mwiederkehr

Eine Möglichkeit wäre das hier schon diskutierte OpenPasswordFilter: https://www.mcseboard.de/topic/222097-openpasswordfilter-meinungen/

Wobei ich aber die Anforderungen anpassen und nicht zusätzliche Software einsetzen würde. Die sicherste Software ist die, die man nicht einsetzt.

vor 27 Minuten schrieb meinerjunge:

Aber mit den Komplexitätsvoraussetzungen komme ich dann trotzdem nicht weiter, da diese ja auch beinhalten "Das Kennwort darf nicht den Kontonamen des Benutzers oder mehr als zwei Zeichen enthalten, die nacheinander im vollständigen Namen des Benutzers vorkommen.".

Wie soll man das bei einer Zeichenlänge von 10+ verhindern?

Meine Kenntnisse der Stochastik sind zu eingerostet, um beweisen zu können, dass die Wahrscheinlichkeit dafür bei zufälligen Passwörtern mit Sonderzeichen sehr klein ist.

Aber ich glaube, es liegt ein Missverständnis vor. Die Definition der Regel gemäss Microsoft:

Zitat

The displayName is parsed for delimiters: commas, periods, dashes or hyphens, underscores, spaces, pound signs, and tabs. If any of these delimiters are found, the displayName is split and all parsed sections (tokens) are confirmed to not be included in the password. Tokens that are less than three characters are ignored, and substrings of the tokens are not checked. For example, the name "Erin M. Hagens" is split into three tokens: "Erin", "M", and "Hagens". Because the second token is only one character long, it is ignored. Therefore, this user could not have a password that included either "erin" or "hagens" as a substring anywhere in the password.

Quelle: https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-r2-and-2012/hh994562(v=ws.11)

"Substrings of the tokens are not checked" heisst, dass keine Teile von Namen geprüft werden. Ein "Hans Muster" kann also schon "ans" oder "ust" im Kennwort haben.

Error 500 kann leider so ziemlich alles sein. Von einem Fehler im IIS (falsche Syntax in Konfiguration) über Fehler in IISNode (Konfiguration, fehlende Voraussetzungen) bis zu einem Fehler in der ausgeführten Anwendung.

Schalte mal detaillierte Fehler ein, schau in die Ereignisanzeige und aktiviere die Ablaufverfolgung für Anforderungsfehler. Bei IISNode sind Beispiele dabei, die man mit einer Batch-Datei installieren kann. Laufen diese?

Standardmässig liegt das Limit bei PST- und OST-Dateien bei 50 GB: https://support.microsoft.com/en-us/topic/how-to-configure-the-size-limit-for-both-pst-and-ost-files-in-outlook-2f13f558-d40e-9c2a-e3b6-02806fa535f4. Es kann jedoch erhöht werden (wobei ich bei um die 300 GB schon komische Effekte hatte und viel Spass, wenn sich nach einem Absturz ScanPST meldet). Das Postfach kann aber natürlich grösser sein als die OST-Datei.

Wenn Du die Anwendung in node startest, funktioniert sie? Beachte, dass die Anwendung für iisnode an den in der Umgebungsvariable "PORT" definierten Port binden muss.

Was erscheint denn für eine Fehlermeldung?

HDDs verwende ich nur für Backups oder wenn der Kunde sehr viele Daten hat. In den Servern nehme ich "Read Intensive" SATA-SSDs von HPE. Auch die "Read Intensive" dürfen fünf Jahre lang jeden Tag einmal überschrieben werden. Das wird in der Praxis nicht annähernd erreicht. Ich hatte auch noch nie Performance-Probleme damit.

In grösseren Speicherlösungen ist mittlerweile NVMe üblich. Das erreicht auch bei vielen gleichzeitigen Zugriffen eine niedrige Latenz. Zu bedenken ist dabei, die Zugriffsart entsprechend zu wählen. iSCSI mit 10 Gig auf NVMe verschenkt Performance; besser ist NVMe-oF, damit die Kommandos nicht übersetzt werden müssen und der Overhead allgemein kleiner wird.

