mwiederkehr

Vielen Dank für eure Antworten! Dann geht es wohl Richtung Drittanbieter-Client. Die ZyWALL scheint bezüglich Mobile-VPN auch nicht das ideale Produkt zu sein: Die Clients sind entweder nicht benutzerfreundlich oder kostenpflichtig und die Implementation von MFA kann ich einem Endbenutzer nicht zumuten. Man kann den Tunnel ganz normal verbinden, aber es geht kein Traffic durch, bis man auf einen Link in einer E-Mail klickt. Bei Cisco AnyConnect habe ich bis jetzt die beste Lösung gesehen: Login mit Benutzername und Passwort, danach ein zweiter Dialog, in welchen man das per SMS erhaltene Passwort einträgt. Eine Appliance wäre eine Möglichkeit, wenn es mit der ZyWALL nicht zufriedenstellend funktioniert. Hast Du eine Empfehlung? OPNsense? Dort scheint die Einrichtung von OpenVPN recht komfortabel zu funktionieren, inkl. TOTP. Remotedesktop war mein erster Vorschlag und das läuft seit ein paar Jahren so. Es funktioniert ganz gut, um von unterwegs mit Office und dem ERP zu arbeiten, aber leider benötigen viele Benutzer CAD und auch sonst sind die Ansprüche gestiegen (Teams...). Da jetzt eine Gigabit-Leitung zur Verfügung steht, ist der Wunsch nach direktem Zugriff auf die Daten entstanden. OpenVPN sieht gut aus. Betreibt ihr das über die OPNsense oder direkt, also ohne Web-GUI?

Hallo zusammen Derzeit mache ich gerade die Erfahrung, dass der VPN-Client von Windows 10 erstaunlich unbrauchbar ist. Die Einstellungen sind über die alte und neue Oberfläche verteilt, manches ist nur per PowerShell erreichbar und aussagekräftige Logs sind schwer bis unmöglich auffindbar. Vielleicht liegt der Fehler auf meiner Seite, ich mache VPN meist Site-to-Site, mit Mobile-VPN hatte ich schon länger nicht mehr zu tun. Der Kunde hat eine ZyWALL auf dem aktuellen Stand und möchte, dass sich ca. 10 Geräte von remote einwählen können. Die Geräte gehören der Firma und sind verwaltet, der Support hat also Zugriff darauf. Gewünscht ist eine Lösung mit Authentifizierung mittels Benutzername und Passwort. Falls zusätzlich ein vom Admin einmalig zu installierendes Zertifikat verwendet werden kann, ist das ein Vorteil. Ideal wäre MFA, aber auch das ist optional. Ich hätte es gerne mit dem Client von Windows konfiguriert, um die Installation zusätzlicher Software zu vermeiden. Der SSL-VPN-Client von Zyxel ist zudem nicht benutzerfreundlich, so muss man zum Beispiel bei jedem Verbinden den Server neu auswählen. Deren IPsec-Client ist besser, jedoch kostenpflichtig. Wobei nicht die Kosten das Problem sind, sondern der Aufwand für die Verwaltung der Aktivierungen, Lizenztransfers etc. Kurz: Idealerweise wäre es so einfach wie mit dem guten alten PPTP. Probiert habe ich es mit L2TP und IKEv2. Trotz Tutorials von Zyxel habe ich keine Verbindung zustande gebracht. Wobei Zyxel sich auf den Standpunkt stellt, der VPN-Client von Windows sei unbrauchbar, man solle ihren Client verwenden. Ist das so oder implementieren sie die Protokolle nicht sauber? Arbeitet ihr mit dem VPN-Client von Windows oder nehmt ihr immer die Software des Firewall-Herstellers? Vielen Dank für eure Erfahrungen!

