Squire

Du bist ja auch in der Cloud ... ich bin hier OnPremise

Also ... ich schreib lieber nix - sonst werd ich für durchgeknallt gehalten - nur so viel ... manch kleine Firma oder Mittelständler hat weniger an Servern // VMs als hier läuft ... 2 Personen aber rund 4500kWh im Jahr

ja weiß ich wohl ... ich wollte nur sagen ... offen für alles - deshalb "wir bauen uns ein Storagesystem" FreeNAS hab ich mir mal kurz angeschaut ... ich weiß aber nicht, ob ich die Disks des DS3524 einzeln reinreichen kann. Normal machst halt mehrere Arrays (je nach Platten) und reichst die LUNs an den Host durch. Die Kisten wurden damals von meinen Vorgänger konfiguriert - ich hatte die nur im Betrieb übernommen und vor einiger Zeit abgelöst. Zum rumliegen oder wegschmeißen sind sie zu schade!

Hallo zusammen, ich setz den Thread mal unter Virtualisierung ab - da passt er am ehesten dazu ... Ich hab aus unseren Niederlassungen mehrere IBM DS3524 6G SAS Systeme übrig, sowie einige IBM X3550 M4 Server mit SAS Dualport und aus unseren Beständen 10G SFP+ Dualport Nics von Broadcom Ein Array bekomm ich mit 24x146GB SAS HDDs voll, das andere mit 8x 1TB, 8x500GB und 8x146GB SAS voll (der Rest der Systeme bleibt erstmal außen vor). Das Ganze soll einfach als Spiel- und Testwiese dienen - es ist keine Wartung mehr auf den Systemen (Ersatzteile haben wir durch die Altsysteme entsprechend übrig). ich denk, daraus kann man sich durchaus was nettes basteln ... Ich wollte da ggf. ein Datengrab für Daten, die man eigentlich nicht mehr braucht (weil im Backup) oder für alte Systeme (abgelöst, aber irgendwann fällt es doch noch jemanden ein, dass man da mal was nachschauen möchte ...) oder einfach als temporärer (Zwischen-) Speicher hernehmen. (Irgendwelche Klone etc. müssen ja nicht auf dem SSD Storage rumoxidieren). Also Speicher soll als CIFS/NFS vielleicht als iSCSI Blockstorage zur Verfügung gestellt werden. NFS oder iSCSI würde dann für die Anbindung an diverse ESX Server hergenommen werden ... Welches System (Opensource/Free) würdet Ihr dazu hernehmen? Meine erste Wahl wäre jetzt FreeNAS gewesen ...

ich würde trotzdem über 200 User ohne Proxy über eine Leitung rauslassen wollen. Stell Dir eine einfache Linux Kiste mit DHCP/DNS und Proxy hin, dann musst Du nicht die Krücke über die zwei Fritzboxen machen. Das muss kein neuer Rechner sein ... 20GB Festplatte, 2-4GB RAM sind mehr als ausreichend. Entweder ne normale Distribution wie Ubuntu z.B. oder eine PFSense z.B. ... kostet kein Geld und erleichtert Dir das Leben!

mal ne ganz doofe Frage ... welche Bandbreite hat denn eigentlich euer Internetanschluss ... je nachdem ist das komplette Ansinnen nämlich eher sinnlos - will sagen ... bei einen 16 MBit ... was willst Du dann mit über 220 User die direkt ohne Proxy aufs Internet zugreifen wollen? Da kann man dann im Zweifel jedem Bit eine Schleife umbinden und hinterher winken ...

Beruflich und Privat Keepaas Wichtig ist halt die Passwortdatei regelmäßig auch zu sichern und auch auf einem Offline Medium regelmäßig draufzuziehen

Anydesk wäre noch eine Alternative ... ist schnell und klein. Wurde von zwei ex-Teamviewer Mitarbeitern entwickelt

schwierig bei einem Kabelanschluss - da ist die Auswahl der Modems/Router beschränkt

ich würde den Internetzugang vom eigentlichen internen Netz separieren. Dann kann die Fritzbox verteilen, was auch immer sie mag ... Sprich hinter die Fritzbox eine Firewall und das interne Netz in einen eigenen IP Bereich. Zugang zum Internet läuft einzig über die Firewall. Dienste etc. werden über die Firewall veröffentlicht. Wer mag kann das Wlan der Fritzbox für Gäste verwenden ... Als Firewall bieten sich z. B. Sophos UTM oder Sophos XG an (Kostenpflichtig aber je nach Lizenz mächtig mit Mailproxy, Spamfilter, VPN Gateway, etc.) oder eben ein Opensource Produkt wie PFSense ... Alles andere ist m.E. gemurkst ... und die zusätzliche Sicherheit sollte einem die paar Euros die dafür notwendig sind allemal wert sein.

