Het grote kleine-SysOps-vragen topic deel 1

Tylen schreef op dinsdag 8 december 2020 @ 22:33:
[...]

O je wilt hem op dezelfde host zetten. Why?????

Zie het relaas en drama genaamd Java keystore hierboven. Ooit mee bezig gehouden en het binnen 5 minuten werkend gehad? Nee, dacht ik niet. Niemand is met 5 minuten klaar om SSL in stomcat aan de praat te hebben. Terwijl het met een reverse proxy dat wel zo is gedaan.

Niemand wil ik niet zeggen, het lukt me ondertussen redelijk, maar er zitten in ieder geval genoeg valkuilen in...

Ik ben wel een heel stuk beter/sneller in headers verwijderen / toevoegen / HSTS / redirects / protocollen / ciphers / certificaten in IIS dan in Tomcat of Jetty, en UrlRewrite / ARR zijn natuurlijk zo geïnstalleerd, maar het zijn wel weer extra componenten waar je rekening mee moet houden / die je moet onderhouden.

Paul schreef op woensdag 9 december 2020 @ 17:54:
Niemand wil ik niet zeggen, het lukt me ondertussen redelijk, maar er zitten in ieder geval genoeg valkuilen in...

Maar alsnog niet binnen 5 minuten zonder fouten. Afhankelijk van wat er in tomcat draait, kan de config en herstart al meer dan 5 minuten duren voordat de app beschikbaar is en je kan testen of het überhaupt goed is.

Hero of Time schreef op woensdag 9 december 2020 @ 17:14:
[...]

Zie het relaas en drama genaamd Java keystore hierboven. Ooit mee bezig gehouden en het binnen 5 minuten werkend gehad? Nee, dacht ik niet. Niemand is met 5 minuten klaar om SSL in stomcat aan de praat te hebben. Terwijl het met een reverse proxy dat wel zo is gedaan.

Dat lukt zeker wel binnen 5 minuten. Heb er ooit nog eens een blog over geschreven voor de unifi controller. https://www.jeroentielen....ificate-creation-process/

Paul schreef op woensdag 9 december 2020 @ 17:54:
Niemand wil ik niet zeggen, het lukt me ondertussen redelijk, maar er zitten in ieder geval genoeg valkuilen in...

Ik ben wel een heel stuk beter/sneller in headers verwijderen / toevoegen / HSTS / redirects / protocollen / ciphers / certificaten in IIS dan in Tomcat of Jetty, en UrlRewrite / ARR zijn natuurlijk zo geïnstalleerd, maar het zijn wel weer extra componenten waar je rekening mee moet houden / die je moet onderhouden.

Dat is ook mijn core business maar dan op de NetScaler. Leuk werk.

Tylen schreef op woensdag 9 december 2020 @ 18:00:
[...]

Dat lukt zeker wel binnen 5 minuten. Heb er ooit nog eens een blog over geschreven voor de unifi controller. https://www.jeroentielen....ificate-creation-process/

En hoe vaak heb je het moeten uitvoeren om het binnen die 5 minuten te kunnen? Was het de eerste keer direct gelukt, zonder te hoeven zoeken, etc?

Je zal m'n punt vast wel begrijpen. Voor sommige dingen is het gewoon makkelijker om voor een flexibelere oplossing te gaan dan proberen het 'native' op te lossen. Zeker in dit geval waar de applicatie blijkbaar er lang over doet om te starten. Die downtime is ongewenst. Als het certificaat verlopen is, zit je weer naar die downtime te kijken terwijl het met een reverse proxy nog geen 10 seconden zal zijn.

Wij hebben op kantoor ook een systeem dat geen updates meer krijgt (embedded ding) en geen TLS 1.1 en nieuwer ondersteund. Mocht het gebeuren dat browsers straks helemaal niet meer willen verbinden met zoiets, dan zal er een reverse proxy tussen gezet worden.

Hero of Time schreef op woensdag 9 december 2020 @ 19:29:
En hoe vaak heb je het moeten uitvoeren om het binnen die 5 minuten te kunnen? Was het de eerste keer direct gelukt, zonder te hoeven zoeken, etc?

Ja, als je de doelpalen blijft verschuiven dan kom je er wel. Je begon met "dat lukt niemand"...

De eerste keer waarschijnlijk niet nee, maar als je het eenmaal een paar keer gedaan hebt dan weet je de valkuilen een beetje en gaat het veel sneller. Dat Tomcat zelf nog 10 minuten moet ratelen om zichzelf op te starten doet geen afbreuk aan de tijd die ik nodig had wat settings aan te passen

Wij hebben op kantoor ook een systeem dat geen updates meer krijgt (embedded ding) en geen TLS 1.1 en nieuwer ondersteund. Mocht het gebeuren dat browsers straks helemaal niet meer willen verbinden met zoiets, dan zal er een reverse proxy tussen gezet worden.

Ja, als de applicatie helemaal niet aangepast kan of mag worden dan is een reverse proxy absoluut de beste optie (al helemaal als je die Citrix ADC / Netscaler al hebt staan), maar overal maar een RP voor zetten omdat je jezelf niet even wil verdiepen in Tomcat/Jetty/Java keystores lijkt me niet helemaal de bedoeling.

De opstarttijd van Tomcat zou een argument kunnen zijn om het toch te doen, maar a) ik mag hopen dat je bijhoudt wanneer certificaten verlopen zodat je deze tijdig kunt vervangen en b) ik mag hopen dat je iets van onderhoudsvenster hebt om die server te kunnen patchen, nieuwe certificaten te installeren, Java bij te werken etc...

Tylen schreef op woensdag 9 december 2020 @ 18:00:
Dat is ook mijn core business maar dan op de NetScaler. Leuk werk.

ADC En idem hier, maar daarom roept men mij erbij als datzelfde ergens anders ook moet

Renegade666 schreef op dinsdag 8 december 2020 @ 15:16:
Hier ook mensen die verstand hebben van Tomcat apache (9), en dan voornamelijk de SSL/certificaat gedeelte?

Wie kan mij hiermee helpen?

Wat %^^$# pakket is dat tomcat ik ben gister ook bijna letterlijk een dag kwijt geweest om in een tomcat app het ssl cert te vernieuwen.

ik kan het je helaas niet goed uitleggen, maar het is mij uiteindelijk gelukt een .pfx cert te gebruiken en volgend jaar hoef ik alleen de cert.pfx file te vervangen en klaar.

het zal wel mijn gebrek aan ervaring met SSL zijn maar ik haat de ict klusjes met ssl certs, altijd geknoei.

Thijs B schreef op donderdag 10 december 2020 @ 10:17:
[...]


Wat %^^$# pakket is dat tomcat ik ben gister ook bijna letterlijk een dag kwijt geweest om in een tomcat app het ssl cert te vernieuwen.

ik kan het je helaas niet goed uitleggen, maar het is mij uiteindelijk gelukt een .pfx cert te gebruiken en volgend jaar hoef ik alleen de cert.pfx file te vervangen en klaar.

het zal wel mijn gebrek aan ervaring met SSL zijn maar ik haat de ict klusjes met ssl certs, altijd geknoei.

SSL certs en iets als Apache of Dovecot is geen enkel probleem. Werkt prima, ook met Lets Encrypt.

Je drama is die Keystore van Java die door TomCat wordt gebruikt.

Probleem met die keystore is opgelost..
Het ww van de keystore was niet gelijk aan die van het certificaat... Zucht..

Nu werkt dat, maar de rest nu niet suc6 er mee
Viel mee, verkeerde link gekregen.

[ Voor 10% gewijzigd door Renegade666 op 10-12-2020 18:40 ]

@Paul, dat is in ons vakgebied toch standaard, dat de vereisten telkens veranderen?

Maar de eerste paar keer ben je veel te lang bezig. Uiteindelijk heb je er een handigheid in en heb je de boel zo geautomatiseerd dat het niets meer is dan een script aftrappen om die hele teringbende te regelen, omdat je er al zo ontiegelijk veel tijd aan kwijt bent.

sorry verkeerde topic

[ Voor 93% gewijzigd door Turdie op 10-12-2020 20:19 ]

@Hero of Time Datzelfde geldt voor die reverse proxy die je er voor wil bouwen, daar deed je de eerste keer ook lang over

Paul schreef op donderdag 10 december 2020 @ 23:08:
@Hero of Time Datzelfde geldt voor die reverse proxy die je er voor wil bouwen, daar deed je de eerste keer ook lang over

Maar in kwart van de tijd of minder dan een keystore maken om aan Tomcat te voeren.

