Stream

LordGurke 9 minutes ago

4 comments

Comment in: Tunnelvision Angreifer können VPNs aushebeln

Danke, aber für unvertraute Netze finde ich die Lösung von MayBeSec nicht schlecht. Ich hatte auch nur daran gedacht irgendwie die fehlerhaften DHCP-Infos zu filtern, aber ausgehend den Traffic zu regulieren ist auch eine gute Lösung. Geht allerdings nur, wenn man kein Split-Tunneling vorhat, wobei man dann die Firewallregeln notfalls auch auf die im VPN verwendeten Netze eingrenzen könnte.

Mosurama 10 minutes ago

2 comments

Comment in: Das Remotezertifikat ist laut validierungsverfahren ungültig

Hallo,

liest sich für mich ja eher so als wollte das itacom-Tool einen Lizenzserver (vermutlich bei itacom) konsultieren und dabei wird diese Meldung zurückgegeben.

Habt ihr eventuell eine Firewall oder andere Schutzmechanismen die SSL prüfen im Einsatz?

Visucius 43 minutes ago

75 comments

Comment in: Unterstützung in Wlan Ausstattung

Wie @MysticFoxDE wegen dem Strahlungswinkel sagt, soll dass mind. für die OG besser werden. Die Höhe ist dann nicht 2,5m sondern 5m. Dann kommt noch der Vorteil von Holzdielen gegen Ziegelstein, denke ich. Ich werde es später ausprobieren.

Das klingt plausibel. Viel Erfolg!

(bin gespannt auf die Unterschiede der Messergebnisse

hempel 43 minutes ago

2 comments

Comment in: Das Remotezertifikat ist laut validierungsverfahren ungültig

Fehlermeldung lesen hilft ...
Bringt eure Zertifikatsstruktur i. Ordnung. Also der CA die das Zertifikat ausgestellt hat in die vertrauemswürdigen Root-Zertifikate importieren und sicherstellen das das Serverzertifikat alle nötigen Erweiterungen für den jeweilige Zweck aufweist, der Common Name bzw. Die Subject Alternative Names auf den Host passen auf den zugegriffen wird und die Gültigkeit des Zertifikats noch gegeben ist.
Korrektes Datum/Uhrzeit der beteiligten Hosts nicht zu vergessen.

Gruß h.

aqui 46 minutes ago

4 comments

Comment in: Tunnelvision Angreifer können VPNs aushebeln

Das vom Kollegen @LordGurke vorgeschlagene DHCP Snooping ist aber die deutlich sinnvollere Lösung und üblicherweise auch "Best Practise" in allen gut konfigurierten Netzen!

Casoul 1 hour ago

2 comments

Das Remotezertifikat ist laut validierungsverfahren ungültig

Hallo,

bei der Firma Itacom haben wir ein Migrationstool erworben, das die Migration von Tobit David nach Exchange ermöglicht. Beim Lizenzieren der Benutzer tritt jedoch eine Fehlermeldung auf (siehe Bild). Obwohl wir bereits TLS 1.3 deaktiviert haben und einen erneuten Versuch unternommen haben, blieb der Erfolg aus. Hat jemand eine Lösung?

MayBeSec 1 hour ago

4 comments

Comment in: Tunnelvision Angreifer können VPNs aushebeln

Du kannst bei den jeweiligen Clients unabhängig des OS mit den dort verfügbaren Firewall eine Regel anlegen mit "blocke alles" und dann eine mit den zugelassenen Gateways für das Tunnelinterface.

Dann bliebe nur noch iOS zu klären, bei Android wird Option 121 sowieso ignoriert.

aqui 1 hour ago

23 comments

Comment in: Zugriffsversuche aus dem Internet?

...und "Zeichnung2" bzw. der Zielzustand ist jetzt aktiv??
Das was du da aufgezeichnet hast ist einmal das klassische Layer 2 Design mit einem externen Router und einmal das klassische Layer 3 Design mit einem routingfähigen VLAN Switch.

ob ich den Zielzustand mit den gegebenen Mitteln überhaupt erreichen kann.

Ja, völlig problemlos!!
Alle ToDos sind in diesem Tutorial dafür explizit und Schritt für Schritt erklärt!! Wurde dir aber auch schon mehrfach gesagt.
Jetzt musst DU das nur noch umsetzen!

aqui 1 hour ago

75 comments

Comment in: Unterstützung in Wlan Ausstattung

Wie kann ich es bei Cisco ausschalten?

Indem man die Hinweise bei den Praxissetups umsetzt!

2,4 GHz Interface = speed only-ofdm
5 GHz Interface = speed throughput und channel width 40-above (oder 80)

DivideByZero 1 hour ago

14 comments

Comment in: M365 (O365) Business nun DSGVO konform oder nicht?

Zitat von @MayBeSec:
Solange das EU-U.S. Data Privacy Framework aus 2023 durch ein neues "Schrems-Urteil" nicht als unzureichend aufgehoben wird, solange besteht für die Unternehmen Rechtssicherheit und „Arbeitsruhe“ (passende Implementierungen vorausgesetzt).

Für die reine Datenübermittlung (sozusagen "Storageort"=USA) kann das in Betracht kommen, für eine komplexe Anwendung wie MS365 nicht, denn der sog. Anwendungserlass und das Privacy Framework regeln Fragen der reinen Datenübermittlung, also die Frage, ob überhaupt Daten dahin fließen dürften (und solange der EuGH nicht wieder eine Kehrtwendung macht, wie gerade bei der Speicherung von IP-Adressen, ist eigentlich absehbar, dass ein Schrems III-Urteil folgen wird...). Es regelt nicht, ob eine Grundlage für den Inhalt und die Art der Erhebung der Daten gegeben ist, und gibt in diesen Bereichen auch keine Rechtssicherheit.

Sprich: Tracking durch den Hersteller, Auswerten der in die USA übermittelten Daten in den USA durch Dritte - solche "Anwendungsfälle" sind datenschutzrechtlich mit den USA nicht machbar, auch nicht mit Privacy Framework.

Aber genau das Privacy Framework ist halt ein wunderbares Beispiel dafür, warum wir im Alltag bei "kleinen" Datenschutzverstößen von Strafen hören, bei den wirklich großen Anbietern und deren Kunden aber nicht: denn die Kommission will auf Biegen und Brechen mit Blick auf das Ergebnis den vollen Datenaustausch mit den USA. Und daher gibt es auch keine flächendeckenden Sanktionen.