ja geht ... kein Problem nur darauf achten was du in der Childdomain für Systeme hast .... ein 2010er Exchange z.B. mit einem 2019er AD wäre da kontraproduktiv

wie versuchst Du den Namen aufzulösen Netbios Name oder FQDN? sicher dass der Name im DNS drin ist und nicht nur im DHCP?

such auf den DCs nach Events mit der ID4740 - dort wird der Account genannt und die Workstation von der aus dieser gesperrt wird, Erfahrungsgemäß sind auf der dort genannten Workstation zu 99% im Anmeldetressor (Credentialstore) in der alten klassischen Systemsteuerung die Anmeldedaten des Users mit dem vorherigen Passwort gespeichert. In den restlichen 1% läuft auf der genannten Büchse irgendein Skript, Task oder Dienst mit den Credentials des users und dem alten Passwort ... Wetten?

ähm ... dann müssten sich die Konten aber immer noch sperren - wenn die Authentifizierungsanfrage per "NAT" aus dem internen Netz kamen. Jetzt müssten sie ja direkt an die DCs gehen und die Accounts sich sperren ... Das Ganze hört sich komisch an!

wie Tesso schon geschrieben hat: NAT macht keine Anmeldungen. ich würd mich mal auf die Suche machen, welche NAT Verbindungen/Endpunkte da reinkamen und sich versuchten zu authentifizieren. Kamen die NAT Verbindungen aus dem Internet oder aus dem internen Netz?

was für Dienste laufen denn auf dem Gateway ... irgendwie muss man Dir alles aus der Nase ziehen Läuft da ggf. ein Samba mit? Das Windows Zeugs ist doch jetzt schnurz piep egal, nachdem du weißt, dass vom Gateway aus die Accounts gesperrt werden

Gerade Linuxsysteme sind auch für Hacker extremst interessant, eben weil sie als Gateways etc. eingesetzt werden und oft keinerlei zusätzliche Sicherheitsysteme mitbringen. Und wenn ich Hacker sage - meine ich nicht Script Kiddies, die irgendwelche Toolboxes verwenden. Bleib bei Deinem Glauben, das Linuxsysteme sicher sind (es gibt genug root Lücken etc. und denk einfach daran ... niemand würde irgendwelche Securityfixes um ihrer Selbst entwickeln.) Steinalte Linux Systeme sind im Zweifel einfacher zu hacken als ein normales Windowssystem!

Vielleicht macht das gateway doch eine AD Abfrage und in den Anmeldespeicher am Client ist ein altes Windows Kennwort hinterlegt. Wenn der Browser aufs Internet zugreift wird zuerst das Kennwort aus dem lokalen Credentialstore verwendet und übermittelt - welches nach einer PW Änderung in der Domäne natürlich veraltet ist. Wenn das GW dann gegen das AD authentifiziert ... Ohne genaue Untersuchung was Dein Gateway alles macht wirst Du nicht weiterkommen. Nebenbei ... wenn die Büchse vor 10 Jahren (!) aufgesetzt wurde ist der betrieb mit 100%iger Sicherheit gemeingefährlich - dafür wird es keinerlei Security Updates mehr geben ... Patched ihr die Büchse überhaupt? Hört sich nämlich für mich eher so an, als ob ihr da eine selbstgebaute Blackbox betreibt

schlicht und ergreifend geht nicht, ging auch noch nie mit Bordmitteln. Das ist ein Fall für Drittanbieter

Guck mal hier: (Punkt 3) https://docs.microsoft.com/de-de/deployoffice/deploy-office-365-proplus-by-using-remote-desktop-services

ja nutze ich, nutzen auch andere Firmen und je nach Konfiguration und Kundenwunsch sind die Firewalls entsprechend konfiguriert und ich glaub immer noch nicht, dass das Gateway nur stur als Router arbeitet. hast Du die Kiste aufgesetzt und konfiguriert, oder war das jemand anderer. Wenn letzteres zutrifft - frag den, der die Kiste konfiguriert hat

dann hast Du irgendwo auf Deinem "Gateway-Server" Deine Anmeldeinformationen drinnen .. sicher, dass Du nicht irgendwo eine LDAP Anbindung und somit einen LDAP-Bind User hast?

nachdem das per Gruppe geregelt wird, ziehen die Rechte natürlich auch nur, nachdem sich der Benutzer NEU am System angemeldet hat.

Wenn eine Gruppe für die Rechtevergabe genommen wird erfolgt kein Automapping. Sprich der User muss sich das Postfach manuell hinzufügen. Bei Exchange 2016 muss die Gruppe für die Berechtigungsvergabe Mail-aktiviert sein enable-distributiongroup -identity AD-Gruppenname Von welchem Exchange reden wir eigentlich?

Google Suche verweist auf nen KB Artikel von Veeam https://www.veeam.com/kb2188