Jump to content

mcdaniels

Premium Member
  • Gesamte Inhalte

    1.673
  • Registriert seit

  • Letzter Besuch

Alle erstellten Inhalte von mcdaniels

  1. Hallo, interessanterweise können wir keine Kennwörter ändern, da die Kennwörter lt. Windows 10 / Server 2012 Domäne nicht der geforderten Kennwortkomplexität entsprechen. Selbst wenn wir "komplexere" Kennwörter, wie zum Beispiel !Dace12CC# verwenden, bekommen wir diese Fehlermeldung. Schau ich mir die Anforderungen (GPO) an (und ich hoffe, hier nichts zu übersehen) wüsste ich nicht, woher diese Komplexitätsanforderung kommt. (Sie ist nämlich ganz und gar nicht "scharf" eingestellt. RSOP sagt mir, dass die Kennwortrichtlinie von der Default Domain Policy umgestzt wird. Gibt es hier noch eine Einstellung, die ich übersehe? EDIT: Die 2 Benutzer haben ihr Kennwort gestern Nachmittag geändert. --> Aufgrund der Richtlinie -> Minimales Kennwortalter 1 Tag, hat es dann (logischerweise) nicht funktioniert, dass sie das Kennwort heute Vormittag ändern. *auf den Kopf greif! -- Sorry --
  2. Ausgefallener DC von Backup wiederherstellen

    Nach einem Restart des DC1 melden beide DCs, dass AD wieder ordnungsgemäß ausgeführt wird. Replikation auch ok.
  3. Hallo, wenn man einen DC von einem älteren Backup (2 Tage alt... VM) wiederherstellt und ein 2ter DC mit allen FSMO-Rollen und GC online bleibt, stellt dies ein Problem dar? Konnte es zB zu AD oder Replikationsproblemen kommen? Der wiederherzustellende DC hat auch den GC (zusätzlich) Danke! LG
  4. Ausgefallener DC von Backup wiederherstellen

    exakt! also grundsätzlich kann ich mit vielem leben. Ich konnte die VM (vom def. Datastore) nun "retten". Wurde zuvor ordnungsgemäß heruntergefahren, da der Server ja noch gelaufen ist. Server bootet, meldet das DFS Repl und AD Replikation läuft. repadmin Der DC1 (=physisch) (alle FSMO,GC) meldet auf ein repadmin /showreps --> sämtliche Prüfungen erfolgreich. Der DC2 (=problemDC) (nur GC) meldet auch alles ok. dcdiag DC1 (physisch) OK DC2 (ProblemDC) meckert nach Neustart: Fehler. Ereignis-ID: 0x40000005 Erstellungszeitpunkt: 02/16/2019 08:37:13 Ereigniszeichenfolge: Der Kerberos-Client hat einen KRB_AP_ERR_TKT_NYV-Fehler von Server " rv-dc2$" empfangen. Dies deutet darauf hin, dass das an den Server übergebene T cket noch nicht gültig ist (da Ticket- und Serverzeit nicht übereinstimmen). We den Sie sich an den Systemadministrator, und stellen Sie sicher, dass die Clien zeit mit der Serverzeit synchronisiert ist und dass die Zeit des Schlüsselverte lungscenters (KDC) im Bereich "BRUCKMUR.LOCAL" mit dem KDC im Clientbereich syn hronisiert ist. Warnung. Ereignis-ID: 0x00001796 Erstellungszeitpunkt: 02/16/2019 08:37:19 Ereigniszeichenfolge: Von Microsoft Windows Server wurde festgestellt, dass momentan zwisc en Clients und diesem Server die NTLM-Authentifizierung verwendet wird. Dieses reignis tritt einmal pro Serverstart auf, wenn NTLM von einem Client erstmalig ür den Server verwendet wird. Fehler. Ereignis-ID: 0xC0001B6E Erstellungszeitpunkt: 02/16/2019 08:39:09 Ereigniszeichenfolge: Der Dienst "McAfee ePolicy Orchestrator 5.9.1-Server" wurde nicht ri htig gestartet. Warnung. Ereignis-ID: 0x0000008E Erstellungszeitpunkt: 02/16/2019 08:49:58 Ereigniszeichenfolge: Der Zeitdienst wird nicht mehr als Zeitquelle angekündigt, da die lo ale Systemuhr nicht synchronisiert ist. Fehler. Ereignis-ID: 0x00009007 Erstellungszeitpunkt: 02/16/2019 08:56:41 Ereigniszeichenfolge: Schwerwiegender Fehler beim Erstellen der Anmeldeinformationen Clien für SSL. Der interne Fehlerstatus ist 10013. Fehler. Ereignis-ID: 0x00009007 Erstellungszeitpunkt: 02/16/2019 08:56:55 Ereigniszeichenfolge: Schwerwiegender Fehler beim Erstellen der Anmeldeinformationen Clien für SSL. Der interne Fehlerstatus ist 10013. Fehler. Ereignis-ID: 0x00009007 Erstellungszeitpunkt: 02/16/2019 08:57:24 Ereigniszeichenfolge: Schwerwiegender Fehler beim Erstellen der Anmeldeinformationen Clien für SSL. Der interne Fehlerstatus ist 10013. ......................... Der Test SystemLog für SRV-DC2 ist fehlgeschlagen. Eventlog DC1 meldet dass - da der DC2 offline war - eine temp. Verbindung erstellt wurde und dass die Verbindung wiederhergestellt wird, sobald der Server wieder online ist. DC2 meldet dass AD wieder ordnungsgemäß läuft. Komischerweise macht das der DC1 nicht. (keine derartige Meldung). Könnt ihr mir ggf. sagen, was diese Kerberos-Client-Meldungen bedeuten. Systemuhr läuft synchron....
  5. Ausgefallener DC von Backup wiederherstellen

