PadawanDeluXe

Hänge noch im Testzentrum. Danach muss mein guter Dirty Diesel zeigen, dass er nach wie vor Asphaltfräse ist. 
 

ETA also ca 19:30. 

trinkt schonmal ein Bier. 

Hallo Leute,

ich würde auf jeden Fall kommen. Ich muss nur kurzfristig dann noch einen Test machen lassen. 

Egal wie viele - ich freue mich auf euch. 

@Damian Kopf hoch! 

@Esta Schade! Hätte mich wirklich gefreut dich zu sehen - ich kann aber auch deine Bedenken verstehen. 

Also bleibts dabei? Ich muss hier dann auch rechtzeitig los um 17 Uhr sonst wird das mit testen lassen und Fahrzeit auch wieder eng.

Ich habe mich mal angemeldet.... bin gespannt worauf es hinaus läuft. 

Hi Ralph,

ich sehe hier die Notwendigkeit für ein schlankes MDM System. Zusätzlich würde ich bei dir einen SCEP Service installieren, der in der Lage ist die Zertifikate dynamisch automatisiert auf die Endgeräte zu bringen. Ich persönliche sehe das MDM da als den Schutz den du suchst, um dein WLAN gegenüber Dritten bzw. Identitätdiebstahl zu schützen. Wir verdienen bei uns in der Firma genau damit unsere Brötchen. Falls du also einen Ansprechpartner suchst kontaktiere mich gern.

Mahlzeit,

ich freue mich für alle die jetzt in den letzten Tagen Zeit für einen Kurzurlaub hatten. Leider ist das aktuell bei mir nicht drin. Im Moment peinigt mich mein Körper mit komischen Reaktionen auf etwas das selbst die Ärzte noch nicht diagnostizieren können. Nachdem ich es heute in der Sprechstunde leider nicht bis zum Doktor geschafft habe werde ich jetzt mal an die Arbeit gehen. Zeit für einen großen Kaffee... heute spielt Deutschland gegen Frankreich. Tipps?

Möge euer und mein Kaffee stark und dieser Tag kurz sein. 

Gruß

Carsten

Hallo Ralf,

um ehrlich zu sein weiß ich aufgrund der Corona Entwicklung noch nicht ganz wie ich denn das Ergebnis des Votings am besten umsetze. O-Ton aller Teilnehmer war bzw. ist ja, dass es in unterschiedlichen Räumen möglich sein soll Vorträge zu hören. Vorträge scheinen aktuell so ein Jing und Jang zu sein, sodass wir sowohl die Networker und auch die Wissensdurstigen unter uns "bedienen" sollten. Damit wäre für mich die ideale Plattform solch ein Meeting zu organisieren nicht Teams, sondern eher so etwas wie ein Teamspeak indem man spontan Räume anlegen, löschen und verwalten kann. 

Die nächste Frage die sich nun stellt ist: welche Vorträge und wann soll die Veranstaltung laufen? Ich denke ein entspannter Abend sollte uns genüge tun. Vielleicht meldet sich ja an der Stelle nun auch einer der Veteranen hier und stellt einen Vortrag bereit.  

Morgen zusammen,

aktuell ist das Leben hier eine Achterbahn. Tod und Freud liegen manches Mal ziemlich nah beieinander. Ich mag nicht zu sehr ins Detail gehen, sodass ich erst jetzt antworte. Sofern ich fit bin werde ich kommen. 

Grüße

Carsten

Hallo zusammen,

ich habe in Zeiten von COVID, Teams und anderen Streamingplattformen die Idee gehabt einfach mal ein virtuelles Boardtreffen zu machen. Im Endeffekt wäre der Ablauf wie immer: zusammen kommen, sich austauschen und einen Speaker hören der ein aktuelles Thema mitbringt.

Es gibt zur Umsetzung des Ganzen noch keine konkreteren Pläne. Daher würde ich mir gerne hier eure Meinung abholen wollen bevor ich eine konkrete Planung mache. Die Befragung läuft bis zum 2. Mai 23:59 Uhr. Anhand des Ergebnisses würde ich die nächsten Schritte gehen.  

