mwiederkehr

Das Zertifikat und der Reverse-Eintrag im DNS müssen zum Hostnamen des Servers passen, dieser muss aber keiner Maildomain entsprechen. Man kann von "mail.provider.de" E-Mails für tausende Domains empfangen und versenden. Ein Spezialfall ist bei Exchange nur Autodiscover. Hier entweder autodiscover.zweitedomain.de als SAN eintragen lassen (wenn es nur zwei Domains sind), oder die HTTP-Redirect-Methode oder SRV-Records nutzen.

Man darf neben der Hyper-V-Rolle auch Software betreiben, die dem Management des Hosts und der VMs dient. Veeam dürfte man also auf dem Host installieren, ohne eine Windows-Lizenz zu "verbrauchen". Wobei das aber nur in wirklich kleinen Umgebungen eine halbwegs gute Idee ist. Da Backup aufs NAS erwähnt wurde: in einer kleinen Umgebung könnte man die Sicherung vom NAS aus durchführen, zum Beispiel mit Synology Active Backup.

Du kannst entweder die aktuellen ADMX herunterladen oder die entsprechenden Keys in der Registry setzen (siehe weiter unten auf der verlinkten Seite).

Ich habe bei Kunden ohne WSUS folgende GPO aktiviert: https://www.pdq.com/blog/how-to-block-the-windows-11-upgrade/.

Das, was Evgenij sagt. Virenscanner erhöhen die Komplexität und damit das Risiko für Lücken auf einem System. Früher, als man noch Disketten ausgetauscht hat, waren sie sinnvoll, damals waren die Signaturen meist neuer als die Viren. Heute ist signaturbasierte Erkennung fast nutzlos und die heuristischen Verfahren mit "künstlicher Intelligenz" sind anfällig für Fehlalarme. Die anderen Funktionen, die Virenscanner mitgebracht haben (Zugriff auf USB-Ports sperren, Ausführen von EXEs aus Temp-Verzeichnis blockieren etc.) kann Windows mittlerweile selbst. Da verzichtet man gerne auf Software, die auf einem privilegierten Account läuft und über die Cloud bzw. den Hersteller ferngesteuert werden kann. Wenn man Kunden fragt, weshalb sie nicht einfach den Defender nehmen, kommen viele Argumente, von "XY hat 99.99% Erkennungsrate" bis "den Scanner von einem kleinen Hersteller kennen die Hacker nicht, damit rechnen sie nicht", aber nichts vernünftiges. Den Defender hingegen aktiviere ich bzw. lasse ihn aktiviert. Der stört nicht und vielleicht bewahrt er doch mal vor Schaden bzw. erkennt einen Ausbruch.

Ich möchte noch SEPPmail erwähnen. Die gibt es schon ewig und sie kann Empfängern ohne Zertifikat eine Art sicheres Webmail zur Verfügung stellen, auf welchem die E-Mails gelesen und auch beantwortet werden können. Besonders im Verkehr mit Privatkunden, wie es bei Anwälten der Fall ist, ist das praktisch. Wichtig finde ich den Aspekt Backup / Archivierung, wie von Wisi erwähnt: Verschlüsselung auf den Endgeräten scheint super, kann aber mit Anforderungen wie Archivierung der geschäftsrelevanten Kommunikation im Widerspruch stehen. Signierung ist wesentlich einfacher als Verschlüsselung, da die E-Mails dabei lesbar bleiben. Je nach Anforderungen sind verschlüsselte E-Mails nicht notwendig. Wenn nur die Anhänge geschützt werden müssen, könnte auch Nextcloud inkl. dem Outlook-Plugin von Sendent ausreichen. Dieses ersetzt die Anhänge vor dem Versand durch einen Link auf Nextcloud und es kann ein Passwort vergeben werden. Dieses muss dem Empfänger auf einem separaten Kanal zur Verfügung gestellt werden.

Der gepostete Sourcecode enthält leider nicht den Teil mit den Links. Die müssten wohl in der header.php sein. Ich bin mir nicht sicher, aber $_SERVER["PHP_SELF"] gibt unter Windows möglicherweise nicht das gleiche Resultat zurück, wie unter Linux. Generell muss man mit Servervariablen vorsichtig sein. Hast Du PHP über ISAPI installiert? Versuch es sonst über FastCGI, das kommt am nächsten an das Verhalten unter Linux ran.

Hast Du die index.php selbst geschrieben? Evtl. lokal entwickelt, mit lokalen Pfaden drin?

