Der Fehler lag darin das nicht über den Servernamen auf die Drucker Freigabe zugegriffen wurde, sondern über einen anderen Namen der im DNS eingetragen wurde.
Da hätten wir 100 Jahre raten müssen...
Damit es auch über den DNS CNAME klappt, benötigt der Druckserver noch einen zusätzlichen Computernamen.
Nennt man Service Principal Name (SPN) und kann mit setspn.exe auf einem DC problemlos gesetzt werden. Gerne auch sonst über netdom.
Der Wide Screen-Bildschirm LC-M34-UWQHD-100-C-V3 zeigt nur eine Auflösung von 1920 x 1080 Pixel an (sollte aber 3440 x 1440 haben). Die Quelle ist ein Dell Vostro 3710 mit onboard-Grafikkarte UHD Graphics 730, verbunden sind die Geräte mit einem HDMI-Kabel.
MP4 ist ja nur das Containerformat. Interessanter wäre es zu wissen, in welchem Format die Streams im Container codiert sind. Für Bild ist es eventuell schon h264 oder h265 aber das weiß man ja nicht.
Nun ja da ich nicht weiss welches RMM im Einsatz ist würde ich hier was in der Richtung Conditional Access vorschlagen. Heißt Gerät nicht im MDM oder RMM kein Zugriff selbst wenn Benutzername/Kennwort/ MFA und Zertifikat vorhanden sind. Anmeldung im RMM natürlich dann entsprechend gestalten bzw. dafür sorgen das sich nicht jeder mit jedem Gerät anmelden kann ( im RMM )
Problem gelöst.
Problem bei den Zertifikaten ist u.U. das man solche Tools wie MIMIKATZ einsetzen kann um die Key´s bzw. Zertifikate zu exportieren auch wenn es eigentlich auf direktem Wege nicht geht.
Bitlocker ist da schon mal ein guter Freund damit keiner einfach einen neuen lokalen Admin installieren mit dem er dann System Rechte bekommt und mit denen dann an die Key´s kommt.
Jaaaa jetzt werden einige sagen dass das für manche zu kompliziert sein wird mit MIMIKATZ usw..... Aber wer es schaft Zertifikate von einem System zum anderen zu Übertragen der schafft das bisschen mit MIMIKATZ auch noch.
Aber eventuell hilft ja auch ein anderer Ansatz: Vielleicht fragt der Chefe mal warum seine Mitarbeiter lieber von Ihren Privatgeräten arbeiten bzw. arbeiten wollen. Wir hatten da irgendwann mal ein ähnliches Problem was sich mit einer Dockingstation und einem 27" Monitor im HO lösen lies. Hintergrund war das den Entwicklern und manchen Software Eng. die Bildschirme des Notebooks zu klein waren, die Notebooks angeblich nicht genug Leistung hatten usw......
ffmpeg, da kannst du dann über Bitrate und CRF-Regler was reißen. Aber "verlustfrei" wirst du das nie hinbekommen, denn du musst ja Informationen wegwerfen, damit es kleiner wird. Oder du konvertierst in ein anderes Format als H.246 — z.B. HEVC.
Alternativ wäre noch eine Möglichkeit eine kleine Anwendung zu programmieren welche die Seriennummer des Gerätes mit anderen Merkmalen verknüpft, signiert, den Browser startet und einen ID-Parameter mitgibt.
wir haben bei uns den User Agent des Browser erweitert. Sozusagen um eine UID. Das haben die meisten nicht auf dem Schirm. Diese UID wechselt auch regelmäßig. Damit wir auch diejenigen finden, die meinen kreativ werden. Der Wechsel erfolgt über unsere UEM.
Wow, danke - da war ich tatsächlich völlig an der falschen Stelle. Ich habe es soeben konfiguriert und ausgerollt. Meldung über Erfolg oder Misserfolg folgt...