    Tja, wenn es immer so einfach wäre.... :)
  6. Ausgefallener DC von Backup wiederherstellen

    schön, dass ich euch erstaune Auf dem DC laufen u.a. einige Verwaltungstools / Konsolen, die ich ungern neu aufziehen möchte. Aber seis drum... danke für die Info!
  7. Ausgefallener DC von Backup wiederherstellen

    ESXI-Host - defekter Datastore -> Backup des DC (VM) von vorgestern vorhanden.
  8. ...ähnlich wie bei mir,...
  9. Schönen Nachmittag! ich baue mir @Home testhalber gerade ein 10Gbit Netzwerk auf. Hierbei setze ich auf ein 10Gbit NAS (Asustor), Asusswitch (XGU-2008) und eine Intel X550-T2, 10Gb-Ethernet-Netzwerkkarte. Verkabelung CAT5e, Kabellängen max. 1,5 Meter. In der NAS sind 2 WD-RED 3TB HD verbaut, die (testhalber) im Raid0-Mode laufen. Kopiere ich nun vom PC (Samsung SSD) auf das NAS eine größere Datei (2GB), dann erhalte ich nur Datenübertragungsraten von 130MB/sec. Hab schon ein wenig mit den Settings der NIC s) experimentiert. Dennoch bleibt der Transferspeed immer gleich (schlecht). Ein Kopiervorgang vom NAS hin zum PC ist noch viel langsamer: 34 Mb/sec. Der Link wird am PC/NAS mit 10Gbit erkannt. Würden die Kabel das Problem sein, dann wäre der Link wohl nicht mit 10Gbit online. Ich denke dass der Raid 0 Verbund schon eine etwas bessere Leistung bringen sollte? Bin etwas überrascht, dass die Performance so derart mies ist. Teste nachher noch mit einer single SSD. EDIT: SSD verbaut, Kabel auf CAT6 getauscht. Speed exakt gleich "langsam"....
  10. Nachsatz: Hab jetzt rein interessehalber nochmals eine 64GB Samsung SSD verbaut (schon etwas älter). Hiermit erhöht sich die Datenrate NAS -> PC auf 400MB/SEC. Die Datenrate von PC -> NAS ist wiederum etwas schlechter. Um die 200MB/SEC. Ich muss aber dazu sagen, dass ich mir nicht die Mühe gemacht habe, die genauen Specs der alten SSD nachzuschlagen. Unterm Strich bin ich nun der Meinung, dass dieses NAS durchaus für den gehobenen "Heimanwender" ausreicht. Ob eine derartige Investition (NAS, Switch, NIC - 10GBIT) dafür steht, lasse ich allerdings im Raum stehen. Danke für euren Support! ...aber mit Sicherheit nicht mit einem derartigen NAS System, sondern mit "etwas Gescheitem"
  11. Hey! Ja ich hatte es zuvor auch mit einer SSD versucht. Es war aber offenbar generell dieses Network Traffic Tool.... JA, ich muss den Tisch verstärken, wenn ich viele Daten drauf schaufel... *lach* @DocData: Naja jetzt ist es zumindest besser wie zuvor!
  12. Konnte jetzt durch das Deaktivieren eines Network Traffic Tools einiges mehr rausholen. Versteh zwar nicht ganz warum es hier zu einem bremsenden Effekt kam (da keine Prioritäten aktiv waren), aber das hat wohl "reingefunkt". Da hab ich ggf. zu früh "geschimpft". PC -> NAS 300mb/sec NAS -> PC 150mb/sec Schon besser... aber allerdings noch immer weit entfernt von 10Gbit.
  13. Das wäre dann ja eigentlich eine Mogelpackung a la carte und eine Frechheit. Was mir gerade vorhin aufgefallen ist, ist, dass die CPU Load auf dem NAS beim kopieren von NAS -> PC auf 100% ansteigt. (allerdings offenbar "nur" ein Kern). Beim Kopieren von PC auf die NAS bleibt die CPU recht "cool". Ein Wahnsinn, wenn die Hardware rund um den 10gbit Controller zu klein dimensioniert wäre. Allerdings würde das den Preis erklären!
