Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie
Ingegno schreef op vrijdag 29 mei 2020 @ 21:55:
Iemand hier ervaring met Wired 802.1x? Ben echt uren lopen zoeken, maar alle handleidingen, docs, how-to's bieden geen oplossing.

FreeRadius draaiend op CentOS7 (eerst NPS geprobeerd op Windows maar was waardeloos of ik kreeg het gewoon niet aan de praat, soit)
Cisco Catalyst Switch9300 (authenticator)
Windows 10 LTSC (supplicant)

Wat werkt wel?

MAC Authentication Bypass gaat goed, ik neem het MAC-adres op in mijn RADIUS server, switch en switchpoort geconfigureerd en de poort wordt vrijgegeven na authenticatie tussen de switch en RadiusServer gebaseerd op MAC-adres van de Windows 10. Dit is dus prima, zal ik gebruiken voor devices die geen 802.1x kunnen.

Wat wil ik?

Certificate based (computer) authentication, zonder dat de eindgebruiker wachtwoorden hoeft in te vullen oid.

> Client PC aansluiten op switchpoort;
> Certificate based authenticatie richting de Radius;
> Authenticatie lukt en switchpoort wordt vrijgegeven;

Maar ik weet simpelweg echt niet meer na uren lopen Googlen wat ik fout die. FreeRadius komt met test certs ingebakken, heb hier de zogeheten root certificaat ge-export en geïnstalleerd op de Win10 pc (in de trusted root certs). Wired service aangezet en zowat alle authentication opties geprobeerd op de NIC maar het dichtsbijzijnde wat ik kom is wanneer ik de authenticatie op de Win10 pc op PEAP zet en de authenticatie binnen de setting op secure password oid staat. Krijg dan een error te zien dat iig de authenticatie faalt bij de FreeRadius en dat ie niet bekend is met de cert oid. Alle overige settings van 802.1X op de Win10 ook geprobeerd, 'validate server';'certificate based authentication' etc etc. Er moet toch ergens een heldere uitleg zijn over het hoe en wat :'(
Misschien heb je hier wat aan:
http://deployingradius.com/documents/configuration/eap.html

Assumption is the mother of all fuck ups


  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 06-07 18:41
Hero of Time schreef op zaterdag 30 mei 2020 @ 14:44:
@Ingegno, als je 802.1x certificaat authenticatie wilt doen, moet je op de client een computer certificaat hebben die aangeboden wordt bij de Radius server. Nu heb je alleen een root certificaat en dat doet geen client authenticatie.

Om het zonder gebruikersactie te laten werken, zal je iets van een PKI omgeving moeten opzetten of certificaten gaan aanschaffen voor elk systeem dat je hebt (of onveilig alles met 1 certificaat doen, waarbij dus alle systemen hetzelfde certificaat gebruiken).

Je linkt niet naar een paar bronnen die je hebt geraadpleegd, dus er valt weinig te zeggen over of je dingen hebt overgeslagen, gemist of dat het gewoon niet in de guide staat beschreven.
Excuus, o.a.:

https://www.technology.pi...blicly-accessible-network

https://support.plymouth....edgebase/Article/View/572

https://docs.microsoft.co...nd-2008/dd363544(v=ws.10)

Ik ben bereid voor de werking eerst alle clients te voorzien van een enkele certificaat, simpelweg om de functionering van 802.1x te begrijpen en werkend te krijgen. Kan later nog in overleg met collega's kijken hoe we het precies willen aanpakken.

Dus als ik je goed begrijp:

- Een root certificaat vanuit de server is nodig, die zou ik moeten importeren (zoals ik dus al heb gedaan) op de client root cert store. Dit om vanuit client perspectief de RADIUS server te vertrouwen;

- Een client certificaat die ik op de RADIUS server zou moeten importeren zodat die de cert zal accepteren. De client zal deze cert gebruiken voor authenticatie (hoe forceer ik dat de client dit certificaat gebruikt voor zijn auth?). Maakt het uit op welke manier deze gegeneerd wordt? (speciaal voor Windows?);
Had ik ook geprobeerd inderdaad (toegegeven het was vrijdag laat dus ik was er wel even klaar mee). De procedures die beschreven staan:

http://deployingradius.co...uration/certificates.html
http://deployingradius.co...figuration/ca_import.html

Gebruikt, had dus wel de root cert geïmporteerd op de client. Vervolgens ook de client cert, maar dit leek ook niet te helpen.

Acties:
  • +1Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Ingegno schreef op zaterdag 30 mei 2020 @ 18:44:
Dus als ik je goed begrijp:

- Een root certificaat vanuit de server is nodig, die zou ik moeten importeren (zoals ik dus al heb gedaan) op de client root cert store. Dit om vanuit client perspectief de RADIUS server te vertrouwen;
Nee, daar is het root certificaat niet voor. Je haalt de doelen van certificaten door elkaar. Bij webservers worden certificaten gebruiken voor verificatie en encryptie. Dan heb je een root nodig zodat je de hele chain kan controleren of deze klopt of niet.

Bij 802.1x gaat het om authenticatie. Je komt bij de server en toont het certificaat waarin staat wie je bent. Sta je op de lijst, dan mag je naar binnen.
- Een client certificaat die ik op de RADIUS server zou moeten importeren zodat die de cert zal accepteren. De client zal deze cert gebruiken voor authenticatie (hoe forceer ik dat de client dit certificaat gebruikt voor zijn auth?). Maakt het uit op welke manier deze gegeneerd wordt? (speciaal voor Windows?);
Er zijn idd aparte certificaten voor je computer. Het is niet speciaal voor Windows, maar het doel (purpose) voor het certificaat. Bij Windows moet het in je Computer Certificate Store staan. Dan bij de netwerkverbinding moet je bij de 802.1x instellingen dit certificaat selecteren om te gebruiken.

Je links moet ik nog bekijken, maar het gaat nu even om het principe hoe het werkt zodat je weet waar je naar moet kijken. En zoals je zou verwachten, ik heb nu ook geen Windows bij de hand om de stappen uit te schrijven waar je moet zijn voor de client instellingen. ;)

Commandline FTW | Tweakt met mate

Ik zou een GPO maken die de radius instellingen zet, hoef je het niet op iedere PC apart te doen:
https://documentation.mer...tion_with_WPA2-Enterprise

De paragraaf Deploy a PEAP Wireless Profile using Group Policy is jouw voor relevant, met een beetje tweaken kun je dit voor een bekabele verbinding doen, zijn ongeveer dezelfde settings.

Ik denk persoonlijk dat je het jezelf met FreeRadius ook moeilijker maakt, NPS zou in dit geval makkelijker zijn.

[Voor 42% gewijzigd door shadowman12 op 30-05-2020 20:00]

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Patrick
  • Registratie: juli 1999
  • Laatst online: 20:19
Gisteren tijdens mijn hardlooprondje gebeld door een collega dat er een storing was. Snel huiswaarts en bleek dat desbetreffende server zijn shares kwijt was. Dit is opgetreden nadat vrijdagochtend 1 van de domain controllers een reboot heeft gehad. Shares weer gekoppeld en werkt weer, dus simpel op te lossen. Zou dit eventueel via een script/scheduled task kunnen laten doen. Kan alleen niet zo snel bedenken waarom dit gebeurd? Ben verder nog niet in de logs gedoken, maar iemand die dit zo al zou kunnen verklaren?

Acties:
  • 0Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@Patrick
Windows? Linux?

Bij windows, gewoon GPO's gebruiken.
Linux zal vast met een script/iets in die trend kunnen.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • 0Henk 'm!

  • Tylen
  • Registratie: september 2000
  • Nu online

Tylen

ONK SuperCup 1000 #6

Patrick schreef op zondag 31 mei 2020 @ 10:29:
Gisteren tijdens mijn hardlooprondje gebeld door een collega dat er een storing was. Snel huiswaarts en bleek dat desbetreffende server zijn shares kwijt was. Dit is opgetreden nadat vrijdagochtend 1 van de domain controllers een reboot heeft gehad. Shares weer gekoppeld en werkt weer, dus simpel op te lossen. Zou dit eventueel via een script/scheduled task kunnen laten doen. Kan alleen niet zo snel bedenken waarom dit gebeurd? Ben verder nog niet in de logs gedoken, maar iemand die dit zo al zou kunnen verklaren?
Share kwijt als in:

1. De server fungeert als file server en bied share aan?
2. De server had mappings naar shares?

Gaat het om windows server?

Hoeveel dc’s zijn er in die omgeving?

A wise man once said: 'Work is not a place."


Acties:
  • 0Henk 'm!

  • Patrick
  • Registratie: juli 1999
  • Laatst online: 20:19
In dit geval allemaal Windows. Heb 2 DCs

Dc1 draaide gewoon. Dc2 vrijdagochtend herstart na updates. Andere server mapping naar shares op fileserver kwijt. Waarschijnlijk al sinds vrijdagochtend, maar probleem viel pas gisteravond op. Dus niet levensbedreigend, maar gewoon beetje jammer.

[Voor 5% gewijzigd door Patrick op 31-05-2020 10:39]


Acties:
  • 0Henk 'm!
Patrick schreef op zondag 31 mei 2020 @ 10:29:
Gisteren tijdens mijn hardlooprondje gebeld door een collega dat er een storing was. Snel huiswaarts en bleek dat desbetreffende server zijn shares kwijt was. Dit is opgetreden nadat vrijdagochtend 1 van de domain controllers een reboot heeft gehad. Shares weer gekoppeld en werkt weer, dus simpel op te lossen. Zou dit eventueel via een script/scheduled task kunnen laten doen. Kan alleen niet zo snel bedenken waarom dit gebeurd? Ben verder nog niet in de logs gedoken, maar iemand die dit zo al zou kunnen verklaren?
Misschien heeft die machine zelf ook een reboot gehad dan zou ik me kunnen voorstellen dat de shares kwijt zijn, want ze zijn dan niet persitent gekoppeld?

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Patrick
  • Registratie: juli 1999
  • Laatst online: 20:19
shadowman12 schreef op zondag 31 mei 2020 @ 11:02:
[...]


Misschien heeft die machine zelf ook een reboot gehad dan zou ik me kunnen voorstellen dat de shares kwijt zijn, want ze zijn dan niet persitent gekoppeld?
Lijkt het op. Ingericht door een ander, dus wellicht heeft die iets vergeten. Dinsdag maar even verder mee aan de gang. Draait nu alweer prima sinds gisteravond.

