Jump to content

mwiederkehr

Expert Member
  • Posts

    1,194
  • Joined

  • Last visited

Everything posted by mwiederkehr

  1. Wenn der Dienstleister eine Abnahmeprozedur kennt und gleichzeitig nicht innert nützlicher Frist jemanden zur Neuinstallation stellen kann, halte ich es für möglich. Wenn jedoch ein Angebot zur zeitnahen Neuinstallation vorliegt und der Kunde "zu teuer, machen wir selbst" findet, dann eher weniger.
  2. Falls das Upgrade funktioniert, lasst die Anwendungen von den externen Dienstleistern abnehmen, bevor ihr produktiv damit arbeitet. Wenn die Anwendungen nach der Installation auf Windows 2012 abgenommen wurde, darf man als Kunde zwar meist Windows Updates installieren, jedoch keine Upgrades auf neue Versionen durchführen. Im Zweifelsfall kann der Hersteller sonst den Support verweigern und ihr verliert wertvolle Zeit mit Diskussionen.
  3. OpenSSL (mit GUI) ist für das Ausstellen von Zertifikaten für ein paar interne Server wohl tatsächlich einfacher als ADCS. Ein Kunde signiert mit einer solchen "sicheren Offline-CA" (altes Notebook mit Linux und OpenSSL, ohne Netzwerkanbindung) interne Server- und Client-Zertifikate für die Benutzer seiner Anwendung. Ich habe geschmunzelt, aber eigentlich ist das nicht mal so b***d, auch wenn die Zeremonie mit Notebook aus Safe holen etwas übertrieben wirkte.
  4. Falls ein lokaler Exchange vorhanden ist, würde ich diesen verwenden, wie schon geschrieben wurde. Ansonsten kann ich hMail empfehlen: Dieses steht den lokalen Geräten als Relay zur Verfügung, eingeschränkt entweder per IP oder durch Zugangsdaten (die unabhängig von Exchange Online sind). hMail sendet dann ohne Authentifizierung auf den MX oder mit Authentifizierung auf smtp.office365.com (was ich bevorzuge). TLS lässt sich erzwingen. Ich mache damit seit Jahren gute Erfahrungen. Man muss keine Office-365-Zugangsdaten auf den Geräten eintragen, hat keine Probleme, wenn Microsoft TLS 1.x deaktiviert, hat eine lokale Queue und ein ausführliches Log, falls doch mal was sein sollte.
  5. Evtl. geht das auch mit verschiedenen Firefox-Profilen. Laut Doku werden die Zertifikate jedenfalls im Profil gespeichert.
  6. Ich habe in einem ähnlichen Fall den Automatic E-Mail Manager eingesetzt. Der läuft als Dienst auf dem Server und kann E-Mails automatisiert verarbeiten. Ausdrucken, als PDF speichern etc.
  7. „Einfach neu machen“ halte ich für praktikabel, wenn der PC des Nachbarn „spinnt“, aber bei einem Cluster kenne ich gerne die Ursache eines Fehlers. Neu gemacht ist der Host schnell, aber da man nicht weiss, was das Problem war, hätte ich zukünftig bei jedem Reboot eines Hosts in dem Cluster ein ungutes Gefühl.
  8. Verwendet er einen VPN-Dienst oder Tor-Proxy? (Der Tor-Proxy könnte auch unbemerkt durch Malware installiert worden sein.)
  9. Zu den hervorragenden Ausführungen von @lizenzdoc möchte ich anmerken, dass Kauflizenzen auf einem dedizierten Server nur von Mitarbeitern der Firma genutzt werden dürfen, die den Server gemietet hat. (Ausser über den External Connector, damit kenne ich mich zu wenig aus und der scheint teuer zu sein.) Ich sehe es in der Praxis häufig, dass Dienstleister oder Software-Hersteller Server mieten, um ihren Kunden eine Cloud-Lösung anzubieten. Man veröffentlicht seine Software als RemoteApp für die Nutzung durch die Kunden. Dafür ist meines Wissens SPLA der einzige korrekte Weg.
