Weingeist

Ertappt...

Wie so oft gibt es da verschiedene Ansätze. Die Fragen die man sich hier stellen muss sind bei jeglicher Automation immer die gleichen. Egal ob Produktion oder IT. Manchen Aufwand holt man zwar objektiv gesehen nie rein, der Alltag ist aber z.B. für die Mitarbeiter weniger stressig, die Fehlerquote tiefer, weniger Ressourcen werden vergeudet oder man sammelt einfach nur Cookie Points bei den Mitarbeiter (Aus Sicht der IT, des Chefs etc.). Bei statischen Arbeitsplätzen wie Produktion, Lager oder automatisierten/definierten Prozessabläufen lohnt sich eine Automatisierung imho immer. Die Verkäuferin im Supermarkt verbindet ihren Kassenzetteldrucker auch nicht selbst. Der grosse Vorteil ist, dass man Bereinigungen für falsch verbundene Drucker, nicht mehr vorhandene Drucker, Umstellung auf FQDN, verschiedene Standortermittlungsverfahren (Thinclients mit denen sich auf die eigene VM verbunden wird, Zeroclients, Files etc.) mit in ein zentrales Script einfliessen lassen kann. Alles im grunde recht Primitiv aber wirkungsvoll. Die Druckerliste selbst kann ein Textfile sein, welches z.B. jemand aus der Abteilung pflegt. Ein richtig oder falsch gibt es lediglich WIE man die Drucker verbindet und da ist die primitivste Variante auch heute fast immer noch die beste (rundll32). Das Ob hängt von der Umgebung ab. Ein vollautomatisches Beispiel: Eine Betriebssoftware haben wir so angepasst, dass alle Drucker darin gespeichert sind und die ID's der Fächer mit den jeweiligen Papiertypen verküpft werden. Was nicht verknüpft ist, landet auf dem Mehrzweck mit einer Bestätigung am Screen, dass man das Papier eingelegt hat bevor der Druck rausgeht. Pro Abteilung. Die Software ermittelt den Standort des Clients und wählt das Standard-Preset aller Drucker der Abteilung aus. Der User kann die Ziel-Abteilung manuell ändern. Er wählt nie einen Drucker aus, er wechselt nur die Zielabteilung für den Ausdruck wenn das gewünscht ist. Die Drucker werden von der Anwendung verbunden. Wird ein Drucker ersetzt, müssen meistens lediglich die ID's der Fächer und allenfalls der Name angepasst werden, bleibt der Hersteller identisch, nichtmal das. Minimalster Administrationsaufwand. Das ganze war einmal aufwändig und wird nun seit bald 25 Jahren verwendet. Der Aufwand wurde schon längstens reingeholt. Nur die Ermittlung des Standorts musste teilweise modernisiert werden als VM's hinzugekommen sind welche mit dem Mitarbeiter mitgehen. Da haben wir dann die Session-Daten aus der Registry ausgelesen. Andere Software löst das teilweise mit einem zentralen Druck-Management auf einem Server, in diesem Fall war das so einfacher und vor allem ohne eine zusätzliche Software mit einer vergleichsweise einfachen Änderungen möglich. Dann gibt es noch ein ganz praktisches Admin-Problem. Die meisten händisch von Usern verbunden Drucker werden via NetBios Namen und nicht via FQDN verbunden. Das gibt spätestens wenn die ganzen Security Flags der letzten Monate enforced werden viel Spass. Ist einigermassen gruselig das aufzuräumen. Kann natürlich geschult werden, aber es dürften noch sehr viele Drucker falsch verbunden sein. ;) Mal ganz unabhängig von den Druckern, es gibt keinen einzigen vernünftigen Grund, dass man ein Domain-Admin Konto zum verbinden von Druckern hernimmt. Auch nicht für die Administration von Clients. Nicht mal zum testen. Der Domain Admin ist eigentlich rein für die Administration des DC's da. Egal wie gross die Umgebung ist und sollte so weit weg wie möglich von allem sein was mit Druckern zu tun hat. Das hinzufügen von z.B. einer Domänen-Client-Admingruppen zur lokalen Admingruppe der Clients kann man sehr easy mit GPO's steuern. Und gleichzeitig mit GPO's verhindern, dass sich Domain oder andere Server-Admins auf Clients verbinden.

