wznutzer

Hi, danke. Dieser Teil hat mir gefehlt. Ich werde das jetzt einfach mal installieren. Grüße

Es ist nicht nötig, dass du dich entschuldigst, in keinster Weise, es gibt keinen Grund. Ehrt dich aber trotzdem. Aber wie gesagt (geschrieben), wir streiten nicht, wir reden (schreiben) nur.

Guten Abend, Deine Aussage passt nicht zu dem Bild das ich mir im Kopf gemalt habe. Allerdings basiert mein Wissen bisher ausschließlich auf dem Lesen von Dokus, also potentiell falsch. Das Portal will ich nicht veröffentlichen, aber mit der Smartphone-App arbeiten. Dazu muss ich dann doch einen Port nach "innen" öffnen, weil die Webdienste für die Mobile-App bei mir installiert sind. Oder kann ich diese Webdienste auch zu Azure auslagern? Alternativ müsste ich mit der Authentifizierung per SMS arbeiten. Aber die App wäre halt eleganter. Um den Port für die Webdienste der Smartphone-App geht es mir. Dahinter ist dann ein IIS direkt in meinem Produktivnetz. Das will mir nicht gefallen. Habe ich da was falsch verstanden?

Bei allem Respekt, das ist jetzt Rechthaberei. Ich spiele aber mit, wenn ich falsch liege kann ich nur dazu lernen. Ich habe nicht gefragt, was das RIPE ist. Ich meine das geht klar aus der Frage hervor. Wenn du mir sagen willst, dass dieser Link technische Unterschiede für verschiedene Anschlussarten von Internetanschlüssen dokumentiert, finde ich darin die entsprechende Aussage nicht. Wenn du mir sagen willst, dass Anschlüsse als Ripe-Anschlüsse bezeichnet werden deren IPs bei der Ripe registriert sind, wäre das in der hiesigen Gegend aber der Normalfall und kein Kriterium um Internetanschlüsse in verschiedene Kategorien aufzuteilen. Um die Aussage stimmig zu machen, müssten diese Kategorien unterschiedliche Konfigurationen in den angeschlossenen Modems erfordern. Wir erinnern uns Ripe = kompliziert / Bridge = einfach. Jetzt könnte ich auch versuchen deine Gedanken weiterzudenken, evtl. willst du mir sagen, dass Ripe-Anschlüsse Anschlüsse sind deren IP direkt und nicht über den ISP bei der Ripe registriert sind. Dann hättest du aber auch einfach schreiben können: "Ripe-Anschlüsse sind Anschlüsse deren IP mit den Daten des Inhabers direkt bei ripe.net registriert sind." Dann wäre der Begriff erklärt und ich hätte ein Wissensdefizit weniger. Einen technischen Unterschied der unterschiedliche Konfigurationen bei mir erfordert erkenne ich aber trotzdem nicht. Und falls jetzt jemand meint, wir streiten, nein das tun wir nicht. Wir tauschen Argumente auf einer Ebene aus die weit über dem Niveau von streiten liegt :) .

Bei Support-Verträgen fehlt beim Verkauf immer der Hinweis, dass der ganze Support-Vertrag mit ultraschneller Reaktionszeit nichts nützt wenn ein Ersatzteil nicht vorhanden ist. Wir verstehen uns nicht falsch. Abschließen würde ich so einen Vertrag immer, die Kosten sind für einen einzelnen Server ja nicht sehr hoch. Einerseits warte ich seit über eine Woche auf eine 10 GB Netzwerkkarte. Andererseits wurden mir aber auch schon Mainboards mit dem Taxi vom Frankfurter Flughafen (4h Fahrzeit) gebracht. Wenn das Teil nicht verfügbar ist, ist es eben nicht verfügbar.

Hallo, um die Azure MFA mit einem lokalen AD zur Authentifizierung eines Remote-Desktop-Gateay zu verwenden muss die lokale Installation verwendet werden. Es gibt jede Menge Infos dazu im Netz, so dass ich keine Bedenken habe das zum Laufen zu bringen. Was mir aber gar nicht gefällt, ist dass ich für den lokal installierte MFA-Server einen Port zu meinem Netzwerk aufmachen muss. Die eine Tür sichere ich doppelt ab um gegenüber eine neue Tür zu öffnen. Hat das jemand von euch im Einsatz und wenn ja wie habt ihr das abgesichert? Variante 1 Port auf und fertig. Das Exchange-Team sagt ja inzwischen auch, dass ein Exchange mit einer einfachen Portweiterleitung sicher genug ist. Variante 2 Port auf und fertig, aber nur IP-Adressen erlauben die von Azure kommen? Habe keine Doku gefunden in der z. B. ein IP-Adressen Bereich genannt wird. Variante 3 Lokaler MFA-Server in ein sep. Netzsegment. Da müsste ich aber soviel zum Produktivnetz öffnen, dass mir das nicht sicherer erscheint als den MFA-Server direkt in der Domäne zu betreiben. Variante 4 Zugriffe über einen Reverse-Proxy absichern. Doku habe ich keine gefunden. Wenn ich dann aber so viele Regeln abschalten muss, dass es funktioniert ist das dann auch wieder nur Scheinsicherheit. Habt ihr mir dazu ein paar Tipps? Natürlich gibt es andere Anbieter, aber die Microsoft-Lizenzen, nennt man das Pläne bei Azure, sind sowieso schon vorhanden.

Nirgendswo. Die Aussage kam von der techn. Hotline nach dem Bestellprozess, ich hätte das falsche bestellt. Ich habe hier gefragt, weil ich dachte ich hätte ein Wissensdefizit. Es hat sich, wie oben geschrieben, aber auch schon geklärt. Ripe-Anschluss wird man anders als viele andere Begriffe (IP-Adresse, MAC-Adresse usw.) nicht in einem IT-Lexikon finden.

Hi, entschuldigt die verspätete Nachricht. Natürlich habe ich die Anschlussbedingungen gelesen. Da steht nichts von RIPE/Bridge Anschluss. Da ich aber die Bedingungen gelesen habe :D , wollte ich das mit Dual Stack Lite nicht und habe eine feste IP mitbestellt. Es ging mir aber um die Behauptung RIPE/Bridge wäre etwas komplett anderes und RIPE total kompliziert und ich soll einen Bridge-Anschluss bestellen. Wir kürzen das ab, ich hatte nochmals Kontakt mit der Hotline. Ich hatte wohl einen Neuen der noch nicht so richtig Bescheid wusste an der Strippe. Ein RIPE-Anschluss ist, wenn überhaupt, ein interne Bezeichnung von Unitymedia. Ein "stehender Begriff" ist das nicht. Schönes Wochenende wünsche ich euch.

Hallo, Unitymedia verkauft Anschlüsse die sie Ripe-Anschlüsse nennen. Entweder suche ich mit falschen Begriffen, aber ich finde keine Definition was denn ein Ripe-Anschluss sein soll. Die Hotline ist leider keine große Hilfe bzw. kann mir nicht erklären was der Unterschied ist, besteht aber darauf, dass das eine grundsätzlich andere Technik ist. Ripe-Anschlüsse wären kompliziert man sollte Bridge-Anschlüse buchen. Technisch sieht das so aus. Bridge-Anschluss Hitron Modem mit öffentlicher IP. Dahinter meine Firewall mit einer oder mehreren öffentlichen IPs. Die IP des Modems ist mein Gateway. Im Modem ist Bridge aktiviert und alle Regeln stehen auf Durchzug bzw. im Bridge-Modus sind gar keine Regeln möglich. Ripe-Anschluss FritzBox 6490 mit öffentlicher IP. Dahinter meine Firewall mit einer oder mehreren öffentlichen IPs. Die IP der FritzBox ist mein Gateway. Meine Firewall ist als Exposed Host eingetragen. Somit steht auch da alles auf Durchzug. Lt. Hotline müssten Regeln für ausgehende Verbindungen angelegt werden, sonst würde das nicht gehen. Ist natürlich dummes Geschwätz, geht nämlich trotzdem. Für mich sieht das so aus, als ob es keinen Unterschied gibt, bis auf das die FritzBox etwas anders konfiguriert wird wie das Hitron. Was klar ist, ist ja ein anderes Gerät. Es funktioniert alles wie es soll, mich würde nur interessieren ob es diese Technik Ripe-Anschluss wirklich gibt. Danke und Grüße

