Het grote kleine-SysOps-vragen topic deel 1

Verwacht je dat de Dymo software dat ding op magische wijze zelf gaat zien of heb je de printer met een tcp/ip poort handmatig op het betreffende systeem toegevoegd, danwel via een centrale printserver? Want als er lokaal geen printer bekend is, gaat de software ook geen klap vinden. Daar is het te dom voor, eventuele detectie stop zodra je naar een ander subnet gaat.

@Blokker_1999 Wat bedoel je met “MCC” ?
Voor WSUS is het nodig dat je clients via 8530 of 8531 erbij moeten kunnen.

D_Jeff schreef op dinsdag 25 november 2025 @ 19:50:
Ik ben met een Dymo labelprinter (550 Turbo, met netwerk en usb) + Dymo Connect v1.5 op netwerkgebied een beetje aan het testen, maar kom niet verder.

Situatie 1
Subnet en Vlan gelijk aan desktops
10.0.200.100/24, Vlan200
Dymo printer wordt gevonden en werkt

Situatie 2
Subnet en Vlan verschillend aan desktops
Desktops: 10.0.200.100/24, Vlan200
Dymo Printer: 10.0.300.100/24, Vlan300
FW-policies staan ICMP, printverkeer, dns, http en https toe tussen vlan200 en vlan300
Printer wordt niet gevonden, ook niet na 10 mins

HP en Canon printers hebben nergens last van bij gebruik situatie 2.

Heeft iemand dit werkend gekregen?

Hoe voeg je hem toe?
Heb met dymo altijd weinig problemen.
Printer normaal via windows print beheer installeren, juiste driver selecteren en klaar.
ook als ze in een ander vlan zitten.
Ik gebruik de software van Dymo niet om de printer te installeren.

Hero of Time schreef op dinsdag 25 november 2025 @ 20:27:
Verwacht je dat de Dymo software dat ding op magische wijze zelf gaat zien of heb je de printer met een tcp/ip poort handmatig op het betreffende systeem toegevoegd, danwel via een centrale printserver? Want als er lokaal geen printer bekend is, gaat de software ook geen klap vinden. Daar is het te dom voor, eventuele detectie stop zodra je naar een ander subnet gaat.

De Dymo connect software heeft een netwerk printer wizard en doet een discovery om die dingen te vinden. Binnen hetzelfde subnet en vlan werkt dat als een tierelier. Ander vlan en subnet kan je erg lang naar dat discovery venster blijven staren

D_Jeff schreef op dinsdag 25 november 2025 @ 20:55:
[...]

De Dymo connect software heeft een netwerk printer wizard en doet een discovery om die dingen te vinden. Binnen hetzelfde subnet en vlan werkt dat als een tierelier. Ander vlan en subnet kan je erg lang naar dat discovery venster blijven staren

Dat is hetzelfde als die vervloekte duivelse uitvinden die HP, Canon, Epson e.d. toepassen met WSD**** poorten. Zoals gezegd, dat gaat niet door een router/firewall heen. Je zal dus echt handmatig de printer zelf moeten toevoegen, die software is compleet ongeschikt. Het is voor de simpele consument, in een zakelijke omgeving wil je dit soort bagger niet.

@hieronder:
SNMP eventueel en anders detectie negeren en gewoon dom voeren. De software moet niet nadenken of het ding er is of niet, dat doet de printserver wel.

[ Voor 10% gewijzigd door Hero of Time op 25-11-2025 21:01 ]

Renegade666 schreef op dinsdag 25 november 2025 @ 20:47:
[...]


Hoe voeg je hem toe?
Heb met dymo altijd weinig problemen.
Printer normaal via windows print beheer installeren, juiste driver selecteren en klaar.
ook als ze in een ander vlan zitten.
Ik gebruik de software van Dymo niet om de printer te installeren.

Via de printserver truck (Windows Server 2022) blijft de dymo connect software aangeven dat de printer offline is.

Maar dan ben ik even benieuwd hoe jij het wel doet?

D_Jeff schreef op dinsdag 25 november 2025 @ 21:00:
[...]

Via de printserver truck (Windows Server 2022) blijft de dymo connect software aangeven dat de printer offline is.

Maar dan ben ik even benieuwd hoe jij het wel doet?

Snmp wel open in de firewall?

Renegade666 schreef op dinsdag 25 november 2025 @ 21:05:
[...]

Snmp wel open in de firewall?

Ga ik checken, kom ik op terug
Dank zover

@D_Jeff Een printserver is niet persé een Windows printserver. De hardware/software in combinatie met een netwerkkaart in een printer (RJ45) noemen we ook een printserver.
Of zo'n los kastje wat vervolgens met USB aangesloten wordt aan een printer, dat heet ook al een printserver.
Dus een printer met WLAN / Ethernet capabilities heeft over het algemeen een ingebouwde printserver.

In principe kun je een printer die normaal TCP/IP kletst meestal wel bereiken op TCP port 9100 en dan maak je gewoon een TCP/IP printerpoort aan op je werkstation.
Windows ziet dat dan gewoon als een "lokale" printer, alleen in plaats van naar USB poort stuurt hij het naar een ip adres . Een Windows printserver met point-to-point printing gebruik je over het algemeen in een Active Directory situatie waarbij je je queues en printerinstellingen makkelijker centraal kunt beheren, maar het hoeft niet.
Verder wel eens met wat anderen zeggen: vermijd dit soort discovery/broadcast dingen en voeg de printer "lokaal" via TCP/IP poort toe op het werkstation of zet er een Windows printserver tussen en voeg daar de printer(s) "lokaal" toe en deel ze vervolgens.
Netwerkprinters geef je een fixed ip adres (via DHCP) en bij voorkeur plaats je ze inderdaad in een apart VLAN met firewall zodat gebruikers niet op de webinterface(s) gaan proberen in te loggen en klooien..

In onze (HPE) omgeving gebruiken we de tool Directories Support for Proliant Management Processors om onze ilo5- en 6-firmware in bulk bij te werken. Dit werkt perfect. Maar nu hebben we een aantal ILO7-servers en de tool lijkt dit niet te ondersteunen. Voor zover ik weet is er ook geen nieuwere versie van de tool. We gebruiken versie 6.1.0.

Kent iemand een andere tool waarmee we de ilo-firmware voor ilo5/6/7 in bulk kunnen bijwerken? Ik heb alleen een tool nodig om ilo-firmware-updates uit te voeren. De rest wordt via andere manieren gedaan.

