Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • FastFred
  • Registratie: maart 2009
  • Laatst online: 15:23
Omdat Topdesk aanraad om je eigen Exchange server te gebruiken. Maar we gebruiken nu de mailserver van Topdesk. Dat werkt fantastisch, maar alleen bij Gmail, Hotmail, UPC etc. Niet bij ons, de mail komt niet eens aan op ons spamfilter, wat eigenlijk de eerste stop is voor alle binnenkomende mail...

Franse auto's gaan niet stuk, die staken gewoon


  • unezra
  • Registratie: maart 2001
  • Laatst online: 20:01
FastFred schreef op woensdag 8 januari 2020 @ 19:48:
Omdat Topdesk aanraad om je eigen Exchange server te gebruiken. Maar we gebruiken nu de mailserver van Topdesk. Dat werkt fantastisch, maar alleen bij Gmail, Hotmail, UPC etc. Niet bij ons, de mail komt niet eens aan op ons spamfilter, wat eigenlijk de eerste stop is voor alle binnenkomende mail...
Net GMail, Hotmail, etc, zijn wat finnicky als het gaat om spam.
Als het bij jullie niet, en bij hen wel aan komt, zou ik me wat zorgen gaan maken dat je spamfilter te agressief is en je meer mail kwijt raakt. :)

Ná Scaoll. - Don’t Panic.


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

MrNGm schreef op woensdag 8 januari 2020 @ 13:30:
GlusterFS heb ik voorbij zien komen, maar nog niet heel uitgebreid bekeken, dus dat is nog wel het onderzoeken waard.
Tip voor GlusterFS: Set & forget. Met name dat laatste. Vergeet dat het er is. Leuk als het staat, ware nachtmerrie en ramp als je 't moet vergroten. Of je kan 't veroorloven om weken offline te zijn met je storage.

Misschien hebben ze in de afgelopen 3 jaar enorme verbeteringen gebracht aan het gedrocht, maar ik heb daar een enorm hard hoofd in. Hammerhead hard zeg maar. :P

Commandline FTW


  • FastFred
  • Registratie: maart 2009
  • Laatst online: 15:23
unezra schreef op woensdag 8 januari 2020 @ 19:51:
[...]


Net GMail, Hotmail, etc, zijn wat finnicky als het gaat om spam.
Als het bij jullie niet, en bij hen wel aan komt, zou ik me wat zorgen gaan maken dat je spamfilter te agressief is en je meer mail kwijt raakt. :)
Hij komt juist niet aan bij ons spamfilter. Ook als het tegengehouden is moeten we dat daar zien, maar er is niks. Dus ergens tussen Topdesk en ons gaat het mis...

Franse auto's gaan niet stuk, die staken gewoon


  • unezra
  • Registratie: maart 2001
  • Laatst online: 20:01
FastFred schreef op woensdag 8 januari 2020 @ 19:55:
[...]
Hij komt juist niet aan bij ons spamfilter. Ook als het tegengehouden is moeten we dat daar zien, maar er is niks. Dus ergens tussen Topdesk en ons gaat het mis...
Oh, dat is wél raar.

Als je spamfilter het tegen zou houden zou ik me zorgen gaan maken, maar als alleen Topdesk het niet bij jullie weet te bezorgen is dat wel raar.

Zijn ze niet gewoon zo dom geweest zichzelf als authorative op te geven zodat hij het op HUN server probeert af te leveren? (En dus nooit bij jullie aan komt.) Of iets van dien strekking... Dat zou namelijk best matchen met het symptoom dat jij beschrijft. :) Hun mailserver probeert het dan dáár af te leveren en hey, dat werkt niet, want jullie mailadressen bestaan niet natuurlijk...

Ná Scaoll. - Don’t Panic.


  • Fewture
  • Registratie: april 2000
  • Niet online

Fewture

Overclocker

unezra schreef op woensdag 8 januari 2020 @ 19:51:
[...]


Net GMail, Hotmail, etc, zijn wat finnicky als het gaat om spam.
Als het bij jullie niet, en bij hen wel aan komt, zou ik me wat zorgen gaan maken dat je spamfilter te agressief is en je meer mail kwijt raakt. :)
Ik ben het daar niet mee eens. Google en Microsoft doen het juist heel goed. Het probleem is dat er veel hobby partijen zijn die het gewoon niet snappen;
De volgende zaken regelen en je zit goed:
- SPF correct en aligned
- DKIM correct en aligned
- DMARC actief en op reject
- alle links httpS, met correcte certificaten
- alle plaatjes op httpS, met correcte certificaten
- je links moeten op het domein zijn van de mail zelf. Dus aligned met from (en return-path als dat kan)
- niet linken naar sites met reclame erop
- Tracking pixels vermijden
- Reputatie van domeinen en IP's moet op orde zijn

Ik durf er een kratje bier op te zetten dat hij altijd in de Inbox komt als je dat volgt ongeacht welk ontvangende platform.

En wat mij betreft; geen DMARC? Drop mail.

Tegenwoordig gaat het al een stap verder en checken receivers al op alignment ook al heb jij helemaal geen DMARC record (aka "antispoofing", reverse DMARC zou je het kunnen noemen). Zij doen het gewoon voor jou. Geen alignment? Hup, in de spambox ;w
FastFred schreef op woensdag 8 januari 2020 @ 19:55:
[...]


Hij komt juist niet aan bij ons spamfilter. Ook als het tegengehouden is moeten we dat daar zien, maar er is niks. Dus ergens tussen Topdesk en ons gaat het mis...
Zal dan ergens gedropped worden al. Als er een reject policy staat zie je hem niet in de spam waarschijnlijk. Verschilt per filter overigens. Sommige droppen helemaal anderen zetten hem toch in de spam folder bij de user, weer anderen zetten hem in quarantine ondanks dat er helemaal geen quarantine policy staat.

Fewture wijzigde deze reactie 08-01-2020 22:20 (18%)


  • ge-flopt
  • Registratie: februari 2001
  • Laatst online: 18:20
Iemand die weet hoe ik in een Hyper-V Server 2019 een wifi stickje aan de gang krijg?
Het gaat hier dus om een Hyper-V Server 2019, niet om server 2019.

In Server 2016 heeft de optie gezeten "Wireless Lan Service", maar deze feature zie ik niet in Hyper-V Server 2019.
ge-flopt schreef op donderdag 9 januari 2020 @ 00:18:
Iemand die weet hoe ik in een Hyper-V Server 2019 een wifi stickje aan de gang krijg?
Het gaat hier dus om een Hyper-V Server 2019, niet om server 2019.

In Server 2016 heeft de optie gezeten "Wireless Lan Service", maar deze feature zie ik niet in Hyper-V Server 2019.
Kan niet, unsupported.

shadowman12 wijzigde deze reactie 09-01-2020 06:57 (10%)

Assumption is the mother of all fuck ups


  • MrNGm
  • Registratie: augustus 2004
  • Laatst online: 25-01 22:58
Hero of Time schreef op woensdag 8 januari 2020 @ 19:54:
[...]

Tip voor GlusterFS: Set & forget. Met name dat laatste. Vergeet dat het er is. Leuk als het staat, ware nachtmerrie en ramp als je 't moet vergroten. Of je kan 't veroorloven om weken offline te zijn met je storage.

Misschien hebben ze in de afgelopen 3 jaar enorme verbeteringen gebracht aan het gedrocht, maar ik heb daar een enorm hard hoofd in. Hammerhead hard zeg maar. :P
Heh, ik vermoed dat we op een gegeven moment wel willen kunnen opschalen. Ik hoop ook dat er in 3 jaar tijd e.e.a aan is verbeterd. Als je het zo omschrijft klinkt het als een directe no-go voor GlusterFS.
Fewture schreef op woensdag 8 januari 2020 @ 22:11:
[...]