Kannst Du so sehen, ist aber nicht so. 2-Knoten Cluster gibt es vor allem wegen Zweigniederlassungen von Grossfirmen. Ansonsten würde es das Konstrukt vermutlich gar nicht erst geben. Und auch da nur wegen den Kosten. Ein zuverlässiger Cluster-Aufbau funktioniert nur wenn mindestens zwei Parteien gemeinsam entscheiden, dass ein dritter Beteiligter nichts mehr zu melden hat. Wenn es nur zwei Beteiligte gibt, ist das nicht zuverlässig möglich, es könnte sein, dass beide Nodes gar nicht tot sind, sondern einfach die Verbindung zwischen Ihnen. Dann sind beide der Meinung, dass sie zuständig sind. Dann kracht es zuverlässig. Dafür braucht es entweder mindestens ein zusätzliches, vollwertiges Mitglied welcher gemeinsam mit einem anderen Miglied entscheidet wer nun Chef ist bzw. ausgegrenzt wird. Oder eben eine dritte Partei die zwar Stimmrecht hat, selber aber sonst nichts zum Cluster beiträgt. Das ist ein Zeuge. Reine 2-Node können zwar teilweise erstellt werden, technisch sinn voll ist es aber nicht. Dann ist noch ein Single-Node Cluster sinnvoller, wenn man gewisse Funktionen haben möchte, die es Standalone nicht gibt (Read Cache für grössere Dateien zum Beispiel). Der weiss dann immer, dass er der Chef ist. Die meisten denken mit einem Cluster bekommen sie eine höhere Ausfallsicherheit. Sehr oft erreichen sie genau das Gegenteil. Damit ein Cluster in der Realität eine höhere Uptime hat als eine einzelne Maschinen braucht es A Knowhow und B muss die technische Einrichtung dafür stimmen. Ansonsten ist die Ausfallwahrscheinlichkeit immer höher und die effektive Uptime tiefer. Verursacht durch Stromausfälle, fehlgeschlagene Updates, fehlerhafte Manipulation an LAN-Kabel, nicht geplante Reboots usw. die bei Standalone-Systemen wenig bis keine Auswirkungen haben, bei Clustern aber je nach Situation katastrophal sein können und ein Recovery erfordern. Sprich die Infrastruktur muss Top sein, sonst macht das 0,0 Sinn bzw. schadet.

Also wenn es wirklich eine Build vor RTM ist, würde ich zwingend eine aktuellere aus dem VL-Download per Inplace drüber bügeln. Wenn das nicht klappt, tendenziell am ehesten die RTM und danach eine aktuelle Build per Inplace. Das dürfte MS ausführlich getestet haben. Sobald RTM draussen ist, juckt sie die ganzen Pre-RTM eigentlich nicht mehr, die zahlende SA-Kundschaft dürfte aber Update-Support bekommen. 7 Jahre nach Release wirst aber schon zu den zahlkräftigen Kunden gehören müssen =) Dank VM's sind ja solche Übungen easy. Auch wenn ich für so "grobe" Fälle immer auch ein Cold-Clone ziehe und nicht nur einen SnapShot. Ansonsten für kuriose Fälle mal das Online-Update versuchen. Hat schon oft "Wunder" vollbracht wenn die manuelle Installation oder WSUS "überfordert" war. Insbesondere bei älteren Builds wo irgendwelche Update-Abhängigkeiten nicht sauber durch WSUS geschleift werden und somit ein Update bei der Bereinigung aus dem Katalog fliegt. Beim Online-Update passiert das nicht, weil nach dem löschen von SoftwareDistribution der ganze Krempel vollständig neu abgefragt wird. Also allenfalls lokal abgelehnte Updates auch wieder aktiviert sind. Mal ganz unabhängig von den ganzen Reperationslösungen: Warum eigentlich keine sauber Applikations-Migration auf 2022? So nach bald 7 Jahren und zwei neuen Windows Generationen dürfte dieser Zusatz Aufwand akzeptabel sein. Mir ist auch noch keine Applikation untergekommen, die Ärger gemacht hat. (Ausser der Dongle-Kram oder irgendwelche Security-Lösungen, aber das macht auch sonst Ärger) ;) Das ist eine relativ neue Meldung von Windows. Dient als Warnung, dass eben ein solcher Absturz der Applikation das verursachen könnte. Hat aber nix mit einem effektiven Vermutung zu tun, dass ein solcher auch tatsächlich stattfindet. Die tolle neue SystemSettings.exe ist voll mit solchen Abstürzen sobald die User-Dienste mal nicht verfügbar sind. Scheint grässlich programmiert zu sein. Was ein Spass wenn da die Exploits mal kommen. Die Windows-User-Apps kriegen von Windows ja gerne Firewall-Freipässe.

