Hallo, wir haben folgendes Problem beim booten mit erstelten ISO auf Vsphere 8.0.2, ISO wurde mittels PVS-BDM erstellt. Beim booten erscheint folgende Fehlermeldung
Auf unseren abzulösenden XenServer Umgebung funktioniert das booten.
wenn du im internet (z.B. über Handy Tethering) auf die webseite gehst wo landest du im browser: www.domain.de oder domain.de
wenn du auf www.domain.de zugreifst aber dann auf domain.de redirected wirst.
dann muss man die webseite abändern, so das der ROOT Baum der Webseite immer www.domain.de ist.
War vielleicht ein witziger mensch der die webseite betreut der meinung das beim umzug auf anderen provider auch zu ändern, weils ja so toll ist und alle das so machen inzwischen... www. ist ja sowas von old school und genau dieser DNS eintrag domain.de der auch vom AD verwendet wird, genau den kannst du nicht DNS technisch umbiegen. alles andere wie www. oder sonst was... kein problem...
erstelle eine AD Gruppe und hau die Rechner rein in diese AD Gruppe wo es wirksam sein soll. Und bei der GPO nimmst du bei Security Filterting "Authenticated Users" raus und ersetzt es durch die AD Gruppe, dann wirkt die GPO nur auf die OU wo du sie eingehämngt hast und nur auf die teilmenge welche in der AD Gruppe Member sind.
Dein Script genauso in eine leere Powershell (in die ISE) kopiert, wie vorher.
Die ISE macht oft so einigen Schabernack den man nicht erwartet. Besser Vstudio-Code, notepad++ etc. benutzen, die ISE hat einige Bugs und Glitches die einem leicht auf die Füße fallen können, vor allem PS Neulingen.
ich weiß, das klingt jetzt doof..... Ich habe das Ganze noch einmal versucht und jetzt geht es ohne Probleme. Ich habe aber tatsächlich nur Dein Script genauso in eine leere Powershell (in die ISE) kopiert, wie vorher.
Ich kann mir das eigentlich nicht vorstellen aber: ich habe ein normales MS Update auf dem DC gefahren. Daran wird es ja wohl nicht gelegen haben oder bin ich mittlerweile völlig verblödet?
Jedenfalls scheint es jetzt zu funktionieren und ich freue mich sehr, dass Deine Hilfe dazu beigetragen hat!!
Reicht es, wenn ich "Markiere als Lösung" auswähle oder muss ich hier noch schließen? Wenn ja, wie?
natürlich unterscheidet sich der Code von Deinem. Wie ich ja schon angemerkt habe, hatte ich Deinen nicht noch einmal hier gepostet, weil ich das redundant fand. Ich hatte meinen Code schon geändert, BEVOR ich Deine Lösung sah und wollte das (meinen, zu dem Zeitpunkt, "neuen" Code) nur anmmerken, weil ich dachte, es würde nicht schaden. Aber wenn ich hier im Forum Deinen Code kopiere und unbearbeitet in meine Powershell einfüge, was ich getan habe und wovon Du logischerweise nichts mitbekommst (hoffe ich doch wenigstens....*smile*), dann ist die Ausgabe dennoch die gleiche. Und das irritiert mich eben. Ich danke Dir aber dennoch sehr für Deine Hilfe und dass Du Dir die Mühe machst, Dich mit mir auszutauschen, auch wenn Du vielleicht denkst, ich wäre lernresistent. Jedenfalls will ich unbedingt eine Lösung dafür finden, schon alleine, weil es anders gehen muss. Ich probiere nachher noch ein paar Ansätze aus, dummerweise muss ich zwischenzeitlich auch "normal" arbeiten. Wenn ich das Script "trenne", also die Abfrage ohne die Windows Form mit den Checkboxen laufen lasse, bekomme ich den Fehler nicht (jedenfalls war das so, ich muss das nachher noch einmal validieren). Verstanden, was Du mir sagen willst, habe ich schon, denke ich. Aber wie gesagt, (ernsthaft) vielen Dank für Deine Hilfe!
es ist die Community-Version, da geht diese art von Sicherung nicht.
Welche Art von Sicherung meinst du? Mit der Community Edition darfst du mit einer Veeam Installation bis zu 3 physische Server sichern. Veeam installiert dir einen Agent auf dem zu sichernden Server und macht eine Schattenkopie auch aller offenen Dateien. Er säubert dir auch die Logs von offenen Datenbanken, sodaß du den gesamten Rechner gesichert bekommst.
Und wenn du mehr als 3 physische Server oder 10VMs sichern möchtest, darfst du mehrere Community Editions auf verschiedene Server installieren, die sich z.B. selbst sichern und alles auf ein Share auf den Backup legen, du hast dann nur keine zentrale Verwaltung. Und dieses Share kannst du ganz normal auf Band sichern.
so sollte es sein: 12.234.23.34 (public) <-> phys. FW <-> 12.234.23.34 <-> vm FW <-> 172.16.17.1
Das geht nicht, die Firewall braucht auf ihren beiden Ports (WAN und LAN) eine unterschiedliche IP Adresse, sonst weiss sie nicht wohin geroutet werden kann und auch die Firewall regeln würden dann lustig aussehen, also gar nicht funktionieren.