Acties:
  • 0Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Renegade666 schreef op donderdag 28 mei 2020 @ 14:52:
Hmm ik wil DKIM aanzetten in 365. De Cname records zijn aangemaakt, maar ik krijg als ik het wil aanzetten in ECP een foutmelding:

Error publishing public key TXT record. Config was not created. Please try again.


DNS is bij een externe hoster, dus niet bij 365. Dus snap niet waarom hij deze melding geeft.

Iemand een idee?
Ter info, ik heb verder niks meer gedaan, maar het werkt nu wel..
Dus opgelost..


Edit
Heb bij 1 klant weer wat bijzonders. Daar hebben ze 2 Synology NASsen voor de backup.
1 geen issues. 2 verliest zijn admin ww. af en toe. en dan kun je inloggen met admin zonder ww (en moet dan een nieuwe aanmaken).
Iemand dit wel eens eerder gezien? Ik heb aardig wat Synology lopen hier en daar, maar dit is de enige die dit heeft.
Hij word niet gereset, zit in een pkast die dicht is. En alle shares etc zijn ook intact.

[Voor 29% gewijzigd door Renegade666 op 02-06-2020 16:41]

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • +1Henk 'm!

  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 06-07 18:41
shadowman12 schreef op zaterdag 30 mei 2020 @ 19:56:
Ik zou een GPO maken die de radius instellingen zet, hoef je het niet op iedere PC apart te doen:
https://documentation.mer...tion_with_WPA2-Enterprise

De paragraaf Deploy a PEAP Wireless Profile using Group Policy is jouw voor relevant, met een beetje tweaken kun je dit voor een bekabele verbinding doen, zijn ongeveer dezelfde settings.

Ik denk persoonlijk dat je het jezelf met FreeRadius ook moeilijker maakt, NPS zou in dit geval makkelijker zijn.
Hero of Time schreef op zaterdag 30 mei 2020 @ 19:37:
[...]

Nee, daar is het root certificaat niet voor. Je haalt de doelen van certificaten door elkaar. Bij webservers worden certificaten gebruiken voor verificatie en encryptie. Dan heb je een root nodig zodat je de hele chain kan controleren of deze klopt of niet.

Bij 802.1x gaat het om authenticatie. Je komt bij de server en toont het certificaat waarin staat wie je bent. Sta je op de lijst, dan mag je naar binnen.


[...]

Er zijn idd aparte certificaten voor je computer. Het is niet speciaal voor Windows, maar het doel (purpose) voor het certificaat. Bij Windows moet het in je Computer Certificate Store staan. Dan bij de netwerkverbinding moet je bij de 802.1x instellingen dit certificaat selecteren om te gebruiken.

Je links moet ik nog bekijken, maar het gaat nu even om het principe hoe het werkt zodat je weet waar je naar moet kijken. En zoals je zou verwachten, ik heb nu ook geen Windows bij de hand om de stappen uit te schrijven waar je moet zijn voor de client instellingen. ;)
Dank voor de tips. Na wat geknutsel nu een werkende oplossing :)

- Cert uitrol via CertAuthority;
- GPO die de Wired Service aanzet en authenticatie settings goed zet:
- NPS met relevante policies (conditions, constraints zoals we het willen);

Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Ik zit nu zelf te kijken om het netwerk beter te beveiligen tegen ongewenste gasten die zomaar hun laptop erin prikken. Omdat we voornamelijk thin clients hebben en vaste telefoons, wordt het wat lastiger om dit met certificaten te doen. Dus dan maar filteren op MAC adres. Dat wordt nog even uitzoeken hoe dat precies werkt op een HPe OfficeConnect switch. De ingebouwde help heeft het eerst over lokaal controleren, daarna heeft het opeens over een radius server. Andere bronnen die ik snel heb bekeken (Meraki forum/site) spreekt weer over gebruikers in AD die als naam en wachtwoord het MAC adres hebben. Ik weet niet of dat de bedoeling is, paar honderd gebruikers extra in je domein terwijl het waarschijnlijk efficiënter en sneller kan zijn om door een lijst te gaan en je die bij houd.

Iemand tips hiervoor? En zijn er client instellingen nodig? Daar heb ik niet echt een duidelijk antwoord op gevonden en wat die dan zouden moeten zijn. Wel zaken voor certificaat authenticatie, niet voor MAC adres.

Commandline FTW | Tweakt met mate


Acties:
  • +1Henk 'm!
Hero of Time schreef op dinsdag 2 juni 2020 @ 19:15:
Ik zit nu zelf te kijken om het netwerk beter te beveiligen tegen ongewenste gasten die zomaar hun laptop erin prikken. Omdat we voornamelijk thin clients hebben en vaste telefoons, wordt het wat lastiger om dit met certificaten te doen. Dus dan maar filteren op MAC adres. Dat wordt nog even uitzoeken hoe dat precies werkt op een HPe OfficeConnect switch. De ingebouwde help heeft het eerst over lokaal controleren, daarna heeft het opeens over een radius server. Andere bronnen die ik snel heb bekeken (Meraki forum/site) spreekt weer over gebruikers in AD die als naam en wachtwoord het MAC adres hebben. Ik weet niet of dat de bedoeling is, paar honderd gebruikers extra in je domein terwijl het waarschijnlijk efficiënter en sneller kan zijn om door een lijst te gaan en je die bij houd.

Iemand tips hiervoor? En zijn er client instellingen nodig? Daar heb ik niet echt een duidelijk antwoord op gevonden en wat die dan zouden moeten zijn. Wel zaken voor certificaat authenticatie, niet voor MAC adres.
De meeste switches hebben toch een lijst met verbonden apparaten en hun mac adres, die zou je dan toch kunnen gebruiken in het filter?

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

shadowman12 schreef op dinsdag 2 juni 2020 @ 19:31:
[...]

De meeste switches hebben toch een lijst met verbonden apparaten en hun mac adres, die zou je dan toch kunnen gebruiken in het filter?
Dat is ook wat ik wil doen (desnoods op elke switch dezelfde lijst met alle MAC adressen in geval er wat wordt verhuisd). Moet dus nog even kijken hoe die switches het precies willen, maar het is wat verwarrend omschreven omdat er ook opeens sprake is van een radius server waar dus schijnbaar het MAC adres bij gevalideerd wordt of deze mag verbinden of niet.

Heb jij wel eens MAC filtering ingesteld? Moest je daarbij nog iets doen op de client?

Commandline FTW | Tweakt met mate


Acties:
  • +2Henk 'm!
Hero of Time schreef op dinsdag 2 juni 2020 @ 19:36:
[...]

Dat is ook wat ik wil doen (desnoods op elke switch dezelfde lijst met alle MAC adressen in geval er wat wordt verhuisd). Moet dus nog even kijken hoe die switches het precies willen, maar het is wat verwarrend omschreven omdat er ook opeens sprake is van een radius server waar dus schijnbaar het MAC adres bij gevalideerd wordt of deze mag verbinden of niet.

Heb jij wel eens MAC filtering ingesteld? Moest je daarbij nog iets doen op de client?
Ja heb ik wel is ingesteld, op de client hoef je niks te doen.Ik heb toen gewoon alle mac-adressen opgevoerd dan de devices die we hadden, want niet zo'n groot bedrijf.
Maar als je goede aanvallers hebben dan spoofen die gewoon een mac adres van een bestaand device, dus het is een beetje fake beveiliging vind ik.
Als je het goed echt wil beveiligen heb je daar andere oplossingen voor

Je zou ook kunnen kijken naar port security, dat je een melding krijgt als er een vreemd device wordt ingeprikt.

[Voor 17% gewijzigd door shadowman12 op 02-06-2020 19:44]

Assumption is the mother of all fuck ups


Acties:
  • +1Henk 'm!

  • Paul
  • Registratie: september 2000
  • Laatst online: 06-07 13:47
Welke thin clients en VOIP-toestellen heb je? Want volgens mij kunnen ze vrijwel allemaal overweg met 802.1x. Mogelijk niet allemaal met een certificaat (in geval van de VOIP-toestellen, het zou me verbazen als de thin clients het niet kunnen), maar dan toch zeker met PSK.

Wij hadden vroeger de boel 'beveiligd' op basis van MAC-adres. Maar behalve dat het erg makkelijk te spoofen is (trek kabel uit bestaande PC, clone MAC, et voila) zorgt het ook voor een hele berg administratie. Daarop moeten terugvallen zou echt mijn allerlaatste optie zijn :)

"Your life is yours alone. Rise up and live it." - Richard Rahl
Rhàshan - Aditu Sunlock


Acties:
  • +1Henk 'm!

  • hmmmmmmmmmpffff
  • Registratie: september 2009
  • Nu online
shadowman12 schreef op dinsdag 2 juni 2020 @ 19:39:
[...]


Ja heb ik wel is ingesteld, op de client hoef je niks te doen.Ik heb toen gewoon alle mac-adressen opgevoerd dan de devices die we hadden, want niet zo'n groot bedrijf.
Maar als je goede aanvallers hebben dan spoofen die gewoon een mac adres van een bestaand device, dus het is een beetje fake beveiliging vind ik.
Als je het goed echt wil beveiligen heb je daar andere oplossingen voor
Ik zou inderdaad voor het beveiligen van een netwerk geen spoofing / whitelisting van mac adressen gebruiken. Met iets als macchanger is dat heel simpel.

Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

shadowman12 schreef op dinsdag 2 juni 2020 @ 19:39:
[...]

Ja heb ik wel is ingesteld, op de client hoef je niks te doen.Ik heb toen gewoon alle mac-adressen opgevoerd dan de devices die we hadden, want niet zo'n groot bedrijf.
Maar als je goede aanvallers hebben dan spoofen die gewoon een mac adres van een bestaand device, dus het is een beetje fake beveiliging vind ik.
Als je het goed echt wil beveiligen heb je daar andere oplossingen voor
Dank. Het is even een eerste lijn van verdediging. Als je niet weet dat er MAC filtering is en je prikt je laptop er zo in en de poort gaat daarna uit, kan je spoofen wat je wilt, via die poort kom je niet meer. :P

Een betere optie zou met echt 802.1x gaan werken middels user/pass of met certificaten, maar dat is wat lastiger bij VoIP telefoons. Met thin clients zou het nog kunnen met een enkele user/pass combi.