Steam Link könnte eine Option sein, aber nicht für den gesamten Desktop, sondern nur für Spiele. Oder Parsec, das soll eine Art schnelleres RDP ("60 fps") sein.

Ich verwende KeePass. Die Datei liegt auf einer Nextcloud-Instanz. So kann ich vom Smartphone aus per App wie AuthPass zugreifen und für den Zugriff per Browser habe ich im Nextcloud die App KeeWeb installiert. Damit lässt sich die Datei direkt im Browser öffnen. Die Entschlüsselung erfolgt lokal im Browser, der Server sieht das Kennwort nie.

Ein befreundeter Netzwerkspezialist arbeitet mit NeDi. Sieht nicht sehr modern aus, aber zeigt sehr vieles an. Die Standardversion ohne Support ist kostenlos.

Ich kenne die Ursache für den Fehler leider nicht. Hilft es, wenn Du in der Firewall für Deine Anwendung alles öffnest? Du verwendest den FtpWebRequest. Diesen gibt es ab .Net 6 nicht mehr. (Die WebRequest-"Familie" fällt raus, für HTTP gibt es den HttpClient, für FTP gibt es keine eingebauten Klassen mehr.) Mit Google finde ich viele Leute, die das gleiche Problem haben wie Du. Du könntest deshalb prüfen, ob es mit einem anderen Client geht. Ich verwende FluentFTP. Dieser ist weniger sperrig anzusteuern und kann etwa rekursive Downloads von Haus aus.

You could try "reqFTP.UsePassive = true;". Active mode is hard to get through firewalls, especially if TLS is used.

Der schöne Norden, da kann man gleich neidisch werden. 😍 Ich war bis jetzt in München, Berlin und Hamburg, alles schön und eindrücklich, aber mit der grössten Sehnsucht denke ich an Hamburg. Da muss ich unbedingt wieder hin.

Ich muss mich wohl als Schweizer outen. 😀 Bei uns ist der Empfang in den allermeisten Fällen gut, so dass ich zum Beispiel auf einer Zugfahrt von Basel nach Zürich keinen einzigen Ruckler in der RDP-Session hatte. Aber bei uns ist es auch auf dem Land bei weitem nicht so ländlich wie bei euch. Ich war kürzlich in Enzklösterle im schönen Schwarzwald und dort war tatsächlich überhaupt keine Abdeckung vorhanden, jedenfalls nicht innerhalb von Gebäuden. Aber dort ist man ja auch wegen der Natur, dem Bier und den „Herrgottsbscheißerle“. 😀

Habe bei meinem EliteBook ein LTE-Modem nachgerüstet. Kostet nicht viel, da die Antenne sowieso in jedem Modell verbaut ist. Dank LTE muss ich mich bei Kunden nicht ins (manchmal beschränkte) WLAN einloggen und keine Portale durchklicken, wenn ich im Zug oder Hotel arbeiten will. Notebook aufklappen und Internet ist da, fast überall und mit guter Geschwindigkeit. Das möchte ich nicht mehr missen.

Sehr guter Einwand, danke! Muss ich auch mal testen. Mit NT 4 oder Windows 2000 hatte ich nur Probleme mit Offline-Dateien, sodass ich deren Vorhandensein irgendwie komplett ausgeblendet habe, obwohl sie jetzt bestimmt zuverlässiger funktionieren als vor 20 Jahren.

Würde ich nicht machen. Wenn mal was ist am Netzwerk oder Fileserver, hängt sich auf den Clients dann gerne der ganze Explorer auf. Meist geht es ja um Dokumente wie Arbeitsrapport oder Spesenabrechnung, die auf dem Desktop „sein müssen“. Ich lege die jeweils ins Home-Laufwerk und erstelle eine Verknüpfung auf dem Desktop.

Wissen kann man es nicht, aber ich gehe nicht davon aus, dass Microsoft Office 365 absichtlich nicht auf Server 2022 laufen lassen wird. Es ist Stand heute einfach nicht supported (was ja leider Grund genug ist, es nicht zu verwenden). Office LTSC läuft auf 2022, von daher würde ich nicht direkt vom Ende des Terminalservers sprechen. Von der Funktionalität her ist ein Terminalserver ja näher bei einem Client als einem Server, deshalb wäre Windows 10 bzw. 11 eine gute Basis. Schade, dass Multisession nur in Azure geht. (Andere coole Sachen wie Hotpatch gehen auch nur in Azure, von daher ist klar, woher der Wind weht...)