Jede Schnittstelle, egal wo, benötigt eine IP Adresse und eine MAC Adresse. Wenn die phys. Firewall Daten für 12.234.23.34 annehmen soll, brauchst sie auch diese Adresse.
Und wenn du es doch irgendwie schaffen solltest, dass die WAN Schnittstelle der physischen Firewall ihre IP ausblenden könnte und alles zur VM weiterleiten würde, dann kannst du die VM bzw seinen Hypervisor auch direkt an die WAN Leitung hängen.
Jupp...Das zieht sich wie Kaugummi. Naja, jetzt klappts. Ich hab mit einer halben Stunde gerechnet. Mehrere Stunden ist schon etwas heftig. Aber Danke. Zumindest hab ich jetzt die Befehle für die Powershell, weiß aber, dasss die für den Fall nicht notwendig sind und es das Admincenter auch alleine kann.
Wobei ich nch immer nicht weiß, wieso plötzlich die Rechte weg waren, nur weil das Kopieren der gesendeten Mails erlaubt wurde. Da tippe ich auf Microsoft-Dings.
Vielen Dank, sehr hilfreicher Beitrag! Abschließend noch: Diese GPO ist ja benutzerspezifisch, ich muss das ganze aber nutzerunabhängig für bestimmte Rechner verteilen. Mein Weg wäre jetzt, die GPO pauschal für alle Nutzer anzulegen und dann über die Delegierung denjenigen Rechnern den Lesezugriff zu entziehen, für die diese GPO nicht angewendet werden soll. Klingt das plausibel oder biege ich auch hier falsch ab?
Für den LAN-Teil deckt das Tutorial oben alles ab, was Du brauchst. Für den WLAN-Teil gilt:
Eines meiner Probleme (vermute ich zumindest mal) ist auch, dass ich unter "Bridge -> Ports" keine dynamischen cap-wifi* benutzen kann. Nach jeder Provisionierung des cAP AX über CAPsMAN fliegen die cap-wifi* dort raus und werden logischerweise durch unknown ersetzt.
Du musst die Wifi-Interfaces nicht als Ports in die Bridge legen. Die Zuweisung von Bridge und VLAN erfolgt im Datapath der Konfiguration des Wifi-Interfaces. Erklärt habe ich das hier. Ebenso ist das im RTFM ziemlich klar vorgezeichnet.
Mehrere Fehler begangen 1. Die MTU ist zu hoch, bei Wireguard liegt die maximale MTU mit IPv6 Traffic im Tunnel bei 1420 bytes, ohne IPv6 Traffic über den Tunnel kann man sie auf max. 1440 setzen wenn PPPoE nicht im Spiel ist, 1460 ist also schon mal way too much und wird zu Fragmentierung und dadurch zu sehr schlechtem Durchsatz und anderen Problemen führen. 2. Du versuchst mit ::/0 IPv6 Traffic über den Tunnel zu schicken obwohl du den Endpunkten keine IPv6 IP-Adressen vergibst, das kann verständlicherweise nicht funktionieren. Das führt dazu das wenn eine weitere IPv6 Default-Route im lokalen Netz des Laptops extistiert der IPv6 Traffic weiterhin lokal raus geht. Da Windows IPv6 bevorzugt und wenn bei DNS Anfragen AAAA Records zurückgeliefert werden, versucht Windows das Ziel immer zuerst per IPv6 zu erreichen.
Wenn du also IPv6 auch über den Tunnel schubsen willst dann konfiguriere auch IPv6 Adressen auf den Tunnel Endpunkten und stelle sicher das der IPv6 Traffic auch vom Server aus weiterlaufen kann, z.B. über ein SRC-NAT auch auf IPv6 falls du nur dynamische IPv6 Adressen vom Provider erhältst, oder aber deaktiviere die IPv6 Bindung des Clients am LAN oder WLAN Interface zur Fritzbox.
Sehr interessant, insbesondere der Link zur Mailing-List. Den Hinweis auf den Parameter -m verstehe ich nicht, denn dort geht es ja nur um "... the handling of incoming DHCPv4 packets which already contain relay agent options." Der DHCP-Request des Clients sollte solche Options doch gar nicht enthalten. Relay Agent Options sind IMO nur im Verhältnis Relay <-> Server relevant, wie auch zum Parameter -a erläutert, wo steht, dass die Options für Pakete vom Relay zum Client wieder "stripped" werden.
Im Ergebnis klingt die Mail für mich so, als ob das Verhalten einer Interpretation des (so verstandenen) ISC-Standards folgt und die Sense-Entwickler gar keinen Einfluss darauf gehabt hätten. Auch das verstehe ich nicht, denn das Relay muss ja den direkt an den Server gerichteten Request des Clients konkret verarbeiten (statt nur zu routen), was es im Übrigen überhaupt nur kann, wenn es zugleich auch Router ist. Der Client weiß vom Relay doch überhaupt nichts. Dieser Verarbeitungsvorgang kann auch nicht dem ISC-DHCP-Server zuregerechnet werden, er findet doch allein auf der Sense statt. Für mich ist das ein Bug. Lustig aber, dass das offenbar schon seit mindestens 9 Jahren so ist und es kaum jemand bemerkt hat.