  10. Du könntest HTTP-Redirect verwenden. Auf einem Server (muss nicht der Exchange sein) eine IP nur per HTTP erreichbar machen, nicht per HTTPS (HTTPS besser rejecten als droppen, sonst läuft Outlook in ein Timeout). Die HTTP-Site macht nichts anderes als einen Redirect auf https://autodiscover.domain.com/autodiscover. Dann passen Hostname und Zertifikat zusammen und Outlook fragt lediglich einmalig, ob man mit der Weiterleitung einverstanden ist. Anleitung: https://jaapwesselius.com/2011/08/28/autodiscover-redirect-srv-record/ Wir haben das früher, als Hosted Exchange noch gefragt war, so gemacht. Heutzutage würde ich es zuerst mit der SRV-Methode versuchen in der Hoffnung, dass diese mittlerweile breit unterstützt wird. Dies wäre eleganter.
  11. Ich meinte nicht diese Policy. Die muss schon bestehen bleiben, denn sie regelt, wer auf den SSL-VPN-Server zugreifen darf. Was die verbundenen Benutzer dann tun dürfen, regelt die automatisch erstellte Policy namens "Allow SSLVPN-Users". Dort stehen normalerweise im FROM alle SSL-Benutzer und im TO steht "Any". Deshalb würde ich diese Policy deaktivieren und eigene Regeln erstellen. Du findest sie ganz unten, da sie für alle Protokolle und Ports gilt.
  12. Die automatisch erstellten Policies auf der WatchGuard sind aus meiner Sicht viel zu offen. Da wurde der Fokus offensichtlich auf Einfachheit gelegt. Ich würde die automatisch erstellte Policy deaktivieren, eine Gruppe für die Aussendienstler erstellen sowie den Benutzer für den Dienstleister. Dann zwei Policies erstellen: - FROM: Gruppe_Aussendienstler - TO: Any sowie - FROM: Dienstleister - TO: Webgui Wobei ich auch für die Aussendienstler "Any" nicht gut finde, Den VPN-Client kann sich jeder auf einem beliebigen Gerät installieren und sich damit einwählen. Das will man nicht in allen internen Netzen haben.
  13. Es geht, aber nur mit Gebastel: https://www.andysblog.de/windows-server-2012-r2-foundation-unter-hyper-v-virtualisieren Ob es lizenzrechtlich in Ordnung ist, wäre abzuklären. Windows 2022 Standard enthält Downgrade-Rechte, aber ob die auch für Foundation gelten, habe ich auf die Schnelle nicht gefunden. Ich würde das sein lassen und die Anwendungen und Daten auf eine neue installierte VM mit Windows 2022 migrieren. Die Gen1/Gen2-Problematik scheint die gleiche Ursache zu haben. Foundation läuft nicht als Gen 2, weil es schlicht nicht dazu gedacht war, als VM zu laufen. WS2012 Standard konnte ich immer problemlos auf Gen2 umstellen.
  14. Es ist traurig, dass man in der IT nichts richtig hinbekommt. Man verbaut TPMs, um den Schlüssel zu schützen, führt Secure Boot ein, damit nur signierte Bootloader gestartet werden, nimmt alle damit verbundenen Nachteile in Kauf und dann verk...en es die Hersteller bei UEFI und der Management Firmware. Ich würde mir nochmals überlegen, ob wirklich alles gehen muss privat. Immer mehr Anwendungen installieren sich nur ins Profil und benötigen keine Adminrechte. Ich bekomme nur noch selten UAC-Prompts, obwohl ich viele Tools installiert habe. Ein eingeschränkter Benutzer wäre eine Möglichkeit. Dieser hätte im Gegensatz zum Firmenbenutzer keinen Zugriff auf das VPN oder Firmen-WLAN.
  15. Besten Dank für den Tipp, zahni! Habe mir die Seite gespeichert, der Client scheint wirklich vielseitig zu sein. Besonders die Möglichkeit, allen Verkehr über das VPN zu leiten, aber gewisse Anwendungen davon auszuschliessen, habe ich noch nirgends gesehen.
  16. DirectAccess scheitert an der nicht vorhandenen Enterprise-Lizenz für Windows. (Aber es wäre auch sonst wohl zu komplex für zehn Clients.) Ich habe jetzt OPNsense installiert. Damit hatte ich zum letzten Mal zu tun, als es noch m0n0wall hiess und man es auf WRAP-Boards von PC Engines betrieben hat. OpenVPN läuft super und ist sehr einfach zu verwalten, inkl. MFA mit TOTP. Routing in mehrere Netze funktioniert, ebenso die Übergabe des DNS-Servers und -Suffixes. Einziger kleiner Nachteil ist, dass man das Einmalpasswort im normalen Passwortfeld vor dem Passwort eingeben muss und es kein zusätzliches Feld dafür gibt. Aber das ist eine Frage der Schulung. Besten Dank für eure Tipps!
