LK28

Nabend zusammen, ich bin ehemaliger Unitymedia Kunde in NRW und mittlerweile Vodafone. Ich besitze also die klassische Unitymedia Connect-Box. Mittlerweile mit Vodafone Software drauf. Da ich mir eine professionellere Router-Firewall Lösung für Zuhause angeschafft habe, suche ich ein reines Kabel Modem. Hitron Modems kann man wohl als Privatkunde gar nicht kaufen? Bei Draytek Vigor bin ich nicht fündig geworden, bzw. wüsste nicht welcher der richtige wäre. Was für Modems/Kabel Modems benutzt ihr so, falls ihr zuhause eine richtige Firewall einsetzt? In meinem Fall ist es eine Sophos XG auf eigener Hardware. Danke für Hilfe

Wollte nur sicherstellen, dass ich korrekt liege, dass für die Shadow Principals das MS PAM und der PAM Trust benötigt wird, und ein "normaler" Trust nicht ausreicht. :) Bin mir nicht sicher, ob das Microsoft PAM überhaupt benutzt wird, oder auf andere Hersteller gesetzt wird. Edit: Vielleicht nochmal anders ausgedrückt: Macht das Ganze Thema Bastion-Forest auch dann Sinn, wenn man das MS PAM nicht einsetzt, keinen PAM-Trust einsetzt und somit keine Shadow Principals hat? Man hätte in dem Falle also "nur" den einseitigen normalen Trust

Hierzu mal eine Frage: Die Shadow Principals sind aber nur möglich, wenn man das Microsoft PAM nutzt + den PAM Trust? Es ist aber auch aus sicherheitstechnischer Sicht möglich/sinnvoll, einen einseitigen Trust (Prod Forest vertraut dem Admin Forest) einzurichten, sodass die Admins aus dem Admin Forest die Prod Umgebung verwalten können?

Hallo, ich habe die Exchange Regel auch manuell hinzugefügt, und habe mir dann noch was zu dem EEMS durchgelesen. Nun habe ich entdeckt, dass es im IIS auf der Default Web Site diese EEMS Regel anscheinend gibt. Diese wurde nicht manuell hinzugefügt. Microsoft schreibt, dass es einen Windows Dienst geben soll, den ich aber nicht finde. Jedenfalls finde ich nichts zu "EEMS". Würde gerne wissen, ob EEMS damit enabled ist oder ich hier daneben liege. So wie ich das jetzt sehe, ist EEMS laut dem Bild enabled und ich kann meine manuell hinzugefügte Regel wieder entfernen? Danke Edit: Ich hab jetzt doch dank Powershell Abfrage durch die englische Bezeichnung entdeckt, dass der EEMS Dienst (auf deutsch MS Exchange Notfallschutzdienst) ausgeführt wird. Daher gehe ich davon aus, dass die Sicherheitslücke durch die automatisch erstellte Regel damit von alleine erledigt wurde.

Ich würde noch hinzufügen, dass vor allem die Domain Admin Accounts gefährdet sind, mit denen auf den Clients Support geleistet wird. (falls das bei euch so sein sollte)

Danke für den Link. Dass beide DCs die Arbeit übernehmen im Normalfall weiß ich. Meinte damit nur, dass DC2 dann der Alleinige DC ist. Auch hier Danke. Ich werde das im Lab nochmal austesten, vor Allem wie es im Zusammenhang mit temp. Profilen mit den Zugriffen dann auf Netzwerkressourcen aussieht. Sollte ja aber eigentlich trotzdem gehen. Nur dann mit Passwort Eingabe beim Zugriff?

Hallo Zusammen, ich hätte ein paar Fragen zur Funktionsweise der DCs/des ADs. Nehmen wir an, wir haben zwei funktionierende DCs. DC1 hält alle FSMO-Rollen inne. Wenn nun DC1 ausfiele, würde DC2 übernehmen und die Konten authentifizieren lassen. (DNS Eintrag vorausgesetzt) Ab wann gäbe es Probleme, aufgrund der Tatsache, dass der DC mit den FSMO-Rollen offline ist? Mir ist klar, dass man die FSMO-Rollen verschieben kann, würde aber gerne wissen wie es aussieht, wenn man es nicht machen würde. (Ab wann sollte man es machen?) Fragen: Spielt der RID-Master auch beim Anmelden eine Rolle, oder nur beim Erstellen von AD Objekten? Wie sieht es mit dem PDC-Emulator aus und den Problemen mit NTP? Bekommt man automatisch ab einem gewissen Zeitpunkt Probleme mit der Zeitsynchronisation? Soweit ich weiß: NTP Server -> PDC -> DC (Anmeldeserver) -> Client. Wenn der PDC nun offline ist, fehlt ein Glied in der Kette. Eine andere Frage hätte ich zu servergespeicherten Profilen: Aus dem Bauch heraus hätte ich gesagt, dass eine Authentifizierung an der Domäne nicht möglich sei, wenn der Server wo die Profile liegen, offline ist. Es soll aber anscheinend doch möglich sein, mittels Kopie des servergespeicherten Profils auf den lokalen PC? Vielen Dank