Axialis Icon-Workshop Server deaktiviert, Clients gestartet. Aber wie geschrieben. Wenn ich an einem der DCs den Computerbrowser aktiviere läuft alles einwandfrei. Bisher lief es aber ohne. Deswegen die Frage wie das ohne Computerbrowser am DC bisher funktionierte. Da es browstat nicht mehr gibt, ist das herausfinden des Masterbrowser evtl. nicht zuverlässig. Jedenfalls nicht so wie ich das versuche. for /f "delims=\= " %C in ('net view ^| find "\\"') do @echo -Checking %C && @nbtstat -a %C | find "MSBROWSE" Genau, ich erlebe diese Diskussionen ständig :cry: . Das Wort Clientel lässt sich beliebigen Gruppen zuordnen. Erfahrene Admins / IT-Experten gehören da auch dazu. Eine Funktion einer Software wurde benutzt die vom Entwickler so nicht vorgesehen war. Du erklärst dem Admin lang und breit das es bisher Zufall war und er es künftig anders machen soll. Die Schuld liegt immer bei dem der die Arbeit oder den Ärger haben soll :rolleyes: . Ohne irgendeine Änderung funktioniert es wieder. Wenn der Fehler das nächste Mal auftritt aktiviere ich den Computerbrowser auf den DCs.

Hi, Nein Ja, habe ich gelesen. Es werden aber halt Programme genutzt die "nur" das browsen, ohne Adresszeile, erlauben. Natürlich kann man lokal speichern und dann kopieren. Wenn aber etwas jahrelang funktioniert und dann auf einmal nicht mehr, gibt es halt Reklamationen.

Guten Abend, Problem: Im kompletten Netzwerk werden im Explorer seit 2 Tagen die PCs nicht mehr angezeigt. Mir ist keine Konfigurationsänderung bekannt. Bisher hat alles problemlos funktioniert. Umgebung: Domänennetzwerk, 2 DCs, Windows Server 2012 R2, 80 Clients (W7, W8, W10) Auf den DCs ist der Computerbrowser deaktiviert. Das ist bei W2K12 R2 per default so. Auf den Clients ist der Computerbrowser und die Netzwerkerkennung aktiviert. Es gibt keine spezielle Konfiguration, die PCs wurden in der Netzwerkumgebung bisher angezeigt. Auch sonst gibt es keine Probleme, das AD, DNS, DHCP, alles läuft bestens. Mit net view werden auch alle PCs angezeigt. Wenn ich auf einem der DCs den Computerbrowser starte, werden die PCs wieder in der Netzwerkumgebung angezeigt. Aber bisher hat das auch ohne funktioniert. Frage 1: Wie hat das denn bisher funktioniert? Meine Vermutung ist, dass die Clients auf denen der Computerbrowser lief untereinander einen Masterbrowser ausgehandelt haben (hieß das nicht election) und das dann einfach so ohne weiteres funktioniert hat. Mit einem kleinen Script habe ich alle per net view angezeigten PCs durchgesucht, bei keinem steht etwas von Masterbrowser. Wenn meine Vermutung stimmt gibt es jetzt aktuell, warum auch immer, keinen Masterbrowser und somit keine PCs in der Netzwerkumgebung. Funktioniert vielleicht dann irgendwann mal wieder und dann mal wieder nicht. Kann das sein? Frage 2: Was ist den "best practices" um die PCs zuverlässig in der Netzwerkumgebung anzuzeigen? Wie macht ihr das? Firewalleinstellungen, Ereignisanzeige habe ich alles durchsucht. Da gibt es keine Hinweise warum das auf einmal nicht mehr funktioniert. Vielen Dank und eben so viele Grüße

Die Anforderungen habe ich mir überlegt. Es ist tatsächlich so, dass ich "nur" die URLs filtern will. Mir gefällt nicht, dass bei einer Portfreigabe /ecp usw. auch erreichbar ist. Aber du hast recht. Ich habe mich etwas durch verschiedene Foren gelesen. Es gibt oft Tipps wie, schalt diesen oder jenen Schalter an. Diese Schalter haben dann meist die Namen PassThrough, XY ignorieren. Dann habe ich einen Reverse-Proxy nur um einen zu haben. Bleibt die URL Filterung. Ich muss da noch schlauer werden. Vielleicht werde ich einer der üblen Portweiterleiter.

Hi, da hake ich doch nochmal nach. Könntest dur mir das kurz erläutern, warum die Sicherheit nicht zwingend erhöht wird? Deine Meinung passt dazu: Lt. einem Blog von MS https://blogs.techne...y-as-you-think/ ist ein Reverse-Proxy nicht mehr nötig. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so. Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht." Evtl. ist ein Reverse-Proxy für den Exchange tatsächlich nicht mehr notwendig und ich wäre mit einer einfachen Portfreigabe ein Earlyadopter :cool: . Schönen Abend

Hi, ich musste mich auch schon mal damit beschäftigen. Die Anwendungswiederherstellung ist die einzig supportete Variante um einen Exchange mit wbadmin zu sichern (https://technet.microsoft.com/en-us/library/dd876854%28v=exchg.160%29.aspx). Dazu muss das gesamte Volume gesichert werden. Man kann auch nur die DB sichern (*duck*), aber dann sollte man die Wiederherstellung üben.

