Het grote kleine-SysOps-vragen topic deel 1

@asing dan ben ik benieuwd hoe hij er voor zorgt dat hij met alle vier de servers verbindt? Pagina verversen en hopen dat je van de load balancer een andere server krijgt, om vervolgens in de source te gaan speuren naar een servernaam of zo (geen idee of ECP die interne gegevens überhaupt lekt, ik hoop eigenlijk van niet)?

Nah, je krijgt het bij Sectigo niet voor elkaar een certificaat aan te vragen waar de CN niet is opgevoerd als SAN. Of in ieder geval, dat is mij nog niet gelukt. Andersom wel, je moet goed kijken en klikken in die UI anders worden de extra namen niet meegenomen.

Met "https://fqdn naam (certificaat naam)/ecp" kom je neem ik aan uit op de Citrix ADC? Echter, je geeft aan dat het met de receive connector mis gaat, dus kijken of het op poort 443 goed gaat lijkt me maar beperkt zinvol? Staat er in de connector een afwijkende FQDN ingesteld? Staat *die* FQDN ook op een certificaat?

Paul schreef op donderdag 2 februari 2023 @ 12:35:
Nah, je krijgt het bij Sectigo niet voor elkaar een certificaat aan te vragen waar de CN niet is opgevoerd als SAN. Of in ieder geval, dat is mij nog niet gelukt. Andersom wel, je moet goed kijken en klikken in die UI anders worden de extra namen niet meegenomen.

Met "https://fqdn naam (certificaat naam)/ecp" kom je neem ik aan uit op de Citrix ADC? Echter, je geeft aan dat het met de receive connector mis gaat, dus kijken of het op poort 443 goed gaat lijkt me maar beperkt zinvol? Staat er in de connector een afwijkende FQDN ingesteld? Staat *die* FQDN ook op een certificaat?

Klopt, daarmee kom je uit op de netscaler die loadbalacing doet voor de 4 servers op port 443.


Voorbeeld van 1 server m.b.t. connectors
Server : servernaam
Fqdn : servernaam.interne domein naam
TlsCertificateName : <I>CN=Sectigo RSA Extended Validation Secure Server CA, O=Sectigo Limited, L=Salford, S=Greater Manchester, C=GB<S>CN=mail.zorgnh.nl, O=Stichting Dijklander Ziekenhuis, L=Hoorn, S=Noord-Holland, C=NL, OID.2.5.4.15=Private O
rganization, OID.1.3.6.1.4.1.311.60.2.1.3=NL, SERIALNUMBER=41235021

Server : servernaam
Fqdn : servernaam.interne domein naam
TlsCertificateName :

Server : servernaam
Fqdn : FQDN naam van het certificaat (deze is dus anders als het interne domein naam).
TlsCertificateName :

Gaat het hier dan fout? Dat het certificaat gekoppeld is aan de connector waar niet de FQDN naam van het certificaat aan hangt?

[ Voor 35% gewijzigd door sjorremans op 02-02-2023 12:51 ]

Ik ga even voorstellen dat je voor jezelf een tekening maakt. Ik snap heel goed dat je je domeinnaam en servernamen hier niet wilt posten, dus het is helemaal voor jezelf.

- welke FQDN probeer je te bereiken?
- welk IP adres heeft die FQDN?
- welke machine geeft antwoord?
- welk certificaat krijg je (er is altijd wel een "bekijk certificaat" knopje)
- wat is de inhoud en klopt dat?

asing schreef op donderdag 2 februari 2023 @ 13:07:
Ik ga even voorstellen dat je voor jezelf een tekening maakt. Ik snap heel goed dat je je domeinnaam en servernamen hier niet wilt posten, dus het is helemaal voor jezelf.

- welke FQDN probeer je te bereiken?
- welk IP adres heeft die FQDN?
- welke machine geeft antwoord?
- welk certificaat krijg je (er is altijd wel een "bekijk certificaat" knopje)
- wat is de inhoud en klopt dat?

Check!
Ik zal het straks even tekenen wanneer ik terug ben van sporten, met de antwoorden op je vragen.

Een tekening maakt misschien de huidige situatie ook wat duidelijker voor jullie

@sjorremans wat is de status van de service group op de netscaler? Zijn de backend servers daar wel op actief? If not, welke monitor staat er op de service group? Welk backend ssl profile zijn er gekoppeld, wat is de setting van die backend profile etc etc etc.

Tylen schreef op donderdag 2 februari 2023 @ 13:27:
@sjorremans wat is de status van de service group op de netscaler? Zijn de backend servers daar wel op actief? If not, welke monitor staat er op de service group? Welk backend ssl profile zijn er gekoppeld, wat is de setting van die backend profile etc etc etc.

Service groep is up, draait nu op 1 node die nog werkt. Andere 3 servers zijn down volgens de netscaler. Enkel wel op port 443, smtp en imaps werken alle 4 de servers.

Andere vragen kom ik zo nog even op terug

[ Voor 5% gewijzigd door sjorremans op 02-02-2023 13:39 ]

sjorremans schreef op donderdag 2 februari 2023 @ 13:17:
[...]


Check!
Ik zal het straks even tekenen wanneer ik terug ben van sporten, met de antwoorden op je vragen.

Een tekening maakt misschien de huidige situatie ook wat duidelijker voor jullie

Het is ook voor jezelf. Certificaten zijn tegenwoordig maar 1 jaar geldig en je loopt de kans over een jaar tegen hetzelfde aan te lopen. Als je dan weet wat je waar moet vervangen en instellen dan is het alsnog een hele operatie (pun intended ) maar heb je het in ieder geval wel helder zodat je dit kan voorkomen.

sjorremans schreef op donderdag 2 februari 2023 @ 13:38:
[...]


Service groep is up, draait nu op 1 node die nog werkt. Andere 3 servers zijn down volgens de netscaler. Enkel wel op port 443, smtp en imaps werken alle 4 de servers.

Andere vragen kom ik zo nog even op terug

Check. Dus of de monitor op de service group krijgt een verkeerde response van de niet werkende servers, of die niet werkende servers zijn hardenend met ciphers/tls versies welke niet actief zijn in het backend ssl profile op de netscaler.

asing schreef op donderdag 2 februari 2023 @ 14:01:
[...]

Het is ook voor jezelf. Certificaten zijn tegenwoordig maar 1 jaar geldig en je loopt de kans over een jaar tegen hetzelfde aan te lopen.

En dat willen ze nog verder terugbrengen.

Beste is om win-acme te gebruiken, staat bij mij nog op todo om uit te zoeken.
Want jaarlijks het wildcard certificaat vervangen op alle zaken is flink wat werk, maar als het straks om de 3 of 6 maanden moet wil je dat gewoon niet handmatig doen.

DDX schreef op donderdag 2 februari 2023 @ 14:16:
[...]


En dat willen ze nog verder terugbrengen.

Beste is om win-acme te gebruiken, staat bij mij nog op todo om uit te zoeken.
Want jaarlijks het wildcard certificaat vervangen op alle zaken is flink wat werk, maar als het straks om de 3 of 6 maanden moet wil je dat gewoon niet handmatig doen.

Ik ben privé overgschakeld op Let's Encrypt voor de internet facing servers. Dat is echt een enorme verbetering!

asing schreef op donderdag 2 februari 2023 @ 14:01:
[...]

Het is ook voor jezelf. Certificaten zijn tegenwoordig maar 1 jaar geldig en je loopt de kans over een jaar tegen hetzelfde aan te lopen. Als je dan weet wat je waar moet vervangen en instellen dan is het alsnog een hele operatie (pun intended ) maar heb je het in ieder geval wel helder zodat je dit kan voorkomen.

