From c1b6a0cbb300ce4ae1b8adfaab937bfd66366e4f Mon Sep 17 00:00:00 2001 From: jbergner Date: Sat, 10 May 2025 14:53:48 +0200 Subject: [PATCH] =?UTF-8?q?Windows=20Server=202025=20Dom=C3=A4nen-Controll?= =?UTF-8?q?er=20legt=20Netzwerkprofil=20auf=20=C3=96ffentlich=20fest?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- ...ofil-public-nicht-domainauthentifiziert.md | 100 ++++++++++++++++++ ...il-public-nicht-domainauthentifiziert.webp | Bin 0 -> 10024 bytes 2 files changed, 100 insertions(+) create mode 100644 articles/2025/windows-server-2025-adds-netzwerk-profil-public-nicht-domainauthentifiziert.md create mode 100644 static/img/windows-server-2025-adds-netzwerk-profil-public-nicht-domainauthentifiziert.webp diff --git a/articles/2025/windows-server-2025-adds-netzwerk-profil-public-nicht-domainauthentifiziert.md b/articles/2025/windows-server-2025-adds-netzwerk-profil-public-nicht-domainauthentifiziert.md new file mode 100644 index 0000000..1d7550e --- /dev/null +++ b/articles/2025/windows-server-2025-adds-netzwerk-profil-public-nicht-domainauthentifiziert.md @@ -0,0 +1,100 @@ + +> Kennzeichnung gemäß Artikel 52 Absatz 1 EU AI Act: [💜 Kein Einsatz von KI](/page/ai) + +**Windows Server 2025 Domänen-Controller legen nach einem Neustart das Netzwerkprofil auf Öffentlich fest.** + +## Problembeschreibung + +Der neu aufgesetzte Windows Server 2025 welcher zum Domänen-Controller heraufgestuft wurde, wollte sein Profil des Netzwerk-Adapters nicht mehr konstant behalten. +Normalerweise muss das Domänen-Profil zugeordnet sein. Statt dessen steht nach jedem Neustart des Systems der Netzwerk-Adapter wieder auf Öffenliches-Netzwerk. +Dieses Verhalten ist für eine konsistente Konfiguration der Firewall nicht hinnehmbar. Also was tun? + +Dieser Bug ist nach meinen Recherchen mindestens seit November 2024 bekannt. +Da ich in meinem Unternehmen vor der gleichen Problematik stand, musste ich mich zwangsläufig mit der Systematik auseinandersetzen. +Die Lösungssuche gestalltete sich sehr schwierig, da es auch von Seiten Microsoft keine erkennbare Stellungnahme dazu gibt. + +## Lösungsversuche und Recherche + +In mehreren Blogs und in der Tech-Community von Microsoft konnte ich eine Reihe von Ansätzen erkennen, die das Problem zwar lösen, für eine reale Lösung jedoch für mich nicht zufriedenstellen genug waren. +Das Zurücksetzen der Netzwerkkarte nach Neustart in der Aufgabenplanung oder Start-Skript ist ein wirklich