Wenn Du ein wirklich gutes und fortlaufend gepflegtes Script möchtest wäre AJTEK noch eine Überlegung wert. Früher war das Script kostenlos und quasi schon "Gold-Standard" und bügelte auch gewisse MS-Fehler z.B. in den Verkettungen oder OS-Bezeichnungen aus. Heute kostet es einen kleinen Obolus pro Jahr, ist dafür immer sehr up to date. Seither sind meine WSUS-Installationen clean und brauchen im Vergleich sehr viel weniger Platz. Obwohl ich alles an Updates behalte, die mal effektiv gebraucht wurde und nur verwerfe was tatsächlich ersetzt wurde und nicht mehr gebraucht wird. Und das wichtigste, ich muss mich nicht mehr Ärgern Der Pflegaufwand für die WSUS-Server ist quasi gegen 0 geworden und beschränkt sich auf das reine Freigeben/Überwachen. SQL-Express würde ich tunlichst vermeiden. Habe mich selbst Jahrleang damit rumgeärgert. Die DB wächst selbst mit sehr wenigen Clients rasant und mit den guten Scripts recht schnell über 10GB, auch wenn es sich normal immer in der Gegend um die 8-12GB einpendelt wenn man fleissig cleaned. Scheint so das minimum zu sein was es ungefähr braucht. Also entweder Interne DB die - ich weiss es klingt schräg - praktisch keinerlei Sicherheitsupdates seitens MS bekommt oder aber eine Kauf-Version. Zumindest konnte ich noch nie eine SQL-CU über eine interne DB bügeln. SQL-Server hat ein paar Geschwindigkeitsvorteile, auch mit dem AJTEK Script.

Mittlerweile klappt es ja sogar auf Deutsch =) Mal noch eine Frage: Ihr seht das schon auch so, dass die August-Updates lediglich der besseren Protokollierung dienen, wenn man noch nicht enforcen kann oder? Sprich wenn man vorher die Signierung bereits auf 2 (für "immer") stehen hat, braucht es weder die ADMX noch die Protokoll-Flags? Bin etwas faul

Für das nächste Mal, Rechte von Systemprogrammen sollte man im Grundsatz beibehalten und nicht verändern. Sprich CMD oder das Tool deiner Wahl mit den notwendigen Rechten öffnen und dann kopieren damit die korrekten Rechte vorhanden sind. Ausser eben man will sie explizit anders haben. Ansonsten: Mir persönlich gefällt Dein Weg nicht. Windows Defender ist eine Sicherheitskomponente, an der solllte man eigentlich nicht "rumspielen" müssen.

Naja, solange das wirklich so heisst und nicht "%ProgramData%\Microsoft\Windows Defender\Platform\<Version>" bestimmt... Spass beiseite, geht davon aus, dass du Dich vertippselt hast. ;) Wie auch immer, dann weiss ich auch nicht weiter und würde auch nicht ewig dran rummachen. Entweder gibts nen Installer von MS und wenn nicht würde ich einmal neu. Wenn es VM's sind ist es ja easy. Kannst den Kram auch gleich aufteilen. - DC/Filer herunterfahren, Cold Copy der Systemplatte auf die Seite legen (optimalerweise auch die Datenplatte, so für alle Fälle) - Neuer DC, promoten, kontrollieren das alles repliziert wurde, alle FSMO-Rollen übertragen, den alten demoten (allenfalls vorher herunterfahren und schauen ob sich noch alle anmelden können --> Ich mache das jeweils weils eine Sache von ein paar Minuten ist, manche findens unnötig) - Danach vom alten Server die Freigaben exporterieren (Registry) - den alten DC/Filer abschalten - neuen Filer installieren, gleicher Name, gleiche IP, in domäne einbinden - Datenplatte aus dem alten Filer einbinden - Freigaben in die Registry importieren - Reboot Am besten in einem Wartungsfenster machen. Sollte es grässlich in die Hose gehen, könntest immer noch zu Deinem aktuellen Stand zurück indem Du die alten Systemplatte wieder aktivierst. Du könntest natürlich den ehamligen DC auch als Filer ohne die DC-Rolle weiterlaufen lassen und z.B. ein Inplace einer aktuellen Build der gleichen Version drüberbügeln. Dann sollten Freigaben etc. erhalten bleiben und die ganzen Windows-Systemdienste sind wieder zurückgesetzt. Ich persönlich mag es aber nicht, wenn ehemalige DC's weiterlaufen. ;)

