xrated2

Funktioniert die Replizierung von SYSVOL sauber? Rufst du die GUI vielleicht mit dem falschen Benutzer auf?

Ich habe eine Batch erstellt, mit der geprüft wird ob die VPN Verbindung aufgebaut ist und falls nicht, bekommt der User die Anmeldemaske vom VPN präsentiert. Das kann man in der Aufgabenplanung unterbringen. Da könnte man eine GPP erstellen mit der die Batch auf den PC kopiert wird und zweitens ein Task in der Aufgabenplanung erstellt wird. Nun ist die Frage ob das auch noch funktioniert wenn der PC keinen Kontakt zur Domäne hat (also nicht im VPN angemeldet ist) aber das sind doch alles GPP die auch trotzdem Bestand haben oder? Datei kopieren ist klar aber die Aufgabe? Benutzer -> Einstellungen -> Windows-Einstellungen -> Dateien Benutzer -> Einstellungen -> Systemsteuerung -> Geplante Aufgaben Batch (erst rausfinden ob DefGW gefunden wurde, danach ob VPN aufgebaut ist): @echo off ipconfig | find "192.168.3.1" >nul if %errorlevel%==0 goto inoffice rasdial | find "bla" >nul if %errorlevel%==0 goto connected rasphone -f %appdata%\Microsoft\Network\Connections\Pbk\rasphone.pbk -d bla exit/b :connected echo Already connected exit/b :inoffice echo No VPN needed

Also bei mir ist der Besitzer die Domänen-Admins, gibt ja noch andere Admingruppen

Also mit "Route add" und der vom VPN zugewiesenen IP als GW gings mit dem Routing aber das ist ja mühsam, über Powershell gehts auch: Add-VpnConnectionRoute -ConnectionName "bla" -DestinationPrefix "192.168.3.0/24" Und dazu noch die DNS und Suffix mitgeben: Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14" Das VPN allgemein: Add-VpnConnection -Name "bla" -ServerAddress "bla" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -UseWinlogonCredential -RememberCredential -SplitTunneling Und dann noch per Regedit die Searchlist setzen, weil sonst nur FQDN aufgelöst werden aber keine Hostnamen: HKLM\System\CurrentControlSet\Services\TCPIP\Parameters\SearchList Das sollte sich per GPO verteilen lassen meine ich, aber geht das nicht auch einfacher?

Ach so ist das. In OpenVPN ist das mit den Netzen etwas anders. Ich habe im Windows VPN Server einen eigenen IPv4 Pool in einem anderen Netz erstellt z.B. 192.168.200.0 und im Router eine Rückroute eingetragen. Das funktioniert aber nur solange Split Tunneling nicht an ist. Wenn man Split Tunneling anschaltet denkt der VPN Client vermutlich das alles ausser 192.168.200.0 nicht übers VPN geht. Wie bekommt man denn das eingestellt das der VPN Client auch das normale entfernte Netz erreicht? Der Client bekommt vom VPN auch keine Gateway Adresse wie bei OpenVPN mit der man auf dem Client eine Route setzen könnte. Der VPN Server selbst ist in keinem eigenen Netz sonst könnte man das einfach so machen:

Ich habe jetzt das gemacht: Add-VpnConnectionTriggerDnsConfiguration -ConnectionName "bla" -DnsSuffix "ad.bla.com" -DnsIPAddress "192.168.3.12", "192.168.3.14" -PassThru Nur wann wird das getriggert? Da tut sich nichts mit VPN wenn man was aus der Domäne erreichen will.

Ich habe das Cert jetzt ohne Sperrliste und wenn ich in Windows 10 die VPN Config in der GUI erstelle dann klappt die Einwahl ohne Fehler.

Das heisst also temporär vor Erstellung bei LDAP die Option "In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen" deaktivieren und nach Erstellung Haken wieder reinsetzen.