Ich habe das Interne SQL des Backupservers von Microsoft SQL Feature auf Postgres SQL (freeware, von Veeam ausdrücklich unterstützt) umgestellt, um die 10GB-Grenze zu umgehen.
Ich mache keine Backups von SQL-Datenbanken. Es wird nur das register als SQL-Datenbank durch Veeam B&R geführt.
Haben überwiegend MySQL. Postgres bei Zammad. Letzterer sichert die DB + Files. Immer 2 Archive.
Also sind es nur Postgres SQL Backups? Was für eine Art? Dump? Oder Continuous Archiving and Point-in-Time Recovery (PITR)?
Bei Datenbanken wollen wir ja eh ungern Tage oder Wochen zurück gehen. Wann wird Full-Backup gemacht? Wie groß sind die Datenbanken? Sind die zig tausend Dateien nur Postgres Backup?
Braucht man wirklich alle Backups? Retention? Sind das bereinigte Daten? Also mittels Retention alte Backups schon gelöscht?
SQL Backup hab ich vestanden. Nur sind das so viele Einzeldateien.
finde ich diese ganzen Anspielungen so langsam etwas kindisch.
Ich spiele auf nichts an, ich habe nur Deine eigenen Worte zitiert. Deine Überraschung verstehe ich überhaupt nicht. IMO ist das grundsätzliche "Problem" für jeden Admin eine Alltäglichkeit, die selbstverständlich immer zu beachten ist. Vielleicht hast Du Dich einfach nur unpräzise ausgedrückt.
Zum "Problem" (ein letztes Mal hoffentlich). Wir sind uns (spätestens jetzt) offenbar einig, dass es Portscanner und (meist damit im Zusammenhang stehende) Bruteforce-Angriffe schon sehr lange gibt. Wir sind uns auch einig, dass diese zugenommen haben. Das ist doch schon mal was. Nicht einig sind wir uns bei der Beurteilung der Konsequenzen des "Problems".
IMO ist es (bis zur Grenze DDoS) völlig egal, ob es mehr oder weniger viele Scans und/oder Bruteforce-Angriffe gibt, denn die Gefahr, gehackt zu werden wächst beim BruteForce auf "normal" geschützte Systeme nur theoretisch mit der Zahl der Angriffe. "Normal" ist für mich, dass nur sichere, d.h. gepatchte Dienste ins Netz gestellt werden, diese mit sicheren Passwörtern versehen sind und nach Möglichkeit und Anspruch mit weiteren Schutzmaßnahmen (2FA, Fail2Ban u.ä.).
Ist das der Fall können 1 Mio. Russen und 10 Mio. Chinesen gleichzeitig hacken. Sie werden den Dienst nicht knacken. Vorher bricht das angegriffene Netz zusammen bzw. Fail2Ban hat sie ausgesperrt. Omi Trudes Netz hingegen hat gar keine Ports offen, also jucken sie die Portscans nicht und zu Bruteforcen ist da auch nichts. Bei Papa Erwin ist das schon gefährlicher, wenn der seine Fotowebsite auf der Synology für die Außenwelt hostet. Aber das ist seine Sache. Auch er kann von dem Problem wissen. Wenn man einen Server betreiben möchte, stößt man sehr schnell auf die Thematik. Eine Gefahr sind hier sicher die Klickibunti-Angebote, zB von Fritzbox, Synology & Co., die einen zum Dienstangebot verleiten, weil es ja so schön einfach ist, und vielleicht kein Anlass besteht, sich weiter schlau zu machen. Das ist aber Eigenverantwortung, sobald das signifikant wird, wird auch Papa Erwin sensibler. Letztlich betrifft das aber auch nur Privatleute.
Zusammengefasst: Die Scans und Bruteforces sind überhaupt nicht geeignet, normal geschützte (insbesondere Unternehmens-)Ziele erfolgreich anzugreifen und die Zahl der Versuche ist nicht relevant. Ist der Dienst ungenügend geschützt, ist die Wahrscheinlichkeit, dass er gehackt wird, schon per se riesig. Gibt es mehr Angriffe, tummeln sich am Ende vielleicht gleich mehrere Angreifer im Netz. Das hat aber für den Datenverlust keine Relevanz. Anders herum: Wir haben unsere Systeme ohnehin zu schützen, gleich, ob 10 oder 10000 Angriffe pro Minute/Stunde gefahren werden. Ich kann ja wohl nicht sagen, ach den und den Port schütze ich jetzt mal nicht so streng, da laufen ja eh nicht so viele Angriffe drauf.
Statt also einen "Aufreger" aus im Ergebnis für unsere Arbeit faktisch irrelevanten Angriffen zu machen, kann man die Erhöhung der Angriffsintensität unter einem anderen Blickwinkel viel dramatischer (zugleich relevanter) thematisieren: Tatsächlich wird deren Zunahme mittlerweile zunehmend als hybride Kriegsführung interpretiert, mithin, wir werden vielleicht schon längst als Staat angegriffen, ohne dass klassische Waffen im Spiel sind. Das finde ich bedrohlich. Gehört IMO aber nicht in dieses Forum, jedenfalls nicht an diese Stelle.