Vielleicht etwas zur "Entschärfung": Je nach Firewall und Anforderungen kannst Du das Balancing über die Firewall machen und Dir den NLB sparen. Dann kannst Du die Konfiguration gemäss Evgenijs zweitem Link vornehmen. Gegen AAR spricht aus meiner Sicht (im Gegensatz zu NLB) nicht viel. Es läuft stabil und tut, was man konfiguriert hat.

vor 8 Stunden schrieb Antonio2021:

Was soll schiefgehen, wenn vor der Migration alle 3 Server heruntergefahren und zunächst vollständig gesichert werden? Bearbeitet wird dann jeweils ein einziger Server, während die anderen beiden heruntergefahren bleiben.

Ja, das funktioniert. Aber nur bei Fehlern, die auffallen, bevor einer der anderen Server gestartet wird. Also wenn das Update in einer Bluescreen-Schleife endet. Aber nicht, wenn der DC startet, sich nach dem Start des zweiten Servers aber herausstellt, dass das AD nicht synchronisiert.

Was wäre der Vorteil eines AAD Join? Kann der Server gleichzeitig in einer "legacy" und einer Azure-Domain sein, wenn diese nicht synchronisiert werden (kein AAD Connect)?

Im verlinkten Artikel wird unser Problem leider nicht behandelt. Es äussert sich in folgenden Fehlern:

AAD, Event 1097:

Error: 0x80090011 Das Objekt wurde nicht gefunden.

Das Objekt wurde nicht gefunden.

Exception of type 'class WinRTException' at oauthtokenrequestbase.cpp, line: 733, method: OAuthTokenRequestBase::QueryTokenBindingKeyId::<lambda_384ba4be0f1ddecb55f87844038ccea6>::operator ().

Log: 0x8aa5007f Unable to create a Token Binding Key.
Logged at oauthtokenrequestbase.cpp, line: 733, method: OAuthTokenRequestBase::QueryTokenBindingKeyId::<lambda_384ba4be0f1ddecb55f87844038ccea6>::operator ().

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed7-52b2-4103-aeff-aad2292ab01c, resource: https://outlook.office365.com/, correlation ID (request): dbbb91f4-5d17-447e-85ed-16deceeeea2a

Error: 0x8AA9004C Acquire token by refresh token failed, trying PRT.
Logged at refreshtokenrequest.cpp, line: 79, method: RefreshTokenRequest::AcquireToken.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed7-52b2-4103-aeff-aad2292ab01c, resource: https://outlook.office365.com/, correlation ID (request): dbbb91f4-5d17-447e-85ed-16deceeeea2a

AAD, Event 1098:

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.

Das System kann den angegebenen Pfad nicht finden.

Exception of type 'class WinRTException' at webaccountprocessor.cpp, line: 280, method: AAD::Core::WebAccountProcessor::ProcessBrokerBackgroundRequest::<lambda_c59055bd9d9c85aff79a2f7420694224>::operator ().

Log: 0xcaa5001c Token broker operation failed.
Operation name: GetTokenSilently
Logged at webaccountprocessor.cpp, line: 545, method: AAD::Core::WebAccountProcessor::ReportException.

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.
Exception of type 'class NGCException' at ngchelper.cpp, line: 42, method: NgcHelper::SignWithSymmetricPopKey.

Log: 0xcaa10083 Exception in WinRT wrapper.
Logged at authorizationclient.cpp, line: 224, method: ADALRT::AuthorizationClient::AcquireToken.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed6-52b3-4102-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed6-52b3-4102-aeff-aad2292ab01c

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.
Exception of type 'class NGCException' at ngchelper.cpp, line: 42, method: NgcHelper::SignWithSymmetricPopKey.

Log: 0xcaa1007b Acquire token failed.
Logged at authenticationcontext.cpp, line: 404, method: AuthenticationContext::AcquireTokenInternal.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed6-52b3-4102-aeff-aad2292ab01c

Error: 0x80070003 Das System kann den angegebenen Pfad nicht finden.
Exception of type 'class NGCException' at ngchelper.cpp, line: 42, method: NgcHelper::SignWithSymmetricPopKey.

