Het grote kleine-SysOps-vragen topic deel 1

Hmm, hier ook een leuk vaag issue.

1 gebruiker van de klant waarvan ik een tijdje terug naar 0365 gemigreerd heeft, wil zijn outlook niet configureren.
Op een andere pc en op de TS werkt het wel. Dus exchange config klopt.
Maar op zijn laptop werkt het niet..
Outlook moet "Online" zijn voordat hij verbinding moet maken en geeft een popup met ex-server en postvak.
Naam controleren valt in de zelfde foutmelding...
Nieuwe outlook profielen gemaakt
Office 2013 al eens opnieuw geinstalleerd.
referenties verwijderd.
regkeys verwijderd/aangepast.

Zal nog even het profiel verwijderen en opnieuw aanmaken op de pc.

Edit:
Nieuw Windows profiel > werkt ook niet
Mial onder een ander account op die laptop > werkt wel, maar niet onder zijn eigen (op die laptop.)

[ Voor 18% gewijzigd door Renegade666 op 13-08-2019 14:45 ]

Heb je toevallig laatste 1903 update daarop staan?
Die geeft precies dit soort problemen

@Dromer
Die staat er idd op.

Maar die heb ik zelf ook draaien en op meerdere plekken. Daar is ook geen probleem.

Genoeg problemen met 1903 en outlook/exchange.
Probeer eens deze regel in register toe te voegen.
[HKEY_CURRENT_USER\Software\Microsoft\Exchange]
"MapiHttpDisabled"=dword:00000001

@Dromer

Net geprobeerd, zelfde melding.

daarna nog een keer, dan gaat hij wel verder in de toevoegen van het account.
Daarna outlook herstarten, geeft hij weer aan dat hij niet kan aanmelden, moet online etc zijn


Het mooie is dan.
Pak ik de default Mail app.
Boem pats klaar...

[ Voor 13% gewijzigd door Renegade666 op 13-08-2019 15:00 ]

Das wel raar idd, op dit moment is die regkey bij ons de oplossing, jammer dat het aan jouw kant niet zo gaat.
outlook wel laatste updates ed.?

Jups.

Net even wat anders getest. Als ik de O365 pro plus (was mijn eigen lic even snel als test) er opzet, doet hij wel gelijk.
Dus ik zal deze nu weer verwijderen, en o2013 er weer opzetten en updaten. Kijk ik daar weer verder.

edit:

Nu alles geupdate en nu werkt het wel...
marja, lekker de middag gevult

[ Voor 24% gewijzigd door Renegade666 op 13-08-2019 17:06 ]

Korte vraag, ben bezig met de herinrichting van het (kleine) netwerk. Helaas moet ik het doen met instapswitches als de HP Procurve 1810-24G.

Ik heb een 'hoofdswitch' in de patchkast (links in onderstaand plaatje). Daar zitten al mijn clients aan en nu 1 switch in de serverkast. Ik heb wat 1810's over, dus zat te denken aan deze opzet, 2 1810's in mijn serverkast zodat ik daar redundancy krijg (rechts in onderstaand plaatje).



Aangezien ik de 1810's niet kan stacken vraag ik mij af of dit wel mogelijk is technisch.....

[ Voor 11% gewijzigd door Drardollan op 16-08-2019 11:51 ]

Zolang je maar Loop protection (https://support.hpe.com/h...play?docId=mmr_kc-0123718) configureert zou het theoretisch moeten werken. Zoals je tekening nu is heb je een loop te pakken en als je dat niet afvangt, heb je geen netwerk meer.

Hero of Time schreef op vrijdag 16 augustus 2019 @ 14:38:
Zolang je maar Loop protection (https://support.hpe.com/h...play?docId=mmr_kc-0123718) configureert zou het theoretisch moeten werken. Zoals je tekening nu is heb je een loop te pakken en als je dat niet afvangt, heb je geen netwerk meer.

Thanks, dat was mijn idee ook al. Dan maar eens duiken in de loop detectie van HP. Enkel recente ervaring met Cisco, elke term is natuurlijk weer anders

Equator schreef op vrijdag 16 augustus 2019 @ 14:42:
Als het je gaat om redundancy op je Servers (in de serverkast) dan is die extra trunk tussen deze switches toch niet nodig?

Die verlopen wel via de core switch. (je linker switch)

Express een loop introduceren om daarna met protocolle weer af te vangen is natuurlijk onzin.

Ik zit serieus net dit plaatje te Painten:



En wilde typen: dit lijkt mij dan toch een verstandigere situatie.

Ofwel: totally agree, thanks

Equator schreef op vrijdag 16 augustus 2019 @ 14:55:
Het enige probleem hiermee is dat je nog steeds een SPOF hebt, je 'core switch'

Dat is absoluut waar, een SPOF is niet de reden voor deze oplossing

Heb nu een 24 poorts server switch en daar moeten nog 8 netwerkkabels in. Aangezien ik nog maar 1 plekje heb wordt dat krap, of zoals we zouden kunnen stellen: onmogelijk

Deze switches zijn relatief nieuw, zijn betrouwbaar gebleken en voldoen aan de eisen (managed & 1Gbit). Kortom, het is of 2 switches van 24 poorten combineren of een nieuwe 48 poorts kopen. En nu ben ik absoluut niet tegen geld uitgeven, maar wel tegen geld weggooien. Dat geld stop ik liever in een afdelingsuitje

Volgende stap zou wel de SPOF weghalen zijn, maar dat is iets voor 2020.

[ Voor 0% gewijzigd door Equator op 16-08-2019 15:34 ]

Hier een vreemd iets.

Klant gebruikt een webportal van een bank.
Klant zit achter firewall van ons DC en heeft een eigen ex. IP adres in hun vlan.
Via IE gaat het goed, kan inloggen en overal bij. Neemt het juiste adres mee.
Via Chrome logt hij in via het hoofdadres van de firewall en vervolgens verder met hun eigen ip.
En dat mag natuurlijk niet.

Alleen de klant kan/mag helemaal niet met dat adres werken, dus we snappen niet helemaal hoe dat kan.
Iemand een idee?
Verder geen extensies etc in chrome.

Equator schreef op vrijdag 16 augustus 2019 @ 15:39:
[...]

Tja, als jij in de avond / weekend je onderhoud kan doen op die niet redundante switch, wie ben ik dan om te zeggen dat je er een tweede neer moet zetten

Ik zou wel het risico benoemen, een switch kan een keer uitvallen, en kan het bedrijf dan die dag tot week wachten voordat ze weer kunnen werken? Of heb je daar een alternatieve oplossing voor, dat kan natuurlijk ook

Ik moet altijd in de nacht en weekenden onderhoud doen
Uiteraard ligt daar iets voor klaar, ik heb nog een wat oudere switch liggen die ik direct kan inschuiven. Het is zelfs nog beter, die zit standaard in het rack onder de productie switch.

Maar, wat heb je bewerkt aan mijn reactie hiervoor en waarom is die ineens gelocked?

Drardollan schreef op vrijdag 16 augustus 2019 @ 15:49:
Maar, wat heb je bewerkt aan mijn reactie hiervoor en waarom is die ineens gelocked?

Renegade666 schreef op vrijdag 16 augustus 2019 @ 15:18:
Hier een vreemd iets.

Klant gebruikt een webportal van een bank.
Klant zit achter firewall van ons DC en heeft een eigen ex. IP adres in hun vlan.
Via IE gaat het goed, kan inloggen en overal bij. Neemt het juiste adres mee.
Via Chrome logt hij in via het hoofdadres van de firewall en vervolgens verder met hun eigen ip.
En dat mag natuurlijk niet.

Alleen de klant kan/mag helemaal niet met dat adres werken, dus we snappen niet helemaal hoe dat kan.
Iemand een idee?
Verder geen extensies etc in chrome.

Klinkt alsof er een (transparante of reverse) proxy tussen zit. Wat gebeurt er als je in Chrome de user agent naar IE veranderd?

