MurdocX

Hallo,

haben wir bei unserer RDS-Farm bisher nicht gehabt. Schon mal das Profil des Benutzers erneuert? Oder ist das Problem Random?

vor 2 Minuten schrieb teletubbieland:

Allerdings hatte ich ein ähnliches Verhalten mit 2016 RDS.

Ich kenne das noch von einer betreuten Terminalserver-Farm von 2003 und 2008 

Und ja, jeder TS wurde jede Nacht Neu gestartet und die Probleme waren weg. Fairerweise war der RAM bei allen Servern unterdimensioniert und es wurde viel ausgelagert.

VG,

Jan

vor 10 Stunden schrieb xrated2:

P.S wenn man 3. macht, fügt der dann nicht wieder das gleiche wie in 1. hinzu?

Nein, sonst hätte ich es ja nicht erwähnt ;)

Ausprobieren und unterschied erkennen. Ein feiner, aber wichtiger Unterschied.

Hallo,

helfen könnte noch:

• Den Dienst auf "Verzögerten Start" zu stellen
• Network location awareness not detecting domain network from offsite location - Microsoft Q&A

Man brauchst halt immer etwas Zeit und Motivation sich dort reinzukämpfen. Wenn das Grundkonstrukt mal im Hirn verankert ist, dann läufts auch mit .... den Nodes  

Wir haben jetzt hier ein kleines "kuddel muddel". ;)

Mach bitte folgendes:

1. Entferne "Authentifizierte Benutzer" unter der Delegierung.
2. Entferne "GPO-User-Onedrive" aus der Sicherheitsfilterung
3. Füge "Authentifizierte Benutzer" der Sicherheitsfilterung hinzu

Dann sollte es auch klappen.

Tipp: Filtere, wenn du dir nicht sicher bist, indem du die Benutzer in eine separate OU verschiebst und dort die GPO verlinkst (anwendest). Dann kann erstmal "Authentifizierte Benutzer" stehen bleiben, ohne weitere Auswirkungen für andere Benutzer. Solltest du dir sichererer sein, dann in die Produktiv-OU verknüpfen.

VG,

Jan

Hallo,

Am 18.4.2024 um 10:35 schrieb RalphT:

Kann man das wieder rückgänging machen?

Ja, die Berechtigungen sind nur vererbt. Suche die Basis-OU und entferne die gesetzten Einträge aus der Sicherheit. Damit werden sie auch von den unterliegenden Objekten entfernt.

VG,

Jan

Hallo,

es gibt die Möglichkeit "Auf das Netzwerk warten" als GPO.

Wurden unter den DNS-Einstellungen der aktiven Netzwerkkarte ausschließlich Domaincontroller für die Clients hinterlegt? Oder finden sich bspw. die Firewall oder andere DNS-Server in der Liste?

VG,
Jan

Hallo,

ich würde folgendes machen:

1. mstsc.exe öffnen
2. IP -> besser den DNS-Namen verwenden
3. Benutzernamen eintragen
4. Reiter "Allgemein" -> "Speichern unter" wählen und die Datei ablegen.
5. Datei zentral ablegen und eine Verknüpfung auf die Datei via GPO verteilen.

Vermutlich ist diese Lösung nicht nachhaltig, wenn der RDS eingesetzt wird. Anhand deiner Anfrage und Anforderung kann ich das leider nicht beurteilen.

VG,

Jan

Hallo @Rubinrot,

willkommen im Forum.

Für dieses Szenario möchte ich dir ein kleines, kostengünstiges und effizientes NAS empfehlen. Das ist genau dafür gemacht und tut was es soll. Schnell und Effizient.

Ein Windows 10 PC kann durch, viele verschiedenste Konstellationen oder Anwendungen, nicht funktionieren oder seinen Dienst einstellen. Empfehlen würde ich das nie.

Für einen Testaufbau würde ich folgendes konfigurieren:

1. Erstelle einen lokalen Benutzer, der für den späteren Zugriff von einem anderen PC auf die Freigabe genutzt werden soll
2. Erstellen einen Ordner
3. Berechtige den erstellten Benutzer mit "Ändern" auf dem Ordner (unter Sicherheit)
4. Gebe den Ordner frei und setzt die Freigabeberechtigung auf "Jeder" mit "Ändern"

VG,

Jan

Hallo @xrated2,

leider ist in deinen Screenshots nicht zu erkennen, dass das Feedback der Kollegen umgesetzt wurde.

