lukas2002

Am 12.1.2024 um 06:26 schrieb Scharping-FVB:

Mit einer neuen GPO funktioniert es nun

Mal schauen, ob es auch den gewünschten Effekt hat. Bei Downloads sollen gewarnt werden, aber mit ein paar Klicks sollen die trotzdem möglich sein.

Dann haben wir das ja schonmal.

Am 12.1.2024 um 06:26 schrieb Scharping-FVB:

Und das muss ich auch noch lösen:

Das sollte ja auch an sein.

Dafür setzt du die Richtlinien:

Computerkonfiguration -> Administrative Vorlagen -> Windows-Komponenten -> Datei-Explorer

-> Windows Defender SmartScreen aktivieren (aktiviert - Warnen und Umgehung verhindern)

vor 2 Stunden schrieb Scharping-FVB:

Prinzipiell funktioniert das, aber genau der Haken, der im Screenshot fehlt, lässt sich nicht setzen :-(

Das blöde ist, dass dieser Haken bei unseren Usern hin und wieder einfach verschwindet, obwohl der Haken manuell vom User gesetzt wurde. Wahrscheinlich ein Windows Patch, der da rein pfuscht...

Also ich habe gerade eben extra mal die Funktionen deaktiviert und dann fehlt bei mir genauso der Haken wie bei dir. Aktiviere ich die drei Punkte ist der Haken gesetzt. 

Ich habe es jetzt nochmal ausprobiert, die genau richtige Richtlinie ist folgende.

Computerkonfiguration -> Administrative Vorlagen -> Microsoft Edge -> SmartScreen-Einstellungen 

-> Microsoft Defender SmartScreen konfigurieren, um potenziell unerwünschte Apps zu blockieren (aktivieren)

Setz die mal und führe danach mal ein "Gpupdate /force" aus.

vor 54 Minuten schrieb Wisi:

Sehe ich ähnlich, weil haben wir auf den Notebooks nicht (konfiguriert). Das mit dem Zertifikat glaube ich daher auch, weil es geht ja sofort, nachdem WIFI verbunden wurde. Mir fehlt nur ein Ansatzpunkt wie ich weitere Logs/Details dem PC entlocken kann. Weil bisher ist das Debug vom Switch das interessanteste was ich überhaupt sehen kann.

 

Ich benutze für WIFI und WIRED auch dasselbe Zertifikat, das heißt am Zertifikat selbst kann es dann ja eigentlich eher nicht liegen meiner Meinung nach.

Da sich WIFI automatisch konfiguriert sollte das im Normalfall meistens funktionieren. Schau mal ob du auf dem WIRED Interface bisschen rumkonfigurieren kannst.

Das WIRED Interface funktioniert bei mir auch nicht auf Anhieb, WIFI hat bei uns von Anfang an ohne Probleme funktioniert, bis auf ein bisschen Kosmetik.

vor 44 Minuten schrieb Sunny61:

Man kann auch auf einem Client oder Memberserver die GPMC.MSC hinzufügen und von dort aus die Gruppenrichtlinien in einer Domain bearbeiten, man muss es dazu NICHT auf deinem DC machen. Nur zur Info.

Diese Aussage verstehe ich nicht wirklich. Wie möchtest du den bitte die ADMX Templates auf den Domänencontroller in den Central Store kopieren ohne was an dem Berechtigungskonstrukt zu machen???

Welches Betriebssystem nutzt du denn auf den Clients und Servern?

Bei den Clients wäre auch die Edition und Version interessant...

Ich arbeite zwar nicht viel mit NPS aber vielleicht kann ich dir trotzdem helfen. 

Hallo,

bei Administrator.de ist auch ein Beitrag dazu https://administrator.de/forum/nps-802-1x-authentifizierung-wired-nur-erfolgreich-wenn-vorher-1x-mit-wifi-verbunden-84147913075.html 

Scheint nur da keiner drauf zu reagieren.