Ik ben het daar niet mee eens. Google en Microsoft doen het juist heel goed. Het probleem is dat er veel hobby partijen zijn die het gewoon niet snappen;
De volgende zaken regelen en je zit goed:
- SPF correct en aligned
- DKIM correct en aligned
- DMARC actief en op reject
Dan gok ik dat je nooit berichten stuurt naar mailinglists of e-mailaliassen. Met SPF op -all, DKIM-signing op Subject en DMARC op p=reject worden die e-mails dan gefilterd en komen niet aan.
Ik durf er een kratje bier op te zetten dat hij altijd in de Inbox komt als je dat volgt ongeacht welk ontvangende platform.
Kom maar door met dat kratje bier :*)

  • ge-flopt
  • Registratie: februari 2001
  • Laatst online: 18:20
Dank je, meer wilde ik niet weten. :P

  • Fewture
  • Registratie: april 2000
  • Niet online

Fewture

Overclocker

MrNGm schreef op donderdag 9 januari 2020 @ 12:35:


Dan gok ik dat je nooit berichten stuurt naar mailinglists of e-mailaliassen. Met SPF op -all, DKIM-signing op Subject en DMARC op p=reject worden die e-mails dan gefilterd en komen niet aan.


[...]
Kun je dat uitleggen? Hoe kun je bijv DKIM doen op een subject?

Ik herken niets van wat je zegt. Gezien de hoeveelheden mail zitten daar vast aliassen of mailinglists tussen. Maar dat gaat dus over recipients, het To: veld. Ik zie de relatie niet. Klok/klepel.

Wellicht kun je iets specifieker zijn over wat je bedoelt.

  • MrNGm
  • Registratie: augustus 2004
  • Laatst online: 25-01 22:58
Fewture schreef op donderdag 9 januari 2020 @ 14:06:
[...]

Kun je dat uitleggen? Hoe kun je bijv DKIM doen op een subject?
Zeker. DKIM pakt enkele elementen uit de e-mailheaders, bijvoorbeeld To, From, Subject, Date, Message-Id, en berekent over de waardes van die headers de signature aan de hand van een private key. Een ontvanger kan die signature verifiëren met de public key die in DNS voor het verzendende domein is gepubliceerd, en de eerder genoemde elementen uit de e-mailheaders.

Bij mailinglists gaat dan DKIM-verificatie mis, omdat ze bijvoorbeeld From of Subject herschrijven. Dat maakt de integriteit die DKIM poogt te beschermen kapot. Bij e-mailaliassen is SPF niet aligned, omdat de mailserver die 't alias expand zich zal voordoen alsof ie de verzendende partij is.

Ik kan bijvoorbeeld voor mijn eigen domeinen geen DMARC-policy op reject instellen, omdat dan e-mail onterecht geweigerd kan worden als ik iets naar een mailinglist stuurt. Ik heb daarom DMARC op p=none staan, en krijg regelmatig reports binnen welke domeinen allemaal e-mail van mijn domeinen hebben geprocessed op DMARC-policy (en of DKIM/SPF dan aligned was).

Andersom heb ik het ook gehad: een bank in Nederland heeft stricte SPF (-all), DKIM-signing, en DMARC-policy op reject. Gevolg: een e-mail vanuit die bank naar een e-mailalias, die expand naar meerdere adressen, wordt door een ontvangende partij geweigerd.

Nee, zelf e-mail doen is verder leuk hoor :/
Zo stuurt Microsoft hun office 365 update mail nu ineens via de mail server van msn. Die staat niet in het stof record dus die komt nu automatisch in de spam.

Ik draai het zelfs privé, opendkim zorgt er nu voor.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

MrNGm schreef op donderdag 9 januari 2020 @ 12:35:
[...]

Heh, ik vermoed dat we op een gegeven moment wel willen kunnen opschalen. Ik hoop ook dat er in 3 jaar tijd e.e.a aan is verbeterd. Als je het zo omschrijft klinkt het als een directe no-go voor GlusterFS.
Het is volledig open source, dus zet eens een 3-node omgeving op, vul de schijven tot >90% en voeg dan twee of meer nodes toe. En zie hoe onbereikbaar de boel wordt. Hoe groter de storage die je eraan hangt, hoe harder het aan de noodrem trekt, omdat het alles opnieuw gaat verdelen.

Commandline FTW

Als je echt goed spul wil hebben kijk is naar Pure storage.

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

Op m'n vorige werk werd ScaleIO gebruikt. Is ook een idee, maar zitten vziw kosten aan verbonden.

Commandline FTW


  • Tylen
  • Registratie: september 2000
  • Laatst online: 21:51

Tylen

ONK SuperCup 1000 #6

shadowman12 schreef op donderdag 9 januari 2020 @ 20:02:
Als je echt goed spul wil hebben kijk is naar Pure storage.
Idd.

Goedkoop is duurkoop.

A wise man once said: 'Work is not a place."


  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 22:51

The Eagle

I wear my sunglasses at night

@MrNGm moet die storage on prem, of mag het ook cloud of hybrid zijn? En is het puur opslag a la fileserver of doet men ook processing op die data, danwel gebruikt men het op een andere manier?

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • Fewture
  • Registratie: april 2000
  • Niet online

Fewture

Overclocker

MrNGm schreef op donderdag 9 januari 2020 @ 15:33:
[...]


Zeker. DKIM pakt enkele elementen uit de e-mailheaders, bijvoorbeeld To, From, Subject, Date, Message-Id, en berekent over de waardes van die headers de signature aan de hand van een private key. Een ontvanger kan die signature verifiëren met de public key die in DNS voor het verzendende domein is gepubliceerd, en de eerder genoemde elementen uit de e-mailheaders.
Ik kreeg even de indruk dat je een subject ging DKIMen.. maar dat bedoelde je dus niet. Ik weet verder hoe DKIM werkt :)
Bij mailinglists gaat dan DKIM-verificatie mis, omdat ze bijvoorbeeld From of Subject herschrijven. Dat maakt de integriteit die DKIM poogt te beschermen kapot. Bij e-mailaliassen is SPF niet aligned, omdat de mailserver die 't alias expand zich zal voordoen alsof ie de verzendende partij is.
Ik vind het nog steeds een vreemd scenario. Als ik naar een mailinglist mail wordt er niets herschreven. Vermoedelijk als je als de mailinglist probeert te versturen, maar dat lijkt mij niet echt een best practice. Dan gebruik je een shared mailbox.

Maar goed, het issue dat je beschrijft hetken ik opzich wel, We hebben wel eens een scenario gehad dat er wat rewrites nodig waren in een migratie en dan loopt je tegen een invalid DKIM aan. Niet iets dat wij meemaken in een dagelijkse gang van zaken.
Mail van buiten naar mailinglists staan wij niet toe.
Mail naar externe mailinglists gaat gewoon goed/is bovenstaande niet van toepassing.
Ik kan bijvoorbeeld voor mijn eigen domeinen geen DMARC-policy op reject instellen, omdat dan e-mail onterecht geweigerd kan worden als ik iets naar een mailinglist stuurt.
Ik ben toch wel benieuwd wat er dan gebeurd. Vreemd scenario. Net een mailinglist gemaakt en er een mail vanaf Gmail naar gestuurd. Geen issue. DMARC=pass, DKIM=pass. Dus wellicht snap ik je use case niet.
Andersom heb ik het ook gehad: een bank in Nederland heeft stricte SPF (-all), DKIM-signing, en DMARC-policy op reject. Gevolg: een e-mail vanuit die bank naar een e-mailalias, die expand naar meerdere adressen, wordt door een ontvangende partij geweigerd.

Nee, zelf e-mail doen is verder leuk hoor :/
Wat is jouw definitie van een e-mail alias?
Want wat jij nu beschrijft is in mijn ogen gewoon spoofing. Je doet je voor als iemand anders. Precies het doel van DMARC, dat killen.
Works as designed wat mij betreft.

Ik werk bij een financial. Ik wil dat niet hebben dat jij mijn mail doorstuurt en jezelf voordoet als de bank ;) Snappie? :*)

  • MrNGm
  • Registratie: augustus 2004
  • Laatst online: 25-01 22:58
The Eagle schreef op donderdag 9 januari 2020 @ 20:26:
@MrNGm moet die storage on prem, of mag het ook cloud of hybrid zijn? En is het puur opslag a la fileserver of doet men ook processing op die data, danwel gebruikt men het op een andere manier?
On-prem. We krijgen bijv. foto's binnen en die resizen we naar verschillende formaten voordat we ze publiceren, aan de hand van eisen van de doelwebsite. Die foto's zijn slechts een deel van de zaken die we aanleveren bij zo'n doelwebsite (maar zowel de foto's als de andere informatie moet vaak gelijktijdig aangeleverd worden, en we willen geen tot weinig vertraging hierbij).

