Weingeist

@MagHeinz: Da hast Du sicher nicht unrecht. Vielleicht ist es aber immerhin ein Anfang. Vielleicht auch nicht. Richtig helfen würde diesbezüglich sowieso nur, alles Offline zu nehmen. =) Die Illusionen das es gegen professionelle Angriffe/Software etwas nützt habe ich natürlich nicht. Egal ob von Extern oder durch eine Applikation. Dem OS an sich misstraue ich ned. Nur gewissen Diensten, Aufgaben und Apps. Wenn es nix nützt, war es immerhin gut um die Verkettungen/Abhängigkeiten der Dienste, Programme und Server besser zu begreifen. ;) Ansonsten für alle die es interessiert: Auditpol hat die gewünschten Ergebnisse im Ereignislog ausgespuckt. Zusammen mit ProzessID, Programmname, Protokoll etc. Also das was meiner Meinung nach eigentlich das Log der Windows-Firewall ausspucken müsste. Englisches OS: auditpol.exe /set /category:"Object Access" /subcategory:"Filtering Platform packet drop" /success:disable /failure:enable Deutsches OS: auditpol.exe /set /category:"Objektzugriff" /subcategory:"Filterplattform: verworfene Pakete" /success:disable /failure:enable

Hehe, ist doch tatsächlich ein Krankheitsbild davon... =) Da flüstert immer einer ins Ohr ich müsse die Software möglichst am Sammeln und übermitteln hindern. Muss ich mir Sorgen machen oder darf man es als "geht-mir-auf-die-Eier" abtun oder läuft das schon unter Verleugnung und forgeschrittenem Krankheitsbild? *lach* Danke für das Script, sieht vielversprechend aus!

Dankeschön für die Antworten. @daabm: Schön wärs. Da wird leider gar nix punkto Paket drop gelogt sondern nur wenn an den Regeln geschraubt wird. @magheinz: Nun, das kann man sehen wie man möchte. Meine Beweggründe sind - neben gewissen Sicherheitsbedenken - eher in meiner Abneigung gegenüber moderner OS und Apps und deren Datensammlungswut und Nachhause-telefoniererei begründet die sich nicht ohne weiteres für einen einfachen User per GUI abdrehen lässt. Das soll aber hier nicht das Thema sein. Ich möchte nur wissen wie ich zuverlässig aufzeichnen kann, welches Programm, Dienst, Prozess etwas senden möchte oder gesendet hat. Nichts weiter. @blub: Du meinst Paranoia ;) Naja, die meisten kleineren Unternehmen haben ja nicht wirklich eine "richtige" Firewall sowie einen extra Kollegen der den Kram auswertet. Da hat man den Provider der einem einen Teil davon abnimmt und sonst hängen die Kisten quasi direkt im Netz. Ein wenig Selbstschutz - selbst wenn es "nur" die Windowsfirewall ist - kann nicht schaden. Danke für die Links! @DocData: "Ergo: Selbst ist der Mann. Alles zu und dann sukzessive öffnen. Oder einfach ausgehend alles erlauben und dann am Perimeter ansetzen." Und genau deshalb möchte ich ja etwas, wo ich sehen kann wer was und wo sendet und geblockt wird, damit ich das selektiv zulassen kann. Aktuell geht das nur sehr mühsam via Tasklist und arp zusammen mit dem Firewallprotokoll und etwas Rätselraten. Wenn der Prozess aber bereits beendet ist, sieht mans ned mal. Etwas gefunden habe ich doch noch, mal sehen ob es den gewünschten Effekt bringt. Auditpol.exe. Mal sehen ob die Prozess-ID tatsächlich mitgeloggt wird.