Ik snap je punt! het certificaat is vervangen door iemand die dit al jaren beheerd, dus ik ga er vanuit dat het goed is.
Certificaat staat op 4 exchange servers en op de IMAPS poort groep op de netscaler, verder wordt het SSL certificaat nergens gebruikt.

Ik zal toch even de tekening maken, er is al een HLD van maar die kan ik hier niet plaatsen vanwege alle namen etc etc..

asing schreef op donderdag 2 februari 2023 @ 14:17:
[...]

Ik ben privé overgschakeld op Let's Encrypt voor de internet facing servers. Dat is echt een enorme verbetering!

Klopt ja, zakelijk doe ik het ook vaak.
Dat hele ov validation voegt niet echt heel veel toe, daar kijkt toch niemand naar.
Ev validation had nog wel leuke toevoeging van bedrijfsnaam tonen in balk, maarja dat hebben alle browsers ook weer eruit gesloopt...

win-acme kan trouwens ook met commerciele certificaten werken.
Dus je schaft dan een 5 jaar ov cert aan die automatisch geupdate wordt op je servers.

[ Voor 44% gewijzigd door DDX op 02-02-2023 14:20 ]

Tylen schreef op donderdag 2 februari 2023 @ 14:03:
[...]


Check. Dus of de monitor op de service group krijgt een verkeerde response van de niet werkende servers, of die niet werkende servers zijn hardenend met ciphers/tls versies welke niet actief zijn in het backend ssl profile op de netscaler.

Ik ga dit (laten) uitzoeken, jij vermoed dus dat het een netscaler dingetje is waardoor de netscaler of de servers elkaar niet meer zien op port 443?

sjorremans schreef op donderdag 2 februari 2023 @ 14:19:
[...]


Ik ga dit (laten) uitzoeken, jij vermoed dus dat het een netscaler dingetje is waardoor de netscaler of de servers elkaar niet meer zien op port 443?

Ik denk dat je het anders moet formuleren. Ze zien elkaar wel maar ze vertrouwen elkaar niet.

sjorremans schreef op donderdag 2 februari 2023 @ 14:19:
[...]


Ik ga dit (laten) uitzoeken, jij vermoed dus dat het een netscaler dingetje is waardoor de netscaler of de servers elkaar niet meer zien op port 443?

Als ze elkaar niet meer zien moet je bij de firewall mannen zijn Maar als ze niet meer up komen in een service group dan moet je kijken waarom niet. Kan een setting in de monitor zijn (maar vaak zie ik de default monitor op een service group staan die alleen maar kijkt of de poort open is. Als het goed is gedaan dan zit er een monitor op welke een tls sessie opstart en een get doet waar een bepaalde response op moet komen). Maar het kan ook zijn dat er een mismatch met TLS/Cipher versies.

Tenzij je allemaal vinkjes zet boeit het de ADC (voorheen Netscaler) niet wat er op het interne certificaat staat of wie de uitgever is. Zeker CN of SAN controleren is lastig want de ADC weet niet hoe de interne servers heten. Ik kan me indenken dat de validity nog geldig moet zijn maar verder vertrouwt de ADC de achterliggende server vrijwel automatisch / blindelings.

Als ik de foutmelding aan het begin neem ("Microsoft Exchange could not find a certificate that contains the domain name ... in the personal store on the local computer") dan zou "Gaat het hier dan fout? Dat het certificaat gekoppeld is aan de connector waar niet de FQDN naam van het certificaat aan hangt?" wel eens kunnen kloppen. Nu ja, je zegt 2x certificaat, en het certificaat heeft altijd de FQDN van zichzelf dus ik neem aan dat je connector bedoelt). In de foutmelding staat om welke connector het gaat en welk certificaat er gezocht wordt, als de instellingen van die connector niet overeenkomen met het certificaat dat er aan hangt (en enabled is) dan kan ik me indenken dat die foutmelding komt.

Paul schreef op donderdag 2 februari 2023 @ 15:38:
Tenzij je allemaal vinkjes zet boeit het de ADC (voorheen Netscaler) niet wat er op het interne certificaat staat of wie de uitgever is. Zeker CN of SAN controleren is lastig want de ADC weet niet hoe de interne servers heten. Ik kan me indenken dat de validity nog geldig moet zijn maar verder vertrouwt de ADC de achterliggende server vrijwel automatisch / blindelings.

Als ik de foutmelding aan het begin neem ("Microsoft Exchange could not find a certificate that contains the domain name ... in the personal store on the local computer") dan zou "Gaat het hier dan fout? Dat het certificaat gekoppeld is aan de connector waar niet de FQDN naam van het certificaat aan hangt?" wel eens kunnen kloppen. Nu ja, je zegt 2x certificaat, en het certificaat heeft altijd de FQDN van zichzelf dus ik neem aan dat je connector bedoelt). In de foutmelding staat om welke connector het gaat en welk certificaat er gezocht wordt, als de instellingen van die connector niet overeenkomen met het certificaat dat er aan hangt (en enabled is) dan kan ik me indenken dat die foutmelding komt.

Je loopt alweer achter Paul. Het is NetScaler (voorheen Citrix ADC).

Tylen schreef op donderdag 2 februari 2023 @ 15:33:
[...]


Als ze elkaar niet meer zien moet je bij de firewall mannen zijn Maar als ze niet meer up komen in een service group dan moet je kijken waarom niet. Kan een settings in de monitor zijn (maar vaak zie ik de default monitor op een service group staat niet alleen maar kijkt of de poort open is. Als het goed is gedaan dan zit er een monitor op welke een tls sessie opstart en een get doet waar een bepaalde response op moet komen). Maar het kan ook zijn dat er een mismatch met TLS/Cipher versies.

Ik heb bar weinig verstand van netscalers maar ben toch net even bezig geweest. Er blijkt geen SSL profiel op de servicegroep te zitten die is gemaakt voor port 443. Wanneer ik kijk in de profielen die bestaan op de netscaler, bestaat er een backend echange profiel. Deze kan alleen niet gekoppeld worden aan de service groep omdat er alleen gekozen kan worden Net/TCP/HTTP profiel wanneer je probeert een profiel te koppelen via de GUI.

Een collega zei dat dit kan, met een commando is er voor te zorgen dat het tabje SSL profiel tevoorschijn komt in de GUI.
Helaas heeft die collega geen tijd meer vandaag dus morgen verder wat betreft het stukje netscaler.

Op de serviegroep zit een monitor, is een http monitor met de volgende settigs:
Name: http
Type: http
Interval: 5 seconds
Respone time-out 2 seconds
Responce code: 200
HTTP request: HEAD
Geen vinkje bij secure

Advanced Parameters
Destination IP: Bound service
Destiantion port: 80
Down time: 30 seconds
Retries: 3
Succes retries: 1
Vinke bij enabled en LRTM (Least Response Time using Monitoring)

Is dit wat je bedoeld met de monitor die op de servicegroep zit?

Wat ik nog wel als test heb gedaan is TLS 1.0 en TLS 1.1 aanzetten op 1 server die het niet doet en die een herstart gegeven, helaas maakt dit geen verschil en blijft ook deze server down op port 443.

[ Voor 11% gewijzigd door sjorremans op 02-02-2023 15:42 ]

sjorremans schreef op donderdag 2 februari 2023 @ 15:41:
[...]


Ik heb bar weinig verstand van netscalers maar ben toch net even bezig geweest. Er blijkt geen SSL profiel op de servicegroep te zitten die is gemaakt voor port 443. Wanneer ik kijk in de profielen die bestaan op de netscaler, bestaat er een backend echange profiel. Deze kan alleen niet gekoppeld worden aan de service groep omdat er alleen gekozen kan worden Net/TCP/HTTP profiel.

Een collega zei dat dit kan, met een commando is er voor te zorgen dat het tabje SSL profiel tevoorschijn komt in de GUI.
Helaas heeft die collega geen tijd meer vandaag dus morgen verder wat betreft het stukje netscaler.

