wznutzer

Hi, Nein Ja, habe ich gelesen. Es werden aber halt Programme genutzt die "nur" das browsen, ohne Adresszeile, erlauben. Natürlich kann man lokal speichern und dann kopieren. Wenn aber etwas jahrelang funktioniert und dann auf einmal nicht mehr, gibt es halt Reklamationen.

Guten Abend, Problem: Im kompletten Netzwerk werden im Explorer seit 2 Tagen die PCs nicht mehr angezeigt. Mir ist keine Konfigurationsänderung bekannt. Bisher hat alles problemlos funktioniert. Umgebung: Domänennetzwerk, 2 DCs, Windows Server 2012 R2, 80 Clients (W7, W8, W10) Auf den DCs ist der Computerbrowser deaktiviert. Das ist bei W2K12 R2 per default so. Auf den Clients ist der Computerbrowser und die Netzwerkerkennung aktiviert. Es gibt keine spezielle Konfiguration, die PCs wurden in der Netzwerkumgebung bisher angezeigt. Auch sonst gibt es keine Probleme, das AD, DNS, DHCP, alles läuft bestens. Mit net view werden auch alle PCs angezeigt. Wenn ich auf einem der DCs den Computerbrowser starte, werden die PCs wieder in der Netzwerkumgebung angezeigt. Aber bisher hat das auch ohne funktioniert. Frage 1: Wie hat das denn bisher funktioniert? Meine Vermutung ist, dass die Clients auf denen der Computerbrowser lief untereinander einen Masterbrowser ausgehandelt haben (hieß das nicht election) und das dann einfach so ohne weiteres funktioniert hat. Mit einem kleinen Script habe ich alle per net view angezeigten PCs durchgesucht, bei keinem steht etwas von Masterbrowser. Wenn meine Vermutung stimmt gibt es jetzt aktuell, warum auch immer, keinen Masterbrowser und somit keine PCs in der Netzwerkumgebung. Funktioniert vielleicht dann irgendwann mal wieder und dann mal wieder nicht. Kann das sein? Frage 2: Was ist den "best practices" um die PCs zuverlässig in der Netzwerkumgebung anzuzeigen? Wie macht ihr das? Firewalleinstellungen, Ereignisanzeige habe ich alles durchsucht. Da gibt es keine Hinweise warum das auf einmal nicht mehr funktioniert. Vielen Dank und eben so viele Grüße

Die Anforderungen habe ich mir überlegt. Es ist tatsächlich so, dass ich "nur" die URLs filtern will. Mir gefällt nicht, dass bei einer Portfreigabe /ecp usw. auch erreichbar ist. Aber du hast recht. Ich habe mich etwas durch verschiedene Foren gelesen. Es gibt oft Tipps wie, schalt diesen oder jenen Schalter an. Diese Schalter haben dann meist die Namen PassThrough, XY ignorieren. Dann habe ich einen Reverse-Proxy nur um einen zu haben. Bleibt die URL Filterung. Ich muss da noch schlauer werden. Vielleicht werde ich einer der üblen Portweiterleiter.

Hi, da hake ich doch nochmal nach. Könntest dur mir das kurz erläutern, warum die Sicherheit nicht zwingend erhöht wird? Deine Meinung passt dazu: Lt. einem Blog von MS https://blogs.techne...y-as-you-think/ ist ein Reverse-Proxy nicht mehr nötig. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so. Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht." Evtl. ist ein Reverse-Proxy für den Exchange tatsächlich nicht mehr notwendig und ich wäre mit einer einfachen Portfreigabe ein Earlyadopter :cool: . Schönen Abend

Hi, ich musste mich auch schon mal damit beschäftigen. Die Anwendungswiederherstellung ist die einzig supportete Variante um einen Exchange mit wbadmin zu sichern (https://technet.microsoft.com/en-us/library/dd876854%28v=exchg.160%29.aspx). Dazu muss das gesamte Volume gesichert werden. Man kann auch nur die DB sichern (*duck*), aber dann sollte man die Wiederherstellung üben.

