Het grote kleine-SysOps-vragen topic deel 1

Beekforel schreef op zondag 21 mei 2023 @ 12:50:
[...]

Yes, alles up-to-date. Hij is inderdaad uit garantie.

De Windows-installatie heeft het nu ook weer opgegeven lijkt het, kom niet eens meer tot het loginscherm.

Heb Windows overigens geïnstalleerd via zo'n Microsoft recovery image speciaal voor deze laptop want met m'n kale W11 stick had ik geen drivers voor de disk.

Als Windows uiteindelijk corrupt raakt, zou het ook zomaar de schijf kunnen zijn die aan het falen is. Had je die al vervangen, als dat mogelijk is? SMART status bekeken? Al zegt dat niet altijd wat.

Illegal_Alien schreef op zondag 21 mei 2023 @ 12:56:
Heren en dames van het goede leven. (als het goed is. )

Ben op zoek naar een manier om handiger de status van de patch/updates van windows Servers (2012 t/m 2022) bij te houden en te heberen/starten. Nu zag ik het mooie PoshPAIG: https://devblogs.microsof...-install-windows-patches/ / https://github.com/proxb/PoshPAIG voorbij komen alleen is deze nogal hoogbejaard en werkt niet meer goed.

is abcupdate wat voor je? https://abc-deploy.com/abc-update/

Hero of Time schreef op zondag 21 mei 2023 @ 13:37:
[...]

Als Windows uiteindelijk corrupt raakt, zou het ook zomaar de schijf kunnen zijn die aan het falen is. Had je die al vervangen, als dat mogelijk is? SMART status bekeken? Al zegt dat niet altijd wat.

Het is een Surface Laptop 3, is niet bedoeld om de disk te vervangen. Maar goed, ben natuurlijk niet voor niets Tweaker.

Ik ben het met je eens dat de disk wel verdachte is, maar zou dat graag aan kunnen tonen. Zal eens kijken of ik iets van smart naar boven kan halen.

Illegal_Alien schreef op zondag 21 mei 2023 @ 12:56:
Heren en dames van het goede leven. (als het goed is. )

Ben op zoek naar een manier om handiger de status van de patch/updates van windows Servers (2012 t/m 2022) bij te houden en te heberen/starten. Nu zag ik het mooie PoshPAIG: https://devblogs.microsof...-install-windows-patches/ / https://github.com/proxb/PoshPAIG voorbij komen alleen is deze nogal hoogbejaard en werkt niet meer goed.

Onze Windows beheerders gebruiken BatchPatch (https://batchpatch.com/) mijn collega's zijn er erg blij mee. Zelf gebruik ik het niet, maar wat ik er van heb gezien is het een mooie tool.

Edit: ik zie dat ABC-Update gratis is, en dat was ook de reden dat wij er niet voor hebben gekozen. (Het mag bij ons niks kosten, maar er moet wel support op zitten)

[ Voor 10% gewijzigd door _Eend_ op 21-05-2023 16:18 ]

@_Eend_ @Duinkonijn Ik ga ze eens even bekijken morgen, maakt niet heel veel uit of iets een beetje geld kost of gratis. (Alleen bij het eerste hebben we altijd gemekker van iets of iemand, ook al is het maar 1 euro. )

over 10 euro piepen we en als het 50.000 betreft, is het kennelijk nodig en doorloopt het zonder probleem

Klopt een paar ton geven we zo uit, maar iets van 1000 euro per jaar is moeilijk.

Illegal_Alien schreef op zondag 21 mei 2023 @ 12:56:
Heren en dames van het goede leven. (als het goed is. )

Ben op zoek naar een manier om handiger de status van de patch/updates van windows Servers (2012 t/m 2022) bij te houden en te heberen/starten. Nu zag ik het mooie PoshPAIG: https://devblogs.microsof...-install-windows-patches/ / https://github.com/proxb/PoshPAIG voorbij komen alleen is deze nogal hoogbejaard en werkt niet meer goed.

Je hebt geen centrale update management tooling? Hoeveel servers heb je? Mogelijkheden: SCCM, Intune, Azure Update Management, PDQ deploy

Er is wel centraal alleen niet beheerd door mij en alleen voor endpoints... (doet ask why) PDQ heb ik mee gewerkt maar zie niet in hoe die makkelijk patchmanagement kan doen.

En ja elk kantoor heeft zijn eigen manier heb al rondgevraagd

Illegal_Alien schreef op maandag 22 mei 2023 @ 08:01:
Er is wel centraal alleen niet beheerd door mij en alleen voor endpoints... (doet ask why) PDQ heb ik mee gewerkt maar zie niet in hoe die makkelijk patchmanagement kan doen.

En ja elk kantoor heeft zijn eigen manier heb al rondgevraagd

Via PDQ de windows update powershell module installeren, via die module de updates installeren en eventueel het systeem laten rebooten. Zo heb ik het nu ingericht bij ons. Kun je natuurlijk ook nog schedulen etc, maar doe het tot op heden handmatig. Kan ik het ook nog enigzins in de gaten houden.

Zucht, laatst eindelijk room agenda's gaan gebruiken. En organizer en subject moest zichtbaar zijn voor iedereen, de inhoud alleen zichtbaar voor organisator en deelnemers.

Maar nu heeft men bedacht dat het onderwerp er toch weer uit moet, prima. Dus

Maar dat werkt nu alleen voor nieuwe meetings. Bij bestaande meetings blijft het onderwerp zichtbaar. Weet iemand van een methode om dat met terug werkende kracht toe te passen op bestaande meetings?

Ik kwam dat commando ook laatst tegen toen ik op m'n werk iets vergelijkbaars zocht en men had daar ook als antwoord dat het niet zo heel makkelijk was voor reeds bestaande meetings.

Illegal_Alien schreef op zondag 21 mei 2023 @ 12:56:
Heren en dames van het goede leven. (als het goed is. )

Ben op zoek naar een manier om handiger de status van de patch/updates van windows Servers (2012 t/m 2022) bij te houden en te heberen/starten. Nu zag ik het mooie PoshPAIG: https://devblogs.microsof...-install-windows-patches/ / https://github.com/proxb/PoshPAIG voorbij komen alleen is deze nogal hoogbejaard en werkt niet meer goed.

Het was al een keer geroepen maar batchpatch is echt perfect hiervoor. Je zou eventueel ook kunnen kijken naar Azure Update Management. Dat werkt ook voor on-prem en kost niks.

Maken mensen hier ook gebruik van de MDM van Manage Engine?
Hebben verschillende klanten daaronder draaien, maaarr, de $%#^# app-updates, werken gewoon niet. Het aankaarten bij Manage Engine zelf heeft geen resultaat mogen bieden, die zeggen zet vinkje aan en het zou werken. Maar nog steeds moeten we de updates zelf pushen omdat ze anders helemaal niets updaten. Iemand toevallig daarvoor een oplossing?

Hoe gaan julie om met user consent voor apps die willen praten met Office 365 mailbox/agenda ?
Allemaal leuke tooltjes die mensen willen gebruiken.
Vandaag bijvoorbeeld een gebruiker die Calendy wilde gaan gebruiken om makkelijk afspraken met hem in te plannen.
En dan kijk je waar je goedkeurig voor zou geven :

'Have full access to user calendars'
Allows the app to create, read, update, and delete events in user calendars.

Kijk je op de website ;
'Simplified scheduling for more than 10,000,000 users worldwide'
En dan banner met allemaal bekende bedrijven.

Klinkt leuk, maar ondertussen geef je nogsteeds volledige toegang tot de calendar...

En zo had ik laatst ook iemand die sparkmailapp wilde 'Fast, cross-platform email designed to filter out the noise - so you can focus on what's important.'
En ondertussen rechten geven om mailbox te lezen en mailtjes te sturen namens.

Tig bedrijven die gebruikers gewoon zelf blind accept laten klikken. (default Microsoft instelling)

[ Voor 5% gewijzigd door DDX op 30-05-2023 16:56 ]

DDX schreef op dinsdag 30 mei 2023 @ 16:56:
Hoe gaan julie om met user consent voor apps die willen praten met Office 365 mailbox/agenda ?
Allemaal leuke tooltjes die mensen willen gebruiken.
Vandaag bijvoorbeeld een gebruiker die Calendy wilde gaan gebruiken om makkelijk afspraken met hem in te plannen.
En dan kijk je waar je goedkeurig voor zou geven :

'Have full access to user calendars'
Allows the app to create, read, update, and delete events in user calendars.