guter Work-Around, aber mehr auch nicht. +Niemand kann damit sicher sein, das ein zufälliges Ereignis der Netzwerkkarte nicht wieder zu einer Änderung des Profils führt. + +Nach vielen Recherchen in diverser Fachlektüre bin ich zu dem Schluss gekommen, dass es etwas mit dem NLA-Dienst zu tun haben muss. +In früheren Erklärungen von Microsoft, welche bis zum Jahr 2016 zurück reichen, wurden die immer größere Relevanz von IPv6 für Systemdienste erwähnt. +Im Hintergrund funktionieren viele Dinge ungeachtet der Konfiguration, bereits seit einigen Jahren über IPv6. + +## Fehlendes IPv6 als mögliche Ursache + +### Warum kommt IPv6 als Ursache in Frage + +Microsoft behandelt bereits seit Jahren IPv6 höher priorisiert als IPv4. +Das kann man schon daran erkennen, dass sobald der Client eine IPv6-Adresse bezogen hat, quasi ausschließlich IPv6 gesprochen wird. +Angefangen von DNS über sonstige Dienste, welche über IPv6 erreichbar sind. +Die vollständige Deaktivierung von IPv6 über Windows gestaltet sich schwierig. Verwendet man den "Slider" im neuen Einstellungs-Menü, so ist IPv6 nicht "wirklich" deaktiviert. +Möchte man dies tun, so geht dies nach wie vor nur über die alte Systemsteuerung via Netzwerk -> Adapter und den Haken bei IPv6 herauszunehmen. +Dies kann man auch gut anhand von ipconfig /all verifizieren. + +Mit dem Wissen ist es naheliegend, das Windows zur Zuweisung des Profils IPv6 verwendet. Nach meinen Recherchen wird beim Start des Servers / Clients versucht einen Domänencontroller zu identifizieren. +Auf einem Domänencontroller konfiguriert man normalerweise immer 127.0.0.1 als primären DNS-Eintrag. Wenn der Server kein IPv6 Profil hat, so ist dort auch kein IPv6 DNS-Eintrag vorhanden (::1). + +### Warum wird IPv6 in Unternehmen trotzdem nicht verwendet + +Viele Administratoren, wie auch ich, empfinden die Nutzung von IPv6 im Unternehmen als nicht zielführend. +Die Gründe dafür sind vielfältig: + +* Ausreichende Kapazitäten in IPv4-Netzen +* Komplexe Konfiguration von IPv6 +* Schlechte Möglichkeiten für das Ausrollen automatischer Installationen durch Softwareverteilungen +* Komplexe Einrichtungen von DHCP-Reservierungen +* Aufwändige Notation +* Fehlendes Wissen des komplexen Protokolls + +Somit haben viele Administratoren bislang einen großen Bogen um die Konfiguration und den großen Stack an Aufgaben, die im Netzwerkbereich daraus resultieren gemacht. +Doch das wird nun zunehmend zum