Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

  • Grvy
  • Registratie: juni 2008
  • Laatst online: 00:41

Grvy

Bot

@asing alhoewel ik het met je eens ben, maar om gezeik met de modjes te verkomen, zullen we hem dan ook gelijk het juiste topic inhelpen?

Persoonlijk vind ik de vragen niet erg.. maarjah ik weet nog een gehele discussie hierover van een paar topics terug. :P

Omdat het moet.


  • asing
  • Registratie: oktober 2001
  • Laatst online: 06-07 20:02
Grvy schreef op woensdag 29 april 2020 @ 19:43:
@asing alhoewel ik het met je eens ben, maar om gezeik met de modjes te verkomen, zullen we hem dan ook gelijk het juiste topic inhelpen?

Persoonlijk vind ik de vragen niet erg.. maarjah ik weet nog een gehele discussie hierover van een paar topics terug. :P
Ik denk niet dat er op dit moment nog veel te helpen is. Alleen troost voor de arme jongen... ;(

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

shadowman12 schreef op woensdag 29 april 2020 @ 18:21:
[...]

Hoezo is dat een flut oplossing, op Linux moet je toch ook wel is een cron job aanmaken om bepaalde dingen te laten gebeuren? Azure is een dienst constant in ontwikkeling en Microsoft is bezig hiervoor iets te ontwikkelen, tot dat moet het even zo.
Omdat MS een sync tool aanbied, hier een computeraccount voor aanmaakt, maar je moet elke 30 dagen handmatig (of via een niet zo ideale geplande taak) de kerberos tickets vernieuwen. Het vereist nu twee dingen: de credentials voor de global admin in Azure én domain admin privileges om het computeraccount te kunnen updaten.

Nu las ik dat iemand het met een 'normaal' account heeft laten werken voor het lokale deel door de rechten op het computerobject aan te passen, maar het is nog steeds apart dat dit niet in de sync tool zelf zit. Je moet al inloggen met global Azure Admin om de sync in te schakelen. Die tool maakt ook het computerobject, waarom kan het dan niet met diezelfde gegevens en methode de kerberos tickets bijwerken?
Waarom gebruik je uberhaupt PHS?
Omdat ik van ADFS af wil en PTA later pas komt, als de interne zooi verandert.

Commandline FTW | Tweakt met mate


  • downtime
  • Registratie: januari 2000
  • Niet online

downtime

Everybody lies

Harmen schreef op woensdag 29 april 2020 @ 19:32:
Niet handig inderdaad, helaas ging de restore iets te snel zonder goed plan van aanpak. Bedankt voor de tips. :)
Je bent mooi klaar met zo'n collega. Altijd jammer dat de minst capabele collega's ook altijd de mensen zijn die niet overleggen voordat ze iets doen.

  • Tylen
  • Registratie: september 2000
  • Laatst online: 08:32

Tylen

ONK SuperCup 1000 #6

Ooit ook veel exchange omgevingen gerepareerd. Priv.edb kon geloof ik max 20GB (of was het 2GB??) zijn met een bepaalde licentie. Was met exchange 5 of 5.5.

Heb zelfs hele schaduw domain controllers opgebouwd met daarnaast nieuwe exchange server om de backup erop te restoren om 1 mailtje terug te halen...... pffff. Waren altijd wel leuke klusjes. 😂

A wise man once said: 'Work is not a place."


  • asing
  • Registratie: oktober 2001
  • Laatst online: 06-07 20:02
In die tijd was het 2GB.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

Renegade666 schreef op woensdag 29 april 2020 @ 14:02:
[...]


WMF 5.1 installeren..
https://docs.microsoft.co...ershell?view=powershell-7

Deze verloopt volgens de setup succesvol, maar vervolgens geen nieuwe powershell.
.net etc is gewoon bij.
Vanaf een elevated prompt de setup starten?

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


Acties:
  • 0Henk 'm!

  • Dromer
  • Registratie: juni 2000
  • Laatst online: 06-07 18:00
Een klant van ons wil graag de portal van een financiele applicatie ontsluiten naar het internet.
Ik heb aangegeven dit zeer onverstandig te vinden, gezien potentiele beveiligings issues.
Volgens diverse mensen waar de klant mee werkt is het installeren van een SSL certificaatr meer als genoeg en ik vind dat er wel wat meer achter zit als alleen een SSL certificaat.
Betreft een Windows 2019 server met IIS
Klant heeft geen actief onderhouds beleid bij ons dus patchen en updates gebeurt onregelmatig, eigenlijk alleen maar als er een dermate risico is dat het totaal onverantwoord is ( ik vind niet patchen al totaal niet verantwoord maar ok )
Wat is jullie visie daarop?
Zie ik het te moeilijk als ik zeg dat een SSL certificaat lang niet voldoende is?

Acties:
  • +1Henk 'm!

  • Oogje
  • Registratie: oktober 2003
  • Niet online
Dromer schreef op dinsdag 12 mei 2020 @ 09:11:
Een klant van ons wil graag de portal van een financiele applicatie ontsluiten naar het internet.
Ik heb aangegeven dit zeer onverstandig te vinden, gezien potentiele beveiligings issues.
Volgens diverse mensen waar de klant mee werkt is het installeren van een SSL certificaatr meer als genoeg en ik vind dat er wel wat meer achter zit als alleen een SSL certificaat.
Betreft een Windows 2019 server met IIS
Klant heeft geen actief onderhouds beleid bij ons dus patchen en updates gebeurt onregelmatig, eigenlijk alleen maar als er een dermate risico is dat het totaal onverantwoord is ( ik vind niet patchen al totaal niet verantwoord maar ok )
Wat is jullie visie daarop?
Zie ik het te moeilijk als ik zeg dat een SSL certificaat lang niet voldoende is?
Een SSL certificaat (dus site op HTTPS draaien) geeft alleen maar aan de browser aan dat de connectie versleuteld is en de identiteit van de server klopt. Dat zegt helemaal niets over de security van het pakket of de server zelf.
Je kan prima een SQL injection doen op een HTTPS site, dus je doet niet te moeilijk.

Any errors in spelling, tact, or fact are transmission errors.


Acties:
  • +1Henk 'm!

  • Paul
  • Registratie: september 2000
  • Laatst online: 06-07 13:47
Absoluut niet. Een TLS-certificaat is het absolute minimum.

Denk qua inrichting aan:
- TLS protocols en ciphers
- OS level patches
- application level patches
- OS hardening
- application hardening
- IIS hardening
- multi-factor authenticatie
- reverse proxy / web application firewall
- monitoring en ingrijpen op verdachte connectie
- ik vergeet vast dingen :P

En dat is alleen waar je als serverbeheerder iets mee kunt; de leverancier moet ook zorgen dat de zaakjes op orde zijn.

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


Acties:
  • 0Henk 'm!

  • Mantis
  • Registratie: maart 2003
  • Laatst online: 21:31
Dromer schreef op dinsdag 12 mei 2020 @ 09:11:
Een klant van ons wil graag de portal van een financiele applicatie ontsluiten naar het internet.
Ik heb aangegeven dit zeer onverstandig te vinden, gezien potentiele beveiligings issues.
Volgens diverse mensen waar de klant mee werkt is het installeren van een SSL certificaatr meer als genoeg en ik vind dat er wel wat meer achter zit als alleen een SSL certificaat.
Betreft een Windows 2019 server met IIS
Klant heeft geen actief onderhouds beleid bij ons dus patchen en updates gebeurt onregelmatig, eigenlijk alleen maar als er een dermate risico is dat het totaal onverantwoord is ( ik vind niet patchen al totaal niet verantwoord maar ok )
Wat is jullie visie daarop?
Zie ik het te moeilijk als ik zeg dat een SSL certificaat lang niet voldoende is?
Indien alleen de klant zelf de applicatie moet benaderen, kan je Azure Application Proxy of Cloudflare Access gebruiken om het eenvoudig en veilig beschikbaar te maken.

Acties:
  • 0Henk 'm!

  • Dromer
  • Registratie: juni 2000
  • Laatst online: 06-07 18:00
Thx voor de bevestigende reacties, blij om te weten dat ik niet "moeilijk" ben :)

  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 23:00

The Eagle

I wear my sunglasses at night

Mijn klant werkt met een citrix omgeving. Dat ie dichtgespijkerd is is verre van handig, maar daar gaat mijn probleem niet over :P
Probleem is namelijk dat die citrix client nogal een battery drain veroorzaakt. Kreng staat constant open en vreet ca 30% van de accu van mijn laptop op. Iemand enig idee waar dat door veroorzaakt wordt en hoe dat uit kan?

