Het grote kleine-SysOps-vragen topic deel 1

Arfman schreef op zondag 7 september 2025 @ 10:09:
[...]

Even terugkomen hierop. Ik heb alle logs erop nageslagen, MS support ingeschakeld en 2 externe bedrijven gevraagd om mee te denken maar niemand snapt waarom.

Ik heb nergens een sign in frequency geconfigureerd voor de gebruikers als ze een managed device hebben. Toch worden ze er elke 24 uur uitgetrapt. Logging zegt dit:

Grant Controls Not satisfied: Require multifactor authentication
En inderdaad, als iemand de MFA challenge voltooid zijn ze weer authenticated voor 24 uur. Maar waarom niet voor langer?!

Ik sta open voor elke suggestie inclusief bidden tot bepaalde hogere machten, want ik zit aan het eind van de zaken die ik nog kan proberen.

Dat komt, beste * Arfman ,omdat je niet Require multifactor authentication moet gebruiken maar Require compliant device bij de Grant controls

Daar hebben dus gewoon 6 man overheen gekeken, inclusief mezelf. Hopelijk bespaar ik iemand hiermee uren/dagen/weken gepuzzel.

Wij hebben de setting 'Require multifactor authentication' en 'Require device to be marked as compliant' beide aanstaan bij Grant.
En dan onderaan wel 'Require one of the selected controls'

Maar ik loop soms wel tegen issue aan dat mac gebruikers Platform SSO niet kunnen gebruiken en in de log zie ik dan staan bij basic info :

User needs to perform multi-factor authentication. There could be multiple things requiring multi-factor, e.g. Conditional Access policies, per-user enforcement, requested by client, among others.

Alleen krijgt de gebruiker dan geen popup op telefoon, terwijl inloggen in andere zaken (teams bijvoorbeeld) gewoon mfa popup op telefoon geeft.

Authentication Details tab :
Password : Correct password / succeeded: true
MFA required in Azure AD / succeeded: false

Conditional Access tab :
Require multifactor authentication : Failure.

Klinkt een beetje als jouw probleem, heb ook geprobeerd een case te openen hiervoor bij Microsoft.
Was erg veel onzin info krijgen (leek wel een chatgpt zegmaar)
En dan opeens werkte het weer, maarja dat heb ik eerder gezien.
Wilde eigenlijk binnenkort weer nieuwe case maken voor gebruiker die dit op dit moment heeft.

Ja, case heb ik ook geopend, compleet kansloos. Slecht verstaanbare Indiase dame aan de lijn die duidelijk nog nooit van haar leven een CA policy had gezien. Dat gaan we wel even escaleren maandag, ook al is het intussen opgelost, want dit was echt 0/10 service/support.

Inhoudelijk kan ik weinig zeggen over je probleem, wel interessant dat het alleen bij Mac gebruikers voorkomt. Je zou toch zeggen dat MS er dan iets mee moet kunnen. Anders zou je tijdelijk een aparte Mac policy kunnen maken die alleen "require compliant device" aan heeft staan als workaround.

@Arfman, met welke applicaties op de iPhone heb je dat probleem?

Zelf vereisen we simpelweg dat onze iPhones gemarkeerd staan als compliant om aan te kunnen melden. Enkel bij registratie van het toestel dwingen we dan nog MFA af. Hierbij aanzien we dus dat wanneer jij het toestel hebt en kunt ontgrendelen dat dat voor ons voldoende is om aan de MFA vereisten te doen.

Microsoft's first line support is hopeloos. Al begrijp ik regelmatig ook wel waarom je door die hoepel moet springen. Al is het spijtig dat je zo soms weken tijd verliest voor een probleem dat mogelijks heel je bedrijf treft.

Blokker_1999 schreef op zondag 14 september 2025 @ 13:11:
@Arfman, met welke applicaties op de iPhone heb je dat probleem?

Ik had het met elke applicatie (Teams/Outlook/etc.)

Zelf vereisen we simpelweg dat onze iPhones gemarkeerd staan als compliant om aan te kunnen melden.

Dat hebben we hier nu ook

Enkel bij registratie van het toestel dwingen we dan nog MFA af. Hierbij aanzien we dus dat wanneer jij het toestel hebt en kunt ontgrendelen dat dat voor ons voldoende is om aan de MFA vereisten te doen.

Met een aparte policy neem ik aan? En dan alleen gescoped op user actions - register security information? Zit er aan te denken om dat hier ook te doen, en ook alleen mogelijk te maken vanaf ons IP adres. Op die manier kunnen kwaadwillenden geen extra devices registreren als ze toch een keer het MFA token te pakken hebben gekregen.

Microsoft's first line support is hopeloos. Al begrijp ik regelmatig ook wel waarom je door die hoepel moet springen. Al is het spijtig dat je zo soms weken tijd verliest voor een probleem dat mogelijks heel je bedrijf treft.

Dat was dit in dit geval zo. Paar duizend mensen moesten elke dag opnieuw authenticeren op hun telefoon. Dat kun je wel 1 of 2 dagen wegverklaren, maar na het week beginnen de C-levels te klagen en wordt het allemaal vervelend.

Geen idee of het een kleine vraag is of niet, maar ik heb hardware die niet ondersteund wordt in Windows 11 en die ik op korte termijn niet kan vervangen, daarom zou ik deze hardware graag in ESU krijgen, zodat er nog een jaartje Windows 10 updates komen, ik voldoe aan de eisen (MS account met lokaal admin rechten), maar krijg de optie nog niet te zien.

Moet ik geduld hebben, of valt dit op een of andere manier te forceren, betalen is ook geen probleem, maar ik kan niet vinden waar (of ik kijk met mijn neus).

Edit: Had de search eerst even moeten gebruiken...
Geen ESU mogelijkheid bij mijn Windows 10?

[ Voor 12% gewijzigd door Diederik op 18-09-2025 09:44 ]

Wij ontvingen afgelopen week een nieuwe batch laptops met het AMD Ryzen 7 AI 350 pro platform binnen.

Probleem; wil met geen mogelijkheid booten van OSDCloud USB stick. Ik kan de stick wel kiezen als boot optie, binnen 10 seconden reboot het systeem zonder enige verdere foutmelding of indicatie wat er mis gaat.

OSDCloud volledig bijgewerkt, workspace en USB stick geüpdatet. Model laptop komt ook voor in de lijst met HP driver packs waaruit je kan kiezen.

Iemand dit probleem ook meegemaakt en al getackeld??

Heb hier een Exchange hybride omgeving. Ik heb daarin o.a. 2 shared mailboxen van 2 afdelingen. Die afdelingen zijn samengevoegd dus 1 shared mailbox moet verdwijnen. Men wil de inhoud van de oude mailbox wel beschikbaar houden.

In Exchange Onprem maak ik op de oude mailbox een dummie primair smtp adres aan. Alle aliassen incl. het oude primaire adres verwijder ik en voeg deze toe aan de andere mailbox.

Maarrrr we zijn inmiddels dik een week verder en 1 alias wil in Exchange Online maar niet van mailbox verkassen, die blijft op de oude mailbox staan. Ik krijg ook een sync-error op dat adres omdat dat adres niet op beide mailboxen actief kan zijn. Ik ga dus naar Exchange onprem en zorg dat van beide mailboxen dat adres eraf is, ik geef het een dag of 2 en kijk daarna in Exchange Online, maar die alias wil maar niet van de oude mailbox verdwijnen, het dummie adres staat er wel gewoon en zet ik er als test ff een extra alias bij dan is die ook met een uurtje gesynced vaak, maar het adres dat ik eruit wil hebben blijft gewoon staan.

Uitdaging #2 is het overzetten van de inhoud van de mailbox, dat was toen we nog volledig Exchange onprem hadden kinderlijk eenvoudig met Powershell maar moet nu via Purview en dat krijg ik totaal niet aan de gang. Ik heb de juiste licenties, juiste permissies etc. maar ik maak een case aan en wil vervolgens een content search maken, en alle opties en schermen van alle instructies zowel van de nieuwe als de oude interface komen niet overeen met wat ik op mijn scherm zie.....

