Új hozzászólás Aktív témák
-
metaldog
aktív tag
Sziasztok
Azt hogy tudom megnézni hogy hány felhasználó lóg éppen a szerveren?
Köszi -
norbert400
tag
válasz szallasi007 #1202 üzenetére
A powershell csodákra képes.
Mai nap futottunk bele, hogy az egyik kilépő nevén volt egy olyan pc amit már rég nem is ő használ. Semmi más infó nem volt a gépről csak egy gyári szám. Powershellen lekértem, hogy a pc gyári számához milyen hostnév tartozik, a hostnév alapján pedig lekértem, hogy épp ki van rajta.
Így a világ újra megmenekült.
-
szallasi007
őstag
válasz norbert400 #1203 üzenetére
Küld el nekem privátba pls eme csoda ps parancsot jól lesz nekem is - mindig ilyenkor lesz nekem is vmi ilyen szívásom
-
DopeBob
addikt
válasz norbert400 #1203 üzenetére
Lazán kapcsolódik, csak ahogy olvastam eszembe jutott. Nem brand gépek, tehát nincs gyári számuk. Lehet valahol AD-ben egy leltári számot? Vagy ki hogy oldja ezt meg? Sokat segíteni, nem mindíg vagyok up-to-date a doksikkal
MZ/X
-
Steph88
csendes tag
Sziasztok. Egy kis segítséget szeretnék kérni mert már ideje játszom vele de nincs tökéletes siker élményem. És már kezdek falnak menni
Szóval röviden, VPN kapcsolatot szerettem volna létre hozni egy windows 2012 server-en domain környezetben hyper-v -n keresztül. Tegyük fel, hogy párnap szenvedéssel és mschap-v2 csatlakozással megy is. Belülről, itt helyben. Megpróbálom elmagyarázni.
Szóval a szerver(ek) egy internal hálózaton mennek, 10.49.* címen DHCP-n. A fő kiszolgáló ahol van a VPN szerver, DNS, AD is, annak a szervernek két háló kártyát adtam. Egy 10.49.100.1 internal kártyát és egy external 192.168.1.100 ip-ű kártyát. Ugye ezt látja a kis otthoni D-Link wifi routerem is.
Van egy no-ip *ddns.net domain címem, ahonnan távolról elérem a router-et stb... Nah de most nem is ez a lényeg. Szóval már játszottam a DMZ-vel is (ezt is tanácsolták), hogy oda rakjam a 192.168.1.100 -as címet és mindent átenged. És itthon teljesen jól működik minden, amíg a saját wifi hálómon vagyok. Még akkor is ha a xxxxx.ddns.net címen hivatkozom a kapcsolatra. Amint viszont más hálón vagyok, nem jön létre kapcsolat.
Már annyira fel***ott, hogy simán csak egy RDP kapcsolattal kezdtem tesztelni. Port Forwarding 3389-es porton a 192.168.1.100 felé. A helyzet ugyanaz. Amíg a belső wifimen lógok egy másik laptoppal "messze" a host-tól, még ha a xxxx.ddns.net címet is adom meg az RDP-nek, simán authentikál és beenged. Amint külső (mobilon megosztott hotspot - laptoppal) indulok neki, nem jön létre a kapcsolat. Fura mód ha így a host gépet adom meg a routerben, a 192.168.1.50 címet amin a hyper-v kliens fut, az is működik.
Routeren már volt mikor az egész tűzfalat kikapcsoltam de... akkor se sikerült
Hirtelen már csak valami időtúllépésre tudok gondolni, hogy túl sok időbe telik neki kimenni a netre, vissza találni a routerhez, onnan rá a hostra, a hyper-v virtuális hálókártyát megtalálni amit ugye a server érzékelne és eldöntené mi a helyzet. De ez csak tipp. Kezdek kifogyni minden ötletből. És igen, nemrég töröltem a virtualbox-ot és nem ott próbáltam ezeket mikor mintha annak egyszerűbb és jobb lenne a hálózat kezelése
Szóval ha van bárkinek tippje, megköszönném.
-
szallasi007
őstag
válasz Steph88 #1208 üzenetére
Bár azt felfogtam hogy ddns megy de azért az nekem nem derül ki hogy dupla NAT van e vagy sem.
Szóval a szolgáltató cucca is szór DHCP - t amiből a te routered is kap címet vagy sem?
Ha dupla NAT mögött van a vpn szervered akkor a szolgáltató tűzfalán (modem/router) is kell egy szabály meg a te routereden is.
Aztán még az is simán lehet hogy a VPN portja 47 1723 simán tiltva vannak hogy otthonról ne tudj VPN szervert üzemeltetni - Telekom pl csinálja az smtp-vel együtt.[ Szerkesztve ]
-
-
VeryByte
őstag
válasz Steph88 #1211 üzenetére
Ne legyen 2 default gateway. Csak az legyen, amin kimegy. Neki nem kell a 10.49.100.1. A 10.49.0.0/16 range-ben lévő gépeknek add csak meg a 10.49.100.1-et, nekik van arra szükségük. 2 default gateway nem egészséges.
"What is the most important thing in a woman?" - "The soul."
-
Magnat
veterán
válasz Steph88 #1211 üzenetére
Szia,
Ahogy már mondták, 2 DG nem jó, akkor egyik már nem default ... Csak a net felé legyen. Belülről azért megy ddns névvel is, mert a routered nat loopbackel, észreveszi h belülről jön a request és visszairányítja lan irányba.
Kérdezték már, de nem válaszoltál, a te routereden kívül van szolgáltatói router is? A router (bármelyik) nem rendelkezik véletlen beépített vpn funkcióval? Ha igen, azt kapcsold ki, mert különben a dmz ellenére is magára irányítja a kintről jövő vpn requesteket.̿' ̿'\̵͇̿̿\з=(◕_◕)=ε/̵͇̿̿/'̿'̿ ̿
-
Steph88
csendes tag
Rendben, kivettem a két átjárót és csak a net felé van. De így se az igazi. Szolgáltatói router nincs, egy régi DIGI-s modem van. Ez még a 8mbps csúcs hálózat. Ebbe ne menjünk bele, már vagy az ötödik levelet írtam nekik, mert a városban szinte mindenki másnak be van húzva az optika Pedig a város közepén lakok
Szóval nincs szolgáltatói router. Az enyém D-Link 860L Asus firmware-el. Van rajta VPN funkció de az ki van kapcsolva. Távoli asztali kapcsolat megy mindenhonnan de a VPN valamiért megakad ha ki kell mennie a netre
-
zolee001
őstag
Hátha olvassa vki
Essentials r2,office 365 connect hibát dob szokásához hiven,a neten fellelhetö reg key törlés nem vezet eredményre mivel a kulcs nem létezik
Vkinek esetleg ötlet? -
Steph88
csendes tag
válasz VeryByte #1220 üzenetére
MS-CHAPv2 hitelesítés. IPsec-el nem játszottam.
DMZ-ben is benne az 1.100.
Köszönöm a segítséget de szerintem feladom Valószínűleg tényleg router baki lesz. Ma már virtualbox-al is újra raktam mindent, helyzet ugyanaz. Belső wifi hálón gond nélkül megy mindenféle kiszolgáló hivatkozással, külső (mobil netről, ismerős digijéről) semmi. Fura mód az RDP rögtön betalál kívülről is szóval... Már kb minden lehetőséget próbáltam, lehet tényleg a routernek nem tetszik a dolog. Azért köszönöm az időtöket
-
zolee001
őstag
válasz Steph88 #1222 üzenetére
SSTP Vpn a nyerö windows környezetben,ha játszós a server akkor instaláld az essentials role-t és a varázsló megcsinál mindent egy lépésben,max onnan kipuskázod mit ,hogyan konfigurált
A virtualizációs szoftverekbe renben volt a hálózat és a port forward?
[ Szerkesztve ]
-
Steph88
csendes tag
Köszi, majd erre is ránézek mit tud. Most egy kis időre jegeltem a témát de úgy is nemsokára elő fog jönni megint
Most másik problémával küzdök, ami olyan egyszerűnek tűnik mégse tudok ezen se átvergődni. Hátha tudtok segíteni mert google-n már nem tudom hogy keressek rá és nem találok értékelhető választ.
Tegyük fel, van egy darab domain, egy darab forest és kész. Viszont több domain controller. És én azt hogy tudom elérni, hogy mondjuk az egyik domain controller-hez x csoportnak legyen admin jogosultsága, másik dc-hez y csoportnak? A kliens gépekkel semmi gond, hogy group policyban beledobom a local admin group tagjaként x vagy y csoportot. De akárhogy nézem, dc-ken nincs lokális csoport. Vagyis van de az egész domain lokális csoportja. Vagyis ha a domain "built in administrators" csoportba beledobom x csoportot, akkor az minden dc-n admin lesz. De én azt akarom csak, hogy dc1 -en x csoport legyen admin, dc2-n meg y csoport. Remélem érthető
Tudom, hogy meg lehet valahogy oldani, csak a mikéntjére nem tudok rájönni Ha tudtok segíteni, megköszönném.
