Moin,
der Vorteil von einem größeren Subnetz ist, dass an Hand der Subnetze bereits hergeleitet werden kann, zu welchen Standort diese gehört. Es vereinfacht auch die technische Umsetzung im Routing. Es ist einfacher eine /20 Route zu setzen als 24 einzelne Routen, weil es nicht zusammenhängend ist. Somit auch die Routing Tabelle nicht mehr übersichtlich, was bei einer Fehlersuche Zeit und Nerven kostet.

Unabhängig davon entspricht ein /20 insgesamt 16x /24 pro Standort. Das sind über 4.000 IP-Adressen. Wenn man jetzt die 254 als Grundlage nimmt, sieht das nach einer Kanone auf Spatz aus. Aber wir wissen natürlich nicht was ihr vor habt. Grundsätzlich gilt Regel N3.: Lieber haben als brauchen.

Grundsätzlich ist auch die Hinterfragen, ob es mit Segmentierung der Geräte überhaupt /24 noch braucht. Hängt natürlich von den Gerätetype nun den Einsatzzweck ab. Hängt schlussendlich davon ab, ob das Gateway nur routet oder auch eine Firewall ist, welches entsprechendes, grobes Regelwerk hat.

Und das ist relevant für welche Interaktion?


Gruß,
Dani

hast du das zufällig irgendwie in fertiger datei form auch schon für mich ?

Die Standortzuweisung der einzelnen /24 sollte man gut überlegen, in deinem Beispiel 1 hättest du "nur" 16 /24er zusammenhängend je Standort.
Auch solltest du überlegen ob alle Subnettypen an jedem Standort vertreteten sind bzw. ob einzelne Typen es nur an einem Standort gibt.

Gibt es an jedem Standort eine FW die den Verkehr regelt?

Jup, +1 für Variante 1

Moin,
das kann eigentlich nicht gehen. Weil wenn eure AD domain.de heißt kannst du unmöglich einen A-Eintrag auf die öffentliche IP-Adresse des Webservers zeigen lassen. Weil anderenfalls würde dein AD nicht mehr funktionieren.

Du meinst sicherlich www.domain.de, oder? Bekommst du an einem Client und auch am DC, welcher DNS ist, per nslookup www.domain.de die korrekte IP-Adress(en) zurückgeliefert?

Kann es sein, dass es ein Redirect von www.domain.de auf domain.de gibt? Siehst du im Browser über die Entwickler Tools.

Gruß,
Dani

Danke fürs Testen! 👍
Nein, weil das wohl auch niemandem so im Detail aufgefallen ist.
De facto kann man es aber mit den diversen Switch und Router Herstellern vergleichen die DHCP Relay supporten auf ihren Produkten und wo es nachweisbar NICHT so ist. Siehe Verhalten von Cisco und Ruckus oben. Hier passiert die Kommunikations ja erwartungsgemäß direkt als Unicast zw. Client und DHCP Server.
Die Info mit dem Relay Agent ist interessant. Kollege @HansFenner meinte aber das das Verhalten keinen Unterschied macht ob das in der OPNsense gesetzt ist oder nicht.
Ich hatte es ohne den Agent Haken getestet.
Dennoch erklärt es nicht hinreichend warum das Firewall Interface selber aktiv sowohl einen Request an den Server und auch ein ACK an den Client schickt obwohl es außer der Forwarding/Relay Funktion direkt zum Server NICHT am DHCP Prozess beteiligt sein sollte.
Auch warum es nur im halbstündlichen Keepalive passiert nicht aber nach einem Kaltstart oder Booten zeigt eher das da etwas zumindestens unsauber ist.

Moin @Lochkartenstanzer,


und genau das möchte ich primär ja auch.


Genau so ist das, doch wenn man nichts sehen kann, weil z.B. die meisten FW's/NGFW's/SGW's per default nicht die entsprechenden Informationen liefern oder es überhaupt nicht können, dann kann man darauf auch schlecht reagieren. 😔

Gruss Alex

Ja, kann ich später noch ergänzen.

Anbei meine Einstellungen ...

Ist leider noch nicht besser geworden.

Danke

Gibt es auch eine Möglichkeit, dass er damit auch alle 5 Minuten speichert automatisch ?