Müssen die Benutzer gleichzeitig etwas machen oder geht es nur um die Überwachung / Steuerung der Anlage durch einen Benutzer gleichzeitig? Ich kenne aus der Industrie einige Rechner, auf welchen solche Software läuft. Dort läuft sie in einer Sitzung im Vollbildmodus. Wenn man darauf verbindet, dann auf die Konsolensitzung per VNC oder TeamViewer. Der Fernzugriff spart einem also nur den Weg zum Rechner, aber man arbeitet nicht in einer Terminalsitzung. Ich weiss nicht, wie es da mit der Lizenzierung aussieht. Terminal-Lizenzen habe ich noch keine gesehen, meist sind es auch Client-Versionen von Windows. Falls Du genügend Windows-Lizenzen hast, würde ich für den Terminalserver eine separate VM installieren und die Terminaldienste nicht auf dem Webserver installieren. Laut der von Dir verlinkten Anwendung kann der Client über das Netzwerk auf einen Server zugreifen. So müsstest Du an der vorhandenen Installation nicht zwingend etwas ändern. DC auf jeden Fall separat, weder auf dem Web- noch auf dem Terminalserver. Active Directory kommt dann mit dem Heraufstufen des DCs.

"Können nicht nachverfolgt werden" heisst "Benutzer werden nach einer Stunde getrennt". RDS-User-CALs gehen seit Windows Server 2016 nur noch mit Domäne, da die Lizenzen für Benutzer "ausgecheckt" werden. Ohne Domäne geht es nur mit Device-CALs.

Bei Windows Server lizenziert man die Cores und nicht die VMs. Deshalb kann man sie für gemietete Server einsetzen, wenn man die Hardware exklusiv nutzt. Bei vServern hat man keinen Einfluss auf die Hardware, auf welcher der Server läuft und muss deshalb die Lizenz vom Anbieter mieten. Bei RDS bin ich nicht sicher. Das lizenziert man ja pro Benutzer und da ist es egal, wo der Server läuft. Sollen die Lizenzen von Benutzern ausserhalb des Unternehmens verwendet werden (weil man etwa eine Anwendung für seine Kunden zur Verfügung stellt), sind auf jeden Fall SPLA-Mietlizenzen erforderlich.

Wenn eine lokale Lösung gewünscht ist, würde ich highsystemNET anschauen. Damit lässt sich vom OS-Rollout über die Software-Verteilung bis zum Patch-Management alles erledigen. Falls nur Patch Management benötigt wird, ist PDQ Deploy einen Blick wert. Dieses kann preislich interessant sein, da es pro Admin und nicht pro Rechner lizenziert wird. Beide Tools verfügen über eine vom Hersteller gepflegte Software-Bibliothek. Diese enthält die verbreitetsten Tools inkl. Installer-Parametern (Silent-Installation, Auto-Update deaktiviert etc.).

Wenn die Voraussetzungen stimmen, ist es eigentlich sehr flott. Unbedingt einen Opcode-Cache einsetzen, eine aktuelle Version von PHP und betreiben über FPM oder FastCGI. Wenn nur wenige Dateien verwaltet werden (wie es bei dem Anwendungsfall wohl sein wird), reicht sogar die SQLite-DB. Ansonsten MariaDB verwenden und bei sehr vielen (über 10'000) Dateien und vielen Zugriffen noch Redis dazu hängen. Das bringt einen extremen Performance-Schub bei vielen Dateien und besonders, wenn über den Client synchronisiert wird. Für Installationen, bei denen nur Links verschickt werden, richte ich es jeweils nicht ein. Aber ja, Nextcloud ist für den Zweck sicher nicht die schlankeste Lösung. Falls kein Outlook-Plugin benötigt wird, ist auch ein einfacheres Tool wie Plik einen Blick wert.

Ich verwende dafür gerne Nextcloud. Eine eigene Instanz für den Kunden auf seiner Domain, mit seinem Logo. Die regelmässigen Benutzer haben das Outlook-Plugin von Sendent installiert. Das kann beim Versenden von E-Mails automatisch grosse Anhänge auf die Nextcloud laden und einen Link in die Nachricht einfügen. Auf Wunsch mit Ablaufdatum oder Passwort. Nextcloud unter eigener Domain mit gültigem Zertifikat war bis jetzt noch nie gesperrt.

