mwiederkehr

Die meisten meiner Kunden nutzen nur den Filter von Exchange Online. Der funktioniert sehr gut, es rutscht wenig durch und es gibt sehr selten False Positives. Microsoft hat den Vorteil, durch die Menge empfangener E-Mails Anomalien schnell feststellen zu können. Sie können dann auch rückwirkend E-Mails aus Postfächern löschen. Durchrutschen wird überall etwas. Ich habe kürzlich für einen Kunden eine Phishing-Kampagne gefahren. Ganz simpel, gültige Domain mit SPF, Name vom Geschäftsführer und dessen Signatur, Text sinngemäss „wegen eventueller Umstellung zurück ins Homeoffice bitte hier klicken und Zugangsdaten eingeben“. Fazit: 80% haben den Link geklickt und 30% ihre Zugangsdaten eingegeben… Gegen zielgerichtete Kampagnen ist wohl jeder Filter ziemlich machtlos.

Vielen Dank für eure Antworten! Von Interesse könnten die verbesserten Container-Features sein, wobei das mehr Wunschdenken ohne konkretes Datum ist, denn ich habe bis jetzt noch keine als Container verfügbare KMU-Software gesehen. Und ich habe mich noch nicht eingelesen, ob man die Container dann direkt auf den Nodes oder mit Nested Virtualization auf Container-Host-VMs laufen lässt. Wie dem auch sei, wenn ich den aktuellen Liefertermin für die Hardware anschaue, wird Windows Server 2022 wohl schon nicht mehr neu sein, wenn ich loslegen kann...

Das Argument „in ein paar Jahren Windows Server upgraden“ würde ich nicht als relevant einstufen, denn der Exchange 2019 ist früher aus dem Support als Windows 2019 (zumindest, wenn man den Extended Support einbezieht). Du wirst 2025 eine Migration durchführen müssen, aber nicht, weil Du Windows 2019 verwendet hast. Ich habe noch nie bei einem Exchange ein OS-Upgrade durchgeführt und weiss nicht mal, ob das unterstützt wäre (wohl eher nicht). Für Exchange ist das Betriebssystem sowieso nur Plattform. Ausser dem IIS braucht er nichts davon, eine neuere Version brächte also keine Verbesserungen. Die Version des Betriebssystems ist dort wichtig, wo man dessen Features braucht: DC, Fileserver, Remotedesktop etc.

Hallo zusammen Demnächst darf ich einen neuen Hyper-V-Cluster bauen. Der Kunde beschafft Lizenzen für 2022 Datacenter und CALs sind für Hyper-V ja keine notwendig. Die Hardware ist unterstützt für 2022, die Backupsoftware (Veeam) ebenfalls. Von daher könnte ich Server 2022 installieren. Aber soll ich? Einerseits sollte man davon ausgehen können, dass eine freigegebene Serverversion stabil genug läuft für den Produktiveinsatz. Andererseits sind die Vorteile bei Hyper-V im Vergleich zu Server 2019 nicht so gross, um viel zu riskieren. Andererseits scheint es von 2019 zu 2022 kein so grosser Schritt zu sein wie von 2008 auf 2012, sodass sich die Fehler in Grenzen halten dürften. Wie macht ihr das? Setzt ihr neue Versionen sofort nach Veröffentlichung ein oder wartet ihr „das erste SP“ ab, wie einem früher geraten wurde?

Ich weiss nicht, wofür ihr Acrobat verwendet, aber von meinen Kunden sind viele auf PDF-XChange umgestiegen, seit Adobe auf das Abo-Modell gewechselt hat. Darunter auch Ingenieurbüros, welche komplexe, aus dem CAD erstellte PDFs bearbeiten. Habe bislang nur Gutes gehört: günstig, schnell, läuft auf Terminalserver. Evtl. wäre das mal eine Evaluation wert?

Meine Kunden setzen Duo ein. Bisher gab es trotz um die 300 damit abgesicherten Konten kaum Supportfälle. Und wenn, dann nur "habe neues Smartphone, bitte neue Registrations-SMS auslösen", die App selbst läuft stabil.

Stimmt, PowerShell-Scripts können signiert werden. VB-Scripts übrigens auch.

Robocopy auf ein Netzlaufwerk beim Abmelden wäre möglich.

Mit "Get-FileHash" bekommst Du in der PowerShell den SHA256-Hash des Scripts. Wie Du diesen in Kaspersky auf die Whitelist setzt, weiss ich nicht.

