Het grote kleine-SysOps-vragen topic deel 1

Hero of Time schreef op maandag 7 augustus 2023 @ 19:53:
Ik heb twee vragen voor de Fortinet experts hier. @D_Jeff en @Drardollan dacht ik weten het meeste hierover.

We hebben een FG500E draaiende op 6.4.12 (meen ik, 6.4.laatste iig) met twee VDOMs. Hierbij is vdom 'root' degene waar het internet in leeft en 'vdom1' waar het kantoor netwerk zit. Nou is 'root' de management vdom. Mede hierdoor kan ik geen SNMP doen op het management IP dat op vdom1 staat. Wat zijn de eventuele gevolgen als het het management vdom aangepast wordt van 'root' naar 'vdom1'? Het is een simpele wijziging in de webUI, maar ik heb geen idee wat voor gevolgen het eventueel heeft.

Andere vraag is hoe ik MAC adres objecten kan gebruiken in een ander vdom dan waar het betreffende apparaat zit. Ik dacht er namelijk aan om o.a. mijn laptop via een andere WAN route te laten lopen vergeleken met de rest van het kantoor. Maar dat werkt niet als ik op vdom 'root' een policy route aanmaak met als source mijn MAC adressen. Geef ik m'n IP adres op, dan werkt het.

Mijn vermoeden is omdat het verkeer reeds gerouteerd wordt van het ene naar het andere vdom, de layer 2 informatie waar het MAC adres in staat al gestript is. Want je ziet geen client MACs achter een router. Ik had echter gehoopt dat het binnen de router zelf nog wel zou bestaan, maar daar lijkt het niet op.

Ik heb geen DHCP reservering voor mijn laptop. Daar wil ik eigenlijk voor alle clients die we hebben vanaf en heb voor de firewall regels van clients naar andere VLANs MAC adres objecten in de plaats gemaakt of bezig met dit omzetten.
Nou zou het geen ramp zijn om een reservering te maken voor mijn laptop, de policy route die ik heb zal van tijdelijke aard zijn. Maar als het zonder zou kunnen, graag.

Edit:
FG type en firmware bijgewerkt. We hebben ook nog een FG600E met 7.2 en ook daar is het 'internet' vdom het management vdom, maar gaat nu voornamelijk om de 500.

Dartlink schreef op woensdag 9 augustus 2023 @ 20:44:
[...]

Betreffende het SNMP gedeelte, waarom kun je niet op de NPU-Vdom-Link kant SNMP aanzetten? Ervanuitgaande dat je vanuit je root vdom niet rechtstreeks benaderbaar is vanuit je normale vdom. Als je al twijfelt of je niet je management vdom moet verplaatsen, dan zou ik eerder kiezen om terug te gaan naar een single vdom. Zoals hierboven al gezegd is, wat mij betreft, de enige use case voor multi vdom een MSP scenario, met een paar kleine niche usecases.

Heb nu even geen Fortigate om het te testen, maar volgens mij kun je SNMP service gewoon aanzetten op een interface binnen je normale vdom en dan gebruik makend van je SNMP gegevens uit je root vdom. (https://community.fortine...OM-is-enabled/ta-p/194853)

Voor je routing, je zit dan al in laag 3 dus dat gaat 'm niet worden. Als het voor testdoeleinden is, gewoon een reservering + betreffende policies maken.

Oh en doe alsjeblieft even die 500E updaten naar een versie mét engineer support

Hero of Time schreef op woensdag 9 augustus 2023 @ 21:53:
[...]

Ik heb niet gekozen voor deze opzet. Dit was al zo toen ik hier kwam. En men heeft hetzelfde toegepast op de nieuwe 600E, welke is ingericht door een gespecialiseerde partij met een FG expert (van hun iig).


[...]

Voor de FG500E maak ik gebruik van een interface die in het root vdom leeft. Bij de FG600E heeft de netwerkspecialist een loopback interface gemaakt hiervoor in het root vdom. Dat werkt ook. Het is eigenlijk best bizar dat er niets over wordt gezegd in de web interface dat SNMP niet in een vdom beschikbaar/mogelijk is omdat het niet het management vdom is. Je kan het op elke interface aanzetten als je wilt. Maar zal dus niets doen als het niet in het management vdom zit.