  17. Ja, die funktioniert tatsächlich. Wäre mir nie in den Sinn gekommen, das auszuprobieren, aber habe es mal bei einem Kunden in umgekehrter Richtung im Einsatz gesehen. Der hat kein WLAN, aber WLAN-Telefone. Jetzt ist jeder PC der Access Point für das Telefon. Das läuft seit mehreren Jahren und ich habe nie Klagen gehört.
  18. Vielen Dank für eure Antworten! Dann geht es wohl Richtung Drittanbieter-Client. Die ZyWALL scheint bezüglich Mobile-VPN auch nicht das ideale Produkt zu sein: Die Clients sind entweder nicht benutzerfreundlich oder kostenpflichtig und die Implementation von MFA kann ich einem Endbenutzer nicht zumuten. Man kann den Tunnel ganz normal verbinden, aber es geht kein Traffic durch, bis man auf einen Link in einer E-Mail klickt. Bei Cisco AnyConnect habe ich bis jetzt die beste Lösung gesehen: Login mit Benutzername und Passwort, danach ein zweiter Dialog, in welchen man das per SMS erhaltene Passwort einträgt. Eine Appliance wäre eine Möglichkeit, wenn es mit der ZyWALL nicht zufriedenstellend funktioniert. Hast Du eine Empfehlung? OPNsense? Dort scheint die Einrichtung von OpenVPN recht komfortabel zu funktionieren, inkl. TOTP. Remotedesktop war mein erster Vorschlag und das läuft seit ein paar Jahren so. Es funktioniert ganz gut, um von unterwegs mit Office und dem ERP zu arbeiten, aber leider benötigen viele Benutzer CAD und auch sonst sind die Ansprüche gestiegen (Teams...). Da jetzt eine Gigabit-Leitung zur Verfügung steht, ist der Wunsch nach direktem Zugriff auf die Daten entstanden. OpenVPN sieht gut aus. Betreibt ihr das über die OPNsense oder direkt, also ohne Web-GUI?
  19. Hallo zusammen Derzeit mache ich gerade die Erfahrung, dass der VPN-Client von Windows 10 erstaunlich unbrauchbar ist. Die Einstellungen sind über die alte und neue Oberfläche verteilt, manches ist nur per PowerShell erreichbar und aussagekräftige Logs sind schwer bis unmöglich auffindbar. Vielleicht liegt der Fehler auf meiner Seite, ich mache VPN meist Site-to-Site, mit Mobile-VPN hatte ich schon länger nicht mehr zu tun. Der Kunde hat eine ZyWALL auf dem aktuellen Stand und möchte, dass sich ca. 10 Geräte von remote einwählen können. Die Geräte gehören der Firma und sind verwaltet, der Support hat also Zugriff darauf. Gewünscht ist eine Lösung mit Authentifizierung mittels Benutzername und Passwort. Falls zusätzlich ein vom Admin einmalig zu installierendes Zertifikat verwendet werden kann, ist das ein Vorteil. Ideal wäre MFA, aber auch das ist optional. Ich hätte es gerne mit dem Client von Windows konfiguriert, um die Installation zusätzlicher Software zu vermeiden. Der SSL-VPN-Client von Zyxel ist zudem nicht benutzerfreundlich, so muss man zum Beispiel bei jedem Verbinden den Server neu auswählen. Deren IPsec-Client ist besser, jedoch kostenpflichtig. Wobei nicht die Kosten das Problem sind, sondern der Aufwand für die Verwaltung der Aktivierungen, Lizenztransfers etc. Kurz: Idealerweise wäre es so einfach wie mit dem guten alten PPTP. Probiert habe ich es mit L2TP und IKEv2. Trotz Tutorials von Zyxel habe ich keine Verbindung zustande gebracht. Wobei Zyxel sich auf den Standpunkt stellt, der VPN-Client von Windows sei unbrauchbar, man solle ihren Client verwenden. Ist das so oder implementieren sie die Protokolle nicht sauber? Arbeitet ihr mit dem VPN-Client von Windows oder nehmt ihr immer die Software des Firewall-Herstellers? Vielen Dank für eure Erfahrungen!
