Jump to content

falkebo

Members
  • Gesamte Inhalte

    114
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von falkebo

  1. SET gibt es auch schon in Windows Server 2016 und ist erst dann interessant, wenn es um Storage Space Direct geht, vor allem in Kombintation mit RDMA Nics. Damit verbunden sind einige Limitierungen, einiges davon hier nachzulesen: https://www.windowspro.de/marcel-kueppers/statt-nic-teaming-switch-embedded-teaming-set-hyper-v-2016 Höre ich ehrlich gesagt das erste Mal.
  2. Da gibt es mehrere Möglichkeiten. Wenn man das wirklich restriktiv gestalten möchte, dann gibts z.B. sowas: https://www.macmon.eu/loesungen/funktionen/network-access-control/ Man darf in Sachen Port-Security auch nicht vergessen das alles auf der MAC basiert. Und MACs kann man easy spoofen, entsprechend ist es eine Erschwernis aber keine 100% Sicherheit.
  3. Moin @speer. Wenn du MACs manuell whitelisten möchtest, dann geht das mit dem Befehl: switchport port-security mac-address XXX Was ist dein genaues Ziel?
  4. Also ich habe von Firebrand folgende Infos zum Thema MS Certs erhalten:
  5. Servus @jets187. Wie sehen die Freigabeberechtigungen für den Namespaceserver aus? Gerne ansonsten auch mal mit DFSDiag ein paar Tests von Forest A durchführen und hier rein schicken.
  6. @Dukel dazu tendiere ich auch eher, danke für die Rückmeldung. Dazu direkt mal noch ein Einwurf. Habe gesehen das manche unter Storage Space Direct erst einen Scale-out-Fileserver erstellen und anschließend diesen als CSV für die Hyper-V VMs nutzen. Hat das Vorteile im Gegensatz zu der Lösung direkt aus der Disk das CSV zu erstellen?
  7. Das entspricht nicht zu 100% dem Thema aber vielleicht dennoch interessant. Wie geht ihr mit Passwortablauf im Bezug auf Home-Office um? Es soll ja Mitarbeiter geben, die nahezu permanent außerhalb des Firmennetzwerks mit Notebooks arbeiten. Das Weiterarbeiten mit dem Notebook außerhalb des Netzes ist dann weiterhin möglich wenn das Passwort abläuft (cached Credentials) aber die meisten nutzen die AD Daten ebenfalls für Office365, VPN, und weitere Anwendungen. Da kann sich der Benutzer dann nicht mehr authentifizieren.
  8. Danke für die Rückmeldung @Nobbyaushb, ich meine das wie folgt. 3 Node Cluster, auf allen Nodes ist Hyper-V installiert und auf allen Nodes ist der Fileserver installiert. Jetzt nutze ich die 3 Nodes ganz normal als Hyper-V Cluster und packe noch zusätzlich die Fileserver Rolle drauf. Also das geht auf jeden Fall, es kann halt nur einen Owner der Fileserver Rolle geben, entsprechend ist das Volume auch nur auf dem Owner der Rolle einsehbar (wenn du das mit Active/Passiv meintest). Meine Frage ist vielmehr, ob das Sinn macht. Ich denke an Sachen wie Backups, Flexibilität, GPOs auf den Fileserven (und damit den Hosts) anwenden, etc. -> Was dagegen spricht Andererseits erzielt man damit natürlich eine höhere Verfügbarkeit, weniger Overhead durch dazwischen liegendes Gast OS, usw.
  9. Guten Abend zusammen, spricht in euren Augen eigentlich etwas dagegen auf ein und demselben Failovercluster, Hyper-V VMs und einen Fileserver als Rolle zu betreiben? Die Alternative wäre eine dedizierte Fileserver VM. Würde mich über paar kurze Meinungen freuen.
  10. Woher hast du diese Informationen? Meine Infos sind das im Januar 2021 MCSA und MCSE durch die Rollenbasierten Zertifizierungen abgelöst werden.
  11. Und zusätzlich ist dein beschriebenes Design wie @testperson schon gesagt hat pfusch. Wenn du deine Netze schon trennen möchtest, dann sauber ab Layer2. Sprich die Broadcast Domänen müssen ebenfalls getrennt sein. Dringend nochmal Netzwerkgrundlagen durchschauen!
  12. Irgendwas stimmt bei euch sowieso nicht. Normalerweise wird der DNS-Suffix bei Domain-Joined Maschinen bei der DNS Auflösung automatisch dran gehängt, unabhängig ob am Adapter irgendwas eingestellt wurde. Hast du mal gecheckt ob die SSL Verbindung auch einen richtigen DNS Server mitgibt welcher nicht geblockt wird und auch die entsprechenden Namen auflösen kann?
  13. Dann bitte einfach mal folgende Infos posten: Screenshots von den DNS Einträgen in Cloudflare (gerne das schwärzen oder verdecken was du nicht zeigen willst) Welcher Webserver wird verwendet? IP des Webservers und ggf. Konfiguration