@Admins: macht ihr bitte einen Sticky dran? Danke!

Hallo zusammen,

ich würde gerne mehere SCEP Dienste auf einem IIS laufen lassen, um unterschiedliche Zertifikatstypen ausstellen zu lassen. Das Szenario ist nur für eine Teststellung und nicht für einen produktiven Betrieb gedacht. Meine Rahmenbedingungen sind folgende:

Windows Server 2019

IIS

SCEP Dienst

Die Maschine läuft in einer 2019er AD Umgebung ohne weitere Anpassungen. Ich habe den Dienst lauffähig und kann Zertifikate erstellen über den Webservice. Antritt ist lediglich eine Erweiterung auf n Instanzen für einen Testbetrieb. 

Hat jemand von euch so etwas bereits umgesetzt und kann mir eine Empfehlung geben? Recherche war leider nicht so erfolgreich, gerade weil MS es nicht supportet. (Achtung: das ist mein aktueller Kenntnisstand und nicht definitiv)

Ich würde mich über ein paar Erfahrungsberichte eurerseits freuen! 

Viele Grüße

Carsten

Hallo Jedi,

ich habe in der Vergangenheit sowas mal auf einem Raspberry Pi gemacht und um ein paar Zusatzfunktionen erweitert. Grundlegend wäre hier zunächst nochmal das Anforderungsprofil zu klären und auch was es nicht machen soll.  In meinem Spielszenario habe ich ein Debian genutzt und mit den Standardpaketquellen gearbeitet. Die entsprechenden Homeshares habe ich später auf eine Freigabe gemappt die auf einem Filer lag. Grundsätzlich waren dann auch Anmeldescripte ect möglich und es wäre sogar möglich Gruppenrichlinien zu verwalten. 

Ich höre also jetzt erstmal folgendes raus:

- Zentrale Userverwaltung

- (Samba) Fileshare

- Gruppenverwaltung

- DHCP

- DNS

Ich würde mal direkt noch folgendes mitnehmen für dein Heimnetz:

- Pihole (Werbeblocker)

- Radius für WLAN  

Wie siehts denn so mit VPN aus? Welcher Router hängt davor?

Als Hardware würde ich tatsächlich was eigenes nehmen und nicht auf das QNAP setzen. Spätestens wenn du updatest crasht das - bereits mehrfach auch bei Kunden erlebt. Der Raspberry nimmt stable Paketquellen aus dem Repo und funktioniert dabei einfach. Vll ebenfalls interessant: TPD liegt bei etwa 10-15 Watt. Man kann es mit einem NVMe kombinieren und es kommen nochmal 5 Watt hinzu. Kosten variieren natürlich immer in Abhängigkeit der Ausstattung. 

Grüße

Carsten

Guten Morgen in die Runde.

Es scheint die Sonne. Der nächste Exchange 2013 stirbt während ich den Kaffee hier trinke. Gleich bekommt der Kunde noch das aktuelle CU auf seinem neuen Server. 

Ich stelle mal Brötchen hin.

Euch allen einen schönen Tag!

Hallo in die Runde,

ich schnapp mir hier nur schnell einen Kaffee weg und lass eine neue Maschine laufen. Mein Frühstück ist ausgefallen. Es taut hier. Die Dächer sind wieder frei, allerdings entwickelt es sich dafür am Boden zur Rutschpartie... vorm Haus hatte ich bereits nochmal gestreut. Hoffen wir das Beste für die kommenden Tage. Vielleicht kann ich dann nochmal einen Tag mit dem Cabrio fahren. 

Hi Norbert,

ja es gibt einen zentralen Mailflow dort. Ich habe anhand des Hybrid Configuration Wizard die Infrastrutkur so konfiguriert, dass der on-prem Exchange als Relay genutzt wird. Ich habe einiges an Microsoft Doku dazu gebüffelt und auch mich versucht für das Channel Thema schlau zu machen. 

