sd2019

Der Client wird über die Gerätesuche einfach nicht gefunden, woran das liegen könnte bzw. Was das mit den SMB Meldungen im Trace auf sich hat und ob man noch was bedenken muss wenn man zwischen zwei Servern kommuniziert und nur einer davon in der Domäne ist

Hallo zusammen, ich habe eine WS 2019 VM, welche aus Sicherheitsgründen in der Arbeitsgruppe WORKGROUP ist und eine WS 2016 VM, welche in der Domäne ist. Netzwerktechnisch ist zwischen diesen beiden VM's alles erlaubt. ICMP funktioniert auch testweise zu beiden Seiten. Der WS 2016 ist der Administrationsserver einer Antivirenlösung und soll nun den Antiviren Client auf die VM in der WORKGROUP ausrollen. Hierzu wäre es natürlich erstmal hilfreich, wenn der Administrationsserver den Client überhaupt findet. Im Wireshark Trace des Administrationsservers sehe ich immer folgende Meldungen (der "User:", den ich unkenntlich gemacht habe, hat folgendes Namensschema: "DOMAIN\HOSTNAME$"), während ich die Gerätesuche anstoße Im Wireshark Trace des Clients, der vom Administrationsserver gefunden werden soll sehe ich folgende Meldungen, wenn die Suche angestoßen wird (der User, den ich hier unkenntlich gemacht habe, ist der gleiche) Zur Info, die Windows Firewalls aller Netzwerkprofile auf dem WS 2019 sind aus. Weiß gar irgendwie nicht mehr weiter

@Dukel der betreffende Kollege ist aktuell nicht verfügbar, soll ich zukünftig aber sowieso mit machen @NorbertFe und dann füge ich in der Vorlage wirklich das Computerobjekt des betreffenden Servers hinzu? Und Anwendungsrichtlinie wäre dann Serverauthentifizierung?

Hallo zusammen, wir haben bei uns auf einem Windows Server 2019 Datacenter die IIS Rolle installiert und eine Software installiert, welche auch mehrere Sites erstellt hat, welche über den IIS Manager verwaltet werden können. Der Server hat eine statische IP-Adresse und es existieren zwei zusätzliche CNAME's, dessen DNS-Namen jeweils gleich der Hostnamen der Bindung der Sites sind. Nach der Installation sind die Bindungen dieser Sites defaultmäßig auf http konfiguriert, soll nun aber auf https umgestellt werden, also sollen die beiden URL's im Browser, welche im Hintergrund auf den gleichen virtuellen Server verweisen, über https aufgerufen werden. Wir haben in unserer Infrastruktur auch bereits eine installierte CA, allerdings sind mir die Konfigurationsschritte für die automatische Erstellung dieser (müssten ja eigentlich in dem Fall ja Webserver-Zertifikate sein?) nicht ganz transparent. Wäre für eine Schritt-für-Schritt Anleitung sehr dankbar. Also ich weiß, dass ich z.B. die CA, über den Browser auf dem betreffenden Server, über https://xxxxx/certsrv erreichen kann, allerdings fehlen mir hier glaub ich ein paar Optionen (ich bin aber als Domänen-Admin auf dem Server eingeloggt). Oder muss ich über das lokale SnapIn der Zertifikate (wenn ja Computer oder Benutzer?) auf dem Server gehen und dort dann eine Zertifikatsanforderung stellen? Womöglich würde ich für beide URL's, die ja im Namen etwas unterschiedlich sind ein Zertifikat nehmen wollen, wo beide URL's als DNS Namen im Zertifikat stehen. Oder muss ich auf der CA selbst gar eine eigene Vorlage erstellen und dort in den Sicherheitseinstellungen das Computerobjekt hinzufügen und entsprechende Rechte vergeben?

@daabm Ich habe mir das mal mit "accesschk -a *" ausgeben lassen und wie vermutet steht bei "SeServiceLogonRight:" die AD-Gruppe drin, die wiederum mehrere AD-Benutzer enthält, die dieses Recht per GPO schon zugewiesen bekommen haben. Diese AD-Gruppe hatte ich ja bereits in meinem Anfangspost erwähnt. @testperson 1. Warum denn nicht in der DDP? 2. Was soll mir die lokale Gruppe bringen? ich muss das Recht ja bei "Anmelden als Dienst" hinterlegen. Das heißt ich muss irgendwie auf dem Client entweder den "NT Service\XYZ" in die Benutzerrechte bei "Anmelden als Dienst" reinpacken oder aber die lokale Gruppe, in der das lokale Konto "NT Service\XYZ" Mitglied ist. Auch die Benutzerechte von "Lokal Anmeldung erlauben" bringen mich doch gar nicht weiter?