  14. Hallo zusammen, angesichts der Entwicklung von immer gefährlicheren Trojanern, die mittlerweile auf zig hochtechnisierte Mittel zur "Systempenetration" setzen, wollte ich hier mal eine Diskussion starten, wie das bei euch (auch im Firmenumfeld) gehandhabt wird. Wundert mich etwas, dass es hier noch keine Diskussion darüber gibt. (vielleicht habe ich sie aber auch einfach bislang nicht gefunden / nicht gut genug gesucht) Aktuell ist der Hauptangriffsvektor das altbekannte Email. Entweder mit Anhang, oder mit einem Link. Das ist ja an sich überhaupt nichts Neues mehr. Was mich (fast) schockiert ist, wie ausgekocht die Ganoven mittlerweile sind. "Belauschen" von Opfern, analysieren des Emailverkehrs, analysieren wer mit wem kommuniziert. Darauf aufsetzend dann exakt auf die "Zielperson" zugeschnittene Emails, in perfektem Deutsch und mit Inhalten die den tatsächlichen laufenden Geschäften des Betriebes entsprechen. Was alle gemeinsam haben: Die Hartnäckigkeit. Irgendwann klickt ein User den Link an, oder öffnet einen Anhang / aktiviert das Makro etc.. Das Schlimme dabei ist, dass viele der User dann ja mal nichts sagen... Unsicherheitsfaktor: Benutzer Das war schon immer so und wird auch weiterhin so sein. Somit kann man logischerweise nur versuchen proaktiv gegen diese Bedrohungen vorzugehen. Ich denke hier an: Benutzerschulungen, Benutzer fortlaufend informieren. Systeme immer auf dem aktuellen Stand halten. Virenscanner aktuell halten. Scan des incoming und outgoing Traffic. Unbedingt SSL-Inspektion (SSL Deep Inspection) des Traffic. Bei nicht vorhanden sein eines SSL Scans, reißt man meines Erachtens ein gravierendes "Loch" auf. Blocken von div. Inhalten, die per Mail kommen / User dürfen so gut wie nichts herunterladen. (schon gar keine ausführbaren Dateien und Scripts). Nie mit Adminrechten / oder gar Domainadminrechten auf einer Workstation arbeiten. Makrosicherheit so hoch wie möglich einstellen. Bestenfalls Makros abdrehen (geht aber nicht immer). Was machen wenn der Trojaner bereits aktiviert wurde Hier bin ich mir, angesichts der letzten Informationen, nicht mehr sicher. Dass der PC, von dem die Verseuchung ausging, von Netz genommen wird, ist klar. Damit ist es aber bei Weitem noch nicht getan. Man liest, dass zb der Emotet-Trojaner zuerst mal im Hintergrund wartet und versucht, möglichst viel über das System zu "lernen". Hierbei zielt er u.a. darauf ab, Domänenadminrechte zu erhalten und quasi die Domäne zu "übernehmen". Was heißt das für den Admin? -> Bei Infektion -> Am Besten die Domäne neu aufziehen? Sofern eine Infektion stattgefunden hat, kann man sich ja nie mehr sicher sein, dass alles mit rechten Dingen zugeht. Wie seht ihr das bzw. was ist eure Meinung dazu?
  15. @NorbertFe meinte etwas Ähnliches wie @RolfW. Was sind für dich die "notwendigen Maßnahmen".
  16. stimmt. Wie siehst du die Problematik eigentlich?
  17. das hast du gut erkannt :-P (ich meinte natürlich im Optimalfall). kenne ich genug! Die meisten Netzwerke sind ganz sicher nicht "perfekt" aufgebaut. Manche eben zwangsläufig nicht... U.a. deshalb ist ja div. Schadsoftware so erfolgreich.