Auf der Freigabe (Ordner erstellen -> Rechtsklick -> erweiterte Freigabe) brauchen die Mitarbeiter natürlich Rechte. Z.B. Vollzugriff. Mittels NTFS Rechten kannst du die Berechtigungen dann im Nachhinein restriktiver anpassen. Was die Buchhaltung angeht: Wenn du z.B. 10 Mitarbeiter in der Buchhaltung hast, und einen Ordner Buchhaltung erstellst, musst du schauen ob alle 10 Mitarbeiter auf jeden Unterordner vom Ordner Buchhaltung Rechte haben darf. Wenn alle Mitarbeiter auf die Unterordner Kreditoren, Debitoren und Lohn Schreibrechte haben darf, reicht eine Gruppe Buchhaltung, wo du alle Mitarbeiter reinpackst und die Gruppe mittels NTFS auf den Ordner Buchhaltung berechtigst, Gibt es allerdings Mitarbeiter, die nur Leserechte besitzen dürfen, musst du diese in eine extra Gruppe packen und die Gruppe entsprechend berechtigen Edit: Was Bücher angeht, mal bei Amazon schauen.. da findet man etwas. Ich denke aber, dass ein paar Artikel im Internet besser sind zum Thema NTFS, als gleich ein Buch mit 1000+- Seiten, wenn du dich erstmal "nur" mit NTFS beschäftigen willst

Hi, ich hätte noch eine Frage: Der Internetprovider hat den Eintrag nun vorgenommen, laut nslookup auf den Namen des MX Eintrags. Der Name des MX Eintrags unterscheidet sich vom eigentlichen Namen des Mail Servers. MX Eintrag lautet: mx1.domäne.de Email Server lautet: mail.domäne.de Auf welchen Namen sollte der PTR Eintrag zielen? Ist das egal? Danke

Ist ein neuer DSL Anschluss. Die haben dort im Endeffekt vor der Firewall eine Fritzbox hingesetzt.. Ob das physikalisch deren Leitung ist, gute Frage.. Der vorherige Anbieter war die Telekom

Danke Euch für die Antwort. Dann werde ich nochmal Rücksprache mit dem Provider halten, hatte eigentlich gestern schon Jemanden von der IT dran.. Der Provider ist gnTel.

Guten Morgen, ein Kunde von uns hat kürzlich den Internetprovider gewechselt und damit auch eine neue statische öffentliche IP-Adresse erhalten. Der Internetzugriff, der generelle Email Verkehr nach extern und intern funktioniert zwar, allerdings werden manche Emails von der Empfängerseite (extern) abgelehnt, aufgrund eines fehlenden RDNS Eintrags. Ich habe es mal getestet: Wenn ich ein nslookup auf den MX Eintrag mache, kriege ich die neue öffentliche IP zurück. Wenn ich ein nslookup auf die öffentliche IP mache, kriege ich keine Antwort bzw. "nicht gefunden" Der Kunde hat seine Domain und seine Einträge (MX, SPF etc.) alle bei IONOS liegen und ich dachte, dass auch dort im Webportal der RDNS Eintrag gesetzt werden müsse. Allerdings komme ich nach mehr und mehr Recherche zu dem Schluss, dass der RDNS Eintrag beim Internetprovider gesetzt werden muss. Der Internetprovider hat mir aber am Telefon gesagt, dass das Aufgabe von IONOS sei. Für die alte öffentliche IP (alter Provider) gab es einen RDNS Eintrag, jedenfalls laut nslookup. Allerdings ist auch dieser nicht im IONOS Portal zu finden. Könnte mich bitte Jemand aufklären, wie das denn normalerweise gehandhabt wird? Vielen Dank

Hallo zusammen, heute erschien folgender Artikel: https://www.heise.de/news/Jetzt-handeln-Angreifer-nutzen-die-Drucker-Luecke-in-Windows-bereits-aus-6127265.html https://www.heise.de/news/PrintNightmare-Schadcode-Luecke-in-Windows-bedroht-ganze-Netzwerke-6124838.html Gibt wohl noch keinen offiziellen Patch, sondern bisher nur Workarounds wie Printspooler abschalten auf kritischen Systemen. Schon Jemand erste Schritte eingeleitet? Grüße Leo

Hallo, danke für deine Rückmeldung. Ja, ob wir wirklich den alten Namen beibehalten müssen, wollen wir auch noch abklären. Wir sind Dienstleister, muss ich dazu sagen. Und nein, es gibt insgesamt drei 2019 DCs. Also den 2012er herunterstufen, umbenennen, und den "neuen" aufbauen mit dem nun freien Namen. Danke dir

Hallo zusammen, wir stecken zur Zeit in einer Migration und wollen demnächst die FSMO Rollen auf Server 2019 übertragen und den alten Windows Server 2012 abreißen. Die Migration ansich stellt kein Problem dar, allerdings war die Idee den Namen des alten DCs für den neuen DC zu übernehmen. Bisher dachte ich, dass man den Namen des DCs ganz normal wie jeden anderen Windows PC über die Systemsteuerung ändern kann, würde mir hier gerne aber Empfehlungen von Euch reinholen. Ich habe gelesen, dass es nötig sei, den DC erst zu herunterzustufen, dann umbenennen und ihn dann wieder heraufzustufen. Das scheint aber mit Windows Server 2003 nicht mehr notwendig? Microsoft empfiehlt den Weg über die netdom Befehle. Falls ja, aus welchem Grund ist der Weg besser/der einzige als der Weg über die Systemsteuerung? Es gibt auch noch viele Artikel im Internet, die für Server 2019 empfehlen, den DC erst herunterzustufen und ihn dann umzubenennen. Dass das ms-dfsr Container Objekt nicht automatisch mit geändert wird, und man dies manuell machen muss/sollte, ist mir bekannt. Vielen Dank edit: In meiner Testumgebung habe ich meinen einzigen DC mal per normalem Weg über die Systemsteuerung geändert. Im DNS und unter Standorte und Dienste zeigt er den neuen Namen an, allerdings zeigt mir der cmd Befehl auf einem anderen Mitgliedsserver unter logonserver den alten Namen an.