Wat ik nog wel als test heb gedaan is TLS 1.0 en TLS 1.1 aanzetten op 1 server die het niet doet en die een herstart gegeven, helaas maakt dit geen verschil en blijft ook deze server down op port 443.

Op de serviegroep zit een monitor, is een http monitor met de volgende settigs:
Name: http
Type: http
Interval: 5 seconds
Respone time-out 2 seconds
Responce code: 200
HTTP request: HEAD
Geen vinkje bij secure

Advanced Parameters
Destination IP: Bound service
Destiantion port: 80
Down time: 30 seconds
Retries: 3
Succes retries: 1
Vinke bij enabled en LRTM (Least Response Time using Monitoring)

Is dit wat je bedoeld met de monitor die op de servicegroep zit?

Als je sslprofiles (default disabled) enabled dan moet je de NetScaler rebooten. Maar dan moet je dus ook wel overal ssl profiles gaan instellen. Dat zal ik je voor nu niet aanraden. Default gebruikt de NetScaler het backend profile naar de systemen waar hij naartoe praat.

Aan je monitor te zien doet hij een http (dus geen https) check op poort 80 naar de backend systemen. Als dit uitstaan dan komen die systemen nooit online in de service group.

sjorremans schreef op donderdag 2 februari 2023 @ 15:48:
[...]


Check, dan blijft het nog wel raar dat er nu 1 server nog wel online is en er vanaf 26 december 3 zijn uitgevallen.. naar mijn weten is er het afgelopen half jaar niks gewijzigd wat betreft de netscalers dus dat gedrag kan ik dan niet verklaren.

Wel is het weer logisch dat je geen antwoord krijgt wanneer de monitor op port 80 staat ingesteld.. deze zou dus aangepast moeten worden naar HTTPS en port 443?

Vinkje in monitor "secure" zetten

Maar ik kan wel een poging doen het te verklaren. De NetScalers zijn redelijk default ingesteld (kan ik zien omdat ssl profiles niet geactiveerd zijn). Dus de service group gebruiken waarschijnlijk ook een onaangepast backend profile. Waarschijnlijk zijn de exchange servers geupgrade en is er een cipher of tls versie uitgezet welke net de default backend profile gebruikt. Is makkelijk te testen door je backend profile aan te passen naar: Allow all TLS versions en all ciphers. Natuurlijk is dit geen oplossing maar kan je wel even verder zoeken waar het in zit.

Ook kan je bij de eigenschappen van je member in een service group kijken waar het probleem zit: Traffic Management --> Load Balancing --> Service Groups --> Open je SG --> Members --> Selecteer een member --> Monitor Details.

sjorremans schreef op donderdag 2 februari 2023 @ 15:41:
[...]
Ik heb bar weinig verstand van netscalers maar ben toch net even bezig geweest.

Hier even oppassen. Ik een grijs verleden heb ik een Citrix cursus gedaan. Ergens versie 7.x. Daar zat ook een stukje NetScaler in en de docent vertelde dat Citrix alleen voor de NetScaler 4 (vier) aparte cursussen had om dat ding te kunnen beheren.

Dat wil zeggen, een NetScaler is een zeer nooi product maar je moet wel weten wat je doet en anders moet je er lekker vanaf blijven . Dit is zoiets waarbij je je hulplijnen mag inzetten.

asing schreef op donderdag 2 februari 2023 @ 15:56:
[...]

Hier even oppassen. Ik een grijs verleden heb ik een Citrix cursus gedaan. Ergens versie 7.x. Daar zat ook een stukje NetScaler in en de docent vertelde dat Citrix alleen voor de NetScaler 4 (vier) aparte cursussen had om dat ding te kunnen beheren.

Dat wil zeggen, een NetScaler is een zeer nooi product maar je moet wel weten wat je doet en anders moet je er lekker vanaf blijven . Dit is zoiets waarbij je je hulplijnen mag inzetten.

Klopt Laat het nou net mijn core business zijn

Tylen schreef op donderdag 2 februari 2023 @ 15:53:
[...]


Vinkje in monitor "secure" zetten

Maar ik kan wel een poging doen het te verklaren. De NetScalers zijn redelijk default ingesteld (kan ik zien omdat ssl profiles niet geactiveerd zijn). Dus de service group gebruiken waarschijnlijk ook een onaangepast backend profile. Waarschijnlijk zijn de exchange servers geupgrade en is er een cipher of tls versie uitgezet welke net de default backend profile gebruikt. Is makkelijk te testen door je backend profile aan te passen naar: Allow all TLS versions en all ciphers. Natuurlijk is dit geen oplossing maar kan je wel even verder zoeken waar het in zit.

Ook kan je bij de eigenschappen van je member in een service group kijken waar het probleem zit: Traffic Management --> Load Balancing --> Service Groups --> Open je SG --> Members --> Selecteer een member --> Monitor Details.

Wanneer ik op secure klik krijg ik vervolgens de vraag welk SSL profiel er gekozen moet worden.
Ik heb zojuist het profiel bekeken wat bestaat (ssl_profile_backend_Exchange)
Neem aan dat ik voor dit profiel moet kiezen?

Normaal gesproken ben ik niet bang aangelegd maar aangezien er nu nog maar 1 server werkt ben ik daar meer bang voor, dat als deze ook niet meer werkt ik een hele lange avond tegemoet ga..

Ik zal nog even in kijken naar de eigenschappen van een server die het niet doet op dit moment

Tylen schreef op donderdag 2 februari 2023 @ 15:53:
[...]
Waarschijnlijk zijn de exchange servers geupgrade en is er een cipher of tls versie uitgezet welke net de default backend profile gebruikt.

Met de upgrade van Exchange 2016 naar CU23 worden TLS 1.0 en 1.1 uit gezet als je het Exchange Health script toepast. TLS 1.3 blijft ook uit want anders gaat Exchange over zijn giegel. Het enige wat overblijft is TLS 1.2.

Het niet toepassen van dat Health script zorgt ervoor dat die oude TLS versies actief blijven.

Hoop dat dit helpt.

@sjorremans wat is je patch level op Exchange?

sjorremans schreef op donderdag 2 februari 2023 @ 16:00:
[...]


Wanneer ik op secure klik krijg ik vervolgens de vraag welk SSL profiel er gekozen moet worden.
Ik heb zojuist het profiel bekeken wat bestaat (ssl_profile_backend_Exchange)
Neem aan dat ik voor dit profiel moet kiezen?

Normaal gesproken ben ik niet bang aangelegd maar aangezien er nu nog maar 1 server werkt ben ik daar meer bang voor, dat als die niet werkt ik een hele lange avond tegemoet ga..

Ik zal nog even in kijken naar de eigenschappen van een server die het niet doet op dit moment

Je service group praat via het backend profile. Die zou je even open kunnen zetten (alle tls versies aanvinken en cipher group all eraan hangen). Maar schrijf even op hoe hij stond Zodat je weer terug kan.

Als je het vinkje secure zet in je http monitor (ssl profile hoef je niet te selecteren kan je leeg laten, pakt default backend dan) is dit ook actief voor alle andere service groups waar hij aan hangt.

Beste wat je voor nu kan doen is een nieuwe monitor maken op basis van de http monitor en dan noem je die https en vinkje hem aan. Deze bind je aan de service group. Kijken of ze online komen, komen ze nog niet online zou je met het backend profile kunnen spelen om deze wat opener te zetten. (opener kan niet zoveel kwaad, dichter kan problemen bij andere endpoints geven).

Tylen schreef op donderdag 2 februari 2023 @ 15:40:
Je loopt alweer achter Paul. Het is NetScaler (voorheen Citrix ADC).