Vielen Dank für eure Antworten. Endian Firewall oder Smoothwall kannte ich nicht, PFSense habe ich mir mal grob angeschaut. Ich glaube der Faktor Zeit ist da das KO Kriterium. Sophos: Fullguard benötige ich tatsächlich nicht. Um das was ich habe zu ersetzen würde die Lizenz Network Subscription für grob 800 € genügen. Aber aus einem anderen Thread ging hervor (wenn auch nicht eindeutig), dass ein Exchange nicht einfach per Portfreigabe veröffentlicht werden soll, sondern mit einem Reverse-Proxy. Die Webserver-Protection kostet grob 1000 €, macht zusammen 1.800 €. Für 1000 € mehr, also 2.800 € (Fullguard) bekomme ich dann aber alles andere mit dazu. Durch die Fullguard-Lizenz erhält man ja praktisch ca. 40% Rabatt auf die Einzellizenzen. Nun gut, den gesuchten Geheimtipp gibt es wohl nicht. Entweder Geld, oder Zeit (PFSense). Vielen Dank

Guten Abend, aus einem anderen Thread ging hervor, dass ich eine Firewall mit Reverse Proxy benötige. Ich habe mich dann für eine Sophos SG230 entschieden aber noch nicht gekauft. Nun kam der Wunsch auf nach Alternativen zu suchen, weil die jährlichen Gebühren mit ca. 2800 € (Fullguard) doch nicht ganz so gering sind. Nun gibt es ja unzählige Hersteller und nicht immer ist es ganz leicht den Lizenzdschungel zu durchblicken. Ich weiß, dass pauschale Fragen immer schwer, manchmal auch gar nicht, zu beantworten sind. Aber ich frage trotzdem mal. Welcher Hersteller käme eurer Meinung nach in Frage wenn die jährlichen Gebühren nicht über 1000 € liegen sollen? Netzwerk mit 75 Clients Firewall / Packetfilter, Router / Gateway in einem Gerät Loadbalancing über 4 WAN-Leitungen (ausgehend) Port-Freigabe mit URL-Filterung (Reverse-Proxy :) ) VLAN-Routing zwischen einzelnen VLANs DHCP-Server für verschiedene VLANs bereitstellen Möglichkeit ein VPN zwischen zwei Standorten aufzubauen SSL-VPN für RDP-Sitzungen Bei meiner Recherche (Securepoint, Watchguard, Gateprotect usw.) bin ich immer deutlich über den anvisierten 1000 € Gebühren pro Jahr gelegen. Ich hoffe jedoch, dass ich da etwas übersehen habe. Ich hoffe trotz der etwas sperrigen Frage auf Antworten. Grüße

Darf ich fragen bei welchem Anbieter? Mit CAPEX könnte ich leben, mir geht es aber um die OPEX :). Verfügbarkeit? Das ist wirklich überhaupt kein Problem. Die Telekom bietet hier einen sehr guten Service.

In meinen schon. Auf Bandbreite, Videokonferenzen zu verzichten oder Firma umziehen sind in meinen Augen keine sinnvollen rentablen Gründe. Richtfunk, Viprinet usw. ist alles bekannt und SkyDSL ist grauenhaft und sehr viel teurer als SDSL / ADSL. Deswegen streiten wir jetzt aber nicht. Allerdings bin ich wirklich offen für andere Wege und auch aktiv auf der Suche nach Alternativen. Nur sind die ADSL 16000 Anschlüsse hier für knapp 30 € von Verhältnis Kosten/Nutzen unschlagbar. SDSL 10 Mbit für ca. 600€ würde technisch gehen, aber siehe oben Kosten/Nutzen.

Ich muss mich selber korrigieren. Bei der SG zahlt man pauschal für das was die Sophos-Hardware kann, userunabhängig. Die XG ist von Anzahl RAM und Core abhängig. Nur bei der Softwarevariante der SG ist es streng nach IP-Adressen. Wir sprechen hier wahrscheinlich von unterschiedlichen Dimensionen. Einen Dienstleister würde ich erst gar nicht beauftragen. In schlecht versorgten ländlichen Gebieten gibt es diese sinnvollen Gründe. Meine Meinung zur Auswahl hat sich nochmals geändert. Werde doch eine Sophos SG230 nehmen.

Guten Abend, Ich habe mich nun mit dem Thema beschäftigt. Sophos und Securepoint sind in der Auswahl geblieben. Das Lizenzsystem ist bei den XG-Firewalls meine ich leistungs- und nicht mer von userabhängig. Das hat sich wohl von der SG zur XG Serie geändert. Trotzdem wird es wahrscheinlich eine RC300 von Securepoint werden. Ja, ganz genau. Ich muss den initial ausgehenden Traffic über 4 in Zukunft vielleicht auch 6 Leitungen abwickeln.

