-
Gesamte Inhalte
17.571 -
Registriert seit
-
Letzter Besuch
Alle erstellten Inhalte von NilsK
-
Komplexitätsvoraussetzungen im AD anpassen
NilsK antwortete auf ein Thema von meinerjunge in: Windows Forum — Security
Moin, übrigens scheint mir die oben zitierte Angabe auch nicht korrekt zu sein. @meinerjunge, hast du eine Quelle dazu? Die Angaben, die ich dazu finde, sind: es darf nicht der komplette SAM Account Name vorkommen ("NilsK") - sofern der kürzer als drei Zeichen ist, gilt die Regel nicht der Display Name wird in seine Teile zerlegt, und keiner der Teile darf vollständig vorkommen ("Nils", "Kaczenski") - auch hier die 3-Zeichen-Regel Das ist ja dann doch was anderes und senkt die Ausschlusswahrscheinlichkeit. Meine Quellen z.B.: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh994562(v=ws.11) https://learn.microsoft.com/en-us/windows/security/threat-protection/security-policy-settings/password-must-meet-complexity-requirements Gruß, Nils Edit: Zwei Nerds, ein Gedanke. -
Komplexitätsvoraussetzungen im AD anpassen
NilsK antwortete auf ein Thema von meinerjunge in: Windows Forum — Security
Moin, da sekundiere ich Norbert. Ich nutze seit ca. 20 Jahren sehr lange Kennwörter und habe damit noch nie ein Problem mit den vordefinierten Kennwortrichtlinien gehabt. Und ja, es geht um eine große Zahl sehr langer Kennwörter. Mein Eindruck ist, dass ihr euch da zu "akademische" Gedanken vor dem Hintergrund traditioneller Ansätze macht. Aber wie gesagt - wenn das bei euch so ist, dann recherchier halt nach einem Drittanbietertool. Gruß, Nils -
WLAN 802.1x Authentifizierung schlägt fehl für neue Zertifikate
NilsK antwortete auf ein Thema von StefanWe in: Active Directory Forum
Moin, "Kette" war missverständlich. Natürlich muss die Zertifikatskette auch gültig sein. Ich meinte aber die Systemkette. Ich habe mehrere Quellen gefunden, wo die Ursache Änderungen an den Systemen waren, z.B. dem Radius. Gruß, Nils -
Komplexitätsvoraussetzungen im AD anpassen
NilsK antwortete auf ein Thema von meinerjunge in: Windows Forum — Security
Moin, da kann man sich jetzt mit gewisser Berechtigung fragen, ob eure Vorgabe sinnvoll ist. Wenn ihr tatsächlich von der nicht abrücken könnt, dürfte an kommerzieller Software kein Weg vorbeigehen. Eine Webrecherche nach "Password Filter Active Directory" weist den Weg. Gruß, Nils PS. 10 Zeichen gelten schon lange nicht mehr als "sicher", unabhängig vom geforderten Zeichensatz. PPS. oder deutlicher: eure Vorgabe erzeugt weder hochkomplexe noch lange Kennwörter. -
WLAN 802.1x Authentifizierung schlägt fehl für neue Zertifikate
NilsK antwortete auf ein Thema von StefanWe in: Active Directory Forum
Moin, ich habe keine Lösung, aber eine schnelle Websuche deutet an, dass das Problem evtl. gar nichts mit dem User oder dem Zertifikat zu tun haben muss, sondern woanders in der Kette liegen kann. Gruß, Nils -
Komplexitätsvoraussetzungen im AD anpassen
NilsK antwortete auf ein Thema von meinerjunge in: Windows Forum — Security
Moin, für schützenswerte Konten würde ich ein oder mehrere PSOs (Password Settings Objects) einrichten und lange Kennwörter vorschreiben. Dann reicht die normale Komplexität völlig aus. Für Service Accounts lässt man sich dann gute Kennwörter generieren und Benutzern mit Accounts dieser Kategorie empfiehlt man, mit Kennwortsätzen zu arbeiten, die man gut tippen kann. (Eine Suche nach "Correct Horse Battery Staple" illustriert, was ich meine.) Gruß, Nils -
Indexierung im Explorer auf Laufwerk C:\ abschalten
NilsK antwortete auf ein Thema von LED in: Windows Server Forum
Moin, falls das aber bei euch tatsächlich auch die DCs und SQL Server betrifft, dann war es eben ein Beispiel dafür, dass da irgendwas falsch laufen muss. Da auf diesen Servern schlicht nichts zu indizieren ist, ist irgendwas nicht gesund, wenn der Indexdienst tatsächlich für Verzögerungen sorgt. Ob du den abschalten kannst, kannst du selbst entscheiden, indem du rausfindest, ob du den Index auf den Servern brauchst oder nicht. Ich würde aber trotzdem prüfen, ob da nicht noch ein anderes Problem vorliegt. Gruß, Nils -
Komplexitätsvoraussetzungen im AD anpassen
NilsK antwortete auf ein Thema von meinerjunge in: Windows Forum — Security
Moin, mit Bordmitteln (ohne "a" übrigens) geht das nicht. Es gibt kommerzielle Software für sowas, mittlerweile auch ein paar Community-Projekte*. Falls ihr eine Anbindung an Azure AD und die passenden Subscriptions habt, lassen sich auch AAD-Bordmittel einsetzen. Gruß, Nils * das ist das, was Norbert mit seiner Anspielung meinte. An solche Software hat sich lange in der Community niemand rangetraut. Welche Qualität die vorhandenen Projekte haben, kann ich aber nicht sagen. * PS. vielleicht meint Norbert auch, dass die sog. "Komplexität" viel weniger wichtig ist als die Länge von Kennwörtern. Mindestens für Admins und andere hochprivilegierte Accounts würde ich daher vor allem lange Kennwörter vorschreiben, die Komplexität kann man sich dann eher sparen. -