@Aschtra, wat gebruik je voor de overige firmware dan? En waarom kan die geen iLO doen?

Ik heb eerder dit jaar onze HP OneView server uitgefaseerd. Het heeft schijnbaar een licentie nodig, maar het kan best veel doen voor je HP servers. Ik heb er echter niet verder naar gekeken wat het allemaal precies kan en weet dus niet of het iLO firmware kan bijwerken.

Hero of Time schreef op donderdag 27 november 2025 @ 18:57:
@Aschtra, wat gebruik je voor de overige firmware dan? En waarom kan die geen iLO doen?

Ik heb eerder dit jaar onze HP OneView server uitgefaseerd. Het heeft schijnbaar een licentie nodig, maar het kan best veel doen voor je HP servers. Ik heb er echter niet verder naar gekeken wat het allemaal precies kan en weet dus niet of het iLO firmware kan bijwerken.

We gebruiken OneView, voor al onze fysieke servers (~280 en komt alleen maar bij). Maar wat ik altijd deed vóór onze SPP-update ronde is alvast alle ILO's in bulk updaten. Dat scheelde zo'n 10minuten per server dan wanneer OneView de SPP-update deed mét ilo update erbij. Vond ik een enorme quick win want met de proliant tool uploadde ik de iLO versie en liet ik hem een half uurtje pruttelen en het was gedaan. Nu ga ik dat nog steeds doen voor ilo5/6. Maar ik wil uiteindelijk ook wat hebben voor iLO7. Daar volgende week 18 servers van.

We hebben ook iLO Amplifier ergens draaien, misschien dat dat ook iets kan doen. Laatste keer dat ik erin keek was die niet volledig in ieder geval met al onze hosts.

Ik denk dat ik er wat voor ga scripten uiteindelijk. Gezien ik de SPP (firmware en OS drivers) en ESXi updates al volledig heb geautomatiseerd pleur ik dat er ook nog wel bij en trap dat een paar dagen ervoor af.

Ben eigenlijk wel benieuwd naar de reden dat je OneView eruit heb gedaan. Wij gebruiken het vrij summier denk ik voor wat het allemaal kan.
Wij hebben al onze fysieke servers erin, diverse server profile templates met onze BIOS instellingen, en aan de servers is een server profile gekoppeld. Ohja HPe krijgt ook meldingen ervan als er iets is met een server.
Moet er niet aan denken in onze omgeving de SPP-updates te doen zonder OneView.

edit;

https://www.postman.com/j...update-for-ilo-fw-upgrade

Ziet eruit als 5min scriptwerk bouwen in Ansible en wat testjes draaien.
De webserver hebben we al. En sinds afgelopen weekend met https want iLO7 mount geen iso's van een url zonder https

[ Voor 21% gewijzigd door Aschtra op 27-11-2025 20:39 ]

We hebben maar 10 servers, 5x gen9 en 5x gen10. Onze MSP is verantwoordelijk voor de updates. OneView gaf aan een licentie nodig te hebben. Het was ooit neergezet door iemand, geen enkele (interne) documentatie, als ik bij iLO inlogde stond er altijd dat het door OV werd beheerd (prima, maar dan moet het wel nut hebben).

Dus voor die paar machines deed ik zelf wel de SPP via de virtual drive laden en opstarten. Althans, de ene keer dat ik zelf de firmware ging bijwerken van een machine.

Ik gebruik een RMM pakket voor Windows Update beheer, ook de upgrades binnen Windows 11 (van 23h2 naar 24h2 bijvoorbeeld). Nu heb ik nog een 100-tal machines die de update niet eens te zien krijgen. Het pakket installeert alleen wat vanuit Windows Update aangeboden wordt.

De bekende keys heb ik gecontroleerd, waar ik geen fouten zie

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TargetVersionUpgradeExperienceIndicators\GE25H2

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Iemand een idee waarom sommige computers de update gewoon niet willen ontvangen. Het is allemaal diverse hardware op 21h2, 22h2 en 23h2. Het overgrote deel van alle beheerde computers kan wel de update ontvangen

MS heeft grote updates beperkt voor installatie als er software of drivers voor bepaalde hardware gedetecteerd is die voor problemen zorgen. Kijk dus even of er niet nog wat verouderde software of drivers zijn. Zeker als je systemen hebt met dezelfde hardware en eentje wel de update heeft en een andere niet krijgt aangeboden.

Ook even kijken of tpm en secure boot op juiste settings staan, dat wilt updates ook wel eens blocken.
Of gewoon unsupported pc, waar de windows11 update gewoon installeert als je de iso download maar daarna updates geen zin hebben.

D_Jeff schreef op dinsdag 25 november 2025 @ 21:07:
[...]

Ga ik checken, kom ik op terug
Dank zover

Misschien een stomme vraag, maar heeft de dymo wel een gateway ingesteld?

Je had icmp openstaan in firewall, kan je het ip van de dymo wel pingen?

Ik ervaar sinds een tijdje, zo nu en dan, vage issues op mijn thuisnetwerk. Met name op mijn Samsung S25 FE. Ik weet niet zo goed meer waar ik het moet zoeken.
Wat ik ervaar: sommige apps, bijvoorbeeld PostNL, Untappd, willen niet of heel moeizaam laden. Microsoft Authenticator heeft ook problemen: wel een popup maar met geen mogelijkheid gaat het akkoord terug naar de servers.
Ik dacht eerst aan AdGuard Home, maar als ik die uitzet ervaar ik het nog steeds. Zelfs als ik de DNS servers van de wifi aanpas (op de Samsung, verwezen naar modem en Cloudflare) ervaar ik het.
Iets met routering dan? IPv6? Ik heb een KPN dsl verbinding. Ik heb IPv6 op het modem (nog) niet uitgeschakeld, maar ik kan mij ook niet zo goed voorstellen dat het issue hier in zit want immers ervaar ik het alleen op míjn smartphone.

De wifi loopt via Unif, maar kan ook niet zo goed bedenken wat daar nog aan issue in kan zitten. Mijn vrouw maakt gebruik van hetzelfde netwerk en zegt niets te merken, maar gebruikt ook niet dezelfde apps.

Iemand nog een goed idee om mijn in een andere richting te sturen?