@Ximon
Gaan we even testen. bedankt.

Edit:
Helaas, vertikt het nog steeds.

[ Voor 36% gewijzigd door Renegade666 op 20-08-2019 14:03 ]

Inderdaad een vreemd iets. Zou het kunnen dat de firewall regels bevat om bijvoorbeeld andere NAT-regels toe te passen op basis van gedetecteerde browser?

Ben bezig om data op een samba server te migreren naar een windows nas. Er staat webmin op die linux doos en zie daar ook netjes de samba shares op geconfigureerd staan. Zelfde info staat ook in de smb.comf. Nu is er echter ook een share aanwezig welke een alias is van 1 van de smb shares. Nu kan ik echt nergens vinden waar de instellingen/config van die alias/share in staat gesteld. Het is geen symbolic link of iets dergelijks. Staat niet in de smb.conf. Geen NFS export.

Iemand met linux kennis nog een idee?

Doos gaat uitgefaseerd worden dus in principe geen prio, maar ben toch wel erg benieuwd hoe dit in elkaar steekt.

Definieer 'alias'. Is het een andere naam voor dezelfde share, of is het het aanroepen van een locatie die wijst naar een punt op het file system dat iets anders doet? Mogelijk dus een DFS locatie.

Weet veel van Linux, maar Samba is toch een apart beestje.

Ik heb een gebruiker waar outlook gewoon random freezes voor 1 minuut of zo. Onderin geeft hij aan verbinding met autodiscover.x.

Andere gebruikers hebben geen problemen. Deze ook allemaal met PST als archief.

@kromme Outlook in online-mode? kijk eens hoeveel items in een folder staan, en hoeveel extra mailboxen de gebruiker heeft gekoppeld?

paulhekje schreef op vrijdag 23 augustus 2019 @ 08:18:
@kromme Outlook in online-mode? kijk eens hoeveel items in een folder staan, en hoeveel extra mailboxen de gebruiker heeft gekoppeld?

Hij heeft een 3 tal extra mailboxen waarvan 1 o365.

Volgens mij zijn er hier wel wat mensen met ADFS draaiend. Iets wat hier nu (uiteraard opkomend als kakken) ook speelt.

Over ADFS maak ik mij niet veel zorgen. Vroeg mij alleen af of jullie hem achter een firewall zetten met slechts toegang voor enkele IP adressen of gewoon open naar het 'hele' (minus Rusland en China) internet?

@Drardollan, momenteel heb ik alleen een gaatje in de firewall voor poort 443 staan richting de reverse proxy die naar ADFS intern doorverwijst. Eigenlijk zou hier de IP range van het O365 platform in moeten staan als toegestaan, maar dan krijg je problemen met mensen die OWA willen gebruiken buiten kantoor.

Je ontkomt er dus niet echt aan om 't voor de wereld open te hebben. Of je moet modern/passthrough authenticatie gaan gebruiken. Dan heb je in zekere zin nog steeds ADFS nodig (van wat ik heb begrepen/gelezen), maar is het beter af te schermen omdat de authenticatie aanvragen via het MS platform gaan en niet direct vanuit de client.

Indien je het hebt, kan je ook ADFS van Azure AD gebruiken. Dan hoef je het niet zelf intern te draaien met de firewall regels en alles er omheen.

Geen Azure hier. Maar dan moet poort 443 dus open naar die bak. Dat wordt puzzelen met IP adressen.

Thanks!

Dat is dus de reden waarom ik er een HAProxy bij heb staan, want onze VPN staat ook direct op de router/firewall. Poort 443 was in principe dus al in gebruik. HAProxy kijkt dan of de host-header adfs bevat en stuurt het naar de adfs, anders naar de firewall.

Lijkt mij handig om vergelijkbaar iets te doen bij jou. Of je kijkt puur naar de URL die benadert wordt, /adfs/ en /FederationMetadata/.

Ik maak volgens mij een n00b netwerk foutje.. situatie is als volgt.

Hyper-V Cluster..

4 nics. 2 netwerken. Netwerk1 = 192.168.10.x en Netwerk2 is 192.168.20.x (fictief).
Reden hiervoor is scheiding van cluster/live migratie (netwerk2) en de vswitch. (netwerk 1)

op de hosts heb ik Netwerk1 een gateway gegeven in 192.168.10.x maar 20.x heeft geen gateway.
want je wilt geen 2 gateways hebben in je server toch?

Nu kan ik vanaf een VM in netwerk1 niet pingen/zien dat het cluster ip online is.
Failover cluster manager ziet wel alles en vind het prima maar ICMP ping doet niks (FW is gechecked..)

Nu vind ik dat niet erg.. maar het is niet netjes daarnaast zegt VEEAM die ook virtueel draait ook van "huh ding is offline ik kan het cluster niet backuppen"

Nu denk ik dat ik een denkfout maak qua gateways en dat ik wel degelijk een gateway nodig heb maar ik zou niet inzien waarom omdat beide gateways naar dezelfde L3 switch gaan.

Hoe wil je zonder gateway van het 20-netwerk naar het 10-netwerk gaan? Als dat niet nodig is, dan is een gateway idd niet nodig. Moet je dat wel kunnen, omdat je vanaf/over het 20-netwerk bijvoorbeeld een backup maakt naar het 10-netwerk, dan is een gateway nodig.

@Hero of Time die kant ging ik ook op; echter blijf ik het raar vinden want alle vlans komen gewoon op die laag 3 switch uit. Dus het fysieke device achter 10.254 en 20.254 is hetzelfde apparaat.. maarjah dat maakt waarschijnlijk niks uit.

Dan is de andere vraag; hoe slim is het om 2 gateways op 2 verschillende NICs op 1 hypervisor te hebben? Want Windows geeft daar wel een waarschuwing over.

Oh en toen ik dat aan het testen was ging mn Live migratie verkeer opeens over mn vSwitch wat ook heel apart was want die stond niet aan als "deze mag je gebruiken voor live migratie" toen had ik dus beide nics allebei een gateway gegeven. 10.254 en 20.254

Documentatie-vraagje: ik heb nu voor een aantal projecten / inrichtingen / specifieke dingen bij klanten m'n documentatie geschreven in MarkDown en als Gist op GitHub gezet zodat ik het kon delen met specifieke collega's. Dat bevalt me eigenlijk wel: makkelijk schrijven (ik gebruik MarkDown ook voor bijvoorbeeld het schrijven van blogposts, voor readme-files bij scripts die ik op GitHub plaats, etc.), versioning/source control (want gewoon gehost op GitHub) en makkelijk te lezen.
Ik zoek nu dus eigenlijk een systeem waarmee ik zoiets makkelijk kan opzetten voor meer documentatie, het liefst buiten GitHub (want lang niet iedereen binnen onze organisatie heeft een GitHub account en als je fatsoenlijk rechten wilt gaan beheren dan ga je al snel naar GitHub Entrprise voor $$). Een intern hosted ding of een SaaS-oplossing is prima, wel het liefst met mogelijkheid om authenticatie te koppelen aan Azure AD zodat we ook makkelijk kunnen provisionen (documentatie beschikbaar voor gebruikers uit groep X en Y, maar niet uit Z). Het zou een mooie added bonus zijn als het ding op basis van de headers in de markdown zelf een soort table of contents maakt, maar dat is meer nice to have.
Kent iemand een dergelijk systeem?

Grvy schreef op maandag 26 augustus 2019 @ 21:58:
@Hero of Time die kant ging ik ook op; echter blijf ik het raar vinden want alle vlans komen gewoon op die laag 3 switch uit. Dus het fysieke device achter 10.254 en 20.254 is hetzelfde apparaat.. maarjah dat maakt waarschijnlijk niks uit.

