dormi98

Man kann bei Fortinet in 2 Betriebsarten fahren: Tunnel Mode - der Traffic läuft dann von den WLAN Clients über die APs und dann durch einen L2 oder L3 Tunnel zum Controller. Der Controller kann dann div. Regeln auf den Briged Mode - Der WLAN Controller ist nur Controller. Gibt noch einiges anderes. Für mich war aber dieses Feature wichtig: Das 2. Netzwerkinterface auf den Fortinet Access Point kann in einem anderen VLAN liegen als der Access Point oder irgendeine SSID. Ist also praktisch gleichzeitig ein 802.1Q fähiger Switch. Meines Wissens können das die Ubiquiti Geräte nicht.

Ist verwende für ein ähnliches Problem easy2sync für Outlook. Damit kannst du den öffentlichen Kalender in einen eigenen Kalender synchronisieren oder kopieren. (kannst ja in dem Postfach einen eigenen Kalender dafür anlegen, der nicht angezeigt wird) Sofern die Termine eine Erinnerung aktiviert haben, sollte diese erscheinen. Es wäre damit auch möglich die Termine in den eigenen Kalender zu importieren und sie dabei zb. mit einer eigenen Kategorie zu versehen.

Ich verwende normal auch Ubiquiti. Habe aber gerade ein Projekt mit Fortinet gemacht und muss sagen, das ist auch richtig gut. Nachteil ist natürlich, dass man eine eigene Appliance als Controller benötigt, aber das ganze bietet wirklich tolle Features. Wir haben dann sogar noch ein paar gebrauchte Access Points auf Ebay sehr günstig nachgekauft. War zwar etwas mühsam die Firmware dieser zu aktualisieren, aber jetzt tun die auch brav ihren Dienst.

Danke für den Input. Habe den XML Teil in dem Powershell Script, welches die VPN Verbindung anlegt eingetragen und siehe da. Die Routen werden richtig erzeugt und ich kann auf meine Server zugreifen. Vielen Dank Problem gelöst

Hallo zusammen! Ich bin gerade dabei ein Always on VPN zu implementieren. Es werden Benutzerzertifikate verwendet und Split Tunneling soll zum Einsatz kommen. Der RAS Server steht in einer äußeren und einer inneren DMZ. Alle übrigen Server (DC, NAP) in einem eigenen Server VLAN, welches direkt an der Firewall hängt. Damit es einfacher ist habe ich ein Schema angehängt. Das Always on VPN funktioniert soweit. Der Client baut die VPN Verbindung automatisch bei der Anmeldung auf. Die VPN Clients bekommen eine IP Adresse aus der inneren DMZ (habe ich auch schon anders probiert, da habe ich aber noch weniger Erfolg gehabt) Am RAS Server ist auf der Netzwerkkarte der äußeren DMZ die Firewall als default gateway eingetragen. Die Netzwerkkarte der inneren DMZ hat kein default gateway eingetragen. Statische Routen in das Server und Client Netz sind ebenfalls angelet. Vom RAS Server sind die Server erreichbar. Problem: Der VPN Client erreicht das Server VLAN nicht. Per packet capture wurde festgestellt, dass der PING vom VPN Client ins das Server-LAN nicht in den VPN Tunnel geschickt wird, sondern in das lokale Netzwerk. Das geht natürlich nicht. Was bereits versucht wurde: VPN Client erreicht die Firewall in der inneren DMZ. statische Route am VPN Client angelegt zum Server-Subnetz über die IP der Firewall (innere DMZ) Was muss ich am Client oder RAS Server ändern, damit die Pakete für das Server Subnetz richtig geroutet werden? Danke schon mal. Netzwerkschema.pdf

Falls du es trotzdem umsetzen möchtest: Einfach ins Host File von einem Hyper-V Host den jeweils anderen eintragen - mit der IP des speziellen Subnetzes. Ich weiß zwar nicht ob das der offiziell richtige Weg ist, funktioniert aber bei einem Kunden von mir schon seit Jahren einwandfrei.

der neue Domain Controller wird ja automatisch auch DNS Server. Die interne Zone wird automatisch repliziert. Da musst du nichts machen. Nur die DHCP Option für die DNS Server musst du bedenken.