Server 2012 Datei- und Druckerfreigabe nicht vorhanden
NilsK antwortete auf ein Thema von Bitdrop in: Windows Server Forum
Moin, ja, genau das ist die Idee. Ich habe dich so verstanden, dass es noch mindestens einen funktionierenden DC gibt. Dann ist das schnell und ohne Risiko gemacht. Gruß, Nils -
Server 2012 Datei- und Druckerfreigabe nicht vorhanden
NilsK antwortete auf ein Thema von Bitdrop in: Windows Server Forum
Moin, also, ich würde da nicht lang fackeln. Du hast einen nicht funktionierenden DC, da würde ich keine Forensik betreiben, sondern für einen neuen DC sorgen. Das dauert ne Stunde. Dann noch mal ne Stunde aufräumen. Die Master-Rollen werden meist völlig überschätzt, so auch hier. Die sind kein Hindernis. https://www.faq-o-matic.net/?s=betriebsmaster Gruß, Nils -
Server 2012 Datei- und Druckerfreigabe nicht vorhanden
NilsK antwortete auf ein Thema von Bitdrop in: Windows Server Forum
Moin, warum würdest du das umgehen wollen? Gruß, Nils -
Server 2012 Datei- und Druckerfreigabe nicht vorhanden
NilsK antwortete auf ein Thema von Bitdrop in: Windows Server Forum
Moin, spontan würde ich sagen, mach die VM neu. Gruß, Nils -
Indexierung im Explorer auf Laufwerk C:\ abschalten
NilsK antwortete auf ein Thema von LED in: Windows Server Forum
Moin, dann läuft da was falsch. Bei einem DC oder einem SQL Server verändert sich ja nix, was eine laufende Indizierung beschäftigen würde. Gruß, Nils -
Moin, worin liegt denn das Problem, wenn die User "im Web surfen"? Kann man das im Zweifel einfach ignorieren oder gibt es einen handfesten Grund, das zu vermeiden? Gruß, Nils
-
Zusammenspiel Server2012R2 (inkl. Exchange 2016 Standard) mit 2 x Server 2016 (PDC/SDC)
NilsK antwortete auf ein Thema von Antonio2021 in: Windows Server Forum
Moin, ich merke noch an, dass gerade "jede Menge spezielle, über die Jahre von -zig Stellen installierte Komponenten" regelmäßig dafür sorgen, dass ein Inplace-Upgrade nicht wie gewünscht funktioniert. Aber wir wollen natürlich niemanden daran hindern, seinen Erfahrungsschatz zu vergrößern. Gruß, Nil"inplace upgrades on servers are evil"s PS. Wenn du so viel Zeit hast, das zu diskutieren ... die hätte man ja auch investieren können, um ... na, du weißt schon. -
IIS mit Load Balancing installieren
NilsK antwortete auf ein Thema von anjaw in: Windows Server Forum
Moin, ich ergänze noch mal dazu, dass Windows-NLB eine Technik aus dem letzten Jahrtausend ist (ernsthaft, das ist Ende der Neunziger entwickelt worden), die seitdem auch nicht nennenswert weiter entwickelt wurde. Die hat noch nie gut funktioniert, wird das nie tun, und weil das so ist, wird man auch niemanden finden, der das ernsthaft supporten kann. Die Alternativen, die hier genannt wurden, sind allemal besser und amortisieren sich wahrscheinlich schon ab Woche 1. Gruß, Nils -
Schwarzer Bildschirm bei RDP-Anmeldung
NilsK antwortete auf ein Thema von sugar76 in: Windows Server Forum
Moin, Es kann sein, dass du in den Logs was findest, es kann auch nicht sein. Probleme dieser Art würden sich am ehesten in den Standard-Protokollen niederschlagen, also System oder Applikation. Bei einem Terminalserver kommen bei solchen unklaren Problemen aber zahlreiche Ursachen in Betracht, da kann es schon etwas dauern, bis man die Lösung findet. Wenn es nach einem Neustart wieder geht, heißt das noch lange nicht, dass keine Updates fehlen bzw. Updates das Problem nicht lösen können. Es lohnt auf jeden Fall, danach zu suchen, auch bei den relevanten Treibern. Gruß, Nils -
Moin, es trägt jetzt nicht direkt zur Problemlösung bei, aber die Kombination von Windows und WordPress ist nicht Best Practice. Da höre ich immer wieder von Problemen, die in der "nativen" Linux-Umgebung nicht auftreten. Wäre es eine Option, das mal gegenzutesten? Gruß, Nils
-
Moin, hm ... zumindest hab ich es so gelernt und von Windows-Security-Experten eingebläut bekommen. Da ich selbst nie ernsthaft Umgebungen betreiben musste, kann ich da auch nicht wirklich auf eigene Erfahrung zurückgreifen. Bei dem speziellen Thema Windows-DHCP-und-DNS-Integration scheint mir aber insgesamt auch einiges holpriger und anders zu laufen als dokumentiert. Gruß, Nils PS. gibt es denn auch Posts von Ace, die nicht episch sind?