Driftet etwas ab aber wenn ich so wie hier eine benutzerdefinierte Anforderung erstelle: http://blog.icewolf.ch/archive/2011/07/31/custom-certificate-request-csr-with-subject-alternative-name-san.aspx Dann erstellt der ein Zertifikat mit einer CRL. Nur für VPN brauche ich die aber glaube nicht (die dient ja glaube ich nur dazu das der Client weiß wenn und aus welchem Grund das Zertifikat gesperrt ist), zumal man da auch noch Port80 nach aussen öffnen müsste und wenn man nicht in der Registry den Revocationcheck für SSTP disablen möchte, gibts da noch einen anderen Weg das Zert ohne CRL zu erstellen oder hab ich was übersehen? In der CA den Sperrlink für LDAP rausschmeissen wollte ich nämlich auch nicht.

Und was verursacht eigentlich den Hinweis der bei der ersten SSTP VPN Verbindung erscheint: https://www.zdv.uni-mainz.de/konfiguration-von-vpn-unter-windows-10/ Der Server kann nicht überprüft werden, da hierzu nicht ausreichend Informationen vorliegen. Ich habe extra das Cert importiert unter Computerzertifikate / Vertrauenswürdige Stammzertifizierungsstellen Das scheint auch nichts zu bringen: https://palvelimet.net/disable-revocation-check-sstp-vpn/ Importiert man das ganze über Powershell: Add-VpnConnection -Name "test" -ServerAddress "test" -TunnelType "Sstp" -EncryptionLevel "Required" -AuthenticationMethod MSChapv2 -PassThru Erscheint: Der CN-Name des Zertifikats stimmt nicht mit dem übergebenen Wert überein. Das Cert habe ich mit selfssl erstellt, ausser CN gibts man da ja nichts an. Chrome meint auch: NET::ERR_CERT_COMMON_NAME_INVALID Hat das was mit fehlendem subjectAltName zu tun?

Hallo Bei Direct Access oder Always on mit Device Tunnel braucht man ja leider 10 Enterprise. Obwohl MS bei Always On noch groß angekündigt hat es ginge mit jedem Windows aber was nützt das Feature ohne Device Tunnel, wenn man zudem auch kein MDM oder Intune hat. Was MS bei Enterprise eingebaut hat scheint ja nicht wirklich umfassend zu sein: https://community.spiceworks.com/topic/2199357-device-tunnel-on-win10-pro Trotzdem würde ich sowas ungern verwenden wollen. Gibt es irgendeine andere Möglichkeit sowas umzusetzen? Via rasdial scheidet auch aus weil man da das Passwort in der Befehlszeile mitgeben müsste. Ich möchte sicherstellen das der User wenigstens bei Systemstart dazu aufgefordert wird sich ins VPN einzuloggen. Würde das vielleicht mit Add-VpnConnectionTriggerDnsConfiguration klappen?

Oder man nimmt: https://www.microsoft.com/de-de/evalcenter/evaluate-hyper-v-server-2019

Hallo Man weiß ja nicht genau wie lange es den noch geben wird aber momentan stören mich die schlechte Verwaltungsmöglichkeiten vom MS Store. Den kann man zwar per GPO Softwarebeschränkung komplett sperren aber es gibt im Store tatsächlich auch Apps die produktiv genutzt werden und benötigt werden z.b. SonicWall Mobile Connect. Offiziell soll man ja einen privaten Store mit den Apps erstellen die in der Firma zugewiesen werden um das kontrollieren zu können. Bei Win 10 Pro müsste sich dazu aber jeder MA erstmal mit seinem MS account einloggen. Und parallel dazu kann er den öffentlichen Store weiterbenutzen? 10 Enterprise gibts leider nicht womit man das über GPO regeln kann. Ich habe rausgefunden wie man eine App als appx file downloaden kann und wie man diese über Powershell installiert. Dummerweise scheint dazu aber der jeweilige Useraccount zur Installation notwendig zu sein, ich glaube WPP installiert alles mit dem Systemuser (deswegen auch kein Zugriff auf HKEY User in WPP). Ich meine da entzieht man den Usern Adminrechte damit die nichts installieren können und dann kommt MS mit dem Store daher und mittlerweile sollen da sogar schon non UWP d.h. normale Programme zu finden sein. Hat denn hier jemand schon mal mit der ganzen Geschichte befasst?