Normalerweise hat man folgende Möglichkeiten, eine Datei zu bestimmen bzw. freizugeben: - Pfad und Dateiname ⇒ unsicher, wenn Benutzer Schreibzugriff auf Datei hat - Prüfsumme ⇒ muss bei jeder Änderung an der Datei nachgeführt werden - Signatur ⇒ benötigt ein Code-Signing-Zertifikat und Scripts selbst können nicht signiert werden (man kann sie aber mit py2exe in eine EXE-Datei umwandeln und diese dann signieren) In Deinem Fall wäre eine Freigabe über Pfad oder Prüfsumme wohl am praktikabelsten.

Beamforming (je nach Hersteller manchmal anders bezeichnet) können mittlerweile so ziemlich alle Geräte. Aruba und Ubiquiti auf jeden Fall. Aber ich würde mir nicht zu viel davon versprechen. Wenn der Empfang so schlecht ist, dass Beamforming, also das gerichtete Signal auf einen Client, einen wirklichen Vorteil verspricht, montiert man besser zusätzliche APs. In sehr dichten Netzwerken kann eine durch Beamforming mögliche niedrigere Sendeleistung ein Vorteil sein, aber das sind auch Ausnahmen. Ich habe vor mittlerweile fast zehn Jahren einmal das Netzwerk für ein grosses Areal aufgebaut. Das WLAN hat eine spezialisierte Firma gemacht, die machen nur Funk. Die haben Ruckus verwendet und der Techniker hat mir gesagt, alles andere sei „Spielzeug“. Ruckus hat seinen Ruf also ziemlich sicher nicht zu Unrecht. Aber ich bezweifle, dass die Vorteile heutzutage in einem Netzwerk normaler Grösse spürbar sind. Wenn ein Kunde von mir ein besseres WLAN wünscht, ist das eigentlich nie wegen mangelnder Signalstärke, sondern wegen ungenügendem Roaming (Verbindungsabbrüche), gewünschten Zusatzfeatures (Login per SMS) oder Wunsch nach höherer Performance (Wi-Fi 6). Wi-Fi 6 ist aus meiner Sicht ein Muss, auch wenn man die Performance (noch) nicht benötigt. Dann reichen auch APs mit Giga-Ethernet und es müssen nicht die teureren mit 2.5G sein. Wi-Fi 6 bietet neben der Performance noch viele weitere Verbesserungen. Beim Roaming merkt man die Unterschiede zwischen den Herstellern am besten. Ganz einfache Geräte haben einfach alle die gleiche SSID und das gleiche Passwort. Der Client schaut dann selbst, zu welchem AP er sich verbindet. Bessere Modelle können die Clients steuern. Die APs wissen voneinander, wer welchen Client mit welcher Signalstärke sieht. So erkennen sie frühzeitig, dass sich ein Client von AP A in den Empfangsbereich von AP B bewegt und können ihn (falls es der Client unterstützt, wieder ein anderes Thema...) entsprechend steuern. Bei Aruba (evtl. auch bei anderen Herstellern, aber von Aruba weiss ich es) geht das so weit, dass auch die Auslastung des APs in die Berechnung mit einbezogen wird. Kommen nach der Pause 200 Schüler durch die Türe, hat der vorderste AP viel zu tun mit WPA-Handshakes. Andere APs merken das, sehen gewisse Clients auch und teilen dem vordersten AP mit "ich sehe Clients X und Y". Der AP lehnt diese Clients dann ab, wodurch sie sich mit dem hinteren AP verbinden. Aber eben, ein schönes Beispiel, macht sich gut auf Marketing-Folien, aber in der Praxis kommen dann halt doch selten 200 Leute gleichzeitig durch die Türe.

Anfügen möchte ich noch Zammad, ein Fork von OTRS mit moderner GUI. Und Jitbit, welches mit .Net und SQL Server läuft und sich so auch in Umgebungen betreiben lässt, in denen kein Linux vorhanden ist.

Ok, dann zuerst Exchange 2016. Ich arbeite schon seit Version 5.5 mit Exchange, aber ein Guru wie andere hier bin ich nie geworden. Bin heute noch bei jedem CU etwas angespannt. Vielen Dank auf jeden Fall für eure Antworten!

Nach meinen Informationen ist der Exchange 2010 als Produkt selbst nicht mehr unterstützt, dies betrifft jedoch nicht den Einsatz in Hybridkonfigurationen. Dann wäre folgendes Vorgehen möglich? HCW auf Exchange 2010 installieren alle Mailboxen verschieben SCP entfernen, Autodiscover über Exchange Online Exchange 2016 installieren HCW auf dem Exchange 2016 installieren Exchange 2010 deinstallieren Mir erscheint das weniger risikobehaftet als wenn ich an der lokalen Installation etwas anpassen muss, solange dort noch Mailboxen laufen. (Die Umgebung ist seit mehreren Jahren unbetreut und ich habe etwas Bedenken, dass da unschöne Sachen auftauchen.)

Hallo zusammen In einer Umgebung steht ein einzelner Exchange 2010 mit um die 100 Postfächern. Ein Tenant bei Microsoft 365 ist vorhanden, die Benutzer werden auch schon per AAD Sync synchronisiert. Nun sollen die Mailboxen gezügelt werden. Würdet ihr den HCW auf dem Exchange 2010 ausführen oder zuerst einen Exchange 2016 installieren? Man kann auch gut nach der Migration einen Exchange 2016 dazu nehmen für die Verwaltung, oder? Ich möchte an der bestehenden Umgebung möglichst wenig ändern und wenn möglich nicht die Postfächer zuerst auf den 2016 und dann zu Exchange Online umziehen. Oder gar keinen 2016 installieren und mit dem 2010 ausharren, bis es zur Verwaltung keinen lokalen Exchange mehr braucht? Vielen Dank für eure Tipps!

Doch, die Geräte können VLAN. Zusätzlich gibt es eine Gastnetzwerk-Funktion, mit welcher die APs selbst nur noch Traffic zum Default Gateway erlauben. Man hat die Gast-Clients dann zwar im internen Netzwerk, aber sie können keine internen Geräte erreichen. Wenn die Netzwerkgeräte VLAN können, würde ich aber schon VLAN nehmen.

Ubiquiti ist gut, davon habe ich schon jahrelang auch grössere Installationen mit um die 30 Geräten im Einsatz. Mehrere SSIDs funktionieren und auch Voucher können sie verwalten. Dafür muss der Controller aber immer laufen, entweder mit etwas Gebastel als Dienst installiert oder auf einem Cloudkey. Zyxel läuft auch gut, ist wesentlich teurer und bietet sich vorallem an, wenn man schon eine Zywall betreibt und alles darüber verwalten will. Bin da aber nicht so Freund davon, ist meines Erachtens den Mehrpreis nicht wert. Sehr begeistert bin ich von der "Instant On"-Linie von Aruba, die es etwas mehr als ein Jahr gibt. Das ist Aruba-Technologie für kleinere Umgebungen mit Verwaltung in der Cloud (kostenlos). Ich habe das Gefühl, dass diese die Clients aktiver zu einem besseren AP roamen als die Ubiquiti. Das ist aber nur ein Erfahrungswert à la "ich laufe mit dem Smartphone rum und pinge" und keine Messung. Zudem habe ich alte Ubiquitis ersetzt durch neue Arubas. Schön bei den Instant On ist, dass man sie direkt dem Kunden schicken kann und dann über die Seriennummer einbinden in die Verwaltung. Dafür ist alles in der Cloud. Von der Funktionalität her sind die Instant On ungefähr mit Ubiquiti vergleichbar. Sie können keine Voucher, dafür können sie NAT und DHCP und ein Content Filter ist kostenlos dabei. Die "grossen" Aruba kosten mehr, für die Cloud werden auch jährliche Gebühren fällig, dafür können sie Sachen wie Authentifizierung per SMS, Facebook etc. Fazit: Für kleinere Umgebungen würde ich mir Ubiquiti und Aruba Instant On ansehen, bei mehr als ca. 50 Geräten oder mehr als 100 Clients pro AP würde ich zu den grossen Arubas tendieren. In grösseren Umgebungen kann sich eine Ausmessung durch eine Fachfirma lohnen. Die messen mit Profi-Geräten und sagen einem dann genau, wo man einen AP platzieren muss. Eine solche Firma sagte mir mal, man hole die Kosten für die Messung gut wieder herein, weil man meist wesentlich weniger APs benötige, als man als Laie vermute.

Ja, unter Home den generischen Key eintragen. Das sollte das Upgrade erzwingen. Hat bei mir immer funktioniert, manchmal einfach nur mit getrennter Internetverbindung.

