v-rtc

?

?? Glückwunsch;-)

Schon mal IBM Treiber gesucht? 

On 11/28/2019 at 9:54 AM, falkebo said:

Moin @v-rtc,

 

hast du es mal damit probiert:

 

Diese Einstellungen kannst du per GPO ausrollen.
Ich würde einfach mal einen Domänen Benutzer erstellen, in der GPO "Logon as a batch job granted" einstellen und es testen.
 

Wichtig:
Für SQL Server, Domain Controller, Exchange, Oracle und Sharepoint brauchst du nochmal spezielle Berechtigungen.

Stand das dort drin?

Danke, weißt Du da genaueres?

Vielen Dank!

Es geht um eine Sicherung einer VM . Sorry falls das missverstanden wurde.

Die hatte ich schon, da steht aber nicht das was ich brauche. Als lokaler Admin tut die Veeam Sicherung. Als Sicherungs-Operator nicht.

Quote

25.11.2019 21:22:31 :: Failed to prepare guest for hot backup. Error: Cannot connect to remote SCM database. Machine: [Server1.domain.local]. Requested rights: [0x80000000].

Win32 error:Zugriff verweigert

Code: 5 

25.11.2019 21:22:38 :: Error: Cannot connect to remote SCM database. Machine: [Server1.domain.local]. Requested rights: [0x80000000].

Win32 error:Zugriff verweigert

Code: 5 

Danke Nils. Kennst Du das für Veeam zufällig?

Hallo zusammen,

kurze Frage, muss ein Backup User immer am Server Administrator sein, oder kann man das auch "zusammenstückeln"? (Sicherungs-Operatoren Gruppe usw.)

Vielen Dank.

Grüße

32 minutes ago, NorbertFe said:

Nö. Tls wird ja mit dem Endpunkt auf beiden Seiten vereinbart.

Sorry, meinte das Zertifikat der internen PKI einbinden. Danke.

Danke Dir. Dann richtig verstanden.

Der RDP Host kann das aber nur, wenn ein Verbindungsbroker da ist, oder?

Habe nun mal geschaut, der Client macht zum Server 2016 TLS1.2. Damit ist ja der Datenstrom verschlüsselt, korrekt? Wird das ganze mit Zertifkaten dann noch sicherer, oder ist sowas eher Pflicht für eine sichere Kommunikation über RDP? Gibt es da eine Meinung vom BSI?

Vielen Dank.

Hallo zusammen,

ist RDP Daten (Ab 2008 R2) generell verschlüsselt, oder muss man dies erst konfigurieren?

Vielen Dank.

Grüße

Am besten von Hand löschen und die ADSI Stelle und in den Sites nicht vergessen.

Gibt es Programme die genau diesen Pfad nutzen? 

Hallo,

wir haben 2 DirectAccess Server hier, die ich gerne mit Check_MK Agent überwacht hätte. Allerdings sagt Check_MK, dass er auf einen Timeout läuft. TCP Port an der Firewall ist eingerichtet.

Jemand eine Idee?

Grüße

8 minutes ago, Sunny61 said:

Freigaben nur für bestimmte Gruppen erteilen, dann geht das. Macht es natürlich nicht einfacher.

Danke für den Ideentipp :)

Hallo zusammen,

wie macht Ihr das dann bei DCs? Weil ja nur die Definitionsupdates eingespielt werden sollten und nicht die anderen Updates.

Danke Euch.

Grüße

P.S.: Ja es ist schon alt aber passt 100%.

5 minutes ago, Dukel said:

Dazu braucht es aber einen Trust, wenn ich das richtig weiß.

Nein, gab es keinen. War auch etwas verzwickter. Wie gesagt die User wurden neu angelegt in der neuen Domain. Und der Postfach Inhalt wurde von alter Domain in die neue Domain per Move migriert (Skript) und noch paar Dinge.

Hallo,

wir haben mal folgendes gemacht. Neue Domain, User neu angelegt und das Postfach über den MoveRequest von Exchange 2003 auf 2010 verschoben (war bissl aufwendiger). Alternative von Exchange 2010 auf 2010 (gleicher Server) war damals das Tool von CodeTwo.

Grüße

1 minute ago, falkebo said:

Um vielleicht nochmal einen Denkansatz zu geben.
MS Empfehlung: Dedizierte PAW Kiste, Windows 10 Enterprise mit Credential Guard, Device Guard und Bitlocker.
Durch Security Templates mit GPOs gehärtet.

Dazu kann man dann noch SCAMA machen wenn gewünscht und Geld vorhanden 

2 hours ago, Symbadisch said:

Ist das nicht genau das was verhindert werden soll, nämlich das ich als T1-Admin die DomAdmin-Gruppe Rutsche? Oder verwechselst du PAW mit PAM?

Sorry, b***d ausgedrückt. Die PAW läuft nicht auf einer VM auf dem Client, sondern auf unser VMware-Umgebung.

Wenn die Anmeldedaten auf unserem Client gespeichert sind, ist das doch aber wenig zielführend, da ein Angreifer ja sofort Admin-Berechtigung auf alle T1-Server hätte, mal von OTPabgesehen. Wie wäre hier also der korrekte Zugriff?

Nein. T0 Konto, was erst mit der Anmeldung in die DomAdmin Gruppe rutsch und beim Abmelden wieder raus.

Die PAW ist ja nur für T0 oder? (Ja gibt dann auch eine für T1 und T2)

Bei der PAW (ist ja abgesichert) meldet Ihr Euch am besten mit ner SmartCard z.B. an, nach der Anmeldung solltet Ihr in die Dom Admin Gruppe rutschen und beim abmelden wieder raus.

Ja, das war jetzt eine Erkenntnis für sich. Zum Glück nicht ganz so wichtige Server :) . Danke!

Danke, dann muss ich weiter suchen.

Edit1:

Nach dem Template deploy ebenfalls der gleiche Fehler, ohne Updates. Template selbst getestet, alles läuft. Oh man!

Edit2:

Ich hatte für eine IPSEC Verbindung eine GPO, die scheint ggf. irgendwas gemacht zu haben. Habe gerade den 3 Testserver aufgesetzt und dieser läuft. Einstellungen folgen.

Edit3:

Hallo zusammen,

kurz eine Frage, hat jemand mit Server 2016 und den Updates von 09/2019 Probleme mit seiner Windows Firewall ala Dienst startet nicht mehr und Event ID 7024?

Schau grad parallel weiter...

Vielen Dank.

Grüße