daabm

Ich hatte das früher auf meinem Entwicklungsserver laufen, um die ganzen VirtualBox-Netze sauber zu verbinden. Hängt sich gern mal auf, es gibt kein gescheites Monitoring/Logging, und das UI ist etwas - hm - "spröde" 😂 Und die Windows-Firewall kann Regeln nicht an einzelne Adapter binden, die sind immer global.

Als "Bastellösung" ginge es auch mit Routing und RAS auf einem Windows-Server - aber das ist dann wirklich Gebastel...

Erzwing mal TCP, ob es dann weg ist. Dann hast Du Paketverluste/-fragmentierung bei UDP.

Gestern war ein guter Tag - Ventile neu eingestellt beim Solid Lifter Heute war auch gut, es wird echter Frühling, fast schon Sommer. Und morgen wird auch gut, da schau ich mal beim Autoaufbereiter vorbei.

Unterschreibe ich zu 100%... Wir entwickeln grad ne AD-Migration für Gruppen. Die können "eigentlich" nur über eingeschränkte Werkzeuge nach definierten Schemata angelegt/verwaltet werden. Und sogar da stolpern wir über Quirks

Ne, das kann ich gerne übernehmen... Hab vorgestern ein Auto angeschmissen bekommen. Fehlerursache: Lose Schraube am Massekontakt der Zündbox. b***d dabei: Schraube unter dem rechten Zylinderblock, von oben unsichtbar und etwa 20 cm nach innen zu greifen, bis man es fühlen konnte. Hab 2 Wochenenden damit verbracht (ok, hat auch viel geregnet - musste daher oft abbrechen). Zündbox ausgebaut und geprüft, Zündkerzen geprüft, Verteiler geprüft. Zündspule und Magnetkontakt ausgebaut und geprüft... Das dämlichste war, daß der Kontakt nicht komplett weg war, sondern "gelegentlich" noch funktioniert hat (je nach Wackeln des Blocks). Das gibt dann ein diagnostisch erratisches Fehlerbild.

Hat der Netapp-Kollege versucht. Hat aber nicht geklappt - und ab hier mal wieder "ich war nicht beteiligt, ich weiß nicht woran es gescheitert ist". Ja, "eigentlich" findet man das easy im SMB-Handshake.

Nop. Code ausführen kann er nur von Speicherorten, wo er keine Schreibrechte hat. Office-Makros das gleiche. Skript/Exe/xyz scheidet also aus. Und Geräte kann er nur benutzen, wenn sie per Device Control freigegeben sind (Produktname ist in dem Fall egal) - ein "beliebiges" USB-Gerät wird schlicht und einfach blockiert. Das einzige, was tatsächlich geht, ist eine Mechanik, die die vorhandene Maus bedient bzw. das Touchpad streichelt. Jetzt Du #2 😂

Bei uns macht er das nicht. VBS per Doppelklick geht schon mal gleich nicht (Verknüpfung zu wscript.exe ist bei uns nicht vorhanden), und Skripts ausführen in Verzeichnissen, wo er Schreibrechte hat, darf er auch nicht. Jetzt Du wieder

Bei NTLM taucht immer das Zugriffsziel auf - ist grad auch unser Problem mit einem transienten Logon von einem "vergessenen" Testaccount, wo wir noch nicht herausgefunden haben, wo er exakt herkommt (ja, Netlogon Debug Log ist aktiviert...).

Ja, eben. Also "eben nicht" - wenn ein SAN da ist, wird der CN ignoriert. Und wenn man den CN dann noch braucht, muß er in die SANs mit rein.

"Manche Services"? Da fällt mir spontan alles ein, was irgendwie mit Cluster zu tun hat - HyperV, SQL usw. Und "waren" stimmt da auch nicht ganz, wobei ich nicht weiß, wie der Stand mit Server 2022 aussieht.

Zertifikat: SAN=webapps.eigene-domain.de,SERVER01.fremde-domain.de Außer das spielt keine Rolle - sobald ein SAN vorhanden ist, wird der CN ignoriert.

Das ist das gleiche Grundproblem wie in dem anderen Thread, wo's um Auditing ging. Entweder Du hast sehr granulare ACLs, die dafür entsprechend klein sind. Dann ist der User in sehr vielen Gruppen. Oder Du machst es etwas "relaxter" mit weniger Gruppen, hast dafür aber sehr große ACLs. Gibt kein globales "mach mich glücklich"-Rezept dafür, das ich kenne.

Könnte man noch weitertreiben mit einem WMI Eventsink auf ProcessCreationEvent/ProcessDeletionEvent mit einer passenden Liste von Anwendungen, bei deren Start der Screensaver dann ausbleiben soll Wie Du schon schrubst: Man kann es selten allen recht machen.