Unter diesem Aspekt wäre sicher auch der Staat in der Pflicht. Dennoch wissen wir aus vielfältigen Beispielen leider, dass die Politik hierzulande sehr lange Zeit den Neuland-Gedanken gepflegt hat und sowohl das Bewusstsein, als auch die Verteidigungslinie für eine angemessene Abwehr kaum genügen. Wir sind hier gefangen in einer Situation aus zig Jahren Ignoranz der Vorgängerregierungen und der faktischen Handlungsunfähigkeit der aktuellen Regierung. Wohl sein.
Zurück zur Technik
weil z.B. die meisten FW's/NGFW's/SGW's per default nicht die entsprechenden Informationen liefern oder es überhaupt nicht können
Wohl dem, der ein kleines, preiswertes Mikrotik-Gerät sein Eigen nennt Dort kannst Du die Scans direkt auf der Oberfläche sehen, fein nach Datenmenge und Paketen getrennt. Und oder Dir für jede erdenkliche Situation Mail/SMS/Messenger-Infos vom Router schicken lassen. Ganz meine Meinung: Transparenz ist im Netzwerk mehr als die halbe Miete. IMO kannst Du doch aber auch auf Deinen Sophos (und allen anderen) das Live-Log aktivieren und das ein Wenig filtern. Das ist vielleicht nicht ganz so schön, aber sollte dem Zweck "Scanner-TV" auch genügen. Wird ja wohl keine Dauerbeschäftigung werden. Zu tun ist ja genug.
innerhalb einer installierten Anwendung werden Eingaben automatisch "korrigiert". Die App selbst verlinkt zur Änderung dieser automatischen Korrektur lediglich ins Windows Einstellungsmenü "Zeit und Sprache -> Eingabe".
Dort sollen, nachdem ich mehrere Anleitungen mit entsprechenden Screenshots recherchiert habe, folgende beiden Optionen vorhanden sein: - Rechtschreibfehler automatisch korrigieren - Rechtschreibfehler hervorheben
Diese beiden Optionen existieren bei mir nicht! Auch durch die Suche innerhalb der Windows-Einstellungen kann nichts zur Rechtschreibung oder Autokorrektur gefunden werden.
Gibt es eine Alternative zur Deaktivierung (evtl. über die Konsole) oder noch besser: eine Möglichkeit die Optionen in den Einstellungen sichtbar zu machen?
Weg von den 172.16.0.0/12er Adressen, hin zu Subnetzen innerhalb des 10.0.0.0/8er Netzes,
Dafür gibt es eigentlich keinen zwingenden Grund...im Gegenteil, denn bei VPN Nutzung wären die 172er ggf. günstiger da weniger verbreitet als 10er. Das alles klappt auch mit 172er Netzen und ist eher eine kosmetische Diskussion. Der TO hat ja nur 3 Standorte und noch Wachstumspotential für 13 weitere Standorte...
Nur beim Renew schickt der Client Unicasts direkt an den Server!
Richtig! Bestätigt dann auch die Erkenntnisse des hiesigen Threads!
aber möglicherweise von ISC tatsächlich so vorgesehen
Genau das ist die entscheidende Frage...! Fällt allerdings schwer die Logik dahinter dann zu verstehen, denn das Verhalten ist eigentlich sinnfrei.
Um beim Debuggen nicht verrückt zu werden
Das muss man auch gar nicht... Am Client reicht es den Wireshark zu starten mit einem Capture Filter auf Port 67 und 68 Parallel dazu lässt man am DHCP Server mit tcpdump -i <interface> -s 65535 -w dhcpservercapture.pcap laufen. Die Datei dhcpservercapture.pcap kann man dann ganz entspannt in den Wireshark laden und im Vergleich betrachten.
Guten Abend liebe Teilnehmer und willkommen in meiner heutigen persönlichen kleinen Hölle... Folgendes hat mir heute Zeit und Nerv geraubt:
Wie im Titel des Threads geschrieben, versuche ich im Kioskmodus eine Accessdatenbank, bzw. das darin befindliche Formular auszuführen.
Ich habe diese Dinge schon versucht. 1. Pfad im Edge aufrufen: Verursacht nur einen Download der accdb-Datei 2. Erstellung eines Registryeintrags in Form einer neuen Klasse namens accessdb und deren Unterschlüssel anhand einer wirklich tollen Anleitung, um mittels URL die Access-Anwendung und die Datei zu öffnen. Funktioniert im Nicht-Kioskmodus top. Im Kioskprofil leider nicht. 3. Die Access-"App", wenn die Bezeichnung korrekt ist, via Powershell für den Kiosk-User 'assignen', wie bei MS beschrieben. Dies endet in einem Systemfehler- die Anwendung konnte nicht gefunden werden. Weder über ihren Namen, noch über die AnwendungsID. 4. Feststellen, dass es seit Office 2010 oder 2013 die Access Services nicht mehr gibt und die von MS angedachte Möglichkeit in meinen Augen einfach den Rahmen sprengt. Oder seht ihr das evtl. anders?
Was ich vermeiden möchte, sind zahlreiche Änderungen an den GP's um auf den Kioskmodus zu verzichten und eine 3rd Party Software, möchte ich mir auch ersparen.