Ja, anscheinend ist der Rechner mit einer digitalen Lizenz für Windows 10 Home ausgestattet. Das Upgrade auf Windows 10 Pro klappt leider nicht direkt mit dem Pro-Key, sondern man muss über einen generischen Key gehen: - Key ändern - als Key "VK7JG-NPHTM-C97JM-9MPGT-3V66T" eingeben (ich hatte es schon, dass ich dafür die Internetverbindung trennen musste, da es sonst zu einer Fehlermeldung kam) => nach einem Neustart ist die Edition auf Windows 10 Pro, aber natürlich nicht aktiviert (da generischer Key) - jetzt nochmals Key ändern und dabei den richtigen Pro-Key verwenden und die Internetverbindung aktiv lassen => Windows 10 Pro ist jetzt aktiviert

Wenn man bei Incamail per SMTP einliefern will, muss man ein Formular ausfüllen, auf dem man ihnen mitteilt, mit welchem Zertifikat sich der Server (per SMTP mit STARTTLS) meldet. Das muss ein "offizielles" Zertifikat sein. Es geht bei Incamail ja darum, "eingeschriebene" E-Mails zu schicken und da müssen sie wissen, dass die E-Mail vom richtigen Server kommt. Dies für den Fall, dass die E-Mails von einem lokalen Exchange gesendet werden. Falls die Nachrichten über Exchange Online geroutet werden, ist das Setup evtl. anders. Dort weiss man ja weder die IP noch ist das Zertifikat kundenspezifisch. Habe auf die Schnelle keine Informationen gefunden, aber der Support von Incamail sollte gut weiterhelfen können. Du bezahlst ja schliesslich eine Setup-Gebühr.

Nur der Vollständigkeit halber: Certify the Web kann Let's-Encrypt-Zertifikate automatisch bei Exchange hinterlegen. Aber persönlich tausche ich lieber einmal jährlich geplant ein gekauftes Zertifikat aus, statt mich auf solche Automatismen zu verlassen. Zumindest bei Sachen wie Exchange.

Ja, in sehr begrenzten Fällen. Verknüpfungen habe ich noch nie angepasst, eher so Sachen wie einzelne Werte ändern oder ein Blattschutz-Kennwort entfernen. Das XML ist wesentlich komplexer, als man vielleicht vermutet. Es stehen nicht einfach alle Zellen mit Werten drin, sondern die Werte stehen in einer Lookup-Tabelle. Ändert man dort einen Wert, ändert er in allen Zellen. Datentypen werden auch unterschieden. Wenn man ohne Excel Anpassungen vornehmen muss, kann man das Open XML SDK verwenden. Das ist immer noch recht unhandlich, aber besser als direkt im XML zu hantieren. Für den professionellen Einsatz kann ich die Komponenten von GemBox empfehlen. Die sind einfach nutzbar und können auch Sachen wie die Spaltenbreiten automatisch anpassen. Office auf dem Server zu installieren und Excel fernzusteuern ist ja zu Recht nicht nur aus lizenztechnischer Sicht verpönt.

Sind es XLS- oder XLSX-Dateien? XLSX könnte man entzippen, das XML mit Suchen/Ersetzen anpassen und dann wieder zippen. Du kannst mal eine Datei im Excel anpassen und das XML vorher/nachher vergleichen.

Wird es Aufzeichnungen der Sessions geben?

Schadsoftware kann (im Minimum) alles, was der angemeldete Benutzer auch kann. Wenn der Benutzer im SharePoint die alten Versionen löschen kann, kann es auch die Schadsoftware. Aber auch wenn „die Cloud“ verspricht, dass der Benutzer die Versionen nicht löschen kann, würde ich die Daten trotzdem an einen unabhängigen Ort sichern. Denn evtl. geht es irgendwie doch und auch bei Microsoft kann mal was passieren. Eine Sicherung mit Veeam auf einen Server, der für die Benutzer nicht erreichbar ist, ist sicher nicht schlecht. Oder, wenn keine lokale Infrastruktur erwünscht ist, mit Acronis Cyber Protect die Daten zu Acronis sichern ("Cloud-2-Cloud-Backup"). Von der Backuplösung der neuen Synology-Firmware (DSM 7) habe ich ebenfalls Gutes gelesen. Das könnte in kleineren Umgebungen ebenfalls eine Option sein.