Klingt jetzt etwas seltsam aber es gibt ja vieles. Vielleicht ist das Cleanup Script eben nicht so sauber im aufräumen. MS hat beim Defender die glorreiche Idee gehabt, mit jeder Version auch einen neuen Pfad mit der neuen Version zu hinterlegen. Keine Ahnung wozu das gut ist, aber ist so. Die Frage ist, ob das Problem gelöst ist, wenn Du den Pfad des Services einfach manuell auf die neue EXE umschreibt. In der Registry den aktuellen Pfad der EXE eintragen, danach Service starten, allenfalls ein Reboot. Regedit mit erhöhten Rechten starten. HKLM\SYSTEM\CurrentControlSet\Services\WinDefend\ImagePath

Sicher, dass Dir keiner einen Streich spielt? Ich finde es ziemlich schräg weil eine Malware deaktiviert in der Regel nicht die Druckerwarteschlage. Die ist schliesslich ihr Lieblingsziel um auf ein System zu kommen. Ausser dem Updatekram macht der Rest eigentlich ebenso wenig Sinn, dass er durch eine Malware deaktiviert werden soll. Sind jetzt eher die Dienste die man aus Privacy-Gründen deaktiviert. Hast Du allenfalls ein "Privacy-Pseudo-Security-Tuning" Programm installiert? Falls ja bewirkt diese vielleicht so ein verhalten bei Browser oder E-Mail Client Start. Falls nein, klingt das eher nach Schikane-Ware. Bist Du im Bildungswesen tätig oder hast Ärger mit den Lausbuben in der Nachbars***aft? ;) Nur würde ich auch dann platt machen und einmal neu. Ausser Du findest den Verursacher und der steckt Dir, was und wie genau er gemacht hat. Wenn es externe Software war, dann auf alle Fälle platt und neu. Sonstige Vorschläge: - Schau ob Thunderbird nicht per Script statt Verknüpfung geöffnet wird - Deaktiviere mal alle Thunderbird-Dienste und was nicht nach MS aussieht ( Dann Reboot und schauen wie das Verhalten ist) - Überprüfe/Vergleiche die Dienste mit einem anderen PC mit gleichem Patchstand, insbesondere die Triggers und Exe's dahinter - Überprüfe/Vergleiche im Aufgabenplaner die Tasks. Registry oder MMC oder beides, allenfalls gibts da was für Thunderbird - Zur Sicherheit auch das Firewall-Logging aktivieren (auditpol) und Standardmässig Block-Out einstellen, dann schaust wohin alles eine Verbindung aufgebaut wird. Die Überprüfungen kannst auch mit Regshots machen und diese Vergleichen. Vorzugsweise mit System oder TI-Rechten öffnen damit man sicher auf alles Zugriff hat. Das ist alles recht zeitaufwändig und lohnt sich eigentlich nur wenn man wissen will, was da vor sich geht. Auch wenn ich eher zu den Inplace-Gegnern gehöre, könntest eine Iso mit aktuellem Patchstand drüberbügeln. Bei Home/Pro bekommst ja eh immer wieder mal ein neues OS. Also wenn Du bis jetzt keine Probleme hattest, dann wird auch ein weiteres Inplace voraussichtlich keinen Ärger machen. Die Windows-Systemdienste werden damit allesamt zurückgesetzt. Die nachträglich "installierten" müsstest Du selber schauen, dass sie noch in Ordnung sind. Am besten vorgängig alle deaktivieren/deinstallieren. Ebenso die Antiviruslösung.