Da war auch irgendwas das man nicht als guest das Netzwerkshare browsen kann https://support.microsoft.com/en-hk/help/4046019/guest-access-in-smb2-disabled-by-default-in-windows-10-and-windows-ser Hatte das andersrum, der Windows Server konnte nicht aufs Share einer QNAP zugreifen. QNAP hatte browsen nur als guest zugelassen was bei Windows aber abgeschalten ist.

Ich hatte im Scope Benutzer/Computer vertauscht ;) Dann lässt sich auch der NGSC Client nicht mehr starten. Hatte gar nicht gewusst das man in Office auch noch mal einstellen muss das die nicht Onedrive benutzen dürfen. Da gibts keine admx für aber über Registry: HKCU\Software\Microsoft\Office\16.0\Common\Internet -> OnlineStorage 0 Policy is off (all locations are shown) 1 Only OneDrive Personal locations are hidden 2 All SharePoint Online locations are hidden 3 All Microsoft Online Locations are hidden All other values Policy is off (all locations are shown)

Hallo ich weiß nicht ob MS was geändert hat oder obs an der Konfiguration liegt. Ich habe die Onedrive admx/adml files am Server (die admx war von der Größe identisch wie an einem aktuellen 10 Client) und entsprechend eingestellt das Personal Onedrive nicht verwendet werden darf. Ich sehe auch via rsop das diese Policy am Computer angewendet wurde aber der User kann nach wie vor in seinem persönlichen Onedrive speichern. Ob die Beschränkung auf best. Tenants bei Onedrive Business funktioniert konnte ich noch nicht testen. Hat das hier jemand in Benutzung?

In Post1. Aber bin eigentlich schon zu dem Entschluss gekommen das ein Controller mit Write Trough und SSD ausreicht. Da ist dann auch die Frage ob sogar ohne Cache reicht, es gäbe z.b. den Supermicro 3008. Oder doch den Microsemi 8405E mit 512MB Cache. Bei HDD siehts dann wieder anders aus mit Performance ohne Write Cache im Controller. Als reiner Fileserver für ein kleines Office scheint ein Intel RST unter Windows aber mit HDD auch schon auszureichen, der hat überhaupt keinen Cache.

Das ist mir wurscht, ich habe auch nach was ganz anderem gefragt Der Hersteller der Software empfiehlt das sogar, die meisten Handwerker die diese benutzen haben nur einen einzelnen PC und gar keinen Server Ich weiß wie das abläuft, habe früher in einer Firma 100 physische Server administriert. Da kam oft was mit Kurier, meistens hab ich die Sachen selbst getauscht. Und am WE oder Feiertag arbeitet niemand in einem Handwerksbetrieb. Der jetzige ist 8 Jahre alt Das keine neuen Aufträge erstellt werden können...

Hatte Google am Anfang nicht auch die einfachsten PCs als Cloudstorage?

Und man darf auch nicht vergessen das alles mind. 2fach gesichert ist. Im Ernstfall nimmt man einfach das vmdk vom Backup und spielt es in Vmware Workstation ein. Teile wie Netzteil, RAM und SSDs sind alle Standardteile und bekommt man innerhalb kürzester Zeit. Wenn bei einem alten Markenserver ein Netzteil abraucht steht man erstmal da. Da gibts dann oft sogar nur noch gebrauchte Teile. Meine Kunden sind alle in der unmittelbaren Nähe und werden sehr schnell abgedeckt im Service. Das mit den SSD und Haltbarkeit kann ich nicht so ganz unterschreiben, ich hatte schon einige Ausfälle mit Sandisk und Crucial. Bei Samsung und Intel ist bis jetzt aber alles prima. OCZ waren ja damals auch bekannt für Probleme. Bei größeren Firmen die mind. 1 Rack voll Server haben würde ich auch nur Server von einem großen Namen nehmen. Oder wenn es so kritisch ist das bei 1Std Ausfall große Schäden entstehen.