Moet dan nog wel even bij de laptop gebruikers in het BIOS instellen dat het MAC adres van het LAN gebruikt moet worden bij de docking stations, anders kan je alsnog met elke laptop het netwerk op komen.

Commandline FTW | Tweakt met mate


Acties:
  • +2Henk 'm!

  • Ingegno
  • Registratie: oktober 2015
  • Laatst online: 06-07 18:41
Hero of Time schreef op dinsdag 2 juni 2020 @ 19:15:
Ik zit nu zelf te kijken om het netwerk beter te beveiligen tegen ongewenste gasten die zomaar hun laptop erin prikken. Omdat we voornamelijk thin clients hebben en vaste telefoons, wordt het wat lastiger om dit met certificaten te doen. Dus dan maar filteren op MAC adres. Dat wordt nog even uitzoeken hoe dat precies werkt op een HPe OfficeConnect switch. De ingebouwde help heeft het eerst over lokaal controleren, daarna heeft het opeens over een radius server. Andere bronnen die ik snel heb bekeken (Meraki forum/site) spreekt weer over gebruikers in AD die als naam en wachtwoord het MAC adres hebben. Ik weet niet of dat de bedoeling is, paar honderd gebruikers extra in je domein terwijl het waarschijnlijk efficiënter en sneller kan zijn om door een lijst te gaan en je die bij houd.

Iemand tips hiervoor? En zijn er client instellingen nodig? Daar heb ik niet echt een duidelijk antwoord op gevonden en wat die dan zouden moeten zijn. Wel zaken voor certificaat authenticatie, niet voor MAC adres.
Dit is precies het beleid wat ik heb ingepast voor apparaten die geen 802.1x ondersteunen. Indien een machine geen dot1x doet, dan maar MAB (Mac Authentication Bypass). Heb zelf een Cisco Catalyst doos, maar ik ga er even vanuit dat HP vast ook wel ergens een manual heeft hoe de MAB config te doen.

De manier waarop het werkt is inderdaad als volgt:

- Je maakt een user aan met als username en wachtwoord het MAC-adres die je wilt toelaten tot het netwerk. Belangrijk hierbij dat er geen leestekens of spaties in zitten verwerkt (gewoon plain MAC dus);

- Ik heb een additionele usergroup aangemaakt waar al deze 'users' lid van zijn;

- De NPS policy condition staat erop dat users lid zijn van deze groep en unencrypted logons toestaan;

Hiermee heb ik het werkend gekregen. Wat shadowman wel zegt, het voelt inderdaad een beetje fake aan gezien MAC-spoofing zo simpel is. Maarja, als het device niets anders kan....je zou nog als extra laag kunnen kijken of je NPS policy nog wat extra velden kan controleren.

Afhankelijk van je netwerk, misschien de poort alleen vrijgegeven voor een wat meer restrictieve VLAN indien MAB authenticatie is toegepast ipv 802.1x. :)

Vanuit client perspectief hoef je niets te doen voor MAB. Alleen op je switch en RADIUS server.

PS: bovenstaande situatie gaat uit van NPS op Windows, maar in FreeRadius werkt MAB evengoed. Had het daar zelfs sneller aan de praat :P

Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

@Ingegno, dus toch per MAC adres een gebruiker in je AD. En we hebben NPS op Windows. :)

Onze HPe switches hebben de optie om apparaten die met 802.1x kunnen authenticeren eerst te laten gaan en daarna pas terug te vallen op MAC based authenticatie. Faalt dat, kan kan het apparaat in een guest VLAN of critical VLAN geplaatst worden, of de poort gewoon laten 'shutten' (weigert en negeert het apparaat).

Commandline FTW | Tweakt met mate


Acties:
  • +1Henk 'm!

  • Bl@ckbird
  • Registratie: november 2000
  • Niet online
Hero of Time schreef op dinsdag 2 juni 2020 @ 20:13:
Onze HPe switches hebben de optie om apparaten die met 802.1x kunnen authenticeren eerst te laten gaan en daarna pas terug te vallen op MAC based authenticatie. Faalt dat, kan kan het apparaat in een guest VLAN of critical VLAN geplaatst worden, of de poort gewoon laten 'shutten' (weigert en negeert het apparaat).
Dat is idd de best practice:
- Eerst 802.1x authenticatie
- Daarna MAB
- Daarna wat je wil: quarantaine VLAN of blokken.

~ Goedkoop Leren Vliegen? ~ Send using RFC1149. Disclaimer: No animals were harmed during this data transfer.. ~


Acties:
  • 0Henk 'm!

  • Thijs B
  • Registratie: augustus 1999
  • Niet online
hellup!
Drama hier met nieuwe rds farm, weet iemand hoe het kan dat als je de UPD volledig verwijderd en daarmee is denk ik de user profile volledig weg.
Je daarna opnieuw inlogt en het betreffende user profile niet 100$ clean is, oude printer drivers/troep komt gewoon weer mee.

Acties:
  • 0Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Thijs B schreef op vrijdag 5 juni 2020 @ 15:51:
hellup!
Drama hier met nieuwe rds farm, weet iemand hoe het kan dat als je de UPD volledig verwijderd en daarmee is denk ik de user profile volledig weg.
Je daarna opnieuw inlogt en het betreffende user profile niet 100$ clean is, oude printer drivers/troep komt gewoon weer mee.
Registersleutel van gebruiker even verwijderen, en even goed kijken in C;\users op de hosts. Daar blijft alsnog wel wat spul staan.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • 0Henk 'm!

  • Thijs B
  • Registratie: augustus 1999
  • Niet online
Renegade666 schreef op vrijdag 5 juni 2020 @ 16:11:
[...]


Registersleutel van gebruiker even verwijderen, en even goed kijken in C;\users op de hosts. Daar blijft alsnog wel wat spul staan.
welke reg sleutel bedoel je ??

sowieso als ik een user afmeld is op de rds hosts in c:\users[usernaam] gewoon volledig weg en valt daar niets te deleten?

Acties:
  • +1Henk 'm!
Thijs B schreef op vrijdag 5 juni 2020 @ 16:27:
[...]


welke reg sleutel bedoel je ??

sowieso als ik een user afmeld is op de rds hosts in c:\users[usernaam] gewoon volledig weg en valt daar niets te deleten?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Thijs B schreef op vrijdag 5 juni 2020 @ 15:51:
hellup!
Drama hier met nieuwe rds farm, weet iemand hoe het kan dat als je de UPD volledig verwijderd en daarmee is denk ik de user profile volledig weg.
Je daarna opnieuw inlogt en het betreffende user profile niet 100$ clean is, oude printer drivers/troep komt gewoon weer mee.
Waar zie je die 'troep' dan? Want drivers staan op het systeem, niet in het profiel van de gebruiker. Printers kan je hebben afgedwongen via GPO of staan lokaal op de RDS geïnstalleerd.

Mappen die je via folder redirection elders plaatst zullen ook niet in de UPD staan.

Ik heb zelf al eens het profiel van iemand volledig weggegooid door de UPD te hernoemen of verwijderen en dat ging gewoon goed, niets van de vorige settings of data te vinden, behalve dan de documenten die we via folder redirection ergens anders zetten.

Commandline FTW | Tweakt met mate


Acties:
  • 0Henk 'm!

  • Thijs B
  • Registratie: augustus 1999
  • Niet online
Hero of Time schreef op vrijdag 5 juni 2020 @ 18:51:
[...]

Waar zie je die 'troep' dan? Want drivers staan op het systeem, niet in het profiel van de gebruiker. Printers kan je hebben afgedwongen via GPO of staan lokaal op de RDS geïnstalleerd.

Mappen die je via folder redirection elders plaatst zullen ook niet in de UPD staan.

Ik heb zelf al eens het profiel van iemand volledig weggegooid door de UPD te hernoemen of verwijderen en dat ging gewoon goed, niets van de vorige settings of data te vinden, behalve dan de documenten die we via folder redirection ergens anders zetten.
Nou ik zit dus al dagen met de volgende ellende, misschien wat achtergrond info maakt het duidelijker.
Nieuwe RDS farm opgezet en bij begin zijn daar via gpo alle 60+ printers mapped, dat is de bron van ellende, er zijn fouten gemaakt met verkeerde drivers, knoeien met verschillende driver versies enz.

Gevolg zogenaamde ghost/dubbele printers die je er echt NIET meer uit krijgt..
Ongeveer dit issue https://serverfault.com/q...-coming-back-and-multiply
Dit veroorzaakt ook dat de rds helemaal onderuit gaat 100% cpu load programma/systeem wat hangt bij printen.

Dan kom je op een punt van oke pech weet je wat we gaan de rds hosts opnieuw opbouwen. (kost mij nogal tijd want heb nog niet alles met golden image oplossing op de rails.)

Maar goed nu komt het wanneer users op de NIEUWE rds host inloggen ook NADAT de upd disks van de user is verwijderd.
Dan zou je verwachten dat je alle shit kwijt bent, toch ?

Maar komen gelijk de ghost/dubbele printer shit weer terug en verschilt per user en dit resulteert weer in performance hit en onstabiel systeem.
Sowieso echt 100% zeker dat dit niet uit een gpo mee komt dat heel grondig uitgezocht.

Echter is mij nu een groot raadsel waarom deze ellende niet verdwijnt na verwijderen user profile en inloggen op een nieuwe clean rds host.


.

Acties:
  • 0Henk 'm!
Thijs B schreef op vrijdag 5 juni 2020 @ 20:33:
[...]

Nou ik zit dus al dagen met de volgende ellende, misschien wat achtergrond info maakt het duidelijker.
Nieuwe RDS farm opgezet en bij begin zijn daar via gpo alle 60+ printers mapped, dat is de bron van ellende, er zijn fouten gemaakt met verkeerde drivers, knoeien met verschillende driver versies enz.

Gevolg zogenaamde ghost/dubbele printers die je er echt NIET meer uit krijgt..
Ongeveer dit issue https://serverfault.com/q...-coming-back-and-multiply
Dit veroorzaakt ook dat de rds helemaal onderuit gaat 100% cpu load programma/systeem wat hangt bij printen.