Wat een rust in dit topic
Misschien heeft iemand nog een tip voor mij.
Wij willen met een voipclient en headset bellen via rds server.
RDSfarm server 2019 en windows 10 clients.

Heb wat getest met een jabra headset en sennheiser bt oortjes.
Maar resultaat is nog niet wat ik wil.
Het lukt wel om te bellen maar de retour audio gaat niet over de headset maar de laptop speaker

Wat ik wil is dat de default audio van de rdsserver gewoon over de client laptop speaker loopt maar dat de voipclient via de headset werkt
Liefst zou ik willen dat de knopjes op de headset voor opnemen/ophangen voip ook werkt..

binnen windows sound zowel op rds kan je dit diverse plaatsen aanpassen maar dit heeft geen effect.

Ik krijg dit niet aan de gang.
In de tussen tijd heb ik 100+ clients die moeten gaan bellen via een voip webclient over de RDSfarm.

Thijs B schreef op woensdag 30 december 2020 @ 16:57:
Wat een rust in dit topic
Misschien heeft iemand nog een tip voor mij.
Wij willen met een voipclient en headset bellen via rds server.
RDSfarm server 2019 en windows 10 clients.

Heb wat getest met een jabra headset en sennheiser bt oortjes.
Maar resultaat is nog niet wat ik wil.
Het lukt wel om te bellen maar de retour audio gaat niet over de headset maar de laptop speaker

Wat ik wil is dat de default audio van de rdsserver gewoon over de client laptop speaker loopt maar dat de voipclient via de headset werkt
Liefst zou ik willen dat de knopjes op de headset voor opnemen/ophangen voip ook werkt.. S

binnen windows sound zowel op rds kan je dit diverse plaatsen aanpassen maar dit heeft geen effect.

Ik krijg dit niet aan de gang.
In de tussen tijd heb ik 100+ clients die moeten gaan bellen via een voip webclient over de RDSfarm.

Wat voor client gebruik je om te bellen? Teams? Sfb?

@Thijs B Heb je dit artkel al gezien: https://blog.angrydev.net...-remote-desktop-services/

[ Voor 7% gewijzigd door Turdie op 30-12-2020 17:01 ]

@Thijs B
Moet je dan niet gewoon op de laptop in windows de standaard luidspreker op de headset instellen?

Renegade666 schreef op woensdag 30 december 2020 @ 17:00:
@Thijs B
Moet je dan niet gewoon op de laptop in windows de standaard luidspreker op de headset instellen?

client 3cx webphone, ja je kan idd in windows zowel aan de kant van de client als rds standaard luidspreker of standaard communicatie device instellen maar toch lukt dat niet.

en sowieso je rds sesie daarvan moet geluid via standaard luidspreker maar je voip client moet via de headset.

Thijs B schreef op woensdag 30 december 2020 @ 16:57:
Wat een rust in dit topic
Misschien heeft iemand nog een tip voor mij.
Wij willen met een voipclient en headset bellen via rds server.
RDSfarm server 2019 en windows 10 clients.

Heb wat getest met een jabra headset en sennheiser bt oortjes.
Maar resultaat is nog niet wat ik wil.
Het lukt wel om te bellen maar de retour audio gaat niet over de headset maar de laptop speaker

Wat ik wil is dat de default audio van de rdsserver gewoon over de client laptop speaker loopt maar dat de voipclient via de headset werkt
Liefst zou ik willen dat de knopjes op de headset voor opnemen/ophangen voip ook werkt..

binnen windows sound zowel op rds kan je dit diverse plaatsen aanpassen maar dit heeft geen effect.

Ik krijg dit niet aan de gang.
In de tussen tijd heb ik 100+ clients die moeten gaan bellen via een voip webclient over de RDSfarm.

Waarom de voip client niet op de laptop? Dat is hoe het meestal geïnstalleerd wordt. Rdp heeft wat beperkingen, zoals je nu ook ervaart. Ook is elke laag extra weer een paar milliseconden vertraging. De knopjes gaat je denk ik zeker niet lukken met deze opzet.

@Thijs B, ik raad je heel sterk af om hier mee verder te gaan. Om een fatsoenlijk gesprek te kunnen voeren heb je lage latencies nodig, zowel voor je verbinding als je audio. RDP is te instabiel mbt iig de audio latency.

Bij ons op het werk wordt er gebruik gemaakt van een softphone icm een handset waar je op inlogt zodat die handset de audio afhandelt. Een paar mensen die thuis werken gebruiken hun laptop of computer om mee te bellen, maar de softphone draait nog steeds op de RDS omgeving. Dit resulteert uiteindelijk in onverstaanbare gesprekken. Mede ook omdat er nog een VPN bij komt kijken. En niet iedereen heeft een even perfecte thuisnetwerk.

Ik ga er even vanuit dat bij jou ook de gebruiker en de RDS server niet in hetzelfde netwerk zitten, dus de latency op je lijn zal ook fluctueren.


Maar wil je echt de scheiding maken tussen headset en onboard audio, dan wens ik je veel succes. Want de audio die je RDP produceert wordt als een enkele applicatie gezien lokaal en daar zou je het geluid moeten gaan scheiden. Want als je meerdere "geluidskaarten" hebt, kan je met de volume mixer bepaalde applicaties naar een andere output sturen. Maar geluid van de RDS wordt als een enkele applicatie gezien, dus je kan alleen alle audio van je RDS naar de headset sturen of naar de speakers.

Je kan dus niet de email notificatie op de RDS door de speakers laten klinken terwijl je gesprekspartner in je oor fluistert door de headset.

Hero of Time schreef op woensdag 30 december 2020 @ 19:44:
@Thijs B, ik raad je heel sterk af om hier mee verder te gaan. Om een fatsoenlijk gesprek te kunnen voeren heb je lage latencies nodig, zowel voor je verbinding als je audio. RDP is te instabiel mbt iig de audio latency.

....
Maar wil je echt de scheiding maken tussen headset en onboard audio, dan wens ik je veel succes. Want de audio die je RDP produceert wordt als een enkele applicatie gezien lokaal en daar zou je het geluid moeten gaan scheiden. Want als je meerdere "geluidskaarten" hebt, kan je met de volume mixer bepaalde applicaties naar een andere output sturen. Maar geluid van de RDS wordt als een enkele applicatie gezien, dus je kan alleen alle audio van je RDS naar de headset sturen of naar de speakers.

Je kan dus niet de email notificatie op de RDS door de speakers laten klinken terwijl je gesprekspartner in je oor fluistert door de headset.

Oke ja misschien wil ik iets wat niet kan, als je naar de diverse instellingen kijkt 'lijkt' het wel mogelijk te zijn.

Ja voip over rds en latency is weer een heel ander verhaal, netwerk infra is redelijk goed en anno 2021 lijkt dat met rds server 2019 wel beter te werken MAAR dat zal bij ons de praktijk even moeten uit wijzen.

Het punt is wij zijn redelijk ver met de voip app dat is tevens de chat app inclusief gekoppeld aan chat met klanten via de website plus er hangen wat plugins aan met koppeling naar CRM.

Wanneer je de app op een locale client gaat draaien is die extra functionaliteit niet volledig bruikbaar.

Ik heb al wel een paar gebruikers die via de rds met de voip webclient op rds fulltime werken en bellen tot nu toe heb ik daarover nog geen klachten.

En inderdaad je kan ook je webclient op de rds hebben en dan dat de client je fysieke telefoon bestuurd en je daar de headset aan hangt. dat is ook zeker een methode die ik voor een deel van de gebruikers ga toepassen.

Kijk ook even hoeveel die voip client aan resources vreet van je RDS bakken. Hardstikke leuk zoiets, maar vaak maar tot je gaat opschalen.
Laatste klant had citrix. Men durfde teams client daar domweg niet voor vrij te geven omdat de farm het niet zou trekken als iedereen hem aanslingerde
Daarbij: er is een heel simpel en goedkoop alternatief. Dat heet een telefoon van de zaak. Corp abo er bij, ben je voor een paar tientjes per user per mand klaar en werkt altijd. Desnoods een MDM oplossing er op, maar als jullie RDS gebruiken ga ik er vanuit dat je dat spul van MS zo af kunt nemen. En de voip nummers schakel je gewoon door.