Vielen Dank für eure Antworten. Endian Firewall oder Smoothwall kannte ich nicht, PFSense habe ich mir mal grob angeschaut. Ich glaube der Faktor Zeit ist da das KO Kriterium. Sophos: Fullguard benötige ich tatsächlich nicht. Um das was ich habe zu ersetzen würde die Lizenz Network Subscription für grob 800 € genügen. Aber aus einem anderen Thread ging hervor (wenn auch nicht eindeutig), dass ein Exchange nicht einfach per Portfreigabe veröffentlicht werden soll, sondern mit einem Reverse-Proxy. Die Webserver-Protection kostet grob 1000 €, macht zusammen 1.800 €. Für 1000 € mehr, also 2.800 € (Fullguard) bekomme ich dann aber alles andere mit dazu. Durch die Fullguard-Lizenz erhält man ja praktisch ca. 40% Rabatt auf die Einzellizenzen. Nun gut, den gesuchten Geheimtipp gibt es wohl nicht. Entweder Geld, oder Zeit (PFSense). Vielen Dank

Guten Abend, aus einem anderen Thread ging hervor, dass ich eine Firewall mit Reverse Proxy benötige. Ich habe mich dann für eine Sophos SG230 entschieden aber noch nicht gekauft. Nun kam der Wunsch auf nach Alternativen zu suchen, weil die jährlichen Gebühren mit ca. 2800 € (Fullguard) doch nicht ganz so gering sind. Nun gibt es ja unzählige Hersteller und nicht immer ist es ganz leicht den Lizenzdschungel zu durchblicken. Ich weiß, dass pauschale Fragen immer schwer, manchmal auch gar nicht, zu beantworten sind. Aber ich frage trotzdem mal. Welcher Hersteller käme eurer Meinung nach in Frage wenn die jährlichen Gebühren nicht über 1000 € liegen sollen? Netzwerk mit 75 Clients Firewall / Packetfilter, Router / Gateway in einem Gerät Loadbalancing über 4 WAN-Leitungen (ausgehend) Port-Freigabe mit URL-Filterung (Reverse-Proxy :) ) VLAN-Routing zwischen einzelnen VLANs DHCP-Server für verschiedene VLANs bereitstellen Möglichkeit ein VPN zwischen zwei Standorten aufzubauen SSL-VPN für RDP-Sitzungen Bei meiner Recherche (Securepoint, Watchguard, Gateprotect usw.) bin ich immer deutlich über den anvisierten 1000 € Gebühren pro Jahr gelegen. Ich hoffe jedoch, dass ich da etwas übersehen habe. Ich hoffe trotz der etwas sperrigen Frage auf Antworten. Grüße

Darf ich fragen bei welchem Anbieter? Mit CAPEX könnte ich leben, mir geht es aber um die OPEX :). Verfügbarkeit? Das ist wirklich überhaupt kein Problem. Die Telekom bietet hier einen sehr guten Service.

In meinen schon. Auf Bandbreite, Videokonferenzen zu verzichten oder Firma umziehen sind in meinen Augen keine sinnvollen rentablen Gründe. Richtfunk, Viprinet usw. ist alles bekannt und SkyDSL ist grauenhaft und sehr viel teurer als SDSL / ADSL. Deswegen streiten wir jetzt aber nicht. Allerdings bin ich wirklich offen für andere Wege und auch aktiv auf der Suche nach Alternativen. Nur sind die ADSL 16000 Anschlüsse hier für knapp 30 € von Verhältnis Kosten/Nutzen unschlagbar. SDSL 10 Mbit für ca. 600€ würde technisch gehen, aber siehe oben Kosten/Nutzen.

Ich muss mich selber korrigieren. Bei der SG zahlt man pauschal für das was die Sophos-Hardware kann, userunabhängig. Die XG ist von Anzahl RAM und Core abhängig. Nur bei der Softwarevariante der SG ist es streng nach IP-Adressen. Wir sprechen hier wahrscheinlich von unterschiedlichen Dimensionen. Einen Dienstleister würde ich erst gar nicht beauftragen. In schlecht versorgten ländlichen Gebieten gibt es diese sinnvollen Gründe. Meine Meinung zur Auswahl hat sich nochmals geändert. Werde doch eine Sophos SG230 nehmen.

