testperson

Die User haben sich nach der Aufnahme in die entsprechenden Gruppen auch vom Client ab- und wieder angemeldet?

Ich habe mich bei AppLocker an diesem "Konzept" orientiert (UltimateAppLockerByPassList/AppLocker-BlockPolicies at master · api0cradle/UltimateAppLockerByPassList · GitHub). Hier müssen nur zwei anstatt ggfs. drei oder mehr Stellen geprüft werden.

Generell sollte das aber wie von dir skizziert funktionieren: Understanding AppLocker rule exceptions - Windows Security | Microsoft Learn

Hi,

wenn ich dich richtig verstehe, ist das so korrekt (Understanding AppLocker allow and deny actions on rules - Windows Security | Microsoft Learn):

Zitat

...

When AppLocker applies rules, it first checks whether any explicit deny actions are specified in the rule list. If you deny a file from running in a rule collection, the deny action takes precedence over any allow action and can't be overridden.

...

Gruß

Jan

Hi,

dann lag ich richtig. Pack die Erstellung des $Userobjekt in dein foreach.

Gruß

Jan

Hi,

ich vermute, du erstellt einmalig dein Userobjekt und änderst dieses immer wieder mit neuen Daten aus der CSV. Dann ist das AFAIK by Design. Du wirst ja vermutlich die importierte CSV Datei per foreach-Schleife durchlaufen und so der Userliste deine Userobjekte hinzufügen. _Vermutlich_ erstellst du _vor_ der Schleife das Userobjekt und nicht _in_ der Schleife:

# Vermutlich so / "falsch"
$Inhalt = Import-Csv ....
$Userliste = ...
$Userobjekt = New-Object -TypeName User
foreach($i in $Inhalt){

	$Userobjekt.Vorname = $i.Vorname
	...
	$Userliste.Add($UserObject)
}

# Sollte vermutlich zu deinen Erwartungen führen:
$Inhalt = Import-Csv ....
$Userliste = ...
foreach($i in $Inhalt){
	
	$Userobjekt = New-Object -TypeName User
	$Userobjekt.Vorname = $i.Vorname
	...
	$Userliste.Add($UserObject)
}

Gruß

Jan

Hi,

du kannst im DNS doch einfach verschiedene Hostnamen (A-Records) mit der gleichen IP Adresse haben. Der Port hat ja am Ende nichts mit dem Hostnamen / FQDN / dem SSL Zertifikat zu tun.

Am sinnvollsten dürfte es aber sein, einen Loadbalancer / Revers-Proxy "vor den Containern" bereitzustellen, der die Verbindung proxied und anhand des DNS Namens dann zur passenden Anwendung "routet". So kannst du die Services auch alle per https / 443 ansprechen und musst an den Clients die Ports nicht verbiegen.

Gruß

Jan

Hi,

Am 5.3.2024 um 22:55 schrieb ddamad99:

ein VPN server auch basiernd auf Linux umgebung. (VPN site to site oder end to end verbindungen wäre nicht komplex genug)

in meinen Augen ist das Ansichtssache und dürfte recht stark am Projektantrag hängen. In der Praxis erlebe ich tatsächlich häufig VPN Lösungen, die weit weg von "komplex" sind. Die sind dann aber i.d.R. auch eher weit weg von "sicher".

Wenn es um Road Warrior geht, ist ja alleine schon die Entscheidungsfindung für "IPSec", "OpenVPN", "SSL VPN", "L2TP", "SSTP" oder Wireguard ein abendfüllendes Programm. Ebenso die Überlegung Linux Server oder fertige Firewall/Router/VPN Appliance (kostenlos / kommerziell) dauert seine Zeit in einem Abschlussprojekt. Ich würde behaupten, dass man mit einem der Punkte die 40 Stunden bereits sprengen kann und bis hier her ist noch gar nichts konfiguriert. Wenn man sich jetzt noch Gedanken um das Thema "Firewalling" im VPN macht, könnte das - je nach Anforderung - für ein weiteres Projekt reichen und weitere Komplexität mitbringen.

(Eine Idee von mir in Richtung deines VPN Themas: "legacy VPN" vs. ZTNA bzw. "Zero Trust Network Access". Allerdings sicherlich sehr sportlich, dass in diesem Monat noch Projektantrag-fähig zu bekommen.)