We hebben gekeken naar cloudstorage, maar met de hoeveelheid foto's die we heen-en-weer zouden moeten sturen voor processing (danwel processing op een VM bij dezelfde cloudprovider) wordt uitgaand verkeer vanuit cloudstorage nogal prijzig. Denk richting enkele terabytes per maand.
Fewture schreef op vrijdag 10 januari 2020 @ 13:41:
[...]

Ik vind het nog steeds een vreemd scenario. Als ik naar een mailinglist mail wordt er niets herschreven. Vermoedelijk als je als de mailinglist probeert te versturen, maar dat lijkt mij niet echt een best practice. Dan gebruik je een shared mailbox.
Dat is vrij standaard practice bij mailinglistsoftware als Mailman. Ik stuur bijv Subject: blabla naar lijstnaam@lists.pietjep.uk, Mailman herschrijft dat naar Subject: [lijstnaam] blabla. In standaardconfiguraties wordt From (danwel MAIL FROM) vaak niet herschreven (en doet de mailinglist zich voor als jou).
Mail naar externe mailinglists gaat gewoon goed/is bovenstaande niet van toepassing.
Dat herken ik dan weer niet ;)
Ik ben toch wel benieuwd wat er dan gebeurd. Vreemd scenario. Net een mailinglist gemaakt en er een mail vanaf Gmail naar gestuurd. Geen issue. DMARC=pass, DKIM=pass. Dus wellicht snap ik je use case niet.
Dat klinkt meer als een mailinglist dat alleen maar naar lokale adressen bezorgt? In de casus die ik vaak tegenkom ("lists.pietjep.uk") worden lijstberichten naar allerhande andere user@domein.tld gestuurd. Zie ook bovenstaand, de mailinglistsoftware herschrijft dan delen van de e-mail.
Wat is jouw definitie van een e-mail alias?
Want wat jij nu beschrijft is in mijn ogen gewoon spoofing. Je doet je voor als iemand anders. Precies het doel van DMARC, dat killen.
Works as designed wat mij betreft.
Ik gebruik hiervoor Postfix. Een e-mailalias daar is van de vorm alias@domein.tld destination1@domein.tld[, destination2@anderdomein.tld]. alias@domein.tld kan dus naar meerdere users op mogelijk andere domeinen worden verstuurd.
Ik werk bij een financial. Ik wil dat niet hebben dat jij mijn mail doorstuurt en jezelf voordoet als de bank ;) Snappie? :*)
Uit spoofing-oogpunt snap ik dat heel goed. Het is alleen onhandig dat voor elke anti-spoofingmaatregel er ook (in mijn ogen valide) usecases stuk gaan :).

  • Fewture
  • Registratie: april 2000
  • Niet online

Fewture

Overclocker

MrNGm schreef op vrijdag 10 januari 2020 @ 15:54:

Dat is vrij standaard practice bij mailinglistsoftware als Mailman. Ik stuur bijv Subject: blabla naar lijstnaam@lists.pietjep.uk, Mailman herschrijft dat naar Subject: [lijstnaam] blabla. In standaardconfiguraties wordt From (danwel MAIL FROM) vaak niet herschreven (en doet de mailinglist zich voor als jou).
Check. Dat willen we dus niet, sorry :P
Dat klinkt meer als een mailinglist dat alleen maar naar lokale adressen bezorgt?
Correct :)
Ik gebruik hiervoor Postfix. Een e-mailalias daar is van de vorm alias@domein.tld destination1@domein.tld[, destination2@anderdomein.tld]. alias@domein.tld kan dus naar meerdere users op mogelijk andere domeinen worden verstuurd.
Ok ik snap hem. Dat is een doodlopende straat helaas en dat is gewoon een gevolg van het spammen en phishen. Waarom is het een doodlopende straat? Nou:
1. DMARC p=none verlaagt steeds meer je reputatie / verhoogt de spam score van het bericht. Daarmee bedoel ik dat het meer en meer gaat meetellen voor de spam score als je geen "reject" hebt.
2. De adoptie van DMARC groeit behoorlijk
3. Ontvangers (zoals bijv Microsoft) bieden policies aan welke antispoofing doen. Maw, ik kan antispoofing aanzetten voor mijndomein.tld en alles dat daarop binnenkomt wordt dan op alignment en compliance gecheckt. Je kan dan dus DMARC uitzetten (p=none) op jouw verzendende domein, maar de ontvanger doet vervolgens zijn eigen check en ga je alsnog de bietenbak in helaas..

[...]
Uit spoofing-oogpunt snap ik dat heel goed. Het is alleen onhandig dat voor elke anti-spoofingmaatregel er ook (in mijn ogen valide) usecases stuk gaan :).
Ja of het valide is of niet kun je natuurlijk dagen over ouwehoeren. Ik snap je punt, ik ben het er niet mee eens uiteraard ;)
Maar dat komt vooral omdat wij in verschillende e-mail dimensies zitten. In mijn wereld (finance/insurance) moet spoofing dood en DMARC is een geschenk uit de hemel (het is niet perfect, maar het werkt toch aardig goed). Je wilt niet weten hoeveel ellende er bij (de klanten van) banken en verzekeraars is door spoofing. Als je onze rua reports ziet dan val je zowat van je stoel... :X

Edit:
overigens.. omdat "vroeger" alles maar kon mbt het from address en misalignment en nu alles DMARC compliant moet zijn, hebben wij bizarre hoeveelheden werk om een domein naar reject te krijgen. Dat is niet eenvoudig. Dus in dat opzicht is het dan weer geen geschenk uit de hemel, maar goed, wat moet dat moet.

Fewture wijzigde deze reactie 10-01-2020 20:25 (8%)

Ik probeer OpenSSH for Windows aan de gang te krijgen met een secure CIpher lijst die we ook op Linux servers gebruiken:
code:
1
2
3
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1


Maar dan wil de SSH service niet een starten, iemand enig idee wat de juiste cipher lijst is?

Assumption is the mother of all fuck ups

Nog een vraagje, ik probeer TLS 1.0 en TLS 1.1 op Ubuntu uit te zetten, maar ik krijg het maar niet uit, als ik een grep -r op SSLProtocol in /etc/apache2 doe ik krijg dit:
code:
1
2
3
conf-available/server.conf:        SSLProtocol -all +TLSv1.2
sites-available/vhost.com.conf:      SSLProtocol -all +TLSv1.2
mods-available/ssl.conf:        SSLProtocol -all +TLSv1.2

Assumption is the mother of all fuck ups


  • djmuggs
  • Registratie: juni 2000
  • Laatst online: 22:50
shadowman12 schreef op maandag 13 januari 2020 @ 14:26:
Nog een vraagje, ik probeer TLS 1.0 en TLS 1.1 op Ubuntu uit te zetten, maar ik krijg het maar niet uit, als ik een grep -r op SSLProtocol in /etc/apache2 doe ik krijg dit:
code:
1
2
3
conf-available/server.conf:        SSLProtocol -all +TLSv1.2
sites-available/vhost.com.conf:      SSLProtocol -all +TLSv1.2
mods-available/ssl.conf:        SSLProtocol -all +TLSv1.2
https://httpd.apache.org/.../mod_ssl.html#sslprotocol

Je zet alle protocollen uit met “-all” en je zet met “+TLSv1.2” alleen TLS 1.2 aan.
Dit lijkt mij wat je wilt toch.

Model 3 | LR AWD | Midnight Silver | Zwart | 19"

djmuggs schreef op maandag 13 januari 2020 @ 14:39:
[...]


https://httpd.apache.org/.../mod_ssl.html#sslprotocol

Je zet alle protocollen uit met “-all” en je zet met “+TLSv1.2” alleen TLS 1.2 aan.
Dit lijkt mij wat je wilt toch.
Yup, maar nog steeds zegt SSLLabs als ik hem test dat tls 1.0 en tls 1.1 aanstaat. Zelfde met nmap

Assumption is the mother of all fuck ups


  • Paul
  • Registratie: september 2000
  • Laatst online: 13:28
Het voorbeeld laat maar één protocol zien (maakt geen gebruik van 'all'); werkt 'SSLProtocol TLSv1.2' wel?