EIther that of mijn kersverse SSD (Samsung 970 NVMe) vreet veel meer power dan de oude (Hynix SC311 M2 Sata), maar dat lijkt me stug.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • Since87
  • Registratie: juli 2006
  • Laatst online: 22:50
Voor onze nieuwe RDS2019 omgeving de overstap gemaakt naar FSlogix.
Mooie tool en doet over het algemeen goed zijn werk.

Nu loop ik helaas tegen een probleem aan waar ik maar geen oplossing voor kan vinden.
We gebruiken 2 applicaties van nederlandse vendors, weet niet of ik hier de naam zomaar moet vermelden :-).
Deze maken een tmp bestand aan in appdata\local en willen deze vervolgens vullen en hernoemen.
De applicatie geeft dan een melding dat het bestand niet bestaat. Als ik onder de gebruiker naar de folder blader zie ik het bestand wel staan en kan ik er netjes in schrijven en hernoemen.

Wat ik verder heb uitgesloten:
  • de bewuste appdata\local folder toegevoegd aan uitzonderingen, wordt netjes aangemaakt in het _local profiel, maar maakt geen verschil
  • Processmonitor gebruikt, bestand wordt netjes aangemaakt door de exe, volgende stap is rename, maar kan het bestand niet meer vinden
  • Gebruiker local admin rechten gegeven, maakt geen verschil
  • Gebruiker toegevoegd aan de lokale exclude gebruikers groep. Er wordt een lokaal profiel gemaakt, maar maakt ook geen verschil
  • Clone gemaakt van een sessionhost, fslogix daarvan gegooit en nu werkt het wel.
  • Software leverancier gebeld, geven aan niet te weten wat er aan de hand is en hebben nog nooit van FSlogix gehoord.
Since87 schreef op donderdag 14 mei 2020 @ 10:07:
Voor onze nieuwe RDS2019 omgeving de overstap gemaakt naar FSlogix.
Mooie tool en doet over het algemeen goed zijn werk.

Nu loop ik helaas tegen een probleem aan waar ik maar geen oplossing voor kan vinden.
We gebruiken 2 applicaties van nederlandse vendors, weet niet of ik hier de naam zomaar moet vermelden :-).
Deze maken een tmp bestand aan in appdata\local en willen deze vervolgens vullen en hernoemen.
De applicatie geeft dan een melding dat het bestand niet bestaat. Als ik onder de gebruiker naar de folder blader zie ik het bestand wel staan en kan ik er netjes in schrijven en hernoemen.

Wat ik verder heb uitgesloten:
  • de bewuste appdata\local folder toegevoegd aan uitzonderingen, wordt netjes aangemaakt in het _local profiel, maar maakt geen verschil
  • Processmonitor gebruikt, bestand wordt netjes aangemaakt door de exe, volgende stap is rename, maar kan het bestand niet meer vinden
  • Gebruiker local admin rechten gegeven, maakt geen verschil
  • Gebruiker toegevoegd aan de lokale exclude gebruikers groep. Er wordt een lokaal profiel gemaakt, maar maakt ook geen verschil
  • Clone gemaakt van een sessionhost, fslogix daarvan gegooit en nu werkt het wel.
  • Software leverancier gebeld, geven aan niet te weten wat er aan de hand is en hebben nog nooit van FSlogix gehoord.
Je moet in dit geval echt weten hoe de applicatie werkt en hoe ze de appdata benaderen want als er hard een pad naar de appdata staat vermoed dat ik dat problemen geeft omdat FSLogix die redirect. Eigenlijk maakt ie gewoon een soort symbolic link naar de VHD van het user profiel.

Anders ffe een support ticket bij Microsoft inschieten:
https://social.msdn.micro...ort-request?forum=FSLogix

[Voor 6% gewijzigd door shadowman12 op 14-05-2020 10:17]

Assumption is the mother of all fuck ups


  • Since87
  • Registratie: juli 2006
  • Laatst online: 22:50
Dat vermoeden heb ik inderdaad ook. Maar hoe ga ik daar achterkomen, zoiets lijkt mij hardcoded te zijn.
Since87 schreef op donderdag 14 mei 2020 @ 10:32:
Dat vermoeden heb ik inderdaad ook. Maar hoe ga ik daar achterkomen, zoiets lijkt mij hardcoded te zijn.
Dat moeten de developers van de applicatie zelf uitzoeken. Gewoon vragen of ze je dat kunnen onderzoeken en aan je kunnen laten weten. Alleen de developers hebben toegang tot de source code waar dat in staat. En sowieso temp files horen niet in appdata, maar in C:\Temp, dus dat moeten ze sowieso veranderen, misschien kun je een rfc(request for change) of rfi(request for information) indienen bij ze.

[Voor 28% gewijzigd door shadowman12 op 14-05-2020 10:46]

Assumption is the mother of all fuck ups


  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

Since87 schreef op donderdag 14 mei 2020 @ 10:07:
Voor onze nieuwe RDS2019 omgeving de overstap gemaakt naar FSlogix.
Mooie tool en doet over het algemeen goed zijn werk.

Nu loop ik helaas tegen een probleem aan waar ik maar geen oplossing voor kan vinden.
We gebruiken 2 applicaties van nederlandse vendors, weet niet of ik hier de naam zomaar moet vermelden :-).
Deze maken een tmp bestand aan in appdata\local en willen deze vervolgens vullen en hernoemen.
De applicatie geeft dan een melding dat het bestand niet bestaat. Als ik onder de gebruiker naar de folder blader zie ik het bestand wel staan en kan ik er netjes in schrijven en hernoemen.

Wat ik verder heb uitgesloten:
  • de bewuste appdata\local folder toegevoegd aan uitzonderingen, wordt netjes aangemaakt in het _local profiel, maar maakt geen verschil
  • Processmonitor gebruikt, bestand wordt netjes aangemaakt door de exe, volgende stap is rename, maar kan het bestand niet meer vinden
  • Gebruiker local admin rechten gegeven, maakt geen verschil
  • Gebruiker toegevoegd aan de lokale exclude gebruikers groep. Er wordt een lokaal profiel gemaakt, maar maakt ook geen verschil
  • Clone gemaakt van een sessionhost, fslogix daarvan gegooit en nu werkt het wel.
  • Software leverancier gebeld, geven aan niet te weten wat er aan de hand is en hebben nog nooit van FSlogix gehoord.
Is dit een optie?
https://www.manageengine....-windows-file-server.html

misschien dat hij naar een andere temp wil schrijven?

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


  • Since87
  • Registratie: juli 2006
  • Laatst online: 22:50
@Duinkonijn , jou optie geprobeerd:
Ik zie alleen succes audits voorbij komen.
Er wordt een file aangemaakt met 1TMP.CDX.

Volgens het log van de applicatie wordt deze hernoemt naar 1.CDX, maar deze is niet te vinden tussen de audits.

In processmonitor is deze wel te vinden, met SetRenameInformationFile, result 'path not found'.
Dit terwijl een paar regels daarvoor het bestand wordt aangemaakt. Zelfde process, zelfde user.

@shadowman12
De leveranciers geven nog niet echt mee in het onderzoek, ze zeggen dat het zonder FSlogix wel werkt en dat het een configuratie iets moet zijn.

Een ticket aanmaken bij MS is een optie, alleen moeten wij daarvoor betalen en is mijn ervaring dat zij zich er vaak makkelijk vanaf maken. Daar wacht ik dus liever nog even mee.

Het blijft een apart verhaal, want niet alle users blijken er last van te hebben op een zelfde host. Tot nu toe kan ik daarin nog geen verschil vinden.
Since87 schreef op donderdag 14 mei 2020 @ 17:10:
@Duinkonijn , jou optie geprobeerd:
Ik zie alleen succes audits voorbij komen.
Er wordt een file aangemaakt met 1TMP.CDX.

Volgens het log van de applicatie wordt deze hernoemt naar 1.CDX, maar deze is niet te vinden tussen de audits.

In processmonitor is deze wel te vinden, met SetRenameInformationFile, result 'path not found'.
Dit terwijl een paar regels daarvoor het bestand wordt aangemaakt. Zelfde process, zelfde user.

@shadowman12
De leveranciers geven nog niet echt mee in het onderzoek, ze zeggen dat het zonder FSlogix wel werkt en dat het een configuratie iets moet zijn.

Een ticket aanmaken bij MS is een optie, alleen moeten wij daarvoor betalen en is mijn ervaring dat zij zich er vaak makkelijk vanaf maken. Daar wacht ik dus liever nog even mee.