In een ver verleden hebben we 3th party tooling gebruikt om te programma updates te importeren naar aan onze wsus server.
Nu zag ik in de eventviewer meldingen over een verlopen certificaat uit 2022, dus die maar wegehaald :

The WSUS package signing certificate expired on 1/1/2022 1:02:24 PM. To use WSUS for
signing local update packages, replace the certificate with a new certificate;
or to stop this error from reporting, remove the expired certificate.

Daarna begon wsus te mopperen :

The WSUS server is configured to use a package signing certificate, but
that certificate could not be found.

Documentatie die ik kan vinden (en copilot) hebben het over dat ik EnableSelfSignedCertificates op 0 moet zetten in registry, maar dat staat dat heeft geen effect.
Iemand enig idee ?

Blokker_1999 schreef op vrijdag 17 oktober 2025 @ 03:07:
[...]

Waarom de inhoud van de oude mailbox niet importeren in de nieuwe en de oude volledig weggooien? Dan is het ook direct gedaan met koppig vasthouden aan dat laatste adres.

Zie laatste alinea van het bericht dat je quote.

FastFred schreef op vrijdag 17 oktober 2025 @ 08:20:
[...]


Zie laatste alinea van het bericht dat je quote.

Waar komt die allinea ineens vandaan



Er zijn uiteraard meerdere creatieve manieren om dat op te lossen. Ook beetje afhankelijk van hoe groot de mailbox is. Als het een keine is dan kan je ze gewoon alle 2 in je Outlook aankoppelen en folders beginnen verplaatsen. Duurt even, maar zolang het geen honderden folders zijn is dat goed te doen. Al heb ik zo in het verleden al wel eens Outlook enkele keren doen crashen

Maar een andere, relatief eenvoudige manier die je als beheerder kunt toepassen is oude mailbox exporteren naar een pst en dan dit weer importeren in de nieuwe mailbox. Zij het via de beheerstools, zij het via Outlook. Wij hebben begin dit jaar massaal pst files zitten importeren in Exchange Online daar we na onze migratie het offline bijhouden van mails zijn gaan verbieden. En dat ging vrij vlot.

Blokker_1999 schreef op vrijdag 17 oktober 2025 @ 03:09:
[...]

Niet direct een hulp, maar heb je al eens gezocht hoe je een nieuw cert kunt genereren en toewijzen aan je wsus ipv het uit te schakelen?

Volgens mij zou ik die dan moeten genereren via een tool die we willen koppelen aan wsus.
Wat we dus niet meer hebben.

Met een beetje geluk kan je de eerste stappen van dit volgen om een nieuw cert op de server te krijgen en is wsus daarna weer blij: https://woshub.com/wsus-deploy-third-party-software-updates/

Interessante vraag van men manager gekregen waar ik niet direct een antwoord voor heb. Hij zou graag een overzicht willen van wanneer bepaalde software voor het laatst gebruikt geweest is op onze systemen. Dit om na te gaan of we geen licenties hebben en betalen die eigenlijk nooit gebruikt worden.

Ik weet dat er software bestaat die heel gedetailleerd kan gaan analyseren wat het gebruik van software is. Zo heb ik in het verleden zelf Aternity gebruikt bij een vorige werkgever. Maar bestaan er ook eenvoudigere producten die simpelweg bijhouden welke software er allemaal gestart wordt en dat ergens centraal rapporteert?

Blokker_1999 schreef op donderdag 30 oktober 2025 @ 11:52:
Interessante vraag van men manager gekregen waar ik niet direct een antwoord voor heb. Hij zou graag een overzicht willen van wanneer bepaalde software voor het laatst gebruikt geweest is op onze systemen. Dit om na te gaan of we geen licenties hebben en betalen die eigenlijk nooit gebruikt worden.

Ik weet dat er software bestaat die heel gedetailleerd kan gaan analyseren wat het gebruik van software is. Zo heb ik in het verleden zelf Aternity gebruikt bij een vorige werkgever. Maar bestaan er ook eenvoudigere producten die simpelweg bijhouden welke software er allemaal gestart wordt en dat ergens centraal rapporteert?

processen die gestart worden zou je wel als je een edr product draait daar wel uit de datalake moeten kunnen halen denk ik bijvoorbeeld met Sophos XDR

SELECT
windows_processes.meta_hostname AS hostname,
windows_processes.name AS process,
windows_processes.path AS path,
windows_processes.username AS username,
DATE_FORMAT(FROM_UNIXTIME(windows_processes.time), '%Y-%m-%dT%H:%i:%SZ') AS last_seen
FROM
xdr_data AS windows_processes
WHERE
windows_processes.query_name = 'running_processes_windows_sophos'
AND LOWER(windows_processes.path) LIKE LOWER('$$path$$')
ORDER BY
last_seen desc

of Defender

DeviceProcessEvents
| where Timestamp > ago(14d)
| project Timestamp, DeviceName, FileName, FolderPath
| order by Timestamp desc

kan dit natuurlijk nog verder aanpassen om alleen in c:\program files of c:\users te kijken en niet alle c:\windows processen ook weer te geven

[ Voor 9% gewijzigd door bifi_G60 op 30-10-2025 16:43 ]

Licentie technisch hoeft de software niet gebruikt te worden om de licentie toch nodig te hebben.

Eigenlijk zijn het twee vragen.

1 welke software is geïnstalleerd
2 welke software wordt gebruikt en heeft licenties nodig? Zo nee deïnstalleren

[ Voor 3% gewijzigd door Duinkonijn op 31-10-2025 13:00 ]

Ik heb her en der gebruikers bij klanten die hun emailadres zowel voor M365 als voor een persoonlijke koppeling gebruiken, bijvoorbeeld doordat ze een privé PC hieraan gekoppeld hebben.

Dit zorgt ervoor dat silent inloggen voor OneDrive en diverse andere apps constant met meldingen komen, maar met name OneDrive is een dingetje.

Is er een policy (server GPO) die ervoor zorgt dat altijd het Werk/Schoolaccount gekozen wordt?

Quad schreef op woensdag 5 november 2025 @ 13:58:
Ik heb her en der gebruikers bij klanten die hun emailadres zowel voor M365 als voor een persoonlijke koppeling gebruiken, bijvoorbeeld doordat ze een privé PC hieraan gekoppeld hebben.

Dit zorgt ervoor dat silent inloggen voor OneDrive en diverse andere apps constant met meldingen komen, maar met name OneDrive is een dingetje.

Is er een policy (server GPO) die ervoor zorgt dat altijd het Werk/Schoolaccount gekozen wordt?

[Afbeelding]

@Quad, er is een tenant instelling om personal accounts met jouw domein niet toe te staan. Enige nadeel wat ik nog zie: wie al een persoonlijk MS account heeft gemaakt met het bedrijfsadres behouden die tot ze alles wat er in staat exporteren en het account opzeggen. Je voorkomt iig wel dat er nieuwe persoonlijke accounts gemaakt kunnen worden.

Ik zou iig niet zomaar het persoonlijke account ontoegankelijk maken totdat het zeker is dat er niks aan gekoppeld is.

Iemand die weet waarom een user account wel kan authenticeren tegen Active Directory, maar wanneer datzelfde account aanmeld in Entra dit account een melding krijgt dat het wachtwoord verkeerd is? 🤯

Blokker_1999 schreef op donderdag 6 november 2025 @ 09:46:
Iemand die weet waarom een user account wel kan authenticeren tegen Active Directory, maar wanneer datzelfde account aanmeld in Entra dit account een melding krijgt dat het wachtwoord verkeerd is? 🤯

De foutmelding zegt genoeg toch? https://learn.microsoft.c...ial-enable-sspr-writeback

Blokker_1999 schreef op donderdag 6 november 2025 @ 09:46:
Iemand die weet waarom een user account wel kan authenticeren tegen Active Directory, maar wanneer datzelfde account aanmeld in Entra dit account een melding krijgt dat het wachtwoord verkeerd is? 🤯

Dat hangt er maar net van af wat voor setup je hebt. PTA? ADFS? Password sync?
Wat zeggen de logs in Entra?

Blokker_1999 schreef op donderdag 6 november 2025 @ 09:46:
Iemand die weet waarom een user account wel kan authenticeren tegen Active Directory, maar wanneer datzelfde account aanmeld in Entra dit account een melding krijgt dat het wachtwoord verkeerd is? 🤯

Dit is wel heel weinig info.. kan zo een ticket van een enduser zijn..

Heb het gevonden maar nog altijd 🤯want voor zover ik weet werkte het vroeger wel. Het is een full hybrid omgeving met password sync en het probleem is niet het wachtwoord, maar wel de UPN.

Gebruikersaccount had in AD een UPN met een domein dat niet gekend is in Azure/M365/Entra/... waardoor het daar een onmicrosoft domein krijgt in de UPN. Ik herinner mij dat dat in het verleden zonder problemen werkte met andere accounts. Als ik op mijn test account met dezelfde setup als het geaffecteerde account nu het domein aanpas naar 1 dat wel in de cloud zit, en daarna met dat account probeer aan te melden met hetzelfde wachtwoord, geen enkel probleem.

Je kan een proxy upn gebruiken..
Niet dat, dat fijn werkt, maar het kan

[ Voor 41% gewijzigd door Duinkonijn op 06-11-2025 19:32 ]

UPN was eigenlijk al m'n eerste gedachte, want MS gaat niet direct zeggen 'account bestaat niet'.

Eigen vraagje waar ik verder voor ga onderzoeken, maar iets als 'ja, kan/werkt' of 'nee' helpt al. Ik wil met conditional access voor een aantal accounts van specifieke externe IP adressen MFA kunnen uitsluiten, dus dat het niet vereist is. Maar ik wil ook niet dat er buiten deze adressen met die accounts ingelogd kan worden. Dus eigenlijk is de enige authenticatiemethode die ik hiervoor wil toestaan vanaf een systeem dat aan AD/Entra is gekoppeld. Outlook+SSO vanuit Windows wel, maar bijvoorbeeld Outlook van mobiel niet, terwijl beide dezelfde internetverbinding zou gebruiken.

Is dat te doen met CA? En ook zo dat overige policies dit niet ongedaan maken.

[ Voor 3% gewijzigd door Hero of Time op 06-11-2025 19:34 ]

Hero of Time schreef op donderdag 6 november 2025 @ 19:33:
UPN was eigenlijk al m'n eerste gedachte, want MS gaat niet direct zeggen 'account bestaat niet'.

Eigen vraagje waar ik verder voor ga onderzoeken, maar iets als 'ja, kan/werkt' of 'nee' helpt al. Ik wil met conditional access voor een aantal accounts van specifieke externe IP adressen MFA kunnen uitsluiten, dus dat het niet vereist is. Maar ik wil ook niet dat er buiten deze adressen met die accounts ingelogd kan worden. Dus eigenlijk is de enige authenticatiemethode die ik hiervoor wil toestaan vanaf een systeem dat aan AD/Entra is gekoppeld. Outlook+SSO vanuit Windows wel, maar bijvoorbeeld Outlook van mobiel niet, terwijl beide dezelfde internetverbinding zou gebruiken.

Is dat te doen met CA? En ook zo dat overige policies dit niet ongedaan maken.

Dat zou moeten lukken volgens mij.

Heeft iemand hier de combinatie van WSUS en MCC opgezet en werkende gekregen? Een collega van mij had de opdracht gekregen dit in ons labo te testen en had het project al een succes verklaard en willen afsluiten. Maar dan kent men Blokker nog niet 😁. Ik kijk op 1 van mijn eigen test machines en zie dat die nog altijd niet aan het updaten is. Ik kijk de GPO na en zie dat die wel de opdracht geeft om de caching en WSUS servers te gebruiken, maar dat al de rest ontbreekt, dus geen installatie van updates in de policy, geen herstart moment, niets ... .

Ik corrigeer dus alles, en ga een dag later kijken. En daar staan de updates op de VM, allemaal met een downloadfout. Vooruitgang noem ik dat. Uiteindelijk na wat zoekwerk merk ik op de firewall dat mijn testsysteem probeert de caching server te contacteren op poort 8531. Vreemd, want MCC werkt op de standaard http en https poorten. Maar het is wel de standaart poort van een WSUS setup.

dus ik breng mijn wsus naar de standaardpoorten en zie op de firewall dat het testsysteem nu ook de standaardpoorten gebruikt, maar nog altijd dezelfde downloadfout. Tijd voor wireshark, want die stond al op het testsysteem. En wat zie ik? Er gaat een http request naar de MCC, en de MCC stuurt gewoon de standaard Nginx pagina terug. De http request vraagt ook geen specifieke bestanden op, maar geeft simpelweg aan te zijn doorgestuurd vanuit de wsus.

Dus nu stel ik mezelf de vraag: werkt deze setup wel? Kan je een combinatie maken van wsus en mcc? Want ik zie daar eigenlijk niet direct veel documentatie rond, en ook Google lijkt niet echt direct voorbeelden te vinden van mensen die het gedaan hebben.

De reden dat we MCC aan het bekijken zijn is omdat dit net een rolling cache vormt in tegenstelling tot WSUS wat een statische cache is, en ons in het verleden door de vrij aggressieve opkuis problemen heeft opgeleverd. En we gebruiken wsus nog voor alles wat niet cloud connected is op dit moment, wat op termijn zal uitsterven. Alles wat cloud is (Intune/Arc) wordt ook vanuit de cloud beheerd en werkt perfect samen met MCC.

Ik ben met een Dymo labelprinter (550 Turbo, met netwerk en usb) + Dymo Connect v1.5 op netwerkgebied een beetje aan het testen, maar kom niet verder.

Situatie 1
Subnet en Vlan gelijk aan desktops
10.0.200.100/24, Vlan200
Dymo printer wordt gevonden en werkt

Situatie 2
Subnet en Vlan verschillend aan desktops
Desktops: 10.0.200.100/24, Vlan200
Dymo Printer: 10.0.300.100/24, Vlan300
FW-policies staan ICMP, printverkeer, dns, http en https toe tussen vlan200 en vlan300
Printer wordt niet gevonden, ook niet na 10 mins

HP en Canon printers hebben nergens last van bij gebruik situatie 2.

Heeft iemand dit werkend gekregen?

Verwacht je dat de Dymo software dat ding op magische wijze zelf gaat zien of heb je de printer met een tcp/ip poort handmatig op het betreffende systeem toegevoegd, danwel via een centrale printserver? Want als er lokaal geen printer bekend is, gaat de software ook geen klap vinden. Daar is het te dom voor, eventuele detectie stop zodra je naar een ander subnet gaat.

@Blokker_1999 Wat bedoel je met “MCC” ?
Voor WSUS is het nodig dat je clients via 8530 of 8531 erbij moeten kunnen.

D_Jeff schreef op dinsdag 25 november 2025 @ 19:50:
Ik ben met een Dymo labelprinter (550 Turbo, met netwerk en usb) + Dymo Connect v1.5 op netwerkgebied een beetje aan het testen, maar kom niet verder.

Situatie 1
Subnet en Vlan gelijk aan desktops
10.0.200.100/24, Vlan200
Dymo printer wordt gevonden en werkt

Situatie 2
Subnet en Vlan verschillend aan desktops
Desktops: 10.0.200.100/24, Vlan200
Dymo Printer: 10.0.300.100/24, Vlan300
FW-policies staan ICMP, printverkeer, dns, http en https toe tussen vlan200 en vlan300
Printer wordt niet gevonden, ook niet na 10 mins

HP en Canon printers hebben nergens last van bij gebruik situatie 2.

