Moin,
wir stellen damit sicher, dass

• entwendete VMs/MVDKs nicht nutzbar bzw. nur in bestimmten Umgebungen nutzbar sind. Da den Überblick zu behalten und sowas zu merken ist ab einer gewissen Stückzahl von VMs, Plattformen und Personal nahe zu unmöglich.
• kritische VMs wie öffentliche PKIs, Lohnabrechnungen, Personaldaten, etc. nochmals zu schützen
• VMs laufen auch außerhalb von Deutschland (Spanien, Finnland, USA, Indien, Japan, China, etc.). Da möchte man im Worst Case einen Rückzugsplan haben.

Gruß,
Dani

Moin,
Prüfe doch einmal das verwendete Challenge Verfahren. Wenn du z.B. HTTP-01 verwendest, ist GeoBlocking oder eine Access-List meistens der Grund warum LE den Server nicht erreichen kann.

Ansonsten den Befehl einmal manuell im Container ausführen. Wobei ich den Parameter --quiet weglassen würde.


Gruß,
Dani

Das ist es nicht. Ich habe die beiden Cisco AP vor ein paar Jahren sehr günstig gekriegt und dachte, mit Cisco macht man nichts falsch. Ich bin nicht Marken fixiert.

Das kann natürlich sein, nur es ist ein Wohnbereich und die APs sollen schon ansprechend aussehen. So ein kann ich noch aufhängen, oder in der Art.

Moin,
wurde nicht dafür die Möglichkeit verschiedener Abrechnungsmodelle im M365 admin center erfunden?!


Gruß,
Dani

Moin @erikro
Woher stammt die Info? Hab ich in keinen der verlinkten Artikel hier im Beitrag herausgelesen.

@Der-Phil
Unabhängig von den Meinungen und Vorschlägen, würde ich sowas immer in einem Lab ausprobieren, dokumentieren. Wenn alles tut wie es soll auf das produktive System umsetzen. Damit verkommt das das Ganz nicht zu einem TestProd System.


Gruß,
Dani

Moin,
stelle die Sprache für den Benutzer auf Englisch um, damit du den Text der Warnung auch in Englisch vorliegen hast. Damit kannst du anschließend problemlos die Suchmaschine füttern und wirst mit großer Wahrscheinlichkeit auch Lösungen finden.


Gruß,
Dani

Moin.
Anno Steinzeit ... Wieso installiert man sowas heute noch neu?

Aha, und wie heißt das Programm richtig? Ein Programm mit so einem Namen kenne ich nicht.

Wieso sollte da auch etwas konfiguriert sein, das muss man schon selbst tun.
SRP (Software Restriction Policies) ist aber inzwischen auch "Anno-Dazumal". Applocker ist der aktuelle Stand unter Windows, daher würde ich dir raten dich damit zu beschäftigen:
https://www.security-insider.de/applocker-per-windows-gruppenrichtlinie- ...

Ich würde mir erst mal eine aktuelle ISO eines Server 2022 (gibt's auch ne Trial) besorgen dann bist du zumindest erst mal auf dem aktuellen Stand der Dinge und kannst damit in deinem LAN alles üben bevor du es in der Praxis verwendest. Applocker sollte man gut planen bevor man es aktiviert, sonst sperrst du dich schnell selbst aus.

Gruß h.

Moin @Visucius,


Ich meine z.B. die hier …


… habe gerade aber gesehen, dass das was du meist, nur die grobe Übersicht ist und man weiter unten, zu den AP’s die feinen Detail abrufen kann, die ich meine.

In der groben Übersicht heisst der obere AP jedoch nicht „U6+“, sondern „U6-Plus“.
https://help.ui.com/hc/en-us/articles/115005212927-UniFi-Network-AP-Ante ...
🙃


Und genau das wäre noch schlimmer, weil du damit schlichtweg noch weiter über das Ziel hinaus schiessen würdest.

Denn zum einen gibt es gesetzliche Vorgaben, die z.B. in Deutschland die Sendeleistung bei 2,4 GHz auf max. 100mW eingrenzen. Und diese Grenze von 100mW bei 2,4 Ghz, gilt nicht nur für die Sendeleistung des Funkmoduls, sondern für die gesamte Sendeleistung der ganzen Anlage, sprich, Sendeleistung des Funkmoduls und Zugewinn der Antenne.

Und falls du mir als nächstes die 200mW oder gar die 1W um meine Fuchs-Ohren hauen möchtest. Ja, bei 5,150 GHz - 5,350 GHz sind bei uns in Deutschland bis zu 200mW erlaubt und bei 5,470 GHz - 5,725 GHz sogar bis zu 1W. Aber … das gilt für AP zu AP, sprich für Richtfunkverbindungen, aber nicht für AP to Client und zwar aus einem ganz einfachen Grund. Die meisten Client-WLAN-Chipsätze liefern max. 100mW, respektive sogar nur 50mW (ohne Antennenzugewinn) und das auch bei 5 GHz, weil die im Gegensatz zu einem AP, meist an einem Akku dranhängen.


