TimS
-
Gesamte Inhalte
52 -
Registriert seit
-
Letzter Besuch
Beiträge erstellt von TimS
-
-
Vielen Dank für Eure Anregungen!
Um das ganze zu präzesieren: Computerraum einer Bibliothek an einer Universität. Die Benutzer melden sich an und werden über einen Radius-Server authentifiziert. Ein altertümliches Tool (pGina) übernimmt das. Kein Active Dircetory. Ich darf nur Mitglieder der Uni ins Internet lassen. Problem ist eine Software die nur als ein Benutzer pro PC ausgeführt werden darf. Habe lange mit dem Hersteller verhandelt. Es ist nur erlaubt einen lokalen Nutzer einzurichten pro PC und der darf dann die Software ausführen. Dieser Nutzer darf aber nicht ins Internet, da ich ja nicht weiß wer da vor dem PC sitzt. Daher möchte ich für den Benutzer, der diese Software ausführt einfach den Internetzugang sperren. Daher dachte ich wäre es am einfachsten für einen lokalen Benutzer am PC einfach den LAN-Adapter dauerhaft zu deaktivieren. Dann kann jeder der will sich vor den PC setzen und die Software nutzen kommt aber nicht ins Internet.
-
Hallo,
ich bin immer noch an der Sache dran, das in unserem Computerraum alle Benutzer mit Account das Internet nutzen dürfen, ein bestimmter Benutzer aber nicht. Der Benutzer, der das Internet nicht nutzen darf hat an unserer Uni keine Benutzerkennung. Er darf aber - weil es eine öffentlich Bibliothek ist - trotzdem in den Computerraum und die PCs nutzen mit einem bestimmten Programm.
Jetzt hat ein Kollege überlegt - nachdem alle Möglichkeiten mit Proxy und Firewall zu kompliziert scheinen - ein Dualbootsystem mit 2 Windows 10 einzurichten. Einmal mit Internet für die authentifizierten Benutzer und einmal ein Windows in dem das Netzwerk deaktiviert ist. Ich finde das aber zu aufwendig. Es sind Dell Optiplex 3070 und die werden über die Systemwiederherstellung von Dell installiert. Ich habe gar kein Win10 Image oder Datenträger. Ich dachte vielleicht kann man unter Win10 einfach einen Benutzer OHNE Passwort einrichten für den der LAN-Adapter aber deaktiviert ist. Geht das und wenn ja wie? Ich kriege das irgendwie nicht hin. Ich habe dem Benutzer Admin-Rechte gegeben und den Netzwerkadapter deaktiviert. Dann die Rechte wieder entzogen. Nach dem Neustart ist der LAN-Adapter aber wieder aktiviert. Hat jemand eine Idee?
-
Ist es möglich die Windows Defender Firewall für einzelne, lokale Benutzer einzurichten? Ich möchte einem Benutzer den kompletten Internetzugang verbieten. Alle anderen Benutzer dürfen ins Internet.
-
vor 3 Minuten schrieb mwiederkehr:
Soweit ich weiss, kann die Windows-Firewall kein Outbound-NAT. Es sollte aber reichen, wenn Du die Ports 80 TCP, 443 TCP sowie 443 UDP (Quic, in modernen Browsern schon aktiv) ausgehend blockierst und nur zum Proxy erlaubst.
Super, danke für die Info! Weisst Du wie das geht alle Anfragen des Browsers *und* der Software an den Proxy (10.0.0.1:8080) zu senden?
-
Hallo,
wir möchten in einem öffentlich zugänglichen Computerraum PCs für die Nutzung durch Studenten aufstellen. Die Software, die genutzt werden soll darf nur von einem einzigen, lokalen Benutzer ausgeführt werden. Daher müssen wir den Internetzugang auf diesen PCs für die Benutzer blockieren da wir keinem Nutzer erlauben dürfen das Internet zu nutzen der sich nicht vorher authentifiziert hat. Die Software muss aber zu einem Lizenzserver Kontakt aufnehmen und wir möchten den Studenten erlauben auf den Webmailer der Uni zuzugreifen um sich ggf. Dateien zu schicken die auf diesem Computer mit dem speziellen Programm erstellt wurden.