Heeft iemand dit werkend gekregen?

Hoe voeg je hem toe?
Heb met dymo altijd weinig problemen.
Printer normaal via windows print beheer installeren, juiste driver selecteren en klaar.
ook als ze in een ander vlan zitten.
Ik gebruik de software van Dymo niet om de printer te installeren.

Hero of Time schreef op dinsdag 25 november 2025 @ 20:27:
Verwacht je dat de Dymo software dat ding op magische wijze zelf gaat zien of heb je de printer met een tcp/ip poort handmatig op het betreffende systeem toegevoegd, danwel via een centrale printserver? Want als er lokaal geen printer bekend is, gaat de software ook geen klap vinden. Daar is het te dom voor, eventuele detectie stop zodra je naar een ander subnet gaat.

De Dymo connect software heeft een netwerk printer wizard en doet een discovery om die dingen te vinden. Binnen hetzelfde subnet en vlan werkt dat als een tierelier. Ander vlan en subnet kan je erg lang naar dat discovery venster blijven staren

D_Jeff schreef op dinsdag 25 november 2025 @ 20:55:
[...]

De Dymo connect software heeft een netwerk printer wizard en doet een discovery om die dingen te vinden. Binnen hetzelfde subnet en vlan werkt dat als een tierelier. Ander vlan en subnet kan je erg lang naar dat discovery venster blijven staren

Dat is hetzelfde als die vervloekte duivelse uitvinden die HP, Canon, Epson e.d. toepassen met WSD**** poorten. Zoals gezegd, dat gaat niet door een router/firewall heen. Je zal dus echt handmatig de printer zelf moeten toevoegen, die software is compleet ongeschikt. Het is voor de simpele consument, in een zakelijke omgeving wil je dit soort bagger niet.

@hieronder:
SNMP eventueel en anders detectie negeren en gewoon dom voeren. De software moet niet nadenken of het ding er is of niet, dat doet de printserver wel.

[ Voor 10% gewijzigd door Hero of Time op 25-11-2025 21:01 ]

Renegade666 schreef op dinsdag 25 november 2025 @ 20:47:
[...]


Hoe voeg je hem toe?
Heb met dymo altijd weinig problemen.
Printer normaal via windows print beheer installeren, juiste driver selecteren en klaar.
ook als ze in een ander vlan zitten.
Ik gebruik de software van Dymo niet om de printer te installeren.

Via de printserver truck (Windows Server 2022) blijft de dymo connect software aangeven dat de printer offline is.

Maar dan ben ik even benieuwd hoe jij het wel doet?

D_Jeff schreef op dinsdag 25 november 2025 @ 21:00:
[...]

Via de printserver truck (Windows Server 2022) blijft de dymo connect software aangeven dat de printer offline is.

Maar dan ben ik even benieuwd hoe jij het wel doet?

Snmp wel open in de firewall?

Renegade666 schreef op dinsdag 25 november 2025 @ 21:05:
[...]

Snmp wel open in de firewall?

Ga ik checken, kom ik op terug
Dank zover

@D_Jeff Een printserver is niet persé een Windows printserver. De hardware/software in combinatie met een netwerkkaart in een printer (RJ45) noemen we ook een printserver.
Of zo'n los kastje wat vervolgens met USB aangesloten wordt aan een printer, dat heet ook al een printserver.
Dus een printer met WLAN / Ethernet capabilities heeft over het algemeen een ingebouwde printserver.

In principe kun je een printer die normaal TCP/IP kletst meestal wel bereiken op TCP port 9100 en dan maak je gewoon een TCP/IP printerpoort aan op je werkstation.
Windows ziet dat dan gewoon als een "lokale" printer, alleen in plaats van naar USB poort stuurt hij het naar een ip adres . Een Windows printserver met point-to-point printing gebruik je over het algemeen in een Active Directory situatie waarbij je je queues en printerinstellingen makkelijker centraal kunt beheren, maar het hoeft niet.
Verder wel eens met wat anderen zeggen: vermijd dit soort discovery/broadcast dingen en voeg de printer "lokaal" via TCP/IP poort toe op het werkstation of zet er een Windows printserver tussen en voeg daar de printer(s) "lokaal" toe en deel ze vervolgens.
Netwerkprinters geef je een fixed ip adres (via DHCP) en bij voorkeur plaats je ze inderdaad in een apart VLAN met firewall zodat gebruikers niet op de webinterface(s) gaan proberen in te loggen en klooien..

In onze (HPE) omgeving gebruiken we de tool Directories Support for Proliant Management Processors om onze ilo5- en 6-firmware in bulk bij te werken. Dit werkt perfect. Maar nu hebben we een aantal ILO7-servers en de tool lijkt dit niet te ondersteunen. Voor zover ik weet is er ook geen nieuwere versie van de tool. We gebruiken versie 6.1.0.

Kent iemand een andere tool waarmee we de ilo-firmware voor ilo5/6/7 in bulk kunnen bijwerken? Ik heb alleen een tool nodig om ilo-firmware-updates uit te voeren. De rest wordt via andere manieren gedaan.

@Aschtra, wat gebruik je voor de overige firmware dan? En waarom kan die geen iLO doen?

Ik heb eerder dit jaar onze HP OneView server uitgefaseerd. Het heeft schijnbaar een licentie nodig, maar het kan best veel doen voor je HP servers. Ik heb er echter niet verder naar gekeken wat het allemaal precies kan en weet dus niet of het iLO firmware kan bijwerken.

Hero of Time schreef op donderdag 27 november 2025 @ 18:57:
@Aschtra, wat gebruik je voor de overige firmware dan? En waarom kan die geen iLO doen?

Ik heb eerder dit jaar onze HP OneView server uitgefaseerd. Het heeft schijnbaar een licentie nodig, maar het kan best veel doen voor je HP servers. Ik heb er echter niet verder naar gekeken wat het allemaal precies kan en weet dus niet of het iLO firmware kan bijwerken.

We gebruiken OneView, voor al onze fysieke servers (~280 en komt alleen maar bij). Maar wat ik altijd deed vóór onze SPP-update ronde is alvast alle ILO's in bulk updaten. Dat scheelde zo'n 10minuten per server dan wanneer OneView de SPP-update deed mét ilo update erbij. Vond ik een enorme quick win want met de proliant tool uploadde ik de iLO versie en liet ik hem een half uurtje pruttelen en het was gedaan. Nu ga ik dat nog steeds doen voor ilo5/6. Maar ik wil uiteindelijk ook wat hebben voor iLO7. Daar volgende week 18 servers van.

We hebben ook iLO Amplifier ergens draaien, misschien dat dat ook iets kan doen. Laatste keer dat ik erin keek was die niet volledig in ieder geval met al onze hosts.

Ik denk dat ik er wat voor ga scripten uiteindelijk. Gezien ik de SPP (firmware en OS drivers) en ESXi updates al volledig heb geautomatiseerd pleur ik dat er ook nog wel bij en trap dat een paar dagen ervoor af.

Ben eigenlijk wel benieuwd naar de reden dat je OneView eruit heb gedaan. Wij gebruiken het vrij summier denk ik voor wat het allemaal kan.
Wij hebben al onze fysieke servers erin, diverse server profile templates met onze BIOS instellingen, en aan de servers is een server profile gekoppeld. Ohja HPe krijgt ook meldingen ervan als er iets is met een server.
Moet er niet aan denken in onze omgeving de SPP-updates te doen zonder OneView.

edit;

https://www.postman.com/j...update-for-ilo-fw-upgrade

Ziet eruit als 5min scriptwerk bouwen in Ansible en wat testjes draaien.
De webserver hebben we al. En sinds afgelopen weekend met https want iLO7 mount geen iso's van een url zonder https

[ Voor 21% gewijzigd door Aschtra op 27-11-2025 20:39 ]

We hebben maar 10 servers, 5x gen9 en 5x gen10. Onze MSP is verantwoordelijk voor de updates. OneView gaf aan een licentie nodig te hebben. Het was ooit neergezet door iemand, geen enkele (interne) documentatie, als ik bij iLO inlogde stond er altijd dat het door OV werd beheerd (prima, maar dan moet het wel nut hebben).