Dan kom je op een punt van oke pech weet je wat we gaan de rds hosts opnieuw opbouwen. (kost mij nogal tijd want heb nog niet alles met golden image oplossing op de rails.)

Maar goed nu komt het wanneer users op de NIEUWE rds host inloggen ook NADAT de upd disks van de user is verwijderd.
Dan zou je verwachten dat je alle shit kwijt bent, toch ?

Maar komen gelijk de ghost/dubbele printer shit weer terug en verschilt per user en dit resulteert weer in performance hit en onstabiel systeem.
Sowieso echt 100% zeker dat dit niet uit een gpo mee komt dat heel grondig uitgezocht.

Echter is mij nu een groot raadsel waarom deze ellende niet verdwijnt na verwijderen user profile en inloggen op een nieuwe clean rds host.


.
Als ik het zo lees heb ik toch het vemoeden dat ergens centraal vandaan komt, of printserver of GPO.
Heb je al is een RSOP guery gedaan en gekeken wat er dan meekomt. Misschien heb je iets over het hoofd gezien in de GPO's.

Je zou als test is het computeraccount van RDS in een OU kunnen zetten met block inhertance en geen enkele GPO koppelen, behalve misschien de Default Domain Policy (wel vantevoren ffe checken of daar niks in zit)

[Voor 5% gewijzigd door shadowman12 op 05-06-2020 20:39]

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • kraats
  • Registratie: januari 2004
  • Laatst online: 07:17

kraats

Ik rol

@Thijs B wat voor clients worden gebruikt? Worden er geen clientprinters gemapped die voor de verkeerde drivers zorgen?

Waar is Jos de Nooyer toch gebleven?


Acties:
  • 0Henk 'm!

  • Thijs B
  • Registratie: augustus 1999
  • Niet online
shadowman12 schreef op vrijdag 5 juni 2020 @ 20:37:
[...]


Als ik het zo lees heb ik toch het vemoeden dat ergens centraal vandaan komt, of printserver of GPO.
Heb je al is een RSOP guery gedaan en gekeken wat er dan meekomt. Misschien heb je iets over het hoofd gezien in de GPO's.

Je zou als test is het computeraccount van RDS in een OU kunnen zetten met block inhertance en geen enkele GPO koppelen, behalve misschien de Default Domain Policy (wel vantevoren ffe checken of daar niks in zit)
Weten echt redelijk zeker dat het niet uit een nog actieve gpo komt maar to be sure idd gedaan wat je zei even sob ou daar de rds host in en block gpo inheritance.

user upd verwijderd, opnieuw inloggen helaas zelfde probleem.
Het zijn nog steeds de oude ghost printer zooi die mee komt zoals ongeveer te zien op de url in mijn eerdere post.
kraats schreef op vrijdag 5 juni 2020 @ 20:37:
@Thijs B wat voor clients worden gebruikt? Worden er geen clientprinters gemapped die voor de verkeerde drivers zorgen?
nee het zijn geen client of redirected printers.

Acties:
  • 0Henk 'm!
Thijs B schreef op vrijdag 5 juni 2020 @ 21:03:
[...]


Weten echt redelijk zeker dat het niet uit een nog actieve gpo komt maar to be sure idd gedaan wat je zei even sob ou daar de rds host in en block gpo inheritance.

user upd verwijderd, opnieuw inloggen helaas zelfde probleem.
Het zijn nog steeds de oude ghost printer zooi die mee komt zoals ongeveer te zien op de url in mijn eerdere post.


[...]


nee het zijn geen client of redirected printers.
Heb je dit al geprobeerd?
https://hangohr.wordpress...printers-on-windows-2012/

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Ah, je wilt een ander probleem oplossen. Vage printers die je opeens extra hebt of van 1 printer x connecties en met elke login lijken bij te komen. Dat is iets waar wij ook tegenaan lopen. Niet dat er printers zijn die niet meer op bestaan, maar zeg 4x de printer van de afdeling hebben. Het heeft bij ons nog niet echt de uitwerking dat het CPU gebruik piekt, maar inloggen lijkt hierdoor wel lang te duren. Want m'n admin account die geen printers krijgt is beduidend sneller ingelogd (mede ook omdat het in totaal al minder GPOs krijgt, maar het inloggen staat vaak te denken bij de printers).

Ben ik ook al eens naar gaan zoeken hoe ik dat weg kan krijgen, maar uit het profiel gooien lijkt niet te werken idd. Gooi je alle printers en duplicaten weg, log uit, log in, he, opeens heb je weer x+1 printers gekregen. |:(

Bij je test met de RDS in een OU zetten waar je inheritance uit hebt staan, had je ook de gebruiker daar in gezet of staat die nog op dezelfde plek met alle GPOs toegewezen? Want als je dat nog zo hebt, dan heeft die RDS in een aparte OU zetten ook niet heel veel zin gehad.

In de GPOs, hoe deel je printers uit? Via GPP of met Printer Manager Deploy using GPO?

Commandline FTW | Tweakt met mate


Acties:
  • 0Henk 'm!

  • Thijs B
  • Registratie: augustus 1999
  • Niet online
yep die sites en vele gezien en eigenlijk hoeft dat niet meer en heb ik dat opgegeven ik wil naar een nieuwe clean goed werkende oplossing.
Hero of Time schreef op vrijdag 5 juni 2020 @ 21:16:
Ah, je wilt een ander probleem oplossen. Vage printers die je opeens extra hebt of van 1 printer x connecties en met elke login lijken bij te komen. Dat is iets waar wij ook tegenaan lopen. Niet dat er printers zijn die niet meer op bestaan, maar zeg 4x de printer van de afdeling hebben. Het heeft bij ons nog niet echt de uitwerking dat het CPU gebruik piekt, maar inloggen lijkt hierdoor wel lang te duren. Want m'n admin account die geen printers krijgt is beduidend sneller ingelogd (mede ook omdat het in totaal al minder GPOs krijgt, maar het inloggen staat vaak te denken bij de printers).

Ben ik ook al eens naar gaan zoeken hoe ik dat weg kan krijgen, maar uit het profiel gooien lijkt niet te werken idd. Gooi je alle printers en duplicaten weg, log uit, log in, he, opeens heb je weer x+1 printers gekregen. |:(

Bij je test met de RDS in een OU zetten waar je inheritance uit hebt staan, had je ook de gebruiker daar in gezet of staat die nog op dezelfde plek met alle GPOs toegewezen? Want als je dat nog zo hebt, dan heeft die RDS in een aparte OU zetten ook niet heel veel zin gehad.

In de GPOs, hoe deel je printers uit? Via GPP of met Printer Manager Deploy using GPO?
ik ben nu ff te moe om er nog mee verder te gaan ik zal van het weekend nog even verder response geven.

Mijn laatste theorie die ik nu heb en van weekend moet uitzoeken wat deze ellende mogelijk keer op keer veroorzaakt.

ik heb zeg maar een user\filiaal\ou\user
daar hangt een gpo aan met een printers kyocera driver v7

en ik heb een gpo \rds\filiaal\ou
daar hangt een gpo aan met rds printer server met kyocera driver v8

de user die inlogt pakt denk ik toch beide gpo's mee.
Waardoor mogelijk de windows rds host helemaal op zijn bek gaat door mixed versie printer drivers.

dit is mijn laatste theorie maar nu te moe om uit te zoeken :)

Acties:
  • 0Henk 'm!

  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Ja, die combinatie is niet zo handig. Waarom zou je een server ook nog eens apart printers geven? Die geef je alleen aan gebruikers. Of je wilt een specifieke printer voor gebruikers op die specifieke server geven, maar dan geef je de gebruikers weer geen printer.

Ook het mixen van driver versies is vragen om problemen, want het systeem weet dan niet welke versie het moet gebruiken. Dat zal vermoedelijk de CPU pieken veroorzaken.

Heb je de event viewer al bekeken? Daar zou je iig iets moeten vinden, zoals de print spooler die crasht of zo.

Commandline FTW | Tweakt met mate


Acties:
  • 0Henk 'm!

  • Thijs B
  • Registratie: augustus 1999
  • Niet online
Hero of Time schreef op vrijdag 5 juni 2020 @ 22:27:
Ja, die combinatie is niet zo handig. Waarom zou je een server ook nog eens apart printers geven? Die geef je alleen aan gebruikers. Of je wilt een specifieke printer voor gebruikers op die specifieke server geven, maar dan geef je de gebruikers weer geen printer.
..........
tja groot bedrijf met mixed omgeving rds en fat clients, overnames, domain migraties enz.enz, dan kom je vanzelf in een setup die niet ideaal is en ellende uit voort komt.

bepaalde vestigingen hebben fat clients waarvoor ze werk doen voor bedrijfsonderdeel x maar die zelfde mensen werken ook voor bedrijfsonderdeel Y welke volledig op rds zit. Daar komen de dubbele verkeerde printer mappings uit voort.

maar goed verschillende printer driver versies daardoor ging de rdsfarm volledig over de zeik, van het weekend met schone nieuwe rds hosts en verwijderde profielen de boel gelukkig op de rails kunnen krijgen.

Nu kan ik de rest van de week gelukkig verder :) met puinruimen van de veel te snel doorgevoerde rds/domain migratie. Zo blijven we lekker bezig :)

Acties:
  • 0Henk 'm!
Thijs B schreef op vrijdag 5 juni 2020 @ 21:27:
[...]


yep die sites en vele gezien en eigenlijk hoeft dat niet meer en heb ik dat opgegeven ik wil naar een nieuwe clean goed werkende oplossing.


[...]


ik ben nu ff te moe om er nog mee verder te gaan ik zal van het weekend nog even verder response geven.

Mijn laatste theorie die ik nu heb en van weekend moet uitzoeken wat deze ellende mogelijk keer op keer veroorzaakt.

ik heb zeg maar een user\filiaal\ou\user
daar hangt een gpo aan met een printers kyocera driver v7

en ik heb een gpo \rds\filiaal\ou
daar hangt een gpo aan met rds printer server met kyocera driver v8

de user die inlogt pakt denk ik toch beide gpo's mee.
Waardoor mogelijk de windows rds host helemaal op zijn bek gaat door mixed versie printer drivers.

dit is mijn laatste theorie maar nu te moe om uit te zoeken :)
Hahahaha je zei toch GPO's niet het issue waren eerder, nu komt de aap uit de mouw en lijkt het er wel op (wat ik al dacht)

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Hmm, hier wat bijzonders op een RDS/TS 2012r2.
Dit is een TS die niet door ons is ingericht, en dus nog niet helemaal bij is.
Maar 1 of andere manier hebben sommige gebruikers Teams kunnen installeren onder hun profiel.
Maar ik zie die niet in de programma lijst. Hoe krijg ik dat virus er af op een makkelijke manier :P

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • +1Henk 'm!

