wznutzer

Ein paar NAT Regeln haben das Problem gelöst. Wie ihr aber eine Verbindung zu den IT Kosten als Ursache herstellt will mir nicht einleuchten. Bei Netzen mit 10.x und 172.x ist es ja gleich. Es ist ja hin wie her nur das Reduzieren einer evtl. eintretenden Wahrscheinlichkeit von gleichen IP-Bereichen. Aber egal, der Schubs Richtung NAT war die Lösung. Danke und Grüße

Guten Tag, ich verbinde iPads mit dem integrierten Cisco Client per IPSec mit einem Zielnetzwerk. Das funktioniert soweit problemlos. Aber nur dann wenn das Netzwerk in das das iPad eingebucht ist einen anderen IP-Bereich verwendet als ich im Zielnetzwerk verwende. iPad 192.168.178.0x/24 VPN 10.0.200.x/24 Zielnetzwerk 192.168.0.x/24 ==> alles geht iPad 192.168.0.0x/24 VPN 10.0.200.x/24 Zielnetzwerk 192.168.0.x/24 ==> kein Zugriff möglich Das ist mir soweit auch klar, woher soll das iPad auch wissen, dass 192.168.0.50 im lokalen Netzwerk ist und 192.168.0.51 über das VPN gehen soll. Da ich aber die Netze in denen sich die iPads einbuchen nicht unter Kontrolle habe, bleibt die Frage wie mit so etwas umgangen werden kann. Auch wenn ich einen möglichst selten benutzten Bereich verwende, kann es ja trotzdem zu Kollisionen kommen. Danke und Grüße

Entschuldige die verspätete Antwort, das Laptop war nicht zu Hand. Es ist eine LENSE30512GMSP34MEAT3TA 512 GB Firmware: 2.5.0412 Diese Marke war mir bisher unbekannt. Leider ist der Lenovo-Support, wenn man nicht gerade bei den Server-Jungs in Bayern landet, ich sage es nett, verbesserungsbedürftig. Deswegen habe ich da auch noch nicht nachgefragt. Danke und Grüße

Hallo, bei einem Laptop (Lenovo P72) habe ich folgendes Problem. In dem Laptop ist eine NVME SSD eingebaut. Wenn ich Dateien kopiere, z. B. eine 5 GB große ISO, wird diese mit max. 10 - 15 MB/s kopiert. Der Gag ist, dass das nur bei "alten" Dateien so ist. Das bedeutet wenn ich die 5 GB große ISO einmal kopiert habe und diese somit einmal neu auf der NVME SSD geschrieben wurde, wird diese mit 800 MB/s kopiert . Ich bin mir sicher, dass es am lesen liegt, weil in dem Laptop noch eine zweite SATA SSD eingebaut ist. Das Kopieren von der NVME auf die SATA ist auch gähnend langsam. Von der SATA auf die NVME immer schnell (600 MB/s). Lade ich mir eine ISO erneut, kann diese sofort schnell kopiert werden. Ich habe das nach dem Update auf W10 2004 bemerkt. Es könnte aber auch schon vorher so gewesen sein. Ich weiß es nicht. Sicher ist nur, dass in W10 2004 die Laufwerksoptimierung nicht funktioniert. Das ist aber ein bekannter Bug. Natürlich ist alles aktuell. Kennt das jemand von euch?7 Danke und Grüße

Die Threads habe ich gesehen. Ich habe einen neuen eröffnet, weil ich glaubte, dass das nicht passt. Der Key ExcludeExplicitO365Endpoint verändert bei mir nichts. UPN ist gleich der Mailadresse, hat sich aber auch nicht ausgewirkt. Der Thread gleich hier drunter behandelt doch Exchange Online. Verstehe ich das falsch?

Guten Tag, irgendwo fehlt mir hier ein Stück Wissen und finde es nicht. Seit den Februar Updates frägt Outlook 2016 oder auch O365 beim Erstellen eines neuen Profils nach dem Passwort. Es muss nichts mit den Updates zu tun haben, aber da ist es halt aufgefallen. An manchen Clients poppt auch hin und wieder mal der Passwortprompt auf. Die User klicken den Dialog ohne Eingabe einfach weg und im Outlook unten rechts wo normal das [Verbunden mit...] steht auf [erneut verbinden] und es geht wieder. lokaler Exchange 2016, alle Updates inkl. CUs Outlook 2016 oder Outlook O365, alle Updates Wird ein Profil neu erstellt erscheint eine Passwortabfrage. Trägt man das Passwort ein, lässt sich das Profil erstellen. Als Authentifizierung bei Autodiscover ist Windows-Authentifizierung aktiv, als Anbieter Negotiate und NTLM. Negotiate an erster Stelle. Die Anmeldung erfolgt mit dom\Nutzer. Ich habe auch schon einen AD-Suffix angelegt und die User mit user@dom.de angemeldet, keinen Unterschied. Wenn ich in der cmd whoami eingebe, wird unabhängig von der Anmeldung immer dom\Nutzer angezeigt. Die Keys ExcludeExplicitO365Endpoint + ExcludeHttpsRootDomain habe ich probiert, ohne Erfolg. Viele User haben gar keine Probleme, lösche ich von einem dieser unproblematischen User das Profil, muss auch da bei der Erstellung das Passwort eingegeben werden. Die Domäne ist noch eine dom.local. Die Email-Domain ist im DNS (inkl. autodiscover.dom.de) eingerichtet und hat lange problemlos funktioniert. Zertifikat ist natürlich auch ein gekauftes installiert das gültig ist. Könnt ihr mich in die richtige Richtung schubsen?