Hat eventuell schon mal jemand etwas in dieser Form mit Bordmitteln realsieren können und würde mir einen Tip geben?
Die Konstellation der Software ist Win10 IoT und Access 365 Runtime. Hier wäre ich allerdings flexibel, wenn ein Wechsel der Versionen Abhilfe schafft. (Außer natürlich Access 2016 und älter) ;). Das System ist erst in der Entstehung und Neuinstallationen wären kein Thema.
Dort sind alle Details beschrieben die für ein korrektes WG Setup relevant ist. Ein Kapitel behandelt zusätzlich die nicht Standard konforme Wireguard Implementation von AVM in den Fritzboxen.
Leider hast du deine Konfig Dateien hier nicht gepostet was ein sinnvolles Troubleshooting dann zur Kristallkugelei macht. Ohne dein Setup zu kennen ist eine zielführende Hilfe schwer möglich. Alle Schritte zu einem korrekten WG Setup sind im o.a. Tutorial und den weiterführenden Links beschrieben. Lesen und verstehen...
Statische Routen sind bei Wireguard bekanntlich ohne jegliche Funktion, da Wireguard auf Basis des Crypto Key Routings funktioniert. Welcher Traffic in den Tunnel geroutet wird bestimmst du mit dem was unter dem "AllowedIPs" Parameter definiert ist.
Leider hast du deine Konfig Dateien hier nicht gepostet was ein Troubleshooting dann zur Kristallkugelei macht. Ohne dein Setup zu kennen ist eine zielführende Hilfe schwer möglich. Alle Schritte zu einem korrekten WG Setup sind im o.a. Tutorial und den weiterführenden Links beschrieben. Lesen und verstehen...
Backup-Server: Oller PC Server 2022 Std. Veeam 12 B&R Community Edition System-SSD SAS Controller (2 Kanäle) mit LTO5-Drive, RAID mit 7,5TB Netto (4x2TB)
Zu sichgernde(r) Server Oller PC Server 2012 6 x 2TB
Netz: Gigabit
Vorliegende Daten sind fast ausschließlich bereits komprimierte Daten, weiteres komprimieren ist daher sinnfrei. Dateigrößen sind in dem Fall ca. 1-5GB Groß. Deduplizierung ist kaum nötig.
Bis mir das Ganze an die 10GB-SQL-Datenbankkante stieß hab ich das alles immer prima File-to-Tape gesichert, und das lief jahrelang super (von mehreren Quellservern alles auf diesen Backup-Server.) Nun habe ich umgestellt auf diese PostgreSQL Variante (15) und es läuft gut mit Veeam B&R 12.
Nur eben bei diesem jetzt zu sichernden Server 2012 bleibt das Backup einfach stehen, warum auch immer. Die Server laufen ja, es ist kein Systemeinfrieren. Aber das Backup geht ohne weitere Fehlermeldung nicht weiter.
Backup to HDD to Tape Wie man das nun einrichtet, dass das Backup erst auf eine Platte/RAID landet, und dann erst aufs Band kommt weiß ich nicht. Ich wurschtel mich hier ohne Kurs durch Veeam. Ich habe da keinen im Umfeld, der das weiß und erklärt.
Meine Backup-Medien-Sets sind auf netto 6TB ausgelegt, also 4 Tapes á 1,5TB. Da passen dann 3x2TB HADD vom Quellserver drauf. Also mache ich für den Server 2012 zwei Backup-Jobs für je 6TB auf je 4 Tapes. Das reicht in dem fall für etwa 1-2 mal Pro Jahr, weil sich da kaum was ändert. Das wird dann per Bedarf und Laune per Hand gestartet.
Also nochmal langsam: Backup Programm helfen beim Komprimieren in dem sie komprimieren und auch meist deduplizieren. Beides braucht Zeit. Dann haben wir noch sowas wie Application Aware. Kennen wir ja von Datenbanken etc.
Sichern und Schreiben auf einer HD geht bei Image nicht. Bei Dateien kommt doch alles in eine vmdk als Container. Wenn der Platz ausreicht kann man damit doch bequem alles zusammenfassen und komprimieren lassen. Auf der HD eben.
Dateizugriff, Virenscanner und auch ggf. fehlerhafte Dateien muss man klären. Kopie von vielen kleinen Dateien dauert ja ohnehin länger. All sowas könnte die Transferrate herabsetzen.
Wenn du einen oder mehrere Task und damit vmdk erstellst kann man gegensteuern. Ggf. Dienste beenden, oder bei der 2. Sicherung Inrkementell/ Differentiell vorgehen und somit eh Dauer und Größe stark reduzieren.
Beim zurücksichern muss ja sonst auch erst das Band gelesen, ggf. indizier tun die Dateien kopiert werden. Liegen aber z.B. 1 TB vmdk vor, so wird dich sciherlich rasch - je anch Performance des LTO-Laufwerkes und des Zieles - kopiert werden. Klar muss man die im 2. Schrnitt dann auch wieder zurückscihern, um an die Dateien zu kommen.
ABER du kansnt die VMDK doch browsen und statt 1TB nur die wichtigsten Daten dann auf den Virenbefallenen Server zurück spielen. Ist vom Handling praktischer.
