websurfer83

Hallo Nils,

danke für dein Feedback. Wenn das Backup-Medium verschlüsselt sein soll, gibt es zu BitLocker keine *brauchbare* Alternative. Tools wie VeraCrypt scheiden wegen der umständlichen Handhabung insbesondere im Hinblick Entsperren aus. Ein externes USB-Medium ist deshalb das Mittel der Wahl, da ich sie für die Wiederherstellung an einem anderen Rechner mit BitLocker entschlüsseln könnte.

Auf was für ein Medium würdest du sichern? Und wie würdest du verschlüsseln?

Für eine bessere Lösung bin ich immer zu haben ...

(die Sicherung auf RDX-Laufwerke klappt mit Windows übrigens leider nicht, da diese als Sicherungsziel nicht erkannt werden).

Ich habe nochmals eine kurze Frage, die sich ebenfalls auf das Backup bezieht:

Gerne möchte ich nach Abschluss des Backup-Vorgangs ein Tool ausführen, das das USB-Laufwerk sauber "trennt":

http://www.heise.de/ct/hotline/Und-tschuess-per-Batch-315568.html

Kann ich in der Aufgabenplanung bei der Backup-Aufgabe einfach als zweite Aktion diese Batch-Datei eintragen? Wird diese dann erst gestartet, wenn das Backup fertig ist? Oder wie kann ich ihm diese Abhängigkeit mitteilen?

Viele Grüße und danke

websurfer83.

PS: Ja, mit einer vollständigen Batch-Datei und der Nutzung von wbadmin ließe sich das auch lösen, aber gibt es einen Weg in Verbindung mit der GUI?

Danke, es hat geklappt.

Doch nun noch einmal die Frage vom Anfang:

Warum werden Clients, die nicht Mitglied in der Domäne sind, nicht im DNS registriert? Beim DHCP melden sie sich ordnungsgemäß mit ihrem FQDN an, doch im DNS erscheinen sie nicht. Kann diesbezüglich jemand weiterhelfen?

Vielen Dank und viele Grüße

websurfer83.

Moin,

 

wenn du inkrementell sichern willst, musst du die Platte exklusiv dem Backup zuweisen, mit Formatierung. Da ist Bitlocker dann also nicht das Mittel der Wahl.

 

Wie hast du Bitlocker da überhaupt eingerichtet? Mit Bitlocker to go? Das wäre für das Szenario sowieso nicht geeignet.

 

Gruß, Nils

Korrekt, die Platte habe ich mit BitLocker To Go eingerichtet und die automatische Entsperrung aktiviert. Außerdem habe ich ein sehr langes Kennwort vergeben. So kann ich die Platte notfalls auch an einem anderen Rechner öffnen.

Was spricht hier dagegen und was wäre aus deiner Sichtweise besser?

Moin,

 

nein. Wie wäre es, wenn du dir das mal ansiehst?

 

Gruß, Nils

Ja, das ist eine gute Idee. Der Kniff scheint wohl das Anlegen einer zusätzlichen Gruppe zu sein. So steht es zumindest in diesem, zugegeben etwas veralteten, Artikel:

http://www.andysblog.de/windows-lokale-benutzeranmeldung-verhindern

Ich hoffe, dass das bei W2k12 R2 noch genauso funktioniert.

Vielen Dank Nils für deine Hilfe!

Gruß

websurfer83.

Moin,

 

am einfachsten per Gruppenrichtlinie: Lokal anmelden verweigern.

 

Gruß, Nils

Hallo Nils,

die gilt dann aber für alle Konten, oder sehe ich das falsch?

Gruß und vielen Dank

websurfer83.

Hallo,

es ist ein W2k12 R2.

Und ich habe jetzt in den Leistungseinstellungen die "Schnellere Sicherungsleistung" ausgewählt. Die müsste doch inkrementell sein.

Was mich stutzig machte, ist dass ich bei der vollständigen Sicherung immer nur das letzte Backup zur Verfügung habe und der Vortag gelöscht wurde!?!