Kijk je op de website ;
'Simplified scheduling for more than 10,000,000 users worldwide'
En dan banner met allemaal bekende bedrijven.

Klinkt leuk, maar ondertussen geef je nogsteeds volledige toegang tot de calendar...

En zo had ik laatst ook iemand die sparkmailapp wilde 'Fast, cross-platform email designed to filter out the noise - so you can focus on what's important.'
En ondertussen rechten geven om mailbox te lezen en mailtjes te sturen namens.

Tig bedrijven die gebruikers gewoon zelf blind accept laten klikken. (default Microsoft instelling)

Ik moedig het niet aan, maar wat kan je er tegen doen?

Overigens is er voor Calendly een geweldig gratis MS product beschikbaar: Bookings.

Hier vinden we dat ook een moeilijke. Maar we verwijzen zoveel mogelijk naar het dichtst beschikbaar MS alternatief waar ze al toegang toe hebben.
Veel van die apps worden pas interessant als er echt voor betaald wordt en dan moet er wel een duidelijke business case zijn.

DDX schreef op dinsdag 30 mei 2023 @ 16:56:
Hoe gaan julie om met user consent voor apps die willen praten met Office 365 mailbox/agenda ?
Allemaal leuke tooltjes die mensen willen gebruiken.
Vandaag bijvoorbeeld een gebruiker die Calendy wilde gaan gebruiken om makkelijk afspraken met hem in te plannen.
En dan kijk je waar je goedkeurig voor zou geven :

'Have full access to user calendars'
Allows the app to create, read, update, and delete events in user calendars.

Kijk je op de website ;
'Simplified scheduling for more than 10,000,000 users worldwide'
En dan banner met allemaal bekende bedrijven.

Klinkt leuk, maar ondertussen geef je nogsteeds volledige toegang tot de calendar...

En zo had ik laatst ook iemand die sparkmailapp wilde 'Fast, cross-platform email designed to filter out the noise - so you can focus on what's important.'
En ondertussen rechten geven om mailbox te lezen en mailtjes te sturen namens.

Tig bedrijven die gebruikers gewoon zelf blind accept laten klikken. (default Microsoft instelling)

Aardig dat je jezelf afvraagt waarom die apps die rechten nodig hebben, maar bekijk het eens van wat ze functioneel doen. Een kalender app die geen toegang tot je kalender mag hebben doet nogal weinig. Een mail app heeft ook toegang nodig tot je mailbox, hoe moet het anders mail kunnen ophalen, tonen en antwoorden?

Maar in AzureAD kan je opgeven of gebruikers zomaar 'apps' kunnen registreren en toegang laten hebben, of dat een admin dit eerst moet approven. Als je er zo op tegen bent dat iedereen zomaar wat installeert en gebruikt, zet je het daar uit dat het kan. Op m'n vorige werk had ik dat nog niet volledig ingericht en was er iemand die Samsung Mail had ingesteld en toegang had verschaft. Blegh.

Je zit naast de rechten, ook nog eens met een verwerkingsovereenkomst in het kader van de AVG. Daarom wil je het ook niet aan gebruikers overlaten

[ Voor 22% gewijzigd door Duinkonijn op 30-05-2023 19:42 ]

En dan heb je ook nog malicious of discutabele apps die helemaal niets te zoeken hebben in je omgeving. Reden genoeg om een admin consent workflow toe te passen.

Protect against AzureAD OAuth Consent phishing attempts (Illicit consent attack)

Welke tools gebruiken jullie om met gebruikers mee te kijken en eventueel remote op een pc te werken als er geen gebruiker achter zit wanneer je alles in Azure hebt staan? In SCCM en op het Lokale domein kon je werken met eventueel RDP en SCCM Remote Control app.

Voor de cloud werkt dat natuurlijk net even iets anders.
Zitten de pc's binnen je eigen netwerk dan is RDP nog wel een optie, maar werkt niet als je mee wilt kijken met de gebruiker.

je hebt natuurlijk QuickAssist, maar die heeft geen uitgebreide beheer/ UAC mogelijkheden.
Dan heb je remote help wat natuurlijk wel de beheer mogelijkheden bied, maar hiervoor moet de gebruiker wel aangemeld zijn.

Wil je beide dan heb je eventueel nog Teamviewer.

als je dan verder kijkt dan zijn er nog wel andere pakketten beschikbaar, maar dan zit er weer een hoop extra functies in waar we eigenlijk niks mee willen als afdeling. deze zijn meer gemaakt voor MSPs.

jullie nog ideeën?

Bij ons gebruiken we zelf Teamviewer, met een integratie in Intune

https://learn.microsoft.c...ctions/teamviewer-support
https://learn.microsoft.c...-apps/teamviewer-tutorial

Wil je gratis dan kun je nog kijken naar RustDesk met een private server voor verbindingen, waarbij je ook Unattended access zou moeten kunnen instellen. Moet wel zeggen dat de documentatie behoorlijk "lacking" is en je behoorlijk moet googlen om allemaal te kunnen vinden wat je zoekt en wat bij Teamviewer een stuk beter gedocumenteerd is.

Wij zitten nu enkele jaren op Anydesk en zeer tevreden van. Daarvoor deden we het ook via SCCM.
Ik zie nu wel dat hun pricing model is aangepast. Wij betalen nog steeds €500 per jaar voor max 3 concurrent connecties en een ongelimiteerd aantal endpoints.

DDX schreef op dinsdag 30 mei 2023 @ 16:56:
Hoe gaan julie om met user consent voor apps die willen praten met Office 365 mailbox/agenda ?
Allemaal leuke tooltjes die mensen willen gebruiken.

https://learn.microsoft.c...er-admin-consent-overview
Even geen azure tenant in de buurt, maar je zou bovenstaande kunnen volgen.
Tevens in AzureAD -> Settings -> heb je optie voor 'user can consent to apps'. Als je die uitzet, en inricht dat er een request gedaan kan worden, bepaal jij/IT afdeling of de app gebruikt mag worden. Houdt je iig controle

Heeft er iemand toevallig ervaring met een VPN dienst zoals NordVPN die je kan configureren op een FortiGate firewall?

Wil thuis een laag privacy toevoegen aan mijn netwerk en bepaald verkeer via een VPN tunnel gaan duwen. Maar heb geen zin om allerlei software op apparaten te installeren, gewoon regelen via de firewall zou ik zeggen.

Maar kan niets vinden, dus of het bestaat niet of ik zoek verkeerd

Denk niet dat kan met zulke diensten, of ze moeten S2S VPN kunnen aanbieden. Nu ben ik geen Fortigate man natuurlijk, maar ik zou het ook niet logisch vinden dat ze het wel ondersteunden.
Meraki en Watchguard kennen het ook niet.


Ik heb hier ook een leuk probleem.
Ben aan het testen met een DEV 365 omgeving met E5 licenties.
In combinatie met een NPS server en de Azure MFA pluging ivm VPn via RADIUS met een meraki MX.
Maar krijg het maar niet werkend. Hij geeft bij 1 van de testscripts aan dat de gebruiker geen geen MFA heeft:

USer has not a valid license for MFA, it's a warning message to be legal from licensing side... Test FAILED
Test will continue to detect additional issue(s), Please make sure to assign a valid MFA License for the user (AD Premium, EMS or MFA standalone license

Terwijl die een E5 heeft. ZElf nog een trial voor Azure P2 los gedaan, maar geen effect... Iemand een idee?

Renegade666 schreef op donderdag 8 juni 2023 @ 15:52:
Denk niet dat kan met zulke diensten, of ze moeten S2S VPN kunnen aanbieden. Nu ben ik geen Fortigate man natuurlijk, maar ik zou het ook niet logisch vinden dat ze het wel ondersteunden.
Meraki en Watchguard kennen het ook niet.

Klopt, Forti heeft zelf geen client (OpenVPN client zie je vaak) draaien. Moet inderdaad echt een S2S zijn, maar technisch is dat niet heel spannend zou je zeggen voor de andere kant. Maar ik kan ook geen aanbieder vinden verder.