Nein ist es nicht, weil die Sendeleistung der AP’s, immer am schwächsten Glied, sprich, in den meisten Fällen den Clients ausgerichtet werden muss! Sonst funktioniert Dinge wie Roaming und VoIP überhaupt nicht gut und beides wird mittlerweile auch in Privathaushalten immer gefragter.


Nein, so schnell bekommen die Essener einen IT-Fuchs wiederum auch nicht platt. 🤪


Und was genau sollte diese Studie dann zeigen?

Denn für die Tatsache, dass ein „überdrehter“ AP, in einem bestimmten Umkreis eine bessere Leistung bring, wie ein nicht überdrehter, benötige ich keine Studie, das habe ich schon selber herausgefunden, und zwar Jahre vor dieser Studie. Denn mein alter Arbeitgeber hat damals (+- vor 20 Jahren) schon sehr viel im Bereich W-LAN gemacht und auch diesbezüglich mit dem Fraunhofer Institut mehrfach zusammengearbeitet und der Hut dafür, zumindest was die Technik angeht, war stets auf meinen Ohren drauf.

Das was die Studie meiner Ansicht nach macht, ist leider schlichtweg billige Augenwischerei wie sie heutzutage leider so gut wie absolut üblich ist, zumindest was Marketing und Vertrieb angeht.
Das jedoch auch eine UNI einen solchen Unsinn treibt, hätte ich jetzt aber eher nicht erwartet. 😔


Reichen theoretisch schon, zufriedener währe er aber definitiv mit einem guten AP mit Stabantennen oder ähnlicher Antennencharakteristik.

Der TO kann sich bei E-Bay oder wo auch immer, ja mal einen Bintec W1002n günstig schiessen und dann mal dessen Leistung vergleichen.

Und ja, technisch gesehen ist dieser AP ein alter Opa. Betreffend seine Signalqualitäten (korrekte Antennenausrichtung vorausgesetzt) wird ihm jedoch keiner der AP-Jünglinge auch nur annähernd das Wasser reichen, selbst der Ruckus nicht, versprochen. 😉

Gruss Alex

Guten Morgen, einen schönen Vatertag wünsche ich allen.
@aqui
Habe eingestellt. Hat auf Signalstärke kein Einfluss, wird aber wahrscheinlich auf die Performance positiv auswirken.

@Visucius


Wie kann ich es bei Cisco ausschalten?

Ja, alle drei hängen nebeneinander. Leider habe ich da nur zwei PoE Anschlüsse, darum können nur zwei gleichzeitig senden.
Messung im OG habe ich nur gemacht um zu schauen, wie weit Ruckus und Unifi im Haus senden können. Da aber im OG ein zweiter Cisco hängt, habe ich ihn zu Vergleich genommen.

Das habe ich mit meinen vorhandenen Cisco probiert, leider hatte ich Verbindungsprobleme im OG in Arbeitszimmer. Es kann aber sein, dass das Signal von EG noch da war und der Client dran geklebt hat.

Das habe ich so eingestellt. Die Steckdose hat jetzt eigenes 2,4er.

Das sieht stark danach aus.

Da Ruckus und Unifi schon eine Ecke weiter senden, ist die Position von dem AP im OG ungünstig. Es macht wahrscheinlich Sinn den ganz nach oben in 2. OG zu bringen, damit der Leistungsunterschied größer wird und die Clients nicht bei einem AP kleben bleiben. Hier ist noch ein Schnitt vom Haus:

Kann ich so nicht nachvollziehen, ich habe jahrelang Adobe Reader und co. per GPO verteilt. Gerade in kleineren Umgebungen ist das eine einfache Verteil Möglichkeit von Haus aus. Einziges Manko: es fehlt eine Kontrolle der Installation, das kann man über andere Wege prüfen.

A query walks into a bar, sees two tables and asks: may i join

Ich hab auch Netzwerkdosen die ich über dot1x den vlans zuweise, daher brauche ich den Radius Server

Moin @firefly,


das geht sehr wohl, also die komplette Abschaltung der Übertragung von Metadaten, aber nur bei den Enterprise Versionen von W10 und W11. 😔

Gruss Alex

Ich versuche mich auf die Bezeichnungen RV und CBS zu beschränken, um von den konkreten Geräten zu sprechen. In welcher Funktion das jeweilige Gerät dann zum Einsatz kommt, bzw. kommen soll, würde ich dann dazu erwähnen.

Ihr wolltet ja unbedingt eine Zeichnung. Ich hab mein Bestes gegeben und gleich zwei gemacht ;)

Zeichnung 1: Aktueller Stand meiner Konfiguration

Zeichnung 2: Zielzustand den ich erreichen möchte (hier habe ich nur wo nötig die Änderungen zum aktuellen Stand (1.) aufgenommen)

Die früher erwähnten VLANs X und Y waren Teil des Tests, ob ich den Zielzustand mit den gegebenen Mitteln überhaupt erreichen kann.

Ich hoffe das hilft fürs Verständnis.

Moin.