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


  • nero355
  • Registratie: februari 2002
  • Nu online

nero355

ph34r my [WCG] Cows :P

shadowman12 schreef op maandag 13 januari 2020 @ 14:42:
Yup, maar nog steeds zegt SSLLabs als ik hem test dat tls 1.0 en tls 1.1 aanstaat. Zelfde met nmap
Dit lijkt mij de oplossing dan : https://www.leaderssl.com...ions-of-ssl-tls-in-apache

Beetje raar, maar wel lekker... 8)7

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

nero355 schreef op maandag 13 januari 2020 @ 15:25:
[...]

Dit lijkt mij de oplossing dan : https://www.leaderssl.com...ions-of-ssl-tls-in-apache

Beetje raar, maar wel lekker... 8)7
Al geprobeerd werkt ook niet

Assumption is the mother of all fuck ups


  • nero355
  • Registratie: februari 2002
  • Nu online

nero355

ph34r my [WCG] Cows :P

En als je alleen TLS 1.2 invult ?!
shadowman12 schreef op maandag 13 januari 2020 @ 09:55:
Ik probeer OpenSSH for Windows aan de gang te krijgen met een secure CIpher lijst die we ook op Linux servers gebruiken:
code:
1
2
3
Ciphers chacha20-poly1305@openssh.com,aes256-gcm@openssh.com,aes128-gcm@openssh.com,aes256-ctr,aes192-ctr,aes128-ctr
MACs hmac-sha2-512-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-ripemd160-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-512,hmac-sha2-256,hmac-ripemd160,umac-128@openssh.com
KexAlgorithms curve25519-sha256@libssh.org,diffie-hellman-group-exchange-sha256,diffie-hellman-group14-sha1


Maar dan wil de SSH service niet een starten, iemand enig idee wat de juiste cipher lijst is?
Je zal toch wel een error krijgen of iets die er meer over zegt :?

Kijk anders eens naar de tips @ https://www.ssh.com/ssh/s...hanges-for-the-enterprise :)

Eerlijk gezegd nooit wat mee gedaan tot nu toe, omdat de default settings over het algemeen alle outdated varianten niet meer gebruiken... :$

Verder nooit wat met sshd en Windows gedaan dus ik wens je heel veel sterkte :+

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||

Paul schreef op maandag 13 januari 2020 @ 15:15:
Het voorbeeld laat maar één protocol zien (maakt geen gebruik van 'all'); werkt 'SSLProtocol TLSv1.2' wel?
Nee nog steeds oude ciphers:
Version: 1.11.5
OpenSSL 1.0.2n 7 Dec 2017

OpenSSL version does not support SSLv2
SSLv2 ciphers will not be detected

OpenSSL version does not support SSLv3
SSLv3 ciphers will not be detected
Testing SSL server kroftman.com on port 443

TLS renegotiation:
Secure session renegotiation supported

TLS Compression:
OpenSSL version does not support compression
Rebuild with zlib1g-dev package for zlib support

Heartbleed:
TLS 1.2 not vulnerable to heartbleed
TLS 1.1 not vulnerable to heartbleed
TLS 1.0 not vulnerable to heartbleed

Supported Server Cipher(s):
Preferred TLSv1.2 256 bits ECDHE-RSA-AES256-GCM-SHA384 Curve P-256 DHE 256
Accepted TLSv1.2 128 bits ECDHE-RSA-AES128-GCM-SHA256 Curve P-256 DHE 256
Accepted TLSv1.2 256 bits ECDHE-RSA-AES256-SHA384 Curve P-256 DHE 256
Accepted TLSv1.2 128 bits ECDHE-RSA-AES128-SHA256 Curve P-256 DHE 256
Accepted TLSv1.2 256 bits ECDHE-RSA-AES256-SHA Curve P-256 DHE 256
Accepted TLSv1.2 128 bits ECDHE-RSA-AES128-SHA Curve P-256 DHE 256
Accepted TLSv1.2 256 bits AES256-GCM-SHA384
Accepted TLSv1.2 128 bits AES128-GCM-SHA256
Accepted TLSv1.2 256 bits AES256-SHA256
Accepted TLSv1.2 128 bits AES128-SHA256
Accepted TLSv1.2 256 bits AES256-SHA
Accepted TLSv1.2 256 bits CAMELLIA256-SHA
Accepted TLSv1.2 128 bits AES128-SHA
Accepted TLSv1.2 128 bits CAMELLIA128-SHA
Preferred TLSv1.1 256 bits ECDHE-RSA-AES256-SHA Curve P-256 DHE 256
Accepted TLSv1.1 128 bits ECDHE-RSA-AES128-SHA Curve P-256 DHE 256
Accepted TLSv1.1 256 bits AES256-SHA
Accepted TLSv1.1 256 bits CAMELLIA256-SHA
Accepted TLSv1.1 128 bits AES128-SHA
Accepted TLSv1.1 128 bits CAMELLIA128-SHA
Preferred TLSv1.0 256 bits ECDHE-RSA-AES256-SHA Curve P-256 DHE 256
Accepted TLSv1.0 128 bits ECDHE-RSA-AES128-SHA Curve P-256 DHE 256
Accepted TLSv1.0 256 bits AES256-SHA
Accepted TLSv1.0 256 bits CAMELLIA256-SHA
Accepted TLSv1.0 128 bits AES128-SHA
Accepted TLSv1.0 128 bits CAMELLIA128-SHA

SSL Certificate:
Signature Algorithm: sha256WithRSAEncryption
RSA Key Strength: 2048

Subject: kroftman.com
Altnames: DNS:kroftman.com, DNS:www.domein.com
Issuer: Let's Encrypt Authority X3

Not valid before: Dec 6 16:13:02 2019 GMT
Not valid after: Mar 5 16:13:02 2020 GMT

Assumption is the mother of all fuck ups


  • Paul
  • Registratie: september 2000
  • Laatst online: 13:28
Heb je wel een symlink in conf-enabled naar een bestand in conf-available? In je grep mis ik die :)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock

Never mind er draait ook nginx die ssl offloading doet ...

Assumption is the mother of all fuck ups


  • FastFred
  • Registratie: maart 2009
  • Laatst online: 15:23
FastFred schreef op woensdag 8 januari 2020 @ 19:48:
Omdat Topdesk aanraad om je eigen Exchange server te gebruiken. Maar we gebruiken nu de mailserver van Topdesk. Dat werkt fantastisch, maar alleen bij Gmail, Hotmail, UPC etc. Niet bij ons, de mail komt niet eens aan op ons spamfilter, wat eigenlijk de eerste stop is voor alle binnenkomende mail...
Fixed. Bijna, we weten de oorzaak. Topdesk moet worden toegevoegd aan een PTR record bij onze provider

Franse auto's gaan niet stuk, die staken gewoon


  • Tylen
  • Registratie: september 2000
  • Laatst online: 21:51

Tylen

ONK SuperCup 1000 #6

shadowman12 schreef op maandag 13 januari 2020 @ 14:26:
Nog een vraagje, ik probeer TLS 1.0 en TLS 1.1 op Ubuntu uit te zetten, maar ik krijg het maar niet uit, als ik een grep -r op SSLProtocol in /etc/apache2 doe ik krijg dit:
code:
1
2
3
conf-available/server.conf:        SSLProtocol -all +TLSv1.2
sites-available/vhost.com.conf:      SSLProtocol -all +TLSv1.2
mods-available/ssl.conf:        SSLProtocol -all +TLSv1.2
Misschien werkt dit:

code:
1
2
3
conf-available/server.conf:        TLSProtocol +TLSv1.2
sites-available/vhost.com.conf:      TLSProtocol +TLSv1.2
mods-available/ssl.conf:        TLSProtocol +TLSv1.2


* Tylen rent hard weg ;).
shadowman12 schreef op maandag 13 januari 2020 @ 15:42:
Never mind er draait ook nginx die ssl offloading doet ...
Waarom dan nog TLS op de webserver? Of doet de nginx off and onloading??