Ich habe bewusst die Frage offen gestellt, um vll noch einen neuen Ansatz zu bekommen. OK - ich hatte bereits einen: Im Test hat sich herausgestellt, dass Mails also bspw. an den Kanal bzw. vom Kanal nach extern korrekt ausgeliefert wurden. Interne Kommunikation zwischen on-prem Usern und Cloud-Diensten wurde jedoch nicht ausgeliefert. Somit konnte ich im Tracking Center des Cloud-Exchange sehen, dass Unzustellbarkeitsnachrichten generiert wurden. Daraufhin habe ich mir kurzerhand den Mailfluss aufgemalt und kam zu dem Ergebnis, dass der on-prem Exchange keine Mails aus der Cloud entgegen nimmt. Somit fehlt ein Outbound-Connector auf dem on-prem Exchange der die Mail entgegen nimmt und sendet. (gem. der Nachrichtablaufverfolgung) Das ist aber für mein Verständnis kontrovers zu dem Verhalten, da ich ja bereits Meetings aus Teams als einzelner User senden kann. 

Bei der Recherche hierzu habe ich von Frank Carius einen Artikel dazu gefunden:

https://www.msxfaq.de/teams/admin/teams_channel_mail.htm

Es wird beschrieben, dass ich einen Outbound Connector benötige der letztlich es ermöglich, dass der on-prem Exchange in der Lage ist Mails aus der Teams Umgebung entgegen zu nehmen. Das würde wiederum bedeuten, dass ich die ganzen öffentlichen IP Adressen von Azure in meinem on-prem Exchange eintragen muss und damit das Relay für den Dienst öffne. Richtig?

Grüße

Carsten

Ich knips mal das Licht hier an. Aktuell ist hier Tauwetter. Hoffentlich wird es die nächste Tage wieder wärmer.... ich will endlich wieder laufen gehen. 

Hier steht schon Feierabendbier kalt. ;) Hoffen wir mal, dass diese grausige Coronazeit bald vorbei ist. 

Grüße

Carsten

Hallo zusammen,

ich habe einen Kunden der aufgrund Corona gerne mit Teams arbeiten will. Infrastruktur sieht grob gesagt so aus:

2x on-prem Exchange 2016 (aktuelle CUs)

2x on-prem Mailgateway auf Linux Basis

2x Reverse Proxy für M365 Connect

Aktuell ist die Umgebung so konfiguriert, dass alle Mails über die on-prem Seite laufen. Das funktioniert soweit auch reibungslos. Ich kann bspw. auch in Teams als normaler User in meinem persönlichem Kalender Einladungen erstellen und versenden. Will ich das zB aus einem Channel heraus geht das nicht. Geprüft habe ich bereits folgendes:

• AD Sync inkl. Gruppenrückschreiben
• Mailrouting Regeln on-prem/cloud
• Mailflow aus Teams gegen externe Konten. 

Leider habe ich gerade keinen Ansatz wo ich einen Fehler mache. Hat jemand von euch eine Idee?

Habt dank! 

Viele Grüße

Carsten 

Moin,

ich hab da direkt noch ein paar Fragen:

wie sieht der Weg dahin denn aus?

Gibt es da vielleicht noch Geräte wie Loadbalancer/Reverse Proxy die die Anfrage tunneln oder geht die Anfrage direkt auf den Server? 

Hast du den Test mit der öffentlichen URL aus deinem internen Netz heraus gestartet?

Sollte da noch etwas zwischen stehen bitte ein paar Details zur Appliance/Konfiguration. Auch bitte ggfs. zu Firewall.

vor 12 Stunden schrieb NilsK:

Moin,

 

wozu das Ganze? Brauchst du die CA als solche oder nur Zertifikate? Falls es um die CA geht, dann mach es lieber richtig und installiere eine Windows-Root-CA und eine Windows-Sub-CA. Das ist am besten dokumentiert und du kannst sicher sein, dass das Nötige im CSR und den Zertifikaten steht.

 

Falls du nur Zertifikate brauchst, dann nimm selbstsignierte oder bau dir was Kleines mit OpenSSL oder so.

 

Gruß, Nils

 

 

 

Danke Nils.