  • hmmmmmmmmmpffff
  • Registratie: september 2009
  • Nu online
Renegade666 schreef op maandag 8 juni 2020 @ 17:24:
Hmm, hier wat bijzonders op een RDS/TS 2012r2.
Dit is een TS die niet door ons is ingericht, en dus nog niet helemaal bij is.
Maar 1 of andere manier hebben sommige gebruikers Teams kunnen installeren onder hun profiel.
Maar ik zie die niet in de programma lijst. Hoe krijg ik dat virus er af op een makkelijke manier :P
Staat in hun appdata denk ik.

Scriptje maken die het bij elke user uit hun appdata haalt?

Acties:
  • +1Henk 'm!

  • Duinkonijn
  • Registratie: augustus 2001
  • Laatst online: 07:41

Duinkonijn

Old dirty bastard

Policy schrijven dat ze het niet in hun profiel mogen opslaan?

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


Acties:
  • +2Henk 'm!
Renegade666 schreef op maandag 8 juni 2020 @ 17:24:
Hmm, hier wat bijzonders op een RDS/TS 2012r2.
Dit is een TS die niet door ons is ingericht, en dus nog niet helemaal bij is.
Maar 1 of andere manier hebben sommige gebruikers Teams kunnen installeren onder hun profiel.
Maar ik zie die niet in de programma lijst. Hoe krijg ik dat virus er af op een makkelijke manier :P
PowerShell:
1
2
3
4
if (test-path C:\Users\*\AppData\Local\Microsoft\Teams\current\Teams.exe)
{kill -name teams -force;
(Get-ItemProperty C:\Users\*\AppData\Local\Microsoft\Teams\Current).PSParentPath | foreach-object {Start-Process $_\Update.exe -ArgumentList "--uninstall /s" -PassThru -Wait}
}

[Voor 32% gewijzigd door shadowman12 op 08-06-2020 18:07]

Assumption is the mother of all fuck ups


Acties:
  • 0Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@Duinkonijn
Normaal is dat ook zo, maarja overgenomen en momenteel te weinig tijd alles te doen.
Zeker nu ik half overspannen thuis zit.. En een collega die een week van te voren bedenkt om op vakantie te gaan..(was niet bekent bij ons dat dat ingepland was..)

@shadowman12
Thanks, ga ik even proberen.

[Voor 8% gewijzigd door Renegade666 op 08-06-2020 18:29]

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • +1Henk 'm!

  • Duinkonijn
  • Registratie: augustus 2001
  • Laatst online: 07:41

Duinkonijn

Old dirty bastard

Renegade666 schreef op maandag 8 juni 2020 @ 18:28:
@Duinkonijn
Normaal is dat ook zo, maarja overgenomen en momenteel te weinig tijd alles te doen.
Zeker nu ik half overspannen thuis zit.. En een collega die een week van te voren bedenkt om op vakantie te gaan..(was niet bekent bij ons dat dat ingepland was..)
Okee, let op je gezondheid.. die tent draait met of zonder jou verder

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


Acties:
  • 0Henk 'm!

  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Duinkonijn schreef op maandag 8 juni 2020 @ 20:52:
[...]

Okee, let op je gezondheid.. die tent draait met of zonder jou verder
Daar ben ik ook mee bezig, maar is lastig om uit het ritme te gaan wat ik al 10 jaar doe.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Thijs B
  • Registratie: augustus 1999
  • Niet online
vraagje tussendoor.
Klopt het als je binnen een rdsfarm wilt verbinden met de broker server je dit alleen kan doen met mstsc /admin.

als ik gewoon de broker server via rds wil verbinden kom ik op een willekeurige server uit in de rdsfarm.
ik heb niet zo veel ervaring met rds farm setup maar dit hoort toch niet lijkt mij ?

Acties:
  • +1Henk 'm!

  • Duinkonijn
  • Registratie: augustus 2001
  • Laatst online: 07:41

Duinkonijn

Old dirty bastard

Thijs B schreef op vrijdag 12 juni 2020 @ 16:30:
vraagje tussendoor.
Klopt het als je binnen een rdsfarm wilt verbinden met de broker server je dit alleen kan doen met mstsc /admin.

als ik gewoon de broker server via rds wil verbinden kom ik op een willekeurige server uit in de rdsfarm.
ik heb niet zo veel ervaring met rds farm setup maar dit hoort toch niet lijkt mij ?
Ik heb ook niet zoveel ervaring met RDS, maar de broker verdeelt de load over de RDS servers, dus denk dat dit wel de weg is.. misschien als je hem direct op ip aanspreekt?

Een systeembeheerder is als een huisarts, ja hij weet van alles ongeveer af, maar je wilt geen open hartoperatie van hem


  • Grvy
  • Registratie: juni 2008
  • Laatst online: 00:41

Grvy

Bot

@Duinkonijn gaat door voor de koelkast. Dat is inderdaad: "Working as intended".

Zonder /admin denkt de broker dat je gewoon een user bent, ongeacht je admin status.

Omdat het moet.


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

En op IP proberen werkt ook niet, de broker gaat je dan alsnog naar een andere sturen als dat beter is. Ik heb om die reden voor elke RDS bij ons een aparte /admin verbinding.

Commandline FTW | Tweakt met mate


  • BlakHawk
  • Registratie: februari 2008
  • Nu online
Okee even een App-V specifiek vraagje. Nu heb ik weinig ervaring met client packaging, laat staan App-V. Dus als dit een domme vraag is, sorry!

We hebben op Windows 10 clients een bepaald app-v pakketje draaien en deze is te starten en werkt prima.

Nu hebben we ook citrix servers en publicaties.

Op het moment dat ik het app-v pakketje naar de server stuur en installeer, kan ik met een publicatie de applicatie starten.

Echter, na iedere reboot is het systeem zijn virtuele disk kwijt lijkt wel, want het pakketje is niet meer te starten en op Citrix krijg je de melding "Can't find path specified".

Een uninstall en install van de applicatie lost het probleem op, tot de volgende reboot.

Dus ik dacht dat er een mount of publish moet plaatsvinden van het pakketje.

Maar als ik na een reboot in powershell het volgende commando uitvoer:
Get-AppvClientPackage | Format-List

Krijg ik helemaal geen uitvoer, dus het lijkt een nioveau hoger te zitten.
Na herinstall krijg ik wel output.

Kan iemand mij verderhelpen, of kan dit niet wat ik wil?
We hebben slechts één app-v pakketje draaien en dit is de enige.

Youtube: DashcamNL


  • Patrick
  • Registratie: juli 1999
  • Laatst online: 20:19
Het is even geleden dat ik iets met AppV gedaan heb dus niet helemaal zeker. Je hebt toch ook iets van een AppV server nodig als je dit automatisch wilt laten publishen? Lijkt me voor 1 app wat overdreven? Dus misschien kun je via een scheduled task en een script iets doen?

  • new_guy
  • Registratie: oktober 2009
  • Laatst online: 23:11
Beetje lastig op basis van je info en soms rare zinnen, maar je 'citrix servers' zijn toevallig niet non-persistent..?

  • Aherin
  • Registratie: juli 2009
  • Laatst online: 04-07 20:35
Tsssk! en ik ontdek dit topic nu pas!

  • Tylen
  • Registratie: september 2000
  • Nu online

Tylen

ONK SuperCup 1000 #6

BlakHawk schreef op donderdag 18 juni 2020 @ 10:42:
Okee even een App-V specifiek vraagje. Nu heb ik weinig ervaring met client packaging, laat staan App-V. Dus als dit een domme vraag is, sorry!

We hebben op Windows 10 clients een bepaald app-v pakketje draaien en deze is te starten en werkt prima.

Nu hebben we ook citrix servers en publicaties.

Op het moment dat ik het app-v pakketje naar de server stuur en installeer, kan ik met een publicatie de applicatie starten.

Echter, na iedere reboot is het systeem zijn virtuele disk kwijt lijkt wel, want het pakketje is niet meer te starten en op Citrix krijg je de melding "Can't find path specified".

Een uninstall en install van de applicatie lost het probleem op, tot de volgende reboot.

Dus ik dacht dat er een mount of publish moet plaatsvinden van het pakketje.

Maar als ik na een reboot in powershell het volgende commando uitvoer:
Get-AppvClientPackage | Format-List

Krijg ik helemaal geen uitvoer, dus het lijkt een nioveau hoger te zitten.
Na herinstall krijg ik wel output.

Kan iemand mij verderhelpen, of kan dit niet wat ik wil?
We hebben slechts één app-v pakketje draaien en dit is de enige.
Citrix is een merk, net zoals Microsoft. Wat bedoel je dus met “Cittix Servers”. Ik doe een aanname dat je XenApp bedoeld.

Die zullen wel non-persistent zijn en moet je dus in je template/golden image/vdisk/geef het beestje een naampje je app-v package verwerken.

Maar als je een correct app-v omgeving hebt hoeft dit ook niet. App-v pakketen komen dan gewoon weer netjes op de server te stream (app-v publishing en streaming servers)

[Voor 5% gewijzigd door Tylen op 19-06-2020 07:19]

A wise man once said: 'Work is not a place."


  • BlakHawk
  • Registratie: februari 2008
  • Nu online
Tylen schreef op vrijdag 19 juni 2020 @ 07:18:
[...]


Citrix is een merk, net zoals Microsoft. Wat bedoel je dus met “Cittix Servers”. Ik doe een aanname dat je XenApp bedoeld.

Die zullen wel non-persistent zijn en moet je dus in je template/golden image/vdisk/geef het beestje een naampje je app-v package verwerken.

Maar als je een correct app-v omgeving hebt hoeft dit ook niet. App-v pakketen komen dan gewoon weer netjes op de server te stream (app-v publishing en streaming servers)
Sorry, het gaat inderdaad om een XenApp 7.15 server.