Tylen wijzigde deze reactie 13-01-2020 16:11 (14%)

A wise man once said: 'Work is not a place."

Tylen schreef op maandag 13 januari 2020 @ 16:10:
[...]


Misschien werkt dit:

code:
1
2
3
conf-available/server.conf:        TLSProtocol +TLSv1.2
sites-available/vhost.com.conf:      TLSProtocol +TLSv1.2
mods-available/ssl.conf:        TLSProtocol +TLSv1.2


* Tylen rent hard weg ;).


[...]


Waarom dan nog TLS op de webserver? Of doet de nginx off and onloading??
Nee dat is niet de juiste instellingen die je noemt. Nginx/Apache doet on en offloading inderdaad

Assumption is the mother of all fuck ups


  • MrNGm
  • Registratie: augustus 2004
  • Laatst online: 25-01 22:58
shadowman12 schreef op maandag 13 januari 2020 @ 15:36:
[...]

Nee nog steeds oude ciphers:
Version: 1.11.5
Daar had een belletje kunnen rinkelen. Apache's versienummers beginnen al een tijdje met 2 ;)

Wil je nog dingen weten over hoe het in nginx ingesteld moet worden?
Duidelijk :)

  • Tylen
  • Registratie: september 2000
  • Laatst online: 21:51

Tylen

ONK SuperCup 1000 #6

shadowman12 schreef op maandag 13 januari 2020 @ 16:13:
[...]


Nee dat is niet de juiste instellingen die je noemt. Nginx/Apache doet on en offloading inderdaad
I know ;)

A wise man once said: 'Work is not a place."

MrNGm schreef op maandag 13 januari 2020 @ 16:34:
[...]


Daar had een belletje kunnen rinkelen. Apache's versienummers beginnen al een tijdje met 2 ;)

Wil je nog dingen weten over hoe het in nginx ingesteld moet worden?


[...]


Duidelijk :)
Nee dat lukt me zelf wel ;). Maar bedankt. https://cipherli.st/ heeft een goed voorbeeld ;)

Nu nog de ciphers van openssh for windows tackelen.

shadowman12 wijzigde deze reactie 13-01-2020 17:35 (5%)

Assumption is the mother of all fuck ups

Kan iemand mij helpen met het aanpassen van 50 apache vhosts, ik moet in de servername, serveradmin en serveralias overal waar dev, het vervangen naar test.
OS Ubuntu.

shadowman12 wijzigde deze reactie 15-01-2020 08:12 (4%)

Assumption is the mother of all fuck ups

shadowman12 schreef op woensdag 15 januari 2020 @ 08:12:
Kan iemand mij helpen met het aanpassen van 50 apache vhosts, ik moet in de servername, serveradmin en serveralias overal waar dev, het vervangen naar test.
OS Ubuntu.
Er is een tooltje waarmee je via SSH kan inloggen op meerdere hosts en op die hosts exact hetzelfde commando uitvoeren. Dus ls -l of vi \etc\httpd\httpd.conf doet het dan ineens op 50 servers.

Tipje, aangezien je het op 50 servers TEGELIJK doet :

- never before your first cup of coffee
- never on a friday
- never on a monday
- never after 16:00 hrs
- never when the customer urges you

:P

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

asing schreef op woensdag 15 januari 2020 @ 08:34:
[...]


Er is een tooltje waarmee je via SSH kan inloggen op meerdere hosts en op die hosts exact hetzelfde commando uitvoeren. Dus ls -l of vi \etc\httpd\httpd.conf doet het dan ineens op 50 servers.

Tipje, aangezien je het op 50 servers TEGELIJK doet :

- never before your first cup of coffee
- never on a friday
- never on a monday
- never after 16:00 hrs
- never when the customer urges you

:P
Dat ken ik. Maar dat is mijn vraag niet, misschien ben ik niet helemaal duidelijk geweest ;)

In /etc/apache/sites-enabled staan 50 vhost, en daarin moet ik de servername,serveralias en serveradmin het woordje dev vervangen naar test.Alles gewoon op een server ;)

Waarschijnlijk moet ik iets met sed en regex gaan doen, maar daar heb ik geen kaas van gegeten ;)

Edit:
Toch zelf al weten op te lossen ;)

shadowman12 wijzigde deze reactie 15-01-2020 09:54 (25%)

Assumption is the mother of all fuck ups


  • Endpoint
  • Registratie: april 2016
  • Laatst online: 21:15
Misschien omslachtig, bestand downloaden met Winscp, aanpassen met Notepad++ en terug uploaden?

En anders https://nixsos.com/find-and-replace-in-nano/

Endpoint wijzigde deze reactie 15-01-2020 09:56 (23%)

shadowman12 schreef op woensdag 15 januari 2020 @ 08:59:
[...]


Dat ken ik. Maar dat is mijn vraag niet, misschien ben ik niet helemaal duidelijk geweest ;)

In /etc/apache/sites-enabled staan 50 vhost, en daarin moet ik de servername,serveralias en serveradmin het woordje dev vervangen naar test.Alles gewoon op een server ;)

Waarschijnlijk moet ik iets met sed en regex gaan doen, maar daar heb ik geen kaas van gegeten ;)

Edit:
Toch zelf al weten op te lossen ;)
Zo had je het ook kunnen lezen :+ . En goedzo ;)

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Thijs B
  • Registratie: augustus 1999
  • Niet online
Voor dat soort klusjes hebben ze toch powershell uitgevonden >:)

en aangezien dat tegenwoordig crossplatform werkt..

  • Oogje
  • Registratie: oktober 2003
  • Niet online
Thijs B schreef op woensdag 15 januari 2020 @ 12:31:
Voor dat soort klusjes hebben ze toch powershell uitgevonden >:)

en aangezien dat tegenwoordig crossplatform werkt..
In VI kan het ook simpel, moest het alleen ff opzoeken:
code:
1
:%s/WORD-To-Find-HERE/Replace-Word-Here/g

Any errors in spelling, tact, or fact are transmission errors.

Thijs B schreef op woensdag 15 januari 2020 @ 12:31:
Voor dat soort klusjes hebben ze toch powershell uitgevonden >:)

en aangezien dat tegenwoordig crossplatform werkt..
PowerShelll is nog zo nieuw op Linux dat je kunt voorstellen dat we dat nog niet hebben draaien. En daarnaast sed kan het prima, dus waarom zou ik daar PowerShell voor gebruiken als ik toch alleen op een Linux OS wat hoef aan te passen.
Oogje schreef op woensdag 15 januari 2020 @ 12:35:
[...]

In VI kan het ook simpel, moest het alleen ff opzoeken:
code:
1
:%s/WORD-To-Find-HERE/Replace-Word-Here/g
Nja heb geen zin om 50 .conf files te openen en te sluiten met VI als ik met sed kan doen vanuit bash.
Endpoint schreef op woensdag 15 januari 2020 @ 09:55:
Misschien omslachtig, bestand downloaden met Winscp, aanpassen met Notepad++ en terug uploaden?

En anders https://nixsos.com/find-and-replace-in-nano/
Geen optie, iedere vhost is weer anders en heeft een andere docroot bijvoorbeeld. Maar een met sed regex is het prima gelukt.

shadowman12 wijzigde deze reactie 15-01-2020 18:12 (45%)

Assumption is the mother of all fuck ups


  • Tylen
  • Registratie: september 2000
  • Laatst online: 21:51

Tylen

ONK SuperCup 1000 #6

* Tylen is onderweg naar flinke toko om de netscaler te redeployen 🤣

Zo krijg je wel nieuwe klantjes. Thnx Citrix.

A wise man once said: 'Work is not a place."


  • D_Jeff
  • Registratie: april 2011
  • Laatst online: 16:08
Een dagje aan het vogelen geweest, maar ik heb z'n vermoeden dat ik meer gesloopt heb dan goed gedaan.

Vandaar de simpele vraag:


Als ik de onderste verwijderd heb, wat gaat er dan stuk?
Google en duckje gaven niet echt een geweldig antwoord.

