Új hozzászólás Aktív témák
-
F.E.K..
senior tag
válasz kriszrap #27475 üzenetére
Ahogy fentebb írták, igen, jó, ha biztonsági mentések lehetőség szerint tényleg biztonságban vannak.
Ha a példában a szerver ment, az azt jelenti, hogy írási joggal eléri a mentést. Ilyenkor mondjuk egy crypto vírus is eléri ugyanígy teljes joggal...
Ha a szerver nem tudja módosítani a mentést, akkor s kártevő se... (Praktikusan nem árt,ha nem "jelszo123" a "védelem"
(Visszafelé is lehet olyat játszani, hogy a nas csak olvasni tud a szerveren, írni nem, így ha ott történt valami, mondjuk egy hibásan paraméterezett backup software, akkor se áll le a szerver)
Természetesen lehet fokozni: fizikai szeparáció (ha leég a szerverszoba, és mellette van a mentést végző nas-od is, akkor volt mentés, nincs mentés, vagy lehet titkosított meghajtó is (ha betörnek és elviszik a cuccot, az adatok nem kerülnek ki), szóval van még lehetőség fokozni a biztonságot.
De először rendes szeparáció legyen, addig ezek eléggé visszafogott haszonnal bírnak. (VLAN!)
Illetve még egy tanács: csinálj majd visszaállítási tesztet. (Minden mentve van-e, vissza lehet-e valóban állítani az adatokat, tudod-e, hogy mi pontosan hová és hogyan kell/lehet visszaállítani, illetve az adatok tényleg mentődek-e, stb.). A nem tesztelt mentés nem létező mentésnek tekinthető nyugodtan...
[ Szerkesztve ]
Legyen olyan szép és vidám napod amilyet csak szeretnél!
-
Gargouille
őstag
válasz kriszrap #27475 üzenetére
Valószínűleg úgy gondolja, hogy a NAS-on fut a backup szoftver (vagy app vagy aminek akarjuk nevezni) és az készíti a mentést a szerverről, nem pedig úgy, hogy a szerveren fut a backup szoftver, ami a NAS-ra tolja át az adatot.
A logika - gondolom - ebben az, hogy ha kompromittálódik a szerver, akkor az utóbbi esetben a támadó könnyen hozzáfér a NAS-hoz is a szerveren mentett hitelesítőadatok megszerzésével, míg az előző esetben nem.
Ehhez annyit szeretnék csak hozzáfűzni, hogy ha egy alhálózaton van a két eszköz (szerver és NAS) és képesek oda-vissza kommunikálni egymással, akkor igazából nem sokkal vagy előrébb, mert ha bejutnak a szerverre onnan közvetlenül támadható a NAS is, ami valószínűleg csak idő kérdése, hogy elessen.
Ha szeparálod az alhálózatokat (külön VLAN-ok) és két külön alhálózatban van a NAS és a szerver, akkor tudsz ez ellen védekezni, mert akkor például tudsz "egyirányú átjárást" biztosítani a két hálózat között. Például a NAS hálózatából "átlátsz" a szerverébe, de fordítva viszont nem (mondjuk egy Mikrotik routerrel ezt könnyedén meg tudod oldani). Ezzel pedig el tudod érni, hogy a NAS-on futó bakcup szoftver szépen eléri a szervert és le tudja menteni, de ha bejutnak a szerverre visszafelé már nem tudják sehogyan sem elérni a NAS-t, mert abba az irányba nem átjárható a két alhálózat.
Ez persze csak egy lehetőség a sokból.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Gargouille
őstag
válasz kriszrap #27469 üzenetére
A többiek már leírták jól, én csak két dolgot fűznék hozzá:
1. VLAN. Erre fókuszálj, jól mondta F.E.K. kolléga.
2. A szerverről nem tudunk sokat, de ha esetleg ez egy virtuális gépként fut, akkor a hypervisor-t rakd külön védett VLAN-ba a mentéssel együtt, a virtuális gépet meg a normál hálózatba, hogy elérjék a userek. Így full el tudod szeparálni az infrastruktúrát a produktív környezettől. Ha nem virtualizált, akkor pedig tedd azzá.