Problem. + +## Lösung + +Wie Sie sich bereits gedacht haben, ist die Lösung tatsächlich die Zuweisung eines IPv6-Profils. +Zudem habe ich bei uns noch einen Registry-Schlüssel auf unseren Domänen-Controllern angelegt. Das löst die Probleme. + +Der Eintrag in der Registrierung ist ein DWORD-Wert (32-Bit) im Schlüsselpfad ``` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NlaSvc\Parameters ``` mit der Bezeichnung ``` AlwaysExpectDomainController ``` und dem Wert ``` 1 ```. + +Ich habe für mein Unternehmen eine Möglichkeit die IPv6 bietet verwendet, die relativ unbekannt ist. +Es ist bei IPv6 vorgesehen, Teile von IPv4 zu integrieren. So kann man einen Präfix wählen, der immer (/96) ist. +Die letzten Werte sind die IPv4-Adresse des Clients. + +``` +fd12:3456:789A:BCDE:: /96 +``` + +Mit diesem Rpäfix ist es möglich nun die IPv4-Adressen der Clients, auch in der Notation, zu integrieren. + +Angenommen Ihr Domänen-Controller hat die IPv4 (172.16.0.10) dann wäre seine IPv6-Adresse nach dem Beispiel: + +``` +fd12:3456:789A:BCDE::172.16.0.10 /96 +``` + +oder umgerechnet: + +``` +fd12:3456:789A:BCDE::ac10:a /96 +``` + +Das ist eine wirklich simple Möglichkeit IPv6 schnell zu Migrieren. +Sie können diese Adresse in beiden Notationen im Windows-Interface eingeben. +Windows rechnet die Adresse dann in das rein Hex-Basierte Format um. + +In meinem Fall, habe ich die Option Gateway bei IPv6 aktuell nicht konfiguriert. + +> Welche IPv6 Adresse Sie verwenden ist jedoch vollkommen unerheblich. Wichtig ist lediglich, das der Domänen-Controller eine IPv6 Adresse hat. +> Ebenfalls macht es keinen Unterschied, ob die IP fest oder von einem DHCP6-Server vergeben wurde. + +Trotzdem erscheint es als Zukunftssicher sich mit der Thematik auseinanderzusetzen und den Schritt hin zu einem fläschendeckenden Ausrollen von IPv6 in Betracht zu ziehen. + +## Fazit + +Ich persönlich empfinde es als unzumutbar, das Administratoren für eine eigentlich gut funktionierende "Out-of-the-Box" Installation der ADDS schlecht Dokumentierte Zusatzschritte unternehmen muss, um seine Domäne lauffähig zu halten. +Der immense Zeitaufwand zur Lösungsfindung war aus meiner Sicht vollkommen vermeidbar. + +Ich hoffe dieser Artikel hat Ihnen weiterhelfen können! diff --git a/static/img/windows-server-2025-adds-netzwerk-profil-public-nicht-domainauthentifiziert.webp b/static/img/windows-server-2025-adds-netzwerk-profil-public-nicht-domainauthentifiziert.webp new file mode 100644 index 0000000000000000000000000000000000000000..4bdd92dbef19b451419f32a3e1289f0384426688 GIT binary patch literal 10024 zcmV+@C)e0gNk&E>CjbCfMM6+kP&gnICjbC&{Q#W-Dj)+D0zPdvmq?