Endpoint: Surface Pro 4, Win 10 - 1903 Pro (met Nov 2019 rollup)

Hold. Step. Move. There will always be a way to keep on moving


  • nextware
  • Registratie: mei 2002
  • Laatst online: 12:02
D_Jeff schreef op woensdag 15 januari 2020 @ 21:06:
Een dagje aan het vogelen geweest, maar ik heb z'n vermoeden dat ik meer gesloopt heb dan goed gedaan.

Vandaar de simpele vraag:
[Afbeelding]

Als ik de onderste verwijderd heb, wat gaat er dan stuk?
Google en duckje gaven niet echt een geweldig antwoord.

Endpoint: Surface Pro 4, Win 10 - 1903 Pro (met Nov 2019 rollup)
Als ik het goed heb, unenroll je je device uit je Intune omgeving. Dus al je MDM policies etc worden dan van je device verwijderd.
Volgens mij is die bovenste het feit dat je je device hebt geregistreerd in de company portal waarmee je je company apps kunt (laten) installeren.

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

Collega vroeg vandaag aan mij welke policies we aan Outlook hebben toegekend, want er komt een bericht naar voren dat wat hij wilde doen is beperkt door beleid opgelegd door de beheerder. Ik ben mij van geen kwaad bewust. En Google resultaten geven het verkeerde antwoord.

Wat zou de reden zijn om zo'n melding te geven, als je op een link in een email klikt? En dan voornamelijk voor mailto links, want naar een site beperken is prima om troep te voorkomen via mail. Het is iig niet een probleem van standaard programma dat niet goed is gekoppeld.

Commandline FTW

Hero of Time schreef op donderdag 16 januari 2020 @ 19:34:
Collega vroeg vandaag aan mij welke policies we aan Outlook hebben toegekend, want er komt een bericht naar voren dat wat hij wilde doen is beperkt door beleid opgelegd door de beheerder. Ik ben mij van geen kwaad bewust. En Google resultaten geven het verkeerde antwoord.

Wat zou de reden zijn om zo'n melding te geven, als je op een link in een email klikt? En dan voornamelijk voor mailto links, want naar een site beperken is prima om troep te voorkomen via mail. Het is iig niet een probleem van standaard programma dat niet goed is gekoppeld.
Jullie zitten toch in Office 365 met de mail, misschien wat standaard (ATP) policies?

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

shadowman12 schreef op donderdag 16 januari 2020 @ 19:37:
[...]

Jullie zitten toch in Office 365 met de mail, misschien wat standaard (ATP) policies?
Zou kunnen. Geen ervaring mee, vandaar m'n vraag. :) Ik dacht dat Office policies niet via je Exchange verbinding van Outlook kwam, maar via GPO van je AD. Maar anderzijds ook wel logisch om dat op die manier te doen.

Als ik een gaatje in m'n tijd vind morgen en hier aan denk kan ik eens kijken in de Exchange Online omgeving hiervoor.

Commandline FTW

Hero of Time schreef op donderdag 16 januari 2020 @ 19:41:
[...]

Zou kunnen. Geen ervaring mee, vandaar m'n vraag. :) Ik dacht dat Office policies niet via je Exchange verbinding van Outlook kwam, maar via GPO van je AD. Maar anderzijds ook wel logisch om dat op die manier te doen.

Als ik een gaatje in m'n tijd vind morgen en hier aan denk kan ik eens kijken in de Exchange Online omgeving hiervoor.
Nee dat soort dingen zul je echt niet via een GPO komen. Ik zou ook in Exchange Online Protection kijken en ATP(Advanced Threat Protection). Exchange Online zelf zou ik eigenlijk niet verwachten maar kan natuurlijk wel.

shadowman12 wijzigde deze reactie 16-01-2020 20:34 (6%)

Assumption is the mother of all fuck ups


  • kromme
  • Registratie: april 2004
  • Laatst online: 23-01 20:17

kromme

Doe hubs slaag in het koffer..

Afgelopen weekend heeft mijn collega onze 2008 fileserver gemigreerd naar 2016. Vanaf die dag alleen maar ellende. Files die corrupt raken (voornamelijk pst files, en ja ik weet we moeten daar vanaf). Maar ook dat alles heel traag is op het netwerk. We krijgen het ook niet gepinpoint. We hebben de netwerkkaart al omgezet. Heeft iemand hier nog een idee?

Keep it calm...en lek mig de zuk


  • Brahiewahiewa
  • Registratie: oktober 2001
  • Laatst online: 14:23

Brahiewahiewa

boelkloedig

kromme schreef op donderdag 16 januari 2020 @ 23:52:
... Heeft iemand hier nog een idee?
Tuluk niet; de glazen bol is nog steeds in reparatie
Gewoon de backup van server 2008 terugzetten en de volgende keer beter voorbereiden en beter testen

QnJhaGlld2FoaWV3YQ==


  • nextware
  • Registratie: mei 2002
  • Laatst online: 12:02
Hero of Time schreef op donderdag 16 januari 2020 @ 19:34:
Collega vroeg vandaag aan mij welke policies we aan Outlook hebben toegekend, want er komt een bericht naar voren dat wat hij wilde doen is beperkt door beleid opgelegd door de beheerder. Ik ben mij van geen kwaad bewust. En Google resultaten geven het verkeerde antwoord.

Wat zou de reden zijn om zo'n melding te geven, als je op een link in een email klikt? En dan voornamelijk voor mailto links, want naar een site beperken is prima om troep te voorkomen via mail. Het is iig niet een probleem van standaard programma dat niet goed is gekoppeld.
Is dat niet zo'n standaard "bug" van Outlook dat links in een mail ineens niet meer werken ? Volgens mij werd dit veroorzaakt door het feit dat zijn standaard browser niet lekker meer ingesteld staat. Wellicht is zijn standaard mail programma omgezet naar Windows Mail ipv Outlook (even ervan uitgaande dat je Windows 10 gebruikt) ?

  • Oogje
  • Registratie: oktober 2003
  • Niet online
kromme schreef op donderdag 16 januari 2020 @ 23:52:
Afgelopen weekend heeft mijn collega onze 2008 fileserver gemigreerd naar 2016. Vanaf die dag alleen maar ellende. Files die corrupt raken (voornamelijk pst files, en ja ik weet we moeten daar vanaf). Maar ook dat alles heel traag is op het netwerk. We krijgen het ook niet gepinpoint. We hebben de netwerkkaart al omgezet. Heeft iemand hier nog een idee?
Pst’s verwijderen, klaar. Die maken de boel ook traag :P
Staat SMB signing aan?

Any errors in spelling, tact, or fact are transmission errors.

kromme schreef op donderdag 16 januari 2020 @ 23:52:
Afgelopen weekend heeft mijn collega onze 2008 fileserver gemigreerd naar 2016. Vanaf die dag alleen maar ellende. Files die corrupt raken (voornamelijk pst files, en ja ik weet we moeten daar vanaf). Maar ook dat alles heel traag is op het netwerk. We krijgen het ook niet gepinpoint. We hebben de netwerkkaart al omgezet. Heeft iemand hier nog een idee?
Gebruik je NTFS of ReFS?
Staat Deduplication aan?
Wat zeggen de event logs?
Gebeurt het bij hele grote bestanden, of allerlei bestanden?

Wat meer troubleshooting informatie is wel handig ;)

Misschien corrupt volume:
https://www.altaro.com/hy...ystems-vms-repair-volume/

shadowman12 wijzigde deze reactie 17-01-2020 08:47 (7%)

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

nextware schreef op vrijdag 17 januari 2020 @ 06:29:
[...]

Is dat niet zo'n standaard "bug" van Outlook dat links in een mail ineens niet meer werken ? Volgens mij werd dit veroorzaakt door het feit dat zijn standaard browser niet lekker meer ingesteld staat. Wellicht is zijn standaard mail programma omgezet naar Windows Mail ipv Outlook (even ervan uitgaande dat je Windows 10 gebruikt) ?
Wat je voorstelt is nou net wat ik als laatste zei. Ik vond dat namelijk wel als hints, maar in Instellingen staat gewoon Outlook 2013 gekoppeld aan het mailto protocol en Chrome aan url, http en https.