Früher als es im Winter noch schneite - müssten an die 20 Jahre her sein - , war ich mit Ayumni PDF-Converter aus allen Programmen heraus erfolgreich. Sogar Excel, Access-Reports etc. konnte der fehlerfrei darstellen, feine Linien und allem Pipapo. Was damals nichtmal der Printer von Adobe selbst konnte. Den Dateipfad konnte man vor dem Druck vorlegen. Den Printer sogar direkt in VB ansprechen. Book- und Watermarks hinzufügen etc. Der lief von Windows 3.1 bis hin zu XP problemlos. War glaub nichtmal 1 MB gross das Ding (Müsste ich mal tief in der Kiste graben) Ob die Firma heute noch was taugt, kann ich nicht sagen. Wenn die gleichermassen Innovativ ist wie früher, tippe ich auf ein Ja Im Grunde kannst sowieso nur alles an Covertern durchtesten was der Markt so hergibt und wenn Du tatsächlich einen findest der den Output so generieren kann wie du willst, prüfen ob Du irgend in einer Form einen automatisierten Output generieren kannst. Bezüglich Windows XPS/PrintToPDF gibts auch Möglichkeiten: https://stackoverflow.com/questions/69169267/how-to-skip-choosing-folder-in-microsoft-pdf-printer CAD-Programme vermurksen gerne die PDF's. Unterschlagen z.B. Toleranzen, die Ziffern, nur den Text. Da gibts wirklich alles. Sprich auch wenn das mit "normalen" PDF's funktioniert, mit solchen tut es das meistens nicht. Was genau die vermurksen damit es im Reader dennoch korrekt dargestellt wird, weiss ich nicht. Auch die unsäglichen Haarlinien stellen alle welche PDF's korrekt interpretieren, quasi durchsichtig dar. Adobe verbiegt hier ihren eigenen Standard und stellt diese Linien dicker dar. Keine Ahnung auf welchem Mist das gewachsen ist.

Geht wohl in die Richtung, dass die Regeln für Sicherheit, Updates und Compliance an den normalen Edge weitergereicht werden. Andere Dinge wie Browser-Features für den "normalen" Edge aber nicht (mehr?) abgedreht werden können sollen. Sie nennen das "Light-Managed". Sprich man kann wohl nicht mehr alle Bereiche des normalen Edge kontrollieren. Zumindest nicht per Policy. In den Kommentaren wurde sich darüber ausgelassen, MS-Mitarbeiter haben auch ein paar Statements abgegeben: https://techcommunity.microsoft.com/t5/microsoft-edge-insider/microsoft-edge-for-business-faq/ba-p/3891837 So richtig weiss ich noch nicht was ich davon halten soll... Sieht auf den ersten Blick wieder mal nach einer tollen Idee aus, welche durch zu viele Abteilungen gewandert ist anstatt in der technischen zu verbleiben.

Salut zusammen, Es scheint seit ca. einem Monat eine Business-Version der Edge Version zu geben. Infos: https://blogs.windows.com/msedgedev/2023/08/22/microsoft-edge-for-business-now-available/ So ganz schlau wurde ich persönlich aus den Infos nicht. Vor allem nicht ob man Vorteile hat ohne die MS-Anmeldung. Sitzt wer an der Quelle? EDIT: Also so nach einiger Recherche, ist es möglich, dass die GPO's nur noch auf den Business Edge ziehen und für den normalen Edge Wirkungslos sein werden? Grüsse und Danke

Und die nachfolgenden Empfehlungen lauten allesamt Import/Export. Wo ich mich nur anschliessen kann.

Na er soll doch auch kein Inplace machen sondern export/import. Dann geht das. Habe ich in jeder Umgebung so gemacht. 2016/2019 allesamt übersprungen.

