Jump to content

wznutzer

Newbie
  • Content Count

    162
  • Joined

  • Last visited

Community Reputation

12 Neutral

About wznutzer

  • Rank
    Newbie

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Die Threads habe ich gesehen. Ich habe einen neuen eröffnet, weil ich glaubte, dass das nicht passt. Der Key ExcludeExplicitO365Endpoint verändert bei mir nichts. UPN ist gleich der Mailadresse, hat sich aber auch nicht ausgewirkt. Der Thread gleich hier drunter behandelt doch Exchange Online. Verstehe ich das falsch?
  2. Guten Tag, irgendwo fehlt mir hier ein Stück Wissen und finde es nicht. Seit den Februar Updates frägt Outlook 2016 oder auch O365 beim Erstellen eines neuen Profils nach dem Passwort. Es muss nichts mit den Updates zu tun haben, aber da ist es halt aufgefallen. An manchen Clients poppt auch hin und wieder mal der Passwortprompt auf. Die User klicken den Dialog ohne Eingabe einfach weg und im Outlook unten rechts wo normal das [Verbunden mit...] steht auf [erneut verbinden] und es geht wieder. lokaler Exchange 2016, alle Updates inkl. CUs Outlook 2016 oder Outlook O365, alle Updates Wird ein Profil neu erstellt erscheint eine Passwortabfrage. Trägt man das Passwort ein, lässt sich das Profil erstellen. Als Authentifizierung bei Autodiscover ist Windows-Authentifizierung aktiv, als Anbieter Negotiate und NTLM. Negotiate an erster Stelle. Die Anmeldung erfolgt mit dom\Nutzer. Ich habe auch schon einen AD-Suffix angelegt und die User mit user@dom.de angemeldet, keinen Unterschied. Wenn ich in der cmd whoami eingebe, wird unabhängig von der Anmeldung immer dom\Nutzer angezeigt. Die Keys ExcludeExplicitO365Endpoint + ExcludeHttpsRootDomain habe ich probiert, ohne Erfolg. Viele User haben gar keine Probleme, lösche ich von einem dieser unproblematischen User das Profil, muss auch da bei der Erstellung das Passwort eingegeben werden. Die Domäne ist noch eine dom.local. Die Email-Domain ist im DNS (inkl. autodiscover.dom.de) eingerichtet und hat lange problemlos funktioniert. Zertifikat ist natürlich auch ein gekauftes installiert das gültig ist. Könnt ihr mich in die richtige Richtung schubsen?
  3. Guten Morgen, evtl. habe ich das falsche Forum gewählt. Es soll hier nicht um technische Fragen gehen und auch nicht um die Strategie. Da bin ich meiner Meinung nach gut aufgestellt. Mir geht es um die Dokumentation. Wie muss das Backup und das Testen der Wiederherstellung dokumentiert werden um z. B. als Administrator oder auch als Geschäftsführer seinen rechtlichen Pflichen nachzukommen? Es geht nicht darum sich in irgendeiner Art davon zu stehlen, sondern möglichst alles richtig zu machen. Ich erzähle einfach mal wie ich das mache um sozusagen an der Kritik zu lernen. Das Backup ist in allen Einzelheiten dokumentiert. Zu den Einzelheiten zählen: Quelle, Ziel, Art des Backups (voll oder differentiell), welche Daten, Aufbewahrungsdauer, welcher User hat Zugriff, mit welchem User wird das Backup erstellt, Rotation der Medien, Backupintervall. Außerdem gibt es zu jeder Angabe eine Bemerkung warum das genau so gemacht wird. Bei der täglichen Kontrolle wird der Kontrolleur und der Zeitpunkt dokumentiert. Außerdem werden die Daten in unregelmäßigen Intervallen wiederhergestellt und getestet ob die Daten korrekt sind. Da wird der Zeitpunkt, die Daten und der Tester dokumentiert. Die Dokumentation ist so gestaltet, dass ein fachkundiger Dritter alles wiederherstellen könnte. Natürlich muss das jemand sein, der Ahnung hat. Also keine Bilderbuch-Schritt-für-Schritt-Anleitung. Da das aber alles die meiste Zeit in, sagen wir, Personalunion durch mich geschieht, ist zwar alles dokumentiert aber es findet keine Kontrolle durch eine weitere Person