Danke für die vielen Antworten. Da hätte ich auf alle Fälle was und was mir auch hilft

Was sagen den die Logs dazu?

Debug Level erhöhen... und Logs prüfen.

Habe es getestet. Funktioniert super. Ich bedanke mich nochmals.

Mfg

Moin @aqui,


so wie @Pharaun das beschreibt, hat er eher eine 4 x 10G als eine 1x 40G Verbindung aufgebaut, was nicht wirklich ein und dasselbe ist.

Gruss Alex

P.S.
By the way, eine E810 ist auch nicht gleich E810, denn die E810-CQDA2 liefert über ihre
QSFP28 per Breakout 10 x 10G, zumindest über den ersten Port. 🙃

Genau, kein Ereignis in der Ereignisanzeige, d.h. es wird gar nicht versucht zu authentifizieren.

Update: CloudDNS hat ein Reseller/Subuser Program. Irgendwie komisch gemacht, aber ich probiere das mal aus.

Ok, die Systemcaches lassen sich scheinbar mit der Datenträgerbereinigung cleanmgr löschen, was ich grade versucht habe: alle Häkchen rein und löschen geklickt, kein Neustart, offener Explorer zeigt keine Änderung, Explorer zu, Explorer auf und siehe da: exe hat ein Icon und ist startbar.

Ich danke Euch für die Ideen und Denkanstöße - man lernt (nicht nur in der IT) einfach nie aus

Guten Abend,
ich hab inzwischen auch einen Artikel zum Einfluss der Internetoptiinen, sichere Seite usw gelesen, was aber abwegig erscheint, weil ja nach umbenennen die exe läuft.

Die Idee mit dem ASCII Zeichen von Celiko hatte ich noch nicht, ist aber leider raus weil ich die Umbenennung jeweils selbst eingetippt habe - habs aber auch grad nochmal versucht, passt nicht.

Die Sache mit der Suchfunktion von Dilbert-MD hat mich aber an einen fehlerhaften, veralteten Cache Eintrag erinnert, wenn es einen cache Eintrag der Datei gibt und der korrupt ist, käme es wohl auf die Aktualisierungshäufigkeit an, würde ich aber beim Systemneustart erwarten?
Gibt's so einen Folder/Tree Cache den man beeinflussen/löschen kann???

Moin @StefanKittel,


ich denke auch.


Ja, oder es kommen auch mal welche dazu, von der die Technik noch nichts weis.
Aber, ja, so ist das mit diesem modernen Vertrieb und Marketing. 🙃


Nö, schlechter sind die des EAP773 im Vergleich zum EAP772 sicherlich nicht, sondern genau so bescheiden, da in beiden AP's Deckenstrahler (direktionale Antennen) verbaut sind, die für eine Ausleuchtung einer Fläche, eher ungeeignet sind. 😔

Leider baut auch so gut wie kein AP-Hersteller mehr AP's mit OMNI-direktionalen Antennen, die für eine Flächenausleuchtung viel geeigneter sind als der direktionale Klump, der jedoch mittlerweile in so gut wie jedem AP steckt. 🤢🤮

Das folgende Video finde ich zu diesem Thema ganz interessant ...

https://www.youtube.com/watch?v=rbXTYJVAt7c&t=159s

... so ab 15:40 geht's dann mit den Antennen los.

Gruss Alex

Ja, kann ich, aber es gibt ja nun genug Anbieter.

Cloud DNS liegt bei 0,04 Euro pro Domäne.
Ich brauche weniger Service als ein Webinterface und ein paar Edge-Server.

Stefan

PS: Nein eigentliche brauche ich nur eine API für DNS bei Vautron

Moin...

warum machst du es nicht selber?
root Server, Plesk drauf und Los!

oha... und dafür willst du auch noch Service

Frank

Moin,
kurz als Info in diesem Fall: Switche 1GBit, Internet 100MBit vDSL 100/50.
Ich glaube der alte reicht
Danke für die Infos.

Besonders das Datenblatt ist ein schönes Beispiel weil Informationen auf dem Weg verloren gehen können. Besonders wenn sie beim Vertrieb oder Marketing vorbeikommen.