  20. Müssen die Benutzer gleichzeitig etwas machen oder geht es nur um die Überwachung / Steuerung der Anlage durch einen Benutzer gleichzeitig? Ich kenne aus der Industrie einige Rechner, auf welchen solche Software läuft. Dort läuft sie in einer Sitzung im Vollbildmodus. Wenn man darauf verbindet, dann auf die Konsolensitzung per VNC oder TeamViewer. Der Fernzugriff spart einem also nur den Weg zum Rechner, aber man arbeitet nicht in einer Terminalsitzung. Ich weiss nicht, wie es da mit der Lizenzierung aussieht. Terminal-Lizenzen habe ich noch keine gesehen, meist sind es auch Client-Versionen von Windows. Falls Du genügend Windows-Lizenzen hast, würde ich für den Terminalserver eine separate VM installieren und die Terminaldienste nicht auf dem Webserver installieren. Laut der von Dir verlinkten Anwendung kann der Client über das Netzwerk auf einen Server zugreifen. So müsstest Du an der vorhandenen Installation nicht zwingend etwas ändern. DC auf jeden Fall separat, weder auf dem Web- noch auf dem Terminalserver. Active Directory kommt dann mit dem Heraufstufen des DCs.
  21. "Können nicht nachverfolgt werden" heisst "Benutzer werden nach einer Stunde getrennt". RDS-User-CALs gehen seit Windows Server 2016 nur noch mit Domäne, da die Lizenzen für Benutzer "ausgecheckt" werden. Ohne Domäne geht es nur mit Device-CALs.
  22. Bei Windows Server lizenziert man die Cores und nicht die VMs. Deshalb kann man sie für gemietete Server einsetzen, wenn man die Hardware exklusiv nutzt. Bei vServern hat man keinen Einfluss auf die Hardware, auf welcher der Server läuft und muss deshalb die Lizenz vom Anbieter mieten. Bei RDS bin ich nicht sicher. Das lizenziert man ja pro Benutzer und da ist es egal, wo der Server läuft. Sollen die Lizenzen von Benutzern ausserhalb des Unternehmens verwendet werden (weil man etwa eine Anwendung für seine Kunden zur Verfügung stellt), sind auf jeden Fall SPLA-Mietlizenzen erforderlich.
  23. Wenn eine lokale Lösung gewünscht ist, würde ich highsystemNET anschauen. Damit lässt sich vom OS-Rollout über die Software-Verteilung bis zum Patch-Management alles erledigen. Falls nur Patch Management benötigt wird, ist PDQ Deploy einen Blick wert. Dieses kann preislich interessant sein, da es pro Admin und nicht pro Rechner lizenziert wird. Beide Tools verfügen über eine vom Hersteller gepflegte Software-Bibliothek. Diese enthält die verbreitetsten Tools inkl. Installer-Parametern (Silent-Installation, Auto-Update deaktiviert etc.).
  24. Wenn die Voraussetzungen stimmen, ist es eigentlich sehr flott. Unbedingt einen Opcode-Cache einsetzen, eine aktuelle Version von PHP und betreiben über FPM oder FastCGI. Wenn nur wenige Dateien verwaltet werden (wie es bei dem Anwendungsfall wohl sein wird), reicht sogar die SQLite-DB. Ansonsten MariaDB verwenden und bei sehr vielen (über 10'000) Dateien und vielen Zugriffen noch Redis dazu hängen. Das bringt einen extremen Performance-Schub bei vielen Dateien und besonders, wenn über den Client synchronisiert wird. Für Installationen, bei denen nur Links verschickt werden, richte ich es jeweils nicht ein. Aber ja, Nextcloud ist für den Zweck sicher nicht die schlankeste Lösung. Falls kein Outlook-Plugin benötigt wird, ist auch ein einfacheres Tool wie Plik einen Blick wert.
  25. Ich verwende dafür gerne Nextcloud. Eine eigene Instanz für den Kunden auf seiner Domain, mit seinem Logo. Die regelmässigen Benutzer haben das Outlook-Plugin von Sendent installiert. Das kann beim Versenden von E-Mails automatisch grosse Anhänge auf die Nextcloud laden und einen Link in die Nachricht einfügen. Auf Wunsch mit Ablaufdatum oder Passwort. Nextcloud unter eigener Domain mit gültigem Zertifikat war bis jetzt noch nie gesperrt.
×
×
  • Create New...