mwiederkehr

Du kannst OpenVPN als Dienst installieren. Dann wird der Tunnel aufgebaut, wenn der Dienst gestartet wird. Allerdings gibt es noch keine Integration in den Anmeldebildschirm dafür. Du müsstest die Zugangsdaten also in einer Datei hinterlegen (lesbar für Dienstbenutzer reicht zwar, aber unter Umständen will man das trotzdem nicht). Ansonsten bleibt wohl nur eine proprietäre Lösung: WatchGuard kann "connect before login" (aber nur mit IPSec, nicht mit SSL), Cisco soll es auch können.

Im Süden ist es auf dem Land auch nicht so toll, aber für ein paar User mit RDP reicht es meist. Im Zweifelsfall zwei Leitungen nehmen, RDP über die erste, Drucken und Scannen über die zweite. Bezüglich Verfügbarkeit hat die Swisscom seit einiger Zeit ein interessantes Konzept: beim DSL für Geschäftskunden gibt es einen 4G-Stick für den (Zwangs-)Router. Fällt DSL aus, schaltet der Router innert kurzer Zeit auf 4G um. Man behält damit sogar seine fixe IP-Adresse.

Du solltest von der anderen Seite her denken: nicht "ich habe DC, Exchange etc.", sondern "welche Anwendungen benötigt mein Kunde?". Der Server (falls er notwendig ist) ist dann nur Mittel zum Zweck (um die Software auszuführen oder die Daten zu speichern). Nimmt man statt Hardware vor Ort vielleicht besser einen Cloud-Server? Gibt es die benötigte Software schon als Cloud-Lösung und für E-Mail und Daten nimmt man Office 365? Einfach mal mit DC, File- und Printserver anzufangen hat man früher gemacht, aber heute gibt es ja mehr Möglichkeiten.

Ja, genau das hatten wir mit unserem ersten Terminalserver mit Windows 2016. Seit ca. einem halben Jahr ist es nicht mehr aufgetreten. Wurde wohl mit einem Update behoben. Genaueres müsste ich nachfragen, habe mich nur am Rand damit befasst.

Das funktioniert grundsätzlich gut. Wie es mit Drucker- und Laufwerkmapping und RemoteFX aussieht, weiss ich nicht. Zudem hat man keinen Support und keine Verwaltungslösung. Es gibt von IGEL einen bootfähigen USB-Stick, welcher alte Rechner in ThinClients verwandelt: https://www.igel.de/produkte-hardware/igel-ud-pocket-universal-desktop-thin-client/. Damit hat man eine supportete und verwaltbare Umgebung.

Bei meinen Kunden werden die Benutzer so weit wie möglich von Konfigurationsarbeiten entlastet. Die Drucker werden automatisch verbunden, die Signatur eingestellt etc. Vor der Einführung neuer Software wird eine firmenspezifische Dokumentation erstellt und in Gruppen geschult. Für kleinere Sachen wie "Abwesenheitsassistent einrichten" gibt es Anleitungen im Intranet. Vieles wird aber bei Bedarf ohne zu Murren von Power-Usern oder dem Azubi im First-Level-Support erledigt. Die Mitarbeiter, die OOF nicht selbst einrichten können, sind meist ältere Semester (mit entsprechendem Gehalt). Da ist es sowohl für den Arbeitnehmer angenehmer wie auch für die Firma günstiger, wenn Anpassungen schnell vom Support vorgenommen werden, statt dass sich der Arbeitnehmer eine halbe Stunde lang abmüht. (Das gilt auch für Sachen wie die Erstellung von Präsentationen: es ist effizienter, wenn der Geschäftsführer den Inhalt auf Papier skizziert und die Lehrtochter auf dem Sekretariat dann eine Präsentation daraus bastelt, anstatt wenn man ihn tageweise auf PowerPoint schulen würde.)

Du schreibst, Du hättest den Client neu installiert und auf die aktuelle Version aktualisiert. Das heisst installiert mit 1709, dann aktualisiert auf 1803? Hatte das Problem auf zwei Clients. Jeweils nach dem Update von 1709 auf 1803. Bei beiden war ein HP Multifunktionsdrucker installiert. Bei mir hat geholfen, alle Drucker über die Druckverwaltung zu löschen, den Spooler neu zu starten und dann die Drucker über die "neue" Oberfläche wieder zu installieren.

Das wäre mir jetzt nicht aufgefallen. Wenn man "entire computer" auswählt, wird alles gesichert. Bei "Volume level backup" nimmt er standardmässig auch die versteckten Partitionen, wenn man C: auswählt. Aber es kann nicht schaden, den Haken zu setzen und die Auswahl zu verifizieren.