Naja, es doch wirklich schon fast jedem mal passiert, eine Datei irgendwo hin unabsichtlich kopiert oder verschoben zu haben, oder? Es haben ja nicht alle User Zugriff, ich würde sogar sagen, dass jene User die Zugriff haben sogar recht fit am PC sind. Nichts desto trotz kann ein falsches Speichern oder eben ein unbeabsichtigtes Verschieben vorkommen. Ich erkläre es mal genauer. Es gibt mehrere Projektordner. Jeder Projektordner enthält genau 5 definierte Unterordner 3 davon sind nur für interne Zwecke (hier sind zb. Einkaufspreise und andere interne Informationen drin) 2 weitere werden mit dem Webserver synchronisiert auf den auch Kunden Zugriff haben. Das ganze arbeitet mit der ERP Software zusammen. Den Mitarbeitern kann ich den Zugriff auf die 2 Ordner nicht entziehen, die müssen ja damit arbeiten. Es geht auch nicht, dass ein Mitarbeiter Zugriff auf die internen und ein Mitarbeiter Zugriff auf die anderen Ordner hat, weil das Projekt intern vielfach genau von einer Person betreut wird. Ich könnte die Personen natürlich zwingen sich mit einem anderen Benutzernamen anzumelden, aber das ist nicht sehr praktikabel. Die Dateitypen sind in den synchronisierten Ordnern und auch in den internen Ordnern nicht vorhersehbar. Da können Fotos, Wordfiles, Excelfiles, CAD Pläne und sonst noch was rein kommen. Ich fürchte also nicht wie ich da mit div. Filtern arbeiten kann. Noch mal erklärend dazu: Es geht nicht um ein organisatorisches Problem, sondern lediglich darum den Fehlerfaktor Mensch zu verkleinern. Und nein, das ganze ist nicht meine Idee sondern der Wunsch der GF Trotzdem schon mal vielen Dank für die vielen Inputs, vielleicht hat ja doch noch jemand eine technische Idee.

Hallo mal wieder! Ich suche nach einer Lösung für ein eigentlich einfaches Problem: Immer wenn ein Benutzer einen Schreibvorgang in einem bestimmten (Netzwerk-)ordner vornimmt, soll eine Warnung oder eine Rückfrage aufscheinen. Auch ein zusätzliches Passwort promt wäre ok. Hintergrund: Der Ordner wird über einen regelmäßig ausgeführten Task mit einem Webserver synchronisiert. Auf diese Art soll sichergestellt werden, dass nicht unbeabsichtigt sensible Daten auf den Webserver kommen, auf welchen Kunden Zugriff haben. Ich fürchte, dass es kein Boardmittel gibt mit dem ich das lösen kann; Muss auch nicht sein. Ein 3rd party tool ist auch ok. Darf auch etwas kosten wenn es verhältnismäßig ist. Danke schon mal vorab für eure Inputs. Gerald

Danke Testperson. Das war es zwar nicht ganz,, den ich habe in der xml brav den Remotedesktop Eintrag aus dem Startmenü verwendet. Aber bei der Gelegenheit habe ich das XML File noch einmal kontrolliert und einen Tippfehler gefunden. Genauergesagt habe ich nur C:\Windows\system32\mstsc statt C:\windows\system32\mstsc.exe als Programmpfad eingegeben. Vielen Dank noch mal mich auf die richtige Spur gebracht zu haben. Problem gelöst - thread closed

Ja da sind 3 Regeln vorhanden. Habe sie zur Sicherheit noch einmal per "create default rules" angelegt. Zu Testzwecken habe ich jetzt mal über die Registry (über Dienste geht es nicht) den Application Identitiy Dienst deaktiviert. "Disabling this service will prevent applocker from being enforced" Nichts desto trotz wird weiterhin mstsc.exe nach wie vor vom applocker blockiert (Fehlermeldung und Eventlog Eintrag bleiben wie gehabt)