Neues Gerät + 10GBit Anschluß = teurer sind für mir hier logisch.
Nicht aber, dass das neue Gerät eine schlechtere Antenne haben sollte.

Stefan

https://www.bittitan.com/

Hab damit kürzlich Mailkonten umgezogen. Allerdings von Imap nach O365.

Konto anlegen und testen kannst du kostenlos ohne Lizenz.

Grüße

Korrekt, ist ein Widerspruch.

Wenn du noch mitteilen würdest ob RouterOS oder SwitchOS könnte man zielführender antworten.
Ein zentrales MT Management erledigt bekanntlich "The Dude".

Sofern du PKCS#12 Container für den Client Zertifikatsimport benutzt musst du beachten das Apple iOS derzeit (noch) ein altes Hashing Verfahren nutzt. Container mit aktuellen ECDSA Hashing Verfahren funktionieren auf allen Apple Geräten nicht beim Import.
Siehe dazu hier und hier.

Welche Switchmodelle (Layer 2) nutzt ihr im KMU-Bereich und wie verwaltet ihr sie?

Warum lese ich nur Antworten mit Layer3 ?

Also wir setzen Mikrotik ein aber die Verwaltung ist dafür gerade am Anfang anstrengend.

mit wartung haste halt den vorteil das de im notfall nicht dumm da stehst... muss jeder selbst wissen.
hatte mal den falls das strom am wochenende 3 mal ausviel.
USV leer gelaufen und Storage aus.
3 mal passiert.
waren dann 4 Platten im Raid 10 defekt und storage schaltet auf notbetrieb, war nicht der raid kaputt man konnte nur nicht mehr drauf arbeiten >> war hersteller support schon was feines wenn du da sofort nen system engineer dran hast der den vollen durchblick hat und dir genau sagt was sache ist... und mit 4h hardware ersatz, also austausch platte war das ding schnell durch...
muss jeder selbst wissen was er macht und wieviel er ausgeben will.

Supermicro, wenn du da einmal mist mitmachen musstest dann kaufste dir das nie wieder...
blöd wenn da wirklich wichtige systeme drauf laufen...

Ja klar ist das für ein einfaches foreign-disk-config wie Du sagst schon Overkill, da gebe ich Dir recht. Aber wenn man keine Erfahrung damit hat, wäre das (für mich) eine zusätzliche Sicherheit, damit ich nichts kaputt mache, wenn ich mich damit nicht auskenne.

Natürlich IMMER nur mit Backup.

Moin @kuwakz01,


wir betreuen diverse XGS mit mehreren hundert Regeln und die laufen alle wochenlang, sprich von Update zu Update, normalerweise ohne grössere Probleme.

Nutzt ihr rein zufällig Linked-NAT direkt in den FW Regeln?

Gruss Alex

Ich glaube ich würde für die Testumgebung einfach ein Backup der Produktivumgebung nehmen und tunlichst beides voneinender physikalisch getrennt halten.
Mag etwas umständlich sein, aber mehr als Internet braucht die Testumgebung nicht und mehr als einen Konsolenzugriff braucht man nicht auf die Testumgebung.
Kommt auf die Priorisierung an...wenn erstmal darum geht das man in CheckMK fit wird und das dann später produktiv einsetzen will hätte man mit einer Kopie genug zum testen und wenn man die Tests dokumentiert auch genug Anhaltspunkte wie man schnell einen Produktivserver hochfährt.
Wenn eher um die Firewall geht würde ich wohl eher was frisches machen, damit keine Kopien von was produktiven kompromitiert werden können.

Viel Spass beim "kaputt" machen :D

Moin @LucarToni,



dann kann er deine Posts, sowohl positiv als auch negativ nicht mehr bewerten und auch in deinen eigenen Beiträgen, keine Kommentare mehr posten.

Bei einem Beitrag wie hier, wo du nicht der TO bist, ist der Nutzen der Sperre bis auf das wegfallen der Bewertungsmöglichkeit jedoch sehr überschaubar.


Das ist hier meistens auch so. 😉

Gruss Alex

Moin,

Das ist ein Interessenskonflikt.
Der Informationssicherheitsbeauftragte soll ja die die Aktivitäten der IT mit im Auge behalten. Nicht, dass man denen etwas unterstellt/ misstraut, aber manchmal sieht man den Wald vor lauter Bäumen nicht.