An anderer Stelle haben wir sogenannte Recherche-PCs. Diese können mit einem Webbrowser nur auf bestimmte URLs zugreifen. Das wird über einen Proxy-Server geregelt.
Ich suche jetzt eine Möglichkeit die Windows PCs dicht zu machen. Es gibt ja die Möglichkeit über die lokalen Gruppenrichtlinien einen Proxy vorzugeben und die Möglichkeit diese Einstellung zu ändern zu sperren. Was ist aber wenn sich ein Student per E-Mail z.B. die portable Version eines Webbrowser zuschickt und diesen dann herunterlädt?
Kann ich irgendwie unter Windows 10 Firewall-Regeln festlegen, die für alle Benutzer gelten und die nicht geändert werden können. Diese Regeln sollten allen Internetverkehr sperren und alle Anfragen an http und https an den Proxy weiterleiten. Geht das? Danke für eure Hilfe!
-
Hallo,
wir möchten die Software Accordance im Computerraum der Bibliothek so nutzen das sich jeder Student mit seinem Benutzeraccount anmeldet dann aber ein fertiges Standartprofil bekommt. Das mit dem Profil funktioniert. Beim ersten Start von Accordance muss man sich anmelden scheinbar auf dem Firmenserver. Im Profil, das ich als Vorlage verwenden klappt das auch. Testweise habe ich auch den Acrobat Reader installiert. Melde ich mich aber als Student an wird zwar das Standardprofil geladen die Software Accordance tut aber so als hätte sie alle Einstellungen vergessen. Ich muss alle Angaben wie beim ersten Programmstart inkl Anmeldung auf dem Firmenserver neu machen. Hat jemand eine Idee warum das so ist. Genauso verhält es sich mit Edge und Chrome. Im Standardprofil Stelle ich ein Startseite ein. Jeder Benutzer muss sich aber in Edge wieder durch diverse Fragen klicken. Einstezngen wie bestimmte Ordner auf dem Desktop oder das Bildschirmhintergrund Bild werden übernommen.
Muss ich vielleicht Nandatory Profile beim Kopieren des Standartprofil anklicken?
Vielen Dank für eure Hilfe!
-
Hallo,
wir haben eine Kiste Notebooks bestellt und jeder Mitarbeiter bekommt eins. Wollte die Geräte ins frisch installierte AD aufnehmen. Datenschutzbeauftragter war gegen Azure oder Juristische Jumpcloud.
Getestet habe ich es. Wenn die Erstanmeldung vor Ort im AD dann geht die Anmeldung auch im Homeoffice. Nach 14 Tagen ist das gedachte Passwort aber weg.
Jetzt habe ich überlegt einen ganz billigen Router zu kaufen der einen VPN-Tunnel aufbaut. Dieser Router ist im Heimnetz der Mitarbeitenden. Könnte das klappen und was für einen Router könnte ich nehmen?
Vielen Dank!
-
Wenn man das hier liest:
https://digiphant.de/macht-ein-eigener-exchange-server-on-premises-noch-sinn/
scheint es bald keine Server mehr in den Firmen zu geben. Wahrscheinlich nur noch in Universitäten.
-
Danke für den Tipp!
Ein Kollege schrieb mir gerade: vergiss das mit dem eigenen Exchange Server! Die meisten Firmen setzten wie Microsoft es wünscht auf Office 365. Es würde sich für einen zukünftigen Job nicht lohnen den Umgang mit einem Exchange Server zu lernen.
Was meint Ihr?
