mwiederkehr

Ja, wobei die Kunden auch ganz schön träge sind. Ich kenne Privatleute, die Home & Business kaufen, weil sie ein paar Briefe schreiben und täglich mal kurz die Mails abrufen. Für die ist "Brief = Word" und "Mail = Outlook" und es ist ihnen das Geld wert. Brauchen würden sie Office aber nicht. Das andere Extrem ist ein Kunde (Autowerkstätte) mit fast 100 Usern, der seit zehn Jahren mit Libre Office arbeitet. Ich hatte ihm davon abgeraten, aber zu meinem Erstaunen funktioniert es super. Je nach Betrieb braucht man ja keine komplexen Office-Funktionen, sondern die meisten Dokumente kommen von der Auftragsverwaltung. Beliebig mühsam kann es Microsoft also nicht machen, irgendwann schauen sich auch Gewohnheitstiere nach Alternativen um.

Da man die Kaufversionen pro Rechner und nicht pro Benutzer lizenziert, lege ich in solchen Fällen ein Konto pro Rechner an. Neuerdings darf der Kontoname nicht mehr "office" enthalten übrigens... Ist mühsam und ich frage mich, weshalb Microsoft die Kunden so schlecht behandelt. Aber wenn es mehr als ein paar wenige Rechner sind nehme ich sowieso lieber Volume-Lizenzen. Immer häufiger wollen Kunden in der Grösse direkt Microsoft 365, so dass das nicht mehr so häufig ein Thema ist.

Das wäre mir neu. Wenn man im Receiver den Zugriff auf lokale Laufwerke nicht zulässt, kann der Server das nicht übersteuern. Es gab letztes Jahr einen Bug im Receiver, über welchen der Zugriff trotz Verbot erlangt werden konnte (CVE-2019-11634). Dieser wurde aber schnell mittels Update behoben. Gemäss meinen Informationen ist der Zugriff auf Server über Citrix nicht gefährlich, wenn man seinen Receiver (und das ganze System) aktuell hält.

Das sollte so funktionieren wie von Dir beschrieben. Im Grundsatz hast Du zwei Elemente: das View (die Form, in XAML) und das ViewModel (die Daten und Methoden). Beim Start liest das ViewModel die INI-Datei aus und stellt die Verzeichnisse als öffentliche Liste zur Verfügung. Das DropDown bindet daran. Das selektierte Element wird ebenfalls an eine Eigenschaft des ViewModels gebunden. Über dessen Setter erfährst Du, wenn das Verzeichnis gewechselt wurde und kannst die Dateien auflisten. (Und wieder als öffentliche Liste zur Verfügung stellen, die ListBox daran binden etc.) Ein Sonderfall ist das Doppelklick-Event auf eine Datei: das musst Du wie alle Events im Code Behind des Views verarbeiten. Um die Datei zu öffnen, kannst Du einfach "Process.Start()" nehmen. Windows weiss bei docx, dass es Word starten muss. Den Aufruf kannst Du entweder im Code Behind unterbringen oder Du rufst eine Methode im ViewModel auf (schönerer Stil).

Exchange Online hatte die letzten Tage ein paar Probleme, die auch in den Medien waren. Aber von "instabil" ist das meiner Meinung nach noch weit entfernt. Ich habe viele Kunden mit grossen Postfächern auf Exchange Online, und bei denen gibt es weder Synchronisierungsprobleme noch verschwinden Kontakte. Deshalb vermute ich, dass die Probleme beim Client und nicht dem Server liegen. Verwendet ihr Apple Mail als Client? Aus Erfahrung kann ich sagen, dass man, wenn man sich für E-Mail bzw. Groupware von Microsoft entscheidet, am besten fährt, wenn man von Anfang bis Ende, also Server bis Client, deren Produkte verwendet. Sowohl bei "Exchange mit Drittanbieter-Client" als auch bei "Linux-Groupware mit Outlook-Addin" habe ich schon diverse Probleme erlebt. Falls ihr nicht an Microsoft gebunden seid oder keine Groupware braucht, gibt es sicher noch andere Lösungen. Mit "nicht-Exchange-Groupware" kenne ich mich nicht aus, aber wenn ihr nur E-Mail braucht, kommt ihr mit IMAP-Postfächern bei einem x-beliebigen Provider in Kombination mit einem guten Client sicher nicht schlecht weg.