Log: 0xcaa1007b Acquire token failed.
Logged at aggregatedtokenrequest.cpp, line: 69, method: AggregatedTokenRequest::AcquireToken.

Request: authority: https://login.microsoftonline.com/common, client: d3590ed7-52b2-4103-aeff-aad2292ab01c, redirect URI: ms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed7-52b2-4103-aeff-aad2292ab01c, resource: https://outlook.office365.com/, correlation ID (request): dbbb91f4-5d17-447e-85ed-16deceeeea2a

Falls Du mehr weisst, bin ich dankbar für einen Tipp, da ja anscheinend die Deaktivierung von WAM nicht der Weisheit letzter Schluss ist.

Das Verzeichnis befindet sich im Benutzerprofil unter „\AppData\Local\Packages“.

Du hast die Registry-Keys schon unter dem entsprechenden Benutzerkonto gesetzt?

Bei mir hat das Setzen der Keys gereicht, ich musste danach das Verzeichnis nicht löschen.

Das sieht exakt nach dem Problem aus, mit dem ich diese Woche zu tun hatte: Server 2019, Office 365, bei gewissen Benutzern öffnet sich Outlook nicht mehr, "E-Mail-Autokonfiguration testen..." liefert unendlich viele Fehler 401, Teams geht nicht mehr. In Word und Excel ist die Lizenz aber noch aktiviert und OWA geht auch. In der Ereignisanzeige hatte es die Events 1097 und 1098 vom AAD.

Wenn ich es richtig verstanden habe, ist das Problem das Token des Benutzers. Modern Authentication basiert auf Azure Active Directory Authentication Library (ADAL). In neueren Versionen verwenden die Anwendungen den Web Account Manager (WAM) für die Verwaltung der Tokens. Das ist die App, die man im Profil unter Microsoft.AAD.BrokerPlugin_cw5n1h2txyewy findet. Löscht man dieses Verzeichnis (der Benutzer darf dabei nicht angemeldet sein), funktioniert die Anmeldung wieder. Das Problem tritt nur in RDS-Farmen auf, wo die Benutzer nicht immer auf dem gleichen Server arbeiten. Das Token wandert mit dem Benutzer mit, ist aber vom Server abhängig. Deshalb kann es nicht gelesen (genauer gesagt entschlüsselt) werden. Anstatt eine Anmeldung anzuzeigen, stellt Outlook einfach keine Verbindung her.

In meinem Fall hat es geholfen, per Registry die bisherige Token-Verwaltung zu aktivieren:

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Office\16.0\Common\Identity]
"EnableADAL"=dword:00000001
"DisableAADWAM"=dword:00000001
"DisableADALatopWAMOverride"=dword:00000001

Benutzer neu anmelden, funktioniert.

Man findet viel im Internet darüber, aber ich habe nirgends eine Erklärung der genauen Ursache gefunden. Das ist ja von Anfang bis Ende Software von Microsoft und ein unterstütztes Szenario, das sollte nicht "mal eben" nicht mehr gehen und Microsoft sagt nichts dazu. Falls jemand mehr Informationen hat, bin ich sehr interessiert.

Es gibt verschiedene Caches. PHP kann den kompilierten Code cachen, um nicht bei jedem Aufruf alle Scripts neu kompilieren zu müssen. Dafür gab es unter Windows das WinCache-Modul. Dieses gibt es bei PHP 8 nicht mehr, dafür man soll den in PHP integrierten Opcode-Cache nutzen können.

Der IIS selbst cacht standardmässig nur statische Inhalte. Der Cache für dynamische Inhalte kann gecacht werden, aber das ist nicht so einfach, wenn die Site nicht für alle Besucher gleich sein soll. Wenn man eine Firmenwebsite mit WordPress macht, kann man gut alle Seiten cachen. Bei einem Shop sind die Seiten aber pro Besucher unterschiedlich, sobald er sich angemeldet hat. "/warenkorb.php" soll ja nicht den Warenkorb eines anderen Benutzers liefern. Deshalb verlagert man den Cache in solchen Fällen in die Anwendung und cacht im Webserver zum Beispiel nur Antworten zu Anfragen, welche kein Session-Cookie enthalten.