Moin @Lochkartenstanzer,


ja, zum Beispiel dann, wenn eine Katastrophe bereits schon so weit vorgeschritten ist, dass weitere Details darüber, lediglich nur noch zu einer unnötigen Massenpanik führen würden, jedoch nichts an dem Schicksal selbst ändern würden.
Als so schlimm, würde ich die jetzige Lage jedoch auch nicht einschätzen ... zumindest aktuell noch nicht. 🤪


👍👍👍 😂🤣😂🤣

Gruss Alex

Bei EX Online musst man oft ziemlich lange warten bis Berechtigungen richtig ziehen. Da ist nix mit instant wie bei nem OnPremise.

Okeh....ich bin das jetzt mal alles manuell durchgegangen.
Erst mal alles entfernt.
Dann:
Ist also genau das, was man im Exchange Admincenter unter Delegierung einstellen kann.

Ich hab dann noch ein
gemacht, weil ich den Beitrag von @hempel noch nicht gelesen hab.
Also wieder rückgängig via
(musste ich nachlesen, keine Ahnung ob das nicht einfacher geht)

Das freigegebene Postfach hat also Senden als und Vollzugriff an den User deligiert. Sagt Powershell und auch das Admincenter.
Mails können immer noch nicht versendet werden, weil nach wie vor die Berechtigung fehlt.

Ich glaub, ich geh jetzt erstmal nachhause.

pfSense 2.7.2 zeigt dasselbe Verhalten.

In der Mailinglist von ISC habe ich in einem ganz alten Beitrag gelesen, dass dies das normale Verhalten des Relays wäre:
https://lists.isc.org/pipermail/dhcp-users/2015-September/019218.html

Seid ihr sicher, dass dies vor einiger Zeit wirklich anders war?

Der obige Beitrag schlägt die Option "-m discard" vor.
In der Manpage steht dazu:
(https://man.freebsd.org/cgi/man.cgi?query=dhcrelay)

~ Variante 1 klingt doch schon ganz gut. Ganz ähnlich ist unser Netz hier auch aufgespannt

Das hatte ich schon öfters, dass Outlook den hinzugefügten Kalender nicht gleich angezeigt hat, ich musste ihn erst mit dem Häckchen vor dem Kalendernamen deaktivieren und wieder aktivieren, dann war er zu sehen. Evtl ist das das gleiche Phänomen, dass ihr die Ansicht erst ändern müsst.

Hi, also das Problem besteht generell bei OnPrem Usern. Aber die OnPrem User sind alle AzureAD gesynct. Und wie gesagt, stell ich die Ansaicht auf Tagesansicht funktioniert es ja. Nur halt nicht wenn ich die auf Arbeitswoche stelle....

Achtung, es darf immer nur eine der beiden Einstellung gesetzt sein. Also entweder "Send as" oder "SendOnBehalf". Wenn man beides gleichzeitig für den User setzt kommt es zu diesen Fehlern!

Gruß

Habe es auf /16 und /24 geändert

Öhm, soweit ich weiß ist das schon seeeeeeeeeeeeeeeeeehr lange obsolet, diese Class A/B/C Netze.

Du solltest Dein Wissen mal aktualisieren.

Ich sehe auf den ersten Blick keinen Fehler.
Damit die eMail als shared@firma.de gesendet wird muss für den Benutzer "Send As" eingerichtet werden.

Um gesendete eMail in den Ordner "Gesendete Objekte" zu kopieren muss das entsprechend aktiviert werden

Vermutlich braucht der User dafür aber Vollzugriff auf das Zielpostfach könnte ich mir vorstellen

Manuel

Moin,

ich werfe dann noch das bereits im Windows integrierte EFS ins Rennen.

Hat gegenüber der anderen genannten Alternativen den Vorteil, dass die Daten beim Login des Benutzers automatisch entschlüsselt werden und man so direkt mit den Daten arbeiten kann.

Gruß Thomas

https://de.wikipedia.org/wiki/Split-DNS

schau mal ob du da die Lösung findest

Falsche GPO
Benutzerkonfiguration / Administrative Vorlagen / Systemsteuerung / Anpassung / Kennwortschutz für den Bildschirmschoner verwenden

Du bist bei Reaktivierung aus dem Standby

Manchmal ist Unwissenheit auch Segen.

lks:

PS: Ein lokaler Provider (BBV Rhein-neckar/BBV Neckar-Odenwald) schützt seine Kunden momentan besonders gut - Es geht gar kein Internet mehr. Nachdem PPPOE-Anfragen nciht beantwortet werden, nehmen ich mal an, daß Radius down ist (oder gar die ganzen Server). Mal sehen, was ich morgen den Kunden erzählen kann, sofern ich es überhaupt noch erfahre.