Gruß

Jan

Hi,

du wirst allerdings nirgendwo mehr die alten Zwischen CUs finden.

Entweder direkt auf .Net 4.8, aktuelle VC Redist und dann CU23 + neuestes SU oder evtl. einen neuen Windows Server mit neuem und aktuell gepatchtem Exchange 2016 aufsetzen und dann migrieren.

Gruß

Jan

Dann schmeiß den Prozessmonitor an und prüfe, wo die Verzögerungen auftreten: Prozessmonitor - Sysinternals | Microsoft Learn

Ich teste das derzeit mit der neuesten Build vom Windows Server 2025. Erstelle mir aber auch gerade eine ISO für Win 11, um damit zu testen. Aus der ISO erstelle ich mit Convert-WindowsImage (GitHub - x0nn/Convert-WindowsImage: Creates a Windows VM for Hyper-V from a Windows-ISO) eine VHDX woraus dann die neue VM erstellt wird.

Ausgeführt wird das von einem Hyper-V Host in einer PS Session in die VM. Direkt in einer administrativen Kommandozeile in der VM funktioniert es allerdings auch nicht. Ich muss tatsächlich einmal auf "Check for updates" klicken oder warten bis der Server automatisch die Suche angestoßen hat und ich in der GUI auf "Install" klicken kann. 

Das Script oben, PSWindowsUpdate, ABC Update suchen, laden und installieren zwar die Updates, hilft aber auch nicht für die "Install-Language".

Danke für die Antwort. Das Script hilft hier leider nicht.

Ich habe gerade testweise das PowerShell Modul installiert und mir die Konfiguration vor dem Klick auf "Check for updates" angesehen und danach:

# Vorher:
ServiceID                            IsManaged IsDefault Name
---------                            --------- --------- ----
8b24b027-1dee-babb-9a95-3517dfb9c552 False     False     DCat Flighting Prod
855e8a7c-ecb4-4ca3-b045-1dfa50104289 False     False     Windows Store (DCat Prod)
9482f4b4-e343-43b6-b170-9a65bc822c77 False     True      Windows Update

#Nachher:
ServiceID                            IsManaged IsDefault Name
---------                            --------- --------- ----
7971f918-a847-4430-9279-4a52d1efe18d False     True      Microsoft Update
8b24b027-1dee-babb-9a95-3517dfb9c552 False     False     DCat Flighting Prod
855e8a7c-ecb4-4ca3-b045-1dfa50104289 False     False     Windows Store (DCat Prod)
9482f4b4-e343-43b6-b170-9a65bc822c77 False     False     Windows Update

Clever wie ich bin, habe ich vorher natürlich keinen Snapshot gemacht und werde die VM dann mal neu deployen..

Hi,

zu 1) Das könnte auch ein Thema für eine Cyberversicherung sein.

Gruß

Jan

vor 19 Minuten schrieb magicpeter:

ja aber das ist natürlich nur ein Workaround.

Nein. 

vor 24 Minuten schrieb magicpeter:

Ich würde gerne die Ursache kennen und das Problem beheben.

Viel Erfolg.

Hi,

du hast den Lösungsansatz doch schon selber gefunden:

vor 2 Minuten schrieb magicpeter:

Nachdem der RDSServer neugestartet wurde tritt das Problem nicht mehr auf.

boote den RDSH "notfalls" jede Nacht durch.

Gruß

Jan

Hi,

hat jemand eine Idee, wie ich per Script eine Windows Update Suche starten kann? Mit "wuauclt" und "UsoClient" funktioniert es leider nicht. Klicke ich händisch auf "Updates suchen" oder warte ab, bis WU von alleine getriggert hat, funktioniert das CMDlet direkt. Hintergrund ist, dass ohne vorherige Suche(?) das CMDlet Install-Language die Sprache anscheinend nicht laden kann.

Auf das PowerShell Modul "PSWindowsUpdate" würde ich - wenn möglich - gerne verzichten.

Danke und Gruß

Jan

Was mich hier generell daran verwirrt:

• Hyper-V so grob aus 2008
• Pre-Windows 2000 Compatible Access

Aber auch damit werde ich leben können. ;)

vor 11 Stunden schrieb MurdocX:

Läuft er bei Dir noch?