Ik loop inderdaad achter... https://www.citrix.com/blogs/2022/10/03/netscaler-is-back/

Gelukkig Steeds mensen "verbeteren" (mezelf ook ) gaat vervelen, en ADC is zo'n algemene term...

sjorremans schreef op donderdag 2 februari 2023 @ 15:47:
*knip*

ja, doe foutmelding stond eerder in het topic ook al Maar aangezien je steeds alle namen weghaalt (wat natuurlijk je goed recht is, al staat in de post met "Voorbeeld van 1 server m.b.t. connectors" nog het een en ander) is het voor ons lastig te achterhalen wat er precies mis gaat

Microsoft Exchange could not find a certificate that contains the domain name domainname in the personal store on the local computer. Therefore, it is unable to support the STARTTLS SMTP verb for the connector Default Frontend SV028 with a FQDN parameter of "naam en gegevens SSL certificaat"
If the connector's FQDN is not specified, the computer's FQDN is used. Verify the connector configuration and the installed certificates to make sure that there is a certificate with a domain name for that FQDN. If this certificate exists, run Enable-ExchangeCertificate -Services SMTP to make sure that the Microsoft Exchange Transport service has access to the certificate key.

Heeft de connector Default Frontend SV028 een waarde in het veld FQDN? Zo ja, wat is die waarde?

Wat is de relatie tussen die waarde, tussen domainname en tussen "naam en gegevens SSL certificaat"? Idealiter zijn alle drie die waardes "mail.zorginstelling.nl"...

asing schreef op donderdag 2 februari 2023 @ 15:56:
Dat wil zeggen, een NetScaler is een zeer nooi product maar je moet wel weten wat je doet en anders moet je er lekker vanaf blijven . Dit is zoiets waarbij je je hulplijnen mag inzetten.

Zolang je niks aanpast is er niet zo veel aan de hand, maar bovenstaande advies geldt voor bijna alles En even uit mijn hoofd zijn drie ervan grotendeels gelijk met differentiate tussen Gateway (VDI's ontsluiten), GSLB, en geen van beiden. De laatst is bijna alleen Web App Firewall en caching.

sjorremans schreef op donderdag 2 februari 2023 @ 16:04:
Wat betreft monitor stukje
Last response: Failure - HTTP response code 403 received

ah, dus geen handshake of cert trust issues

asing schreef op donderdag 2 februari 2023 @ 16:07:
[...]

Nu nog even de TLS settings checken, die staan in het register. Zowel op een defecte als op de nog werkende server.

Op de werkende server
TLS1.0
disabled by default (1)
Enabled (0)

TLS1.1
Disabled by default (1)
Enabled (0)

TLS1.2
Disabled by default (0)
Enabled (1)

Alle 4 de servers hier gister al op gecontroleerd, stonden allemaal hetzelfde.
Vervolgens net een server gepakt die niet werkt en daar TLS 1.0 en TLS 1.1 op enabled gzet.. geen resultaat.

sjorremans schreef op donderdag 2 februari 2023 @ 16:10:
[...]


Op de werkende server
TLS1.0
disabled by default (1)
Enabled (0)

TLS1.1
Disabled by default (1)
Enabled (0)

TLS1.2
Disabled by default (0)
Enabled (1)

Alle 4 de servers hier gister al op gecontroleerd, stonden allemaal hetzelfde.
Vervolgens net een server gepakt die niet werkt en daar TLS 1.0 en TLS 1.1 op enabled gzet.. geen resultaat.

Ja maar als de monitor nog op http staat en poort tcp 80 staat dicht zal hij ook nooit online komen

Je krijgt een 403 terug van Exchange... Het is dus geen firewall, TLS-versie, cipher of andere instelling op de Netscaler. Hooguit de URL die door de monitor wordt bekeken, maar als het goed is, is dat een check op /ecp/healthcheck.htm met status code 200 (als mijn geheugen me niet in de steek laat).

sjorremans schreef op donderdag 2 februari 2023 @ 16:36:
[...]


Wanneer ik een nieuwe montior aanmaak en kies voor het vinkje secure, moet er dan een SSL profiel aangekoppeld worden? of moet deze gewoon leeg blijven en is het puur het vinkje Secure zetten en dan vervolgens deze monitor proberen op de service groep? En dient de port aangepast te worden naar 443 of zorgt het vinkje secure daar automatisch voor?

Nee dat profiel hoef je niet te kiezen. Dat pakt hij gewoon het default profile. Dus lekker leeg laten.

Vinkje secure zorgt zelf dat het op 443 is. (ook niet helemaal waar, want hij kijkt naar de poort welke je member servewr heeft ingesteld )


(advanced laat je default)

[ Voor 4% gewijzigd door Tylen op 02-02-2023 16:48 ]

Tylen schreef op donderdag 2 februari 2023 @ 16:47:
[...]


Nee dat profiel hoef je niet te kiezen. Dat pakt hij gewoon het default profile. Dus lekker leeg laten.

Vinkje secure zorgt zelf dat het op 443 is. (ook niet helemaal waar, want hij kijkt naar de poort welke je member servewr heeft ingesteld )

[Afbeelding]
(advanced laat je default)

Er bleek al een https monitor te bestaan.
Zodra ik deze bind, de http monitor unbind gaat de gehele service groep gelijk down.
Wanneer ik de https monitor unbind en de http monitor weer bind, komt 1 van de 4 servers terug up. De andere 3 blijven down.

[ Voor 14% gewijzigd door sjorremans op 02-02-2023 16:54 ]

DDX schreef op donderdag 2 februari 2023 @ 14:19:
[...]
Klopt ja, zakelijk doe ik het ook vaak.
Dat hele ov validation voegt niet echt heel veel toe, daar kijkt toch niemand naar.
Ev validation had nog wel leuke toevoeging van bedrijfsnaam tonen in balk, maarja dat hebben alle browsers ook weer eruit gesloopt...

Ik heb klanten (op een paar na die een CISO hebben rondlopen) eigenlijk nog nooit horen praten over welk type SSL ze nou eigenlijk nodig of willen hebben.

Merk vooral dat ze de (met name de telefonische validatie) vervelend vinden, en desnoods wel willen switchen naar een cert. type met enkel DV of zelfs een LE cert. zodat het niet hoeft

Het boeit ze verder niet of nauwelijks wat voor cert. erop staat, als er maar iets op staat zodat ze geen melding krijgen "deze site is onveilig"

[ Voor 9% gewijzigd door Ruben279 op 02-02-2023 17:46 ]

Duinkonijn schreef op donderdag 2 februari 2023 @ 07:11:
[...]

Oké, kwam op mij over van… het doet iets met X maar ik weet niet precies wat

Was meer van "waarom doet 'ie dit, hoe is dit te fixen of te stoppen dat 'ie dit doet?", want dit was mij bij m'n vorige werk niet opgevallen.

Nou is het goed mogelijk dat dit altijd gebeurt en deze logs overal zo hard uitgespuugd worden, maar niemand naar dat ene log view klikt. Want ik had het zelf niet gezien, maar m'n manager. Het is namelijk niet in de standaard Application en System te vinden.

Ruben279 schreef op donderdag 2 februari 2023 @ 17:45:
Ik heb klanten (op een paar na die een CISO hebben rondlopen) eigenlijk nog nooit horen praten over welk type SSL ze nou eigenlijk nodig of willen hebben.

EV voegt toch ook steeds minder toe? Voor DigiD is het niet meer nodig (ze hebben ook hun eigen proces losgelaten, je mag nu een willekeurige CA gebruiken op je webserver, ze geven alleen nog het SAML certificaat uit), browsers maken geen onderscheid meer. Ja, je kunt het bekijken in je browser, maar dat doet de gemiddelde gebruiker echt niet.