Der Absender schickt eine E-Mail an seinen Mailserver. Dieser nimmt sie an. Beim Versuch, sie an den Server des Empfängers weiterzuleiten, wird diese abgelehnt. Um den Absender zu informieren, generiert der Server des Absenders einen NDR. Bei Exchange ist dieser mit für den Endbenutzer mehr oder weniger verständlichen Informationen angereichert. (Bei Exchange Online sind die Meldungen sogar noch ausführlicher.) Entwickler anderer Mailserver haben sich da weniger Mühe gegeben. Da kommen die Meldungen vom "MAILER-DAEMON", sind in Englisch gehalten und zitieren die Antwort des Zielservers.

Nein, nicht wir beide, wir und der Fragesteller. Mir ist jedenfalls erst heute aufgefallen, dass nach einem NDR gefragt wurde, aber dann kein NDR als Beispiel aufgeführt ist. Das habe ich mich auch gefragt. Die externe Meldung enthält zwei verschachtelte Meldungen, evtl. ein SMTP-Gateway davor?

Ich glaube, es bestehen unterschiedliche Ansichten darüber, was ein NDR ist. In der Frage steht: "Remote Server returned" heisst "der Exchange hat während des SMTP-Dialogs mit der Meldung geantwortet", nicht "er hat die Nachricht angenommen und danach einen NDR verschickt". Ein NDR ist eine E-Mail als Antwort auf eine angenommene E-Mail, nicht der Text, mit welchem der Server bei nicht vorhandenen Empfängern im SMTP-Dialog antwortet. Benutzerdefinierte NDRs funktionieren wahrscheinlich schon, aber dafür müsste man die Adressprüfung deaktivieren und das will man, wie Norbert bereits geschrieben hat, ganz bestimmt nicht.

Ich erstelle bei Kunden, die das wünschen, jeweils ein Postfach "ehemalige Mitarbeiter" und konfiguriere dort eine Abwesenheitsnachricht. Zusätzlich gibt es eine Regel, die alle ankommenden E-Mails direkt löscht. Tritt ein Mitarbeiter aus, kommt seine E-Mail-Adresse als Alias an das Postfach. So kann der Kunde die E-Mail-Antwort wie gewünscht gestalten. Man will ja heutzutage überall seine Signatur mit fünf Bildern drin haben...

Die Windows Sandbox kann praktisch sein, um mal kurz ein Tool zu testen, ohne sich das System zu vermüllen. Aber sie ist nicht persistent, eignet sich also nicht für dauerhafte Installationen. Für das wäre, zumindest im nicht-professionellen Umfeld, Sandboxie einen Versuch wert. Ich habe es länger schon nicht mehr verwendet, aber vor ca. 15 Jahren hat es mir ermöglicht, mehrere Versionen von Access gleichzeitig auf dem Rechner zu haben. Es leitet Datei- und Registry-Zugriffe in eine Sandbox um und hält so die Anwendungen vom System fern.

Ergänzend zu Dukel, falls wirklich ein SQL-Dump verlangt ist: https://ourcodeworld.com/articles/read/846/how-to-export-a-ms-sql-server-database-to-a-sql-script-database-to-sql-file-with-microsoft-sql-server-management-studio-17. Das macht man aber eigentlich, bis auf kleine MySQL-Datenbanken, nicht, denn es ist sehr ineffizient, sowohl was den Speicherplatzbedarf als auch die Restore-Performance (Indizes müssen neu generiert werden) betrifft. Zum Sichern und Wiederherstellen geht man wie von Dukel beschrieben vor. SQL-Dumps braucht man nur für den Austausch mit anderen Datenbanksystemen.