Ich wollte mir damit eigentlich einen Server "sparen", um nur eine Windows CA Instanz zu haben aber dennoch eine mehrstufige PKI. Ich werde hergehen und die Eigenschaften mal anschauen wie @daabm erwähnt hatte. 

Ich werde hier kurz berichten, wenn ich weiß was hier fehlt. 

Danke euch

Gruß

Carstem

Gerade eben schrieb Dukel:

Am Anfang! Auf einen DC kommt weder eine CA noch ein IIS.

ja ich weiß - in einer PROD Umgebung würde ich das nicht machen. Das ist eine reine Testumgebung und ich sollte etwas auf Ressourcen achten...... 

Hallo zusammen,

ich hab da mal wieder ein Thema wo mir der nötige letzte Schritt fehlt. Folgende Konstellation habe ich aufgebaut:

Windows Server 2019 als DC (sonst keine weiteren Rollen) anschließend habe ich die Zertifikatsdienste nachinstalliert und wollte eine SubCA dort einrichten, um Zertifikate abrufen zu können. Ich habe vorher offline per XCA mir eine mehrstufige CA aufgebaut, die eine CA und eine Issuer CA beinhaltet. Aus dem Setup-/Einrichtungsassistenten im Server Manager habe ich mir den Zertifikatsrequest gezogen und über XCA signiert (mit der Issuer CA) daraufhin habe ich das Zertifikat in meine Zertifikatsstelle im Windows importiert. Anschließend wollte ich den  Dienst starten und bekomme eine Fehlermeldung:

Fehler beim Erstellen bzw. Veröffentlichen des Zertifikats Request StatusCode: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613)

Ok alles klar - ich habe dann nochmal alles neu eingerichtet und die CRLs über meinen IIS auf dem DC veröffentlicht: Ordner im IIS angelegt, Durchsuchbar gemacht, CRL abgelegt, los.... 

Leider bleibt der Fehler weiterhin bestehen. Hat jemand von euch gerade eine Idee wo ich falsch abgebogen bin? 

Mein Ansatz wäre jetzt:

- CRL wird als .crl erwartet ist jedoch ein .pem und somit nicht auffindbar

- URL ist in den Zertifikaten nicht korrekt gepflegt (Aufruf funktioniert)

- IIS ist nicht korrekt konfiguriert (Download der Datei erlauben?)

Vielen Dank für eure Hilfe. 

Gruß

Carsten

vor 57 Minuten schrieb Sunny61:

Beronet ist auch eine Möglichkeit: https://www.beronet.com/de/gateway/gsm-gateway/

Die Beronet Gateways funktionieren sehr gut. Wir haben das getestet, somit kann ich das bestätigen. Alternativ hatte ich das Mal mit einem Raspberry Pi gelöst für ein 2FA System. Das lief zumindest mit dem Surfstick ganz solide. (vier Wochen Test bei ca. 5-10 Autorisierungen am Tag) 

hth

Ich hänge mich hier mal mit drauf......

Gruß

Carsten

Hi, das Script oben wird funktionieren sofern der SMTP host entsprechend definiert ist. Ansonsten muss vorab bitte ein entsprechender SMTP Host definiert, genauso wie entsprechende Credentials hinzugefügt werden. 

Grüße

Carsten 

Hallo Esther,

ich hoffe, dass alles entspannt über die Bühne gegangen ist.  Ich ärgere mich hier jetzt noch ein wenig mit unserem Test Exchange rum. 

Hier steht noch Bier im Kühlschrank.

cheers.

Carsten

Moin,

eine vollkommene Dokumentation besteht darin, dass jeder jederzeit den Vorgang wiederholen kann. - bei Backups ist das gerade wenn man eine Software verwendet schwierig, weil ja diese bei Wechsel auf eine andere Generation auch archiviert werden muss. 

Wie immer muss man unterscheiden, was denn hier gesichert wird. - aus deinem Post entnehme ich, dass du Daten sicherst und keine Applikationen. Für so etwas schreibe ich immer ein Konzept, nebst Notfallhandbuch das sich dann on- wie offline lesen lässt. Ich verwende dazu meistens ein Docx, dass später in eine PDF konvertiert wird und dann an entsprechender Stelle bei uns im Wiki, Filesystem und in gedruckter Form in der aktuellsten Version verfügbar ist. (Aktenordner im Schrank).