Het maakt wel degelijk uit. Als je geen gateway hebt, en er is verkeer dat voor buiten het subnet is, kan het nergens heen gestuurd worden om alsnog aan te komen. Als je geen internet-facing mailserver hebt, hoe wil je dan buiten je eigen domein kunnen mailen? Zelfde idee. Door een gateway op te geven zeg je 'stuur hier alles heen wat niet in je eigen netwerk zit, laat die het maar uitzoeken'. De gateway raadpleegt dan z'n eigen routingtabel om zo te achterhalen waar het heen moet. Komt het niet voor in z'n tabel, dan gaat het naar z'n eigen default gateway die het dan uit moet zoeken.

Basiskennis netwerken.

Dan is de andere vraag; hoe slim is het om 2 gateways op 2 verschillende NICs op 1 hypervisor te hebben? Want Windows geeft daar wel een waarschuwing over.

Die zeikt overal over. Gewoon negeren. Je moet wel bij de verschillende gateways de routering goed hebben. Als het 10-netwerk bijvoorbeeld veel verder mag dan het 20-netwerk, dan moet dit wel opgegeven worden. Een router kan zulke regels aan, maar een L3 switch is niet zo uitgebreid als een router. Je zal in zo'n geval het op de client zelf moeten regelen, door routes toe te voegen. Waarbij je aangeeft dat een specifiek netwerk via een bepaalde gateway moet, maar het niet als default gebruikt moet worden.

Oh en toen ik dat aan het testen was ging mn Live migratie verkeer opeens over mn vSwitch wat ook heel apart was want die stond niet aan als "deze mag je gebruiken voor live migratie" toen had ik dus beide nics allebei een gateway gegeven. 10.254 en 20.254

Was het verkeer alleen over die vSwitch, of ook over die switch? Kan namelijk zijn dat het probeert te port-channelen voor meer bandbreedte, maar ik heb geen idee of Hyper-V zo 'slim' is.


@ralpje, klinkt als iets dat je met een Wiki doet, zoals Dokuwiki of Mediawiki.

Hero of Time schreef op maandag 26 augustus 2019 @ 22:22:
[...]


Basiskennis netwerken.

Ik zei niet voor niks n00b vraagje, met jouw uitleg klinkt het allemaal logisch. Thanks voor de verheldering. Was gewoon even met mn hoofd in de war; alhoewel ik het gateway verhaal natuurlijk wel ken.

Hero of Time schreef op maandag 26 augustus 2019 @ 22:22:
...
Die zeikt overal over. Gewoon negeren. Je moet wel bij de verschillende gateways de routering goed hebben...

Denk dat de verwarring bij @Grvy zit bij de default gateway; 't is niet praktisch om er daarvan twee op één systeem te hebben. Dus bij hosts die zowel een nic in 192.168.10.0/24 hebben als een nic in 192.168.20.0/24, zet je maar één default gateway. Bij hosts die alleen een nic in 192.168.20.0/24 hebben, zet je de default gateway naar de router die met het 192.168.10.0/24 netwerk verbindt

Bij ons zijn er opeens meerdere SCOM gateways greyed out, iemand die me daarmee kan helpen?

Hero of Time schreef op vrijdag 23 augustus 2019 @ 17:00:
Dat is dus de reden waarom ik er een HAProxy bij heb staan, want onze VPN staat ook direct op de router/firewall. Poort 443 was in principe dus al in gebruik. HAProxy kijkt dan of de host-header adfs bevat en stuurt het naar de adfs, anders naar de firewall.

Lijkt mij handig om vergelijkbaar iets te doen bij jou. Of je kijkt puur naar de URL die benadert wordt, /adfs/ en /FederationMetadata/.

Gewoon even schuiven, heb een XS4ALL lijn hier met 8 adressen dus moet wel lukken. En anders inderdaad een proxy ervoor gooien.

Equator schreef op dinsdag 27 augustus 2019 @ 10:49:
[...]

Client Authentication Certificates verlopen?

Nee certificaten waren niet verlopen.

Dank, heb het denk ik opgelost, ga het nog een dagje aankijken.
Certificaat opnieuw geimporteerd met MomCertImport en toen ging het weer lopen.

[ Voor 20% gewijzigd door Turdie op 27-08-2019 22:41 ]

Even iets zeker weten zodat ik geen denkfout maak.

Waar in AD zet je het beste groepen neer tov GPOs die je toepast voor gebruikers? En waar zet je die dan op, de OU waar gebruikers zitten, of de groepen in staan? Of juist bovenliggend om beide te dekken? Aangezien GPOs worden toegepast nav groepen, maar de gebruiker zelf deze GPO ook moet kunnen lezen.

Iets als dit werkt volgens mij niet:

Waar bij 'afdeling1' de GPO staat die voor de groep moet gelden waar de gebruikers in zitten. De GPO zou dan niet worden toegepast, want de groep kan 'm niet 'lezen' omdat het niet bij die OU zit.
Anderszins werkt het wel, want de gebruiker kan 'm lezen en toepassen vanwege lidmaatschap van de groep waar het op toegepast moet worden.

Het is al weer even geleden dat ik hier mee heb gespeeld en de huidige opzet staan gebruikers naast de groep waar ze lid van zijn en staan de GPOs op de bovenliggende OU waar alles onder valt.

Hero of Time schreef op donderdag 5 september 2019 @ 15:52:
Even iets zeker weten zodat ik geen denkfout maak.

Waar in AD zet je het beste groepen neer tov GPOs die je toepast voor gebruikers? En waar zet je die dan op, de OU waar gebruikers zitten, of de groepen in staan? Of juist bovenliggend om beide te dekken? Aangezien GPOs worden toegepast nav groepen, maar de gebruiker zelf deze GPO ook moet kunnen lezen.

Iets als dit werkt volgens mij niet:

- gebruikers
  - afdeling1
  - afdeling2
- groepen

Waar bij 'afdeling1' de GPO staat die voor de groep moet gelden waar de gebruikers in zitten. De GPO zou dan niet worden toegepast, want de groep kan 'm niet 'lezen' omdat het niet bij die OU zit.
Anderszins werkt het wel, want de gebruiker kan 'm lezen en toepassen vanwege lidmaatschap van de groep waar het op toegepast moet worden.

Het is al weer even geleden dat ik hier mee heb gespeeld en de huidige opzet staan gebruikers naast de groep waar ze lid van zijn en staan de GPOs op de bovenliggende OU waar alles onder valt.

Wij zetten de groepen in aparte OU's neer. Gebruikers komen dan weer in een andere OU. Onze GPO's passen we dan toe op deze betreffende OU's. Zo ook voor onze devices.

Om een onderscheid te houden in de GPO's, gebruiken we ook een specifieke naamgeving voor de GPO's:

UC_<naam gpo> voor User based GPO's
CC_<naam gpo> voor Device based GPO's

Nu hebben wij ook GPO's die alleen maar voor een specifieke groep users uitgevoerd moet worden. Hiervoor gebruiken we dan de Item-level targeting optie voor om een specifieke groep te definiëren.

Waar bij 'afdeling1' de GPO staat die voor de groep moet gelden waar de gebruikers in zitten. De GPO zou dan niet worden toegepast, want de groep kan 'm niet 'lezen' omdat het niet bij die OU zit.
Anderszins werkt het wel, want de gebruiker kan 'm lezen en toepassen vanwege lidmaatschap van de groep waar het op toegepast moet worden.

Volgens mij kun je dit dus oplossen met Item-level targeting. Ervan uitgaande dat "afdeling1" een groep binnen je AD is. In dit geval plaats je dus de GPO's op het GEBRUIKERS niveau en finetune je dit door "the user is a member of the security groep "afdeling1"" in het Item-level gedeelte van je GPO.

Gebruikers in de groep AFDELING2 krijgen deze GPO dan niet toegepast omdat ze geen lid van AFDELING1 zijn.

Enne.. kleine tip: zet, als je een USER policy definieert ook zeker het vinkje "Run in logged-on user's security contact (user policy option)" aan.