Ich kann mich Evgenij anschliessen: Die alten Netzwerkkarten entfernen, bevor die neuen konfiguriert werden. Die VMware Tools musste man früher noch vor der Migration deinstallieren, da der Uninstaller auf einer anderen Plattform nicht mehr lief. Ich weiss nicht, ob dem heute noch so ist. Ich würde nicht nur die Domain Controller nicht per V2V migrieren, sondern auch andere Server, deren OS nicht mehr aktuell ist. Anstatt langer Planung und Tests, um einen Fileserver mit Windows 2012 zu migrieren, würde ich einen neuen Server installieren und Freigabe um Freigabe übernehmen. Falls DFS noch nicht im Einsatz ist, könnte man es dabei gleich einführen. Bei der Buchhaltung steht evtl. sowieso ein Update an, wieso dann nicht gleich die neue Version auf einem neuen Server mit aktuellem SQL Server installieren lassen? Dann ist das System vom Hersteller abgenommen und es gibt später keine Diskussionen von wegen "ja, V2V ist halt heikel...".

Das ist ein IIS als Proxy? Schalte mal die detaillierten Fehlermeldungen ein. Evtl. ist es nur ein Timeout, obwohl ich mich wundere, denn EWS ist bei Exchange üblicherweise nicht die Komponente, die über Proxy Probleme bereitet. Ansonsten, wenn es einfach funktionieren soll, könntest Du den Kemp LoadMaster anschauen, von dem gibt es auch eine kostenlose Version.

Es gibt neu eine Verwaltungsrolle, mit der man die PowerShell-Befehle zur Empfängerverwaltung auch ohne lokal laufenden Exchange zur Verfügung (und unterstützt) hat. Ohne Exchange hat man aber kein lokales Relay und kein ECP mehr. Die Umstellung ist hier erklärt: https://docs.microsoft.com/de-de/Exchange/manage-hybrid-exchange-recipients-with-management-tools. Ich würde die Management-Tools zuerst eine Weile testen, bevor ich den Exchange herunterfahre oder gar aus der Domäne entferne.

Du hast recht. Windows ab Version 2008 R2 hat TLS 1.2 aktiviert und als Standard gesetzt. Die Keys reichen deshalb aus. IIS Crypto wäre nur notwendig, wenn TLS 1.2 manuell deaktiviert worden wäre. (Der häufigste Anwendungsfall von IIS Crypto ist ja "TLS 1.0 und 1.1 deaktivieren", nicht "TLS 1.2 aktivieren". Hatte ich falsch im Kopf.)

Wenn es nur ein Standalone-Host ist, nehme ich ihn (sowie den Backupserver) nicht in die Domäne auf. Dies als Absicherung für den Fall, dass sich der Kunde (der bei so kleinen Umgebungen meist einen Admin-Account will) Malware einfängt. Damit sollten zumindest der Host und die Backups sauber bleiben. Meist kommt er auch in ein anderes Netz, auf das ich per VPN zugreifen kann, die Clients beim Kunden jedoch nicht. Der Host existiert für den Kunden so gar nicht, was ihn vor dummen Ideen wie "ich will keinen USB-Netzwerk-Hub kaufen, ich habe da eine Software für 30$ gefunden, mit der man den Dongle direkt vom Host her freigeben kann" abhält. Für Cluster braucht es eine Domäne, aber das sind überwiegend grössere Umgebungen mit Datacenter-Lizenzierung und da installiere ich nach Möglichkeit eine separate Domäne. Falls es Einwände gibt, sage ich jeweils, dass man sich beim ESXi auch nicht per RDP verbinden kann, um Sachen zu installieren.

Vermutlich hängt das damit zusammen, dass TLS 1.2 erzwungen wird. Zumindest bei SMTP haben sie angefangen, Verbindungen, die nicht TLS 1.2 verwenden, abzulehnen, und zwar randomisiert einen immer höher werdenden Prozentsatz. Zuerst ging nur jede zehnte Verbindung mit TLS 1.1 nicht mehr, jetzt geht nur noch jede zehnte. Versuch mal, oben im Script folgende Zeile einzufügen: [Net.ServicePointManager]::SecurityProtocol = [Net.SecurityProtocolType]::Tls12 Damit erzwingst Du die Verwendung von TLS 1.2. Ich vermute, die EWS-DLL wurde für eine .NET-Version vor 4.7 kompiliert und damit wird standardmässig nicht TLS 1.2 verwendet, obwohl es seit 4.5 unterstützt ist. Um es für den ganzen Server umzustellen, IIS Crypto mit "Best Practices" ausführen und die auf https://docs.microsoft.com/en-us/mem/configmgr/core/plan-design/security/enable-tls-1-2-client beschriebenen Registry-Keys setzen. (Da aber vorher die Kompatibilität prüfen, es gibt leider immer noch Anwendungen, die kein TLS 1.2 unterstützen.)