En wat is er mis met Let's Encrypt? DV is DV... Zelfs Tweakers gebruikt het

Paul schreef op donderdag 2 februari 2023 @ 18:28:
[...]
EV voegt toch ook steeds minder toe? Voor DigiD is het niet meer nodig (ze hebben ook hun eigen proces losgelaten, je mag nu een willekeurige CA gebruiken op je webserver, ze geven alleen nog het SAML certificaat uit), browsers maken geen onderscheid meer. Ja, je kunt het bekijken in je browser, maar dat doet de gemiddelde gebruiker echt niet.

En wat is er mis met Let's Encrypt? DV is DV... Zelfs Tweakers gebruikt het

Er is juist niets mis met LE, alleen maar fijn als de validatie weer eens niet gaat zoals het moet
Bij een cert. van bijv. Sectigo heb je wel een verzekerde waarde tot $1750000 als zij toch een cert. uitgeven aan een niet-bevoegde.
Maar goed, wel benieuwd hoevaak dát nou gebeurd.

Ruben279 schreef op donderdag 2 februari 2023 @ 17:45:
[...]


Ik heb klanten (op een paar na die een CISO hebben rondlopen) eigenlijk nog nooit horen praten over welk type SSL ze nou eigenlijk nodig of willen hebben.

Merk vooral dat ze de (met name de telefonische validatie) vervelend vinden, en desnoods wel willen switchen naar een cert. type met enkel DV of zelfs een LE cert. zodat het niet hoeft

Het boeit ze verder niet of nauwelijks wat voor cert. erop staat, als er maar iets op staat zodat ze geen melding krijgen "deze site is onveilig"

Klopt ja, het ev cert was vroeget nog leuke toevoeging.
Blijft vreemd dat browsers gestopt zijn met verschil tonen.

Mannen... het is opgelost
Uiteindelijk geen exchange of netscaler issue, willen jullie weten wat wel?

Het lampje ging net branden toen ik naar http://servernaam ging en daar een access denied kreeg vanuit IIS.
De enige server die het nog wel deed toonde netjes de pagina van IIS.

Blijkbaar is het vinkje require SSL bij SSL settings op de default website weer aangevinkt, deze hoort namelijk uit te staan. Nu ik dat op de 3 servers weer heb uitgevinkt zijn alle servers weer up&running...

Toch allemaal bedankt voor de hulp de afgelopen dagen!

Ik vermoed dat dit is gebeurd met het vernieuwen van de self-signed certificaten van Excvhange.

sjorremans schreef op vrijdag 3 februari 2023 @ 14:39:
http://servernaam

Brr. Je hebt het steeds over certificaten, en vervolgens gaan jij en de load balancer er over poort 80 naartoe? Regel eens heel snel dat poort 80 dicht gaat en poort 443 fatsoenlijk werkt (misschien in de andere volgorde doen ). Desnoods poort 80 open laten en er een rewrite rule op loslaten; onder IIS 10 en hoger erg simpel te doen in het HSTS-menu.

Je hebt nu unencrypted verkeer. Op je interne netwerk (hopelijk niet naar buiten), maar ook intern wil je encryptie gebruiken

Paul schreef op vrijdag 3 februari 2023 @ 14:50:
[...]
Brr. Je hebt het steeds over certificaten, en vervolgens gaan jij en de load balancer er over poort 80 naartoe? Regel eens heel snel dat poort 80 dicht gaat en poort 443 fatsoenlijk werkt (misschien in de andere volgorde doen ). Desnoods poort 80 open laten en er een rewrite rule op loslaten; onder IIS 10 en hoger erg simpel te doen in het HSTS-menu.

Je hebt nu unencrypted verkeer. Op je interne netwerk (hopelijk niet naar buiten), maar ook intern wil je encryptie gebruiken

Je hebt ook gelijk, is allemaal vanuit het verleden. Moet ook aangepast worden.
Op dit moment is de monitor van de Netscaler ingesteld op port 80 inderdaad.
Ik heb ondertussen met hulp van Tylen een test servicegroep aangemaakt met de 4 exchange servers en daar een nieuwe monitor aan gehangen die kijkt naar GET /ews/healthcheck.htm
Vervolgens zijn de 4 exchange servers gelijk online gekomen binnen die test servicegroep.

Wat ik wel bijzonder vindt is dat wanneer ik de 3 servers die nu 'niet' online zijn gelijk trek aan de server die de netscaler nog wel ziet, er gelijk certificaat meldingen optreden vanuit de outlook client en dat webmail zegt dat het SSL certificaat niet geldig is.

Situatie weer terug gedraaid, 3 servers die het niet doen met het vinkje aan bij RequireSSL en de enige server die nog wel 'goed' is, staat het vinkje bij RequireSSL dus uit.

Van het weekend nog maar even verder vogelen/uitzoeken wat voor gezeik dit nou is..
Ik ga morgen eerst de nieuwe monitor die dus werkt op de test servicegroep koppelen aan de bestaande SSL-Bridge waar de exchange servers in zitten.
Ben benieuwd of ik dan nog steeds een melding krijg wat betreft dat het exchange certificaat niet geldig is..

[ Voor 22% gewijzigd door sjorremans op 03-02-2023 15:13 ]

Ik gooi 'm gewoon hier ff in de groep, wie weet kent iemand het.

20 XenApp servers met Server 2019 erop. Zitten 2 Citrix Provisioning servers achter die de Xenapps voorzien van een image. De 20 XenApp servers herstarten iedere nacht met een vers image op.

Sinds maandag, terwijl we hetzelfde Citrix image hebben draaien als de week ervoor (zonder problemen), gaan er tussen 11:30 en 12:00 (meestal rond 11:37-38) een aantal servers onderuit. We kunnen er dan met RDP niet bij, Vsphere kan er niet meer mee kletsen, de provisioning servers en de Citrix Delivery controllers zijn de connectie met die servers kwijt, alleen pingen lukt nog. De enige oplossing is een harde reset geven in Vsphere.

Maandag 3 servers plat, alle 3 rond 11:37
Dinsdag 2 servers plat, 1 rond 11:37, een 2e rond 11:52
Dinsdagavond nieuw image met nieuwe virusscanner (Sophos vervangen door Defender) in productie gezet en Edge en Firefox bijgepatched.
Woensdag geen issue's, hoera
Donderdag weer 3 servers plat, 1 om 11:37, en 2 iets later

Die XenApps zijn allemaal identiek qua hardware en software, en ze draaien op verschillende ESX hosts

[ Voor 5% gewijzigd door FastFred op 09-02-2023 16:54 ]

@FastFred Schrijf je de eventlogs weg naar een persistent disk en staat daar eventueel wat in?
Eerste waar ik aan denk is een crash van de NIC, maar het zou ook met te weinig diskspace te maken kunnen hebben

@lolgast Ja, dat doen we, en daar is niks in te zien, met de crash van dinsdag kon ik op 1 van de 2 gecrashte server een error in het log vinden over de bnistack, de allerlaatste entry voor dat die server crashte. Wat exact weet ik niet meer, maar ik kon het wel linken aan PVS. Maar dat was de enige keer bij de 8 servers die deze week gecrashed zijn.

We hebben toevallig dinsdag en vandaag een engineer van onze MSP op bezoek gehad en die kon ook niks vinden. Nada.

Op het moment dat het gebeurd, worden sommige andere Citrix servers enorm traag, maar die crashen niet. Ik vermoed dat 1 van de PVS'en een probleem heeft op dat moment en dat de failover naar de andere PVS server niet geheel goed gaat. Ik ga morgen in de gaten houden dat als er servers crashen, of die aan dezelfde PVS server zijn toegewezen.

[ Voor 26% gewijzigd door FastFred op 09-02-2023 19:13 ]

sjorremans schreef op vrijdag 3 februari 2023 @ 14:39:
Mannen... het is opgelost

Blij dat het is opgelost! En meer!

