Symbadisch

wo muss ich das setzen bei dem DFSRoot Verzeichnis auf meinem C-Laufwerk?

Haben seit kurzem bei uns einen DFS-Server implementiert und festgestellt, dass User auf der Rootebene (bei der Ansicht wo alle einzelnen freigegeben Ordner ersichtlich sind) Verzeichnisse und Dateien ablegen kann. Die liegen dann im DFS-Root-Verzeichnis, was wir nicht wollen. Wie kann das verhindert werden? Grüsse Lars

Erstmal vielen Dank für all euren Input und die Aufschlauung - das ganze Thema ist echt nicht ohne. Bin auch froh hier nachgefragt zu haben, auch wenn es unser Konzept etwas durcheinander wirft. Muss auch zum Hintergrund sagen, sind bei dem Thema gelandet da es mir schon lange ein Dorn im Auge ist das wir Admins aktuell alle mit einem persönlichen DomainAdmin-User unterwegs sind, der auch für die Clientadministration genutzt wird. Das zu ändern ist für uns die höchste Prio. Ich denke wir können unsere Umgebung aktuell nicht komplett ESAE-konform machen, da fehlen uns die Ressourcen aktuell. Zurück zum Thema: Werden für jeden Admin einen Jump-Host einrichten, welcher nicht in der Domain ist und entsprechend gehärtet wird, von diesem springen wir dann auf die T-Adminmaschinen. Werden das allerdings mit Win2019 machen. Theoretisch könnten wir die JumpHosts auch auf eigener VM-Hardware installieren, aber das ganze soll auch noch praktikabel sein und im Vergleich zum aktuellen Ist-Stand haben wir dadurch schon einen enormen Sicherheitsgewinn und einen Schritt in die richtige Richtung. Für nächstes Jahr haben wir einige Investitionen im Bereich IT-Security geplant, haben die letzten Jahre hier definitiv viel zu wenig gemacht. Hier werden wir uns auch einen bzw. mehrere Dienstleister ins Haus holen, welche uns auf dem weiteren Weg begleiten werden. Bis dahin leben wir mit dem Kompromiss und machen das was mit überschaubarem Aufwand umsetzbar ist.

Ist das nicht genau das was verhindert werden soll, nämlich das ich als T1-Admin die DomAdmin-Gruppe Rutsche? Oder verwechselst du PAW mit PAM? Sorry, b***d ausgedrückt. Die PAW läuft nicht auf einer VM auf dem Client, sondern auf unser VMware-Umgebung. Wenn die Anmeldedaten auf unserem Client gespeichert sind, ist das doch aber wenig zielführend, da ein Angreifer ja sofort Admin-Berechtigung auf alle T1-Server hätte, mal von OTPabgesehen. Wie wäre hier also der korrekte Zugriff?

Hallo, wir sind aktuell in der Umsetzung diverser Punkte zu ESAE. Angefangen haben wir mit der Umsetzung der Aufteilung der Systeme in die drei Tiergruppen. Wir haben eine recht überschaubare Umgebung mit ca. 350 Usern und ca. 90 Servern in einer VMware-Umgebung. Für den Zugriff auf die drei Gruppen haben wir jeweils einen Windows Server 2019, welchen wir bei Tier 1 und 2 mit der Rolle des RDS installieren, da wir hier mit mehr als zwei gleichzeitigen Usern rechnen, bei T0 hingegen nicht. Der Zugriff auf die beiden PAWs erfolgt ausschließlich von unseren Clients und mit zusätzlich benötigtem OTP. Nun zu meiner Frage: - Wir melden uns auf den beiden PAWs ja direkt mit dem jeweiligen T-Admin per RDP an, wir haben also direkt Adminzugriff auf dem System. Ist das bereits falsch und kritisch bzw werden die rdp-Anmeldedaten auf unserem normalen Client gespeichert und sind somit abgfreifbar?

Wer lieber mit der PowerCLI arbeitet, hier gibt es ein recht gutes Script für das ganze: https://www.virtuallyghetto.com/2018/01/automating-intel-sighting-remediation-using-powercli-ssh-not-required.html

Nein, ganz andere Branche und ganz andere Ecke von Deutschland.

Danke Heinz, damit kann ich erstmal was anfangen. Werde morgen mal unsere Partner Anfragen, da wir aktuell nen neuen Bandroboter und ne SAN-Erweiterung anschaffen müssen, könnte das mit den Kosten passen, vielleicht gibt es da was passendes.