The Eagle schreef op woensdag 30 december 2020 @ 22:24:
Kijk ook even hoeveel die voip client aan resources vreet van je RDS bakken. Hardstikke leuk zoiets, maar vaak maar tot je gaat opschalen.
Laatste klant had citrix. Men durfde teams client daar domweg niet voor vrij te geven omdat de farm het niet zou trekken als iedereen hem aanslingerde

Ja zeg, daar noem je ook wel het ergste gedrocht dat er bestaat en de eerstvolgende hongerige client in een ander zonnestelsel laat staan. De laptop/pcs van mensen gaan al helemaal over de zuiger als Teams open staat. Natuurlijk gaat dat er voor zorgen dat je hele RDS omgeving door z'n hoeven zakt zodra meer dan 1 gebruiker 'm start.

The Eagle schreef op woensdag 30 december 2020 @ 22:24:
Kijk ook even hoeveel die voip client aan resources vreet van je RDS bakken. Hardstikke leuk zoiets, maar vaak maar tot je gaat opschalen.
Laatste klant had citrix. Men durfde teams client daar domweg niet voor vrij te geven omdat de farm het niet zou trekken als iedereen hem aanslingerde
Daarbij: er is een heel simpel en goedkoop alternatief. Dat heet een telefoon van de zaak. Corp abo er bij, ben je voor een paar tientjes per user per mand klaar en werkt altijd. Desnoods een MDM oplossing er op, maar als jullie RDS gebruiken ga ik er vanuit dat je dat spul van MS zo af kunt nemen. En de voip nummers schakel je gewoon door.

Op het moment dat je voip client ook de bedrijfs chat app is inclusief een live koppeling met zo'n chat box op de externe websites en er zijn voor sales en aftersales plugins gekoppeld aan je crm en facturatie systeem dan is een simpele mobiel niet meer een oplossing.

Op zich heeft dit wel toekomst en zeer veel functionaliteit en idd de RDS is zeer tricky.

Maar goed ik wil het gewoon aan de gang krijgen en dan eerst is wat thuiswerkers erop zetten en even kijken hoever we komen in dit geval is een eventuele upgrade in extra rds hardware mogelijk ook nog de investering waard.

Wij hebben de VoIP op de laptops draaien van onze klanten via RDS veelstveel problemen.

Op de rds hebben we weer een cliënt draaien gekoppeld aan de telefonie die alle CRM dingen regelen. En via die app kan je de telefoon ook weer bedienen. Maar het echte telefonie verkeer gaat via de laptop zelf.

[ Voor 22% gewijzigd door Jan-man op 02-01-2021 22:55 ]

Hero of Time schreef op woensdag 30 december 2020 @ 22:29:
[...]

Ja zeg, daar noem je ook wel het ergste gedrocht dat er bestaat en de eerstvolgende hongerige client in een ander zonnestelsel laat staan. De laptop/pcs van mensen gaan al helemaal over de zuiger als Teams open staat. Natuurlijk gaat dat er voor zorgen dat je hele RDS omgeving door z'n hoeven zakt zodra meer dan 1 gebruiker 'm start.

Ik heb even op de Teams Uservoice er een Idea voor gemaakt, want ik zag het ook op mijn VM toen ik daar Teams aanzette. Allemaal ffe voten!
https://microsoftteams.us...-utilization-teams-client

Exact Globe installatie op een terminal server, moet ik dan nog ergens iets extra’s doen om het werkend te krijgen? Gebruik ‘gewoon’ de zelfde werkstation installer als voor laptops en desktops, maar krijg op de RDS geen verbinding met de exact databases lijkt het. Zie vast iets over het hoofd. Support van Exact heeft het enkel over rechten, maar als je vanaf een desktop wel in kunt loggen op de DB, dan zou dat vanaf de RDS toch ook gewoon moet lukken? Standaard SQL poort 1433 staat ook open...

Een account met domain admin rechten welke rechtstreeks op de rds server inlogt, kan er overigens wel bij...

[ Voor 10% gewijzigd door pjlgt op 12-01-2021 17:11 . Reden: Aanvulling ]

pjlgt schreef op dinsdag 12 januari 2021 @ 17:09:
Exact Globe installatie op een terminal server, moet ik dan nog ergens iets extra’s doen om het werkend te krijgen? Gebruik ‘gewoon’ de zelfde werkstation installer als voor laptops en desktops, maar krijg op de RDS geen verbinding met de exact databases lijkt het. Zie vast iets over het hoofd. Support van Exact heeft het enkel over rechten, maar als je vanaf een desktop wel in kunt loggen op de DB, dan zou dat vanaf de RDS toch ook gewoon moet lukken? Standaard SQL poort 1433 staat ook open...

Een account met domain admin rechten welke rechtstreeks op de rds server inlogt, kan er overigens wel bij...

Ik heb een tijdje bij Exact hoster gewerkt en volgens mij moet je local admin zijn voor de installatie als ik het me goed herinner. In ieder geval het account wat de installatie doet. Wij deden dat allemaal vanuit automation runbooks dus de details weet ik niet meer precies.

Indien gewenst kan ik wel wat namen in een PM doorgeven waar je het bij kan checken

[ Voor 8% gewijzigd door Turdie op 12-01-2021 17:19 ]

Idd gewoon de installatie aftrappen als een admin. Dan werkt het oom bij de users. Zo doe ik het ook altijd met exact (globe). Wel 32bits excel erbij .

pjlgt schreef op dinsdag 12 januari 2021 @ 17:09:
Exact Globe installatie op een terminal server, moet ik dan nog ergens iets extra’s doen om het werkend te krijgen? Gebruik ‘gewoon’ de zelfde werkstation installer als voor laptops en desktops, maar krijg op de RDS geen verbinding met de exact databases lijkt het. Zie vast iets over het hoofd. Support van Exact heeft het enkel over rechten, maar als je vanaf een desktop wel in kunt loggen op de DB, dan zou dat vanaf de RDS toch ook gewoon moet lukken? Standaard SQL poort 1433 staat ook open...

Een account met domain admin rechten welke rechtstreeks op de rds server inlogt, kan er overigens wel bij...

Wij gebruiken Exact en ik heb het nu 2x moeten installeren bij een nieuwe RDS en ook een keer moeten bijwerken omdat er een nieuwe versie was. Als je het control panel opent, heb je de optie om software te installeren op een RDS omgeving. Die moet je gebruiken, de netwerkinstallatie starten en gewoon de stappen doorlopen. Bij mij was het handig om het na installatie nogmaals dezelfde stappen te doorlopen, want het vond nog een paar bestanden die geïnstalleerd moesten worden. Die waren de eerste keer gemist of mislukt of iets, geen idee, maar vaker draaien levert iig geen problemen op.

Je doet dus in principe hetzelfde als bij een pc of laptop, alleen dan wel zorgen dat je de speciale RDS installatie optie gebruikt. Dan worden de registersleutels e.d. op globaal niveau gezet ipv op gebruikersniveau.

Gebruik altijd (nog) Change user /install, Installeren, Change user /execute. Zelfde toch?

Maar ga er morgen even mee aan de slag. Als ik in ieder geval maar 1 rds zover krijg, dan lukt de rest ook wel. Heb het naar mijn idee als domain admin geïnstalleerd, dus dat zal wel het probleem kunnen verklaren. We gaan het zien.

Bedankt voor de tips allen

@pjlgt

Change user/ install kan idd prima.

Daarna gewoon wsetup draaien en moet gewoon werken.
Die paar klanten die nog de Exact hebben, is dat ook zo geïnstalleerd zonder problemen.

pjlgt schreef op dinsdag 12 januari 2021 @ 19:55:
Gebruik altijd (nog) Change user /install, Installeren, Change user /execute. Zelfde toch?

Maar ga er morgen even mee aan de slag. Als ik in ieder geval maar 1 rds zover krijg, dan lukt de rest ook wel. Heb het naar mijn idee als domain admin geïnstalleerd, dus dat zal wel het probleem kunnen verklaren. We gaan het zien.

Bedankt voor de tips allen

Ja dat is ongeveer hetzelfde wat @Hero of Time uitlegt.