Het blijft een apart verhaal, want niet alle users blijken er last van te hebben op een zelfde host. Tot nu toe kan ik daarin nog geen verschil vinden.
Heb je al in FSLogix logs gekeken of je daarin wat kan vinden, wellicht moet je het nog even aanzetten in de reg key die onderaan staan in het gelinkte artikel
%ProgramData%\FSLogix\Log

Zie hier voor meer info:
https://docs.microsoft.co...ing-diagnostics-reference

[Voor 7% gewijzigd door shadowman12 op 14-05-2020 18:13]

Assumption is the mother of all fuck ups


  • asing
  • Registratie: oktober 2001
  • Laatst online: 06-07 20:02
Since87 schreef op donderdag 14 mei 2020 @ 17:10:
De leveranciers geven nog niet echt mee in het onderzoek, ze zeggen dat het zonder FSlogix wel werkt en dat het een configuratie iets moet zijn.
Tijd om de ini files van dat pakket eens door te nemen. Sowieso heb je het als Devver niet begrepen als je dat doet. Er is een C:\windows\temp voor algememe zaken en een c:\users\naam\....\temp voor tijdelijke zaken onder het user account.

Anyhow, devvers zijn toch gemakzuchtig en als het bij hun werkt is het goed.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

asing schreef op donderdag 14 mei 2020 @ 19:29:
[...]


Tijd om de ini files van dat pakket eens door te nemen. Sowieso heb je het als Devver niet begrepen als je dat doet. Er is een C:\windows\temp voor algememe zaken en een c:\users\naam\....\temp voor tijdelijke zaken onder het user account.

Anyhow, devvers zijn toch gemakzuchtig en als het bij hun werkt is het goed.
Srsly wordt dat nog gebruikt .ini files?

Assumption is the mother of all fuck ups


Acties:
  • +1Henk 'm!

  • asing
  • Registratie: oktober 2001
  • Laatst online: 06-07 20:02
shadowman12 schreef op donderdag 14 mei 2020 @ 20:15:
[...]


Srsly wordt dat nog gebruikt .ini files?
Oh ja hoor :P . Ik checkte even mijn 2016 server en daar staan er al meer dan 900 op. En dan heb ik niks exotisch erop staan ;) .

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

asing schreef op donderdag 14 mei 2020 @ 20:23:
[...]


Oh ja hoor :P . Ik checkte even mijn 2016 server en daar staan er al meer dan 900 op. En dan heb ik niks exotisch erop staan ;) .
Zo bedoelde ik het niet, ik bedoelde meer .ini files om applicatie instellingen te conigureren.

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Paul
  • Registratie: september 2000
  • Laatst online: 06-07 13:47
Zeker, vooral bij portable apps. Al wordt er ook veel XML gebruikt

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


Acties:
  • +1Henk 'm!

  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

Ini/xml mooie programma’s als ze dat gebruiken.. beter als die hardcoded zooi

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


Acties:
  • 0Henk 'm!

  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

Since87 schreef op donderdag 14 mei 2020 @ 17:10:
@Duinkonijn , jou optie geprobeerd:
Ik zie alleen succes audits voorbij komen.
Er wordt een file aangemaakt met 1TMP.CDX.

Volgens het log van de applicatie wordt deze hernoemt naar 1.CDX, maar deze is niet te vinden tussen de audits.

In processmonitor is deze wel te vinden, met SetRenameInformationFile, result 'path not found'.
Dit terwijl een paar regels daarvoor het bestand wordt aangemaakt. Zelfde process, zelfde user.
Wellicht dat het een andere plek is?

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


Acties:
  • 0Henk 'm!
Dromer schreef op dinsdag 12 mei 2020 @ 09:11:
Een klant van ons wil graag de portal van een financiele applicatie ontsluiten naar het internet.
Ik heb aangegeven dit zeer onverstandig te vinden, gezien potentiele beveiligings issues.
Volgens diverse mensen waar de klant mee werkt is het installeren van een SSL certificaatr meer als genoeg en ik vind dat er wel wat meer achter zit als alleen een SSL certificaat.
Betreft een Windows 2019 server met IIS
Klant heeft geen actief onderhouds beleid bij ons dus patchen en updates gebeurt onregelmatig, eigenlijk alleen maar als er een dermate risico is dat het totaal onverantwoord is ( ik vind niet patchen al totaal niet verantwoord maar ok )
Wat is jullie visie daarop?
Zie ik het te moeilijk als ik zeg dat een SSL certificaat lang niet voldoende is?
Laten we is beginnen met de volgende vraag: wie is er verantwoordelijk voor de beschikbaarheid en continuiteit van die 2019 server? Wie beheert die server? Zit er een SLA op en zo ja wat voor een?

Je hebt gelijk als je zegt dat alleen een SSL certificaat onvoldoende is, maar je zou de klant wel advies kunnen geven hoe het wel kan, dan laat je de meerwaarde van jouw als dienstverlener zien. Eventueel kunnen wij je helpen dat advies goed neer te zetten naar de klant, mocht je daar hulp nodig bij hebben.

[Voor 12% gewijzigd door shadowman12 op 15-05-2020 13:49]

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Dromer
  • Registratie: juni 2000
  • Laatst online: 06-07 18:00
Thx voor de info Shadowman maar de dingen die jij benoemt lukken wel :)
was meer de vraag in zijn algemeenheid want als de klant er anders over denkt zit daar het grootste probleem, niet in de meerwaarde of advies want dat geef ik ze wel.

Acties:
  • 0Henk 'm!
Dromer schreef op vrijdag 15 mei 2020 @ 15:54:
Thx voor de info Shadowman maar de dingen die jij benoemt lukken wel :)
was meer de vraag in zijn algemeenheid want als de klant er anders over denkt zit daar het grootste probleem, niet in de meerwaarde of advies want dat geef ik ze wel.
Dat weet je pas als je met de klant in gesprek gaat hoe hij erover denkt. Wij kunnen dat niet zeggen voor je.
Ook zul je zelf moeten weten wat voor security beleid nodig is voor een windows server als je die beheerd vind ik, en eigenlijk moet dat gewoon standaard procedure zijn, niet dat je moet over kan steggelen met een klant. Uberhaupt dat een klant kan zeggen dat ie een SSL cert op zijn server voldoende vind ik bizar.
Gewoon zeggen wij beheren deze server, dus uit security oogpunt, moet er naast een ssl certificaat, dit gedaan worden, en kom je met een lekkere lijst:
Security Group Policies
Windows Firewall alleen poorten open die nodig zijn, rest dicht, of andere firewall.
Onnodige services uit enz

Eventueel zou ook kunnen kijken naar het Center for Internet Security die hebben daar een hele leidraad voor hoe je een server hardened, en GPO templates die je gewoon kan importeren (dan staat het wel heel strak dicht, wellicht moet je die dan fine tunen)

[Voor 55% gewijzigd door shadowman12 op 15-05-2020 18:05]

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

edit:
Moest in het andere topic. oeps.

[Voor 95% gewijzigd door Hero of Time op 15-05-2020 20:07]

Commandline FTW | Tweakt met mate


Acties:
  • 0Henk 'm!

  • Dromer
  • Registratie: juni 2000
  • Laatst online: 06-07 18:00
@shadowman12
Eeuhh, dat hebben we dus idd allemaal gedaan, en uiteraard staat de server nog steeds dicht.
Wij kunnen en nemen hier geen verantwoordelijkheid voor.
Nu weet ik niet in wat voor ict wereld jij werkt, maar bij ons kan de klant idd zeggen gewoon open gooien want dit of dat.
Of we dat doen hangt dus wel van een hoop zaken af, maar zeggen kunnen ze het altijd, het is immers hun omgeving lijkt me.

Acties:
  • 0Henk 'm!

  • Tylen
  • Registratie: september 2000
  • Laatst online: 08:32

Tylen

ONK SuperCup 1000 #6

The Eagle schreef op woensdag 13 mei 2020 @ 16:09:
Mijn klant werkt met een citrix omgeving. Dat ie dichtgespijkerd is is verre van handig, maar daar gaat mijn probleem niet over :P
Probleem is namelijk dat die citrix client nogal een battery drain veroorzaakt. Kreng staat constant open en vreet ca 30% van de accu van mijn laptop op. Iemand enig idee waar dat door veroorzaakt wordt en hoe dat uit kan?

EIther that of mijn kersverse SSD (Samsung 970 NVMe) vreet veel meer power dan de oude (Hynix SC311 M2 Sata), maar dat lijkt me stug.
Welke “Citrix Client”? De workspace app? Gateway plugin (vpn)? WEM Agent? etc etc etc.

Ik heb nog nooit gehoord dat die een battery drain veroorzaken. (Ben jaren werknemer van ze geweest, dus ben wel wat tegen gekomen)

A wise man once said: 'Work is not a place."