Das Upgrade von Home auf Pro ist leider manchmal etwas umständlich. Der Upgrade-Key aus dem Store funktioniert, ist jedoch übermässig teuer. Normale Pro-Keys werden nicht akzeptiert, weil sie ja eben Pro- und keine Home-Keys sind. Windows merkt da nicht, dass man upgraden will. Lösung: In den Store gehen und "ich habe einen Key" auswählen. Dann folgenden Key eingeben: [entfernt]. Dies ist ein generischer Upgrade-Key von Microsoft. Danach hat man Windows 10 Pro, jedoch logischerweise nicht aktiviert. Zur Aktivierung kann man den erworbenen Pro-Key verwenden.

Ich denke nicht. Der Empfänger hat die Nachricht angenommen. In welchen Ordner er sie einsortiert, ist seine Sache. Für Dich ist wichtig, dass er sie angenommen hat. (Genau deswegen halte ich Quarantäne bei E-Mail für Unsinn.) Kann man versuchen, aber die Zeiten, in denen sich die Server ausführlich mit "Exim x.y on Debian x.y" gemeldet haben, sind vorbei. Heutzutage kommt meist nur noch "SMTP ready" oder so. Muss ja nicht jeder wissen, welches System auf welchem Patchlevel man einsetzt.

In einer Pro-Variante würde der Benutzername mittels Windows-Authentifizierung ermittelt. So könnten Schelme entlarvt werden.

Mit .NET Web API (weil auf jedem IIS oder auch standalone einfach betreibbar). Wie @Sunny61 erwähnt hat, ist ein Webservice nicht notwendig, wenn man einen von den Clients erreichbaren Datenbankserver zur Verfügung hat und eine Stored Procedure erstellt.

Vor einigen Jahren habe ich so etwas mal mit .NET und SQLite umgesetzt: per Anmeldescript wurden Anmeldungen in der Datenbank protokolliert und per Abmeldescript auch die Abmeldungen. Mit einer Abfrage konnte man dann feststellen, ob User XY zur Zeit eingeloggt und ist falls ja, an welchem Rechner. Es ging da um wechselnde Arbeitsplätze, aber ohne wechselnde Rufnummern. Heutzutage liesse sich das recht einfach mittels PowerShell und SQLite umsetzen. Da die Benutzer Zugriff auf die Datenbank haben müssen, lässt sich nicht verhindern, dass sie diese auslesen. Will man die Daten schützen, braucht man einen (einfachen) Web Service dazwischen, welcher die Daten einträgt. Dafür reicht dann im Anmeldescript ein Aufruf von Invoke-WebRequest mit https://srv/log?hostname=x&username=y&action=logon.

Wieder was gelernt: in der Schweiz haben wir einen Farbcode zum Einlesen. Wie dem auch sei, Du könntest folgendes versuchen: Flicker-Geschwindigkeit reduzieren. Die ist anscheinend einstellbar und laut Hilfeseiten im Internet funktioniert es ab 55% über RDP. Per RDP statt über die Hyper-V-Konsole zugreifen. Ist zwar beides RDP, aber evtl. verwendet der normale Client andere Verbindungsparameter. VNC statt RDP verwenden. Bin da aber nicht sehr zuversichtlich. VMware Player statt Hyper-V verwenden. Der ist mehr optimiert für die grafische Interaktion zwischen Host und VM. Bezüglich Sicherheit müsstest Du idealerweise übrigens den umgekehrten Weg gehen: Online Banking auf dem Host, E-Mail und Web in der VM. (Ein kompromittierter Host hat Zugriff auf die VM, eine kompromittierte VM aber nicht auf den Host.)

Ich würde schauen, ob es vom entsprechenden Berufsverband eine Empfehlung gibt. Die "Verbindung der Schweizer Ärztinnen und Ärzte" gibt zum Beispiel recht umfassende Wegleitungen heraus: Praxisinformatik.

Stimmt, der Standard sagt "max. 100m". Da war ich nicht richtig informiert (und habe 10GigE über Kupfer bisher erst mit DACs innerhalb des Racks gesehen). Trotzdem würde ich Glas nehmen, weil der Vorteil "Zukunftssicherheit" die geringen Mehrkosten (wenn man von vorkonfektionierten Kabeln ausgeht) meiner Meinung nach mehr als aufwiegt.