Ja, mit den o.g. Ausnahmen läuft er. ;) "Kerberos only" konnte der Cluster nach einem Shutdown nur per Powershell gestartet werden. Die Failover Cluster MMC scheint noch etwas an NTLM zu hängen, würde mich aber auch nicht wundern. Auf meiner Agenda steht derzeit noch ein Test, wie sich alles mit dem Windows Admin Center verhält.

Beide Clusterknoten haben auch problemlos das In-Place Upgrade über Windows Update mitgemacht.

BTW.: Auf frisch installierten Systemen mit der Build 26063 ist Copilot überall "aktiv".

Die Shared Nothing Livemigration von einem Managementserver / -client funktioniert nicht mehr:

Move-VM : Virtual machine migration operation failed at migration source.
Failed to establish a connection with host ... : No credentials are available in the security package (0x8009030E)
...

(Komplette Fehlermeldung findet sich hier: Why Hyper-V Live Migrations Fail with 0x8009030E - Microsoft Community Hub)

In der Umgebung gibt es mehrere Hyper-V Hosts, die nicht im Cluster sind. Wie das mit der "normalen" Livemigration im Cluster aussieht, teste ich "die Tage".

Am 27.2.2024 um 14:55 schrieb NorbertFe:

Im Worst Case mal das auditing anschalten und schauen, woran es scheitert ;)

Hätte ich mich doch nur dafür entschieden, anstatt heute den Tag damit zu verbringen Dinge über TGGAU (Token-Groups-Global-and-Universal) und die "Windows Authorization Access Group" zu lernen... Bzw. welche Auswirkungen es auf die Live Migration hat, wenn man die "Authenticated Users" aus der "Pre-Windows 2000 Compatible Access" Gruppe entfernt.

Hi,

warum keine moderne Cloudlö... ;)

vielleicht ist ja ein M365 Plan vorhanden, der Intune inkludiert bzw. wäre Intune ein Ansatz anstelle des WSUS.

Gruß

Jan

Hi,

erstelle notfalls einfach drei Host Zones. Also je eine Zone mit dem kompletten FQDN "Server1.firmendomain.de", "Server2.firmendomain.de", "Server3.firmendomain.de" und lege dort einen A Record nur mit IP Adresse und ohne Namen an. Bzw. per dnscmd:

dnscmd . /zoneadd Server1.firmendomain.de /dsprimary
dnscmd . /recordadd Server1.firmendomain.de . A 172.29.x.x

Gruß

Jan

Moin

Da in der Diskussion einmal Teamviewer angesprochen wurde: Teamviewer: Sicherheitslücke im Client ermöglicht Rechteausweitung | heise online

VG

Jan

Hi,

vor 52 Minuten schrieb dormi98:

Fragt sich nur noch was an den beiden Clients nicht passt. 

ist auf den beiden Clients irgendwas aktiv (Virenscanner) / vorgeschaltet, was SSL aufbricht bzw. dem Client ein anderes Zertifikat unterjubelt?

Gruß

Jan

vor 6 Minuten schrieb holzapfel:

Oder gibt es dann z.B. auf einem RDS Server

auf welchem sich viele User anmelden die kein Duo hätten eher Probleme?

Ich würde hier nach dem Sinn fragen. Für mich würde hier nur folgendes Sinn machen:

• Alle externen User (Home Office, Roadwarrior, ...) müssen sich per MFA authentifizieren
• Alle User (extern und intern) müssen sich per MFA authentifizieren

(Aber, ja es ist ebenfalls möglich, User aus der MFA auszuklammern bzw. nicht "enrollte" User zugreifen zu lassen. Sinn macht das für mich aber nicht.)

Wenn es nur um MFA für RDS geht, wäre eine weitere Frage, wie melden sich die User am PC an und worauf könnten die User vom PC theoretisch (und praktisch) zugreifen?

Hi,

DUO ist generell echt gut. Ich kann dir aber nur raten, nimm einen Paid Plan, der sich mit $3 pro User - in meinen Augen - mehr als im Rahmen hält. Im Free Plan ist kein Active Directory Sync enthalten.

Zusätzlich wäre im Konzept ein "Break the Glass Admin" hilfreich. :)

Ansonsten:

• Eset Secure Authentication Server
• RCDevs OpenOTP Server
• ManageEngine AD Self Service Plus

Gruß

Jan

Im Moment gibt es da für mich wichtigere "Baustellen". Ich würde dich aber glatt im Hinterkopf behalten. ;)