Acties:
  • +1Henk 'm!
Dromer schreef op vrijdag 15 mei 2020 @ 20:12:
@shadowman12
Eeuhh, dat hebben we dus idd allemaal gedaan, en uiteraard staat de server nog steeds dicht.
Wij kunnen en nemen hier geen verantwoordelijkheid voor.
Nu weet ik niet in wat voor ict wereld jij werkt, maar bij ons kan de klant idd zeggen gewoon open gooien want dit of dat.
Of we dat doen hangt dus wel van een hoop zaken af, maar zeggen kunnen ze het altijd, het is immers hun omgeving lijkt me.
Nou jah, ik zei: Windows Firewall alleen poorten open die nodig zijn, rest dicht, of andere firewall., daarin vallen dus ook poorten op verzoek van de klant. Soms zie je wel is servers die gewoon any-any hebben openstaan, daar doelde ik meer op, dat moet je niet willen als ie aan het internet hangt.
Een klant kan wel alles roepen, maar je mag in de huidige tijd wel een beetje security bewustzijn van ze verwachten. Het is ook jouw taak om ze tegen zichzelf te beschermen vindt ik.
Want wie is er straks de gebeten hond als de server gehackt wordt? Je kan er van uitgaan dat die bal dan heel hard naar jouw toekomt.

Nog veiliger is het als je er een juniper srx voorzet of een palo alto met ids/ips functionaliteit voorzet, maar dat hangt af van je eigen security beleid en dat van je klant. Ik ken organisaties die zeggen, zeker in de financiele wereld, er mag niks rechtstreeks aan het internet, alles moet achter een hardware firewall zoals een Juniper of Palo Alto.

[Voor 33% gewijzigd door shadowman12 op 15-05-2020 20:46]

Assumption is the mother of all fuck ups


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Hmm, Ben je bij een klant met een hybride exchange 2010 + 365 de mail aan het migreren, en heb je 11 mailboxen die niet willen..

De gewone gebruikers zijn allemaal gelukt, en de helft van de gedeelde mailboxen ook. Maar ander deel krijg dus een foutmelding:

MigrationPermanentException: You can‎'t use the domain because it‎'s not an accepted domain for your organization. --> You can‎'t use the domain because it‎'s not an accepted domain for your organization.

Heeft precies het zelfde domein als de andere, staat niks anders in de proxyadress etc.
Andere optie is dus een licentie toewijzen, terwijl enkele andere die goed zijn gegaan ook geen licentie hadden omdat het gedeelde mailboxen zijn en die gingen wel goed.
Probeer het dus nu met licenties, maar iemand anders een idee?

Edit:
Het werkt dus nu wel met een licentie.. Vreemd..
Nouja, 3 zijn klaar, 4 nog bezig, en daarna nog 4.

[Voor 6% gewijzigd door Renegade666 op 16-05-2020 10:55]

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 23:00

The Eagle

I wear my sunglasses at night

Tylen schreef op vrijdag 15 mei 2020 @ 20:18:
[...]


Welke “Citrix Client”? De workspace app? Gateway plugin (vpn)? WEM Agent? etc etc etc.

Ik heb nog nooit gehoord dat die een battery drain veroorzaken. (Ben jaren werknemer van ze geweest, dus ben wel wat tegen gekomen)
Citrix receiver 19.33. Windows roept iets over Citrix HDX.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • redfons
  • Registratie: februari 2017
  • Niet online
Renegade666 schreef op zaterdag 16 mei 2020 @ 09:51:
Hmm, Ben je bij een klant met een hybride exchange 2010 + 365 de mail aan het migreren, en heb je 11 mailboxen die niet willen..

De gewone gebruikers zijn allemaal gelukt, en de helft van de gedeelde mailboxen ook. Maar ander deel krijg dus een foutmelding:

MigrationPermanentException: You can‎'t use the domain because it‎'s not an accepted domain for your organization. --> You can‎'t use the domain because it‎'s not an accepted domain for your organization.

Heeft precies het zelfde domein als de andere, staat niks anders in de proxyadress etc.
Andere optie is dus een licentie toewijzen, terwijl enkele andere die goed zijn gegaan ook geen licentie hadden omdat het gedeelde mailboxen zijn en die gingen wel goed.
Probeer het dus nu met licenties, maar iemand anders een idee?

Edit:
Het werkt dus nu wel met een licentie.. Vreemd..
Nouja, 3 zijn klaar, 4 nog bezig, en daarna nog 4.
Ik heb hetzelfde bij een klant met Exchange 2013 -> 365.
Hoe heb je dit opgelost met een licentie?

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@redfons
Ik heb een paar mailboxen die al gemigreerd waren omgezet naar shared mailbox. De licenties daar vanaf gehaald en op de mailboxen gezet die over moeten.

Als ik straks klaar ben zet de licenties weer op de juiste boxen, en dan zou het klaar moeten zijn.

Maar blijft vreemd. In exhange 2010 set je via PS de mailbox om naar shared, en dan werkt deel wel, ander deel niet... echt weer MS.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |

Renegade666 schreef op zaterdag 16 mei 2020 @ 09:51:
Hmm, Ben je bij een klant met een hybride exchange 2010 + 365 de mail aan het migreren, en heb je 11 mailboxen die niet willen..

De gewone gebruikers zijn allemaal gelukt, en de helft van de gedeelde mailboxen ook. Maar ander deel krijg dus een foutmelding:

MigrationPermanentException: You can‎'t use the domain because it‎'s not an accepted domain for your organization. --> You can‎'t use the domain because it‎'s not an accepted domain for your organization.

Heeft precies het zelfde domein als de andere, staat niks anders in de proxyadress etc.
Andere optie is dus een licentie toewijzen, terwijl enkele andere die goed zijn gegaan ook geen licentie hadden omdat het gedeelde mailboxen zijn en die gingen wel goed.
Probeer het dus nu met licenties, maar iemand anders een idee?

Edit:
Het werkt dus nu wel met een licentie.. Vreemd..
Nouja, 3 zijn klaar, 4 nog bezig, en daarna nog 4.
Waarschijnlijk hebben ze een Primary STMP waarvan het domein niet toegevoegd in Exchange Online in de acdpeted domains.
Je zou met PowerShell in Exchange Online kunnen wat de accepted domains zijn en die kijken of hun domein er tussen staat. Ik weet helemaal meer zeker, maar volgens mij kun je alleen een accepted domain in Exhange Online toevoegen als geverifiveerd is in de tenant.,Snap je wat ik bedoel?

[Voor 10% gewijzigd door shadowman12 op 16-05-2020 11:08]

Assumption is the mother of all fuck ups


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@shadowman12

Nope, er is maar 1 domein. en zit in 365. En de mailbox heeft ook niet meer dan alleen de zelfde.
Het standaard .local. het domein.com. en mail.onmicrosoft.com adres (word voor migratie aangemaakt).

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |

Renegade666 schreef op zaterdag 16 mei 2020 @ 11:08:
@shadowman12

Nope, er is maar 1 domein. en zit in 365. En de mailbox heeft ook niet meer dan alleen de zelfde.
Het standaard .local. het domein.com. en mail.onmicrosoft.com adres (word voor migratie aangemaakt).
Ja .local is niet toegestaan in Office 365, vandaar dat je die foutmelding krijgt. Volgens mij moeten users inderdaad wel eerst een licentie hebben voordat je kan migreren.

[Voor 4% gewijzigd door shadowman12 op 16-05-2020 11:10]

Assumption is the mother of all fuck ups


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@shadowman12
.local word ook niet in 365 mee genomen.
Maar alles mailboxen hebben die, incl dus de gene die wel keurig zijn overgegaan.

En deels van gelukte hadden ook geen licentie, omdat het een gedeelde mailbox is. Dus kan/mag zonder licentie.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |

Renegade666 schreef op zaterdag 16 mei 2020 @ 11:11:
@shadowman12
.local word ook niet in 365 mee genomen.
Maar alles mailboxen hebben die, incl dus de gene die wel keurig zijn overgegaan.

En deels van gelukte hadden ook geen licentie, omdat het een gedeelde mailbox is. Dus kan/mag zonder licentie.
Ik snap je verhaal niet meer, want het is een beetje raar geformuleerd maar goed.

shared mailboxen is een ander verhaal dan normale mailboxen in Exhange Online. Shared Mailboxen zijn namelijk niet licentie plichtig, gewone mailboxen wel. Dus die kun je in dit geval niet met elkaar vergelijken.