Na het schrijven van dit hele relaas had ik nog een ingeving: ik heb een werkprofiel waarin o.a. Defender draait met een VPN verbinding. Dit zou niet voor het persoonlijke profiel moeten gelden maar het lijkt wel een trigger te zijn oid. Even in de gaten houden. Helaas, dat is het ook niet.

Als ik een caputre in PCAPdroid start, werkt het gelijk weer een tijdje. Raar.

[ Voor 16% gewijzigd door Beekforel op 02-01-2026 15:26 ]

@Beekforel Ik heb zoiets ook weleens gehad en toen bleek de MTU size niet juist ingesteld, kan je redelijk eenvoudig checken: https://www.comparitech.c...mine-mtu-size-using-ping/

Ik heb precies dezelfde issues gehad met MTU sizing, vooral homeassistant had het daar moeilijk mee bij mij. Na heel veel iperf trial and error is het toch gelukt om het goed te zetten. Mss heb je veel package loss nu.

Toevallig hier iemand ervaring met het Chinese WeCom? Ik kreeg vandaag de vraag of er integratie bestaat met andere identity providers, bijv SAML of OAuth, maar omdat het Chinees is, en WeCom zelf ook weer als idp gebruikt kan worden is het verdomd moeilijk om betrouwbare info te vinden.

Nog een leuke, ik ben er blijkbaar in geslaagd om in Active Directory een groep toe te voegen als lid van zichzelf. Ik krijg alleen niet uitgevist hoe ik dat gedaan heb. Iemand die weet hoe je zoiets zelfs maar kunt doen? Want ADUC staat het al niet toe.

Blokker_1999 schreef op maandag 12 januari 2026 @ 10:54:
Nog een leuke, ik ben er blijkbaar in geslaagd om in Active Directory een groep toe te voegen als lid van zichzelf. Ik krijg alleen niet uitgevist hoe ik dat gedaan heb. Iemand die weet hoe je zoiets zelfs maar kunt doen? Want ADUC staat het al niet toe.

Wellicht iets te creatief met Powershell ?

Net group?

PowerShell staat het inderdaad toe



Kan me alleen niet herinneren wat ik 2 weken terug handmatig heb uitgevoerd waarmee ik dit veroorzaakt zou kunnen hebben.

Gewoon script gedownload en gerund?

Duinkonijn schreef op maandag 12 januari 2026 @ 15:13:
Gewoon script gedownload en gerund?

Chatgpt scriptje?

Hmm, net even naar onze conditional access policies aan het kijken in Entra en ik zie dat MS 2 nieuwe policies heeft toegevoegd. "Block legacy authentication" en "Phishing-resistant multifactor authentication for admins". Van die eerste had ik al een vermoeden vanwege de uitfasering van oude protocollen zoals IMAP en SMTP. Blijkbaar wil MS dat dus met een door hen beheerde policy dichtzetten. Maar die tweede is volledig nieuw voor mij. Is iemand daar meer informatie over tegengekomen, zoals de tijdlijn hiervoor?

Iemand hier met ervaring in het migreren van print servers met behoud van de oude naam zodat je printers niet hoeft te remappen?

Afgelopen weekend een migratie gedaan van onze printserver.
Export - Import printers
Haal oude server uit AD en verwijder het AD object

Op de nieuwe server:
netdom computername s25-print /add:srv2016-print
netdom computername s25-print /add:srv2016-print.fqdn.nl
ipconfig /registerdns
setspn -l s25-print
Registered ServicePrincipalNames for CN=S25-PRINT,OU=Servers,OU=Systemen,DC=fqdn,DC=nl:
TERMSRV/SRV2016-PRINT
TERMSRV/srv2016-print.fqdn.nl
WSMAN/SRV2016-PRINT
WSMAN/srv2016-print.fqdn.nl
RestrictedKrbHost/SRV2016-PRINT
HOST/SRV2016-PRINT
RestrictedKrbHost/srv2016-print.fqdn.nl
HOST/srv2016-print.fqdn.nl
TERMSRV/S25-PRINT
TERMSRV/S25-Print.fqdn.nl
WSMAN/S25-Print
WSMAN/S25-Print.fqdn.nl
RestrictedKrbHost/S25-PRINT
HOST/S25-PRINT
RestrictedKrbHost/S25-Print.fqdn.nl
HOST/S25-Print.fqdn.nl

Dit lijkt dus allemaal goed te zijn gegaan.

reg add HKLM\SYSTEM\CurrentControlSet\Control\Print /v DnsOnWire /t REG_DWORD /d 1 voor printen op DNS naam gevolgd door een herstart print server.

Vervolgens zelf ingelogd en getest, geen problemen ondervonden, collega laten testen ook geen problemen. Succesvolle migratie denk je dan. Maandagochtend veel collega's die niet kunnen printen, totale willekeur voor mijn gevoel.

Als ik printers wil toevoegen krijg ik een foutmelding: 0x000003eb
Als ik de driver Lexmark Universal V2 XL vervang voor Lexmark XXXX Series class driver werkt de printer weer. Maar om dit voor alle printers te doen heeft niet mijn voorkeur. Ook de nieuwste universal driver doet het niet. Mijn vermoeden is iets met print nightmare omdat type 3 drivers niet werken maar type 4 drivers wel.

Edit 1:
Onze labelprinters (Brother en Zebra) werken wel correct en maken ook gebruik van type 3 drivers. Dus dan zou het iets met de Lexmarks zijn die wij gebruiken

Edit 2:
Uiteindelijk overgestapt op de universal v4 driver van Lexmark en dat heeft het voor ons opgelost. Al weet ik nog niet goed wat er uiteindelijk mis is gegaan.

[ Voor 7% gewijzigd door Neles7 op 27-01-2026 13:14 ]

In mijn ervaring hoefde je alleen een domain join te doen en de Import te draaien.

Neles7 schreef op maandag 26 januari 2026 @ 12:12:
Iemand hier met ervaring in het migreren van print servers met behoud van de oude naam zodat je printers niet hoeft te remappen?