[ Voor 21% gewijzigd door nextware op 05-09-2019 16:40 ]

Ok, dus vanuit de GPO gezien maakt het niet uit waar de groep zich in het domein bevind. Dat wilde ik even zeker weten.

Ik ga zeker GPOs specifiek targetten, dus een roque gebruiker in afdeling1 OU die geen lid is van die groep, zal de GPO niet toegepast krijgen. Met uiteraard heel goed letten op de security context van de GPO zodat authenticated users altijd leesrechten heeft.

Je voorbeeld voor een prefix van de GPO naam is wel een hele goede. Ik wilde toch al gebruikersspecifieke GPOs op alleen de gebruiker OUs linken en computerspecifieke GPOs op de machine OU, met onderscheid tussen gewone servers, de RDSen (zet ik denk ik in een onderliggende OU van servers) en werkplekken en laptops (ook deze onderliggend, voor bijvoorbeeld wifi settings pushen).

We hebben nu zeker een policy met loopback processing, maar dat wil je eigenlijk zo veel mogelijk vermeiden als ik 't goed begreep. Ik heb wat tegenstrijdige dingen er eens van gelezen hoe het wordt toegepast. Bij de ene site werd er beweert dat het alleen voor dat specifieke GPO geldt, bij een ander zou het een globale setting zijn en als de GPO met die setting toegepast moet worden, alle GPOs zo wordt uitgevoerd. Dat laatste lijkt mij onhandig en onwaarschijnlijk.

Gpos zijn zo dat je het kiss principe aan moet houden. Hoe meer gpos hoe trager. Hoe meer group targetting hoe trager. No override etc zo min mogelijk gebruiken en de dingen een duidelijke naam geven en het daarin regelen. De default domain policy met rust laten.

Nou, als ik de default domain policy met rust laat, krijg ik aardig wat mensen op m'n dak omdat ze dan opeens elke 6 weken hun wachtwoord moeten wijzigen, ipv nu elke 6 maanden. Maar dat zal de enige wijziging zijn daarin.

Op m'n vorige werk waren er aardig wat groepen en policies en het inloggen daar viel an sich nog mee. Ik had hele horror scenario's verwacht dat het 10 minuten zou duren, maar dat was het echt niet.

Het kan bij ons wel sneller, maar om nou te zeggen dat je een enorm verschil merkt tussen m'n normale gebruiker inloggen op de RDS vs m'n admin account, die veel minder policies krijgt, op diezelfde RDS omgeving, nee, dat niet. Ik ben ook niet zo heel bang voor traagheid door 'te veel' GPOs.

Maar je ontkomt er eigenlijk niet aan als je nog overzicht wilt houden. Je gooit liever niet 10 verschillende settings zoals shares, printers, desktop shortcuts, folder redirection e.d. in een enkele GPO. Dat deel je op.

kromme schreef op woensdag 21 augustus 2019 @ 22:14:
Ik heb een gebruiker waar outlook gewoon random freezes voor 1 minuut of zo. Onderin geeft hij aan verbinding met autodiscover.x.

Andere gebruikers hebben geen problemen. Deze ook allemaal met PST als archief.

Misschien corrupte ost? Even scanost.exe over de OST heen draaien? Staat gewon in de Office 2013/2016 Installatiedirectory

Waarom zou je een OST willen repareren? Is weggooien en opnieuw aanmaken niet sneller?

Oogje schreef op vrijdag 6 september 2019 @ 05:56:
Waarom zou je een OST willen repareren? Is weggooien en opnieuw aanmaken niet sneller?

Dat kan hinderlijk zijn voor de eindgebruiker, dan geeft Outlook een melding dat die mailboxdata gaat ophalen.

shadowman12 schreef op vrijdag 6 september 2019 @ 08:05:
[...]


Dat kan hinderlijk zijn voor de eindgebruiker, dan geeft Outlook een melding dat die mailboxdata gaat ophalen.

Met de huidige snelheden duurt dat vaak maar een paar minuten. Als een gebruiker daar al niet op kan wachten..

shadowman12 schreef op vrijdag 6 september 2019 @ 08:05:
[...]


Dat kan hinderlijk zijn voor de eindgebruiker, dan geeft Outlook een melding dat die mailboxdata gaat ophalen.

Dat is niet het ergste, maar stel dat de gebruiker heel veel mailt, alles bewaart en een lokaal cache wil van het laatste jaar.....

asing schreef op vrijdag 6 september 2019 @ 08:37:
[...]


Dat is niet het ergste, maar stel dat de gebruiker heel veel mailt, alles bewaart en een lokaal cache wil van het laatste jaar.....

Dan wacht de gebruiker wat langer tot zijn / haar mailbox weer is gevuld. Vorige week heb ik bovenstaand ook mogen uitvoeren op een mailbox van 25+ GB. Duurde iets van 10 minuten alvorens de gehele mailbox weer volledig beschikbaar was. Ik adviseer ze altijd de laptop maar even weg te zetten en een bakje koffie te gaan halen.

nextware schreef op vrijdag 6 september 2019 @ 08:41:
[...]


Dan wacht de gebruiker wat langer tot zijn / haar mailbox weer is gevuld. Vorige week heb ik bovenstaand ook mogen uitvoeren op een mailbox van 25+ GB. Duurde iets van 10 minuten alvorens de gehele mailbox weer volledig beschikbaar was. Ik adviseer ze altijd de laptop maar even weg te zetten en een bakje koffie te gaan halen.

Jij hebt een lekkere pijp naar internet, die heeft niet iedereen .

Wij gooien ook altijd het OST gewoon weg.
De nieuwe sync start toch met de recentste items eerst dus is het meestal niet zo'n groot probleem voor de user ook al duurt de volledige sync wat langer. Dan kan die alleszins direct verder in Outlook zonder te moeten wachten op een repair.

shadowman12 schreef op vrijdag 6 september 2019 @ 08:05:
[...]


Dat kan hinderlijk zijn voor de eindgebruiker, dan geeft Outlook een melding dat die mailboxdata gaat ophalen.

Eindgebruikers zijn ook hinderlijk voor mij

Caching staat niet aan als ik me goed herinner.(iets met vakantie nu)

asing schreef op vrijdag 6 september 2019 @ 08:37:
[...]


Dat is niet het ergste, maar stel dat de gebruiker heel veel mailt, alles bewaart en een lokaal cache wil van het laatste jaar.....

Archivering policies instellen helpt daar tegen

Mantis schreef op woensdag 18 september 2019 @ 11:42:
Ik word hier echt gek van een connectie probleem naar Sharepoint Online.
Op een gegeven moment zijn onze Sharepoint/Onedrive sites niet meer bereikbaar voor een random user.
De login.microsoftonline.com pagina waar je naar verwezen wordt en je inlogt via oauth, reageert gewoon niet.
Huidig gevonden work-around: ipconfig /release /renew en alles werkt weer. Hoewel je dus gewoon hetzelfde IP en netwerkinstellingen terug krijgt

Niet toevallig een firewall die uit zijn sessies loopt?

Hero of Time schreef op donderdag 5 september 2019 @ 18:52:
Ok, dus vanuit de GPO gezien maakt het niet uit waar de groep zich in het domein bevind. Dat wilde ik even zeker weten.

Ik ga zeker GPOs specifiek targetten, dus een roque gebruiker in afdeling1 OU die geen lid is van die groep, zal de GPO niet toegepast krijgen. Met uiteraard heel goed letten op de security context van de GPO zodat authenticated users altijd leesrechten heeft.

Je voorbeeld voor een prefix van de GPO naam is wel een hele goede. Ik wilde toch al gebruikersspecifieke GPOs op alleen de gebruiker OUs linken en computerspecifieke GPOs op de machine OU, met onderscheid tussen gewone servers, de RDSen (zet ik denk ik in een onderliggende OU van servers) en werkplekken en laptops (ook deze onderliggend, voor bijvoorbeeld wifi settings pushen).

