mwiederkehr

Zur Authentifizierung hinterlegst Du Deinen öffentlichen Schlüssel auf dem SFTP-Server. Dein privater Schlüssel geht nie zum Server. Das Einloggen funktioniert, indem Du mittels Deines privaten Schlüssels beweist, dass Du es bist. Der Server kann das anhand des hinterlegten öffentlichen Schlüssels prüfen.

Den öffentlichen Schlüssel des Servers benötigst Du, damit das Multifunktionsgerät verifizieren kann, dass es mit dem richtigen Server spricht (vergleichbar mit einem Zertifikat im Browser).

Du musst auf dem Brother also ein Schlüsselpaar erstellen und den öffentlichen Schlüssel dem Anbieter des SFTP-Servers geben. Den öffentlichen Schlüssel des Servers importierst Du auf dem Brother.

Habe folgende Anleitung gefunden: https://techbotch.org/blog/automated-document-scanner/index.html#automated-document-scanner

Für den Umweg über eine Windows-Freigabe könntest Du zum Hochladen rclone verwenden. Entweder alle paar Minuten ausgeführt, gestartet über ein PowerShell-Script, welches Änderungen im Verzeichnis erkennt oder das Serververzeichnis per rclone mount als Laufwerksbuchstaben einbinden. Ich weiss nicht, wie stabil das Mounten funktioniert. Alle paar Minuten die neuen Dateien hochzuladen, wird am einfachsten sein.

Man lizenziert immer physische Cores. Deshalb würde ich vermuten, dass es in der Cloud nicht geht. Da weiss man nicht, wie die CPU-Konfiguration im Host aussieht und ob die VM zwischen Hosts wechselt.

Bei einem physischen Mietserver ginge es. Aber falls ihr Webanwendungen betreibt oder Dienste Dritten zur Verfügung stellt, reichen normale CALs nicht.

Bietet Hetzner kein SPLA an? Das ginge auch für die Cloud und wäre flexibler.

Ich denke, es kommt darauf an, wie das Netzwerk aussieht. Wenn man per VPN nur in ein Zwischennetz kommt, von dem aus nur RDP auf die VDI offen ist, wäre das VPN ein Ersatz für Netscaler/RDS-Gateway. Ich habe Kunden, die sich nach aussen möglichst nicht zeigen und zur Authentifizierung bewusst andere Zugangsdaten als die Windows-Anmeldung haben wollen. Da ist VPN (allenfalls mit erweitertem Client für "Endpoint Security" und MFA) und von dort Zugriff auf VDI/TS eine Möglichkeit.

Wenn man sich per VPN aber direkt ins LAN einwählt (so, wie das zumindest früher üblich war), dann nur mit verwalteten Geräten.

Für eine Umgebung in dieser Grösse sollten 2 Ports pro Server reichen. Darauf einen SET-Switch und je einen vNIC für Management, Cluster und Backup. Cluster und Livemigration würde ich nicht auftrennen.

Mehr NICs gehen natürlich immer, aber ich denke, bei der Grösse wirst Du keine bessere Performance feststellen mit 4 statt 2 NICs pro Server. Andererseits wirst Du wegen der Ausfallsicherheit lieber zwei NICs pro Server haben statt eine mit zwei Ports und 2x 2 Ports sind nicht wesentlich teurer als 2x 1 Port...

Sind die SSDs von Terra unterstützt? Bei Servern von HPE drehen die Lüfter auf voller Leistung, wenn man nicht unterstützte Disks/SSDs einbaut.

Brauchen sollte es die Lüfter meines Erachtens nicht, aber einen wichtigen Server würde ich nicht ausserhalb der Spezifikationen betreiben.

Hier eine schöne Zusammenfassung des Vorfalls: https://dnip.ch/2024/04/02/xz-open-source-ostern-welt-retten/

Der bösartige Code wurde nicht einfach ins Repository eingecheckt. Das kam schon vor, wenn die Zugangsdaten eines Entwicklers gestohlen wurden, aber es wird schnell entdeckt und ist nur sinnvoll bei Paketen, die vollständig automatisiert eingebunden werden (zum Beispiel bei Node.js). Stattdessen wurde der Schadcode in einer "Testdatei" untergebracht und von dort während des Buildvorgangs in den Code eingefügt. Der einzig verdächtig erscheinende Commit ist der mit dem angepassten Makefile-Template.

vor 38 Minuten schrieb magicpeter:

Vielleicht sollte man dafür ein eigenes Netz nutzen?

Ja, aber nicht wegen der Performance. Wie Evgenij erklärt hat, bringen VLANs nur eine Verbesserung der Performance, wenn Broadcasts das Problem sind. Ansonsten ist die Auslastung der Kabel und Switches genau gleich. Wenn man Clients und Server in andere VLANs stellt und eine unterdimensionierte Firewall routen muss, kann die Performance sogar schlechter werden.

Es ist aus Sicherheitsgründen prüfenswert, die Virtualisierungs-Ebene (also Hyper-V und Backup) in ein anderes VLAN zu nehmen, welches aus dem normalen Netzwerk nicht erreichbar ist. Schneller wird das Backup dadurch aber nicht.

vor 20 Minuten schrieb NorbertFe:

Und die anderen? Abgesehen von "Ich will centralized mailtransport" und "Ich brauche ein lokales Relay für Scan to Email" fallen mir grad nicht sehr viele zusätzlich ein.

Ja, es geht auch um SMTP: Scan2Mail mit all seinen Problemen. Von "Gerät unterstützt kein TLS 1.2" bis zu "Gerät wartet nicht auf Antwort auf EHLO, sondern sendet nach kurzer Verzögerung einfach drauflos".

Das EAC ist ein weiterer Grund, das ist bei der Management-Rolle ja leider nicht dabei.

Das Recipient Rate Limit ist eher selten ein Problem. Für den Versand von Newslettern gibt es viele spezialisierte Anbieter. Aber das Message Rate Limit von nur 30 Nachrichten pro Minute hat öfter gestört. Es gibt noch diverse Software, welche E-Mails direkt aus dem Client per SMTP verschickt. Der Versand der Spesenabrechnungen an 100 Mitarbeiter geht dann 3 Minuten, während derer die Anwendung blockiert ist. (Oder sie fällt gleich beim Throttling auf die Fresse, weil der Entwickler SMTP selbst implementiert hat, mit minimalem Funktionsumfang...)

Das Limit ist einer der Gründe, weshalb ich den Kunden empfehle, weiterhin lokal einen Exchange zu betreiben, auch wenn alle Postfächer bei Exchange Online sind.

Ich habe das jeweils so gemacht:

• von Windows erreichbarer Storage per NFS erreichbar gemacht und am ESXi gemountet
• Storage vMotion der VMs auf NFS
• Beginn Wartungsfenster
• VMware Tools deinstalliert
• VM heruntergefahren
• VMDK mit StarWind Converter zu VHDX konvertiert
• VM in Hyper-V eingebunden
• VM gestartet
• virtuelle Hardware bereinigt (devmgr_show_nonpresent_devices=1 und dann im Gerätemanager alles Inaktive gelöscht; ist optional, aber so hat man keine Meldungen bezüglich "diese IP ist schon auf einem anderen Adapter konfiguriert")

Durch den "Trick" mit NFS spart man Downtime, da die VM während des Verschiebens online bleiben kann. Storage vMotion ist zudem schneller als der Export über die VCenter Konsole.

Ich stimme aber Jan zu, dass man V2V nur für Server machen sollte, in die man viel Liebe gesteckt hat. DCs macht man selbstverständlich neu und wenn ich einen Fileserver mit Windows 2016 habe, sage ich dem Kunden, er solle den gleich neu machen, mit aktuellem Windows.

Hast Du Schriftarten installiert im Profil? Du würdest diese unter %LOCALAPPDATA%\Microsoft\Windows\Fonts finden. Wenn Browser eine Schriftart nicht finden (weil die Website diese nicht zur Verfügung stellt und sie nicht installiert ist), nehmen sie einen Ersatz. Es kann gut sein, dass Chrome/Edge den Ersatz an anderen Orten suchen als Firefox.

Ich habe noch nie von solchen Beschädigungen gehört und kann mir nicht vorstellen, wie das passieren soll.

Was aber evtl. gemeint ist: Ein P2V mit Disk2VHD ist "crash-consistant", also wie wenn dem System der Stecker gezogen und es dann geklont würde. (Dank VSS ist es etwas besser, falls die Anwendung es unterstützt, dies aber nur am Rande.) Vor dem Ausführen von Disk2VHD also Dienste wie Datenbanken etc. stoppen, dann sollte es keine Probleme geben.

Die Columns sind die Spalten. Immer links, rechts abwechselnd. Die Leerzeichen als Abstand benötigst Du nicht, für den Abstand sorgt "margin-right".

<div class="container">
  <div class="column">$($PhonedescriptionMobile)</div>
  <div class="column"><a href="tel:123">123</a></div>
  <div class="column">$($PhonedescriptionDirect)</div>
  <div class="column"><a href="tel:456">456</a></div>
  <div class="column">$($PhonedescriptionCentral)</div>
  <div class="column"><a href="tel:789">789</a></div>
</div>

In etwa so sollte es gehen:

<style>
  .container {
  display: flex;
  flex-wrap: wrap;
}

.column {
  flex: 1 1 calc(50% - 10px);
}

.column:not(:nth-child(2n)) {
  margin-right: 20px;
}
</style>

<div class="container">
  <div class="column">Tel</div>
  <div class="column">123</div>
  <div class="column">Mobile</div>
  <div class="column">456</div>
</div>

Besten Dank. Ich musste übrigens den SCP (wie Du empfohlen hast) auf den alten Server setzen. Bei "$null" war das Objekt im AD vorhanden, aber ohne URL. Das hat Outlook auch nicht gepasst.

Werde die Profile in der Registry entfernen. Es geht um ca. 200 User. Da es eine Pflegeinstitution ist, arbeiten da viele Teilzeit und in Schichten 24/7. Zugleich arbeiten sie nicht viel am PC und haben entsprechend wenig Erfahrung damit. Da hat lieber die IT etwas mehr Aufwand, dafür die User dann möglichst nichts zu tun damit.

So richtig unangenehm ist der dritte, neu hinzugekommene Bug: Search error in Outlook cached mode after installing March 2024 SU

Kannst Du den Benutzernamen im Link zur proxy.pac mitgeben? Also https://domain.de/proxy.pac?username=%username%.

Dann kannst Du den Benutzer in der proxy.pac mittels

const urlParams = new URLSearchParams(window.location.search);
const username = urlParams.get('username');

abfragen.

Besten Dank!

vor 11 Stunden schrieb NorbertFe:

Outlook Profil löschen. Dann per Gpo alles konfigurieren, dass der User nur Outlook neu starten muss und ein neues Profil generiert wird.

Profil löschen per Registry oder gibt es einen besseren Weg?

Hallo zusammen

Ein Kunde will von Hosted Exchange (nicht Exchange Online) auf einen eigenen Exchange umsteigen. Ich habe in seiner Domäne einen Exchange installiert und die erste Befürchtung hat sich nicht bewahrheitet: Wenn Benutzer ein konfiguriertes Outlook haben, bleibt das Profil erhalten und stellt nicht wegen des SCP auf den internen Exchange um.

Aber: Bei gemeinsamen Postfächern gibt es bei jedem Start von Outlook ein Autodiscover. Da geht er für diese Postfächer dann auf den internen Exchange.

Ich habe das mit "Set-ClientAccessServer –Identity $servername –AutoDiscoverServiceInternalUri $null" unterbunden. Ginge das eleganter? ("ExcludeScpLookup" per GPO zu setzen, habe ich nicht als eleganter empfunden.)

Wenn die Umstellung dann erledigt ist, was ist die empfohlene Vorgehensweise, um für alle Benutzer Autodiscover zu erzwingen? Die Autodiscover.xml-Cache-Datei löschen? Die OST-Datei wohl auch gleich, denn die passt ja nicht zum neuen Server? Oder ein neues Outlook-Profil erstellen? Ich kann mich diesbezüglich vage an NewProf.exe erinnern, aber das ist sehr lange her.

Besten Dank für eure Tipps!

Sind es OEM-Lizenzen? Dann sind sie soviel ich weiss nicht übertragbar. Lizenzen, die über kostenlose Updates "erworben" wurden, sind meines Wissens an die Hardware gebunden. Wenn man ein Windows 7 kostenlos auf Windows 10 upgraden konnte, gilt die Lizenz für die restliche Lebenszeit des Rechners und nicht für andere Rechner (wo daraus dann ein kostenloses Windows 11 wird etc.).

Baust Du die Rechner selbst? Falls die neuen Geräte mit Windows 11 ausgeliefert werden, gibt es kein Problem mit der Lizenz. Es wird dann die digitale Lizenz des neuen Rechners verwendet, ohne Eingabe eines Keys.

Bei Office kannst Du mehrere Lizenzen zu einem Account hinzufügen. Ich weiss nicht, wie es aktuell aussieht, aber vor ein paar Jahren war das Portal noch unübersichtlich. Man hat nicht gesehen, welche Lizenz auf welchem Rechner aktiv war. Beim Verschieben wusste man somit nicht, welche Lizenz man deaktivieren muss.

Bezüglich Sinnhaftigkeit schliesse ich mich Norbert an: Eine Installation auf Rechnern, die mit Windows 7 ausgeliefert wurden, wird um die zehn Jahre alt sein. Nach meiner Erfahrung braucht man da längst nicht mehr alle installierte Software. Da Du die Rechner ersetzt, kannst Du gut parallel eine neue Installation aufbauen. Allenfalls einem "Power-User" für einige Zeit alten und neuen Rechner gleichzeitig hinstellen mit einem KVM-Switch.

Ich finde "Nextcloud-Server einrichten" nicht zu wenig komplex für 35 Stunden. Bedenke, dass die Dokumentation ungefähr die Hälfte der Zeit beansprucht. Die Dokumentation ist nicht nur IP-Adresse und Passwort, sondern sie soll Deine Überlegungen aufzeigen, wieso Du es so umgesetzt hast. Das ist viel mehr als nur "https://nextcloud.com/install.sh | sudo bash": Eventuell beginnst Du mit der Frage "Weshalb Nextcloud?" Falls das gegeben ist, geht es weiter: Weshalb hast Du Dich für die Distribution XY entschieden (Langzeitsupport, bestehender Einsatz in Firma...)? Wie viele Ressourcen benötigt Dein Server? Wie sieht das Partitionslayout aus? Welche Dateisysteme verwendest Du? Docker oder nicht? Weshalb? Welcher Webserver? Wie spricht der Webserver mit PHP? Welche Datenbank? Wo steht der Server im Netzwerk (DMZ, Hoster)? Performance-Optimierungen (Redis)?

Dann noch eine Dokumentation, wie Updates eingespielt werden und allenfalls eine Kurzanleitung für Benutzer.

Falls die Zeit dann wirklich noch nicht um sein sollte, kannst Du Themen wie Branding, Outlook-Integration etc. anschauen.

Ich sehe immer wieder, dass bei solchen Arbeiten der Dokumentation zu wenig Platz eingeräumt wird. Dabei ist diese essenziell.

Wenn eine digitale Home-Lizenz hinterlegt ist, kommt man mit einem Pro-Key nicht direkt auf Pro. Es heisst dann immer, der Key sei für die falsche Edition.

Man muss zuerst mittels "Produktschlüssel ändern" den generischen Key "VK7JG-NPHTM-C97JM-9MPGT-3V66T" eintragen. Danach hat man Pro, aber natürlich nicht aktiviert. Zur Aktivierung trägt man dann den gekauften Pro-Key ein.

Wenn sie solchen Unfug anstellen, müssen sie sich nicht wundern, wenn die Leute Windows Update deaktivieren... Schon nur der Dialog, Dark Pattern in Reinkultur: "Get it" und "Schedule it" prominent, "Keep Windows 10" versteckt.

Das ist ein falsches Vorgehen, und zwar unabhängig davon, ob Windows 11 gut oder schlecht ist. Rechner mit Windows "Pro" sind zum Arbeiten da, ganz besonders, wenn sie in einer Domäne sind. Da haben keine Meldungen zu erscheinen, die den Benutzer von der Arbeit ablenken. Und der Benutzer hat auch nicht zu entscheiden, welches Betriebssystem installiert werden soll. Wenn man jemanden von Windows 11 (oder OneDrive...) überzeugen muss, dann den Admin.

Unglaublich, zu was für einem unprofessionellen Gebastel Windows mittlerweile gemacht wird. Man stelle sich vor, andere Hersteller von Arbeitsgeräten würden das ähnlich machen. Die CNC-Fräse würde den Bediener plötzlich fragen "Heute ist Valentinstag. Soll ich hinter der Seriennummer ein Herzchen gravieren?"

SPF und DKIM schützen vor gefälschten Absendern, aber nicht vor unerwünschten E-Mails. Insbesondere Phishing-Mails kommen häufig von tadellos konfigurierten Servern. Die Domain ist registriert, das TLS-Zertifikat stimmt, SPF und DKIM sind konfiguriert. Verdächtig (ausser des Inhalts) ist eigentlich nur die brandneue Domain.

Der URL-Filter der FortiGate kann den Zugriff auf neu registrierte Domains blockieren. Mit der Hoffnung, dass Malware-Domains innert einer Woche abgeräumt werden oder auf der normalen Filterliste landen, ist das ein brauchbares Konzept. Ich könnte mir vorstellen, dass man in Zukunft bei Spamfiltern mehr in diese Richtung geht.

Hier gilt leider das Recht des Stärkeren. Kommst Du als kleiner Anbieter auf eine Blacklist, weil einem Kunden im selben IP-Range das Joomla aufgemacht wurde, bekommst Du bestenfalls einen Link, um einen Antrag zur Entfernung von der Blacklist einzureichen. Steht ein grosser Anbieter auf einer RBL, bekommt man bestenfalls eine Liste mit IP-Ranges, die man seiner Ausnahmeliste hinzufügen soll.

Nach Ansicht des (technisch nicht versierten) Kunden, liegt die Schuld keinesfalls beim grossen Anbieter... E-Mail ist kein schönes Geschäft mehr.