@|B_bnJSumgt ziDz#A!aG167&f{!m49#S|0K8pMCX_ovGM=i|0DiDtpC~nvi``*Q}YknKT7*j{~!AS z?sN4&um|g3><{^Wjb4ZR!T#ue;Csh^+WoNiQT_+iL;QbIKcEMfZ?jkS|N6d~UZ5ZU z{j|Dc{QLaB`wvw=J^mxep1m8DV7|6ro^%n|uK*`y+6CVKMQMxuzo-WXZ2`YV`p18z z6vsv^k1Sj|e^ z8tRtDR_NDMN!%~K@U*#KY}_iwQ#nBiVEH!>p`@rz3R@%q~3@+Xj>g8-O!_=VOqBE>` z#djg`#JvQzTkJs>P_Ei$?U>FjE7vq>Mov<9VDDcba7mjrZ%e`n<;`O;n9OD~8H~nb zF__EV5oaYS!m?E_3Yo76N+!#%xy~i1;e>+?4`o`@o0Gjj1$#tg697})hD*AB(1&rs z@9!-JxwPo>;OXZedu3!L>>C{Va5jzVlPLhN{D)b*0I)T6IxWrygEXk{g8UGMYuO!!=6x5tyR zjaJG4OXwps-Egb;)PId(?oJp;B7E|!M!7kn0>>s77LL_ciEU)O53BH^rx-G)BLsq( z2IJcoX$4u4#e+dcKBNU>aSjP*nX->Uw7x)z;Kv^ix zD0VP0Fgb@Bn%z*Y{l`}x0E<~$oCws)2$VK$Y54SrCY$SXVkz9_F>r_pnI#_H#mEsG zmqjTedDb-5XEOXvjtHsMJ=??Hd5w~aQ1L2)fYIIz6{hE8^lRB z6(qlLprP@+0JRdb+4sCQ^-^s0r@AALlGnm-t z93AU>Yw$C5=i#O5B@ovT0fwE&da$ws_^d)s9CQZBN{fF}6#eSInU4TH4+ZIC_$Psn zgM^3{@)OOVv{p5dytrRufhkp~FWXp{AvP-M*w12l+zSO;d<55Zt)-j8Fm_+Y(W2L= zeB#9+3r4EDX+TpbF%^aUO@yf~jf4q{Z%*5l)-U=CwOj3u_r7QjyBgatZ=*z)(a*z6BC15wfAPy9Imng!>RSTG+V~0xJSv$q>UX?$H$_4XK%kXAfTZ|XA;DVz{$Ji(%H2RYU+}_X-m#aX$=b3Vd=}}9Hk<-7`u!qbH(w8a!;QX`gbV2=8{=PV23 zscj}ADBbzOd^wg!Occ zZ(%+tTK{3hg=bG7a4JGtcBrs`WEg>w zT*5aDgKu{G!})>i1(R7K%eQHKTE%H10C zqe~NBg6(F+qV8}t)e&WGtZij(jh#G!-x&5+5wvTnBFfzw>WPWbuBeMVvM0T0CAu}$ z5oW}q?RZtyD8O(kFigM3x}r`7ybUXR7B$roWrl+7Wp0giM4SzEN-!FQmB&W9qAab^ zuBiWb6&GtZB`GRN=E&vzTw!OV!RFO3>a|?qMN@+^Po+Qr{`dQFXRYI7i4b%?cRXcrF!~_-cM@t_X2)0cs%n&o3+Dq zlpFWy13ggs(+;>0mkG7ZJ+lpsL}ys|C36Lz!&XZ`q!m5BKGiizuBx>V7(nTnn<82SbgGJ@i|S= z=SpDprCpbeO^lj=VEy|phJ9}w3OzBKmx~4*s&|x)1S$qODBCf-VSg0m> z4wMR0*pp0P@R~$!)Vr&Sc2yfvxaE{$wwX3@Tx9-eWJxi4GM}m)W5GYnSpmuBeC>I z>U5Pd;t9)*7|28wWtg<0OR z<9n*VXCJ^x&-kZZ&wCjFN*_2reJy_lj31F-n_&QL#GvF22;SrU!#UR0%Oh?Uz`5jd z<9&mi{B(g$*o8a2pb&>Yqp{m9g2g@>Bp8t2`N($Vmfrf13%6rwNs=2GCyaTn27c&v z#e+8un=Of!vNzLi_OD5tVhIfJyb``Bx`kFd0)PzW?^l`j zi%9EPE+}MU3mw-*eQ-@D+ zGRvn(pkA#wQCSUA1 zxLoENRq$QW00R)g->oR?Gx=q%5h`sbOr~}*yHA~3nOTNV|Kk=e zQlDgl#!pG#LstT_ab8 zy#@>wlli0OP`k<3i(4%6Y{CS_WT{xq8)8FTMhpnXreSiJWVKs&zIV`Veq4~D`0PKh z?L4H=uWXqlwUosG?6UQfINKA-3BfsTHdo>t^$gjbNt0p#t@u3*=Z3K}N?4&ZI%l5> zMGuQXrW)^u`nJmR)>j3U6i+2eJ%Mh}gZBC~qi0yovYw6R0>A%%@X~7n?6*XD1t2z? zGJZ5X%24kx95V(Q=XYgu^}Oy) zM!