-
Moin, wo es mir gerade auffällt: nein, eben nicht. Die Gruppe DNSUpdateProxy sollte man gar nicht mehr verwenden, die war ein Notbehelf in Windows 2000. Um deren Nachteilen abzuhelfen, wurde ja eben erst der Service-Account eingeführt (der eigentlich keiner ist). Nur diesen eintragen, die Gruppe nicht anfassen. (Hier wird das recht ausführlich diskutiert: https://learn.microsoft.com/en-us/answers/questions/574554/changing-built-in-group-scope-dnsupdateproxy.html) Nein, wie Evgenij dargestellt hat, müsste es mit den richtigen Einstellungen sogar in deinem Szenario mit langen Namen funktionieren. Gruß, Nils
-
Kaufentscheidung Hyper-V Host mit SQL- und Terminalserver
NilsK antwortete auf ein Thema von Welle980 in: Virtualisierung
Moin, typischerweise auch erheblich mehr. Siehe meine genannten Artikel ... typischerweise auch erheblich mehr. Siehe meine genannten Artikel ... In dem Fall sind 64 GB zu wenig, denn dann hat der Host nichts mehr. Es gibt keine RAM-Überbuchung in Hyper-V, und das aus gutem Grund. Gruß, Nils -
Kaufentscheidung Hyper-V Host mit SQL- und Terminalserver
NilsK antwortete auf ein Thema von Welle980 in: Virtualisierung
Moin, dann prüfe, ob sich das RAM nachträglich in der Form erweitern lässt. Da geht es nicht nur um freie Steckplätze, sondern auch um die Module insgesamt, das kann eine Wissenschaft für sich sein. Bezüglich der Cores: Mach, was du willst, aber wenn du 8 dedizierte Cores pro VM vorsehen willst, hast du meine Artikel gründlich missverstanden. Gruß, Nils -
Kaufentscheidung Hyper-V Host mit SQL- und Terminalserver
NilsK antwortete auf ein Thema von Welle980 in: Virtualisierung
Moin, die Hinweise zu den Kernen sind gut, da kann es durch die Windows-Lizenzen unangemessen teuer werden. Zum RAM: Wieviel RAM haben denn die physischen Server derzeit? Wenn das ausreicht, ohne dass es auf Engpässe hinweist, ist das ein Indikator dafür, wieviel RAM die VMs bekommen sollten. Die 64 GB hören sich erst mal viel an und können für SQL und TS auch dicke ausreichen. Wenn dann aber künftig die drei anderen VMs noch dazu sollen, könnte es wieder knapp werden. 2-4 GB solltest du "in Gedanken" für den Host abziehen, unter 2 GB wirst du auch einer "kleinen" VM (dem DC) nicht geben wollen. Ein Mailserver würde wohl eher 4 GB brauchen, und damit das Veeam ordentlich arbeitet, können 8 GB schon sinnvoll sein. Kann in 64 GB passen, kann aber auch eng werden. Am RAM würde ich nicht sparen. RAID-10 würde ich bei SSDs nicht machen, der theoretische Geschwindigkeitsvorteil wiegt den Overhead eher nicht auf. RAID-1 sollte reichen. Ob du das Host-OS wirklich separat legst in so einer Umgebung - ich würde mir auch hier den Overhead sparen und alles auf dasselbe SSD-Set legen, alles ein großes Volume und Ordner pro VM. Da bei sowas schnell ein Cluster für die Ausfallsicherheit ins Spiel kommt, plane mindestens Dualport 10-Gb ein. Mehr als 10-Gb dürfte in dem Szenario unnötig sein und auch die CPUs unnötig belasten. Falls du bei dem TS auf 2012 R2 bleiben musst, prüfe, ob das unter einem aktuellen Hyper-V noch läuft. Da bin ich grad nicht informiert. Gruß, Nils PS. ein einziger DC ist bei 12 Usern schon Unterkante. Ich würde über einen zweiten DC nachdenken, der separat auf günstiger Hardware läuft. -
Einrichtung bidirektionale Vertrauensstellung zwischen zwei Domänen
NilsK antwortete auf ein Thema von chrismue in: Active Directory Forum
Moin, Bei 10 Clients könnte man auch darüber nachdenken, einfach neu anzulegen. Gruß, Nils -
Moin, und die Clients? Die Frage ist ja, wie kann es zu lange Hostnamen geben. Gruß, Nils