[Voor 6% gewijzigd door shadowman12 op 16-05-2020 11:13]

Assumption is the mother of all fuck ups


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@shadowman12
Dat doe ik toch ook niet?

Ik heb users en shared mailboxen.
Had paar migratie taken.
1 taak > gewone users met licentie > gelukt
1 taak > gedeelde mailboxen en gebruikers mailboxen. > deels gedeelde mailboxen migreren wel, en deels niet. Die gedeelde hadden allemaal geen licentie. Waarom dan de helft wel en andere heflt niet kunnen migreren?

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |

Renegade666 schreef op zaterdag 16 mei 2020 @ 11:15:
@shadowman12
Dat doe ik toch ook niet?

Ik heb users en shared mailboxen.
Had paar migratie taken.
1 taak > gewone users met licentie > gelukt
1 taak > gedeelde mailboxen en gebruikers mailboxen. > deels gedeelde mailboxen migreren wel, en deels niet. Die gedeelde hadden allemaal geen licentie. Waarom dan de helft wel en andere heflt niet kunnen migreren?
Dat zul je moeten troubleshooten dat durf zo ik ook niet te zeggen vanaf een afstandje. Misschien een gratis suport ticket indienen?

Assumption is the mother of all fuck ups


Acties:
  • +1Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@shadowman12

Nee, want zoals ik zei, werkt het dus met een licentie wel, dus daar doe ik het wel mee. Zijn niet de grootste boxen, dus zijn vandaag wel klaar.

Ticket inschieten kom ik eerst weer met die waardeloze indiers uit die mijn vraag 5x herhalen om dan te zeggen, ja snappen we niet, je word naar 2de lijns gezet, om vervolgens een week verder te zijn.
Die 2de lijns weten vaak wel het nodige, maar kunnen vaak ook niet zelf oplossen omdat ze daar niet bij kunnen etc. Dus moeten weer wachten op een andere, en zijn dan 2 week verder.

Daar heb ik de tijd niet voor :)

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |

Renegade666 schreef op zaterdag 16 mei 2020 @ 11:19:
@shadowman12

Nee, want zoals ik zei, werkt het dus met een licentie wel, dus daar doe ik het wel mee. Zijn niet de grootste boxen, dus zijn vandaag wel klaar.

Ticket inschieten kom ik eerst weer met die waardeloze indiers uit die mijn vraag 5x herhalen om dan te zeggen, ja snappen we niet, je word naar 2de lijns gezet, om vervolgens een week verder te zijn.
Die 2de lijns weten vaak wel het nodige, maar kunnen vaak ook niet zelf oplossen omdat ze daar niet bij kunnen etc. Dus moeten weer wachten op een andere, en zijn dan 2 week verder.

Daar heb ik de tijd niet voor :)
Dit al gezien:
http://www.blogabout.cloud/2019/04/677/

http://azuredummies.com/2...in-for-your-organization/

[Voor 9% gewijzigd door shadowman12 op 16-05-2020 11:22]

Assumption is the mother of all fuck ups


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@shadowman12

Ja, maar dan zou het ook niet werken met een licentie..
En zoals ik zei, is er maar 1 domein.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Gekke gedachte, maar UPN van de shared mailboxen die niet willen (als ze die hebben) die ongemerkt op .local staat?

Commandline FTW | Tweakt met mate


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Nope, was ook allemaal aangepast.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |

Renegade666 schreef op zaterdag 16 mei 2020 @ 11:24:
@shadowman12

Ja, maar dan zou het ook niet werken met een licentie..
En zoals ik zei, is er maar 1 domein.
Dat weet ik het ook niet, I'm out. Zonder echte troubleshoot info kan ik je ook niet helpen.
Als je het echt wil weten zou je misschien een engineer van een Microsoft partner aan kunnen haken die je de goede richting op kan duwen. Denk aan InSpark of Communicativ

[Voor 20% gewijzigd door shadowman12 op 16-05-2020 11:38]

Assumption is the mother of all fuck ups


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@shadowman12
Mailboxen zijn ondertussen al over ;)

Zit nu met het volgende, waarom de wachtwoorden niet syncen :S

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |

Renegade666 schreef op zaterdag 16 mei 2020 @ 16:28:
@shadowman12
Mailboxen zijn ondertussen al over ;)

Zit nu met het volgende, waarom de wachtwoorden niet syncen :S
Even AD Connect induiken :P

Assumption is the mother of all fuck ups


Acties:
  • +1Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Heb de bril en snorkel al bij de hand :+


Gelukkig snel opgelost :+

https://enterinit.com/azu...tory-synchronization/amp/

[Voor 26% gewijzigd door Renegade666 op 16-05-2020 17:07]

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Kijk even naar de azureadsso computeraccount kerberos ticket status. Die zal met grote waarschijnlijkheid zijn verlopen, al lange tijd. Dan synct de boel niet meer.

Commandline FTW | Tweakt met mate


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@Hero of Time

Was een rechten issue van het sync account, zie vorige post. gelukkig nu opgelost :)

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Je edit zag ik pas nadat ik op 'Verstuur' had gedrukt. :P Ik heb iig iets vergelijkbaars gehad en had toen het account weggegooid en de AAD Sync dat ding opnieuw laten maken.

Nu moet ik elke 30 dagen het kerberos ticket handmatig vernieuwen, omdat de AAD Sync dat niet zelf kan. Achterlijk stuk software, waarom is dat jaren later nog steeds niet opgelost? Daar zorg je toch voor zodat je beheerders nog minder handmatige shit hoeven uit te voeren? Waarom gaan we anders de cloud in?

Commandline FTW | Tweakt met mate


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@Hero of Time
Was idd bij op post, en gelijk jou popup :P

Maar dat andere heb ik nog geen last van gehad.
Heb enkele servers draaien met deze software, voor de rest eigenlijk nog geen klachten gehad met geen syncende profielen.
Waar ik nu bezig was is een nieuwe setup, dus shit happens. maar bestaande gaan al lange tijd zonder problemen. ook heb ik nog geen collega's hier over gehoord. Vreemd.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

@Renegade666, in mijn geval gaat het om de situatie waar ik password hash synchronisatie (PHS) gebruik icm SSO. Als jullie nog ADFS of PTA gebruiken, dan kan dat natuurlijk anders werken. En geen SSO bij PTA/PHS, dat kan de beslissende setup zijn. Want bij mij syncen de wachtwoorden wel, maar zou SSO niet werken ivm ongeldige/verlopen kerberos tickets.

Commandline FTW | Tweakt met mate


Acties:
  • +1Henk 'm!

  • Tylen
  • Registratie: september 2000
  • Laatst online: 08:32

Tylen

ONK SuperCup 1000 #6

The Eagle schreef op zaterdag 16 mei 2020 @ 10:08:
[...]

Citrix receiver 19.33. Windows roept iets over Citrix HDX.
Wat is dat voor ouwe versie ;). We zitten al ruim in de Workspace app versie euh 2002 ofzo.

Even upgraden dus.

Maar 30% van een dag gebruik? Dat is toch netjes als je een werkdag volledig in een hdx sessie zit.

A wise man once said: 'Work is not a place."


  • Oogje
  • Registratie: oktober 2003
  • Niet online
Hero of Time schreef op zaterdag 16 mei 2020 @ 17:11:
Je edit zag ik pas nadat ik op 'Verstuur' had gedrukt. :P Ik heb iig iets vergelijkbaars gehad en had toen het account weggegooid en de AAD Sync dat ding opnieuw laten maken.

Nu moet ik elke 30 dagen het kerberos ticket handmatig vernieuwen, omdat de AAD Sync dat niet zelf kan. Achterlijk stuk software, waarom is dat jaren later nog steeds niet opgelost? Daar zorg je toch voor zodat je beheerders nog minder handmatige shit hoeven uit te voeren? Waarom gaan we anders de cloud in?
Handmatig als in...je hebt dat gescript en gescheduled?

Any errors in spelling, tact, or fact are transmission errors.

Oogje schreef op zaterdag 16 mei 2020 @ 19:14:
[...]

Handmatig als in...je hebt dat gescript en gescheduled?
Ja daar was @Hero of Time flink over aan het ranten een paar weken geleden kan ik me herinneren.

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Oogje schreef op zaterdag 16 mei 2020 @ 19:14:
[...]

Handmatig als in...je hebt dat gescript en gescheduled?
Nee, momenteel niet. En waarom niet? Omdat er namelijk in plain text (of zo goed als) je AAD global admin credentials in moet zetten. Zie m'n eerste post met vraag hierover: Hero of Time in "Het grote kleine-SysOps-vragen topic deel 1"

Commandline FTW | Tweakt met mate

Hero of Time schreef op zaterdag 16 mei 2020 @ 19:26:
[...]