Man könnte ja noch diskutieren, ob man das will, oder eine Mehrheit entscheidet sich dafür (Kommission+Parlament) und die Minderheit hat das hinzunehmen. Aber es ist halt paradox, in der EU eine gesetzliche Regelung zu schaffen, die im transatlantischen Bereich einfach ignoriert wird.

Zum Thema Tracking ergänzend: da würden auch keine Einwilligungen aller Mitarbeitenden und Geschäftspartner helfen. Denn eines der großen Fragezeichen bei Microsoft sind Art und Umfang der Telemetriedaten, die nicht dokumentiert und veröffentlicht sind. Selbst die europäischen Staaten erhalten darauf keine vollständige Antwort (jedenfalls, soweit man das in der Presse lesen kann). Damit ist auch keine geeignete Einwilligung denkbar.

Gruß

DivideByZero

PeterGyger 1 hour ago

14 comments

Comment in: M365 (O365) Business nun DSGVO konform oder nicht?

Hallo

Alles ist solange sicher, bis es zu einer Anklage kommt und ein Richter ein Urteil fällt.
Siehe Facebook in Irland.

Ich habe nur das geschildert, was mein aktueller Kenntnisstand dazu ist.

Beste Grüsse

aqui 1 hour ago

7 comments

Comment in: Dyn. 802.1x, Mikrotik als Authenticator, vLAN defekt?

"Der" Port muss niemals den Radius erreichen sondern nur die Management IP des Switches. Der Port selber hat ja auch keine IP Adresse, zumindestens nicht als Switchport. Das war vermutlich dein Denkfehler im Eifer des Gefechts.

Wie ich das 99/Mgmnt untagged auf der OPNsense definiere, habe ich glaube ich hier gerade gefunden:

Dafür musst du gar nicht in die Ferne schweifen sondern das steht auch HIER im LAG Tutorial! Bzw. ist so oder so grundlegender Standard bei allen OPNsense / pfSense Interfaces. Wurde dir aber auch schon mehrfach gesagt und ist eigentlich mit einer kinderleichten Logik hinterlegt:

Als alter OPNsense Hase weisst du ja auch schon seit langem das das IP Netz was direkt auf einem Interface wie z.B. dem LAG Interface bei dir liegt (hier dein Parent Interface für deine VLAN Interfaces!) automatisch immer das PVID VLAN ist und so dessen Traffic immer UNgetagged gesendet wird.
Die physischen Interfaces oder Parent Interfaces sind also damit immer das PVID VLAN Netz.
Sprich wenn du bei dir das VLAN 99 direkt auf dem LAG Interface konfigurierst wird es untagged von der OPNsense gesendet.
Sollte der Switch am LAG/Bonding Port dann ebenfalls PVID 99 gesetzt haben wird dieser Traffic dann erwartungsgemäß ins VLAN 99 geforwardet.
Ggf. noch einem die VLAN Schnellschulung lesen die das alles noch einmal explizit sogar mit bunten Bildern erklärt! 😉

Fazit:
Es kommt also IMMER darauf an WIE du das Parent Interface der OPNsense behandelst.

Hast du da gar keine IP Adresse konfiguriert wird es nicht benutzt und ist inaktiv
Mit IP Adressierung wird dieser Netztraffic untagged gesendet und empfangen = PVID VLAN
Auf dem Gegenüber (Switch etc.) bestimmt dann das PVID Setting (native VLAN) in welches VLAN dieser Traffic geforwardet wird. Bei dir würde man den Bonding Port auf PVID 99 setzen wenn du dem LAG eine VLAN 99 IP vergeben hast.

Wie du das handhabst ist dann persönliche Gescmackssache...

KarlMarx 1 hour ago

75 comments

Comment in: Unterstützung in Wlan Ausstattung

@Snagless

Ich sag dann immer soll es schön aussehen oder soll es auch funktionieren?

Hier bin ich der Meinung, dass es für Innenräume beides sein muss, abgesehen Lagerräume und ähnliches. Es muss nicht immer Industriestil sein.

@Visucius

Decken sind grundsätzlich ein Problem (Beton/Metallgitter)

Die Decke im EG ist Stahlbeton, aber im OG sind es Holzdielen. Wie @MysticFoxDE wegen dem Strahlungswinkel sagt, soll dass mind. für die OG besser werden. Die Höhe ist dann nicht 2,5m sondern 5m. Dann kommt noch der Vorteil von Holzdielen gegen Ziegelstein, denke ich. Ich werde es später ausprobieren.

Anschließend bekommt er dann den Wifi-Dokotortitel und die Frau reicht die Scheidung ein. face-wink

Hast nicht Unrecht

LordGurke 1 hour ago

4 comments

Comment in: Tunnelvision Angreifer können VPNs aushebeln

Sowas macht man normalerweise direkt auf dem Switch. Da wird festgelegt an welchen physischen Switchports DHCP-Server betrieben werden dürfen, an unerlaubten Ports verwirft der Switch dann die Pakete.
Bei der Gelegenheit sollte man sowas dann auch für IPv6-RA konfigurieren, da hast du ein ähnliches Problem.

Das hilft nicht nur gegen böswillige Angreifer sondern auch gegen versehentliches Einbringen von ungewollten DHCP- und RA-Servern.

Am Client kannst du da wenig machen, da du (in öffentlichen Netzen) überhaupt nicht weißt welche IP- und MAC-Adresse der autoritative DHCP-Server dort hat.

Und für Hotel-WLANs gilt: Wenn ich dem Netz nicht vertraue, aber eine halbwegs vertrauenswürdige Umgebung brauche, dann nutze ich das WLAN nicht sondern nehme eine Verbindung über Mobilfunk.
Wem das zu viel Datenvolumen ist, hat dann halt nicht den richtigen Tarif für sein Business.

Visucius 1 hour ago

7 comments

Comment in: Dyn. 802.1x, Mikrotik als Authenticator, vLAN defekt?

Das solltest du m.E. niemals machen, denn dann wäre der Port ja per Default im Management VLAN 99 was du im Normalfall an Nutzerports keinesfalls willst! Das Management VLAN gehört doch niemals auf Enduserports!

Ja, diese Gedanken hatte ich eben auch. Deshalb hatte ich nachgefragt. Ich glaube, dass ist mir im Rahmen meiner missglückten "Fehlersuche" passiert, weil ich mich irgendwann fragte, ob der Port überhaupt den Radius erreichen könne, bzw. warum ich keine Zuweisung erhalte.

