cj_berlin

In welchem Szenario? Linux-Rechner, der einen langen Hostnamen hat, für den Windows DHCP im Windows-DNS einen A-Record erzeugen soll?

Moin, aber spätestens im Header einer empfangenen Mail (aus einem "falschen" Netzwerk verschickt) steht doch, von welchem Server sie ursprünglich ausgeht. Das sollte ein guter Anhaltspunkt fürs Troubleshooting sein

Hmmm. Dann sind das ja interne Mails - warum sollten sie überhaupt auf SPF geprüft werden? Welches System macht es? Welchen Bericht meinst Du genau? Im SMTP-Protokoll oder im Mail-Header steht nicht drin, in welchem Netz der Nutzer seinen Browser aufgerufen hat, um die Mail abzusetzen, denn an dieser Stelle ist SMTP noch gar nicht involviert. Und wenn Exchange angefangen hat, bei OWA diese Info im Header zu verewigen, dann wohl kaum in einem Header, der für die SPF-Prüfung relevant ist...

Moin, sprechen wir hier von Exchange OWA, oder was ist "euer offizielles Webmail"?

Moin, ich würde sagen, es ist alles VBS - wenn Deine Skills darin gut genug sind, kriegst Du alles hin. Und die werksseitig gelieferten Sachen geben genug Referenzmaterial her

So isses. Aber die Audit-Tools, die man laufen lässt, werden ja bei RC4 regelmäßig ausflippen und einen erinnern

...aber Du fügst weniger Daten zur ArrayList hinzu. Ansonsten auf die Schnelle: $as = New-Object System.DirectoryServices.DirectorySearcher $as.Filter = "(|(objectClass=computer)(objectClass=user)(objectClass=msDS-GroupManagedServiceAccount))" $as.PropertiesToLoad.add('distinguishedName') $Results = $as.FindAll().Foreach({$_.Properties['distinguishedName'][0]}) Und hier vermutlich auch für mittelgroße Umgebungen geeignet: $as = New-Object System.DirectoryServices.DirectorySearcher $as.Filter = "(|(objectClass=computer)(objectClass=user)(objectClass=msDS-GroupManagedServiceAccount))" $as.PageSize = 1000 $as.PropertiesToLoad.add('distinguishedName') $as.FindAll().Foreach({ $de = $_.GetDirectoryEntry() $de.InvokeSet('msds-supportedencryptiontypes',28) $de.CommitChanges() })

Ich würde nur die DistinguishedNames in die ArrayList einsammeln, denn nur diese verwendest Du ja später...

Mit welchen Befehlen hast Du es überprüft? Poste mal die Ausgabe von ipconfig /all (als code, für bessere Lesbarkeit)

Warum, der letzte Teil mit der Erweiterung kommt doch nicht zum Tragen. Aber wenn das Datumsformat in der Ausgabe wichtig ist, $pattern = "^.+_(?<number>\d+)_(?<year>\d{4})(?<month>\d{2})(?<day>\d{2})_(\d{6}).*$" $filename = "Rechnung Allge_123456789_20221111_150000.pdf" $outfile = ($filename -replace "\.pdf$",".txt") if ($filename -match $pattern) { $Matches["number"] | Set-Content -Path $outfile Get-Date -Year $Matches["year"] -Month $Matches["month"] -Day $Matches["day"] -Format "dd.MM.yyyy" | Add-Content -Path $outfile } else { Write-Warning "Filename does not match pattern!" }

Moin, gibt es einen Grund, warum Du für den geplanten bidirektionalen Trust die DNS-Forwarder nur in eine Richtung einträgst? Es müssen sich beide Domänen gegenseitig finden können.

Und in $null steht außerdem immer $null, wohingegen in $blank nur solange $null steht, bis jemand ihr "Willi" zuweist

Es kommt darauf an, warum der Server neu installiert werden muss, Wenn die Konfig des Exchange als solche OK ist, machst Du den Server einfach platt, joinst ihn unter Wiederverwendung des Computer-Objektes ins AD und machst eine Exchange-Installation im Recovery Mode. Deinstallieren und neu installieren geht auch und wäre dann zu empfehlen, wenn der Fehler in der Konfiguration von Exchange vermutet wird.

Wie unterbinde ich SMB auf einem Fileserver?

Abgesehen von dem sehr validen Einwurf von @Nobbyaushb, macht man das mit Save-Module. Damit wird alles richtig entpackt, und Du brauchst es nur zu kopieren. Oder Du lädst tatsächlich die nuPKGs herunter, packst sie in eine Share und definierst diese als Repository auf dem Zielgerät.

