NilsK

Moin, ich werfe mal Marks Vorschlag in die Runde: [Drucker verteilen und bereitstellen - Gruppenrichtlinien by Mark Heitbrink] https://www.gruppenrichtlinien.de/artikel/drucker-verteilen-und-bereitstellen/ Gruß, Nils

Moin, du musst dafür eine eigene Zertifikatsvorlage erzeugen, die den Namen nicht aus dem AD generiert. Folgender Artikel dürfte passen: https://blog.alschneiter.com/2014/04/28/how-to-deploy-remote-desktop-services-2012-r2-certificates-unsing-internal-ca/ Gruß, Nils

Moin, das Zertifikat zu sperren, ist nur ein wichtiger Schritt, wesentlicher in solchen Szenarien ist das Sperren des Accounts. Nur dann verliert der User wirklich sofort den Zugriff. Bis das gesperrte Zertifikat in der Sperrliste steht und diese neu auf den Clients bzw. dem VPN-Endpunkt ankommt, kann es durchaus Tage oder Wochen dauern. Das richtige Zertifikat zu finden und zu sperren, kann eine Herausforderung sein. Da hilft es, wenn man den Gesamtprozess im Griff hat und es für jeden User und Zweck nur ein Zertifikat gibt, nicht mehrere parallel, was in vielen Umgebungen Usus ist. "Versehentlich" ausgestellte oder ersetzte Zertifikate sollte man immer sofort sperren. Ebenso sind aussagekräftige Namen bei den Vorlagen hilfreich. Auch hilft es, abgelaufene Zertifikate aus der Datenbank zu entfernen: https://gallery.technet.microsoft.com/scriptcenter/Script-to-delete-expired-8fcfcf48 Neben der MMC könnte man auch per PowerShell arbeiten, was je nach Prozess und Umgebungsstruktur den Vorgang beschleunigen kann. Dazu ist das Modul auf Github nützlich: https://github.com/Crypt32/PSPKI Gruß, Nils

Moin, sorry, aber für mich klingt das erst mal nach einem Tippfehler beim Kennwort. Oder der User ist im AD gesperrt/deaktiviert. Gruß, Nils

Moin, also, ich wüsste jemanden, der sich recht intensiv mit Windows-PKI befasst ... Aber vermutlich ist das nur ein Verständnisproblem. Die Vorlagen bei einer Enterprise-CA zwar im AD veröffentlicht, aber dadurch stehen sie noch nicht auf einem konkreten CA-Server zur Verfügung. Du musst die Vorlagen, die deine CA tatsächlich anbieten soll, zuerst dort aktivieren. Eine CA installiert man nicht auf einem DC. Die Empfehlung gilt schon seit bald 20 Jahren. Gruß, Nils PS. Es gibt neben einigen Leuten hier im Board, die das können ;) auch ein gutes Buch zum Thema bei Rheinwerk.

Moin, ja, natürlich. Es wird ja ein Dienst von einem Windows-Server genutzt. Dasselbe gilt auch, wenn der Außendienstler per ActiveSync mit seinem Smartphone zugreift. Gruß, Nils

Moin, auch wenn du sehr interessante Vermutungen über mich und meine Brille (ich habe keine) anstellst: Du verfolgst hier offenbar eine akademische Frage. Ein zu erreichendes operatives Ziel gibst du zumindest nicht an, du versteifst dich auf deine selbst gewählte Frage. Kann man machen, aber für mich hat das keine Relevanz. Mir ist nicht klar, wozu man einen Domänenuser mit lokalen Adminrechten ausstattet, wenn man gleichzeitig versucht, ihn so einzuschränken, als wäre er kein Domänenbenutzer. Klar, da kann man rein technisch einiges machen. Für mich fehlt aber der Nutzen, weswegen ich mich nicht weiter damit befasse. Wüsste ich, was das operative Ziel ist, könnte ich mir überlegen, wo ich die Grenzen des Ansatzes sehe oder ob mir Alternativen einfallen. Dass du mit dem Konzept einen Rechner wirklich malware-sicher bekommst, bezweifle ich dennoch energisch. Dein Konzept ist blind gegenüber anderen Lücken, die ein nicht abgedichtetes Windows in üblichen Betriebsweisen hat. Es kümmert sich eben nur um diese eine Frage. Daher mein Hinweis, dass man solche Dinge sicher in einem Gesamtkonzept brauchen kann, aber allein bringt es nach meiner Ansicht ausgesprochen wenig. Damit ist für mich hier Schluss. Gruß, Nils