Danke Euch. Dann bin ich schon mal vom Verständnis ein Stückchen weiter.

Wie ich das 99/Mgmnt untagged auf der OPNsense definiere, habe ich glaube ich hier gerade gefunden:
https://forum.opnsense.org/index.php?topic=28297.0

aqui 2 hours ago

9 comments

Comment in: VPN zu FritzBox über Hardware?

Es gibt noch eine entscheidende Korrektur die das Setup noch einmal deutlich vereinfacht!!!
Durch diese Änderung sind DDNS Adressen für die Peers der remoten Mikrotiks überflüssig. Man erspart sich so lästige Fragerei nach IP Adressen, DDNS in den Zielnetzen der Kollegen.
Zur einfachen Lösung gibt man dafür dann wie generell üblich die 0.0.0.0 als Peer IP Adresse auf der Responderseite der Fritzbox ein im Parameter remoteip = 0.0.0.0;
Mit dem IP Setup akzeptiert die Fritzbox generell eingehenden VPN Verbindungen egal von welcher Absender IP Adresse.
Damit kann man den Home Office Kollegen den Mikrotik fertig konfiguriert als "Plug and Play Box" mitgeben die sie nur noch ins heimische Netzwerk klemmen müssen für den Bürozugang!

Table of contents

Fritzbox VPN Konfiguration

Anpassungen der Mikrotik VPN Konfig

Ping Check Mikrotik

Connection Check Fritzbox

Die damit deutlich verbesserte, da einfachere Version des o.a. Tutorials sieht dann so aus:

Fritzbox VPN Konfiguration

(Verbessertes Setup mit 8 Stunden Lifetime in Phase 1 "phase1ss = "LT8h/all/all/all";"!)

vpncfg {
        vpncfg_version = 3;
        connections {
                enabled = yes;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_lan;
                name = "Mikrotik-1";    
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0;
                keepalive_ip = 0.0.0.0;
                localid {
                        ipaddr = 10.1.10.199;
                }
                remoteid {
                        fqdn = "fritzbox1.internal";    
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";  
                keytype = connkeytype_pre_shared;
                key = "test1234";    
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.88.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";    
                accesslist = "permit ip any 192.168.88.0 255.255.255.0";    
        } {
                enabled = yes;
                editable = no;
                use_ikev2 = no;
                conn_type = conntype_lan;
                name = "Mikrotik-2";    
                boxuser_id = 0;
                always_renew = no;
                reject_not_encrypted = no;
                dont_filter_netbios = no;
                localip = ::;
                remoteip = 0.0.0.0;
                local_virtualip = 0.0.0.0;
                remote_virtualip = 0.0.0.0; 
                keepalive_ip = 0.0.0.0;
                localid {
                        ipaddr = 10.1.10.199;
                }
                remoteid {
                        fqdn = "fritzbox2.internal";    
                }
                mode = phase1_mode_aggressive;
                phase1ss = "LT8h/all/all/all";    
                keytype = connkeytype_pre_shared;
                key = "test1234";    
                cert_do_server_auth = no;
                use_nat_t = yes;
                use_xauth = no;
                use_cfgmode = no;
                phase2localid {
                        ipnet {
                                ipaddr = 192.168.188.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2remoteid {
                        ipnet {
                                ipaddr = 192.168.18.0;
                                mask = 255.255.255.0;
                        }
                }
                phase2ss = "esp-all-all/ah-none/comp-all/pfs";    
                accesslist = "permit ip any 192.168.18.0 255.255.255.0";    
        }
} 

Anpassungen der Mikrotik VPN Konfig

Hier muss unbedingt in den Policies unter Action der Level auf Unique gesetzt sein!!
Danach kommen die Peers sofort hoch im Status "Established" und auch die Fritzbox VPN Indikatoren werden grün!

Ping Check Mikrotik

Hier ist beim Pingen der Fritzbox über den VPN Tunnel zwingend darauf zu achten in den Advanced Settings die Absender IP auf die lokale LAN IP zu setzen!!
Andernfalls verwendet der Mikrotik eine andere Absender IP und der VPN Ping geht ins Nirwana!

Connection Check Fritzbox

Fazit: Works better and also as designed!! 👍 😉

MayBeSec 2 hours ago

14 comments

Comment in: M365 (O365) Business nun DSGVO konform oder nicht?

Solange das EU-U.S. Data Privacy Framework aus 2023 durch ein neues "Schrems-Urteil" nicht als unzureichend aufgehoben wird, solange besteht für die Unternehmen Rechtssicherheit und „Arbeitsruhe“ (passende Implementierungen vorausgesetzt).

Das bedeutet natürlich nicht, dass ggf. SVK, TIAs und weitere Risikoabwägungen obsolet sind.

Visucius 2 hours ago

75 comments

Comment in: Unterstützung in Wlan Ausstattung

@KarlMarx:

Es macht wahrscheinlich Sinn den ganz nach oben in 2. OG zu bringen, damit der Leistungsunterschied größer wird und die Clients nicht bei einem AP kleben bleiben

Nee, das würde ich nicht machen. Decken sind grundsätzlich ein Problem (Beton/Metallgitter). Im Giebel ist der AP "Perlen vor die Säue". Die Netze können bzw. sollen sich ja durchaus überschneiden. Und bei der Decke ist die "Trennschicht" so stark, dass der Client auf jeden Fall zum stärkeren Signal wechseln wird (gerade innerhalb des 5 Ghz-Netzes). Und mit Hilfe eines Controllers kann dieser Wechsel schneller erfolgen, bzw. die Wechselzeit reduziert werden. Im Idealfall so schnell, dass Du das z.B. in einem Livestream/Telefonat nicht merkst.

@MysticFoxDE:

Ich meine z.B. die hier …

Das verstehe ich nicht. Du behauptest, die Stabantennen seien in diesem Setup besser. Ursprünglich behauptest Du sogar, es ginge nur damit. Ich behaupte, dass für dieses Setup die Decken-APs auch genügen. Ich zeige Dir Pattern eines 08/15 Decken-APs kontra Stabantenne vom gleichen Hersteller. Und Du versuchst mich zu widerlegen: Nein, nicht indem Du einen besseren AP mit Stabantenne präsentierst – sondern einen schlechteren Decken-AP? Der imho vom Pattern her immer noch besser aussieht als die obigen Stabantennen?

Und genau das wäre noch schlimmer, weil du damit schlichtweg noch weiter über das Ziel hinaus schiessen würdest.

