zahni

WIN-JO6SBM9F53V? Echt jetzt? Hast Du den Computernamen nicht geändert?

Du musst hier nicht posten. Aber nochmals: Es kann sein Das Du eine SSD mit SED-Funktion hast. Und es kann gut sein, dass auf dem anderen Gerät das BIOS erfolglos versucht hat, die SSD freizuschalten und selbige sich nun dauerhaft gesperrt hat. Daher geht sie nun auch nicht im alten PC. Ist aber nur ins Blaue geraten. Wir machen solche Versuche nicht. Wenn PC putt, dann putt. Für wichtige Daten gibt es die Datensicherung.

Der VPN-Client von Windows funktioniert nicht mit der Fritzbox. Die FB macht nur IKEv1, was der Windows-VPN-Client nicht kann. Hätte man hier auch herausfinden können: https://avm.de/service/vpn/uebersicht/ . Nimm eine der dortigen Anleitungen. Der NCP-Client ist brauchbar, kostet aber ein paar Euro: https://www.ncp-e.com/de/produkte/ipsec-vpn-client-suite/vpn-clients-fuer-windows-10-8-7-vista-os-x/

Als Denkanstoß: Eine Alternative ist sehr oft die Verwendung jeder Art von Remote-Terminals, wie MS-RDS, Citrix oder Vmware View. Ist i.d.R. auch sicherer und reduziert den Aufwand bei Firewalls, etc., deutlich.

Oder den Copy-Shop fragen wie die es gern hätten...

Eben nicht: Du hast nun im Besten Fall einen Durchsatz von 5x 114 MB/s verteilt auf 5 Verbindungen.

ILO hat IPMI nur zusätzlich. ILO funktioniert auch ohne IPMI. Das Problem ist, dass IPMI bei einer bestimmten Anfrage und wenn der Username bekannt ist, den Password-Hash des Users ausplaudert. Und dieser Hash ist trotz des "Salzes" nicht so sicher. Wenn man IPMI unbedingt braucht, einen neuen User anlegen, dessen Namen man nicht erraten kann. PS: Ich habe eine Live-Demo gesehen. Hier kann man weiterlesen: http://fish2.com/ipmi/remote-pw-cracking.html

So richtig verstehe ich jetzt immer noch nicht, was das Ziel des Ganzen ist: Hast Du ein Problem, wenn Du Bitlocker verwendest und die SSD nicht ausbaust? Hast Du ein Problem wenn Du als potenzieller "Dieb" die SSD ausbaust und versuchst an die Daten zu kommen? Will sagen: klappt es? Bedenke, dass ein TPM nicht nur den Schlüssel speichert sondern auch die Hardware und die BIOS-Einstellungen auf Änderungen überwacht. Es könnte gut sein, dass der TPM Änderungen an der SSD erkannt hat und sie deshalb ablehnt. Wo genau ist jetzt Dein Bitlocker-Problem?

Hi, auch wenn das Thema nicht neu ist: Falls hier jemand Server verwendet, die das Protokoll IPMI 2.0 benutzen und Ihr keine konkrete Verwendung dafür habt, solltet Ihr es abschalten. Im Falle vom HP ILO ist das kein Problem. Der Rest vom ILO-funktioniert weiter. Die User admin/Administrator solltet Ihr umbenennen und deren Password ändern (unbedingt langes und komplexes Password wählen). Falls Blades mit HPE's OBA im Einsatz sind, können die Default-User auch gelöscht werden. Der OBA generiert zur Anmeldung auf dem ILO immer temporäre User auf dem ILO. Für HP ILO hier eine kurze Anleitung und weitere Details: https://kb.leaseweb.com/display/KB/Disabling+IPMI http://h20564.www2.hpe.com/hpsc/doc/public/display?docId=emr_na-c04197764-1 HPE liefert die Server leider mit aktiviertem IPMI aus. Mögliche Angriffsszenario nach Erlangen des Passwords ist z.B.: Booten des Servers mit einem remote über ILO gemounteten Image. Da kann man dann recht viel machen.

Für ESXI ist Raid1 übrigens komplett überflüssig. ESXI erzeugt, wenn es fertig gebootet dort kaum noch I/O. Es sei denn, der RAM wir knapp. So mach Einer bootet Vmware von einem USB-Stick. Im konkreten Fall hätte ich ESXI von einem größeren RAID-5 Verbund booten lassen. Auch hier gilt: Weitere Spindeln erhöhen den Durchsatz. Und beim Schreiben muss (!) es einen Schreibcache auf dem Raid-Controller geben.