3. Veeam Agent-el tudsz menteni gyönyörűen. Alapból ha csak ezt a szervert akarod menteni, akkor ingyenes. Ha virtuális környezet van, akkor pedig a Veeam Backup & Replication Community Edition -al profi módon akár több virtuális gépet, fizikai gépet vagy bármit is. Szintén ingyenes, annyi limittel, hogy 10 gépet fogsz tudni csak vele menteni, de ez több mint elég.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
válasz kriszrap #27469 üzenetére
Én az alábbi módon oldottam meg a mentést:
Külön erre van egy 10 éves szerver több lannal megy a hálóra (4+2Tb hdd vel). Csináltam rajta megosztásokat pcbackup és srvbackup néven amelyekek az userek nem érnek el de a gépeken futó backup program (veeam agent) igen.
Azt nem tudom mennyire biztonságos így azaz pl egy vírus mennyire fér hozzá user szinten a veeam hálózati hozzáféréséhez. (elvileg csak local system fér hozzá, azaz elméletben sérülékenység esetén lehetne hozzáférni)
Szervereken is veeam agent fut és azok az srvbackup megosztása mentenek szintén olyan módon hogy maga a szerver adminja sem éri el azt a megosztást csak a veeam. (értelem szerűen több lanon és külön hdd-kre megy a mentés így egy időben.
A backup szerveren bekapcsoltam a deduplikációt. Annyi minimális igénye azért van hardverből hogy ramot pakoltam bele a dedup miatt (10gb ram, valami lga1156 4 magos xeon) és kézzel beállítottam hogy a dedupot hétvégén rakja rendbe. Elvileg ennél erősebb hardver kell neki de a backupsrv-nek más dolga nincs így izzadjon.
Külön a szevereken lóg még egy külső olcsó vincsi amelyre a szerver is csinál mentés a beépített windows server backuppal (amit nézni kell rendszeresen mert amúgy néha behülyül)
Mentési rend az úgy néz ki hogy éjszaka vannak elosztva órákra a gépek hogy melyik mikor mentsen de vannak átfedések. Néha szólok az usereknek hogy hagyják bekapcsolva a gépeiket aztán lemegy a mentés. Nekem elég megnéznem a mentéseknél a mappák utolsó módosítás dátumát, meg néha az userek gépén nincs-e felkiáltójel a veeamon (bár emailt is tudna küldeni a valami nem jó.Hozzáteszem user gépek mentése nálam csak a totál halál esetén fontos, azaz ha elpatkol a windows egy update után vagy teljesen megdöglik a gép. Fontos adatok szerveren vannak. User gépeken lévő dolgok több helyen is megvannak. Levelezés sincs helyben.
Még majd meg akarom csinálni hogy legyen cluster hyperv-hez de nincs tartományom anélkül meg cseszik működni. (több leírást is próbáltam)
Nas elérés kikapcsolásra:
A hálózatát lekapcsolgathatod, kissé faék módszer külön switch a nas és szerver közé amelyet időzítőkapcsolóval kapcsolgatsz, vagy esetleg valami okos switch/router amiben van időzítő.
Mentéseknél amúgy is ajánlott a több lan ha egyidőben több helyről megy mentés, illetve több hdd. Pcie lan kártya filléres, mentésre meg a legalja hdd is jó. (pontosabban NE legyen SMR-es, de lehet sima desktop is)[ Szerkesztve ]
-
F.E.K..
senior tag
válasz kriszrap #27469 üzenetére
Két apró megjegyzés/tanács:
1. Ne külön ip címekkel "szeparálj", mert az semmit se ér. Amit keresel, az a VLAN (ha már van mikrotik, és // "rászeretnék "feküdni" a hálózat biztonságra." // ).
2. Mentésnél lehetőleg ne a szerver mentsen, hanem a NAS nyúljon be a mentendő adatokért. A szervernek NE legyen joga a NAS-ra írni.
Így, legalábbis felvétve, hogy több verziót is eltárolsz a mentett adatokból - ugye igen? -, ha a szerver adatai sérülnek, korrumpálódnak, a NAS-on az előző verziókat az nem érinti - Onsite vs Offsite backup - )3. Ha midnenképpen a statikus címeket szeretnd blokkolni, akkor "Enable add arp for leases" kifejezésre keress rá. Bár VLAN szeparációval jobban jársZ (illetve port secure is bekapcsolható, ha nem váltakoznak túl sokat a kliensek)
[ Szerkesztve ]
Legyen olyan szép és vidám napod amilyet csak szeretnél!
-
SirRasor
addikt
válasz kriszrap #27298 üzenetére
Van, működik a dolog.