Deswegen mache ich solche Tests ja auch nicht.

Alle getesteten Geräte verfügen über "dynamische" Antennenanpassungen (Beamform und Beamflex). Und speziell um diesen Vergleich geht es. Und natürlich sind die dbm-Werte tendenziell höher und je nach Technik unterschiedlich ausgeprägt, weil man den Strahl mit Hilfe dieser beiden Techniken ja fokussieren will. Und die Fähigkeiten der Techniken sollten verglichen werden. Gibt es irgendwas handfestes, was die Messergebnisse widerlegt oder muss ich das auf Grund von "Fraunhofer", "Institut" und "Chef" einfach ehrfürchtig auf die Knie gehen?

Reichen theoretisch schon, zufriedener währe er aber definitiv mit einem guten AP mit Stabantennen oder ähnlicher Antennencharakteristik.

Das mag sein – viel Erfolg auf der Suche nach dem Optimum. Die bisherige Erkenntnis ist ja, dass es auch der 08/15 Unifi im Hausfrauen-Budget hinbekommt. Ganz nach Pareto: 80% sind erreichbar mit 20% des Gesamtaufwands ... danach wirds anstrengend 😉

Bintec W1002n

Klar. Und den schraubt er sich dann an die Decke. Oder er kauft anschließend zusätzlich ein ganz anderes Modell mit Stabantenne. Anschließend bekommt er dann den Wifi-Dokotortitel und die Frau reicht die Scheidung ein.😉

Vielleicht können wir uns abschließend und fernab der theoretischen Rechthaberei um das goldene Kalb einfach dem Problem des TEs widmen. Denn das Angebot an optisch attraktiven, leistungsstarken APs mit Stabantennen und aktueller Technik im gesteckten Preisrahmen scheint mir doch eher übersichtlich.

Grüße nach Stuttgart

PeterGyger 2 hours ago

10 comments

Comment in: Windows 11 Bloatware entfernen

Hallo

Generell:
Die LTSCWindows Versionen sollten diesen Anspruch erfüllen.

Diese Frage ist Teil eines komplexes Projektes (Betrieb von Win 10 auf Win 11 umstellen).
Die Lizenzfragebzw. Telemetrie / Apps etc. sollte mit einem Systemhaus vorgenommen werden.

Dann ist auch die Verantwortlichkeit und die Haftung (Schadensersatz) sicher geregelt.

Beste Grüsse

EberhardBendel 2 hours ago

EberhardBendel has registered

Focus: Windows in general - User group: Administrator.

PeterGyger 2 hours ago

14 comments

Comment in: M365 (O365) Business nun DSGVO konform oder nicht?

Hallo

Ein anderer Aspekt ist, dass der Admin der MS 365 "betreibt" für die Rechtsverstösse von MS "haftet".
Auch wenn der Mitarbeiter nicht in der IT arbeitet. D.h. als Fachmann bestimmte Aufgaben in MS 365 übernommen hat. Wir haben das Anfang Jahr in einer Firma mit gegen 10'000 Ma mit der Rechtsabteilung diskutiert. Bis jetzt ist IMO noch kein solcher Fall bekannt. Aber die Rechtsabteilung hatte diese Möglichkeit nicht ausgeschlossen.

www.dr-datenschutz.de/folgen-von-datenschutzverstoessen-im-angestelltenverhaeltnis/
www.rosenthal.ch/downloads/Rosenthal-M365-Anwaltskanzlei.pdf

Wenn das in der Praxis geschehen sollte, ohne das der Mitarbeiter bewusst / nicht geschult / etc. gegen den Datenschutz verstossen hat, dann hat MS in Europa ein Problem...

Beste Grüsse

andreas65m 3 hours ago

4 comments

Tunnelvision Angreifer können VPNs aushebeln

Hallo,

seit einige Tagen schwirrt nun die Nachricht durchs Netz, dass VPNs via falsche dhcp Parameter durch Angreifer ausgehebelt werden können.

https://www.heise.de/news/Tunnelvision-Angreifer-koennen-VPNs-aushebeln- ...

Das Problem ist nicht neu, aber wohl nicht nur auf VPNs beschränkt. Wenn es einem Angreifer gelingt in einem Netz dhcp Pakete zu verschicken, dann kann er wohl jedweden Verkehr, welcher das Netz in dem er sich befindet verlässt, umleiten..

Gibt es eures Wissens in Windows die Möglichkeit die Clients so einzustellen, dass dhcp-Pakete oder zumindest bestimmte Optionen, nur von einer bestimmten Quelle akzeptiert werden?
Wäre eine Windows-Firewall Regel eine Möglichkeit?

Grüße
Andreas

Dani 3 hours ago

20 comments

Comment in: EAP-PEAP über Radius: cert "wird nicht vertraut"

Moin,
ich habe bei uns nachgefragt, wie das läuft.

Die Rahmenbedingungen sind bei uns ein wenig anders. Wir nutzen einen Ruckus WLAN Controller + APs. Als Radius kommt Microsoft NPS zum Einsatz. Die Zertifikate unserer PKI werden auf den iPhones, iPads via MDM (Mobile Iron) ausgespielt.

Im Zertifikat für den NPS stehen als CN der FQDN des NPS Cluster drin. Im SAN ist neben den FQDN des Clusters auch alle FQDN der Nodes zu sehen.

Was das Template auf der Issue CA angeht, haben wir uns an den Artikel gehalten:
https://learn.microsoft.com/en-us/windows-server/networking/technologies ...

genau das habe ich mit den Zertifikaten von LetsEncrypt und eigenen CAs sichergestellt (die eigenen CAs habe ich natürlich auf dem Client installiert und auch aktiviert (aktivieren ist beim iPhone leider nötig!).

Hast du eine zweistufige PKI? Hast du beide Zertifikate auf dem iPhone installiert?

Gruß,
Dani

Lochkartenstanzer 3 hours ago

4 comments

Comment in: 50 Jahre Structured Query Language

Zitat von @sabines:

A query walks into a bar, sees two tables and asks: may i join

Little Bobby Tables

Dani 3 hours ago

31 comments

Comment in: Storage Empfehlung

Moin,

nein, ich glaube nicht, dass wir da durcheinander gekommen sind.

GB und G(bit) sind aber nach wie vor zwei paar Schuhe. Und zwei Maßeinheiten zu vergleichen kann man machen, muss aber höllisch aufpassen. Sonst geht das irgendwann verloren...