Gruß Lukas

Hallo,

das ist verknüpft mit dem Microsoft Edge.

Du musst dir als erstes die Templates vom Microsoft Edge downloaden und die Templates auf dem Domänencontroller hinzufügen.

Danach konfigurierst du die folgenden Einträge in einer Gruppenrichtlinie.

Computerkonfiguration -> Administrative Vorlagen -> Microsoft Edge -> SmartScreen-Einstellungen 

-> Microsoft Defender SmartScreen konfigurieren (aktiviert)

-> Microsoft Defender SmartScreen konfigurieren, um potenziell unerwünschte Apps zu blockieren (aktivieren)

-> Überprüfung von Downloads von vertrauenswürdigen Quellen durch Microsoft Defender SmartScreen erzwingen (aktiviert)

Kann sein das es auch nicht alle Richtlinien sein müssen, aber so funktioniert es auf jeden Fall.

Gruß

Lukas

Hallo,

mal eine ganz doofe Frage, du sprichst davon das die unter Windows Server 2012 super funktioniert hat, hast du die Maschine migriert oder hast du ein Inplace-Upgrade gemacht?

Welche Hyper-V Konfigurationsversion hat die VM, ist die auf dem neusten Stand? Wäre nicht die erste die wegen so was rumzickt.

Weil zwischen Windows Server 2012 und 2022 sind so um die 8-10 neue Konfigurationsversionen...

Gruß Lukas

Wie meldet er sich denn auf den Servern an? Per Remotedesktop? 

Braucht der "nur" eine Vergrößerung oder auch einen anderen Kontrast?

Hallo nochmal zusammen,

leider hat sich bis heute noch nichts bei uns getan bzgl. einer Änderung des Routers.

Jetzt ist mir die Tage schon öfters in den Sinn gekommen, dass man ja auch einen "einfachen" PC nehmen könnte und auf diesem pfSense installiert und ein Modem davor hängt. 

Da aus meiner Sicht sich auch was an der Sicherheit ändern soll, würde ich auch gerne dann mit VLAN's arbeiten. Das sollte doch in der Konstellation kein Problem darstellen?

Diese Idee ist mir in den Kopf gekommen, da die Kosten dann nicht so hoch sind und man Hardware unabhängig wäre.

Gruß Lukas

vor 2 Stunden schrieb Welle980:

Vielen Dank für die ausführlichen Antworten.
Es macht Spaß darüber zu diskutieren und nicht immer nur alleine nachzudenken.

 

Auf die CPUs bin ich auch ein bisschen durch die Konfigurationsmöglichkeiten bei Dell gekommen.
Alternativ wäre 2 x Intel® Xeon® Silver 4309Y 2.8G, 8C/16T, 10.4GT/s, 12M Cache, Turbo, HT (105W) DDR4-2667 möglich.

 

Ich habe durch die Faq-o-matic Artikel zwar gelernt, wie gut Hyper V die CPUs nutzt. Trotzdem fand ich es
sympathisch, für jeden bisherigen physischen Server 8 richtige Kerne auf dem neuen virtualisierten Server zu haben.
Ich prüfe nochmal wie groß der Preisunterschied für die Windows-Lizenzen zwischen 16 und 24 ist.

Mach dir wirklich Gedanken, denn da kannst du einiges sparen und aus meiner Sicht wie du das beschreibst brauchst du keine 24 Kerne. 

Du hast ja den riesen Vorteil bei Virtualisierung, dass du die Kerne "überbuchen" kannst, also dass du theoretisch in Summe den VMs das doppelte an physischen Kernen zuweisen kannst ohne das es zu Problemen kommt.

Zitat

Momentan ist es auch schon so, dass wir nicht wirklich weiter arbeiten können, wenn einer der Server ausfällt.
Das wäre aber auch mal für 1-2 Tage kein großes Problem.

Wenn der jetzige Terminal-Server übrig ist, würde ich darauf z.B. einen zweiten DC installieren.

