mwiederkehr

Vielen Dank für die Antworten. Offline-Dateien sind deaktiviert und ausser dem Defender läuft kein AV. Der Kunde hat mich diese Woche aber noch darauf angesprochen, dass er bei dem Server vom Datenlaufwerk keine einzelnen Dateien mit Veeam restoren kann. Das Laufwerk wird nicht angezeigt. Komischerweise meldet der Server selbst keine Probleme. Anscheinend war die VHDX mal bei einem Problem mit dem SAN auf der "abgestürzten" LUN. Habe eine neue VHDX angehängt und die Daten kopiert. Seither ist die Disk im Veeam Restore wieder sichtbar. Zudem wurde das Netzlaufwerk mittels GPO unter Verwendung des Namens des alten Fileservers (welcher jetzt per CNAME auf den neuen Server zeigt) verbunden. Ich habe das angepasst auf den neuen Namen. Bis jetzt scheint es zu funktionieren, aber das kann auch Zufall sein.

Ja, wenn man die Kameras hat, ist das natürlich praktisch. Ich verwende für einfachere Überwachungen gerne Synology oder -wenn es die Cloud sein darf- Arlo. Die lokale Verwaltung ist generell ein Vorteil von UniFi. Bei Aruba ist fertig lustig, wenn der Hersteller irgendwann mal keine Lust mehr hat, die Server dafür zu betreiben. Wobei ich da bei HPE nicht so Bedenken habe. Falls Du mal einen kleineren Server brauchen solltest: auf den NUCs läuft Hyper-V tadellos. Setze die noch gerne bei kleineren Kunden ein für zweiten DC und Backup. Jetzt erscheint dann die neue Generation mit Intel vPro, also einer Art iLO.

Ich war jahrelang zufriedener Anwender von UniFi, sowohl geschäftlich als auch privat. Der einzige Nachteil war der Bedarf eines Controllers. Auf einem PC oder Server installieren oder den CloudKey kaufen, finde ich alles nicht ideal. Deshalb bin ich bei der recht neuen Produktlinie "Instant On" von HPE Aruba gelandet. Hier setze ich meist die AP-22 ein. Die sind recht günstig und funktionieren problemlos. Auch der Wireless Uplink ist sehr gut. Die Geräte unterstützen ohne Aufpreis auch erweiterte Features wie eigene Subnets inkl. NAT in bestimmten SSIDs oder einen Inhaltsfilter. Ich weiss nicht wie gut der ist, aber zumindest für privat ist er eine zusätzliche Schutzschicht.

Ja, ganz genau. Man kann aber bisher noch kein eigenes Root-Zertifikat verwenden. Wäre praktisch, wenn man schon eines verteilt hat auf den Geräten. In diesem Fall könnte man das der Sophos nehmen.

Das schon, aber man kann kein eigenes Root-Zertifikat verwenden, mit dem er die selbst erstellten Zertifikate signiert. Dieses Feature steht seit einigen Jahren auf der Wunschliste. Und soweit ich weiss erstellt er für alle angefragten Hosts immer ein eigenes Zertifikat und verwendet nicht ein im Windows vorhandenes. Was aber geht, ist das Ignorieren von ungültigen Zertifikaten auf Serverseite.

Bei Fiddler kann man leider noch keine eigenen Zertifikate verwenden. Dafür müsstest Du noch einen Proxy davor schalten.

Ich verwende für solche Sachen Fiddler. Wenn die App die Proxy-Einstellungen berücksichtigt, geht das ohne "Tricks". Das Zertifikat muss jedoch installiert werden: https://www.telerik.com/blogs/how-to-capture-ios-traffic-with-fiddler

Danke für die Vorwarnung! Ich denke, für uns ITler wird es nicht mehr so schlimm wie beim letzten Mal, weil wir keine Server mit uraltem CU mehr antreffen und die Kunden nicht mehr von der Notwendigkeit der zeitnahen Installation des Updates überzeugen müssen.

Hallo zusammen Bin seit einiger Zeit auf der Suche nach einer Lösung für ein sehr merkwürdiges Problem. Umgebung: alles WS2019: DCs, Fileserver, Terminalserver. Die Benutzer arbeiten auf dem Terminalserver und haben Freigaben vom Fileserver verbunden (kein DFS). Es ist nur Windows Defender aktiv, keine sonstigen On-Access-Scanner. Wenn die Benutzer nun einen neuen Ordner erstellen, legt es diesen korrekt als "neuer Ordner" an. Wollen sie ihn dann Umbenennen, heisst es "Ordner wurde nicht gefunden". Rufen Sie dann den Support an und der schaut per Fernwartung drauf, funktioniert es meist. Das Problem tritt unregelmässig auf, bei den 30 Benutzern erwischt es jede Woche ungefähr einen. Ich konnte es einmal beobachten: nach einigen Minuten funktioniert es wieder. In der Zeit, in der es bei Ordner X nicht funktioniert, kann Ordner Y problemlos umbenannt werden. Selbst auslösen konnte ich den Fehler nicht. Das Problem tritt nicht nur im Explorer auf: eine Software, welche einen Report zuerst als temporäre Datei exportiert und dann in ".xlsx" umbenennen will, ist auch schon gescheitert. In den Logs finde ich nichts und weil es recht selten auftritt, kann ich nicht mit Sicherheit sagen, ob es lokal am Fileserver auch auftreten würde. Ich habe das noch nie gesehen und bin im Moment recht ratlos. Hat jemand eine Idee?