Hallo zusammen! Ich versuche gerade folgendes zu realisieren: Mehrere Windows 10 PCs werden im Kiosk Modus betrieben. Es sollen mehrere Anwendungen (Edge, Firefox, Calculator, Paint und vor allem Remotedesktopverbindung) verfügbar sein - ohne Intune. Das funktioniert mit einem angepassten XML file, welchen in ein Powershell Script gepackt wird sehr gut Falls das jemand nachlesen möchte: https://sccmentor.com/2019/10/26/windows-10-kiosk-mode-without-intune-notes-from-the-field/ Der Kiosk Modus startet also und zeigt wie gewünscht die Symbole an. Ich kann alle Anwendungen starten und verwenden mit Ausnahme der Remotedesktopverbindung. Hier kommt die Fehlermeldung: "This app has been blocked by your system administrator" Zeitgleich wird im Eventlog ein Applocker Event 8004 "%system32%\mstsc.exe was prevented from running protokolliert. Ich habe nun schon die lokale Sicherheitsrichtlinie bearbeitet und unter Application Control Policies - Applocker - Executable Rules eine Regel erstellt die %system32%\mstsc.exe für Everyone erlaubt und eine weitere Regel in Applocker - Packaged app Rules angelegt, welche sämtliche publisher, sämtliche package names und Versionen zulässt Die Fehlermeldung im Kiosk Mode bleibt aber bestehen. Was mache ich falsch? Wie kann ich Applocker sagen, dass er mstsc.exe auch für meinen Kiosk Benutzer nicht blockieren soll? Danke für jeden Hinweis

Vielen Dank Norbert! runtergeladen, best practice geklickt, neu gestartet, passt Sehr geile Sache! Problem gelöst - Thread closed.

Hallo zusammen! Habe hier ein Problem mit einem Exchange 2010 SP3 CU 30. Ja ich weiß Exchange 2010 ist end of life. Eine Umstellung ist auch bereits geplant. Nichts desto trotz muss ich das hier noch lösen: Seit kurzem funktioniert die Synchronisation mit Iphones nicht mehr und wenn man OWA öffnet erhält man folgende Zertifikatsfehler: Internet Explorer: alles ok. Edge: NET::ERR_SSL_OBSOLETE_VERSION Firefox: SSL_ERROR_UNSUPPORTED_VERSION Microsoft Connectivity Check: alles ok. SSLLABS Test: TLS 1.2 nicht unterstützt. OK, dürfte also an TLS 1.2 liegen. Also habe ich https://techcommunity.microsoft.com/t5/exchange-team-blog/exchange-server-tls-guidance-part-1-getting-ready-for-tls-1-2/ba-p/607649 durchgeführt. Hilft aber nix, Problem bleibt wie gehabt. Muss man noch etwas machen, damit der Exchange oder der IIS korrekt TLS 1.2 verwendet? Danke schon mal im Voraus

Keine Ahnung woran es lag, jetzt kommen die Mails auch der Domain wieder problemlos an. Problem also gelöst - Thread closed

Danke für eure Inputs. Ich habe mir daraufhin den Kaspersky noch einmal angesehen. - oder besser gesagt als Problem identifiziert. Ich hatte zwar schon die IP des Absenders auf der Whitelist, aber erst nachdem ich den Kaspersky Dienst beendet habe kamen die Mails rein. Ich habe jetzt auch noch die Absenderdomain auf die Whitelist gesetzt und das Logging auf debug gestellt. Hoffe dass ich da jetzt mehr sehe, Bis jetzt ist nämlich nix drin. Morgen weiß ich mehr

Nein, keine Quotas Ja, das ist sicher richtig, Was Antispam betrifft hat das Teil aber bis jetzt gut gearbeitet. Auf dem neuen bereits geplanten Exchange wird aber kein Kaspersky mehr drauf sein. Exchange ist auf dem letzten Stand. Nein, sonst gibts nix, was E-Mail beeinflusst. Port 25 wird direkt von der Firewall auf den Exchange weitergeleitet.

