Schön, wie mir hier unterstellt wird, meine User hätten Admin-Zugänge. Wo schreibe ich das bitte??


Bevor ihr mir hier Dinge unterstellt, bitte selbst informieren...

https://learn.microsoft.com/en-us/troubleshoot/windows-server/active-dir ...

Summary
By default, Windows 2000 allows authenticated users to join 10 machine accounts to the domain.
---

Moin...


äh... also wenn natürlich das Admin Passwort bekannt ist, wie ein Bunter Hund, dann würde ich das Passwort als erstes ändern!
und wenn deine User alle in der Gruppe der Dom Admins sind, ist das auch kein wunder, das sowas möglich ist!

Frank

Die Iso zu manipulieren ist leider nur der Weg den wir gehen können bei einer neu Installation, welchen wir auch gehen und diese funktioniert.
Wir müssen aber ca. 150 Notebook Upgraden, dies haben wir mit einem cleanen Image versucht, es wird aber trotzdem die Bloatware mit installiert.

Beschreibe das bitte genau!
Ich hoffe, du hast neben der statischen Route (warum eigentlich?) kein Portforwarding für den Port 22 (SSH) oder „Any“ vom WAN zum Switch eingerichtet!
Das erklärt dann nämlich das Verhalten.
Wird das WAN nach Port 22 gescannt, findet es deinen Router, welcher die Anfragen ungehindert zum Switch weiterleitet….

Lass doch da bitte jemanden dran, der Ahnung hat und schaue dem zu, stelle dem Fragen!

Grammarly, LinkedIn, Solitaire, etc.
Alle möglichen Apps die man in einer Firma nicht braucht.

Hallo Mike,
ja aber genau das ist mir zu anfällig, wenn dann der Dienst auf der NAS rumzickt (soll ja mal vorkommen ) dann ist das ein SpoF und das Risiko möchte ich bei einem Server auf dem mehrere VMs gehostet sind nicht eingehen.
Der muss zuverlässig und sauber runtergefahren werden.

Ich frag mal bei APC/Schneider an ob deren Management Karten das können, das sowohl über USB als auch über RJ45 gleichzeitig Geräte angeschlossen werden können.
Und nein ich meine nicht das SmartConnect. Das halte ich für Spielerei die einem bei einem Stromausfall - oft ist dann auch das Internet weg weil der Verstärker/Fibre-ÜP oder was auch immer auch ohne Strom ist.

S.

Seit wann können Benutzer einen AD-Join ausführen? Dazu wird immer ein Administrator-Account der Domäne benötigt.

Gruss Penny.

Moin,

? User ohne Adminpasswort oder (Dom)Adminrechte dürfen ohnehin keine Rechner in die Domain packen!?

Evtl. den Usern die Adminrechte wegnehmen?!

Gruß

Firewall-Regeln werden Top-Down verarbeitet, also wenn oben keine Regel greift, die ein "Allow WAN, Any Host to LAN..." enthält, dann greift automatisch die letzte Regel die oft "Drop All" heißt.

Dies bedeutet, dass man explizit eine WAN-to-LAN Regel erstellt haben muss, um den Zugriff von Außen zu gewähren.

Ihr habt es schon richtig festgestellt. Bei der Regel kann was nicht stimmen. Die Regel steht natürlich nicht so in meinem Router (wie @NordicMike schon richtig gesehen hat).

An der stelle steht natürlich Denied. Und wie ich erwähnt habe ist es die Standard-Regel.

Tut mir leid für die Verwirrung.

Diese Logeinträge habe ich erst seitdem ich diese statische Route von RV340 zu CBS350 hatte. Vorher haben die Logs auf nichts ungewöhnliches hingewiesen. Was mich stutzig macht, wieso gab es nicht vorher schon Versuche auf das Admin-Interface des Switch zu kommen? Was bieten die statischen Routen, was der Router vorher nicht auch schon getan hat (Routing eben). Also ein Teil ist auf jeden Fall, dass ich den Router tausche. Des weiteren versuche ich mal mir den Traffic anzuschauen, wobei ich da noch nicht so viele Erfahrungen gesammelt habe.

