MurdocX

Was ich so lesen konnte ist, dass das Problem auch bei Anderen bekannt ist.

• Clean Windows 11 22H2 -> Geht
• Upgrade von 21H2 -> Geht nicht

Man warte was passiert. Ist ja nicht das erste Mal das Sicherheitsfeatures still und heimlich ganz oder teilweise den Dienst versagen. Man nehme bspw. MotW & Smart-Screen in letzter Zeit. 

Hallo,

was hast du denn schon alles unternommen, um das Problem zu lösen?

Der Fehler ist etwas zu generisch und schwierig in einem Forum zu behandeln, da hier zu viele Komponenten hineinspielen und deren Konfiguration im Detail. Das erklärt auch warum hier keiner Antwortet. Das ist mehr ein Thema für "vor Ort".

Am 17.10.2022 um 09:58 schrieb Quirk18231:

Aller Server sind 2019er DC/TS

Sind eure Terminalserver auch Domaincontroller, oder lese ich das dort falsch heraus?

Am 17.10.2022 um 09:58 schrieb Quirk18231:

Gebäude intern läuft alles super, in den Zweigstellen, Anbindung über VPN zwischen den Routern nicht.

Dann würde sich hier ansetzen lassen. Ein Schuss ins Blaue: Spiel mal mit der MTU-Size im VPN.

Überprüfe:

• HOSTS-Datei
• korrekt eingetragener DNS-Server in der Netzwerkkonfiguration

vor 3 Stunden schrieb Dutch_OnE:

Der Tip, den DHCP nicht zu verwenden hat nichts gebracht. Hat Jemand eine Idee?

Den Tipp verstehe ich nicht. Mir ist nicht ganz klar was das mit dem Fehler zu tun haben sollte. Vielleicht kannst du dazu mehr erläutern.

Den würd ich auch nicht auf einem DC installieren wollen :) 

vor 10 Stunden schrieb fritzbox:

Den November Patch bekommen wir durch Updaterichtlinien erst in zwei Wochen ca. .

Den würde ich auch gerade nicht unbedingt installieren wollen.. bei dem Bug. Zumindest nicht auf den DCs.

Hallo,

kann ich Dir leider nicht sagen, weil ich es nicht weiß. Sonst hätte ich sie Dir geschrieben  

Hallo,

wir hatten ein S2D Cluster mit dem selben Fehler nach der PAC Konfiguration. Das Problem war dann aber nicht mehr meins. 

vor 1 Minute schrieb cj_berlin:

Wie unterbinde ich SMB auf einem Fileserver? 

Ich dachte es wäre klar gewesen, das es sich auf die Klammern bezieht ;) 

(Edit)

Hallo,

sobald der Fileserver aus dem AD genommen wird, dann fällt die Authentifizierung von Kerberos auf NTLM für die zugreifenden Benutzer. Damit sind die Benutzer Passwort-Hashes noch schlechter gegen ein Abgreifen gesichert. Die Daten können dennoch mit Berechtigung des Benutzers durch die Malware auf dem Fileserver verschlüsselt werden. 

Mehr Sicherheit gegen eine Übernahme ist folgendes:

• Einsetzen der lokalen Windows-Firewall
  • Protokolle zur Administration des Servers zu unterbinden oder einschränken (WMI, WinRM, RDP, NP, SMB (Auto Shares: $admin, C$))
  • Eingehende Administrative Verbindungen restriktiveren und validieren des zugreifenden durch IPSec oder IP.
• Festlegen der Windows-Firewall-Richtlinien durch eine Gruppenrichtline
• Durchdachtes Backup & Restore - Konzept nach den Firmen definierten Anforderungen

Ist ja nicht so, als wäre meine Frage oben in die falsche Richtung gelaufen   Immerhin ist’s gelöst, wenn auch nicht befriedigend, weil der Fehler nicht gefunden wurde. 

Hallo,

wurde ein CName statt dem normalen Servername verwendet?

vor 14 Stunden schrieb Nobbyaushb:

DT wird bestimmt auch zurückkommen…

 is back!

vor 5 Minuten schrieb cj_berlin:

Aber ist bereits irgendetwas vorgefallen?

Außer das die Chefetage entlassen worden ist, bisher nichts. 
 