=MKESJ+Y%#W2-ZKC4IxYFLtDDzR-J&g|mLUA~q7Zx6+vQNe2BE`j?c|himzs~X| zPCcD|DfuTVfZx>9;KX-N3}3A5+vmJ06c_30i3IV7QX1{awYfycbul~`XwA6<%-|fz z)|@5LQ7V%%l-KTFM@|ZWs<|=+IEtG?Pw9-UfGk{YYA;})km!qvC1@hQsu~?cBAk)MYY+bij1vbCk}8sF_#XO zcOn*VAgCHuAxYYgs!ksAl(?*6OL75!w@t!@IOi zgIEwoO?P=KI+1a(h3qYU62S9(wEAza56W9xWt+9rUk)#QK*-=v7`fM3^mcYq7d7BMgivjrMy|%b2uZ_OP7}1-=Ic zsAsQwaDpu=;2@sYs$jkLsbq2B@;ki-uuk0}D80~tg+m&Zqb^i2>S>Q`um?9;x<1Xa zz77u&mD)%J{ifM8$8tV&>SeWab~-BC>XvejEICT8FO#0FodNr7IV1ooVT21R={V;j zjoj;HK&*p2$YOe=55||ZQ#a;V!2f1(t7`j*3ZD}jN$*k}ux zWPl70Yofc{!b3K+$4YtIx_=VJ^1Bs2s98YO>2f!ezBg!$(g;h()fEIFJH{858fbMd zS<0dsc$<4Q`%!^KwK|rL$m+nq^hGc>j3uJ!ahJC%Ep+tl!-aN~iv;2ZU$oP^HZ+*; zagk3i&Iwo}Pyhg8sp-!C&%l;|Mp*x^mk^U-Nn|x=0z2j2ofoSI)B9#Wm**MD*ESM( z$O1aRDv-;R-An{_-}7%je)wcvhSb5uEx2yJ}UWHrZNx(v!zJ zU@QGjkrPeLnor$c60o_9^PBDBd?aNnP;;l9sY&1Y;IS65 zM4TkGPl+CJiR18bA9qoh4IkWdc+qqllx~ciBP2Lunf|~&0R=1wM6?kJM_QEX7Ph2O zQYlo#GVv)6c1RzpLC#ikRwbjM#o4oLTpu=eG1$f8dVcgTb2JRqKr6m8oar?tF`#Bn zb>Kp7WNoT+Of?_f7lvAI+7bdi)=X9aR8ftOpPzGG#}<}JspX2JIgqEHv&8S~wA7}I za#xTEbA|5V7k!I+{#`|q{|oFT1gIf-ZNlN4i_Ph6X@SnxO@zdFvs-?3#=U6G^esTl zmnM?*dcDIroYNU)*7Pjxhv*Oh6wwoa3t04Pn=($C^d=Q*!je=o6;CdcwFG)4KqPaE1~$Q#-3JA%4#^hY*>FG%4_!}};5*yx`F zlVfd`R|EZ`eB~$&p>1k*x(wP{X-7l49f!liC!uL!pp@=5^L&S*@-+5;puK@H^hkby ztIKinkI7Wiq^W=JKVD?a1!pi2Kb|7F(*zO+*?G6c34MDwos!C*V!%G^5Tz>|K|C0O|uU-R;-55@u+0k(oH^* zayyB~7M&VN;$e|mQcwHx0qP*=6ziKd3W-}9Sg0g)tHfLovQPcYZ>0{E16gFE0&O){ zui(R(+3a<-VHxR71i=j@-9uLBXGie*-K%VWJOyuc^N;|H;s1i1+gP`_(?ZP@Q7mhx zBJi{9n4iR#KN079uFN*u35zF}TPRQ3j)e_yurEV#s&>p2TOV6Yu5DrbBinL|3-@I= zDh00VE)p2SZ2n>dG=U}YjPhEc`w?w{zm5A8?4Q?h4p(-YX%~5>NZ2wY;@0)PdZVDo zEIpPLc?{tSy=C@|emlLuF0c0Y$O2gLW1hNxyW zZTg>sTwE1EhDIAkiz3{Rhc`xBPvN0ewO^x{#RtV6r8{0Cf zc&`70+2Ub;X@rJZ=UBWfwL#9H*<6l1!H)EVcd3yFV2)l67?Eepv}*!O`@!Mk(0UMo z4a|=kouvPX{0CUtX_B*YlMv*_9XkGO+K~N*7wp#$!Exp_IE?mtG^e{DLva?hK!f0W zbid;c?2KF@-!T0BSUWhaegoaTW*x3lBixLYbfQ>SHjkv@`>gv?xhQ&&GJ$LX?*z)B z8rpLq4@R>Qj8rYuPe)TsSdCjF|3bm@1+Ac1)#GUS(q=?;UqGB>BoK-+wkv0qd^X9Mio8Jwgy$$r|FC1cK^QDTmQ3g_*#^v7(1z zIN}l^Gg!ds>tTpV`{Ls3Qck@orhI4`Zrve2Zc0+i5mW{8OX+1Y~b+d91uA{+pmy7s)aoF=} z&I;pNMfy`zV#nM=p%D{p9bl#&+Oa`C?>38@ih5_gw)J;Z^%bbBU6%@j?|+VNFr`+l zDaN#Lx8L~uLlyrg(c&sXf*{{fJ$1il$!|sLyH92DweRJ&z_+TtBwfqSs#r=VK%hj6 z|MSSmy5*P(&PA%xEA@prNzBz`r~N)I>kop5*!g-?*^vPna`hmTS2S$dO>@%>PB;;q z|6Gp7-&^zleqYK}fNF|M2M{|ZJdYI;Ub!qpPmZsUuL3lzKgLfB&PmH4OvQNL&HEmW zJjsVvG#UZP-T6o;6a%0?Yim)GJ7 z=Xq^h`*~ai(Tx?k`+Ir86haIzoC3Vb;(fuvx~^uCU^l{v-BcMbg~8dAW;hqULm)Pb zA^)B<3W&g#hk56;(5tB8e0m_f+)QIG9fT&23f8gw*qU@NVaKE(nhs^cC8anGV0wz6gQvt z?