Wat er is gebeurd, binnen de SCCM omgeving zit tegenwoordig App-V redelijk ingebakken toch?
Normaal zorgt de package afdeling bij ons voor een MSI die vervolgens aan een machine wordt gehangen. Nu waren er wat problemen met de installatie middels MSI en heeft de packager een APP-V applicatie gemaakt.

Op de werkplekken is deze gepushed middels SCCM (available), dus het pakketje komt als "optioneel" in software center te staan op de werkplekken in die collectie. De gebruiker klikt vervolgens "install" en ze kunnen voortaan die applicatie gebruiken, gebruikers zien geen verschil met een fysiek geinstalleerde applicatie.

So far so good.
Aangezien dit op werkplekken vlekkeloos werkt, dacht ik hetzelfde op een XenApp server uit te voeren. Ik maak de server lid van de collectie, eenmalig op install drukken en de app-v wordt geinstalleerd op de server.

Vervolgens maak ik een publicatie in Citrix Studio naar die executable en dat werkt mits de XenApp server geen reboot krijgt.

Uiteindelijk doe ik op een Windows 10 machine exact hetzelfde, daar blijft het werken, maar op de XenApp server is hij het pakketje kwijt na een herstart van de server.

Er er iets van een scriptje wat ik bij startup kan runnen om hem weer actief te krijgen misschien?

Youtube: DashcamNL


  • new_guy
  • Registratie: oktober 2009
  • Laatst online: 23:11
Wat voor methodiek gebruik je voor de uitrol van je XenApp servers? Iets van MCS of PVS? Dan is de kans aanwezig dat de boel ingesteld staat dat wijzigingen niet worden opgeslagen bij een herstart.

Je zult dan inderdaad dus moeten zorgen dat je al je AppV's bij het booten geladen worden.

[Voor 53% gewijzigd door new_guy op 19-06-2020 09:31]


  • BlakHawk
  • Registratie: februari 2008
  • Nu online
new_guy schreef op vrijdag 19 juni 2020 @ 09:30:
Wat voor methodiek gebruik je voor de uitrol van je XenApp servers? Iets van MCS of PVS? Dan is de kans aanwezig dat de boel ingesteld staat dat wijzigingen niet worden opgeslagen bij een herstart.

Je zult dan inderdaad dus moeten zorgen dat je al je AppV's bij het booten geladen worden.
Geen idee, ik ben geen Citrix beheerder en de Citrix beheerders hebben geen verstand van App-V hier. Volgens mij worden ze uit een template uitgerold.
Ik probeer het als applicatiebeheerder nu een beetje op te pakken.

Zou je mij iets op weg willen helpen?
Hoe kan ik dit opnieuw laden?

Ik heb dit geprobeerd:
Get-AppvClientPackage -name *applicatie*
mount-AppvClientPackage -name *applicatie*

Maar het probleem is dat ik na een reboot geen uitput meer krijg uit het get commando.

Youtube: DashcamNL


Acties:
  • +1Henk 'm!

  • Tylen
  • Registratie: september 2000
  • Nu online

Tylen

ONK SuperCup 1000 #6

Ja je hebt (aanname) non-persistent XenApp server. Hierdoor is de server, na een reboot, weer terug bij af.

Wat ik niet snap is waarom je uberhaubt in studio kan komen als je geen "Citrix"beheerder bent. ;) Gooi het naar hun en zeg dat ze deze applicatie moeten opleveren. Anders kan je altijd nog mij inhuren hoor ;) Geef ik gelijk training on the job.

A wise man once said: 'Work is not a place."


Acties:
  • +1Henk 'm!

  • new_guy
  • Registratie: oktober 2009
  • Laatst online: 23:11
Als je Citrix beheerders niet weten hoe hun servers provisionend zijn dna is het tijd om afscheid te gaan nemen van wat mensen...

Wat bedole je met ''geen uitput"? Worden de commando's niet herkend? Geven ze foutmeldingen?

  • BlakHawk
  • Registratie: februari 2008
  • Nu online
Tylen schreef op vrijdag 19 juni 2020 @ 09:44:
Ja je hebt (aanname) non-persistent XenApp server. Hierdoor is de server, na een reboot, weer terug bij af.

Wat ik niet snap is waarom je uberhaubt in studio kan komen als je geen "Citrix"beheerder bent. ;) Gooi het naar hun en zeg dat ze deze applicatie moeten opleveren. Anders kan je altijd nog mij inhuren hoor ;) Geef ik gelijk training on the job.
Nou ja, ik moet voor de applicaties die ik beheer zelf publicaties aanmaken en bewerken.
Is uit tijdsgebrek bij Citrix beheer voortgekomen.

Dan denk ik dat die non-persitant aardig klopt ja.

Klinkt logisch! Maar er is dus geen simpel (standaard) script om dit te installeren?


Als ik de applacatie heb geinstalleerd, zonder reboot en ik voer uit:
Get-AppvClientPackage

Dankrijg ik als uitput de applicatie die wordt aangeboden.

Voer ik het get commando uit na een reboot, is hij leeg, geen output op het get commando.

[Voor 13% gewijzigd door BlakHawk op 19-06-2020 09:51]

Youtube: DashcamNL


  • BlakHawk
  • Registratie: februari 2008
  • Nu online
new_guy schreef op vrijdag 19 juni 2020 @ 09:48:
Als je Citrix beheerders niet weten hoe hun servers provisionend zijn dna is het tijd om afscheid te gaan nemen van wat mensen...

Wat bedole je met ''geen uitput"? Worden de commando's niet herkend? Geven ze foutmeldingen?
Geen uitput uit het Get-AppvClientPackage commando... Dus er zijn na een herstart geen app-v pakketjes meer actief.

Even verder gekeken en de server is gewoon persistant. Vaak worden er met de hand zaken op geinstalleerd.

Maar direct na de herstart zie ik in de App-V logging in de eventviewer:

IAppVClient::RemovePackage COM method entered.

Package {ea468912-770a-48dd-a0ea-05c7cf47a827} version {1a8f0737-5aec-49f5-8a18-6c55d57f438a} was unpublished for all users.

Package {ea468912-770a-48dd-a0ea-05c7cf47a827} version {1a8f0737-5aec-49f5-8a18-6c55d57f438a} was removed.

Dit gebeurt echt direct bij de reboot, dus ik denk aan een policy?

Youtube: DashcamNL


  • nextware
  • Registratie: mei 2002
  • Laatst online: 07:43
BlakHawk schreef op vrijdag 19 juni 2020 @ 09:27:
[...]


Er er iets van een scriptje wat ik bij startup kan runnen om hem weer actief te krijgen misschien?
Kun je het AppV package niet koppelen aan een device binnen SCCM ? Dus niet op userniveau publiceren, maar op machine niveau.

Of je richt een AppV Publishing server in waarlangs je het package op machine niveau publiceert. Dan richt je je AppV Client configuratie op je XenApp server goed in waarna deze het AppV package zal ophalen na een reboot. Zo kun je ook vrij eenvoudig updates van je applicatie pushen naar je XenApp server.

[Voor 9% gewijzigd door nextware op 19-06-2020 13:59]


  • asing
  • Registratie: oktober 2001
  • Laatst online: 06-07 20:02
BlakHawk schreef op vrijdag 19 juni 2020 @ 12:34:
[...]


Geen uitput uit het Get-AppvClientPackage commando... Dus er zijn na een herstart geen app-v pakketjes meer actief.

Even verder gekeken en de server is gewoon persistant. Vaak worden er met de hand zaken op geinstalleerd.

Maar direct na de herstart zie ik in de App-V logging in de eventviewer:

IAppVClient::RemovePackage COM method entered.

Package {ea468912-770a-48dd-a0ea-05c7cf47a827} version {1a8f0737-5aec-49f5-8a18-6c55d57f438a} was unpublished for all users.

Package {ea468912-770a-48dd-a0ea-05c7cf47a827} version {1a8f0737-5aec-49f5-8a18-6c55d57f438a} was removed.

Dit gebeurt echt direct bij de reboot, dus ik denk aan een policy?
Kan, echter je kan zoiets op veel meer manieren organiseren. Een task scheduler, een runbook, een startup script, een GPO, SCCM :P . Wat je maar kan verzinnen.

Het punt is nu dat wij allemaal net zoveel weten van jouw omgeving als wat je ons nu vertelt. Nu ben je zelf ook zoekende naar het antwoord en je doet je best maar ik zie nog geen oorzaak.

Maar om een GPO uit te sluiten : doe eens GRPRESULT /H c:\temp\gpresult.html. Vooropgesteld dat je een temp hebt en daarin mag schrijven. Anders een andere locatie.

De output vertelt je welke policies er voor de machine en jouw account van toepassing zijn en wat daarin wordt geregeld. Daar even kijken of er wat staat.

Who's General Failure and why is he reading my harddrive? - Projectmanager : a person who thinks nine women can make one baby in one month


Acties:
  • +1Henk 'm!

  • BlakHawk
  • Registratie: februari 2008
  • Nu online
nextware schreef op vrijdag 19 juni 2020 @ 13:54:
[...]


Kun je het AppV package niet koppelen aan een device binnen SCCM ? Dus niet op userniveau publiceren, maar op machine niveau.

Of je richt een AppV Publishing server in waarlangs je het package op machine niveau publiceert. Dan richt je je AppV Client configuratie op je XenApp server goed in waarna deze het AppV package zal ophalen na een reboot. Zo kun je ook vrij eenvoudig updates van je applicatie pushen naar je XenApp server.
Dit lijkt een beetje op het probleem:
https://discussions.citri...d-removes-app-v-packages/

I see that no one has answered this...this is by design. Probably someone can improve on the explanation. Modified from the notes of a closed case.

The behavior noted is by design from 7.15 CU3 onward. In 7.15 CU2 and previously, if a package published with Citrix was later removed, nothing was removed from VDA. In CU3 the cleanup behaviour is changed. Now, the service CtxAppVService checks registry key (ApplicationStartDetails) of AppV Application details after every restart.


Without integrated MS AppV server, and if application is in the cache but it is not Citrix registry list, the service will remove the package. This is because, as far as the Citrix AppV Service is concerned, that package has been removed from Studio.


We gebruiken idd niet de Citrix app-v service, omdat app-v verder niet wordt gebruikt, bij mijn weten is dit het eerste app-v pakket, omdat de msi problemen ondervond bij installatie.