Let ook even extra op je firewall regels. Goed mogelijk dat je als admin wel er doorheen mag op de RDS en als gebruiker niet. Vergelijk even de regels op de RDS met die van een werkstation. Ik neem iig even aan dat je netjes de firewall aan hebt staan.

Dat klinkt als onnodig, change user /install. Dat is toch al jaren niet meer nodig met, sinds Windows Server 2012 R2 ben ik daarmee gestopt (al jaren geen server desktop omgeving meer beheerd inmiddels)

[ Voor 4% gewijzigd door lolgast op 12-01-2021 20:02 ]

lolgast schreef op dinsdag 12 januari 2021 @ 20:02:
Dat klinkt als onnodig, change user /install. Dat is toch al jaren niet meer nodig met, sinds Windows Server 2012 R2 ben ik daarmee gestopt (al jaren geen server desktop omgeving meer beheerd inmiddels)

Er is anders nog genoeg software dat piept dat het niet in een RDS omgeving geïnstalleerd kan worden als je dit niet doet. Voer je het uit als RDS installatie, dan werkt het prima.

Ik raad je aan om toch eens te kijken naar wat deze functie doet. En voor het idee, onze RDS omgeving is 2012R2.

Hero of Time schreef op dinsdag 12 januari 2021 @ 20:00:
Let ook even extra op je firewall regels. Goed mogelijk dat je als admin wel er doorheen mag op de RDS en als gebruiker niet. Vergelijk even de regels op de RDS met die van een werkstation. Ik neem iig even aan dat je netjes de firewall aan hebt staan.

Hier zou ik het ook in zoeken. Zeker als je een named instance gebruikt, check of je de SQL Browser service kunt bereiken (UDP/1434) vanaf je RDP-server bovenop de TCP-poort van deze instance. In het uiterste geval maak je een alias aan in cliconfg (32-bit).

pjlgt schreef op dinsdag 12 januari 2021 @ 17:09:
Exact Globe installatie op een terminal server, moet ik dan nog ergens iets extra’s doen om het werkend te krijgen? Gebruik ‘gewoon’ de zelfde werkstation installer als voor laptops en desktops, maar krijg op de RDS geen verbinding met de exact databases lijkt het. Zie vast iets over het hoofd. Support van Exact heeft het enkel over rechten, maar als je vanaf een desktop wel in kunt loggen op de DB, dan zou dat vanaf de RDS toch ook gewoon moet lukken? Standaard SQL poort 1433 staat ook open...

Een account met domain admin rechten welke rechtstreeks op de rds server inlogt, kan er overigens wel bij...

Zoals hierboven al vermeld is exact globe installatie redelijk next - next - finish op een RDSH. Het wordt lastiger als je de Synergy Interation add-ins(SOI) wilt gaan gebruiken of de exact office plugins. En even checken wat er standaard aan PDF printer onzin met de installatie meekomt

Heeft iemand een idee daar de RD-Client app voor Windows 10 van microsoft zijn certificaten opslaat?
Korte situatieschets:

AD Domain met PKI, Offline Root CA CS, Online Subordinate AD CS.
Deel middels GPO de certificaten uit naar servers en client pc's.
Als ik middels de in windows ingebakken "Remote Desktop Connection" app verbind maakt hij gewoon beveiligde verbinding.

Sinds vandaag heb ik de app RD-Client geïnstalleerd. Het lijkt me makkelijk deze app te gebruiken aangezien je hier pc's kan opslaan. Echter als ik met deze app een verbinding probeer te maken geeft hij de foutmelding "Untrusted Certificate".. Verbinden met de Remote Desktop Connection app lukt wel gewoon secure..

Geen idee, maar die RD-Client uit de MS Store is IMO een gedrocht omdat het loopt te klote met je toetsenbord layout. Daar is een collega van mij al achter gekomen. Het resultaat is niet 1-op-1 hetzelfde als lokaal, wat dus stront irritant is als je wachtwoorden moet instellen. En ja, de layouts zijn exact hetzelfde ingesteld. Maar het visuele resultaat is dat dus niet.

Je zou voor het bijhouden/opslaan van je verbindingen beter kunnen kijken naar iets als mRemoteNG. Die doet namelijk ook RDP, middels de native mstsc executable. En anders de jumplist gebruiken als je de ingebouwde client op je taakbalk vastzet.

thnx @Hero of Time , die mRemoteNG kende ik niet. Ik heb hem inmiddels geïnstalleerd en deze heeft de "Untrusted Certificate" melding niet weer.

Handig dat je ook SSH verbindingen kan toevoegen in dezelfde client.

Die toetsenbord layout was ik ook al achter. Ik gebruik op mijn workstation US-Int en de dode toetsen geven niet goed door.

T1psY schreef op woensdag 20 januari 2021 @ 15:32:
Heeft iemand een idee daar de RD-Client app voor Windows 10 van microsoft zijn certificaten opslaat?
Korte situatieschets:

AD Domain met PKI, Offline Root CA CS, Online Subordinate AD CS.
Deel middels GPO de certificaten uit naar servers en client pc's.
Als ik middels de in windows ingebakken "Remote Desktop Connection" app verbind maakt hij gewoon beveiligde verbinding.

Sinds vandaag heb ik de app RD-Client geïnstalleerd. Het lijkt me makkelijk deze app te gebruiken aangezien je hier pc's kan opslaan. Echter als ik met deze app een verbinding probeer te maken geeft hij de foutmelding "Untrusted Certificate".. Verbinden met de Remote Desktop Connection app lukt wel gewoon secure..

Ga je erin op hostname of fqdn?

Tylen schreef op woensdag 20 januari 2021 @ 17:48:
[...]

Ga je erin op hostname of fqdn?

Staat overal ingestelt op fqdn.
Hostname heb ik niet geprobeerd.

T1psY schreef op woensdag 20 januari 2021 @ 17:55:
[...]


Staat overal ingestelt op fqdn.
Hostname heb ik niet geprobeerd.

Nee dan is het goed. Vaak zie je dat ze er via hostname ingaan en dan klagen dat cert niet goed is .

Nee ik log echt in met exact dezelfde gegevens. Via de ingebouwde rdp client of via die RD-Client app, alleen doet die RD-Client moeilijk over de certificaten.
mRemoteNG vind het ook prima dus stap ik over op die
En zoals HoT al aangaf ondervind ik inderdaad ook problemen met de toetsenbord layout in de RD-Client..

T1psY schreef op woensdag 20 januari 2021 @ 17:33:
thnx @Hero of Time , die mRemoteNG kende ik niet. Ik heb hem inmiddels geïnstalleerd en deze heeft de "Untrusted Certificate" melding niet weer.

Omdat het dus de ingebouwde RDP client gebruikt die je met mstsc start.

Handig dat je ook SSH verbindingen kan toevoegen in dezelfde client.

Leuke eraan is, is dat het effectief Putty gebruikt. Als je met Putty al een aantal verbindingen had opgeslagen, staan die automagisch ook in mRenoteNG. Om de doodsimpele reden dat het in het register wordt opgeslagen en dat dus zo uit te lezen is.

Ben juist van mRemoteNG overgestapt naar het veel uitgebreidere Remote Desktop Manager van Devolutions. Is ook gratis te gebruiken.

De RD cliënt voor Windows 10 al even getest voor gebruik met remote apps/workspaces. Waar dit op macos echt supermooi werkt, is het op Windows maar een rommeltje. Je zou toch denken dat MS hun eigen spul wel wat gelikter zou maken, maar helaas.

Trouwens het Exact probleem op de RDS enigszins getackeld, maar blijft toch wat vaag. De cliënt blijft een fout geven over dat de server niet gevonden kan worden, maar je kunt toch de administraties toevoegen en gebruiken. Voor nu dan ook wel even klaar mee. Gelukkig nog meer te doen.

[ Voor 27% gewijzigd door pjlgt op 20-01-2021 20:11 ]

Ben aan het stoeien met Azure AD Connect, lijkt zo simpel allemaal maar krijg het niet werkend. Wat is de beste manier om een sync tussen onprep en azure ad op te zetten als de upn's afwijken. (onprem naam@domein.nl, azure ad v.naam@domein.nl) Bij nieuwe projecten zetten we vaak gewoonweg de inlognaam bij microsoft 365 gelijk.