Es geht um die Erfahrungswert bzgl. IOPS wenn es zum starten der VMs zu den Hochzeiten kommt.

Kann man meiner Meinung nach nicht allgemein beantworten. Es hängt schon vom OS ab und dann spielt die installierte Software auch noch eine Rolle. Daher bildet man in der Regel Gruppen der verschiedenen Anforderungen (Low, Normal, High) und schaut über den Mittelwert.

Wenn das LAN mit ca. 30k IOPS belastet wird, sagt mir das im TS-Betrieb ja nicht, wieviel IOPS ich bei einzelnen Virtuellen Desktops zu verarbeiten habe.

Hat man dafür nicht ein Monitoring, die solche Daten erfasst. Damit man diese jederzeit auswerten kann. Wie stellst du rechtzeitig fest, dass die IOPS nicht mehr ausreichen werden? Du wirst kaum warten wollen, bis sich die User beschweren.

Nein, wenn die IT immer nur ihren Schuh anzieht und so das Unternehmen beeinflusst, ist das ebenso falsch.

Das habe ich nicht gesagt. Aber den Nutzer geht es nichts an welche Technik und Hersteller zu Einsatz kommt. Er definiert Anforderungen und Wünsche. Was dann entsprechend evtl. einen Mehrwert bietet und Priorität einnimmt, ist Sache des Management.

Innerhalb der IT bzw. des verantwortlichen Teams kann man sich zu Techniken und Lösungen rege austauschen. Aber am Ende hat die Person, welche die Entscheidung tragen muss und dafür unterschreibt, das letzte Wort. Witzigerweise sobald es um Beschaffungen geht, welche eine Unterschrift von Management benötigen, werden die jungen Kollegen still...

Das Ganze per iSCSI 25G im Storage Network.

Welche Gründe gab es um sich für iSCSI zu entscheiden?

Gruß,
Dani

dertowa 3 hours ago

9 comments

Comment in: Softwarezuweisung per GPO schlägt wegen Registry fehlt

Zitat von @sabines:

Kann ich so nicht nachvollziehen, ich habe jahrelang Adobe Reader und co. per GPO verteilt.

Richtig, nutze ich heute noch für Adobe, KeepassXC, PDFsam Basic, pdf24 und weitere.
Easy und zuverlässig, sofern man sich an ein paar Spielregeln hält und die Hersteller die Verteilung am Schirm haben.

Grüße
ToWa

frenki1962 3 hours ago

frenki1962 has registered

Focus: IT Infrastructure Planning and Optimization - User group: Security Expert.

Snagless 3 hours ago

75 comments

Comment in: Unterstützung in Wlan Ausstattung

Hallo,

wenn die Antennen so ausgerichtet sind dann macht das wohl wenig Sinn.

Ich nennen das immer sorry das Hausfrauenproblem bei WLAN - es gibt ja auch Desktop-APs oder Router mit solchen Stabantennen, Hausfrauen neigen dazu das immer optisch schön auszurichten, d.h. alle gleich ;=)

Auch auf der Baustelle, erst Gestern wieder:

Die AP können Sie doch an der Wand montieren - weil wir haben eine Wasserdeckenheizung. Können schon will ich aber nicht. Oder wir legen die APs in die Abgehängte Decke hinter die Heizung (mit Wasser) - Ne will ich nicht, noch viel weniger.

Ich sag dann immer soll es schön aussehen oder soll es auch funktionieren?

Und die Notausgangsbeleuchtung und der Rauchmelder wird ja auch nicht hinter der Wandvertäfelung versteckt obwohl die grottig aussehen.

Stoffel69 3 hours ago

Stoffel69 has registered

Focus: CAD/CAM systems - User group: Manager.

Dani 3 hours ago

6 comments

Comment in: Fragen zu NPM Docker Installation

Moin,

Stimmt, solange Sie nicht mit dem NPM verbunden sind stehen sie mit Ihrem Namen und IP in den Firewall Regeln.

das hast du mich jetzt abgehängt...

Ich bekomme trotzdem nur 502 Bad Gateway

Was hast du jetzt ausprobiert? Wer kommuniziert mit wem und was geht nicht?

Gruß,
Dani

Dani 3 hours ago

19 comments

Comment in: Bitlocker auf Microsoft Servern - Best Practices

Moin,

Was soll die Verschluesselung eines Servers bringen?

wir stellen damit sicher, dass

entwendete VMs/MVDKs nicht nutzbar bzw. nur in bestimmten Umgebungen nutzbar sind. Da den Überblick zu behalten und sowas zu merken ist ab einer gewissen Stückzahl von VMs, Plattformen und Personal nahe zu unmöglich.
kritische VMs wie öffentliche PKIs, Lohnabrechnungen, Personaldaten, etc. nochmals zu schützen
VMs laufen auch außerhalb von Deutschland (Spanien, Finnland, USA, Indien, Japan, China, etc.). Da möchte man im Worst Case einen Rückzugsplan haben.

Gruß,
Dani

Dani 3 hours ago

6 comments

Comment in: Nginx proxy manager erneuert keine Zertifikate mehr

Moin,

Failed to renew certificate npm-1 with error: Some challenges have failed.

Prüfe doch einmal das verwendete Challenge Verfahren. Wenn du z.B. HTTP-01 verwendest, ist GeoBlocking oder eine Access-List meistens der Grund warum LE den Server nicht erreichen kann.

certbot renew --non-interactive --quiet --config "/etc/letsencrypt.ini" --preferred-challenges "dns,http" --disable-hook-validation

Ansonsten den Befehl einmal manuell im Container ausführen. Wobei ich den Parameter --quiet weglassen würde.

Gruß,
Dani

KarlMarx 4 hours ago

75 comments

Comment in: Unterstützung in Wlan Ausstattung

weil @KarlMarx aller Voraussicht nach wenig "Enterprise-Ambitionen" für sein EFH hat und das Thema Roaming auch nicht (vorrangig) Inhalt des Threads ist.

Das ist es nicht. Ich habe die beiden Cisco AP vor ein paar Jahren sehr günstig gekriegt und dachte, mit Cisco macht man nichts falsch. Ich bin nicht Marken fixiert.

Reichen theoretisch schon, zufriedener währe er aber definitiv mit einem guten AP mit Stabantennen oder ähnlicher Antennencharakteristik.

Das kann natürlich sein, nur es ist ein Wohnbereich und die APs sollen schon ansprechend aussehen. So ein kann ich noch aufhängen, oder in der Art.