Er is natuurlijk een omweg te bedenken, rPi die de VPN maakt en dan daar het verkeer heen routeren. Maar dan gaat het verkeer sowieso vaker door de firewall dan je eigenlijk wil, maar daar moet ie dan maar tegen kunnen

Ik heb een cloud Security groep (met daarachter een Sharepoint site) waarvan ik het MS teams vinkje niet heb aangezet bij het aanmaken.

Nu krijg ik de vraag of MS Teams aankan. Voorheen was dat een knopje "convert" in admin.microsoft.com, maar dat knopje kan ik niet meer vinden.

Iemand ideeën? (voor ik de boel opnieuw moet aanmaken)

D_Jeff schreef op woensdag 14 juni 2023 @ 16:21:
Ik heb een cloud Security groep (met daarachter een Sharepoint site) waarvan ik het MS teams vinkje niet heb aangezet bij het aanmaken.

Nu krijg ik de vraag of MS Teams aankan. Voorheen was dat een knopje "convert" in admin.microsoft.com, maar dat knopje kan ik niet meer vinden.

Iemand ideeën? (voor ik de boel opnieuw moet aanmaken)

In admin portal naar SharePoint portal.
Sharepoint sites, klik op de site, dan zie je een banner.

Quad schreef op woensdag 14 juni 2023 @ 16:29:
[...]

In admin portal naar SharePoint portal.
Sharepoint sites, klik op de site, dan zie je een banner.
[Afbeelding]

Geen Teams knopje kunnen vinden in Sharepoint.

Shift + Del dan maar?

Heeft iemand ooit gezien dat bij het toevoegen van een printer het lijstje met bestaande poorten kiezen leeg is? Bij het installeren van een printer geeft hij aan dat de poort al bestaat. Maar nergens is deze poort terug te vinden...

Alle poorten, het hele lijstje met bestaande poorten is leeg. Geen LPT, COM, VUSB e.d. Ook in printermanagement is de hele lijst met bestaande poorten leeg.

De printer is een labelprinter via ethernet of USB. Bij USB installatie hangt de installer of het toewijzen aan de Virtuele USB. En bij ethernet kan de poort niet toegevoegd worden (poort bestaat al; maar is niet te zien of wijzigen).

[ Voor 43% gewijzigd door Wolf87 op 15-06-2023 13:07 ]

Wolf87 schreef op donderdag 15 juni 2023 @ 12:09:
Heeft iemand ooit gezien dat bij het toevoegen van een printer het lijstje met bestaande poorten kiezen leeg is? Bij het installeren van een printer geeft hij aan dat de poort al bestaat. Maar nergens is deze poort terug te vinden...

Spooler herstarten?

Renegade666 schreef op donderdag 15 juni 2023 @ 13:09:
[...]


Spoiler herstarten?

Dat helpt niet. Wat ik allemaal al geprobeerd heb:

- spooler herstart
- volledige reboot
- selective start met alleen windows services en geen andere programma’s die starten
- sfc en dism scans
- eventvwr uitgeplozen of daar wat uit naar voren kwam
- powershell get-wmiobject win32_tcpipprinterport failed op 1 systeem; op 2 andere systemen is deze lijst leeg
- wmi repository integrity check.
- komt op 4 systemen voor (3x win11 en 1x win10 alle intune managed);
- win10 herinstalleren gedaan en daar gaat het nu wel goed.
- printer policies op de systemen nagelopen

[ Voor 3% gewijzigd door Wolf87 op 15-06-2023 13:26 ]

Heeft er iemand ervaring met het opruimen van DNS records van afgeserveerde DC's in een AD domein? Onder de _msdcs van het domein zie ik nog wat oude records naar oude servers. Kan ik die daar gewoon klakkeloos verwijderen of moet ik nog ergens rekening mee houden?

Dacht dat scavenging het wel zou doen, maar dat is weer valse hoop

Illegal_Alien schreef op zondag 21 mei 2023 @ 12:56:
Heren en dames van het goede leven. (als het goed is. )

Ben op zoek naar een manier om handiger de status van de patch/updates van windows Servers (2012 t/m 2022) bij te houden en te heberen/starten. Nu zag ik het mooie PoshPAIG: https://devblogs.microsof...-install-windows-patches/ / https://github.com/proxb/PoshPAIG voorbij komen alleen is deze nogal hoogbejaard en werkt niet meer goed.

Al eens naar Ansible gekeken? Kan je gelijk meer automatiseren.

Drardollan schreef op vrijdag 16 juni 2023 @ 11:54:
Heeft er iemand ervaring met het opruimen van DNS records van afgeserveerde DC's in een AD domein? Onder de _msdcs van het domein zie ik nog wat oude records naar oude servers. Kan ik die daar gewoon klakkeloos verwijderen of moet ik nog ergens rekening mee houden?

Dacht dat scavenging het wel zou doen, maar dat is weer valse hoop

Als je ze verder uit je sites en services en ad hebt gegooid dan kun je die records gewoon verwijderen.

https://techcommunity.mic...roller-server/ba-p/280564

Vraag aan de exchange guru's hier.

On-premise Exchange Server 2016 omgeving bestaande uit 4 DAG exchange servers.
Nu gaat of gaan binnenkort de Exchange Delegation Federation certificaten die op de servers staan verlopen, na 5 jaar. Deze zijn waarschijnlijk met de installatie van Exchange aangemaakt?

Ik heb er nog even naar gekeken en op alle 4 staat hetzelfde certificaat gekoppeld aan de service federation.

Kan ik nu gewoon 1 nieuw certificaat genereren, deze signen door de interne CA en deze vervolgens koppelen aan de federation service op alle 4 de exchange servers?
Of ik denk ik daar mee te simpel?

Ik heb namelijk geen idee wat de overige 3 certificaten doen, deze staan gekoppeld aan de service SMTP.

Iemand trouwens wel eens gehad dat Outlook helemaal gaar en raar doet waarbij het na starten opeens onderin de statusbalk zegt 'Wachtwoord nodig', je erop klikt maar niets gebeurt of lijkt te gebeuren? Maar vervolgens is Outlook niet meer vooruit te branden. Ook een nieuw Outlook profiel maken gaf geen ander resultaat.

Pas na een reboot en het account in Windows settings 'verversen' loste het gekke gedrag op. De instellingen die eerder gereset waren, waren ook weer terug naar wat het was.

We hebben geen Exchange Online nog, maar een on-prem Exchange 2016 server.

Hero of Time schreef op donderdag 22 juni 2023 @ 19:06:
Iemand trouwens wel eens gehad dat Outlook helemaal gaar en raar doet waarbij het na starten opeens onderin de statusbalk zegt 'Wachtwoord nodig', je erop klikt maar niets gebeurt of lijkt te gebeuren? Maar vervolgens is Outlook niet meer vooruit te branden. Ook een nieuw Outlook profiel maken gaf geen ander resultaat.

Pas na een reboot en het account in Windows settings 'verversen' loste het gekke gedrag op. De instellingen die eerder gereset waren, waren ook weer terug naar wat het was.

We hebben geen Exchange Online nog, maar een on-prem Exchange 2016 server.

Heb je toevallig een mailbox in je profiel die recent is verwijderd?

_Eend_ schreef op donderdag 22 juni 2023 @ 19:42:
[...]

Heb je toevallig een mailbox in je profiel die recent is verwijderd?

Niet dat we weten. Na het hele gebeuren waren ook de extra mailboxen weer gewoon gekoppeld/zichtbaar.

sjorremans schreef op donderdag 22 juni 2023 @ 11:38:
Vraag aan de exchange guru's hier.

On-premise Exchange Server 2016 omgeving bestaande uit 4 DAG exchange servers.
Nu gaat of gaan binnenkort de Exchange Delegation Federation certificaten die op de servers staan verlopen, na 5 jaar. Deze zijn waarschijnlijk met de installatie van Exchange aangemaakt?

Ik heb er nog even naar gekeken en op alle 4 staat hetzelfde certificaat gekoppeld aan de service federation.

Kan ik nu gewoon 1 nieuw certificaat genereren, deze signen door de interne CA en deze vervolgens koppelen aan de federation service op alle 4 de exchange servers?
Of ik denk ik daar mee te simpel?

Ik heb namelijk geen idee wat de overige 3 certificaten doen, deze staan gekoppeld aan de service SMTP.

Even uit mijn hoofd, zijn dat niet self signed certificates?

Er zijn handleidingen voor het vervangen van die certificaten maar heb ze zo niet bij de hand.