Der Konfigurationsassistent ist etwas ungünstig gestaltet an der Stelle. Gelöscht werden alte Backups jeweils nach einer Sicherung. Sicherst Du nur einmalig, wird nicht nach 14 Tagen automatisch das einzige Backup gelöscht. Du kannst einfach eine Sicherung manuell starten und zur Sicherheit danach den Speicherort umstellen.

Du kannst das Verhalten des Keyloggers ja ändern, damit er nicht erst auf Ctrl-C reagiert. Aber jetzt wo wir wissen, was Du eigentlich machen möchtest, ist es einfacher. Du kannst direkt bei Änderungen in der Zwischenablage benachrichtigt werden: https://mnaoumov.wordpress.com/2013/08/31/cpowershell-clipboard-watcher/ Das funktioniert dann auch, wenn ein Benutzer etwas über das Kontextmenü in die Zwischenablage kopiert.

Das wird nicht einfach. Es gibt zur Registrierung eines globalen Hotkeys keine Funktion in PowerShell. Man könnte evtl. C#-Code einbinden: https://www.fluxbytes.com/csharp/how-to-register-a-global-hotkey-for-your-application-in-c/ Aber das wird dann schnell unübersichtlich. Oder man fängt (wie bei einem Keylogger) wirklich alle Tastaturanschläge mit und reagiert, wenn die gewünschte Kombination kommt: https://www.tarlogic.com/en/blog/how-to-create-keylogger-in-powershell/ Ich habe das Gefühl, dass dieses Vorgehen recht viel CPU verbrät im Hintergrund. Man könnte parallel ein AutoIt-Script laufen lassen. AutoIt unterstützt globale Hotkeys: https://www.autoitscript.com/site/autoit/ Dieses könnte bei Drücken der Tastenkombination dann entweder den PowerShell-Prozess killen oder eine Datei anlegen, deren Existenz das Script prüft und sich dann beendet. Vernünftiger wäre es wohl, das Tool gleich in C# zu schreiben.

Die korrekte Methode scheint nicht "SaveAs2" zu sein, sondern "ExportAsFixedFormat": https://msdn.microsoft.com/en-us/vba/word-vba/articles/document-exportasfixedformat-method-word Dort den Parameter "UseISO19005_1" auf true setzen.

Man könnte überlegen, den Server auf Hyper-V virtuell zu betreiben. Dann könnte man einen zweiten Server kaufen und die VM replizieren (Hyper-V Replica). So hätte man ein Replikat mit im Notfall nur wenigen Minuten Datenverlust. Mit Azure Site Recovery könnte man den Server (auch ohne ihn zu virtualisieren) nach Azure replizieren. Da fällt die zweite Hardware weg, die Daten wären extern gespeichert, aber dafür ist die Einrichtung komplizierter (VPN einrichten etc.). Oder auf einem Client Windows 10 installieren, den Hyper-V aktivieren und vom Server jede Nacht ein "Backup" mit disk2vhd machen, welches man dann im Hyper-V starten könnte. Da sind wir dann aber in der Bastelecke...

Du hast es tatsächlich nicht einfach... Was mir noch einfällt bezüglich Finanzierung: wenn ihr die Mittel nicht auf einmal habt bzw. bekommt, wäre evtl. ein Leasing eine Option. HP bietet das zum Beispiel an ("HP Financial Services"). Wenn man die Lizenzen als ROK kauft, kann man sie auch in die Finanzierung nehmen. Von meinen Kunden hat das erst einer gewünscht, habe also keine grosse Erfahrung damit. Aber der Zinssatz war recht attraktiv. Vielleicht kommt das der Geschäftsführung entgegen, dann hätten sie konstante Ausgaben statt jetzt viel auf einmal.

Ich rate davon ab, aus Kostengründen jetzt noch W2k8R2 zu installieren. Anfang 2020 ist der End of Life und spätestens dann habt ihr den Installationsaufwand nochmals. Ich würde dem Chef das versuchen zu erklären, um eine Beschaffung der Lizenzen auch ausserhalb des Budgets zu ermöglichen.

"The operation has timed out" heisst wahrscheinlich "Mailserver hat nicht reagiert". Stimmt der Server und der Port? Funktioniert der Zugriff mit Telnet? Wie lange dauert es, bis "220 server xy ready" kommt?

Das AD ist sehr vereinfacht gesagt eine Datenbank, welche Benutzer und Gruppen enthält. Anwendungen wie Windows oder Exchange führen Authentifizierungen über das AD aus. Dabei wird das AD immer vom Dienst, an welchem man sich anmeldet, kontaktiert, nicht vom Client direkt. Wenn sich also jemand am OWA vom Exchange anmeldet, kontaktiert der Exchange das AD, nicht der Browser vom Client. Deshalb muss das AD von aussen nicht erreichbar sein. Auf der Firewall musst Du nichts von innen nach aussen blockieren, das AD baut nicht selbst Verbindungen zu irgendwelchen Servern im Internet auf.