10+ éve kellett írnom egy kis progit, amit max 4 ember használt egyszerre és arra pont jó volt egy SMB megosztáson létrehozott Access file, amihez Delphiben írtam egy kis progit.
Egy adattáblát töltöttek ki. 5 másodpercenként befrissítette a progi az adatokat.
1+ évig ment hiba nélkül. Utána jött a fekete leves: elkezdték többen használni. 7+ felhasználónál véletlenszerű adathibák léptek fel...Utána fogtam az egészet és PHP+mysql alapokra helyeztem.
Make Love not war!
-
Gargouille
őstag
válasz kriszrap #27298 üzenetére
Szerintem erre gondolsz.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
kraftxld
Topikgazda
válasz kriszrap #26390 üzenetére
Milyen eszközök vannak, mennyi pénz van rá, és milyen kapcsolat van?
De a korábban említett bérelt vonal teljesen fölösleges, senki sem használja, site-to-site VPN teljesen jó, esetleg SD-WAN-t is meg lehet nézni.| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
-
bolvar
senior tag
-
Gargouille
őstag
válasz kriszrap #26037 üzenetére
Jól beszél az előttem szóló, 2db Hyper-V szerver (akár core), egy VM-re mindent ráraksz és cluster-t csinálsz, aztán akkor a két szerver között kedvedre rakosgathatod a VM-et leállás nélkül. Egyszerűbb verzióban meg ugyanez, de cluster nélkül, csak replika van a két Hyper-V közt. Minimális leállással úgy is pakolászhatod a VM-et.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
kraftxld
Topikgazda
válasz kriszrap #26037 üzenetére
A fiatal szovjet mérnökök erre a problémára találták fel a DFS-t és a DFS replikációt
És egy jótanács, egy suliban nem kell ennyire tolni a HA-t könnyen, hamar drága limitekbe ütközhetsz.
Virtualizálva, HA-val vagy VM replikációval, gyorsabban, egyszerűbben tudsz jobb eredményeket elérni.[ Szerkesztve ]
| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
-
VeryByte
őstag
válasz kriszrap #26027 üzenetére
ssh-z be az AP-kra és set inform a barátod.
Mondjuk én a két helyet két külön site-nak csinálnám meg, jobb a kezelhetőség - számomra.
Ha már valahová felkerült az AP, akkor a site-ok között simán mozgathatod.Ha fix IP, akkor a DHCP 43-at felejtsd el.
A DHCP 43 egyébként arra jó, hogy a DHCP kiszolgálón mondod meg, hogy ki a csoda a controller, így az AP oda fog szépen csatlakozni. Gyakorlatilag a set inform automatizált változata.
Pl. ennek definiálására az Edgerouter DHCP részben külön lehetőség van.[ Szerkesztve ]
"What is the most important thing in a woman?" - "The soul."
-
Gargouille
őstag
válasz kriszrap #25961 üzenetére
Ha valami sulis környezet és lokális DNS szervert használtok (mondjuk ha AD környezet van, akkor tuti), akkor egyszerűen már azon meg tudod oldani ezt, nem kell hozzá Mikrotik-en varázslani.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Gargouille
őstag
válasz kriszrap #25959 üzenetére
Mármint a tiltását tiltani, vagyis engedélyezni?
Amúgy Mikrotik fórumon érdemes megnézni, van róla szó. De sokféle módja lehet amúgy, mondjuk layer7-en csinálsz rá regexpet vagy a DNS kéréseket átirányítod a saját DNS szerveredre, ahol meg már úgy oldod fel a domain neveket, ahogy akarod stb. Sok megközelítés van, attól függően mit szeretnél elérni pontosan.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
bolvar
senior tag
válasz kriszrap #25588 üzenetére
Szintén zenész nálam is fix ip üzemel(t) kb 40-50 site, vegyesen mindenféle router switch kombóval, sose tapasztaltam ilyen hibát.
Mikrotiken vagy 5 éve nem üzemeltettem unifit de akkor kellett a dhcp optionsbe 43-as id-val a hex értéke a controllernek, gondolom ez megvan mert anélkül nekem nem is nagyon ment emlékeim szerint.A jó lányok azt mondják: NEM! A rosszak azt, hogy: HOL? :)
-
veterán
válasz kriszrap #25586 üzenetére
Anélkül, hogy flame-et keltenék: dobd át a Mikrotikről más valamire próbaképp a DHCP-t, ha lehet, és menni fog. Egyébként én mindig fix IP-t adok nekik, soha nincs ilyesmi, amiről írsz, Unifi switchről natívan, illetve tápfeladóval HP switchről is rendben mennek évek óta.