Dus voor die paar machines deed ik zelf wel de SPP via de virtual drive laden en opstarten. Althans, de ene keer dat ik zelf de firmware ging bijwerken van een machine.

Ik gebruik een RMM pakket voor Windows Update beheer, ook de upgrades binnen Windows 11 (van 23h2 naar 24h2 bijvoorbeeld). Nu heb ik nog een 100-tal machines die de update niet eens te zien krijgen. Het pakket installeert alleen wat vanuit Windows Update aangeboden wordt.

De bekende keys heb ik gecontroleerd, waar ik geen fouten zie

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\TargetVersionUpgradeExperienceIndicators\GE25H2

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

Iemand een idee waarom sommige computers de update gewoon niet willen ontvangen. Het is allemaal diverse hardware op 21h2, 22h2 en 23h2. Het overgrote deel van alle beheerde computers kan wel de update ontvangen

MS heeft grote updates beperkt voor installatie als er software of drivers voor bepaalde hardware gedetecteerd is die voor problemen zorgen. Kijk dus even of er niet nog wat verouderde software of drivers zijn. Zeker als je systemen hebt met dezelfde hardware en eentje wel de update heeft en een andere niet krijgt aangeboden.

Ook even kijken of tpm en secure boot op juiste settings staan, dat wilt updates ook wel eens blocken.
Of gewoon unsupported pc, waar de windows11 update gewoon installeert als je de iso download maar daarna updates geen zin hebben.

D_Jeff schreef op dinsdag 25 november 2025 @ 21:07:
[...]

Ga ik checken, kom ik op terug
Dank zover

Misschien een stomme vraag, maar heeft de dymo wel een gateway ingesteld?

Je had icmp openstaan in firewall, kan je het ip van de dymo wel pingen?

Ik ervaar sinds een tijdje, zo nu en dan, vage issues op mijn thuisnetwerk. Met name op mijn Samsung S25 FE. Ik weet niet zo goed meer waar ik het moet zoeken.
Wat ik ervaar: sommige apps, bijvoorbeeld PostNL, Untappd, willen niet of heel moeizaam laden. Microsoft Authenticator heeft ook problemen: wel een popup maar met geen mogelijkheid gaat het akkoord terug naar de servers.
Ik dacht eerst aan AdGuard Home, maar als ik die uitzet ervaar ik het nog steeds. Zelfs als ik de DNS servers van de wifi aanpas (op de Samsung, verwezen naar modem en Cloudflare) ervaar ik het.
Iets met routering dan? IPv6? Ik heb een KPN dsl verbinding. Ik heb IPv6 op het modem (nog) niet uitgeschakeld, maar ik kan mij ook niet zo goed voorstellen dat het issue hier in zit want immers ervaar ik het alleen op míjn smartphone.

De wifi loopt via Unif, maar kan ook niet zo goed bedenken wat daar nog aan issue in kan zitten. Mijn vrouw maakt gebruik van hetzelfde netwerk en zegt niets te merken, maar gebruikt ook niet dezelfde apps.

Iemand nog een goed idee om mijn in een andere richting te sturen?

Na het schrijven van dit hele relaas had ik nog een ingeving: ik heb een werkprofiel waarin o.a. Defender draait met een VPN verbinding. Dit zou niet voor het persoonlijke profiel moeten gelden maar het lijkt wel een trigger te zijn oid. Even in de gaten houden. Helaas, dat is het ook niet.

Als ik een caputre in PCAPdroid start, werkt het gelijk weer een tijdje. Raar.

[ Voor 16% gewijzigd door Beekforel op 02-01-2026 15:26 ]

@Beekforel Ik heb zoiets ook weleens gehad en toen bleek de MTU size niet juist ingesteld, kan je redelijk eenvoudig checken: https://www.comparitech.c...mine-mtu-size-using-ping/

Ik heb precies dezelfde issues gehad met MTU sizing, vooral homeassistant had het daar moeilijk mee bij mij. Na heel veel iperf trial and error is het toch gelukt om het goed te zetten. Mss heb je veel package loss nu.

Toevallig hier iemand ervaring met het Chinese WeCom? Ik kreeg vandaag de vraag of er integratie bestaat met andere identity providers, bijv SAML of OAuth, maar omdat het Chinees is, en WeCom zelf ook weer als idp gebruikt kan worden is het verdomd moeilijk om betrouwbare info te vinden.

Nog een leuke, ik ben er blijkbaar in geslaagd om in Active Directory een groep toe te voegen als lid van zichzelf. Ik krijg alleen niet uitgevist hoe ik dat gedaan heb. Iemand die weet hoe je zoiets zelfs maar kunt doen? Want ADUC staat het al niet toe.

Blokker_1999 schreef op maandag 12 januari 2026 @ 10:54:
Nog een leuke, ik ben er blijkbaar in geslaagd om in Active Directory een groep toe te voegen als lid van zichzelf. Ik krijg alleen niet uitgevist hoe ik dat gedaan heb. Iemand die weet hoe je zoiets zelfs maar kunt doen? Want ADUC staat het al niet toe.

Wellicht iets te creatief met Powershell ?

Net group?

PowerShell staat het inderdaad toe



Kan me alleen niet herinneren wat ik 2 weken terug handmatig heb uitgevoerd waarmee ik dit veroorzaakt zou kunnen hebben.

Gewoon script gedownload en gerund?

Duinkonijn schreef op maandag 12 januari 2026 @ 15:13:
Gewoon script gedownload en gerund?

Chatgpt scriptje?

Hmm, net even naar onze conditional access policies aan het kijken in Entra en ik zie dat MS 2 nieuwe policies heeft toegevoegd. "Block legacy authentication" en "Phishing-resistant multifactor authentication for admins". Van die eerste had ik al een vermoeden vanwege de uitfasering van oude protocollen zoals IMAP en SMTP. Blijkbaar wil MS dat dus met een door hen beheerde policy dichtzetten. Maar die tweede is volledig nieuw voor mij. Is iemand daar meer informatie over tegengekomen, zoals de tijdlijn hiervoor?

Iemand hier met ervaring in het migreren van print servers met behoud van de oude naam zodat je printers niet hoeft te remappen?

Afgelopen weekend een migratie gedaan van onze printserver.
Export - Import printers
Haal oude server uit AD en verwijder het AD object

Op de nieuwe server:
netdom computername s25-print /add:srv2016-print
netdom computername s25-print /add:srv2016-print.fqdn.nl
ipconfig /registerdns
setspn -l s25-print
Registered ServicePrincipalNames for CN=S25-PRINT,OU=Servers,OU=Systemen,DC=fqdn,DC=nl:
TERMSRV/SRV2016-PRINT
TERMSRV/srv2016-print.fqdn.nl
WSMAN/SRV2016-PRINT
WSMAN/srv2016-print.fqdn.nl
RestrictedKrbHost/SRV2016-PRINT
HOST/SRV2016-PRINT
RestrictedKrbHost/srv2016-print.fqdn.nl
HOST/srv2016-print.fqdn.nl
TERMSRV/S25-PRINT
TERMSRV/S25-Print.fqdn.nl
WSMAN/S25-Print
WSMAN/S25-Print.fqdn.nl
RestrictedKrbHost/S25-PRINT
HOST/S25-PRINT
RestrictedKrbHost/S25-Print.fqdn.nl
HOST/S25-Print.fqdn.nl

Dit lijkt dus allemaal goed te zijn gegaan.

reg add HKLM\SYSTEM\CurrentControlSet\Control\Print /v DnsOnWire /t REG_DWORD /d 1 voor printen op DNS naam gevolgd door een herstart print server.