Wie oft wechselt bei euch ein User den Rechner? Wenn das täglich passiert, wäre es ja sogar sinnvoll, die Software auf allen Rechner installiert zu haben, oder nicht? Ein Stück Software, das zwar installiert ist, aber nicht benutzt wird, verursacht inwiefern "Pflegeaufwand"?

Bei Verteilung per GPO bleibt die halt keine Wahl - wenn der Installer Adminrechte benötigt, geht es halt nur via Computer Configuration und nicht im User-Kontext. Als "Bastelarbeit" könntest du herausfinden, welchen Zweig genau der Installer nicht beschreiben kann und die entsprechenden Berechtigungen vorab setzen - das kann klappen, kann aber auch böse in die Hose gehen.

Cheers,
jsysde

Moin.

Das es MS technisch relativ problemlos möglich sein dürfte, die in Europa oder gar explizit in DE gehosteten Daten einzusehen und im Zweifel auch in ein anderes Land zu transferieren, sollte jedem klar sein. Viel schlimmer finde ich jedoch, dass die Buben in Redmond ihren Laden nicht mehr im Griff und komplett den Überblick über ihre Online-Welt verloren haben.

Allein die drei bekannt gewordenen Einbrüche in Azure, M365/O365 und ein offen im Internet erreichbarer SharePoint, auf dem u.a. auch Zugangsdaten _im Klartext!_ abgelegt waren, lassen nur einen Schluß zu: Selbst wenn die Daten in EU/DE gehostet werden und dort verbleiben - irgendwer liest seit geraumer Zeit mit. Das komplette MS-Cloud-Universum ist m.M.n. als kompromittiert zu betrachten.

Cheers,
jsysde

Moin.

Vorweg: Ein DC ist ein DC ist ein DC. Sonst nix.

Definiere "viele". Für mich sind fünf Drucker schon "viele". In einem 2000-Mann-Unternehmen hingegen eher nicht.
Definiere die Anforderungen an die Verfügbarkeit der Drucker.

Cheers,
jsysde

Moin.
Das skaliert mal genau gar nicht und ist weder technisch/funktionell noch für die Einhaltung von Sicherheitsmaßnahmen/-richtlinien nötig.

Cheers,
jsysde

Moin.

+1 für WimWitch. Ansonsten: PowerShell to the Rescue, damit lässt sich das relativ leicht automatisieren.
Am Ende aber immer nur für genau diese Version, die du gerade installiert hast. Bedeutet, du solltest sicherstellen, dass auf allen Clients der identische Build von Windows 11 läuft.

Wenn die Herren in Redmond dann mal wieder auf die Idee kommen, mit einem "Feature-Update" z.B. Werbung im Startmenü einzublenden, beginnt das Spiel halt von vorn. Wenn du das nicht jedes Mal durchexerzieren willst, wäre es evtl. eine Idee, dass nur erlaubte Anwendungen gestartet werden können, alle anderen eben nicht. Aber auch hier ist manuelle Nacharbeit nötig, so richtig "automatisch" klappt das alles nicht.

Cheers,
jsysde

Moin.

Du zäumst das Pferd von hinten auf - man kann mit GPO vieles tun, sicherlich auch ein Backup realisieren.
Aber wäre es nicht sinnvoller, wenn du schon ne Synology hast, einfach deren Backup-Produkte zu benutzen?
Wobei ich mir grad nicht sicher bin, ob der 2012er überhaupt noch von denen unterstützt wird.

Selbst wenn du das ans fliegen bekommst: Backup einrichten ist das eine. Wie willst du das Backup monitoren, also sicherstellen, dass es auch korrekt gelaufen? Durch manuelle Sichtprüfung auf dem NAS? Solche Dinge sind von imho von vornherein zum Scheitern verurteilt.

Btw könnte man auch für ein "Azubi-Projekt" mit aktuellen Server-Versionen arbeiten. Dazu bietet MS ja die EVAL-Versionen zum freien Download an.

*Just my 5 Cent*

Cheers,
jsysde

https://github.com/Raphire/Win11Debloat

Zum Erstellen bereinigter Images ist evtl. auf der Nachfolger von WimWitch interessant: https://github.com/alaurie/WimWitchFK

Klingt ja wirklich nicht so dolle. Danke für die Messungen. Bin auf den ax2 gespannt.

Viele Grüße, commodity

Das Wording der Fehlermeldung ist nicht Microsofts Stil, das wird vom Hersteller kommen. Ich schätze, dass der Installer eine Prüfung macht, um abzubrechen, wenn ein Nichtadmin installieren möchte, was hier gewissermaßen gegeben ist, und dann den Fehler ausgibt. Natürlich ist das Unsinn, da hier nicht der User handelt, sondern der Installer Dienst mit Systemrechten.

Ergo scheint das MSI inkompatibel zu per-User deployment zu sein, da kannst du nichts dran ändern, außer es dem Hersteller mitzuteilen.

Moin,

Genau. Und das verbleibt so lange, wie ein US-amerikanisches Unternehmen von den USA aus Zugriff auf Daten in Europa hat, weil es nach amerikanischem Recht zum Datenabgreifen und Weiterleiten an amerikanische Behörden gezwungen werden kann. Sprich: ein Rechenzentrum in Europa hilft da kein bisschen.