Amikor nem megy, nézd meg, hogy Unifi Discovery tool látja-e őket MAC alapján (l2 kereshetőség legyen engedélyezve előtte a kontrollerben), ha így megvannak, csak IP-jük nincs, akkor nem fizikai a baj.
[ Szerkesztve ]
-
Gargouille
őstag
válasz kriszrap #25586 üzenetére
A kérdés, hogy ilyenkor mind a 4 AP egyszerre tűnik el, vagy sem? Ha egyszerre, akkor nem az AP-kkal van probléma hanem például a switch-el, amibe csatlakoznak, vagy tápellátás. Ha külön-külön csinálják random, akkor meg valamilyen konfigurációs probléma lehet inkább.
Ami fontos ilyenkor, hogy próbálj valami összefüggést találni, főleg az időszerűségében vagy abban, hogy tudd valamihez kötni az eseményt (például mindig akkor veszíti el az IP-t amikor épp X vagy Y dolog történik a környezetében, vagy a vezérlőt futtató gépen vagy ilyesmi.)
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
kraftxld
Topikgazda
-
Gargouille
őstag
válasz kriszrap #25432 üzenetére
A gépházban a Windows update-eknél be lehet állítani az Aktív időszak-ot, amiben megadhatod, hogy mikor ne keressen frissítést. Ez pontosan erre van, amit szeretnél.
De amúgy elég jól tervezhető dolog ez, mivel minden hónap második keddjén adja ki a Microsoft a frissítéseket. Tehát ha mondjuk kedd éjjelre vagy szerdára rakod a script futtatását (feltételezve, hogy nem akarsz előtesztelni pilot gépen például), akkor egy hónapig baromira nem fog egyéb frissítés kijönni (max nagyon ritkán soron kívül), úgyhogy keresgethet nyugodtan bármikor a gép update-et.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
-
Gargouille
őstag
válasz kriszrap #25428 üzenetére
Az ilyesmire a legegyszerűbb egy powershell script-et írnod, amit ütemezetten tudsz futtatni amikor csak neked tetszik.
Példa a script-re:
#Define update criteria.
$Criteria = "IsInstalled=0 and Type='Software'"
#Search for relevant updates.
$Searcher = New-Object -ComObject Microsoft.Update.Searcher
$SearchResult = $Searcher.Search($Criteria).Updates
#Number of updates and check reboot
$NumberOfUpdates = $SearchResult | Where-Object {($_.Type -eq "1")} | Measure-Object -Line | Select-Object -expand Lines
#Check reboot
If ($SearchResult.rebootRequired) {
$Reboot = "Reboot required!" } else {
$Reboot = "No reboot required"
}
If ($NumberOfUpdates -gt 0) {
Write-Host $NumberOfUpdates "New updates found"
Write-Host $Reboot
$SearchResult | Where Type -eq "1" | Select Title
Write-Host "Installing updates..." `r`n
#Download updates.
$Session = New-Object -ComObject Microsoft.Update.Session
$Downloader = $Session.CreateUpdateDownloader()
$Downloader.Updates = $SearchResult
$Downloader.Download()
#Install updates.
$Installer = New-Object -ComObject Microsoft.Update.Installer
$Installer.Updates = $SearchResult
$Result = $Installer.Install()
Write-Host "Update complete"
If ($Result.rebootRequired) {
Write-Host "Rebooting..."
shutdown.exe /t 10 /r
}
} else {
Write-Host "No new updates"
}
Ezt fogod, elmented ps1 kiterjesztéssel és kipróbálod egy gépen, aztán testre tudod szabni magadnak, ahogyan szeretnéd (mondjuk rakhatsz bele naplózást stb.)
A beépített Windows PowerShell ISE editorba ha betöltöd, ott remekül tudod tesztelgetni és szerkeszteni.
