich ganz gerne, dass der WLAN-Zugriff nicht nicht an Dritte weitergegeben werden kann. Das Zertifikat kann man weitergeben. Um sich am WLAN anzumelden, benötigt man ja auch seinen Loginnamen aus der AD. Das ist ja auch kein großes Geheimnis.

Derzeit habe ich nur eine Idee. Ich habe im NPS-Server unter Bedingungen die Anrufer-ID mit den erlaubten MAC-Adressen hinzugefügt. Das funktioniert auch. Der Aufwand hält sich hier auch in Grenzen, da es nur wenige Smartphones sind.

Kann man das noch irgendwie anders lösen? Ich dachte auch mal daran, die MAC-Adressen als Nutzer in der AD zu hinterlegen und diese als zusätzliche Gruppe im NPS-Server zu hinterlegen. Aber ich wüsste jetzt nicht wie man im NPS zwei Gruppen hinterlegt, die als UND-Verknüpfung fungieren. Also es muss die AD-Gruppe-Nutzer UND die AD-Gruppe-MAC stimmen, dann würde der NPS den Zugang erlauben.

Oder gibt es noch eine ganz andere Möglichkeit? Ich möchte halt nur verhindern, dass der WLAN-Zugang weitergegeben werden kann. Das Ganze soll natürlich auch einigermaßen praktisch durchführbar sein.

Eigentlich interessiert mich das alles nicht. Mir persönlich ist das wurscht, ob da anonymisierte Daten übern Ozean gehen oder nicht. Ich habe hier nur gefragt, da mir hier der Datenschützer auf den Zeiger geht. Ich denke mal nicht, dass da die Gehaltsdaten der Mitarbeiter übertragen werden.

Ja. So hatte ich das bislang auch immer verstanden.

Also dann doch die Enterprise-Version installieren. Nach diesem Text, war ich etwas verunsichert.

vor 33 Minuten schrieb winmadness:

Wie beschreiben für Pro Version die beiden Dienste deaktivieren.

Wenn ich also die Pro habe und diese beiden Dienste deaktiviere, dann ist zu 100% Ruhe?

Moin,

ich habe gerade diesen Beitrag gelesen und bin mir jetzt nicht zu 100% sicher, ob ich das richtig verstanden habe.

https://www.gruppenrichtlinien.de/artikel/windows-10-telemetrie-und-diagnosedaten-richtig-abschalten

Er schreibt ja, dass ab der Version 20H2 die Abschaltung zu 100% funktioniert. Die 20H2 gibt es ja in der Version Pro und Enterprise.

Ich zitiere mal den zweiten Absatz:

Zitat

Für alle Edition, auch für die Enterprise, bleibt weiterhin der einfachste Weg:
Schaltet einfach die beiden Dienste ab, die die Daten sammeln und versenden, dann ist Ruhe. Mehr ist es nicht.

Gilt das jetzt auch für die Pro-Version? Mich verwirrt der Satz im ersten Absatz:

Zitat

Aus ist jetzt = Aus (in Enterprise).

Danke für eure Antworten.

vor 22 Minuten schrieb Dukel:

Allgemein oder wegen der aktuellen Lücken?

Wegen der aktuellen Situation.

Das Video auf der Seite kannte ich noch nicht. Ja klar, das ist ja schon eine Waffe, was da verwendet werden kann.

Ich hatte mich ja in den Foren auch schon umgesehen, was andere so machen. Das geht von der Reparatur und über das Neuaufsetzen vom Exchange. Manche vertrauen darauf, dass sie so firm sind, dass man wohl alles gefunden hat. Andere vertrauen auf die Tools die es dafür gibt. Und andere sagen sich, wer weiß, was da alles passiert ist, ich setzte den Exchange neu auf.

Aber ich habe noch nicht davon gelesen, dass einer die AD neu aufsetzt. Wie der Frank ja auch auf seiner Seite geschrieben hat. Es ist ein Restrisiko.

Ich habe auch noch nichts gelesen, dass einer definitiv Änderungen im AD gefunden hatte.

Mal eine Frage:

Hat von euch schon einen oder mehrere Fälle gesehen, wo die Angreifer auch im AD etwas verändert haben? Oder blieb das bis jetzt nur lokal auf dem Exchange?

Am 24.9.2020 um 16:27 schrieb Nobbyaushb:

In Böblingen gibt es einen Traumhaft guten, ansonsten bieten die Centren von New Horizons Walk-In an

Hallo @Nobbyaushb, ich sehe ja gerade, dass du aus Bremen kommst und von New Horizons geschrieben hast.

Ich war am Fallturm auch mal viele Monate mal dort. Was du schonmal da und hast Erfahrungen damit? Man bietet dort ja Kurse als Walk-In an, aber auch den Klassiker mit Lehrer an der Tafel.

Danke Sqiure, ja hatte ich falsch verstanden. Jetzt weiß ich auch, warum Norbert aus HB stutzte. Ich habe das abgeändert. Läuft einwandfrei.