Dann betreibst du aktuell ein Auth Relay und dein DNS MX Eintrag zeigt nicht auf den Exchange Server. Ich dachte du hast schon "alle" relevanten Einstellungen überprüft? Egal, jetzt hast du ja einen Weg...

Guten Morgen,
vielen Dank für deine Antwort.

Wenn ich xyz.de aufrufe kommt auch meine index.php, ist ja auch so in den Standard Dokumenten vom IIS ganz oben hinterlegt.

Wenn ich aber über die Navigation eine andere Seite aufrufen möchte, z.B xyz.de/kontakt, dann steht in der URL xyz.de/kontakt.php und ich hätte aber gern das da xyz.de/kontakt steht.

Mit der Regel komme ich zwar über die Eingabe im Browser mit xyz.de/kontakt auf xyz.de/kontakt.php, sobald ich aber über die Navigation eine andere Seite aufrufe erscheint die im Browser wieder mit der .php Endung.

Vermutlich .
Starte ProcMon im Bootmodus und du weißt damit ziemlich sicher was den Start des Explorers verhindert.
https://learn.microsoft.com/de-de/sysinternals/downloads/procmon

Wenn STRG+SHIFT+ESCAPE nämlich nicht funktioniert läuft der Explorer (Shell) Prozess noch nicht, und irgendeine deiner GPOs oder Skripte verhindert das er starten kann.

Alternativ eine OU erstellen in den du nur einen Windows 11 Computer packst und dann schrittweise die GPOs auf diese verlinkst und immer wieder ein GPO Refresh machst bis sich der Fehler manifestiert, dann hast du deine schädliche GPO gefunden.

H.

moin, ernsthaft? Deine Firewall ist nix anderes als ne elektrische Heizung (und dafür noch sehr ungeeignet, soviel wärme macht so nen ding auch nich).

Wenn dein regelwerk wirklich so ist dann würde ich ebenfalls mal alles offline nehmen, den Router stumpf komplett neu einrichten und von da aus auch den rest. Denn wenn du so ne "Any Any"-Regel hast ist zu vermuten das dein Router ähnlich gut gesichert ist. Und wenn hinter dem NAT bereits Zugriffe auf deinen Switch sichtbar sind liegt die Vermutung nahe das jemand deinen Router bereits hat...

So dachte ich auch, macht es jedoch nicht!

Ergänzungen:
Ich habe auf meinem Notebook (Dell) nun auch Windows 11 das Upgrade gemacht. Allerdings nicht während das System mit der Domäne verbunden war. Nach dem Upgrade und allen normalen Neustarts funktionierte es mit der Anmeldung und dem direkt erscheinenden Desktop normal, ich habe drei mal neu gestartet.

Heute morgen seit dem Upgrade auf Win 11 an der Domäne: Nach Anmeldung Schwarzer Bildschirm + Mauszeiger. Keine Reaktion auf Strg + Shift + Esc.
Ich habe als App auf dem Desktop den Open Hardware Monitor im Einsatz. Interessant das dieser direkt nach dem Login wo der schwarze Bildschirm und Mauszeiger da sind auch da ist und läuft.
In der Ereignisanzeige ist nichts.

Somit muss irgendetwas durch die Domäne ausgelöst werden. GPO(s)? Die sind zwar schon vor dem Upgrade drauf jedoch wird da evt. nochmal was neu gesetzt? Ich weiß es nicht.

So langsam gehen mir die Ideen aus.

Doch, die Infos im Link funktionieren.

Welche URL gibst du ein und welcher Pfad wird geöffnet?
Eigentlich benötigt man für PHP Dateien keine Rewrite Rule. Der IIS versucht diese automatisch, wenn keine .htm oder .html Datei vorhanden ist:

http(s)://domain/ -> http(s)://domain/index
http(s)://domain/index -> http(s)://domain/index.htm
http(s)://domain/index -> http(s)://domain/index.html
http(s)://domain/index -> http(s)://domain/index.php

Solltest du also http(s)://domain/ eingeben, rufst du automatisch die http(s)://domain/index.php auf, wenn diese index.php existiert (und die anderen nicht).