Probeer nu op basis van email adres een match te maken. (sync een testuser in een aparte ou)
https://www.codetwo.com/a...ter-hybrid-configuration/

[ Voor 3% gewijzigd door Harmen op 21-01-2021 08:40 ]

@Harmen
Je kunt bij de gebruikers in het AD onder account, de bovenste gewoon aanpassen naar v.naam@domein.nl
de andere van Domein \ naam blijft dan staan. Dus dan kunnen ze oude lokaal blijven gebruiken, en de rest v.naam.

Even een random site met plaatje wat ik bedoel:
https://www.windows-activ...perties-accounts-tab.html

@Renegade666 Thanks, was daar een beetje huiverig voor (rds profielen, homefolders etc). Vroegah is mij verteld dat je inlognamen niet kan hernoemen. Zal daar eens in duiken.

Daarom laat je de andere ook staan. Want die blijft dan gewoon werken.

Vraag over Microsoft 365 Defender:

Correct me if im wrong maar voor zover ik snap was de algehele naam ooit Microsoft ATP of Azure ATP en heeft dit nu een naamswijziging ondergaan naar de volgende 4 dingen:

- https://www.microsoft.com...ecurity/identity-defender
- https://www.microsoft.com...ecurity/endpoint-defender
- https://www.microsoft.com...urity/office-365-defender
- https://www.microsoft.com...ty/microsoft-365-defender

Is er iemand die me kort en bondig in Jip en Janneke taal kan vertellen wat de verschillen zijn tussen de bovenste 4 dingen en de relatie is tussen deze 4 en Azure/Microsoft ATP, maar ook Azure Defender?

Ik ben even het spoor bijster. Dankjewel alvast!

Harmen schreef op donderdag 21 januari 2021 @ 09:05:
@Renegade666 Thanks, was daar een beetje huiverig voor (rds profielen, homefolders etc). Vroegah is mij verteld dat je inlognamen niet kan hernoemen. Zal daar eens in duiken.

Als je voor je RDS profielen profile disks gebruikt, maakt de naam niet uit. Dat werkt met het SID.

Homefolders, bedoel je zoals Documents e.d. of roaming profiles?

Hoe dan ook, het was vooraf verstandig geweest om de loginnamen gelijk te maken. In het andere topic had ik een link geplaatst waarom je juist de UPN gelijk wilt hebben aan het email adres van de gebruiker. Voornamelijk om het niet verwarrend te maken voor gebruikers. Maar voor ons als beheerder maakt het ook wat eenvoudiger.
Maarja, vooraf kan je ook niet weten dat je uiteindelijk in deze situatie zou komen. Veel succes.

Harmen schreef op donderdag 21 januari 2021 @ 09:05:
@Renegade666Vroegah is mij verteld dat je inlognamen niet kan hernoemen. Zal daar eens in duiken.

Ik zal niet zeggen dat het niet kan, je kan gewoon de inlognaam wijzigen. Echter..... het account is vergeven van de verwijzingen dus er gaat geheid iets kapot. Je weet alleen niet wat, waar of wanneer.

Met andere woorden : als er een dame bij mij komt en die zegt dat ze van de naam van dr man af wil omdat ze gescheiden is dan is de enige juiste oplossing een geheel nieuw account want je komt er niet meer van af.

Dus ik maak de dames aan op meisjesnaam. Als ze dan gaan lopen te miepen met zo heet ik niet dan denk ik : wacht maar een paar jaar.

Harmen schreef op donderdag 21 januari 2021 @ 08:38:
Ben aan het stoeien met Azure AD Connect, lijkt zo simpel allemaal maar krijg het niet werkend. Wat is de beste manier om een sync tussen onprep en azure ad op te zetten als de upn's afwijken. (onprem naam@domein.nl, azure ad v.naam@domein.nl) Bij nieuwe projecten zetten we vaak gewoonweg de inlognaam bij microsoft 365 gelijk.

Probeer nu op basis van email adres een match te maken. (sync een testuser in een aparte ou)
https://www.codetwo.com/a...ter-hybrid-configuration/

UPN's eerst rechttrekken. UPN is een hele belangrijke identifier in Azure AD.

Of het primaire SMTP adres is ook een optie.
https://support.microsoft...er-accounts-to-office-365

[ Voor 9% gewijzigd door Turdie op 21-01-2021 19:27 ]

Update, sync gaat prima. Thanks voor de tips!

Nu weer een nieuwe uitdaging, microsoft 365 support India. Kom niet echt verder met deze mensen. Intune managed apparaat, outlook blijft vragen om credentials. MS heeft al meerdere keren mee gekeken. Melding ging van Exchange naar Intune en nu weer terug naar Exchange. Kan men niet onderwater kijken?

Harmen schreef op dinsdag 2 februari 2021 @ 09:55:
Update, sync gaat prima. Thanks voor de tips!

Nu weer een nieuwe uitdaging, microsoft 365 support India. Kom niet echt verder met deze mensen. Intune managed apparaat, outlook blijft vragen om credentials. MS heeft al meerdere keren mee gekeken. Melding ging van Exchange naar Intune en nu weer terug naar Exchange. Kan men niet onderwater kijken?

Nee, dat is af en toe echt frustrerend bij Microsoft.
Ik had laatst een request waarbij drie verschillende Microsoft support afdelingen waren betrokken (Intune, Azure networking en Windows). Communicatie tussen die teams is ook niet optimaal. Kreeg van de verschillende teams vaak dezelfde vragen. Als ik dan verwees naar de request kreeg ik alsnog het verzoek deze info aan te leveren. Zodra de request niet precies binnen het afgebakende stukje valt, wordt de call doorgeschoven naar een ander support team.

Nu heb ik weer een request waarbij het Intune team de call heeft opgepakt, maar nu dus moet wachten op het AzureAD team (dat schijnbaar vreselijk onderbemand is)...

[ Voor 5% gewijzigd door nextware op 02-02-2021 10:47 ]

Ben dus niet de enige gelukkig.
Had vanmorgen een meeting staan, echter niets gehoord. Dus druk bezig gegaan met andere storingen. Zie ik net een mail van 11:09 met een Teamsmeeting welke gepland staat voor 11u. Net ingebeld, meneer in kwestie is alweer gevlogen. Gisteren hetzelfde verhaal. Kan niet zo maar alles laten vallen.

Harmen schreef op dinsdag 2 februari 2021 @ 11:46:
Ben dus niet de enige gelukkig.
Had vanmorgen een meeting staan, echter niets gehoord. Dus druk bezig gegaan met andere storingen. Zie ik net een mail van 11:09 met een Teamsmeeting welke gepland staat voor 11u. Net ingebeld, meneer in kwestie is alweer gevlogen. Gisteren hetzelfde verhaal. Kan niet zo maar alles laten vallen.

Als het goed is, wordt ook de escalation manager van de betreffende engineer altijd meegenomen in de mail. Die kun je gerust een mail sturen dat het geen handige actie is van de engineer om meetings op zo'n korte termijn te plannen. Dat is één van de functies van die escalation managers

Weer eens een Office365 Exchange uitdaging:
mijn collega's willen een email naar een gedeelde mailbox in een office365 tennant naar een andere gedeelde mailbox in een andere Office365 tennant forwarden. Nu heb ik de volgende opties reeds gedaa:

• In de GUI een mail user aangemaakt met extern mailadres en daar naartoe een forward ingesteld.
• In de GUI een contact aangemaakt met extern mailadres en daar naartoe een forward ingesteld.
• Met powershell een mail user aangemaakt met extern mailadres en daar naartoe een forward ingesteld.
• Met powershell een contact aangemaakt met extern mailadres en daar naartoe een forward ingesteld.

Geen enkele optie lijkt te werken. Staat er iets default aan, waardoor een forward naar een extern domein niet mag? Soms is het onnodig irritant om iets voor elkaar te krijgen in Office365.

Waarom zo moeilijk? Wij hebben een transport rule die inkomende mail met specifieke kenmerken doorstuurt naar een ander adres. En de ontvanger kan ons eigen domein zijn, of een externe, dat maakt niet uit.
Dus, heb je al aan transport rules gedacht? Een gebruiker kan dit trouwens niet instellen, dat moet een admin doen.

