kosta88

Klar. Schrieb ja schon oben.

Schon... mache ich ja wenn ich will über dem Admin-Share. Der MA sichert in Dropbox, bringt ihm aber genauso wenig, da die Daten in ein Profil-Ordner gesynct werden (außer er schaltet das ja ab, was nicht in meinem Interesse ist, denn dann blocke ich ihm die Dropbox wegen hohen Datenvolumens...).

Hallo, grundsätzlich sagt mir ein Mitarbeiter dass er nicht will dass ich als Admin Zugriff zu seinem Rechner (Privatdaten) habe. Es handelt sich jedoch um ein Firmengerät. Jetzt kann ich natürlich die harte Schiene gehen, und sagen dass es sich um Firmengeräte handelt und private Daten eigentlich darauf nichts zu suchen haben. Aber versuchen wir mal anders... Sehe ich das aber so richtig, egal was man tut, solange das Gerät in der Domäne ist, egal welcher NTFS-Berechtigung man setzt, ein Admin wird immer draufkommen, korrekt? Auch zB. wenn der User sich einen Ordner erstellt und diesen nur sich selber als Recht gibt, kann ich als Admin trotzdem die Rechte übernehmen?

Danke an euch beide. Ich habe mittlerweile klären können, dass wir eine Gateway-Lösung eventuell implementieren können. Zum Thema Zertifikat-Verlängerung: Es wird mir geschrieben dass man das Zertifikat nicht verlängern kann, jedoch wenn man ein neues Zertifikat kauft, überschreibt dieses nicht das alte Zertifikat, und beide bleiben im System bestehen - und damit kann man die alte Emails entschlüsseln. Zum Archivieren stimme ich ja zu: das muss man sich dann genau überlegen wie.

Hier mal noch eine Frage: Angenommen wird setzen dann die öffentlichen Zertifikate ein, wie schon oben erwähnt, und verschlüsseln damit die Emails (bzw. empfangen verschlüsselte E-Mails). Normalerweise werden gewisse E-Mails ja irgendwo im Outlook abgelegt, Archiv-Ordner oder was weiß ich - jeder wie er will, eigentlich. Dann liegen nämlich verschlüsselte E-Mails dort. So lange das Zertifikat im System existiert, ist es ja kein Problem, damit kann man die E-Mails auch zukünftig entschlüsseln. Aber, was wenn das Zertifikat nach 3 Jahren abläuft? Dann muss man ja ein neues Zertifikat erstellen und dieses überschreibt ja das alte Zertifikat im Zertifikats-Store, oder?? Damit lassen sich ja die alte E-Mails dann nicht mehr entschlüsseln. Wie soll man damit vorgehen?

Weil, wenn ich das richtig verstehe, das eine Lösung ist, die wir in unserer gehosteten Umgebung nicht verwenden können. Gerne. Mache sowieso zuerst Tests in einem engeren Benutzer-Kreis.

Es werden alle Postfächer die eingebunden sind mit Zertifikaten bestückt. Kostet ja auch nicht wirklich ne Lawine ($29/3J) und der Anzahl non-pers Postfächer ist sehr überschaubar. Die Lösung mit dem Gateway ist bei uns leider überhaupt nicht einsetzbar. EDIT: Aber ich sehe gerade Outlook legt automaitsch ein Profil an, wenn er das Zertifikat im Store findet... auch nicht schlecht.

Mal ein kurzes Zwischenbericht: Ich bin mit dem Comodo EPKI-Manager relativ zufrieden. Scheint mal einen Teil der Arbeit abzunehmen, und zwar wegen dem Zertifikat-Kauf. Der User bekommt die Email und damit kann bereits das Zertifikat installieren. Ich bestimme zentral die Einstellungen. Aber, im Outlook kann ich ja nichts automatisieren, oder? D.h. wenn einer 5 Postfächer eingebunden hat, und für alle 5 ein Zertifikat ausgewählt werden soll, muss ich ja alle 5 Zertifikat-Profile im Outlook händisch erstellen. Oder ginge das irgendwie per GPO, oder Skripte? Danke

Digitale Signaturen (ich dachte das wäre klar, nachdem man von Zertifikaten redet). OK, also unterm Strich: mit IE machen und gut ist. Für die nicht persönlichen Adressen mache ich, anders geht's nicht. Ich werde wohl ne Anleitung schreiben, verteilen, Chef soll sagen bitte machen, und dann mal sehen was dabei rauskommt

Hallo, es geht primär eigentlich um die Signaturen. Verschlüsselung ist nett wenn der Andere auch einen Zertifikat hat. Ich werde mir das Thema Gateway näher ansehen. Unter dem Strich sieht es nämlich so aus, als ob jeder diese Prozedere mit der Zertifikatanforderung selber machen soll/muss. Und ist wesentlich einfacher als wenn ich es mache. Welche Wege gibt es, die am bequemsten sind? Habe es zur Zeit bei Comodo als Free E-Mail Certificate angefordert und dann ja importiert und im Outlook ausgewählt. Für die gemeinsamen Adressen jedoch wird es keinen anderen Weg als pfx geben, vermute ich...?

