Jump to content

WileC

Members
  • Gesamte Inhalte

    80
  • Registriert seit

  • Letzter Besuch

Über WileC

  • Geburtstag 17.01.1980

Profile Fields

  • Member Title
    Newbie

Webseite

Letzte Besucher des Profils

Der "Letzte Profil-Besucher"-Block ist deaktiviert und wird anderen Benutzern nicht angezeit.

Fortschritt von WileC

Fellow

Fellow (7/14)

  • Erste Antwort
  • Engagiert
  • Erster eigener Beitrag
  • Eine Woche dabei
  • Einen Monat dabei

Neueste Abzeichen

10

Reputation in der Community

  1. WileC

    DHCP-Log auswerten

    Hallo liebes Forum, wie kann ich, am besten über Windows Boardmittel, mit die Kommunikation des DHCP-Servers oder eines DHCP-Clients ansehen? Es handelt sich um einen SBS 2016. Hier möcht eich nachlesen, wie der DHCP-Discover und der DHCP-Ack abläuft, welche DHCP-Optionen der Client (Windows 10, iOS),welche DHCP-Optionen am Server ankommen und welche DHCP-Optionen gesendet werden? WireShark möchte ich erstmal nicht nutzen. Schonmal vielen Dank für Eure Antworten ;) VG Tobias
  2. mit ner GPO für Firewall-Regeln ist das ganze auch global geregelt. Ein Eingriff in die Config-Datei des Tunnels, um aus einem "allow any", ein "deny all" mit "allow ip any 3306" zu machen wäre auch nicht weniger oder mehr gewesen. Für mich ist die oben beschriebene Lösung einfacher nachvollziebar, auch für andere. Und wenn mans nicht mehr benötigt, kann einfach die GPO deaktiviert oder entfernt werden...
  3. Also ich werde mal zwei Möglichkeiten testen, welche dann letztendlich besser funktioniert: 1.) Ich habe für den DC eine GPO angelegt, welche die Firewall mit der vordefinierten Regel "ActiveDirectory Domänendienste" fürs lokale Subnetz öffnet. Aus allen anderen Netzen wird geblockt. Damit aber die Datenpakete nicht nur ins Nirvana laufen und unnötige Timeout-Wartezeiten entstehen, habe ich noch den Stealth-Modus der Firewall über GPP - Registry abgeschalten, so werden die Datenpackete abgelehnt und es kommt zu keinen Timeouts. 2.) ich sperre in den Filial-DNS die Anfragen an "_tcp.domain.tld", "_udp.domain.tld", "_msdcs.domain.tld", "_sites.domain.tld" mal sehen, welche variante sich als besser für mein Vorhaben eignet.
  4. Das ist leider keine Option.
  5. Habs mir durchgelesen, möchte es aber nicht einem Algorithmus überlassen, ob die Verbindung langsam ist, sondern selbst aus eigener Hand verbieten oder freigeben. Weil sollte mal die verbindung schnell sein oder schneller werden dank LTE, würde trotzdem unnötig das Datenvolumen durch die AD-Anmeldung benötigt werden. Das möchte ich eben vermeiden. Ansonsten denke ich, dass die GPO allgemein schon Sinn machen würde. Dennoch würde ich lieber per Firewall den Zugriff für die AD-Meldung blocken, oder eben die DNS-Einträge wie _tcp... _upd... _sites... _msdcs... blocken. Stellt sich eben nur die Frage, ob DNS-Blocking oder die Firewall dicht machen... Welche Dienste in der Firewall wären das, die für die AD-Anmeldung zuständig wären? dann würde ich die AD-Anmeldung im "Bereich" auf das "lokale Subnetz" restriktieren...
  6. Weils eine total langsame und getaktete Verbindung ist und ein komplettes Ziehen der GPOs/GPPs nicht notwendig macht. Die VPN-Verbindung besteht, damit man die entfernten PCs per RDP administrieren kann.
  7. Hallo, ich habe eine Filiale per VPN an ein Domänennetzwerk angebunden (Router/Router), welche sich aber nicht in der Domäne befinden. Nun möchte ich den Domänen-Laptops verbieten, sich über die bestehende VPN-Verbindung am DC der Domäne anzumelden, da diese ja grundsätzlich erreichbar ist. Blocke ich die Anfragen aus dem entfernten Netz (IP-Bereich) in der Firewall des DC, oder blocke ich die DNS-Anfragen auf dem DNS des entferneten Netzwerk? Ich möchte einfach nicht, dass sich die Laptops (wenn sie ausgeliehen werden) eine Domänenanmeldung "außer Haus" durchführen. Vielen Dank.
  8. Derzeit mache ich das auch mit einem Start-Skript. Ich möchte nur von den Skripten weg und alles über GPP laufen lassen...
  9. Hallo liebes Forum, ich möchte mittels GPP Konfigurationsdateien vom Server auf die Clients kompieren. Dies muss ja bei den GPP-Files mit "ersetzen" geschehen. Nun möchte ich, dass nicht bei jedem Computerstart immer alle Dateien kopiert werden, sondern lediglich die "aktualiserten" Konfigurationen; also wenn die zu kopierende Datei neuer ist, als die bestehende. Das muss ich ja mittels WMI-Filter auf Zielgruppenadressierung realisieren. Aber ich hänge grad über dem WMI-Filter. Wie muss denn das SELECT aussehen, wenn sowohl die zu kopierende, als auch die bereits bestehende "lokale" Datei überprüft werden sollen? Vermutlich mittels "LastModified" aus der "CIM_DataFile" ?? LG und Danke für Eure Hilfe WileC
  10. So, ich habe für mich die Lösung gefunden, ohne an jeder einzelnen GPO/GPP Änderungen vornehmen zu müssen: ich habe die entsprechenden DNS-Records des AD im "entfernten" DNS geblockt. Beispiel an der dnsmasq.conf #Block ActiveDirectory (domain) address=/_msdcs.domain.lan/_tcp.domain.lan/_udp.domain.lan/127.0.0.1 Damit fahren die AD-Laptops hoch und ziehen sich die Computer- und Benutzerrichtlinien NICHT. Alle anderen DNS-Anfragen bzgl. "domain.lan" werden über das VPN weiterhin geroutet. Auch das ist so gewollt.
  11. Also: Grundsätzlich sollen die Clients ins Internet können, beim Systemstart aber nicht die Gruppenrichtlinien übers VPN ziehen. Grund ist einfach: 1. ich möchte es einfach nicht, 2. die Gruppenrichtlinien dauern einfach auf Grund der langsamen Internetverbindung (1Mbit) einfach lange, bis die GPO/GPP gezogen sind. Deswegen möchte ich es einfach unterbinden. Derzeit habe ich die die SRV-Einträge der Domäne im "entfernten" DNS geblockt, so dass die Domänen-clients im entfernten Netz den DC nicht auflösen können. Einen ausgiebigen Test werde ich nachreichen.
  12. Ich werde es mal versuchen, indem ich den SRV-Record DNS-seitig ins leere laufen lasse, so dass dieser nicht übers VPN geroutet wird.
  13. Das freut mich für Dich. Ich möchte aber keine Domänenanmeldung über VPN.
  14. Deswegen: weil ich mich zwar am Netzwerk2 ins Internet hängen möchte, aber keine Domänenanmeldung wegen der Übertragungsdauer möchte ... Was sind den die betreffenden DNS-Einträge bezüglich des AD?
×
×
  • Neu erstellen...