Zudem: Informationssicherheit ist der IT-Sicherheit im wesentlichen übergeordnet. Denn Daten auf Papier haben mit IT wenig zu tun, dafür aber mit Information…

Wenn du das in Personalunion machst, wird der Bock zum Gärtner

Bisher gibt's noch gar keine Regelung, aber geht schon in die Richtung, alles Komplett, wie ein richtiger Ciso.

Hast Du dann nur eine beratende Funktion oder geht es auch um deinen Hintern?

Moin @StefanKittel,


also, laut den Datenblätter ...

https://static.tp-link.com/upload/product-overview/2024/202408/20240821/ ...
https://static.tp-link.com/upload/product-overview/2024/202403/20240305/ ...


... haben die Geräte absolut identische Antennen. 😉


So wie ich das sehe ja und bei einem WiFi-Gesamtdurchsatz von 9214 MBit/s, macht die 10G LAN Schnittstelle durchaus auch Sinn, zumindest dann wenn man auch die entsprechenden Clients hat und auch in LAN etwas mit 10G, wie z.B. ein NAS, ansteuern kann.

Gruss Alex

Hatte den Fall mal dass ein buchstabe nicht kompatibel war mit Windows.
Buchstabe sah 1:1 gleich aus aber es war ein andere Charakter.
Mal versucht den Namen zu kopieren aus notepad bspw?

Ah interessant.
Freut mich aber dass es auf dem test Client funktioniert. 👍👍

Vielen Dank für die schnelle Antwort. Das Problem könnte bei uns auch durch die genannte GPO Einstellung behoben werden. Nach 2 Wochen Arbeit hat das endlich die Lösung gebracht!

Ich gebe auf.

Keine Meldung vom NPS heißt? Es gibt da auch nicht in der Ereignisanzeige bzw NPS Log?

Es kann natürlich klappen weil die Platten ja auch die Konfig speichern sollten. Nur: Das für nen simples foreign-disk-config zu machen ist einfach sinnlos und du riskierst im dümmsten Fall alle Daten.

Von daher - ins bios des RAID-Controllers gehen, die foreign disk config löschen, fertig... Ne sache von minuten und dabei zerlegt man auch nix.

Im Prinzip gebe ich dir bei den o.g. Themen vollkommen recht.
Wobei Testumgebungen bei Azure , AWS oder GCP zu betreiben hat auch einen Lerneffekt. Kommt sehr drauf an wo man hin will.

Oder etwas Hybrides aufbauen.

p.s. Betreibe für ein paar Applikationen ein Kubernetes-Cluster auf VMWARE, aus dem Spieltrieb heraus entstanden.
War interessant um den ganzen Stack kennen zu lernen, aber die darauf aufgesetzten Dienste und das Drumherum wie CD/CI usw bleiben da durch den Overhead des Unterbaus auf der Strecke.

Wenn ich es heute nochmal machen würde dann direkt auf Kubernetes als SaaS.

Hauptsache man beschäftigt sich mit neuen Themen, man kann nicht das falsche lernen

Moin!


vermute mal: eher nicht, weil


es scheinbar nach dem Umbenennen funktioniert, was vermuten lässt, dass es mit dem Dateinamen zu tun haben könnte.

Auch wenn es unwahrscheinlich ist, erinnert es mich an:
Das große Rätsel : Warum versagt die Windows-Suche bei einer bestimmten Datei?

CU

Hi - Schönes Thema und sehr löblich das du es Lokal betreiben willst um den Lerneffekt zu haben.

Denke Egal ob Proxmox, HyperV oder ESXI - der Grundgedanke ist immer ähnlich.

falls du für dein Vorhaben noch ein wenig "Blech" benötigst kann ich dir (kostenlos bei Abholung) einen der folgenden Server anbieten:

- HP DL380 Gen8, 1Prozessor Intel 2680v2 mit 192GB Ram
oder
- Terra Towser Server mit 1Prozessor Intel 2667v4 und 64GB Ram

kann dir noch 300GB oder 600GB SAS Disk dazugeben - Enterprise SSDs ist leider etwas Mangel gerade - aber so 4 - 6 240GB Consumer wären noch mit drin

Abholung wäre in 89312 (falls du die nächsten Tage mal in die Richtung kommst)

Der Energieverbrauch wird ja entsprechend aufgeschlüsselt (finde ich imho vorbildlich):



Der linke (alte) bietet aber noch: Seamless Roaming(802.11k/v/r)

Auf dieser Seite steht wieder nur Windows Hello aber nicht for Business. Bei Hybrid & Joined ist es explizit als WHfB gelistet.
https://learn.microsoft.com/en-us/entra/identity/devices/concept-device- ...

