Ein kurzer Erfahrungsbericht nach dem ersten Update bei einem Kunden:
- Gestern Abend Update auf 11.8.3 auf der UTM installiert, ergo SMB1 am DC (2012 R2) deinstalliert, zumal der Kunde durchwegs mit Win10 arbeitet.
Ohne aktiviertem DNSSEC auf der UTM hat die Authentifizierung für SSL-VPN übers AD wunderbar funktioniert.
- Danach zum Schluß noch DNSSEC aktiviert
Sollte man momentan nicht machen, sofern man intern eine .local o.Ä. Domäne verwendet, da die AD-Anbindung den Nameserver der UTM verwendet, auch wenn man meinen könnte, sie fragt den angegebenen DNS-Server direkt ab
- Weiterleitungszone für die interne Domäne vom Nameserver der UTM gelöscht
Kann die UTM mit DNSSEC eh nicht mehr auflösen, somit raus damit... - auch das ist schlecht, denn somit löscht man in meinem Fall unbeabsichtigt den DNS-Server aus den Einstellungen der AD-Anbindung raus und die UTM fliegt unweigerlich aus der Domäne
Natürlich VPN nicht nochmal getestet...
Heute Morgen hat der Kunde dann angerufen und gemeint: VPN geht nicht mehr... - schnell gelöst, DNSSEC wieder aus, UTM neu in Domäne eingebunden... Läuft wieder.
2 Stunden später ruft er wieder an: Scanner vom Multifunktionsgerät will auch nicht mehr - also SMB1 am DC, der auch gleichzeitig Fileserver ist wieder installiert... Läuft auch wieder.
Somit kurz und bündig:
2 interessante neue Features, leider hält sich der Gewinn bei Kunden mit teilweise "alten" Geräten erstmal in Grenzen...
Sinn machen würde imho die Umstellung des DNS-Servers beim AD-Dienst auf direkte Anfrage des eingestellten DNS-Servers, da dann DNSSEC für den Nameserver der UTM auch bei einer internen .local-Domäne aktiviert werden kann.
Das neue Fail2Ban-Modul funktioniert zumindest beim Userinterface erstklassig.