[...]

Ja, dat moet ik dan maar gaan doen. Had gehoopt dat het zou werken, maar helaas. Ik zei al dat ik dit vermoeden had.


[...]

Huh? Versie met engineer support? Wat is dat? Wat is het verschil? De 500 gaat overigens ook op een moment weg, want nu hebben we internet -> FG600E -> FG500E -> kantoor netwerk. Mede omdat er nog een oudere internet verbinding via de FG500 loopt. Maar die verbinding zijn we aan het uitfaseren.

Hero of Time schreef op woensdag 9 augustus 2023 @ 22:19:
Ik zag op de site van FG dat 6.4 nog de laatste paar maanden updates hebben gekregen en 6.4.14 de laatste is en 6 weken geleden ofzo uitgebracht. We draaien momenteel 6.4.13.

SD-WAN gebruiken we al, op beide. Want we hebben 2 verbindingen. De 500 staat op maximize bandwidth ingesteld, waardoor beide lijnen gebruikt worden, de 600 nog op failover, als de eerste uitvalt, wordt de tweede gebruikt. Weet ook dat wanneer er NAT gebruikt wordt met IP Pools, je alsnog de andere verbinding gebruikt als dat je uitgaande adres is.

Vond het alleen jammer dat er geen regel te maken was in SD-WAN om een specifiek subnet of VLAN over een andere lijn te laten lopen. Dat moet dan weer via algemene policies gedaan worden.

C_V_S schreef op donderdag 10 augustus 2023 @ 12:07:
@akimosan Ik heb het verhaal even netjes gemaakt Onderstaand is dus het geval.

Binnen de AZ-DC02 en AZ-DC01 (beide 2019 DC's - De AZ-DC02 is de nieuwe)

The processing of Group Policy failed. Windows attempted to read the file \\domein.domein\sysvol\domein.domein\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:
a) Name Resolution/Network Connectivity to the current domain controller.
b) File Replication Service Latency (a file created on another domain controller has not replicated to the current domain controller).
c) The Distributed File System (DFS) client has been disabled.

Als je een DCDiag doet krijg je de volgende erro op de AZ-DC01 en AZ-DC02 en niet op de DC01:

Starting test: SystemLog
An error event occurred. EventID: 0x00000422
Time Generated: 08/10/2023 08:51:50
Event String:
The processing of Group Policy failed. Windows attempted to read the file \\domein.domein\sysvol\domein.domein\Policies\{31B2F340-016D-11D2-945F-00C04FB984F9}\gpt.ini from a domain controller and was not successful. Group Policy settings may not be applied until this event is resolved. This issue may be transient and could be caused by one or more of the following:

Als je naar de locatie: \\domein.domein\sysvol\domein.domein\Policies\ gaat bestaat deze niet.

\\az-dc02\SYSVOL\domein.domein\policies bestaat ook niet.

\\az-dc01\SYSVOL\domein.domein\Policies bestaat wel en is gevuld

\\dc01\SYSVOL\domein.domein\Policies bestaat wel en is gevuld

repadmin /showrepl geeft succesvol aan.

In sites and servicxes staat het ook in orde in hoeverre ik dit kan zien:

[Afbeelding]


Er gaat dus ergens iets mis met de replicatie maar hoe los ik het op. Het "adsi edit" artikel vind ik wel aardig radicaal en wil ik niet met "twee ogen" uitvoeren.

pjlgt schreef op donderdag 10 augustus 2023 @ 13:40:
[...]

Dit al geprobeerd? https://thesysadminchanne...6-2019-domain-controller/

Dartlink schreef op donderdag 10 augustus 2023 @ 07:51:
[...]

Ja precies, die updates waren voor SSLVPN CVE's

Die regels kan wel in SD WAN? Alleen wel even op de goede plek zoeken Even wat blurred out, maar je snapt vast het idee

[Afbeelding]

Hero of Time schreef op donderdag 10 augustus 2023 @ 19:40:
[...]

Gelijk op kantoor getest. De regel die er was, gelaten voor wat het was en mijn eigen IP er boven gezet. Wisselde tussen providers. Leek leuk, tot ik op een portal na een pageview opnieuw moest inloggen, want sessie verlopen. En een refresh weer, en weer, en....

