testperson

Hi, das verstehe ich noch nicht ganz. Ich würde es "ganz nett" finden, den Workspace zu nutzen und mich dort eben per Entra Id User bzw. eben "Conditional Access" anzumelden und dann auf die lokalen Ressourcen zu kommen. Das lässt sich bspw. ähnlich (besser?) mit "Entra Private Access" oder auch nur dem Azure Application Proxy umsetzen. Wenn es nur um einen neuen Client geht, kannst du zumindest mittlerweile wieder den (roten) RD Client (per Workaround: GitHub - Devolutions/MsRdpEx: Microsoft RDP Client Extensions) nutzen. (Alternativ und je nach Lizenzierung der Server 2025 kannst du halt im Rahmen des Azure Hybrid Vorteils kostenlos Azure Local (Azure Stack HCI) nutzen und müsstest nur die AVD VMs zahlen.) Wie gesagt, so ganz erschließt sich mir dein Plan noch nicht. HTH Jan

OT: Das hätte ja fast schon was von was schlägt man?

Ich nutze das nur als Computer Richtlinie. Für User habe ich es noch nicht getestet / genutzt. Der einzige Unterschied wäre jetzt noch, dass ich ein, zwei Leerzeichen nutze, wie es in den Beispielen steht. Laut Filter format for Microsoft Edge URL policies | Microsoft Learn ist das so und funktioniert bei mir auch so. Ein Test wäre ggfs. noch eine zweite Domain "*.domain.de" anzugeben, obwohl es eigentlich nicht notwendig sein sollte.

Das war in/aus Richtung "wir ziehen einfach die Domain von IONOS zu Anbieter XYZ, den wir dann auch als SmartHost nutzen". Wenn man halt keinen "dedizierten Smarthost Anbieter" nutzt oder eben nicht selber sendet.

Moin, bei "Option 1" hängt es ein wenig davon ab, ob das nur eine Domain für Mails ist oder ob da auch noch Website und ggfs. mehr dran hängt. Man kann ansonsten AFAIK bei All-Inkl externe bzw. fremde Domains zum Versand über deren Mailserver berechtigen. Generell wäre ich aber auch wie @NorbertFe bei Option 2. Falls das nicht möglich ist, würde ich eher Richtung Hornet Security, No-SpamProxy Cloud, Exchange Online Protection, o.ä. gucken und auch den Empfang darüber abwickeln und die (möglicherweise) Benefits von einem Cloud Anti SPAM (und evtl. weiterer Funktionien) mitzunehmen. HTH Jan

Hi, hier funktioniert es. Nutzt du aktuelle / die aktuellsten Edge ADMX Templates? Was kommt denn am Computer / beim User unter "HKLM\Software\Policies\Microsoft\Edge" oder eben "HKCU\Software\Policies\Microsoft\Edge" an? ExemptFileTypeDownloadWarnings REG_SZ [ { "file_extension": "rdp", "domains": ["binfordtools.org"] } ] ExemptSmartScreenDownloadWarnings REG_SZ [ { "file_extension": "rdp", "domains": ["binfordtools.org"] } ] Gruß Jan

Moin, also wenn eine Neuinstallation möglich ist, also nix wichtiges / brauchbares mehr auf dem Notebook liegt, würde ich das direkt machen und keine Zeit verschwenden. Ansonsten könnte man in der Suchmaschine der Wahl mal Richtung "Password" und "utilman" oder so suchen. ;) Gruß Jan

Für die Kosten eines zweiten Hosts und einer NAS kann man sicherlich ne ganze Zeit lang Hot Patching bezahlen. :)

Geld? Ihr bekommt Geld? Bei mir heißt es immer, ich solle froh sein, 8 Stunden am Tag ein Dach überm Kopf zu haben und dafür keine Miete zahlen zu müssen.

... oder wer, wie im Artikel verlinkt, den "zweiten" Faktor vor dem "ersten" bzw. vor LDAP nutzt. :) (Das wollte ich mir auch schon immer mal angucken. ;))

Kommt jetzt ein bisschen auf "den Haufen Speicher" an. Ich bin mittlerweile bei Minisforum MS-01 gelandet, da reichlich flotte LAN Ports (2x 2,5 GBE; 2x 10 GBE) anwesend sind und man "notfalls" noch bspw. ne Mellanox ConnectX-4 (2x 25 GBE) nachrüsten kann.