Also Dedup haben wir schon an, nicht nur auf Datei-, sondern auf Blockebene und das brachte in der Tat ca. 20%. Komprimierung hingegen brachte nicht viel. Natürlich nehmen wir hier nachher Dienstleister ins Boot. Mich interessierte einfach eure Meinung und Erfahrung und ich lese mich gerne in Themen ein um nicht völlig ahnungslos dazustehen. Bin bei Quantum über LTFS gestolpert und was ich hier las klingt sehr interessant und ich denke günstiger als mit Bändern bekomme ich das TB nicht. Ich stelle mir das so vor und so habe ich es im ersten Step verstanden, dass Daten die zB seit vier Jahren nicht genutzt werden automatisch auf Band verschoben werden und wenn dann wieder genutzt wieder ins Primärsystem verschoben. Was ist HSM? Google sagt mir hier Hardware-Sicherheitsmodul aber denke das ist nicht gemeint.

Hallo zusammen, weiss nicht ob ich hier richtig bin, aber wir haben das Problem welches sicherlich nicht unbekannt sein dürfte und viele hier kennen. Unser Fileserver platzt immer und immer wieder aus allen Nähten. Zum Grossteil handelt es sich um Grafik/CAD-Daten, welche auf keinen Fall gelöscht werden können, auch wenn sie schon Jahrelang nicht mehr benutzt wurden. Da wir aktuell auf der Suche nach einer neuen Backuplösung sind, bin ich über die Möglichkeit gestolpert ältere Daten oder gewisse Daten statt auf dem teuren Storage auch auf Bandlaufwerke auszulagern. Hat damit jemand Erfahrung? Lohnt sich das überhaupt schon bei uns? Aktuell haben wir nen Storage (EQL) mit ca. 140 TB Daten und jährliches Wachstum von ca. 20-30TB. Hiervon ist ganz sicher ein Viertel davon Grafiksachen die wie gesagt vielleicht mal wieder benötigt werden. So wie ich das wird anhand des Kriteriums die Datei auf Band verschoben und durch einen Link ersetzt. Erfahrungen wären super! Gruss Lars

Für normale Gäste klar, es gibt aber Gäste bzw. IT-Dienstleister die Zugriff in unser Netz benötigen. Wie wird sowas realisiert? Fürs WLAN haben wir hier ein Ticketsystem wo die Gäste einen Tagespass bekommen. Ok, das ist einfach, unsere hängen auch in einem eigenen VLAN, somit wäre das auch unkritisch. Linux und auch Mac können 802.1x, das ist klar. Aber wie realisieren wir das am besten? User und Passwort allein ist nicht wirklich ein Schutz, sonst könnte ein Mitarbeiter seinen privaten Rechner einstecken und authentifiziert sich auch da mit User und Passwort.

Hallo zusammen, um nicht jedem Device das sich an einem unserer Netzwerkports ansteckt Zugriff zu unserem Netzwerk zu geben, haben wir den NAP-Server und unsere Switche entsprechend konfiguriert. Es funktioniert auch soweit, dass unsere Windowsclients nach der Authentifizierung ins passende VLAN kommen und somit Zugriff erhalten. Nun haben wir aber drei Fälle, bei welchen das leider nicht so einfach geht und wollte mal nachfragen wie hier eure Erfahrungen sind bzw wie wir das am besten realisieren. 1.) Geräte wie Drucker, Wie werden die am sinnvollsten hier eingebunden? 2.) Linux und auch Macrechner bei den Clients, wie werden diese eingebunden? 3.) Gästerechner, wir haben diverse Dienstleister oder freie Mitarbeiter die Zugriff auf unser LAN benötigen, aber die Clients natürlich auch nicht in unserer Domäne hängen. Wäre prima wenn ihr mir hier weiterhelfen könntet wie das am besten zu realisieren wäre und was hier Best/Practise ist. Zu 2 und 3 haben wir uns schon überlegt wir könnten die Clients per User/Passwort authentifizieren, aber das wäre teilbar und erscheint uns somit nicht wirklich sicher. Gruß Lars