Guten Abend, Ich habe mich nun mit dem Thema beschäftigt. Sophos und Securepoint sind in der Auswahl geblieben. Das Lizenzsystem ist bei den XG-Firewalls meine ich leistungs- und nicht mer von userabhängig. Das hat sich wohl von der SG zur XG Serie geändert. Trotzdem wird es wahrscheinlich eine RC300 von Securepoint werden. Ja, ganz genau. Ich muss den initial ausgehenden Traffic über 4 in Zukunft vielleicht auch 6 Leitungen abwickeln.

Guten Morgen, Inzwischen habe ich gelesen, dass du damit ganz auf Linie von Microsoft ist. Paketfilter aktuelles Windows und Exchange, fertig. Microsoft macht das bei Office 365 auch so. https://blogs.technet.microsoft.com/exchange/2013/07/17/life-in-a-post-tmg-world-is-it-as-scary-as-you-think/ Mit URL-Filter wäre mir trotzdem wohler, aber in dem Blog heißt es dazu: "Wenn deine 1990er Strategie es so will, mach es halt, notwendig ist es nicht." Wenn ich das richtig verstehe, ist die Reverse-Proxy-Funktion eine URL-Filterung. Das würde mir gefallen, auch wenn es in dem MS Blog etwas anders gesehen wird. Der Markt an Security-Systemen ist ja nahezu unüberschaubar. Was setzt ihr den ein? Könnt ihr mir was empfehlen. Meine Anforderungen wären: Netzwerk mit 75 Clients Firewall / Packetfilter, Router / Gateway in einem Gerät Loadbalancing über 4 - 6 WAN-Leitungen Port-Freigabe mit URL-Filterung (Reverse-Proxy :) ) VLAN-Routing zwischen einzelnen VLANs DHCP-Server für verschiedene VLANs bereitstellen Möglichkeit ein VPN zwischen zwei Standorten aufzubauen Die Geräte von Lancom können das (Reverse-Proxy weiß ich nicht genau), deren Interface und Konfiguration finde ich allerdings nicht so gut. Ich glaube Citrix NetScaler sind etwas oversized. Edit: Die Hersteller der Geräte die ihr einsetzt würden mir reichen. Danke und Grüße

Guten Abend, aus einem anderen Thread hier ging hervor, dass Exchange OWA die Lösung für ein Problem bei mir sein kann. Dazu muss natürlich OWA extern veröffentlich werden. Mir geht es nicht um eine Step-by-Step Anleitung sondern eher um Meinungen was als, sagen wir, best practice angesehen wird. gegeben (alles W2K12 R2): - DC, Exchange 2016, RDSH, RDGW mit Azure MFA - alle verfügbaren CUs, Updates installiert. - gute, lange, komplexe Passwörter im AD vorhanden - kleine Umgebung 75 Clients Möglichkeit 1: Port 443 wird einfach veröffentlicht. Schmeckt mir irgendwie nicht so ganz. Möglichkeit 2: Port 443 wird über einen separaten IIS mit aktiviertem Application Request Routing veröffentlicht. So könnte ich z. B. nur /owa und/oder Active-Sync freigeben, aber nicht /ecp. Somit steht aber ein IIS in der Domäne an erster Reihe, wäre aber auch bei Möglichkeit 1 so. Möglichkeit 3: Veröffentlichung mit der Kombination Web Application Proxy / ADFS. Pre-Auth, URL-Filterung soll alles gehen. Es gibt lt. Doku auch die Möglichkeit abgelaufene Passwörter zu ändern und es kann die Azure MFA für OWA integriert werden. Wie macht ihr das so? Hat jemand das im Einsatz. Der TMG ist ja abgekündigt. In der Theorie hört sich Möglichkeit 3 (WAP/ADFS) am besten an. Allerdings stelle ich mir die Frage warum der Web Application Proxy besser und sicherer authentifizieren kann als der Exchange? Danke und Grüße

Hi, OWA setzen wir nicht ein. OK, das wäre eine Lösung. Gefällt mir besser als RD WebAccess. Ich muss mich mal mit der sicheren Veröffentlichung von OWA beschäftigen. Bei Fragen dazu werde ich einen neuen Thread beginnen. Danke und Grüße

Hi, funktioniert denn die Kennwortänderung beim Pre-Auth über WAP? Grüße