zahni

Eigentlich sollte ein guter RAID-Controller für diese Sektor-Geschichten eine passende Emulation anbieten, in dem man z.B. dort das passende Ziel-Betriebsystem einstellt. Was hast Du denn konfiguriert? Der Controller unterstützt wohl JBOD (mit RAID 0,1,10) und nativ RAID (auch z.B. 5). Eventuell tritt es nur im JBOD-Mode oder nur im AID-Mode auf. Persönlich würde ich auf JBOD als Ursache tippen.

Doch. Event: 865. Fand damals sogar aussagekräftiger und man konnte mit Tools hier einfach mal eingeschaltete PCs danach absuchen. Applocker loggt sehr viele unnötige Dinge. Diese "neuen" Windows-Events außerhalb der normalen Eventlog sind für viele Tools unsichtbar.

Eventuell erzeugt der Controller beim log. Laufwerk per default bei NVME eine nicht unterstützte Sektorgröße schaue mal, ob man dort irgendwor 512e einstellen kann. im Server ist UEFI an und nicht etwas im BIOS-Modus konfiguriert?

Und ich würde auch dringend empfehlen, die Richtlinie per default auf "nicht erlaubt" zu stellen und alle Pfade hinzufügen, wo der User dann doch Programme ausführen darf. Nicht nur EXE-Dateien sind gefährlich. Im Übrigen muss ein Großteil der Richtline in der User-GPO konfiguriert werden. Du möchtest sicher nicht, dass dem Computer selber oder Administratoren der Zugriff auf c:\windows verwehrt wird.

Wie schon geschrieben: Wir haben da keine Erfahrungen, weil das niemand macht. Du kannst Dich in der Domäne auch nicht mehr anmelden, wenn die Uhrzeit nicht mit der Uhr in den DC's übereinstimmt (ich glaube, per default sins max, 3 Minuten Abweichung zulässig). Vielleicht schreibt Du zunächst, was das Ziel der Übung ist?

Welche Firmware ist auf dem Controller? Je nach Firmware braucht man offenbar andere Treiber, wenn ich die HCL richtig interpretiere. Ansonsten hat der Hersteller sicher auch einen Support.

Wird der RAID-Controller unterstützt? Wer ist der Hersteller des Servers oder ist er gebastelt? Edit, Blödsinn. https://www.vmware.com/resources/compatibility/detail.php?deviceCategory=io&productid=49471

Auch wenn es weh tut: Man verwendet nur getestete Server, die in der VMWare HCL verzeichnet sind. https://www.vmware.com/resources/compatibility/search.php

Ist das eine Domäne? Wenn ja: Wozu ist das Script gut?

Hi, wir verwenden Lexmark. Ob dort direkt im Drucker direkt Kerberos unterstützt wird, kann ich nicht sagen. Jedoch müsste der Drucker hier in der Domäne gejoint sein oder zumindest mit über eine Kerberos-Konfig mit einem privaten Schlüssel verfügen. Lexmark bietet jedoch zahlreiche Managment-Lösungen an, bei denen die Scan-Funktion zar am Drucker erfolgt, die Ablage der die Scans dann aber von der Mangement-Lösung. Lexmark bietet hier z.B. LPM an https://www.lexmark.com/de_de/products/smart-mfp-ecosystem/manageability.html , für das es zahlreiche Erweiterungen gibt. Ansonsten schau mal hier: https://infoserve.lexmark.com/ids/ifc/ids_topic.aspx?root=kb20211201183846179&topic=FA1041&productCode=Lexmark_X925&loc=en_NZ

Und wenn man schon dabei ist, sollte man das Password vom krbtgt-Konto regelmäßig ändern. Damit werden etwaig ausgestellte oder erlangte "Golden Tickets" ungültig. PS: Man muss ein mindestens 2x ändern (hatte ich vergessen) https://blog.quest.com/what-is-krbtgt-and-why-should-you-change-the-password/

Es ist zumindest keine schlechte Idee den echten "Administrator" umzubenennen und einen neuen Fake-Administrator anzulegen. Da können sich Script-Kiddies u.U. austoben.