Ging mij er om dat bijvoorbeeld vlan 10 via wan1 gaat en wan2 als backup en vlan 20 andersom. Dat kon ik niet zo heel goed vinden.

Dartlink schreef op donderdag 10 augustus 2023 @ 19:46:
[...]

Klinkt alsof je een interface selection criteria niet goed hebt gezet, of beide lijnen in je performance SLA even goed zijn. Probeer het eens met manual

Dit is een inrichting die wij standaard doen, bedrijfsvoering primair over een low latency fiber, en gasten primair over een VDSL lijntje ofzo. Mocht één van de twee uitvallen, dan gaat alles wel over de ander.

[Afbeelding]

Interface preference is dus van top naar bottom.

Hero of Time schreef op donderdag 10 augustus 2023 @ 20:06:
[...]

Ik had 'm op de onderste optie staan en de SD-WAN zone opgegeven. Met beide lijnen van glas levert dat idd een mooie round-robin verbinding op.

De regel die onze netwerkpartij had gemaakt was 'Manual'. Die kan ik ook pakken natuurlijk, maar was bang dat de interface selectie alfabetisch zou zijn. Dat had ik niet geprobeerd en zal ik morgen testen. Maar pas nadat ik telefonie op een ander vlan heb gegooid.

Hero of Time schreef op maandag 7 augustus 2023 @ 19:53:
Ik heb twee vragen voor de Fortinet experts hier. @D_Jeff en @Drardollan dacht ik weten het meeste hierover.

Hero of Time schreef op vrijdag 11 augustus 2023 @ 20:52:
Super vaag en wazig ding vandaag. Vanochtend zoals gepland direct op de switches de poorten die voor voip gebruikt worden aangepast naar een ander vlan. PoE even uit en weer aan zodat de telefoons herstarten en een nieuw IP krijgen.

Dat leek allemaal vlekkeloos te gaan. Mijn toestel had ik al een week in dat vlan, geen problemen er mee, ging gelijk goed. Maar een 40-tal anderen op kantoor die hetzelfde type zijn, weigeren op alle manieren om het nieuwe adres te krijgen die bij het vlan hoort. Prik ik er een netwerk tester aan om info op te halen wat er op de switch staat ingesteld, dan zie ik m'n nieuwe voice netwerk. De configuratie aan die kant is dus goed. IP opvragen ook, gaat goed. Ander merk of type toestel aansluiten, gaat goed. Pak ik het toestel wat weigert en hang ik die aan de kabel waar een ander merk stond en goed werkte, krijgt 'ie alsnog het adres van het oude netwerk. Kan er ook gewoon mee bellen en alles. Terwijl het dus in een ander vlan zit.

Zelfs het oude vlan van de switch verwijdert en voor de zekerheid zelfs vlan 1 van de uplink af gehaald zodat er echt helemaal niets van het oude netwerk op die switch zou moeten kunnen komen, blijft het toestel tóch het oude adres krijgen. En werkt.

Hang ik het toestel aan een poort met ons user vlan erop, krijgt 'ie een adres uit het user netwerk. Dus het is geen vast adres dat erop staat ofzo. Sluit ik 'm dan aan op een andere switch waar het nieuwe voice netwerk op staat, weer het oude adres. Pas ik de poort zelf aan naar een ander netwerk, reboot de telefoon, adres uit dat netwerk.

Heb dus zo'n beetje alles wat je kan bedenken gedaan, maar niets zorgt ervoor dat dit specifieke type, want het is niet 1 toestel, maar wel allemaal hetzelfde merk en type, in het nieuwe netwerk wil zitten. Enige wat ik niet heb gedaan is de switches herstart, want dan gooi ik er nogal wat mensen uit.

Echt, what the actual?

Duinkonijn schreef op zaterdag 12 augustus 2023 @ 14:31:
[...]

Wat voor switch heb je? Indien cisco “no span” op de poort

Misschien arp tabel opschonen?

Hero of Time schreef op zaterdag 12 augustus 2023 @ 20:33:
[...]