Dani 4 hours ago

3 comments

Comment in: Office365 Abonnement Kostenverteilung auf mehrere Firmen

Moin,
wurde nicht dafür die Möglichkeit verschiedener Abrechnungsmodelle im M365 admin center erfunden?!

Gruß,
Dani

Dani 4 hours ago

19 comments

Comment in: Notwendige Schritte - Nur Domänen-Admins dürfen AD-Join ausführen

Moin @erikro

Man benötigt aber lokale Adminrechte, um den Vorgang überhaupt starten zu können.

Woher stammt die Info? Hab ich in keinen der verlinkten Artikel hier im Beitrag herausgelesen.

@Der-Phil

Ich möchte Usern die Möglichkeit nehmen, Computer zum Active Directory zu joinen. Leider habe ich abweichende Anleitungen gefunden und blicke nicht mehr durch.

Unabhängig von den Meinungen und Vorschlägen, würde ich sowas immer in einem Lab ausprobieren, dokumentieren. Wenn alles tut wie es soll auf das produktive System umsetzen. Damit verkommt das das Ganz nicht zu einem TestProd System.

Gruß,
Dani

Dani 4 hours ago

1 comment

Comment in: SSTP VPN - Server "Remote Zugriff" zeigt Ports blockiert an, obwohl freigegeben?

Moin,
stelle die Sprache für den Benutzer auf Englisch um, damit du den Text der Warnung auch in Englisch vorliegen hast. Damit kannst du anschließend problemlos die Suchmaschine füttern und wirst mit großer Wahrscheinlichkeit auch Lösungen finden.

Gruß,
Dani

hempel 4 hours ago

1 comment

Comment in: "Festplattenpartitionen erstellen und formatieren" Gruppenrichtlinien erlauben

Zitat von @Lamedioner:
Hallo,

Moin.

Genutzt wird der "Windows Server 2012 Standard"

Anno Steinzeit ... Wieso installiert man sowas heute noch neu?

Ich möchte nun vorinstallierte Software wie z.B. "Festplattenpartitionen erstellen und formatieren" in dieser Default Richtlinie global für jeden User erlauben. Es geht mir nicht nur um diesen Software Punkt.

Aha, und wie heißt das Programm richtig? Ein Programm mit so einem Namen kenne ich nicht.

Ich habe mir vorgestellt das man in dem Gruppenrichtlinienverwaltungs-Editor diese Anwendungen dann über eine Regel erlauben kann. Ich finde jedoch nicht das was ich suche. Ich habe gedacht es wäre eventuell unter "Computerkonfiguration --> Windows-Einstellungen --> Sicherheitseinstellungen --> Richtlinien für Softwareeinschränkungen" dort ist aber nichts konfiguriert..

Wieso sollte da auch etwas konfiguriert sein, das muss man schon selbst tun.
SRP (Software Restriction Policies) ist aber inzwischen auch "Anno-Dazumal". Applocker ist der aktuelle Stand unter Windows, daher würde ich dir raten dich damit zu beschäftigen:
https://www.security-insider.de/applocker-per-windows-gruppenrichtlinie- ...

Ich würde mir erst mal eine aktuelle ISO eines Server 2022 (gibt's auch ne Trial) besorgen dann bist du zumindest erst mal auf dem aktuellen Stand der Dinge und kannst damit in deinem LAN alles üben bevor du es in der Praxis verwendest. Applocker sollte man gut planen bevor man es aktiviert, sonst sperrst du dich schnell selbst aus.

Gruß h.

MysticFoxDE 4 hours ago

75 comments

Comment in: Unterstützung in Wlan Ausstattung

Moin @Visucius,

Die Pattern habe ich aktuell von der Website gezogen. Welche neueren APs meinst Du denn genau? 😉

Ich meine z.B. die hier …

… habe gerade aber gesehen, dass das was du meist, nur die grobe Übersicht ist und man weiter unten, zu den AP’s die feinen Detail abrufen kann, die ich meine.

In der groben Übersicht heisst der obere AP jedoch nicht „U6+“, sondern „U6-Plus“.
https://help.ui.com/hc/en-us/articles/115005212927-UniFi-Network-AP-Ante ...

🙃

Ja, ich hätte das auch nicht berücksichtigt. Und wenn, dann auch nicht 17, sondern mind. 20dBm gewählt.

Und genau das wäre noch schlimmer, weil du damit schlichtweg noch weiter über das Ziel hinaus schiessen würdest.

Denn zum einen gibt es gesetzliche Vorgaben, die z.B. in Deutschland die Sendeleistung bei 2,4 GHz auf max. 100mW eingrenzen. Und diese Grenze von 100mW bei 2,4 Ghz, gilt nicht nur für die Sendeleistung des Funkmoduls, sondern für die gesamte Sendeleistung der ganzen Anlage, sprich, Sendeleistung des Funkmoduls und Zugewinn der Antenne.

Und falls du mir als nächstes die 200mW oder gar die 1W um meine Fuchs-Ohren hauen möchtest. Ja, bei 5,150 GHz - 5,350 GHz sind bei uns in Deutschland bis zu 200mW erlaubt und bei 5,470 GHz - 5,725 GHz sogar bis zu 1W. Aber … das gilt für AP zu AP, sprich für Richtfunkverbindungen, aber nicht für AP to Client und zwar aus einem ganz einfachen Grund. Die meisten Client-WLAN-Chipsätze liefern max. 100mW, respektive sogar nur 50mW (ohne Antennenzugewinn) und das auch bei 5 GHz, weil die im Gegensatz zu einem AP, meist an einem Akku dranhängen.

ABER Wenn ich in meinem Test ja gerade und unbedingt die Leistung der unterschiedlichen Antennen-Setups testen bzw. vergleichen möchte – ist das eigentlich das einzig sinnvolle Vorgehen.

Nein ist es nicht, weil die Sendeleistung der AP’s, immer am schwächsten Glied, sprich, in den meisten Fällen den Clients ausgerichtet werden muss! Sonst funktioniert Dinge wie Roaming und VoIP überhaupt nicht gut und beides wird mittlerweile auch in Privathaushalten immer gefragter.

Ist Dir vermutlich entgangen – wegen Deines langen Arbeitstages 😉

Nein, so schnell bekommen die Essener einen IT-Fuchs wiederum auch nicht platt. 🤪

Das war ja auch nicht Inhalt des Vergleiches. Und für diesen Thread auch nicht wirklich relevant, weil @KarlMarx aller Voraussicht nach wenig "Enterprise-Ambitionen" für sein EFH hat und das Thema Roaming auch nicht (vorrangig) Inhalt des Threads ist.