Sőt, ha egészen perverz vagy, akkor a PS scriptet még exe-re is le tudod fordítani például a PS2EXE-vel, így egyszerűbbé teheted a futtatását is, meg a user sem fog tudni mondjuk belepiszkálni.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
kriszrap
tag
válasz kriszrap #25358 üzenetére
Tartományi server csak ennyit csinál:
GPSVC(6ec.1488) 13:00:19:260 CGPNotify::RegisterForNotification: Entering with target User and event 0xe4c
GPSVC(6ec.1488) 13:00:19:260 CGPNotify::RegisterForNotification: Exiting with status = 0
GPSVC(6ec.1488) 13:00:19:260 CGPNotify::UnregisterNotification: Entering with event 0xe4c
GPSVC(6ec.1488) 13:00:19:260 CGPNotify::UnregisterNotification: Exiting with dwStatus = 0x0
GPSVC(2250.1a70) 13:00:40:904 RefreshPolicyForPrincipal: Entering with bMachine = 1, SID = null, options: 1, dwTimeout = 600000, currentProcessId = 8784, processImageName = C:\Windows\System32\gpupdate.exe
Ahogy nézem csak szervernél csinálja .Van egy tartomány Fő vezérlőm 2012 alapon és van még egy 2016 de az csak tartomány vezérlő. Nem tudom a különbség bezavarhat e .
-
Gargouille
őstag
válasz kriszrap #25303 üzenetére
Csatlakozva az előttem szólóhoz, rakj elé egy Mikrotik-et és azon NAT-old be az L2TP-t (vagy RADIUS-al maga a Mikrotik is tud autentikálni a DC-ről és akkor eleve lehet az a VPN szervered). Ne akarj Windows szervert így kirakni a netre, még ha szeretsz veszélyesen élni akkor sem jó ötlet.
A konkrét kérdésre válaszolva pedig Windows tűzfalszabályt nem tudsz így konkrétan adapterhez kötni szerintem, de a szabály létrehozásakor a "hatókör"-ön belül van egy lehetőség, hogy melyik adaptertípushoz (wifi, helyi stb.) akarod kötni, de ez nem igazán az amit te szeretnél.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Gargouille
őstag
válasz kriszrap #25286 üzenetére
Talán ez megoldás:
Virtual machine is unresponsive while applying audit policy configuration policy
Illetve bővebben:
Troubleshoot Slow GPO Processing and Login Speed Impact
hátha...
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Gargouille
őstag
válasz kriszrap #25243 üzenetére
Ha gyorsítani akarod a folyamatot, akkor nem kell végigvárnod háromszor a teljes boot folyamatot, ha megjelenik a betöltő képernyő, ahol fekete alapon "karikázik" már a Windows, akkor nyomsz egy vastagot neki és ezt megismétled még kétszer, utána jön is egyből a recovery mode.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Gargouille
őstag
válasz kriszrap #25241 üzenetére
Egy safe mode-ban indítás mindenképp kellene, vajon úgy is belefagy? (Harmadik sikertelen restart után Recovery Mode-ban indul, ott meg Troubleshoot -ban találod a Startup Settings-et, itt megadhatod, hogy legyen safe mode a boot menüben.)
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Gargouille
őstag
válasz kriszrap #25202 üzenetére
Nem gondolnám, hogy az SMB 1-nek köze lenne a sebesség ingadozáshoz, viszont biztonsági szempontból rizikós, nem véletlenül van kikapcsolva ma már alapból. Az ingadozást inkább valamilyen cache/buffer dolog okozhatja például (mondom ezt vaktában).
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
Gargouille
őstag
válasz kriszrap #25172 üzenetére
Valószínűleg arra gondolt, hogy attól, hogy ha így összefogsz két adaptert, attól még nem "adódik össze" a sebességük, tehát például nem fogsz tudni mondjuk egy adott gépről 2Gbps-el másolni a szerverre*, hanem csak úgy fogod tudni kiaknázni a sávszélesség bővülést, ha több klienssel támadod a szervert. Vagyis (leegyszerűsített példa), ha mondjuk 2 klienssel másolsz egyszerre a szerverre, akkor mindkettő 1Gbps-el fog tudni adatot továbbítani. Most persze nagyon lesarkítva írtam.
* Ez nem teljesen igaz, mert SMB multichannel -el az SMB műveleteknél elérheted 1 klienssel is a 2Gbps sávszélességet.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
-
Gargouille
őstag
válasz kriszrap #25071 üzenetére
Már sokszor csináltam in-place upgrade-et, működik. Igaz, nem olyan tiszta munka mintha nulláról újrahúzod, de van amikor az túl nagy meló vagy nem lehetséges.
Épp a napokban fogok egy 2012 Foundation-t feltolni 2016 Datacenterre (tudom unsupported) ugyanígy, sajnos tiszta telepítést nem lehet műszaki kényszerek miatt. Virtuális környezetben leteszteltem, működik.