Hallo wieder einmal. Ich habe hier ein Problem mit einem Exchange 2010 bei der Annahme von E-Mails von einer einzigen Domain. Alle anderen E-Mails werden ordnungsgemäß angenommen und kommen in die Mailboxen. Das SMTP Log sieht so aus: 75,0,192.168.1.3:25,W.X.Y.Z:14803,+,, 75,1,192.168.1.3:25,W.X.Y.Z:14803,*,SMTPSubmit SMTPAcceptAnySender SMTPAcceptAuthoritativeDomainSender AcceptRoutingHeaders,Set Session Permissions 75,2,192.168.1.3:25,W.X.Y.Z:14803,>,"220 mail.mydomain.com Microsoft ESMTP MAIL Service ready at Wed, 8 Jul 2020 18:18:25 +0200", 75,3,192.168.1.3:25,W.X.Y.Z:14803,<,EHLO mail.senderdomain.com, 75,4,192.168.1.3:25,W.X.Y.Z:14803,>,250-mail.mydomain.com Hello [W.X.Y.Z], 75,5,192.168.1.3:25,W.X.Y.Z:14803,>,250-SIZE 98304000, 75,6,192.168.1.3:25,W.X.Y.Z:14803,>,250-PIPELINING, 75,7,192.168.1.3:25,W.X.Y.Z:14803,>,250-DSN, 75,8,192.168.1.3:25,W.X.Y.Z:14803,>,250-ENHANCEDSTATUSCODES, 75,9,192.168.1.3:25,W.X.Y.Z:14803,>,250-STARTTLS, 75,10,192.168.1.3:25,W.X.Y.Z:14803,>,250-AUTH, 75,11,192.168.1.3:25,W.X.Y.Z:14803,>,250-8BITMIME, 75,12,192.168.1.3:25,W.X.Y.Z:14803,>,250-BINARYMIME, 75,13,192.168.1.3:25,W.X.Y.Z:14803,>,250 CHUNKING, 75,14,192.168.1.3:25,W.X.Y.Z:14803,<,STARTTLS, 75,15,192.168.1.3:25,W.X.Y.Z:14803,>,220 2.0.0 SMTP server ready, 75,16,192.168.1.3:25,W.X.Y.Z:14803,*,,Sending certificate 75,17,192.168.1.3:25,W.X.Y.Z:14803,*,CN=mail.mydomain.com,Certificate subject 75,18,192.168.1.3:25,W.X.Y.Z:14803,*,"CN=RapidSSL RSA CA 2018, OU=www.digicert.com, O=DigiCert Inc, C=US",Certificate issuer name 75,19,192.168.1.3:25,W.X.Y.Z:14803,*,0A87BA2835F7542AE08DCF092CB8CCBF,Certificate serial number 75,20,192.168.1.3:25,W.X.Y.Z:14803,*,FFF09C45D3CFA388CF98458AA91A4CB1DF400E56,Certificate thumbprint 75,21,192.168.1.3:25,W.X.Y.Z:14803,*,mail.mydomain.com,Certificate alternate names 75,22,192.168.1.3:25,W.X.Y.Z:14803,-,,Remote Der absendende Mailserver versucht immer wieder die Nachricht zuzustellen. Beim Ansender steht als letzter Fehler. "452 4.3.1 Insufficient system storage" Auf dem Exchange Server bei läuft noch Kaspersky Securtity for Exchange Server 8 - Die IP Adresse des Absenders habe ich dort bereits auf die Whitelist gesetzt. # Speicherplatz am Exchange Server: sowohl am Systemlaufwerk als auch auf den Datenbank und Logpartitionen ist sehr viel Platz. Hat jemand eine Idee? besten Dank im Voraus Gerald

Ah, dass Openthinclient H.264 untersützt wusste ich nicht - Vielen Dank. Das müsste die Lösung sein. Letztendlich sollen die Geräte nur eine RDP Verbinung aufbauen können. Ich habe schon, weil vorhanden, mit Stratodesk probiert. Aber die Performance der RDP Verbindung ist bei Bewergungen zu schlecht. Daher habe ich mal in ein Gerät eine SSD rein gesteckt und Windows 10 installiert. Die RDP Verbinung ist damit wesentlich besser, aber die CPU des Thinclients halt sehr belastet, Natürlich könnte ich schnellere kaufen, aber nachdem die Geräte da sind wollte ich schauen ob ich es damit hin bekomme. Durch die hohe CPU Last wurde mein Testgerät ziemlich warm. Würde es wohl aushalten, aber wenn es mit weniger CPU Last auch geht, wäre es halt schöner. Der Kiosk Modus war nur eine Idee, weil ich irgendwo gelesen habe, dass dadurch die Systemperformance verbessert wird. Daraus habe ich geschlossen, dass nicht benötigtes automatisch abgeschalten wird. Aber ich teste das mal mit Openthinclient ung gebe dann Bescheid - Danke noch mal