Super! Das habe ich übrigens gemeint mit den Hostern, welche die üblichen Optimierungen kennen.

Es erklärt aus meiner Sicht noch nicht, weshalb die Antwortzeiten immer grösser wurden, aber wenn es läuft, ist es ja gut. Prüfe aber vielleicht noch, wie es mit Inhalten aussieht, die nicht gecacht werden können (Warenkorbinhalt, Benutzerprofil etc.).

Es ist schwierig, aus der Ferne eine Diagnose zu stellen, aber es sieht aus, als ob die Seite in akzeptabler Zeit (2s sind für ein WooCommerce mit einigen Modulen auf einem nicht optimierten System leider im Rahmen des Üblichen) ausgeliefert wird, der PHP-Prozess danach aber im Hintergrund ist und bis zum Erreichen eines Timeouts nicht zur Beantwortung weiterer Anfragen zur Verfügung steht. Ursache könnte der Versuch sein, ein Update-Paket von einem nicht erreichbaren Server herunterzuladen, also eine Auto-Update-Funktion. Herausfinden könntest Du das, indem Du den ausgehenden Netzwerkverkehr mit einem Tool wie Wireshark analysierst.

Grundsätzlich bin ich aber gleicher Meinung wie Nils. Falls Du einen kommerziellen Shop betreibst, wäre allenfalls ein WooCommerce-Hosting eine Option. Da kennt sich der Anbieter spezifisch mit WordPress und WooCommerce aus und die gängigen Optimierungen und Schutzfunktionen sind aktiviert.

Muss Dein Programm direkt auf dem Webserver laufen? Würde es nicht reichen, wenn es mit dem Webserver oder der Datenbank kommunizieren könnte?

Hat der entsprechende Benutzer den Cache-Modus nicht aktiv und "DelegateSentItemsStyle" auf "1"? Siehe https://learn.microsoft.com/en-us/outlook/troubleshoot/email-management/email-remains-in-the-outbox-when-you-use-the-deleg.

Wenn Du den Application Pool recyclest, ist die Seite dann sofort wieder schnell? Läuft PHP über FastCGI? Ist "output_buffering" auf "On" in der php.ini? Wenn Du die "maximale Anzahl von Arbeitsprozessen" im IIS von 1 auf 10 stellst, ist die Seite dann die ersten zehn Aufrufe schnell?

Was für ein Datenbankserver ist in der Wordpress-Konfiguration eingetragen? Falls "localhost": ändere das mal zu "127.0.0.1".

Ist das HTML eine statische Seite oder läuft ASP.NET oder PHP?

Sind auf dem Client alle Updates installiert? Es gab im Oktober-Update ein Problem mit TLS über RDP. Ein Kunde konnte deswegen auf einige Server nicht mehr zugreifen.

Würde auch zuerst die Firmware des Docks updaten. Oder falls die Kabel länger als zwei Meter sind, diese tauschen. Hatte den Effekt schon mit einem billigen, drei Meter langen DisplayPort-Kabel.

vor 3 Minuten schrieb Anubis2k:

Wobei ich den Umgang mit dem Hyper-V von der Firma kenne, aber hab ihn halt noch nie von null auf installiert.

Bei einzelnen Servern ist das ganz einfach: Windows installieren, Rolle hinzufügen, fertig. Hyper-V lässt sich übrigens auch bei Windows 10/11 (ab Pro) installieren, es muss für Testzwecke kein Server sein. Viel Erfolg!

Bei ab Windows Server 2019 gibt es zwar noch die Essentials-Edition mit allen Limitierungen, allerdings keine Essential-Features wie Client-Backup, Remotezugriff etc. mehr. Deshalb würde ich mir überlegen, gleich zu Windows Server 2022 Standard zu wechseln. Mit einer Lizenz könntest Du Hyper-V betreiben und darauf zwei virtuelle Maschinen: einmal Domaincontroller, einmal Fileserver. Auf dem Hyper-V könntest Du eine Backup-Software installieren, zum Beispiel die kostenlose Veeam Community Edition. Damit hättest Du mit nur wenig Aufpreis für die Lizenz eine Umgebung mit der gleichen Software wie in grösseren Firmen, ohne Essentials-"Home User"-Limitierungen.