-
Steph88
csendes tag
Most nem is a miérten van a hangsúly. Tegyük fel fikcióban, van egy nagy országos vállalat egy domaint üzemeltet. Megyénként 2-3 dc-vel. És lennének megyei rendszergazdák akik csak a saját dc-jükhöz férnének hozzá viszont ahhoz full admin joggal. De az egész országéhoz, többi megyei dc-hez ne. Kb így képzelném el. De leginkább a "hogyan lehetne ezt megoldani" kérdés érdekel. Mert az OU-khoz (megyénként külön OU) delegáljuk azokat az adminokat. Policyban a kliensek helyi rendszergazda csoportjához hozzá adjuk a megyei admin group-ot. De hogy lehet elérni azt, hogy heves megye dc-jének Heves megyei admin group legyen az adminja a "domain admins"-on kívül de máshol ne?
-
szallasi007
őstag
válasz Steph88 #1226 üzenetére
Lehet hülye megoldás, de child domain és site connection felé mennék el.
Szerintem a child domaineket mikor megcsinálod akkor ugye az gyermek.domain.akarmi lesz aminek külön domain adminja van. Ez csak azt az aldomaint tudja szerkeszteni. Az enterprise domain admin lennétek ti akik viszont mindenhol full jogotok lenne. Site linket gondolom ki kell hozzá építeni IPSecen és csókolom.
Arra kellene csak figyelni hogy amikor security vagy distro csoportot csináltok és minden aldomainen latszodnia kell akkor universal-ra kell tenni. -
Steph88
csendes tag
válasz szallasi007 #1227 üzenetére
"security vagy distro csoportot csináltok" -nyugi, nem csinálok én semmit Főleg nem ennyire komolyan. Csak érdekel a téma és kisérletezek itthon, szeretnék tanulni ebben.
Igen, köszi, child domaint már nézegettem és ilyen célra jó is lenne és úgy megy/menne. Viszont tudom, hogy megoldható egy domain-al is csak a "hogyant" nem . Site-okban meg még nem igazán vagyok otthon de nemsokára annak is neki fekszek, lehet sok mindent helyre rakna. A Child domain túlzottan elszeparálná a dolgokat. Szeretném ha a fő domain-ban pl. kiadott policyk az egészre hatnának(látszódnának) és ugye ha jól tudom(próbáltam) a child domain ennek gátat szab.
-
őstag
válasz Steph88 #1226 üzenetére
Tegyük fel, hogy van DC1 meg DC2. A te példádban ezeken ugyanaz van mindkettőn mert egy domain van. Ha Pista full admin DC1-en akkor bármit állíthat DC2-n is mert a domain replikáció átvisz mindent. Vagy most én nem értek valamit?
Ahogy a kolléga írta a child domain lesz neked jó szerintem.
If it is not broken then don't fix it!
-
zolee001
őstag
Üdvözlet
Ismételten egy "eesentials experience"kérdés
Add Server folder a dashboardon,egy másik server lemezei lenne a cél de nem jelennek meg a tallozásnál (a dashboard adott menüben)
A második server értelemszerüen domain tag,sima member server ,a dashboardon,server managerben, RWA-n keresztül tökéletesen látszik
Ötlet? -
Steph88
csendes tag
Oké, így logikus persze. Ha csak kettő dc lenne. De tegyük fel van 12, megyénként 2-2. És oké, hogy replikálódik és mindenki látja az egész ország domain tagjait, ez még akár jó is. De tegyük fel ha a dc-n Baranya megyében futna egy dhcp szerver is, nem szeretnénk ha Csongrád megyei adminka belenyúlkálhatna.
Persze, kézenfekvő a childomain megyénként. Csak gondoltam, hátha meg lehetne oldani egy domain alatt, valamivel átláthatóbb lenne
-
hzcs
senior tag
Használ valaki WSUS szervert? Az a problémám, hogy amióta a kliensek frissültek 1909-re, azóta csak jelentenek a szervernek, a frissítéseket nem onnan töltik le, így nem lehet szabályozni. A 1909-nél is ugyanaz a PolicyDefinition, mint a 1903, azzal működött.
Amióta 1909 van, azóta nem is tudok jóváhagyni frissítéseket, mert meg sem jelenik a listában Unapprovedként. A WSUS beállításainál pedig csak 1903 and later van (be is van jelölve), 1909 nincs. A korábbi verziók is szerepelnek, vagyis van olyan, hogy 1803 and later, 1809 and later, stb.
Valaki tudna segíteni, hogy mi a probléma? Gugli nem adott tanácsot.Köszi!