Hallo wieder einmal! Hat jemand Erfahrung mit dem Windows 10 Kiosk Modus hinsichtlich Performance. Genauer: Wird das Gerät dadurch performanter, als wenn man selbst alles nicht notwendige an Diensten abdreht? Was ist im Kiosk mode alles OFF? - Dazu konnte ich leider nichts finden. Hintergrund: Ich muss ein paar Thin Clients auf Windows 10 umrüsten. Nur mit dem RDP Version 10 bekomme ich die notwendige Bildleistung bei Videos. Sollte jemand eine Implementierung von RDP Version 10 unter Linux kennen wäre das gut, aber soweit ich weiß gibt es das nicht. FreeRDP und Co verwenden alle ältere RDP Versionen die eben H.264 nicht können. Da die besagten Thin Clients gerade mal eine 1,6Ghz single Core CPU haben sind die ganz schön gefordert. Bootzeiten sind egal, das ist mit einer 32GB SSD ganz ok. Aber die CPU ist, selbst wenn man nichts macht, ständig auf ca. 50%. (neue Windows Installation ohne Anpassungen) Die Frage ist nun was ist besser. Selbst so weit wie möglich alles in Win10 abdrehen oder Kiosk Mode. Der Sicherheitsaspekt des Kioskmodes spielt in diesem Fall keine Rolle.

So. Problem gelöst. Es war genau dieses Symantec CA Thema. Zertifikat neu ausgestellt und schon passt alles. Vielen Dank für die Ideen. Problem gelöst - Thread closed

Ah - die Idee mit Chrome war schon mal sehr gut. Der liefert: NET::ERR_CERT_SYMANTEC_LEGACY das Zertifikat muss also erneuert werden. Werde ich heute Abend gleich erledigen und melde gebe dann feedback.

Der Zertifizierungspfad sieht so aus: Geotrust Global CA - RapidSSL SHA256 CA - mein Zertifikat also nein.

Hallo zusammen! Seit dem letzten Update von IOS auf 13.3.1 bekomme ich bei einem Kunden mit Exchange 2010 (Umstellung auf 2016 erfolgt kommendes Monat) einen Zertifikatsfehler auf Iphones und Ipads. Es handelt sich um ein von Rapidssl ausgestelltes Zertifikat, welches eben jetzt auf diesen Geräten als nicht vertrauenswürdig eingestuft wird. Alle anderen Clients (Outlook, Browser, Android) melden keine Probleme Sieht man sich die Details an, so wird lediglich ein einziger Punkt als bedenklich angezeigt: Konkret sieht das so aus: Schlüsselverwendung Bedenklich: JA Verwendung: Digitale Signatur, Schlüsselverschlüsselung Was passt da nicht? Sollte es Schlüsselverschlüsselung nicht in der Verwendung enthalten sein? Ich habe folgenden Artikel gefunden: https://support.apple.com/de-de/HT210176 allerdings hat besagtes Zertifikat 2048 Bit SHA-256 den DNS Namen im subject alternative name und es wurde vor dem 1. Juli 2019 ausgestellt. Danke schon mal für eure Inputs

So, hier die Rückmeldung: Ich habe es mit der Methode Mapi/HTTP deaktiveren (per Registry) versucht. Bei den meisten Geräten hat es dann genügt die Reperatur Funktion in den Kontoeinstellungen zu verwenden. Es wird dann der Servereintrag korrigiert. Das war das erste mal, dass ich diese Funktion verwendet hab. 2 Geräte haben danach auch noch Probleme gemacht. Interessanster Weise hat Outlook nach der Reparatur genau ein mal funktioniert. Beim 2. Start dann wieder ewig warten und praktisch kein Arbeiten möglich, wenn es mal geladen war (nach mehr als 10 Minuten). Bei diesen beiden Geräten habe ich dann die Profile neu angelegt. Immerhin musste ich das nicht bei allen tun. Problem gelöst - Thread closed