Nee, momenteel niet. En waarom niet? Omdat er namelijk in plain text (of zo goed als) je AAD global admin credentials in moet zetten. Zie m'n eerste post met vraag hierover: Hero of Time in "Het grote kleine-SysOps-vragen topic deel 1"
Owh dat was je nu vraag nu snap ik hem pas :P. De info die er nu bij zet is wel erg belangrijk, daarom snapte ik het al niet. Heb je een linkje naar het artikel waar staat dat de kerberos ticket verlopen van PHS, wat normaliter zouden die zichzelf verlengen. Trouwens als je je credentials in scheduled task is dat niet plain text he, maar wordt gehashed opgeslagen in de sam database. Zo werken taken nou eenmaal in Windows, het is opzich best secure. Je moet de server weten te compromiteren en de hash uit de sam database te kunnen decrypten.
Als je server gehacked is heb je sowieso al een probleem, dan liggen er waarschijnlijk al lang veel meer dingen op straat, maar dat snap je zelf ook wel.

[Voor 43% gewijzigd door shadowman12 op 16-05-2020 19:32]

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

shadowman12 schreef op zaterdag 16 mei 2020 @ 19:27:
[...]

Owh dat was je nu vraag nu snap ik hem pas :P. De info die er nu bij zet is wel erg belangrijk, daarom snapte ik het al niet. Heb je een linkje naar het artikel waar staat dat de kerberos ticket verlopen van PHS, wat normaliter zouden die zichzelf verlengen.
Ehm, dat had ik al in de post staan. Namelijk dat je alle credentials in dat script moet verwerken om het werk te kunnen doen. Dat is natuurlijk een flut oplossing die je in een begin stadium (lees, beta) van een tool kan verwachten, maar jaren later nog steeds moeten doen is natuurlijk gewoon ronduit kut. Zeker als je met een gigantische partij als MS te maken hebt. Veel zaken hebben ze op orde, maar dit is gewoon ronduit amateuristisch.

Commandline FTW | Tweakt met mate


Acties:
  • +1Henk 'm!

  • asing
  • Registratie: oktober 2001
  • Laatst online: 06-07 20:02
Dromer schreef op vrijdag 15 mei 2020 @ 20:12:
@shadowman12
Eeuhh, dat hebben we dus idd allemaal gedaan, en uiteraard staat de server nog steeds dicht.
Wij kunnen en nemen hier geen verantwoordelijkheid voor.
Nu weet ik niet in wat voor ict wereld jij werkt, maar bij ons kan de klant idd zeggen gewoon open gooien want dit of dat.
Of we dat doen hangt dus wel van een hoop zaken af, maar zeggen kunnen ze het altijd, het is immers hun omgeving lijkt me.
Als het hun server is, en ze beheren hem zelf, dan is er toch geen probleem? Als het beheer bij jullie ligt maar er zijn verder geen afspraken dan wordt het lastiger.

Laat ik het zo zeggen : als het jouw probleem niet is dan moet je het ook niet jouw probleem maken. :+

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

Hero of Time schreef op zaterdag 16 mei 2020 @ 19:32:
[...]

Ehm, dat had ik al in de post staan. Namelijk dat je alle credentials in dat script moet verwerken om het werk te kunnen doen. Dat is natuurlijk een flut oplossing die je in een begin stadium (lees, beta) van een tool kan verwachten, maar jaren later nog steeds moeten doen is natuurlijk gewoon ronduit kut. Zeker als je met een gigantische partij als MS te maken hebt. Veel zaken hebben ze op orde, maar dit is gewoon ronduit amateuristisch.
Link naar het script? Je zou de credentials zelf kunnen encrypten in powershell met Get-Credential bijvoorbeeld.

[Voor 7% gewijzigd door shadowman12 op 16-05-2020 19:34]

Assumption is the mother of all fuck ups

asing schreef op zaterdag 16 mei 2020 @ 19:33:
[...]


Als het hun server is, en ze beheren hem zelf, dan is er toch geen probleem? Als het beheer bij jullie ligt maar er zijn verder geen afspraken dan wordt het lastiger.

Laat ik het zo zeggen : als het jouw probleem niet is dan moet je het ook niet jouw probleem maken. :+
Dat is een aanname en die doe ik niet graag, vandaar dat ik vroeg, maar daar kwam niet echt een antwoord op. Het is wel belangrijk om te weten of te achterhalen in dit geval bij wie de verantwoordelijkheden liggen, zeker als je op grijze vlakken zit met security van een omgeving.

Wie is verantwoordelijk voor de server? Wie is verantwoordelijk voor de applicatie? Wie verantwoordelijk voor de beveiliging van die server?
Dat is wat ik de afgelopen tijd heb geleerd, je moet met klanten de verantwoordelijkheden heel duidelijk vast zetten, anders ben je altijd de boeman.

[Voor 32% gewijzigd door shadowman12 op 16-05-2020 19:38]

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Niet direct paraat, dat heb ik op kantoor ergens. Maar je moet je global admin credentials via, dan dan nog wel, een secure string erin hangen. Dat het alleen met de gebruiker te gebruiken is waarmee die secure string/object wordt gemaakt maakt het niet veel veiliger.

Die AzureAD Sync tool kan al objecten syncen, wachtwoord hashes syncen, waarom kan het dan niet zelfstandig het kerberos ticket vernieuwen van z'n eigen computer account (azureadsso)? Je domain joined servers en werkplekken kunnen dat zelf toch ook? Daar hoef je toch ook niet elke maand iets voor uit te voeren?

Commandline FTW | Tweakt met mate

Hero of Time schreef op zaterdag 16 mei 2020 @ 19:38:
[...]

Niet direct paraat, dat heb ik op kantoor ergens. Maar je moet je global admin credentials via, dan dan nog wel, een secure string erin hangen. Dat het alleen met de gebruiker te gebruiken is waarmee die secure string/object wordt gemaakt maakt het niet veel veiliger.

Die AzureAD Sync tool kan al objecten syncen, wachtwoord hashes syncen, waarom kan het dan niet zelfstandig het kerberos ticket vernieuwen van z'n eigen computer account (azureadsso)? Je domain joined servers en werkplekken kunnen dat zelf toch ook? Daar hoef je toch ook niet elke maand iets voor uit te voeren?
Misschien kan het wel, maar mis jij een bepaalde setting, of heb je kerberos issues in je domein. Heb je dat al onderzocht, hoe een account zelf z'n kerberos ticket kan renewen.

[Voor 7% gewijzigd door shadowman12 op 16-05-2020 19:40]

Assumption is the mother of all fuck ups


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Dan had Google mij dat al kunnen vertellen. En werd er niet vorige maand nog een opmerking in het MS365 ticket gemaakt met "we zijn nu x jaar verder en nog steeds zit het er niet in". Ook daar heb ik op werk de link voor, niet hier. Dat ticket heeft nog geen enkele update gekregen vanuit MS.

Commandline FTW | Tweakt met mate


  • asing
  • Registratie: oktober 2001
  • Laatst online: 06-07 20:02
shadowman12 schreef op zaterdag 16 mei 2020 @ 19:36:
[...]


Dat is een aanname en die doe ik niet graag, vandaar dat ik vroeg, maar daar kwam niet echt een antwoord op. Het is wel belangrijk om te weten of te achterhalen in dit geval bij wie de verantwoordelijkheden liggen, zeker als je op grijze vlakken zit met security van een omgeving.

Wie is verantwoordelijk voor de server? Wie is verantwoordelijk voor de applicatie? Wie verantwoordelijk voor de beveiliging van die server?
Dat is wat ik de afgelopen tijd heb geleerd, je moet met klanten de verantwoordelijkheden heel duidelijk vast zetten, anders ben je altijd de boeman.
Ik kan niet anders dan een aanname doen, want @Dromer blijft er heel vaag over. Het enige wat we zeker weten is dat er geen patch beleid is, en dat er enkel door @Dromer wordt gepatched als er iets kritieks is. Dus ik vermoed dat #partij gewoon een server heeft afgeleverd met de melding "kunnen jullie die even in een rack hangen, stuur de rekening maar". Ja dan zijn ze ook zelf verantwoordelijk. Dus als ze dan roepen dat ze 443 open willen hebben en dat afdekken met een certificaatje dan lijkt me dat geen ramp voor hun.

Het enige waar je nu wat aan kan doen is kijken of er niet iets als een DMZ voor gebouwd moet worden, en hoe je dat dan richting authenticatie weet te fixen. Je moet er namelijk wel voor zorgen dat een hacker niet lateraal door je netwerk heen kan als het gelukt is om op de server in te breken. Dat zie ik dan wel weer als iets waar @Dromer wat mee moet.