Lizenziert werden müssen nur laufende VMs. Ein ausgeschaltetes Replica besteht nur aus ein paar Dateien. Eine händisch kopierte VHDX muss man auch nicht lizenzieren. Aber: niemand macht Replicas, startet diese aber nie zumindest zum Test. Sobald eine Replica-VM gestartet wird, benötigt sie eine Lizenz. Entweder eine normale Lizenz oder man nimmt SA, welches den parallelen Betrieb der Replicas für Tests erlaubt. Der Punkt ist nicht das Feature „Replica“, sondern „zweite VM“. Setzt man statt Hyper-V Replica zum Beispiel Veeam Replication ein, ändert das nichts am Lizenzbedarf.

Speziell bei PDQ ist, dass man pro Admin und nicht pro verwaltetem Rechner bezahlt. Wenn Du der einzige Admin bist, kostet es 1000$. Der Preis ist pro Jahr. Danach läuft die Software noch, man hat jedoch keinen Zugriff mehr auf die Package Library und ohne die ist der grosse Vorteil dahin.

Es gibt von Microsoft ein Tool zum Ausblenden von Updates. Leider kann dieses nicht per Kommandozeile bedient werden. Es gibt aber eine Lösung mit PowerShell, welche den gleichen Zweck erfüllt: https://windowsloop.com/hide-updates-windows-10/. Entweder das Script per GPO starten oder schauen, was es verändert (wird wahrscheinlich einen Registry-Key setzen) und das dann auf allen Rechnern machen.

Logstash und Splunk gehören in diesem Bereich zu den bekannten Lösungen. Die Installation und Konfiguration ist allerdings nicht mal eben erledigt. Als einfachere Alternative könntest Du einen syslog(-ng) betreiben mit einem Web Interface (zB. loggr.io). Es gibt kostenlose Tools, welche Meldungen aus dem Windows Event Log an einen syslog-Server schicken. Die Frage ist, was Du brauchst: Einfach eine zentrale Sammlung der Meldungen mit Suchfunktion? Dann würde ich syslog-ng nehmen. Oder ein komplettes "Information and Event Management", welches verdächtige Muster erkennt? Dann würde ich Logstash bzw. den ELK Stack genauer anschauen.

Der HTML5-Client benötigt WebSockets, das musst Du beim Reverse Proxy wahrscheinlich noch aktivieren. Schau sonst mal im Browser mit der Netzwerküberwachung (F12), dort steht evtl. ein genauerer Fehler.

Wenn es nur um die Verteilung von Software und Updates geht, ist PDQ Deploy eine günstige und gute Lösung für Umgebungen dieser Grösse. Für die komplette Verwaltung inkl. OS-Deployment kann ich highsystem.NET empfehlen. Das ist dann aber eine Preisklasse höher. Beide Tools bringen eine Bibliothek mit Standardsoftware mit. Man muss sich also nicht beim Hersteller die jeweils aktuelle Version holen, die Silent-Install-Parameter nachschauen und automatische Updates deaktivieren.

Es gibt Steckerleisten, die ein Gerät (bzw. eine IP im Internet) pingen können und das Gerät neu starten, wenn keine Antwort kommt, siehe https://www.netio-products.com/en/glossary/watchdog-ip-watchdog. Einige Modelle lassen sich sogar per Lua-Script steuern, so dass du mehrere IP-Adressen pingen könntest. Aber ein anderer Router ist trotzdem die bessere Variante.

OPNsense ist genial. Es unterstützt WireGuard, welches wesentlich eleganter (und schneller) als OpenVPN ist. In grossen Umgebungen setzt man aber meist auf ein Produkt mit Herstellersupport. Obwohl ich mit WireGuard noch keine schlechten Erfahrungen gemacht habe, würde ich mich nicht trauen, es für so viele Benutzer einzusetzen.

Ich mag die Watchguards. Der Clusterbetrieb ist unproblematisch und sie lassen sich gut über das Windows-Tool konfigurieren. In kleinen Umgebungen habe ich auch gerne ein Webinterface, aber bei grossen Installationen ist es praktisch, mehrere Änderungen auf einmal anwenden und bei Bedarf zurückrollen zu können. Bezüglich Leistung hatte ich nie Probleme, man darf aber in der Praxis mit nicht mehr als etwa der Hälfte der angepriesenen Leistung rechnen. Also genügend Reserve einberechnen. IPSec-VPN ist dank AES-Unterstützung schnell, bei SSL habe ich zu wenig Erfahrungen, da dort nie mehr als 20 Benutzer gleichzeitig verbunden sind. Den Content-Filter finde ich sehr gut, der Spamfilter ist hingegen unbrauchbar.