Guten Morgen, Inzwischen habe ich gelesen, dass du damit ganz auf Linie von Microsoft ist. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so. https://blogs.technet.microsoft.com/exchange/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think/ Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht." Wenn ich das richtig verstehe, ist die Reverse-Proxy-Funktion eine URL-Filterung. Das würde mir gefallen, auch wenn es in dem MS Blog etwas anders gesehen wird. Der Markt an Security-Systemen ist ja nahezu unüberschaubar. Was setzt ihr den ein? Könnt ihr mir was empfehlen. Meine Anforderungen wären: Netzwerk mit 75 Clients Firewall / Packetfilter, Router / Gateway in einem Gerät Loadbalancing über 4 - 6 WAN-Leitungen Port-Freigabe mit URL-Filterung (Reverse-Proxy :) ) VLAN-Routing zwischen einzelnen VLANs DHCP-Server für verschiedene VLANs bereitstellen Möglichkeit ein VPN zwischen zwei Standorten aufzubauen Die Geräte von Lancom können das (Reverse-Proxy weiß ich nicht genau), deren Interface und Konfiguration finde ich allerdings nicht so gut. Ich glaube Citrix NetScaler sind etwas oversized. Edit: Die Hersteller der Geräte die ihr einsetzt würden mir reichen. Danke und Grüße

Guten Abend, aus einem anderen Thread hier ging hervor, dass Exchange OWA die Lösung für ein Problem bei mir sein kann. Dazu muss natürlich OWA extern veröffentlich werden. Mir geht es nicht um eine Step-by-Step Anleitung sondern eher um Meinungen was als, sagen wir, best practice angesehen wird. gegeben (alles W2K12 R2): - DC, Exchange 2016, RDSH, RDGW mit Azure MFA - alle verfügbaren CUs, Updates installiert. - gute, lange, komplexe Passwörter im AD vorhanden - kleine Umgebung 75 Clients Möglichkeit 1: Port 443 wird einfach veröffentlicht. Schmeckt mir irgendwie nicht so ganz. Möglichkeit 2: Port 443 wird über einen separaten IIS mit aktiviertem Application Request Routing veröffentlicht. So könnte ich z. B. nur /owa und/oder Active-Sync freigeben, aber nicht /ecp. Somit steht aber ein IIS in der Domäne an erster Reihe, wäre aber auch bei Möglichkeit 1 so. Möglichkeit 3: Veröffentlichung mit der Kombination Web Application Proxy / ADFS. Pre-Auth, URL-Filterung soll alles gehen. Es gibt lt. Doku auch die Möglichkeit abgelaufene Passwörter zu ändern und es kann die Azure MFA für OWA integriert werden. Wie macht ihr das so? Hat jemand das im Einsatz. Der TMG ist ja abgekündigt. In der Theorie hört sich Möglichkeit 3 (WAP/ADFS) am besten an. Allerdings stelle ich mir die Frage warum der Web Application Proxy besser und sicherer authentifizieren kann als der Exchange? Danke und Grüße

Hi, OWA setzen wir nicht ein. OK, das wäre eine Lösung. Gefällt mir besser als RD WebAccess. Ich muss mich mal mit der sicheren Veröffentlichung von OWA beschäftigen. Bei Fragen dazu werde ich einen neuen Thread beginnen. Danke und Grüße

Hi, funktioniert denn die Kennwortänderung beim Pre-Auth über WAP? Grüße

Guten Abend, folgende Situation: - RDP-Server werden mit RD-Gateway veröffentlicht. - abgesichert per Azure MFA - Passwort-Richtlinie, alle 90 Tage muss das Passwort geändert werden. Problem: User die sich immer nur extern einwählen, können per RDP ihre Passwörter nicht mehr ändern wenn diese abgelaufen sind. Die Ursache ist klar, es ist NLA aktiviert und soll auch nicht deaktiviert werden. Nun könnte man die Passwortänderung per RD WebAccess konfigurieren. Mir gefällt aber nicht, dass RD WebAccess für jeden erreichbar ist. Ich würde das gerne nur für bestimmte User zulassen. Eine Vorabauthentifizierung könnte ich per WAP (Web Application Proxy) machen, aber diese Authentifizierung funktioniert ja nicht, wenn das Passwort abgelaufen ist. Wie habt ihr das gelöst? Klar könnte man das auch organisatorisch lösen (Erinnerung usw.) aber technisch wäre mir lieber. Grüße