Habe nach dieser Seite die regkeys auf einem testsystem für den Hybrid Join gesetzt. 2 reboots später war es hybrid joined und WHfB ging..
https://learn.microsoft.com/en-us/entra/identity/devices/hybrid-join-con ...

Warte jetzt noch bei 2 anderen Systemen ob es einfach ein Sync Thema war und ich länger warten müsste. Denke aber derzeit, dass WHfB ohne AD FS nur mit (hybrid) Entra/Azure join geht.

Sg Dirm

Kommt immer darauf an. Wenn die Wartung durch den Hersteller erfolgt (wie bei HPE, Cisco, etc.) dann ist es i.d.R. egal, wo du kaufst. Dann kriegst du bei dem einen vielleicht Projektpreise, beim anderen aber einfach Schnäppchen. Dem Hersteller ist es auch (aus meiner Erfahrung) egal, wo die Hardware herkommt. Wenn ich bei E-Bay eine Festplatte kaufe die auf der Spare Part List meines Servers steht und in einen Server mit Wartung stecke, dann hat auch die Platte Wartung. Wenn die dann eine Woche später rot leuchtet ist das ein Tausch über die Wartung.

Leasing oder nicht sollte die GF entscheiden. Einige nehmen die Anschaffungskosten gerne vorweg, einige machen gerne noch ne Rückstellung. Nicht jeder bietet Leasing an, der Anbieter soll einfach beide Preise dran schreiben.

Alternativ kann man natürlich auch einen kleinen 25€ Mikrotik Router nehmen falls kein alter Bastel PC für die Firewall im Laborfundus übrig ist:
Mikrotik VLAN Konfiguration ab RouterOS Version 6.41
Das Konzept für so ein einfaches Testlab, wie es auch Kollege @em-pie oben beschreibt, ist ja immer das gleiche. Es gibt halt viele Wege nach Rom die ein gestandener Admin in der Infrastrukturplanung eigentlich auch kennen sollte.

Moin,

ICH würde als Testumgebung ein nahezu 1:1 Abbild der Produktivumgebung etablieren.
Wie?
Als erstes an der SG ein weiteres Interface anlegen mit einer IP (als Beispiel) 172.31.255.253/ 30
Daran schließt du deine pfSense an, welche am WAN-Port die 172.31.255.254/ 30 bekommt. Die pfSense macht NAT (ja, DoppelNAT, aber es ist eine Testumgebung). Auf der SG noch eine Firewall-Regel, dass die 172.31.255.254 nur ins WWW darf, nirgends woanders hin.

Angenommen, ihr habt bereits jetzt div. VLANs etabliert, alle z. B. < 100:
1 = Default-VLAN (bleibt als Quarantäne/ einsame Insel)
10 = Infrastruktur
11 = Backup
20 = Clients
21 = WLAN-Clients
30 = sensible Server (DCs, Mail, ...)
31 = "normale" Server
xx = ..

Dann könntest du die VLANs
1010 = Infrastruktur
1011 = Backup
1020 = Clients
1021 = WLAN-Clients
1030 = sensible Server (DCs, Mail, ...)
1031 = "normale" Server
10xx = ...
anlegen und weisst "ahh, VLAN 10xx = Testumgebung"

Danach holst du alle relevanten Server aus dem Backup in die Testumgebung zurück und kannst, dank der anderen VLANs, die IP-Netze beibehalten. Du musst nur vor dem Einschalten der Systeme die VLAN IDs anpassen. Dadurch, dass du in anderen VLANs unterwegs bist, "knallt" es nämlich nicht - sofern die pfSense überall als DefaultGateway hinterlegt ist.

Vorteil: abgekapselte Testumgebung + "Spielwiese" für die Restores, welche du dann zyklisch testen kannst

Meine Empfehlung: Step by Step dazu lernen ...

