Moin,

erst mal wird ein Testlauf durchgeführt. Am 4. Dienstag des Monats erfolgt dann das eigentliche patchen aller Server (ca. 5 000) und Ausrollen der Patches in verschiedenen Stufen an den Clients (ca. 40 000) jeweils bundesweit an ca. 140 Standorten..

Gruss Penny.

Moin @DerWoWusste,
ich musste selbst nochmals recherchieren, weil ich inzwischen auch den Überblick verloren habe, wo was wie steht. Der Verweis kommt hier vor. Nicht in den Diskussionsrichtlinien.


Gruß,
Dani

Wir haben aktuell Smart Managed Switches von Netgear im Einsatz. (als Core und Access Switche...)

Aufgrund von Wachstum und zunehmender Verwaltung würden wir einen Wechsel in den kommenden Jahren in Betracht ziehen. Dazu wollen wir jetzt anfangen neue Modelle mit (lokaler Verwaltung!) zu evaluieren.

Das Budget für teure Aruba oder Cisco Switches wird schwierig durchzusetzen.
Welche Argumente gibt es trotzdem vergleichsweise "teure" Switche dieser Hersteller zu nehmen?

@DerMaddin werden in der Praxis häufig zwei verschiedene Hersteller genommen? Macht es nicht Sinn alles aus einer Hand zu nehmen?

Wir schauen uns gerade die TP-Link Omada bzw. zukünftig die Omada Pro Serie an. Gibt es hierzu Erfahrungen?

Für Clients im lokalen LAN gibt es ja in dem Sinne keine "reservierten" Zuteilungen. Die dynamische WLAN Mac Adresse bei Smartphones und einigen anderen Endgeräten beziehen sich ja auch immer nur auf die jeweilige SSID. Innerhalb einer WLAN SSID bleibt die Mac immer konstant. Sie wechselt lediglich nur mit der SSID.
Im übrigen sind die Statistiken auf den DNS Filtern dynamisch. Zumindestens Adguard zeigt sie nach einer längeren Inaktivitäts Zeitspanne (konfigurierbar) dann auch nicht mehr an.
Du hast Recht das Smartphones in der Beziehung etwas anders sind aber eben nur etwas was man auch immer customizen kann.

Mal ganz abgesehen davon das ein Consumer Produkt in einem Firmennetzwerk auch nichts zu suchen hat!

Wir hatten auch ein Kommentar zu dieser Thematik in der Sophos Community: https://community.sophos.com/sophos-xg-firewall/f/discussions/147958/sop ...

Als langjähriger Sophos (früher Astaro) Nutzer kann ich persönlich von Sophos nur abraten, aus Erfahrungen mit Kollegen und eigene. Hier kannst du mal mitlesen:
Aktuelle Probleme mit der XG(s) Serie von Sophos
Sophos contra Heise contra Felix

Moin,
ohne mal den Sinn und Zweck des ganzen in Frage zu stellen:
Als Admin kann man einfach den Registry-Hive des Users laden z.B. mit ansonsten sind die "kryptischen User-IDs" die sogenannten Security Identifier ( SID) . Kannst du für alle User zb mit Powershell anzeigen lassen

Moin,

bau dir ein "Default" Profile mit allen gewünschten Voreinstellungen. Wenn sich der User dann das erste Mal anmeldet wird das Profile kopiert und die Einstellungen greifen.

Warum macht ihr's euch so schwer?

lg,
Slainte

Moinsen,

Ja, eigentlich schon, ich bezog mich aber auf die Aussage des TE, der da eben fragte, ob der DNS Server dort in der GUI eingetragen werden muss (und wenn ja, mit "Account Daten")...

Ja, ich bezog ich aber darauf, dass Geräte aber gar nicht auftauchen, wenn diese also im System mit falscher MAC (bzw. sich dynamisch ändernder) hinterlegt sind, dann stimmt doch irgendwann diese reservierte Zuteilung nicht mehr...dann stehen in Pihole zwar ne IP, es ist aber mittlerweile kein Gerät mehr dieser zugeteilt...

Ich erwähne hier eben "nur" das Handy, da der TE auch nur davon sprach... ;)aber natürlich betrifft DoH und DoT auch andere Geräteklassen...