Moin @commodity,


ähm, zwischen "dass es so schnell geht" und "dass es überhaupt geht" liegt glaube ich ein kleiner Unterschied und bei dem was du bereits über meine tägliche Arbeit alles weisst, finde ich diese ganzen Anspielungen so langsam etwas kindisch. 😔


Wenn du die Dinge heute nicht siehst, obwohl diese aktuell um Faktoren schlimmer sind wie damals, dann erzähle mir bitte nichts von vor 15 Jahren, danke.


Weil dir schlichtweg das Ausmass des Problems, momentan nicht mal ansatzweise bewusst ist, so wie übrigens und leider den meisten Bürgern in Deutschland.

Gruss Alex

Moin,

ziemlich simple Methode ist My Lockbox in der Free-Variante auf einen Ordner Limitiert.

Eigentlich sollte aber jeder Nutzer über sein persönliches Konto am PC verfügen und dieses mit einem Passwort versehen. Sobald man den PC verlässt wird dieser gesperrt. Und Daten, welche im Benutzerprofil liegen sind vor Zugriff durch andere Nutzer gesperrt. (Vorausgesetzt die anderen Nutzer des PCs sind keine Administratoren)

Wenn es sich bei dem Windows auf dem PC um eine Pro Version handelt, könnte man sich eine kleine Partition auf der Festplatte einrichten und diese mit Bitlocker und Passwort sichern.

Veracrypt und ein verschlüsselter Container wäre hier auch mein Favorit, was vor allem die Sicherung deutlich vereinfacht, da der Container wie eine Datei kopiert (gesichert) werden kann.

Edit: Cryptomator wäre mein Favorit. Dieser kann optional mit einem Cloudservice kombiniert werden und bietet so eine Synchronisierung für diese geschützten Daten an.

Von WinRar und 7-Zip würde ich abraten, da die Daten jedes mal ausgepackt und wieder eingepackt werden müssen. Nicht zu vergessen, das Löschen der ungeschützten Daten zu vergessen.

Ansonsten finden sich hier noch ein paar weitere Alternativen.

Gruß pantox

Es lief bis vor 2 Tagen genau auf diesem Weg. Vor 1 Jahr umgestellt auf domain.de und intern auf dem DNS einfach den A Record auf die IP verweisen lassen. Nur nach Umzug auf einen anderen Provider geht es nicht mehr.

Wenn ich die Webseite aufrufe, dann komme ich zur Anmeldemaske vom Admin Center der intern auch läuft, auch wenn ich über www.domain.tld gehe.
Wenn ich einen Tracert los sende, dann läuft das zum richtigen Server im Netz.

Daher befürchte ich das ich irgendwas vergessen habe. Evtl. hat jemand noch eine Idee.

LG
Thabs

hm mal versuchen, outlook komplett zu machen, unter systemsteuerung, anmeldeinformationen, dort alle anmelde informationen des users (welcher nicht zugreifen kann) rauslöschen.
anschliessend outlook aufmachen...
bei uns ist es so das er erstmal das domain login/PW will und dann wenn man so nen kalender anklickt will er die O365 anmeldedaten, also emailadresse + PW.

sollten eure on prem user nicht gesynct ins azure AD sein, dann ist da das problem zu suchen, weil die müssen dem Azure AD ja bekannt sein (nur für den falls das das problem hier vorliegt, man weiss ja nie), ansonsten kann er ja nicht auf das o365 postfach berechtigt sein.

FAIL! - Weil .local verwendet man heute nicht mehr. Siehe Administrator.de Artikel.

Gruss Penny.

also deine AD Domain heisst als Beispiel:
company.com

und ihr habt ne webseite company.com
hiess aber vorher super-company.com

hab ich das so richtig verstanden?

da müssen wir dir leider mitteilen, das man keine internet domain DNS namen für die AD Domain verwenden darf.

die einzige chance hier ist wenn du die webseite unter:

www.company.com betreibst.
und dann für www als Hostname auf nen A Eintrag auf die IP verweist.
Deine webseite muss dann aber auch als ROOT www.company.com haben, company.com wirst du aus deime netzwerk so nicht erreichen können und wenn die webseite umroutet nach company.com wenn man sie per www anspricht... dann geht das nicht, bedeutet die webseite muss auch nochmal angepasst werden.

