mapi4780

Habe hier das exakt gleiche Problem. Bin noch auf der Suche nach einer Lösung.

Hallo,

Problem:

Wir haben einen TS2008R2  mit Citrix XenApp6.5

Der Zugriff erfolgt ausschliesslich über ThinClients - teilweise via VPN, teilweise über Gateway.

Eine bestimmte Applikation steuert Drucker/Kasse - welche SERIELL am TC angeschlossen sind an.

Das klappt im Regelfall auch wunderbar.

Die TC sind von CE6.0 bis zu T510 Windows7 embeddet unterschiedlich.

ABER

Wenn ein User (Unabhängig von Standort / TC / Zeit / etc...) die Session ID 9 erhält stürzt nach einem unbestimmten Zeitraum die Verbindung zum Drucker ab.

Solange dieser User = Filiale wieder die ID 9 bekommt, klappt die Verbindung zum Drucker nicht.

Das Problem tritt nur bei der ID 9 auf.

Kann nicht nachgestellt werden, da es manchmal gar nicht und manchmal schon nach 10 min. auftritt.

Unabhängig von der Verbindung und/oder Geschwindigkeit

Unabhängig vom angemeldeten Benutzer

Die einzige Konstante ist die SessionID 9

Derzeitiger Workaround.

User abmelden - anderen User anmelden, dass dieser die ID9 übernimmt - Betroffenen User wiederanmelden, andere ID (nicht 9) und Funktion wiederhergestellt.

Ich suche nach einem Workaround - die Session ID 9 entweder nicht zu vergeben oder zu belegen.

Das ganze muss aber automatisch passieren und auch nach einem Neustart funktionieren.

Ist es möglich, und wenn ja wie, die ID 9 nicht zu vergeben?

Nachtrag

Es ist ein CAG VPX 5.0.4

dreh mal die ganzen dienste welche

- du nicht brauchst und

- die den svchost nutzen

ab.

Beispiele sind

Windows Audio

Computerbrowser

Kryptografiedienste

DHCP-Client

COM+-Ereignissystem

Kompatibilität für schnelle Benutzerumschaltung

HID Input Service

Server

Arbeitsstationsdienst

Netzwerkverbindungen

NLA (Network Location Awareness}

RAS-Verbindungsverwaltung

Taskplaner

Systemereignisbenachrichtigung

Shellhardwareerkennung

Systemwiederherstellungsdienst

Telefonie

Designs

Überwachung verteilter Verknüpfungen (Client)

Windows-Verwalltungsinstrumentation

Automatische Updates

etc. etc....

auto-update (bei wsus) einstellungen und registry einträge kontrollieren und evt anpassen.

hauptursache für traffic ist meist der updatedienst.

ich nehme an dass deine svchost im system32 ordner liegt. ansonsten mal anti-schädlings-aktion starten.

Mal ne ganz ****e Frage, da ich deine Umgebung nicht kenne.

Wenn du verhindern willst, dass Geräte am Proxy vorbei ins Internet kommen.

Router- Firewall - NIC1 am Proxy - Proxy - NIC2 am Proxy - LAN.

Das wars dann. Proxy kann nicht umgangen werden.

(Sofern du nicht ein zusätzliches Kabel vom Router ins Netz legst.)

Sagt ja kein Mensch, dass irgendwelche Endgeräte direkt den Router erreichen müssen?!

@ Manuel

Was für ein Konzept schreibst du denn?

AV ist/sollte ja nur ein Teil eines Sicherheitskonzepts sein.

Was ist denn sonst noch vorhanden oder geplant?

Proxy Webfilter Spamwall...

Was gibt es zu schützen, welche IDS / IPS Systeme willst du einsetzen?

Ist Verschlüsselung ein Thema? Gesicherte Übertragung?

Sind mobile Geräte zusätzlich zu Laptops im Einsatz?

Smartphones, Ipads, etc...

da bleiben viele Fragen offen.

Kombinierter Spam/Virenschutz dem Exchange vorgeschaltet ist immer empfehlenswert.

(Evt. auch auslagern)

Was machen deine 2 2k8R2 Server?!

Zum Thema.

Ich bin kein Fan von Symantec.

Habe mit Endpoint Protection mehr Probleme als Nutzen gehabt.