Nein, nur indirekt beim Einkauf und wir sind auch sehr froh darüber selbst die komplette Kontrolle über das System zu haben.


Mit der FritzBox habe ich zuhause schon genug Kopfschmerzen. Das tue ich mir auf der Arbeit nicht auch noch an Wobei ich mir Gedanken wegen der Sophos Firewall machen werde. Hört man viel positives drüber.

Moin,
Dokumentation gibt es bei Microsoft learn.microsoft.com/en-us/graph/api/ipnamedlocation-update?view=graph-rest-1.0&tabs=http da gibts auch Beispiele für verschiedene Möglichkeiten.

Moin @ukulele-7,


ich könnte glaube ich mittlerweile eine Doktorarbeit darüber schreiben, ich versuch es aber dennoch mal so einfach wie möglich. 🙃

RSC macht überall da Sinn, wo eine Datenübertragung nicht latenzkritisch ist. Sprich, z.B. beim Streamen von Youtube-Videos, weil diese vom Player normalerweise im Hintergrund zwischengecacht werden, oder z.B. beim saugen von Updates. Für alle anderen Dinge, vor allem für die, wo der Anwender die Rückinfo so schnell wie möglich benötigt, ist RSC einfach nur pures Gift. 😔

Sprich, eigentlich sollte dieses Feature nur mit Bedacht und nur bei bestimmten Anwendungsszenarien aktiviert werden, es ist jedoch sowohl bei Windows, als auch mittlerweile bei den Pinguinen, per Default aktiv und wird auch auf so gut wie jeden Datenverkehr angewendet. 😭🤢🤮


👍👍👍 exakt 👏👏👏

Und der RAM ist deutlichst schneller geworden, auch der PCI-E Bus u.s.w., daher machen viele der Features wie z.B. die Interrupt-Moderation, stand heute auch nicht wirklich viel Sinn. Im Gegenteil, bei der heutigen Hardware verursachen diese Features eher das Gegenteil dessen, was die früher bewirkt haben.

Denn, was bringt einem schon z.B. ein neues SAN/NAS, welches die IO's dank modernster SSD's mit unter 0,01ms abfrühstückt, wenn, sobald diese IO's über das Netzwerk wandern, von Windows oder auch Linux, bis zu 40ms draufgepackt werden und bei TCP-Delay sind es sogar bis zu 200ms. 😭

Gruss Alex

P.S.
Man kann z.B. mit dem Ressorcenmonitor ...
... sehr einfach erkennen wenn RSC zuschlägt.
Sprich schau mal einfach selber bei dir nach, wie viele interne TCP Sessions mit einer Latenz von 40ms oder mehr laufen. 😉😔

Moin,

Im L3-Core setzen wir Netgear M4300 Serie ein, die zu einer logischen Einheit (Cluster) geschaltet sind. Hier verwaltet man über eine zentrale IP-Adresse alle Funktionen des Clusters. L2-Access Switche sind Catalyst 1200 Serie, hier ist es entweder möglich jeden Switch direkt über IP zu verwalten aber wir haben auch Cisco Business Dashboard im Einsatz. Alles lokal ohne Cloud.

Dell und Cisco im Spine. Leaf und Access Cisco. WiFi Access auch Cisco. Genua und Adva im WA(h)N. Und seit Sommer haben wir noch Dacoso für die Standortvernetzung.

Moin @Lochkartenstanzer,


ja, +- hast du damit leider nicht unrecht. 😔

Gruss Alex

so guten Morgen!
Das mit der Zeit ist nicht das Problem. Alles wunderbar!
Ich habe jetzt festgestellt das wenn ein Nutzer aus dem Windows heraus sein Kennwort ändern möchte funktioniert dies ohne Probleme.
Lediglich wenn ich auswähle das er bei der nächsten Anmeldung eine Änderung vornehmen soll geht es nicht(Also auf der Anmeldemaske). Verrückt und für mich nicht logisch!