Öffnen Sie Adobe Reader. Gehen Sie zu Extras > Einstellungen > Sicherheit. Klicken Sie auf Vertrauenswürdigkeitsstellen. Klicken Sie auf Hinzufügen, um eine neue Vertrauensstelle hinzuzufügen. Geben Sie den Pfad zur Netzwerkfreigabe ein, zum Beispiel \\SERVER\Freigabe\Pfad\Ordner. Stellen Sie sicher, dass Sie den vollständigen Pfad verwenden, einschließlich des Präfixes \\. Klicken Sie auf OK, um die Änderungen zu speichern.
Zitat von @Trommel: Laut dem oben verlinkten AVM Artikel macht die das wohl automatisch.
Danke für den sinnvollen Hinweis, wenn das tatsächlich funktioniert, wäre dies natürlich die komfortabelste Lösung. Sollte sich ja auch recht einfach mal ausprobieren lassen.
@kreuzberger Welches Budget steht zur Verfügung? Welche Features benötigst Du? Welchen Kenntnisstand hast Du? Und berücksichtige auch gleich eine Fortbildung, sonst kämpfst Du immer mit dem Produkt rum. Und das Backupsoftware nunmal recht umfangreich ist, ist halt so.
Damit muss man sich beschäftigen. Das macht man in der Regel nicht nebenher.
Zitat von @Datenreise: Um einen Rechner über die Fritzbox per WoL zu wecken, muss man sich an der Fritzbox anmelden. Vielelicht ist ja gar nicht gewünscht, der Person, die sich auf den Rechner aufschalten soll, gleichzeitig Zugangsdaten für die Fritzbox zu geben.
Ich verstehe nur das was hier steht, und diese Forderung ist von dir vorher nie gefallen, also unterstelle mir nicht das ich nicht Verstehe. Ich selbst besitze gar keine FritzBox und habe dazu immer ein Raspi genutzt. Hat mit seinen ca. 1,5 - 3 Watt deutlich weniger Strombedarf als eine FritzBox. Das auch AVM immer noch lernt sei mal dahingestellt und laufend auch ihre Firmware anpassen. Ob du als VPN User dort einen geschützten Bereich hast entzieht sich meine Kenntnisse. Es war aber mal so das auch ein GastNutzer eine Fritte auf Werkseinstellung zurüksetzen konnte ohne die Fritte anzufassen. Die letzte Fritte habe ich vor 5 Jahren Konfiguriert und mich damals intrensiv mit den Features beschäftigt aber das war nicht vom Kunden ein gefordetes Merkmal. Er wollte nur das seine nicht zugängliche Fritte im Ferienhaus nicht drch seine Mieter/Gäste per WLAN/Tel. auf Werkseinstellung gesetzt werden kann. Er wollte nicht etliche male im Jahr nach Sylt Fahren müssen nur um die Fritte wieder zu betanken. Einen anderen Router oder Hersteller kam für ihn nicht infrage und er hat dann akzeptiert das AVM sich nicht seinen Vorderungen beugt. Probier es aus was die jetzige Fritte mit verschiedene User im VPN macht und zulässt. Dann hast du gewissheit oder du holst dir eine Raspi3.
Gruss, Peter
Sorry, aber was für ein sinnloser Beitrag. Geht es nur darum, seinen persönlichen Postcount zu erhöhen oder darum, sich hier mit anderen auszutauschen und im Idealfall zu helfen?
Die Hardware-Voraussetzungen beim TE sind gegeben und mit dieser Hardware gibt es eine relativ simpel umzusetzende Lösung (die ich gepostet habe). Da ist es ehrlich gesagt relativ uninteressant, ob Du RasPis besser findest als Fritzboxen oder vor wievielen Jahren Dein Kunde mal nach Sylt gefahren ist.
Dass Du Fritzboxen nicht (mehr) kennst, ist ja keine Schande und auch logisch, wenn man sich nur mit wesentlich wirk-mächtigeren Devices beschäftigt. Nur hilfst Du dann eben auch nicht besonders weiter, wenn es konkret um ein Szenario mit Fritzbox geht.