@FastFred Geen logs op de PVS servers dat de stream service stopt ofzo?

Wij hebben laatst een issue met onze VDI’s gehad waarbij er veel disk latency optrad op de ESX omgeving tijdens het kopieren/repliceren van disks tussen de PVS servers, waardoor de betreffende van die PVS servers ook érg traag werden. “Oplossing”: kopieren in de avonduren

@lolgast Van de 3 servers die gisteren gecrashed zijn hebben we er 2 met een bnistack error in het Windows eventlog, vlak voor de crash. 1 server met eventID 85 en 1 met eventID 158. Vooral die event 85, dat is dus exact de symptomen die wij hebben op dat moment. Dus daar ben ik nu verder naar aan het kijken.

Onze XA servers hebben trouwens 2 NIC's, 1 voor LAN en 1 voor PVS.

[ Voor 4% gewijzigd door FastFred op 10-02-2023 10:50 ]

@FastFred Misschien stiekem problemen met de DHCP servers replicatie waardoor beide DHCP servers af en toe een IP-adres proberen uit te delen?

@lolgast De leases zijn op beide PVS'en gewoon hetzelfde in ieder geval.

Wel viel me op dat de leasetijd op 12 uur staat, terwijl PVS best practice is dat die op onbeperkt staat. Of gewoon IP reservering maken op basis van MAC adres van de PVS nic

12 uur is inderdaad niet lang nee. Uit mijn hoofd zoekte een client na 50% van de leasetijd contact met de DHCP server om zijn lease alvast te vernieuwen, dus ik zou de leasetijd op minimaal 48 uur zetten voor je CVAD servers.

Ik heb laatst hetzelfde mee gemaakt bij een klant. Na bijna een week troubleshooten kwamen we erachter dat Defender het issue was. Zelfde symptomen, machines lopen vast. Op de console zie je nog wel de klok van het inlogscherm doorlopen. geen errors oid in het startmenu

Defender disabled en de machines bleven gaan. Oplossing weet ik niet (meer).

Updaten van de Defender engine wellicht? Volgens mij gaat dat niet (goed) vanzelf als je bijvoorbeeld WSUS gebruikt.

Verkeerde topic, excuus

[ Voor 95% gewijzigd door _Eend_ op 10-02-2023 19:53 ]

Goedemiddag mede systeembeheerders, Office365 vraagje.

Even voorop gesteld ons bedrijf is niet aan de Rabobank gekoppeld in welk opzicht dan ook via Azure External Identities.
Twee gebruikers hebben mij benaderd omdat ze inlog verzoeken krijgen in Excel voor vreemde bestanden die in de Raboweb tenant zitten (https://raboweb-my.sharepoint.com).

Als je die verzoeken (zijn meerdere bestanden) dan weg klikt staat er in Excel een uitroep teken naast je account (rechts boven). Als je daar op klikt en inlogt krijg je onderstaande melding, dat het account niet in de Raboweb tanent zit (duh).


Hebben jullie dit ooit eerder gezien?

Hoe wazig zijn die Excel-bestanden? Komen ze van iemand waarvan je het verwacht? Ik zou ze niet vertrouwen en weggooien als ik het zo lees.

Je doet nik met de rabobank, iets dat "raboweb" heet stuurt iets over belastingen, en jullie weten van niks? Klinkt als CEO of billing fraude / phishing / malware / whatever....

Ik weet toevallig dat Raboweb de officiële tanent naam is van de Rabobank dus fraude lijkt mij niet logisch. De bestanden worden door Excel automatisch geopend, maar je moet eerst inloggen.

Als je de inlogschermen weg klikt dan komen ze binnen een paar dagen weer terug. Echt heel raar.

Heeft dit niet te maken met MS rights Management te maken. Document is gemaakt op Raboweb en die authentication rules zijn meegekomen naar de omgeving. Het bestand gaat bij het openen op zoek naar de Raboweb RM server en kan die niet vinden.

Zoiets, dacht ik.

Iemand ervaring met een domain joined Synology (DSM 6)? Ik moet de DNS server aanpassen, maar als ik dat doe krijg ik de vraag om credentials op te geven om het domein te joinen?

Nu heb ik die gegevens wel, dat is geen probleem natuurlijk. Maar als dat betekent dat de hele boel opnieuw gekoppeld wordt en ik alle rechten kwijt ben dan wordt het nogal een dingetje.

Iemand ervaring of dit zo kan of wellicht er onder water iets in te stellen is?

Kan iemand aangeven wat de bezwaren zijn om voor Intune gebruikers de Office Store open te zetten?

Drardollan schreef op maandag 13 februari 2023 @ 14:12:
Iemand ervaring met een domain joined Synology (DSM 6)? Ik moet de DNS server aanpassen, maar als ik dat doe krijg ik de vraag om credentials op te geven om het domein te joinen?

Nu heb ik die gegevens wel, dat is geen probleem natuurlijk. Maar als dat betekent dat de hele boel opnieuw gekoppeld wordt en ik alle rechten kwijt ben dan wordt het nogal een dingetje.

Iemand ervaring of dit zo kan of wellicht er onder water iets in te stellen is?

Bijzonder dat je een vraag krijgt om 'opnieuw' bij AD aan te melden. Je past de DNS server op een andere sectie aan dan waar je de AD gegevens invoert. Namelijk bij Network, niet LDAP/Domain.

Maar je kan vrij je domain credentials invullen. Er wordt alleen de connectie getest en waar nodig opnieuw bij DNS geregistreerd. Alle ACLs die al reeds op de shares staan blijven staan.

Hero of Time schreef op maandag 13 februari 2023 @ 19:55:
[...]

Bijzonder dat je een vraag krijgt om 'opnieuw' bij AD aan te melden. Je past de DNS server op een andere sectie aan dan waar je de AD gegevens invoert. Namelijk bij Network, niet LDAP/Domain.

Dat dacht ik ook, maar je past gek genoeg de DNS niet aan bij Network in dit geval. Kan een DSM6 ding zijn, maar moet dus onder Domain.

Maar je kan vrij je domain credentials invullen. Er wordt alleen de connectie getest en waar nodig opnieuw bij DNS geregistreerd. Alle ACLs die al reeds op de shares staan blijven staan.

Drardollan schreef op maandag 13 februari 2023 @ 20:03:
[...]

Dat dacht ik ook, maar je past gek genoeg de DNS niet aan bij Network in dit geval. Kan een DSM6 ding zijn, maar moet dus onder Domain.


[...]

Nou, ik herinner mij anders dat de DNS server bij Domain niet nodig zijn en die van Network leidend zijn. Tenzij je domein die je joined heel specifieke DNS servers gebruiken om te registreren.

Toen ik de Synology op m'n vorige werk bij het domein aanmeldde, had ik het netwerk al geregeld met DNS in de Netwerk 'tab'. Ik kan morgen op werk even op een van onze Synologies inloggen en kijken wat daar precies is ingesteld mbt DNS en waar.

magic_nl schreef op maandag 13 februari 2023 @ 16:31:
Kan iemand aangeven wat de bezwaren zijn om voor Intune gebruikers de Office Store open te zetten?

Ik benoem alleen even de bezwaren, om het makkelijker te houden:
1) Veel minder controle over je eigen data. Deze plugins praten ook met niet-office / niet-ms applicaties en applicatie-opslag locaties
2) 1K+ plugins, elk met hun eigen functie en werking. Ga maar uitzoeken waarom Office applicatie X niet meer wil starten.
3) Gevalletje extreem: 1 foute plugin kan de reden zijn om ineens een paard op de gang te hebben. Dat paard wil je daar niet en mag het hele IT-team gaan rennen
4) Niet elke plug-in is gratis. Wie gaat daarvoor betalen en wil je zulke welles-nietes discussies?
5) Indien een gebruiker zelf de plug-in koopt, maar achteraf NIET aan de voorwaarde voor de licentie voldoet -- wie verteld dan de IT-manager dat ie een groot gat in zn begroting heeft vanwege een gebruikersoopsi? (Autocad/Adobe bijv)

Enz

Hero of Time schreef op maandag 13 februari 2023 @ 20:07:
[...]