Afgelopen weekend een migratie gedaan van onze printserver.
Export - Import printers
Haal oude server uit AD en verwijder het AD object

Op de nieuwe server:
netdom computername s25-print /add:srv2016-print
netdom computername s25-print /add:srv2016-print.fqdn.nl
ipconfig /registerdns
setspn -l s25-print
Registered ServicePrincipalNames for CN=S25-PRINT,OU=Servers,OU=Systemen,DC=fqdn,DC=nl:
TERMSRV/SRV2016-PRINT
TERMSRV/srv2016-print.fqdn.nl
WSMAN/SRV2016-PRINT
WSMAN/srv2016-print.fqdn.nl
RestrictedKrbHost/SRV2016-PRINT
HOST/SRV2016-PRINT
RestrictedKrbHost/srv2016-print.fqdn.nl
HOST/srv2016-print.fqdn.nl
TERMSRV/S25-PRINT
TERMSRV/S25-Print.fqdn.nl
WSMAN/S25-Print
WSMAN/S25-Print.fqdn.nl
RestrictedKrbHost/S25-PRINT
HOST/S25-PRINT
RestrictedKrbHost/S25-Print.fqdn.nl
HOST/S25-Print.fqdn.nl
Dit lijkt dus allemaal goed te zijn gegaan.

reg add HKLM\SYSTEM\CurrentControlSet\Control\Print /v DnsOnWire /t REG_DWORD /d 1 voor printen op DNS naam gevolgd door een herstart print server.

Vervolgens zelf ingelogd en getest, geen problemen ondervonden, collega laten testen ook geen problemen. Succesvolle migratie denk je dan. Maandagochtend veel collega's die niet kunnen printen, totale willekeur voor mijn gevoel.

Als ik printers wil toevoegen krijg ik een foutmelding: 0x000003eb
Als ik de driver Lexmark Universal V2 XL vervang voor Lexmark XXXX Series class driver werkt de printer weer. Maar om dit voor alle printers te doen heeft niet mijn voorkeur. Ook de nieuwste universal driver doet het niet. Mijn vermoeden is iets met print nightmare omdat type 3 drivers niet werken maar type 4 drivers wel.

Edit 1:
Onze labelprinters (Brother en Zebra) werken wel correct en maken ook gebruik van type 3 drivers. Dus dan zou het iets met de lexmarks zijn die wij gebruiken

Ik zou het gewoon met een GPO gedaan hebben.
Dus export > import printers
alle share dingen na kijken,
gpo met printers verwijderen > nieuwe toevoegen
done

Renegade666 schreef op maandag 26 januari 2026 @ 17:22:
[...]


Ik zou het gewoon met een GPO gedaan hebben.
Dus export > import printers
alle share dingen na kijken,
gpo met printers verwijderen > nieuwe toevoegen
done

Helaas hebben wij een geweldig TMS pakket wat absoluut rampzalig is met printers. Dan zou iedereen daar alsnog alles handmatig moeten aanpassen en dat wilde ik voorkomen. Voor nu heb ik het opgelost met type 4 universal drivers, maar snap nog ff niet waar het mis gaat. Lijkt iets specifieks met type 3 lexmark drivers vooralsnog...

Neles7 schreef op maandag 26 januari 2026 @ 21:16:
[...]

Helaas hebben wij een geweldig TMS pakket wat absoluut rampzalig is met printers. Dan zou iedereen daar alsnog alles handmatig moeten aanpassen en dat wilde ik voorkomen. Voor nu heb ik het opgelost met type 4 universal drivers, maar snap nog ff niet waar het mis gaat. Lijkt iets specifieks met type 3 lexmark drivers vooralsnog...

Hmm Lexmark..

Heb een klant met 5 Lexmark printers, allemaal de zelfde via usb. Elke pc had een andere drivers, anders werkt het niet. Wat prutprinters zijn dat.

Mijn ervaring is compleet het tegenovergestelde. Ik werk nu 12 jaar met lexmark printers en dit is de eerste keer dat ik driver issues heb. Altijd gewoon de standaard universal XL driver gedraaid. En ook de slijtage is bij ons relatief laag. Onze hoogvolume printers doen ~35k afdrukken per maand zonder problemen.

Maar zo zal iedereen wel goede en slechte ervaringen hebben met een bepaald merk

Neles7 schreef op maandag 26 januari 2026 @ 21:40:
Mijn ervaring is compleet het tegenovergestelde. Ik werk nu 12 jaar met lexmark printers en dit is de eerste keer dat ik driver issues heb. Altijd gewoon de standaard universal XL driver gedraaid. En ook de slijtage is bij ons relatief laag. Onze hoogvolume printers doen ~35k afdrukken per maand zonder problemen.

Maar zo zal iedereen wel goede en slechte ervaringen hebben met een bepaald merk

Dat klopt, maar het beste is, geen printers wordt het level een stuk beter van

Renegade666 schreef op dinsdag 27 januari 2026 @ 07:47:
[...]


Dat klopt, maar het beste is, geen printers wordt het level een stuk beter van

Dat zou inderdaad de ideale wereld zijn.

Korte vraag, ik wil voor intern gebruik graag iets met SSL certificaten gaan doen. Ik gebruik een .local domein dus een officieel certificaat gaat hem niet worden. Hoeft ook niet, ik ben tevreden met een self-signed iets. Het doel is die vervelende unsafe meldingen in de browser voorkomen bij het beheer van dingen als de firewall, switches, HPE iLO en dergelijken.

Hoe doen jullie dat? Ik kan met wat openssl commando's wel een CA + wildcard genereren die tot 2025 geldig is. Als ik die CA dan op een of andere manier via Intune mijn machines in kan duwen dan ben ik klaar toch? Of gebruik jullie allerlei gave tooling om per device iets te genereren?

@Drardollan wij hebben een interne microsoft ca, maar dat kan ook gewoon een linux/of andere openssl ca zijn natuurlijk.
En daarna de ca via intune (en/of gpo) uitrollen op je devices.

Of misschien een cloud pki van microsoft ?

Let erop dat als je iOS gebruikt, het clientcertificaat niet langer dan 825 dagen geldig mag zijn. Anders accepteert bijv. Safari het niet.

Het rootcertificaat mag wel veel langer geldig zijn. Zo heb ik het in m'n homelab ook, werkt prima met een scriptje. Daar gebruik ik NginxProxyManager zodat ik maar op één plek een certificaat hoef in te laden.