Kann auch nur empfehlen die Timeserver-Geschichte gscheit aufzugleisen. Deine Probleme kommen wie die Vorredner schon sagten, gerne von Zeitdifferenzen. Die schicke Anleitung von Norbert ist da sehr hilfreich für die Konfiguration. Gerade in Verbindung mit einem ESXi und virtualisiertem PDC und vor allem bei mehreren DC's empfiehlt es sich aber schon, dass der Host bereits über eine korrekte Zeit verfügt. Irgendwoher nimmt sich der Client ja mal die Startzeit, auch wenn er sie anschliessend korrigiert. Was ich auch schon mehr als einmal vorgefunden habe, waren schlechte LAN-Kabel. Die bewirken das gleiche Fehlerbild mit Clients die einfach so nicht mehr "sicher" sind. Also z.B. ehemals für 100 verlegt und jetzt mit 1000 Gbit drüber. Da werden unter Umständen so viele Pakete verworfen, dass keine saubere Kommunikation stattfinden kann auch wenn es zum arbeiten funktioniert. --> Abhilfe hier: neue Leitungen, Ports am Switch manuell drosseln oder einen kleinen 100er Switch mit in die Leitung hängen. Mit Wireshark sieht man wieiviele Pakete "verloren" gehen. Den ESXi mag ich persönlich ned so direkt in der Domäne/Internet. Leider bleibt einem meist nichts anderes übrig wenn man nicht über einen eigenen physischen Zeitserver verfügt. Einigermassen bezahlbar gibts die z.B. von einem deutschen Unternehmen namens Meinberg. Die haben auch Geräte mit mehreren getrennten LAN-Ports um die verschiedenen Netze zu trennen. Ansonsen gibts noch die Möglichkeit das jeweils manuell zu machen und zu schauen, dass der Host immer weniger als 5 minuten abweicht. Dann gibts eigentlich auch kein Probleme. Ausser das es der ESXi nicht so mit der Zeitumstellung hat. Oder Du erstellst eine zweite Netzwerkkarte vom DC zum Host und schaltest die Verbindung nur ab und wann frei. Leider lässt sich ja die Windows-Firewall nicht pro Adapter konfigurieren wie das z.B. mit dem TMG möglich wäre und so das ganze sicherer wäre. Da könnte man nur das Zeitserverprotokoll/Port auf diesem Adapter freigeben.

Hallo Leute, Seit einiger Zeit beschäftige ich mich - wieder einmal - etwas ausführlicher mit der erweiterten Firewall bzw. vor allem mit dem ausgehenden Datenverkehr. Für den eingehenden Verkehr gibt es ja wunderbare, vorgefertigte Regeln für Rollen, Anwendungen oder Dienste. Das trifft für den ausgehenden Verkehr leider nicht im gleichen Masse zu, dieser ist standardmässig auf Durchzug gestellt. Möchte man also standardmässig Blockieren und nur den gewünschten Verkehr zulassen, fangen die Probleme an und Windows funktioniert nicht mehr Out-Of-The-Box mit Standardeinstellungen. Auch vorgefertigte Regelsätze sucht man vergebens. Nicht einmal für DNS/AD gibts solche die eine zuverlässige Kommunikation ermöglichen. Kennt jemand Literatur - am liebsten von Microsoft - welche für die verschiedenen Windows-Dienste und Rollen nich nur die notwendigen Ports, sondern auch die entsprechenden Dienste, Programme, Anwendungsgruppen auflistet? Wenn Windows schon die Voraussetzungen bietet die Ports nur für den entsprechenden Zweck freizugeben, wäre es schön, wenn man auch wüsste wer was genau braucht. Leider habe ich trotz bereits mehrfacher, stundenlanger Recherche keine Möglichkeit gefunden, der Firewall ein besseres Log zu verpassen wo neben der IP sowie den Ports auch Programme, Dienste etc. mitgeschrieben werden welche einen Zugriff ausgelöst haben. Dann wäre die Bildung eigener Regeln relativ einfach auch wenn vorgefertigte Regelsätze von MS natürlich wünschenswert wären. Grüsse und vielen Dank!

So ungewöhnlich ist diese Konstellation gar nicht. Gemeinschaftspraxen von Ärzten mit einem gemeinsamen Computersystem aber eigener Buchhaltung laufen z.B. genau in diese Richtung. Es gibt zudem auch vielfältige Gründe bei Firmen. z.B. eine Kleinfirma welche Ihre Grosskunden über eine Zweitfirma beliefert, damit im Falle eines riesigen Schadens das Hauptgeschäft nicht gleich Konkurs ist. Es gibt eigentlich nur eine saubere Variante wenn die eine Firma nicht dem gleichen Eigentümer gehört. Mitarbeiter mit Computer-Kontakt sind bei der Firma angestellt, welche die Lizenzen und Hardware besitzt. Die Firma muss dann die Dienstleistung für Büro-arbeit weiterverrechnen.