Lassan kiderül, hogy amit korábban abszurd humornak gondoltunk, az csak szimpla jövőbelátás volt.
-
kraftxld
Topikgazda
válasz kriszrap #25063 üzenetére
A Gen10-es HPn nem támogatott a Windows Server 2012. Valszeg driver gond lesz. Vagy telepítsd újra valami 10 évnél frissebb OSel, vagy ha ragaszkodsz a csodálatos Win 8.x alapú szerver OShez akkor virtualizáld ESXi vel.
| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
-
radi8tor
MODERÁTOR
-
Upo
addikt
válasz kriszrap #24784 üzenetére
Én is azt mondanám hogy nem.
Illetve hogy lett hozzáadva a szabály?
Van Public, Private, Domain profil is, illetve van az Any, ami mindegyikbe beteszi.
Ha Any, akkor megmaradhat, ha csak Domain, akkor elmegy.Blogom: https://logout.hu/blog/upo/index.html | "Az átlagember alvásigénye még 5 perc"
-
E.Kaufmann
veterán
válasz kriszrap #24666 üzenetére
Lehet. Csomó program tud pillanatképet készíteni és azt az állapotot menteni. Ha csak lemezkép kell akkor ezt használtam pár éve: https://docs.microsoft.com/en-us/sysinternals/downloads/disk2vhd
De ha profi megoldás kell, ami sokféle futó alkalmazást ismer (hogy ne legyen se sebességprobléma se inkonzisztens állományok), és távolról is kell menteni, akkor veeam.Le az elipszilonos jével, éljen a "j" !!!
-
kraftxld
Topikgazda
válasz kriszrap #24442 üzenetére
DNS-ből kiszedi, van egy SRV rekodja vagy AD based activation-t csinál.
Nem kell batch vagy egyéb varázslás.
Klienst a nyilvánosan elérhető KMS kliens kulccsal kell telepíteni, aztán tartományba léptetés után megcsinál mindent.| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
-
kraftxld
Topikgazda
válasz kriszrap #23953 üzenetére
Szerintem először nézz meg pár alap hálózatos videót, főleg a subnetekről, DHCP-ről, stb.
Nem bántásként, de amiket it kérdezel az alapján elég hiányosak az ismeretek és olyan dolgokat csinálsz amivel elég csúnyán szét tudod b*szni az egész hálót.Eddig se volt egyszerű amit szögeltél, de ez a dupla DHCP-s, 2 átjárós cseszett nagy subnet elég meredek
| MCSE+M/S, MCITP, VCP6.5-DCV - ''Life can be hard, but Scooter is harder :)'
-
-
Drag77
senior tag
válasz kriszrap #23918 üzenetére
Megosztasokat ki kell exportálni, és az ujon importálni, registryben van. Fontos a betujelnek ugyan annak kell lennie.
http://draginet.hu , MCSA, MCSE, UEWA, Microsoft 365 Certified: Modern Desktop Administrator Associa Microsoft Certified: Windows Server Hybrid Administrator Associatete,
-
gaborbol
őstag
válasz kriszrap #23918 üzenetére
Ha a szervernev ugyan az lenne akkor talan, vagy ha DFS share volt akkor azzal egyszerubb az elet.
Ilyen esetben en robocopy -val szoktam attolni az adatokat a differental opcioval az uj szerverre. Ejjel meg egyszer futtatom, aztan kikapcsolom a share-t a regi szerveren. Kirakom a share-t az atmasolt mappakon, ha a /MIR /Sec opciot hasznaltal akkor minden jog es beallitas atjon a masolassal. Csak a gpo-t atirom az uj szervernevre es kesz. -
-
F.E.K..
senior tag
válasz kriszrap #23830 üzenetére
A wifi radius-al való "használatához" nem kell a kliensnek (notebook, mobiltelefon, stb.) tartományi tagnak lennie.
Ha van AD kiszolgáló akkor azon neked egy NAP (Network Access Protection (NAP) policy) server kell, bár windows-ban kevésbé vagyok otthon (én ldap-ot használok freeradius-al), de erre indulnék el: [link]
(Vagy felraknák egy külön radius szervert és az használná az AD címtárát akár)
Természetesen 802.1x képes AP-k (és kliensek, de az nem igen lehet gond hacsak nagyon régi eszköz nem kerül esetleg elő) és érvényes tanúsítvány szükséges a dologhoz (self signed esetén jó eséllyel importálni kell a kliensre hogy elfogadja).