Dazu passt der Spruch "soziale Probleme lassen sich nicht mit Technik lösen". Sprich: wenn es Leute gibt, die während der Arbeitszeit spielen, bringt ein Filter nicht viel. Die kommen dann mit einem portablen Browser oder kopieren die Flash-Games direkt auf den Stick. Oder machen lange WC-Pausen mit dem Smartphone... Wir hatten das mal mit einem Lehrling. Der hat alle technischen Sperren jeweils als Herausforderung gesehen. Geholfen hat dann ein Gespräch mit seinen Eltern über Konsequenzen, Abschlussprüfung etc. Filter sehe ich eher als Schutzmassnahme gegen Schadsoftware oder um zu verhindern, dass Kinder auf ungeeignete Seiten kommen, aber nicht als Schutz gegen Surfen während der Arbeitszeit.

Die Daten sind in solchen Fällen meist nicht das Problem, sondern das der Server für Spamversand etc. missbraucht wird. Aber ich denke, auch mit einem Hyper-V in der Grundkonfiguration hat man kein gravierendes Sicherheitsproblem, wenn das Administrator-Passwort gut genug ist. Das Wiki von Hetzner bietet viele Konfigurationsanleitungen, darunter auch solche für Hyper-V: https://wiki.hetzner.de/index.php/Windows_Server_Subnet https://wiki.hetzner.de/index.php/Windows_Server_HyperV

Wenn Du einzelne IP-Adressen bestellst, bekommst Du diese auf eine MAC-Adresse zugewiesen. Du kannst dann einer VM diese MAC-Adresse zuweisen und sie bekommt per DHCP direkt die entsprechende öffentliche IP. Wenn Du ein ganzes Subnet bestellst, wird dieses auf die Haupt-IP Deines Servers geroutet. Du müsstest im Windows also Routing aktivieren und einen zweiten vSwitch erstellen, an welchem die VMs dann hängen. Die VMs haben dann direkt öffentliche IPs und den Host als Gateway. Beide Konfigurationen schliessen die Verwendung einer Firewall-VM nicht aus. Dazu würde ich aus diversen Gründen auch raten: Sicherheit, VPN, je nachdem Ersparnis von IP-Adressen...

Was soll denn gesperrt werden? Für eine dynamische Sperre von "bösen" Seiten kommst Du um einen Proxy mit regelmässig aktualisierter Filterliste nicht herum. Soll alles bis auf einzelne Seiten gesperrt werden, ginge es über Gruppenrichtlinien: 127.0.0.1 als Proxy eintragen und die erlaubten Seite als Ausnahme. Dann natürlich die Proxy-Einstellungen für die Benutzer sperren und dafür sorgen, dass sie nicht einfach einen Portable Firefox auf dem USB-Stick mitbringen.

Bist Du per F12 ins BIOS? Es geht anscheinend nur über F10. Nach dem Speichern der Einstellungen sollte beim nächsten Neustart eine vierstellige Zufallszahl angezeigt werden, die man eingeben muss. Dies zur Prüfung, dass wirklich jemand am Rechner die Einstellung vorgenommen hat. Wenn man mit F12 das Menü aufruft und darüber ins BIOS geht, wird die Zahl anscheinend nicht angezeigt.

Früher wurde in Computermagazinen der "Geheimtipp" rumgeboten, man solle die Aktivierung sichern und nach der Neuinstallation wiederherstellen. Ich weiss nicht, ob das jemals funktioniert hat. Nötig ist es auf jeden Fall nicht. Ich hatte noch nie Probleme durch erschöpfte Aktivierungskontingente durch Neuinstallationen auf der gleichen Hardware.

Bei dieser Anzahl Switches und Clients lohnt sich Stacking eigentlich nur, wenn die Switches routen. Ich würde nicht Stacken, aber Modelle mit SFP+-Ports nehmen. Dann kannst Du die Uplinks mit 10 Gig-DACs machen. Das ist eine recht günstige und trotzdem schnelle Lösung.

Der fehlende Schlüssel bedeutet, dass Du nicht den Private Key des Zertifikats importiert hast, sondern nur den Public Key. Für die Authentifizierung werden jedoch beide Schlüssel benötigt. Achte beim Export darauf, dass beide Schlüssel exportiert werden. (Die Datei sollte die Endung "pfx" haben, nicht "cer" oder "pem".)