Ich habe immer wieder den Eindruck, einige verlieren hier gerne mal völlig aus dem Blick, dass IT-Lösungen bedarfsgerecht und passgenau sein sollten.
@aqui auch Du verstehst nicht, worum es hier konkret geht (oder liest nur selektiv) . Im zweiten Beitrag in diesem Thread schreibe ich bereits unter Punkt 2, dass der TE sich ein VPN einrichten soll. Von irgendwelchen Portfreigaben schreibst nur Du. Irgendwelche Nebenkriegsschauplätze zu öffnen und sich auf Aussagen zu beziehen, die niemand im Thread getroffen hat, macht ein Forum lediglich unübersichtlich.
Das ist auch zwingend erforderlich
Komplett falsch. Fritzboxen beherrschen keine VLANs, das weißt Du eigentlich auch. Jeder VPN-Client einer Fritzbox, egal für welches VPN-Protokoll, bekommt eine IP-Adresse aus dem einzigen Netz der Box (das nicht weiter konfigurierbare Gastnetz mal außen vor gelassen). In sofern muss ein MagicPaket des VPN-Clients überhaupt nicht geroutet werden und selbstverständlich funktioniert WoL somit auch ohne dass man den User in die Fritzbox hinein lassen muss.
Zitat von @aqui: Die Chefaussage steht dazu natürlich im krassen Widerspruch. Das zu sagen und etwas völlig anderes zu fordern ist natürlich laienhaft naiv. Muss man sicher auch nicht weiter kommentieren so einen Unsinn.
Viele Chefs haben ein Raumschiff Enterprise vor Augen wenn es um IT geht. Da geht ja auch alles und nichts gleichzeitig. Warum also nicht in der jetzigen IT. Sonst ein Leut. Worf abstellen der die nicht vorhandenen Firmenrichtlinien durchpeitscht.
ich bin auch mit einem Auge wieder auf der Suche. Bisher habe ich die Veeam B&R Community Edition (eigentlich kostenlos) benutzt, muss aber feststellen, dass mit Erneuerung der Version auf 12 die Einschränkungen so zugenommen haben, dass man damit kaum noch was anfangen kann. Zudem ist die Software ausschliesslich in Englisch und extrem umfangreich und kompliziert. Ohne Hilfe kaum zu bewältigen. Letztlich ist Veeam sehr teuer.
Kann mit LTOs umgehen: Ich will mir ein mal Acronis Cyber Backup ansehen, was das so kann. Eine weitere Empfehlung wäre das gute alte Retrospect. https://www.retrospect.com/de
Zitat von @Datenreise: Um einen Rechner über die Fritzbox per WoL zu wecken, muss man sich an der Fritzbox anmelden. Vielelicht ist ja gar nicht gewünscht, der Person, die sich auf den Rechner aufschalten soll, gleichzeitig Zugangsdaten für die Fritzbox zu geben.
Ich verstehe nur das was hier steht, und diese Forderung ist von dir vorher nie gefallen, also unterstelle mir nicht das ich nicht Verstehe. Ich selbst besitze gar keine FritzBox und habe dazu immer ein Raspi genutzt. Hat mit seinen ca. 1,5 - 3 Watt deutlich weniger Strombedarf als eine FritzBox. Das auch AVM immer noch lernt sei mal dahingestellt und laufend auch ihre Firmware anpassen. Ob du als VPN User dort einen geschützten Bereich hast entzieht sich meine Kenntnisse. Es war aber mal so das auch ein GastNutzer eine Fritte auf Werkseinstellung zurüksetzen konnte ohne die Fritte anzufassen. Die letzte Fritte habe ich vor 5 Jahren Konfiguriert und mich damals intrensiv mit den Features beschäftigt aber das war nicht vom Kunden ein gefordetes Merkmal. Er wollte nur das seine nicht zugängliche Fritte im Ferienhaus nicht drch seine Mieter/Gäste per WLAN/Tel. auf Werkseinstellung gesetzt werden kann. Er wollte nicht etliche male im Jahr nach Sylt Fahren müssen nur um die Fritte wieder zu betanken. Einen anderen Router oder Hersteller kam für ihn nicht infrage und er hat dann akzeptiert das AVM sich nicht seinen Vorderungen beugt. Probier es aus was die jetzige Fritte mit verschiedene User im VPN macht und zulässt. Dann hast du gewissheit oder du holst dir eine Raspi3.