Gruß und danke

websurfer83.

Moin,

 

korrekt. Keine Spezialberechtigungen. Man kann auch die lokale Anmeldung überall verweigern, um das Konto abzusichern.

 

Gruß, Nils

Danke, Wo kann ich festlegen, dass ein bestimmtes Konto sich an keinem Rechner anmelden darf?

Hallo zusammen,

ich habe ein paar Fragen zur Windows Server Sicherung:

Ich möchte mit der Sicherung das komplette System ("Bare Metal") auf eine per USB angeschlossene Festplatte sichern. Diese ist mit BitLocker verschlüsselt.

Dazu habe ich den Assistenten durchkonfiguriert, als Ziel nicht die separate Backup-Festplatte gewählt (da diese sonst neu formatiert werden würde und die Verschlüsselung weg wäre) und zusätzlich in den erweiterten Optionen "Vollständige VSS-Sicherung" aktiviert.

Das funktioniert soweit auch, jedoch macht er jeden Tag ein volles Backup und löscht das vorhergehende Backup.

Wie muss ich es konfigurieren, dass inkrementelle Backups erstellt werden und damit die Vorgängerversionen gespeichert bleiben?

Kann ich irgendwo angeben, dass Backups ab einem gewissen Alter automatisch gelöscht werden?

Viele Grüße und danke

websurfer83.

Hallo Nils,

ja, danke, ich habe den Link dann auch noch gesehen.

Meine Frage zum separaten User:

In welchen Gruppen muss der Mitglied sein? Nur "Domänen-Benutzer", sonst nichts? Keine Netzwerk-Operatoren etc.?

Viele Grüße und danke

websurfer83.

Moin,

 

Unabhängig vom Kennwort stehen dort immer Sternchen. Kein Konto = kein Kennwort.

 

Siehe dazu auch:

 

 

Gruß, Nils

Hallo Nils,

danke für die Antwort. Bei "Siehe dazu auch" ist leider kein Link zu sehen.

Verstehe ich es richtig, dass ich einfach das eingetragene Konto lösche, nichts eintrage, auf "OK" klicke und wieder den Auslieferungszustand habe?

Dann werde die DNS-Registrierungen als "SYSTEM" durchgeführt, oder sehe ich das falsch?

Viele Grüße und danke

websurfer83.

Hallo zusammen,

ich habe eine Frage oder ein kleineres Problem:

Bei den Eigenschaften des IPv4-DHCP-Servers kann man die Option aktivieren, dass der DHCP-Server die registrierten Clients beim DNS dynamisch anmeldet.

Leider funktioniert dies aber nur bei Windows-Clients zuverlässig. Linux-Clients tauchen nicht in der DNS-Tabelle auf.

Deshalb habe ich ein wenig herum experimentiert und habe bei den Anmeldeinformationen die Benutzerdaten eines Domänen-Admins eingetragen. Das hat jedoch nichts daran verändert.

Gerne möchte ich die Änderung daher wieder rückgängig machen.

Bei einem anderen Server habe ich mir das angesehen, dort steht standardmäßig kein Benutzername und keine Domäne drin, doch es ist ein Passwort mit mehreren * hinterlegt (siehe Screenshot).

Welches Passwort ist dort eingetragen? Oder was muss ich tun, um diesen standardmäßigen Zustand wieder hin zu bekommen?

Hat jemand einen Tipp?

Wie bekomme ich es außerdem hin, dass auch die Linux-Clients dynamisch im DNS eingetragen werden? Im DHCP melden sie sich übrigens mit ihrem vollen FQDN an, nur wird der nicht ans DNS "durchgereicht"...

Viele Grüße und vielen Dank

websurfer83.

Im rechten Teil der MMC kannst du die Reservierungen sortieren.