Wij maken gebruik van Windows Defender icm Attack Surface Reduction rules.
Hierbij is de regel 'Block all Office applications from creating child processes' (D4F940AB-401B-4EFC-AADC-AD5F3C50688A) ingeschakeld.

Nu wordt er op een afdeling een .xlsm bestand gebruikt die een waarin door middel van een macro .pdf bestanden wordt ingelezen en verwerkt.
Dit heeft altijd gewerkt, maar sinds enkele weken werkt dit niet meer en wordt het bestand geblokkeerd door Defender.
Ik heb de map waar het .xlsm bestand staat + de map die hij uitleest al in de exclude lijst opgenomen, maar toch werkt het niet.

In de eventlog zie ik onderstaand:
Microsoft Defender Exploit Guard heeft een bewerking geblokkeerd die niet is toegestaan door uw IT-beheerder.
Neem voor meer informatie contact op met uw IT-beheerder.
ID: D4F940AB-401B-4EFC-AADC-AD5F3C50688A
Detectietijd: 2023-06-22T13:23:10.612Z
Gebruiker: *****
Pad: C:\Windows\System32\cmd.exe
Procesnaam: C:\Program Files\Microsoft Office\root\Office16\EXCEL.EXE
Doel opdrachtregel: cmd /c Dir "\\servernaam\map\submap\*.pdf" /b /a-d /on
Bovenliggende opdrachtregel: "C:\Program Files\Microsoft Office\Root\Office16\EXCEL.EXE" "Z:\submap\bestand.xlsm"
Betrokken bestand: Z:\submap\bestand.xlsm

Hier is Z: een drive mapping die naar de submap gaat.
Zowel Z:\submap als \\servernaam\map\submap heb ik in de exclusions staan.

Waarom werkt dit niet?

/edit
Wanneer ik trouwens Troubleshooting mode vanuit de portal inschakel werkt het wel ineens. Worden hiermee de regels uitgeschakeld??

[ Voor 4% gewijzigd door jordeeeh op 26-06-2023 14:35 ]

Betreft: Exchange 2016 Hybrid
Goed, na een paar dagen zoeken en proberen, meld ik me hier maar eens.

Vorig jaar onze Public Folders weg gedaan die we als algemene agenda's gebruikten. Diverse vestigingen en afdelingen wilden toch een algemene agenda behouden. De vervanger van PF's is officieel O365 Groups, maar dan krijg je ook een distributielijst, mailbox, agenda, Team, en weet ik het wat al niet meer, dat wilden we niet. Men wil echt alleen een agenda waar men afspraken/afwezigheid/vakanties e.d. in kan zetten.

Dat heb ik als volgt gedaan (denk ik)
- Een equipment mailbox gemaakt
- D.m.v. Powershell heb ik de user 'Default' de rechten 'AvailabilityOnly' gegeven op de agenda. Het Postvak IN doe ik niks mee
- D.m.v. Powershell (vermoed ik) heb ik Full Access gegeven aan een AD Security Group waar de nodige mensen lid van zijn. Op deze manier staat automapping uit zodat men het Postvak IN niet te zien krijgt. De agenda voegt men desgewenst toe vanuit de global addressbook. Als ik in Exchange Admin Center bij Mailbox Delegation kijk, dan zie ik daar de betreffende AD Security Group toegevoegd staan bij Full Access.

Werkt vlekkeloos.

Nou heb ik een verzoek liggen om weer zoiets op te zetten voor een afdeling. Maar ik kan dus helemaal nergens meer vinden hoe ik een AD Security Group aan die mailbox gekoppeld heb gekregen. Dat heb ik zeker niet in Exchange Admin Center gedaan omdat je daar alleen users toe kunt voegen (wat echt facking onhandig is) en automapping aan staat waardoor gebruikers ook het Postvak zien, wat ik niet wil.

@FastFred Je kunt alleen mail-enabled groepen toegang geven, dus niet alle security-groepen. Maar voor zover ik weet moet dat met Powershell gewoon kunnen
Add-MailboxPermission -Identity <mailbox> -User <groep> -AccessRights:FullAccess -AutoMapping $false

@FastFred weet je nog op welk systeem en met welke gebruiker je dit hebt gedaan? Dan in powershell 'get-history' uitvoeren zodat je je commando geschiedenis krijgt. Wellicht vind je het daar nog terug.

En documenteer het dan ook gelijk even.

jordeeeh schreef op maandag 26 juni 2023 @ 14:33:
[.....]Dit heeft altijd gewerkt, maar sinds enkele weken werkt dit niet meer en wordt het bestand geblokkeerd door Defender.
Ik heb de map waar het .xlsm bestand staat + de map die hij uitleest al in de exclude lijst opgenomen, maar toch werkt het niet.
[.....]

op wat voor manier heb je exclusions toegevoegd? via algemene security center, of via Intune policies bijvoorbeeld?

straaljager27 schreef op dinsdag 27 juni 2023 @ 21:13:
[...]

op wat voor manier heb je exclusions toegevoegd? via algemene security center, of via Intune policies bijvoorbeeld?

Via Group Policy.

Als ik in Powershell de volgende regels uitvoer krijg ik ook gewoon de opgegeven paden terug. Dus de exclusions worden wel goed overgenomen.
$WDAVprefs = Get-MpPreference
$WDAVprefs.AttackSurfaceReductionOnlyExclusions

Oke.. ik heb de nodige opties (ja, ook Trust Center) in MS Office 365 Outlook (april 2023) + IE Internet opties al gezien maar ik kom er even niet uit.

Pietje stuurt een mailtje (in HTML) met een plaatje naar Klaas. In dat plaatje zit een hyperlink, verwijzend naar een bestand op een sharepoint site ("eigen tenant")

KIaas wil het mailtje in Outlook doorsturen naar Jan. Jan ontvangt de mail netjes, de opmaak klopt ook, maar de hyperlink is *poof gone*

Doet Klaas hetzelfde mailtje doorsturen via de webmail (outlook.office.com) naar Jan, dan werkt alles.

Wat heb ik gemist?

Binnen Microsoft 365 heb ik een licentie laten verlopen door automatische verlenging uit te schakelen. Inmiddels is deze verlopen en wil ik hem verwijderen. Kan nergens een verwijder-optie vinden, iemand een idee?

Captain Obvious hier: Klik op de drie puntjes? (Geen idee of het werkt. )

Die licenties verdwijnen pas na 90 dagen ofzo, het is niet anders.
Je kan wel eerder, moet je wachten tot ze op uitgeschakeld komen te staan, dat is als het goed is na 30 dagen.

Dan kan je erop klikken en kiezen voor verwijderen.

[ Voor 55% gewijzigd door Quad op 14-07-2023 18:37 ]

Ik loop tegen een gek probleem aan. Bitlocker encrypt bij ons via policy's vanuit Endpoint Manager automatisch de SSD's van de clients. Dit werkt al 2 jaar probleemloos.
Nu ben ik gisteren even begonnen om op een paar systemen Fresh Start uit te voeren en worden de schijven opeens niet meer versleuteld.
In de eventlog van bitlocker op de clients komt een duidelijke foutmelding naar boven:


Het gekke is dat er niks is veranderd aan de clients of policy's en het gebeurt op 4 verschillende modellen.
Nu zie ik op internet wel oplossingen waar je met een aanpassing in het register de boel weer werkend krijgt maar dit kan niet helemaal de bedoeling zijn lijkt me.
Is iemand hier toevallig ook tegenaangelopen? En zo ja: Heb je voor mij de gouden oplossing?

Zijn de drivers wel volledig up to date voor de chipset? De MS meegeleverde versie of die uit WU hoeven niet altijd de nieuwste te zijn van Intel.

Hero of Time schreef op donderdag 20 juli 2023 @ 19:00:
Zijn de drivers wel volledig up to date voor de chipset? De MS meegeleverde versie of die uit WU hoeven niet altijd de nieuwste te zijn van Intel.

Zeker. Heb ook allerlei verschillende drivers geprobeerd.
Heb op een gegeven moment ook een verse Windows installatie gedaan ipv een refresh. Dus toe was de pc exact zoals een jaar geleden toen alles prima werkte maar ook dan gaat het mis.
Zelfst uit pure frustratie de UEFI versie van 1,5 jaar geleden terug geflashed.