Ja, tatsächlich ist das so. Es wird nur nicht geahndet, weil es "jeder" nutzt, v.a. aber auch die Staaten selbst.

Nein, nicht wird, sondern ist.

Meiner Meinung nach sieht das anders aus. Der Zustand ändert sich nicht. Es gibt schlicht kein Akzeptabel. Das spricht nur niemand aus (jedenfalls niemand mit Änderungsmacht).

Was es aber gibt, ist eine rein faktische Machtpolitik. Die Datenschutzbehörden verweigern ihre Arbeit, denn sie sind zwar auch für Beratung zuständig, v.a. für Sanktion. An dieses Thema wagt sich nur niemand heran. Würde konsequent durchgegriffen, hätten zu viele mächtige Personen - siehe oben, z.B. die Kommission - keine Mails mehr.

Es ist seit Beginn der DSGVO einhellige Meinung, dass ein Transfer von Daten außerhalb des EU-Gebiets allenfalls dann erlaubt sein kann, wenn am "Zielort" ein vergleichbares Datenschutzniveau herrscht. Das gab es in den USA nicht, das gibt es in den USA nicht und das wird es dort genau so wenig geben, wie eine Abschaffung des Rechts auf Waffenbesitz. Dafür sind die Strukturen schon zu festgefahren.

Die USA waren daher für eine Datenverarbeitung von Beginn an raus. Aber weil amerikanische Unternehmen eben gezwungen werden können, Daten in ihrer Zugriffsmacht (aber außerhalb des US-amerikanischen Staatsgebietes) "heimzuholen" und weiterzuleiten, kann es auch keinen DSGVO-konformen Betrieb mit amerikanischen Cloudunternehmen geben.

Weil aber niemand die Phantasie hat, wie man die - als unverzichtbar bei den meisten eingestuften - amerikanischen Dienste ersetzen oder DSGVO-konform einbinden kann, werden schlicht irgendwelche Krücken (safe harbor und Nachfolger) geschaffen, die mit Blick auf das Ergebnis ("wir wollen aber die Dienste nutzen können") zusammengezimmert werden - und bisher richtigerweise vom EuGH ein um das andere Mal verworfen wurden.

Dass Microsoft selbst sich als "DSGVO-konform" einstuft, vermag nicht zu wundern. Dabei wäre ein DSGVO-konformer Betrieb von vielen MS-Diensten ja unproblematisch - einfach alle Verbindungen zur Cloud kappen, fertig. Doch auch das ist nicht gewollt, hier von der Wirtschaft. Und da ist Microsoft leider nicht alleine... Und die EU als großer Wirtschaftsraum wiederum ist den wirtschaftlichen Teil selbst schuld. Es verbietet ja niemand, richtig gute Alternativen zu beispielsweise den Office-Produkten oder Teams zu schaffen (bei Exchange wird die Luft da schon dünner, wenn es um richtig große Organisationen geht...).

Und dass dann die vielen Anwender draußen die Cloud-Produkte nutzen, wenn es keine Sanktion gibt (sondern nur ab und zu aufflammende Diskussionen), vermag auch nicht zu wundern (aus Anwendersicht gibt es ja auch wirklich viele interessante, arbeitserleichternde Dienste). Das führt dann zu einer selbstverstärkenden Wanderung in die Cloud. Je mehr Cloud-Produkte eingesetzt werden, umso schwieriger wird der Weg zurück und zugleich steigt die Masse an Usern an. Das wiederum führt dazu, dass Politiker es als problematisch und wählerfeindlich empfinden, die doch so arg wichtigen Produkte und Dienste zu sanktionieren, weil dann die eigene Wirtschaft betroffen ist....

Gruß

DivideByZero

Weil es nur User bekommen sollen die es auch brauchen. ... So ist es halt für den Anwender doch sexy die Software zu verwenden die er braucht. Würde ich es über Computer machen habe ich wieder den Aufwand der Pflege. Entweder über irgendwelche Gruppen, oder pauschale auf alle ...

Hallo @bastian23,

bitte das Folgende nicht missverstehen. Ich schreibe das, als ernst gemeinte Unterstützung.
Nach eigener leidvoller Erfahrung mit dem Thema Software Verteilung über GPO und den ignorierten Warnungen, die ich vorher kannte, kann ich dir nur absolut davon abraten, dies produktiv zu nutzen. Es klappt vielleicht am Anfang mit der Installation, aber warte bis ein Update kommt und du Änderungen am GPO vornimmst.

Der Rat eines Trainers bei einem GPO Kurs zum Thema Softwareverteilung: "Macht man nicht"..

Grüße 007 ;)

@Michi91..
Dann mach doch bitte noch einen Like ;)
Werde das ebenfalls bei mir testen.. nun bin ich aber erst mal 2 Weeks in Italia ;)
Gruss Globe!

Warum installierst du die Software nicht via Computer Configuration -> Policies -> Software Settings -> Software Installation?
Dann wird doch alles installiert.
Alternativ unter Computer Configuration und als Start Script?