Die Kette oben ist vereinfacht dargestellt, die detailliertere Kette findest du im IIS Manager unter dem Button "Standarddokument".

Moin,
Klasse, ein Freifahrtsschein

Ich würde ja erst einmal komplett offline gehen und mein ganze ganze Infrastruktur checken. Wer weiß, was die sonst noch gemacht haben oder von wo die Daten wegkopiert haben.


Wobei es nicht nur an der o.g. Regel liegen dürfte. Denn der RV340 macht ja eigentlich auch noch NAT von LAN->WAN. Das muss ja auch noch „überwunden“ werden…

Vielleicht läuft auf irgendeinem Server unbemerkt ein VPN Client/Server, der einen Tunnel nach innen aufmacht.

Viel Erfolg!

Vielen lieben Dank für die hilfreiche Erklärung.

Gruß
Peter

Definiere "sparsam"

Vermutlich ist der sekundäre Monitor im Windows deaktiviert.

Permit bedeutet: Erlaube
In der Firmware des RV340 gibt es dieses Wort jedoch nicht.

Da sollte "Denied" stehen.

https://www.cisco.com/c/en/us/support/docs/smb/routers/cisco-rv-series-s ...

Beachte auch den Zeitplan (Anytime)

Ich meinte, dass das NAS per USB angebunden ist und die restlichen Server per Ethernet/Software den Status abfragen..

Moin,

Wer Zugriffe von überall nach überall erlaubt, braucht sich nicht zu wundern, daß dann auch von überall Besuch kommt.

Du solltest dringend Deine Firewallregeln überarbeiten.

lks

Morgen,

ohne diese Produkte und deren Eigenheiten zu kennen sieht mir diese Regel etwas merkwürdig aus?

VG

Ironie: Funktioniert im Beamten-Büro NICHT 😉
Da gibt es keine Bewegung 😛

Ich bekomme trotzdem nur 502 Bad Gateway

Moin @Visucius,


diese Patterns sehen noch leicht gruselig aus, bei den neueren AP’s sind die jedoch schon um Welten aussagekräftiger.


Klar macht das einen Unterschied, sogar einen gewaltigen!
Wenn du einen AP mit „Deckenstrahler“ Charakteristik hast, zu denen die meisten APs‘ heutzutage übrigens gehören und dieser AP, respektive seine Antennen haben auch noch einen sehr optimistischen Signalöffnungswinkel von sagen wir mal 60°, dann feuert dieser AP, bei einer Raumhöhe/Anbringungshöhe von 2,5m, den Grossteil seiner Sendeleistung, im Umkreis von gerade mal 1,44m, gegen den Boden. Wenn man nun Hartböden hat, dann wird ein grosser Teil davon auch wieder weiterreflektiert, bei Weichböden hingegen, wird ein Grossteil der ausgestrahlten Leistung, meistens jedoch geschluckt.
Eine Stabantennen, korrekte Ausrichtung vorausgesetzt, feuert den Grossteil der Leistung jedoch nicht Stumpf nach unten, sondern verteilt diese eher gleichmässig rings um sich herum, sprich flächig in den Raum. 😉


Ja, ich habe mir die Studie durchgesehen und ich kann die leider nicht mal meinen Hasen zum Fressen geben, aber alles der Reihe nach.


👍👍👍


Ähm, ja, diese Studie ist zwar gut gemeint, praktisch ist diese jedoch vollkommen unbrauchbar.
Und zwar hat sich die „University of Brescia“ bei dieser Studie gleich mehrfacht selbst ins Knie geschossen. 😭

Da ich heute jedoch schon einen langen Tag hinter mir habe, möchte ich im Folgenden nur auf den heftigsten Knieschuss eingehen und zwar den folgenden.