Moin, direkt vergleichbare Intel-Karten (das wäre beispielsweise E810-XXVAM2) kosten die gleichen 460 Euro wie die Original-Nvidia-Karte. Dass die QNAP-Variante billiger ist, liegt auf der Hand, denn auch Support und Garantie kommen ja dann von QNAP. Mellanox verwendet, wenn RDMA zum Einsatz kommt, nur RoCE, Intel kann RoCE und iWARP. RoCE ist an sich das bessere Protokoll, braucht aber meistens Zusatz-Konfigurationen auf den Switchen. Daher empfiehlt derzeit sogar Microsoft iWARP für S2D. Ansonsten gilt bei Netzwerkkarten >10GB immer: Ganz genau auf die jeweiligen Kompatibilitätslisten schauen! Eigentlich gilt es bei allen Komponenten, aber bei 25/40/100GB kann man schon recht schnell Schiffbruch erleiden.

Dann ist bei der initialen Replikation etwas schief gelaufen. Replikation aufbrechen, per Robocopy neu seeden (/XO vermeidet das Überschreiben veralteter Dateien) und Replikation wieder einrichten. Das kann schon sein, wenn beispielsweise lauter Textdateien oder viele Dateien, die gemeinsame Teile beinhalten, gespeichert werden. Auch die NTFS-Blockgröße spielt bei der Berechnung der Ersparnis eine Rolle, wenn ich mich richtig erinnere.

Das ist aber der Knackpunkt hier. Wenn für SAP "Abschaltung von 1.0" nicht mehr bedeutet als "Umstieg auf 1.1", dann haben sie tatsächlich Recht.

Moin, also POODLE und CRIME wären zwei Stichworte, die sehr für das Abschalten von TLS 1.0 und möglichst auch 1.1 sprechen. Die Verschlüsselung als solche hat sich zwar erst zu TLS 1.3 richtig gravierend weiterentwickelt, aber in 1.2 kann man SHA-2-Funktionen für die Integritätsprüfung erzwingen, und eben auch die Initial Vector- und Padding-Angriffe sind da nicht mehr so "einfach" möglich.

Wenn Du nie, aber auch überhaupt nicht, unter keinen Umständen diese VM bedienst und das auch auditsicher nachweisen kannst, könnte man das tatsächlich diskutieren Sobald Du auf diese VM zugreifst, brauchst Du entweder Windows 10+ unter SA auf dem zugreifenden Endgerät oder VDA. Beides sind Mietlizenzen, die nur mit einem Volume Licensing oder Enterprise Agreement zu haben sind. Such mal hier im Forum nach "VDA", da sollte einiges an Infos zu finden sein.

Lass .Value weg --> DatabaseSize.ToMB() ABER: Die Sortierung wird ja so nicht funktionieren, Du brauchst so was wie: Get-MailboxDatabase -status | Select-Object @{label="Datenbankname"; expression={$_.Name}}, @{label="wirkliche Datenbankgröße"; expression={$_.DataBaseSize.ToMB()}} | Sort-Object "wirkliche Datenbankgröße" -Descending

Korrektur: Ob lokal oder remote, ist egal - der Unterschied ist, ob die Exchange Management Shell oder eine neutrale PowerShell verwendet wird.

Moin, Du spricht vom "sich Domain-Adminrechte verschaffen" wie von einem magischen Vorgang, dem man als Normalsterblicher gar nicht entgegenwirken kann. Tatsächlich jedoch geschieht dieses "sich Verschaffen" auf zwei Wegen: man kapert einen Account, der diese Rechte bereits hat - evtl. nicht unmittelbar, sondern durch Verwaltungsberechtigungen auf Gruppen oder so man kapert einen Domaincontroller oder sein Äquivalent (irgendein Objekt mit DCSync-Berechtigung) Alle anderen Angriffspfade zu DA sind eine Abwandlung und/oder Kombination aus den beiden. Gegen den zweiten Punkt musst Du in jedem Forest vorgehen, aber das ist auch machbar - Hardening ist im CIS *und* bei Microsoft hinreichend beschrieben, Segmentierung sowohl bei Microsoft als auch bei 3rd Parties. Aber in diesem Thread befassen wir uns ja mit dem ersten Punkt. Und da hast Du Deinen Sicherheitsgewinn - die Accounts, um die es geht, hinterlassen nichts, was man kapern könnte (im einfachsten Fall) oder existieren gar nicht erst (SCAMA/PIMTrust/Shadow Principals). Und mal ganz ehrlich: Die Komplexität, einen Adminforest zu bauen und zumindest einfach nach CIS zu härten, ist mit der Komplexität, einen Cluster aus NT Wolfpack zu bauen, nicht zu vergleichen.

Moin, wenn Du eine Berechtigung im AD vergibst, kannst Du immer einen Scope für die Berechtigung angeben, zum Beispiel "alle Computer-Objekte in dieser OU" oder "diese OU, Unterstruktur und Objekte darin". Es gibt keinen PowerShell-Befehl, der "von alleine alles richtig macht", denn "richtig" ist von Organisation zu Organisation unterschiedlich. Das Zoning per PowerShell zu machen, hat trotzdem den großen Vorteil, dass es a. wiederholbar und b. quasi automatisch dokumentiert ist.