Hi! Folgende Situation Es existiert auf jedem Client in der Domäne ein lokales Systemkonto "NT Service\"Dienstname", welches automatisch bei der Installation der Software angelegt wurde. Dieses Konto ist auch in dem Windows Dienst unter "Anmelden als" eingetragen. Problem Dieses Systemkonto hat, wie man auch unter der lokalen Sicherheitsrichtlinie > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden als Dienst, sieht, kein Recht diesen Dienst zu starten, da dieses Konto dort nicht eingetragen ist. Jedes Mal, also mehrere 100 Male am Tag, versucht dieser Dienst zu starten, was extrem wichtig ist, aber aufgrund fehlender Berechtigungen schlägt dies fehl. Lösungsvarianten Im Prinzip wäre die Lösung an sich ja einfach, die wie folgt aussehen könnte: Default Domain Policy -> Computerkonfiguration > Windows-Einstellungen > Sicherheitsreinstellungen > Lokale Richtlinien > Zuweisen von Benutzerrechten > Anmelden als Dienst > Eintragung von "NT Service\"Dienstname" Fehlermeldung --> Folgende Konten konnten nicht überprüft werden : "NT Service\"Dienstname" Das Problem scheint hier das "NT Service" zu sein, denn wenn ich nur den Dienstnamen dort eingebe, funktioniert es. Dies ist dann allerdings sinnbefreit, weil es nicht über die GPO übertragen wird, da dieses Konto ohne das "NT Service" nicht zugeordnet werden kann. Bei uns ist über die DDP schon eine AD-Gruppe mit diesen "Anmelden als Dienst" Rechten versehen. Theoretisch könnte man also das Konto in dem Windows Dienst bei "Anmelden als" auf jedem Client in ein AD-Konto ändern und dies dann einfach in die AD-Gruppe hinzufügen. Ich habe es versucht mit Neues GPO Objekt > Computerkonfiguration > Systemsteuerungseinstellungen > Dienste Fehlermeldung --> Das CPassword-Attribut wurde verworfen, um die Sicherheitsrisiken zu minimieren. Verwenden Sie stattdessen sichere integrierte Benutzerkonten zum Erstellen von Gruppenrichtlinieneinstellungen für Dienste. Erfahren Sie, warum "CPassword" verworfen wurde und was Sie zu Ihrem Schutz tun können, indem Sie unten auf "Hilfe" klicken. Hier werde ich nicht ganz schlau draus Fragestellung Wie bekomme ich es also hin, dass auf jedem Client im Unternehmen (es sind sehr viele), dieser "NT Service\"Dienstname" in der lokalen Sicherheitsrichtlinie die Rechte unter "Anmelden als Dienst" erhält? Alternativ gibt es ja vielleicht die Möglichkeit, in Annäherung an die oben genannte 2. Lösungsvariante, den Account für "Anmelden Als" bei dem bestehen Dienst irgendwie durch ein neu erstelltes AD-Konto zu ersetzen und dieses dann über die GPO bei "Anmelden als Dienst" hinzuzufügen? Vielen Dank im Vorraus!

@cj_berlin hättest du wohl einen Tipp für mich?

Sorry für meine lückenhafte Beschreibung. ich habe natürlich nach dem Export des dumps, den besagten DHCP Scope über die DHCP Server MMC gelöscht und anschließend einen DC Sync geforced. Dann habe ich das mit dem Import durchgeführt mit der bereits erwähnten Fehlermeldung “Die Anforderung wird nicht unterstützt”

Hallo zusammen, ich möchte mittelfristig alle Subnetze bei uns im Unternehmen verkleinern, da wir fast 90% /16er Netze haben, aber diese Größe gar nicht benötigt wird und somit unnötige Brodcast-Stürme entstehen. Das /16 Netz möchte ich in ein /24 Netz umwandeln. Dazu habe ich mal an einem Beispiel Subnetz den passenden Bereich exportiert mit folgendem Command (SERVERNAME habe ich natürlich durch den passenden Hostnamen ersetzt) netsh dhcp server \\SERVERNAME scope 10.32.0.0 dump >c:\dhcp.txt Um von eine /16 SNM auf eine /24 zu kommen, habe ich in der .txt Datei die SNM von 255.255.0.0 durch 255.255.255.0 und darüber hinaus jeder Eintrag von 10.32.0.0 durch 10.32.1.0 ersetzt. Mit folgendem Command wollte ich dies nun wieder importieren - dies hat aber nicht geklappt - ich bekomme die Fehlermeldung: Die Anforderung wird nicht unterstützt. netsh dhcp server import c:\dhcp.txt all Was kann ich tun?

Wie würde man das denn mit dem Postfix umsetzen?

@testperson Die verschicken via SMTP von der Software aus auf verschiedenen Clients. Die Mails werden also an Outlook übergeben.

@Dukel Hi, nein das kann ich leider nicht einschränken. Benutzer, die senden und empfangen, sind unlimitiert.

Hallo zusammen, hinsichtlich der Einführung einer neuen Software im Unternehmen soll das Verhalten der Mailkommunikation aus dieser Software heraus getestet werden. Es soll also irgendwie temporär umgesetzt werden, dass alle E-Mails, die von einem dedizierten, internen Server, auf dem dann ein Office Client (Microsoft 365) installiert ist, gesendet werden, an ein bestimmtes, internes Postfach umgeleitet werden, und somit auch intern bleiben, und nie nach außen gelangen. Jetzt stell ich mir nur die Frage, wie man das am sinnvollsten umsetzt? Über die Nachrichtenfluss-Regeln im ECP kann ich zwar ein Absender-Filter auf die IPv4 Adresse setzen, aber diese Regel greift nicht, da im Header wahrscheinlich keinerlei Angaben zu dieser Source IP gemacht werden. Zumindest funktioniert diese Regel nicht. Könnt man das noch irgendwie anders umsetzen?, eventuell über die Exchange Konsole? Oder alternativ mit Postfix?, wobei ich da keinerlei Erfahrung zu habe.

Gibt es keine Möglichkeit, evtl. eine neue, eigene Sicherheitsgruppe für DHCP-Benutzer zu erstellen und diese dann zu konfigurieren (wüsste nicht wo man dieses Berechtigungskonzept verwaltet)

Ja gut die Zeit habe ich leider nicht. Und es geht hier um elektronische Steuerteile. Die Diskussion hinsichtlich dem Warum man das braucht ist unwichtig und auch nicht zielführend. Ich bin da eher an Lösungsvorschlägen interessiert. :)