Könntest aber auch wie Nils schon gesagt hat, einen kleineren Server nehmen, DC brauchen ja wirklich kaum Leistung. 

Zitat

Der Datenbank- und der Terminalserver haben aktuell beide 32 GB Arbeitsspeicher, beide ohne Virtualisierung.
Das scheint zu reichen, wenn man sich die Auslastung anguckt. Beide Server bekommen dann auch Windows Server 2019 in der VM.

Wenn du die beiden schon virtualisieren willst, hättest du ja schon 64 GB Arbeitsspeicher in Benutzung, sofern du die dann wieder so zuweist... Dann könnten insgesamt 64 GB unterdimensioniert sein. 

PS: mit zu viel Arbeitsspeicher macht man nichts falsch, zu wenig könnte zu Performanceeinbußen führen  ;)

Gruß Lukas

Hallo,

du solltest bei dem Prozessor dir überlegen, ob du wirklich zwei 12 Kerner haben willst. Da das in Summe 24 sind und du somit schon eine normale 16 Core Server Lizenz brauchst und dann entweder Erweiterungen (Add in 8 Cores), sodass du die 24 Kerne komplett abdeckst. Ich weiß nicht in wie weit du dich damit schon beschäftigt hast?

Deine Herangehensweise hört sich erstmal nicht verkehrt an, die Server kannst du, bei deiner beschriebenen geringen Auslastung, alle auf einen physischen Server packen und dann virtualisieren, sodass du dann alles auf einer Hardware hättest. Da sollte aber natürlich beachtet werden, dass bei Ausfall der "alleinigen" Hardware ein komplett Ausfall stattfindet. 
Aber dann besteht auch die Frage, könnte euer Unternehmen auch mal paar Stunden bis ein Tag warten, bis ein Service-Techniker da ist, um die Hardware zu reparieren/tauschen?

Das QNAP willst du weiterhin als Datensicherung nutzen?

Wie ist der Terminal aufgesetzt? Alles auf einem Server oder auch schon virtualisiert und dadurch getrennt?

Gruß Lukas

vor 1 Minute schrieb Nobbyaushb:

Frag doch mal direkt bei Securepoint nach - die haben für Schulen etc. spezielle Programme

Ok, werde ich mal machen.

vor 1 Stunde schrieb Nobbyaushb:

Moin,

 

auch wenn ich wohl gleich gesteinigt werde - Draytek mag für zu Hause prima sein, aber...

 

Wenn du was ohne Backdoor haben willst, nimm Securepoint. Kommt aus D und sitzt in Lüneburg

Hat einen auf Open VPN basierenden VPN, der mit wenigen klicks eingerichtet und auch genauso schnell auf den Clients instaliert ist.

 

Dürfte nur einiges teurer sein - wieviel Budget gibt es für Sicherheit?

 

Ok, was würdest du denn in die Richtung für ein Securepoint empfehlen?

Solang, sich die Nutzer vor dem Anmelden mit der VPN anmelden können, ist das für mich in Ordnung. 

Es sind so an die 350€ geplant..., ist keine große Einrichtung (für Jugendarbeit) und sowieso kein Unternehmen. 

vor 1 Stunde schrieb daabm:

Die Fritte kann WireGuard - ok, aktuell erst in der Laborversion 7.39, die es für die 7490 noch nicht gibt.

https://avm.de/fritz-labor/frisch-aus-der-entwicklung/neues-und-verbesserungen/unterstuetzung-von-wireguard-fuer-den-einfachen-aufbau-von-vpn-verbindungen/

Aber die 7490 dürfte eh schon in die Jahre gekommen sein, ich würde da auch wegen Wifi 6 auf eines der neueren ax-Modelle updaten.

 

Ansonsten wie @Nobbyaushb schreibt.

Wifi 6 ist für mich nicht so wichtig wie ein funktionierendes integriertes VPN. 