We hebben nu zeker een policy met loopback processing, maar dat wil je eigenlijk zo veel mogelijk vermeiden als ik 't goed begreep. Ik heb wat tegenstrijdige dingen er eens van gelezen hoe het wordt toegepast. Bij de ene site werd er beweert dat het alleen voor dat specifieke GPO geldt, bij een ander zou het een globale setting zijn en als de GPO met die setting toegepast moet worden, alle GPOs zo wordt uitgevoerd. Dat laatste lijkt mij onhandig en onwaarschijnlijk.

Ik zou niet security groep filtering op GPO's gaan werken, dat kan trage logons veroorzaken. Gewoon een OU met gebruikers erin en daar de GPO erop, en ook voor devices zo, een OU met de devices en daar de computer gpo op

Hero of Time schreef op donderdag 5 september 2019 @ 21:19:
Nou, als ik de default domain policy met rust laat, krijg ik aardig wat mensen op m'n dak omdat ze dan opeens elke 6 weken hun wachtwoord moeten wijzigen, ipv nu elke 6 maanden. Maar dat zal de enige wijziging zijn daarin.

Op m'n vorige werk waren er aardig wat groepen en policies en het inloggen daar viel an sich nog mee. Ik had hele horror scenario's verwacht dat het 10 minuten zou duren, maar dat was het echt niet.

Het kan bij ons wel sneller, maar om nou te zeggen dat je een enorm verschil merkt tussen m'n normale gebruiker inloggen op de RDS vs m'n admin account, die veel minder policies krijgt, op diezelfde RDS omgeving, nee, dat niet. Ik ben ook niet zo heel bang voor traagheid door 'te veel' GPOs.

Maar je ontkomt er eigenlijk niet aan als je nog overzicht wilt houden. Je gooit liever niet 10 verschillende settings zoals shares, printers, desktop shortcuts, folder redirection e.d. in een enkele GPO. Dat deel je op.

Uh.. je blijft van de default domain policy af. Dit doe je gewoon in een password policy. Wat betreft de rest is het anno 2019 geen issue meer ja, ten tijden van XP wel.

GPO zijn makkelijk, mensen maken ze moeilijk door rare structuren etc.

Zo ben ik afgelopen maanden meerdere AD structuren tegengekomen waar mensen van alles en nog wat gingen "enforceren" niet begrepen wat loopback processing precies deed of of waar men gewoon alles in "GPO POLICY" dumpte.. niet fijn.

[ Voor 8% gewijzigd door Grvy op 18-09-2019 18:13 ]

Grvy schreef op woensdag 18 september 2019 @ 18:12:
[...]


Uh.. je blijft van de default domain policy af. Dit doe je gewoon in een password policy. Wat betreft de rest is het anno 2019 geen issue meer ja, ten tijden van XP wel.

GPO zijn makkelijk, mensen maken ze moeilijk door rare structuren etc.

Zo ben ik afgelopen maanden meerdere AD structuren tegengekomen waar mensen van alles en nog wat gingen "enforceren" niet begrepen wat loopback processing precies deed of of waar men gewoon alles in "GPO POLICY" dumpte.. niet fijn.

Probeer een hele grote AD met 10.000 gebruikers en rare business wensen maar is een makkelijk te maken. Succes , dan wordt het al snel heel complex. Gelukkig kom ik met rsop.msc en gpresult /v een heel eind

[ Voor 3% gewijzigd door Turdie op 18-09-2019 18:39 ]

shadowman12 schreef op woensdag 18 september 2019 @ 18:38:
[...]


Probeer een hele grote AD met 10.000 gebruikers en rare business wensen maar is een makkelijk te maken. Succes , dan wordt het al snel heel complex. Gelukkig kom ik met rsop.msc en gpresult /v een heel eind

Easy als je weet wat je aan het doen bent. Hoe groter, hoe makkelijker zelfs.

shadowman12 schreef op woensdag 18 september 2019 @ 18:09:
[...]

Ik zou niet security groep filtering op GPO's gaan werken, dat kan trage logons veroorzaken. Gewoon een OU met gebruikers erin en daar de GPO erop, en ook voor devices zo, een OU met de devices en daar de computer gpo op

Mijn plan was om afdelingspecifieke dingen zoals een netwerkschijf zonder groep te doen, maar iets als een printer toch echt wel. Want het is voor mij erg handig als ik ook de printers van het magazijn heb, maar m'n collega's hoeven die niet te hebben. Sommige dingen moet je nou eenmaal via group filtering doen.

Computers/servers had ik zeker geen plan voor om dat apart te gaan filteren. Er komt een main OU waar er drie onder komen: servers, werkplekken en daar onder laptops zodat werkplekken ook wordt toegepast.

Grvy schreef op woensdag 18 september 2019 @ 18:12:
[...]

Uh.. je blijft van de default domain policy af. Dit doe je gewoon in een password policy. Wat betreft de rest is het anno 2019 geen issue meer ja, ten tijden van XP wel.

Toen ik hier kwam was de default domain policy niet meer gekoppeld. Wil je zeggen dat ik dat bij m'n nieuwe AD ook moet doen, het hele GPO gewoon unlinken? Want de password settings in de default domain policy zijn nog steeds niet wat wij hanteren. En wachtwoordbeleid zet je op het hoogste niveau in het domein, daar waar de default domain policy ook al staat. Die dus ook al een password policy heeft. Als je er zelf eentje naast gaat zetten, hoe kan je dan garanderen dat er geen gezeik van komt?

* Hero of Time kijkt morgen nog even naar z'n testlab wat daar in de domain policy standaard is ingesteld voor de zekerheid.

Hero of Time schreef op woensdag 18 september 2019 @ 20:02:
[...]

Mijn plan was om afdelingspecifieke dingen zoals een netwerkschijf zonder groep te doen, maar iets als een printer toch echt wel. Want het is voor mij erg handig als ik ook de printers van het magazijn heb, maar m'n collega's hoeven die niet te hebben. Sommige dingen moet je nou eenmaal via group filtering doen.

Computers/servers had ik zeker geen plan voor om dat apart te gaan filteren. Er komt een main OU waar er drie onder komen: servers, werkplekken en daar onder laptops zodat werkplekken ook wordt toegepast.


[...]

Toen ik hier kwam was de default domain policy niet meer gekoppeld. Wil je zeggen dat ik dat bij m'n nieuwe AD ook moet doen, het hele GPO gewoon unlinken? Want de password settings in de default domain policy zijn nog steeds niet wat wij hanteren. En wachtwoordbeleid zet je op het hoogste niveau in het domein, daar waar de default domain policy ook al staat. Die dus ook al een password policy heeft. Als je er zelf eentje naast gaat zetten, hoe kan je dan garanderen dat er geen gezeik van komt?

* Hero of Time kijkt morgen nog even naar z'n testlab wat daar in de domain policy standaard is ingesteld voor de zekerheid.

Nee, je blijft ervanaf dat betekent dus ook niet unlinken. Wat betreft je policy stel je dit niet in via GPO maar via:

https://www.petri.com/con...-windows-server-2012-adac

Wat veel meer controle geeft. Die default laat je dus default en je stelt FGPP in.

Grvy schreef op donderdag 19 september 2019 @ 00:05:
[...]

Nee, je blijft ervanaf dat betekent dus ook niet unlinken. Wat betreft je policy stel je dit niet in via GPO maar via:

https://www.petri.com/con...-windows-server-2012-adac

Wat veel meer controle geeft. Die default laat je dus default en je stelt FGPP in.

Ik zie in het screenshot bij dat artikel exact dezelfde opties als in de GPO. Hoe 'fine grained' is het dan? Hij legt ook niet uit hoe het de default domain policy overruled. Zolang ik daar geen antwoord op heb, ga ik geen andere methode gebruiken. Want ik zie het namelijk al gebeuren dat er een of andere update komt en de boel naar de klote helpt met wisselende policies.