Ich wüsste jetzt nicht warum ich Twitter verlassen sollte. Habe ich was verpasst? 

vor 4 Stunden schrieb Weingeist:

Wo liegt genau der Sicherheitsgewinn welcher zur tieferen Angreifbarkeit führen soll?

Das widerspricht sich.

Es gibt zu viele Möglichkeiten in einem lokalen AD Domänen-Admin zu werden. Kerberosting, Silver-,Gold-,Diamond-, Saphire-Ticket. Uvm… Alles um Welten weg von einfachen Admins.

Alles so einfach weg zu bekommen wie NTLM 

Am 21.10.2022 um 10:47 schrieb Dutch_OnE:

Als Ergebnis kommt immer ein Access Denied 0x80070005.

Eine Möglichkeit wäre das hier: Cluster validation fails with error 80070005 - Windows Server | Microsoft Learn

Was hast du denn sonst noch probiert, um das Problem zu lösen?

Hallo,

in einem Task gibt es die Möglichkeit "Mit höchsten Berechtigungen ausführen" anzuhaken, um das Skript als Admin auszuführen. Wurde das schon probiert?

Und schon vorwärts gekommen? Am Einfachsten ist es wie schon geschrieben über eine Schleife.

@testperson

Bei der Alternative gibts keinen Alarm? 

vor 37 Minuten schrieb testperson:

ist das die Mischung aus Get-CimInstance und Get-WmiObject? 

Ah, das passiert wenn der erste Kaffee ☕️ fehlt. Danke für‘s korrigieren  

Hallo,

mit Win32 sind WMI/CIM Class Objekte gemeint. Der Abruf geht über die Powershell mit Get-CimObject.

Get-CimInstance

Hallo @Anubis2k,

bitte beachte nächstes Mal den Hinweis. Für dein Thema mach bitte einen eigene Thread auf. Danke fürs beachten  

Schöne Grüße 

vor 25 Minuten schrieb Userle:

Das verwirrt mich total. Bisher bin ich davon ausgegangen, dass an einer Uni das Netz professionell betreut und verwaltet wird.

Das kommt immer darauf an, was man unter professionell versteht  An sich gibt es in dem Umfeld wenig keinen Anreiz sich weiterzuentwickeln. Generelle Änderungen/Weiterentwicklungen sind Interessen eines einzelnen. 

vor 3 Stunden schrieb NorbertFe:

Proxy und Firewall werden das einzig sinnvolle sein.

... pc hin und verbiete ihm die Nutzung aller anderen PCs.

Sehe ich genauso.

Sich die Zeit nehmen keine komischen Konstrukte zu bauen, hilft bei der Administration in der Zukunft. 

vor 15 Stunden schrieb mwiederkehr:

Wäre das jetzt nicht ein klassischer Fall für eine "Emergency Mitigation"

Wurde jetzt veröffentlicht und der Bericht aktualisiert. 

vor 14 Stunden schrieb NorbertFe:

Aber bei MS schlafen sie

Sind wohl gerade aufgewacht  
 

vor 16 Stunden schrieb Dayworker:

Mich würde mal interessieren, wie Ihr darüber denkt.

Versuche sie Domänen-Admin Gruppe leer zu bekommen und zu halten. Delegiere einen Benutzer zu dieser Gruppe, damit du im Nachhinein wieder einen hinzufügen kannst.

Delegiere die täglichen administrativen Tasks an andere Gruppen, wie z.B. den Helpdesk.

Hallo,

wenn ich mir das EOL von Windows 10 21H2 (Home & Pro) 13.06.2023 im Vergleich zum EOL von Windows 10 (Home & Pro) 14.10.2025 ansehe, dann kann ich mir nicht vorstellen, dass es das letzte OS-Upgrade ist. Sich mit Windows 11 zu beschäftigen ist auch nicht verkehrt

Für die Meisten ist es eh eine größere Herausforderung seine Betriebssysteme alle gleich zu halten, unabhängig der Version.

Die Meldung war richtig. https://learn.microsoft.com/en-us/lifecycle/announcements/windows-10-20h2-end-of-servicing

Es lohnt sich schon sich mit 22H1 zu beschäftigen.