Es steht in der Anzeige, dass der Gehaltswunsch angegeben werden soll. Und ich wage zu behaupten das es daran bisher nie scheiterte, im Gegenteil, die die da waren sind plötzlich mit ihrem Gehaltswunsch nach unten. Aber wenn sich einer als VMWare-Experte verkauft und beim nachfragen wie seine bisherige Umgebung aussah kommt als Antwort er habe technisch gar nichts damit zu tun gehabt, nur mal vor x Jahren verkauft... naja. Ausbildung war auch von mir schon vorgebracht, da es zu Anfang sicherlich aufhält, aber man weiss was man hat und worauf man sich einlässt. Nichts schlimmeres als gefährliches halbwissen und plötzlich schreien 200 Leute es geht nichts mehr. Momentan haben wir von nem Dienstleister regelmässig Unterstützung im Haus, klar könnten wir den abwerben, aber a) haben wir dem Dienstleister versprochen das nicht zu tun und b) wollen wir mit dem Dienstleister auch weiterhin noch arbeiten. Es wurden die Stellen auch an Hochschulen schon gesetzt und aktuell meinte die Personalabteilung wir aus der IT sollen doch mal dort zur Hausmesse und unser Unternehmen bzw. die Stellen verkaufen/präsentieren. Aber ok, dachte ihr sagt vielleicht das kannste alles vergessen da und da bekommst am besten Personal. Werde mal unsere Stellen in regionalen Xing-Gruppen Posten, das wurde von dem Personalvermittler zwar schon gemacht aber natürlich mit dem Link auf die Seite von denen - da würde ich persönlich mich ehrlich gesagt auch nicht bewerben. Ich muss sagen es ist bei uns im Hause nicht unüblich, dass über den Weg Praktikant und/oder Werkstudent passendes Personal gefunden wurde, in der IT wollten wir das bisher nicht, sind aber aktuell hier offener. Aber auch hier die Frage: Wie komme ich am besten an die Leute ran? Hätte nie gedacht das ich als ITler mich mal mit Personalbeschaffung aktiv beschäftigen muss.

Hallo ihr zwei, erstmal danke für die Antworten. Wir suchen im Süden Deutschlands. Ca. 30 km südlich von Stuttgart. Wir suchen aktuell nen Junior IT-Administrator und einen BI-Entwickler. Andere Abteilungen von uns suchen händeringend im Bereich Java-Entwickler was. Wenn Interesse und es ok ist, würde ich auch gerne per PN die Links zu den Stellen zusenden. Gruss Lars

Hallo zusammen, wir suchen schon seit einiger Zeit einen (Junior)Administrator. Die Stelle haben wir in verschiedenen Jobportalen geschaltet, aber da kommt im Grunde nichts rein. Es wird auch schon über eine Personalvermittlungsfirma gesucht, aber auch da ist es eher mau. Wie sind hier eure Erfahrungen? Ist der Markt einfach leer was Administratoren angeht oder ist der Weg über Jobportale der falsche? Danke im voraus. Lars

Moin Norbert, hab einige Postfächer verschoben unter anderem die betroffenen mit dem Ergebnis das es heute morgen noch weniger Warnmeldungen waren und auch nur an User in der alten DB. Ebenso habe ich jetzt das Problem, dass wenn ich mir die MailboxStatistics rauslasse die Postfächer die umgezogen wurde zweimal auftauchen. Ist das normal? Gruss Lars EDIT: OK, warum die Einträge doppelt sind habe ich inzwischen verstanden, liegt am verschieben und das alte Postfach ist als getrenntes vorhanden.

Moin, ok, ich dachte immer mehr DBs benötige ich nur bei grösseren Umgebungen. Aber kein Problem, wenn das empfohlen ist bringt es vielleicht auch Performance. Laufwerk und DB ist erstellt und die ersten User haben bereits ihr neues zuhause. Habe gestern zum testen übrigens bei meinem eigenen Postfach eine individuelle niedrigere Grenze eingestellt. In der Statistik steht mein Postfach auf Warnung, aber eine Meldung vom Exchange habe ich nicht erhalten. Wenn die betroffenen Postfächer umgezogen sind warten wir mal kommende Nacht ab, ob es da zu Warnungsmails kommt. Oder kann ich es irgendwie händisch anstossen das die Postfächer geprüft werden? Gebe bescheid wenn ich was neues habe. Gruss Lars

Ich glaube er meint das bei allen Usern rauslöschen ohne händisch hinzugreifen an jedem Client. So ala GPO.

Hallo Norbert, danke für deine Antwort. Die 4,5/6 GB täuschen ein klein wenig. Wir haben eine Mailarchivierung im Einsatz, wodurch die Grösse die letzten 90 Tage betrifft, alle Mails davor sind referenziert ins Archiv und dadurch nur 1KB gross. Daher reicht das bei 99% der Leute auch aus. Die alten Mailadressen sind noch vorhanden, da diese noch zum empfangen genutzt werden, durch alte Kontakte. Leider haben wir nur eine DB, sind eine eher kleinere Umgebung mit 250 Postfächern. Unser Stand ist der vorletzte, also die 14.03.0266.001. Werde aber das letzte RU am Wochenende nachinstallieren. Wie gesagt es kann ein absolut blöder Zufall sein, aber das mit dem Namen verbindet alle User miteinander. Gruss Lars

Haben einen Exchange 2010 im Einsatz und haben bei allen Usern die Speichergrenzwerte (per Postfach-DB-Grenzwert)auf 4500 MB Warnung und 6000 MB Senden verbieten eingestellt. Nun hatte ich heute einen User, welcher nicht mehr senden konnte da das Postfach über 6000 MB hatte. Der User sagte aber er habe noch nie eine Warnmeldung (Ihr Postfach ist voll) bekommen. Per Nachrichtenverfolgung und auswerten der Mailboxstatistik konnte ich ermitteln, dass tatsächlich einige User die auf "IssueWarning" stehen keine solche Mail erhalten. Bei den betroffenen Benutzerpostfächern und auch bei denen die eine solche Warnmeldung jede Nacht erhalten sind keine individuellen Grenzwerteinstellungen hinterlegt. Was mir auffällt alle User die keine Meldungen erhalten wurden im Nachgang verändert, so dass sie durch Heirat einen anderen Nachnamen haben. Das kann ein blöder Zufall sein, vielleicht aber auch der Grund des Problems. Hatte jemand schonmal ähnliche Probleme und kann helfen oder hat Tipps?

Das mit dem WSUS per SSL klingt sehr gut, mach ich. Vielen Dank euch für die Infos, dann lag ich ja doch nicht so falsch.

Genau so hab ich es bisher auch gehandhabt, da wir keine Dienste in der DMZ betreiben, welche das AD benötigen. Mich hat es eben in strudeln gebracht, das ich mehrmals heute gelesen habe man nimmt die Server der DMZ in die Domäne auf. Aber ich sehe hier Gefahr wenn ich die Firewall öffne, wo ich es nicht muss. Virenscanner habe ich als Standalone auf den Servern, mit dem Nachteil den Server nicht in der Managementkonsole zu haben. Das ist eigentlich auch der einzige Nachteil den ich bisher bemerkte. GPOs brauchte ich bisher noch nicht auf den Servern. Windowsupdates habe ich bisher bei den Servern händisch installiert. Kann ich die gefahrlos über den WSUS (steht im LAN) verwalten, benötige hier ja nur den Port dafür.

Ich wollte mal nach euren Erfahrungen fragen wie ihr mit Servern in der DMZ umgeht? Bisher haben wir die Server in der DMZ weder in der Domäne drin, noch am WSUS hängen, aber ist das so korrekt? Klar hat unsere Variante den Vorteil, dass ich keine Ports zwischen DMZ und LAN öffnen muss, aber ist das korrekt wenn ich an solche Dinge denke wie GPOs, WSUS, AV...? Habe viel gegoogelt aber widersprüchliche Aussagen gefunden, habe auch ein Whitepaper von MS gefunden, in welchem empfohlen wird die Server in der DMZ in die Domäne aufzunehmen. Wie geht ihr hier um bzgl. dem Thema?

Hallo zusammen, wir haben Exchange 2010 im Einsatz mit Outlook 2010 bei den Clients. Seit kurzem haben wir unsere Besprechungszimmer im Exchange korrekt angelegt und auch eine Raumgruppe erstellt. Wenn ich nun beim Client eine neue Besprechung erstelle und bei der Raumliste meine Raumgruppe anlege, bleibt die Liste "Verfügbaren Raum auswählen" bei vielen leer. Wenn ich bei dem Client den Cached-Modus bei dem Exchangekonto deaktiviere funktioniert dies immer korrekt. Kann mir jemand helfen wie ich dieses Problem gelöst bekomme? Vielen Dank im voraus.

OK, dann danke ich euch mal für eure Hinweise.