Ik zou eens bij een collega kunnen kijken of het daar wel werkt. Dat had ik nog niet gedaan. Doet 'ie daar wel, dan is het geen beleid en is er iets op z'n eigen systeem in de war.

Commandline FTW


  • WeirCo
  • Registratie: januari 2009
  • Laatst online: 21-01 10:50
kromme schreef op donderdag 16 januari 2020 @ 23:52:
Afgelopen weekend heeft mijn collega onze 2008 fileserver gemigreerd naar 2016. Vanaf die dag alleen maar ellende. Files die corrupt raken (voornamelijk pst files, en ja ik weet we moeten daar vanaf). Maar ook dat alles heel traag is op het netwerk. We krijgen het ook niet gepinpoint. We hebben de netwerkkaart al omgezet. Heeft iemand hier nog een idee?
Mijn eerste gedachte is ook SMB signing, kan me herinneren dat we hier ooit ook grote problemen mee hebben gehad, niet met PST's maar met file locking.

PVoutput


  • kromme
  • Registratie: april 2004
  • Laatst online: 23-01 20:17

kromme

Doe hubs slaag in het koffer..

Oogje schreef op vrijdag 17 januari 2020 @ 07:06:
[...]

Pst’s verwijderen, klaar. Die maken de boel ook traag :P
Staat SMB signing aan?
De server is ook DC, staat default aan dan geloof ik.
Brahiewahiewa schreef op vrijdag 17 januari 2020 @ 03:10:
[...]

Tuluk niet; de glazen bol is nog steeds in reparatie
Gewoon de backup van server 2008 terugzetten en de volgende keer beter voorbereiden en beter testen
Dat gaat niet, files zijn al in gebruik op server 2016.

kromme wijzigde deze reactie 17-01-2020 22:36 (39%)

Keep it calm...en lek mig de zuk


  • kromme
  • Registratie: april 2004
  • Laatst online: 23-01 20:17

kromme

Doe hubs slaag in het koffer..

oeps

kromme wijzigde deze reactie 17-01-2020 22:35 (96%)

Keep it calm...en lek mig de zuk


  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 22:51

The Eagle

I wear my sunglasses at night

@kromme is dat niet een gevalletje: you break it, you fix it?

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

Windows Server 2016 fileservers hebben natuurlijk een boel meer features die problemen geven dan een 2008 fileserver, dus dat wordt flink troubleshooten denk ik.

shadowman12 wijzigde deze reactie 18-01-2020 15:29 (26%)

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

Hoe heeft dit in productie kunnen komen zonder PoC en fatsoenlijke plannen in geval het toch niet werkt als gedacht?

Commandline FTW


  • KRGT
  • Registratie: september 2001
  • Niet online

KRGT

Have a nice day!

Hero of Time schreef op zaterdag 18 januari 2020 @ 17:42:
Hoe heeft dit in productie kunnen komen zonder PoC en fatsoenlijke plannen in geval het toch niet werkt als gedacht?
Gezien de shares op de DC staan zal er vast niet de ruimte voor zijn :+
Hero of Time schreef op zaterdag 18 januari 2020 @ 17:42:
Hoe heeft dit in productie kunnen komen zonder PoC en fatsoenlijke plannen in geval het toch niet werkt als gedacht?
Goede vraag, ben ik ook benieuwd naar ;)

shadowman12 wijzigde deze reactie 18-01-2020 17:51 (22%)

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

KRGT schreef op zaterdag 18 januari 2020 @ 17:49:
[...]

Gezien de shares op de DC staan zal er vast niet de ruimte voor zijn :+
Onze DC is ook fileserver nu. Straks niet meer, dat gaat de Synology doen. Waarbij ik dus het scenario heb dat als het niet werkt, de huidige server zo weer ingezet kan worden. Want ik ga er niet direct VMware op smijten zodra de boel over is. Dan kan je dit soort gedoe krijgen.

En als er wordt gezegd dat er niet voldoende schijfruimte is, vind ik dat BS. Als je serieus je DC als FS laat dienen, ben je een kleine speler en heb je niet een paar PB aan data er op staan. De data moet tijdens de verandering ergens dubbel hebben gestaan, of de oude DC heeft een nieuwe install gekregen. Iets wat mij zeer onwaarschijnlijk is vanwege de grote hoeveelheid tijd dat je nodig hebt om alles weer op te tuigen.



@shadowman12, ik kan je pre-edit bericht gewoon lezen, dat weet je toch? Heb jij nooit zoiets gedaan? En zeker na afloop checks doen vanaf je eigen systeem en alles goed hebben, zonder de overige gevolgen te weten en testen?
Geloof mij, ik had al het een en ander uitvoerig gelezen en zelfs de boel teruggedraaid. 1 dingetje missen is menselijk.

Hero of Time wijzigde deze reactie 18-01-2020 17:57 (16%)

Commandline FTW

Hero of Time schreef op zaterdag 18 januari 2020 @ 17:53:
[...]

Onze DC is ook fileserver nu. Straks niet meer, dat gaat de Synology doen. Waarbij ik dus het scenario heb dat als het niet werkt, de huidige server zo weer ingezet kan worden. Want ik ga er niet direct VMware op smijten zodra de boel over is. Dan kan je dit soort gedoe krijgen.

En als er wordt gezegd dat er niet voldoende schijfruimte is, vind ik dat BS. Als je serieus je DC als FS laat dienen, ben je een kleine speler en heb je niet een paar PB aan data er op staan. De data moet tijdens de verandering ergens dubbel hebben gestaan, of de oude DC heeft een nieuwe install gekregen. Iets wat mij zeer onwaarschijnlijk is vanwege de grote hoeveelheid tijd dat je nodig hebt om alles weer op te tuigen.



@shadowman12, ik kan je pre-edit bericht gewoon lezen, dat weet je toch? Heb jij nooit zoiets gedaan? En zeker na afloop checks doen vanaf je eigen systeem en alles goed hebben, zonder de overige gevolgen te weten en testen?
Geloof mij, ik had al het een en ander uitvoerig gelezen en zelfs de boel teruggedraaid. 1 dingetje missen is menselijk.
Wat ik me wel afvraag is op de synology genoeg resources heeft om en de storage en filesysteem te regelen en het smb verkeer voor alle gebruikers. Heb je dat al getest?

Want normaal regelt de synology toch alleen filesysteem en storage en wordt drive daarvan gemapped naar een andere server die het smb verkeer regelt voor de gebruikers? Het is ook wel een enorme SPOF dan, als de synology uitvalt kan niemand meer bij zijn files.

[hr[
@Hero of Time dat wist ik niet, maar goed, het was een beetje de pot verwijt de ketal enzo. Het gaat nu niet om mij, betrek mij er aub niet bij.

shadowman12 wijzigde deze reactie 18-01-2020 18:08 (12%)

Assumption is the mother of all fuck ups


  • HKLM_
  • Registratie: februari 2009
  • Laatst online: 21:21

HKLM_

www.cloud23.nl

shadowman12 schreef op zaterdag 18 januari 2020 @ 18:02:
[...]


Wat ik me wel afvraag is op de synology genoeg resources heeft om en de storage en filesysteem te regelen en het smb verkeer voor alle gebruikers. Heb je dat al getest?

Want normaal regelt de synology toch alleen filesysteem en storage en wordt drive daarvan gemapped naar een andere server die het smb verkeer regelt voor de gebruikers? Het is ook wel een enorme SPOF dan, als de synology uitvalt kan niemand meer bij zijn files.

[hr[
@Hero of Time dat wist ik niet, maar goed, het was een beetje de pot verwijt de ketal enzo. Het gaat nu niet om mij, betrek mij er aub niet bij.
Pak je toch gewoon een tweede synology die in sync is. Heeft synology best goed over nagedacht in hun software en is easy op te zetten en te managen. Wij houden een 35TB synology in sync en ik hoef er werkelijk bijna niet naar om te kijken.