Denn das mit den 17 dBm war zwar nett gemeint im Sinne von Gleich, was die Mädels und Jungs jedoch absolut nicht berücksichtigt haben, ist die Tatsache das die Sendeleistung eines AP’s, meist ohne Berücksichtigung des Antennenzugewinns angegeben/konfiguriert wird.
Die Antennen der getesteten AP’s, haben jedoch zum Teil sehr unterschiedliche Zugewinneigenschaften und zwar die folgenden.

5G Zugewinn:

Aruba Networks AP-225 --> +4,5 dBi
Cisco 2702i --> +4 dBi
Ruckus Wireless R700 --> +4 dBi
ZyXEL WAC6503D-S --> +6 dBi

Dadurch ergibt sich an den Antennen der jeweiligen AP’s, ~ die folgenden Sendeleistung.

Aruba Networks AP-225 --> 17 dBm +4,5 dBi = 21,5 dBm = 141,254 mW
Cisco 2702i --> 17 dBm +4 dBi = 21 dBm = 125,893 mW
Ruckus Wireless R700 --> 17 dBm +4 dBi = 21 dBm = 125,893 mW
ZyXEL WAC6503D-S --> 17 dBm +6 dBi = 23 dBm = 199,526 mW

Ausserdem wurde das Roaming nicht mal ansatzweise getestet, auch kein VoIP Verhalten.
Sprich, vor allem was Enterprise-Anforderungen angeht, ist diese Studie leider schlichtweg für die Katz.

Gruss Alex

Moin,
deine Aussage aus der Frage
und der letzten Antwort
ist aus meiner Sicht aber ein Wiederspruch, oder? In dem Fall kennt der Proxmox doch beide Netzwerk Pfade (Sync und Backup) zum Synology NAS.

Auslöser könnte viel sein (Netzwerk Aussetzer, Änderung der Routing Tabelle auf dem Proxmox, etc.).
Du könntest mit einer statischen Route, den Traffic für die IP-Adresse zum Synology NAS auf die 1G Karte binden.

Kann man bei einer produktiven Umgebung mit 5 Host machen... warum auch nicht.

Support Ticket bei Proxmox kannst zwar öffnen, wird aber vermutlich nichts bringen. Weil das Design meines Wissens nach nicht dem System Requirements entspricht. Soweit ich weiß müssen die Netzwerke Client, Storage, Backup dedizierte IP Subnetze, am Besten mit eigenen VLANs, konfiguriert werden.


Gruß,
Dani

Moin,

Halten wir fest, ihr kommt aus der Schweiz.
Das System muss eine FIBU mitbringen, da ihr das nicht habt.

Ferner braucht ihr IMHO kein CRM. Jedes ERP bringt eine Adressverwaltung mit. Mit einem CRM haltet ihr Aktivitäten nach, legt Aufgaben zur Wiedervorlage an (z.B. „Kunden auf das Angebot XX nochmal ansprechen“ oder „Besuchsberichte verwalten“).

In welcher Branche seid ihr unterwegs?
Seid ihr Händler oder Produzenten?
Braucht ihr so einen Quatsch wie auftragsdisponierte- und/ oder lagerdisponierte Bestandsführung?

Nicht jedes ERP eignet sich für jede Branche.

Edit: Gut, dass ihr Schweizer seid. Ansonsten sollte euer ERP auch die eRechnung direkt mitbringen. Oder wird/ ist das bei euch auch demnächst verpflichtend?

Wenn der Drucker HP PCL kompatibel ist oder PDF kann dann tut es auch jeder klassische PCL Treiber oder PDF Treiber wie Apple usw. Wäre ggf. einen Versuch wert,

Tippfehler.

Stimmt, solange Sie nicht mit dem NPM verbunden sind stehen sie mit Ihrem Namen und IP in den Firewall Regeln. Danach steht da ja nur der NPM drin...

Muss ich alles mal testen.

192.168.50.232-236

...sorry, explizit über die IP Adresse

Moin,
Webserver, Datenbank, etc. das hängt schlussendlich vom Container bzw. den Zweck ab. Da gibt es keine Faustformel.