Jepp, das hast du genau richtig verstanden! 👍
Nocht ganz. Du hast da auch eine IPv4 Adresse die aber kommt auf der Kundenanschlussmeile aus dem im Internet nicht routebaren RFC 1918 oder RFC 9568 Bereich. Sie werden dann im Provider RZ über ein zentrales Gateway auf das deren Kunden keinen Einfluss haben auf öffentliche v4 IPs übersetzt. Siehe dazu auch HIER.
Die Masse der Consumer Anschlüsse sicher. Bei der Telekom bekommst du für kleines Geld auch eine feste IP. Bei DS-Lite Providern ist das eher teuren Business Verträgen vorbehalten. Die so für deren knappe IPv4 Kontingente eine bessere Rendite erzielen.
Was erwartest du wenn du so einen einfachen "Dreingabe" Router benutzt?!

Richtig aber du hast das Thema verfehlt!
Es geht hier um einen DDNS Dienst (Dynamisches DNS) der die dynamische IP Adresse des Router WAN/Internet Ports fest auf einen Hostnamen mappt und bei dem muss man sich in jedem Fall mit einem Account und Hostnamen anmelden auch wenn er kostenfrei ist. Ohne Account ist DDNS ohne jegliche Funktion.
Das ist für die Blocking und DNS Client Statistik im PiHole oder Adguard völlig egal, denn dafür zählt einzig und allein nur dessen Client IP Adresse.
Das gilt nicht nur fürs Smartphone sondern auch für einige Browser. Diese Funktion lässt sich aber im Browser bzw. Setup immer deaktivieren.
https://www.heise.de/hintergrund/DNS-Leck-Browser-ignorieren-Windows-Kon ...
Usw.

Ich weiß ungefähr soviel über RSC was in einem Absatz auf Wikipedia steht aber mal ne ganz blöde Frage: In welchem, gewöhnlichen Szenario profitiert man eigentlich von RSC? Ich meine, wir haben mittlerweile viel mehr viel effizientere CPU Kerne als früher?

Auch mit PPPoE Passthrough bleibt die Routing Funktion der FB erhalten. Sie arbeitet also weiter als Router mit aktiver Firewall. Das Abschalten nur der Firewall Funktion supportet die FB auch gar nicht.
Passthrough bedeutet lediglich das die FB PPPoE Frames an den WAN Port "durchschleift". Eine 2te Verbindung wäre also so oder so immer überflüssig.

Hallo Roland,

Die Preis- und Lizenzpolitik von VMware/Broadcom scheint frustrierend, besonders nach den kurzfristigen Änderungen zum 1. November. Deine Strategie, auf Standardlizenzen für Testserver und unkritische Systeme zu wechseln und die Lizenzen schrittweise zu reduzieren, klingt vernünftig. Viele überlegen aufgrund dieser Preisgestaltung ebenfalls einen Wechsel zur Konkurrenz. Es wird interessant zu sehen, wie Broadcom reagiert, und ob der Markt bis 2027 attraktivere Alternativen bietet.

Beste Grüße,

Nicht ich postuliere sondern Du?

Wie speichert denn das "Script" seine Daten die aus unzähligen Quellen kommen und unzählige Formate haben? In eine CSV Datei?

Wie arbeitet das Script mit APIs, Treiber usw...

Es geht hier nicht um eine Theorie.
Sondern darum das große Mixed Workloads im laufenden Betrieb, nach Möglichkeit ohne nennenswerte Unterbrechung, z. B. Umziehen müssen.

Und wenn Du etwas Ahnung hättest, dann wüsstest Du das ein vCenter GUI dabei nicht hilft, Sonden das Zusammenspiel aller Schnittstellen im vCenter das nötige Werkzeug ist.

Die Frage bezieht sich also auf einen Praxisfall. In etwas größerer Umgebung mit heterogener Umgebung.

Ruckus ICX Switches mit Core im L3 Fullstack die mit Smartzone (vSZ) gemanaged werden das auch gleichzeitig WLAN Controller ist.

Ich muss sagen dass ich mit Sophos XGS auch enttäuscht bin, wahrscheinlich weil ich mit Palo Alto arbeite und deren viele Features kenne. Und der Preisunterschied ist auch nicht so groß, so dass wir nächstes Mal zu Palo Alto greifen würden.