Für mich sieht das aus, als ob euer Mailserver auf einer Blacklist stünde. Du kannst die IP hier prüfen: https://mxtoolbox.com/blacklists.aspx.

Ich würde auch Glasfaser nehmen. Die verlegt man einmal und wenn schnellere Standards verfügbar sind, tauscht man nur die SFPs aus. Schon für 10 GigE sind 60 Meter lang. An jedem Ende der Leitung ein Switch mit SFP und Du hast alles in einem Netz. Für WLAN könnte man UniFi nehmen, aber ich würde mal einen Blick auf die Aruba Instant On werfen: den AP11 oder den AP22 (mit WiFi 6). Die haben mich bezüglich Reichweite und Client Steering mehr überzeugt als die Geräte von Ubiquiti. Und man braucht keinen Controller dafür.

Es ist eine Gratwanderung: würden "Legacy-Systeme" automatisch ausgesperrt, gäbe das ein Drama ("Seit dem letzten Update funktioniert mein NAS nicht mehr!") und "Nebenbei-Admins" würden noch weniger Updates installieren als jetzt schon. Microsoft scheint dieses Risiko als grösser einzuschätzen als die Gefahr, die durch übernommene Computerkonten einhergeht. Zumal man damit ja nicht mehr die Domäne übernehmen kann (ausser vielleicht, man hat betreibt einen Samba als DC). Was mich noch interessieren würde: es besteht die Möglichkeit, dass der Exploit schon lange bekannt war und im "Untergrund" gehandelt wurde. Haben Firmen mit kritischen Infrastrukturen Prozesse, um ihre Systeme bei Bekanntwerden solcher Lücken zu prüfen? Wird die AD-Datenbank offline auf merkwürdige Benutzer untersucht? Das Passwort vom KRBTGT-Account zurückgesetzt?

Fast. Basic Auth sollte im Oktober 2020 abgeschaltet werden, aber wegen Corona wurde das im Frühling um ein Jahr verschoben. Outlook 2013 wäre dabei aber kein Problem, das unterstützt Modern Authentication (siehe auch https://nexcon.ch/modern-authentication-in-office-365-was-ist-zu-tun/). Aber ab 13. Oktober wird Outlook 2013 nicht mehr unterstützt für den Zugriff auf Exchange Online. Es wird nicht aktiv geblockt, aber irgendwann wird es Neuerungen geben, mit denen es dann nicht mehr funktioniert (siehe auch https://office365itpros.com/2020/07/17/end-sight-office-2013).

Setze WireGuard noch nicht produktiv ein, hauptsächlich mangels Unterstützung in kommerziellen Firewalls. Privat mit opnSense läuft es aber gut. Der Autor sieht WireGuard wie Du schreibst als Lösung für sichere Tunnel zwischen Systemen. Es ist also näher an IPSec als an OpenVPN. Man verlässt sich auf die Dateisystemrechte des Betriebssystems für den Schutz der Konfigurationsdateien. Das ist nicht ganz abwegig, schliesslich kann ein Passwort auch leicht abgegriffen werden, wenn der Angreifer auf dem System ist. Unter Windows ist zu beachten, dass nicht nur die Installation, sondern auch Verbindungsauf- und abbau Adminrechte benötigen. Man kann jedoch einen Dienst für jeden Tunnel installieren. Die Konfigurationsdatei muss nur vom Dienst gelesen werden können, nicht vom Benutzer. Der Benutzer muss lediglich allenfalls das Recht haben, den Dienst zu starten. So könnte man ihm den Lesezugriff auf die Konfiguration entziehen.

Habe erst vor wenigen Jahren erfahren, dass das funktioniert. Musste ein HP-UX von einem Tape zurückholen auf eine Ersatz-Workstation. Das braucht tatsächlich nicht mehr als das Tape und ein paar Kommandos. Ja, das Tape ist bootfähig. Und wenn er mal an der richtigen Stelle ist, ist so ein System in einer halben Stunde zurückgespielt.