Anyway, ik zie geen echte beren op de weg. :)

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month

Hero of Time schreef op zaterdag 16 mei 2020 @ 19:41:
Dan had Google mij dat al kunnen vertellen. .
Tuurlijk joh, Google weet alles en ervaring is niet belangrijk meer. Echt wat een onzin

[Voor 38% gewijzigd door shadowman12 op 16-05-2020 19:49]

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Dromer
  • Registratie: juni 2000
  • Laatst online: 06-07 18:00
Server is van de klant en hangt bij de klant, niks spannends verder hoor :)
Wij doen gewoon ad hoc systeembeheer bij de klant

Acties:
  • 0Henk 'm!

  • ThinkPad
  • Registratie: juni 2005
  • Nu online

ThinkPad

Moderator Duurzame Energie & Domotica
Zijn er hier ook beheerders die Greenshot uitrollen? Ik probeer het via SCCM uit te rollen, maar krijg het programma nog niet zover dat ik de opslaglocatie als variabele meegeef. Ik wil een screenshot in een submap in de Pictures map van de gebruiker zetten. Heb al %USERPROFILE% en ${user} en ${userprofile}, %USERNAME%, ${USERNAME} geprobeerd maar niets lijkt te werken. Telkens schrijft hij het weg naar de desktop, ondanks dat de map in pictures wel bestaat :|

Heb al gegoogled maar het lijkt erop dat Greenshot dit niet kan? Terwijl in oudere issues lijken mensen het wel werkend te hebben gekregen? De instelling doe ik door in de Program Files map van Greenshot een greenshot.ini bestand te plaatsen.

Gas besparen door CV-tuning | Elektriciteit besparen
Geen (Domoticz) vragen via privébericht die ook via het forum kunnen a.u.b.


Acties:
  • 0Henk 'm!

  • asing
  • Registratie: oktober 2001
  • Laatst online: 06-07 20:02
Dromer schreef op maandag 18 mei 2020 @ 08:47:
Server is van de klant en hangt bij de klant, niks spannends verder hoor :)
Wij doen gewoon ad hoc systeembeheer bij de klant
Dan lijkt het geen probleem. Je kan hooguit #klant nog aanbieden om een wat veiliger oplossing neer te zetten als in een DMZ of een firewall met authenticatie. Als ze dat niet willen, niet willen betalen of denken niet nodig te hebben, prima. :9

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


Acties:
  • 0Henk 'm!

  • asing
  • Registratie: oktober 2001
  • Laatst online: 06-07 20:02
ThinkPad schreef op maandag 18 mei 2020 @ 14:28:
Zijn er hier ook beheerders die Greenshot uitrollen? Ik probeer het via SCCM uit te rollen, maar krijg het programma nog niet zover dat ik de opslaglocatie als variabele meegeef. Ik wil een screenshot in een submap in de Pictures map van de gebruiker zetten. Heb al %USERPROFILE% en ${user} en ${userprofile}, %USERNAME%, ${USERNAME} geprobeerd maar niets lijkt te werken. Telkens schrijft hij het weg naar de desktop, ondanks dat de map in pictures wel bestaat :|

Heb al gegoogled maar het lijkt erop dat Greenshot dit niet kan? Terwijl in oudere issues lijken mensen het wel werkend te hebben gekregen? De instelling doe ik door in de Program Files map van Greenshot een greenshot.ini bestand te plaatsen.
De onze gaat standaard naar pictures toe. De versie is 1.0.6 (oud :X !!!!) en het is bij ons een App-v.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


Acties:
  • 0Henk 'm!

  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

ThinkPad schreef op maandag 18 mei 2020 @ 14:28:
Zijn er hier ook beheerders die Greenshot uitrollen? Ik probeer het via SCCM uit te rollen, maar krijg het programma nog niet zover dat ik de opslaglocatie als variabele meegeef. Ik wil een screenshot in een submap in de Pictures map van de gebruiker zetten. Heb al %USERPROFILE% en ${user} en ${userprofile}, %USERNAME%, ${USERNAME} geprobeerd maar niets lijkt te werken. Telkens schrijft hij het weg naar de desktop, ondanks dat de map in pictures wel bestaat :|

Heb al gegoogled maar het lijkt erop dat Greenshot dit niet kan? Terwijl in oudere issues lijken mensen het wel werkend te hebben gekregen? De instelling doe ik door in de Program Files map van Greenshot een greenshot.ini bestand te plaatsen.
OutputFilePath=%USERPROFILE%\Afbeeldingen
OutputFilePath=%USERPROFILE%\Pictures

?

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


Acties:
  • 0Henk 'm!

  • ThinkPad
  • Registratie: juni 2005
  • Nu online

ThinkPad

Moderator Duurzame Energie & Domotica
Duinkonijn schreef op maandag 18 mei 2020 @ 15:49:
[...]


OutputFilePath=%USERPROFILE%\Afbeeldingen
OutputFilePath=%USERPROFILE%\Pictures

?
Dat heb ik geprobeerd maar werkte niet

Gas besparen door CV-tuning | Elektriciteit besparen
Geen (Domoticz) vragen via privébericht die ook via het forum kunnen a.u.b.


Acties:
  • 0Henk 'm!

  • nero355
  • Registratie: februari 2002
  • Laatst online: 00:59

nero355

ph34r my [WCG] Cows :P

The Eagle schreef op woensdag 13 mei 2020 @ 16:09:
EIther that of mijn kersverse SSD (Samsung 970 NVMe) vreet veel meer power dan de oude (Hynix SC311 M2 Sata), maar dat lijkt me stug.
Zuipt wel wat meer dan die Hynix :

Hynix :
code:
1
2
3
Power Consumption:
(Typical) Active: 0.06W | ldle : 0.045W
Devslp: < 0.003W


Samsung :
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
AVERAGE POWER CONSUMPTION
(System Level)3)

250 GB: Average 5.4 W Maximum 9.0 W
500 GB: Average 5.7 W Maximum 10.0 W
1,000 GB, 2,000 GB: Average 6.0 W Maximum 10.0 W
(Burst mode)

POWER CONSUMPTION (IDLE)3)
Max. 30mW

POWER CONSUMPTION (Device Sleep)
Max. 5mW


Waarom eigenlijk zo'n snelle SSD in iets simpels als een Laptop :?

Workstation model toevallig ?!

Als je echt iets zuinigs wilt hebben dan moet je de WD Green (JA ECHT!) SATA SSD uit 2018 hebben geloof ik, want die kwam bij HWI als zuinigste uit de test! :)

|| DPC GoT WhatPulse Team :) || Pi-Hole : Geen advertenties meer voor je hele netwerk! >:) ||


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Ticket en aantal linkjes naar scripts (en scripts zelf) in de comments mbt het AzureADSSO computer account met kerberos rollover dat elke 30 dagen 'handmatig' gedaan moet worden: https://feedback.azure.co...beros-decryption-key-roll.
Sinds aanmaken van de feedback is er niets gedaan en moet het nog steeds met het handje. Terwijl in 2018 al soort van toezegging werd gedaan dat het er in zou komen.

Iemand dus een betere oplossing of moet ik het maar scripten danwel een terugkerend agenda item maken om het handmatig te doen?

Commandline FTW | Tweakt met mate


  • Muggie
  • Registratie: februari 2000
  • Laatst online: 23:12

Muggie

8 pm

Wij hebben het elke 28 dagen in de agenda staan, weten we in ieder geval zeker dat het gebeurd en goed gaat.

PSN: mug_8pm

Hero of Time schreef op maandag 18 mei 2020 @ 19:39:
Ticket en aantal linkjes naar scripts (en scripts zelf) in de comments mbt het AzureADSSO computer account met kerberos rollover dat elke 30 dagen 'handmatig' gedaan moet worden: https://feedback.azure.co...beros-decryption-key-roll.
Sinds aanmaken van de feedback is er niets gedaan en moet het nog steeds met het handje. Terwijl in 2018 al soort van toezegging werd gedaan dat het er in zou komen.

Iemand dus een betere oplossing of moet ik het maar scripten danwel een terugkerend agenda item maken om het handmatig te doen?
Ik heb dat script bekeken en het is wel best wel secure vind ik.

Assumption is the mother of all fuck ups


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Hmm ik wil DKIM aanzetten in 365. De Cname records zijn aangemaakt, maar ik krijg als ik het wil aanzetten in ECP een foutmelding:

Error publishing public key TXT record. Config was not created. Please try again.


DNS is bij een externe hoster, dus niet bij 365. Dus snap niet waarom hij deze melding geeft.