Men is daar eerder al eens door gebeten, ik wil dat zelf niet meemaken.

@Hero of Time ik zou zeggen verdiep je eerst eens erin ipv gelijk afbijten.

Kan best, maar je begint met mij bijna te slaan als ik ook maar in de buurt van de default domain GPO kom. Kom dan met fatsoenlijke argumenten en antwoorden op m'n vragen ipv linken naar een artikel dat niet eens de helft behandeld.

Nu doe je niets anders dan "x is beter, ga zelf maar uitzoeken waarom".

Hero of Time schreef op donderdag 19 september 2019 @ 09:43:
Kan best, maar je begint met mij bijna te slaan als ik ook maar in de buurt van de default domain GPO kom. Kom dan met fatsoenlijke argumenten en antwoorden op m'n vragen ipv linken naar een artikel dat niet eens de helft behandeld.

Nu doe je niets anders dan "x is beter, ga zelf maar uitzoeken waarom".

De Default Domain Policy kun je best aanpassen, ik ken organisaties die daarin hun password policy zetten. Ik ben het dus ook niet eens met @Grvy, hangt van je design af.

The best practice recommendation from Microsoft is as follows:


To accommodate APIs from previous versions of the operating system that make changes directly to default GPOs, changes to the following security policy settings must be made directly in the Default Domain Policy GPO or in the Default Domain Controllers Policy GPO:
· Default Domain Security Policy Settings:
o Password Policy
o Domain Account Lockout Policy
o Domain Kerberos Policy
· Default Domain Controller Security Policy Settings:
o User Rights Assignment Policy
o Audit Policy
Source: Best Practice Guide for Securing Active Directory Installations (https://technet.microsoft...ry/cc773164(v=ws.10).aspx)

[ Voor 37% gewijzigd door Turdie op 19-09-2019 09:50 ]

@shadowman12 @Hero of Time ik heb net even zelf ook zitten googlen en de best practice is inderdaad veranderd. (of ik heb deze verkeerd onthouden).

Reden van het feit dat ik zo 'vast' zei dat je de default domain policy niet aanpast is omdat men de neiging heeft om alles maar in default domain policy te gaan dumpen. Dat is mijn inziens fout.

Iig na mijn eigen onderzoek kom ik erachter dat ik fout zat en de password policy wel in default domain policy mag (en die andere).

Excuus @Hero of Time

Hero of Time schreef op woensdag 18 september 2019 @ 20:02:
[...]

Mijn plan was om afdelingspecifieke dingen zoals een netwerkschijf zonder groep te doen, maar iets als een printer toch echt wel. Want het is voor mij erg handig als ik ook de printers van het magazijn heb, maar m'n collega's hoeven die niet te hebben. Sommige dingen moet je nou eenmaal via group filtering doen.

Dat zou ik niet zozeer via group filtering (security) op de GPO doen, als wel via item level targetting in de GPO.

ralpje schreef op donderdag 19 september 2019 @ 11:30:
[...]

Dat zou ik niet zozeer via group filtering (security) op de GPO doen, als wel via item level targetting in de GPO.

Dan moet je telkens de GPO openen om de/een printer toe te kennen of weg te halen bij een gebruiker. Lidmaatschap van een groep is sneller geregeld. Niet iedereen in een bepaalde OU moet de betreffende setting krijgen.

Printers was maar een voorbeeld en met GPP kan je item level targetting toepassen, maar met Deployed Printers? Andere settings?

Item level targeting is veel te beperkt en niet universeel toepasbaar.

Waarom? Item level targetting kun je ook gewoon op een groep doen hoor. Gebruiker heeft een printer nodig? In de juiste groep gooien. Klaar.
Eén GPO met al je printers (gewoon op je users OU) en vervolgens binnen die GPO de printers definiëren met ILT per printer op de bijbehorende group.

Maar dan heb je 't over printer connections via GPP. Ik ga printers via de Print Manager (en dus Deployed Printers) uitrollen. Daar is geen ILT. Daarom: ILT is geen universele oplossing. Dan ga ik daar ook geen moeite doen. Liever universeel regelen.

En waar hebben we het over? Een paar honderd milliseconden? Hooguit 2 seconden langer bezig met inloggen? Er worden geen honderden policies en groepen waardoor je mogelijk tegen een uur inlogtijd aan zit te kijken.

Heeft iemand al eens iets met het volgende gedaan?

Ik ben bezig met een stukje radius inrichting waarbij ik aan de hand van groepen gebruikers in het juiste VLAN laat uitkomen via de wifi verbinding. Gebruikers die niet in het MDM platform of domein zitten moeten inloggen met hun gebruikersnaam en wachtwoord.

Domein computers (laptops) kunnen automatisch verbinden omdat ze en lid zijn van het domein en een certificaat hebben ontvangen via de CA.

Nu wil ik de telefoons die in MDM hangen een certificaat geven en aan de hand van hun username en certificaat laten authentiseren. Certificaat op de telefoon krijgen is de uitdaging niet via MDM, ik zit alleen met wat en welk certificaat ga ik op de telefoons zetten. De telefoons hebben geen connectie met de CA waardoor ze geen uniek certificaat toegekend krijgen, het moet dus 1 algemeen certificaat voor alle gebruikers zijn.

Nu ben ik niet zo thuis in het certificaat gedeelte dus ik zoek nog hoe ik dit het beste kan aanpakken en of dit security technisch wel slim is.

Security technisch is het dom. Met 1 certificaat kom je binnen, je hebt geen enkele mogelijkheid om een bepaald device of gebruiker van je netwerk te schoppen zonder alle gebruikers eraf te gooien. Want je kan dat alleen door het certificaat te revoken. Handig, met 1 certificaat op 100+ devices.

Verder moet je kijken naar het type certificaat. Want je kent de standaard SSL certificaten voor websites om verkeer tussen client en server te versleutelen. Nu moet je certificaten gaan gebruiken om te authenticeren. Dat werkt net iets anders (waar ik zelf ook nog in moet duiken).

IMO als je geen persoonlijke certificaten kan gebruiken en in plaats daarvan maar een algemeen certificaat neemt, kan je net zo goed jezelf de tijd en moeite besparen om het hele zooitje in te richten.

mswp schreef op dinsdag 24 september 2019 @ 18:10:
Heeft iemand al eens iets met het volgende gedaan?

Ik ben bezig met een stukje radius inrichting waarbij ik aan de hand van groepen gebruikers in het juiste VLAN laat uitkomen via de wifi verbinding. Gebruikers die niet in het MDM platform of domein zitten moeten inloggen met hun gebruikersnaam en wachtwoord.

Domein computers (laptops) kunnen automatisch verbinden omdat ze en lid zijn van het domein en een certificaat hebben ontvangen via de CA.

Nu wil ik de telefoons die in MDM hangen een certificaat geven en aan de hand van hun username en certificaat laten authentiseren. Certificaat op de telefoon krijgen is de uitdaging niet via MDM, ik zit alleen met wat en welk certificaat ga ik op de telefoons zetten. De telefoons hebben geen connectie met de CA waardoor ze geen uniek certificaat toegekend krijgen, het moet dus 1 algemeen certificaat voor alle gebruikers zijn.

Nu ben ik niet zo thuis in het certificaat gedeelte dus ik zoek nog hoe ik dit het beste kan aanpakken en of dit security technisch wel slim is.

Welke mdm oplossing heb je? Als je Citrix XenMobile gebruikt kan ik je wel helpen om cba in te richten.

Hero of Time schreef op dinsdag 24 september 2019 @ 20:10:
Security technisch is het dom. Met 1 certificaat kom je binnen, je hebt geen enkele mogelijkheid om een bepaald device of gebruiker van je netwerk te schoppen zonder alle gebruikers eraf te gooien. Want je kan dat alleen door het certificaat te revoken. Handig, met 1 certificaat op 100+ devices.