-
Hallo,
hat jemand eine einfache, kosten- und wartungsgünstige Idee für folgende Aufgabe: wir haben in unserer Bibliothek 10 Arbeitsplätze an denen nur eine Webseite mit einem Onlinejatalog aufgerufen werden soll. Dafür haben wir derzeit 10 PCs. Ginge das noch wie in den 70er Jahren mit dummen Terminals? Jetzt nicht so teure Terminal PCs sondern ein Server mit 10x Bildschirm, Tastatur und Maus?
-
Hallo,
da wir keine Roaming-Profiles unter Win10 verwenden möchte ich fragen ob jemand eine Idee hat wie ich die lokal gespeicherten Profile von Chrome, Firefox, Thunderbird am besten sichere? Mit dem Dateiversionsverlauf finde ich keine Möglichkeit nur die Profilordner zu sichern. Oder würdet Ihr das über eine Ordnerweiterleitung machen?
Danke für eure Hilfe!
-
Hallo,
wir möchten neu installierte PCs direkt ganz schnell updaten und auf den neusten Stand bringen. Gibt es die Möglichkeit die Windows Updates irgendwo runterzuladen um ein Offline-Update zu machen? Kann man irgendwo - ohne WSUS - einstellen das die Updates nur beim Runterfahren des PCs gemacht werden? Danke für eure Hilfe!
-
Hallo,
ich versuche auf einem Domain-Controller die Kennwortrichtlinie zu ändern. Es erscheint die Fehlermeldung die Datei GptTmpl wäre nicht vorhanden. Ist sie aber im Ordner \\domainname\sysvol\domainname\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\MACHINE\Microsoft\Windows NT\SecEdit. Auch auf den beiden DCs \\dc1\... und \\dc2\...
Hat jemand eine Idee wo ich den Fehler finden könnte? Vielen Dank!
-
Danke für eure ausführlichen Antworten! DNS ist die heilige Kuh unseres "Mr. DNS". Das Herzstück das alles am Leben hält. Wenn ich über IPAM was falsch Einträge: Pech für unsere Fakultät und Institute. Aber ich möchte nichts gegen die Kollegen sagen. Wenn ich freundlich und mehrfach Nachfrage wird mir immer geholfen. Ist halt eine Entscheidung aus den 70er wie ich verstehe. IBM Server AIX, Kerberos, AFS... dann irgendwann Linux Server und bei den Mitarbeitern im Rechenzentrum Apple Arbeitsplätze(???). Microsoft wird nicht unterstützt.
Daraufhin hat sich die Verwaltung und die Kliniken jeweils eine eigene IT aufgebaut.
Es geht weiter mit der Softwareverteilung: ich bastele da was mit OPSI und demnächst dem WSUS während die Uni und Landesbibliothek eine teure Software kauft ich mich aber nicht an die Lizenzen ranhängen darf.
Umso mehr bin ich froh das wir jetzt unser eigenes AD aufbauen können. Hab mich gerade bei IT NRW für eine Schulung angemeldet :)
-
1
-
-
vor 23 Minuten schrieb NorbertFe:
Aha, wer betreibt nochmal das active Directory, welches ausfallen kann? Das HRZ? ;)
bye
norbert
Wir haben das getestet. Beide DCs runtergefahren. Clients gestartet die bekommen eine IP vom HRZ und DNS auch über DHCP. HRZ ist froh läuft auch ohne AD.
-
1
-
-
vor 8 Stunden schrieb daabm:
Siehe oben - "Kunde und Angebot" und "zu wenig zu Gunsten der Kundenanforderungen"... jm2c
Umso mehr freut es mich das ich das mit euren Hinweisen und Infos aus dem Netz doch hinbekommen habe.
Jetzt suche ich noch Material um mich einzuarbeiten wie ich ein AD auf volle Funktionalität testen kann bevor ich es in Betrieb nehmen
-
Am 8.9.2021 um 13:52 schrieb NilsK:
Moin,
auch wenn ich mich wiederhole ... dann könnte der Vorschlag, dass das HRZ DNS-Zonen bzw. Subdomains an Institute delegiert, doch helfen. Minimaler Aufwand für das HRZ, hoher Nutzen für die Institute. Dann können die Institute ihr AD-DNS selbst betreiben und es gibt an der Stelle keinen weiteren Supportbedarf für das HRZ.