Und was genau sollte diese Studie dann zeigen?

Denn für die Tatsache, dass ein „überdrehter“ AP, in einem bestimmten Umkreis eine bessere Leistung bring, wie ein nicht überdrehter, benötige ich keine Studie, das habe ich schon selber herausgefunden, und zwar Jahre vor dieser Studie. Denn mein alter Arbeitgeber hat damals (+- vor 20 Jahren) schon sehr viel im Bereich W-LAN gemacht und auch diesbezüglich mit dem Fraunhofer Institut mehrfach zusammengearbeitet und der Hut dafür, zumindest was die Technik angeht, war stets auf meinen Ohren drauf.

Das was die Studie meiner Ansicht nach macht, ist leider schlichtweg billige Augenwischerei wie sie heutzutage leider so gut wie absolut üblich ist, zumindest was Marketing und Vertrieb angeht.
Das jedoch auch eine UNI einen solchen Unsinn treibt, hätte ich jetzt aber eher nicht erwartet. 😔

die genügen technisch ALLE für die 70 Etagen-qm von @KarlMarx (Messpunkte 1-5)

Reichen theoretisch schon, zufriedener währe er aber definitiv mit einem guten AP mit Stabantennen oder ähnlicher Antennencharakteristik.

Der TO kann sich bei E-Bay oder wo auch immer, ja mal einen Bintec W1002n günstig schiessen und dann mal dessen Leistung vergleichen.

Und ja, technisch gesehen ist dieser AP ein alter Opa. Betreffend seine Signalqualitäten (korrekte Antennenausrichtung vorausgesetzt) wird ihm jedoch keiner der AP-Jünglinge auch nur annähernd das Wasser reichen, selbst der Ruckus nicht, versprochen. 😉

Gruss Alex

KarlMarx 4 hours ago

75 comments

Comment in: Unterstützung in Wlan Ausstattung

Guten Morgen, einen schönen Vatertag wünsche ich allen.
@aqui

Ist im Ruckus Unleashed unter "Radio Control" bei den Advanced Options: face-wink

Habe eingestellt. Hat auf Signalstärke kein Einfluss, wird aber wahrscheinlich auf die Performance positiv auswirken.

@Visucius

Sag mal, was bedeuten denn die rechten 5 Spalten?

Das 2,4er Netz spannt immer noch den "b" Standard aus

Wie kann ich es bei Cisco ausschalten?

Wo sind die APs jetzt konkret während der Messung?! Hängt der Ruckus neben dem Cisco im EG?! Und sehe ich das richtig, dass bei einem Teil der Messungen die Ruckus und der Unifi im EG waren, der Cisco aber im OG?!

Ja, alle drei hängen nebeneinander. Leider habe ich da nur zwei PoE Anschlüsse, darum können nur zwei gleichzeitig senden.
Messung im OG habe ich nur gemacht um zu schauen, wie weit Ruckus und Unifi im Haus senden können. Da aber im OG ein zweiter Cisco hängt, habe ich ihn zu Vergleich genommen.

Deshalb würde ich im laufenen Betrieb komplett auf 2,4 verzichten

Das habe ich mit meinen vorhandenen Cisco probiert, leider hatte ich Verbindungsprobleme im OG in Arbeitszimmer. Es kann aber sein, dass das Signal von EG noch da war und der Client dran geklebt hat.

Ich hatte das Eingangs glaube ich schon mal erwähnt, bzw. das 2,4er so umbenennen, dass nur noch ausgewählte Clients z.B. aus Kompatibilitätsgründen da verortet werden.

Das habe ich so eingestellt. Die Steckdose hat jetzt eigenes 2,4er.

Gleichzeitig wechseln Deine Clients nicht nur zwischen OG und EG-AP, sondern auch noch jeweils zwischen den Frequenzbändern hin und her.

Das sieht stark danach aus.

Da Ruckus und Unifi schon eine Ecke weiter senden, ist die Position von dem AP im OG ungünstig. Es macht wahrscheinlich Sinn den ganz nach oben in 2. OG zu bringen, damit der Leistungsunterschied größer wird und die Clients nicht bei einem AP kleben bleiben. Hier ist noch ein Schnitt vom Haus:

sabines 5 hours ago

9 comments

Comment in: Softwarezuweisung per GPO schlägt wegen Registry fehlt

Zitat von @null07:

Hallo @bastian23,

bitte das Folgende nicht missverstehen. Ich schreibe das, als ernst gemeinte Unterstützung.
Nach eigener leidvoller Erfahrung mit dem Thema Software Verteilung über GPO und den ignorierten Warnungen, die ich vorher kannte, kann ich dir nur absolut davon abraten, dies produktiv zu nutzen. Es klappt vielleicht am Anfang mit der Installation, aber warte bis ein Update kommt und du Änderungen am GPO vornimmst.

Der Rat eines Trainers bei einem GPO Kurs zum Thema Softwareverteilung: "Macht man nicht"..

Grüße 007 ;)

Kann ich so nicht nachvollziehen, ich habe jahrelang Adobe Reader und co. per GPO verteilt. Gerade in kleineren Umgebungen ist das eine einfache Verteil Möglichkeit von Haus aus. Einziges Manko: es fehlt eine Kontrolle der Installation, das kann man über andere Wege prüfen.

sabines 5 hours ago

4 comments

Comment in: 50 Jahre Structured Query Language

A query walks into a bar, sees two tables and asks: may i join

schleusentorgewindebolzen 6 hours ago

91 comments

Comment in: Dynamische VLAN Zuweisung für WLAN (u. LAN) Clients mit Mikrotik

Ich hab auch Netzwerkdosen die ich über dot1x den vlans zuweise, daher brauche ich den Radius Server

MysticFoxDE 7 hours ago

14 comments

Comment in: M365 (O365) Business nun DSGVO konform oder nicht?

Moin @firefly,

Grundsätzlich betrifft dies alles, was mit Microsoft 365 zu tun hat, einschließlich des Betriebssystems Windows 10 oder 11. Denn dort lässt sich die Übertragung von Metadaten (Microsoft nennt sie Diagnosedaten) nicht komplett abschalten. Dabei werden personenbezogener Daten übertragen.

das geht sehr wohl, also die komplette Abschaltung der Übertragung von Metadaten, aber nur bei den Enterprise Versionen von W10 und W11. 😔

Gruss Alex

chonetone 11 hours ago

23 comments

Comment in: Zugriffsversuche aus dem Internet?