Du meinst sicherlich mit und nicht nicht.

https://docs.docker.com/network/network-tutorial-standalone/
https://www.baeldung.com/ops/docker-assign-static-ip-container

Unabhängig davon bräuchte doch nur der NPM eine fixe IP. Weil die Container sprichst du über den NPM mit deren Namen an.


Gruß,
Dani

@Dani
Vielen Dank.
1. Verstanden

2. Doch ist es, mache ich bei Teilen meiner Homepage mit .htaccess quasi ja auch. Geplant ist dann auch 2FA nicht Authelia. Aber erst mal so alles zunächst laufen bringen...

3.Versteh ich nicht. Die feste IP in den Stack mit rein oder das yaml oder den Dockerbefehl?

4. Was wärs denn ein Beispiel für einen Container der nichts ins WWW muss? Ne Datenbank?

Moin,
und welche IP-Adressen hat Proxmox?

Möchtest du die Frage noch beantworten?

Rein technisch fährt bei Auto 300km/h. Aber wer kurz drüber nachdenkt, wir das nicht tun...


Gruß,
Dani

Erstmal Danke für deine Antwort.

Machst du dich nicht, keine Sorge! ;)

Auf jeden Fall hatte ich mal genug Zeit und Wissen um den Windows Server an den Start zu bringen. Das der Server hinter einer Firewall - mit all möglichen Webserverschutz hängt - wird mir dann auch nichts bringen, wenn ich das richtig verstehe. Davon abgesehen wurden diverse Sicherheitsvorkehrungen getroffen und das Personal geschult ;)

Aber für weitere Tipps in diese Richtung bin ich immer offen.

Ja, dass Modul ist installiert und danke für den Link, der hat mir leider nicht geholfen.

Gruß Chris

Moin...


ja, dann lass die Fritte doch als client im Netzwerk für die Telefonie!
deine pfsense kann dann der router sein!

Frank

.. leider habe ich keinen Treiber gefunden, der den Raspi zum Drucken überzeugen konnte.

Dennoch danke für Eure Mühe - viele Grüße
Alex

Hi.
Das ist kein Problem sondern ganz normal!
Das ist keine Fehlermeldung!
Per Default gibt die Methode LoadPartitialWithName immer das Assembly zurück sofern es gefunden wurde, was es hier auch ganz normal tut.
Siehe dazu
https://learn.microsoft.com/de-de/dotnet/api/system.reflection.assembly. ...

Du hast nur vergessen die Ausgabe zu unterdrücken.
Willst du die Ausgabe unterdrücken machst du ein [void] davor oder pipest das Ergebnis via out-null ins Nirvana.

Außerdem ist die Methode LoadPartitialWithName mittlerweile als deprecated/veraltet markiert
Steht ebenfalls hier:
https://learn.microsoft.com/de-de/dotnet/api/system.reflection.assembly. ...

Ersatz dafür ist Load()


Sie alle machen aber im Endeffekt das gleiche wie das präferierte CMDLet Add-Type mit dem Parameter -AssemblyName

Das gab es aber erst seit der PowerShell 3, deswegen haben diverse Skripte noch die .NET Methode drin stehen die auch schon unter der PS 2.0 funktionierte.

Hoffe das klärt dein Missverständnis damit auf. 😉

H.

Guten Abend liebe Admins!

Erst einmal vielen lieben dank für eure Hilfe!
Nach @aqui seiner Lösung, läuft nun alles auf 9,43 Gbit/s (Screenshot im Anhang).

Mein Denkfehler lag klar in der Layer2 / Layer3+4 und MTU9000 Geschichte...
Leider war mein gehofftes Ziel, bei den 2x 10Gbit am Node und den 4x 25Gbit am Storage, die 20Gbit an Übertragungsrate von Node zum Storage zu ermöglichen, was auch wieder ein Denkfehler von mir war...
Ich hatte es so verstanden, dass die 10Gbit ähnlich wie Bahnen zu betrachten sind... Also der Node greigt mit seinen 2x 10 Bahnen auf die 25 des Storage Servers...