@Creep

Je mag niet meer doorsturen standaard naar externen in OFfice 365. Is vorige jaar ergens aangezet.
Kun je specifiek instellen of voor iedereen aan.

https://docs.helpscout.co...hen%20choose,Click%20Save

@Hero of Time
Zonder de bovenstaande aanpassen, zal je transportrule ook niet werken.

[ Voor 4% gewijzigd door Renegade666 op 02-02-2021 17:46 ]

Naja, het is een optie. Geen idee wat er bij ons allemaal is ingesteld, of je gelinkte artikel is gevolgd. De regel was er al voor ik hier kwam werken. Er kan veel verandert zijn bij MS365 in 2,5 jaar.

Harmen schreef op donderdag 21 januari 2021 @ 08:38:
Ben aan het stoeien met Azure AD Connect, lijkt zo simpel allemaal maar krijg het niet werkend. Wat is de beste manier om een sync tussen onprep en azure ad op te zetten als de upn's afwijken. (onprem naam@domein.nl, azure ad v.naam@domein.nl) Bij nieuwe projecten zetten we vaak gewoonweg de inlognaam bij microsoft 365 gelijk.

Probeer nu op basis van email adres een match te maken. (sync een testuser in een aparte ou)
https://www.codetwo.com/a...ter-hybrid-configuration/

ImmutableID (hard match) is ook een optie, wanneer een softmatch (op basis van upn of proxyaddress) niet mogelijk is. Je kunt bij bestaande accounts een hard match 'forceren' door de objectguid van het ad-account te linken aan het bijbehorende azure ad account op basis van de immutable id.

Meer info over een softmatch en hardmatch

[ Voor 4% gewijzigd door FREAKJAM op 02-02-2021 20:06 ]

FREAKJAM schreef op dinsdag 2 februari 2021 @ 20:02:
[...]


ImmutableID is wat je zoekt. Je kunt bij bestaande accounts een hard match 'forceren' door de objectguid van het ad-account te linken aan het bijbehorende azure ad account op basis van de immutable id.

Meer info over een softmatch en hardmatch

Ja maar hij kan de sync hebben aangepast dat hij op een ander atrribuut matcht toch?

Harmen schreef op dinsdag 2 februari 2021 @ 09:55:
Update, sync gaat prima. Thanks voor de tips!

Nu weer een nieuwe uitdaging, microsoft 365 support India. Kom niet echt verder met deze mensen. Intune managed apparaat, outlook blijft vragen om credentials. MS heeft al meerdere keren mee gekeken. Melding ging van Exchange naar Intune en nu weer terug naar Exchange. Kan men niet onderwater kijken?

Als je een SDM of TAM bij Microsoft het ticket via die weg escaleren. Dat het doorzetten moeten zetten naar een escalation engineer.
Meestal staat er onder die signatures van die support mensen ook hun manager, die zou je ook mailen.

If the feature update succeeds, success.cmd can be used to perform post feature update actions. success.cmd is new for Windows 10, version 2004.
Run custom actions during Windows 10 feature updates

Iemand een idee of je success.cmd kan gebruiken in de upgrade van 1909 naar 2004 of dat dit pas werkt voor de volgende feature updates na een 2004 installatie?

Dat staat er toch? Het is 'new for WIndows 10, version 2004'. En het doet 'post feature update actions'. Klinkt voor mij niet echt iets als pre-feature actions op versies voor 2004, zoals 1909.

Mantis schreef op donderdag 4 februari 2021 @ 16:30:
If the feature update succeeds, success.cmd can be used to perform post feature update actions. success.cmd is new for Windows 10, version 2004.
Run custom actions during Windows 10 feature updates

Iemand een idee of je success.cmd kan gebruiken in de upgrade van 1909 naar 2004 of dat dit pas werkt voor de volgende feature updates na een 2004 installatie?

Geinig, cue the music *insert wachtmuziekje* terwijl het systeem wordt bijgewerkt.

Ik heb even een vreemd probleem met een IIS SMTP Relay.
Relay is configureerd naar office365 met een account/submission via 587/TLS.

Programma (en test programma) verwijzen naar relay toe en moet naar de mensen intern mailen.
Echter werkt dat nu net niet. adressen met het zelfde domein als het submission account werkt niet.
Maar naar mijn (extern) adres wel. Die komt gewoon binnen.

De andere mail voor intern blijven in de queue hangen van de relay.

Iemand een idee waar ik dit moet zoeken?

Er is in 365 ook een connector aangemaakt, maar doet ook weinig verschil.
Adres staat ook in de SPF.

[ Voor 6% gewijzigd door Renegade666 op 05-02-2021 09:57 ]

Renegade666 schreef op vrijdag 5 februari 2021 @ 09:55:
Ik heb even een vreemd probleem met een IIS SMTP Relay.
Relay is configureerd naar office365 met een account/submission via 587/TLS.

Programma (en test programma) verwijzen naar relay toe en moet naar de mensen intern mailen.
Echter werkt dat nu net niet. adressen met het zelfde domein als het submission account werkt niet.
Maar naar mijn (extern) adres wel. Die komt gewoon binnen.

De andere mail voor intern blijven in de queue hangen van de relay.

Iemand een idee waar ik dit moet zoeken?

Er is in 365 ook een connector aangemaakt, maar doet ook weinig verschil.
Adres staat ook in de SPF.

IIS SMTP heeft een eigen logfile als je die aanzet. Dat is als je dat rudimentaire SMTP ding gebruikt.

Check dit even : http://www.winservermart.com/HowTo/SMTP_Logs.aspx . Het zal niet 100% correct zijn maar het zou je op de goede weg moeten zetten. Daarna heb je wat meer informatie.

[s]Hier wat uit de log.
Als ik naar de klant mail vanaf een eigen adres:


Ik heb het nu via de applicatie zelf gedaan, nu werkt het wel.
Dus vind het wel prima

[ Voor 93% gewijzigd door Renegade666 op 05-02-2021 10:54 ]

Renegade666 schreef op vrijdag 5 februari 2021 @ 10:41:
[s]Hier wat uit de log.
Als ik naar de klant mail vanaf een eigen adres:


Ik heb het nu via de applicatie zelf gedaan, nu werkt het wel.
Dus vind het wel prima

SMTP ERROR 250 : Authenticatie mislukt.

@asing
Dat is dan vreemd waarom hij dan wel naar het externe domein stuurt
En ik gebruik nu ook dezelfde inlog voor vanuit de applicatie.

Renegade666 schreef op vrijdag 5 februari 2021 @ 11:06:
@asing
Dat is dan vreemd waarom hij dan wel naar het externe domein stuurt
En ik gebruik nu ook dezelfde inlog voor vanuit de applicatie.

Dat is wat ik zo snel even uit de logging kon halen. Die heb je nu verwijderd.

@asing
Klopt. Maar 250 is niet auth. failed. maar Requested mail action okay, completed volgens je eigen link

Status codes met 2xx zijn altijd Success toch? SMTP/HTTP

Renegade666 schreef op vrijdag 5 februari 2021 @ 11:46:
@asing
Klopt. Maar 250 is niet auth. failed. maar Requested mail action okay, completed volgens je eigen link

Dan was ik iets te snel met mijn antwoord. Moet zeggen dat SMTP logs zelf een stuk makkelijker zijn, dit is een IIS achtig log.

Anyway, je weet waar je kan gaan zoeken.

@asing
KLopt, zoeken naar mijn vrije middag vandaag

Voor eerst het probleem opgelost daar, dus ga er eerst niet meer bezig.

Waar het werkt krijg je een OutboundConnectionResponse en gaat IIS dus naar buiten; waarhet niet werkt krijg je dat niet.

Hij zou alles naar buiten moeten sturen, want het is een relay. Denkt IIS dat'ie zelf verantwoordelijk is voor klantdomein.nl ? Ik ben niet zo bekend met die functie, maar heb je in één van de veldjes ergens "klantdomein.nl" ingevuld?

Alles staat open behalve de source IP-adres, dit is beperkt tot de domain controller. Dit werkt niet, tenzij ik het verruim naar 192.168.0.0/16.

Met niet werken bedoel ik de knop "Manage" van een computer via "active directory users and computers".

appie1985 schreef op dinsdag 9 februari 2021 @ 11:43:
[Afbeelding]

Alles staat open behalve de source IP-adres, dit is beperkt tot de domain controller. Dit werkt niet, tenzij ik het verruim naar 192.168.0.0/16.

