falkebo

@SBK ich verstehe das Problem nicht wirklich.
 

vor 18 Stunden schrieb SBK:

Wenn ich eine Livemigration von V8 (Server 2016) nach V9 (Server 2019) vornehme, übernimmt der neue Server die Konfigurationsdatei V8 und ich müsste diese ja manuell upgraden.

Wenn du 2 Hyper-V Server mit verschiedenen Betriebssystem Versionen hast, dann nutze für die VMs die maximal mögliche Konfigurationsversion, in deinem Fall 8.0.
Wenn Hyper-V-2016 mit ner VM Config Version 8.0 abkackt, dann kannst du die VM aus deinem Backup auf Hyper-V-2019 wiederherstellen und mit Config Version 8.0 einfach starten (ohne ein Upgrade durchzuführen).

Aber davon ab, sollte ein Desaster Fall eintreffen, kannst du immer noch Config Version 9.0 wiederherstellen, die Virtual Machine Config löschen, neu erstellen und die vhdx einbinden.

vor 12 Stunden schrieb Squire:

nach dem Chat mit dem Hacker hatte dieser die Lösegeldforderung halbiert auf $2000. Der Kunde hat weiterhin max. $150 geboten. Sprich ist nicht auf das Angebot eingegangen. 

 

Seinen Aussagen nach ist jetzt alles nicht so schlimm ... sie können arbeiten (ERP läuft, Emails sind halbwegs da. Grafikdateien wären ok ... Office Dateien ... Schrott.

 

Er wurschtelt weiter ... will erst noch Freunde fragen wegen neuen System ...

Hier meine 3 Arten von Kunden:

A) Handelt vorbildlich und ist sich seinen Pflichten als Geschäftsführer / Handelsmann / Verantwortlicher bewusst.
Meistens die wenigsten Diskussionen und ordentliche Wertschätzung!

B) Ist sich seinen Pflichten halbwegs bewusst und kann grob einschätzen das ohne seine IT ein großer finanzieller Schaden entstehen kann.
IT-Sicherheit an sich wird so flach gehalten wie es geht und ist ein notwendiges Übel. Trifft es ihn hart, lenkt er schnell ein und versucht die Fehler mit Investitionen zu kompensieren.

C) Bei ihm ist prinzipiell Hopfen und Malz verloren.
IT ist da und muss laufen, alles andere spielt keine Rolle. Funktioniert etwas nicht und der Dienstleister erscheint zu teuer bzw. unglaubwürdig, werden bekannte und Freunde gefragt. Kennt seine Pflichten als Geschäftsmann nicht, wurde nie wirklich aufgeklärt. Hört den Schuss frühestens, wenn der Laden komplett dicht gemacht hat.

vor 3 Stunden schrieb d33jay:

Vielen Dank an alle die sich beteiligt haben. Der Input sollte vorerst reichen. Interessant finde ich das niemand Proxmox Mail Gateway genannt hat.

Ist auch eine Option... Damit hab ich zwar nicht viel gemacht, dafür sehr viel mit Proxmox (auch HA-Cluster und Ceph Cluster), finde ich eine starke Alternative zu den Platzhirschen, gerade wenn die Umgebung Linux lastig ist.

Vielleicht magst du uns nochmal etwas genauer deine Anforderungen mitteilen?
Das Thema Spam Filter / AV Schutz sind meiner Meinung nach Basis Funktionen, die meisten Hersteller schenken sich da nicht sooo viel.
Möchtest du Mail Verschlüsselung, Archivierung betreiben? Hast du Anforderungen ans Reporting? Willst du vielleicht direkt eine Komplettlösung mit Paketfilter, Webfilter, Web Application Firewall, etc.? Lieber eine Appliance, Software oder Cloud?

Hier eine Lösung die wir bei mehreren Kunden im Einsatz haben.
https://www.sophos.com/de-de/products/sophos-email.aspx

vor 10 Minuten schrieb BjörnKK:

Sollte ich vielleicht erst die Rollen auf dem BServer entfernen, oder kommt es dabei zu Problemen mit dem AServer? Habe dazu bisher nichts gefunden.

BServer idealerweise komplett abschalten, anschließend FSMO Rollen auf AServer forcen.
Da die Replizierung broken ist, wird es dir nix bringen (und wird auch nicht funktionieren) auf dem BServer die Rollen zu verschieben.

vor 14 Stunden schrieb NilsK:

auch wenn aus irgendeinem für mich nicht nachvollziehbaren Grund alle LAPS ganz toll finden: Es ist kein Allheilmittel für solche Fragen. An dem Grundproblem, dass es ermöglicht, zusätzliche Admin-Accounts anzulegen oder sonst "alles" zu machen, ändert LAPS nichts. Daher ist es für solche Szenarien wie hier diskutiert nicht geeignet (und im Übrigen auch nicht dafür gedacht). 