Guten Morgen, evtl. habe ich das falsche Forum gewählt. Es soll hier nicht um technische Fragen gehen und auch nicht um die Strategie. Da bin ich meiner Meinung nach gut aufgestellt. Mir geht es um die Dokumentation. Wie muss das Backup und das Testen der Wiederherstellung dokumentiert werden um z. B. als Administrator oder auch als Geschäftsführer seinen rechtlichen Pflichen nachzukommen? Es geht nicht darum sich in irgendeiner Art davon zu stehlen, sondern möglichst alles richtig zu machen. Ich erzähle einfach mal wie ich das mache um sozusagen an der Kritik zu lernen. Das Backup ist in allen Einzelheiten dokumentiert. Zu den Einzelheiten zählen: Quelle, Ziel, Art des Backups (voll oder differentiell), welche Daten, Aufbewahrungsdauer, welcher User hat Zugriff, mit welchem User wird das Backup erstellt, Rotation der Medien, Backupintervall. Außerdem gibt es zu jeder Angabe eine Bemerkung warum das genau so gemacht wird. Bei der täglichen Kontrolle wird der Kontrolleur und der Zeitpunkt dokumentiert. Außerdem werden die Daten in unregelmäßigen Intervallen wiederhergestellt und getestet ob die Daten korrekt sind. Da wird der Zeitpunkt, die Daten und der Tester dokumentiert. Die Dokumentation ist so gestaltet, dass ein fachkundiger Dritter alles wiederherstellen könnte. Natürlich muss das jemand sein, der Ahnung hat. Also keine Bilderbuch-Schritt-für-Schritt-Anleitung. Da das aber alles die meiste Zeit in, sagen wir, Personalunion durch mich geschieht, ist zwar alles dokumentiert aber es findet keine Kontrolle durch eine weitere Person statt. Nun ist es so, dass der Geschäftsführer ja nicht selber IT-Experte sein muss. Er muss aber trotzdem sicherstellen, dass die delegierte Arbeit getan wird. Die Idee ist nun folgende: Man dokumentiert was der Geschäftsführer prüfen muss. Der GF prüft also nicht das Backup selber, sondern das Protokoll der Prüfung und protokolliert das dann selber. Wenn z. B. festgelegt wird, dass in einem bestimmten Zeitraum die Wiederherstellung geprüft werden muss, prüft der GF anhand dem Protkoll ob das gemacht wurde und wirkt darauf hin, dass es gemacht wird. Natürlich geht das Szenario von verantwortungsvollen beteiligten Personen aus. Mir ist schon klar, dass man auch etwas protokollieren kann ohne es gemacht zu haben. Darum geht es nicht. Das wäre dann ja vorsätzliches betrügen. Ich bin auf eure Kritik gespannt.

Es liegt daran dass der Monitor am Remote-PC schlafen geht. Das wirkt sich auch aus wenn der Monitor gar nicht eingeschaltet ist. An der Maus wackeln oder alle Einstellungen auf Volldampf hilft hier. An der Maus wackeln ist natürlich nicht praktikabel, Remote und so.

Guten Abend, derzeit bin ich auf der Suche nach der Ursache für folgendes Problem: Windows 10 1909 (alle Updates) bauen per VPN eine Verbindung auf. Über diese VPN-Verbindung wird auf einen W2K12R2 RDSH zugegriffen. Diese Verbindung ist, würde ich sagen, pfeilschnell. Das fühlt sich so an, als ob man direkt am PC sitzt. Die gleichen Windows 10 1909 PCs bauen nun aber auch Verbindungen zu anderen Windows 10 (teilweise 1809 oder schon 1909) auf. Diese RDP-Verbindungen haben bei der Tastatus-/Mauseingabe spürbare Latenzen, nach ein paar Stunden hängt dann die ganze RDP-Verbindung und muss erneut aufgebaut werden. An der VPN-Verbindung scheint es nicht zu liegen, weil gleichzeitig auf dem W2K12R2 RDSH pfeilschnell und ohne Hänger gearbeitet werden kann. An TCP oder UDP scheint es nicht zu liegen, da gibt es keinen Unterschied. Farbtiefe, Drucker usw. ist bereits alles reduziert oder deaktiviert. Hat jemand von euch eine Ahnung was eine RDP-Verbindung auf einem Windows 10 Enterprise (1809 / 1909) als Ziel ausbremsen kann? Vielen Dank und bleibt gesund.