Meine (private) DaSi wird mit Boardmitteln gemacht. Das hat für mich den Vorteil, dass ich rückwirkend auf Daten meines Windows 95 Systems zugreifen kann. Da ich auch mittlerweile Linux einsetze werden Backups auf Partitionen geschrieben, die von beiden Distributionen les- und schreibbar sind. Anhand der Vorgaben die ich anfangs definiert habe werden meine Backups mit der Zeit archiviert. Dateien, die seit Zeitraum x nicht mehr verwendet wurden werden in einer Liste vermerkt und dann in eine Archivdatei (zip) verschoben. Duplikate werden nur für einen bestimmten Zeitraum vorgehalten und sind auf getrennten Systemen bzw. Medien vorhanden. Eine Indexdatei listet stets die enthaltenen Dateinamen des aktuellen Backups und deren letzter Änderung.... es sagt mir dann auch welchen Namen das Backup hat bzw. welche Optionen ect. genutzt wurden und in welchem Zeitstrahl es eingeordnet werden muss.   

Dieses System geht auf meinen alten IT Lehrer zurück, der damals in ähnlicher Form bereits Datensicherung durchführte. Soweit ich weiß nutzt das System mind. eine große namhafte Organisation weiterhin für Belegarchiv usw. - der wesentliche Faktor bei der ganzen Sache ist: Planung und Überlegung wer das später wiederherstellen können soll. Eine alte Datenbank der Anwendung x vom Stand z wird ja nur dann benötigt, wenn man das System wieder zurück auf den Stand zu dem Tag wiederherstellen will. Hingegen ist ein Word Brief aus 2001 zur Kündigung eines bestimmten Produkts für die Revision entscheidend, um die Kommunikation zur damaligen Zeit belegen zu können. 

Hilfreiche Links:

https://de.wikipedia.org/wiki/Datensicherung (nein kein Quatsch - ich finde den wirklich gut geschrieben)

https://www.bsi.bund.de/DE/Themen/ITGrundschutz/ITGrundschutzKompendium/umsetzungshinweise/CON/Umsetzungshinweise_zum_Baustein_CON_3_Datensicherungskonzept.html

https://www.w-hs.de/fileadmin/public/dokumente/erkunden/Zentrale_Einrichtungen/Informationstechnik/Datensicherungskonzept.pdf

Ich hoffe du hast damit ein paar Ansätze und ich konnte dir helfen.

Gruß

Carsten

vor 1 Stunde schrieb holzapfel:

 

...

Da in einem Bereich die Netze demnächst wachsen - benötigen wir hier einen Router mit entsprechenden Firewall/Filterfunktionen.

 

Es werden 8-10 Netze darüber geroutet. Der Traffic hält sich in Grenzen - jedoch sollen entsprechende Filterregeln vernünftig erstellt werden können.

...

 

Hallo Holzapfel,

welche Firewall-/Filterfunktionen suchst du genau? - wenn es nur ein Routing sein soll mit rudimentären Firewallfunktionen (iptables) ohne Webfilter ect. dann schau dir die Sachen von LANCOM an. Alternativen die weitere Merkmale wie Traffic/Paket Filter ect. haben und dynamisches Firewalling erlauben sind entsprechend teurer. Wie schon genannt: Sophos, Juniper, Cisco ASA ect. Ich habe unter anderem mehrere Linux Firewalls laufen die auf iptables Basis agieren und erweiterte Funktionen haben. Hier wäre OpenSense oder Mikrotik zu nennen. (wobei Mikrotik nicht unbedingt ein reines Firewall OS ist)

Ich zitiere hier gern:"Anforderungen definieren" - du hast eine Richtung vorgegeben, allerdings müssten wir das jetzt mal hier konkret machen. Brauchst du nur Firewall oder soll zB noch ein Webfilter mitlaufen?

Grüße

Carsten