[ Voor 24% gewijzigd door ThinkPad op 03-02-2026 16:33 ]

Ja browsers gaan ook steeds meer richting kortere periodes.
Net trouwens even getest en huidige Safari op macos kan ik nogsteeds een site bezoeken met self signed die pas in 2034 afloopt.
(en chrome en edge op een pc ook gewoon)

[ Voor 12% gewijzigd door DDX op 03-02-2026 16:43 ]

Een hele eigen CA inrichten zit ik niet op te wachten, wil juist minder servers Cloud PKI had ik wel gekeken, maar zit niet in de business premium en is vooral bedoeld voor Intune beheerde apparaten. En daar hoef ik behalve de CA niet zoveel op te hebben, het uiteindelijke certificaat gaat juist op de onbeheerde kleine apparaten.

iOS gebruik ik niet voor beheer, enkel Windows icm Firefox. Maar dat is wel een goede om op te letten, want juist deze interne devices zijn ook niet te automatiseren met bijvoorbeeld ACME (anders zou ik die nog zelf kunnen draaien wellicht). Maar om nou elk jaar al die flut devices te voorzien van een nieuw certificaat is ook nogal wat...

Naja hele ca kan ook gewoon een linux servertje zijn waar je via openssl certs uitgeeft via commandline. (of windows desnoods, maar ik ben met openssl meer van linux)
Heel moeilijk hoeft het niet te zijn.

DDX schreef op dinsdag 3 februari 2026 @ 16:59:
Naja hele ca kan ook gewoon een linux servertje zijn waar je via openssl certs uitgeeft via commandline. (of windows desnoods, maar ik ben met openssl meer van linux)
Heel moeilijk hoeft het niet te zijn.

Dat was ook mijn gedachte. Even met een openssl commando een root CA en wildcard maken die tot 2050 geldig zijn. Root cert importeren in de laptop en de wildcard op de diverse apparaten. Dan hoef ik het maar 1x te doen tot mijn pensioen

Linux servertjes heb ik zat, dus dat mag geen issue zijn.

Drardollan schreef op dinsdag 3 februari 2026 @ 16:49:
Een hele eigen CA inrichten zit ik niet op te wachten, wil juist minder servers

Certificate Services is een hele lichte service. Kan best "erbij" op een andere machine als het je om gemak gaat en je niet te druk maakt over best practices voor een CA.

downtime schreef op dinsdag 3 februari 2026 @ 17:35:
[...]

Certificate Services is een hele lichte service. Kan best "erbij" op een andere machine als het je om gemak gaat en je niet te druk maakt over best practices voor een CA.

ehh.. nee. Zoiets essentieels als een CA zet je op een eigen server, ook al is het "licht" - dit moet je goed hardenen en dat gaat vaak niet samen met andere services..

Volgens mij is best practice zelfs, een offline root CA en een online subordinate CA. Maar pin me daar niet op vast.

[ Voor 11% gewijzigd door Grvy op 03-02-2026 17:45 ]

Grvy schreef op dinsdag 3 februari 2026 @ 17:44:
[...]


ehh.. nee. Zoiets essentieels als een CA zet je op een eigen server, ook al is het "licht" - dit moet je goed hardenen en dat gaat vaak niet samen met andere services..

Volgens mij is best practice zelfs, een offline root CA en een online subordinate CA. Maar pin me daar niet op vast.

I know. Ik zei dan ook uitdrukkelijk, "als het je om gemak gaat en je niet te druk maakt over best practices voor een CA."

Hij wil gewoon van die certificaat meldingen in de browser af.

Ik zou overwegen met powershell self-signed certificaten te bakken (1 per device) en de publieke delen dan distribueren naar de beheerdersmachines. Zolang het niet al teveel devices zijn, lijkt me dat prima schaalbaar (zelf geen ervaring met certdistributie via intune). Makkelijk te scripten, geen dependencies, enkel een vertrouwde server waar de private keys even op staan. Je moet de certificaten toch handmatig in de devices zetten neem ik aan? De bron van de certs zal dan weinig uitmaken.

Het is wel makkelijker 1x een root cert te distribueren dan iedere keer dat er een managementinterface bij komt overal een nieuw cert in de store te zetten. Het maken en installeren van het cert verandert niet, maar een self-signed cert moet je niet alleen op het device zetten maar ook op je beheersmachines -> meer werk.

Er zijn meer voordelen (zoals kunnen revoken) maar in zo'n kleinschalige installatie zul je daar niet echt gebruik van maken lijkt me.

Ik heb ook een vraagje over certificaten. We hebben een Remote Desktop Gateway server waar we onze wildcard op hebben staan. De server is echter niet van buiten bereikbaar, het is alleen voor derde partijen waar wij mee samenwerken en een VPN tunnel mee hebben. Ik zou onze interne CA hiervoor gebruiken, maar dan weigert de RDP client de verbinding omdat die het certificaat wil valideren. Gaat natuurlijk niet lukken met een interne CA en externe partijen.

Met het oog op het binnenkort verkorten van de geldigheidsduur moeten we hier toch wel iets mee voor automatisering. Welke opties heb ik om een geldig extern certificaat hierop te krijgen zonder de server via internet bereikbaar te hebben?

Zijn hier mensen die de Defender and Purview suites addon for Business Premium inzetten?
Het biedt als add-on een hele scala aan extra mogelijkheden (https://m365maps.com/file...-for-Business-Premium.htm)
Meeste zijn E5 of als losse add-on beschikbaar, maar gecombineerd dus een scherpe deal.


Nu is het een klein beetje tricky, zo bevat sensitivitylabels niet de mogelijkheid om administrative units te gebruiken. Maar goed wel geautomatiseerd labelen, zowel realtime als 'at-rest' in OneDrive/SP. Uitgebreid DLP, Sign in risk detections, meer mogelijkheden qua anti-spam en impersonation als phishingsimulaties.

Ik kom het alleen nog niet zoveel tegen in het wild. Terwijl het wel een toegevoegde waarde biedt en dat voor ~ 12,- per user /maand.

Drardollan schreef op dinsdag 3 februari 2026 @ 20:14:
[...]

Waarom al die moeite doen voor wat interne zut? Niemand zal het ding ooit zien, behalve ikzelf.

Nou... ik snap deze mindset dus niet. Weet je wat er kan gebeuren als men (op welke manier dan ook) bij je CA kan komen? Dan is Domain Admin rechten niet heel veel verder indien niet goed opgezet.

En ja, dat zal in jouw ogen wel weer overdreven zijn en weet ik het wat allemaal. Been there, done that. Seen it in the wild.

Grvy schreef op woensdag 4 februari 2026 @ 09:31:
[...]