Ja, das weiß ich, aber links geht das nicht. Es ist ärgerlich, dass dort alle IPs durcheinander sind. Da hilft nur alle Reservierungen zu löschen und dann manuell in korrekter Reihenfolge neu eintragen. Das ist aber ziemlich mühsam. Es muss doch irgendwo möglich sein, diese Einträge zu sortieren.

Hallo liebe Community,

wenn ich in der DHCP-Konsole Reservierungen anlege, werden diese in der linken Spalte leider nicht aufsteigend nach IP-Adresse sortiert, sondern bleiben dauerhaft in der Reihenfolge der Erstellung.

Dies wird bei einer längeren Liste leider sehr unübersichtlich, insbesondere wenn sich immer mal wieder Clients und damit MAC-Adressen ändern.

Gibt es eine Möglichkeit, diese Liste irgendwie aufsteigend nach IP-Adressen zu sortieren?

Viele Grüße und danke

websurfer83.

@ tesso:

Super, ganz herzlichen Dank! Das werde ich bei der nächsten Inaktivität gleich anwenden und sehen, ob es klappt!

Ich kann mich an ein ähnliches Problem vor einigen Jahren erinnern. Ich glaube damals war die Lösung das deauthorisieren und authorisieren in der Shell zu machen. Im Frontend hat dies nachts gebracht.

Danke für diese hilfreiche Info. Da ich unter Windows wenig in der Shell mache weiß ich gar nicht, wie das geht. Hast du mir zufällig einen Link oder eine Anleitung dazu?

Viele Grüße und danke

websurfer83.

Hallo zusammen,

sobald er wieder da ist, werde ich ihn fragen und die Antwort hier posten!

Viele Grüße und vielen Dank für Lösungsansätze

websurfer83.

So, der Fehler ist nach wie vor da, in der Ereignisanzeige sind folgende Fehlermeldungen zu finden:

 

Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden.

 

Es wurde festgestellt, dass der DHCP/BINL-Dienst auf dem lokalen Computer in der Windows-Administratordomäne domain.com nicht autorisiert ist zu starten. Der Dienst für die Clients wurde angehalten. Hierfür könnte es folgende Gründe geben:
    Der Computer gehört zu einer Organisation des Verzeichnisdiensts und ist in derselben nicht autorisiert (Weitere Informationen finden Sie in der Hilfe zur DHCP-Serververwaltung).

    Der Computer kann zu seiner Verzeichnisdienstorganisation keine Verbindung herstellen und hat einen anderen DHCP-Server im Netzwerk erkannt, der einer Organisation des Verzeichnisdiensts angehört, auf dem der Computer nicht autorisiert ist.

    Ein unerwarteter Netzwerkfehler ist aufgetreten.

 

Der DHCP-Dienst konnte keinen Verzeichnisserver für die Autorisierung finden.

Dazu ist zu sagen, dass es der einzige Server ist und er selbst im DHCP von mir mehrfach neu autorisiert wurde.

Hat jemand Tipps, was man gegen das Problem tun könnte?

Viele Grüße und vielen Dank vorab

websurfer83.

EDIT:

Was ich bis jetzt gemacht habe:

1. DHCP-Server als Startart "Automatisch (Verzögerter Start)"

2. In den DHCP-Eigenschaften bei "Erweitert" ein Admin-Konto für die Aktualisierung der DNS-Einträger eingetragen.

3. Kontrolliert, ob der Server im AD als autorisiert eingetragen ist (Prüfung verlief positiv).

Und wenn IPv6 regulär aktiviert, besteht dann das Problem mit dem DHCP nicht mehr?

 

Was ist denn nun mit Meldungen in der Ereignisanzeige?

Wird nachgereicht, sobald es kühler ist. Das System hat zur Zeit hitzefrei (ist ja noch nicht im Livebetrieb).

Dinge, die ich nicht brauche, werden abgeschaltet. Sonst würde ich ja auch den ganzen Tag das Licht brennen lassen, meinen Energieversorger würde das freuen.

