MurdocX

Rein zufällig den aktuellen Patch auf den DCs installiert, ohne den OOB-Patch?

Hallo, auf das Thema kann man auch etwas allgemeiner, mit einer höheren Flughöhe blicken. Die Betrachtung der Sicherheit ist immer nur eine Momentaufnahme. Nach Änderungen an der Infrastruktur, muss dies nochmal erfolgen. Realistisch gesprochen wird das vermutlich nicht so oft getan, wie man es müsste. Resultierend ist es durchaus sinnvoll eher defensiv, also restriktiver, seine Zugriffsmöglichkeiten auszulegen. Manche mögen sagen: "Die Sicherheit fängt da an, wo die Bequemlichkeit des Admins aufhört". Wobei man sich, wie ich finde, auch gut an MFA etc. gewöhnen kann. Wir haben für uns entschieden (Risikoabschätzung mit der GL), dass das nur verwaltete Geräte in unser Netz dürfen. Hier ist das Handy für die MFA, FIDO-Sticks etc. eingeschlossen. VG, Jan

Hallo @gerd33, ich habe deinen Initialpost an unseren Standard angepasst. Bitte unsere Hinweise beachten. Hilfe zur Selbsthilfe: Mit diesem Control kannst du die (spezial) Formatierung deines Textes wieder entfernen.

Hallo zusammen, mein Ziel ist das visualisieren von Firewallregeln und Kommunikation im Netzwerk. Aktuell rufe ich ein einem FUN-Projekt mir meine nötigen Daten von der Firewall ab. Mir fehlt nur der Schritt der Visualisierung. Kennt einer von Euch ein einfaches Tool zum anzeigen von Daten als eine DOT-Map oder eine fertige Softwarelösung die das kann? OpenSource ist hier von Vorteil. Auf dem Markt gibt es eine Menge Anwendungen. Fast alle benötigen etwas erhöhten Zeitaufwand (Einarbeitung, JavaScript entwickeln, etc), das ich mir gerne sparen möchte (Kinder, Arbeit, Frau.. und was daraus resultiert). Am liebsten wäre mir einfach das konvertieren der Daten in ein gut dokumentiertes Dateiformat und -> RUN. Ideen oder schon mal gemacht? VG, Jan

Sollte jemand eine aktuelle "Kali" Version haben, lohnt sich auch ein Blick. Sie ist mit betroffen. Das ist vermutlich nur die spitze des Eisbergs..

Hallo, es wird dich vermutlich etwas enttäuschen, denn der Suchdienst war noch nie das gelbe vom Ei. In oder OWA ist er zumindest besser, als auf dem Client selbst. Hier die Möglichkeiten deine Suche etwas zu erweitern und präzisieren: Durchsuchen von E-Mails und Personen in Outlook im Web - Microsoft-Support

Hallo, ich habe lange gerungen hier zu Antworten. Wenn ich mir die anderen Kommentare ansehe, dann gehts anderen genauso Das sollte sich schnell zusammenfassen lassen. Unabhängig deiner Anfrage: Härten der Server u. Clients ist der richtige Weg Abhängig deiner Anfrage: EOL 2012 R2 war im Oktober 2023 - Windows Server 2012 R2 - Microsoft Lifecycle | Microsoft Learn Einen Server härten zu wollen, der keine Updates mehr bekommen macht keinen Sinn, denn der "Gewinn an Sicherheit" der erwartet wird, existiert nicht. Diese Zeit (& Geld) in die Migration zu einem aktuelleren Betriebssystem zu investieren ist IMHO für einen Dienstleister und Kunde ein wirklicher Gewinn. - Aus meiner eigenen Erfahrung lässt sich so gut wie alles umziehen auf eine neuere Plattform - Sollten unüberbrückbare Softwarehürden auftreten, empfiehlt es sich das System vom Rest zu isolieren, um einen echten Sicherheitsgewinn zu erreichen.

Hallo, ich kenne das Produkt schon länger. Es funktioniert wie es soll und zuverlässig. Regelmäßiges einspielen von Updates und die Kontrolle das Backups fallen aber nicht weg. Bei kleineren Workloads sollte auch die Community-Edition noch passen. Veeam Backup & Replication Community Edition – Dokumentation, Anleitungen und FAQ VG, Jan

Ganz pragmatisch würde ich dann die Übergabe an einen anderen Dienstleister planen, statt vor dem Support-Ende nochmal eine Schippe an Komplexibilität draufzupacken. Support wird er danach mehr denn jeh benötigen.

Hallo, ich meine mich erinnern zu können, dass MS bei den letzten Updates etwas an der Wiederherstellungspartition verändern/patchen möchte. Manche Installationen haben eine zu kleine Partition, weshalb nach einem Neustart dann doch die Installation fehlschlägt. Das sollte man über die Fehlermeldung herausbekommen. Dieses Verhalten kann ich bei meinen ~200 Servern (2012 R2 - 2022) nicht beobachten. Sollten vermehrt Probleme auftreten, gehen wir den Weg des geringsten und vorausschauenden Zeitaufwands.

Danke für die Rückmeldung. Dann schließe ich den Thread.