Nou... ik snap deze mindset dus niet. Weet je wat er kan gebeuren als men (op welke manier dan ook) bij je CA kan komen? Dan is Domain Admin rechten niet heel veel verder indien niet goed opgezet.

En ja, dat zal in jouw ogen wel weer overdreven zijn en weet ik het wat allemaal. Been there, done that. Seen it in the wild.

Dan zal de hacker eerst een domein moeten optuigen

Volgende week vrijdag is het klaar, dan gaat het huidige domein door het gootsteenputje. Inclusief alle software en delen van de hardware.

De mindset is dus, ik heb zo min mogelijk in de kantooromgeving draaien. Nagenoeg alles zit in de (private) cloud. Ik denk niet dat het veel zin heeft een heel domein op te gaan tuigen voor een paar self-signed certificates die op wat interne spullen als de overgebleven iLO's en switches moet komen te staan.

Had de hoop dat iemand een of ander fancy en simpel tooltje had om via een GUI de openssl commando's af te vuren en een beetje overzicht te creëren. Maar dat lijkt er dus, op een full blown oplossing met een MS CA server of Intune PKI Cloud niet te zijn. Dus dat wordt ouderwets typen en de commando's documenteren, want over 2 jaar weet ik echt niet meer wat ik exact getypt heb.

[ Voor 25% gewijzigd door Drardollan op 04-02-2026 09:48 ]

Een simpel tooltje is er in powershell: New-SelfSignedCertificate .
- Certificaten maken op een windows bak
- Certificaten exporteren en ergens veilig wegzetten (in een passwordvault)
- Certificaten van de windows bak verwijderen
- Publieke delen distribueren naar de beheermachines (in een classic AD kan dat vast geautomatiseerd met powershell (scriptje draaien om een cert aan een GPO toe te voegen))
- Publiek+private delen configureren in de devices

Geen CA of domein nodig. Enkel de juiste fqdn's in de certificaten zetten, de certificaten distribueren voor de trust.

UUDIBUUDI schreef op woensdag 4 februari 2026 @ 10:18:
Een simpel tooltje is er in powershell: New-SelfSignedCertificate .
- Certificaten maken op een windows bak
- Certificaten exporteren en ergens veilig wegzetten (in een passwordvault)
- Certificaten van de windows bak verwijderen
- Publieke delen distribueren naar de beheermachines (in een classic AD kan dat vast geautomatiseerd met powershell (scriptje draaien om een cert aan een GPO toe te voegen))
- Publiek+private delen configureren in de devices

Geen CA of domein nodig. Enkel de juiste fqdn's in de certificaten zetten, de certificaten distribueren voor de trust.

Bij voorkeur wel met 1 enkel root/CA certificaat, dat maakt de distributie een stuk leuker. Maar dat zal ongetwijfeld zowel met powershell als met openssl kunnen (ik prefeer de openssl variant).

Iets als step-ca maakt het wat simpeler (https://smallstep.com/doc...ate-authority-operations/) maar aan de andere kant kun je dat ook met een paar Bash-scriptjes of zo regelen; geef twee bestandsnamen op, een CN, eventueel wat SAN's, en in je scriptje zet jeen alle andere bende

Blokker_1999 schreef op woensdag 4 februari 2026 @ 10:19:
[...]

Je moet er eigenlijk niets mee. De verkorting van de levensduur heeft enkel invloed op webbrowsers. Je kan perfect een geldig publiek meerjarencertificaat aanvragen en gebruiken (als je CA dat wenst te leveren) voor gebruik met bijvoorbeeld een RDS oplossing. Als de sessie evenwel vanop een web gateway in de browser wordt gestart moet je wel even zorgen dat die webserver dat goed doet, maar dat is ook geen probleem.

Ah, dat is dan puur afhankelijk van Xolphin natuurlijk. De externe partijen gebruiken direct de RDP client en stellen de gateway in, dus geen web of wat dan ook van toepassing.

Maar als je CA het ACME protocol ondersteund, dan kan je ook gewoon gebruik maken van ACME en bijvoorbeeld Posh-ACME icm Posh-ACME.Deploy PowerShell modules, de eerste kan het certificaat aanvragen en vernieuwen terwijl de tweede in staat is om het in te stellen op IIS alsook RDS services.

Dat zal MS vast niet in Server 2019 hebben zitten en misschien in 2025. Maar of we met de nieuwe server versie nog een interne AD CA gaan gebruiken weet ik niet zeker. Ergens wel, want ons wifi werkt er mee en dat gaat als Intune mee werkt prima. Maar ik zou dat ook met een andere radius oplossing dan NPS kunnen doen natuurlijk waardoor ik niet het gezeik van strong mapping zal hebben.

Maar bedenk wel dat als je een externe CA gebruikt met ACME, dat die CA ofwel de server op poort 80 moet kunnen bereiken voor validatie via http-01, danwel zal je automatisatie in staat moeten zijn om je publieke DNS te benaderen via een API om de tijdelijke DNS records voor validatie op te zetten.

Precies, dat ding is intern en blijft intern. We hebben al een HAProxy in het DMZ staan voor de paar dingetjes die wel extern bereikbaar zijn (en kunnen we dus ook prima ACME mee doen).

Microsoft heeft zelfs in 2025 geen ACME, en het lijkt er niet op dat ze dat nog gaan toevoegen. Ik heb zelf een ACME proxy opgezet intern die eigenlijk na verificatie de aanvraag voor het certificaat doorzet naar AD CS. Werkt op zich wel goed.

Ik zit met een raar iets wat denk ik heel makkelijk op te lossen is.

Voor mijn werk gebruiken we PDQ Deploy om software te installeren etc naar nieuwe pc's. Voor 1 van de programma's die wij moeten uitrollen is het belangrijk dat dit uitgerold wordt als de gebruikers zelf. Deze gebruikers hebben uiteraard geen local admin of iets dus mijn idee was om deze tijdelijk toe te kennen en dan de stappen uit te voeren om daarna deze rechten weer weg te halen. Nu ben ik zover dat ik een aantal stappen heb waarmee de ingelogde gebruiker opgehaald wordt (Dit uitrollen gebeurt alleen bij ons zelf en niet bij de eindgebruiker) en deze wordt ook opgeslagen. Daarna gebruik ik een powershell script om deze variable op te halen en om deze dan als admin toe te voegen. Op dit laatste gaat het echter mis.