Erst bündeln, dann aufs Band. Ggf. Ausschlüsse definieren von unnötigen Ordnern die ggf. auch noch im Zugriff sind und Backup da hängen lassen.
Bei meinen Vollbackups mit Acronis kann ich die exportierten tibx Dateien auch einfach öffnen und komme unter Windows und Linux an die Dateien ran.
Gut, das ist ein Image. Aber du kannst es doch 1:1 auf die Dateien übertragen. 1-3 große "Bunker" - vmdk Dateien - und gut ist. Der tägliche Zuwachs hält sich doch in Grenzen.
Da du eh dann Plattenplatz für die im ersten Schritt lokale Sicherung auf der HD brauchst gibst du gedanklich gleich ein paar GB hzinzu für die kommenden Diff/ Ink Sicherungen. Hast dann 1 Depot auf HD und 1 Depto auf Band. Wegen immutable Backup sogar gut so.
So oder so denke ich lohnt es sich den ersten Schritt auf HD zu vollziehen. Ist kein Platz da, würde ich über den Kauf und Einbau einer 2. HD nachdenken. SSD meinetwegen - wegen der Performance. Vorhaltezeit der Daten kannst du da eh vergessen, da du ja noch auf Band sicherst. Zudem wird jede gute HD nicht nach 3 Tagen die Daten ins Nirvana schiießen ....
Komprimierung und Deudup auf einer lokale SSD als Zwischenbackup ist doch durch aus legitim. Klar wen der Server abbrennt oder Virus zu schlägt sind die weg. Ist aber ja egal - du hast ja noch dein Band! Es macht nur sicherlich deutlich merhr Spass.
nach dem ich letztes Jahr meinen Router (RB5009) und den AP (cAP AX) eingerichtet hatte, wollte ich mich jetzt mal abends (aktuell vergeblich) daran setzen meine Netzwerke mit VLANs ordentlich zu trennen.
Aktuell bin ich in einem Status, der mit dem Setup was ich da zusammengeschustert habe, funktioniert - allerdings ohne VLANS und höchstwahrscheinlich auch eher mehr oder weniger.
Eines meiner Probleme (vermute ich zumindest mal) ist auch, dass ich unter "Bridge -> Ports" keine dynamischen cap-wifi* benutzen kann. Nach jeder Provisionierung des cAP AX über CAPsMAN fliegen die cap-wifi* dort raus und werden logischerweise durch unknown ersetzt.
Auch tu ich mich etwas schwer damit, dass die Wifis über einen AP kommen und nicht über ein internes WLAN. Viele Threads/Anleitungen haben ein internes WLAN. Dort kann man dann auch unter "Bridge -> Ports" die Wifis richtig setzen (zumindest in den Beiträgen die ich gelesen hatte)
Meine Idee war folgendes:
WLAN_1 -> Haupt-Wlan WLAN_2 -> Gäste-Wlan WLAN_3 -> HotSpot-Wlan (über externen Radius-Server, erreichbar über external-auth.local/10.0.114.21, um später das WLAN_2 zu ersetzen)
In WLAN_1 soll halt jedes bekannte Gerät von mir angemeldet werden können. In WLAN_2 sind aktuell alle anderen Geräte (z.B. Gäste, Nintendo Switch, LGTV) In WLAN_3 ist aktuell nichts eingebucht. Da soll am Ende aber die Authentifizierung über einen externen RADIUS-Server gehen, sodass sich dort nur Gäste und Geräte anmelden können, die im RADIUS-Server hinterlegt sind.
Dazu sollen alle Geräte in WLAN_1 untereinander kommunizieren können, egal ob die per LAN am Router hängen oder in WLAN_1 sind, dann z.B. per IP Aufruf. Aber WLAN_1 soll mit keinen Geräten in WLAN_2/WLAN_3 kommunizieren können und anders herum logischerweise genau so. Dasselbe gilt für alle anderen Kombinationen.
Aktuell habe ich folgendes Setup was die Ports am Router angeht: ether1 -> WAN (Glasfaseranschluss) ether2 -> direkte Verbindung von meinem Rechner an den Router ether3 -> Hue Bridge ether4 -> cAP AX ether5 -> Proxmox (VM's die von ehter2/WLAN_1 erreichbar sein müssen)
allerdings bekommt jetzt jedes Gerät egal ob in WLAN_1, WLAN_2, WLAN_3 immer eine 192.168.4.xxx
ich habe ein Problem mit (vermutlich) dem Routing über meine Wireguard Verbindung.
Der Aufbau ist wie im Bild zu sehen.
Die Wireguard Verbindung selbst steht, die IP der Gegenseite lässt sich ja jeweils anpingen.
Auf PC2 und PC3 ist auch net.ipv4.ip_forward=1 in der /etc/sysctl.conf gesetzt.
Zumindest auf dem PC3 müsste ich ja noch eine Route setzen, damit das Netz 172.17.17.0/24 korrekt über 172.17.19.4 als Gateway geroutet wird, oder?