  18. Absolut korrekt! Ja und nein, denke ich. Es kommt ganz darauf an, was dieses "Ding" nachlädt. Wie man so liest, kann die nachgeladene Software individuell sein. Für eine Domäne vermutlich ein Supergau? Dies bestätigen Artikel, in denen es heißt: "In mehreren dem BSI bekannten Fällen hatte die Infektion große Produktionsausfälle zur Folge, sodass ganze Unternehmensnetzwerke neu aufgebaut werden mussten." Uns ist allen klar, dass es keinen 100% Schutz gibt. Panik ist natürlich auch fehl am Platze. Ich für meinen Teil setze aber -im Rahmen meiner Möglichkeiten- alle Hebel in Bewegung, um möglichst gut geschützt zu sein. Betreffend Windowsupdates, sehe ich da auch ein Problem. Aufgrund diverser Vorkommnisse mit fehlerhaften Updates seitens MS, sind viele Admins beim Einspielen von Updates sehr vorsichtig geworden. Will heißen, sie spielen die Updates nicht zeitnah ein, sondern warten mal ab. Dass dies zu einem Boomerang werden kann, versteht sich. Es sollte also gar nicht erst soweit kommen, dass ein Script / Schadcode etc. die Möglichkeit bekommt, eine Sicherheitslücke auszunutzen.
  19. Ist es aber nicht im Interesse des “Firmennetzwerkes“ gewisse Sicherheitsmechanismen zu aktivieren? Wenn ich da u.a. an die DSGVO denke, muss man dem Anwender, sofern man Firmengeräte zur Verfügung stellt, entsprechend abgesicherte Geräte zur Verfügung stellen. Security by design. Im Zeiten wie diesen eher wenig angenehm, wenn du quasi nicht reagieren darfst.
  20. D.h. ihr dürft gewisse Sicherheitsmechanismen nicht implementieren?
  21. All das von euch Erwähnte kenn ich sehr gut. ;) @magheinz habt ihr incoming / outgoing ssl deep inspection aktiv, was den Traffic angeht? Scannt ihr den Datenstrom in das bzw. aus dem Internet. Fortigate zB macht das ganz gut. (DNS Blacklists, Antivirus etc). Bei mir wurde auf diesem Wege mehrfach verhindert, dass die Schadsoftware nachgeladen wurde, nachdem ein User auf einen Link geklickt bzw. ein Makro aktiviert hat. Wie bei dir, fehlt aber jegliches Bewusstsein für die Gefahr, die von derartigen Bedrohungen ausgeht. Selbst wenn man es 100x erwähnt.
  22. @zahni: klar! die Details zu den anderen Umständen (Verbreitung, Auswirkungen auf das Netzwerk, die Domäne) und eure Sicht dazu würd mich dennoch auch interessieren.
  23. @multikulti an sich will ich hier nicht explizit auf "meinen" Stand der Dinge eingehen, sondern vlt. eine generelle Diskussion anstoßen. Meine bisherigen Sicherheitsvorkehrungen konnten uns Gott sei Dank bislang vor einem GAU bewahren. Ja genau, das wäre zum Beispiel eine Frage: Wie will man einen sauberen Stand identifizieren? Wird vorhandene Antivirussoftware einen Befall identifizieren? und und und... Hat es schon mal jemanden von euch hier erwischt... gibt es Erfahrungen?
  24. Dateiaustauschserver für zwei Standorte

    ja, klar - ich hab nix dagegen gesagt
  25. Dateiaustauschserver für zwei Standorte

    @Squireja, da hast du recht. Hab es nur überflogen, mein Fehler. So etwas in die Richtung könnte z.B. funktionieren: http://www.techspacekh.com/integrating-nextcloud-user-authentication-with-ldapactive-directory-ad/
×