Die 7490 ist für mich auch schon ziemlich alt und es hat sich bei uns einiges getan, sodass jetzt auch ein ordentliches VPN nötig ist. 

Hallo zusammen,

ich möchte gerne unsere FritzBox 7490 gegen einen professionelleren Router tauschen, der zugleich auch VPN (L2TP/IPsec) und eine Firewall hat. 
Ich habe bisher an einen Draytek Vigor 2865ac gedacht, da dieser die 4 gewünschten Funktionen besitzt und jetzt nicht unfassbar tief in die Tasche greift. Der würde an einen VDSL2 Anschluss von NetCologne kommen.
Kann ich an diesem eine Windows kompatible VPN einrichten ohne Drittanbieter Software?! Nach meinem Kenntnisstand schon...

Da sich an diesem Router dann immer mal wieder 2-3 VPN Clients mit dem integrierten Windows VPN anmelden sollen. Für einen reibungslosen Betrieb mit dem vorhandenen Active Directory.

Ich wäre über eine Einschätzung sehr dankbar und wenn auch andere Vorschläge vorhanden sind, wäre ich auch dafür dankbar. 

Gruß Lukas

Am 27.7.2022 um 09:49 schrieb cerit:

 

Habe ein Server 2016 Essentials mit 6 Usern und Access Any wahre Funktion nur wenn ich über den domain/remote mich einlogge ist es sehr langsam aber wenn ich direkt über RDP mich verbinde funktioniert er Einwand frei. Habe die remote Desktop Gateway Funktionen kontrolliert aber nicht was verdächtiges gefunden. 

Meinst du den Login in über die Weboberfläche oder welcher Login dauert lange?

Gruß Lukas

Wir nutzen zwei Windows Server als DHCP (Im Failover-Betrieb).

IPv4-Adresse: 192.168.56.0

Subnetzmaske: 255.255.248.0

Gateway: 192.168.56.1

DHCP-Bereich: 192.168.60.1 - 192.168.60.200

Server IP-Adressen: 192.168.57.1 - 192.168.57.50

Client bekommt per VPN-Server, also von der Essentials Rolle, aus einem Statischen Bereich Adressen, die im Bereich 192.168.59.1 - 192.168.59.200 liegen dürfen. Das habe ich jetzt im Nachhinein schonmal geändert, da das in einem Forumsbeitrag schonmal Probleme machte. 

Aber sobald ich den Haken "Standardgateway für das Remotenetzwerk verwenden" entferne, kann ich kein Netzwerkgerät anpingen.

Gruß Lukas

Ich bin jetzt einen Schritt weiter und habe durch ausprobieren herausgefunden, dass wenn ich den Haken "Standardgateway für das Remotenetzwerk verwenden" entferne keine Verbindung mehr in das Netzwerk bekommen und wenn ich den Haken setze, dass ich eine Verbindung in das Netzwerk habe.

Das "Problem" ist, dass die Internetverbindung nicht sehr schnell ist und ich somit nicht den ganzen Netzwerkverkehr auf der VPN-Verbindung liegen haben will. 

Hat irgendwer eine Idee woran dieses Problem liegen kann?

Gruß Lukas

Hallo zusammen,

ich habe die letzten Tage einen Windows Server 2016 Standard mit Essentials Rolle installiert, nur leider habe ich das Problem wenn ich den Zugriff überall konfiguriere, dass ich eine VPN Verbindung aufbauen kann, aber keine Verbindung in das Netzwerk bekomme. Ich habe auch schon mehrfach die Option "Reparieren" genutzt, dies hilft leider nicht weiter...