Danke. Funktioniert. Die Aussage, dass man sich nicht auf einem DC zum User anlegen usw. anmelden sollte, höre ich nicht zum ersten Mal. Ich kenne nur keinen guten Grund warum, was nicht bedeutet, dass es keine Gründe gibt. Die Adminworkstation muss ja ohnehin vertrauenswürdig sein und RDP-Verbindungen lassen sich auf bestimmte IPs beschränken wenn das nicht komplett offen sein soll.

Doch, per RDP auf einem DC. Aber sollte ich den Grund nicht herausfinden, wären die Remotetools natürlich eine Alternative.

Guten Abend, weil ich im Moment Probleme mit dem Autodiscover habe, ist mir bei der Analyse aufgefallen, dass im Snap-In: [Active Directory Standorte und Dienste] ich unter Ansicht nicht die Option [Dienstknoten einblenden] anwählen kann. Auf dem zweiten DC geht es. Jetzt ist es nicht so, dass ich das ständig anwähle, aber ich würde behaupten, dass das schon mal da war. Weiß zufällig jemand einen Grund, warum der Punkt [Dienstknoten einblenden] nicht da sein sollte? Danke und Grüße

Ich probier das jetzt einfach mal aus. Danke

Hi, danke für den Tipp. Du hast Recht, das würde gehen. Aber so wie ich das sehe muss ich die Funktion dann von einer Webseite aufrufen die wieder auf einem IIS oder Apache liegt. Dann kann ich aber gleich wieder deren Standardfunktionen verwenden. Die Funktion per Postman direkt aufrufen ist ja auch nicht wirklich praktikabel. Ich bemühe mich ein Azure-Freund zu werden, aber MS macht es einem nicht leicht. FTP ablösen, geht nicht, mach halt eine VM mit einen FTP-Server drauf. Einfachen Download bereitstellen, geht auch nicht. Email-Server migrieren, Port 25 ausgehend gesperrt. Support kontaktieren, Tagelange Warterei. Vielleicht ist Azure einfach nicht für Firmen < 1.000 Arbeitsplätze gedacht.

Hallo, ich würde gerne Downloads bei Azure hosten. Es handelt sich um Dateien von ca 1,5GB bis ca. 8 GB Größe. Die Dateien müssen nicht sonderlich geschützt werden, aber sollen auch nicht für den anonymen Zugriff freigegeben werden. Bisher wurde einfach die Basic-Authentifizierung des IIS oder wenn es ein Apache war mit einer .htaccess gemacht. Der User soll eine Url anklicken einen Benutzernamen und Passwort eingeben und dann die Datei herunterladen können. Azure Blob Storage sollte dafür wie gemacht sein, oder auch nicht. Anonym geht, will ich aber nicht. Ein SAS (Shared Access Key) per URL will ich auch nicht, weil der Link öffentlich klickbar auf einer Homepage sein soll und nur derjenige der die Zugangsdaten hat das auch herunterladen können soll. Die Authentifizierung per Azure AD ist an der Stelle auch zu kompliziert. Ist es wirklich so, dass das mit Azure-Storage nicht geht? Muss man tatsächlich deswegen eine VM mit dem IIS anlegen oder eine WebApp bauen? Ist Azure-Storage (Blob) einfach nicht dafür gemacht? Grüße

Hallo, 2FA für das VPN ist bereits aktiv. Dem VPN vertraue ich schon und in diesem Fall auch den Usern. Mit ging es tatsächlich nur darum, den PC der in einem fremden Netz ist möglichst gut genug abzusichern. Antivirus habe ich vergessen zu listen, ist aber auch aktiv und meldet an eine zentrale Stelle. In diesem Fall bin ich mal weiterhin zufrieden mit meiner Konfiguration. Danke und Grüße