#H?pp7nh4If|BwyZ8juh;s1`+T1?Wy-KBn?2%*x~<&_P$euFpm- z1*r|~GfP3ApzXk`TZ#}o3Pkcv0BCbsw6RywCp=IZA%^StqR607uT_#j&w2M5^K0UE zV9`4cPvc*eCi*h3ycE^@-?Y4N9Y|_vP^<{3s3w9Lmf0EmliQ7b^^ILW^_j=sFCd z6M#Ws=O7dpS98f;>8K-@`u71k2+ODIB7Ym?VfGxn0l9Sya9v!)OS&!%Q3+I-jcDlu zN+tNL>EL58me$R2;)?8XmeSbCowK8M|H#P7=K+tiD=rXq>M(L%Z&1}JoBd~i02J}i z;54E^S4VnJJ%w5??Tqe9)*0&lJ}XjFWeN;?vJK3DoA%roq1^GwEqk>cQ@L0H@%{F) z1h2(bar1KTtg`%7LTX;Q*)d*Ge(?qsk2=bDba}re!0qH0X74z>a zwhTP17ogLL7Ye~P6v{O?7`dW~_9lkx)Tl;Vzip0e5=rS* zQ1pU74bI*dSnW-A!p(UOvtPQ9yG)*ly7XD>XxrVxURW9{1?YHuebyyI$%WW``-v={ zF&S@OXR>%E+T|JDTT>pK5u*(@+6JPW9nJesULguki-(b54P6G|NP)ARd0Kg=VKq1N zu{Vr7q}>vJiuC?qD0!zTh3+T5u*QGE0Z*y$Xx!~iVWUFwx!F?t2nZ0X5E3K}G4V_q z3Q8pfWe5O6>9&lu?Tan>D{CgZ`}9-;9qt!}o1p(FF{wuxDm+m)Hq&R9zIR=+4DG`u zXcSWc58cy_)JNW&d)o?&b;!sPA4lc8)P1dX=;Qn%=@zi3182R^hVXXENFPQw>Z;W? zt+v(=5Qe+MRC$CTd-=+g0dH4rh|ek9%*>;XASDhF*gYrWnD82KPcF7e0q>D-SWMj> z&StX_>5oBGqS|)N@}&=QBAgZVX$2_Q$Tin5!U7%xd%#_*!Kk|d8ObF&ROw(V_xhbh zCq`!XxO>T1tuHyDhrlU-s;y}{U3+3PMi%BJL*nF<$x|1e@*>pxY*-@P zmwj8MDbcfqiBQOhUB$!679cSN-2)epZc6&c|D(pyXgffscxwgPt{kc1SBV1V0g~au z|7{*e#}>1!;}7`#lFnA*cyQzzZj#fE_VNnlIr)6zsgSoUJ=&L<4!t8tSfj{*da}iC zO4`FzNxr%qZd6i1eq?Uy?)B|%iV*S8GINb%LZH#v>1u-}yiZ^}OcCd~r(Y_3jHF@! zgk{U=$FfYgXtCRC;hS+f;AZdo{%QQq|4oBF(>5&iunVHm=Tyl(-IX3*Br9Sg=Me)W*1%i8X*spXwhu_e*yw-+R%`Ma%mQvF5l{Ub@zXmt)rM zQrIh(YKn5TZmm3W0m}f|86xP?y-py+IZz9O^&kTu&C9~ae%t7OS(P3DqF7N(oL$gk z;H-srd}G+A*3xH7ToZB-(>Mu`3YY zhzDG%e>>HEm>@h{Lgvg*Kq1VTRr{Mt0(HS9A?D?=4KY>&C+n*SBD77i!*;SNg9 zl3h~-_N_-}etqFUNu6@XRmjjlVs*ra(Vj@zQ|coWCEw=SGZxzPta-m-%kNIPrTQ!Q zatYE<;ZJ$=kU@jqakO%7n&LKtnxF9d?@bC7uQ`HmnG;UIL2-meTuEOz_aAm!Mn_NI zaFCB6Zx@bym<17S)yo&P4Y8M<#t2+0)Z)*}S<@X|)4!Aq88W#$YaDX zh;t%7D4&^Lps^J1j$58H8#9$}I%!Xo1TeA6r<=2udNIgDv z*0*)qJo1(@Qf6XKGQX*(5TfAj>Zgozc`u>-Pu%VwQ4&$~NB_Xrm=^5qAkAHPcaqhE zzhug!NQi16(h5dS*vK5-E(I{lS;{s5>OX9U}Sx`}mDR zT&%ToQxo|7MFDqCcnqN!BM)WAtV0^k;DYX5_*Z}3o{b(rK{6-zLc>fTvLNeuS4DyL}A#=bR{z`ZbZtUO~o91)O=HQ~)dFe+BW3_S4HiKUY|lg6hx;=WJgo7T3Ry z0?MMUnZoJNd4N!&wJZ7oJa^62kzT0z;Bn>O{Vlk1I)+)zbg}f-1f(({1}Zyq3(150FYd8&hDDIRzAnE z#Ax;gseOEnw!$WyAAx44tCu_uHLP4oNLE{=dMP_Q_r5rut0k$<2H1Cw6AGz%_Vdce zII7wiD6ueZle#t5Imdbf!TRoj`J?W_l@9FZ1iEgam(3n%=@@-(aIY|q1#OR^DUVRQ zSd{__8xr)CQ#R1M4yy}A{PzaL=WM&SId8`Aq^@^*8uOYS$RX8homq{I`Hi|wRmK{qO>h|rTx z`9V0TfF&@gSv+5BExO>k8U%1TRZE_7!iM9eZLs?IV()yY7;-s(1}VK4zX>v4rZNy^ zy^f1`2jJ)qJDhlNsxof3EEiC5XB&>xd8T&n)I)<}^oYasi5r(Eky;e*wxNC{ICW9tTHGXrKL?|@ zoI7m6^pcI-{&tOo$wE1#;5hTQBlfpZcNAo>(^j>i$#7j!_|gAId_CbO;wCskZkMft z9<*clp$A~O{TXEJXyOvJMa3gm5