[ Voor 11% gewijzigd door scartissue op 21-07-2023 08:25 ]

jordeeeh schreef op woensdag 28 juni 2023 @ 07:33:
[...]

Via Group Policy.

Als ik in Powershell de volgende regels uitvoer krijg ik ook gewoon de opgegeven paden terug. Dus de exclusions worden wel goed overgenomen.
$WDAVprefs = Get-MpPreference
$WDAVprefs.AttackSurfaceReductionOnlyExclusions

Troubleshooting mode:
kan je de rule in Audit mode zetten, GPUpdate/force eventueel reboot doen, en daarna opnieuw kijken of eventviewer hetzelfde zegt?
(audit mode: https://learn.microsoft.c...t-asr?view=o365-worldwide)

Zie je de detectie van de eventviewer, ook terug in de security.microsoft.com portal -> reports -> ASR rules? IS
Obv je powershell: heb je de exclusions correct toegepast (https://learn.microsoft.c...exclude-files-and-folders)

Z is een drivemapping die naar Submap gaat, maar Z:\Submap heb je ook?
Zie eigenlijk niks wat je fout doet

scartissue schreef op donderdag 20 juli 2023 @ 13:49:
Ik loop tegen een gek probleem aan. Bitlocker encrypt bij ons via policy's vanuit Endpoint Manager automatisch de SSD's van de clients. Dit werkt al 2 jaar probleemloos.
Nu ben ik gisteren even begonnen om op een paar systemen Fresh Start uit te voeren en worden de schijven opeens niet meer versleuteld.
In de eventlog van bitlocker op de clients komt een duidelijke foutmelding naar boven:
[Afbeelding]

Het gekke is dat er niks is veranderd aan de clients of policy's en het gebeurt op 4 verschillende modellen.
Nu zie ik op internet wel oplossingen waar je met een aanpassing in het register de boel weer werkend krijgt maar dit kan niet helemaal de bedoeling zijn lijkt me.
Is iemand hier toevallig ook tegenaangelopen? En zo ja: Heb je voor mij de gouden oplossing?

Als ik deze link lees (https://techcommunity.mic...no-error-code/m-p/2057309) heb je (mogelijk) te maken met meerdere Bitlocker policies, de gebruiker die computer voor het eerst inspoelt/inlogt.
Account waarmee je Fresh Start uitvoert, is niet geauthoriseerd om bitlocker er vanaf te halen oid?
Zie je in Intune ook nog wat errors voorbijkomen, of conflicting policies?

Hier zijn we aan het kijken naar de mogelijkheden om een wachtwoordkluis aan te bieden aan gebruikers. Wat zouden jullie aanraden? Ik kom zelf niet verder dan BitWarden (en dan de Enterprise variant) maar er zijn vast meer opties.

Eisen:

-moet redelijk gebruikersvriendelijk zijn
-SSO (liefst met Azure AD)
-bewezen veilig (duh)
-EU hosting (overheidsinstelling)

Iemand ideeen?

Arfman schreef op dinsdag 25 juli 2023 @ 08:35:
Hier zijn we aan het kijken naar de mogelijkheden om een wachtwoordkluis aan te bieden aan gebruikers. Wat zouden jullie aanraden? Ik kom zelf niet verder dan BitWarden (en dan de Enterprise variant) maar er zijn vast meer opties.

Eisen:

-moet redelijk gebruikersvriendelijk zijn
-SSO (liefst met Azure AD)
-bewezen veilig (duh)
-EU hosting (overheidsinstelling)

Iemand ideeen?

Ben erg blij met 1Password. Ze hebben ook een Business en Enterprise optie.

https://1password.com/enterprise

Ze zijn sowieso SOC2 Type 2 compliant en SSO zit er bij. Hoe zit met EU hosting weet ik niet, dat kon ik zo snel niet vinden.

Gr4mpyC3t schreef op dinsdag 25 juli 2023 @ 10:54:
[...]


Ben erg blij met 1Password. Ze hebben ook een Business en Enterprise optie.

https://1password.com/enterprise

Ze zijn sowieso SOC2 Type 2 compliant en SSO zit er bij. Hoe zit met EU hosting weet ik niet, dat kon ik zo snel niet vinden.

1password.eu voor de Europese versie. Ander domein en naar hun eigen zeggen volledig gescheiden infrastructuur

Arfman schreef op dinsdag 25 juli 2023 @ 08:35:
Hier zijn we aan het kijken naar de mogelijkheden om een wachtwoordkluis aan te bieden aan gebruikers. Wat zouden jullie aanraden? Ik kom zelf niet verder dan BitWarden (en dan de Enterprise variant) maar er zijn vast meer opties.

Eisen:

-moet redelijk gebruikersvriendelijk zijn
-SSO (liefst met Azure AD)
-bewezen veilig (duh)
-EU hosting (overheidsinstelling)

Iemand ideeen?

Team Password Manager? Alles kan je dan zelf hosten

---

@scartissue Welke Windows versie gaat het om?

straaljager27 schreef op zaterdag 22 juli 2023 @ 20:11:
Als ik deze link lees (https://techcommunity.mic...no-error-code/m-p/2057309) heb je (mogelijk) te maken met meerdere Bitlocker policies, de gebruiker die computer voor het eerst inspoelt/inlogt.
Account waarmee je Fresh Start uitvoert, is niet geauthoriseerd om bitlocker er vanaf te halen oid?
Zie je in Intune ook nog wat errors voorbijkomen, of conflicting policies?

In Intune zie ik niet veel meer dan dat het device niet aan de compliancy vereisten voldoet.
En daar vervolgens dat Bitlocker de schijf niet heeft versleuteld.
De enige nuttige info die ik kan vinden komt uit de logs van de client pc's.

D_Jeff schreef op dinsdag 25 juli 2023 @ 14:00:
@scartissue Welke Windows versie gaat het om?

Windows 10 22H2

@scartissue Zijn het heel toevallig HP machines (desktop / laptops / aio) met een 8th gen intel cpu?

Arfman schreef op dinsdag 25 juli 2023 @ 08:35:
Hier zijn we aan het kijken naar de mogelijkheden om een wachtwoordkluis aan te bieden aan gebruikers. Wat zouden jullie aanraden? Ik kom zelf niet verder dan BitWarden (en dan de Enterprise variant) maar er zijn vast meer opties.

Eisen:

-moet redelijk gebruikersvriendelijk zijn
-SSO (liefst met Azure AD)
-bewezen veilig (duh)
-EU hosting (overheidsinstelling)

Iemand ideeen?

Wij gebruiken PasswordState als on-prem oplossing. Heeft AD en SSO mogelijk. Heb niet gekeken of ze ook een hosted versie aanbieden.

D_Jeff schreef op dinsdag 25 juli 2023 @ 19:17:
@scartissue Zijn het heel toevallig HP machines (desktop / laptops / aio) met een 8th gen intel cpu?

Toevallig wel.
Is daar iets geks mee aan de hand?

scartissue schreef op dinsdag 25 juli 2023 @ 19:47:
[...]

Toevallig wel.
Is daar iets geks mee aan de hand?

Samenvatting in 1 woord: Hoofdpijn

Advies: Als je de luxe hebt -- afvoeren en nieuwer spul zoeken. (Ryzen en 10th+ intel hebben deze grappen niet)
Heb je die luxe niet, dan veel tijd gaan inplannen per machine.

Deze machines moeten echt bij zijn met alle smaken firmware (mainboard, cpu, intel stuff, tpm chip, etc, etc, etc). Fresh start en andere leuke resetknopjes uit Intune waren voor mij niet bruikbaar.

Dus naast dat de firmware volledig bij moet zijn, is het ook iedere keer format c: + tpm clear (alle opties) vanuit de bios.

Suc7

[ Voor 55% gewijzigd door D_Jeff op 25-07-2023 20:09 ]

Arfman schreef op dinsdag 25 juli 2023 @ 08:35:
Hier zijn we aan het kijken naar de mogelijkheden om een wachtwoordkluis aan te bieden aan gebruikers. Wat zouden jullie aanraden? Ik kom zelf niet verder dan BitWarden (en dan de Enterprise variant) maar er zijn vast meer opties.

Eisen:

-moet redelijk gebruikersvriendelijk zijn
-SSO (liefst met Azure AD)
-bewezen veilig (duh)
-EU hosting (overheidsinstelling)

Iemand ideeen?