Oh doch, die PDC-Emulator-Rolle ist ein SPOF. Auch ältere Software braucht ihn teilweise. Jeder andere DC ist sein Backup oder Hot-Standby. Kein einziger übernimmt seine Rolle automatisch. :-P

Da gabs ja noch was =) Wir drehen uns im Kreis. Wie gesagt, ich stimme zu, dass es nicht im Sinne der alten/klassichen BDC-Definition so ist. Dennoch übernehmen die anderen DC's eine Backupfunktion für die FSMO-Rollen. Von mir aus auch als Hot-Standby. Lassen wir es einfach dabei und ich hüte mich, das nochmals mit der Abkürzung BDC zu nennen. Soll ja ned jeder Thread so ausarten mit einer Defintions-Diskussion über ne Abkürzung. Von wegen weit weniger wichtig: Bei DFS bekommt man massive Probleme wenn der PDC-(Emulator) ausfällt und dieser auch zugleich das Primärziel eines Ordners beherbergt. Sehr viele - natürlich vor allem kleinere Umgebungen - haben auf dem DC mit der PDC-FSMO-Rolle (norm. auch die anderen) auch die Primären Ordnerziele des DFS am Start, da der DC auch der Haupt-Fileserver ist. Ma kann dann ned mal das Ordnerziel switchen auch wenn es ein zweites geben würde. Automatisch schon gar nicht. Insofern ist diese Rolle also sehr wichtig wenn man alles auf DFS-Ziele auslegt und somit ein SPOF für die Struktur. Insofern auch tatsächlich eine Art PDC im klassischen Sinn. Es ist schlicht noch nicht Fehlertolerant ausgeführt wie die ganzen anderen Arbeiten eines DC's. Sprich die anderen DC's welche diese Rolle nicht haben, sind eben ein Backup. Bei den anderen Rollen ist das nicht so gravierend im täglichen Betrieb. Schema-Änderungen fallen z.B. ja kaum in einen Recovery-Zyklus eines DC's. Im Grund ist es natürlich ein Designfehler wenn dem so ist, aber es ist gängige Praxis weil nicht viele von dieser PDC(-Emulator) Abhängigkeit wissen.

Hallo Zahni, die Panasonic klingen auch gut. Vielen Dank! Werde die Gerät mal testen. Eventuell wollen Sie gleich ein Multifunktionsgerät im Büro mit Drucker, Fax und allem Pipapo. Mal sehen...

@DocData: Das müsste - nach meinem Wissenstand - eigentlich genau anders rum sein. Bei 1+0, also richtigem RAID10 muss immer ein Partner da sein der die Disc spiegelt. Aber selbst bei 0+1 gibt es meines Wissens solche, die es so implementieren, dass eben darauf rücksichtig genommen wird, wo die spiegel eben liegen. Raid 6 kann in der Theorie ab einer gewissen Anzahl Discs ja tatsächlich schneller lesen als RAID 10 bei der gleichen Anzahl Platten. Allerdings spielen ja da auch Latenzen und Rechenleistung sowie Arbeitsspeicher der Controller eine Rolle was die Theorie in der Regel eben Theorie bleiben lässt. Bei den Controller die ich bis jetzt hatte - das reicht halt nur bis entry-level SAN - war RAID 10 sowohl beim lesen auch beim schreiben immer schneller.

Wenn man nicht gerade über ne richtig teure - keine Einsteiger - SAN verfügt, würde ich nach Möglichkeit immer auf RAID 10 setzen. Allerdings eben mit nem guten Controller und keinem Pseudo-Controller. - Write-Speed - Wiederherstellungszeit, Wiederherstellungsbelastung auf die Festplatten. Bei RAID 10 wird normal einfach die Platte Sektor für Sektor kopiert. Quasi in einem Rutsch. Bei RAID 6 brauchts zusätzlich die Paritiyberechnungen. Zusätzlich hat man eine 100% Belastung auf allen Platten und nicht nur dem Spiegelpartner. - Datensicherheit - wobei das einigermassen relativ ist. Läuft auf ne Wahrscheinlichkeitsrechnung hinaus. Bei RAID 10 darf von jedem Paar eine Platte ausfallen. Also theoretisch die hälfte der Platten. Fallen aber ein Paar aus, ist essig.) - Dann noch das eigentlich unmögliche bei gscheitem Backup: Kosten für ein allfälliges Datenrettungsunternehmen sollte so richtig alles schieflaufen. EDIT: Ausser man hat tatsächlich ein Platzproblem...