Besonders ist deren VPN Feature ein Witz, pseudo zertifikatsbasierte Authentifizierung über vorab verteilte oder mit installierte Zertifikate, keine CA Integration, kein CRL Check usw.
Auch keine Anwendungserkennung wie bei Palo Alto, aber das ist ja auch ein Alleinstellungsmerkmal von PA, soweit ich weiß.

Naja ich könnte die Liste noch weiter fortführen, aber ich muss sagen trotz der fehlenden Features läuft die Kiste bisher anstandslos und ich hatte noch keine Probleme mit und man muss ehrlicherweise sagen das PA in letzter Zeit auch sehr stark nachgelassen hat, Bugs über Bugs, mitunter auch welche die unser HA Cluster zum Absturz gebracht haben und das mehrfach und viele Tickets über Bechtle über CANCOM zu PA sind ausgetauscht worden und das Problem wurde dadurch "behoben" dass wir ein anderes Modell gekauft haben wo es nicht mehr aufgetreten ist.

Was ich damit sagen will, dass jeder Hersteller seine Probleme hat und sein Zorn an @lukartoni auszulassen ist unfair, weil er am wenigsten dafür kann. Er bemüht sich jedem zu helfen und so wie ich verstanden habe trägt unsere Vorschläge weiter zu Sophos.

Also cool bleiben

Aha. Und wie?

Wenn die DCs außer Takt geraten sind, dann solltest Du das als erstes angehen!
Außerdem zieht man DCs nicht um, in dem man den Offline nimmt. Man setzt einen neuen auf neue Hardware auf. Zieht den hoch und stuft den alten herunter.

Ich bin da auch erstmalig im August drübergestolpert. Hab mich dumm und dämlich gesucht, da auf aktuellen Kyocera-Homepages noch immer die bekannten Passwörter stehen.
Vorher hab ich noch ganz großspurig der Mitarbeiterin dort vor Ort erklärt, dass Handbuch und CD, also die ganze Tüte, weggeworfen weil nicht benötigt wird.
Bin dann kurz etwas verzweifelt und hab mich dann an einen Utax-Drucker erinnert, den ich ein paar Wochen vorher installiert hab. Dann ging die Suche nach dem Handbuch los. Ich glaube noch zu wissen, dass man das mit den Passwörtern im Handbuch gar nicht so leicht findet. Mir ist dann zum Glück noch aufgefallen, dass auf dem losen A4-Blatt doch tatsächlich abziehbare Aufkleber drauf sind.

Wenn man's weiß kein Problem. Aber man muss drüberstolpern, da das neue Vorgehen nirgends genannt wird, wo man es auch einfach sieht.

Moin @Alex-Alex,


hast du den auch schon mal testweise den Phishingschutz und auch den SmartScreen auf den WIN11 23H2 Clients deaktiviert?

Phishingschutz deaktivieren:
https://www.youtube.com/watch?v=kdJCs0Z9s1g

SmartScreen deaktivieren:
https://www.youtube.com/watch?v=KWtLMz18oUY

Gruss Alex

Es kommt auch ganz stark auf das System an. Da je nach Verwendungszweck des Systems ganz andere rechtliche Aufbewahrungspflichen gelten können sich die Fristen extrem unterscheiden.
Zb. Bewerber Managementsysteme bei abgelehnten Bewerbern vs. Systeme im pharmazeutisch Umfeld.
Da kann das zb bei der Email-Archivierung schon herausfordernd sein.
Ein System, verschiedene Fristen je archiviertes Dokument.

Moin Zusammen,

kleine Zwischeninfo.
Ich habe das Problem parallel auch einem befreundeten MVP geschildert und der meint, dass das beim Server 2025, also, dass man die Energiesparpläne nicht aus der "modern GUI" heraus auswählen kann, wohl ein BUG sein muss, weil dasselbe bei W11 24H2 funktionieren würde. Er hat das Problem auch gleich bei MS gemeldet, mal schauen was nun passiert.

Gruss Alex

Agile programming und kleine Terrorzellen Teams, die voneinander abgeschottet sind, nehme ich an. Da wird nur im eigenen Bereich optimiert und entwickelt, ohne den großen Plan zu kennen.

lks

Gut, dann sag bitte, worauf du dich beziehst. In den Diskussionsrichtlinien kommt das Wort Hersteller zumindest nicht in dem Zusammenhang vor.