Hyper-V-Hosts starten problemlos, wenn alle DCs virtuell sind. Bei virtuellen DCs muss man nur aufpassen mit Snapshots (Finger weg) und der Zeitsynchronisation (Synchronisation mit Host deaktivieren). Veeam ist kostenlos für bis zu zehn VMs. Oder, falls Du ein Synology-NAS kaufst, könntest Du es mit dem dort enthaltenen Active Backup for Business versuchen. Ich habe keine Erfahrung damit, aber wie man so hört, scheint es für eine Umgebung Deiner Grösse eine gute Wahl zu sein.

Die Signatur muss in HTML vorliegen und im Outlook muss HTML als Nachrichtenformat eingestellt sein. Funktionieren Sachen wie "<b>Dieser Text ist fett!</b>"? Für das Bild nicht einfach den Base64-Code nehmen, sondern ein img-Tag darum herum bauen: <img src="data:image/jpeg;base64, _hier_den_Base64_Code_einfügen_" />. Du kannst Dir sonst auch eine E-Mail mit eingebettetem Bild schicken und dann den Sourcecode anschauen.

Mit dem Script hier könnte es gehen: https://stackoverflow.com/questions/27761097/change-the-background-color-of-a-word-file-via-powershell Es steuert Word von der PowerShell aus. Da jedes Dokument geöffnet und wieder geschlossen wird, könnte es bei vielen Dateien einige Zeit dauern. Schneller wäre es mit einer Library, welche direkt Word-Dateien bearbeiten kann, wie zum Beispiel GemBox.Document. Das ist allerdings kostenpflichtig.

Die Anforderungen zu definieren, ist nicht Aufgabe der IT, sondern der Geschäftsführung. Die IT macht dann Vorschläge, wie die Anforderungen erfüllt werden können und was es kostet (wobei dann meist die Anforderungen nochmals überdacht werden). Die Anforderungen sind je nach Firma sehr unterschiedlich. Eine Mühle sagt mir: „Die Produktionssteuerung muss innert eines halben Tages wieder laufen bei Hardware-Ausfall oder Malware. Die Daten dürfen aber gerne ein halbes Jahr alt sein, da sich wenig ändert. Die Auftragsdaten müssen wir auch bei einem Brand innerhalb eines Tages haben, um die Kunden informieren zu können. Diese Daten dürfen höchstens zwei Tage alt sein.“ Ein Holzbauer sagt mir: „Die Pläne für die laufenden Projekte haben wir ausgedruckt auf den Baustellen. Wir können eine Woche Datenverlust verkraften und bei einem Brand kann die Wiederherstellung zwei Monate dauern, da die Projektleiter ihre Kunden kennen und informieren können.“ Zwei etwa gleich grosse Firmen, aber zwei komplett verschiedene Anforderungen. Die Anforderungen, das daraus folgende Konzept sowie der Notfallplan gehören von der Geschäftsleitung genehmigt und dokumentiert. Sonst hat man im Ernstfall häufig etwas „anders verstanden“.

Du kannst die Binärdaten mit VBS aus dem AD auslesen: Help stuck with VBS AD query that save files from thumbnailphoto into bmp file. it doesn't go threw sub OUs (microsoft.com) Dann die Binärdaten Base64-codieren: encoding - Base64 Encode String in VBScript - Stack Overflow Und diesen String dann als Bild einbetten. Du kannst die Bilder natürlich auch einmalig manuell Base64-codieren und den String dann im AD zum Beispiel unter "customAttribute1" speichern. Dann ist die Pflege etwas aufwendiger, dafür das Script wesentlich einfacher.