Ich hatte dort bereits einmal "ip route add 172.17.17.0/24 via 172.17.19.4" (OS: Debian 11) ausprobiert, allerdings ging der Ping auf die 172.17.17.20 trotzdem nicht. Auf PC1 (OS: Win11) habe ich bereits testweise mal direkt die Route (route add 172.17.19.0/24 172.17.17.20) gesetzt, aber das hat keine Änderung gebracht, ausser dass ein Ping auf die 172.17.19.4 nicht mehr über den Router geht, sondern direkt von PC1 nach PC2 geht.
Solange der Ping von PC3 auf PC2 (auf die 172.17.17.20) nicht geht, wird vermutlich auch der Ping von PC1 auf PC3 nicht gehen, da PC3 ja irgendwie die Info über den Rückweg des Pings fehlt, oder?
Ich hatte schon probiert danach zu googlen, aber dann immer nur den Hinweis auf die Routen gefunden, die ja im Prinzip schon gesetzt sind/waren.
Hätte jemand noch eine Idee, woran es liegen könnte?
Warum 3.000 Dateien? Ich sagte ja vorher packen. Auch mit Veeam auf der HD dann speichern. File based sollte ja immer gehen. Auch wenn performance bei 2. HD oder raid besser ist.
Dann das eine große Ding da auf das Band! Manuell oder eben als Second Backup location. Nicht alles einzeln.
Ich habe nun C: weggelassen. Ich habe nun D: weggelassen, was ein extra Volume ist auf dem der Server 2012 intern ein Backup macht mit dem Windows Backup Feature.
Das Veeam-Backup-To-Tape lief auf das erste Band flott durch mit im Schnitt 100MB/s, das zweite Band wurde ein gelegt und auch da lief anfangs alles so weiter. Nach ca. 200-300GB steht das ganze wieder so vor sich hin.
Es gibt Einträge in meinem Pi-Hole-Protokoll, die mich vermuten lassen, dass meine WireGuard-Verbindung von meinem Laptop (Gecko) aus nicht richtig funktioniert.
Meine Netzwerkkonfiguration ist wie folgt:
Ich habe eine FritzBox, an der ein Raspberry Pi über Ethernet angeschlossen ist. Auf diesem Raspberry Pi laufen mehrere Dienste: Pi-hole, Unbound und WireGuard.
Den WireGuard-Server habe ich korrekt eingerichtet, so dass die VPN-Verbindung zu meinem Laptop, auf dem Windows 11 installiert ist, und meinem Handy funktioniert - sowohl intern, lokal im Netzwerk (NAT-Pinning) als auch von außen (DynDNS).
Sobald die VPN-Verbindung zwischen meinem Laptop und dem WireGuard-Server aufgebaut ist, gehe ich davon aus, dass der gesamte Datenverkehr zwischen dem Laptop und dem WireGuard-Server durch den VPN-Tunnel geleitet wird. Dem ist aber nicht so, wie die Logs von Pi-Hole zeigen; in diesem Beispiel greife ich auf die Seite test.de zu:
May 4 23:06:54: query[A] test.de from 192.168.178.23
May 4 23:06:54: forwarded test.de to 127.0.0.1#5335
May 4 23:06:54: query[A] test.de from 10.100.0.3
May 4 23:06:54: reply test.de is 128.65.209.28
May 4 23:06:54: query[A] test.de from 192.168.178.23
May 4 23:06:54: cached test.de is 128.65.209.28
May 4 23:06:54: query[A] test.de from 10.100.0.3
May 4 23:06:54: cached test.de is 128.65.209.28
May 4 23:06:54: query[AAAA] test.de from 192.168.178.23
May 4 23:06:54: forwarded test.de to 127.0.0.1#5335
May 4 23:06:54: query[AAAA] test.de from 10.100.0.3
May 4 23:06:54: reply test.de is NODATA-IPv6
May 4 23:06:54: query[A] www.test.de from 192.168.178.23
May 4 23:06:54: forwarded www.test.de to 127.0.0.1#5335
May 4 23:06:54: query[A] www.test.de from 10.100.0.3
May 4 23:06:54: reply www.test.de is 128.65.209.28
May 4 23:06:54: query[A] www.test.de from 192.168.178.23
May 4 23:06:54: cached www.test.de is 128.65.209.28
May 4 23:06:54: query[A] www.test.de from 10.100.0.3
May 4 23:06:54: cached www.test.de is 128.65.209.28
May 4 23:06:54: query[AAAA] www.test.de from 192.168.178.23
May 4 23:06:54: forwarded www.test.de to 127.0.0.1#5335
May 4 23:06:54: query[AAAA] www.test.de from 10.100.0.3
May 4 23:06:54: query[A] cdn.test.de from 192.168.178.23
May 4 23:06:54: forwarded cdn.test.de to 127.0.0.1#5335
May 4 23:06:54: query[A] cdn.test.de from 10.100.0.3"
Man sieht, dass die Anfragen von zwei Schnittstellen kommen: einmal von der IP (192.168.178.23), die meinem Laptop von der FritzBox zugewiesen wurde, und von der IP (10.100.0.3), die dem Laptop vom WireGuard-Server zugewiesen wurde.
Dies widerspricht meinen Erwartungen. Sollte der Datenverkehr nach erfolgreichem Aufbau der VPN-Verbindung nicht nur über die IP 10.100.0.3 geleitet werden?