Schwieriger dürfte da das Firewallthema sein, das nach deiner jüngsten Schilderung wohl eher der Kern des Problems ist.
Gruß, Nils
Vorweg: es funktioniert jetzt :) Problem war tatsächlich die Firewall. Ob DNS läuft lässt sich ja mit dcdiag testdns testen. Bei der Suche nach der Fehlermeldung mit dem RPC-Server bin ich dann auf diese Webseite gestossen: Firewall Ports Required to Join AD Domain - AventisTech habe das HRZ gebeten zu gucken ob in der Firewall irgendwas zwischen DC und Client geblockt wird. Die haben dann die Ports tcp 67, tcp 49674 udp 123 als geblockt gefunden und freigeschaltet. Jetzt kann ich Clients der Domain hinzufügen und mit Domain-Benutzern anmelden.
Mir wurde gesagt dass das HRZ ja eben dafür da sei nichts zu delegieren. Jeder Dienst der delegiert wird kann für Störungen sorgen. Dann würde unser ganze Instituts-Netz ausfallen. So wie es jetzt ist können die Clients weiterarbeiten auch wenn die DCs mal komplett ausfallen. Die Clients bekommen ihre IP per DHCP vom HRZ und DNS auch. Anmelden können sich die Benutzer da die Passwörter angeblich gecacht werden. Hat sich ein Benutzer einmal angemeldet würde das Kennwort lokal hinterlegt.
-
vor 14 Stunden schrieb daabm:
Da könnte man ja mal mit dem RZ reden über "Kunde" und "Angebot trifft Nachfrage"
Ich weiß, daß das relativ platt klingt, aber viele RZ-Betreiber (ich nehme uns da nicht aus) sind zu sehr selbstorientiert und arbeiten zu wenig zu Gunsten der Kundenanforderungen.
Keine Chance - leider. Zu wenig Personal, kein Interesse, keine Notwendigkeit...
Daher die Frage ob jemand eine Link kennt wo etwas über Active Directory und Fehlersuche zu finden ist und Active Diretory ohne DNS auf dem DC.
-
vor 27 Minuten schrieb daabm:
Um Nils bei seinem Punkt 2 zu unterstützen: Auch bei uns läuft DNS nicht (bzw. größtenteils nicht) auf den DCs mit. Unser Netz hat vermutlich über 10^6 DNS Clients und eine 4stellige Anzahl AD-Domänen.
Das ist bestimmt sehr interessant! Bei uns ist es so das ein AD vom Rechenzentrum nicht unterstützt wird. Ich kann über ein Webinterface für die Subdomain unseres Instituts die Host und SRV Records eintragen und hoffen es klappt.
Bin mittlerweile so weit das es wohl an der Firewall liegt. Die beiden DCs sind der Domain ohne Probleme beigetreten und replizieren sich. Beide sind in selben Subnetz (virtuelle Maschinen). Die Clients in einem anderen Netz
-
vor 39 Minuten schrieb NilsK:
Moin,
um das noch mal zusammenzufassen:
- Active Directory ist auf funktionierende DNS-Auflösung angewiesen. Das gilt für alle Clients und alle Server, die Mitglieder sind.
- Das DNS kann durchaus "separat" laufen. Das erfordert dann aber erheblich mehr Aufwand und Mitarbeit der DNS-Administratoren.
- Es gibt eine ganze Reihe von Möglichkeiten, zu einer Koexistenz beider "Welten" zu kommen. Das funktioniert erfahrungsgemäß auch in großen Hochschulnetzen sehr gut.
