MurdocX

Mein Post war vor meinem Kaffee. ☕ Nach nochmaligem Lesen der Ausgangssituation bin ich ganz bei Dir.

Sehe ich auch so. Falls eine Sophos XG im Einsatz ist, dann folgenden Weg gehen: Network > DNS > "DNS host entry" -> Hier deinen Eintrag hinzufügen

Naja, Sophos hat 2. Um welche gehts?

Bitte nicht den Fokus verlieren... Da fehlt doch der Kaffee ☕

Schritt: Versuchs mal mit der Installation des SP4: Windows 2000 SP4 Network Download (winfuture.de) Updaterollup 1 für Windows 2000 mit SP4 (v2) Download (winfuture.de) Dann wirst du viele Updates wieder darauf haben. Klingt plausibel. Des Weiteren wurde auch von SHA1 auf SHA256 umgestellt. Das könnte auch noch ein Ansatz sein.

Jain Nicht unbedingt. Wenn du einen Router besitzt, den du für IPv6 konfigurieren kannst, dann brauchst du dafür nicht extra auf Windows DHCP umzusteigen. Anfangen kannst du mit IPv4. Das ist für die Meisten etwas einfacher. Setze dich parallel mit IPv6 auseinander und führe es dann bei Dir ein. Somit hast du eine funktionierende Umgebung und kannst gezielteres IPv6 Troubleshooting betreiben.

Gerne. Das ist i.d.R. ein klassischer Fehler in Testumgebungen. IPv6 musst du nicht standardmäßig ausschalten. Konfigurieren kannst du das auch. Wenn nichts konfiguriert ist, dann gibt sich Windows selbst eine Adresse (FE80::/10). Stelle sicher, dass ein SOHO-Gerät keine IPv6 Konfiguration verteilt. AFAIK passt das.

Um Troubleshooting zu betreiben erstmal schon. Danach, wenn es funktioniert, muss es dann sauber konfiguriert werden.

Deaktiviere mal IPv6 im DHCP, falls du einen Router wie bspw. die Fritzbox hast.

Du solltest vorher noch abschätzen wieviel Geräte du mit POE betreiben willst, denn dementsprechend muss der Switch ausgerüstet sein. Sonst ist es kein Hexenwerk. Einstecken und geht

Es geht hier in dem kleinen Netz nicht um die Sicherheit, wenn ich das richtig verstanden habe. Erweitere einfach die Subnetmaske auf 23 (255.255.254.0), statt 24 (255.255.255.0). Fertig. Dein Netz geht dann von: Netzadresse:192.168.200.0 Broadcast:192.168.201.255 Host-IPs von:192.168.200.1 bis:192.168.201.254

Hallo, das kann ich Dir auch nicht sagen. Ist das denn von technischer Relevanz für ein Problem oder eine Lösung?

Du hast nicht zufällig wieder NTLM dicht gemacht, wie damals das Problem mit dem WDS? Port 53 DNS? PS: Ich hatte auch schon mal ein Problem mit der Fritte als sie mir die Pakete auf Port 500, trotz expliziter Ausnahme, ohne Kommentare geschluckt hat.

Vergiss das mit der MTU. Hab nachgelesen, dass das bei der Fitte nicht zu verstellen geht. Kommt bei Nslookup gleich der DC vor eingestellt? Interessanter Fehler

Hmm. Mal ein Schuss ins Blaue. Stimmt vielleicht irgendwas mit der MTU? Wurde mal an den Interface Kosten beim Routing was verändert?

Der WDS ist ein schönes, zuverlässiges und KISS-Produkt das man doch gerne nimmt. Wenn ich mir da den MDT anschaue, denke ich immer "Warum MDT, wenn ich es auch mit dem WDS machen kann."

Hallo dataKeks, leider drückst du dich etwas ungenau aus. Am "WDS Server anmelden" meinst du nicht interaktiv, sondern die Authentifizierung in Windows-PE gegenüber dem WDS? Update: Rein technisch findet der DomainJoin in der "spezialize"-Phase statt, die wiederum erst nach dem Reboot stattfindet. Selbst wenn sich die Accounts unterscheiden, ist die Authentifizierung nicht mehr gecachet. Es liegt nahe, dass eine Unattended.xml verwendet und übergeben wurde. Wird das Computerkonto vorher händisch angelegt oder erst während des UnsecureDomainJoins?

Hallo, ja, mit der Windows Firewall. Damit lässt du nur freigegebe Hosts zu.

Ich glaube auch, dass das nicht so kompliziert wäre. Hast du dir hierzu schon mal Gedanken gemacht?

Hallo, kurzer Zusatz: Die Passwörter werden im AD im Klartext gespeichert. Es sollte nicht jeder Admin berechtigt sein das Passwort überall auslesen zu können.

Man beschneidet ihn nicht wirklich, sondern entfernt Berechtigungen und die Spuren an einigen Stellen und gibt dem einzigen Domänen-Administrator ein 25-Stelliges Passwort. Den braucht man dann quasi nie wieder, außer etwas in der Domäne ändert sich. Und ich rede nicht von User-Accounts. Alles andere regelt man mit Delegierungen.

Ich sehe schon, dass ich einfach zu allgemein und provokant geschrieben habe Es gibt selten DEN Weg. Jetzt bin ich eine einfach Antwort schuldig der ich nicht nachkommen kann, weil es sie nicht gibt. Naja, meinst du dann würde sie "einfach" und "schnell" sein? Microsoft hat dazu tatsächlich einige gute Dokumente zu Härtungen. Hatten wir dazu nicht zuletzt schon ein Thread dazu worum dazu ging? Viele Wege führen nach Rom Von SCT über verschiedene Admin-Kreise, User-Rollen und Netzen. Klar, bis zu SIEM. Dazwischen gibt es viel zu tun. Wichtig ist klarzustellen das das innerhalb des Netzwerks stattfindet und nicht auf einer "Firewall", die nur ein kleines Rädchen ist. Diese vielen Änderungen werden meist als "sehr Komplex" wahrgenommen, weil es das Troubleshooting nicht einfacher macht

Mein Vorschlag: Konsolidieren zu einem Laufwerk und dort die Berechtigung mit NTFS und ABE regeln. Viele sind sogar offen, wenn man ihnen den Vorschlag unterbreitet. Mut zur Veränderung

Hallo, ja das kannst du. Für eine Iteration bietet sich ForEach an. Damit kann der Pfad dynamisch zusammengesetzt werden.

Hallo, mit der richtigen Konfiguration ist es nicht nötig ein System außerhalb einer Domäne zu fahren. Mit den Hausmitteln geht alles. Das geht gefühlt hier immer unter Für wenige Systeme würde ich das nur empfehlen.