Um einen Rechner über die Fritzbox per WoL zu wecken, muss man sich an der Fritzbox anmelden.
Das ist auch zwingend erforderlich weil WoL Pakete im L3 auf Broadcast basieren und damit nicht routebar sind und damit generell nicht über geroutete Verbindungen klappen!! (Siehe Heise Artikel oben) Das klappt also nur mit einem Proxy Host (Raspberry Pi Zero usw.) im gleichen Netz oder mit einem anderen Gerät was diese WoL Paket als Proxy senden kann wie z.B. die Fritzbox. Einen wasserdichten und sicheren bzw. geschützten Zugang dazu gibt es immer nur per VPN. Einfaches und völlig ungeschütztes Port Forwarding wäre unverantwortlich und ein erhebliches Sicherheitsrisiko was heute nichtmal mehr Dummies machen.
Moin, SEP ist eine eierlegende Wolfsmilchsau. Extrem leistungsfähig aber ekelhaft in der Bedienung. Ich würde für den >"normalen" Gebrauch auch eher Veeam empfehlen.
Ich bin gespannt, habe bisher nur die GUI gesehen und die sah sehr altbacken aus.
Ist halt so eine Admin-GUI. Das sieht aus wie aus den 90ern. Aber das ist eher das kleinere Problem. Das Einrichten der Jobs ist extrem anstrengend, weil es der Sesam-Logik folgt, die mit der, die man so von anderen Programmen gewohnt ist, nur bedingt was zu tun hat. Das ist vielleicht dem Anspruch geschuldet, eine Software zu schaffen, die alles kann, was man sich beim Backup nur wünschen kann. Es ist natürlich geil, wenn man z. B. bei einem SQL-Backup bis runter auf einzelne Datensätze rücksichern kann. Aber das macht die Sache eben nicht einfacher, wenn man den Job einrichtet. Macht man es falsch, kann man nur die gesamte DB rücksichern oder die Sicherung läuft in einen Fehler. Mich verbindet mit der SW eine intensive Hassliebe.
Du verstehst das Problem nicht @Pjordorf. Um einen Rechner über die Fritzbox per WoL zu wecken, muss man sich an der Fritzbox anmelden. Vielelicht ist ja gar nicht gewünscht, der Person, die sich auf den Rechner aufschalten soll, gleichzeitig Zugangsdaten für die Fritzbox zu geben.
Jetzt wird das Gerät automatisch gestartet, sobald aus dem Internet über eine Portfreigabe oder eine VPN-Client-> Verbindung (mit z.B. einem Smartphone oder Tablet) auf das Gerät zugegriffen wird. Nach ca. 10 Sekunden ist das Gerät gestartet und der Zugriff möglich.
Ja, tut es sogar mit farblich abgesetzem Hinweis auf diese Thematik.
wo ist dann die Gefahr? Das VLAN ist doch isoliert.
Ja, aber alles kumuliert auf der Bridge. Empfehlenswert und sicher sind solche Setups nicht und das Tutorial weist auch explizit darauf hin. Der WAN Port sollte immer eine dedizierter und isolierter Port sein der niemals Memberport eine Bridge oder VLAN Bridge sein sollte. Nur so ist das wirklich sicher und Firewall konform.
