daabm

Sers. Mal wieder über einen Quirk gestolpert - schaut besser noch mal genau hin, wenn Ihr denkt, daß UNC-Hardening aktiv wäre. Windows 10 macht's von Haus aus, sofern man es nicht per GPO "kaputtkonfiguriert"...

https://evilgpo.blogspot.com/2023/07/unc-hardening-ms15-014-you-think-you.html

TL;DR: Das Leerzeichen hier muß raus - "RequireMutualAuthentication=1, RequireIntegrity=1"

Ja und ja 🍺

Wir drucken nicht über Windows-Server - puh, Glück gehabt, endlich auch mal was richtig gemacht

vor 9 Stunden schrieb PCS07:

 

Daran scheint es nicht zu liegen :-(

 

Ist möglicherweise auch kein file:// Protkoll-Link, sondern direkt ein UNC-Pfad. Leider hast Du den Screenshot im ersten Post komplett anonymisiert Und ob die GPO überhaupt ankommt und wirkt, weiß auch noch niemand.

Das sieht komplett wirr aus - entweder ist RPC offen oder zu, daß die Hälfte geht und die andere Hälfte nicht ist ungewöhnlich... Glaskugel hat dafür keine Antwort

Die IPs, zu denen das jeweils auflöst, ist der jeweilige PDCe? Nur der kann Trusts erstellen...

Warum Stubzone statt conditional Forwarder? Den Portchecker für genau solche Fälle habe ich vor einiger Zeit schon geschrieben: https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1

Aufruf mit -Computername <Name der Zieldomäne> -IncludeEPM

Liefert Dir eine wunderbare Liste aller für Domänen relevanten Ports (die sind als Default im Skript hinterlegt) inkl. der dynamischen RPC-Ports. Vermutlich LSASS Remote Storage nicht erreichbar, weil ne Infrastruktur Firewall dazwischen hängt, aber das wäre jetzt Glaskugel

Klingt irgendwie logisch: Wenn man das Logging abschaltet, wird nichts protokolliert

So aus der Glaskugel: IE-Zonenzuordnung? Die werden wir wohl nicht mehr los...

Das ist die richtige Stelle. Muß auf allen DCs aktiv sein.

Wir waren dem BSI auch dankbar... Donnerstag morgens den Fix dafür gebaut, Freitag morgen grad nochmal. Und nein, das ist bei uns keine "2 Klicks und fertig" Aktion :-(

vor 2 Stunden schrieb zahni:

wenn man das  Computer-Konto des alten DCs löscht.

Wäre die Frage, wie genau das gemacht wurde AFAIR kann dsa.msc das, aber auch dafür würde ich nicht unterschreiben. Beim De-Promoten auf jeden Fall, das stimmt.

Und wie @Nobbyaushb schon richtig schreibt: Besser nachprüfen.

Wenns von allen anderen funktioniert hat: NTLM-Fallback? (Dann hast Du irgendein Problem mit Kerberos...)

Wenn NLA ein Domänennetzwerk erkennt, wird aufgrund des Netzwerk-Change ein gpupdate getriggert. Da spricht also nichts dagegen, wenn die Laptops sich einigermaßen regelmäßig einwählen.

Ping ist kein valider Test - Du mußt schon nslookup/Resolve-DnsName verwenden.

Ping nutzt alles was möglich ist, um den Hostnamen zu erreichen inkl. Wins, Netbios-Broadcasts, LLMNR und was weiß ich noch alles.

Hol Dir einfach alle und filtere danach. Mit LDAP-Filter wird das aufwändig, weil Du einen bitwise OR brauchst. Und > oder < kennt LDAP m.W. gar nicht. Wobei ich mich da korrigieren lasse.

Kann die Firewall das nicht? Sonst gäbe es vielleicht noch die Möglichkeit, die DHCP-Leases aus der FW ins DNS zu importieren.

Hier hat's gerade mal für 5° Abkühlung gereicht ab 22:30 Uhr - also von 27° auf 22° runter. Und "Gewitter" war es auch nicht - eher sanftes Rumpeln und Grollen mit leichtem Regen 😒 Ich spar mir die nächste Temperaturkurve, es ist immer noch oder schon wieder zu warm.

Schön,  daß Du gleich mit HW-Daten kommst, die noch gar nicht relevant sind Perfmon kennst Du? Und Resmon evtl. auch schon? Damit würde ich auf den Clients anfangen.

Openhab, Somfy Sensoren. Kann Homeassist oder IOBroker natürlich auch.

Edit: Openhab hat die Kurve nur aufgezeichnet - gemacht haben sie die Sonne und das Wetter...

Nop. Heute nacht war hier mehr als Tropennacht... Nicht unter 24° 🙈

(Die "10" links ist Mitternacht - 27° outside temp....)

Am 8.7.2023 um 20:19 schrieb dan85:

icht mehr über Remotdesktopverbindung auf meinen vServer (Windows Server 2022)

Ging das denn überhaupt schon mal? Und - auch wenn kontraproduktiv - ich würde mal Network Level Authentication ausschalten.

Betreibt jemand RDS-Server, die durchlaufen? Ich kenne niemand...

Nop. An-/Abreise ist das Problem... Zu viel Leerlauf. Und eh schon verplant - erstes WE nach den BW-Sommerferien.

Stuttgart <--> Hannover

Jupp. Dann wird nachverhandelt. Und wenn Du groß bist, kommt eine "gütliche" Einigung nicht zum eigenen Vorteil zustande. Bei KMU weiß ich's nicht genau, aber dürfte auch unerfreulich werden.