Wo ist der PC (nicht der Benutzer) oder die PC-Gruppe in der Sicherheitsfilterung (oder Sicherheit) der die Benutzer-Richtlinie lesen darf?

vor 3 Stunden schrieb Sunny61:

Ich kann nur etwas von Lesen sehen.

Das passt so. In der GUI wird das leider nicht klar dargestellt (Lesen -> Ohne übernehmen; Lesen (durch Sicherheitsfilterung) -> mit übernehmen)

VG,

Jan

Sobald ich etwas vorzeigbares habe, gib ich Dir bescheid. :)

Der Connector nutzt die REST-API-Schnittstellen der Firewalls direkt. Benötigt wird hier nur ein readonly API-User oder ein generierter Token für die Abfragen. Ein Import aus einem anderen Dateiformat, statt der FW direkt, wäre auch möglich. Oder der Export der Regeln aus der FW in ein Dateiformat. Falls du Vorschläge hättest, gerne her damit.

Das Projekt werde ich auch auf GitHub veröffentlichen, um die nötige Transparenz zu geben. 

Aktuelle schreibe ich den Connector für die FortiGate/FortiManager. Für die SophosXG ist er schon fertig.

Ich sehe in Unternehmen 300+ Firewallregeln. Eine Visualisierung kann hier etwas mehr Transparenz bringen und Konfigurationsfehler aufdecken. Es wird verschiedene Ansichten geben, um hier unterschiedliche Fokusse setzen zu können.

Bisher gibt es AFAIK kein Tool das dies so abbildet. Selbst Bloodhound macht das nur auf Identity Basis.

Das ist ein sehr frühes Beispiel, wie das Visualisieren von Firewallregeln aussehen kann. Es lässt sich auch einfach erkennen, welchen Weg ich gehen kann, um einfach an mein Ziel zu kommen. Das soll bei einer Analyse des Netzwerks helfen.

Ein Beispiel wäre das hier:

Hallo @Squire,

danke für deinen Input. Leider bietet das Tool nicht das was ich benötige. 

Mittlerweile habe ich mir mittels GraphViz selbst ein Tool zum Abholen und Anzeigen der Daten.

Ich hatte schon vermutet, dass das Thema wohl etwas zu speziell ist  

VG,

Jan

Rein zufällig den aktuellen Patch auf den DCs installiert, ohne den OOB-Patch?

Hallo,

auf das Thema kann man auch etwas allgemeiner, mit einer höheren Flughöhe blicken. Die Betrachtung der Sicherheit ist immer nur eine Momentaufnahme. Nach Änderungen an der Infrastruktur, muss dies nochmal erfolgen. Realistisch gesprochen wird das vermutlich nicht so oft getan, wie man es müsste.

Resultierend ist es durchaus sinnvoll eher defensiv, also restriktiver, seine Zugriffsmöglichkeiten auszulegen. Manche mögen sagen: "Die Sicherheit fängt da an, wo die Bequemlichkeit des Admins aufhört". Wobei man sich, wie ich finde, auch gut an MFA etc. gewöhnen kann.

Wir haben für uns entschieden (Risikoabschätzung mit der GL), dass das nur verwaltete Geräte in unser Netz dürfen. Hier ist das Handy für die MFA, FIDO-Sticks etc. eingeschlossen.

VG,

Jan

Hallo @gerd33,

ich habe deinen Initialpost an unseren Standard angepasst. Bitte unsere Hinweise beachten.

Hilfe zur Selbsthilfe:

Mit diesem Control kannst du die (spezial) Formatierung deines Textes wieder entfernen. 

Hallo zusammen,

mein Ziel ist das visualisieren von Firewallregeln und Kommunikation im Netzwerk. Aktuell rufe ich ein einem FUN-Projekt mir meine nötigen Daten von der Firewall ab. Mir fehlt nur der Schritt der Visualisierung.