Zwar schon etwas her, aber bezüglich Migration bin ich bei den anderen. Ich würde nur gleich 2022 nehmen. Hat man wieder 10 Jahre Ruhe. Vor allem ist die Version wirklich herausragend gut gelungen finden ich. Dann würde ich Dir empfehlen die Printer mit der FQDN des Printservers zu verbinden und nicht wie früher üblich (sogar nur möglich?) via dem Hostnamen/IP. Dann bin ich fast sicher, dass die meisten User welche selber verbinden, tendenziell eher mit dem Hostnamen verbinden. Bei meinen Umgebungen wars jedenfalls ausnahmslos so. Es gibt hier zwar Reg-Flags welche das entschärfen, aber es bleibt dennoch falsch. Mit den neuesten Sicherheitsupdates/Enforcements hat das auf alle Fälle mächtig Ärgerpotenzial. Spätestens wenn NTLM abgedreht wird, ist Ende Gelände Aber schon mit anderen Sicherheitsflags macht es mächtig Laune. Daher am besten per Scripts oder ähnlichem verbinden und vorgängig alle Netzwerkdrucker rauskicken (z.B. ein Clean Script laufen).

Das ist normal schon so. Der DC zeigt sie aber auch nur an, wenn sie nicht vorher geblockt werden sondern die Auth-Anfrage eben an den DC weitergeleitet wird. Auf dem DC habe ich NTLM vollständig geblockt, so wie auf allen anderen Maschinen auch. Kommt also eine NTLM-Anfrage an eine bestimmte Maschine, dann erscheint kein Eintrag auf dem DC sondern nur auf der Maschine. Weil sie eben vermutlich gar nie ankommt. Wenn man nun auf einer Maschine NTLM freigibt, dann werden lokale Konten authentifiziert (bei Zugriff von Remote), und gegen Domain Konten verworfen. Da eine Weiterleitung der Anfrage an den DC staattfindet, wird auch da ein Block geloggt. Bei der CA scheint das irgendwie anders zu laufen. Als ob die CA selber die Authentifzierung für Domain-Konten vornehmen würde. Oder eben der Block vom DC von der CA nicht stattfindet obwohl NTLM geblockt wird. Sind noch etwas halbgare Beobachtungen, Netzwerkverkehr habe ich noch nicht analysiert. Die GPO's, der Ausführung und die Auswirkungen aber schon. Auf alle Fälle reicht es aus, wenn ich NTLM Anfragen auf der CA freigebe (was ich nicht toll finde). Nun, früher war es noch das Ding am Himmel welches einem zu schaffen gemacht hat... Wobei die macht das immer noch... Aber das Gewitter der virtuellen Cloud kommt bestimmt auch noch in die Realität. Nur eine Frage der Zeit. Aber ist doch wahr, eine solche extreme Zentralisierung ist doch völlig verblödet. Ich werde es nie begreifen wieso man nichts aus der Geschichte lernt. Es spielt keine Rolle ob die Konzentration nun auf wenige Menschen oder Maschinen ist, zu viel an einem zentralen Ort ist nie gesund wenn ganze Regionen oder Länder betroffen sind. Wie würde man sagen in der QM-Risiko-Analyse, Eintritt des Ereignisses zur Zeit unwahrscheinlich, Auswirkungen katastrophal. Massnahmen zur Zeit keine bzw. Vollgas in diese Richtung, die Wahrscheinlichkeit ist ja klein. Bis irgend ein Volldepp das Gefühl hat er müsse irgendwo Krieg "spielen". Dann wird die Wahrscheinlichkeit schlagartig erhöht, die notwendigen Massnahmen sind dann aber nicht mehr fristgerecht umzusetzen.

Ich bin immer wieder erstaunt, dass man politisch eine solch hohe zentralisierte Abhängigkeit duldet. Bei einem Hackangriff oder sogar physischen Angriff auf ein einzelnes solches Zentrum sind gleich tausende Firmen auf einen Schlag handlungsunfähig. *kopfschüttel* Wird seinen Anteil am Untergang des Westens beitragen. Aber noch fast jede Hochkultur in der Geschichte hat sich irgendwann selbst zugrunde gerichtet.

Die paar MB einer CA? Irgendwie beschämend, dass man die nicht minimal pflegen kann...