Zodra ik deze stap bereik lijkt het erop dat deze variable ook goed gevuld wordt echter bij de stap om deze in de administrator groep te zetten krijg ik onderstaande error.Zet ik deze gebruiker nu hardcoded erin werkt het uiteraard wel zonder problemen. Heeft iemand een idee wat dit probleem zou kunnen zijn? Dit moet een heel simpel iets zijn maar ik ben nu al 2 dagen me erop stuk aan het kijken.

Het script wat ik uitvoer is als volgt:

Gevalletje string interpolatie?
Probeer eens

Of anders misschien het feit dat je een domein mee moet geven voor de user? Anders zoekt 'ie 'm ook lokaal op de laptop en ik gok dat je wel met een domein werkt

ElCondor schreef op woensdag 11 februari 2026 @ 08:46:
Gevalletje string interpolatie?
Probeer eens

PowerShell:

1 2 3 4

"$($VarUser)" of helemaal zonder quotes: -Member $VarUser

kraats schreef op woensdag 11 februari 2026 @ 09:26:
Of anders misschien het feit dat je een domein mee moet geven voor de user? Anders zoekt 'ie 'm ook lokaal op de laptop en ik gok dat je wel met een domein werkt

Dank hiervoor. Ik heb het idd met bovenste oplossing opgelost. Het domein had ik overigens erbij staan. Het was puur een dikke vinger type fout.

Vorig jaar hadden we 1 submap van een afdelingsschijf gemigreerd naar Sharepoint. Voor elke eerste map van de afdelingen hebben we security groepen voor toegang (RO/RW). Toen we de eerste map migreerden waren de rechten gelijk gezet op de bestemming in Sharepoint.

Nou ben ik vandaag begonnen om de rest te doen, maar de rechten komen niet mee. Met de eerste die ik deed vandaag, stonden dezelfde groepen op als op de reeds gemigreerde map. Dat heb ik moeten corrigeren. Ook de tweede map had niet de juiste groepen erop staan.

Nou is er een optie om rechten mee te nemen, maar dat werkt niet. Want op de share zelf staat een Domain Local groep gedefinieerd en gebruikers zitten in een Global groep die daar weer lid van is. Ik sync met de AAD/Entra connector alleen de Global groepen.

Hoe kan ik direct met de sync/migratie de juiste groepen toegang geven zonder dit per map handmatig te doen?

@Hero of Time
Volgens mij kun je in de migratie job rechten mee nemen, of met conversie doen met een groep die in entra staat.
Heb het zo even niet voor mij, dus weet niet zeker.

Conversie zou dan user mapping via csv zijn, waarbij je 3 velden hebt: lokale groep, cloud/entra groep en boolean of het een groep is. Ik weet echter niet meer of we dat toen gebruikt hebben.

Is er iemand hier die toevallig (Gigaset) Maxwell 3 Pro toestellen in beheer heeft? Ik ben op zoek naar een recente firmware (alles boven 2.25.6 eigenlijk) maar de firmwares lijken nergens meer te vinden te zijn

Misschien heeft iemand hem hier nog op een verdwaalde usb stick of netwerkschijfje?

Drardollan schreef op vrijdag 3 april 2026 @ 08:41:
Is er iemand hier die toevallig (Gigaset) Maxwell 3 Pro toestellen in beheer heeft? Ik ben op zoek naar een recente firmware (alles boven 2.25.6 eigenlijk) maar de firmwares lijken nergens meer te vinden te zijn

Misschien heeft iemand hem hier nog op een verdwaalde usb stick of netwerkschijfje?

Het lijkt erop dat die allemaal verwijderd zijn. Via https://www.ip-phone-foru...%C3%B6glich.303329/page-6 kwam ik nog op de volgende pagina's bij de web archive, maar de download links werken dan helaas niet.
https://web.archive.org/w...e.action?pageId=971276500
https://web.archive.org/w....action?pageId=1374389808

Renegade666 schreef op woensdag 27 mei 2026 @ 15:13:
[...]

Print server werkt prima.
Printers zitten eigen segment, wordt geen IP daar uitgedeeld.
Printers zijn ook gewoon bereikbaar/webinterface etc.

Dit sluit een ip conflict niet uit :-)
printer afkoppelen en in de vlan/range zelf zitten om het ip te scannen

Duinkonijn schreef op donderdag 28 mei 2026 @ 08:45:
[...]

Dit sluit een ip conflict niet uit :-)
printer afkoppelen en in de vlan/range zelf zitten om het ip te scannen

Heb al het nodige al na gekeken, dat lijkt gewoon goed. Naast het feit dat het vanaf de servers/rds prima werkt.

Ben vanmorgen met mijn collega nog bezig geweest, maar zijn er niet uitgekomen.

Net nog een laptop herstel punt gepakt, maar heeft ook geen effect.

Nieuwe schone VM gemaakt windows 11, en alles werkt gewoon.
Er is iets wat windows in dat printer gebeuren gesloopt heeft.

Ga je vandaag naar de klant, 2 uurtjes rijden, is het probleem uit zichzelf opgelost....

Geen nieuwe updates, geen herstarts etc. Heel vreemd dit...

Renegade666 schreef op dinsdag 2 juni 2026 @ 09:27:
Ga je vandaag naar de klant, 2 uurtjes rijden, is het probleem uit zichzelf opgelost....

Geen nieuwe updates, geen herstarts etc. Heel vreemd dit...

Zijn de makkelijkste.. Maar wel het meest frustrerend omdat je nu niet weet wat het issue is geweest. En de oplossing ervan.

nextware schreef op dinsdag 2 juni 2026 @ 09:52:
[...]

Zijn de makkelijkste.. Maar wel het meest frustrerend omdat je nu niet weet wat het issue is geweest. En de oplossing ervan.

En of het zo maar nog eens kan terugkomen...

Ik heb de voorkeur dat het gewoon affakkeld of instort dan dan iets onzeker is.

Heb wel eens een server gehad (HP LH3) die `s nachts melde dat zijn deuren geopend waren & onverwachte reboots..
Systeem had niet eens sensoren. Tot m`n collega op een gegeven moment geheugenmeldingen (tekort) kreeg op het systeem... geheugen bij geplaatst en draaien..

[ Voor 3% gewijzigd door Duinkonijn op 02-06-2026 11:20 ]

nextware schreef op dinsdag 2 juni 2026 @ 09:52:
[...]

