haiflosse

Mit Zugelassen meine ich, dass nur der externe Server bei a1 oder wo die wordpress Seite liegt auf das LDAP des DC, der sich im Haus befindet, zugreifen kann.

Vielen Dank für die Antworten und Vorschläge. Prinzipiell nutzen wir die LDAP Anbindung nur für die Anmeldung auf den externen Seiten wie z.B. moodle oder webuntis oder für eine wordpress Seite. Die LDAP Anbindung ist nur auf diesen Server zugelassen. Dachte daher dass LDAPs eine sichere Lösung ist.

Wir haben nochmals bei der Firma angefragt, die den Test durchgeführt haben ob LDAPs anstatt LDAP zu verwenden und haben folgende Antwort erhalten: ------------ Ich empfehle dringend , dass Sie LDAP (auch LDAPS) nicht am WAN verfügbar machen. Es bedarf einer Anpassung der Architektur, das ist auch anders lösbar. Das CERT.at darf das nicht sehen ------------- Anscheinend soll und kann LDAP oder LDAPs auf externen Seiten nicht verwendet werden. Wie würde dann eine andere Lösung aussehen? Danke

Danke für die Antwort. Das Tool kenne ich leider nicht mit dem Geprüft wurde. Ich habe mit einem Netzwerktechniker für Windows Server gesprochen. Er hat mir mitgeteilt, dass ich bei den Windows Webserver 2019 das Problem nicht mit LDAP haben sollte. Zum Tag eol-product hat er auch mitgeteilt, dass es stimmt, dass der Server 2008 End of live (EOL) ist, da ich aber Windows Server 2019 im Einsatz habe sind diese nicht EOL. Ein Höherstufen der Functional Level auf 2016 meint er ist trotzdem eine gute Idee, aber aus generellen und nicht aus Sicherheitsgründen. Er meint die Nachricht könne ich ignorieren. von der Firma, die das Netz geprüft habe, habe ich auf die Frage, ob dies auch bei Windows 2019 Server auftritt, folgende Antwort erhalten: bitte prüfen sie unabhängig Ihrer Server OS Versionen die FW Config. LDAP (389) inbound Extrem Kritisch Anscheinend auch TCP445 (SMB!) inbound erlaubt = extrem kritisch Ich empfehle Ihnen dringend ein Audit Ihrer Firewall konfiguration und ggf. auch der restlichen Infrastruktur. Wie ist eure Meinung? Danke

Vielen Dank für die Antwort. Die Meldung kommt von einem Unternehmen der das Netzwerk und Server auf Sicherheit geprüfte hat. Wie können wir noch die Signierung aktivieren. Vielen Dank

Wir haben eine Nachricht erhalten dass es bei uns ein Sicherheitsrisiko bei LDAP gibt. Genau handelt es sich um folgende Informationen: LDAP-Banner – vollständiger Replay: Microsoft AD Domain Controller, Domain schule.intern, Hostname DC1.schule.intern: Domain: DC=schule,DC=intern Servername: DC1 Forest/Domain Functional Level: 4 (= Windows Server 2008 R2!) SASL: DIGEST-MD5, EXTERNAL, GSS-SPNEGO, GSSAPI Tag: eol-product Ich habe jetzt am Windows Server dies geprüft mit. PS C:\Users\admin> Get-ADDomain | Select-Object DomainMode DomainMode ---------- Windows2008R2Domain PS C:\Users\admin> Get-ADForest | Select-Object ForestMode ForestMode ---------- Windows2008R2Forest PS C:\Users\admin> Get-ADDomainController -Filter * | Select-Object Name, OperatingSystem Name OperatingSystem ---- --------------- DC1 Windows Server 2019 Standard Soweit ich sehen kann verwenden wir noch die alte Functional Level Windows2008R2Domain und Windows2008R2Forest. Soweit ich weiter recherchiert habe kann man diese aber erhöhen, da wir aktuell nur noch Windows 2019 Server verwenden. Active Director Domain und Vertrauensstellung öffnen: Domain → „Domänenfunktionsebene erhöhen“ Forest → „Gesamtstrukturfunktionsebene erhöhen“ Danach sollte man wieder LDAP verwenden können – oder? Bitte um eure Meinung und Feedback. Vielen Dank

Hallo! Ich habe beim pdc die Uhrzeit manuell geändert und die anderen Server haben die Uhrzeit übernommen. Derzeit passt die Zeit überall. Somit denke ich muss da nichts weiter tun - oder? Die Verknüpfung bei den Gruppenrichtlinie am dc habe ich derzeit beim der OU wieder herausgelöscht. lg

Danke für die Antworten. Ich habe beim hyper-V wo sich alle Virtuellen Server befinden bei den Eigenschaften den DC bei Einstellungen / Integrationsdienste die Zeitsynchronisierung deaktiviert. Beim DC habe ich dann bei den Gruppenrichtlinien die Zeitsynchronisation wie vom Link von @MurdocX durchgeführt und ein gpupdate durchgeführt. Beim Log von Time-Service sehe ich folgende Information: Der Zeitdienst synchronisiert jetzt die Systemzeit mit der Zeitquelle DC1.schule.intern (ntp.d|0.0.0.0:123->172.16.0.200:123) mit der Referenz-ID 3355447468. Die aktuelle lokale Stratumnummer ist 2. Wie kann ich feststellen wer der pdc ist? Die Zeit hat sich aber nicht geändert. Habe ich da etwas falsch verstanden? Danke

Hallo! Seit heute ist bei unseren Windows Server 2019 die Uhrzeit um 1 Stunde und 7 Minuten voraus. Ich habe die Uhrzeit einmal manuell am Server geändert, aber nach ein paar Minuten hat sich die Uhrzeit wieder umgestellt. Woran kann dies liegen bzw. wie kann ich bekomme ich wieder die korrekte Uhrzeit. Die Server sind mit einer Firewall von Fortinet verbunden. Danke

Danke. Werde ich testen. lg

Danke für den Hinweis. Leider habe ich die Gruppenrichtlinie gelöscht. Kann ich da noch etwas machen? Finde ich da eine Einstellung am Client, die ich deaktivieren kann. Sonst ist vermutlich nur eine Neuinstallation der Clients möglich - oder?

Hallo! Ich hätte noch eine Frage dazu. Das ganze funktioniert nun soweit. Wie kann ich die Regel bei einem Client oder allen Clients wieder entfernen? Danke für jeden Hinweis.

Danke für die Antworten. Ich habe es von hier heruntergeladen und installiert: https://education.minecraft.net/de-de/get-started/download Es wird dann über einen Doppelklick am Desktop die Minecraft Education gestartet. Bei den GPO ist es auch am Client nicht auswählbar, obwohl es installiert ist. lg

Ich hätte da eine Seite gefunden: Windows 10: Apps mit Applocker sperren - Administrator Ich kann bei der Auswahl Minecraf Education nicht finden. Heitß dies dass ich dann Minecraft Educatin am Server installieren muss, damit ich es auswählen kann. Danke

Hallo! Ich habe einige Windows 10 Clients, die sich in einer Domäne eines Windows Server 2016 befinden. Auf den Clients ist Minecraft Education installiert. Gibt es eine Möglichkeit, dass ich vom Server aus z.B. per GPO auf den Clients den Start von MineCraft Education verhindern kann. Danke

Danke für die Antworten und xml Block. Meinen keinen Erfolg meine ich, dass ich die Aufgabenplanung bei einem Client nicht bekomme bzw. nicht erscheint. Mit abgemeldet meine ich, dass der Computer eingeschaltet ist, aber kein Benutzer angemeldet ist. @testperson Danke für das xml Beispiel. Ich habe es beim Server eingefügt und den Client gestartet. Bei den Aufgabenplanung sehe ich den Eintrag nicht, aber der Client fährt trotzdem wie geplant herunter. Super und vielen Dank. Ich werde es weiter beobachten und testen. lg

Danke für die Antworten und Video. Ich habe es wie im Video durchgeführt. Dort wird es auch beim Client angezeigt, wenn man sich als Administrator anmeldet. Sobald man sich aber als Domainen Benutzer anmeldet bekommt man die Aufgabe nicht. Ich habe daher die Aufgabe auch schon bei der Computer Richtlinie eingegeben, aber leider ohne Erfolg. Auch sollte die Aufgabe ausgeführt werden, wenn der Computer auch abgemeldet ist. Deshalb wollte ich fragen, ob mir hier nochmals jemand weiterhelfen könnte. Vielen Dank

Hallo! Ich möchte eine Aufgabenplanung (shutdown das immer 21 Uhr stattfindet) auf alle Clients in dessen Aufgaben in meiner Domaine verteilen. Deshalb wollte ich fragen, wie man dies z.b. über eine Gruppenrichtlinie am Server durchführen könnte. Vielen Dank

Danke für die Antwort. Habe jetzt eine Eingabeaufforderung als Admin gestartet und dann funktioniert auch die Silent Installation. Werde das ganze nochmals dann über die gpo mit einem Client testen. Wird die Installation jedesmal neu durchgeführt wenn einmal die Installation bereits funktioniert hat, oder wird dies dann automatisch erkannt, dass die Installation nicht nochmals durchgeführt wird. Danke

Danke für die Antwort. Ich kann die msi Datei ohne den Paramter /pn jetzt die Installation starten. Die silent Installation mit dem Paramter /qn funktioniert leider nicht bzw. startet nicht. Ich erhalte folgendes Logfile (siehe Anhang) log .txt

Hallo! Ich habe nun bei starten eine bat Datei angefügt. Die Bat Datei sieht wie folgt aus: msiexec /i \\schule\netlogon\MomSmartClient_x64.msi /qn Ich habe den Befehl auch direkt am Client versucht. Da passiert leider nichts, obwohl der Pfad passt. Hoffe es kann mir noch jemand einen Tipp geben. Danke

Super. Hab es gefunden. Werde ich einmal ausprobieren. Super wäre es auch wenn es Uniflow gleich mit dem Benutzernamen angemeldet ist. Konnte da leider keinen Hinweis und Info finden. Danke

Danke für die Antwort. Wo in der gpo rufe ich das script auf? Vom Hersteller canon bekomme ich leider bezüglich der Uniflow Netzwerkinstallation keine Unterstützung.

Danke für die Antworten. Es handelt sich um mehrere 100 Computer. Ideal wäre wenn beim Starten des Computers Uniflow automatisch sich mit dem angemeldeten Benutzer startet. Vielleicht funktioniert es mit dem silent install. Wie würde per gpo dies mit dem Paramter funktionieren oder wie könnte ich es mit dem script ausprobieren. Danke nochmals

Danke für die Antwort. Was wäre die Alternative zu einer GPO um Uniflow Client auf jedem Computer mit jedem Benutzer starten zu können. Danke