Also ja die Abhängigkeit gibt es nach wie vor... Klingt nach einem schlechten Scherz. Oder übersehe ich etwas? Man soll NTLM deaktivieren wegen der Relay-Attacken, aber ist ja wenig zielführend wenn man dafür keine Zertifikate mehr ausrollen kann (ausser händischem Request). Ist das ein bewusst totgeschwiegenes "Detail" oder plappern einfach alle Blogger einander nach und keiner setzt es um (auch wenn meistens im Web-Kontext davon gesprochen wird, aber im LAN ist NTLM ja das selbe Probleme) *schultzeruck* Bin ja mal gespannt wann MS das ausrollen will... Wenn sie ihre eigene Timeline befolgen, soll man ja bis im November alles auf Kerberos umgestellt haben... Schwierig wenn die Möglichkeit scheinbar noch gar niemand kennt, gar nicht vorhanden ist geschweige den breitgefächert festgestellt wird (sonst würde es ja mehr Threads dazu geben oder? ) Kennt ihr eine Möglichkeit dafür Kerberos zu forcieren? Gibt es die überhaupt?

Salut Zusammen, Kann mir jemand bestätigen oder klar verneinen, dass das 0815 Zertifikat-Enrollment z.B. für ein Computerzertifikat nach wie vor eine Abhängigkeit von NTLM hat oder eben nicht hat? (Betrifft den manuellen Bezug via certlm.msc/certreq.exe als auch das AutoEnrollment) Die Zertifikanforderung konnte nicht an die Zertifizierungsstelle übermittelt werden. URL: caFQDN\CA-DisplaynameMitDoofenLeerzeichen) Fehler: Die Anforderung wird nicht unterstützt. 0x80070032 (WIN32: 50 ERROR_NOT_SUPPORTED) - keine verworfene Pakete seitens Firewall - keine Kerberos Fehlermeldungen bis auf "KDC_ERR_PREAUTH_REQUIRED", gemäss MS-Webseite ist dieser Eintrag immer zu ignorieren?!? - keine sonstigen Log-Einträge auf dem Client Auf der CA wird ein NTLM-Block geworfen, heisst der Client möchte es mit NTLM versuchen. Entweder sofort oder nachdem Kerberos fehlgeschlagen ist. Noch ein Kuriosum: Freigabe von NTLM nur auf der CA nicht aber auf AD notwendig, normal ist für Domain Accounts auch eine Freigabe auf dem AD nötig. Ein Grund warum ich mir beim Scanner ein Relay bauen musste. Würde heissen entweder werden DC-Einstellungen umgangen (unschön), die Zertifikataustellung geschieht gegen ein Lokales Konto (was aber gemässs dem NTLM-Block nicht so ist. Targetserver ist unter LDAP der DC) oder die CA regelt das via ihrem Direktzugriff auf AD mit ihren eigenen Kerberos Credits, was auch wieder seltsam wäre ohne jegliche AD-Services. Wer möchte mich erleuchten? Hintergrundinfos, sofern von Belang: Rollen auf der Enterprise CA (zweistufig): - Active Directory-Zertifikatdienste>Zertifizierungstelle - Active Directory-Zertifikatdienste>Zertifizierungsstellen-Webregistrierung - IIS das mitinstalliert wir Die CA war ursprünglich auf einem 2012 R2 zu Hause, wurde gesichert und wieder eingespielt. Das Problem war auch auf dem 2012 vorhanden. Sofern das von belang ist (Konfigurationsaltlasten). Patchlevel ist aktuell. Auch wenn es die Webdienste betrifft die eigentlich nicht von der Party sein sollten (ausser ich verstehe da was falsch): IIS>CertEnroll>SSL erzwungen und es kann lesend auf die Dateien zugegriffen werden (Anonyme Authentifizierung) IIS>CertSrv>SSL erzwungen, Negotiate:Kerberos erzwungen, Keine Abfrage von Credentials in Firefox und somit Access Denied. Aktiviere ich NTLM, ist eine Authentifizierung möglich Idendität des App-Pools auf dem IIS habe ich sowhl mit User NetzwerkDienst als auch ApplicationPoolIdentity versucht. Das aber eigentlich mehr zum herausfinden ob Kerberos auf Firefox-Ebene funktionieren würde oder nicht. Scheinbar tut es das nicht. Einen separaten Benutzer habe ich mir erspart. Es läuft auf der CA zudem die gängigen Relay-Schutzmassnahmen wie die RPC-Filter für Remote-EFS, aber die blockieren ebenfalls nichts. Beim 2012R2 waren die Filter noch nicht aktiv und es ging auch nicht. Die Webdienste für die Zertifikate und Sperrlisten laufen auf ein Alias und nicht auf den internen Domain-Namen. Das wird auch per DNS aufgelöst. Grüsse und Danke für inputs