Iemand een idee?

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

Renegade666 schreef op donderdag 28 mei 2020 @ 14:52:
Hmm ik wil DKIM aanzetten in 365. De Cname records zijn aangemaakt, maar ik krijg als ik het wil aanzetten in ECP een foutmelding:

Error publishing public key TXT record. Config was not created. Please try again.


DNS is bij een externe hoster, dus niet bij 365. Dus snap niet waarom hij deze melding geeft.

Iemand een idee?
cname is geen txt record :)

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Klopt, maar meer hoef je ook niet aan te maken bij 365. 2 Cnames die verwijzen naar de tentant.onmicrosoft.com records.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

Renegade666 schreef op donderdag 28 mei 2020 @ 15:06:
[...]


Klopt, maar meer hoef je ook niet aan te maken bij 365. 2 Cnames die verwijzen naar de tentant.onmicrosoft.com records.
je moet hem aanmaken bij je dnshoster :)

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Die cnames heb ik aangemaakt..

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

je moet ook een txt record aanmaken

bv:
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
Address:  8.8.8.8
set type=txt
konijnenfluisteraar.nl
Non-authoritative answer:
konijnenfluisteraar.nl  text =

        "v=spf1 ip4:80.60.91.19 include:spf.protection.outlook.com -all"
konijnenfluisteraar.nl  text =

        "MS=ms36402660"
konijnenfluisteraar.nl  text =

        "3IuMX7xtgw4yQN42jtDVbjWKy1RkVg/VmMXWS1KaNEek3mgmEGOkfZ125AUo7Hfi6O4C9MgnIG8C0d8Yh8jnYw=="
>


hij zoekt die MS

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Dat nieuw of zo?

Ik heb tich 365 alleen CNAME's aangemaakt met die verwijzing. Vervolgens aanzetten en klaar...

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • +1Henk 'm!

  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

Renegade666 schreef op donderdag 28 mei 2020 @ 15:14:
Dat nieuw of zo?

Ik heb tich 365 alleen CNAME's aangemaakt met die verwijzing. Vervolgens aanzetten en klaar...
nou in ieder geval ouder dan 5 jaar.

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
bijzonder...

edit:
deze manier gebruik ik al jaren:
https://derkit.nl/spf-dkim-en-dmarc-voor-office-365/

[Voor 80% gewijzigd door Renegade666 op 28-05-2020 15:16]

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • ralpje
  • Registratie: november 2003
  • Laatst online: 23:38

ralpje

Deugpopje

Die MS waarde gebruik je normaal toch alleen bij het onboarden van je domain in O365/AAD, om te valideren dat het domain van jou is?

365Dude - Strava


  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

ralpje schreef op donderdag 28 mei 2020 @ 15:20:
Die MS waarde gebruik je normaal toch alleen bij het onboarden van je domain in O365/AAD, om te valideren dat het domain van jou is?
Volgens mij valideert hij dit regelmatig...

[Voor 3% gewijzigd door Duinkonijn op 28-05-2020 15:38]

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


Acties:
  • +1Henk 'm!

  • ralpje
  • Registratie: november 2003
  • Laatst online: 23:38

ralpje

Deugpopje

https://docs.microsoft.co...vider?view=o365-worldwide
Note

This record is used only to verify that you own your domain; it doesn't affect anything else. You can delete it later, if you like.

365Dude - Strava


  • Duinkonijn
  • Registratie: augustus 2001
  • Nu online

Duinkonijn

Old dirty bastard

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


Acties:
  • 0Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
WHaa, hier ook weer een leuke.

Bij een klant de netwerken omgezet naar nieuwe firewalls en lijnen. Bleek er nog een VPN naar externe leverancier te gaan voor citrix..
Werkt wel, maar om de 1 min een rekey.. Watchguard < > Cisco..

Beide zeggen we dat het goed staat (SA lifetimes etc), maar alsnog die f.ng rekey waardoor ze niet kunnen werken.

Iemand een idee waarom een cisco dit doet? Wij leveren alleen WG, en geen CIsco, en kan ook niet bij die cisco.

Gelukkig kunnen oplossen, de oude cisco van de verbinding had nog verbinding, dus zat de andere te pesten...

[Voor 12% gewijzigd door Renegade666 op 29-05-2020 15:23]

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • +1Henk 'm!

  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 23:00

The Eagle

I wear my sunglasses at night

nero355 schreef op maandag 18 mei 2020 @ 17:56:
[...]

Zuipt wel wat meer dan die Hynix :

Hynix :
code:
1
2
3
Power Consumption:
(Typical) Active: 0.06W | ldle : 0.045W
Devslp: < 0.003W


Samsung :
code:
1
2
3
4
5
6
7
8
9
10
11
12
13
AVERAGE POWER CONSUMPTION
(System Level)3)

250 GB: Average 5.4 W Maximum 9.0 W
500 GB: Average 5.7 W Maximum 10.0 W
1,000 GB, 2,000 GB: Average 6.0 W Maximum 10.0 W
(Burst mode)

POWER CONSUMPTION (IDLE)3)
Max. 30mW

POWER CONSUMPTION (Device Sleep)
Max. 5mW


Waarom eigenlijk zo'n snelle SSD in iets simpels als een Laptop :?

Workstation model toevallig ?!

Als je echt iets zuinigs wilt hebben dan moet je de WD Green (JA ECHT!) SATA SSD uit 2018 hebben geloof ik, want die kwam bij HWI als zuinigste uit de test! :)
Ik lees dit nu pas :+
Maar waarom?
- ik kwam ruimte tekort
- zuinigheid niet eens op gelet, hangt toch aan de voeding
- baas betaalde :P
- ik draai VM's met Cloudera en andere big data zut op die laptop.
Laptop is een Dell e5590 met i7 en (helaas slechts) 16GB RAM. Een out of de box VM van een gig of 30 is voor mij vrij normaal.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


Acties:
  • 0Henk 'm!

  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 06-07 18:41
Iemand hier ervaring met Wired 802.1x? Ben echt uren lopen zoeken, maar alle handleidingen, docs, how-to's bieden geen oplossing.

FreeRadius draaiend op CentOS7 (eerst NPS geprobeerd op Windows maar was waardeloos of ik kreeg het gewoon niet aan de praat, soit)
Cisco Catalyst Switch9300 (authenticator)
Windows 10 LTSC (supplicant)

Wat werkt wel?

MAC Authentication Bypass gaat goed, ik neem het MAC-adres op in mijn RADIUS server, switch en switchpoort geconfigureerd en de poort wordt vrijgegeven na authenticatie tussen de switch en RadiusServer gebaseerd op MAC-adres van de Windows 10. Dit is dus prima, zal ik gebruiken voor devices die geen 802.1x kunnen.

Wat wil ik?

Certificate based (computer) authentication, zonder dat de eindgebruiker wachtwoorden hoeft in te vullen oid.

> Client PC aansluiten op switchpoort;
> Certificate based authenticatie richting de Radius;
> Authenticatie lukt en switchpoort wordt vrijgegeven;

Maar ik weet simpelweg echt niet meer na uren lopen Googlen wat ik fout die. FreeRadius komt met test certs ingebakken, heb hier de zogeheten root certificaat ge-export en geïnstalleerd op de Win10 pc (in de trusted root certs). Wired service aangezet en zowat alle authentication opties geprobeerd op de NIC maar het dichtsbijzijnde wat ik kom is wanneer ik de authenticatie op de Win10 pc op PEAP zet en de authenticatie binnen de setting op secure password oid staat. Krijg dan een error te zien dat iig de authenticatie faalt bij de FreeRadius en dat ie niet bekend is met de cert oid. Alle overige settings van 802.1X op de Win10 ook geprobeerd, 'validate server';'certificate based authentication' etc etc. Er moet toch ergens een heldere uitleg zijn over het hoe en wat :'(

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

@Ingegno, als je 802.1x certificaat authenticatie wilt doen, moet je op de client een computer certificaat hebben die aangeboden wordt bij de Radius server. Nu heb je alleen een root certificaat en dat doet geen client authenticatie.

Om het zonder gebruikersactie te laten werken, zal je iets van een PKI omgeving moeten opzetten of certificaten gaan aanschaffen voor elk systeem dat je hebt (of onveilig alles met 1 certificaat doen, waarbij dus alle systemen hetzelfde certificaat gebruiken).

Je linkt niet naar een paar bronnen die je hebt geraadpleegd, dus er valt weinig te zeggen over of je dingen hebt overgeslagen, gemist of dat het gewoon niet in de guide staat beschreven.

Commandline FTW | Tweakt met mate

Pagina: 1 ... 22 23 24 Laatste


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True