Vervolgens zelf ingelogd en getest, geen problemen ondervonden, collega laten testen ook geen problemen. Succesvolle migratie denk je dan. Maandagochtend veel collega's die niet kunnen printen, totale willekeur voor mijn gevoel.

Als ik printers wil toevoegen krijg ik een foutmelding: 0x000003eb
Als ik de driver Lexmark Universal V2 XL vervang voor Lexmark XXXX Series class driver werkt de printer weer. Maar om dit voor alle printers te doen heeft niet mijn voorkeur. Ook de nieuwste universal driver doet het niet. Mijn vermoeden is iets met print nightmare omdat type 3 drivers niet werken maar type 4 drivers wel.

Edit 1:
Onze labelprinters (Brother en Zebra) werken wel correct en maken ook gebruik van type 3 drivers. Dus dan zou het iets met de Lexmarks zijn die wij gebruiken

Edit 2:
Uiteindelijk overgestapt op de universal v4 driver van Lexmark en dat heeft het voor ons opgelost. Al weet ik nog niet goed wat er uiteindelijk mis is gegaan.

[ Voor 7% gewijzigd door Neles7 op 27-01-2026 13:14 ]

In mijn ervaring hoefde je alleen een domain join te doen en de Import te draaien.

Neles7 schreef op maandag 26 januari 2026 @ 12:12:
Iemand hier met ervaring in het migreren van print servers met behoud van de oude naam zodat je printers niet hoeft te remappen?

Afgelopen weekend een migratie gedaan van onze printserver.
Export - Import printers
Haal oude server uit AD en verwijder het AD object

Op de nieuwe server:
netdom computername s25-print /add:srv2016-print
netdom computername s25-print /add:srv2016-print.fqdn.nl
ipconfig /registerdns
setspn -l s25-print
Registered ServicePrincipalNames for CN=S25-PRINT,OU=Servers,OU=Systemen,DC=fqdn,DC=nl:
TERMSRV/SRV2016-PRINT
TERMSRV/srv2016-print.fqdn.nl
WSMAN/SRV2016-PRINT
WSMAN/srv2016-print.fqdn.nl
RestrictedKrbHost/SRV2016-PRINT
HOST/SRV2016-PRINT
RestrictedKrbHost/srv2016-print.fqdn.nl
HOST/srv2016-print.fqdn.nl
TERMSRV/S25-PRINT
TERMSRV/S25-Print.fqdn.nl
WSMAN/S25-Print
WSMAN/S25-Print.fqdn.nl
RestrictedKrbHost/S25-PRINT
HOST/S25-PRINT
RestrictedKrbHost/S25-Print.fqdn.nl
HOST/S25-Print.fqdn.nl
Dit lijkt dus allemaal goed te zijn gegaan.

reg add HKLM\SYSTEM\CurrentControlSet\Control\Print /v DnsOnWire /t REG_DWORD /d 1 voor printen op DNS naam gevolgd door een herstart print server.

Vervolgens zelf ingelogd en getest, geen problemen ondervonden, collega laten testen ook geen problemen. Succesvolle migratie denk je dan. Maandagochtend veel collega's die niet kunnen printen, totale willekeur voor mijn gevoel.

Als ik printers wil toevoegen krijg ik een foutmelding: 0x000003eb
Als ik de driver Lexmark Universal V2 XL vervang voor Lexmark XXXX Series class driver werkt de printer weer. Maar om dit voor alle printers te doen heeft niet mijn voorkeur. Ook de nieuwste universal driver doet het niet. Mijn vermoeden is iets met print nightmare omdat type 3 drivers niet werken maar type 4 drivers wel.

Edit 1:
Onze labelprinters (Brother en Zebra) werken wel correct en maken ook gebruik van type 3 drivers. Dus dan zou het iets met de lexmarks zijn die wij gebruiken

Ik zou het gewoon met een GPO gedaan hebben.
Dus export > import printers
alle share dingen na kijken,
gpo met printers verwijderen > nieuwe toevoegen
done

Renegade666 schreef op maandag 26 januari 2026 @ 17:22:
[...]


Ik zou het gewoon met een GPO gedaan hebben.
Dus export > import printers
alle share dingen na kijken,
gpo met printers verwijderen > nieuwe toevoegen
done

Helaas hebben wij een geweldig TMS pakket wat absoluut rampzalig is met printers. Dan zou iedereen daar alsnog alles handmatig moeten aanpassen en dat wilde ik voorkomen. Voor nu heb ik het opgelost met type 4 universal drivers, maar snap nog ff niet waar het mis gaat. Lijkt iets specifieks met type 3 lexmark drivers vooralsnog...

Neles7 schreef op maandag 26 januari 2026 @ 21:16:
[...]

Helaas hebben wij een geweldig TMS pakket wat absoluut rampzalig is met printers. Dan zou iedereen daar alsnog alles handmatig moeten aanpassen en dat wilde ik voorkomen. Voor nu heb ik het opgelost met type 4 universal drivers, maar snap nog ff niet waar het mis gaat. Lijkt iets specifieks met type 3 lexmark drivers vooralsnog...

Hmm Lexmark..

Heb een klant met 5 Lexmark printers, allemaal de zelfde via usb. Elke pc had een andere drivers, anders werkt het niet. Wat prutprinters zijn dat.

Mijn ervaring is compleet het tegenovergestelde. Ik werk nu 12 jaar met lexmark printers en dit is de eerste keer dat ik driver issues heb. Altijd gewoon de standaard universal XL driver gedraaid. En ook de slijtage is bij ons relatief laag. Onze hoogvolume printers doen ~35k afdrukken per maand zonder problemen.

Maar zo zal iedereen wel goede en slechte ervaringen hebben met een bepaald merk

Neles7 schreef op maandag 26 januari 2026 @ 21:40:
Mijn ervaring is compleet het tegenovergestelde. Ik werk nu 12 jaar met lexmark printers en dit is de eerste keer dat ik driver issues heb. Altijd gewoon de standaard universal XL driver gedraaid. En ook de slijtage is bij ons relatief laag. Onze hoogvolume printers doen ~35k afdrukken per maand zonder problemen.

Maar zo zal iedereen wel goede en slechte ervaringen hebben met een bepaald merk

Dat klopt, maar het beste is, geen printers wordt het level een stuk beter van

Renegade666 schreef op dinsdag 27 januari 2026 @ 07:47:
[...]


Dat klopt, maar het beste is, geen printers wordt het level een stuk beter van

Dat zou inderdaad de ideale wereld zijn.

Korte vraag, ik wil voor intern gebruik graag iets met SSL certificaten gaan doen. Ik gebruik een .local domein dus een officieel certificaat gaat hem niet worden. Hoeft ook niet, ik ben tevreden met een self-signed iets. Het doel is die vervelende unsafe meldingen in de browser voorkomen bij het beheer van dingen als de firewall, switches, HPE iLO en dergelijken.

Hoe doen jullie dat? Ik kan met wat openssl commando's wel een CA + wildcard genereren die tot 2025 geldig is. Als ik die CA dan op een of andere manier via Intune mijn machines in kan duwen dan ben ik klaar toch? Of gebruik jullie allerlei gave tooling om per device iets te genereren?

@Drardollan wij hebben een interne microsoft ca, maar dat kan ook gewoon een linux/of andere openssl ca zijn natuurlijk.
En daarna de ca via intune (en/of gpo) uitrollen op je devices.

Of misschien een cloud pki van microsoft ?

Let erop dat als je iOS gebruikt, het clientcertificaat niet langer dan 825 dagen geldig mag zijn. Anders accepteert bijv. Safari het niet.

Het rootcertificaat mag wel veel langer geldig zijn. Zo heb ik het in m'n homelab ook, werkt prima met een scriptje. Daar gebruik ik NginxProxyManager zodat ik maar op één plek een certificaat hoef in te laden.