Kosten sind immer relativ. Das Schadens-Szenario ist deutlich wahrscheinlicher geworden als noch vor 20 Jahren. Gleichzeitig ist die Abhängig von der IT aber massiv gestiegen. In jeder Branche. Das erfordert ein Umdenken. Es gibt keine Sicherheit zum 0-Tarif. Auch in der IT nicht. Also entweder die Abhängigkeit reduzieren/herunterfahren statt auszubauen oder aber entsprechend investieren. Bequemlichkeit wird immer teuer erkauft. Auf die eine oder andere Weise. Auch wenn ich mich wiederhole, es war noch nie so einfach Chefs von der Investitionsnotwendigkeit zu überzeugen, das macht die Presse. Aktuelle erntet man als Dienstleister nur die tief hängenden Früchte. Das hat mit Verkauf aktuell nicht mehr viel zu tun. Wenn es dann schon daran scheitert, dass verschiedene Admin-Konten für verschiedene Computergruppen/Dienste bereits aus Sicht des Dienstleister zu viel Aufwand ist, dann sollte dieser vielleicht die Branche wechseln. Definitiv hat der Kunde den falschen Dienstleister. Egal welche Grösse er hat.

Auch wenn es aus dem Task von Testperson allenfalls herauslesbar ist. Ein Konto löschen geht nur, wenn man sich nach einem Neustart noch nicht angemeldet hat. Sprich frisch neu starten, mit einem anderen Account anmelden, unerwünschtes Konto löschen.

Also wenn es um Arbeitsplätze und nicht Notebooks geht, wäre eventuell auch ein richtiger Blickschutz ein Option. Entweder der Arbeitsplatz selbst oder eine Art Shroud wie es bei professionellen Grafikdisplays anzutreffen ist um Umwelteinflüsse möglichst zu vermeiden. Ein Bekannter löst dieses Problem gerade indem er Betrieben mit Grossraumbüros fixfertige, halbmobile "Kleinbüros" und Sitzungsräume liefert und installiert. Der Kann sich kaum retten vor Aufträgen. Bin gespannt wie lange es dauert, bis man von den Grossraumbüros wieder weg kommt und z.B. auf eine flexible Raumaufteilung setzt.

@MurdocX Sorry für die späte Antwort. Habe ich auch nicht so aufgefasst. Mir ist das ja auch ziemlich unlogisch und die Theorie und normale Praxis dazu ist mir ebenfalls bekannt, so ist es nicht. Aber erstellen musste ich auf dem Client nunmal Inbound und Outbound, sonst lief es nicht (mehr) und seither erstelle ich beide. Unsere Voraussetzungen sind in Deinem Test auf alle Fälle nicht identisch. Du greifst via IP zu und benutzt deshalb NTLM und kein Kerberos. Sprich NTLM ist gestattet wenn Du Zugriff bekommst. Ich erzwinge Kerberos. Wie sieht den Deine sonstige SMB-Konfiguration aus? Also Server und Client? Jeweils beides. Also SmbServer und SmbClient. RequireSecuritySignature, EnableStrictNameChecking, RejectUnencryptedAccess, SmbServerNameHardeningLevel auf 1, minium SMB-Level, ValidateTargetName und was ich allenfalls noch so vergessen habe das man setzen sollte und nicht Standard ist (Genaue Differenz zu Standard-Einstellungen müsste ich erst gegenprüfen). Ohne jetzt 100% sicher zu sein, aber meiner Meinung nach fing das Theater an, als ich alle diese Features gesetzt habe. Wobei ich einen Teil schon vorher hatte. Ob nun vor oder nach durchsetzen von Kerberos kann ich ebenfalls nicht mehr mit Sicherheit sagen. Schlicht zu lange her. Im Moment ist aber grad essig mit viel rumtesten. Am Feierabend bekomme ich bei diesem Wetter haue und am Tag grad keine Zeit