statt. Nun ist es so, dass der Geschäftsführer ja nicht selber IT-Experte sein muss. Er muss aber trotzdem sicherstellen, dass die delegierte Arbeit getan wird. Die Idee ist nun folgende: Man dokumentiert was der Geschäftsführer prüfen muss. Der GF prüft also nicht das Backup selber, sondern das Protokoll der Prüfung und protokolliert das dann selber. Wenn z. B. festgelegt wird, dass in einem bestimmten Zeitraum die Wiederherstellung geprüft werden muss, prüft der GF anhand dem Protkoll ob das gemacht wurde und wirkt darauf hin, dass es gemacht wird. Natürlich geht das Szenario von verantwortungsvollen beteiligten Personen aus. Mir ist schon klar, dass man auch etwas protokollieren kann ohne es gemacht zu haben. Darum geht es nicht. Das wäre dann ja vorsätzliches betrügen. Ich bin auf eure Kritik gespannt.
  4. Es liegt daran dass der Monitor am Remote-PC schlafen geht. Das wirkt sich auch aus wenn der Monitor gar nicht eingeschaltet ist. An der Maus wackeln oder alle Einstellungen auf Volldampf hilft hier. An der Maus wackeln ist natürlich nicht praktikabel, Remote und so.
  5. Guten Abend, derzeit bin ich auf der Suche nach der Ursache für folgendes Problem: Windows 10 1909 (alle Updates) bauen per VPN eine Verbindung auf. Über diese VPN-Verbindung wird auf einen W2K12R2 RDSH zugegriffen. Diese Verbindung ist, würde ich sagen, pfeilschnell. Das fühlt sich so an, als ob man direkt am PC sitzt. Die gleichen Windows 10 1909 PCs bauen nun aber auch Verbindungen zu anderen Windows 10 (teilweise 1809 oder schon 1909) auf. Diese RDP-Verbindungen haben bei der Tastatus-/Mauseingabe spürbare Latenzen, nach ein paar Stunden hängt dann die ganze RDP-Verbindung und muss erneut aufgebaut werden. An der VPN-Verbindung scheint es nicht zu liegen, weil gleichzeitig auf dem W2K12R2 RDSH pfeilschnell und ohne Hänger gearbeitet werden kann. An TCP oder UDP scheint es nicht zu liegen, da gibt es keinen Unterschied. Farbtiefe, Drucker usw. ist bereits alles reduziert oder deaktiviert. Hat jemand von euch eine Ahnung was eine RDP-Verbindung auf einem Windows 10 Enterprise (1809 / 1909) als Ziel ausbremsen kann? Vielen Dank und bleibt gesund.
  6. Danke. Funktioniert. Die Aussage, dass man sich nicht auf einem DC zum User anlegen usw. anmelden sollte, höre ich nicht zum ersten Mal. Ich kenne nur keinen guten Grund warum, was nicht bedeutet, dass es keine Gründe gibt. Die Adminworkstation muss ja ohnehin vertrauenswürdig sein und RDP-Verbindungen lassen sich auf bestimmte IPs beschränken wenn das nicht komplett offen sein soll.
  7. Doch, per RDP auf einem DC. Aber sollte ich den Grund nicht herausfinden, wären die Remotetools natürlich eine Alternative.
  8. Guten Abend, weil ich im Moment Probleme mit dem Autodiscover habe, ist mir bei der Analyse aufgefallen, dass im Snap-In: [Active Directory Standorte und Dienste] ich unter Ansicht nicht die Option [Dienstknoten einblenden] anwählen kann. Auf dem zweiten DC geht es. Jetzt ist es nicht so, dass ich das ständig anwähle, aber ich würde behaupten, dass das schon mal da war. Weiß zufällig jemand einen Grund, warum der Punkt [Dienstknoten einblenden] nicht da sein sollte? Danke und Grüße
  9. Ich probier das jetzt einfach mal aus. Danke
  10. Hi, danke für den Tipp. Du hast Recht, das würde gehen. Aber so wie ich das sehe muss ich die Funktion dann von einer Webseite aufrufen die wieder auf einem IIS oder Apache liegt. Dann kann ich aber gleich wieder deren Standardfunktionen verwenden. Die Funktion per Postman direkt aufrufen ist ja auch nicht wirklich praktikabel. Ich bemühe mich ein Azure-Freund zu werden, aber MS macht es einem nicht leicht. FTP ablösen, geht nicht, mach halt eine VM mit einen FTP-Server drauf. Einfachen Download bereitstellen, geht auch nicht. Email-Server migrieren, Port 25 ausgehend gesperrt. Support kontaktieren, Tagelange Warterei. Vielleicht ist Azure einfach nicht für Firmen < 1.000 Arbeitsplätze gedacht.