Das geht sehr einfach: entweder Quellcode im Browser anzeigen (geht immer noch bei vielen Geräten, deshalb werde ich auch etwas ungehalten, wenn Kunden dort ihren persönlichen Account eintragen) oder einen Fake-SMTP-Server starten auf dem Rechner und den Servernamen umstellen. Aber wenn Du die Berichte an Dich schicken willst und Deinen Mailserver verwendest, weshalb ist dann überhaupt Authentifizierung notwendig? Falls die E-Mails an externe Adressen gehen müssen, könntest Du es mit einem kleinen vServer mit Postfix und postfwd lösen. Damit lassen sich Regeln wie "Benutzer x darf nur an Adresse y schicken" umsetzen. Zusätzlich kannst Du für jeden Kunden einen anderen Benutzer erstellen. Ist aber nicht ganz trivial von der Syntax her. Oder anderer Vorschlag: schau Dir mal E-Mail-Dienstleister wie Sendgrid, Mailjet, Mailgun etc. an. Dort kann man beliebige SMTP-Credentials erstellen und evtl. kann man dort die Empfänger pro Benutzer über das Webinterface limitieren. Das wäre weniger sexy als ein eigener Postfix, aber wesentlich komfortabler.

Ja, das war es bei mir. Sonst kannst Du evtl. im BIOS noch "fast boot" oder so deaktivieren, damit er wieder den RAM hochzählt wie früher. Ist die Netzwerkkarte von Intel? Hast Du in der Ereignisanzeige evtl. Meldungen der Art "Netzwerkverbindung wurde getrennt" und dann eine Sekunde später "Verbindung wurde hergestellt mit 1 Gbit/s"? Das hatte ich kürzlich auch. Beim Start hat der Treiber die Karte neu initialisiert, meist genau dann, wenn das Profil geladen wurde. Da hat ein Treiber-Update (aktueller Treiber von Intel-Website) geholfen. Die Meldung war allerdings nicht "Datei geöffnet", sondern "servergespeichertes Profil kann nicht gefunden werden".

Hatte ich auch schon, konnte aber keinen Zusammenhang mit der Firewall feststellen. Es schien, als ob die ntuser.dat auf dem Server noch gesperrt sei, wenn der Rechner sie nach dem Anmelden lesen will. Workaround in meinem Fall war einfach das Deaktivieren des Schnellstarts. Es ging nur um wenige Sekunden. Oder man erzwingt längere/komplexere Passwörter.

Habe seit mehr als einem Jahrzehnt Mailstore im Einsatz. Der Kunde mit dem grössten Archiv hat mittlerweile knapp 5 TB E-Mails archiviert. Einen Vergleich habe ich nicht, aber es kann nicht schlecht sein, denn ich habe nie Support-Anfragen, obwohl es einige Kunden regelmässig verwenden, weil man darin besser Suchen kann als in Outlook.

Gehämmert wird immer, aber es ist mehr oder weniger lästig. Wird RDP gehämmert, können sich auch legitime Benutzer zeitweise nicht anmelden, da „interner Fehler aufgetreten“. Bei SSH hingegen werden höchstens die Logs gefüllt bzw. wenn man nur Zertifikats-Authentifizierung erlaubt, ist eigentlich Ruhe. RDP ist zumindest dem Anschein nach nicht entworfen worden, um direkt vom Internet her zugreifbar zu sein. Es unterstützt weder Mechanismen gegen Brute Force, noch Zertifikats-Authentifizierung. OpenVPN oder sonst etwas mit Zertifikaten wäre zu bevorzugen. Ganz konkret, mit Bordmitteln und für ein „Hobby-Szenario“ praktikabel: SSH. Mittels Batch wird vor dem Start des Remotedesktop-Clients eine SSH-Verbindung mit Port-Forwarding aufgebaut. Man muss dann zwei Passwörter eingeben, eines für den SSH-Key und einen für die Windows-Anmeldung am Server, aber dafür kann Port 3389 gegen aussen geschlossen bleiben.

Der Fehler sagt mir nichts im Zusammenhang mit IIS. Läuft auf dem Server noch ein anderer Webserver? Wenn localhost und IPv4 vom anderen Webserver besetzt wären, wäre nur IPv6 vom IIS verwendet und vom Server selbst ginge es evtl. und von den Clients nicht. Was sagt "netstat -ano | findstr :80"?