Es gibt prinzipiell für die genannte Anforderung kein "Allheilmittel".

vor 14 Stunden schrieb prinzenrolle:

Die Passwörter dazu sind eh bekannt.

Ich denke LAPS war eher hierauf bezogen.
Um lokale Administratorkonten anständig zu verwalten ist es de facto eine gute Lösung.

Ich liebe dieses Thema :)
Hier noch paar Infos dazu:

Fragen wir mal anders.
Was ist denn dein gewünschtes Ziel?
Wie sieht deine aktuelle Infrastruktur aus?

vor 3 Minuten schrieb Squire:

Für mich heißt das dann wohl am Wochenende ein hübsches Angebot für Server, Software, Backup, AV und Lizenzen zu machen ... das gibt es nicht für 3.50€ 

Wenn das Kind bereits in den Brunnen gefallen ist, sind die Kunden meistens bereit alles zu bezahlen

vor 9 Minuten schrieb MurdocX:

vor 11 Minuten schrieb DocData:

Joar, Insolvenz anmelden wäre mal eine Maßnahme.

Wer bei 4800$ Insolvenz anmelden muss, der hat wohl ganz andere Probleme 

Deswegen hat er ja auch geschrieben Insolvenz anmelden (da die Wiederherstellung sehr sehr unwahrscheinlich ist) ODER bezahlen ;)

Hier noch ein Leitfaden des BSI zum Thema Ransomware:
https://www.bsi.bund.de/DE/Themen/Cyber-Sicherheit/Empfehlungen/Ransomware/Ransomware_node.html

Hier noch 2 Links die helfen könnten:
https://www.nomoreransom.org/de/index.html

https://id-ransomware.malwarehunterteam.com/

Ich würde mir keine großen Hoffnungen mehr machen die Daten irgendwie entschlüsselt zu bekommen.
Meistens hat man noch eine Chance solange der Server/Rechner nicht heruntergefahren wurde, da viele Ransomwares den Key im RAM nicht clearen.
 

Aus betriebswirtschaftlicher Sicht muss man in so einer Situation den Punkt ganz klar überdenken.

vor 4 Stunden schrieb Squire:

Achja ... die Polizei hat dringend davon abgeraten "Lösegeld" zu zahlen ... die wollen wohl so um die 4800$ ...

Der Kunde hat seine IT über Jahre wohl total vernachlässigt und steht jetzt mit heruntergelassenen Hosen da, selber schuld.

Hi @lizenzdoc,

mal unabhängig von dem Beitrag hier, finde ich es echt top das du immer wieder Hilfe zu Lizenzfragen gibst.
Ich hab von der Lizenzierung z.B. nur sehr oberflächlich Know-How, könnte mittlerweile nen eigener Studiengang sein...

 

vor 9 Stunden schrieb lizenzdoc:

solange bei der Authentifizierung irgendwie mit dem WIN-SVR und dem dort "Authentifizierung-Ding"(sorry bin kein Technik-Fachmann)
interagiert wird. ...Nennt sich in den Produktbestimmungen bei MS "multiplexing" !

Das wäre hier nicht der Fall.
Du könntest alle DCs abschalten, die Authentifizierung samt DNS Abfragen kann vom Linux Server erledigt werden.
Seit Samba 4 kann ein Linux DC (fast) vollständig die kompletten ADDS funktionalitäten abdecken. Größere Umgebungen mit mehreren Gesamtstrukturen und Domänen würde ich damit vielleicht nicht realisieren, aber ansonsten auf jeden Fall eine brauchbare Lösung.
 

Könnte für deine Anforderungen vielleicht wirklich Sinn machen diese Option zu evaluieren @StefanWe.
Vielleicht hat noch wer anders Erfahrung mit mixed environments?

vor 8 Stunden schrieb Nobbyaushb:

User-CAL, das das AUTH gegen das AD läuft

Dann nen Linux DC auf Samba aufsetzen und Authentifizierung gegen den Linux Server laufen lassen.
Easy Probem behoben

In Ägypten gibt es allgemein Probleme mit VPNs da diese durch die Regierung blockiert werden.
Da hatte ich dieses Jahr auch schon mit zu kämpfen.
https://thevpn.guru/egypt-openvpn-ban-bypass-how/

Etwas mehr Infos wären nicht schlecht.
Welcher Konflikt besteht genau mit welchen Usern.
Screenshots, Azure AD Logs, etc.