Kennt einer von Euch ein einfaches Tool zum anzeigen von Daten als eine DOT-Map oder eine fertige Softwarelösung die das kann? OpenSource ist hier von Vorteil. Auf dem Markt gibt es eine Menge Anwendungen. Fast alle benötigen etwas erhöhten Zeitaufwand (Einarbeitung, JavaScript entwickeln, etc), das ich mir gerne sparen möchte (Kinder, Arbeit, Frau.. und was daraus resultiert).

Am liebsten wäre mir einfach das konvertieren der Daten in ein gut dokumentiertes Dateiformat und -> RUN. Ideen oder schon mal gemacht?

VG,

Jan

Sollte jemand eine aktuelle "Kali" Version haben, lohnt sich auch ein Blick. Sie ist mit betroffen.

Das ist vermutlich nur die spitze des Eisbergs.. 

Hallo,

vor 5 Stunden schrieb Jensgebken:

wie bekomme ich das hin dass ich alle Mails angezeigt bekomme

es wird dich vermutlich etwas enttäuschen, denn der Suchdienst war noch nie das gelbe vom Ei. In oder OWA ist er zumindest besser, als auf dem Client selbst.

Hier die Möglichkeiten deine Suche etwas zu erweitern und präzisieren:

Durchsuchen von E-Mails und Personen in Outlook im Web - Microsoft-Support

Hallo,

ich habe lange gerungen hier zu Antworten. Wenn ich mir die anderen Kommentare ansehe, dann gehts anderen genauso  Das sollte sich schnell zusammenfassen lassen.

Unabhängig deiner Anfrage: Härten der Server u. Clients ist der richtige Weg

Abhängig deiner Anfrage: 

• EOL 2012 R2 war im Oktober 2023 - Windows Server 2012 R2 - Microsoft Lifecycle | Microsoft Learn
• Einen Server härten zu wollen, der keine Updates mehr bekommen macht keinen Sinn, denn der "Gewinn an Sicherheit" der erwartet wird, existiert nicht.
• Diese Zeit (& Geld) in die Migration zu einem aktuelleren Betriebssystem zu investieren ist IMHO für einen Dienstleister und Kunde ein wirklicher Gewinn.
•  - Aus meiner eigenen Erfahrung lässt sich so gut wie alles umziehen auf eine neuere Plattform - 
• Sollten unüberbrückbare Softwarehürden auftreten, empfiehlt es sich das System vom Rest zu isolieren, um einen echten Sicherheitsgewinn zu erreichen.

Hallo,

ich kenne das Produkt schon länger. Es funktioniert wie es soll und zuverlässig. Regelmäßiges einspielen von Updates und die Kontrolle das Backups fallen aber nicht weg. Bei kleineren Workloads sollte auch die Community-Edition noch passen.

Veeam Backup & Replication Community Edition – Dokumentation, Anleitungen und FAQ

VG,

Jan

Am 25.3.2024 um 21:29 schrieb Dutch_OnE:

Ich bin Eurer Meinung, aber wir wollen mit dem Support aufhören und der Kunde hat sich das selbst ausgesucht.

Ganz pragmatisch würde ich dann die Übergabe an einen anderen Dienstleister planen, statt vor dem Support-Ende nochmal eine Schippe an Komplexibilität draufzupacken. Support wird er danach mehr denn jeh benötigen.

Hallo,

ich meine mich erinnern zu können, dass MS bei den letzten Updates etwas an der Wiederherstellungspartition verändern/patchen möchte. Manche Installationen haben eine zu kleine Partition, weshalb nach einem Neustart dann doch die Installation fehlschlägt. Das sollte man über die Fehlermeldung herausbekommen.

Am 25.3.2024 um 15:42 schrieb Oreg0410:

Mein Workaround war dann alle deinstallierbaren Updates zu deinstallieren, eine Überinstallation des Betriebssystems ohne Prüfung der Updates zu machen und dann per Hand alle möglichen Updates nachzuholen, verlief dann erfolgreich.
Der Vorgang nahm aber pro Server einen vollen Arbeitstag in Anspruch, das Deinstallieren der alten Updates dauerte manchmal schon Stunden.

Dieses Verhalten kann ich bei meinen ~200 Servern (2012 R2 - 2022) nicht beobachten. Sollten vermehrt Probleme auftreten, gehen wir den Weg des geringsten und vorausschauenden Zeitaufwands.