  14. Hast du ein paar mehr Informationen für uns? Was möchtest du erreichen? Welchen Webserver setzt du ein? Was hast du bereits konfiguriert? Cloudflare Screens? Grundlegend sind das die "Basic" Steps für Cloudflare: Domain in Cloudflare eintragen, dort werden dir dann 2 Nameserver durchgegeben, diese ersetzt du mit den aktuell eingetragenen in der Oberfläche deines Domain Hosters. Abwarten bis die DNS Änderungen publiziert sind und bei Cloudflare einen Rescan durchführen -> Domain müsste dann grün werden und erfolgreich eingetragen sein DNS Records in Cloudflare anpassen -> Jetzt trägst du deine benötigten Records ein (z.B. A-Record www.domain.tld auf XXX.XXX.XXX.XXX) In Step 3 kannst du auch direkt mit der Wolke Rechts steuern ob dein Traffic auf dieser Domain/Subdomain durch das Cloudflare CDN geroutet wird oder direkt auf die hinterlegte IP Ist das soweit erledigt, musst du ggf. wieder etwas warten bis die Einträge an die Nameserver publiziert sind und ggf. auch bereits vorhandene Einträge von aus dem Cache von anderen Servern rausfliegen Für die weitere Konfiguration brauchen wir mehr Infos, wie oben erwähnt.
  15. Vielleicht ist deine Kristallkugel kaputt? :)
  16. Fehlen da vielleicht noch Informationen? Ich kenne solche Aufgaben immer im Bezug zu VLSM, sprich da findet sich dann ein Satz wie "die Netze müssen so effizient wie möglich ausgenutzt werden".
  17. Servus @Alex_78. Nein das geht nicht. Nested Virtualization ist sowieso nicht für den produktiven Betrieb gedacht. Aber davon ab. Du musst, um eine VM in Hyper-V ans Netzwerk anzubinden (egal ob physikalisch oder Virtuell), einen Hyper-V Switch erstellen. In deinem Szenario müsstest du auf dem physikalischen Server einen externen Hyper-V Switch (verbunden mit der richtigen physikalischen NIC) erstellen, diesen deiner VM zuweisen und in der VM das gleiche erneut durchführen. Das schleift die NIC im Prinzip durch.
  18. Vor was sollte Firefox denn warnen? Der CA wird vertraut, entsprechend gibt es da keine Bedenken. Kommt auf eure Umgebung an, gibt verschiedene Szenarien sowas zu deployen. Kann sein das ein expliziter Proxy verwendet wird, kann auch ein transparenter sein. Und dann kommt es noch drauf an welcher Verkehr alles decrypted wird. Natürlich kannst du in deinem Firefox das Zertifikat prüfen. Wenn du auf das Schloss klickst, rechts neben "Verbindung sicher" auf den Pfeil dann auf "Weitere Informationen", "Sicherheit" und dann auf "Zertifikat anzeigen". Bei dir hört sich das so an als würde dich das stören, liege ich da richtig? Wenn ja, gibt es einen Grund dafür?
  19. Das kenne ich schon, ist tatsächlich eine Auswahlmöglichkeit. Aber davon ab würde mich noch interessieren welche GPOs / GPPs am Besten zum verteilen geeignet sind. Eher User oder Computerrichtlinien? Sind zusätzliche Einstellungen zu beachten? (Point and Print z.B.) Wie löst ihr Terminalserver Infrastrukturen über WAN? Printserver lokal? Ist dabei noch was zu beachten? Danke euch allen :)
  20. Guten Tag zusammen, ich frage mich, ob es irgendwen da draußen gibt, der keine Probleme mit Druckern hat. Ich hatte leider bisher nicht einen einzigen Kunden, bei dem die Drucker Rollouts problemlos funktioniert haben. Mache ich irgendwas falsch? Meines Wissens gibt es 2 Möglichkeiten. Einmal per GPO (welche man direkt auch aus der Druckverwaltung setzen kann) und per GPPs. Und dann noch die Auswahl zwischen User oder Computer gebunden. Wie geht ihr bei euch mit Druckern um? Was sind gängige Standards? Welche Treiber verwendet man am besten? Hattet ihr auch schon Probleme die Treiber auszurollen weil (komischerweise) für diesen Vorgang Adminrechte benötigt werden? Fragen über Fragen. Ich hoffe jemand hat Antworten :)
  21. Naja, es ist eigentlich ganz einfach. Je wichtiger dir die Schutzziele (Verfügbarkeit, Integrität und Vertraulichkeit) sind, desto mehr tust du dafür sie einzuhalten. Oft ist es jedoch so, das den Verantwortlichen das ganze nicht bewusst ist. Hier hilft es ganz einfach die technischen Schutzziele in Zahlen zu übersetzen. Wie viel kosten mich 8h Arbeitsausfall für das ganze Unternehmen? Wie hoch ist mein Reputationsschaden bei Missbrauch von vertraulichen Daten? Und erst dann sprechen wir die richtige Sprache.
  22. Wie alle bereits erwähnt haben läuft der Domain Join über Kerberos ab und nicht NTLM (wäre heutzutage auch ein Unding). Davon ab solltest du vorher jedoch erstmal NTLM Protokollierung aktivieren und auswerten ob es noch irgendwelche Systeme oder Komponenten gibt (z.B. Webproxys, 3. Software, etc.) die NTLM verwenden. Wenn da alles clean ist kannst (und solltest) du es abschalten.
  23. In diesem Zuge kannst du dann auch noch folgendes probieren. netdom resetpwd /s:server /ud:domain\User /pd:* Dadurch das du eine Domäne mit Replikationsproblemen in Betrieb hattest, kann es sein das dein Computerkonto broke ist (Event-ID 4000 kann dafür ein Indiz sein). Führe diesen Befehl aus bevor du deine DNS Server Rolle entfernst und starte den Server neu.
  24. Meiner Meinung nach solltest du dich um dein DNS Problem kümmern, daher rühren auch die Fehlermeldungen. Entferne die DNS Server Rolle, start den Server neu, installier die DNS Server Rolle.
×
×
  • Neu erstellen...