Weil wie ich meine Tussis kenne, selber was in IT zu machen ist nix... auch wenn ich es vom Rechner des Users machen muss, muss ICH es machen. Vielleicht 5 von 20 schaffen (und wollen) es überhaupt machen. Chef inklusive. Danke. Ja grundlegend muss es aus dem Profil des Users gemacht werden. Und die aktuellen Zertifikate mit denen gestartet wird, werden sowieso dann gelöscht (revoked). Was ist mit den allgemeinen E-Mail Adressen, zB. info@ oder office@ ? Wer stellt diese Zertifikate aus?

Leider nein - ich kann grundlegend entscheiden was das beste ist, und aufgrund von Gegebenheiten habe ich so entschieden. Ich kenne aber andere Lösungen auch, und werde sie einsetzen wenn ich den Bedarf erkenne (und letztendlich das nicht mit Kanone auf Spatzen schießen ist).

Reden wir bitte kurz mal Klartext. Was mache ich falsch? Wie sollte es ablaufen? Ich kann doch nicht meinen von meinen Usern verlangen dass sie die Zertifikate bspw. von Comodo selber anfordern und installieren...? Derzeit testen wir die Zertifikate in einem kleinen Kreis der Mitarbeiter, und die Zertifikate habe ich nachdem ich sie aus meinem IE geholt habe, komplett (.pfx) in unserem Passwortsafe abgelegt. Die Zertifikate konnte ich dann händisch im Windows-Store am RDS eintragen (via IE, da ich keinen Zugriff zum zertlm habe) und zusätzlich in Outlook importieren. Sollte es anders und einfacher ablaufen, bitte um konkrete Vorschläge.

Hallo, wir sollen unsere 20 Rechner bzw. 30 Email Adresse mit S/MIME Zertifikaten bestücken. Kann ich das irgendwie tun, ohne auf jeden einzelnen Rechner zu gehen und die Zertifikate importieren und im Outlook zuweisen? Und das jede 3 Jahre, nachdem die Zertifikate ablaufen? Und wenn ich denke dass manche Outlooks bis zu 10 Postfächer eingebunden haben... Denn, ich muss auch die privaten Schüssel importieren, und da muss man das Kennwort eintippen...(deswegen denke ich eine Verteilung via GPO wird nicht funktionieren). Outlook-Import funktioniert soweit ich weiß auch nicht... Ein weiteres Problem ist nämlich dass wir größtenteils auf einer RDS-Farm via Citrix arbeiten (Outlook ist auch dort), und diese Farm/Citrix wird nicht von mir verwaltet, und ich eine Intermediate-CA nicht einsetzen kann (wäre das eventuell eine plausible Lösung). Gibt's ne Lösung, oder bin auf den manuellen Import jede 3 Jahre angewiesen?

Hi, danke. Ist eine Idee, es gibt sogar Angaben von Veeam... ob das funkt, mal sehen. Aufgrund unserer Umgebung, ist das bei uns die bessere Idee, so meine Meinung.

Es wird gerade ein Konzept erstellt, und ja das geht klar über GL. Die klare Anweisung wird es geben. Uns reicht eigentlich wenn unsere Berater jede 1-2 Wochen in der Firma sind, denn die lokalen Daten liegen hauptsächlich am RDSH, aber wie du sagst manchmal ja auch offline. Server-Sicherung: nichts mit dem Server, wollte eigentlich nur sagen dass wir Nakivo einsetzen, falls jemand einen Vorschlag für eine andere Software machen würde. Ja, ist derzeit noch notwendig. Eine Erziehung ist noch notwendig, um sicherzustellen dass die Benutzer lediglich die Daten an einem Ort ablegen (zB. nur ins Profil, und nicht auf C:\ Ordner anlegen). Kann man bestimmt regeln, habe ich aber noch nicht untersucht. Außerdem mag ich auch Programdata sichern, da dort ja oft App-Einstellungen hingehen, was mir das Restore wesentlich erleichtert. Natürlich sollte ich eine permanente VPN-Verbindung einsetzen, also ein Programm bspw. dass sich immer verbindet, und sichern NUR die Benutzerdaten/Programdata, dann ist wohl auch über VPN nicht so tragisch - müsste ich testen. Wir haben Surfaces, daher keine 2. Platte, evtl. Ext/USB-Stick. Aber bevorzugen tue ich lieber die Sicherung zentral in der Firma, da die Sticks verloren gehen, Sicherheit und co.