Hi, den Anstieg an Zugriffsversuchen hat evtl. der ein und andere mitbekommen. Hier ein Ansatz zur Mitigation von Citrix: Password spraying attacks on NetScaler/NetScaler Gateway – December 2024 - Citrix Blogs Was überall machbar sein sollte: # Responder Policy, um Zugriff ausschließlich über Hostname und nicht mehr per IP zuzlassen: add responder policy res_pol_IP_Block "HTTP.REQ.HOSTNAME.EQ(\"<gateway.fqdn.tldY\").NOT" DROP bind vpn vserver <Gateway_vServer_name> -policy res_pol_IP_Block -priority 100 # AAA Responder, um Anfrage bereits vor dem AAA Modul zu verwerfen (benötigt min. FW 13.0 oder neuer): add policy patset patset_block_urls bind policy patset patset_block_urls "/cgi/login" bind policy patset patset_block_urls "/p/u/doAuthentication.do" bind policy patset patset_block_urls "/p/u/getAuthenticationRequirements.do" add responder policy res_pol_block_urls "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" DROP bind vpn vserver <Gateway_vServer_name> -policy res_pol_block_urls -priority 100 -gotoPriorityExpression END -type AAA_REQUEST Wer die WAF / Reputation lizenziert hat: # Das o.g. Pattern Set muss hier auch erstellt werden bzw. da sein :) set appfw profile ns-aaa-default-appfw-profile -denylist ON bind appfw profile ns-aaa-default-appfw-profile "HTTP.REQ.URL.SET_TEXT_MODE(IGNORECASE).CONTAINS_ANY(\"patset_block_urls\")" -valueType Expression -ruleAction log RESET add responder policy res_pol_block_malicious_ip "CLIENT.IP.SRC.IPREP_IS_MALICIOUS" DROP bind vpn vserver Gateway_vServer_name -policy res_pol_block_malicious_ip -priority 50 -gotoPriorityExpression END -type AAA_REQUEST (Hier möge man aber Obacht walten lassen, ob / wie die WAF bereits genutzt wird und das man nichts gewolltest abschießt.) HTH Jan

Und wie lange darf das System ausfallen?

Da beim Exchange (vermutlich) SA benötigt würde oder zwei Lizenzen, wäre es wohl sinnvoller dann über zwei Exchange und DAG nachzudenken. Möglichkeiten gibt es viele. :)

Hi, lass doch eine Glasfaserstrecke zum Tor legen. Ansonsten per Richtfunk die Verbindung bis zum Tor überbrücken. Findet sich auch bei Ubiquiti von Unifi oder UISP. HTH Jan

Das hängt letztlich dann von euren Anforderungen ab.

Moin, gerade im Exchange Blog gelesen, dass das CU15 (H2 2024 CU ) dieses Jahr nicht mehr kommt und erst Anfang Januar 2025. Somit wird es dann das H1 2025 CU . Updates on Servicing Exchange Server 2019 | Microsoft Community Hub Gruß Jan

Hi, was ist denn das eigentliche Ziel dahinter? Möglicherweise gibt es ja bessere Lösungen / Ansätze / Protokolle wie bspw. das von @daabm erwähnte DFSR. Gruß Jan

Ggfs. ist Server 2025 hier ja eine kostengünstige(re) Alternative mit Hot Patching. Da brauchst du - angeblich - nur noch 4 mal im Jahr booten. Die anderen Patchdays gehen online. (Hängt natürlich auch ein wenig davon ab, was auf dem Host selber noch so läuft (Monitoring, Backup, AV, ..), und was das an Softwarekomponenten benötigt.) Also bist du vermutlich mit Datacenter on Tour bzw. würden sich Datacenter Lizenzen anbieten. Damit wäre dann ggfs. auch eine Microsoft S2D HCI Lösung möglich, je nach genauer vorhandener Hardware. Dafür genügt doch i.d.R. ein Server mit gescheitem Remote Management (iLO, iDRAC, ...). Generell bin ich bei Synology immer skeptisch. In dem Bereich, was du anpeilst, kenne ich deren NAS Systeme allerdings nicht. Kriegt man in der Preisklasse nicht fast schon ein Dual Controller DAS Storage? In meinen Augen steht hier ein bisschen die Kernfrage im Raum, ob es sich lohnt Geld in "Komplexität" zu stecken, um Verfügbarkeit zu erreichen oder ob man mit einem guten und getesteten Backup/Restore Konzept sowie einem bspw. 24/7 4h Vor-Ort-Service auf die Hardware besser aufgestellt ist. Gruß Jan

Hi, ich würde einfach mal fragen, warum kommt der Plan auf den Tisch? Was wollt ihr erreichen? Was schwebt dir denn beim Thema "NAS" vor? Die 21 VMs sind alles / überwiegend Windows VMs bzw. wie sind die grob nach OS verteilt? Sind das wirklich 16 TB HDD also so drehende Disks? Gruß Jan

Also bei mir kostet die Hetzner Storage Box mit 1 TB alleine 3,20 € im Monat. Wie bekommst du denn da noch die Hardware für 3 Proxmox Knoten mit je 1 TB netto(?) / brutto (?) und der ggfs. erwähnten NAS pro Monat unter? Ich bleibe weiterhin skeptisch. Nicht bzgl. Proxmox. Eher bzgl. des Konzeptes. ;)

Dann schau dir doch jetzt nach Proxmox einfach mal S2D und/oder Azure Local an und staune was mit "Windows" in unter einer Stunde möglich ist. Es ist ja schließlich bekannt: "Stillstand ist Rückschritt"

Hi, ich _vermute_, dass das nicht funktioniert, da der Host Pool / die Location fehlt. bzw. spätestens dann nicht supported ist. Die Frage wäre, was willst du denn am Ende des Tages erreichen? Gruß Jan

Das hat jetzt - meiner Meinung nach - wenig mit Cluster zu tun. Und warum du/ihr jetzt mit diesem "Konzept" auf den "Proxmox Zug" aufspringt erschließt sich mir noch nicht ganz. Wo ist hier der Vorteil von Proxmox gegenüber Hyper-V, was du/ihr sonst einsetzt?

Hi, ein möglicher, weiterer Kandidat für kuriose Outlook Phänomene: Anti Virus Lösung. Gruß Jan