Dafür hab ich jetzt dank euch was gelernt ^^

Vielen Dank!

Sorry, Da war ein Tippfehler. Ist das selbe Subnetz.

Explizit über die IP Adresse
Das sind die Adressen der Synology
Ja, ich weis - ist eine quick and dirty Lösung. Mich interessiert aber viel mehr, WARUM das passiert. Rein technisch müsste es funktionieren.

Sind ja gar nicht im selben Subnetz sondern in 2 verschiedenen IP Netzen!!
Raten wir mal im freien Fall das der TO mit 24 Bit Präfixes arbeitet sind es 2 Netze:
192.168.50.0 und 129.168.50.0.
Das ist vermutlich auch der fatale Fehler beide NICs ins gleiche L2 Netzwerk zu bringen was Loop Gefahr birgt und mehr.
Der Vorschlag oben alles über 10G zu machen ist da sicher sinnvoller. Oder die NICs in jeweils 2 dedizierte IP Netze zu legen.

@DonJohnson du kannst soviel bei "geiz" eintippen, wie du willst. Hier wurde kein Preisrahmen genannt, was ich gleich zu Anfang bemängelt habe. Hier wurde auch nur sehr rudimentär die Anforderung beschrieben: Konstruktionsdaten auf einer NAS, bisher eine TeraStation 1400 von ~2014. So ziemlich alles halbwegs brauchbare, was es am Markt gibt, kann vermutlich mit der bisherigen Performance mithalten.

Der Punkt ist aber ein anderer. Hier wird ein schlecht supportetes, altes Gerät in einer geschäftskritischen Funktion eingesetzt. Das Gerät ist nicht redundant, Backup-Lösung wurde nicht beschrieben, eventuell gar nicht vorhanden. Es spielt keine Rolle, welche Hardware man kauft, wenn die Ausfallsicherheit nicht stimmt. Stell dir drei Fragen:

1) Wenn, aus welchem Grund auch immer, das Gerät nicht funktioniert, was bedeutet das? Wer übernimmt den Support? Wer die Verantwortung (auch wenn es hart auf hart kommt!)?

Du kannst das mit Wartungsverträgen lösen, du kannst ein lokales Unternehmen beauftragen, das wird aber nicht jede Lösung "entstören", im Zweifelsfall auch keine Bastelei a la Geiz ist geil. Man kann das auch selber machen, das Knowhow scheint mir beim OP nicht gegeben.

Der Geschäftsführung obliegt eine gewisse Verantwortung, die auch Haftung nach sich ziehen kann. Wenn ich mir bei Geizhals eine NAS zusammen schoppe aber keinen Plan von nix und kein Backup habe, dann kann das fatal enden. Dann reden wir hier nicht von Schicksal oder außergewöhnlichen Umständen sondern von Fahrlässigkeit = Haftung mit Privatvermögen.

2) Welche Downtime kann ich mir erlauben? Das bestimmt darüber, wie viel Redundanz ich verbaue. Mache ich das mit einem RAID in einer Box oder stelle ich gleich mehrere Boxen da hin, wo stehen die Boxen, welche Software übernimmt das Spiegeln?

3) Welche technischen Anforderungen habe ich eigentlich? Ich kann meine Anforderungen auch anpassen wenn ich z.B. erkenne, das meine Anforderung besonders hohe Kosten nach sich zieht. Ich habe hier z.B. schon vorgeschlagen die Konstruktionsdaten zu unterscheiden. Wenn es nur wenig aktiv genutzte Daten gibt und viele Archivdaten, dann kann ich das auch unterschiedlich behandeln.

Ohne diese Punkte zu betrachten ist jede deiner tollen Kaufberatungen nur Moppelkotze. An dieser Entscheidung hängen möglicherweise viele Existenzen, auch Mitarbeiter können hier verlieren. Eine Kaufberatung hier im Forum von jemandem, der keine Erfahrung hat und nur versucht ne geile günstige Lösung zusammen zu schrauben, ist nicht seriös.