@Norbert: Es ist auch heute nach wie vor nicht so, dass alle DC's "gleichwertig" sind (Das weisst Du ja logischerweise auch). Die FSMO-Rollen sind Einzelmaschinen. Auch wenn sie getrennt sein können. Insofern sind die anderen Backups. Von mir aus können wirs gerne beenden. Ich habe meine Meinung Du Deine, keiner rückt davon ab. Diskussion führt also zu keinem Ziel. Dass ich es je nach dem nicht für alle klar geschrieben habe was ich meine, gebe ich gerne zu. Da fällt mir kein Zacken aus der Krone. @DocData: Du verstehst meine Aussage nicht. Gilt natürlich für alle FSMO-Rollen. Sämtliche DC's die keine FSMO Rolle haben sind nach meiner Auffassung faktisch BDC's für die nicht-innehabenden Rollen. Sie können diese Aufgabe nicht ohne zutun übernehmen. Ist also ein Backup. Ob das nun technisch identisch gelöst ist wie früher ist imho irrelevant. Aber egal. Beenden wir das einfach.

Och, wens MS das selber so macht und dann wohl auf Druck der Marketing-Abteilung ändert? Da wird es schon so sein. Hat dann nimmer viel mit pauschalisieren zu tun. ;)

Sehr schön. Dann sind wir immerhin der gleichen Meinung, dass wir anderer Meinung sind. :D

Schon möglich. Anfang Jahr wars noch defintiv so. Korrekt wäre die 6.4 trotzdem. Ist immer noch der gleiche Unterbau. Da hat sich ned allzuviel dran geändert. Aber mit den ganzen hinzugekommenen bzw. verbesserten Spy-Features hat es die 10 schon verdient. Ist diesbezüglich ein Wurf. :D

Nehme es zurück, aktuellere Builds haben mehr als 6.4 =) Da ists nun 10. irgendwas. Da haben sie die Techniktüre doch noch gefunden. :D 6.0 = Vista 6.1 = 7 6.2 = 8 6.3 = 8.1 6.4 = 10 (zumindest wars mal so)

Och.... Wenn man sich mit den Versionsnummern befasst, sieht man gut, das alles nach Vista immer noch Vista ist und nur eine Stelle hinter dem Koma sowie der Name geändert wurde. Das Marketing ist noch nicht 100%ig in der Technik-Abteilung angekommen. =)

Ist zwar immer noch OT aber: Wenn Du nach 15 Minuten schon aufgegeben hast, dann kannst Du nicht wirklich gscheite Argument im Sack gehabt haben. Nur mal so meine Meinung dazu. Bullshit ist das nicht, er will eben etwas besser beraten werden und nicht einfach etwas teures vor den Latz geknallt bekommen. Wenn er Aldi und Co PC's rumstehen hat, dann weiss man, dass er selber absolut keine Ahnung hat. Wirtschaftswissenschaftler: Oh, da bist Du entschuldigt. ;) Sorry will Dir nicht zu hart an den Karren fahren, deine Fachkompetenz in Sachen IT in allen ehren, aber 95% dieser Abkömmlinge haben noch keinen Cent auf eigene Rechnung/Risiko verdient und haben 0,0% Plan von der Real-Wirtschaft in einem typischen KMU-Betrieb. Wie auch, es wird an fast jeder Uni das komplette Gegenteil gelehrt. Auto: Ist immer wieder lustig aber auch traurig um zu sehen wie immer alles auf den dicken Schlitten geschoben wird. Sorry aber dein genannter beschäftigt z.B. 70 Mitarbeiter und hat sein Geschäft mit sehr viel Einsatz und persönlichem Risiko aufbauen müssen und 70 Arbeitsplätze geschaffen. Davon gibts tausende Betriebe in ganz DE und Europa. Wie viel Mannstunden der Inhaber da reinfliessen, davon hast Du echt absolut keine Ahnung wenn Du so redest. Damit hast Du Dir den Schuh gleich selber angezogen. ;) Ich habe tagtäglich mit Chefs von KMU's zu tun, bei den allermeisten brauchts nur die richtigen Argumente damit eine Investition getätigt wird. Jene die sich eine gute IT nicht leisten - bei entpsrechender Argumentation - , haben keinen 911er vor der Tür und können es auch nicht. Wenn Sie den Sinn sehen, sind die Mittelständer die ersten die Kohle für etwas ausgeben. Sofern sie es tatsächlich können. Dass die Verhandlungen härter sind ist klar, ist ja Ihr persönliches Geld das ausgegeben wird, nicht das der Firma bei der man angestellt ist. Das ist ein riesiger Unterschied. Erbschaft/Weitergabe Firma: Wie gesagt, ich weiss wovon ich Rede. Einfach solange man nur ein Büro hat. Extremst kompliziert wenn Produktion und hohe Warenbestände dazukommen. Auch ohne eine horrente Erbschaftssteuer. Betreffend Wählern: Spielt keine Rolle was ich wähle. Ich wähle das, was ich für die beste aller Kompromisse halte. So wie jeder. Dank der direkten Demokratie kann man diesen Leuten hier auch auf die Finger hauen wenn sies zu bunt treiben. Geschieht regelemässig. Dann heissts dann wieder, das gemeine Volk hat ja eh keine Ahnung, es braucht mehr Akademiker. =)

Das zu pauschalisieren halte ich für unkorrekt. Bezüglich IT ist meiner Meinung nach eher das Problem, dass Sie schlicht und einfach zu wenig informiert sind. In der Regel ist die IT nicht mit der Firma mitgewachsen. Es kam einfach mal wieder nen PC dazu. Der kostete meist ned viel. Da ist es halt am Dienstleister die Chef's abzuholen und Ihnen klar zu machen was es tatsächlich braucht bzw. sinnvoll wäre. Dass dies nicht identisch einfach ist wie in einem Grossunternehmen wo lauter Spezialisten und/oder Abnicker hocken die alles absegnen was ein Dienstleister vorschlägt, ist klar. Der typische Mittelständer hinterfragt. Kriegt er keine guten Antworten oder erklärt man es ihm nicht plausibel, dann ist man eben verkauft. Er gibt kein Geld aus, wenn er den Sinn nicht sieht. Ich finde das eher ne Tugend als was schlechtes. Wozu neue Schreibtische wens die alten auch tun? Ich schreibe auf nem alten weder besser noch schlechter. Du würdest Dich wundern wie es mit der Wirtschaft bachab gehen würde wenn es nur noch die verkalkten Konzerne mit ihren Aufgeblasenen Verwaltungsapparaten geben würde. Dann haben wir die Zweiklassengesellschaft zementiert. Gerade in der IT siehst wie sie ihre Markposition ausnutzen. Es gibt tausende Mittelständer, dass es auch da schwarze Schafe gibt, ist klar. Die gibts Überall. Geht halt mal wieder einer hops. Gibts ne Chance für nen neuen. Wenn Du grad politisch wirst mit der Erbschaftssteuer: Das ist nur gut so, ansonsten hätten die kleinen/mittleren Firmen keine Chance Ihren aufgebauten Betrieb weiterzugeben. Da steckt das Kapital nunmal hauptsächlich in der Firma, auch wenn da mal nen 911er rumsteht. Den haben sie meiner Meinung nach mehr verdient als sehr viele Angestellte im höheren Lohnbereich. Müsste man das alles versteuern bei der Übergabe, kann der Betrieb gleich zumachen. Wie sagt man so schön: Den Neid muss man sich verdienen, Schadenfreude bekommt man geschenkt.