Hallo, derzeit setze ich Veeam Backup Agent als Sicherungssoftware auf den Clients. Wobei einerseits die Software gute Leistung und brauchbare Ergebnisse liefert, bin ich bei einer Sache nicht so ganz zufrieden: Sind die Clients in der Firma (Laptops), kann ich die automatischen Sicherungen einschalten, und alles ist gut. Jedoch wenn ich das mache, sind die Clients außerhalb der Firma, und sich per VPN verbinden, rennt die Sicherung über VPN... nicht so ganz optimal. Bei WLAN nicht so tragisch, dauert ja nur Ewigkeit und setzt die VPN Verbindung lahm. Kann natürlich die automatischen Sicherungen abschalten, aber die Erfahrung zeigt ja dass ein nicht IT-affiner MA total auf die Sache vergisst, in der Firma die Sicherungen durchzuführen - wundert mich ja auch nicht. Und es würde vermutlich auch nicht funktionieren, würde ich den Usern versuchen zu erklären wie der Zusammenhang zwischen VPN, Backup, LTE, WLAN usw. ist. Als Server-Sicherungen setzen wir auf Nakivo ein. Gibt es eine Lösung die ich für die Clients einsetzen kann, die irgendwie Serverseitig funktioniert, damit die Clients nur gesichert werden, wenn sie zB, nur in der Firma sind (Bspw. im internen Netz), unabhängig davon ob die VPN aufrecht ist oder nicht? Danke

Hi Nils, wunderbar - danke für die Antwort!

Hallo, Mir ist unklar wie die Account Policy funktioniert - und zwar wie die Einstellungen in der GPO mit den Einstellungen der Benutzerkonten korrelieren. Grundsätzlich kann ich ja in der Computer-Einstellungen in GPO Account Policies/Password Policy "Maximum Password Age" definieren. Aber in Benutzerkonto Einstellungen kann ich den Haken "Passwort never expires" setzen. Abgesehen davon dass das eine Computer-Einstellungen sind, und das andere ja die Benutzerkonto-Einstellungen, was wirkt sich da wie aus? Was nimmt Präsedenz? Danke

Hallo, also ich habe bei mir zwei WSUS laufen. Einer ist für die Clients in der Firma, da laden die Clients die Updates vom WSUS1 herunter. WSUS2 ist ein Replica, dieser wird für die portablen Clients genutzt, und ist so eingerichtet, dass die Clients die Updates direkt vom Microsoft Windows Update ziehen. Das funktioniert alles wunderbar, bis auf eine Kleinigkeit: Bei mir ist es so eingerichtet dass das Update um 16:00 beginnt, mit einem sofortigen Neustart (und bis zu 180min Verzögerung). Wenn aber ein Kollege mit einem portablen Clients sich zu dem Zeitpunkt in der Firma befindet, fängt das Gerät die Updates aus dem Internet zu ziehen und legt das Netz lahm. Natürlich kann ich Traffic-Shaping implementieren, und wird noch kommen, aber gibt es eine schönere Lösung, dass ich zB. definieren kann, wenn sich das Gerät im Netz-X befindet, soll vom WSUS1 ziehen, und wenn nicht WSUS2... vermute nicht, aber fragen kostet nichts :) Danke

Danke. Also in Verwendung ist jetzt schon seit gestern auf beiden Win10 VMs im Normalbereich (rund 1,5-2,0GB). Verfügbar steht jetzt respektive 2,3GB (VM mit SQL, Defender an), und 2,6GB (VM ohne SQL, Defender via Policy aus). Es ist derzeit mir schon unklar warum jetzt stabiler wie vorher. Nachdem Defender auf der VM mit SQL rennt, und RDP ist angemeldet. Das einzige was wirklich gleich auf beiden VMs passiert hat, ist Pagefile wurde abgeschaltet und dann wieder eingeschaltet. Vorher gab's die Hänger, nach dem Abschalten des Pagefiles auch, und dann wieder aktiviert - und jetzt ist scheinbar Ruhe?? Ich werde testweise Defender wieder normal aufdrehen und abwarten wie sich die VMs über mehrere Tage verhalten.