Und ja, ich werde das an den Entwickler melden, aber momentan haben andere Dinge eben Priorität. Wie gesagt, ich hatte schon mehrere WOL-Tools getestet und das verlinkte funktioniert am besten, lässt sich am schnellsten konfigurieren, bietet viele Funktionen. Wenn du ein besseres Open Source WOL-Tool kennst lass es mich bitte wissen.

Die Gründe gegen eine Aufnahme würden mich auch interessieren.

 

Ich glaube es ahnen zu können, die Benutzer haben auf den mobilen Geräte lokale Adminrechte, deshalb nur lokale Konten. Das hat mit Sicherheit aber nichts zu tun.

 ... haben sie NICHT!

Es sind keine privaten Geräte, sondern dienstlich genutzte Laptops. Gemäß unseres IT-Sicherheitsbeauftragen dürfen sie aber nicht in die Domäne. Die Regelung habe ich nicht aufgestellt und kann sie auch nicht außer Kraft setzen. So ist das nun einmal in Institutionen ab einer gewissen Größenordnung - da kann nicht jeder machen wie er denkt.

@ Sunny61:

Ich habe schon mehrere Bugs an ihn gemeldet und einige Verbesserungsvorschläge! Diese wurden aber noch nicht umgesetzt. Bevor ich ständig ein neues Fass aufmache, sollten diese Dinge erst einmal abgearbeitet sein!

Und dieses MS-Teredo-Zeugs etc. ist in Punkto Sicherheit und Datenschutz nicht wirklich empfehlenswert. Für alles andere in reinen IPv4-Netzen wird IPv6 nicht benötigt und sollte deaktiviert werden.

@ Sunny61:

Ja, ich könnte versuchen den Bug zu melden, aber so wie ich es sehe würde es eine Weile dauern, bis es eventuell behoben wird. Und warum sollte IPv6 aktiv sein, wenn ich es nicht brauche? Meine Philosophie lautet grundsätzlich: Nicht benötigte Dienste und Protokolle werden abgeschaltet, um so mögliche Schwachstellen durch eine fehlende oder fehlerhafte Konfiguration auszuschließen.

Und ja, eigentlich könnte es egal sein wenn der Rechner sich selbst mit einer "falschen" IP-Adresse sieht, aber da die WOL-Daten zentral in einer XML-Datei gespeichert werden (und diese auch von anderen Rechnern verwendet wird) ist es sehr ärgerlich, wenn da etwas nicht stimmt und man immer noch einmal "Hand anlegen" muss.

@ Daniel:

Es geht darum, dass ein User nicht automatisch auf der Freigabe landet, sondern zur Sicherheit sich noch einmal authentifiziert. Z.B. Wenn jemand kurz weg vom Rechner ist und er noch nicht automatisch gesperrt wurde hätte ein Unbefugter automatisch Zugriff. Außerdem geht es auch darum, dass die Freigabe möglicherweise mit anderen Zugangsdaten (mit anderen Rechten) verbunden werden soll.

@ Testperson:

Das sind die mobilen Geräte unser Mitarbeiter. Die sind nicht Teil der Domäne, da sie überwiegend per Remote genutzt werden. Die gleichen Userdaten haben sie aus "Bequemlichkeit". Würde man nur den gleichen Usernamen verwenden und sich versuchen auf die Freigabe zu verbinden, würde das Konto ja per Default im AD sofort gesperrt - das wäre nicht zielführend.

@ Sunny61:

Ich nutze diese Software hier:

http://wol.aquilatech.com/

Die beherrscht sehr wohl IPv6 und ist auch aktuell, allerdings zeigt sie bei aktiviertem aber nicht konfiguriertem IPv6 auf dem eigenen Rechner dann eine leere IPv6-Adresse statt der "echten" IPv4-Adresse an.

Zuvor hatte ich übrigens bereits 2 andere WOL-Tools getestet, die alle nicht akzeptabel einsetzbar waren (aufgrund diverser unangenehmer Bugs). Die von mir verlinkte Software ist Open Source und wird regelmäßig aktualisiert!