   Verbindungsspezifisches DNS-Suffix:
   Beschreibung. . . . . . . . . . . : MRC_Neu
   Physische Adresse . . . . . . . . :
   DHCP aktiviert. . . . . . . . . . : Nein
   Autokonfiguration aktiviert . . . : Ja
   IPv4-Adresse  . . . . . . . . . . : 192.168.60.5(Bevorzugt)
   Subnetzmaske  . . . . . . . . . . : 255.255.255.255
   Standardgateway . . . . . . . . . :
   DNS-Server  . . . . . . . . . . . : 192.168.57.12
                                       192.168.57.11
   NetBIOS über TCP/IP . . . . . . . : Aktiviert

Die DNS-Server sind richtig eingestellt, nur wie mir bisher auffällt wird kein DNS-Suffix mitgeschickt. Ist das vielleicht das Problem?

Hat irgendwer eine Ahnung woran das liegt? 

Gruß Lukas

Vielleicht hilft dir das weiter:

https://www.manfredhelber.de/lizenzierung-von-office-fuer-rds-szenarien/#:~:text=Da es auf dem RDS,Office Professional Plus 2016 erforderlich.

Da steht was zum Office 2016 bzw. Auch auf 2019 anwendbar und was zum Office 365.

vor 51 Minuten schrieb cj_berlin:

Die Bugs kommen monatlich am Patchday rein, kann also auch 2012R2 noch betreffen. So geschehen beispielsweise auch diesen Winter  

Aber was ich persönlich bisher mitbekommen habe, ist das seltener aufgetreten. 

vor 14 Minuten schrieb NorbertFe:

Hab ich das behauptet? Trotzdem ist Exchange 2016 (CU23) nur bis Windows Server 2019 Domain Controller supported.

Jo, bin leider in der Spalte verrutscht :(

vor 9 Stunden schrieb NorbertFe:

Dann darfst du maximal Domain Controller mit Windows Server 2019 einsetzen. Das Domain/Forest Functional Level ist bei CU 22/23 auf jeden Fall Windows Server 2016 (mehr gibts ja nicht) ;) Beachten muss man da nix.

Aber Windows Server 2022 hat auch kein anderes Domain/Forest Functional Level als Windows Server 2019.
Windows Server 2022 wäre aber aus meiner Ansicht noch zu früh, es könnten noch zu viele Bugs auftreten und wenn du das produktiv nutzen willst, ist das die Frage, ob das so sinnvoll ist?

Gruß Lukas

Schau dir vielleicht mal das Active Directory Replication Tool an, vielleicht gibt das ja was aus...

Hast du die DNS Einstellungen richtig gesetzt?
Wie lange besteht das System schon, hast du das erst neu aufgesetzt oder ist das schon leer beständig?

Gruß Lukas

Hallo,

wenn ich dich richtig verstehe, müsste der folgende Link dir helfen...

https://docs.microsoft.com/de-de/exchange/plan-and-deploy/post-installation-tasks/configure-certificate-based-auth?view=exchserver-2019

Gruß Lukas

vor 7 Stunden schrieb speer:

 

Hallo zusammen,

kurz zum Hintergrund meiner Frage.

Für die Azubis stellen wir während deren Ihrer Ausbildung einen Laptop mit Windows 10 und Office 365 VL zur Verfügung.

Nun sollen diese Geräte im Zuge von Einsparungen zukünftig mit einer Office Home & Business ausgestattet werden.

Für die Nutzung bzw. Download der Software ist ein Microsoft Account notwendig. Mir ist nun nicht klar, ist dieser Microsoft Account nun Benutzerbezogen oder besteht die Möglichkeit, als Account Benutzer eine Postfach E-Mail Adresse zu verwenden um die Lizenzen zentral zu verwalten?

 

Habt ihr mal den Preisunterschied gegen gerechnet? 
Ich weiß jetzt zwar nicht welche Branche ihr seit, aber sollte mal ein Azubi zu einem Angestellten gehen und da liegt die Excel Option (Office 365), da könnte die Option wo anders liegen  als bei Office Home & Business... Das würde viele Sachen nur erschweren und wie @testperson schon gesagt hat, ihr könnt die nicht per GPOs steuern. 

Hängt halt alles so ein bisschen ab wie weit das bei euch auch umgesetzt ist

Gruß Lukas