Zijn de makkelijkste.. Maar wel het meest frustrerend omdat je nu niet weet wat het issue is geweest. En de oplossing ervan.

Ja, maar IT werkt in mysterieuze manieren

Das niet enkel IT hoor. Elke hersteldienst kent dat probleem, en overal even frustrerend.

Heeft er iemand toevallig een suggestie voor een beetje fatsoenlijk geprijsde backup oplossing in de cloud? Backup nu een stel Linux dozen via Duplicity naar een oude NAS op een schimmig kantoortje, maar wil naar iets moderner zodat je ook een beetje een GUI krijgt om file bij file te kunnen herstellen. Synology C2 heeft geen ondersteuning voor Linux helaas en een nieuwe NAS is ook niet gratis.

Borgbase misschien?

Equator schreef op woensdag 10 juni 2026 @ 11:11:
[...]

https://wasabi.com/

S3 storage met ondersteuning voor verschillende storage tiers en immutable opslag. Afhankelijk van je storagebehoefte best betaalbaar.

Wel betaalbaar, maar met S3 storage kan ik weinig. Zoek juist een pakket om makkelijker restores te doen. S3 storage zou ik sowieso niet daar afnemen (niet binnen NL of hooguit Duitsland), maar dat had ik niet gezegd

Dank voor de tip, maar het is helaas niet wat ik zoek.

Drardollan schreef op dinsdag 9 juni 2026 @ 12:38:
Heeft er iemand toevallig een suggestie voor een beetje fatsoenlijk geprijsde backup oplossing in de cloud? Backup nu een stel Linux dozen via Duplicity naar een oude NAS op een schimmig kantoortje, maar wil naar iets moderner zodat je ook een beetje een GUI krijgt om file bij file te kunnen herstellen. Synology C2 heeft geen ondersteuning voor Linux helaas en een nieuwe NAS is ook niet gratis.

Impossible Cloud- Prijzen

imoul schreef op woensdag 10 juni 2026 @ 15:10:
[...]

Impossible Cloud- Prijzen

Helaas ook enkel S3, daar kan ik niks mee. Moet echt iets hebben zoals Veeam, Acronis, Synology Active Backup of BackupExec van vroeger.

O, je zoekt ook een backup oplossing zelf? Anders pak je veeam en backup je naar een s3 storage ergens. (community edition is gratis )

[ Voor 13% gewijzigd door Tylen op 10-06-2026 16:37 ]

Of het kan of niet, ik wil juist niks zelf doen. Want dan zou ik beter een NAS kunnen kopen denk ik

Maar denk dat het toch een nieuwe NAS wordt dan, kostentechnisch het beste. Heb 1 offerte nu voor Veeam bij een leverancier, betaal bijna 30 euro per maand voor 200 GB data. Een nieuwe NAS kost zo'n 500 euro. Dat heb ik er met 2 jaar al uit en als de data verdubbeld nog veel sneller.

Equator schreef op woensdag 10 juni 2026 @ 17:28:
[...]

Totdat je NAS doodgaat door iets simpels of wordt gestolen.

Ik zou het beide doen. Veeam (of andere tool) Backup naar NAS voor snelle restores, en extra back-up naar S3 voor langere termijn / offsite / immutable back-up.

Als de NAS doodgaat, dan gaat ie dood. Zetten we een nieuwe neer. Buiten dat ik volgens mij in 20 jaar nog nooit een dode Synology heb gezien, enkel een dode schijf, is dat meer dan voldoende.

Een dubbele backup is niet noodzakelijk, er is al een backup ingeregeld bij de VPS provider. Elke 4 uur is er al een volledige backup van de systemen die we in geval van nood kunnen terugzetten. Enige nadeel is dat ik daarin geen losse files kan restoren, daarom moet er een andere oplossing bij voor de "snelle restores" (die in de afgelopen 7 jaar nog nooit zijn voorgekomen bij deze klant, maar wie weet wat de toekomst brengt).

Equator schreef op woensdag 10 juni 2026 @ 17:36:
[...]

Ah, maar dat had je niet verteld.

Klopt, want dat was de vraag ook niet

Voor de volledigheid, de Veeam Community editie heeft geen S3 koppeling helaas.

Drardollan schreef op woensdag 10 juni 2026 @ 17:47:
[...]

Klopt, want dat was de vraag ook niet

Voor de volledigheid, de Veeam Community editie heeft geen S3 koppeling helaas.

AH jammer. Ik heb een NFR gekregen dus kan alles gebruiken dus dacht dat het ook wel in de CE zou zitten.

Tylen schreef op woensdag 10 juni 2026 @ 19:29:
[...]

AH jammer. Ik heb een NFR gekregen dus kan alles gebruiken dus dacht dat het ook wel in de CE zou zitten.

Helaas niet. Want dan was het nog wel het uitzoeken waard geweest. Een VPS + S3 storage bij een partij als Contabo is goed te betalen.

Maar denk dat we toch maar voor een NAS gaan, niet mijn eerste keuze maar het is financieel gewoon het beste en technisch het meest flexibel. Helaas.

Drardollan schreef op woensdag 10 juni 2026 @ 17:31:
[...]

Een dubbele backup is niet noodzakelijk, er is al een backup ingeregeld bij de VPS provider.

Geen leveranciers-onafhankelijke backup hebben is op zich ook wel een risico. Wellicht een acceptabele ten opzichte van de meerprijs / tijd.

jurroen schreef op vrijdag 12 juni 2026 @ 23:34:
[...]

Geen leveranciers-onafhankelijke backup hebben is op zich ook wel een risico. Wellicht een acceptabele ten opzichte van de meerprijs / tijd.

Vandaar dat er al een tweede backup is, maar die voldoet niet meer aan de eisen en moet dus vervangen worden door iets anders.

Drardollan schreef op vrijdag 12 juni 2026 @ 23:36:
[...]

Vandaar dat er al een tweede backup is, maar die voldoet niet meer aan de eisen en moet dus vervangen worden door iets anders.

Helder. Net even terug gelezen, was wat (te) snel met reageren. Het is mij niet volledig duidelijk met wat er gebackupt moet worden - behalve 'cloud". Je zou ook eens kunnen kijken of Cubebackup en Nakivo binnen het scenario passen. Niet gratis, maar betaalbaarder dan de concurrenten. En kan op de NAS zelf draaien.