Soweit ich weis bietet Microsoft hier Zertifizierungen für SMB 3.0 an. Aktuelle cDOT-Versionen ab 8.2 von Netapp sind beispielsweise zertifiziert und unterstützen alle SMB 3-Funktionen inkl. Failover zwischen den cDOT-Nodes, Offload, etc. https://library.netapp.com/ecmdocs/ECMP1196891/html/GUID-3E1361E4-4170-4992-85B2-FEA71C06645F.html

Stimmt, da war ja noch was ;)

Das kann ich leider nicht mehr sagen. Die Kiste muss aber schon länger rumstehen. Der Kollege prüft auch, ob sich alle mal im WSUS gemeldet haben. Allerdings haben wir bisher immer die Computer im WSUS gelöscht, die sich nach xx Tagen nicht mehr gemeldet haben. Wir haben auch einen Bestand, der im Lager steht oder in Büros länger nicht genutzt wird.

Hi, kommt das eigentlich öfter vor? Wir haben gerade einige wenige PC gefunden (mit Nessus), bei denen sich der Update-Dienst so verabschiedet hat (Windows 7). Leider ist tauchen die dann auch nicht beim WSUS auf und blieben so unerkannt. Zumal ich der Meinung bin, dass der Update-Dienst einen kaputten Data Store auch selber löschen könnte. Mehr haben wir auch nicht gemacht. -Zahni

"TLC SSD" bezeichnet keinen Hersteller.

Da Du Deine exakte Hardware nicht genannt hast, kann man leider nicht helfen.

Welche Edition von Windows 7?

Bei neueren Hardware-SSDs wird u.U. Hardware-Verschlüsselung verwendet, welche die meisten aktuellen SSDs mitbringen. Wo Bitlocker den Authorization Key speichert und ob er mit dem Recovery-Key identisch ist, habe ich nicht herausgefunden. Könnte aber sein, dass hier Deine Probleme herkommen. Google mal nach Bitlocker und TCG Opal.

Die Windowsupdate.log wird beim neuen Server sicher auch "versteckt": https://blogs.technet.microsoft.com/charlesa_us/2015/08/06/windows-10-windowsupdate-log-and-how-to-view-it-with-powershell-or-tracefmt-exe/

Komisch, bei uns ist das so. Muss wohl am AD liegen. Das stammt aus Windows 2000-Zeiten. Ich habe hier div. technische User für LDAP-Abfragen (für Java-Server-Anwendungen), die ohne Probleme so das "Memberof"-Attribut abfragen können.

Wie man ein HTTP-Redirect einrichtet, ist hier beschrieben: https://www.iis.net/configreference/system.webserver/httpredirect

Aus der Erinnerung laufen LDAP-Abfragen auch anders ab: Der User Authentifiziert sich irgendwie (z.B. auch per LDAP) und dann wird entweder direkt mit diesem User oder mit einem technischen User das betreffende Konto abgefragt. Default ist in AD eigentlich, dass jeder User der Gruppe "Domain Users" das Recht besitzt das Attribut memberof eines Users abzufragen. Nun kann der LDAP-Client mit diesen Daten machen was er für richtig hält. Die entsprechenden AD Gruppen könnten man im LDAP-Client z.B. auch manuell anlegen...

Wie gesagt: Die machst mit dem Konto mehr als eine Session auf. War kann ich auch nicht beurteilen. Vielleicht irgendein Dienst oder Task. Oder der Client ist kein Domain-Member. Oder du versucht irgendwo überflüssigerweise erneut zu authentifizieren. PS: Due kannst Dich auch nicht mit einem Konto anmelden und dann auf eine Freigabe mit einem anderen Konto verbinden. Das geht nur, wenn das zuständige Programm mit mit dem anderen User gestartet wurde: Shift+rechte Maustatste oder als "Admin ausführen".

So viele Weiterleitungen? Ich würde nur den Router eintragen. Eventuell reden einige der DNS-Server nicht mit Dir und Du bekommst darum die Fehler.

Ich bin gerade darüber gestolpert: https://support.microsoft.com/en-us/kb/3179574 Achtung: der folgende Text steht nur in der englischen Version des Artikels: