Jump to content

magheinz

Members
  • Gesamte Inhalte

    2.339
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von magheinz

  1. Hahaha. Stimmt zwar, aber warum sollte man sich dann herumärgern, wenn man es einfach umgehen kann? Viele dieser drittanbietertools wird von uns hier keiner ändern. Ausserdem kann man so auch gleich eine vernünftige Regeln basteln für doppelte Namen.
  2. Genau so hat es citrix dokumentiert und beschrieben. Ich hatte die Regeln nämlich im WEM gebaut. In der englischen Doku gabs dann ein Beispiel mit Sternchen. Das Fehlerbild ist auch dämlich. Der erste Aufruf des Programms funktionierte immer, ab dem zweiten kam die Sperrmeldung. Nach einem reboot ging es von vorne los.
  3. Um auf die Wildcard am Ende zu kommen habe ich Tage gebraucht...
  4. Einfach per powershell anlegen. Bei uns ist dann auch vorgegeben cn = samaccountname und upn + Mail =samaccountname@domain Der cn mir Leerzeichen drinn ist nervig, sobald man mal über dem Tellerand der GUI hinausschaut, deswegen schließen wir das aus.
  5. Du hast einen Rechner, der direkt in jedem der beiden Netze hängt? Ist denn der Rechner aus dem "Nebennetz" erreichbar? Das ist nicht klar. Bringt ja nix, wenn der PC mit einem Bein in dem zweiten Netz hängt. Vielleicht würde es helfen, wenn du das ganze mal aufmalst.
  6. Mal eine ganze andere Idee: Hat jemand webex dafür im Einsatz? Es gibt ja exta "webex support" Support https://www.webex.com/de/remote-support.html
  7. Die Sicherste Firewall von allen. Wir haben noch kleine Cisco Firepowers aus der 1000er Serie für kleine Anschlüsse.
  8. Ich versuche den Krams gerade mal mit anderen Ports zu kompilieren. Parallel bin ich auf MeshCentral gestossen. https://meshcentral.com/docs/MeshCentral2DesignArchitecture.pdf
  9. Für uns ist nicht anydesk das Problem, sondern der Versuch vom BSI, das ganze geheim zu halten und die immer noch auffälligen Unterschiede der Kommunikation z.B. zu den Franzosen.
  10. Wir sind auch gerade dabei die Patchboxen zu bestellen. Das geht aber wirklich ins Geld und befreit nicht vom eigentlichen Beschriftungsproblem. Hier zeigt sich vor allem auch ein Problem: man muss das konsequent machen. Mal schnell ein Kabel stecken ist dann tödlich. Zur Beschrifung nutzen wird einem Brady BMP42 mit den Kabelfanen B-499. Jeweils eine an jedem Kabelende und jeweils auf der Vorderseite der eine Port und auf der Rückseite der andere Port. So kann man jedes Kabel jederzeit neu stecken, auch wenn es einer komplett herausgezogen hat.
  11. In der Doku steht: "Für Pro-Benutzer ohne SSL-Proxy müssen Sie den TCP-Port 21114 öffnen, damit die API funktioniert. Alternativ können Sie mit einem SSL-Proxy den TCP-Port 443 öffnen." Das wollte ich mal austesten.
  12. Das ist genau unser Thema hier. Ganz genau genommen der Umgang durch das BSI mit dem Thema.
  13. Ich bin gerade dabei RustDesk zu evaluieren, da wir auch von AnyDesk wegwollen.
  14. Sagen wir so: verstehen tu ich es noch nicht, meine aber erkannt zu haben, dass es normal ist, dass Anwendungen diese beiden "Dateien" offen hat. Sollte da niemand widersprechen kann hier zugemacht werden.
  15. Hallo, Ich habe hier auf einem 2022er Terminalserver(Citrix VDA, sollte aber keine Rolle spielen), eine Anwendung, die laut Ressourcenmonitor c:\$logfile und c:\$mft offen hat. Ich hab das noch nie gesehen und wundere mich etwas darüber. Ich wundere mich, dass normale Anwendungen da direkt drauf zugreifen. Das ist doch das NTFS-Journaling und die Dateitabelle? gruß aus Berlin, magheinz ok, chrome macht das auch. scheint normales Verhalten zu sein.