Ubiquiti • 2 site’s • 2x Unifi USG 3P • Unifi Switch 16 ports 150w • 2x Unifi AC-LR • 2x Unifi AC-Lite • Unifi CloudKey


  • __fred__
  • Registratie: november 2001
  • Laatst online: 24-01 10:22
MrNGm schreef op woensdag 8 januari 2020 @ 12:23:

We zijn op zoek naar iets, liefst open-source/voor Linux, dat tiering aankan, geen SPOF in zo'n metadata-server heeft, en het liefst aan automatische deduplicatie kan doen. Ceph hebben we al onderzocht, maar heeft "niet echt" tiering-functionaliteit (of we moeten iets over het hoofd hebben gezien).
Ceph is denk ik qua tiering een van de meest flexibele door het gebruik van Crush maps en device classes. Vraag is wat je zoekt, maar standaard cache tiering is mogelijk:

https://docs.ceph.com/doc...operations/cache-tiering/

hybrid tiering:

https://ceph.io/planet/ceph-hybrid-storage-tiers/

tiering op basis van device classes:

https://ceph.com/communit...ous-crush-device-classes/

en anders kun je altijd nog zelf je crush maps schrijven en iets unieks verzinnen.

  • kromme
  • Registratie: april 2004
  • Laatst online: 23-01 20:17

kromme

Doe hubs slaag in het koffer..

Hero of Time schreef op zaterdag 18 januari 2020 @ 17:42:
Hoe heeft dit in productie kunnen komen zonder PoC en fatsoenlijke plannen in geval het toch niet werkt als gedacht?
Dit omdat er de eerste dag na de migratie, helemaal geen problemen waren leek het. 2de dag waren er wat kleine problemen. Zo werd het van kwaad tot erger. En inmiddels kom je er san achter dat de problemen die er zijn door de migratie komen maar je niet meer terug kan.
The Eagle schreef op zaterdag 18 januari 2020 @ 14:36:
@kromme is dat niet een gevalletje: you break it, you fix it?
Nee, je bent een team naar mijn mening.

kromme wijzigde deze reactie 18-01-2020 19:58 (18%)

Keep it calm...en lek mig de zuk

kromme schreef op zaterdag 18 januari 2020 @ 19:56:
[...]


Dit omdat er de eerste dag na de migratie, helemaal geen problemen waren leek het. 2de dag waren er wat kleine problemen. Zo werd het van kwaad tot erger. En inmiddels kom je er san achter dat de problemen die er zijn door de migratie komen maar je niet meer terug kan.


[...]

Nee, je bent een team naar mijn mening.
Als ik het zo hoor dan begin ik steeds meer aan een proces wat is gaan lopen zoals bijvooreeld Deduplicatie. Maar ja dat is echt glazen bol werk.

shadowman12 wijzigde deze reactie 18-01-2020 20:02 (7%)

Assumption is the mother of all fuck ups


  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 22:51

The Eagle

I wear my sunglasses at night

kromme schreef op zaterdag 18 januari 2020 @ 19:56:
[...]


Dit omdat er de eerste dag na de migratie, helemaal geen problemen waren leek het. 2de dag waren er wat kleine problemen. Zo werd het van kwaad tot erger. En inmiddels kom je er san achter dat de problemen die er zijn door de migratie komen maar je niet meer terug kan.


[...]

Nee, je bent een team naar mijn mening.
Oh zeker, maar het een sluit het ander ook niet uit. Zoals ik je bericht lag had hij het stukgemaakt en mocht jij het oplossen. Dat flik je in een team niet idd.
Having said that zou ik degene die er mee bezig was wel als primaire oplossen willen zien, al is dat alleen al omdat die het diepste in de materie zit en weet wat er feitelijk gebeurd is. En daarnaast elkaar helpen om te zorgen dat er de volgende keer dat er een upgrade plaatsvindt, een kleinere impact is :)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • MrNGm
  • Registratie: augustus 2004
  • Laatst online: 25-01 22:58
__fred__ schreef op zaterdag 18 januari 2020 @ 18:18:
[...]


Ceph is denk ik qua tiering een van de meest flexibele door het gebruik van Crush maps en device classes. Vraag is wat je zoekt, maar standaard cache tiering is mogelijk:

https://docs.ceph.com/doc...operations/cache-tiering/

hybrid tiering:

https://ceph.io/planet/ceph-hybrid-storage-tiers/

tiering op basis van device classes:

https://ceph.com/communit...ous-crush-device-classes/

en anders kun je altijd nog zelf je crush maps schrijven en iets unieks verzinnen.
Heb ik gezien, maar als je naar een iets recentere versie van de documentatie kijkt staat er ook vrij groot "A word of caution".

In ons geval is deze vorm van tiering onhandig. Het kan zijn dat een object buiten de "recently accessed" timeframe valt, maar we deze nog steeds op snelle storage willen hebben. Dat oplossen door er af en toe een request naartoe te sturen is niet echt zinnig te noemen.

Edit: nog een kleine addendum: met de RGW (object storage) kan je tiering doen, maar zal de metadata altijd bij de initiële tier blijven*. Dat is ook onhandig, want dan moet je altijd de metadata op die ene tier opvragen, ook al staat de data op een andere tier (bijv. ander datacenter)

* als je meer info wil, laat maar weten.

MrNGm wijzigde deze reactie 20-01-2020 17:31 (12%)

Ik wil OpenSSH for Windows gaan implementeren, maar een aantal omgevingen hebben al SSH processen draaien (Bitvise en dergelijke)
Ik heb de volgende ideeen:
  • Extra IP adres waar wij op poort 22 naar OpenSSH for Windows verbinden
  • Klanten die Bitvise gebruiken omzetten naar OpenSSH for Windows
SSH poort veranderen voor ons zelf is geen optie

Iemand anders nog andere ideeen?

shadowman12 wijzigde deze reactie 21-01-2020 09:27 (13%)

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

Geen openssh op Windows gebruiken, maar een dedicated Linux machine?

Wat zijn de beweegredenen voor ssh server op Windows?

Commandline FTW

Hero of Time schreef op dinsdag 21 januari 2020 @ 19:56:
Geen openssh op Windows gebruiken, maar een dedicated Linux machine?

Wat zijn de beweegredenen voor ssh server op Windows?
Nee dat is eigenlijk niet wat we willen, we willen sowieso de OpenSSH daemon op alle onze Windows servers hebben, maar sommige klanten hebben zelf al SFTP of SSH servers draaien op hun omgeving.

Omdat we onze windows servers met OpenSSH for Windows willen beheren zoals we ook doen met onze Linux servers. We hebben al een flinke ansible omgeving die een deel van linux omgeving beheert en die willen we dan ook gebruiken voor onze Windows omgeving. SSH op Windows is daar wel een belangrijke voorwaarde voor.

shadowman12 wijzigde deze reactie 21-01-2020 20:16 (19%)

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 16:30

Hero of Time

Moderator NOS/CSA

There is only one Legend

Ik dacht dat Ansible for Windows remote powershell deed, ipv ssh. Maar als je echt in Windows komt en niet een of andere nep omgeving, dan is dat IMO best netjes.

Weet je trouwens zeker dat die bitvise niet stiekem op alle interfaces en adressen gaat hangen? Of dat de Windows SSH server dat gaat doen?

Commandline FTW

Hero of Time schreef op dinsdag 21 januari 2020 @ 20:17:
Ik dacht dat Ansible for Windows remote powershell deed, ipv ssh. Maar als je echt in Windows komt en niet een of andere nep omgeving, dan is dat IMO best netjes.

Weet je trouwens zeker dat die bitvise niet stiekem op alle interfaces en adressen gaat hangen? Of dat de Windows SSH server dat gaat doen?
Je kan een default shell instellen bij de configuratie van OpenSSH for Windows, dus dan kun je via ssh gewoon powershell afvuren of cmd.exe, maakt eigenlijk niet zoveel meer uit. Ansible ondersteunt ook OpenSSH for Windows

Op welke interfaces en adressen Bitvise luistert moet ik nog even naar kijken.

shadowman12 wijzigde deze reactie 21-01-2020 20:46 (37%)

Assumption is the mother of all fuck ups

Pagina: 1 ... 16 17 18 Laatste


Apple iPhone 11 Microsoft Xbox Series X LG OLED C9 Google Pixel 4 CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True