[ Voor 24% gewijzigd door ThinkPad op 03-02-2026 16:33 ]

Ja browsers gaan ook steeds meer richting kortere periodes.
Net trouwens even getest en huidige Safari op macos kan ik nogsteeds een site bezoeken met self signed die pas in 2034 afloopt.
(en chrome en edge op een pc ook gewoon)

[ Voor 12% gewijzigd door DDX op 03-02-2026 16:43 ]

Een hele eigen CA inrichten zit ik niet op te wachten, wil juist minder servers Cloud PKI had ik wel gekeken, maar zit niet in de business premium en is vooral bedoeld voor Intune beheerde apparaten. En daar hoef ik behalve de CA niet zoveel op te hebben, het uiteindelijke certificaat gaat juist op de onbeheerde kleine apparaten.

iOS gebruik ik niet voor beheer, enkel Windows icm Firefox. Maar dat is wel een goede om op te letten, want juist deze interne devices zijn ook niet te automatiseren met bijvoorbeeld ACME (anders zou ik die nog zelf kunnen draaien wellicht). Maar om nou elk jaar al die flut devices te voorzien van een nieuw certificaat is ook nogal wat...

Naja hele ca kan ook gewoon een linux servertje zijn waar je via openssl certs uitgeeft via commandline. (of windows desnoods, maar ik ben met openssl meer van linux)
Heel moeilijk hoeft het niet te zijn.

DDX schreef op dinsdag 3 februari 2026 @ 16:59:
Naja hele ca kan ook gewoon een linux servertje zijn waar je via openssl certs uitgeeft via commandline. (of windows desnoods, maar ik ben met openssl meer van linux)
Heel moeilijk hoeft het niet te zijn.

Dat was ook mijn gedachte. Even met een openssl commando een root CA en wildcard maken die tot 2050 geldig zijn. Root cert importeren in de laptop en de wildcard op de diverse apparaten. Dan hoef ik het maar 1x te doen tot mijn pensioen

Linux servertjes heb ik zat, dus dat mag geen issue zijn.

Drardollan schreef op dinsdag 3 februari 2026 @ 16:49:
Een hele eigen CA inrichten zit ik niet op te wachten, wil juist minder servers

Certificate Services is een hele lichte service. Kan best "erbij" op een andere machine als het je om gemak gaat en je niet te druk maakt over best practices voor een CA.

downtime schreef op dinsdag 3 februari 2026 @ 17:35:
[...]

Certificate Services is een hele lichte service. Kan best "erbij" op een andere machine als het je om gemak gaat en je niet te druk maakt over best practices voor een CA.

ehh.. nee. Zoiets essentieels als een CA zet je op een eigen server, ook al is het "licht" - dit moet je goed hardenen en dat gaat vaak niet samen met andere services..

Volgens mij is best practice zelfs, een offline root CA en een online subordinate CA. Maar pin me daar niet op vast.

[ Voor 11% gewijzigd door Grvy op 03-02-2026 17:45 ]

Grvy schreef op dinsdag 3 februari 2026 @ 17:44:
[...]


ehh.. nee. Zoiets essentieels als een CA zet je op een eigen server, ook al is het "licht" - dit moet je goed hardenen en dat gaat vaak niet samen met andere services..

Volgens mij is best practice zelfs, een offline root CA en een online subordinate CA. Maar pin me daar niet op vast.

I know. Ik zei dan ook uitdrukkelijk, "als het je om gemak gaat en je niet te druk maakt over best practices voor een CA."

Hij wil gewoon van die certificaat meldingen in de browser af.

Ik zou overwegen met powershell self-signed certificaten te bakken (1 per device) en de publieke delen dan distribueren naar de beheerdersmachines. Zolang het niet al teveel devices zijn, lijkt me dat prima schaalbaar (zelf geen ervaring met certdistributie via intune). Makkelijk te scripten, geen dependencies, enkel een vertrouwde server waar de private keys even op staan. Je moet de certificaten toch handmatig in de devices zetten neem ik aan? De bron van de certs zal dan weinig uitmaken.

Het is wel makkelijker 1x een root cert te distribueren dan iedere keer dat er een managementinterface bij komt overal een nieuw cert in de store te zetten. Het maken en installeren van het cert verandert niet, maar een self-signed cert moet je niet alleen op het device zetten maar ook op je beheersmachines -> meer werk.

Er zijn meer voordelen (zoals kunnen revoken) maar in zo'n kleinschalige installatie zul je daar niet echt gebruik van maken lijkt me.

Ik heb ook een vraagje over certificaten. We hebben een Remote Desktop Gateway server waar we onze wildcard op hebben staan. De server is echter niet van buiten bereikbaar, het is alleen voor derde partijen waar wij mee samenwerken en een VPN tunnel mee hebben. Ik zou onze interne CA hiervoor gebruiken, maar dan weigert de RDP client de verbinding omdat die het certificaat wil valideren. Gaat natuurlijk niet lukken met een interne CA en externe partijen.

Met het oog op het binnenkort verkorten van de geldigheidsduur moeten we hier toch wel iets mee voor automatisering. Welke opties heb ik om een geldig extern certificaat hierop te krijgen zonder de server via internet bereikbaar te hebben?

Zijn hier mensen die de Defender and Purview suites addon for Business Premium inzetten?
Het biedt als add-on een hele scala aan extra mogelijkheden (https://m365maps.com/file...-for-Business-Premium.htm)
Meeste zijn E5 of als losse add-on beschikbaar, maar gecombineerd dus een scherpe deal.


Nu is het een klein beetje tricky, zo bevat sensitivitylabels niet de mogelijkheid om administrative units te gebruiken. Maar goed wel geautomatiseerd labelen, zowel realtime als 'at-rest' in OneDrive/SP. Uitgebreid DLP, Sign in risk detections, meer mogelijkheden qua anti-spam en impersonation als phishingsimulaties.

Ik kom het alleen nog niet zoveel tegen in het wild. Terwijl het wel een toegevoegde waarde biedt en dat voor ~ 12,- per user /maand.

Drardollan schreef op dinsdag 3 februari 2026 @ 20:14:
[...]

Waarom al die moeite doen voor wat interne zut? Niemand zal het ding ooit zien, behalve ikzelf.

Nou... ik snap deze mindset dus niet. Weet je wat er kan gebeuren als men (op welke manier dan ook) bij je CA kan komen? Dan is Domain Admin rechten niet heel veel verder indien niet goed opgezet.

En ja, dat zal in jouw ogen wel weer overdreven zijn en weet ik het wat allemaal. Been there, done that. Seen it in the wild.

Grvy schreef op woensdag 4 februari 2026 @ 09:31:
[...]


Nou... ik snap deze mindset dus niet. Weet je wat er kan gebeuren als men (op welke manier dan ook) bij je CA kan komen? Dan is Domain Admin rechten niet heel veel verder indien niet goed opgezet.

En ja, dat zal in jouw ogen wel weer overdreven zijn en weet ik het wat allemaal. Been there, done that. Seen it in the wild.

Dan zal de hacker eerst een domein moeten optuigen

Volgende week vrijdag is het klaar, dan gaat het huidige domein door het gootsteenputje. Inclusief alle software en delen van de hardware.

De mindset is dus, ik heb zo min mogelijk in de kantooromgeving draaien. Nagenoeg alles zit in de (private) cloud. Ik denk niet dat het veel zin heeft een heel domein op te gaan tuigen voor een paar self-signed certificates die op wat interne spullen als de overgebleven iLO's en switches moet komen te staan.

Had de hoop dat iemand een of ander fancy en simpel tooltje had om via een GUI de openssl commando's af te vuren en een beetje overzicht te creëren. Maar dat lijkt er dus, op een full blown oplossing met een MS CA server of Intune PKI Cloud niet te zijn. Dus dat wordt ouderwets typen en de commando's documenteren, want over 2 jaar weet ik echt niet meer wat ik exact getypt heb.