Verder moet je kijken naar het type certificaat. Want je kent de standaard SSL certificaten voor websites om verkeer tussen client en server te versleutelen. Nu moet je certificaten gaan gebruiken om te authenticeren. Dat werkt net iets anders (waar ik zelf ook nog in moet duiken).

IMO als je geen persoonlijke certificaten kan gebruiken en in plaats daarvan maar een algemeen certificaat neemt, kan je net zo goed jezelf de tijd en moeite besparen om het hele zooitje in te richten.

Om iemand geen toegang mee te geven disable ik het account. Oke.. nu ik dit zo typ zie ik het ook. Een gestolen/kwijt geraakt toestel kan je niet buitensluiten. Je kan via mdm wel het apparaat op afstand wissen mits aan internet vetbonden maar is dus ook geen 100% garantie..

Ik ga eens kijken of er via de mdm oplossing niet een andere methode is. Ik wil het de gebruikers zo makkelijk mogelijk maken. Het liefst zonder omkijken na.

@Tylen
Wij maken gebruik van AirWatch.

Een fatsoenlijke mdm heeft toch een portal(website) achtige oplossing waarbij een gebruiker zijn eigen certificaat kan installeren? Kijk is naar Intune of MobileIron hoe die dat doen.

Ik denk dat je je even wat meer moet verdiepen in airwatch want 5 seconden Googlen en toen vond ik al dat certificaat uitgifte naar eind gebruikers automatisch gaat:
https://www.air-watch.com...Vaw0-7Xr0Et2-_kS4XVItU02T

[ Voor 71% gewijzigd door Turdie op 25-09-2019 00:28 ]

Wij hebben Windows 10 laptops die de lokale user profiel terugzetten naar een nieuwe lege profiel of als er een .old was, naar die versie. Ik heb een vermoeden dat die gebeurt als ze remote via VPN verbinden, maar we hebben echt geen idee waar dat vandaan komt. Alle bestanden in die user folder zijn dan verdwenen.
Nu moeten ze officieel via remote desktop werken, maar de meesten hebben toch wel lokale bestanden.
Hints zijn welkom.

shadowman12 schreef op woensdag 25 september 2019 @ 00:19:
Een fatsoenlijke mdm heeft toch een portal(website) achtige oplossing waarbij een gebruiker zijn eigen certificaat kan installeren? Kijk is naar Intune of MobileIron hoe die dat doen.

Ik denk dat je je even wat meer moet verdiepen in airwatch want 5 seconden Googlen en toen vond ik al dat certificaat uitgifte naar eind gebruikers automatisch gaat:
https://www.air-watch.com...Vaw0-7Xr0Et2-_kS4XVItU02T

Ik heb al wat meer info gevonden inderdaad! Ik ga er mee aan de gang. Thanks.

Even een vraagje voor de Windows beheerders. Ben bezig met een nieuw AD en alles en heb een aparte beheerserver. Nu wil ik vanaf die beheerserver alles doen. Zo ook DNS records aanmaken voor servers die er niet vanzelf in komen. Nu kan ik op de domain controllers zelf via de DNS Manager records toevoegen. Maar als ik dat vanaf de beheerserver wil doen, verbonden met een van de domain controllers, krijg ik 'the host record <fqdn> cannot be created. Refused' terug.

Zou dat met delegatie te maken kunnen hebben, dat updates vanaf de beheerserver, hoewel verbonden met de DC, niet mogen? De beheerserver is lid van het domein en log in met de domain admin.


Edit:
Ok, wazig. Probeer het net nog een keer met een ander record dat ik wil toevoegen en dat werkt wel gewoon. Geen foutmeldingen meer, ook niet voor de opvolgende die ik aanmaakte.

[ Voor 17% gewijzigd door Hero of Time op 02-10-2019 16:03 ]

Weet iemand toevallig de juiste parameters voor Samba om deze goed te laten samenwerken met ZFS snapshots gemaakt door Sanoid?

Ik probeer OpenMediaVault zo ver te krijgen dat het mijn zfs snapshots laat zien aan mijn Windows machines, maar krijg in "Previous Versions" helaas niets te zien. Ga ik handmatig naar de ZFS snapshot directory vanuit Windows zie ik wel subdirectories, maar met niet herleidbare namen als "ARYWHA~V".

OMV SMB config ziet er zo uit:

# This does NOT work (yet) in combination with Sanoid. Will use Sanoid. Will fix this later.
vfs objects = shadow_copy2
shadow:mountpoint=/srv/f1ae088f-1353-49be-8b71-2e752efec369
snapshot_path = /srv/f1ae088f-1353-49be-8b71-2e752efec369/.zfs/snapshot
#shadow: snapdir=.zfs/snapshot
shadow: sort = desc
shadow: localtime = yes
shadow:format = autosnap_%Y-%m-%d_%H:%M:%S_daily
# shadow: format = autosnap_"%Y-%m-%d_%H:%M:%S_\(frequent\)\{0,1\}\(hourly\)\{0,1\}\(daily\)\{0,1\}\(monthly\)\{0,1\}"

Dat snapshot is er wel degelijk:

root@hetty:/srv/f1ae088f-1353-49be-8b71-2e752efec369/.zfs/snapshot# ls -lahd *_daily
drwxrwxrwx 1 root root 0 Oct 3 08:02 autosnap_2019-09-29_18:45:13_daily
drwxrwxrwx 1 root root 0 Oct 3 08:02 autosnap_2019-09-30_00:00:01_daily
drwxrwxrwx 1 root root 0 Oct 3 08:02 autosnap_2019-10-01_00:00:01_daily
drwxrwxrwx 1 root root 0 Oct 3 08:02 autosnap_2019-10-02_00:00:02_daily
drwxrwxrwx 1 root root 0 Oct 3 08:02 autosnap_2019-10-03_00:00:03_daily
root@hetty:/srv/f1ae088f-1353-49be-8b71-2e752efec369/.zfs/snapshot#

Nog even verder spittend zie ik dat het op nfs niveau waarschijnlijk al mis gaat.

• clarke = PVE hypervisor & NFS server
• hetty = OMV vm & NFS client

root@clarke:/datapool00/SMB/.zfs/snapshot/autosnap_2019-10-03_00:00:03_daily# ls -lah
total 38K
drwxr-xr-x 7 nobody nogroup 7 Oct 1 19:10 .
drwxrwxrwx 2 root root 2 Oct 3 12:00 ..
drwxrwxr-x 4 nobody nogroup 5 May 16 2016 BACKUPS
dr-xr-xr-x 4 nobody nogroup 4 Sep 29 17:11 Home
drwxrwxr-x 2 nobody nogroup 2 Sep 29 20:21 Quarantine
drwxrwxr-x 17 nobody nogroup 22 Mar 29 2019 shared
drwxrwxrwx 2 nobody nogroup 6 Sep 29 20:24 TestSMB
root@clarke:/datapool00/SMB/.zfs/snapshot/autosnap_2019-10-03_00:00:03_daily#

root@hetty:/srv/f1ae088f-1353-49be-8b71-2e752efec369/.zfs/snapshot/autosnap_2019-10-03_00:00:03_daily# ls -lah
total 0
drwxrwxrwx 1 root root 0 Oct 3 08:02 .
drwxrwxrwx 2 root root 2 Oct 3 12:00 ..
root@hetty:/srv/f1ae088f-1353-49be-8b71-2e752efec369/.zfs/snapshot/autosnap_2019-10-03_00:00:03_daily#

Dit staat er in de exports op clarke:
/datapool00/SMB 192.168.0.0/16(rw,sync,no_subtree_check)

Dit staat er in de fstab op hetty:
192.168.10.10:/datapool00/SMB /srv/f1ae088f-1353-49be-8b71-2e752efec369 nfs4 rsize=8192,wsize=8192,timeo=14,intr,nofail 0 0

Ik zou verwachten dat ik op hetty *zeker* die bestanden zou moeten zien en vermoed dat het daar al mis gaat. Als ik ze via NFS niet zie, snap ik ook dat SMB ze niet ziet.