Zweifellos sind fertige Server gut auf Funktion getestet. Ich weiß auch das z.B. Dell für Upgrades wie SSD und Speicher sehr viel Aufpreis verlangt und mit vermeintlich günstigen Grundpreisen lockt. Die SSD wo Dell für 713€ verkauft ist eine Samsung PM1643 die ist wo anders für weniger als die Hälfte gibt und auch nur 1 DWPD hat. Man muss relativ teure Server auswählen um überhaupt SSD auswählen zu können. Den Vor Ort Tausch muss man teuer dazu kaufen und nach 5 Jahren kann dieser nicht verlängert werden. Und dann gibt es auch noch veraltete Chipsätze.

Geht aber nicht, die sind schlecht weg zu teuer. Dabei verdiene ich auch nichts dran, da können die gleich selbst bestellen. Bei Dell kostet allein eine 960GB SSD 703€. Dann ist oft das Problem das das Rack nicht tief genug ist. Die letzten 2 Server die ich gebaut habe waren relativ kurz, bekommt man so nirgends zu kaufen. Aber wir schweifen vom Thema ab. Ich wollte wissen ob die gängigen RAID Controller ohne BBU den Disk Write Cache ausschalten. Und geht das bei SSD überhaupt? Ich habe bei Microsemi 8405E + SSD zumindest noch nichts gelesen das dem so wäre. Auch bei Intel C242 RST Raid habe ich bis jetzt gute Erfahrungen mit SSD gemacht (Intel 545S + D3 S4610). Klar das ist nur Fake Raid ohne Cache aber bei SSD ist das nicht so schlimm. Hier wird sogar empfohlen write cache im Controller auszuschalten: http://www.admin-magazine.com/Archive/2015/28/Tuning-SSD-RAID-for-optimal-performance/(offset)/6 Wenn die SSD dann über PLP verfügen sollte doch eigentlich nichts schiefgehen. Auch hier weniger Performance mit write back: https://www.heise.de/select/ix/2018/2/1517711476799852

Warum bist der Meinung das ein selbstgebauter Server mit Supermicro Mainboard so schlecht wäre? Supermicro macht genauso Tests mit unterschiedlichen OS auf Kompatiblität. Ausserdem gibts von Vmware HCL mit Boards von Supermicro und Controller von Adaptec. Es geht hier nicht um ein Rechenzentrum wo jede Sekunde Ausfall eine Katastrophe ist. Mit so einer Einstellung kann man gleich in die Cloud gehen. Ich habe in den letzten 20 Jahren schon soviele Computer gebaut aber an Probleme mit Hardware kann ich mich fast nicht erinnern. Das Problem ist heute die Software und nicht die Hardware.

Mit Fertigservern habe ich eine schlechte Erfahrung in kleineren Umgebungen und zwar hauptsächlich im späteren Verlauf weil diese häufig Komponenten verwenden die inkompatibel mit Fremdhardware (z.B. Controller geht nur mit Disks vom Hersteller) oder man auf spezielle Teile angewiesen ist z.B. Netzteil. Mit Supermicro habe ich noch nie ein Problem gehabt. Und gerade auch Preis und Flexibilität bei der Konfiguration ist ein großes Plus bei Selbstbau. Der Hersteller der Auftragssoftware gibt kein Server OS vor, war Anfangs Windows 8. Das ist auch kein SAP etc. sondern was selbstprogrammiertes von einer kleinen Firma für spezielle Handwerksbetriebe. Wir reden hier von einer Datenbank in SQL Express mit 3GB. Ich will hier aber nicht vom Thema abkommen, es geht um Controller+SSD.

Server ist in dem Fall das angedacht: https://www.supermicro.com/en/products/motherboard/X11SCL-F Geschwindigkeit ist nur für eine MS SQL Datenbank interessant, läuft in einer VM auf Win10. Ist eine Software in der Auftragsbearbeitung etc. läuft, also auch keine gigantischen Anforderungen. Ansonsten gibts eine VM mit Win als Fileserver und 2x Linux VM für Kerio Mail + 3CX PBX. Die haben noch viel weniger Last. Tendiere im Moment zur D3 S4510 960GB. Momentan läuft ein Dell T310 mit HDD, der ist noch nicht extrem langsam aber zu voll. Und SSD nachrüsten ist bei dem auch nicht unproblematisch (8 Jahre alt).