Ich kann mich erinnern, dass es das Problem schon mal vor nicht allzu entfernter Vergangenheit vorkam. Wir sehen den erhöhten RAM-Verbrauch. Bisher laufen die Systeme noch. Alternativ -> Reboot tut gut. # OOB-Updates sind verfügbar: (Microsoft Update-Katalog only!) Server 2022: 22. März 2024 – KB5037422 (BS-Build 20348.2342) Out-of-Band - Microsoft-Support Server 2019: n/a Server 2016: 22. März 2024 – KB5037423 (BS-Build 14393.6799) Out-of-Band - Microsoft-Support Server 2012 R2: 2024-03 Update für Windows Server 2012 R2 für x64-basierte Systeme (KB5037426) Info:

Das ist nicht nötig. Einfach so stehen lassen. Das ist doch ein tolles Ergebnis! Damit das nicht mehr passiert, sollte der DC sich gegen eine externe Zeitquelle synchronisieren. Sync-Kette: [Client] > holt Zeit > [DC] > holt Zeit > [Externe Quelle] Als externe Zeitquelle kannst du ntp.org nutzen. Schau mal hier: pool.ntp.org: Wie benutze ich den NTP Pool? Das kannst du auf deinem PDC ausführen. Das Ergebnis steht im Eventlog. w32tm /config /syncfromflags:manual /manualpeerlist:"0.pool.ntp.org 1.pool.ntp.org 2.pool.ntp.org 3.pool.ntp.org"

Hallo, die Zeit wird vom DC mit der Rolle des PDCs synchronisiert. Bei Problemen sollte überprüft werden, ob "Uhrzeit des Gastsystems mit dem Host synchronisieren" bei VMs aktiviert wurde. Hilfreich kann folgender Beitrag sein: Zeitsynchronisation der Domäne - w32time - Zeitserver per GPO https://www.gruppenrichtlinien.de/artikel/zeitsynchronisation-der-domaene-w32time-zeitserver-per-gpo

@raymccoy Wie ist denn der Stand der Dinge?

Mit Cloud wäre.... Ich kenne auch kein Dienstleister der mit dem Support bisher zufrieden war. Einer hat deswegen sogar sein Portfolio angepasst. Das Produkt an sich finde ich ok. Etwas mehr Pflege durch den Hersteller wäre wünschenswert.

Als einer der das Produkt auch im Einsatz hat, kann ich Norbert nur zustimmen. Hier eine Anleitung, wie man das laut Sophos konfiguriert: Sophos Firewall: Web Application Firewall for Exchange 2016 https://support.sophos.com/support/s/article/KB-000040209?language=en_US

Man schaue mal beim Hersteller in seiner Dokumentation nach... ;) Microsoft Oscdimg-Befehlszeilenoptionen https://learn.microsoft.com/de-de/windows-hardware/manufacture/desktop/oscdimg-command-line-options?view=windows-11

Diese Empfehlung habe ich auch schon gelesen. Oder es tatsächlich nur für den DC verwenden Oder Smartcard-Logon mit rolling NTLM. Das finde ich immer interessanter. Ich evaluiere gerade Karte oder Yubikey. Unschlüssig bin ich bzgl. dem Arbeitsaufwand beim Troubleshooting...

Vielleicht wird der Server-Core-Mode irgendwann auch mal eine "paid" Variante bei M365. Bei solchen Entwicklungen mit der Server-GUI wird er immer attraktiver

Die VMs liefen beide einfach mal so eine Weile weiter. Nun ist der Cluster nicht mehr existent. Fehler: Failed to register cluster name in the local user groups: incorrect function. Cluster entfernt, Cluster neu erstellt. Nun kann ich ihn ohne NTLM auch nicht wieder erstellen. Warum es erst bei mir anfangs ging, keine Ahnung. (vll kein gpupdate durchgeführt). Läuft er bei Dir noch?

Da wird mittlerweile auch "empfohlen" 3 Monate zu warten oder eine abgelaufene Domain abzugreifen ;)

Jetzt bin ich neugierig geworden. Ist zwar etwas am Thema vorbei, aber du als TO hasts ja in die Runde geschmissen

Nein. Gehen wir mal von einer "default" Installation ohne Änderungen (bspw. ICS) aus. Generell kann man empfehlen erstmal alle vorhanden eingehenden Firewallregeln zu entfernen. Damit würdest du zumindest die administrativen Möglichkeiten remote aus beiden Netzen auf den PC zuzugreifen unterbinden.

Wir deaktivieren User und schieben sie in eine andere OU. Die Berechtigungen bleiben bestehen, um im Falle von Missbrauch hier nochmal ansetzen zu können. In der Regel werden die Accounts bei uns nach 3-6 Monaten gelöscht. Witzig, das hatten wir auch. Auf (aktualisierte) Nachfrage beim Wirtschaftsprüfer stellt sich heraus, dass es sich nicht auf AD-User bezieht, sondern auf SAP User, die zugriff auf die Firmenfinanzen haben. Und selbst das bezieht sich nicht auf 10 Jahre, sondern auf die Zeit bis zur Prüfung. Also nach der Prüfung i.d.R. 1 Jahr, konnten die Accounts entfernt werden.