Nou, ik herinner mij anders dat de DNS server bij Domain niet nodig zijn en die van Network leidend zijn. Tenzij je domein die je joined heel specifieke DNS servers gebruiken om te registreren.

Toen ik de Synology op m'n vorige werk bij het domein aanmeldde, had ik het netwerk al geregeld met DNS in de Netwerk 'tab'. Ik kan morgen op werk even op een van onze Synologies inloggen en kijken wat daar precies is ingesteld mbt DNS en waar.

Ik kan er helaas niet meer van maken



Nu is het wel zo dat de vorige pruts... ehhh. beheerder ook de geavanceerde opties voor het domein heeft aangezet. Wellicht dat het daardoor veroorzaakt wordt.

Ik heb even een DS213+ vanuit mijn privé voorraad meegenomen, die zal ik eens aan het domein hangen en zien wat er gebeurd als ik wijzigingen doorvoer.

Thanks voor het meedenken!

Ik moest toevallig vandaag nog op een van onze Synology's zijn, omdat er een schijf stuk is (staat als crashed, maar health is ok gek genoeg) en kwam erachter dat er nog een schijf als failing staat. Oeps!

Maar keek even naar het netwerk gedeelte en idd, precies wat jij laat zien. Heel fijn als je een andere Synology kan pakken om mee te testen. We verwachten dat het goed zal gaan, maar beter om het met een spare eerst te doen dan straks je prod onderuit te schoppen.

D_Jeff schreef op maandag 13 februari 2023 @ 20:33:
[...]


Ik benoem alleen even de bezwaren, om het makkelijker te houden:
1) Veel minder controle over je eigen data. Deze plugins praten ook met niet-office / niet-ms applicaties en applicatie-opslag locaties
2) 1K+ plugins, elk met hun eigen functie en werking. Ga maar uitzoeken waarom Office applicatie X niet meer wil starten.
3) Gevalletje extreem: 1 foute plugin kan de reden zijn om ineens een paard op de gang te hebben. Dat paard wil je daar niet en mag het hele IT-team gaan rennen
4) Niet elke plug-in is gratis. Wie gaat daarvoor betalen en wil je zulke welles-nietes discussies?
5) Indien een gebruiker zelf de plug-in koopt, maar achteraf NIET aan de voorwaarde voor de licentie voldoet -- wie verteld dan de IT-manager dat ie een groot gat in zn begroting heeft vanwege een gebruikersoopsi? (Autocad/Adobe bijv)

Enz

1. Eens. Vanwege avg niet wenselijk. Tov teams apps is wel het verschil dat het voornamelijk persoonlijke data en gegevens zijn.
2. Beleid is al dat bij problemen apparatuur na een korte blik herimaged wordt.
3. Plug-in zit tamelijk geïsoleerd op laptop. Maar risico is er zeker.
4. Is een punt. Gelukkig mag daar de direct leidinggevende over oordelen.
5. Beleid is eerst bedrijfsportal (daar vind je Adobe), dan Windows store en daarna download van internet. Maar de vraag ging over de Office store. Teams apps veroorzaakt dezelfde problemen.

[ Voor 3% gewijzigd door magic_nl op 14-02-2023 19:14 ]

Hero of Time schreef op dinsdag 14 februari 2023 @ 18:51:
Ik moest toevallig vandaag nog op een van onze Synology's zijn, omdat er een schijf stuk is (staat als crashed, maar health is ok gek genoeg) en kwam erachter dat er nog een schijf als failing staat. Oeps!

Maar keek even naar het netwerk gedeelte en idd, precies wat jij laat zien. Heel fijn als je een andere Synology kan pakken om mee te testen. We verwachten dat het goed zal gaan, maar beter om het met een spare eerst te doen dan straks je prod onderuit te schoppen.

In testen ging het goed, maar in productie loop ik nu tegen weer nieuwe prut aan.

Mijn illustere voorganger heeft de tijd in het domein nooit goed gekregen (omdat hij niet doorhad dat het een instelling was in een HP switch) en onder andere heeft hij de Synology als tijdserver geïntroduceerd. Als je de DNS aanpast wordt het domein opnieuw gesynced en de tijdserver van de Synology naar de Domain Controller gezet. En daarmee kom ik dus in de loop dat zowel de Domain Controller als de Synology de tijd van elkaar willen syncen
Nu staat dat wel op het programma om op te lossen, gewoon met de DC's praten voor je tijd is mijn mening. Maar dat staat pas aan na dit project geplanned. Maar eens even kijken of we dat naar voren gaan trekken.

Nu is dat wel op te lossen, kan de instelling snel wijzigen in de Synology. Maar wat een goede. Elke (kleine) wijziging brengt nieuwe problemen mee lijkt het wel.

[ Voor 7% gewijzigd door Drardollan op 14-02-2023 20:29 ]

Drardollan schreef op dinsdag 14 februari 2023 @ 20:28:
gewoon met de DC's praten voor je tijd is mijn mening

Op zich eens, maar moeten zelf ook ergens hun tijd vandaan halen En blijkbaar was dat de Synology...

Met een `w32tm /config /manualpeerlist:nl.pool.ntp.org` (of net welke time server je wil) is het aangepast, is niet direct iets waar je een heel project voor nodig hebt; hooguit een firewallbeheerder e.e.a. natuurlijk afhankelijk van de organisatie, maar als er een Synology staat dan vermoed ik dat dat wel meevalt.

Paul schreef op dinsdag 14 februari 2023 @ 20:45:
[...]
Op zich eens, maar moeten zelf ook ergens hun tijd vandaan halen En blijkbaar was dat de Synology...

Met een `w32tm /config /manualpeerlist:nl.pool.ntp.org` (of net welke time server je wil) is het aangepast, is niet direct iets waar je een heel project voor nodig hebt; hooguit een firewallbeheerder e.e.a. natuurlijk afhankelijk van de organisatie, maar als er een Synology staat dan vermoed ik dat dat wel meevalt.

Komt vanuit een GPO die voor het hele domein de boel instelt. Vermoedelijk is die disablen voldoende. Maar als ik nu de Synology aanpas heb ik een loop.

Dit aanpassen is zeker geen project, maar iets wat ik wilde oplossen na een DC migratie die nu ook half gaar draait (overgang van DFS naar DFSR is niet goed afgemaakt). Nu moet ik bij een GPO wijziging deze kopieëren naar de juiste map zodat alle DC’s dezelfde GPO’s hebben.

Mijn illustere voorganger blijkt zich achteraf ook jaren afgevraagd te hebben waarom een GPO instelling per uur kon wijzigen op een werkstation, dat kwam omdat er 2 versies van de GPO waren en het dus at random veranderde als het werkstation besloot de andere DC te gebruiken om GPO’s te downloaden

Wauw, je moet toch best zitten kloten en complete onkunde hebben om de (GPO) replicatie tussen je DC's te slopen.

Hero of Time schreef op dinsdag 14 februari 2023 @ 21:34:
Wauw, je moet toch best zitten kloten en complete onkunde hebben om de (GPO) replicatie tussen je DC's te slopen.

Yep. Is al een paar jaar geleden gebeurd. Is bij, ik dacht Win2k12R2, een verandering geweest van DFS naar DFSR replicatie. Die is niet goed uitgevoerd. En is dus maar half af

Zijn hier nog beheerders die azure Microsoft bastion hebben toegepast.
Lijkt een secure oplossing om users of externe toegang te geven tot een vm/server vanuit de browser.