Wenn man für die Telekoma den Tag 7 setzen muss, muss man ja ein VLAN haben
Nein, das ist technisch falsch oder zu mindestens falsch ausgedrückt und weisst du als Netzwerk Forenprofi auch selber! Wenn man mit einem externen Nur Modem arbeitet sollte dieses immer das Tagging übernehmen sofern es das supportet (was alle handelsüblichen Modems aber können). Grund ist die deutliche einfachere und sicherere Konfig auf dem Router. Der Router sollte nur dann taggen wenn das Modem es nicht explizit supportet.
Du verstehst das Problem nicht @Pjordorf. Um einen Rechner über die Fritzbox per WoL zu wecken, muss man sich an der Fritzbox anmelden. Vielelicht ist ja gar nicht gewünscht, der Person, die sich auf den Rechner aufschalten soll, gleichzeitig Zugangsdaten für die Fritzbox zu geben.
Moin, SEP ist eine eierlegende Wolfsmilchsau. Extrem leistungsfähig aber ekelhaft in der Bedienung. Ich würde für den >"normalen" Gebrauch auch eher Veeam empfehlen.
Ich bin gespannt, habe bisher nur die GUI gesehen und die sah sehr altbacken aus.
Das PPPoE Hardware Interface ether1 darf niemals Memberport der VLAN Bridge sein!!!
Steht das nicht auch im Tutorial? Hab jetzt nicht nachgeschaut... Ich habe den WAN-Port jedenfalls bislang immer außerhalb der Bridge. Erschien mir logisch.
Dennoch zwei Fragen dazu:
1. Wenn VLANs aktiviert sind, und man das VLAN-Interface für die PPPoE-Verbindung nutzt, wo ist dann die Gefahr? Das VLAN ist doch isoliert.
2. Wenn man für die Telekoma den Tag 7 setzen muss, muss man ja ein VLAN haben. Und Mikrotik verwendet nun mal Bridge-VLAN. Wenn man das (warum auch immer) nicht über das Modem machen kann/will, sollte man dann dafür eine zweite VLAN-Bridge anlegen?
Variante 1 (Dein aktueller Post) ist, es wird gescannt und dann gewartet bis man irgendwann eine Möglichkeit zum direkten Angriff hat
Und sobald man dann eine Möglichkeit gefunden hat, z.B. durch entdecken/entwickeln eines 0-Day’s,
Variante 2 (Dein Eingangspost) ist, es wird gescannt und praktisch parallel (aber von (vermeintlich) anderen aus direkt angegriffen wird.
Die einen „kartographieren“/“katalogisieren“ mit sehr ausgeklügelten Scannverfahren und auch ordentlich HW-Power dahinter, die entsprechenden Internetanschlüsse, respektive die darüber erreichbaren Dienste und die anderen versuchen dann, mal mehr mal weniger gezielt, die erreichbaren Dienste anzugreifen.
Für mich ist das ein erheblicher Unterschied. Warum für Dich nicht?
Steigen gerade von Veritas auf SEP Sesam um, habe leider noch nichts in SEP gemacht.
Bei SEP habe ich zuerst an Symantec Endpoint Protection gedacht. Das war damals der allerletzte Krampf. Habe aber im Internet recherchiert.
Ich kann auch noch Syncsort BEX (jetzt Catalogic DPX) empfehlen. Oder Commvault Backup & Recovery Die großen produkte wie IBM Tivoli Storage Manager (jetzt Storage-Protect) oder HP Data Protector lasse ich mal außen vor.
Hallo liebe Admins, sorry für die späte Antwort ^^...
Ich bin mit den Kopiergeschwindigkeiten überhaupt nicht zufrieden. Selbst wenn wir hier von 10Gbit-Speeds sprechen, empfinde ich 500-600 MB/s für ein NVMe-Array als zu langsam.
Aus diesem Grund habe ich, wie von @Dani vorgeschlagen, eine NVMe direkt in den Proxmox-Host installiert und siehe da, die Geschwindigkeiten sind immer noch ähnlich.