Trend Micro, geht eigentlich immer ist aber auch nicht das gelbe vom Ei.

Für Server die nicht direkt Userinteraktionen und Internetaktivität haben, nehm ich gern die Microsoft Teile.

Bei den Clients finde ich Avira zusätzlich ganz ok.

In Verwendung habe ich meist eine Userumgebung auf Basis Trend Micro oder Kaspersky

Terminalserver o.ä. hast du ja nicht im Einsatz?

Zusammengefasst bin ich Kaspersky Fan.

~~

Würde mir mal die

Kaspersky Enterprise Space Security

für deine Clients, Mail und Fileserver ansehen.

Zusätzlich

- Spam und Virenschutz für Mails auslagern.

- wäre gut zu wissen was deine 2008er machen?!

Hallo zusammen. Ich hoffe ich bin in diesem Bereich richtig.

Ich such mir seit Stunden die Finger wund, komm aber nicht wirklich auf eine Lösung.

Ich habe hier eine RSA Umgebung.

Diese besteht aus 5 Servern (2 AM, 2 DC, 1 SMS-Appliance) und hat eine eigene Domain. (Keine Vertrauensstellungen oder ähnliches zu den zu authentifizierenden Domainen)

Aufbau:

2. Netze an 2 Standorten

(Lastausgleich zwischen Standorten)

2x virtuell 2k8r2 Server

1x RSA AM 7.1 + Radius (Primary)

(Hier die Self-Service Console hinter einem Proxy (TMG))

1x RSA AM 7.1 + Radius (Replica)

je 1x DC (SSL LDAP) pro Standort

HW Token, SW Token funktionieren tadellos.

Der Versand der on demand Token klappt auch. Allerdings klappt die Anmeldung mit on demand Token an der Self Service Konsole und an der AM Konsole nicht.

Frage: Kann es sein, dass die Konsolen zum "Trusted Realm" gehören und somit die Anmeldung mit on demand Token nicht möglich ist?

2.

Für eine Citrix Umgebung haben wir ein VPX Access Gateway.

Die Authentifizierung klappt. Das Teil ist als einfacher Authentication Agent angebunden.

Wie bekomme ich hier die on demand Token so hin dass nicht extra der Tokencode von der Self Service Console abgeholt werden muss. (Ja, das Enterprise Gateway kann das, wir möchten das aber billiger haben :-))

Gewünschter Ablauf:

Benutzer und Windowskennwort - weiter

Tokencode wird erstellt und versendet

Eingabe von RSA Pin+Tokencode -

Anmeldung abgeschlossen.

Kann es sein dass ich das mit RADIUS Challenge Respond hinbekomme?

Wenn ja, hat jemand eine Idee wie das zu konfigurieren ist?

Wäre über Tipps sehr dankbar.

Hallo Leute.

Wir haben einen Clearswift MIME Sweeper, eine Regel stellt Mails in einem *.msg Format zum Archivieren bereit. Es handelt sich dabei NICHT um das Outlook *.msg Format.

Die Archivlösung kann allerdings nur Outlook *.msg "auslesen" und richtig verarbeiten.

Ich tüftle grad an einem Script (oder auch jede andere Lösung), welches folgendes abbilden soll.

1. Die Datei liegt in einem *.msg (nicht Outlook) vor.

Dieses *.msg kommt vom MIMESweeper (Clearswift)

Ich brauche die Datei aber Outlook lesbar.

Also ändere ich die Dateiendung auf *.eml -> voila geht in Outlook auf.

Soweit auch kein Problem.

2. Diese Datei soll nun in ein Archivsystem übernommen werden, welches aber nur *.msg (Outlook) kann. (Wenn ich die Funktionen wie (Sender, Recipient, etc.) nutzen möchte.

Kann ich, und wenn ja wie, folgenden Vorgang automatisieren (am besten als Prozess abbilden)

1. Änderung der Dateiendung von *.msg (Clearswift) auf *.eml

2. Öffnen in Outlook, speichern unter *.msg (Outlook)

Leider komme ich auf nichts brauchbares.

Das Einlesen ins Archiv als *.eml funktioniert zwar, ist aber nur eine "kleine" Lösung. Dabei sollte dann auch noch der "Betreff" ausgelesen werden und dieser als Filename dienen. (Das krieg ich aber hin)

edit: "kleine Lösung" deshalb weil ich die "Mailinformationen" Sender Empfänger Betreff etc. nicht nutzen kann.