Wie ist jetzt der aktuelle Stand?
Ist der Sync aktiv, läuft soweit und hat nur noch mit manchen Benutzern Sync Fehler?
Oder wird überhaupt nix mehr gesynct und lässt sich auch nicht mehr abstellen?

vor 25 Minuten schrieb SvensenDE:

Vielleicht hab ihr ja noch eine Idee.

Linux für solche Aufgaben verwenden.

Am 20.12.2019 um 10:26 schrieb sgn9:

macht man dann im Hypervisor einen getrennten virtuellen Switch für das OwnCloud & Co, oder geht der ganze Traffic über einen virtuellen Switch?

Wir machen nen NIC-Team an jedem Host, anschließend erstellen wir einen externen Hyper-V Switch (mit Host System geshared) und in den VM Einstellungen wird dann das entsprechende VLAN zugewiesen. Damit sind die verschiedenen Systeme Netzwerktechnisch getrennt und können nur noch über die Firewall bei Bedarf geroutet werden.

Frohe Weihnachten und einen guten Rutsch an alle.
Hoffe das keiner von euch in Uni Gießen oder Stadt Frankfurts Haut steckt.

vor 5 Stunden schrieb sgn9:

Was muss man da beachten? Welchen Anbieter könnt ihr empfehlen?

Das ist zu pauschal. Was hast du damit vor? Spezielle Anforderungen?
Ohne nähere Details zu kennen kann ich dir pauschal die Next-Gen Firewall von Sophos empfehlen, ist für Zuhause kostenlos und hat (bis auf Sandstorm) alle Features lizenziert.
https://www.sophos.com/de-de/products/free-tools/sophos-xg-firewall-home-edition.aspx

Abend.

Azure AD Sync so deaktivieren:
https://docs.microsoft.com/de-de/office365/enterprise/turn-off-directory-synchronization

Wenn alles durch ist, neu einrichten.
Darauf achten das lokal in der AD die Benutzer das Attribut proxyAddresses richtig gesetzt haben (sprich die Mail dort mit office365 übereinstimmt).

vor 23 Minuten schrieb BigRalf3344:

Prinzipbedingt nicht? Was den für ein Prinzip? Nils du enttäuschst mich sehr!

vor 23 Minuten schrieb BigRalf3344:

Zahni deine Antwort ist total falsch. Wie soll der sich die Rechte "verschaffen" wenn er keine Rechte dazu hat? 

Was ist daran falsch?
Die Silos werden in der AD Datenbank gespeichert, welche wiederrum mit den anderen DCs repliziert wird.
Der Domain-Admin ist immer auf ALLEN DCs auch Mitglied der lokalen Administrator Gruppe. Also ja, ist prinzip bedingt.
Ob man sich das System umbiegen kann, wer weis. Ob das jemals irgendwer empfehlen würde bzw. nötig für deine Anforderung ist, ich denke nicht.

Ich war die letzten 2 Jahre bei Firebrand und kann nur für mich und meine Kollegen sprechen.
Firebrand ist super, wenn es schnell zur Zertifizierung gehen soll (ich hab bei 6 Prüfungen eine 100% Quote).
Was mir jedoch etwas gefehlt hat, war der Bezug der Lerninhalte zur Praxis. Aber das ist meiner Meinung nach kein Problem von Firebrand, so sind nun mal die MS Zertifizierungen aufgebaut -> nicht Praxisorientiert.
Der Lernaufwand variiert. Ich hab persönlich mindestens noch nach einem 10-12h Tag, 2-4h zum Wiederholen und vorbereiten auf die Prüfung drauf gepackt.

Die Trainer waren bisher immer sehr kompetent und nicht vergleichbar mit irgendwelchen Uni Professoren die Abseits davon noch nie etwas aus der Praxis gesehen haben.

Wenn ich das rückblickend betrachte:
- Ich habe die Zertifizierung erreicht (welches das ursprüngliche Ziel war)
- Durch die Zertifizierung habe ich eine gute Grundlage für weitere Projekte geschaffen

vor 2 Stunden schrieb daabm:

Vor allem vermeidest Du damit, daß Änderungen per secpol.msc lokal auf dem DC Einzug in Deine PW-Richtlinien finden.

Warum auch immer man das vorhaben sollte