Aber company.com ist nun mal dein AD Domain namen und den wirst du nicht verbiegen können.
da deine clients sich zur AD Domain authentfizieren wollen und nicht bei deiner webseite, daher ist es nicht möglich hier was zu drehen.

daher nennt man seine AD domain auch .local hinten dran, dann hat man die probleme nicht. (ausser es gibt die tld .local irgendwann mal...

Oha, wenn das Oma liest, dann gibt’s Strafarbeit! Oder schreibt man den Ingenieur neuerdings so?

im Fach-Chargon nennt sich der Job Titel auch Halbkreis-Ingenieur (EDITIERT)

Gibts eigentlich von PGP noch ein tool welches eine PGP Datei als Laufwerk mountet (nach PW eingabe), das fand ich optimal und ist glaub auch hier am sichersten...
hab das aber das letzte mal unter windows XP oder Windows 7 benutzt.... so ca. 2015 rum....
konnte aktuell das tool nicht finden in google.

Ey, lieber Gassekehrer. Weil, wenn Besen kaputt, Du gehe zu Scheffe unn sache: Besen kaputt. Für Gasse kehren brauch isch 'n neue analoge Besen.

Hallo,

Kein Linux zu Lernen bevor man am Linux Dateisystem meint rumbastelnzumüssen ist immer falsch. Lerne dein Linux zu Verstehen und nicht nur die Buchstaben nixLu in die Richtige Reihenfolge zu bringen. https://www.coursera.org/articles/how-to-learn-linux
https://www.geeksforgeeks.org/linux-tutorial/
https://www.udemy.com/course/linux-for-beginners-2021/

Gruss,
Peter

@TK1987

Vielen Dank Thomas!

Es ist wohl angebracht, auf die Entropie bei Paßworten hinzuweisen. Es besteht überhaupt keine Notwendigkeit, kurze kryptische Paßwörter zu nehmen:

Correct Horse Battery Staple

lks

I second that.

lks

Moin,

das geht so auch erst mal nur bei lokalen Linux- & Unix-Partitionen. Bei einer Sambafreigabe müsste der Server schon entsprechend konfiguriert sein (unix extensions = yes), jedoch würdest du dann mit den Befehlen auch den Besitzer und Gruppe am Server selbst ändern.

Du kannst entweder, wie du es bereits getan hast, mittels file_mode und dir_mode die Rechte für andere Benutzer entsprechend setzen - oder, falls nur der eine Benutzer Schreibrechte haben soll, mittels uid und gid den Share unter dem Benutzer bzw. der Gruppe einhängen. Letzteres würde dann auch den lokal angezeigten Besitzer und die Gruppe ändern, jedoch immer für alle Dateien und Ordner auf der Freigabe.

Gruß Thomas

ach das ist doch alles pillepalle, das hier ist viel besser:

https://de.euronews.com/next/2024/03/07/dieser-ki-wurm-kann-private-date ...

Forscher haben einen KI-Wurm entwickelt, den man nicht einmal anklicken muss, um Schaden anzurichten.
Sicherheitsforscher haben einen Wurm für künstliche Intelligenz (KI) entwickelt, der in Modelle wie ChatGPT und Gemini eindringen und potenziell Daten stehlen kann.

Geht dabei um
Es geht hier um folgende Integrationen (KI Add-Ins), die man machen kann in Outlook zum Beispiel:

https://zapier.com/blog/best-ai-email-assistant/

Copilot von MS für Outlook,
und Chat GPT4 kann man auch in Outlook integrieren.



Unter uns, wie kann man SO BESCHEUERT sein...
das ist nichts anderes wie unsichtbaren KI Code der automatisch verarbeitet wird in EMails usw... zu integrieren.
Na erinnern wir uns mal ein wenig zurück... da war doch was... aja Dateivorschau und Macros usw... in Office Dokumenten. Das ist doch genau das gleiche nur halt neu... und sowas entwickelt man dann NEU...
es tut echt langsam weh... die hätten mal ihre KIs fragen sollen das man sowas nicht macht...

Wir sind echt lost... ich schau grad nach ner umschulung als Fenster (Windows) Putzer....