Keeper voldoet aan al je eisen.

D_Jeff schreef op dinsdag 25 juli 2023 @ 19:48:
[...]

Samenvatting in 1 woord: Hoofdpijn

Advies: Als je de luxe hebt -- afvoeren en nieuwer spul zoeken. (Ryzen en 10th+ intel hebben deze grappen niet)
Heb je die luxe niet, dan veel tijd gaan inplannen per machine.

Deze machines moeten echt bij zijn met alle smaken firmware (mainboard, cpu, intel stuff, tpm chip, etc, etc, etc). Fresh start en andere leuke resetknopjes uit Intune waren voor mij niet bruikbaar.

Dus naast dat de firmware volledig bij moet zijn, is het ook iedere keer format c: + tpm clear (alle opties) vanuit de bios.

Suc7

Ik was er al een beetje bang voor... Afvoeren en nieuwe spul is helaas nog geen oplossing.
Budgetten in het onderwijs enzo...

Dan ga ik even experimenteren met het wissen van de TPM's enzo.
Firmwares zijn namelijk allemaal volledig up-to-date.
Pc's eerst ook helemaal verwijderen uit Intune. Of is dat niet nodig?

scartissue schreef op dinsdag 25 juli 2023 @ 21:15:
[...]

Pc's eerst ook helemaal verwijderen uit Intune. Of is dat niet nodig?

Dat is een kwestie van uitproberen, maar het heeft wel mijn voorkeur.

Wellicht dat @Arfman nog kan meedenken voor een plan voor vervanging?

Dank allen voor de suggesties, genoteerd en we gaan ze onderzoeken!

En .. euh .. @D_Jeff , wat heb ik met Intune en HP machines te maken?

D_Jeff schreef op dinsdag 25 juli 2023 @ 21:19:
[...]

Dat is een kwestie van uitproberen, maar het heeft wel mijn voorkeur.

Wellicht dat @Arfman nog kan meedenken voor een plan voor vervanging?

Ik heb het vandaag dan toch opgelost.
Als laatste wanhoop poging alle compliance en bitlocker policy's weggegooid en opnieuw opgezet en nu werkt het weer. Misschien toch ergens een conflicterende policy die niet als zodanig herkend werd.

Iemand toevallig een goede tip voor eenvoudig en niet al te dure patch management software? Wil vanuit mijn eigen tent wat meer aanbieden, maar heb natuurlijk geen WSUS oid overal staan. Gaat voornamelijk om Windows Updates.

Ken wel wat partijen als Kaseya, maar die zijn ofwel behoorlijk aan de prijs of wat minder veilig

ManageEngine lijkt als enige wel een optie, we hebben het over 10 tot 50 devices denk ik.

Intune is ook een optie, maar die gaat ook al snel richting de 7,50 per gebruiker per maand. Is dat het waard als het voornamelijk over patch management gaat?

Windows Update for Business is gratis bij Windows Pro devices en kan je beheren via GPO's.
Daarnaast iets als Chocolatey voor overige software?

Heeft iemand hier een tip voor?
Ik wil graag een Windows Server 2022 domain controller vervangen i.v.m. hardware defect en virtualiseren.
De nieuwe virtuele server krijgt het IP adres van de oude maar ik heb begrepen dat het in een Exchange organisatie niet best practice is om de naam ook te hergebruiken.

Helaas weet ik ook zeker dat er meerdere applicaties zijn die op hostname AD benaderen.
Is er een manier om te achterhalen vanaf welke IP adressen dit gebeurt?

Thanks!

ChrisVrolijk schreef op vrijdag 28 juli 2023 @ 15:57:
Heeft iemand hier een tip voor?
Ik wil graag een Windows Server 2022 domain controller vervangen i.v.m. hardware defect en virtualiseren.
De nieuwe virtuele server krijgt het IP adres van de oude maar ik heb begrepen dat het in een Exchange organisatie niet best practice is om de naam ook te hergebruiken.

Helaas weet ik ook zeker dat er meerdere applicaties zijn die op hostname AD benaderen.
Is er een manier om te achterhalen vanaf welke IP adressen dit gebeurt?

Thanks!

Je zou op je DNS server kunnen kijken welke IP’s allemaal een request doen voor de hostname van je DC.

Op je DC zal je er niks van zien, die ziet het verschil toch niet.

Je hebt 1 DC fysiek en die heeft nu kuren. Ok, gooi er een tweede virtuele bij, migreer alle rollen naar die virtuele en trap de fysieke de deur uit. Daarna opnieuw een tweede uitrollen die de fysieke overneemt voor wat het was.

1 DC = geen domein. Je zal er minstens 2 moeten hebben en de boel moet zo opgezet zijn dat ten alle tijden 1 van die twee uit kan vallen zonder dat de omgeving als een kaartenhuis in elkaar stort tijdens een aardbeving.

Er is dus wat meer werk dan die ene DC 'fixen'.

ChrisVrolijk schreef op vrijdag 28 juli 2023 @ 21:58:
[...]


Thanks, ik ga eens kijken of ik dat kan vinden in de logging.

Welke DNS gebruik je?
Als het iets externs is zal je het wel niet kunnen zien, maar een eigen gehoste zoals Bind, PowerDNS of CoreDNS oid kan je het wel zien, maar wss alleen via de CLI.

Wie heeft kennis van windows failover clustering
Ik heb een windows failover cluster met een file share witness
De locatie van de file share witness is weg en kan niet worden hersteld
Ik kan wel een nieuwe fileshare witness toevoegen maar zodra ik de oude wil verwijderen krijg ik de melding "The cluster resource could not be deleted since it is a core resource"

Ik heb het al geprobeerd met een down cluster, de nodes uit de resource gehaald maar nog geen succes

Iemand een suggestie?

ChrisVrolijk schreef op vrijdag 4 augustus 2023 @ 08:15:
Wie heeft kennis van windows failover clustering
Ik heb een windows failover cluster met een file share witness
De locatie van de file share witness is weg en kan niet worden hersteld
Ik kan wel een nieuwe fileshare witness toevoegen maar zodra ik de oude wil verwijderen krijg ik de melding "The cluster resource could not be deleted since it is a core resource"

Ik heb het al geprobeerd met een down cluster, de nodes uit de resource gehaald maar nog geen succes

Iemand een suggestie?

Je moet je quorum opnieuw configureren, dan kiezen voor geen witness (Do not configure a quorum witness). Dan zie je dat ie weg is. Je kan idd niet delete kiezen bij je witness.

Ik heb twee vragen voor de Fortinet experts hier. @D_Jeff en @Drardollan dacht ik weten het meeste hierover.

We hebben een FG500E draaiende op 6.4.12 (meen ik, 6.4.laatste iig) met twee VDOMs. Hierbij is vdom 'root' degene waar het internet in leeft en 'vdom1' waar het kantoor netwerk zit. Nou is 'root' de management vdom. Mede hierdoor kan ik geen SNMP doen op het management IP dat op vdom1 staat. Wat zijn de eventuele gevolgen als het het management vdom aangepast wordt van 'root' naar 'vdom1'? Het is een simpele wijziging in de webUI, maar ik heb geen idee wat voor gevolgen het eventueel heeft.

Andere vraag is hoe ik MAC adres objecten kan gebruiken in een ander vdom dan waar het betreffende apparaat zit. Ik dacht er namelijk aan om o.a. mijn laptop via een andere WAN route te laten lopen vergeleken met de rest van het kantoor. Maar dat werkt niet als ik op vdom 'root' een policy route aanmaak met als source mijn MAC adressen. Geef ik m'n IP adres op, dan werkt het.

Mijn vermoeden is omdat het verkeer reeds gerouteerd wordt van het ene naar het andere vdom, de layer 2 informatie waar het MAC adres in staat al gestript is. Want je ziet geen client MACs achter een router. Ik had echter gehoopt dat het binnen de router zelf nog wel zou bestaan, maar daar lijkt het niet op.

Ik heb geen DHCP reservering voor mijn laptop. Daar wil ik eigenlijk voor alle clients die we hebben vanaf en heb voor de firewall regels van clients naar andere VLANs MAC adres objecten in de plaats gemaakt of bezig met dit omzetten.
Nou zou het geen ramp zijn om een reservering te maken voor mijn laptop, de policy route die ik heb zal van tijdelijke aard zijn. Maar als het zonder zou kunnen, graag.