Ich kann keine konkrete Grenze nennen. Ich habe Bedarf an zuverlässigen ca. 20 MBit up und 50 MBit down. Mehr ist immer besser, das wäre akzeptabel/OK. Wenn ich das für monatlich 300 - 400 Euro und von mir aus einmaligen Anschaffungskosten von 10K Euro bekommen kann ist das zwar kein Schnäppchen aber denkbar. Wenn das gar nicht geht, muss man halt auch über mehr nachdenken. QSC und Versatel werde ich mal kontaktieren, ohne große Hoffnung. Alle Angebote von "Wettbewerbern" der Telekom sind nur weitervermietete Telekomleitungen. Entweder Richtfunk oder DSL-Bonding, da wird es wohl drauf hinauslaufen. Loadbalancing macht keiner von euch? @lefg Kannst du mir den Anbieter nennen der das individuell für euch gemacht hat? 70 Mitarbeiter in einem Wohngebiet. Somit keine Kooperation mit anderen Firmen möglich. DSL-Bonding mit Viprinet macht keiner von euch? Wenn die Werbung stimmt kauft man 2 Geräte für ca. 5000 Euro. Ein Gerät (VPN-Hub) kommt an einen Standort mit schneller Anbindung (vorhanden) ein anderes (Multichannel VPN Router) an den Standort mit langsamer Anbindung. Wenn man 6 Leitungen bündelt kommt man auf brutto 14,4 up und 96 MBit down für monatlich ca. 250 Euro (6 x ADSL + 1 x Kabeldeutschland). Wenn das sicher und zuverlässig funktioniert ist das nicht Spitze aber brauchbar.

Hi, das Loadbalancing wird nicht vom Provider unterstützt. Das macht mein Router selber. Ich sitze auf dem Land. Zur Telekom oder Kabeldeutschland gibt es keine Alternative. Kabeldeutschland gibt es aber nur in Sichtweite, bleibt also nur die Telekom. In 2 -3 Jahren gibt es von der Telekom evtl. VDSL, bis es soweit ist muss ich das irgendwie überbrücken. Aber wenn ich in 3 Jahren VDSL 10 MBit up / 50 MBit down bekomme ist das dann evtl. auch schon wieder zu langsam. @lefg Benutzt du deine "Leitungen" per Loadbalancing oder für voneinander getrennte Bereiche? Wenn du Loadbalancing oder sogar Bündelung betreibst würde mich dein Equipment interessieren. Das ich das nicht zum Preis einer Fritzbox lösen kann ist klar. Aber wenn ich Geld in die Hand nehme, sollte es auf eine Sicht von 3 Jahren gut angelegt sein. Dann bietet mir die Telekom vielleicht eine akzeptable Anbindung.

Guten Tag, ich habe hier das Problem, dass ich nur Leitungen der Telekom mit maximal 2,4 MBit up/16MBit down bekommen kann. Alternativ gibt es auch noch SDSL-Leitungen bis 10 MBit für 629,00. Davon abgesehen, dass 10 MBit down die Situation verschlechtern würden, ist die gebotene Leistung zu gering. Der Preis selber ist nicht unbedingt das Problem wenn die Leistung stimmen würde. Derzeit verwende ich 4 Leitungen per Loadbalancing (3xADSL, 1 x SDSL2000). Das funktioniert bis auf die maximale Performance (fast) ganz gut. Hin und wieder (1-2 x/Monat) verschluckt sich der Loadbalancer, dann müssen die Leitungen neu gestartet werden. Die Behauptungen im Internet, dass es ständige Probleme mit HTTPS Verbindungen gibt, kann ich nicht bestätigen. Mich würde interessieren wie ihr solche Probleme löst und welches Equipment ihr einsetzt. Möglichkeit 1 - Loadbalancing mit mehr Leitungen weiter betreiben und versuchen den monatlichen Hänger wegzubekommen. Welche Geräte setzt ihr für Loadbalancing ein? Kennt ihr Geräte um mehr als 4 Leitungen einzusetzen, oder macht das bereits jemand? Lancom hat mich leider nicht so überzeugt. Vom Support erhalte ich unterschiedliche Aussagen was geht/empfehlenswert ist und was nicht. Das macht keinen allzu kompetenten Eindruck. Möglichkeit 2 - SkyDSL Versucht, Latenzen grauenhaft, abgehakt. Möglichkeit 3 - Richtfunk (optisch oder Mikrowelle) Ich hätte Sichtverbindung zu einem Standort mit Kabel-Deutschland Anschluss. Recht einfach hört sich da die Kategorie WLAN-Richtfunk an. Auch da gibt es was von Lancom (OAP 821 Bridge Kit). Aber Sichtkontakt ist ja nicht gleich auch freie Fresnelzone. Hat jemand von euch schon so etwas eingerichtet/beauftragt? Mit welchem Ergebnis und welcher Technik? Möglichkeit 4 - Bündelung, SD-WAN, DSL-Bonding Viprinet, Peplink sind wohl hier die bekannten Namen. Hat das jemand im Einsatz? Mit welcher Erfahrung? Natürlich erarbeitet man in einem Forum für solche ein Thema keine Lösung. Ich habe mir das eher als Erfahrungsaustausch gedacht. Danke für eure Anmerkungen und viele Grüße

Guten Abend, das mit den Energieeinspareinstellungen hatte ich auch mal ertestet. Tatsächlich bin ich mit meinen Ergebnissen und der Empfehlung das alles abzuschalten bisher immer nur belächelt worden. Schön, dass das hier bestätigt wurde. Vielen Dank.