-
hzcs
senior tag
válasz zolee001 #1237 üzenetére
Az nem régebben (kb 1 éve) volt? Ha jól emlékszem, abba is belefutottam, de itt nem a wsus frissült, hanem a kliensek. Amikor frissültek a gépek, akkor az újak már nem intráról szedték a frissítést, de a régebbiek (1903 és korábbiak) még igen. Ebből gondolom, hogy a 1909 miatt lett valami, nem a wsus update miatt.
-
Immy
őstag
Sziasztok,
Szerintetek az mitől lehet hogy van egy primary dc és most mellé tettem egy read-only dc-t is, a domain joined gépeken pedig kerberos audit failed (4625) kezdett megjelenni.
sid duplikáció nincs, gpupdate, kerberos token törlés, restart, domain-ból ki és visszatevés megvolt, de még mindig fentáll a hiba.
Wireshark alapján azt látom hogy a pc küld egy “as req” kérést a dc-nek, utána a dc egyből válaszol ilyennel:
KDC_ERR_C_PRINCIPAL_UNKNOWN
olyan mintha korrupt lenne a kerberos adatbázis. Találkozott valaki bármi hasonlóval?Apró: https://hardverapro.hu/aprok/hirdeto/immy/index.html
-
Keem1
addikt
Srácok, adott egy teszt virtuális környezet egy fizikai VM hoston. Többek között van egy WinServer 2012 frissen telepítve, AD létrehozva, alap dolgok bekonfigurálva, kliensek (jelenleg a fizikai vason 4 db kliens van) feltelepítve, beléptetve a domainbe.
Amit meg szeretnék valósítani, de nem megy: az összes AD-beli usernek legyen egy shared foldere, ami csak a saját accountjával érhető el, de bármelyik kliensen belépve. Tehát ahogy már most működik: én is be tudok bármelyik kliensen lépni a sajátomba, a kollégám is. Na ugyanez a shared folderrel. Maga a saját shared folder persze a szerveren lenne. Jelenleg egy 4 TB-os storage van a fizikai vason, ebből 30-30 GB allokálva a klienseknek, 1 TB a szervernek (30 TB system, a többi data). Ja, az extra kérés, hogy az így létrehozott sared folderek a data partíción legyenek, jogosultság automatikusan kiosztva (tulaj maga a szóban forgó user, neki full acces, plusz Administrators groupnak is, mindenki másnak semmi access).
Valahogy úgy képzelem el, mint a Linux+Samba esetén, amikoris mindig van egy //szerverhost/homes folder, ami, ha Pista van belépve, akkor annak a célja a /home/pista, ha Feri van belépve, akkor /home/feri, dinamikusan. Én Linux szervereket használok, és nálam Windows kliensen fel van csatolva a céges gépen az U: (mint userfolder) és az a sajátomra mutat. A kollégámnál pedig a saját Linuxbéli home-jára.
Na ez kéne Winen. Biztos létre lehet hozni ilyet, és nem egyesével (szép is lenne egy több ezer felhasználót tartalmazó AD esetén), hanem globálisan.Ha tud valaki segíteni, megköszönném
Nem egy életbevágó kérdés, de azért nekünk fontos lenne. Mi nem vagyunk rendszergazdák, szoftvert tesztelünk, a fizikai rendszergazdák Amerikában vannak és egy belső projekt kedvéért (sem) fognak nekünk segíteni. A mi feladatunk most, hogy a készülő szoftverhez megalkossunk egy virtuális környezetet (ez van az említett VM hoston, 1 db szerver, 4 db kliens), de ennél a pontnál elakadtunk.
-
Keem1
addikt
(#1243) szallasi007 && (#1244) zolee001
Nagyok vagytok skacok! Még nem csináltam meg, de ahogy átolvastam mindkét javaslatot, szerintem ez tökéletesen az, amit én szeretnék.
Mindkettőtöknek köszönöm! -
kpepe111
csendes tag
Sziasztok!
Tudom, hogy nem mai darab ez az OS, de még pár helyen erősen dolgozik, és a segítségeketek szeretném kérni. :)
Szóval, Windows 2012 R2, és TLS + cipher suites.Valaki el tudná magyarázni nekem, hogy mi alapján aktiválódik egy adott cipher suite ezen a Windows verzión? Adott a következő cipher suite lista a következő kulcs alatt:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Cryptography\Configuration\Local\SSL\00010002\Functions
https://docs.microsoft.com/en-us/windows/win32/secauthn/tls-cipher-suites-in-windows-8-1Ha jól értem, lehet konfigurálgatni további registry kulcsokkal, hogy ezekből mi legyen az aktív. Mindent a következő kulcs alatt kell érteni, az egyszerűség kedvéért nem írom ki mindenhova.