[ Voor 25% gewijzigd door Drardollan op 04-02-2026 09:48 ]

Een simpel tooltje is er in powershell: New-SelfSignedCertificate .
- Certificaten maken op een windows bak
- Certificaten exporteren en ergens veilig wegzetten (in een passwordvault)
- Certificaten van de windows bak verwijderen
- Publieke delen distribueren naar de beheermachines (in een classic AD kan dat vast geautomatiseerd met powershell (scriptje draaien om een cert aan een GPO toe te voegen))
- Publiek+private delen configureren in de devices

Geen CA of domein nodig. Enkel de juiste fqdn's in de certificaten zetten, de certificaten distribueren voor de trust.

UUDIBUUDI schreef op woensdag 4 februari 2026 @ 10:18:
Een simpel tooltje is er in powershell: New-SelfSignedCertificate .
- Certificaten maken op een windows bak
- Certificaten exporteren en ergens veilig wegzetten (in een passwordvault)
- Certificaten van de windows bak verwijderen
- Publieke delen distribueren naar de beheermachines (in een classic AD kan dat vast geautomatiseerd met powershell (scriptje draaien om een cert aan een GPO toe te voegen))
- Publiek+private delen configureren in de devices

Geen CA of domein nodig. Enkel de juiste fqdn's in de certificaten zetten, de certificaten distribueren voor de trust.

Bij voorkeur wel met 1 enkel root/CA certificaat, dat maakt de distributie een stuk leuker. Maar dat zal ongetwijfeld zowel met powershell als met openssl kunnen (ik prefeer de openssl variant).

Iets als step-ca maakt het wat simpeler (https://smallstep.com/doc...ate-authority-operations/) maar aan de andere kant kun je dat ook met een paar Bash-scriptjes of zo regelen; geef twee bestandsnamen op, een CN, eventueel wat SAN's, en in je scriptje zet jeen alle andere bende

Blokker_1999 schreef op woensdag 4 februari 2026 @ 10:19:
[...]

Je moet er eigenlijk niets mee. De verkorting van de levensduur heeft enkel invloed op webbrowsers. Je kan perfect een geldig publiek meerjarencertificaat aanvragen en gebruiken (als je CA dat wenst te leveren) voor gebruik met bijvoorbeeld een RDS oplossing. Als de sessie evenwel vanop een web gateway in de browser wordt gestart moet je wel even zorgen dat die webserver dat goed doet, maar dat is ook geen probleem.

Ah, dat is dan puur afhankelijk van Xolphin natuurlijk. De externe partijen gebruiken direct de RDP client en stellen de gateway in, dus geen web of wat dan ook van toepassing.

Maar als je CA het ACME protocol ondersteund, dan kan je ook gewoon gebruik maken van ACME en bijvoorbeeld Posh-ACME icm Posh-ACME.Deploy PowerShell modules, de eerste kan het certificaat aanvragen en vernieuwen terwijl de tweede in staat is om het in te stellen op IIS alsook RDS services.

Dat zal MS vast niet in Server 2019 hebben zitten en misschien in 2025. Maar of we met de nieuwe server versie nog een interne AD CA gaan gebruiken weet ik niet zeker. Ergens wel, want ons wifi werkt er mee en dat gaat als Intune mee werkt prima. Maar ik zou dat ook met een andere radius oplossing dan NPS kunnen doen natuurlijk waardoor ik niet het gezeik van strong mapping zal hebben.

Maar bedenk wel dat als je een externe CA gebruikt met ACME, dat die CA ofwel de server op poort 80 moet kunnen bereiken voor validatie via http-01, danwel zal je automatisatie in staat moeten zijn om je publieke DNS te benaderen via een API om de tijdelijke DNS records voor validatie op te zetten.

Precies, dat ding is intern en blijft intern. We hebben al een HAProxy in het DMZ staan voor de paar dingetjes die wel extern bereikbaar zijn (en kunnen we dus ook prima ACME mee doen).

Microsoft heeft zelfs in 2025 geen ACME, en het lijkt er niet op dat ze dat nog gaan toevoegen. Ik heb zelf een ACME proxy opgezet intern die eigenlijk na verificatie de aanvraag voor het certificaat doorzet naar AD CS. Werkt op zich wel goed.

Ik zit met een raar iets wat denk ik heel makkelijk op te lossen is.

Voor mijn werk gebruiken we PDQ Deploy om software te installeren etc naar nieuwe pc's. Voor 1 van de programma's die wij moeten uitrollen is het belangrijk dat dit uitgerold wordt als de gebruikers zelf. Deze gebruikers hebben uiteraard geen local admin of iets dus mijn idee was om deze tijdelijk toe te kennen en dan de stappen uit te voeren om daarna deze rechten weer weg te halen. Nu ben ik zover dat ik een aantal stappen heb waarmee de ingelogde gebruiker opgehaald wordt (Dit uitrollen gebeurt alleen bij ons zelf en niet bij de eindgebruiker) en deze wordt ook opgeslagen. Daarna gebruik ik een powershell script om deze variable op te halen en om deze dan als admin toe te voegen. Op dit laatste gaat het echter mis.

Zodra ik deze stap bereik lijkt het erop dat deze variable ook goed gevuld wordt echter bij de stap om deze in de administrator groep te zetten krijg ik onderstaande error.Zet ik deze gebruiker nu hardcoded erin werkt het uiteraard wel zonder problemen. Heeft iemand een idee wat dit probleem zou kunnen zijn? Dit moet een heel simpel iets zijn maar ik ben nu al 2 dagen me erop stuk aan het kijken.

Het script wat ik uitvoer is als volgt:

Gevalletje string interpolatie?
Probeer eens

Of anders misschien het feit dat je een domein mee moet geven voor de user? Anders zoekt 'ie 'm ook lokaal op de laptop en ik gok dat je wel met een domein werkt

ElCondor schreef op woensdag 11 februari 2026 @ 08:46:
Gevalletje string interpolatie?
Probeer eens

PowerShell:

1 2 3 4

"$($VarUser)" of helemaal zonder quotes: -Member $VarUser

kraats schreef op woensdag 11 februari 2026 @ 09:26:
Of anders misschien het feit dat je een domein mee moet geven voor de user? Anders zoekt 'ie 'm ook lokaal op de laptop en ik gok dat je wel met een domein werkt

Dank hiervoor. Ik heb het idd met bovenste oplossing opgelost. Het domein had ik overigens erbij staan. Het was puur een dikke vinger type fout.

Vorig jaar hadden we 1 submap van een afdelingsschijf gemigreerd naar Sharepoint. Voor elke eerste map van de afdelingen hebben we security groepen voor toegang (RO/RW). Toen we de eerste map migreerden waren de rechten gelijk gezet op de bestemming in Sharepoint.

Nou ben ik vandaag begonnen om de rest te doen, maar de rechten komen niet mee. Met de eerste die ik deed vandaag, stonden dezelfde groepen op als op de reeds gemigreerde map. Dat heb ik moeten corrigeren. Ook de tweede map had niet de juiste groepen erop staan.

Nou is er een optie om rechten mee te nemen, maar dat werkt niet. Want op de share zelf staat een Domain Local groep gedefinieerd en gebruikers zitten in een Global groep die daar weer lid van is. Ik sync met de AAD/Entra connector alleen de Global groepen.

Hoe kan ik direct met de sync/migratie de juiste groepen toegang geven zonder dit per map handmatig te doen?

@Hero of Time
Volgens mij kun je in de migratie job rechten mee nemen, of met conversie doen met een groep die in entra staat.
Heb het zo even niet voor mij, dus weet niet zeker.

Conversie zou dan user mapping via csv zijn, waarbij je 3 velden hebt: lokale groep, cloud/entra groep en boolean of het een groep is. Ik weet echter niet meer of we dat toen gebruikt hebben.