- Natürlich protokolliert Windows Fehler, sehr ausführlich sogar. In komplexen Fehlersituationen kann es aber hohen Aufwand erfordern, die Logs auszuwerten und zu interpretieren, um den Fehlern auf die Spur zu bekommen. Das gilt für alle Betriebssysteme.
- Wir sind hier in einem Forum und können daher nur begrenzt unterstützen.
Meiner Interpretation nach liegt dein Problem bei Punkt 2. Das kommt an Unis (leider) oft vor, aber erfahrungsgemäß ist es meistens möglich, von Punkt 2 zu Punkt 3 zu kommen. Reden hilft, unterstützen kann dabei jemand, der die technischen Hintergründe kennt und darstellen kann.
Gruß, Nils
Guten Morgen! Vielen Dank für die ausführliche Antwort! Ich kriege das schon hin, koste es was es wolle :)
-
vor 1 Minute schrieb Nobbyaushb:
Ich habe Kunden mit großen Netzen - in keinem ist ein DC kein DNS und GC - man kann durchaus in Coexistens mit BIND Severn arbeiten - aben eben zusammen, dann klappt das
(>= 25.000 User)
Dann muss ich das Projekt eben begraben. Wir haben keine Möglichkeit einen eigenen DNS-Server zu betreiben. DHCP macht auch das HRZ. Ich kann mir nur nicht vorstellen das der BIND von unserem HRZ nicht das kann was der Microsoft DNS macht. Fragt sich nur wie.
-
vor 4 Stunden schrieb NorbertFe:
Wäre aber praktischer. Denn dann würden sich solche Fragen gar nicht stellen. Das war Nils' und mein Hinweis.
Das habe ich ja verstanden! Es geht bei uns an der Universität aber nicht. Und ich möchte trotzdem ein AD nutzen. Ich frage mich nur WARUM sich nicht herausfinden lässt WO der Fehler ist. Irgendwo müsste es doch eine Logdatei geben - wie unter Linux - wo genau drin steht was da schief läuft während der Client in die Domain aufgenommen wird???
Gerade eben schrieb Nobbyaushb:Ganz einfach nach Best Practice bauen...
Und wenn das nicht geht? Es wird doch sicher grosse Netze geben wo eben der DC nicht auch der DNS-Server ist.
-
Am 5.9.2021 um 16:19 schrieb MurdocX:
Ja, das hat Dir Nils oben schon geschrieben. Sind die IPs deiner DCs beim Client als primärer und sekundärer DNS-Server eingetragen und KEIN Anderer?
Nein, die DCs sind ja gar keine DNS-Server.
Ich verstehe das nicht. Wenn dcdiag KEINE Fehler meldet. Was soll diese Fehlermeldung mit dem RPC?
Was ist Windows, Active Directory das man einen Fehler nicht finden kann. Verstehe ich nicht.
-
Hallo,
ich habe jetzt mit verschiedenen Tests das Active Directory und den DNS-Server und die Replikation überprüft. Alles fehlerfrei.
Es hatte auch scheinbar gar nichts mit dem ausgfallenen DC1 zu tun.
Wenn ich einen Client in die Domain aufnehme und ich dann nach einem Neustart mit einem Domain-Benutzer anmelde erscheint folgende Fehlermeldung:
Der Client wird in die Domain aufgenommen: Willkommen
dannach
Fehler beim Ändern des DNS-Namens... RPC-Server nicht verfügbar
und bei der Anmeldung an den Client
Sicherheitsdatenbank auf dem Server enthält kein Computerkonto
Hat jemand eine Idee an welcher Stelle ich den Fehler suchen könnte? Vielen Dank!
Netzwerk für bestimmten Benutzer deaktivieren
in Windows 10 Forum
Geschrieben
Dann kommt ein Student, steckt einen USB-Stick mit portablem Webbrowser rein und umgeht den Proxy. Ich werde wirklich für diese Anwendung ein paar extra PCs aufstellen und gut ist.