(Windows szakemberek remélhetőleg majd kijavítanak ha esetleg ez félrevinne).
"Na most az a másik kérdésem ha a diák számítógép nevet lemásolja a sajátjára akkor is radiustól kap engedélyt ha gép hitelesítés van beállítva vagy ilyenkor a radius gépnévnél mit ellenőriz?"
A MAC ez esetben nem "játszik".
Egyszerűsítve:
A címtárban szereplő felhasználó név/jelszó páros alapján hitelesít, azaz ha a forrás egy AD, akkor az ott lévő felhasználói név és jelszó páros szolgál hitelesítésre (minden felhasználó a saját adataival jelentkezik be megosztott kulcs helyett.).Példa:
WPA2 wifi esetén a kliens (legyen mondjuk egy mobiltelefon) az előre legenerált kulcs megadásával csatlakozik a wifi hálózathoz.EAP esetén a felhasználói azonosító megadása után (ez is elmenthető ugyanúgy mint a psk) az ap elküldi a megadott adatokat a radius kiszolgálónak, és az ellenőrzi vissza hogy helyes-e. Ha igen, az AP az alapján engedi fel a hálózatra.
Ha valaki megtudja a másik felhasználó név és jelszó párosát akkor annak a nevében tud netezni (meg minden mást is végrehajtani természetesen, ez egy OTP One Time Passwords megoldás).
Ha a diákoknak is van AD azonosítója akkor "saját jogán" netezhetnek ők is, akár külön rájuk vonatkozó korlátozásokkal (pl. a diák nem éri el a belső halózatot csak netezni tud, esetleg azt is csak meghatározott idődzakokban, stb.)
[ Szerkesztve ]
Legyen olyan szép és vidám napod amilyet csak szeretnél!
-
F.E.K..
senior tag
válasz kriszrap #23825 üzenetére
A hálózati belépést 802.1x esetén lehet figyelni gond nélkül, de akkor természetesen központi auth kell, AD/LDAP ahogy jólesik, és ahhoz rakni egy radius-t, hozzá egy WLC a wifihez és kész is. (Klienseket persze egyszer fel kell konfigurálni nyilván).
A vendégek meg kapnak egy captive portal-t és gond letudva.
Esetleg port security, és a nem ismert eszközök vendég vlan-ba érkeznek (itt is radius-t javasolt használni, mac túl könnyen lehet bármikor módosítani).
Forgalom monitorozáshoz rakj fel valami transzparens proxy-t, akkor látható hogy ki merre forgalmazott és szűrni is lehet (pl. vírusvédelem, ismerten veszélyes weboldalak, stb.)
Legyen olyan szép és vidám napod amilyet csak szeretnél!
-
radi8tor
MODERÁTOR
válasz kriszrap #23825 üzenetére
Felhasználó hol lépett be és ki: nem lehet
Hálózaton elérhető eszközöket ki tudják olvasni a network scannerek, de azok futása jó pár perc.
De arról nem fogsz infót kapni ki mit csinál, meddig használja a hálózatot stb.
Az Inetrnet használatot a hálózaton levő proxy server tudja kezelni/monitorozni.⭐ Stella
-
Upo
addikt
válasz kriszrap #23678 üzenetére
Az xampp oda telepít, amilyen helyet az első kattintás után megadsz.
Csinálj pl. egy prg mappát a gyökérbe, és abba tedd az ilyen dolgokat, és a prg mappára húzd rá a jogokat. Vagy D:\xampp , ahogy nálunk is van. És ott nem szól bele a rendszerbe.Blogom: https://logout.hu/blog/upo/index.html | "Az átlagember alvásigénye még 5 perc"
-
Új hozzászólás Aktív témák
- Interactive Brokers társalgó
- Építő/felújító topik
- Digitális Állampolgárság Program DÁP
- Számítási kapacitásban és hardverben gazdag 2025-öt kíván a PROHARDVER!
- NVIDIA GeForce RTX 4080 /4080S / 4090 (AD103 / 102)
- Vezetékes FEJhallgatók
- One otthoni szolgáltatások (TV, internet, telefon)
- AMD GPU-k jövője - amit tudni vélünk
- AMD Navi Radeon™ RX 7xxx sorozat
- Kutya topik
- További aktív témák...
Állásajánlatok
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest