magicpeter

Am 28.9.2023 um 02:58 schrieb Nobbyaushb:

Der Xaler ist ein Hyper-Converged Cluster, da brauchst du nichts kopieren

Aber das führt hier zu weit…

Der TerraXaler sichert die Verfügbarkeit Ihrer Daten synchron auf 2 Nodes, welche in einem Raum oder in getrennten Brandabschnitten platziert werden können. Ihre Daten sind sicher – auch beim Ausfall einer kompletten Einheit!

Ja, das verstehe ich und setze ich genauso sein ein. Die VM´s müssen auch hier zwischen den beiden NODES synchronisiert (kopiert) werden.
Das macht bei meiner Lösung Veeam Backup & Replication über eine 10 GBit Verbindung.

Nur denke ich nicht das die VM´s oder die NODES das Problem in diesem Netzwerk sind sonder der Traffic der dort beim Sichern der PC´s generiert wird.

20 PC´s jeden Tag das kann schon einiges an Last auf dem Netzwerk bedeuten oder?

Ich habe jetzt erste einmal alle PC Sicherungen temporär deaktiviert und schaue mir jetzt die Performance der Warenwirtschaft über den Tag verteil an.

Mal schauen wer der Verursacher ist.

Danke dir aber für deinen Input.

Der TERRAXALER sieht sehr interessant aus.
Mal schauen was der kostet.

Was spricht denn gegen Hyper-V und seine Zukunft ? 

vor 2 Stunden schrieb Nobbyaushb:

Der Kunde braucht einen Terra Xaler

Im Grunde ist das genau das was ich dort einsetze.

Die NAS dient nur zur Datensicherung und hält NICHT die VMs.

Meine System sind schon immer Hyperkonvergent.
Computing-, Storage- und Virtualisierungsressourcen nahtlos in einem einzigen System integriert.

 

vor einer Stunde schrieb Nobbyaushb:

Ich fange mal oben an

- warum werden VM jede Stunde gesichert/Repliziert und dann noch auf das QNAP NAS geschrieben?

Moin Norbert,

damit man wenn der Produktivserver ausfällt auf dem Backupserver weiterarbeiten kann und maximal 1 Stunde nacharbeiten muss.
Würde mann die Replication & Sicherung nur alle 3 0der 6 Stunden machen wäre das viel Arbeit alles nachzuerfassen.

vor einer Stunde schrieb Nobbyaushb:

(Anmerkung von mir - QNAP ist per se kein Rennwagen - ich bevorzuge Synology (oder ähnliches...)

Ja, das stimmt sicherlich, aber es reicht für eine Datensicherung und dann noch per 10 GBit sicherlich aus ;) 
OK, irgendwann ist die QNAP auch an Ihrem Limit und es sieht jetzt fast so aus.

vor einer Stunde schrieb Nobbyaushb:

- Warum sichert mal PC´s - und dann auch noch währen der Arbeitszeit?

das macht man Nachts, Wake-On-Lan nachdem man die Updates vom WSUS bekommen hat

PC´s sichert man um sie wiederherstellen zu können. Klar reicht dafür auch eine Datensicherung pro Woche oder Monat.

Ich werde das umstellen.

vor einer Stunde schrieb Nobbyaushb:

- Ja und ja

 

Hast du mal einen Wireshark oder ähnliches zu der Zeit laufen lassen?

Nein, noch nicht. Mit Wireshark habe ich mich noch nicht beschäftig, da ich noch solche Probleme gehabt haben.

Aber jetzt würde das echt Sinn machen.
Wireshark ich kommen. ;) 

Hast du eine Ahnung wie man diese Netzwerklast mit Wireshark analysieren kann?

vor einer Stunde schrieb Nobbyaushb:

 

Ich würde das Backup-Konzept überarbeiten - man braucht ein Wiederhestellungs-Szenario, daraus entsteht eine Backup-Strategie

Ja, ich denke das sollte ich mal machen.

Besten Dank.

vor 40 Minuten schrieb mwiederkehr:

Die Clients haben nicht zufällig einen öffentlichen DNS als zweiten Server eingetragen?

Nein, es sind nur die beide DNS Server unseres Netzwerks per DHCP eingetragen.

Aber danke dir für deine Hilfe.

Moin,

wie betreuen ein kleines Netzwerk mit

2 x Hyper-V (Windows 2019 Std.) und 6 VM´s (Windows 2019 Std.) eine NAS und 20 PC mit Windows 10

Ein Hyper-V ist der Produktivserver und der andere Hyper-V ist der Backupserver.

Die VM´s werden täglich jede Stunde per Veeam Backup & Replication auf den Backupserver repliziert und die NAS gesichert.

Die PC´s werden jeden Tag zwischen 12 und 14 Uhr auf die NAS per Veeam Backup Agent gesichert.

Hyper-V Serverausstattung


Supermicro Mainboard X11SPi-TF                                                                           
CPU 1 x Intel XEON Silver 4214R (12 Kerne, 2,4 GHz, 24 Logische Prozessoren)
Raid OnBoard Intel® C622 Chipsatz
Performance-Speicher: 8 TB SSD - Raid 1
SAN-Speicher:  8 TB HDD - Raid 1
Hauptspeicher: 256 GB (8x32 GB DDR4-3200, ECC Reg) 
Netzwerkkarten: 2 x 1 GB Broadcom 5720 Dual Port, 2 x 10 GB Intel X722, 1 x IPMI Port 


Redundante Stromversorgung: 2 x 400W


NAS

Model    QNAP TS-431XU
Dienste    Backupserver für VM´s und PC´s
Hardware    4 x 8 TB HDD (Raid5)
Speicher    20 TB / Netto

Netzwerkport 10 GB

Server und NAS sind mit einem 10 GBit Switch verbunden. Daran ist ein 32 Port 1 GBit Switch angeschlossen an dem die PC und Drucker verbunden sind.

Das Problem was immer wieder auftritt ist, das mache PC´s Mittags nur sehr langsam mit der Warenwirtschaft arbeiten können.

Für die Warenwirtschaft gibt es einen MS SQL Server der in einer eigenen VM lebt ;) 

Dienste    SQL-Server 2019    
Server-OS    Windows 2019 Std.
vResourcen    Generation 2, 36 GB RAM, 2 vCPU, LAN: Port5-10GB-VMs

Wenn man aber direkt auf den SQL-Server oder RDS-Server geht funktioniert alles sehr schnell.

Es scheint ein Problem im Netzwerk zu sein.

Könnte es sein, das die Veeam Backups der PC´s die Netzwerkperformance so runterziehen, das die Antworten des SQL-Servers verzögert werden?

Ich werde jetzt als erstes einmal das Veeam Backup der PC´s deaktivieren.

Hat jemand sonst noch eine Idee?

vor einer Stunde schrieb testperson:

Hi,

 

C:\Windows\System32\cscript.exe "C:\Program Files (x86)\Microsoft Office\Office16\OSPP.VBS" /inpkey:<dein Produktkey>
C:\Windows\System32\cscript.exe "C:\Program Files (x86)\Microsoft Office\Office16\OSPP.VBS" /act

das dürfte mit deinem Lizenztyp aber nicht funktionieren, da du AFAIK keinen Schlüssel hast.

Moin Jan,

danke für deinen Input.

Ja, das habe ich auch schon ausprobiert, aber das geht halt nur mit einer Volumenlizenz. Die hat der Kunde natürlich nicht. ;) 

Ich hatte verschiedene Seiten gefunden die das ganz gut erklären.

https://www.its-farin.de/microsoft-office-key-andern-aktivieren-per-cmd/

vor einer Stunde schrieb testperson:

 

Ich meine mich daran zu erinnern, dass es noch nie empfohlen (oder supportet?) war, mehrere Office Lizenzen in ein und demselben Konto zu registrieren. Die Frage wäre auch, was das für ein Konto (privates Microsoft Konto / Microsoft Business Konto) ist, wo die Lizenzen liegen.

Ich denke es ist ein privates Microsoft Konto.

Der Login funktioniert über https://login.live.com/

vor einer Stunde schrieb testperson:

 

Die einfachste / sinnvollste Lösung wäre vermutlich, die Business Basic Lizenzen auf Standard upzugraden und das Office Paket daraus zu nutzen. Alternativ einen Case bei Microsoft aufmachen.

Ja, das denke ich auch.

Ich habe jetzt einmal ein Support-Ticket bei Microsoft aufgemacht.

Mal schauen was da zurück kommt.

vor einer Stunde schrieb testperson:

 

Gruß

Jan

Gibt es eine Möglichkeit Office 2021 per CMD bei Microsoft zu aktivieren?

Hat denn keiner dieses Problem jemals gehabt?

Moin,

wir haben einen Kunden der hat über sein Microsoft Konto info@ mehrere Office Einmallizenzen registriert.

Wir konnten früher immer uns in der Microsoft Konto anmelden und die entsprechende Lizenz / Installation runterladen und installieren.

Hat super geklappt.

Was Ihr noch wissen müssen der Kunde hat auch 5 Microsoft 365 Business Basic Lizenzen für seine E-Mail Adressen.

Wenn ich jetzt versuche das Office 2021 zu aktivieren klappt das nicht weil Office die E-Mail Adresse gegen die Microsoft 365 Konten prüft und da gibt es natürlich keine Lizenz für die Office 2021 App.

Wie kann ich jetzt dem Office sagen, aktiviere das Programm jetzt über das Microsoft Konto wo die Lizenzen registriert sind.

Ja, ich habe es auch auch mit dem Produktkey probiert, das geht leider auch nicht. Wir genommen aber die Aktivierung wird nicht durchgeführt.

Sieht aus also ob Microsoft da irgendwie durcheinander kommt.

Wäre für jeden Tipp dankbar.

vor einer Stunde schrieb testperson:

 

Ist AFAIK eine Conditional Access Policy, die dich da aussperrt.

Danke, konnte das Problem jetzt lösen.

Habe mich auf den Server beim Kunden in Aachen geschaltet und dort die Seite aufgerufen.

Dort funktionierte das sofort und musste dann die 2 FA mit den Authenticator einrichten.

Jetzt geht alles.

Moin,

ich verwalte für meine Kunden auch die Office 365 Konto und komme nicht mehr in das Hauptkonto rein.

https://login.microsoftonline.com
Login: info@xxxxxxxxx.de
Passwort: xxxxxx

Dann erscheint nur noch die Meldung

Kennzeichnung aktivieren habe ich auch schon gemacht hat aber nichts gebracht.

Wo liegt hier das Problem?

Der Kunde selber hat an dem Konto keine Änderungen durchgeführt.

Das E-Mail Konto funktioniert noch einwandfrei.

Ich komme halt nur nicht mehr in die Verwaltungsoberfläche dieses einen Kontos.

In alle andren Konten komme ich noch rein.

Das nutzt mir leider nicht so viel weil ich da natürlich nicht die Verwaltungstools habe. ;) 

Hat das schon einmal jemand gehabt und gelöst?

vor 2 Stunden schrieb NorbertFe:

Kann exchange gar nicht, ist also überflüssig.

vor 2 Minuten schrieb Squire:

für was denn IMAP? Du hast nen Outlook Client und einen Exchange... die quatschen normalerweise über MAPI

Ja, ich hatte einfach einmal alle Dienste zum Exchange aktiviert die mir so einfielen. 

Sind ja jetzt alle wieder deaktiviert und alles läuft.

Moin konnte gerade das Problem lösen.

Ich hatte vergessen zu sagen das der Exchange Server von aussen nur per VPN-Tunnel erreichbar ist und somit OWA und ECP nicht einfach so funktionieren.

Der Exchange Server hat nur den Port 25 in de DMZ sonst nix. Das hätte ich vielleicht sagen sollen. Sorry.

Ich habe jetzt für die Einrichtung des neuen E-Mail Konto in Outlook die Dienste HTTPS, SMTP Sub, SMTPs, IMAP4, IMAP4S in die DMZ des Exchange Server aktiviert.

Dann hat die Einrichtung funktioniert.

Danke für euere Unterstützung.

vor 22 Minuten schrieb testperson:

Hi,

 

 

du sprichst hier vermutlich von DNS. Kennt denn die Firewall die DNS Zonen der AD Domain und forwarded diese sauber?

• Wenn "Ja": Prüfen, ob dem wirklich so ist
• Wenn "Nein": Zweiten DNS "SDC" aus der Konfiguration entfernen

Machen die Firewalls eine SSL Inspection o.ä.? Dann testweise mal komplett deaktivieren bzw. wenn möglich Ausnahmen konfigurieren.

 

Autodiscover funktioniert ebenfalls korrekt? Wenn nein, sauber konfigurieren und erneut testen. Ggfs. folgendes prüfen: Unexpected Autodiscover behavior if settings under the \Autodiscover key - Outlook | Microsoft Learn

 

Gruß

Jan

Danke dir. ich werde das prüfen und bescheid geben.

vor 18 Minuten schrieb NorbertFe:

 

Wirklich?

Ja

Moin, ich hatte gestern beim Kunden ein Problem.

Einrichtung Outlook mit dem neuen Benutzer / E-Mail funktioniert nicht.

Umgebung:

Hauptstandort und Lager sind per IPSEC VPN-Tunnel verbunden. 

Folgende Ports sind geöffnet:

443/TCP, 80/TCP, 143/TCP, 993/TCP. 110/TCP, 587/TCP, 587/TCP, 25/TCP, 53/UDP/TCP, 3389/TCP, 9100/TCP

Hauptstandort:

Netzwerk: 192.168.30.x / 255.255.255.0

Server: HyperV 2019 mit 4 VM´s (DC, Exchange 2019, SQL, RDS) alle VM´s laufen auf Windows 2019.

Firewall:  Lancom UF260 mit VPN-Tunnel

Update: Alles auf dem neueste Stand auch Exchange

Server laufen zuverlässig, alle können in dem Hauptstandort und im Lager arbeiten.

Standort Lager:

Netzwerk: 192.168.130.x / 255.255.255.0

Firewall:  Lancom UF260 mit VPN-Tunnel

PC´s nutzen den DC des Hauptstandort als PDC und die Firewall als SDC und als Gateway.

2 PC´s Windows 10 Prof die bereits an den Hauptstandort angebunden sind. Outlook ist eingerichtet und funktioniert auch einwandfrei.

Jetzt wurde ein neuer Benutzer auf dem DC und dem Exchange angelegt und sollte im Lager eingerichtet werden.

Benutzer wurde korrekt in Windows 10 an dem PC eingerichtet und es hat auch funktioniert. Verbindung zu den 4 VM´s sind möglich.

Auf dem RDS kann gearbeitet werden. Auf der RDS Sitzung ist das Outlook mit den neuen Benutzer eingerichtet und funktioniert auch.

Nur eben die Lokale Outlook Einrichtung über die VPN-Tunnel funktioniert nicht auf dem PC.

Einrichtung Outlook mit dem neuen Benutzer / E-Mail funktioniert nicht.

Habe es über die E-Mail und auch mit Benutzer@Domain.local probiert.

Update: Hier noch die Fehlermeldung:

 

Anmelden beim eingehenden (IMAP)-Server nicht möglich. Überprüfen Sie Ihre E-Mail Adresse und das Kennwort.

(E-Mail Adresse und Kennwort sind richtig ;) )

In der Hosts-Datei an den PC´s habe ich die Server noch mal zur Sicherheit mit IP und Hostnamen eingetragen.

Alles noch mal kontrolliert stimmt auch alles.

Hat jemand eine Idee woran das liegen könnte?

Habe ich irgendwelche Ports vergessen die Outlook für die Einrichtung benötigt?

Weil es läuft ja mit den Benutzern einwandfrei.
Danke euch.

Gerade eben schrieb BroBias:

Hrhr, wer hat nun das letzte Wort

 

Hach, da kommen schöne  Erinnerungen hoch. Zum Verständnis: Hab mich sicher seit 12-15 Jahren in keinen Foren mehr bewegt und beginne es grad dank euch wieder zu genießen

Ja, hier ist immer eine ganz lockere Atmosphäre  (Aber man muss bei Thema bleiben)

vor 1 Minute schrieb NorbertFe:

Richtig, aber das war nun mal Thema dieses Threads. ;)

So ist es und damit hat der Thread wieder für sehr viel Frohsinn und Informationen gesorgt. 
Mal schauen wer noch was dazu zu sagen hat.

vor 1 Minute schrieb BroBias:

Ach komm xD 
Der Empfänger sieht ein Logo an der Mail, erinnert sich an seine IT die gesagt hat "wenn Logo da, dann gut" und das ist es. Wie würde ein Empfänger ernsthaft verifizieren, ob das cert zum Logo passt ? ^^

So ist es...

vor 2 Minuten schrieb BroBias:

Aye, klaro, wo nun registriert ist weitestgehend unerheblich, war nur ein Beispiel.
Ja, würde es dem Kunden generell angezeigt, ok. Sehe einfach den zusätzlichen Vorteil nicht, wenn sonst alle authentication Mechanismen entsprechend sauber sind. Die Aufmerksamkeit auf Kundenseite ... weiß ned ob wirklich relevant. Ist meinerseits eher ein Gefühl basierend auf Erfahrung wie Anwender mit Mails umgehen ^^

 

Ich würde sagen, hauptsächlich den, der dein Logo dann Fälschen wird um mit Phish-Stuff deine Kunden oder deren Kunden zu beglücken ;)

 

Auch mit Blick auf die Kosten ist das wieder eher etwas für "größeren" Unternehmen (gemessen am Umsatz) / Konzerne, m.E.
Wenn ich es korrekt verstehe, holt man sich für eine bestimmte Version des Logos ein VMC cert (1,5k / Jahr). In aller Regel gibt es aber versch. Varianten des Logs, was die Kosten schnell multipliziert. Woher soll jetzt auch der EMail-Empfänger wissen, welche Version des Logos das geschützte ist. Wenn ich also Fälschungen generell vermeiden will, muss ich alle Varianten zertifizieren lassen. 
Nice idea, aber für mich eher ein "nice2have" Thema wenn sonst gar nichts mehr anderes zu tun wäre

So sehe ich das auch. Wenn ein Betrüger ein Logo brauche holt er sich das von der Homepage und baut es in die gefälschte E-Mail ein und gut ist.
Warum da jetzt noch 1.500$ für ein Zertifikat anfallen kann ich nicht wirklich verstehen. Es wäre nice das Logo in der E-Mail zu haben aber für 1.500$ macht das glaube ich keine meiner Kunden.  Ich werde es einmal ohne Zertifikat einbauen und schauen wie es läuft.

Schade, das man ein teueres Zertifikat braucht macht die ganze Sache dann doch wieder etwas uninteressanter...

Grundpreis für ein VMC = $1,499.00 USD pro Jahr
 

"Das Verified Mark Certificate (VMC) ist ein optionales digitales Zertifikat, das Ihre Domain als Eigentümer des Logos authentifiziert. Obwohl es optional ist, wird es von den meisten Posteingangsanbietern verlangt. Wenn VMC nicht verfügbar ist, muss das "a"-Attribut im BIMI-Eintrag entweder verworfen oder auf "a=self" gesetzt werden.

VMC ist unerlässlich für Organisationen, die ihre digitale Präsenz und Online-Reputation verbessern und ihre Marke als zuverlässig und erstklassig etablieren wollen. Eine Kombination aus BIMI und VMC beruhigt die Gemüter Ihrer Kunden und gibt ihnen Vertrauen und Sicherheit bei der Beantwortung Ihrer E-Mails."
Quelle: https://powerdmarc.com/de/ihr-kompletter-leitfaden-für-bimi/

Gerade eben schrieb NorbertFe:

Den der dir da VMC ausstellen soll und dem du dafür ca. 1000€ pro Jahr zahlen wirst.

Aha, jetzt wird es interessant.
 

vor 21 Minuten schrieb BroBias:

-> https://www.wbs.legal/markenrecht/markenschutz/logo-schutz/#:~:text=Durch eine Wort-%2FBildmarke,beim Deutschen Patent- und Markenamt.

 

Wesentlicher Satz hier :

• Die Anmeldung erfolgt beim Deutschen Patent- und Markenamt.

 

Sonst ist es kein geschütztes Logo. Macht imo nur dann wirklich Sinn. Unseres ist zwar geschützt, aber hab momentan 0 Kappa das umzusetzen ^^

Davon abgesehen finde ich, ist es eher für Marketing bzw. MassMailing-Zwecke relevant und dadurch evtl. erhöhte Reputation bei empfangenden Mailsystemen. Das wird allerdings noch etwas dauern, bis sich das etabliert hat (oder bis dahin wieder durch was anderes ersetzt wird ^^).

Ja, gut aber dann ist es eben kein geschütztes Logo. Wen interessiert das?

Ich denke auch das BIMI für Marketingzwecke wichtig sein kann.
Die Einrichtung ist ja relativ einfach.

Mal schauen ob ich das mal testweise umsetze.

vor 10 Minuten schrieb NorbertFe:

Darf auch bei der EU registriert sein, wenns um BIMI geht (afaik).

Das kommt sicherlich dazu, aber grundsätzlich wäre ja das Logo auch für die "normale" Mailkommunikation verfügbar und würde also euren Kunden generell angezeigt (so die einen Client verwenden der das unterstützt), oder überseh ich hier was?

Warum bist du denn so fixiert auf ein registriertes Logo? 
 

vor 2 Minuten schrieb NorbertFe:

Da ich hier ja mit Messern gezwungen werde erstmal eine Rückfrage:

Hast du ein geschütztes Logo?

Wie geschützt sollte es denn sein? 
Alle Firmen die wir betreuen haben ein Logo. 
Es sind Personengesellschaften, GmbH´s und AG´s

Moin, 
was haltet Ihr von BIMI(Brand Indicators for Message Identification)?

Microsoft macht ja noch nicht mit, aber viele Andere.
 

vor 33 Minuten schrieb BroBias:

Hm, das liest sich schon alles beinahe wie einstudiert zur Unterhaltung der Forenmitglieder ...  

 Ein bißchen Comedy ist doch immer dabei..... Ein bißchen Spaß muss sein... dann kommt die Antwort von ganz allein...

vor 33 Minuten schrieb BroBias:

Ich war bisher mit DMARCAnalyzer von mimecast unterwegs (auch schon bevor es an mimecast verkauft wurde) und heutzutage mit Dmarcian. Beides gute Tools, Unterschiede eigentlich nur im Bereich Compliance (also bspw. DSGVO-relevante Hosting/DatainTransit Themen) oder halt Vorlieben was Handling und Anwenderfunktionenen angeht.

 

Je nach Größe und Komplexität der zu überwachenden Domains oder/und zum Senden legitimierter Systeme, wirst du auch lange nachdem die Policy auf Reject gesetzt wurde froh sein um deine Berichte. Auch um vernünftiges Anti-Phishing zuz betreiben sind diese wertvoll, weil du sonst Schwierigkeiten haben wirst phishing campaigns unter Verwendung deiner domains auszumachen. Leider gibt es immernoch viel zu viele Anbieter bzw. Endpoints, die keine DMARC-Validierung machen, oder könnten es aber ihren unversierten Kunden überlassen das zu aktivieren.
Davon abgesehen kannst du so z.B. auch Fehler in zum Senden legitimierten Systemen leicht entdecken. Wenn ich Zeit hätte länger drüber nachzudenken würden mir sicherlich noch weitere Gründe einfallen.

Tatsache ist aber auch, dass ich seit ich alles "DMARC - betreffende" hier beim neuen AG glatt gezogen hab, vllt einmal im Quartal reinschaue. Nichts desto trotz erübrigt das das DMARC Monitoring selbstverständlich nicht. 

Danke dir für deine ausführliche und informative Antwort.
Ich werde mir deine Anbieter einmal anschauen.

Hat mir sehr geholfen.