We hebben Aruba 2930F switches. ARP tabel dacht ik ook nog even aan. Maar gezien het wijzigen van vlan op een poort naar iets anders dan het oude of nieuwe voip vlan wel het gewenste adres gaf, achtte ik dat niet direct een probleem. Ook omdat het gedrag bij het toestel bleef, verbinden aan een andere switch gaf hetzelfde resultaat.

Meest bizarre was nog dat ik twee toestellen met de hand had herstart vanaf het toestel zelf die eerst in orde waren, omdat de tijd niet klopte. Via dhcp gaf ik ook een NTP server mee om de ingestelde te overrulen. Dat werkte iig voor de mijne. Die twee die ik dus herstartte hadden het juiste IP adres uit het nieuwe vlan. Maar na reboot niet meer en hadden ze weer hun oude adres. Meerdere keren herstarten maakte geen verschil.

D_Jeff schreef op zondag 13 augustus 2023 @ 12:15:
@Dartlink hee, nog iemand die handig is met Fortigate

Voor 6.4 geld, qua support, dat je op de laatste versie moet zitten (Tenzij je een uitdaging hebt die op de open issue lijst staat -- zie de release notes daarvoor)
Verder eens: 6.4 heeft niet het eeuwige leven

Duinkonijn schreef op zondag 13 augustus 2023 @ 11:59:
[...]

Als je de telefoons factory reset?

Hero of Time schreef op zondag 13 augustus 2023 @ 13:04:
[...]

Geen zin om iets van 40 telefoons compleet opnieuw te configureren zonder de infra om ze te bootstrappen. Dus nope, gaat niet gebeuren, ga ik ook niet testen. Dan koopt men maar nieuwere toestellen dan de antieke Polycom IP320's die zitten te bokken.

Duinkonijn schreef op zondag 13 augustus 2023 @ 13:51:
[...]

Configuratie pushen via cli?

Hero of Time schreef op zondag 13 augustus 2023 @ 13:54:
[...]

Welke cli? Waarheen? Die antieke dingen doen config ophalen met tftp wat in de dhcp wordt opgegeven als next server. Ik ga geen hele infra daarvoor bouwen, heb wel wat beters te doen.

Mijn probleem is dat die dingen niet het juiste adres krijgen en zelfs als het netwerk waar ze in zaten niet meer op een switch bestaat, toch nog hun werk kunnen doen. Dat wil ik kunnen verklaren.

"He, deze server doet gek, waarom zou dat zijn?" Oplossing: herinstalleer dat ding. Nee, dat lost het dan wel op, maar geeft geen antwoord waarom het zo raar deed en bied ook geen oplossing voor wanneer het weer de kop op steekt.

[ Voor 5% gewijzigd door Duinkonijn op 13-08-2023 14:01 ]

Hero of Time schreef op zondag 13 augustus 2023 @ 15:14:
@Vorkie, als ik 'show running' doe, dan zie ik van iig 1 switch niet meer het oude voice vlan staan, ook niet op de trunk poorten die uplink hebben naar andere switches (de core switch in dit geval). Ik heb nog specifiek op vlan 1, wat we niet gebruiken, de uplink poorten uitgesloten. Er zijn alleen tagged vlans op de uplink.

Op de Aruba switches die wij hebben heb ik iig niet de opties 'access vlan' of 'native vlan' gezien. Dus de termen die je noemt bestaan er niet. Ik ken ze wel van oudere HP switches, waarbij je kan opgeven of het trunk of access moet zijn oid.

Een apparaat zou niet zelf iets als vrrp moeten kunnen toepassen, dat moet dan van een ander ding af komen, zoals een radius server om adhv rules een vlan toe te kennen aan een apparaat. Maar ook dit zie ik niet in de config of running state.

Morgenochtend ga ik de switch waarvan ik het vlan heb verwijdert herstarten en kijken wat dat doet voor die toestellen.

ChrisVrolijk schreef op woensdag 16 augustus 2023 @ 15:45:
Iemand met SQL kennis in deze groep?

Ik heb 2 terminal servers.

Als ik op terminal server A SQL management studio start en connect met servernaam\instancenaam ben ik verbonden met de database.

Als ik op terminal server B SQL management studio start en connect met servernaam\instancenaam krijg ik een foutmelding. Als ik na de instance naam een ,poortno zet waar de server op luistert krijg ik wel verbinding.

ik concludeer hier uit dat het geen firewall issue maar dat er in de management studio een configuratie parameter is waarmee je kan aangeven dat hij niet het default poortnummer 1433 gebruikt maar een ander poort nummer.