Met niet werken bedoel ik de knop "Manage" van een computer via "active directory users and computers".

Start je dat op op de domain controller dan? Of op een management server?

Domain controller is 192.168.3.2, de client staat in een ander subnet. De netwerk firewall laat al het verkeer tussen deze subnets toe.

Deze windows firewall regel draait op de client.

Bovenstaande opzet werkt pas wanneer ik de subnet verruim. Verruimen naar 192.168.3.2/31 of 192.168.3.0/24 is niet voldoende. Ik moet het verruimen naar 192.168.0.0/16 voordat het werkt.

appie1985 schreef op dinsdag 9 februari 2021 @ 11:49:
Domain controller is 192.168.3.2, de client staat in een ander subnet. De netwerk firewall laat al het verkeer tussen deze subnets toe.

Deze windows firewall regel draait op de client.

Bovenstaande opzet werkt pas wanneer ik de subnet verruim. Verruimen naar 192.168.3.2/31 of 192.168.3.0/24 is niet voldoende. Ik moet het verruimen naar 192.168.0.0/16 voordat het werkt.

Intern firewallen is een geweldige uitvinding . Als je het nog leuker wil maken moet je de IPS blade van je firewall ook intern activeren. Ik zweer je dat je vanaf dat moment met de meest vreemde problemen zit. Iedere beheerder stuurt je weg met allerlei tips en NIETS werkt.

Het stopt pas als je de netwerkbeheerder slaat met een "4 by 4", waarna het ineens wel werkt. Uiteraard alleen voor dat ene geval, dus een week later mag je weer gaan zoeken.

Dus hou op met intern willen firewallen. De hoeveelheid tijd, frustratie en moeite is het gewoon niet waard

Hostbased FW begin je alleen aan als:
-> Jij en je team voelen zich totaal nutteloos en zwaar vervelend, want er is niets te doen
-> Een compleet afgeschermd stukje netwerk hebt, dat totaal niet het internet op mag (en via aparte netwerkapparatuur zichzelf onderling verbindt)
-> Je werkzaam bent voor een grote gemeente in Europa, om zo direct geld te kunnen besparen op de Security meuk.

----
Volledig eensch met @asing
Doe jezelf een plezier en zorg dat de basis wel klopt (goede anti-malware software, soft- & firmware die bij is, enz)

[ Voor 16% gewijzigd door D_Jeff op 09-02-2021 13:03 ]

appie1985 schreef op dinsdag 9 februari 2021 @ 11:49:
Domain controller is 192.168.3.2, de client staat in een ander subnet. De netwerk firewall laat al het verkeer tussen deze subnets toe.

Deze windows firewall regel draait op de client.

Bovenstaande opzet werkt pas wanneer ik de subnet verruim. Verruimen naar 192.168.3.2/31 of 192.168.3.0/24 is niet voldoende. Ik moet het verruimen naar 192.168.0.0/16 voordat het werkt.

Als de machine die je wilt beschermen met deze firewall regel niet in 192.168.3.x subnet zit, tja, dan is het niet zo heel gek dat het niet werkt. Alles wat buiten dat subnet valt, wordt gezien als afkomstig van de default gateway. Zoals het gaat:
DC = 192.168.3.2
Server = 192.168.2.2

De Gateway van Server is 192.168.2.1, het source adres zal dan 192.168.2.1 zijn, niet 192.168.3.2.

Weet wat je verkeer doet en wat de ontvanger als bron IP ziet. Ik zie het op m'n eigen werk ook genoeg, mensen die via de VPN verbinding maken hebben als source adres het IP van de VPN server, niet het adres dat ze als VPN client toegewezen krijgen.

asing schreef op dinsdag 9 februari 2021 @ 12:26:


Dus hou op met intern willen firewallen. De hoeveelheid tijd, frustratie en moeite is het gewoon niet waard

D_Jeff schreef op dinsdag 9 februari 2021 @ 12:56:
Volledig eensch met @asing
Doe jezelf een plezier en zorg dat de basis wel klopt (goede anti-malware software, soft- & firmware die bij is, enz)

Ik ben t niet met jullie eens, intern firewallen is prima, zero trust
"Assume you've been breached, reduce blast radius."

Ik zou voor micro-segmentering trouwens niet windows firewalling willen gebruiken, das een andere discussie

Oogje schreef op dinsdag 9 februari 2021 @ 17:02:
[...]


[...]

Ik ben t niet met jullie eens, intern firewallen is prima, zero trust
"Assume you've been breached, reduce blast radius."

Ik zou voor micro-segmentering trouwens niet windows firewalling willen gebruiken, das een andere discussie

Ik kan uit ervaring putten denk ik . Er was daar een zero trust netwerk. Er liepen om die reden dan ook 4-5 netwerkbeheerders rond. Ondanks dat ging het net zo als met DNS. Het is de DNS, het is niet de DNS, het is TOCH de DNS . Je hebt geen last van het verkeer wat direct gedropt wordt. Dat zien ze wel. Je hebt problemen met de filters. Overdracht van een paar MBit over een lijntje van 10GBit. Bestanden die bij kopiëren halverwege ineens een foutmelding geven en als je roept "Firewall???" dan is het "Nee kan niet en ik zie niks, ga eens drivers checken ofzo...". Hardstikke geinig allemaal, maar met een Windows machine heb je meteen een uitdaging genaamd dynamische poorten.

Je hebt echt een paar verdomd goede firewall beheerders nodig die ook nog in de meewerkstand zitten. Dan heb je kans van slagen. Ik zou mijn resources anders besteden.

[ Voor 3% gewijzigd door asing op 09-02-2021 19:50 ]

appie1985 schreef op dinsdag 9 februari 2021 @ 11:43:
[Afbeelding]

Alles staat open behalve de source IP-adres, dit is beperkt tot de domain controller. Dit werkt niet, tenzij ik het verruim naar 192.168.0.0/16.

Met niet werken bedoel ik de knop "Manage" van een computer via "active directory users and computers".

Werkt het wel als je dat interne ipadres toevoegt als extern? De optie daaronder dus.

Hero of Time schreef op dinsdag 9 februari 2021 @ 16:26:
lles wat buiten dat subnet valt, wordt gezien als afkomstig van de default gateway.

Alleen als die router NAT

Bij normale routering blijft het source-IP (gelukkig!) behouden, en tussen het ene RFC1918-adres en het andere RFC1918-adres wordt zelden NAT toegepast; VPNs zijn daarbij een bekende uitzondering

appie1985 schreef op dinsdag 9 februari 2021 @ 11:49:
Deze windows firewall regel draait op de client.

Is het een outbound rule? Als die regel op je client staat en dat IP-adres is van de server waar je naartoe wil, moet je dat IP niet als "lokaal adres" opgeven; je client heeft een ander IP-adres dan 192.168.3.2. Je moet dat adres als "extern adres" opgeven...

Stel, je client heeft 192.168.99.99. Je client zal dan nooit verkeer sturen met een ander lokaal adres dan 192.168.99.99 of 127.0.0.1. Al het andere dat je als "lokaal adres" invult in de firewall regel zal nooit matchen. Dat verklaart waarom 192.168.3.0/24 niet werkt; 192.168.99.99 zit immers niet in 192.168.3.0/24.
Het zit wel in 192.168.0.0/16, en daarom werkt dat dus wel.

Ik heb er eentje voor jullie .

#gebruiker wil iets doen met een gegevensconnector in PowerApps. Hij krijgt het volgende scherm :



Geeft een reden op, drukt op goedkeuring aanvragen en wacht af.

Ik zou niet weten waar deze aanvraag land binnen de Tenant. Van alles afgezocht maar niets te vinden. Dat het Nederlands is helpt uiteraard ook niet echt. Ik heb ook geen idee wat de gebruiker wil gaan doen en of dat wel is toegestaan. Dat moet ik ook nog uitzoeken.

Wie van jullie kent deze en weet waar dit te vinden is? En wat de gebruiker wil?

[ Voor 5% gewijzigd door asing op 12-02-2021 14:39 ]

asing schreef op vrijdag 12 februari 2021 @ 14:38:
Ik heb er eentje voor jullie .