Ich hab ein Surface ProX, und all die Ankündigungen zum Thema AI und ARM gehen mir zum linken Ohr rein und zum rechten Ohr wieder raus. Von Microsoft gibts ein Windows11 (komplett nativ in ARM) und das Visual Studio 2022 (seit 17.9 nativ ARM). Und ein OpenJDK in den Versionen 17 und 21 (nativ ARM aber viele .jar Anwenudngen laufen damit nicht). Das wars

Was Nativ ARM ist rennt auf dem SQ2.
Was emuliert wird... nun ja es läuft, schluckt aber sehr viel CPU und tlw auch Speicher. Und der ist sehr knapp, das erste und zweite ARM Surface haben 8 GB, das "neue" das nun kommen soll 16.

Seit Windows 11 (seit 2 Wochen als Update verfügbar) gibts auch eine X64 Emulation. Die ist auch schneller gegenüber dem 32 Bit Emulator unter Windows 10...

MS sagt ja daß sie die Opensource Community mit sponsorn und daß es bald mehr Tools geben wird und mehr native ARM Software. Aber überall wo man hinschaut, Fehlanzeige. Docker? Angekündigt. Office? Keine Ahnung, Perl? nur als X64 verfügbar, Python? Ja seit einer Woche als ARM. Aber das VS2022 bietet den Python Workload nur auf X64 Systemen an aber nicht auf ARM... Es gibt viel Software im Sourcecode, und das Visual Studio Community (oder Code oder beide) die man sich installieren kann, aber das sind übermächtige Entwicklugnswerkzeuge. Windows User sind doch eher "setup ausführen warten Fertig" Leute...

Den Copilot hab ich direkt aus dem Edge rausgeworfen, den gibts aber überall, nicht nur auf ARM. Faselt nur dummes Zeug und langsa ist der auch noch... Google Chrome gibts seit 3 Wochen für ARM, seitdem nutzte ich den Edge nicht mehr.

Fazit... was webbasiert ist rennt wie die Feuerwehr, im Surface hat man eine phantastisch hohe Akkulaufzeit, die "neuen" Surfaces werden wegen OLED Displays noch länger laufen, aber native Software ist Mangelware, Emulation größerer Tools mangels genügend Speicher nicht möglich.

Da wird der Trend zum Thinclient eingeläutet, ich mein Windows on ARM gibts seit 4 Jahren und das Softwareangebot in native ARM ist marginal... MSDN Images mit Windows 11 ARM gibts auch nicht, der Media Creator kennt derweil auch keine ARM Images, wie seztt man am Ende so ein System neu auf? Ic hab die orignale 256 GB NVME auf ein NAS gesichert und auf 1 TB geklont, aber die Recoverypartition ließ sich nicht verschieben... also weg damit. Wer will kann sich ein 700 GB großes D Laufwerk machen...

Laufen tut zwar trotzdem alles was keine Treiber oder Dienste braucht, aber viel von dem Zeug was auch auf Github rumliegt ist kein sauberer Sourcecode sondern voller DLLs als Intel Binary, wer die alle kompilieren will kommt vom 100. zum 1000. ich hab das mal beim Tuxpaint, beim Postgres und MySQL probiert. Dokumentationslage? Null. Es wird noch nicht mal beschrieben ob man VS Code oder VS Community benötigt, und beim MySQL hat z.B. Oracle kein Interesse den Code zu pflegen, der kompiliert nämlich auf VS2022 17.10 nicht mehr... typunsichere Cassts von oder nach Int z.B. oder Operatoren mit fehlenden Überladungen, man muß sich erst durch 250 Konfigurationssetien vom VS durchklicken.

https://www.veracrypt.fr/code/VeraCrypt/

Wie ist es damti? Statt Volumen kann man auch Container erstellen und es darin ablegen.

Container Name und Endung sind frei wählbar.

Zanhfleisch-Symposium_2020.iso mit 1,6 GB

Hinterfragt auch keiner so schnell ... Nachdem mounten ist es als Laufwekr zu sehen.

Ggf. längerer Windows Boot, da für korrekte Anwendung Fast-Start deaktiviert werden muss. Sonst könnte es eingehängt bleiben.

Man kann auch Container mit doppelten Boden erstellen. Mit dme 1. passwort sieht man nur INhal der obersten Ebene. Aber niciht ob noch mehr Dokumente da drin sind!

Passwort, Keyfile alles möglich. Kostenlos. Würde mir das einmal ansehen.

Gude,

ich werfe mal Gpg4Win ins Rennen. Es enthält GpgEx, um Verzeichnisse zu verschlüsseln.

Gruss Penny.