Edit:
FG type en firmware bijgewerkt. We hebben ook nog een FG600E met 7.2 en ook daar is het 'internet' vdom het management vdom, maar gaat nu voornamelijk om de 500.

[ Voor 6% gewijzigd door Hero of Time op 07-08-2023 21:06 ]

@Hero of Time Kan je voor mij het typenummer (bijv 200D) en versie erbij zetten?
FortiOS 5.x.x of 7.x.x kennen veel verschillen

thanks

[ Voor 4% gewijzigd door D_Jeff op 07-08-2023 20:56 ]

@D_Jeff post bijgewerkt.

Vdom's zijn eigenlijk bedoeld om met 1 stukje (ha-)hardware meerdere klanten te kunnen bedienen (MSP gedachte).

Wisselen van de management adom/vdom is alleen aanbevolen als je geen conflict op vlans en/of poorten hebt (levert hele vage issues op en sommige issues kunnen pas na weken pas zichtbaar worden).

2) Revisie historie kan verloren gaan (snelle backup op de gate plus makkelijk verschillen in config zien)

3) conf back up PLUS revisie back up

4) geen idee hoe goed 7.2 is, maar start anders de FortiOS vm (op bijv vmware)
Kan even een puzzel zijn om het lekker werkend te krijgen. 2 weken free trial zou voldoende moeten zijn.

Disclaimer: ik heb nog niet met 7.x gewerkt, mag niet aan de FW komen (want een systeembeheerder doet geen netwerkbeheer )

Geen idee of deze vraag te groot is voor dit topic of niet. Zo ja maak ik wel een nieuw topic is.

Het probleem is het volgende. Het domein bevat 3 DC's - 2 x 2012 en 1 x 2019. Die 2012 moeten er dus uit. Dus nieuwe VM in Azure gemaakt netjes DC promo gedaan via de bekende procedure.
Enkel nu zie ik in de Event Viewer de Event ID 1058 met onderstaande error



DC Diag geeft het volgende erros:



Na het nodige gegoogle heb ik het idee dat er ergens iets over het hoofd zie of vergeten ben.

Iemand enig idee waar ik dien te kijken of wat ik nog meer kan checken?

Gezien je issues met DFS replication en beschikbaarheid van je DC AZ-DC02

Wat is je huidige forest en domain functional level? (aangezien alles vanaf 2008 eigenlijk DFS-R zou moeten gebruiken voor DFS replication van je SYSVOL)

DNS goed geconfigureerd op je DC's? (geen external DNS)
Meerdere IP's op je DC's?
Alle IP's / DNS records geregistreerd in DNS Server bereikbaar van/naar je DC's?

Forest en domein functional level zijn 2012

IP:

DC02 10.1.1.4
DC01 10.1.1.10
DC03 10.1.1.11

DNS is al volgt:

DC02 (nieuw 2019) Pre 10.1.1.10 Sec 127.0.0.1
DC01 (oud 2019) Pre 10.1.1.11 Sec 127.0.0.1
DC03 (2012) 10.1.1.10 - 10.1.1.11 - 10.1.1.12 (12 is een oude DC die gedemote is de DC03 moet ook weg)

Wat betreft DNS in de forward lookup zones kan ik een A record vinden van alle DC's.

Van de DC02 kan ik de DC01 en DC03 en omgekeerd. Dus lijkt mij dat in orde is

[ Voor 17% gewijzigd door C_V_S op 08-08-2023 19:02 ]

D_Jeff schreef op maandag 7 augustus 2023 @ 22:49:
Vdom's zijn eigenlijk bedoeld om met 1 stukje (ha-)hardware meerdere klanten te kunnen bedienen (MSP gedachte).

Wisselen van de management adom/vdom is alleen aanbevolen als je geen conflict op vlans en/of poorten hebt (levert hele vage issues op en sommige issues kunnen pas na weken pas zichtbaar worden).

We hergebruiken geen adressen tussen de VDOMs. Neem aan dat je dat bedoelt qua conflict. Interfaces zijn duidelijk gescheiden.

2) Revisie historie kan verloren gaan (snelle backup op de gate plus makkelijk verschillen in config zien)

3) conf back up PLUS revisie back up

Config backups moeten we eigenlijk eens automatiseren en in een vcs gooien.

4) geen idee hoe goed 7.2 is, maar start anders de FortiOS vm (op bijv vmware)
Kan even een puzzel zijn om het lekker werkend te krijgen. 2 weken free trial zou voldoende moeten zijn.

De FG600 die we uiteindelijk gaan gebruiken draait 7.2, maar de FG500 draait nog 6.4. Eigenlijk zijn ze enorm overkill voor wat we doen. De load is praktisch 0.

Het werkt op zich prima zoals het nu draait, maar vond het alleen wat apart dat juist het "beheer" deel op onze internet kant zit zeg maar. Want het adres waarop we de webUI gebruiken en met ssh op kunnen inloggen zit weer in het non-management vdom.

Disclaimer: ik heb nog niet met 7.x gewerkt, mag niet aan de FW komen (want een systeembeheerder doet geen netwerkbeheer )

Heh, dan is het maar goed dat mijn functieomschrijving 'Sr. infrastructuurbeheerder' is. Hoewel, dan mag ik eigenlijk niet aan de software (zoals OS) zitten....

Hero of Time schreef op dinsdag 8 augustus 2023 @ 19:33:
[...]

We hergebruiken geen adressen tussen de VDOMs. Neem aan dat je dat bedoelt qua conflict. Interfaces zijn duidelijk gescheiden.

Nee, die bedoel ik niet. Als vdom Hans poort 1,3,4 & 6 (met eventuele verschillende vlan's) gebruikt, maar vdom grietje doet toevallig ook iets met poort 6, dan wens ik je veel succes met het tackelen van het issue heks

Config backups moeten we eigenlijk eens automatiseren en in een vcs gooien.

Revisies hebben veel minder impact als je terug moet. Config backups hebben altijd een reboot (en met een HA-cluster ben je nog vaker het bokje). Verder: Ja, eensch -- externe opslag van je configs is altijd verstandig.

Mocht je een tooling hebben die zowel revisies als configs kunnen back upen, dan hou ik mij van harte aanbevolen

De FG600 die we uiteindelijk gaan gebruiken draait 7.2, maar de FG500 draait nog 6.4. Eigenlijk zijn ze enorm overkill voor wat we doen. De load is praktisch 0.

Het werkt op zich prima zoals het nu draait, maar vond het alleen wat apart dat juist het "beheer" deel op onze internet kant zit zeg maar. Want het adres waarop we de webUI gebruiken en met ssh op kunnen inloggen zit weer in het non-management vdom.

Juist bij gebruik van adom/vdoms moet je overspeccen. Het vervelende is en blijft dat een deel van resource verbruik niet lekker zichtbaar zijn (lees: alleen via de juiste non-forti, linux based bash commando's zichtbaar).
Nog leuker wordt het zodra je ~200 users (100F single) / ~300 users (500E single) op de SSL-VPN zet plus de full suite aan extra's (dan gaat de throughput als eerste eraan, later pas je mem/cpu/ram verbruik)

Verder: De leverende partij had vast geen zin om een SSL_VPN connectie iedere keer voor een call te moeten opbouwen. Via deze keuze kan je dus een dial up IPSEC opbouwen.

Heh, dan is het maar goed dat mijn functieomschrijving 'Sr. infrastructuurbeheerder' is. Hoewel, dan mag ik eigenlijk niet aan de software (zoals OS) zitten....

Keuzes

@D_Jeff, ik snap niet wat je hiermee wilt zeggen:

Verder: De leverende partij had vast geen zin om een SSL_VPN connectie iedere keer voor een call te moeten opbouwen. Via deze keuze kan je dus een dial up IPSEC opbouwen.

Leverende partij? Connectie opzetten per call? Huh?

Maar over SSL VPN gesproken, onze huidige is uiteindelijk met Eset Secure Auth ingericht voor MFA. Maar we hebben wat issues met het krijgen van de notificatie, dat gebeurt niet altijd direct. Heb jij eens hiermee gespeeld om bijvoorbeeld de Microsoft Authenticator of via AAD/Intra de 2FA te laten lopen?