Ich gehe jetzt mal von Windows als Wunschbasis aus

Basis: Windows 10/11/20x mit reichlich RAM und schnellen SSDs, bestenfalls PCIe/NVMe - gibts auch günstige Adapter karten ...
... mehrere physische Netzwerk-Ports sind von Vorteil, aber bei Nutzung interner/privater VM-Switche nicht nötig ...

Auswahl des Hosts: Ich bevorzuge HyperV, aber auch VMWare und VirtualBox sind möglich.

1. OpnSense als VM mit
1a. NIC an VM-Switch: nur-extern zur Sophos
1b. NIC an privatem VM-Switch der Domain
1c. NIC für DMZ


2a. VM mit Domain-Controller,
2b. VM mit FileServer in der Domain.
2c. VM[s] Win10/11 Clients an die Domain einbinden.
2d. ggf. weitere WinServer mit Diensten ...

3. Wenn das rund läuft, Netzwerke, VMs und Dienste wie CheckMk einrichten und in der Firewall konfigurieren ...
... aber bis die ersten Schritte rund laufen, vergehen schon ein paar Tage, wenn man von Grund auf lernt.

Wichtig: alle HVs unterstützen "Snapshots", also eine Momentaufnahme der VMs ...
... will man was testen, bzw. ist sich unsicher: Snapshot machen und bei Bedarf dorthin zurückkehren ...

Eine schnell überlegte Empfehlung, die sicher Verbesserungspotential hat ...

Viel Erfolg.

Moin,
würde das vermutlich einfach direkt alles in einer virtuellen Umgebung hochziehen, Proxmox würde sich anbieten, macht es auch viel schneller / einfacher rum zu probieren dank Snapshots.

Der Gewinn der Antenne ist völlig irrelevant, denn das was final zählt ist die Effektive Strahlungsleistung weil die gesetztlich geregelt ist.
Ob der HF Sender also mehr Leistung in eine 2dbi Antenne blasen muss oder weniger in eine 5dbi um auf den gleichen effektiven Strahlungswert zu kommen ist für die Mehrkosten völlig Wumpe, das sind Bruchteile von Cents bei solchen Massenherstellern.
Entscheidend sind die Kosten für die PHY Hardware des 10G Interfaces. Diese sind deutlich höher als die für niedrigere Datenraten. Damit kommt auch immer ein deutlich höherer Stromverbrauch mit ebenso hoher Wärmeentwicklung hinzu die ein entsprechends Design des APs erfordert mit entspr. Mehrkosten. Die übliche Leier bei 10G-BaseT.
Ob solch Billo HW wie TP-Link die 10G überhaupt saturieren kann (und die dahinter liegende Netzinfrastruktur) steht auf einem ganz anderen Blatt Papier. Eher wohl nicht, denn deren Antennen sind meist stinknormale Leiterbahnen auf Epoxyd Platine was so oder so dann mit WLAN HF die Platine erwärmt und/oder die Wand dahinter. Die 772er (2.5G) wären vermutlich deshalb die bessere Wahl. Hoffentlich dann ohne Zwangsschnüffelcloud im Reich der Mitte.

Ich finde dein Vorhaben super, gehört direkt in die Berufsschule.

• OPNsense macht u.a. DHCP
• Zabbix und Observium/LibreNMS sind interessant als Monitoring
• Virtualisierung mit Proxmox, Sicherung mit Proxmox Backup (um Veeam Lizenzkosten zu sparen)
• manageengine bis 25 Client könnte dir auch gefallen https://www.manageengine.de/produkte-loesungen/desktop-mobile-devices/en ...

Okay wo ist jetzt genau das Problem? Ich habe gesagt ich möchte die Umgebung hier im Haus bauen, weil ich den Lerneffekt als sinnvoller sehe. Warum sollte ich mich dann so sehr mit Azure beschäftigen? Ich habe es mir angeschaut, allerdings finde ich einfach, das es hier sinnvoller ist als mit Azure.

2tens setze ich doch jetzt keine feste Zeit, wie lange das dauert (sehe ich kein sinnvollen Grund) -> Und ein Jahr habe ich nicht festgelegt :D