@XP-Fan: Ich spreche nicht von den FSMO Rollen sondern von den anderen Server-Rollen wie Exchange, SQL, WSUS usw. @Norbert & DocData Aha... Kommt halt immer drauf an wie man verstehen möchte was andere schreiben =) Gerne noch mal: Es ist nach wie vor eine Tatsache, dass es die FSMO-Rolle "PDC Emulator" braucht und einiges nicht gscheit funktioniert wenn diese Rolle "down" ist. Unter anderem DFS, Zeitsynchronisation usw. Das Prinzip PDC/BDC natürlich nicht mehr das gleiche wie früher. Fakt ist, der Name wurde beibehalten daher stimmt meine Aussage. Er übernimmt nach wie vor einige wichtige Aufgaben ohne die das AD nicht wirklich gscheit läuft. Die anderen könnten diese Rolle übernehmen wenn der PDC down ist, tun es aber nicht automatisch. Die anderen funktioneren dann im Grunde als Backup auch wenn sie bei vielen Aufgaben gleiche Befugnisse haben. Ich sags mal anders: Heute ist es nicht nur ein Professor und ein oder mehrere Mitschreiber/Zuhörer sondern eben ein Abteilungsleiter mit Mitarbeitern die selber was tun dürfen. Nur hat der Abteilungsleiter eben nach wie vor weitreichende Aufgaben, dass ein AD bzw. ein Netzwerk ohne ihn nicht gscheit läuft. Gleiches gilt für die anderen FSMO-Rollen, wenn auch nicht mit der gleichen Tragweite für den Moment wenn Sie mal nicht funktionieren. Insofern ist er eben faktisch immer noch ein PDC und die anderen BDC's. Wenn auch nicht mehr mit identischem Aufgabenbreich wie früher. Dass das PDC/BDC Prinzip heute genauso funktioniert wie bei der klassichen Variante habe ich nie behauptet und werde ich nie behaupten.

Sei froh, dass der Mittelstand viele Dinge hinterfragt und nicht einfach abnickt. Genau deshalb ist ja auch so unbeliebt bei den Politikern/Konzernen. Er glaubt nicht alles. Dummerweise ist er innovativ und bringt dem Staat viel Steuergelder. ;)

Fakt ist, es braucht den PDC immer noch. Es wird jetzt einfach PDC-Emulator genannt. Ohne den PDC läuft so einiges nicht mehr. Also sind alle anderen grundsätzlich BDC's. PDC-Emulator ist einfach eine von den FSMO-Rollen. Aber auch andere können FSMO-"Chef" Rollen haben. Sprich man kann die Rollen auf verschiedene DC's aufteilen. Das macht aber in kleinem Umfeld wohl selten Sinn. Spezifisch den PDC gibts dann aber nach wie vor immer nur einen. Den SBS kannst sehr gut von allen Rollen ausser DC/DNS "befreien". Vorteilhafterweise - um nicht mit Fehlermeldungen überhäuft zu werden - schaltet man möglichst viel vom Assistenten ab.

Na die Tools sind doch trotzdem doll. Kann man ja gut auf ner isolierten VM oder so prüfen ob das eigene Script zieht. Auf den produktiven würde ich das nicht haben wollen. ;)

Es wird bestimmt ein Testprogramm mit ausgewählten Firmen abgespuhlt... Kleine Anekdote am Rande: Keine Ahnung ob das nur ein Gerücht ist oder der Realität entspricht: MS hat scheinbar ein oder zwei wichtige Arbeitsgruppen aufgelöst deren Ziel war, Qualität/Sicherheit der Updates bzw. allegmein des Codes zu sichern. Jetzt soll MS das ganze mit den Telemetry-Daten lösen wollen. Ich frage mich schon ernsthaft, wie lange es wohl geht, bis die neue Führung den ehemaligen Vorzeigebetrieb in Sachen Qualität, Sicherheit und Fairness in Grund und Boden gerichtet hat. Es vergeht keine Woche ohne dass schwer nachvollziehbare Entscheide an die Öffentlichkeit gelangen. Sehr sehr schade... Yeah, der Oberknaller.

Naja, wie kamst den auf die Traumwerte? Mit dem gleichen Raid-Set oder? Also dürfte das eigentlich auszuschliessen sein. Was ich mir noch vorstellen könnte: War vor HyperV auf dem Volume vielleicht das Schreibcache aktiviert und nun deaktiviert? Findest Du unter Laufwerke>Entsprechendes Laufwerk>Eigenschaften>Richtlinien. Das kann einen enormen Unterschied ausmachen. Des weiteren spielt es noch eine Rolle ob dein vorhergenender Test ein Random-Zugriff oder vielleicht nicht doch ein Sequentieller Zugriff war und Du da was verwechselt hast. ;) Dann gibts von vereinzelten Hersteller auch noch eine Drosselung der IO-Leistung durch den Controller die man nur aufheben kann, wenn man ne Zusatzlizenz kauft. Da ist die vielleicht nimmer aktiviert sofern vorhanden gewesen.