Vielleicht kann mir ja jemand den nötigen Gedankenanstoss geben wie ich aus dem *.msg (Clearswift) ein *.msg (Outlook) zaubere.

Also von sfdlfsdj234ljh.msg (CS) => betreff.msg (MO)

Der Clearswift Support kann es nicht. Oder sagt mir nicht, wie es gehen könnte.

Danke

edit: Sorry für den ****en Titel - stammt aus einer ersten Idee. Die aber nur den halben Weg abbildet.

Im Moment werden die Dateien per Script von *.msg auf *.eml umbenannt und auf ein Fileshare übertragen, das soll aber noch auf SFTP geändert werden, das ist aber die geringste meiner Sorgen.

Ich meinte ja nicht unbedingt als Maßnahme gegen einen DDoS Angriff.

Sondern um "WB / BF Logins" zu vereiteln.

Wenn der Angriff gerade auf den einen offenen Port zielt.. wie konfigurierst du dann "richtig"?

IP-Adressen sperren ist ziemlich sinnfrei. Davon gibt es zu viele ;)

:suspect:

Ist aber immerhin effektiv genug um einen solchen Angriff zu stoppen. Beim gestrigen Beispiel waren es immerhin an die 1000 Anfragen/sek

"Wörterbuch Attacke" triffts genau. Wir hatten verschiedeneste Frauennamen und die Klassiker wie "root" oder "admin". Verstehe ich das richtig, wenn es tatsächlich das ist, kann ich die Belästigung nur verhindern wenn ich Ports schliesse!?

1. Die IP des Angreifers rausfinden

2. Die IP an der Firewall sperren.

Automatisiert macht so etwas beispielsweise fail2ban (Nach soundsovielen fehlgeschlagenen Loginversuchen wird die IP soundsolange gesperrt)

Soweit mir bekannt häufen sich in den letzten Tagen wieder mal die Meldungen über Brute Force oder WB Angriffe auf Mailserver.

Wir haben gestern alleine auf einem 3 Unterschiedliche beobachtet.

Schau mal ob und wenn ja, was die LogFiles des Maildienstes hergeben.

Fall gestern (durch die Logs entsprechend nachzuvollziehen) dass der Angriff von einem "privaten" Rechner aus .pl gekommen ist.

Es ist somit auch nicht auszuschliessen dass Ihr bereits einen "Innentäter" sitzen habt, auch wenn ich eher vermute dass es sich um den oben geschilderten Angriff auf den Mailserver handelt.

Hi.

Was genau macht denn der Server?

Darauf, davor eine Firewall?

Wer "muss/soll" sich auf das Teil verbinden können?

...

edit.

Sind diese Anmeldeversuche dauerhaft oder phasenweise?

Wenn phasenweise zu welchen Zeiten?

Hi.

Meiner Meinung nach eine Treibergeschichte.

Ich verwende regelmäßig 2 verschiedene Headsets - eines mit Klinke das andere mit USB.

Beide schalten automatisch beim Anschliessen auf Headset um.

Beim USB Headset habe ich die Möglichkeit bei den Optionen für die Lautstärkeregelung auch ohne abkoppeln auf den Rechner zurückzuschalten.

edit: oder Headset und Lautsprecher gleichzeitig anzusteuern.

Ging allerdings erst nachdem der passende Treiber installiert war.

Bei den Klinkensteckern klappt das nicht.

Mahlzeit!

Der Gesamtaufbau stammt nicht von mir, allerdings finde ich es ganz gut gelöst.

Mein "Problem" war ja der Umzug der Mailboxen und nicht das Re-Design des ganzen Systems.

Firewall (Linux, sperrt anhand fail2ban über IPTables aufgrund der Logfiles der Edge-Server und der Mailfilter)

Edge Server, Linux

"Mailfilter" 2003 Server mit ClearSwift MIME Sweeper.

Dort werkeln dann auch 2 Virenscanner.

Dann gehts nochmal über die "interne Firewall" zu den Postfächern.

Sorry..

Hab von "hinten nach vorn" aufgelistet.