Anyone?

EDIT:
1 deel opgelost:

/datapool00/SMB 192.168.0.0/16(rw,sync,no_subtree_check,crossmnt)

Daarmee zijn de subdirs iig zichtbaar.
Nu nog SMB daar iets mee laten doen.

EDIT2:
In Windows kan ik inmiddels bij mijn snapshots, maar hebben de dirs nog rare namen waardoor ze nog niet zichtbaar zijn als Previous Versions.

\\Hetty\SMB\.zfs\snapshot\AK73S5~S

Timestamp klopt, daarbinnen klopt alles en kan ik er bij, maar dat AK*~S maakt dat het binnen "Previous Versions" zelf nog niet zichtbaar is.

EDIT3:

smb.conf
mangled names = no

Ze staan nu iig zichtbaar in Windows. Met de juiste timestamp.
Nu nog werkelijk in "previous versions", maar als DAT niet lukt, is dit ook best prima voor nu.

EDIT4:
HEEL belangrijke extra...
Er worden : gebruikt in de filename en dat snapt Windows niet.

Dus in de global section van smb.conf:

catia:mappings = 0x22:0xa8,0x2a:0xa4,0x2f:0xf8,0x3a:0xf7,0x3c:0xab,0x3e:0xbb,0x3f:0xbf,0x5c:0xff,0x7c:0xa6

Dan in de share:
vfs objects = catia

Wat overblijft is een directoryname als dit:
\\Hetty\SMB\.zfs\snapshot\autosnap_2019-10-03_09÷00÷01_hourly

Previous Versions heb ik nog niet aan de praat, maar ik kan wel door de backups heen browsen, dus ik ga het voor nu even laten voor wat het is en zoek later wel verder naar de oplossing om ook dat deel aan de praat te krijgen.

[ Voor 17% gewijzigd door unezra op 03-10-2019 14:58 ]

Ok, waarschijnlijk kan ik gewoon niet goed zoeken, maar ik zit met het volgende:

Na de maandelijkse update ronde chrashed op alle RDS servers de Print Spoller-servive met error 7034. Soms werkt de service een hele dag wel, dan crashed de service weer om de 5 minuten. Er is geen pijl op te trekken.

Omgeving: 4 RDS 2008R2 servers/1 printser, 100 medewerkers.

Tijdelijke oplossing: service elke minuut starten, maar das gewoon een ruk oplossing.

Iemand?

Drivers up to date? Sowieso, 2008R2, tijd om te upgraden. Tegen de tijd dat het project klaar is, wordt 2008R2 niet meer ondersteund.

Hero of Time schreef op vrijdag 4 oktober 2019 @ 10:47:
Drivers up to date? Sowieso, 2008R2, tijd om te upgraden. Tegen de tijd dat het project klaar is, wordt 2008R2 niet meer ondersteund.

Mee eens, maar we gaan dit jaar nog naar Office365 met fat-clients, dus de noodzaak om te upgraden vervalt. Drivers zijn up to date.

Niets extra te zien in de event viewer? Check ook even of er extra printer drivers bij zijn gekomen door redirected printers. Dat is nog een drama met 2008R2. Vanaf 2012/2012R2 is er een algemene RDP print driver om dit soort gedoe te voorkomen.

Creep schreef op vrijdag 4 oktober 2019 @ 10:20:
... chrashed op alle RDS servers de Print Spoller-servive met error 7034...

Je zoekt verkeerd. Error 7034 wordt gelogged door de Service Control Manager en meld alleen maar dat er een service gecrasht is. Als je wilt weten waarom die bepaalde service crasht, moet je de events van die service opzoeken

Wat je ook kunt doen om te troubleshooten is een dump van het proces laten maken op het moment dat het crashed. En dan deze dump uitlezen om te kijken wat er fout gaat (mocht je niks uit de eventviewer kunnen achterhalen)

Iemand bekend met issues in uitrol van WVD binnen Azure? Kan mijn systemen niet domain joinen met AD DS. Of moet ik in een ander draadje zijn?

Foutje

[ Voor 115% gewijzigd door GrasshopperNL op 05-10-2019 12:41 ]

Taine0 schreef op zaterdag 5 oktober 2019 @ 09:38:
Iemand bekend met issues in uitrol van WVD binnen Azure? Kan mijn systemen niet domain joinen met AD DS. Of moet ik in een ander draadje zijn?

Wil je je on-premises ad joinen?? Heb je wel een site to site verbinding tussen azure en om-prem??

Tylen schreef op zaterdag 5 oktober 2019 @ 13:17:
[...]


Wil je je on-premises ad joinen?? Heb je wel een site to site verbinding tussen azure en om-prem??

Works inmiddels: password hash not passed naar AD DS, moet je via myapps doen en dan 20 minuten wachten .

[ Voor 65% gewijzigd door xehexehex op 07-10-2019 07:34 ]

Hmm.. ik weet niet of het uberhoud kan of ik krijg het gewoon niet voor elkaar.

Ik wil in Windows Server een DNS record aanmaken die "NAAM" omzet naar https://test.server.com/omgeving13455. Cname omzetten naar test.server.com wil maar de achtervoegsel niet. Het aanmaken wil wel maar de link benaderen niet.

Iemand een idee?

mswp schreef op maandag 7 oktober 2019 @ 10:25:
Hmm.. ik weet niet of het uberhoud kan of ik krijg het gewoon niet voor elkaar.

Ik wil in Windows Server een DNS record aanmaken die "NAAM" omzet naar https://test.server.com/omgeving13455. Cname omzetten naar test.server.com wil maar de achtervoegsel niet. Het aanmaken wil wel maar de link benaderen niet.

Iemand een idee?

Ja, dat ga je niet oplossen met alleen DNS, daar is DNS niet voor bedoeld.

Zie https://www.namecheap.com...rects-url-frame-and-cname

[ Voor 12% gewijzigd door Oogje op 07-10-2019 10:48 ]

Oogje schreef op maandag 7 oktober 2019 @ 10:45:
[...]

Ja, dat ga je niet oplossen met alleen DNS, daar is DNS niet voor bedoeld.

Ja daar was ik al bang voor.

Wij willen een programma voor programmeren die een stukje code moet ophalen van een externe website. Nu zit er verschil en de test omgeving en de PROD omgeving.

Ik had dus het idee om de dns naam in de code te zetten en dan hoef je alleen maar de DNS aan te passen en niet de code aanpassen en overal opnieuw te deployen.

mswp schreef op maandag 7 oktober 2019 @ 10:25:
Hmm.. ik weet niet of het uberhoud kan of ik krijg het gewoon niet voor elkaar.

Ik wil in Windows Server een DNS record aanmaken die "NAAM" omzet naar https://test.server.com/omgeving13455. Cname omzetten naar test.server.com wil maar de achtervoegsel niet. Het aanmaken wil wel maar de link benaderen niet.

Iemand een idee?

out of the box, een (transparante) proxy er tussen welke een url rewrite doet?

Vorkie schreef op maandag 7 oktober 2019 @ 11:30:
[...]

out of the box, een (transparante) proxy er tussen welke een url rewrite doet?

Proxy hebben wij niet staan, URL Rewrite via IIS is misschien nog wel een idee..

Ga ik even over na denken.

dns naam in code = @#$@#$!!~)%^

beter: aparte configuratie per omgeving met variablen

Heeft iemand nog een tip voor het volgende?

Wij maken gebruik van Windows 10 i.c.m. FSLogix voor de profielen, helemaal top!

Maar we hebben veel gebruikers die denken; Hey een werkplek, laat ik eens inloggen en vervolgens weg gaan en vervolgens bij de volgende werkplek het volgende denken enz waardoor ze soms op verschrikkelijk veel werkplekken tegelijk ingelogd zijn.

Hoe gaan jullie hier mee om?