Lt. Google soll man ein AXXRMM4LITE nachrüsten können. Vielleicht gibt es dafür irgendein nettes Tools zum Einschalten? Habe nicht weiter gesucht.

Hier die Erkenntnisse von Günter Born: https://www.borncity.com/blog/2022/09/15/windows-10-update-kb5017308-verursacht-probleme-beim-erstellen-kopieren-von-dateien-per-gpo/

Lies Dir den Link oben nochmal durch. Du bekommst eher eine ungültige Antwort von einem externen DNS-Server. Eine Abfrage nach ezone-*.bunnyinfra.net ist übrigens ungültig. Da ist kein Wildcard erlaubt. Wenn Du das DNS-Debug aktivierst, bekommst DU auch raus, wer diese Anfrage gestellt hat. bunnyfra.net scheint ein CDN zu sein, wobei ich das nicht mit Sicherheit sagen kann. Könnte auch suspect sein.

Hat er denn nun eine Weiterleitung oder soll er sonst externe Adressen auflösen? Denke daran: Wenn der DNS-Server die Root-Server erreichen kann, macht er Internet-DNS, auch wenn Du das nicht willst. https://social.technet.microsoft.com/Forums/ie/en-US/27d2015b-d107-433e-b944-279542a9d867/the-dns-server-encountered-an-invalid-domain-name-in-a-packet-from-1575611242?forum=winserveripamdhcpdns

Bitte EventID und Quelle nennen. Update: Im DNS eine Weiterleitung auf einen externen DNS einstellen und die Namensauflösung nicht über die Root-Zonen machen. Dann sollten die Meldungen verschwinden (zumindest lt. Google).

Vielleicht hat das WAN via UPD doch Zugriff? Falsch konfigurierte Firewall? Oder der das Default Gateway reagiert UPNP? Persönlich würde ich DC's keinen Internetzugriff erlauben. Edit: Falls Du das optionale DNS-Debug meinst: Wenn der DC auf öffentliche DNS-Server weiterleitet, ist das natürlich normal. Irgendwie muss er ja externe Adressen auslösen.

Wenn Su es trennen kannst, magst Du mit den Risiko leben. Bei Lösungen wie ILO ist IPMI schon länger der Default abgeschaltet. https://www.tenable.com/plugins/nessus/80101

Macht dieses RMM auch AMT? IPMI via LAN ist böse, da unsicher, was man wohl auch nicht beheben kann. Für AMT gibt es Tools im SDK: https://www.intel.com/content/www/us/en/develop/documentation/amt-developer-guide/top/remote-power-management.html

Ok, wir verwenden hier ausschließlich explizite Proxies, was diese Dinge auf oft können. Inkl. Contentfilter, SSL interception usw. Das Andere hört sich mir viel zu kompliziert an.

Wenn das wirklich so ist, was ich nicht glaube, halt ich das für groben Unfug. Proxies verwenden meist NTLM oder besser Kerberos zur Benutzeranmeldung. Da wird nicht aus dem Eventlog gelesen, sondern vom Windows höchstens geschrieben.

Auf einem DC konfiguriert man nichts in der lokalen Richtlinie,. Entweder Default Domain Policy (für Kennwortrichtlinien die 1. Adresse) oder in der Default Domain Controllers Policy.

Möglicher Hardware-Fehler: https://www.intel.com/content/www/us/en/support/articles/000028099/processors/intel-core-processors.html#:~:text=The error WHEA_UNCORRECTABLE_ERROR"stands for,has occurred on your computer.

Um privat auf die Fritzbox zuzugreifen würde ich Wireguard nehmen (mit der aktuellen LAB-Version der FB). Klappt im Iphone wunderbar, zieht aber im Dauerbetrieb zu viel Strom.