Ik kom nog wel eens partijen tegen waarbij de fortigate van vdom's voorzien wordt. Om het leven van de leverende partij een stuk makkelijker te maken zit de root/management vdom op de internet facing zijde.

Maar over SSL VPN gesproken, onze huidige is uiteindelijk met Eset Secure Auth ingericht voor MFA. Maar we hebben wat issues met het krijgen van de notificatie, dat gebeurt niet altijd direct. Heb jij eens hiermee gespeeld om bijvoorbeeld de Microsoft Authenticator of via AAD/Intra de 2FA te laten lopen?

Zelfs ooit nog een complete Azure MFA server bij een bedrijf neergezet icm Fortitokens.
Maar zelfs zonder FW maak ik het zelf mee dat de Mickeysoft push erg laat/traag is (op 4g), dus daar zal je moeten gaan testen (of proberen uit te zoeken in welke situatie het minder goed gaat)

akimosan schreef op dinsdag 8 augustus 2023 @ 15:07:
Gezien je issues met DFS replication en beschikbaarheid van je DC AZ-DC02

Wat is je huidige forest en domain functional level? (aangezien alles vanaf 2008 eigenlijk DFS-R zou moeten gebruiken voor DFS replication van je SYSVOL)

DNS goed geconfigureerd op je DC's? (geen external DNS)
Meerdere IP's op je DC's?
Alle IP's / DNS records geregistreerd in DNS Server bereikbaar van/naar je DC's?

Oke gedeelte is opgelost De SYSVOL en NETLOGON shares waren er dus niet. (Vraag mij niet waarom) zit nu enkel nog met een GPO probleem aangezien de Policies Directory ook niet bestaat.

Eens kijken hoe we dit oplossen.

D_Jeff schreef op woensdag 9 augustus 2023 @ 05:14:
[...]

Zelfs ooit nog een complete Azure MFA server bij een bedrijf neergezet icm Fortitokens.
Maar zelfs zonder FW maak ik het zelf mee dat de Mickeysoft push erg laat/traag is (op 4g), dus daar zal je moeten gaan testen (of proberen uit te zoeken in welke situatie het minder goed gaat)

Onze Eset heeft daar dus ook last van, dat de notificatie tot zelfs een half uur later komt. Als het met de MS Authenticator ook gebeurt, lijkt het er eerder op dat er bij Apple/Google wat spaak loopt, want die zijn uiteindelijk verantwoordelijk om de notificatie naar je telefoon te sturen.

Vandaag wat ingelezen op het opzetten van AAD MFA. Er zou een extentie zijn voor NPS, dat is iig goed om te lezen. Maar elders dacht ik nog eens iets te hebben gezien dat MS weer iets in die richting EOL heeft verklaard en niet meer aanbied.
Morgen maar verder lezen. En hopen dat ik niet in slaap val.

@C_V_S : DC03 (2012) 10.1.1.10 - 10.1.1.11 - 10.1.1.12

Dat laatste ip adres moet dus eigenlijk weg op DC03, die kan niet betrouwbaar gequeried worden qua DNS

Oke gedeelte is opgelost De SYSVOL en NETLOGON shares waren er dus niet.

Die snap ik niet, op welke (werkende) DC ben je daarvoor aan het kijken of deze bestaat? Op al je werkende DC's zou die share moeten bestaan en repliceren. Hij verdwijnt niet zomaar..

Wanneer je je domeinnaam queried zou je de ip adressen van alle DC's moeten terugkrijgen dus vanuit een commandprompt:

nslookup rvko.lokaal
zou de ip adressen
DC02 10.1.1.4
DC01 10.1.1.10
DC03 10.1.1.11

moeten opleveren
In Explorer (mits je als domain admin bent aangemeld)
\\rvko.lokaal\sysvol
openen zou moeten werken

Op de nieuwe DC bestonden de SYSVOL en NETLOGON share gewoon weg niet. Schijnt weleens vaker voor te komen. Reden ben ik niet ingedoken.

Enkel de replicatie werkt nog steeds niet optimaal.

Dit is er dus aan de hand:

https://www.checkyourlogs...main-controller-at-azure/

Enkel wil ik dit niet binnen office hours doen. Dus even kijken.

Hero of Time schreef op woensdag 9 augustus 2023 @ 19:17:
[...]

Onze Eset heeft daar dus ook last van, dat de notificatie tot zelfs een half uur later komt. Als het met de MS Authenticator ook gebeurt, lijkt het er eerder op dat er bij Apple/Google wat spaak loopt, want die zijn uiteindelijk verantwoordelijk om de notificatie naar je telefoon te sturen.

Vandaag wat ingelezen op het opzetten van AAD MFA. Er zou een extentie zijn voor NPS, dat is iig goed om te lezen. Maar elders dacht ik nog eens iets te hebben gezien dat MS weer iets in die richting EOL heeft verklaard en niet meer aanbied.
Morgen maar verder lezen. En hopen dat ik niet in slaap val.

Heb heel veel nps met azure extensie configuraties neergezet icm citrix netscalers. Dat notificaties laat aankomen heb ik echt nog nooit last van gehad.

@C_V_S Goed artikel maar gaat wel erg de diepte in met ADSI edit en diverse parameters om te gaan troubleshooten. In jouw geval is er ook geen site-to-site VPN gezien alle DC's in zelfde subnet zitten

Is simpelweg de nieuwe DC demoten en opnieuw te doen niet handiger?

Let ook even bij configuratie op deze richtlijnen:

https://learn.microsoft.c...roller-with-dns-installed


"During the DCPromo process, you must configure additional domain controllers to point to another domain controller that is running DNS in their domain and site, and that hosts the namespace of the domain in which the new domain controller is installed. or if using a 3rd-party DNS to a DNS server that hosts the zone for that DC's Active Directory domain. Do not configure the domain controller to utilize its own DNS service for name resolution until you have verified that both inbound and outbound Active Directory replication is functioning and up to date. Failure to do so may result in DNS "Islands".
For more information about a related topic, click the following article number to view the article in the Microsoft Knowledge Base:

275278 DNS Server becomes an island when a domain controller points to itself for the _msdcs.ForestDnsName domain"

"After you've verified that replication has completed successfully, DNS may be configured on each Domain Controller..." en lees weer vanaf daar.

Ook is 127.0.01 niet handig om toe te voegen ook niet als secundaire DNS
Als je dan het ip adres van de DC later toevoegt, gebruik dan het reguliere adres, dus 10.1.1.4

127.0.01 is het loopback adres en is dus "alle listeners", inclusief eventuele latere adapters die je misschien nog toevoegt, denk eventueel aan een netwerk adapter naar een ander VLAN of zo..
Nou, ja dat heb ik in het verleden wel eens zien mis gaan. Je wilt zeker weten dat DNS queries worden gedaan op de adapter die "luistert" en geregistreerd staat in DNS

Goed werkende netwerk topology / DNS / replicatie vooraf is "key" bij configureren en toevoegen van domain controllers

[ Voor 6% gewijzigd door akimosan op 09-08-2023 20:27 ]

Nou het probleem speelt zich dus op meerdere DC's af ben ik achter gekomen. Ook de 1 heeft nu hetzelfde probleem m.b.t. GPO's en Event 1085

Vandaar dat artikel.

Er is dus ergens "iets" in de replicatie niet helemaal lekker gegaan.

Maar met de DNS is toch niet veel te configureren? Ze moeten van elkaar weten dat ze er zijn en that it toch?

Dat is toch gebeurd?

Tylen schreef op woensdag 9 augustus 2023 @ 20:03:
[...]

Heb heel veel nps met azure extensie configuraties neergezet icm citrix netscalers. Dat notificaties laat aankomen heb ik echt nog nooit last van gehad.

Wij, IT afdeling, had ook niet eerder last van vertraagde notificaties met Eset. Maar gebruikers hadden dat nog wel eens. Wanneer ik het testte, kreeg ik vaak binnen enkele seconden de notificatie. Tot ik dus een keer ging testen en niets kreeg, pas toen ik praktisch thuis was kreeg ik ze.

M'n manager geloofde het ook niet echt. Tot hij eens thuis werkte en met VPN wilde verbinden. Toen hing hij binnen 5 minuten aan de lijn met de vraag of er issues waren. Had de services herstart die voor de notificaties zorgen en dat 'loste' het probleem op. Voor dat moment namelijk, het echte probleem was niet opgelost, want het gebeurde nog steeds af en toe.