Zum Thema Hypervisor: Die verschiedenen Hypervisoren ähneln sich inzwischen sehr, da die Virtualisierung grösstenteils von der CPU übernommen wird. Es ist nicht mehr wie in den Anfangsjahren, als man Benchmarks zwischen VMware GSX Server und Microsoft Virtual Server verglichen hat. Da Du für den Hyper-V keine zusätzliche Lizenz erwerben musst, bietet sich dessen Einsatz in Deiner Umgebung an. Ein grosser Vorteil gegenüber anderen Hypervisoren ist, dass Windows (logischerweise) alle Treiber mitbringt. Man muss keine separaten Treiber und Tools pflegen. Proxmox hat natürlich trotzdem seine Berechtigung, besonders, wenn man Unixe virtualisiert.

OneDrive scheint die Dateiberechtigungen zumindest in gewissen Konstellationen fix zu setzen und die Vererbung zu ignorieren, siehe zum Beispiel auch https://superuser.com/questions/1701037/ntfs-permissions-set-to-inherit-but-dont-apply-to-new-files.

Dein Konstrukt ist aber nicht so gebaut, wie von Microsoft vorgesehen. Der OneDrive-Client ist dafür gedacht, Änderungen an Dateien in der aktuellen Benutzersitzung zu erkennen, nicht an solchen, die über das Netzwerk eingeliefert werden. Ich habe einige Kunden, die das versucht haben. Beim Start des Clients wurden Änderungen erkannt und abgeglichen, danach nicht oder nicht vollständig. Von Dateien, die von Rechnern im Netzwerk gesperrt werden und dann Nachfragen in der OneDrive-Sitzung (die unbeobachtet läuft) auslösen, ganz zu schweigen. Der Aufwand, zwei über ein paar Tage divergierende Datenbestände zusammenzuführen, ist nicht zu unterschätzen.

Ich würde den Client deshalb auf allen Rechnern installieren. Ist das nicht möglich, weil etwa Fotos von Smartphones über OneDrive hochgeladen und auf dem Server abgelegt werden sollen, kann man sich mit Tools wie rclone oder dem Cloud Connector von Layer2 behelfen. Dann aber bitte nur in eine Richtung.

Das Szenario "wenige Mitarbeiter sollen über eine Freigabe arbeiten und Locking haben und gleichzeitig möchte der Chef mit dem Tablet über OneDrive zugreifen" hatte ich erst einmal, bei einer Kleinstfirma. Dort hat sich ein NAS von Synology bewährt, welches die Daten mit OneDrive synchronisiert.

Nr. 3 hilft, wenn die Leute die Wichtigkeit der Sache erkennen. Bei einem Kunden war das "richtige" Verhalten in den IT-Richtlinien definiert, die jeder Mitarbeiter unterschrieben hat. Hat aber niemanden wirklich interessiert. Dann gab es einen unangekündigten Phishing-Test, auf welchen prompt 30 % der Mitarbeiter hereingefallen sind. Danach eine Schulung, an der ich einige Fallbeispiele von Firmen in der Nähe gezeigt habe. Seither fragen die Leute fast etwas zu häufig nach in Zweifelsfällen.

Als zusätzlichen Schutz vor bösen Links ist ein Inhaltsfilter auf der Firewall nützlich.

vor einer Stunde schrieb zahni:

Ernstgemeinte Frage: Wer will denn Druckertreiber bei Windows-Update laden?

Wenn der Druckertreiber keine speziellen Features bieten muss, bin ich mit den Treibern von Windows Update immer gut gefahren. Sie sind mit wenig Aufwand installiert, erzeugen keine Konflikte und laufen stabil. Überhaupt bin ich seit Windows 10 mit dem Treiber-Katalog von Windows Update sehr zufrieden. Ich installiere auf Rechnern nur Treiber direkt vom Hersteller, wenn keine in Windows Update vorhanden sind (mittlerweile selten) oder in Spezialfällen wie Grafikkartentreiber bei CAD-Rechnern.