Ben wat aan het experimenteren of dit een mogelijkheid is om users extern via browser op een veilige manier toegang te geven naar een on premise rds server, maar zover ik nu zie is dat net een stap te ver

Thijs B schreef op donderdag 16 februari 2023 @ 21:27:
Zijn hier nog beheerders die azure Microsoft bastion hebben toegepast.
Lijkt een secure oplossing om users of externe toegang te geven tot een vm/server vanuit de browser.

Ben wat aan het experimenteren of dit een mogelijkheid is om users extern via browser op een veilige manier toegang te geven naar een on premise rds server, maar zover ik nu zie is dat net een stap te ver

Ik gebruik bastion als back-up als de RDP connectie geen zin heeft óf als ik buiten de ip restricties van de VM val.

Mocht je firewall rules hebben voor binnenkomende rdp, dan luister bastion daar niet naar, je kan altijd connecten.

Ook kan je geen files kopiëren, maar dat is wellicht een voordeel in dit geval

Verder moet je via RBAC en azure ad groups nog wel wat inrichten als je ervoor kiest om die kant op te gaan.

(Ik gebruik Bastion alleen direct in de browser)

Wat zou een reden zijn om niet te kiezen voor een rdp sessie?

Bamjohanson schreef op vrijdag 17 februari 2023 @ 05:58:
[...]


Ik gebruik bastion als back-up als de RDP connectie geen zin heeft óf als ik buiten de ip restricties van de VM val.

Mocht je firewall rules hebben voor binnenkomende rdp, dan luister bastion daar niet naar, je kan altijd connecten.

Ook kan je geen files kopiëren, maar dat is wellicht een voordeel in dit geval

Verder moet je via RBAC en azure ad groups nog wel wat inrichten als je ervoor kiest om die kant op te gaan.

(Ik gebruik Bastion alleen direct in de browser)

Wat zou een reden zijn om niet te kiezen voor een rdp sessie?

Oke nou direct naar rdp is toch minder secure.
De ideale setup lijkt mij dat een user, dat kan zijn gewoon een gebruiker maar ook externe support/beheerder naar azure portal connect met paswoord en 2fa en dat je vandaaruit doorkan naar een rdp terminal server. (bij ons gaat het vooral om on premise systemen)

Ik zag dat je in azure bastian standard copy/past files aan/uit kan zetten voor gewone gebruikers lijkt mij ongewenst voor beheerders prima, maar je kan dat weer niet per gebruiker etc sturen.

Maar goed ik moet denk idd eerst verder in azure RBAC verdiepen.

Thijs B schreef op vrijdag 17 februari 2023 @ 11:09:
[...]

Ik zag dat je in azure bastian standard copy/past files aan/uit kan zetten voor gewone gebruikers lijkt mij ongewenst voor beheerders prima, maar je kan dat weer niet per gebruiker etc sturen.

.

Ah, daar zal ik eens naar kijken. Ik zit er niet heel erg mee daar ik het alleen als backup gebruik.

Verder werken we via een jumpbox vm en hebben we geen last van het feit dat normale gebruikers moet inloggen. 3 mensen hebben toegang met named user accounts.

Ons user scenario wijkt iets af dan die van die van jou. Misschien dat een andere tweakers gebruiker ervaring heeft i.c.m. je beschreven scenario

Mij is gevraagd of ik alle (~300) "GuestMailUser" uit tenant magisch uit het Outlook adresboek kan laten verdwijnen.
Deze users worden aangemaakt vanuit AzureAD als guest user (geen sync vanaf Windows AD).

Ik dacht: ik doe eens een testje in Exchange online, zoek een guest user op en klik bij "Hide from GAL" op YES & Save

Maar een refresh van die pagina laat zien dat die wijziging helemaal niet bewaard wordt. #zucht
Iemand een idee ?

D_Jeff schreef op dinsdag 21 februari 2023 @ 10:50:
Mij is gevraagd of ik alle (~300) "GuestMailUser" uit tenant magisch uit het Outlook adresboek kan laten verdwijnen.
Deze users worden aangemaakt vanuit AzureAD als guest user (geen sync vanaf Windows AD).

Ik dacht: ik doe eens een testje in Exchange online, zoek een guest user op en klik bij "Hide from GAL" op YES & Save

Maar een refresh van die pagina laat zien dat die wijziging helemaal niet bewaard wordt. #zucht
Iemand een idee ?

Geduld?

Tylen schreef op dinsdag 21 februari 2023 @ 11:58:
[...]


Geduld?

Zelfs van 2 dagen geleden heeft het schuifje omzetten geen effect gehad

Wij hebben Contacten in Exchange en bij AD via ADUC kan je ook contact 'gebruikers' aanmaken. Maar als we op die laatste plek een contact maken, komt deze niet in Exchange naar voren. Wanneer ik kijk naar de verschillen in eigenschappen van een contact die via ADUC is gemaakt en eentje die in Exchange is te vinden, zie ik allerlei Exchange eigenschappen bij de laatste die bij de eerste niet zijn gevuld.

Wat is de juiste plek om contacten aan te maken? Want als het niet via ADUC moet, waarom kan je daar dan alsnog contacten aanmaken als die toch niet in Exchange zichtbaar worden?
We gebruiken nog Exchange 2016 on-prem, maar in de nabije toekomst wordt dat Exchange Online. Zal het dan ook online moeten of werkt het dan wel als deze lokaal in AD worden gemaakt en via AADC gesynct worden?

Hero of Time schreef op dinsdag 21 februari 2023 @ 19:28:
Wij hebben Contacten in Exchange en bij AD via ADUC kan je ook contact 'gebruikers' aanmaken. Maar als we op die laatste plek een contact maken, komt deze niet in Exchange naar voren. Wanneer ik kijk naar de verschillen in eigenschappen van een contact die via ADUC is gemaakt en eentje die in Exchange is te vinden, zie ik allerlei Exchange eigenschappen bij de laatste die bij de eerste niet zijn gevuld.

Wat is de juiste plek om contacten aan te maken? Want als het niet via ADUC moet, waarom kan je daar dan alsnog contacten aanmaken als die toch niet in Exchange zichtbaar worden?
We gebruiken nog Exchange 2016 on-prem, maar in de nabije toekomst wordt dat Exchange Online. Zal het dan ook online moeten of werkt het dan wel als deze lokaal in AD worden gemaakt en via AADC gesynct worden?

https://serverfault.com/q...tion-of-a-contact-in-exch

Tnx, was ik al bang voor. Duidelijk dat MS weer lekker heeft gefaald met hun functionaliteit en omschrijving ervan. Contact != contact.

Hero of Time schreef op dinsdag 21 februari 2023 @ 20:22:
Tnx, was ik al bang voor. Duidelijk dat MS weer lekker heeft gefaald met hun functionaliteit en omschrijving ervan. Contact != contact.

Mja Exchange is altijd maar een add-on geweest.. sinds NT is dat nooit veranderd is

Duinkonijn schreef op woensdag 22 februari 2023 @ 08:04:
[...]

Mja Exchange is altijd maar een add-on geweest.. sinds NT is dat nooit veranderd is

Verandert er niets aan dat Exchange dus geen AD contacten oppakt om te gebruiken. Ondanks dat ze een mail adres hebben en alles.

Hero of Time schreef op woensdag 22 februari 2023 @ 18:35:
[...]

Verandert er niets aan dat Exchange dus geen AD contacten oppakt om te gebruiken. Ondanks dat ze een mail adres hebben en alles.

Je moet ze mail-enabled maken, dan krijgen ze iets meer properties dan alleen een mailadres.
Bij een PS script om contacts aan te maken de exchange cmdlets inladen en die mail-enabled uitvoeren en klaar...of zoiets. Is al weer te lang geleden.