Da hilft eigentlich nur mal eine Zeichnung des TO aus der hervorgeht, was welche Netze routet (oder routen soll). Das hab ich nämlich noch immer nicht so recht verstanden. Ist DER Router der RV oder der CBS oder halb halb…

Doofe Frage nochmal:

Wo sind die APs jetzt konkret während der Messung?! Hängt der Ruckus neben dem Cisco im EG?! Und sehe ich das richtig, dass bei einem Teil der Messungen die Ruckus und der Unifi im EG waren, der Cisco aber im OG?!

Interpretiere ich die Messungen richtig, dann ist das 2,4er Wifi auf der gleichen Ebene wie der gemessene AP niemals relevant "vorne". Gleichzeitig hast Du aber immer(!) einen deutlich schlechteren Datendurchsatz bei diesem Netz. Gleichzeitig wechseln Deine Clients nicht nur zwischen OG und EG-AP, sondern auch noch jeweils zwischen den Frequenzbändern hin und her.
Deshalb würde ich im laufenen Betrieb komplett auf 2,4 verzichten. Ich hatte das Eingangs glaube ich schon mal erwähnt, bzw. das 2,4er so umbenennen, dass nur noch ausgewählte Clients z.B. aus Kompatibilitätsgründen da verortet werden.

Das Thema ist ja bereits gelöst, aber da ich bei der Suche eben selbst hier gelandet bin, noch eine Ergänzung zur Eingangsfrage. Der Registry Key für den Punkt "Erhalten Sie die neuesten Updates, sobald diese Verfügbar sind." lautet:

Nein! Nicht wenn wir hier von einem Layer 3 Konzept reden also der VLAN Switch deine VLANs zentral routet!
Dann braucht der Switch logischerweise eine Default Route auf den Internet Router. Der wiederum eine der die VLAN IP Netze auf den Switch routet. Einfachste Routing Grundlagen wie sie auch im o.a. Tutorial stehen!
Lesen hilft!

Anders sieht es aus wenn du wider deiner Schilderung im Thread ein Layer 2 Konzept umgesetzt hast. Also ein Layer 2 VLAN der per se nicht routen kann und das einem externen Router oder Firewall überlässt wie es in diesem L2 Tutorial beschrieben ist.
Da entfällt jegliches Routing weil der Router bzw. Firewall der zentrale Routing Knoten ist der ja alle Netze "kennt". Da sind Routen natürlich obsolet sofern man von der Route zum Provider mal absieht.

Wir können aber nur raten da wir ja immer noch nicht so ganz genau wissen welches der Konzepte du denn nun umgesetzt hast?!

Was dann wieder für den Einsatz der Cisco APs spricht, denn deine Clients könnten das alle gar nicht nutzen. In den Billo Produkten kommt dazu das es auch meistens hardwaretechnisch schlecht implementiert so das man man zwar .ax macht aber es performancetechnisch zu ac2 kaum Unterschiede gibt. Muss aber jeder letztlich natürlich selber entscheiden.

Also lokal Admin kann ich die Software installieren, als Standarduser nicht.
Ich weiss auch nicht warum die Software überhaupt hier unter local machine was reinschreiben will

Welche Infos fehlen Dir?

@ukulele-7
FullAck

Ist im Ruckus Unleashed unter "Radio Control" bei den Advanced Options:

Das solltest du m.E. niemals machen, denn dann wäre der Port ja per Default im Management VLAN 99 was du im Normalfall an Nutzerports keinesfalls willst! Das Management VLAN gehört doch niemals auf Enduserports!
Es kommt hier jetzt drauf an was du machen willst...

• Bei einer reinen .1x User Authentisierung ohne dynamischer VLAN Zuweisung setzt du die PVID statisch in das VLAN in dem der User arbeiten soll. Logisch, denn wenn die Info nicht vom Radius kommt musst du das statisch zuweisen. Das sollte dann tunlichst NICHT das Management VLAN sein!
• Bei einer dynamischen VLAN Zuordnung am Port setzt du die PVID immer ins Default VLAN 1. Hier ist die Zuweisung letztlich egal, denn das VLAN wird ja dynamisch dort gesetzt. Sinnvollerweise nimmt man dann ein Allerwelts VLAN bzw. Standard VLAN in das alle User ohne Radius VLAN ID kommen. Denn falls sich da mal ein User ohne VLAN Radius Attribute authentisiert der dann in dieses VLAN fällt. Auch das sollte tunlichst aus guten Gründen niemals das Management VLAN sein! 🤔

Endgeräteports sind ja immer untagged und ein Radius Server weist in der Regel diese Ports ja auch untagged den dynamischen VLANs zu.
Nur einige wenige Hersteller können ein Tagging des dynamischen VLANs mitgeben wie z.B. Ruckus auf den ICX Switches.
Dort kann man mit "T:x" (x=VLAN ID) in der "Tunnel-Private-Group-ID" mitgeben das der Port tagged arbeiten soll für dieses VLAN. Komma getrennt dann auch für mehrere VLANs z.B. bei einem Trunk. Sowas ist ideal wenn man z.B. MSSID APs an einem Switchport authentisieren muss.
Bzw. "U:x" dann für untagged wobei das immer der Default ist wenn kein "T" vom Radius mitgegeben wird.
Viele andere Hersteller können dies aber nicht, dort ist ein dynamisches Tagging an .1x Ports nicht supportet. Mikrotik gehört leider dazu.
Folglich gehört dann auch kein "Admit-all" an diese .1x oder MAB Endgeräte Ports sondern immer ein "admin-only-UNtagged", denn Tagging will man an .1x Endgeräte Ports in der Regel nicht haben und wie oben schon gesagt klappt das eh nicht dynamisch.