Mit Pre-Auth: einverstanden. Wenn ein Proxy aber alles 1:1 weiter gibt, bringt er nicht viel. Bei der ProxyLogon-Lücke hätte so ein Proxy nichts geholfen. (Aber man hätte mit ihm schnell und zentral den Zugriff auf die anfällige Datei blockieren können, als raus kam, welche es ist.)

Den Host habe ich gerne auf einer anderen Partition. Ist einfacher bei Restores oder falls mal eine Neuinstallation notwendig sein sollte. Aber nicht pro VM eine Partition.

Wer es cooler will, nimmt Traefik oder Caddy. Wobei Traefik seine Stärken eher bei Docker ausspielt, ist Caddy auch ohne Docker recht einfach konfigurierbar. Einrichten, starten und ein paar Sekunden später ist ein Let's-Encrypt-Zertifikat aktiv. In Windows-Umgebungen nutze ich aber auch gerne den IIS mit Application Request Routing. Braucht keine zusätzliche VM und ist schnell konfiguriert. Ich finde, der erhält zu wenig Beachtung für das, was er kann. Irgendwie ist bei vielen Admins noch "Netzwerk? Nehm ich was mit Linux." im Kopf, obwohl der IIS in den letzten Jahren massiv an Features zugelegt hat.

Ich würde das nicht über Office machen. Spezielle Tools dafür sind weniger fehleranfällig und wesentlich schneller. Die Tools von GemBox sind super. Diese verwende ich für die serverseitige Erstellung / Konvertierung von Word- und Excel-Dokumenten. Es ist eine .NET-DLL, die lässt sich auch aus der PowerShell ansteuern. Die Lizenz ist pro Entwickler, ein damit entwickeltes Tool darf also weiterverteilt werden. Günstiger ist der reaConverter, dafür lizenziert pro Rechner. Ich habe keine Erfahrung damit in Bezug auf Office-Formate, aber ein Kunde setzt den im grossen Stil für Bild- und Vektorkonvertierungen ein und ist sehr zufrieden damit. Er kann Ordner auf neue Dateien überwachen, so dass Du evtl. ganz ohne PowerShell auskommst.

Ich nehme an, damit ist wie bei anderen Diensten (Netflix, Spotify etc.) die Wohnadresse gemeint.

Die Kaufversionen von Office lizenziert man pro Rechner, die Abo-Versionen (Microsoft 365) lizenziert man pro Benutzer. Benutzer im Sinne von "Mensch" nicht "Windows-Konto". Seit ein paar Monaten muss man bei Office angemeldet bleiben, damit die Lizenz aktiv bleibt. Man kann es also nicht als Admin installieren und dann unter mehreren Benutzern verwenden. (Es sei denn, es ist einem egal, dass diese alle Zugriff auf die eigenen Dateien bei OneDrive haben. Aber auch dann ist es ein Verstoss gegen die Lizenzbedingungen.) Als Ausnahme ist mir nur Office 365 Family bekannt. Das ist explizit für mehrere Benutzer vorgesehen.

RDP von aussen ist unschön. Falls es darum geht, die Büro-Rechner für Benutzer von zuhause erreichbar zu machen, nimm VPN. Kann man auf jeder Firewall einrichten und Windows 10 unterstützt IPSec, so dass man nicht mal einen speziellen Client braucht. Habe das bei Kunden seit letztem März im grösseren Umfang im Einsatz und es läuft problemlos. Eine zeitliche Zugriffsbeschränkung bringt aus meiner Sicht nichts. Das ist wie den RDP-Port zu ändern: es dauert nur etwas länger, bis die Angriffe starten. Wenn es wirklich nicht anders geht, hättest Du noch folgende Varianten: - Zugriff auf Firewall auf IP-Ranges aus Deutschland beschränken (wobei aber auch in Deutschland Botnet-Teilnehmer stehen...) - Im Security-Event-Log nach der ID 4648 suchen. Dort stehen die erfolgreichen Anmeldungen drin. So kommst Du an die IP-Adressen der Benutzer. Diese kannst Du dann erlauben und alles andere verbieten. (Wobei ich nicht weiss, wie fix die IPs in Deutschland sind. In der Schweiz sind auch die dynamischen recht fix, ändern also so gut wie nicht.) Das ist aber nur in ganz kleinen Umgebungen praktikabel. - Mittels Script nach der ID 4625 (Fehlerversuche) suchen und die IPs blocken. Bringt nach meiner Erfahrung nicht mehr viel, da die Versuche von riesigen Botnetzen kommen und jede IP nur ein paar Mal probiert.