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNELNálunk ez a felállás jelenleg:
Letiltva:
Ciphers\NULL\
Ciphers\DES 56/56
Ciphers\RC2 40/128
Ciphers\RC2 56/128
Ciphers\RC2 128/128
Ciphers\RC4 40/128
Ciphers\RC4 56/128
Ciphers\RC4 64/128
Ciphers\RC4 128/128
Ciphers\Triple DES 168
Engedélyezve:
Ciphers\AES 128/128
Ciphers\AES 256/256
Letiltva:
Hashes\MD5
Hashes\SHA
Engedélyezve:
Hashes\SHA256
Hashes\SHA384
Hashes\SHA512
Engedélyezve:
KeyExchangeAlgorithms\Diffie-Hellman
KeyExchangeAlgorithms\PKCS
KeyExchangeAlgorithms\ECDH
Letiltva:
Protocols\Multi-Protocol Unified Hello\Client
Protocols\Multi-Protocol Unified Hello\Server
Protocols\PCT 1.0\Client
Protocols\PCT 1.0\Server
Protocols\SSL 2.0\Client
Protocols\SSL 2.0\Server
Protocols\SSL 3.0\Client
Protocols\SSL 3.0\Server
Protocols\TLS 1.0\Client
Protocols\TLS 1.0\Server
Protocols\TLS 1.1\Client
Protocols\TLS 1.1\Server
Engedélyezve:
Protocols\TLS 1.2\Client
Protocols\TLS 1.2\ServerEnnek eredményeképp az MS oldalán levő listából mindössze ez a 6 cipher suite aktív
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_128_GCM_SHA256Tehát csak azok, amik AES-t használnak, illetve GCM a bulk encryption.
Ha én engedélyezni szeretném mondjuk a TLS_RSA_WITH_3DES_EDE_CBC_SHA suite-t, akkor mit kell megváltoztatni? Mert önmagában a "Ciphers\Triple DES 168" engedélyezése nem elég. Ezzel totálisal elakadtam. GPO elvileg nincs a szervereken.
Remélem sikerült érthetően leírni a problémát, és elnézést, hogy hosszú lett.Köszönöm és üdv,
Pepe -
pappkarcsi
senior tag
Sziasztok!
Van arra ötlet, hogy hogyan lehet szabályozni azt, hogy csak engedélyezett makrókat lehessen futtatni egy domain gépen Excelben? Azaz van-e arra mód, hogy csak digitálisan / elektronikusan engedélyezve, aláírva lehessen futtatni makrókat? pl: AD azonosítás után a saját nevét írja ki a felhasználónak az Excel, akkor az biztonságos vagy veszélyes? Sajnos abban nem vagyok otthon, hogyan lehet ezt szabályozni bármilyen formában is. Esetleg van valamiféle makró ellenőrző biztonsági szoftver? Ezeket az engedélyek hogyan "teríthetők" ki a felhasználóknak?Regisztrált: 2007 - 99 pozitív értékelése van és nincs negatív értékelése
-
Immy
őstag
válasz pappkarcsi #1248 üzenetére
hi,
A makro beállítást érintő group policy-k eléggé limitáltak, ilyen témákban keresgélj: [link]Csak egy kis generális kérdés: mi alapján döntöd el, hogy egy makró veszélyes? Pláne ha encryptálva és obfuszkálva van és az AMSI interface-en keresztüli vizsgálat is bypassolva van?
Apró: https://hardverapro.hu/aprok/hirdeto/immy/index.html
Új hozzászólás Aktív témák
- A Gigabyte is visszaveszi alaplapjainak alapértelmezett tuningját
- Nintendo Switch
- A fociról könnyedén, egy baráti társaságban
- Milyen videókártyát?
- TCL LCD és LED TV-k
- Egyéni arckép 1. lépés: ARCKÉPHEZ VALÓ JOGOSULTSÁG
- Háztartási gépek
- AMD Radeon™ RX 470 / 480 és RX 570 / 580 / 590
- Elemlámpa, zseblámpa
- Xbox tulajok OFF topicja
- További aktív témák...
- Steam,EA,Epic és egyébb játékok Pc-re vagy XBox!
- Eladó Steam kulcsok kedvező áron!
- Microsoft licencek a KIVÉTELES ÁRAK - UTALÁSSAL IS AUTOMATIKUS KÉZBESÍTÉS - Windows és Office
- Bitdefender Total Security 3év/3eszköz! - "Tökéletes védelem most kedvező áron..."
- Windows, Office licencek a legolcsóbban, egyenesen a Microsoft-tól - 2990 Ft-tól!