Ausnahme ist wenn du tagged Ports authentisieren willst die mit statischem Tagging gesetzt sind.
Hier ist dann wieder die Kardinalsfrage ob das Endgerät dann auch die EAPoL Frames tagged oder nicht und ob das gegenüber das akzeptiert oder nicht. Das muss man im Zweifel testen wenn man tagged Ports authentisieren will weil es Hersteller spezifisch ist.

Nein, dort nur untagged traffic erlauben und die PVID auf 1 setzen wenn es ein Access Port ist. Das VLAN wird ja dynamisch durch den Mikrotik dem Port zugewiesen
(Sorry habe das "802.1x Port" falsch interpretiert, dachte zuerst das du damit den Bond Uplink zur Sense meintest)

Hallo,

ich rate Mal, daß die Software versucht in HKLM/Software versucht zu schreiben. Und das darf ein Benutzer nicht!

Hast Du Mal versucht als Administrator die Installation zu starten?

Und es fehlen mehr Informationen.

Gruss Penny.

Danke, das meinte ich.
Einen eigenen Radius-Server aufzusetzen und neue MACs dort manuell einzupflegen empfinde ich als aufwändiger.
Kommt aber sicher auf den Anwendungsfall an.

@hempel:

Das klingt alles erschreckend logisch
Und nach Anpassung der Taggings und dem Neustart des Routers flutscht das.

Danke Dir, bzw. Euch beiden.

Noch ne Zwischenfrage: VLAN99 und "admit all" ist richtig auf dem 802.1x-Port am Mikrotik?

Was das tagging auf der OPNsense angeht. Habe ich zunächst einen lacp-Lagg "bond downlink" angelegt mit 3 RJ4-Ports (allerdings nur 2 davon aktuell belegt) und auf dem liegen dann die vLANs. Als DHCP läuft KEA und als DNS Unbound. Für mich sieht das so aus, als ob vLAN99 getagged aus der OPNsense kommt – genauso, wie alle anderen.

In dem du das Netzlaufwerk im Windows Explorer oder via Batch-Datei auf dem DC verbindest.

Anleitung dazu findest du massig im Netz.

Per Gruppenrichtlinie etwas zu sichern ist nicht wirklich ein toller Weg. Eine Backup-Software ist hier absolut zu empfehlen. Veeam Backup Agent for Windows ist kostenfrei und kann auf ein Netzlaufwerk sichern.

Wenn keine Drittanbieter Software zum Einsatz kommen soll, gibt es noch die Datensicherung, welche in Windows integriert ist. Diese kann entsprechend dann zeitgesteuert laufen.

Gibt es denn eine Vorgabe für das Projekt bzw. was soll denn das Ziel sein? Einen Server mit Datensicherung zu versehen, klingt etwas "dünn".

Gruß
Marc

Ja spannend. Sag mal, was bedeuten denn die rechten 5 Spalten? Das werden ja die Dämpfungswerte sein. Nur, warum sind das 5 Spalten?!

Und PS: Das 2,4er Netz spannt immer noch den "b" Standard aus. Das solltest Du grundsätzlich deaktivieren, weil es die Durchsatzraten aus Kompatibilitätsgründen stark einschränkt. Ist jetzt aber bzgl. der Dämpfungswerte irrelevant.

Hi,

vorab direkt mal. Alles ist ein Azubi Projekt, deswegen auch meine "große" Unerfahrenheit/Unwissenheit 😅

- Wird nicht gesichert. Es ist ein Physischer Rechner auf dem der gute alte Windows Server 2012 läuft. Auch keine Backupsoftware im Einsatz.
- Es sind unmanaged Switches.
- NAS Modell Synology DS420+

Im kern geht es erst mal nur um erlauben von Programmen und das sichern von den Ordnern auf dem NAS durch Richtlinien. Es hängt auch alles in einem Netz, das wird auch für die Zeit so bleiben.


Das hört sich schon gut an. Wie weißt man dem DC denn dann den freigegebenen Ordner hinzu, wie kann dieser dann durch die Richtlinie die bestimmten Ordner der Nutzer sichern?

Danke, das mit den Cisco-APs muss ich dann noch mal überdenken.

Habe den ax3 gestern aufgestellt, gewohnt flinkes Teil! Natürlich hab ich mir zuerst auf WLAN konzentriert - doch es war ernüchternd.
Hier mal ein paar hastig angefertigte Vergleichsmessungen. Nicht professionell aber praxisnah habe ich eingesetzt:
- iPhone 14 Pro (das einizige AX-fähige Gerät in meinem Besitz)
- iperf3 auf DiskStation DS218+ (neutraler Grund)
- die App "iPerf 3 Wifi Speed Test" von Frederic Sagnes (Transmit Mode = Download / Streams = 5 / Test duration = 30s)

Konfiguration hAP ax3:
RouterOS 7.14.3
Band: AX je 2,4 GHz und 5 GHz (mit N bei 2,4 GHz noch schlechtere Werte)
Width: 20 MHz bei 2,4 GHz, 20/40/80 MHz bei 5 GHz

Ich wollte überzeugt werden! Doch brauchbar wurden die Reichweite erst mit einer Einstellung, die so nicht in Ordnung ist (Skip DFS = disabled, Country = Taiwan, Antenna Gain = 0).
Bestenfalls war damit erst eine nahezu gleiche(!) Feldstärke am Aufenthaltsort wie mit der Fritzbox erreichbar. Gleicher Aufstellort natürlich.
Ohne die genannten Einstellung waren an ein und demselben Aufenthaltsort bspw. in ungestörtem Bereich (anderes Gerät jeweils abgeschaltet) mit der 6 Jahre alten Fritzbox eine RSSI von -72 dBm messbar, der MikroTik lag der Pegel bei -75 dBm im 2,4 GHz-Bereich und bei 5 GHz gar bei -84 dBm!
Eine andere Antennenausrichtung bewirkt überraschend wenig.

Auftrumpfen konnte der MikroTik hingegen im Nahkampf (1 - 2 m Abstand zum Gerät), immerhin 100 - 150 Mbps mehr im Messintervall! Doch da nutze ich Ethernet.

Anbei mal ein schmieriges Diagramm von 6 Messungen an ein und derselben Stelle (FB 2,4 GHz fehlt, weil eben ausgefallen.)

HINWEIS: Die Messwerte für 2,4 GHz sind unglücklicherweise nicht parallel entstanden und fallen daher schlechter aus. Messung 5 und 6 sind bei 5 GHz im Nahbereich angefertigt worden, bei 2,4 GHz weiter weg. Mangels Vergleich mit einer FB hätte ich sie wohl besser ganz weggelassen.

Entweder habe ich gravierende Fehler gemacht oder der Zaubertrick für den ax3 scheint tatsächlich noch nicht gefunden zu sein. Mich enttäuscht das Ergebnis.
Ich probiere noch etwas weiter, ansonsten wird der ax2 testweise bestellt und verglichen.

Mahlzeit.

Ich habe beinahe Angst zu fragen, aber...

Wie wird denn der Domänencontroller gesichert?

Ist der Server (kein Support für das Betriebssystem mehr seitens Microsoft) physisch oder virtuell?

Kommt eine Backup-Software zum Einsatz?

Der freigegebene Ordner auf dem NAS kann ja mittels Benutzer/Kennwort vom DC angesteuert werden. Am besten wäre natürlich du nennst das Modell, dann könnte man dir entsprechende Vorschläge machen.

Wie sieht das Netzwerk generell aus? Gibt es managed oder unmanaged Switches?

Man könnte das unbekannte NAS mit einer seiner Netzwerkkarten in ein getrenntes Netzwerk hängen, in welchem sich nur das NAS und die unbekannte Anzahl an Servers befinden.

Gruß
Marc

Hallo zusammen,

hier sind ein paar Messungen.

Ruckus R320 gegen Cisco CBW140AC:
4m Sichtweite

Terrasse

Kind1 Erdgeschoss, Ecke oben rechts

Küchenfenster aussen

Unifi 6+ gegen Ruckus R320
Auf diesen Bildern befindet sich Cisco CBW140AC im Obergeschoss

4m Sichtweite

Terrasse

Kind1 Erdgeschoss, Ecke oben rechts

Küchenfenster aussen

Messungen im Obergeschoss:
Büro Ecke unten links

Eltern Ecke oben links

Kind 1 Ecke oben Rechts

Es ist Momentanzustand und keine Langzeitmessungen.

im Log vom Portainer steht:
6 renew failure(s), 0 parse failure(s)
at ChildProcess.exithandler (node:child_process:402:12)
at ChildProcess.emit (node:events:513:28)
at maybeClose (node:internal/child_process:1100:16)
at Process.ChildProcess._handle.onexit (node:internal/child_process:304:5)
[5/8/2024] [12:00:48 PM] [SSL ] › ℹ info Renewing SSL certs close to expiry...
[5/8/2024] [12:04:03 PM] [SSL ] › ✖ error Error: Command failed: certbot renew --non-interactive --quiet --config "/etc/letsencrypt.ini" --preferred-challenges "dns,http" --disable-hook-validation
Failed to renew certificate npm-1 with error: Some challenges have failed.
Failed to renew certificate npm-19 with error: Some challenges have failed.
Failed to renew certificate npm-2 with error: Some challenges have failed.
Failed to renew certificate npm-3 with error: Some challenges have failed.
Failed to renew certificate npm-6 with error: Some challenges have failed.
Failed to renew certificate npm-7 with error: Some challenges have failed.
All renewals failed. The following certificates could not be renewed:
/etc/letsencrypt/live/npm-1/fullchain.pem (failure)
/etc/letsencrypt/live/npm-19/fullchain.pem (failure)
/etc/letsencrypt/live/npm-2/fullchain.pem (failure)
/etc/letsencrypt/live/npm-3/fullchain.pem (failure)
/etc/letsencrypt/live/npm-6/fullchain.pem (failure)
/etc/letsencrypt/live/npm-7/fullchain.pem (failure)
6 renew failure(s), 0 parse failure(s)
at ChildProcess.exithandler (node:child_process:402:12)
at ChildProcess.emit (node:events:513:28)
at maybeClose (node:internal/child_process:1100:16)
at Process.ChildProcess._handle.onexit (node:internal/child_process:304:5)
[5/8/2024] [1:00:48 PM] [SSL ] › ℹ info Renewing SSL certs close to expiry...
[5/8/2024] [1:04:57 PM] [SSL ] › ✖ error Error: Command failed: certbot renew --non-interactive --quiet --config "/etc/letsencrypt.ini" --preferred-challenges "dns,http" --disable-hook-validation
Failed to renew certificate npm-1 with error: Some challenges have failed.
Failed to renew certificate npm-19 with error: Some challenges have failed.
Failed to renew certificate npm-2 with error: Some challenges have failed.
Failed to renew certificate npm-3 with error: Some challenges have failed.
Failed to renew certificate npm-6 with error: Some challenges have failed.
Failed to renew certificate npm-7 with error: Some challenges have failed.
All renewals failed. The following certificates could not be renewed:
/etc/letsencrypt/live/npm-1/fullchain.pem (failure)
/etc/letsencrypt/live/npm-19/fullchain.pem (failure)
/etc/letsencrypt/live/npm-2/fullchain.pem (failure)
/etc/letsencrypt/live/npm-3/fullchain.pem (failure)
/etc/letsencrypt/live/npm-6/fullchain.pem (failure)
/etc/letsencrypt/live/npm-7/fullchain.pem (failure)
6 renew failure(s), 0 parse failure(s)
at ChildProcess.exithandler (node:child_process:402:12)
at ChildProcess.emit (node:events:513:28)
at maybeClose (node:internal/child_process:1100:16)
at Process.ChildProcess._handle.onexit (node:internal/child_process:304:5)
[5/8/2024] [2:00:48 PM] [SSL ] › ℹ info Renewing SSL certs close to expiry...
[5/8/2024] [2:00:48 PM] [IP Ranges] › ℹ info Fetching IP Ranges from online services...
[5/8/2024] [2:00:48 PM] [IP Ranges] › ℹ info Fetching https://ip-ranges.amazonaws.com/ip-ranges.json
[5/8/2024] [2:00:48 PM] [IP Ranges] › ℹ info Fetching https://www.cloudflare.com/ips-v4
[5/8/2024] [2:00:49 PM] [IP Ranges] › ℹ info Fetching https://www.cloudflare.com/ips-v6
[5/8/2024] [2:00:49 PM] [Nginx ] › ℹ info Reloading Nginx
[5/8/2024] [2:08:50 PM] [SSL ] › ✖ error Error: Command failed: certbot renew --non-interactive --quiet --config "/etc/letsencrypt.ini" --preferred-challenges "dns,http" --disable-hook-validation
Failed to renew certificate npm-1 with error: Some challenges have failed.
Failed to renew certificate npm-19 with error: Some challenges have failed.
Failed to renew certificate npm-2 with error: Some challenges have failed.
Failed to renew certificate npm-3 with error: Some challenges have failed.
Failed to renew certificate npm-6 with error: Some challenges have failed.
Failed to renew certificate npm-7 with error: Some challenges have failed.
All renewals failed. The following certificates could not be renewed:
/etc/letsencrypt/live/npm-1/fullchain.pem (failure)
/etc/letsencrypt/live/npm-19/fullchain.pem (failure)
/etc/letsencrypt/live/npm-2/fullchain.pem (failure)
/etc/letsencrypt/live/npm-3/fullchain.pem (failure)
/etc/letsencrypt/live/npm-6/fullchain.pem (failure)
/etc/letsencrypt/live/npm-7/fullchain.pem (failure)
6 renew failure(s), 0 parse failure(s)
at ChildProcess.exithandler (node:child_process:402:12)
at ChildProcess.emit (node:events:513:28)
at maybeClose (node:internal/child_process:1100:16)
at Process.ChildProcess._handle.onexit (node:internal/child_process:304:5)


nein ich wüste nichts was sich geändert hat

Naja klar er kann auch mit der WiFi Access-List arbeiten, die MACs da einpflegen und dem entsprechenden VLAN zuweisen und ganz unten einen Catch-All Eintrag für die SSID hinzufügen ist aber nicht sonderlich effizient wenn es mehr werden. Zudem muss man sicherstellen das der CatchAll immer ganz am Ende der Liste steht da auch hier gilt "first match wins".

Hier n Beispiel für die klassische caps-man access-list