Helaas kan ik deze optie alleen vinden aan de SQL server kant maar niet aan de kant van de management studio (client).

Iemand een tip?

nextware schreef op woensdag 16 augustus 2023 @ 15:53:
[...]


Ik zou toch kijken naar een firewall optie op Terminal B..
Staat Named Pipes wel aan voor "ALL" ipv een direct IP-adres ?

Renegade666 schreef op woensdag 16 augustus 2023 @ 16:36:
Staat op de sql server de sql browser service in de firewall als applicatie? Als dat niet zo is geeft dat ook wazig issues

Duinkonijn schreef op donderdag 17 augustus 2023 @ 11:20:
nieuws: Microsoft brengt patch voor Exchange Server opnieuw uit na eerdere er...

Zijn hier mensen die hun Exchange non-english draaien?

nextware schreef op donderdag 17 augustus 2023 @ 14:43:
[...]


Telt een (ineens) Nederlandstalige webomgeving van Exchange Online ook ?

[ Voor 9% gewijzigd door Duinkonijn op 17-08-2023 18:20 ]

C_V_S schreef op woensdag 9 augustus 2023 @ 19:30:
Op de nieuwe DC bestonden de SYSVOL en NETLOGON share gewoon weg niet. Schijnt weleens vaker voor te komen. Reden ben ik niet ingedoken.

Enkel de replicatie werkt nog steeds niet optimaal.

Dit is er dus aan de hand:

https://www.checkyourlogs...main-controller-at-azure/

Enkel wil ik dit niet binnen office hours doen. Dus even kijken.

[ Voor 14% gewijzigd door straaljager27 op 18-08-2023 22:48 ]

1

get-adcomputer -filter * -properties lastlogondate -searchbase "CN=Computers,DC=onsdomein,DC=nl" | sort-object lastlogondate | format-table name, lastlogondate

[ Voor 14% gewijzigd door FastFred op 25-08-2023 09:28 ]

1

get-adcomputer -filter * -properties lastlogondate -searchbase "OU=Computers Vestiging X,DC=onsdomein,DC=nl" | sort-object lastlogondate | format-table name, lastlogondate

1
2
3
4
5
6
7
8

$ouDN = "OU=Computers,OU=Vestiging X,DC=contoso,DC=com"
Import-Module ActiveDirectory

$computers = Get-ADComputer -Filter * -SearchBase $ouDN -Properties lastLogonDate |
             Sort-Object lastLogonDate |
             Select-Object Name, lastLogonDate

$computers | Export-Csv -Path "ComputerLastLogon.csv" -NoTypeInformation

[ Voor 34% gewijzigd door NeoAtomic op 25-08-2023 09:49 ]

1

get-adcomputer -filter * -properties lastlogondate -searchbase "OU=Werkstations Rotterdam,DC=onsdomein,DC=nl" | sort-object lastlogondate | format-table name, lastlogondate

get-adcomputer : Directory object not found
At line:1 char:1
+ get-adcomputer -filter * -properties lastlogondate -searchbase "OU=We ...
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : ObjectNotFound: ( [Get-ADComputer], ADIdentityNotFoundException
+ FullyQualifiedErrorId : ActiveDirectoryCmdlet:Microsoft.ActiveDirectory.Management.ADIdentityNotFoundException,M
icrosoft.ActiveDirectory.Management.Commands.GetADComputer

[ Voor 3% gewijzigd door FastFred op 25-08-2023 09:51 ]

[ Voor 13% gewijzigd door FastFred op 25-08-2023 11:44 ]

FastFred schreef op vrijdag 25 augustus 2023 @ 11:42:
Ik ben er net achter dat ook OU's waar geen spatie in zit, maar die 1 of meer niveau's dieper in de tree zitten ook niet gaan....

Die OU 'Computers', die wel werkt, zit rechtstreeks onder onsdomein.nl in AD. Maar alle sub OU's, met of zonder spaties in de naam, kan ik niet benaderen met Powershell.

1

get-adcomputer -filter * -properties lastlogondate -searchbase "CN=bedrijfsnaam,CN=System,CN=T520,DC=domein,DC=nl" | sort-object lastlogondate | format-table name, lastlogondate

[ Voor 44% gewijzigd door FastFred op 25-08-2023 12:01 ]

FastFred schreef op vrijdag 25 augustus 2023 @ 11:51:
@NeoAtomic Ja ook, maar inmiddels er ook achter dat er verschil zit tussen OU en CN....

[..]

Bovenstaand werkt dus ook niet

1
2
3
4
5

domein.nl
- T520
- - System
- - - bedrijfsnaam
- - - - "Computer van Pietje$"

FastFred schreef op vrijdag 25 augustus 2023 @ 11:51:
@NeoAtomic Ja ook, maar inmiddels er ook achter dat er verschil zit tussen OU en CN....

ik heb dus als test een nieuwe OU gemaakt in de root, geen spaties in de naam, met wat computers erin. Maar uitlezen doet ie dan alleen met 'OU=' en niet met 'CN='. Daar zaaide ChatGPT ook wat onduidelijkheid omdat ik overal CN= tegen kwam op internet en ChatGPT het telkens over OU= had en die zelf na een tijdje ook door elkaar haalde.

code:

1	get-adcomputer -filter * -properties lastlogondate -searchbase "CN=bedrijfsnaam,CN=System,CN=T520,DC=domein,DC=nl" | sort-object lastlogondate | format-table name, lastlogondate

Bovenstaand werkt dus ook niet, express een aantal OU's gepakt waar geen spaties in voor kwamen, OU= ook gewisseld voor CN=, maar werkt ook niet. Ik krijg telkens terug 'Object not found'

Goed, het is 12:00, weekend. @NeoAtomic nee werkt niet, ik krijg het alleen werkend als het in de root van de AD tree staat. Alles daaronder wil niet.

1

Get-ADComputer -Filter * -Properties lastlogondate -SearchBase "OU=Test Servers,OU=Windows 2016 Server,OU=Servers,DC=bedrijfnaam,DC=local" | sort-object lastlogondate | format-table name, lastlogondate

[ Voor 57% gewijzigd door FastFred op 28-08-2023 09:02 ]

FastFred schreef op maandag 28 augustus 2023 @ 08:53:
Jep, de hele OU tree in omgekeerde volgorde zetten dus Behalve het domein dan, wat een logica....

Straks moet de export nog naar csv.export\documents\admin-fastfred\users\C:

1

DC=domein,DC=local,OU=hoofdmap,OU=1esubmap,OU=2esubmap.....

[ Voor 4% gewijzigd door FastFred op 28-08-2023 09:30 ]

FastFred schreef op maandag 28 augustus 2023 @ 09:27:
Dit is voor mij de eerste keer dat ik iets met Powershell in Active Directory doe, dus voor mij is dit nieuw en (in mijn ogen) totaal niet logisch.

Logisch zou zijn

code:

1	DC=domein,DC=local,OU=hoofdmap,OU=1esubmap,OU=2esubmap.....

Paul schreef op maandag 28 augustus 2023 @ 09:34:
Dit is niet iets van PoSH, dit is iets van het AD (of LDAP), het werkt al decennia andersom. Nooit een searchBase oid in hoeven vullen als je AD authenticatie regelt in een applicatie?

Ik vind andersom juist wel handig, je begint meteen met de relevante delen, de stukken die het meest veranderen. *alles* zit in domein.local (brr, ik hoop dat het niet echt "local" is...), die 1e map zal voor heel veel ook hetzelfde zijn, wanneer komt er iets nuttigs? etc. Het omschrijft niet "Hoe moet ik er komen", maar "welk object is het".

FastFred schreef op maandag 28 augustus 2023 @ 09:27:
Dit is voor mij de eerste keer dat ik iets met Powershell in Active Directory doe, dus voor mij is dit nieuw en (in mijn ogen) totaal niet logisch.

Logisch zou zijn

code:

1	DC=domein,DC=local,OU=hoofdmap,OU=1esubmap,OU=2esubmap.....

Oogje schreef op maandag 28 augustus 2023 @ 10:58:
[...]

Je gaat toch ook niet naar net.tweakers.gathering AD is DNS based dus die structuur is dan een logisch gevolg?

Moet alleen nog iets vinden om computer certificaten eenvoudiger te krijgen uit ADCS met Linux. Met Windows is dat ingebakken zeg maar, voor MacOS is er een .mobileconfig te maken, maar voor Linux is er een speciale openssl config nodig die je moet gebruiken voor een csr en die dan aan je CA voeren. Dat vernieuwd ook niet automatisch.

[ Voor 8% gewijzigd door Andre_J op 28-08-2023 11:45 ]

Gr4mpyC3t schreef op maandag 28 augustus 2023 @ 11:42:
Niet in de browser, maar de browser op de achtergrond toch wel?

FastFred schreef op maandag 28 augustus 2023 @ 09:27:
Dit is voor mij de eerste keer dat ik iets met Powershell in Active Directory doe, dus voor mij is dit nieuw en (in mijn ogen) totaal niet logisch.

Logisch zou zijn

code:

1	DC=domein,DC=local,OU=hoofdmap,OU=1esubmap,OU=2esubmap.....

Oogje schreef op maandag 28 augustus 2023 @ 10:58:
[...]

Je gaat toch ook niet naar net.tweakers.gathering AD is DNS based dus die structuur is dan een logisch gevolg?

Andre_J schreef op maandag 28 augustus 2023 @ 11:44:
@Hero of Time

uit : https://gathering.tweakers.net/forum/view_message/76316798

[...]

Heb jij een handleiding(kje) voor dat openssl config ding ?

ps: ben sinds 2 weken volledig over op Linux desktop (zakelijk) (vanaf mac) ; een verademing

Hero of Time schreef op maandag 28 augustus 2023 @ 19:44:
[...]

Ik vond de info destijds met Google/DDG. Kan het nu niet zo snel vinden. Moest een speciaal OID opgeven in openssl.cnf wat staat voor de userprincipalname van het computeraccount. Het is dus wel vereist dat je systeem bij AD is aangemeld, anders kan je geen computer certificaat uit de CA krijgen, want het object bestaat niet (of bij Radius authenticeren voor 802.1x).

Andre_J schreef op maandag 28 augustus 2023 @ 19:53:
[...]


Ik ga wel eens kijken, ad object heb ik al aangemaakt.

ChrisVrolijk schreef op zondag 8 oktober 2023 @ 18:06:
Iemand die hier een idee voor heeft?

Ik heb diverse exports van server machines. Exports uit vcenter, cmdb, sccm etc.
Ik ben op zoek naar een manier om te te controleren of deze exports nog allemaal gelijk lopen.
Momenteel is dit handwerk voor mijn collega's

Dank

ChrisVrolijk schreef op zondag 8 oktober 2023 @ 18:06:
Iemand die hier een idee voor heeft?

Ik heb diverse exports van server machines. Exports uit vcenter, cmdb, sccm etc.
Ik ben op zoek naar een manier om te te controleren of deze exports nog allemaal gelijk lopen.
Momenteel is dit handwerk voor mijn collega's

Dank

L0g0ff schreef op maandag 9 oktober 2023 @ 06:51:
[...]

Kies een systeem die de "waarheid" bevat. Automatiseer dan met een invoke-webrequest de export van de namen van de verschillende systemen en doe een diff met de waarheid.

Dat kan allemaal in 1 loop.

ChrisVrolijk schreef op maandag 9 oktober 2023 @ 08:09:
[...]


Helaas heb ik geen enkel systeem dat momenteel waarheid bevat.
Daarom wil ik graag de crosscheck uitvoeren. Om je een voorbeeld te geven.
Een export van de CMDB kan voorkomen in de lijst met fysieke en in de lijst met virtuele machines. Een export van vcenter is niet 100% te matchen met active directory ivm non domain joined servers.

L0g0ff schreef op maandag 9 oktober 2023 @ 08:18:
[...]


Ik wist dat je hierop terug zou komen. Maar het is toch niet erg dat 1 systeem nog niet de gehele waarheid bevat. Dat gaat uit je diff komen. Je end goal is dat alles moet kloppen.

Daarnaast kun je met variabelen werken. Dus als je weet dat een systeem virtueel is dan hoef je dus alleen de virtuele lijst te checken.