#gebruiker wil iets doen met een gegevensconnector in PowerApps. Hij krijgt het volgende scherm :

[Afbeelding]

Geeft een reden op, drukt op goedkeuring aanvragen en wacht af.

Ik zou niet weten waar deze aanvraag land binnen de Tenant. Van alles afgezocht maar niets te vinden. Dat het Nederlands is helpt uiteraard ook niet echt. Ik heb ook geen idee wat de gebruiker wil gaan doen en of dat wel is toegestaan. Dat moet ik ook nog uitzoeken.

Wie van jullie kent deze en weet waar dit te vinden is? En wat de gebruiker wil?

Dan hebben jullie onderstaande preview feature aan staan. Degene die het ingesteld heeft moet weten wie de approver is.

https://docs.microsoft.co...re-admin-consent-workflow

Galukon schreef op vrijdag 12 februari 2021 @ 15:17:
[...]

Dan hebben jullie onderstaande preview feature aan staan. Degene die het ingesteld heeft moet weten wie de approver is.

https://docs.microsoft.co...re-admin-consent-workflow

Gevonden, dank je wel!

Mensen ervaring met het dumpen van bestanden binnen Azure Files?

Usecase: wij hebben een ELO (Elektronische LeerOmgeving) waarin studenten files dumpen (examenwerk, toetsen). Dat loopt met name bij de multimediaopleidingen nogal uit de hand, op dit moment is het 12TB. 11TB daarvan is dode data, we moeten het bewaren maar het wordt eigenlijk nooit geraadpleegd. Op dit moment hebben we een NetApp o.a. hiervoor staan maar die is volgend jaar afgeschreven en we willen dus eigenlijk een alternatief.

De ELO server heeft een aantal driveletters (is een Windows machine). Ik dacht; als ik in Azure nu een storageaccount met bijbehorende storage aanmaak en deze koppel aan deze machine als driveletter, dan ben ik de dode data kwijt, maar blijft toch bewaard en ik kan deze ook in Azure backuppen. Ik heb dit even als test gedaan en ik kan gewoon met 100MB/sec up/downloaden vanuit Azure, meer dan snel genoeg voor deze usecase (complete overkill zelfs).

Iemand al eens eerder dergelijke koppelingen gemaakt met Azure en een onprem Windows machine? Ervaringen? Of andere tips? Ik sta open voor suggesties

Arfman schreef op maandag 15 februari 2021 @ 10:45:
Mensen ervaring met het dumpen van bestanden binnen Azure Files?

Usecase: wij hebben een ELO (Elektronische LeerOmgeving) waarin studenten files dumpen (examenwerk, toetsen). Dat loopt met name bij de multimediaopleidingen nogal uit de hand, op dit moment is het 12TB. 11TB daarvan is dode data, we moeten het bewaren maar het wordt eigenlijk nooit geraadpleegd. Op dit moment hebben we een NetApp o.a. hiervoor staan maar die is volgend jaar afgeschreven en we willen dus eigenlijk een alternatief.

De ELO server heeft een aantal driveletters (is een Windows machine). Ik dacht; als ik in Azure nu een storageaccount met bijbehorende storage aanmaak en deze koppel aan deze machine als driveletter, dan ben ik de dode data kwijt, maar blijft toch bewaard en ik kan deze ook in Azure backuppen. Ik heb dit even als test gedaan en ik kan gewoon met 100MB/sec up/downloaden vanuit Azure, meer dan snel genoeg voor deze usecase (complete overkill zelfs).

Iemand al eens eerder dergelijke koppelingen gemaakt met Azure en een onprem Windows machine? Ervaringen? Of andere tips? Ik sta open voor suggesties

Niet in Azure, wel in AWS met een storage gateway. De Azure evenknie heet Azure Data Box Gateway, maar daar heb ik dus 0,0 ervaring mee.

Arfman schreef op maandag 15 februari 2021 @ 10:45:
Mensen ervaring met het dumpen van bestanden binnen Azure Files?

Usecase: wij hebben een ELO (Elektronische LeerOmgeving) waarin studenten files dumpen (examenwerk, toetsen). Dat loopt met name bij de multimediaopleidingen nogal uit de hand, op dit moment is het 12TB. 11TB daarvan is dode data, we moeten het bewaren maar het wordt eigenlijk nooit geraadpleegd. Op dit moment hebben we een NetApp o.a. hiervoor staan maar die is volgend jaar afgeschreven en we willen dus eigenlijk een alternatief.

De ELO server heeft een aantal driveletters (is een Windows machine). Ik dacht; als ik in Azure nu een storageaccount met bijbehorende storage aanmaak en deze koppel aan deze machine als driveletter, dan ben ik de dode data kwijt, maar blijft toch bewaard en ik kan deze ook in Azure backuppen. Ik heb dit even als test gedaan en ik kan gewoon met 100MB/sec up/downloaden vanuit Azure, meer dan snel genoeg voor deze usecase (complete overkill zelfs).

Iemand al eens eerder dergelijke koppelingen gemaakt met Azure en een onprem Windows machine? Ervaringen? Of andere tips? Ik sta open voor suggesties

Duik even in Azure Storage policies. je kunt op een storage account namelijk gewoon configureren dat data na X tijd van hot naar cool naar archive of helemaal verwijderd wordt

Arfman schreef op maandag 15 februari 2021 @ 10:45:
Mensen ervaring met het dumpen van bestanden binnen Azure Files?

Usecase: wij hebben een ELO (Elektronische LeerOmgeving) waarin studenten files dumpen (examenwerk, toetsen). Dat loopt met name bij de multimediaopleidingen nogal uit de hand, op dit moment is het 12TB. 11TB daarvan is dode data, we moeten het bewaren maar het wordt eigenlijk nooit geraadpleegd. Op dit moment hebben we een NetApp o.a. hiervoor staan maar die is volgend jaar afgeschreven en we willen dus eigenlijk een alternatief.

De ELO server heeft een aantal driveletters (is een Windows machine). Ik dacht; als ik in Azure nu een storageaccount met bijbehorende storage aanmaak en deze koppel aan deze machine als driveletter, dan ben ik de dode data kwijt, maar blijft toch bewaard en ik kan deze ook in Azure backuppen. Ik heb dit even als test gedaan en ik kan gewoon met 100MB/sec up/downloaden vanuit Azure, meer dan snel genoeg voor deze usecase (complete overkill zelfs).

Iemand al eens eerder dergelijke koppelingen gemaakt met Azure en een onprem Windows machine? Ervaringen? Of andere tips? Ik sta open voor suggesties

Ik wilde ooit Komprise inzetten maar toen moest wat jij als reden noemt tot op de komma uitgevlooid worden en met een flitsende presentatie aan het management gegeven worden. En toen kwam corona. Dus behalve een aai over mijn bol voor het meedenken en uittekenen kwam er niks van terecht.

Bottom line : hot storage is duur, cold storage is prima voor iets wat eigenlijk nooit meer bekekend wordt. Het enige is dat beide tiers onzichtbaar in elkaar over moeten lopen zodat het voor de gebruiker niet zichtbaar is waar wat staat. Daarnaast heb je een algoritme nodig wat de data verplaatst.

Arfman schreef op maandag 15 februari 2021 @ 10:45:
Iemand al eens eerder dergelijke koppelingen gemaakt met Azure en een onprem Windows machine? Ervaringen? Of andere tips? Ik sta open voor suggesties

De methode die je beschrijft, gebruiken wij om file servers te migreren naar Azure en is officieel ondersteund.

Je kan ook gebruik maken van AzCopy daarmee kan je rechtstreeks naar alle soorten Azure storage schrijven zonder disks te koppelen. Dit gebruik ik in onze archivering scripts en je hebt bijvoorbeeld veel handige parameters zoals snelheid limiteren (--cap-mbps #). Ook met AzCopy ga je dezelfde hoge snelheden halen.

Ik moet een aantal Azure Container Registry updaten op onze omgeving maar ik loop vast hoe Heeft iemand hier ervaring mee en kan die persoon mij opweg helpen? Mijn google skills laten mij ook in de steek haha

Dank voor de feedback! Ik heb weer wat termen gevonden die ik kan Googlen en kan voorleggen als optie

*knip*. Marktonderzoek / huiswerkvragen horen niet thuis op Tweakers.

[ Voor 80% gewijzigd door rens-br op 16-02-2021 13:53 ]