Kannst Darren ja mal direkt anschreiben - bestimmt ein Versehen

Gibt von SDM-Software auch einen Viewer für die AAS-Dateien, die bei den entsprechenden GPOs im Sysvol liegen: https://sdmsoftware.com/library/group-policy-software-installation-viewer-utility/ Ja, man muss sich registrieren - aber Darren (der CEO von SDM) - gehört zu den guten, war selbst jahrzehntelang MVP.

Wenn Du's per Domain Policy verteilst (und nach Möglichkeit noch die Verarbeitung der lokalen Policy deaktivierst), wäre das nicht passiert Aber ok. Würde mich freuen, wenn Du ne Ursache findest und postest.

Das war mir schon fast klar, aber macht Ihr das echt per lokaler GPO? Greenbone sagt mir grad nichts. Edit: "Lokale GPO" ist ein Widerspruch in sich - muß "lokale Policy" heißen Auch wenn man's per gpedit.msc bearbeitet.

Ich bin jetzt nicht im Code der SACL-Auswertung verbuddelt, aber: Je mehr Einträge die hat, um so mehr Prüfungen müssen bei Änderungen gemacht werden, ob eine davon grad zutrifft. Ist immer ein Trade-Off: Bist Du sehr granular und damit zielgenau, hast Du sehr lange ACLs (S und D), deren Auswertung entsprechend länger dauert. Zielst Du ungenau, bist Du da zwar schneller, erzeugst aber mehr Logeinträge. Ich würde mich im Zweifel für zweiteres entscheiden, weil es im Handling einfacher ist und Event Logging ein erstaunlich lastarmer Mechanismus. Aber probier's einfach aus und überwache die CPU- und Storage-Auslastung der DCs. Unsere haben kaum AD-Auditing, erzeugen aber trotzdem so viele Security Events, daß das 4 GB Security Eventlog in 4 Stunden Rollover macht. Darauf hängt dann natürlich auch noch der Splunk Agent, und trotzdem merkt man das nicht in Perfmon.

Zu wenig Info - was genau meinst Du mit "die lokale Gruppenrichtlinie" und mit "Zugriff per remote steuert"?

Wenn man was verbessern will, muss man was ändern. Weil wenn sich nichts ändert, dann ändert sich nichts. So gesehen ist es egal 😂

Einer der Gründe, warum wir versuchen NTLM los zu werden. Aber das ist eine gaaanz lange Reise... Und wir haben ja alle echt viel Zeit übrig, um uns mit solchen Sahnehäubchen zu beschäftigen. Klar wäre es "nice", aber wer soll es in welcher freien Zeit machen? Dynamische RPC-Openings auf den Firewalls haben unsere Netzer mal versucht, ging schief. Da ich daran aber nicht beteiligt war, weiß ich leider nichts über die Hintergründe.

Nachdem Norbert im Urlaub ist (warum müssen Rentner eigentlich "Urlaub" haben - da ist doch die Zeit immer frei einteilbar ): Kaffee muß sich jeder selber ziehen, Licht geht automatisch und das Feíerabendbier steht wie immer im Kühlschrank - diesmal unten links: 🍻🍺

RPC verträgt sich schlecht mit Infrastruktur-Firewalls. Ich hatte "aus Gründen" kürzlich das Vergnügen, mich mit Subnetzen zu beschäftigen. Dabei ging's um ein Autosite-Skript für ein übergreifendes AD. Ergebnis: Wir haben Subnetze im sechsstelligen Bereich. Im Testlab mit einem Teil davon angelegt (50.000 Subnets, 13.000 Sites, 950 Site Links) waren dann KCC, ISTG, ISMServ und Netlogon "mehr als beschäftigt". Das ergänze ich jetzt noch mit 3 verschiedenen RPC-Ranges, die wir historisch bedingt haben. Wie soll ich da Regeln bauen, daß jeder AD-Client seine DCs (also die für seine Site zuständigen) auf den dafür erforderlichen Ports erreichen kann, alle anderen aber nicht? Und alle anderen RPC-Services ebenso? Und vorher weiß ich nicht, welcher RPC-Service sich welchen Port schnappt. Die Liste der erforderlichen IP-Netze dürfte die Kapazität der Reg-Werte sprengen, die fassen AFAIK nur 64k. 🏳️🏳️🏳️ (Kapitulation...) PS: Ja, ich weiß ein wenig wovon ich rede. Deshalb ist in dem Skript hier auch der RPC-Check von Ryan Ries enthalten - https://github.com/daabm/PowerShell/blob/master/Scripts/Test-TcpPorts.ps1