Gebruik dus je cmdb als waarheid en zorg dat je daar iets van een attribuut of tag hebt die je mee kunt nemen in je compare met de andere systemen.

ChrisVrolijk schreef op maandag 9 oktober 2023 @ 09:38:
[...]


OK, ik ga kijken wat ik voor elkaar kan krijgen met Powershell.

Drardollan schreef op donderdag 12 oktober 2023 @ 13:09:
Wellicht dat iemand een idee heeft of ik dit kan oplossen binnen 365:

Voor diverse klanten heb ik een eigen admin account, account is niet voorzien van een licentie en gebruik ik voor beheerdoeleinden. Nu heb ik een klant waar ik de data naar SharePoint wil gaan verhuizen vanaf een lokale NAS. Ik heb uiteraard geen rechten richting SharePoint, maar dit is wel typisch een beheertaak. Is er iemand bekend met een omweg waarbij dit zonder licentie wel kan of zit er niets anders op dan een (tijdelijke) licentie aan te schaffen of heel smerig een gebruikersaccount te misbruiken van iemand anders?

Renegade666 schreef op donderdag 12 oktober 2023 @ 13:15:
[...]


Als je jezelf (of de nu eigenaar) als eigenaar van de site instelt, zou je daar bij kunnen komen. volgens mij hoef geen licentie om daar bij te kunnen komen.
Is misschien een beetje afhankelijk wat je moet doen. En anders een Business Basic voor 6 euro er aanhangen.

Drardollan schreef op donderdag 12 oktober 2023 @ 13:27:
[...]

Het zou gaan om inrichten van de omgeving, ik krijg nu (uiteraard) de melding dat ik geen toegang heb. Ik zal eens proberen wat er gebeurd als ik mijzelf eigenaar van een site maak, dat heb ik nog niet gedaan volgens mij.

Licentie kan altijd, maar enerzijds vind ik dat krankzinnig en anderzijds zonde geld. Het is misschien maar een paar euro, die paar euro geef ik liever uit aan een kop koffie. Kan ik ook niet aan mijn klanten verkopen dat ze voor mij een licentie moeten betalen terwijl ik mogelijk maar 1 of 2 keer per jaar zal gaan kijken in SharePoint.

Blokker_1999 schreef op zondag 15 oktober 2023 @ 10:48:
Even vragen of hier iemand al eens goede documentatie is tegengekomen over hoe je vanuit Windows een geautomatiseerde verse installatie van Windows kunt starten. Bij mijn vorige werkgever heb ik het zien gebeuren via SCCM, maar dat hebben we bij mijn huidige werkgever niet in gebruik en het doel is dat we na de herinstallatie net alles via Intune (en Autopilot) gaan doen.

D_Jeff schreef op dinsdag 24 oktober 2023 @ 20:55:
Wat is de maximale mailbox grote van 1 (persoonlijke) mailbox @ Exchange online?
Als een mailbox te rekken valt naar meer opslag via combinaties van licenties, dan hoor ik die truc ook graag.

Renegade666 schreef op dinsdag 24 oktober 2023 @ 21:04:
[...]


Met een exhange plan 1 is dat 50gb. Exhange plan 2 is 100gb.

Deze zitten in andere licenties. Maar je kunt ze los aan vinken.
Dus als je business basic hebt met p1, kun je p2 koppelen en dan heb je 100gb.
Je kunt ook een archief anmaken geloof ik,maar heb ik nog nooit gedaan, en dan kun je ook een lading kwijt.

Danielson schreef op woensdag 25 oktober 2023 @ 10:29:
Ik zit even met een "kleine" uitdaging die lastiger is dan gedacht; Wij draaien zakelijk Windows 10 21H2 en nu stappen we over van de default browser Chrome naar Edge.

Alleen heb ik tijdens de initële uitrol een XML gepusht met de Startmenu en Taskbar layout, dat werkt allemaal prima, maar deze wordt alleen toegepast tijdens het aanmaken van de User.

Nu wil ik de gepinde icons van Chrome vervangen voor Edge, maar dat lijkt toch lastiger dan gedacht, ik heb al heel wat Powershell script getest, maar allemaal zonder resultaat, deze lijken alleen te werken met oudere builds van Windows 10.

Iemand de gouden tip?