[Voor 39% gewijzigd door BlakHawk op 19-06-2020 14:04]

Youtube: DashcamNL


  • FastFred
  • Registratie: maart 2009
  • Nu online
* FastFred is totaal niet thuis in licenties

We hebben Office 365 Enterprise E3, dat gaan we gebruiken op onze XenApp servers. Moet ik dan nog CAL's aanschaffen voor onze gebruikers? Desktop Virtualization zit namelijk al ingebakken in 365 Enterprise E3, of is dat niet hetzelfde?

Franse auto's gaan niet stuk, die staken gewoon


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@FastFred
Volgens mij geld dat alleen als je dat via azure afneemt. Maar kan het mis hebben, ben ook niet zo thuis in die ingewikkelde MS licentie structuur.

Office kun je er wel voor gebruiken iig, dat mag op een RDS/xenapp omgeving draaien.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • FastFred
  • Registratie: maart 2009
  • Nu online
Zoals ik het hier lees:
What about an RDP connection to a VDI (without the use of RDS)?
In that case, you won’t need an RDS CAL. However, you will need a Windows VDA (Virtual Desktop Access) license. This is covered in Windows E3 and E5 licenses and can also be purchased on top of Windows in case you don’t have the E3 or E5 flavour. Windows E3 or E5 is the evolution of the former Windows SA (Software Assurance). The former is typically user-based, while the latter was device-based licensing.
We gebruiken Citrix XenApp, dus geen RDS. We hebben dus wel VDA licenties nodig, maar die zitten al inbegrepen bij E3 en E5 licenties.

De upgrade van onze XenApp omgeving wordt namelijk vooruit geschoven omdat we vanwege corona gedoe de deadline niet hebben gehaald. En nu komen we dus licenties te kort, deze maand zijn er al 4 nieuwe medewerkers begonnen, volgende week weer 2. Dus we zitten een beetje te zoeken waar we besparen kunnen, alles wat we nu kopen kunnen we na het update project niet meer gebruiken, zonde geld.

[Voor 20% gewijzigd door FastFred op 23-06-2020 16:47]

Franse auto's gaan niet stuk, die staken gewoon


Acties:
  • +1Henk 'm!

  • Tylen
  • Registratie: september 2000
  • Nu online

Tylen

ONK SuperCup 1000 #6

FastFred schreef op dinsdag 23 juni 2020 @ 16:38:
Zoals ik het hier lees:


[...]


We gebruiken Citrix XenApp, dus geen RDS. We hebben dus wel VDA licenties nodig, maar die zitten al inbegrepen bij E3 en E5 licenties.

De upgrade van onze XenApp omgeving wordt namelijk vooruit geschoven omdat we vanwege corona gedoe de deadline niet hebben gehaald. En nu komen we dus licenties te kort, deze maand zijn er al 4 nieuwe medewerkers begonnen, volgende week weer 2. Dus we zitten een beetje te zoeken waar we besparen kunnen, alles wat we nu kopen kunnen we na het update project niet meer gebruiken, zonde geld.
Ja.

Voor XenApp heb je RDS licenties nodig, ook al gebruik je HDX ipv RDP.

A wise man once said: 'Work is not a place."


  • Grvy
  • Registratie: juni 2008
  • Laatst online: 00:41

Grvy

Bot

Heb al gegoogled maar kom niet echt verder.

Heb recent bij een klant een VMware cluster ingericht inclusief shared storage.
vMotion op basis van compute resource gaat helemaal prima, maar zodra ik een Storage vMotion doe dan blijft hij op 33% hangen en crashed vervolgens de complete VM na een tijdje. Is dan geen beweging meer in te krijgen tot je de hypervisor zelf reboot.

- vMotion op eigen VLAN
- vMotion op eigen vSwitch
- vMotion ingesteld met Jumbo Frames. Op zowel switch als in de vSwitch/NICs.
- vMotion apart van management en vswitch voor de servers.

Het is dus voor zover ik weet helemaal apart en toch gaat het niet goed.. iemand tips waar ik nog kan zoeken?

Omdat het moet.


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@Grvy
TIjdens de move/crash van vm, is er dan iets te vinden in de logging? Te vinden bij de VM, en de andere logs die altijd wat ver weg zitten bij vmware vind ik..

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 23:00

The Eagle

I wear my sunglasses at night

Staat me vanuit het verleden bij dat daar wel eens een firewall poortje dicht wil zitten tussen de verschillende (storage) VLANs. Zou in de documentatie moeten staan iirc.

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

De Storage vMotion is van de ene shared naar de andere shared? Wat is de techniek dat gebruikt wordt (NFs, iSCSI, anders) en wat voor storage apparaten gaat het om? Het gaat beide kanten op stuk? Als de hosts het hebben, kan je wel naar local storage een vMotion doen?

Commandline FTW | Tweakt met mate


Acties:
  • +1Henk 'm!
The Eagle schreef op dinsdag 23 juni 2020 @ 19:25:
Staat me vanuit het verleden bij dat daar wel eens een firewall poortje dicht wil zitten tussen de verschillende (storage) VLANs. Zou in de documentatie moeten staan iirc.
It’s not the firewall
There is a no way it’s firewall
It was the firewall

;) ;) ;)

Assumption is the mother of all fuck ups


  • Grvy
  • Registratie: juni 2008
  • Laatst online: 00:41

Grvy

Bot

@The Eagle geen ACL tussen de VLANs. FW is het dus niet.

@Hero of Time het is op dezelfde storage unit (MSA 2050) en gaat om een svMotion van bijv LUN1 naar LUN2.

Techniek is iSCI. Of het beide kanten op stuk gaat heb ik nog niet getest. Er is geen lokale storage meer.
In de logs zie ik niks relevants.. althans niet wat ik eruit haal iig.

Omdat het moet.


  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 23:00

The Eagle

I wear my sunglasses at night

Heb je die crash met zowel linux als windows VM's?

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • Grvy
  • Registratie: juni 2008
  • Laatst online: 00:41

Grvy

Bot

@The Eagle yes, het lijkt erop alsof zodra die de .vmdk wilt moven het misgaat. De "nieuwe" vmdk wordt een paar kb groot en dan stopt het..

Omdat het moet.


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
@Grvy

Kun je wel nieuwe vms aanmaken?

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Bestanden via de datastore browser kopiëren werkt wel, of ook niet?

Commandline FTW | Tweakt met mate


  • Grvy
  • Registratie: juni 2008
  • Laatst online: 00:41

Grvy

Bot

@Renegade666 jup, dat gaat prima. @Hero of Time ook dat is geen issue.

Ik ga morgen wel weer even verder neuzen. Heb iig wat dingen die ik kan proberen.

Omdat het moet.


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Kan misschien een VAAI issue zijn? Deze even uitzetten weer proberen?

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • +3Henk 'm!

  • Grvy
  • Registratie: juni 2008
  • Laatst online: 00:41

Grvy

Bot

@Hero of Time @Renegade666 @The Eagle heb de gehele vMotion structuur opnieuw opgebouwd, alles nog een keer gechecked en toen de hosts allemaal een reboot gegeven.

Zowel een Linux als een Windows svMotion werken nu prima. Waarschijnlijk toch een 'hang' ergens of een config foutje die een hang veroorzaakte die een reboot nodig had om los te laten oid?

Omdat het moet.


  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 23:00

The Eagle

I wear my sunglasses at night

Kan zomaar. Kan ook mog DNS zijn, geen idee hoe gevoelig dat spul is voor iets als FQDN vs hostname bijvoorbeeld. Maar bleek dus een virtueel probleem, mooi :P

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Blijft soms vreemd idd dit soort dingen.

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


  • segil
  • Registratie: januari 2003
  • Laatst online: 06-07 16:40
Wie is goed met regular expressions? Ik moet op onze Exchange servers de IIS logs doorzoeken op EWS inlog pogingen, maar het resultaat is zo veel (> 1 miljoen regels), dat ik dit wil filteren.

Ik zoek op de string domain\xxxxxxxx (waarbij xxxxxxxx minstens 7 karakters moet zijn. Hiermee sluit ik al alle normale user accounts uit, want die zien eruit als abc001)

Voorbeeld:

domain\abc001 (geen resultaat)
domain\Mailbox1 (wel resultaat)
domain\Mailbox1234 (wel resultaat)

Wat ik heb gemaakt en werkt is dit:

domain\\[0-9a-zA-Z]{7,}

Dit werkt prima. Alleen krijg ik nog steeds heel veel resultaten terug. Waaronder een grote hoeveelheid van deze:
domain\HealthMailboxxxxxxx (xxxxxx is ook een variabele lengte)

Die hoef ik niet te zien. Dus ik wil eigenlijk mijn expression aanpassen en opgeven dat deze uit minstens 7 karakters moet bestaan, maar niet mag beginnen met het woord "healthmailbox")

Hier kom ik niet aan uit :'(

  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 23:00

The Eagle

I wear my sunglasses at night

Ik neem aan dat je dit onde linux of een bash prompt op windows probeert? Daar heb je dit namelijk zo voor elkaar (pipe via sed gebruiken).
Voor NOT, zie https://stackoverflow.com...ter-how-do-i-say-is-not-x

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)

The Eagle schreef op donderdag 25 juni 2020 @ 14:02:
Ik neem aan dat je dit onde linux of een bash prompt op windows probeert? Daar heb je dit namelijk zo voor elkaar (pipe via sed gebruiken).
Voor NOT, zie https://stackoverflow.com...ter-how-do-i-say-is-not-x
Hoe je kom daarbij? Linux & Exchange & IIS is wel een hele rare combinatie, vind je niet?
En ja op windows kunnen we ook regex-en gebruiken

Assumption is the mother of all fuck ups


  • Grvy
  • Registratie: juni 2008
  • Laatst online: 00:41

Grvy

Bot

@shadowman12 logs hoef je niet persee op diezelfde bak te doorzoeken. Daarnaast is het op Linux/bash net wat makkelijker dan op WIndows. En dat is wat @The Eagle bedoeld im guessing.

Zie ook: (pipe via sed gebruiken). ;)

[Voor 11% gewijzigd door Grvy op 25-06-2020 14:48]

Omdat het moet.