Wenn ich den gleichen Test mit meinem Android-Telefon durchführe, sieht das Pi-Hole-Protokoll wie folgt aus:
May 4 23:11:41: query[A] test.de from 10.100.0.2
May 4 23:11:41: cached test.de is 128.65.209.28
May 4 23:11:41: query[A] www.test.de from 10.100.0.2
May 4 23:11:41: cached www.test.de is 128.65.209.28
May 4 23:11:42: query[A] cdn.test.de from 10.100.0.2
May 4 23:11:42: cached cdn.test.de is <CNAME>
May 4 23:11:42: cached swliveweb.azureedge.net is <CNAME>
May 4 23:11:42: cached swliveweb.afd.azureedge.net is <CNAME>
May 4 23:11:42: cached azureedge-t-prod.trafficmanager.net is <CNAME>
May 4 23:11:42: cached shed.dual-low.part-0017.t-0009.t-msedge.net is <CNAME>
May 4 23:11:42: cached part-0017.t-0009.t-msedge.net is 13.107.246.45
May 4 23:11:42: cached part-0017.t-0009.t-msedge.net is 13.107.213.45
May 4 23:11:42: query[A] experience-eu.piano.io from 10.100.0.2
May 4 23:11:42: cached experience-eu.piano.io is 104.16.144.111
May 4 23:11:42: cached experience-eu.piano.io is 104.16.143.111
May 4 23:11:42: query[A] cdn-eu.piano.io from 10.100.0.2
May 4 23:11:42: cached cdn-eu.piano.io is 104.16.143.111
May 4 23:11:42: cached cdn-eu.piano.io is 104.16.144.111
May 4 23:11:43: query[A] c2-eu.piano.io from 10.100.0.2
May 4 23:11:43: cached c2-eu.piano.io is 104.16.144.111
May 4 23:11:43: cached c2-eu.piano.io is 104.16.143.111
May 4 23:11:46: query[A] buy-eu.piano.io from 10.100.0.2
May 4 23:11:46: cached buy-eu.piano.io is 104.16.143.111
May 4 23:11:46: cached buy-eu.piano.io is 104.16.144.111
Obwohl ich mit dem Handy lokal in meinem WLAN-Netz verbunden bin, wie mein Laptop, erscheint keine Anfrage von der IP, die meine FritzBox meinem Handy zugewiesen wurde, im Log, sondern die Abfrage wird nur innerhalb des VPN-Tunnels aufgelöst.
Mögliche Lösungen:
Da der Kill-Switch des WireGuard-Clients nicht richtig zu funktionieren scheint, muss ich Windows 11 so konfigurieren, dass der gesamte Verkehr durch den VPN-Tunnel (10.100.0.3) geleitet wird.
Ich wäre sehr dankbar, wenn mir jemand helfen könnten, dieses Problem mit meiner WireGuard-Einrichtung unter Windows 11 zu verstehen und zu lösen.
Hallo, ich war immer skeptisch gegenüber Ghostwriting-Diensten, aber ghostwriter-schweiz.com/hausarbeit/ hat meine Meinung geändert. Sie bieten nicht nur das Schreiben von Hausarbeiten an, sondern auch umfassende Unterstützung in allen Phasen der Erstellung einer Forschungsarbeit. Ich war beeindruckt, wie schnell und effizient mein Auftrag bearbeitet wurde. Alle meine Wünsche wurden berücksichtigt und die Arbeit wurde pünktlich fertiggestellt. Dank des engen Dialogs mit dem Autor konnte ich meinen eigenen Beitrag leisten und mich sicher fühlen, weshalb ich diese Website sehr empfehlen kann.
Habe jetzt mal mit dem Paramter -m discard getestet, macht aber bei mir leider keinen Unterschied.
Auch warum es nur im halbstündlichen Keepalive passiert nicht aber nach einem Kaltstart oder Booten zeigt eher das da etwas zumindestens unsauber ist.
Nach einen Kaltstart bzw. Release+Renew schickt der Client ausschließlich Broadcasts. Daraus macht der Relay Unicasts zum DHCP-Server, welche dort genau 1x ankommen.
Nur beim Renew schickt der Client Unicasts direkt an den Server! Dabei geschieht dann die "Paket-Verdoppelung" weil der Relay aus diesen Unicasts nochmal zusätzliche Pakete erstellt und zum Server schickt.
Definitiv ein anderes Verhalten als bei Switchen, aber möglicherweise von ISC tatsächlich so vorgesehen(?)...
Um beim Debuggen nicht verrückt zu werden, habe ich bei mir jetzt vorerst die DHCP-Unicasts von den Client-Netzen zum DHCP-Server per Firewall blockiert. Somit sehe ich am Server nur noch die Renews vom Relay... und alles funktioniert ;)
Zitat von @ThePinky777: weist du das wäre ja alles nicht so peinlich wenn ich nicht selbst Ingenieur wäre hehe
Aber wir wiisen das ja nicht und daher kannst du deinen Beruf/Titel/Anerkennung/Belobigungen/Zeugnisse schreiben wie du willst. Du weisst: Einem Ing... ist nics zu schwör
