zahni

Neben den NTF-Rechten würde natürlich EFS die Anforderungen abdecken. Aber den Aufwand und das Risiko möchtest Du eher nicht. EFS ist z.B. ungeeignet, User Ihr Password oft vergessen. Ansonsten gibt es noch Windows RMS bzw. irgendein Cloud-Gedöns dazu von Microsoft als Alternative. Das kostes extra Geld und muss gut geplant werden, von Leuten, die sich damit auskennen.

Bei Java ist es immer eine Bastelstunde mit KSE https://keystore-explorer.org/index.html Ich wüsste nicht, wie man das automatisieren soll.

BTW (weil ich gerade unseren Server-Cluster update): Fehler behoben https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-esxi-70u3k-release-notes.html Und hier wird noch etwas für VBS gefixt: https://docs.vmware.com/en/VMware-vSphere/7.0/rn/vsphere-esxi-70u3l-release-notes.html

Zum Client: Der versucht Kerberos SSO, was nicht funktioniert. Kerberos richtig konfiguriert? Dafür gibt es ein Tool: https://learn.microsoft.com/de-de/troubleshoot/sql/database-engine/connect/using-kerberosmngr-sqlserver

Wireguard ist aber wesentlich performanter als IPSEC auf der FB, wobei ich nur für meine 7590 sprechen kann.

Ich zitiere mal: https://www.computerweekly.com/de/antwort/Was-ist-Single-Root-I-O-Virtualisierung-SR-IOV-und-welchen-Vorteil-bringt-sie Das Board muss die Option im BIOS aktiviert haben und der Switch muss es auch können.

Mit Wireshark vielleicht nicht, aber es sicher ist es nicht. Es gibt div. Szenarien, wo der Datenverkehr umgeleitet oder mitgeschnitten wird. Z.B. im RZ des Betreibers, irgendwo am Client durch Malware o.ä. und im Extremfall wurden schon Internetrouten "entführt". Ist nicht ganz einfach aber bei dem BGP-Protokoll nicht unmöglich: https://www.oneconsult.com/de/bgp-hijacking-daten-auf-abwegen/

Genau das darfst Du nicht. Auf dem Windows 11 darf sich nur der Hauptbenutzer des PC's remote per RDP anmelden. Da kannst Du noch so viele VM's installieren. Auf Jenen darf sich auch nur der eine Hauptbenutzer anmelden. Und wenn ich mich korrekt erinnere darf man Essentials nicht innerhalb einer VM installieren, sondern nur direkt auf der Physik. Das sollte aber in der EUL stehen, die Du online bei MS findest.

Ich kann nur für ESXI sprechen. Bei Server-Prozessoren lasse ich allen an und stelle das Powermanagement auf "Static High Performance". So nennt sich das bei HPE. Ansonsten wurde ich immer Prozessoren vorziehen, die eine höhere Single Thread Performance und dafür etwas weniger Cores haben. Vielleicht auch mal in Richtung AMD schielen. Opteron war ja eher ein Reinfall, aber die Neuen sollen den XEONs teilweise überlegen sein. PS: https://wccftech.com/a-single-32-core-amd-epyc-9374f-genoa-cpus-beats-dual-intel-xeon-platinum-8380-40-core-cpus/

Das Update ist drauf, weil ich eine solche Meldung habe.

Das ist drauf. Wir haben von einem Server so eine Meldung. K.A. was der Kollege da installiert hat.

Zitat "Vor dem Sicherheitsupdate vom 10. Mai 2022". Das sollte also schon längst drauf sein.

Kurzfassung: Wenn Du im System-Eventlog der DC's keine Eintrage mit den Quellen "KdsSvc, Kerberos-Key-Distribution-Center" hast, hast Du kein Problem. Der KB-Artikel ist übrigens fehlerhaft. Event 39 hat als Quelle "Kerberos-Key-Distribution-Center" und nicht kdsSvc.

Danke Euch, ich gebe es mal weiter. Kann das hier noch eine Lösung sein? Leider geht da irgendwie nicht draus hervor, ob Teams Online dann über diesen Weg auf unseren Exchange zugreifen kann: https://learn.microsoft.com/de-de/azure/expressroute/using-expressroute-for-microsoft365 Ja, irgendwo stand, dass MS die Lösung eigentlich doof findet.

Hi, wir wollen den Teams-Kalender mit unserem internen Exchange synchronisieren. Leider hat MS hier keine einfache Lösung, sondern möchte das via Exchange Hybrid machen, wobei man für Sicherheitslücken anfällige Dienste gegenüber dem Internet öffnen müsste, was wir nicht möchten. Gibt es eine Möglichkeit das auch über Azure VPN zu machen? Leider finde ich dazu keine verständlichen Informationen. Kennt sich da jemand aus? Danke im Voraus.

Was willst Du denn erreichen? Ein SSO via Kerberos würde nur funktionieren, wenn der Client sich schon über einen anderen Weg bei KDC authentifiziert hat und von dem Ticket für das RDS-Gateway bekommen hat. Das macht man Das RDS-Gateway kann intern mit dem KDC sprechen, eventuell über den Proxy. Wozu soll der aber im Internet hängen? Es gibt einen Grund, warum im Internet niemand Kerberos macht, sondern Lösungen wie OpenID verwendet.

Ok,, in meinem Server-Template in Vsphere ist es nicht an.

Was bringt Secure Boot in einer VM? Hat das jemand wirklich eingeschaltet?

Der Test für öffentliche SMTP-Server liefert viele Details: https://www.checktls.com/TestReceiver Und https://uwe-kernchen.de/phpmyfaq/index.php?action=faq&cat=24&id=276&artlang=de

Kleiner Hinweis: Gecachte Logons sind ein Sicherheitsrisiko, wenn die Client-HDD nicht verschlüsselt ist. Ansonsten lassen sich die Domain-Kennwörter mit geeigneten Tools auslesen. Also: wenn man es nicht braucht (z.B. bei Notebooks), dann abschalten.

Hallo und Willkommen im Forum. Nein. Windows 2003 erhält keine Updates mehr und muss dringend entfernt werden.

Wie war gleich nochmal die Option, die Updates untereinander im lokalen System verteilt? Die findet man in den Einstellungen von Windows-Updates. PS: "Übermittlungsoptimierung"

Ich und Norbert könnten da auch einen Spezialisten empfehlen...

Hi, zunächst: Veröffentliche bitte nichts via LDAP. Das unterstützt außer Windows selbst niemand. Die Diese Distribution Points solltest Du au den Zertifikaten entfernen. Zumal Offline-Root-CA die eh nicht ohne weiteres aktualisieren kann. Denn sie ist kein Domain member. Der Distribution Point in den ausgestellten SUB-CA-Zertifikat muss auf einen HTTP-Server zeigen, der erreichbar ist. Auch sollte die CRL-Gültigkeit der ROOT-CA möglichst lang sein, da man eine SUB-CA eher selten zurückzieht. Ansonsten musst Du die Offline-Root regelmäßig einschalten, die CRL aktualisieren und auf den funktionsfähigen Webserver kopieren. Ein wenig hängt das alles auch von den Sicherheitsanforderungen ab. Natürlich könnte man den Webserver auf der Offline-Root-CA platzieren und eingeschaltet lassen...

Sorry, aber wer Applocker und/oder SRP richtig nutzt, dem rollen sich die Fußnägel hoch, wenn eine Anwendung aus dem Userprofile gestartet werden soll. Besonders, wenn sich dann noch mit jeder Version der Verzeichnisnamen ändern (man muss dort unbedingt eine Versionsnummer reinschreiben).