haiflosse

Mit Zugelassen meine ich, dass nur der externe Server bei a1 oder wo die wordpress Seite liegt auf das LDAP des DC, der sich im Haus befindet, zugreifen kann.

Vielen Dank für die Antworten und Vorschläge. Prinzipiell nutzen wir die LDAP Anbindung nur für die Anmeldung auf den externen Seiten wie z.B. moodle oder webuntis oder für eine wordpress Seite. Die LDAP Anbindung ist nur auf diesen Server zugelassen. Dachte daher dass LDAPs eine sichere Lösung ist.

Wir haben nochmals bei der Firma angefragt, die den Test durchgeführt haben ob LDAPs anstatt LDAP zu verwenden und haben folgende Antwort erhalten: ------------ Ich empfehle dringend , dass Sie LDAP (auch LDAPS) nicht am WAN verfügbar machen. Es bedarf einer Anpassung der Architektur, das ist auch anders lösbar. Das CERT.at darf das nicht sehen ------------- Anscheinend soll und kann LDAP oder LDAPs auf externen Seiten nicht verwendet werden. Wie würde dann eine andere Lösung aussehen? Danke

Danke für die Antwort. Das Tool kenne ich leider nicht mit dem Geprüft wurde. Ich habe mit einem Netzwerktechniker für Windows Server gesprochen. Er hat mir mitgeteilt, dass ich bei den Windows Webserver 2019 das Problem nicht mit LDAP haben sollte. Zum Tag eol-product hat er auch mitgeteilt, dass es stimmt, dass der Server 2008 End of live (EOL) ist, da ich aber Windows Server 2019 im Einsatz habe sind diese nicht EOL. Ein Höherstufen der Functional Level auf 2016 meint er ist trotzdem eine gute Idee, aber aus generellen und nicht aus Sicherheitsgründen. Er meint die Nachricht könne ich ignorieren. von der Firma, die das Netz geprüft habe, habe ich auf die Frage, ob dies auch bei Windows 2019 Server auftritt, folgende Antwort erhalten: bitte prüfen sie unabhängig Ihrer Server OS Versionen die FW Config. LDAP (389) inbound Extrem Kritisch Anscheinend auch TCP445 (SMB!) inbound erlaubt = extrem kritisch Ich empfehle Ihnen dringend ein Audit Ihrer Firewall konfiguration und ggf. auch der restlichen Infrastruktur. Wie ist eure Meinung? Danke

Vielen Dank für die Antwort. Die Meldung kommt von einem Unternehmen der das Netzwerk und Server auf Sicherheit geprüfte hat. Wie können wir noch die Signierung aktivieren. Vielen Dank

Wir haben eine Nachricht erhalten dass es bei uns ein Sicherheitsrisiko bei LDAP gibt. Genau handelt es sich um folgende Informationen: LDAP-Banner – vollständiger Replay: Microsoft AD Domain Controller, Domain schule.intern, Hostname DC1.schule.intern: Domain: DC=schule,DC=intern Servername: DC1 Forest/Domain Functional Level: 4 (= Windows Server 2008 R2!) SASL: DIGEST-MD5, EXTERNAL, GSS-SPNEGO, GSSAPI Tag: eol-product Ich habe jetzt am Windows Server dies geprüft mit. PS C:\Users\admin> Get-ADDomain | Select-Object DomainMode DomainMode ---------- Windows2008R2Domain PS C:\Users\admin> Get-ADForest | Select-Object ForestMode ForestMode ---------- Windows2008R2Forest PS C:\Users\admin> Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem Name OperatingSystem ---- --------------- DC1 Windows Server 2019 Standard Soweit ich sehen kann verwenden wir noch die alte Functional Level Windows2008R2Domain und Windows2008R2Forest. Soweit ich weiter recherchiert habe kann man diese aber erhöhen, da wir aktuell nur noch Windows 2019 Server verwenden. Active Director Domain und Vertrauensstellung öffnen: Domain → „Domänenfunktionsebene erhöhen“ Forest → „Gesamtstrukturfunktionsebene erhöhen“ Danach sollte man wieder LDAP verwenden können – oder? Bitte um eure Meinung und Feedback. Vielen Dank

Hallo! Ich habe beim pdc die Uhrzeit manuell geändert und die anderen Server haben die Uhrzeit übernommen. Derzeit passt die Zeit überall. Somit denke ich muss da nichts weiter tun - oder? Die Verknüpfung bei den Gruppenrichtlinie am dc habe ich derzeit beim der OU wieder herausgelöscht. lg

Danke für die Antworten. Ich habe beim hyper-V wo sich alle Virtuellen Server befinden bei den Eigenschaften den DC bei Einstellungen / Integrationsdienste die Zeitsynchronisierung deaktiviert. Beim DC habe ich dann bei den Gruppenrichtlinien die Zeitsynchronisation wie vom Link von @MurdocX durchgeführt und ein gpupdate durchgeführt. Beim Log von Time-Service sehe ich folgende Information: Der Zeitdienst synchronisiert jetzt die Systemzeit mit der Zeitquelle DC1.schule.intern (ntp.d|0.0.0.0:123->172.16.0.200:123) mit der Referenz-ID 3355447468. Die aktuelle lokale Stratumnummer ist 2. Wie kann ich feststellen wer der pdc ist? Die Zeit hat sich aber nicht geändert. Habe ich da etwas falsch verstanden? Danke

Hallo! Seit heute ist bei unseren Windows Server 2019 die Uhrzeit um 1 Stunde und 7 Minuten voraus. Ich habe die Uhrzeit einmal manuell am Server geändert, aber nach ein paar Minuten hat sich die Uhrzeit wieder umgestellt. Woran kann dies liegen bzw. wie kann ich bekomme ich wieder die korrekte Uhrzeit. Die Server sind mit einer Firewall von Fortinet verbunden. Danke

Danke. Werde ich testen. lg

Danke für den Hinweis. Leider habe ich die Gruppenrichtlinie gelöscht. Kann ich da noch etwas machen? Finde ich da eine Einstellung am Client, die ich deaktivieren kann. Sonst ist vermutlich nur eine Neuinstallation der Clients möglich - oder?

Hallo! Ich hätte noch eine Frage dazu. Das ganze funktioniert nun soweit. Wie kann ich die Regel bei einem Client oder allen Clients wieder entfernen? Danke für jeden Hinweis.

Danke für die Antworten. Ich habe es von hier heruntergeladen und installiert: https://education.minecraft.net/de-de/get-started/download Es wird dann über einen Doppelklick am Desktop die Minecraft Education gestartet. Bei den GPO ist es auch am Client nicht auswählbar, obwohl es installiert ist. lg

Ich hätte da eine Seite gefunden: Windows 10: Apps mit Applocker sperren - Administrator Ich kann bei der Auswahl Minecraf Education nicht finden. Heitß dies dass ich dann Minecraft Educatin am Server installieren muss, damit ich es auswählen kann. Danke

Hallo! Ich habe einige Windows 10 Clients, die sich in einer Domäne eines Windows Server 2016 befinden. Auf den Clients ist Minecraft Education installiert. Gibt es eine Möglichkeit, dass ich vom Server aus z.B. per GPO auf den Clients den Start von MineCraft Education verhindern kann. Danke