  11. Hallo, ich würde gerne Downloads bei Azure hosten. Es handelt sich um Dateien von ca 1,5GB bis ca. 8 GB Größe. Die Dateien müssen nicht sonderlich geschützt werden, aber sollen auch nicht für den anonymen Zugriff freigegeben werden. Bisher wurde einfach die Basic-Authentifizierung des IIS oder wenn es ein Apache war mit einer .htaccess gemacht. Der User soll eine Url anklicken einen Benutzernamen und Passwort eingeben und dann die Datei herunterladen können. Azure Blob Storage sollte dafür wie gemacht sein, oder auch nicht. Anonym geht, will ich aber nicht. Ein SAS (Shared Access Key) per URL will ich auch nicht, weil der Link öffentlich klickbar auf einer Homepage sein soll und nur derjenige der die Zugangsdaten hat das auch herunterladen können soll. Die Authentifizierung per Azure AD ist an der Stelle auch zu kompliziert. Ist es wirklich so, dass das mit Azure-Storage nicht geht? Muss man tatsächlich deswegen eine VM mit dem IIS anlegen oder eine WebApp bauen? Ist Azure-Storage (Blob) einfach nicht dafür gemacht? Grüße
  12. Hallo, 2FA für das VPN ist bereits aktiv. Dem VPN vertraue ich schon und in diesem Fall auch den Usern. Mit ging es tatsächlich nur darum, den PC der in einem fremden Netz ist möglichst gut genug abzusichern. Antivirus habe ich vergessen zu listen, ist aber auch aktiv und meldet an eine zentrale Stelle. In diesem Fall bin ich mal weiterhin zufrieden mit meiner Konfiguration. Danke und Grüße
  13. Guten Morgen, Zugriffe von extern sichert man idealerweise per VPN ab. Darum soll es aber nicht gehen. Der PC mit dem eine VPN-Verbindung aufgebaut werden soll muss aber zuerst mal in einem Netzwerk mit Internetverbindung sein. Diese Netze sind von mir ja überhaupt nicht zu kontrollieren (Zug, Flughafen, Hotel oder beim Nutzer daheim). Ich weiß ja z. B. nicht ob die Clients in den Netzen isoliert werden. Bisher mache ich das immer wie folgt beschrieben, aber man muss sich ja immer wieder fragen ob das was man tut noch richtig ist. User haben keine Adminrechte Firewall ist mit dem öffentlichen Profil an Netzwerkerkennung ist aus Datei- und Druckerfreigabe ist aus Freigabe des öffentlichen Ordners ist deaktiviert Updates werden immer sofort installiert. Zum Installationszeitpunkt sind die PCs natürlich vor der Installation ohne Updates in einem unbekannten Netz. RDP sowie Unterstützung ist aus Gilt das noch immer als ausreichender Standard? Ich kenne Installationen in denen der externe Zugriff "nur" über das Mobilfunknetz möglich ist. Die Geräte bauen eine direkte Verbindung auf und können, vom Provider so geregelt, auch nur das. Sozusagen eine persönliche VPN-Verbindung per Mobilfunk. Das meine ich aber nicht. Danke für die Meinungen
  14. Guten Abend, darf ich fragen warum die SSDs in dem Bericht (Blog) erneuert und nicht gelöscht wurden? Hatte es wirtschaftliche (löschen ist teurer als 20 € für eine 120 GB SSD) oder einen technischen Grund? Wie hat es Emotet geschafft sich lateral im Netz auszubreiten? Wenn das herausgefunden wurde, würde mich das brennend interessieren. Manchmal sind das ja wirklich blöde Sachen, wie bei Heise, dass sich ein Domänenadmin lokal anmeldet. Warum wurden keine Backups wiederhergestellt? Lt. Bericht wurden auch Server bereinigt. Das bedeutet, man hätte das Backup auf eine Infektion prüfen können. Wenn man bereinigt weiß man ja auf was man achten muss. Vielen Dank für den Erfahrungsaustausch, falls das Ausplaudern OK ist. Grüße wznutzer P.S. Seid ihr bundesweit tätig?
×
×
  • Create New...