Ich schätze also, wie auch @Vision2015 meinte, dass hier Proxmox selbst der Flaschenhals ist. Aus diesem Grund werde ich nun "Linked Clones" ausprobieren und schauen, ob hier spürbare Nachteile auftreten. Da es "linked" VMs sind, findet kein wirklicher Kopiervorgang statt und ein Klon ist innerhalb von 3-4 Sekunden einsatzbereit.
Ich danke allen für die Tipps und die geteilten Gedanken.
Wollte gestern auch kommentieren aber @hempel war schneller. Herzlich Willkommen im Forum ! Mit dem Profilbild wirst Du auf jeden Fall immer mit viel Hilfe rechnen können Schönes Wochenende.
hä?du brauchst do Computerzertifikate oder nicht ? SSL Zertifikat kommt aus dem Webseiten bereich https und so... webserver eben...
eine RDS Verbindung wird im Normalfall auch per SSL/TLS gesichert genau so wie auch eine Webseite, daher kannst du für beides auch dasselbe Zertifikat verwenden. 😉
Glasfaser wurde bei uns ein kleiner Kanal (ca. 10mm x 10mm - nie gemessen, nur geschätzt) durch die Wohnung geklebt, dann das Leerrohr rein und die Faser durchgeblasen.
Wenn du bereits Klingeldrähte in die anderen Wohnungen hast, dein Leerrohr nicht genug Kapazität bietet und alles nur ein Heidenaufwand wäre mit Wand öffnen etc, dann schau mal nach DSL-Modem ... Glas in den Keller, CPE und Modem notfalls in jeweils einen eigenen abschließbaren kleinen Kasten (wegen Mimimi der Mieter), von der jeweiligen CPE per Ethernet auf das DSL-Modem, weiter per Klingeldraht in die Wohnung, dort wieder ans DSL-Modem und weiter geht es mit Ethernet ...
Will jemand kein LWL haben so kannst weiterhin den Klingeldraht nutzen, will man nachträglich LWL nutzen, so muss man nicht an die Leitungswege.
Danke Euch für das reichliche Feedback! Ich bin erklärter Feind aller Abo-Lösungen und habe mir für kleines Geld eine 2019er Pro-Lizenz besorgt, die ich mit Neuinstall von Pro aktiviert habe. Gut ist.
Steigen gerade von Veritas auf SEP Sesam um, habe leider noch nichts in SEP gemacht. Höre aber nur gutes davon
SEP ist eine eierlegende Wolfsmilchsau. Extrem leistungsfähig aber ekelhaft in der Bedienung. Ich würde für den "normalen" Gebrauch auch eher Veeam empfehlen.
Das Wildcard habe ich entsprechend auf alle Server unter "Eigene Zertifikate" ausgerollt,
hoffentlich auch unter Computerkonto und nicht beim Benutzer.
Meldung kommt leider immernoch.
Ist auch normal, weil das "installieren" des Zertifikats, nur die halbe Miete ist. Denn man muss es auch noch für den entsprechenden Dienst "aktivieren".
PS: Meine BE-Kunden haben Lizenzen, die nicht auslaufen, sondern wenn, dann der Support, der verlängert werden muss.
Hatten bis zum letzten Upgrade auch nur Lizenzen die den Support betreffen, aber anscheinend haben wir bei der letzten Version eine Lizenz erworben, bei der nicht nur der Support ausläuft. Finde das für eine Backuplösung unpraktisch und würde entweder wieder eine "dauerhafte" Lizenz wollen oder eben einen anderen Anbieter.
Ich kann dir auch, da ein Synology vorhanden ist, Active Backup For Business empfehlen. Ist kostenlos und lässt sich sehr leicht einbinden.
Das hab ich mir schon angeschaut, hier wüsste ich aber aktuell nicht wie ich auf LTO sichern kann, bräuchte dann eine andere Lösung. Hat damit jemand Erfahrung?
. Im zweiten Beitrag in diesem Thread schreibe ich bereits unter Punkt 2, dass der TE sich ein VPN einrichten soll. Von irgendwelchen Portfreigaben schreibst nur Du.