Moin, sorry, hier im Forum kann ich dazu nichts Zielführendes tun. Gruß, Nils

Moin, hm, seltsam. In einem Forum sind die Möglichkeiten begrenzt - ich würde mir das Objekt und den Vorgang jetzt mal genau ansehen. Wie lautet die Fehlermeldung denn bei dem erfolglosen Anmeldeversuch per VPN? Gruß, Nils

Moin, es ist ausgesprochen unwahrscheinlich, dass es an dem Attribut liegt. Das wird beim Kopieren eines Users gar nicht übertragen. Dass der Wert darin seltsam aussieht, liegt einfach daran, dass es kein Textfeld ist, sondern ein Binärwert, den kann ein Text-GUI natürlich nicht besser anzeigen. Ist bei dem User evtl. die Primary Group geändert worden auf einen anderen Wert als "Domänen-Benutzer"? Gruß, Nils

Moin, steht der RODC in der Niederlassung physisch gesichert, d.h. in einem abschließbaren Serverraum oder ähnlich? Dann wäre ggf. ein normaler DC vorzuziehen, weil der eben alle Funktionen bietet, die man von einem DC braucht. Dass der Zugriff auf Freigaben nicht funktioniert, deutet auf abgelaufene Tokens bzw. Kerberos Tickets hin. Die Anmeldung an den PC funktioniert dann über Cached Credentials (wie bei einem Notebook auf Reisen), aber auf Netzwerkressourcen kann man dann nicht zugreifen. Daher die Vermutung, dass die RODC-Konfig an der Stelle nicht ausreicht. Die kann man natürlich noch mal en détail prüfen, aber wenn ein schreibbarer DC ausreichend sicher dort steht (was hoffentlich der Fall ist, denn auch einen Dateiserver möchte man ja nicht gestohlen bekommen), hat man damit evtl. weniger Aufwand. Schnellschuss: Ist der Dateiserver denn auch in der RODC-Replikationsgruppe enthalten? Gruß, Nils

Moin, erstens gibt es im AD keinen PDC. Zweitens: Warum ein RODC? Drittens: Sind die User des Standorts und deren Rechner in der RODC-Replikationsgruppe, damit sie sich auch tatsächlich an dem RODC anmelden können? Gruß, Nils

Moin, sehr gut, dafür ist es gedacht. Gruß, Nils

Moin, man könnte den Sperr-Teil aus meiner DOS-Lösung ;) dafür verwenden: [DOS-Angriff für jedermann: AD-Konten sperren | faq-o-matic.net] https://www.faq-o-matic.net/2013/08/07/dos-angriff-fr-jedermann-ad-konten-sperren/ Dort ist es der letzte Abschnitt im Code (LogonTask). %1 steht dort für den Usernamen, der angegriffen werden soll. %2 ist die Anzahl der Versuche. Gruß, Nils

Moin, grundsätzlich funktioniert Sysprep auch in der GA, aber aussagekräftig werden deine Tests wohl eher mit einem aktuellen Patchlevel sein. Oder was genau willst du jetzt wissen? Gruß, Nils

Moin, das ist korrekt so. Gruß, Nils

Moin, gerade in dem Szenario niemals lange Laufzeiten nehmen. Ich habe Kunden, die für VPN-Zertifikate max. 2 Wochen setzen. Das ist natürlich eine Frage der Abwägung, aber die muss eben informiert geschehen und die Sicherheit priorisieren. Beim Einsatz von Zertifikaten ist "es soll halt funktionieren" fast nie der richtige Ansatz. Gruß, Nils

Moin, ich komm grad nicht ganz hinterher ... in deiner Frage mit den vielen Screenshots hast du aber einen Fehler gemacht. Die NICs für die VMs erzeugst du natürlich nicht auf dem Host, was soll der damit? Die gehören natürlich nur in die VMs und konnektieren auf den gemeinsamen vSwitch. Wichtig: Sobald du mit komplexen vSwitch-Aufbauten arbeitest, geht das nur noch per PowerShell. Das GUI dann nicht mehr anfassen und auf keinen Fall dort etwas ändern. Das GUI ist nur für simple Aufbauten gedacht und kommt mit den erweiterten Optionen oder mit mehreren Host-vNICs nicht klar. Gruß, Nils

Moin, was soll man dazu sagen? Gemessen woran könntest du etwas "falsch" gemacht haben? Es bleibt unklar, was du wovor schützen willst. Und für mich bleibt unklar, wozu du so einen User brauchen könntest und warum der gewählte Weg in dem Szenario sinnvoll sein könnte. Kann sein, kann nicht sein, das ist so nicht zu entscheiden. Ein Punkt springt weiter ins Auge: Dein User ist lokaler Admin. Er kann also sämtliche Einschränkungen abschalten. Vielleicht mit etwas Aufwand, aber bei den gegebenen Privilegien nicht verhinderbar. Sorry, aber mehr kann ich dazu nicht beitragen. Gruß, Nils

Moin, der Sinn ist mir auch nicht klar. Aber lösen könnte man sowas nur über Gruppen, nicht über OUs. Die Gruppe "CompZert 3 Jahre" erhält Autoenroll-Berechtigung auf die Vorlage 3 Jahre, die Gruppe "CompZert 1 Jahr" erhält sie für die Vorlage mit 1 Jahr. Wobei 3 Jahre Laufzeit für ein Computerzertifikat viel zu lang ist, gerade bei Autoenroll, Da würde ich nicht mehr als 6 Monate setzen. Gruß, Nils

Moin, also ... mir kommt das gerade nicht wie ein verantwortungsvoller Umgang mit dem System vor. Du hast eine VM, deren Backup nicht funktioniert bzw. nicht aktuell ist. Hältst du es wirklich für eine gute Idee, an den Spezifikationen des Systems vorbei deren produktive virtuelle Disk mal eben parallel zu mounten, um alte Daten rauszuholen? Mach, was du willst, ist dein System. Aber jammer hinterher nicht ... Gruß, Nils

Moin, wenn ich nicht ganz falsch liege, kannst du in Windows 2012 den Snapshot auch exportieren. Dadurch entsteht eine separate VHDX-Datei, die du dann öffnen kannst, um die Daten rauszufischen. Gell, und vorher kümmerst du dich darum, dass das Backup funktioniert. Snapshots ersetzen kein Backup, sondern sind ganz im Gegenteil ein erhebliches Risiko für Stabilität und Performance. Gruß, Nils

Moin, zwei typische Ursachen: Der Pfad ist für den Client, der das Zertifikat prüft, eben doch nicht erreichbar - Namensauflösung, Firewall, Berechtigungen. Die Sperrliste ist abgelaufen. Ist es der zweite Punkt, dann fehlt ein Prozess, der die jeweils aktuelle Sperrliste an den Veröffentlichungspunkt kopiert. Die Sperrlisten sollte man allerdings auch nur noch per http bereitstellen (auf einem Server, der intern und extern unter demselben URL erreichbar ist), nicht per Dateizugriff, weil das spätestens mit externen Clients (Home Office usw.) nicht funktioniert. Ich empfehle das Rheinwerk-Buch zum Thema. Bei PKI kann man sehr viel falsch machen, Weiter-Weiter-Fertigstellen reicht praktisch nie aus. Gruß, Nils

Moin, was sagt das Eventlog? Auch in den Dienstprotokollen schauen, da gibt es extra welche für den Cluster und für Hyper-V. Gruß, Nils

Moin, deine technische Frage habe ich nicht verstanden. Was willst du genau wissen? Lizenzrechtlich bist du auf dem Holzweg. Die Windows-Server-Lizenzen werden immer dem Host zugewiesen und niemals den VMs. Für 6 VMs benötigst du auf dem Hosts drei Standard-Lizenzen, weil du mit jeder Standard-Lizenz zwei WIndows-Server-VMs betreiben darfst. Wenn dein Host unter 2012 R2 laufen soll, kannst du die 2008- und 2012-(ohne-R2)-Lizenzen nicht dafür einsetzen, du brauchst dann drei 2012-R2-Lizenzen. Da du die neu nicht mehr kaufen kannst, läuft das auf drei 2016-Lizenzen (bzw. Lizenz-Sets) hinaus. https://youtu.be/6tH3QGSRP00 Gruß, Nils