Im Task Manager lese ich den Gesamtwert und Process Manager habe ich auch - nur da muss ich zugeben dass ich nicht weiß welche Werte ich einblenden soll bzw. was sie wirklich bedeuten. Working Set im taskmgr habe ich mir eingeblendet. Nun: seitdem ich Defender abgedreht habe, ist die eine VM wo kein SQL drauf ist stabil. Habe sie gestern mit angemeldeten/getrennten RDP-Sitzung gelassen, und hat weiterhin 1,5/4,0GB. Als Maximum im Working Set wird SearchUI.exe mit 125MB angezeigt. Was mir allerdings als sehr viel vorkommt. Mein Laptop hat 8GB RAM und sehe gerade 59MB SearchUI.exe Working Set.

Die Auslagerungsdatei war vom Anfang an aktiv (bereits ca. 1 Monat her dass ich die VM aufgesetzt habe). Habe ich lediglich vor paar Tagen testweise deaktiviert. Ist mittlerweile wieder aktiv und default (System-Managed). SQL ist mir klar, aber auf einer VMs ist ja kein SQL drauf. Defender habe ich also deaktiviert und werde beobachten. Ich mache es so: sofern SQL/Exch/o.ä. im Einsatz: fix. Ansonsten dynamisch. Ein Win10 Rechner ist fix, der andere (ohne SQL) hat dynamische Platte. Außer Pagefile (dieser wurde wieder auf Standard eingestellt), tanzt sonst nichts aus der Reihe - das war eben nur ein Test. Zu dem Zeitpunkt der ersten Meldung war Pagefile noch ganz normal an. Also nochmals: war nur ein Test. Was mir aber aufgefallen ist: Wenn ich den Speicher über der Konsole beobachte, bleibt gleich. Melde ich mich per RDP an, und egal ob ich die Sitzung offen lassen oder mich trennen, steigt die Speicher-Nutzung kontinuierlich. Kann hier irgendwas Probleme verursachen?

Ursprunglich war wie nach der Installation - unberührt. Habe dann aber versucht auch zu deaktivieren. Ich habe es dann deaktiviert. Und was mir noch aufgefallen ist, dass das Pagefile die Größe des dynamischen Disks vergrössert hat - was auch nachzuvollziehen ist. No-go... Nun, ich bin glaube ich der Sache einen Schritt näher, denn: - bleibe ich in der Hyper-V Konsole angemeldet, bewegt sich Speichernutzung bei ca. 1,1-1,2 GB (Pagefile ist abgeschaltet). Und wird nicht höher - melde ich mich per RDP an, und bleibe ne Weile drin, steigt und steigt die RAM-Nuztung. Habe bis 3GB beobachtet, dann habe ich die VM neugestartet. Warum verursacht die RDP Verbindung auf einen Win10 Rechner offensichtlich solche Probleme? Mittlerweile bin ich sicher das auch mal auf einem Intel NUC gesehen zu haben (war per RDP drauf, mich nicht abgemeldet, und das Ding war am nächsten Tag "tot").

Hyper-V ist also Rolle installiert, v10.0.14393.0 (Hyper-V Manager). Server hat die aktuellsten Updates (2018-02 Cumulative). Fester RAM, dynamische Platte. Nichts wirklich. Installiert ist Firefox, RSAT, 7zip, Citrix Client. Ich merke gerade auf einem der Clients viele svchost.exe laufen. Wie stelle ich das fest? Es ist alles außer Guest services aktiviert (Standard). Nagelneuer DL360 G10, derzeit trägt weitere 8 Server 2016 VMs, die alle performant und stabil laufen. Ich schließe hiermit einen Hardwarefehler aus. EventID 2004 Windows successfully diagnosed a low virtual memory condition. The following programs consumed the most virtual memory: MsMpEng.exe (3448) consumed 147271680 bytes, SearchUI.exe (6604) consumed 73035776 bytes, and NisSrv.exe (4536) consumed 64032768 bytes. Ich lag bei einer Sache falsch, die Programme sind hier immer wieder die selben (innerhalb einer VM). Die andere VM (da rennt auch ein SQL, aber auch hier dürften 4GB reichen, da Pagefile aktiviert ist, aber wie gesagt 8GB macht keinen Unterschied): Windows hat diagnostiziert, dass der virtuelle Speicher unzureichend ist. Die folgenden Programme belegten den meisten virtuellen Speicher: sqlservr.exe (3596) belegt 309661696 Bytes, MsMpEng.exe (3740) belegt 167518208 Bytes und NisSrv.exe (5292) belegt 91832320 Bytes. Ja, ist bekannt. VDA, haben ein OV-Vertrag.