Ich habe mich an dieser Seite orientiert:

https://www.frankysweb.de/exchange-2010-outlook-anywhere-konfigurieren-rpc-over-https/

Er schreibt dann:

Im Feld „Server“ geben wir nun den internen FQDN des Exchange Servers an

Nun dachte ich, dass ich den Eintrag outlook,firma.de verwende. Denn dieser Eintrag zeigt auf die interne IP vom Exchange.

Dann hatte den tatsächlichen FQDN vom Exchange eingetragen. Danach lief es.

Allerdings habe ich das nicht so ganz verstanden. Der tatsächliche FQDN und der Eintrag für die internen URLs zeigen ja auf die gleiche IP-Adresse.

Ein Get-OutlookAnywhere | fl *hostname* zeigte

ExternalHostname : mail.firma.de

InternalHostname: outlook.firma.de

Moin,

ich habe hier ein Problem mit Outlook Anywere. Von einem externen PC funktioniert die Einrichtung nicht.

Was ich habe:

Eine Windows interne Zertifizierungstelle. Das Zertifikat für den Exchange ist von dieser Stelle.
Das ROOT-Zertifikat ist auf dem externen PC vorhanden.
Der https-Zugriff von extern auf den OWA funktioniert ohne Zertifikatswarnung.

Exchange 2013 und Outlook 2013 ist hier im Einsatz.

Die virtuellen Verzeichnisse vom Exchange sind wie folgt konfiguriert:

outlook.firma.de für alle internen Zugriffe.
mail.firma.de für die externen Zugriffe.
autodiscover.firma.de

outlook.firma.de zeigt im lokalen DNS auf den Exchange.
mail.firma.de ist von außerhalb auflösbar und zeigt auf die WAN-Adresse der Firma.
Der Port 443 ist zum Excgange freigeschaltet und funktioniert auch. Zugriff OWA funktioniert ja.

Im Exchange steht die Authentifizierungsmethode für Outlook Anywhere auf Aushandeln.

Das neue Mailkonto im Outlook habe ich folgt angelegt:

Bei Server steht der interne DNS-Eintrag, also outlook.firma.de
Bei Benutzername der Kontoname vom Nutzer

Unter weitere Einstellungen:
Reiter Verbindung:
Verbindung über http herstellen
In der HTTPS-Zeile ist der externe DNS-Name, also mail.firma.de

Und unten bei Authentifizierungsmethode steht auf Aushandlungsauthentifizierung

Dann alle mit OK bestätigt und im Fenster für Name/Passwort den Namen nach dem Muster
meine.internedmoamin.de\Name

Anschließend erscheint die Melddung (gekürzt)

Die Aktion kann nicht abgeschlossen werden.
Es steht keine Verbindung mit Exchange zur Verfügung....

Wo könnte das Problem liegen? Ich hoffe, dass ich hier alle wichtige Daten/Einstellungen erwähnt habe.

vor 8 Minuten schrieb Nobbyaushb:

Das kommt auf die Betriebsvereinbarung an (ACHTUNG - KEINE Rechtberatung, NUR Tipp...)

Bei uns ist es Bestandteil / Anhang des Vertrages, das die Daten der Firma gehören und privates Mailen nicht gestattet ist.

Der MA unterschreibt auch, das wenn er trotzdem privat Mails sendet / empfängt, diese in die Gesetzlich vorgeschriebene Archivierung gehen und dort nicht entfernt werden können

 

Und ich bin beim andern Norbert

Ich weiß, dass das hier keine Rechtsberatung ist. Ich wollte nur mal hören, wie es andere machen. Aber so wie ihr das macht, so dachte ich mir das auch. Denn auch bei uns wurde eine Vereinbarung unterschrieben, dass priv. Mails nicht erlaubt sind.

vor 6 Minuten schrieb NorbertFe:

Wäre evtl. sinnvoller, wenn du das deinen DSB bzw. Firmenanwalt fragst. ;)

Sehe ich auch so. Aber der DSB guckt mich immer an. Mal gucken, ob es in dieser Sache hier schon Erfahrungswerte gibt.

Hallo,

derzeit wird der Exchange mit Acronis täglich gesichert. Diese Dateien von Acronis werden dann täglich auf Bänder gesichert.
Zusätzlich wird in regelmäßigen Abständen immer ein Band zur Seite gelegt.

Mal angenommen ein ehemaliger MA verlangt, dass seine E-Mails gelöscht werden sollen. So, wie das derzeit gesichert wird, kann man das ja nicht umsetzen.
Gibt es dafür überhaupt Möglichkeiten?

Ist das überhaupt realistisch, dass man ggf. ein Postfach aus der Datensicherung löschen muss? Kann das z.B. ein ehemaliger MA überhaupt verlangen?

Kann mir dazu jemand etwas sagen?

Wir haben jetzt seit über einem Jahr neue Switche im Einsatz. Im Serverbereich zwei HPE 5700 im Stack und für die Clients 5 Aruba 2930 im Stack. Ich muss sagen, die laufen super. Nicht einmal musste ich da einen Switch neu starten oder geschweige, er war defekt.