Guten Abend, bezüglich Systeme clonen, sysprep und SID, ist folgender Artikel von Mark Russinovich lesenswert: https://blogs.technet.microsoft.com/markrussinovich/2009/11/03/the-machine-sid-duplication-myth-and-why-sysprep-matters/ Grüße

Funktioniert leider nicht. Beim Terminall-Server wirkt sich das nicht aus. Irgendwie setzt sich die Einstellung der Remotedesktopverbindung darüber hinweg oder es ist eine andere Einstellung. Das ist jetzt nicht schlimm, aber abschalten würde ich das schon gerne. Ich meine die Option Menü- und Fensteranimation in den RDP-Optionen. Grüße und ein schönes Wochenende

Guten Abend, jedes mal wenn ein Backup einer VM läuft wird im Eventlog des Host folgender Fehler geloggt. Von den VSS-Writern auf dem virtuellen Computer "XXX" konnte der BackupComplete-Vorgang für den Schattenkopiesatz (VSS-Momentaufnahme) nicht ausgeführt werden: Schwerwiegender Fehler (0x8000FFFF). (ID des virtuellen Computers: 297BAD57-9EF9-4846-B513-80A436D34A08) Das Standardrepertoire zur Fehlersuche bei Schattenkopieen ist komplett abgehakt. Die VSS Writer in der VM stehen auf "kein Fehler", aber "warten auf Fertigstellung". Die Backups laufen korrekt, lassen sich wiederherstellen und die enthaltenen Datenbanken sind konsistent. Der Fehler wird nur geloggt wenn in den Einstellungen von Veeam "applicationaware copy only" aktiviert ist, sonst nicht. Das copy only will ich so haben. Mich würde interessieren ob ihr diesen Fehler kennt? Lt. diesem Post ist es wohl so, dass Veeam bei copy only dem VSS Writer im Gast einfach mitteilt, dass das Backup nicht geklappt hat und somit werden die Logfiles nicht abgeschnitten. Wenn das so ist, gehört das aber ganz klar und eindeutig dokumentiert. https://forums.veeam.com/veeam-backup-replication-f2/replication-exchange-server-vss-writer-error-event-logs-t30958.html#p167194 Könnt ihr das bestätigen? Grüße Edit: Es hat ein *nicht* gefehlt.

Vielen Dank für eure Mühe und entschuldigt meine verspätete Antwort. Backup to Disk bei Active-Full läuft lt. Veeam Statistik mit 600 - 900 MB/s auf das SAN (10GB Ethernet). Davon bin ich noch immer beeindruckt. Das File2Tape Problem hat sich aufgelöst und war ein klarer Fall von Selbstve******ung. Auf dem Volume das ich auf das Band schreibe hatte ich mal mehr als 250.000 kleine Files. Diese Files habe ich zum F2T in eine VHDX gepackt und gelöscht. Danach den Papierkorb geleert und mich auf das leere Papierkorb-Symbol auf dem Desktop verlassen. Im versteckten Ordner $Recycle.bin waren aber noch immer über 160.000 Files vorhanden die auf das Band gesichert wurde. Oben rechts im F2T Protokoll von Veeam steht ja die Zahl. War mir nur nicht gleich aufgefallen. Jetzt läuft das mit 160 MB/s. Da bin ich jetzt mal zufrieden. Danke und schönes Wochenende.

Wegen dem einzelnen HBA habe extra beim Presales-Support von Lenovo meine Konfig bestätigen lassen. Ein weiterer HBA hätte eine zweite CPU erfordert. Aber schauen wir weiter. Veeam 9 ist auf dem Blech installiert (simple deploy), Backupserver ist gleichzeitig Tapeserver. Das Backuprepository ist einfach ein Volume auf einem separaten LUN des SAN mit einem SAS HBA angebunden. Der Veeam Proxy läuft auf dem Hyper-V Host der die VMs hostet. Alles recht einfach. Die zu sichernden Files liegen auf dem gleichen SAN (anderes LUN). Ab welcher größe sind Files eigentlich groß genug für schnelles File2Tape? Grüße und Danke