  16. nimm haproxy. du brauchst ein frontend und für jeden der dienste ein backend, welches per acl unterschieden wird. (vorsicht, ganz grob!) frontend foobar bind IP:80 bind IP:443 ssl crt /etc/ssl/certs/mysite.pem http-request redirect scheme https unless { ssl_fc } use_backend foo_servers if { path_beg /foo/ } use_backend bar_servers if { path_beg /bar/ } backend foo_server balance roundrobin cookie SERVERUSED insert indirect nocache option httpchk HEAD / default-server check maxconn 20 server foo_Server01 IP1-intern:80 cookie server1 backend bar_server balance roundrobin cookie SERVERUSED insert indirect nocache option httpchk HEAD / default-server check maxconn 20 server bar_Server01 IP2-intern:80 cookie server1 https://www.haproxy.com/blog/the-four-essential-sections-of-an-haproxy-configuration/
  17. The basic definitions are simple: A reverse proxy accepts a request from a client, forwards it to a server that can fulfill it, and returns the server’s response to the client. A load balancer distributes incoming client requests among a group of servers, in each case returning the response from the selected server to the appropriate client. hab ich bei nginx geklaut: https://www.nginx.com/resources/glossary/reverse-proxy-vs-load-balancer/ nginx kann halt noch viel mehr. Wer viel mehr kann macht auch viel mehr Fehler.
  18. Sonst wäre es ja ein reiner Loadbalancer... Aber ja, mit einem reverseproxy kannst du natürlich alle Zugriffe Steuern, verändern etc. z.B. terminieren die SSL-Verbindungen bei uns am Ha-proxy. Von dort werden nur ganz bestimmte Verbindungen weitergereicht. Allerdings wird Exchange demnächst hinter die netscaler wandern und alle https-Verbindungen werden, soweit möglich, mit einem zweiten Faktor abgesichert. Weil ha-proxy genau dafür da ist. nginx ist in erster Linie ein Webserver.
  19. Für die Juristen bedeutet es: Die Regel ist so, aber es gibt Ausnahmen. Es ist also eine Abschwächung der Aussage. Ich wollte ja keine Pauschalaussage treffen natürlich nicht. Aber um z.b. über einen ha-proxy auf den exchange zu kommen musst du zwei Systeme aufmachen und nicht nur eins. Außerdem kann ich am vorgelagerten LB/reverseproxy bei vielen Protokollen noch eine extra Authentifizierung einbauen Also: automatisch macht es nichts sicherer, aber es bringt zahlreiche Möglichkeiten, das ganze System sicherer zu machen.
  20. ich finde ICH nicht pauschal. andere können das ja anders machen. Bei mir stehen in der DMZ grundsätzliche keine Windowsserver, sondern maximal Loadbalancer/Reverseproxys die dann verbinden. In anderen Umgebungen mag es sinnvolle andere Lösungen geben.
  21. Sind ein paar Klicks im Webinterface. trivialer gehts nicht. ich würde nie einen Windowsserver direkt ins Internet stellen...
  22. Wenn du auch https-Dienste vom Exchange online hast ist ein Reverseproxy eh eine gute Sache...
  23. Wir fahren unsere netapps alle hybrid. Das geht ganz gut. Mal sehen, nächstes Jahr steht eigentliche der Austausch an. Hoffentlich macht uns das Corona keinen Strich durch die Rechnung und das Geld kommt trotzdem wie geplant., Leider läuft das bei uns noch einmal anders. Die interne IT wird gerne ignoriert und externe Experten auch, außer sie sagen dass, was bestimmte Leute hören wollen. Golem hat das schön beschrieben. Man könnte meinen, die haben die erste Analyse bei uns gemacht: https://www.golem.de/news/digitalisierung-in-firmen-warum-it-teams-oft-uebergangen-werden-2010-148906.html
  24. Danke für die Info. Manchmal gibt es es interessante Unterschiede zwischen Dienstleistern und Inhouse-IT. Wir sind übrigens auch öffentlicher Dienst. Dank corona war tatsächliche einiges finanziell und vergaberechtlich moglich, wovon wir sonst nur träumen. Mal sehen obs beim nächsten Systemwechsel für AFF reicht, ich hatte es ja schon beim letzten Systemwechsel gehofft...
×
×
  • Neu erstellen...