Guten Morgen, Zugriffe von extern sichert man idealerweise per VPN ab. Darum soll es aber nicht gehen. Der PC mit dem eine VPN-Verbindung aufgebaut werden soll muss aber zuerst mal in einem Netzwerk mit Internetverbindung sein. Diese Netze sind von mir ja überhaupt nicht zu kontrollieren (Zug, Flughafen, Hotel oder beim Nutzer daheim). Ich weiß ja z. B. nicht ob die Clients in den Netzen isoliert werden. Bisher mache ich das immer wie folgt beschrieben, aber man muss sich ja immer wieder fragen ob das was man tut noch richtig ist. User haben keine Adminrechte Firewall ist mit dem öffentlichen Profil an Netzwerkerkennung ist aus Datei- und Druckerfreigabe ist aus Freigabe des öffentlichen Ordners ist deaktiviert Updates werden immer sofort installiert. Zum Installationszeitpunkt sind die PCs natürlich vor der Installation ohne Updates in einem unbekannten Netz. RDP sowie Unterstützung ist aus Gilt das noch immer als ausreichender Standard? Ich kenne Installationen in denen der externe Zugriff "nur" über das Mobilfunknetz möglich ist. Die Geräte bauen eine direkte Verbindung auf und können, vom Provider so geregelt, auch nur das. Sozusagen eine persönliche VPN-Verbindung per Mobilfunk. Das meine ich aber nicht. Danke für die Meinungen

Desinfect vom Heise-Verlag

Guten Abend, darf ich fragen warum die SSDs in dem Bericht (Blog) erneuert und nicht gelöscht wurden? Hatte es wirtschaftliche (löschen ist teurer als 20 € für eine 120 GB SSD) oder einen technischen Grund? Wie hat es Emotet geschafft sich lateral im Netz auszubreiten? Wenn das herausgefunden wurde, würde mich das brennend interessieren. Manchmal sind das ja wirklich blöde Sachen, wie bei Heise, dass sich ein Domänenadmin lokal anmeldet. Warum wurden keine Backups wiederhergestellt? Lt. Bericht wurden auch Server bereinigt. Das bedeutet, man hätte das Backup auf eine Infektion prüfen können. Wenn man bereinigt weiß man ja auf was man achten muss. Vielen Dank für den Erfahrungsaustausch, falls das Ausplaudern OK ist. Grüße wznutzer P.S. Seid ihr bundesweit tätig?

OK. Damit ich das richtig verstehe. Wenn ich die User nicht doppelt pflegen will benötige ich einen lokalen Exchange zur Verwaltung auf dem aber keine Postfächer liegen und somit auch keine CALs notwendig sind. Das Business Premium Abo ist somit möglich. Vielen Dank

OK, vielen Dank. Das ist ja besch..... Das heißt, man muss die User doppelt pflegen und wenn ich das nicht will einen lokalen Exchange hinstellen, was mich dann zwingt ein Office E3 oder Business Pro Abo abzuschließen oder Exchange CALs separat zu kaufen.

Bist du dir sicher? Ich kann doch AD Connect auch ohne Exchange nutzen und/oder nur mit Office 365. In der Doku finde ich keinen Hinweis darauf.

Also die Variante Vorabauthentifizierung gegen das AD. Das ist gut zu wissen, weil es im Netz die Behauptung gibt, dass das nicht gehen würde, weil der Nutzer nicht aus der Verbindung "herausgelesen" werden kann. Für Sophos und KEMP wird das jedenfalls behauptet. Also lohnt sich eine Recherche in diese Richtung. Darf ich fragen mit welchen Firewalls du das schon gemacht hat?

Guten Morgen, derzeit verwende ich um Mails von extern zu lesen/schreiben die Mail-App von Windows 10. Diese kann über Active-Sync eine Verbindung zum Exchange herstellen. Nun ist der Wunsch das "normale" Outlook zu verwenden. Das ist auch kein Problem, aber das soll nur ausgewählten Benutzern erlaubt werden. Da alle nicht extern berechtigten Nutzer ebenfalls gültige Zugangsdaten haben, könnte jeder der nicht komplett auf den Kopf gefallen ist seine Mails extern abrufen. Das soll nicht sein. Wie kann ich den Zugriff auf /mapi für bestimmte User einschränken? Vorabauthentifizierung an der WAF für MAPIoverHTTP. Bei owa geht es, soll aber nicht verwendet werden (User sind unzufrieden damit). Meine Recherche ist noch nicht fertig. Hat das jemand von euch so am Laufen? Option MapiBlockOutlookExternalConnectivity pro Postfach setzen. Scheint genau dafür zu sein. Es wird aber sehr oft dieser Artikel (https://ingogegenwarth.wordpress.com/2017/01/23/why-using-mapiblockoutlookexternalconnectivity-is-a-bad-idea/) verlinkt und empfohlen das nicht zu machen. Wie macht Ihr das? Danke und Grüße

Es gibt kein Problem im Sinn von: Was muss ich machen, dass X funktioniert. Ich suchte nach einer Doku in der genau beschrieben ist, welche URL für was zuständig ist. Wenn sowas nicht beschrieben ist, muss man es probieren oder auf Erfahrungen anderer (machen wir hier) zurückgreifen, oder einfach alles (wie fast alle Tutorial das tun) freischalten. Grüße und schönen Wochenanfang