Zitat von @em-pie:

Wir können aber nur raten da wir ja immer noch nicht so ganz genau wissen welches der Konzepte du denn nun umgesetzt hast?!

Da hilft eigentlich nur mal eine Zeichnung des TO aus der hervorgeht, was welche Netze routet (oder routen soll). Das hab ich nämlich noch immer nicht so recht verstanden. Ist DER Router der RV oder der CBS oder halb halb…

Ich versuche mich auf die Bezeichnungen RV und CBS zu beschränken, um von den konkreten Geräten zu sprechen. In welcher Funktion das jeweilige Gerät dann zum Einsatz kommt, bzw. kommen soll, würde ich dann dazu erwähnen.

Ihr wolltet ja unbedingt eine Zeichnung. Ich hab mein Bestes gegeben und gleich zwei gemacht ;)

Zeichnung 1: Aktueller Stand meiner Konfiguration

Zeichnung 2: Zielzustand den ich erreichen möchte (hier habe ich nur wo nötig die Änderungen zum aktuellen Stand (1.) aufgenommen)

Die früher erwähnten VLANs X und Y waren Teil des Tests, ob ich den Zielzustand mit den gegebenen Mitteln überhaupt erreichen kann.

Ich hoffe das hilft fürs Verständnis.

jsysde 14 hours ago

9 comments

Comment in: Softwarezuweisung per GPO schlägt wegen Registry fehlt

Moin.

Zitat von @bastian23:
[...]Würde ich es über Computer machen habe ich wieder den Aufwand der Pflege.[...]

Wie oft wechselt bei euch ein User den Rechner? Wenn das täglich passiert, wäre es ja sogar sinnvoll, die Software auf allen Rechner installiert zu haben, oder nicht? Ein Stück Software, das zwar installiert ist, aber nicht benutzt wird, verursacht inwiefern "Pflegeaufwand"?

Bei Verteilung per GPO bleibt die halt keine Wahl - wenn der Installer Adminrechte benötigt, geht es halt nur via Computer Configuration und nicht im User-Kontext. Als "Bastelarbeit" könntest du herausfinden, welchen Zweig genau der Installer nicht beschreiben kann und die entsprechenden Berechtigungen vorab setzen - das kann klappen, kann aber auch böse in die Hose gehen.

Cheers,
jsysde

jsysde 14 hours ago

14 comments

Comment in: M365 (O365) Business nun DSGVO konform oder nicht?

Moin.

Das es MS technisch relativ problemlos möglich sein dürfte, die in Europa oder gar explizit in DE gehosteten Daten einzusehen und im Zweifel auch in ein anderes Land zu transferieren, sollte jedem klar sein. Viel schlimmer finde ich jedoch, dass die Buben in Redmond ihren Laden nicht mehr im Griff und komplett den Überblick über ihre Online-Welt verloren haben.

Allein die drei bekannt gewordenen Einbrüche in Azure, M365/O365 und ein offen im Internet erreichbarer SharePoint, auf dem u.a. auch Zugangsdaten _im Klartext!_ abgelegt waren, lassen nur einen Schluß zu: Selbst wenn die Daten in EU/DE gehostet werden und dort verbleiben - irgendwer liest seit geraumer Zeit mit. Das komplette MS-Cloud-Universum ist m.M.n. als kompromittiert zu betrachten.

Cheers,
jsysde

jsysde 14 hours ago

22 comments

Comment in: Einen Server nur für die Druckverwaltung sinnvoll?

Moin.

Vorweg: Ein DC ist ein DC ist ein DC. Sonst nix.

Zitat von @MoniThor:
Lohnt es sich bei vielen Druckern einen eigenen Server[...]

Definiere "viele". Für mich sind fünf Drucker schon "viele". In einem 2000-Mann-Unternehmen hingegen eher nicht.
Definiere die Anforderungen an die Verfügbarkeit der Drucker.

Cheers,
jsysde

jsysde 14 hours ago

22 comments

Comment in: Einen Server nur für die Druckverwaltung sinnvoll?

Moin.

Zitat von @tagol01:
Jeder Dienst hat seinen eigenen Server![...]

Das skaliert mal genau gar nicht und ist weder technisch/funktionell noch für die Einhaltung von Sicherheitsmaßnahmen/-richtlinien nötig.

Cheers,
jsysde

jsysde 14 hours ago

10 comments

Comment in: Windows 11 Bloatware entfernen

Moin.

+1 für WimWitch. Ansonsten: PowerShell to the Rescue, damit lässt sich das relativ leicht automatisieren.
Am Ende aber immer nur für genau diese Version, die du gerade installiert hast. Bedeutet, du solltest sicherstellen, dass auf allen Clients der identische Build von Windows 11 läuft.

Wenn die Herren in Redmond dann mal wieder auf die Idee kommen, mit einem "Feature-Update" z.B. Werbung im Startmenü einzublenden, beginnt das Spiel halt von vorn. Wenn du das nicht jedes Mal durchexerzieren willst, wäre es evtl. eine Idee, dass nur erlaubte Anwendungen gestartet werden können, alle anderen eben nicht. Aber auch hier ist manuelle Nacharbeit nötig, so richtig "automatisch" klappt das alles nicht.

Cheers,
jsysde

jsysde 14 hours ago

4 comments

Comment in: Ordner über Gruppenrichtlinie sichern

Moin.

Du zäumst das Pferd von hinten auf - man kann mit GPO vieles tun, sicherlich auch ein Backup realisieren.
Aber wäre es nicht sinnvoller, wenn du schon ne Synology hast, einfach deren Backup-Produkte zu benutzen?
Wobei ich mir grad nicht sicher bin, ob der 2012er überhaupt noch von denen unterstützt wird.

Selbst wenn du das ans fliegen bekommst: Backup einrichten ist das eine. Wie willst du das Backup monitoren, also sicherstellen, dass es auch korrekt gelaufen? Durch manuelle Sichtprüfung auf dem NAS? Solche Dinge sind von imho von vornherein zum Scheitern verurteilt.

Btw könnte man auch für ein "Azubi-Projekt" mit aktuellen Server-Versionen arbeiten. Dazu bietet MS ja die EVAL-Versionen zum freien Download an.

*Just my 5 Cent*

Cheers,
jsysde