Ich würde unterscheiden zwischen den Grundlagen der Sprache (Syntax, Objekte, Pipes etc.) und der Anwendung der Sprache (welche Klasse für AD-Zugriff verwenden etc.). Die Grundlagen würde ich mir mittels Buch oder Online Schulung aneignen. Evtl. gibt es in der Microsoft Virtual Academy etwas: https://channel9.msdn.com/Series/Getting-Started-with-Microsoft-PowerShell. Ideal sind Lektionen, bei denen man eine Übung macht und dann die Lösungen verschiedener Teilnehmer angezeigt bekommt. codeacademy.com und codingame.com sind dafür super, bieten aber leider kein PowerShell an. Für die praktische Anwendung würde ich wie MurdocX empfehlen, vorhandene Scripte anzupassen. Und noch ein Tipp: nimm Visual Studio Code. Die PowerShell ISE macht keinen Spass.

Habe schon verschiedene Ansätze gesehen. Ein Kunde hat fix jeden Freitag von 21 - 23 Uhr Wartungsfenster. Die Kunden seiner gehosteten Software wissen und akzeptieren das. Ist praktisch, weil man jeden Freitag neue Releases aufspielen kann, ohne immer E-Mails zu verschicken. Je nach Vorlieben der Techniker ist der Samstag eine Option. Das wird dann mit 125% den Überstunden angerechnet. Oder man automatisiert und überwacht die Updates: Installation ab 18 Uhr, wenn die Server bzw. Dienste um 20 Uhr noch nicht verfügbar sind wird der Techniker auf Bereitschaft alarmiert. In Deinem Fall scheint es aber einen Konflikt zwischen Verfügbarkeitsanforderungen und verfügbarer Infrastruktur zu geben: wenn man Notfallversorgung machen muss, sollte man nicht darauf hoffen müssen, dass der einzige Host schnell wieder startet...

Oder anders formuliert: wenn Du eine E-Mail annimmst, diese aber nicht zur Kenntnis nimmst - weil Du nicht dazu gekommen bist, da ein Spammer über Nacht 10'000 Adressen durchprobiert und so das Postfach gefüllt hat- hast Du bei Fristen ein Problem. Denn Dein Server hat die Nachricht angenommen. Werden ungültig adressierte Nachrichten jedoch abgewiesen, wird der Absender sofort auf seinen Fehler hingewiesen und ist in der Pflicht, die Nachricht korrekt adressiert zu senden. Ich würde das dem Kunden zu erklären versuchen.

Digitalisierte Musik kann wie das Original klingen. Aber nicht mit verlustbehafteten Komprimierungsverfahren wie MP3 und nicht, wenn die Aufnahme vom Studio auf "Massengeschmack" getrimmt wurde (Übersteuern, Loudness). Ein Nerd von B&W hat mir Tidal empfohlen und vorgespielt. Ich war begeistert, aber weiss nicht, ob ich wirklich einen Unterschied zu gutem MP3 gehört hätte. Jedenfalls nicht ohne Direktvergleich.

Ein Problem beim direkten Zugriff auf den Fileserver sehe ich darin, dass dann Altlasten wie SMBv1 erhalten bleiben müssen. Ich würde deshalb wie Jan einen Transferserver vorschlagen. Dieser könnte die Daten über Nextcloud zur Verfügung stellen. Oder man nimmt einen Linux-Server, mountet ein Verzeichnis vom Fileserver und stellt dieses über Samba zur Verfügung. Was je nach Software auch ginge: die alten Systeme auf neue Rechner virtualisieren, zum Beispiel mit VMware Workstation bzw. Player. Datenzugriff über Shared Folders vom Host bzw. Copy-Paste. So baut der Host die Verbindung ins Netz auf und die VM hat nur Zugriff auf den Host und das auch nur über VMware. Damit ist auch gleich das Problem alternder Hardware erledigt. Das so betriebene Windows 98 eines Kunden bootet von SSD so richtig schnell.

Er zieht die IP vom DHCP-Server, der zuerst antwortet. Ist aber keine schöne Lösung. Wenn es nur um Smartphones und Konsorten geht, welche einen Zugriff ins Internet (und allenfalls LAN) benötigen, man aber vom LAN nicht auf die Geräte zugreifen können muss, könntest Du es auch mittels NAT lösen. Einige Access Points (zum Beispiel die von Aruba) können WLANs mit eigenen Adressbereichen erstellen und für diese gleich DHCP sein. So bekommt man mit wenig Aufwand die Geräte aus dem Netz. Nachteil: auf der Firewall sieht man in den Logs nur noch die IP des Access Points, kann also nicht so einfach feststellen, wer übermässig Traffic verursacht etc.