Offiziell von MS wäre zu diesem Thema das Locksmithtool aus dem DART zu nennen. Es macht nichts anderes als all die anderen offline-Tools. Wäre das also ein Knacken des Nutzerkontos, oder nicht? Wenn nein, wäre auch die Nennung anderer Tools nicht zu sanktionieren.

ein XMG1930-30HP würde sich anbieten oder ein XGS1935-52HP wenns unbedingt mehr Ports sein müssen

Gruß
sk

Danke schon mal aqui für deine Antworten.
Dann werd ich mich mal ans Lesen und Anpassen machen.

Nur zum Verständnis des bisher von Dir geschriebenen in grauer Vorzeit..
Du schriebst zu einer ähnlichen Situation, das bei PPPOE passthough der Fritzbox, diese trotzdem als IP-Client betrieben und internes DECT (und warscheinlich auch WLAN, meine Annahme) genutzt werden könnte..
Dabei wäre doch aber die Firewall int (der Fritzbox) abgeschaltet und diese dann nackisch im Internet, richtig?
Warscheinlich müsste ich dann eine zweite Verbindung von MT zu Fritzbox herstellen (z.B. ether3 auf LAN2 oder so?).

Script vs. Makro vs. DLL vs. EXE vs. Web-App vs. ...

Die Frage lautet doch eher: Ab wann kann von einer Applikation gesprochen werden?

Ausgehend vom Source Code sind alle vorgenannten Varianten im weitesten Sinne eine Applikation, weil sie eine klar definierte Aufgabe in einem mehr oder weniger großen Umfang erledigen. Freilich kann zugleich eine Vielzahl von Aufgaben implementiert sein. Das Vorhandensein einer GUI für ein Klicki-Bunti-Erlebnis ist kein wesentliches Definitionsmerkmal für eine Applikation, sondern gehört eher in die Rubrik des schmückenden Beiwerks.

Jedoch meinst Du das nicht, weil Du unausgesprochen unterstellst, dass nur dann, wenn eine von fremden Dritten erstellte (und sodann eingekaufte) Applikation eingesetzt wird, von einer brauchbaren Applikation die Rede sein könnte. Das ist in der von Dir postulierten Pauschalität ein grober Irrtum, wie die anderslautenden Kommentare der anderen erfahrenen "Hasen" eindrücklich aufzeigen.

Bei dieser Pauschalität hast Du nur in einer Hinsicht Recht: Kaufe ich eine fremderstellte Applikation, enthebt mich das dem Erfordernis, selbst tätig werden zu müssen. Das sehen hier alle so, weil keiner der anderen Kommentatoren einen Widerspruch dagegen erhebt.
Zur Frage der Brauchbarkeit einer Applikation oder einer Eigenentwicklung ist damit aber noch gar nichts gewonnen. Ansonsten müsste ja eine gekaufte fremderstellte Applikation per se den unbestrittbaren Nimbus haben, unter keinem Gesichtspunkt fehlerhaft, ungenügend oder dergleichen zu sein. Weil das in der realen Welt aber eine fromme Illusion ist, bleibt allein der Aspekt übrig, nicht selbst tätig werden zu müssen, der für eine eingekaufte fremderstellte Applikation sprechen könnte. Nicht mehr und nicht weniger.

Viele Grüße
HansDampf06

Hallo,
was setzt du denn im Core-Bereich ein?
Hersteller von Core-Switchen haben in der Regel auch abgestimmte Access-Switche im Angebot.

Jürgen

Danke @MysticFoxDE, das war die beste Lösung!

Rustdesk habe ich immer wieder auf dem Schirm, aber, wenn ich das richtig sehe, benötigen die immer noch hohe Ports und können nicht über 443 tunneln, oder? Und dann scheitern sie in den meisten Umgebungen, wo ich es nutzen könnte, an der Firewall...

Bin ich ganz bei Dir. Aber oft ist der Schritt bis zur "Selbstbedienbarkeit" = lauffähiges Remotewerkzeug das Problem, da es ja die Person vor Ort fordert....

Danke!