- Internet

- Firewall

- Edge Server

- "Mailfilter" (Spam/Virus/White/Blacklists etc)

- Firewall

- HUB/CAS Server

- Mailboxen

Die Verteilung der Malware läuft laut Microsoft unter anderem über das Exploit-Kit Black Hole, das den Rechner beim Besuch einer verseuchten Webseite auf bekannte Sicherheitslücken in Adobe Reader, Flash, Java und Windows abklopft. Hat das Exploit-Kit ein Schlupfloch gefunden, infiziert es den Rechner mit der Ransomware.

Quelle: Heise Security

edit:

Nicht immer sind es "unseriöse" Webseiten wo man sich per "drive by" etwas einfangen kann.

Schadcode auf schlecht gesicherte Webserver zu bringen ist durchaus eine sportliche Herausforderung für so manchen.

So kann es dann vorkommen dass von einer musikvereinxy.com eine Gefahr ausgeht. (Auch wenn hier nur eine beschränkte Zahl von Nutzern betroffen sein dürfte) ... dieses Beispiel hatten wir grad vor kurzem.

Mit ein wenig Hilfe und Support...

derzeitiger Ausbaustand:

2 Mailboxserver im DAG Verbund

2 CAS/HUB Server

2 Mailfilter

2 Edge Transport Server

...derzeit in 2 Racks in einem Serverraum, eines davon wird allerdings "umziehen" zum Ausfallstandort.

1. Testumgebung

2. Ausprobiert

3. Unfallfrei umgezogen

danke @dukel

Ging genauso einfach wie du es beschrieben hast.

-close-

Ich hab folgendes Problemchen:

Diese muss ich notgedrungen seiner Mutter geben.

Nö. Musst du nicht, wenn du das Teil ohnehin supportest.

Eine einfache Lösung wäre natürlich

Du sagst es, im nächsten Satz.

ich ihm per Teamviewer unterstützung bieten möchte

--> Papa machts! Sohn und Mama haben keine Rechte.

--> Neuinstallation "verhindern" (Bios Bootreihenfolge auf HDD und PW vergeben)

Hallo!

Mmn. spricht nichts dagegen, da es ja eine klare Anweisung gibt, dass die dienstliche Emailadresse nicht für private Zwecke zu verwenden ist.

Wenn also ja, dann würde ich persönlich personalisierte Postfächer vorziehen.

(Beispielsweise wenn Azubi mit Kundem schreibt ist es besser es ist der "Max Huber" als Absender als der "Azubi Nr 3")

So ist es auch bei uns.

Von Abteilungsbezogenen Accounts halte ich in der Regel nicht viel, diese sollten nur für "Servicedesk, Helpdesk etc" verwendet werden. Speziell der Versand über gemeinsame Postfächer sollte überdacht werden.

Im Falle, der Azubi macht Unfug, ist es einfacher nachzuvollziehen wenn er es von einem persönlichen Konto aus macht.

Kontrollmechanismus?! Woran denkst du bei der Kontrolle?!

Ehrlich gesagt fällt mir im Moment kein Fall ein dass jemals eine Überwachung notwendig oder sinnvoll gewesen wäre.

Zudem verfügen Eure Azubis ja über Internetzugriff, dann werden sie hoffentlich auch so helle sein und ihre Angelegenheiten via gmx oder hotmail oder dergleichen erledigen.

LG

@Nils

Weil "cheffe" niet sagt.

Leider gehts in diesem Fall nicht nach mir, ich bin nur der, der es ausbaden darf.

Sei es wie es ist, ...

Ich geh mir jetzt ne Testumgebung bauen.

Schönes Wochenende.

edit: sorry, überlesen.

3 unterschiedliche domains?

hast du unterschiedliche postfächer schon probiert?

welche gemeinsamkeit haben die 3 domains?

@Robert

Vielen Dank.

Ein externer Dienstleister kommt in diesem Fall nicht in Frage.

Den Rat betreffend Kurs nehm ich gern an. ;)

Servus!

Danke, deine Antwort macht mir schon mal Hoffnung.

Zum Verschieben der Postfächer..

1. Wie finden die Clients zum "neuen" Server?

2. Geht das im laufenden Betrieb?

edit:

Worauf ist unbedingt zu achten?

Wo liegt der Haken?

Bei der Aktion Daten zu verlieren oder den Betrieb zu unterbrechen wäre echt **