  • The Eagle
  • Registratie: januari 2002
  • Laatst online: 23:00

The Eagle

I wear my sunglasses at night

Dat ja :)

En als je windows 10 hebt kun je linux subsystem installeren, heb je alle linux tools voorhanden op je werkstation. Stuk makkelijker en uitgebreider dan wat windows standaard meelevert :)

Al is het nieuws nog zo slecht, het wordt leuker als je het op zijn Brabants zegt :)


  • Oogje
  • Registratie: oktober 2003
  • Niet online
En als je regex kan voorkomen is dat altijd beter

Any errors in spelling, tact, or fact are transmission errors.


Acties:
  • 0Henk 'm!

  • Muggie
  • Registratie: februari 2000
  • Laatst online: 23:12

Muggie

8 pm

PSN: mug_8pm


  • Jan-man
  • Registratie: juli 2009
  • Laatst online: 06:57
$DistributionGroups = Get-DistributionGroup | where { (Get-DistributionGroupMember $_.Name | foreach {$_.PrimarySmtpAddress}) -contains "username@domain.tld"}

Normaal gebruik ik deze in 0365 en krijg ik netjes een overzicht in welke distributie lijsten de gebruiker zit. Nu heb ik echter een klant met een eigen Exchange maar werkt het niet ? De code wordt geaccepteerd maar krijg geen output ? iemand een tip ? want deze klant heeft echt tig distributie lijsten......

  • Outerspace
  • Registratie: februari 2002
  • Laatst online: 07:13

Outerspace

Moderator General Chat

AFX Ghey Edition by HlpDsK

Jan-man schreef op maandag 29 juni 2020 @ 09:54:
$DistributionGroups = Get-DistributionGroup | where { (Get-DistributionGroupMember $_.Name | foreach {$_.PrimarySmtpAddress}) -contains "username@domain.tld"}

Normaal gebruik ik deze in 0365 en krijg ik netjes een overzicht in welke distributie lijsten de gebruiker zit. Nu heb ik echter een klant met een eigen Exchange maar werkt het niet ? De code wordt geaccepteerd maar krijg geen output ? iemand een tip ? want deze klant heeft echt tig distributie lijsten......
Als jij de code afbreekt in kleinere onderdelen, krijg je dan wel een output?

Jack of all trades | Screener | Tweakers Gallery | Spotify!


  • KForsten
  • Registratie: december 2017
  • Laatst online: 01-07 09:34
Ik heb een probleem met mijn Grafana dashboard icm een Nimble opslag server.

Normaliter moet grafana netjes de datastores+ beschikbare ruimte laten zien. Ik krijg sinds vorige week een enorm raar getal terug (2259729522%)

Iemand die weet waar dit aan zou kunnen liggen?

Volgens mij worden de datastores uitgelezen via onze Vsphere omgeving. Zou daar de fout kunnen zitten?

Acties:
  • +1Henk 'm!

  • KForsten
  • Registratie: december 2017
  • Laatst online: 01-07 09:34
Jan-man schreef op maandag 29 juni 2020 @ 09:54:
$DistributionGroups = Get-DistributionGroup | where { (Get-DistributionGroupMember $_.Name | foreach {$_.PrimarySmtpAddress}) -contains "username@domain.tld"}

Normaal gebruik ik deze in 0365 en krijg ik netjes een overzicht in welke distributie lijsten de gebruiker zit. Nu heb ik echter een klant met een eigen Exchange maar werkt het niet ? De code wordt geaccepteerd maar krijg geen output ? iemand een tip ? want deze klant heeft echt tig distributie lijsten......
Ik heb hem hier op E2016 getest, krijg ook geen output. Ik heb ook geprobeerd de PrimarySMTPAddress aan te passen naar Alias en dan -contains "alias" maar dan krijg ik ook hetzelfde.

Ik kijk ook even verder voor je. Mocht je iets vinden hoor ik het graag, wil deze feature ook gaan gebruiken :)

Acties:
  • +1Henk 'm!
Jan-man schreef op maandag 29 juni 2020 @ 09:54:
$DistributionGroups = Get-DistributionGroup | where { (Get-DistributionGroupMember $_.Name | foreach {$_.PrimarySmtpAddress}) -contains "username@domain.tld"}

Normaal gebruik ik deze in 0365 en krijg ik netjes een overzicht in welke distributie lijsten de gebruiker zit. Nu heb ik echter een klant met een eigen Exchange maar werkt het niet ? De code wordt geaccepteerd maar krijg geen output ? iemand een tip ? want deze klant heeft echt tig distributie lijsten......
Welke versie van Exchange en welke OS-versie?
Wat voor foutmelding krijg je?

Misschien zoiets:
PowerShell:
1
2
3
4
5
6
7
8
9
$Groups=@()
$User = get-mailbox <UserIdentity>;
Get-DistributionGroup | foreach {
$dg = $_.Name
Get-DistributionGroupMember
$dg | foreach {if ($_.identity -eq $User.identity) {$Groups += $DG}
}
}
$Groups

[Voor 20% gewijzigd door shadowman12 op 29-06-2020 13:52]

Assumption is the mother of all fuck ups


  • Renegade666
  • Registratie: januari 2007
  • Laatst online: 23:18
Verkeerd...

[Voor 93% gewijzigd door Renegade666 op 29-06-2020 16:29]

Panasonic 55FZ804 | Marantz sr7010 | Dune HD Pro 4K | Panasonic dp-ub424 | 2x Klipsch RF82 | 2x RP-140SA | 2x RB61 | 2xRB51 | RC52 Mk2 | SVS PB-1000 |


Acties:
  • +1Henk 'm!

  • ralpje
  • Registratie: november 2003
  • Laatst online: 23:38

ralpje

Deugpopje

FastFred schreef op dinsdag 23 juni 2020 @ 16:38:
Zoals ik het hier lees:


[...]


We gebruiken Citrix XenApp, dus geen RDS. We hebben dus wel VDA licenties nodig, maar die zitten al inbegrepen bij E3 en E5 licenties.
.
Die zitten inbegrepen bij Windows E3 en E5, niet bij Office 365 E3 en E5.
Gebruik je geen Office 365 maar Microsoft 365 dan heb je ze wel, want M365 is een combinatie van O365, Enterprise Mobility + Security en Windows E3/E5.

De 'desktop virtualization' die genoemd wordt in de capabilities van Office 365 E3 gaan over het draaien van Office 365 op een VDI infra, dat mag niet met elke licentie maar dus wel met E3/E5. Dat heeft echter dus niets te maken met het feit of je überhaupt die VDI omgeving mag draaien (dus de CAL waar jij het over hebt).

365Dude - Strava


  • FastFred
  • Registratie: maart 2009
  • Nu online
@ralpje nou snap ik er nog minder van.

We hebben de vraag al uit staan bij onze leverancier, hun Microsoft licentie mannetje gaat het uitvogelen, laat hun het maar uitzoeken :P

Franse auto's gaan niet stuk, die staken gewoon


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

Jan-man schreef op maandag 29 juni 2020 @ 09:54:
$DistributionGroups = Get-DistributionGroup | where { (Get-DistributionGroupMember $_.Name | foreach {$_.PrimarySmtpAddress}) -contains "username@domain.tld"}

Normaal gebruik ik deze in 0365 en krijg ik netjes een overzicht in welke distributie lijsten de gebruiker zit. Nu heb ik echter een klant met een eigen Exchange maar werkt het niet ? De code wordt geaccepteerd maar krijg geen output ? iemand een tip ? want deze klant heeft echt tig distributie lijsten......
Niet in gevalletje van nested groepen? Dus distributielijst bevat groep A, heeft lid groep B en die heeft gebruiker C?

Commandline FTW | Tweakt met mate


  • Hero of Time
  • Registratie: oktober 2004
  • Laatst online: 06-07 20:05

Hero of Time

Moderator NOS

There is only one Legend

asing schreef op maandag 29 juni 2020 @ 18:00:
[...]

Lekker bezig!

Tipje, hanteer het KISS principe voor GPO's. Gebruik liefst weinig Item Level Targeting, liever een apply op groepsniveau waarbij Authenticated Users read rechten moet hebben.

Maar dat wist je natuurlijk al lang ;) .
Het is al meerdere keren hier gezegd. ;)

De eerste paar dingen die ik heb, is allemaal group based toepassen (momenteel nog alleen printers). Er is maar 1 met ILT: drive mappings. 1 GPO en in die mapping kijk ik naar de groep. Of ik maak per schijf een GPO, maar dat lijkt mij dan weer niet zo handig ivm performance, of boeit dat dan weer niet daar voor? Plus, met de schijfmappings via GPP en ILT behoud je wel een overzicht welke letter al is toegekend en hoef je niet telkens de documentatie er bij te pakken als er eentje bij komt. Of ik zet de letter natuurlijk in de naam van de GPO. :P

Voor die drive mappings had ik eerder al eens gekeken wat het beste was en dat was GPP met ILT.

Commandline FTW | Tweakt met mate

Hero of Time schreef op maandag 29 juni 2020 @ 18:10:
[...]

Het is al meerdere keren hier gezegd. ;)

De eerste paar dingen die ik heb, is allemaal group based toepassen (momenteel nog alleen printers). Er is maar 1 met ILT: drive mappings. 1 GPO en in die mapping kijk ik naar de groep. Of ik maak per schijf een GPO, maar dat lijkt mij dan weer niet zo handig ivm performance, of boeit dat dan weer niet daar voor? Plus, met de schijfmappings via GPP en ILT behoud je wel een overzicht welke letter al is toegekend en hoef je niet telkens de documentatie er bij te pakken als er eentje bij komt. Of ik zet de letter natuurlijk in de naam van de GPO. :P

Voor die drive mappings had ik eerder al eens gekeken wat het beste was en dat was GPP met ILT.
Alleen WMI Filters in je GPO's, die vreten echt performance.De rest is erg miniem
Maar dat kan per omgeving verschillen, dus wel handig om dat even zelf te testen.

[Voor 5% gewijzigd door shadowman12 op 29-06-2020 18:20]

Assumption is the mother of all fuck ups

Pagina: 1 ... 22 23 24 Laatste


Apple iPhone SE (2020) Microsoft Xbox Series X LG CX Google Pixel 4a CES 2020 Samsung Galaxy S20 4G Sony PlayStation 5 Nintendo Switch Lite

'14 '15 '16 '17 2018

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2020 Hosting door True