Was mich so bischen bei der ganzen Diskussion wundert ist, dass hier keiner mit den Switchen von Cisco um die Kurve kommt. Ich dachte immer, dass ist "die" Marke im Netzwerk. Quasi der Mercedes. Ich hatte mir damals die Serie von HPE und Aruba ausgesucht, da wir vorher die Serie ProCurve hatten. Bei Cisco hätte ich bei der Programmierung umdenken müssen. Daher blieb ich bei HP.

Das ist schon seltsam: Ich suche da schon länger danach und jetzt, wo ich hier den Thread aufgemacht habe, ist das Problem gelöst.

Hier die Lösung:

Computerkonto manuell in der AD anlegen. Anschließend in die Eigenschaften und auf den Reiter "Attribut-Edit".

Dort das Attribut "servicePrincipalName" suchen. Hier dann den Hostnamen eintragen. In diesem Fall so:

host/PC-TEST

host/PC-TEST.zweigstelle.firma.de

Danach hat sich der nichtdomänen-Client mit dem WLAN verbunden.

Moin,

ich habe hier ein Problem mit WLAN 802.1x mit Zertifikaten.
Ich möchte einen Computer, der nicht in der Domäne ist, mit dem WLAN verbinden.
Das soll in diesem Fall nur mit Zertifikaten geschehen. Also nicht am Client Name/Passwortabfrage.
Mit einem Domänencomputer funktioniert das.

Vorhanden ist ein DC, 2-stufige PKI und ein NPS-Server. Auf dem NPS-Server habe ich eine neue Verbindungsanforderungsrichtline erstellt.
Dort habe ich unter dem Reiter "Einstellungen" bei EAP-Typen "Microsoft: Smartcard oder anderes Zertifikat" eingestellt.

In der Netzwerkrichtlinie habe ich unter dem Reiter Bedingungen eine Computergruppe hinterlegt.
In der Computergruppe sind alle Computer, die sich mit dem WLAN verbinden dürfen.

Nun habe ich den Computer, der nicht in der Domäne ist, manuell angelegt. (Neuer Computer)

Alle Computer also Domänenmitglieder und der Rechner der nicht in der Domäne ist, haben ein Zertifikat.
Das Zertifikat hat die EKU Eigenschaft "Clientauthentifizierung". Dieses Zertifikat entstand aus der Vorlage
"Computer".

Auf allen Clients habe ich eine neue WLAN-Verbindung erstellt. Unter dem Reiter "802.1x-Einstellungen" habe ich unter
"Authentifizierungsmodus angeben" Computerauthentifizierung gewählt.

Beim Versuch sich mit dem WLAN zu verbinden erscheint im NPS folgende Fehlermeldung (gekürzt):

Ich habe derzeit keine Idee, wo der Fehler liegen könnte. Es sieht so aus, dass der NPS-Server nicht den einen Computer in der AD finden kann.

Der Netzwerkrichtlinienserver verweigerte einem Benutzer den Zugriff.

Wenden Sie sich an den Administrator des Netzwerkrichtlinienservers, um weitere Informationen zu erhalten.

Benutzer:
    Sicherheits-ID:            NULL SID
    Kontoname:                host/PC-TEST.zweigstelle.firma.de
    Kontodomäne:                ZWEIGSTELLE
    Vollqualifizierter Kontoname:        ZWEIGSTELLE\host/PC-TEST.zweigstelle.firma.de

Clientcomputer:
    Sicherheits-ID:            NULL SID
    Kontoname:                -
    Vollqualifizierter Kontoname:        -
    Betriebssystemversion:            -
    Empfänger-ID:                00-0B-6B-2A-FF-A3:SSID-WLAN-Name
    Anrufer-ID:                B4-B6-76-14-BE-14

Authentifizierungsdetails:
    Name der Verbindungsanforderungsrichtlinie:    Richtlinie-WLAN-Test
    Netzwerkrichtlinienname:        -
    Authentifizierungsanbieter:        Windows
    Authentifizierungsserver:        Server-NPS.zweigstelle.firma.de
    Authentifizierungstyp:        EAP
    EAP-Typ:            Microsoft: Smartcard- oder anderes Zertifikat
    Kontositzungs-ID:        -
    Protokollierungsergebnisse:            Die Kontoinformationen wurden in die lokale Protokolldatei geschrieben.
    Ursachencode:            16
    Ursache:                Authentifizierungsfehler aufgrund der Nichtübereinstimmung von Benutzeranmeldeinformationen. Der angegebene Benutzername ist keinem vorhandenen Benutzerkonto zugeordnet, oder das Kennwort war falsch.

vor 13 Stunden schrieb 4077:

https://der-eigelb-laden.de/gruppenrichtlinien-fehlerbehandlung/ 

War gerade durch Zufall hier. Den Link kannte ich noch nicht. Gleich gebookmarked.