mwiederkehr

Habe mal kurz nachgeschaut auf zwei Exchange 2016: bei beiden kommt nur AUTH PLAIN. Ich vermute der Exchange 2016 kann kein NTLM über POP3. Kann Deine Anwendung kein Plaintext-Login?

Der Task wird nicht mehrmals gestartet, sondern er bleibt aktiv. So werden Änderungen laufend synchronisiert. Erst wenn der MX umgestellt ist und einige Zeit vergangen ist, löscht man den Task. Wie es mit PTA aussieht weiss ich nicht. Beim Abgleich des Kennwort-Hashes (PHS) sollten vorhandene Benutzer erkannt und ihr Passwort aktualisiert werden.

Haben auch viel von Unifi im Einsatz. An Orten mit alten APs auch Switche wegen dem Passiv-PoE. Der Controller läuft auf einer gehosteten VM für mehrere Kunden. Habe mich kürzlich vom Verkäufer überreden lassen und drei Aruba Instant On APs bestellt. Bin recht begeistert. Die Umgebung lässt sich tatsächlich in fünf Minuten einrichten und es sind praktische Zusatzfunktionen wie NAT und DHCP vorhanden. Auch soll das Client Steering besser sein (identisch mit den teureren Modellen von Aruba). Mal schauen, ob das die Zukunft ist. Wäre nicht schlecht, alles von Aruba zu haben.

Früher haben wir bei preis-sensitiven Kunden Switches von Netgear eingesetzt. Da ging hin und wieder mal ein Netzteil kaputt, häufiger aber hängten sie sich komplett auf. Wobei "häufig" hier "alle paar Monate einmal" heisst, schon nicht "jede Woche". Seit mindestens zehn Jahren setzen wir auf HPE / Aruba und seither gab es fast keine Probleme mehr. Einmal ist bei einem neuen Switch nach ein paar Tagen ein Port ausgestiegen und einmal hat einer nach ca. sieben Jahren den Geist aufgegeben. HPE hat sich an die lebenslange Garantie gehalten und ein Ersatzgerät geschickt. Sie hatten tatsächlich noch das gleiche Modell an Lager. Ich mag an den Geräten von HPE, dass sie sich sowohl per Web-Interface als auch per Kommandozeile konfigurieren lassen. Aber das werden Geräte anderer Hersteller mittlerweile wohl auch bieten.

In einem ersten Schritt würde ich mal prüfen, ob die vorhandenen Ressourcen ausgelastet sind. Wenn die Software fast keine Diskzugriffe macht, bringen auch die schnellsten SSDs nichts. Und auch wichtig: läuft die Berechnung auf einem oder auf mehreren Cores? Falls sie auf einem Core läuft, wird eine neue CPU mit möglichst hohem Takt sehr wahrscheinlich eine Verbesserung bringen. Ansonsten eine neue CPU mit vielen Cores. Kannst Du die Berechnung testweise auf einem aktuellen Arbeitsplatzrechner laufen lassen? Das gäbe mal einen Anhaltspunkt. Hatte kürzlich so einen Fall und war erstaunt, dass das mooresche Gesetz immer noch zu gelten scheint: eine nicht parallelisierbare Datenbankabfrage dauerte auf einem Xeon von 2015 eine Minute und 40 Sekunden, auf einem Arbeitsplatzrechner mit i7 8700 nur noch 20 Sekunden.

Von aussen muss das Archivierungssystem ja nur auf Port 25 erreichbar sein. Und von innen greifen die Clients darauf zu, es muss selbst wahrscheinlich keine Verbindungen aufmachen können. Das heisst, es wäre in der DMZ gut aufgehoben. Oder Du stellst einen einfachen SMTP-Proxy in die DMZ. hMail, Postfix oder nginx (der kann aber keine E-Mails zwischenspeichern, falls das Archiv mal nicht verfügbar ist).

Exchange Online kann Journaling, die Einschränkung ist nur, dass die Journal-Adresse extern sein muss. Einzurichten ist das im EAC unter der Compliance-Verwaltung, Menüpunkt "Journalregeln". Du kannst also (lokal oder in der Cloud) einen hMail oder Postfix hinstellen, welcher eine Kopie aller E-Mails erhält und dem Archivierungssystem per POP3 zur Verfügung stellt.

Kopieren geht mit Robocopy und dem Parameter „/efsraw“. Dann wird nicht versucht, die Dateien zu entschlüsseln.

Standalone geht, Member Server sollte auch gehen, habe ich aber nie probiert. In der Doku steht nur "wenn als Domain Controller konfiguriert, muss er der einzige DC sein und alle FSMO-Rollen halten". Habe nirgends eine Aussage gefunden, dass er nicht Member Server sein darf.

Danke für die Rückmeldung! Ich hätte danach fragen sollen, welches Verzeichnis Du auswählst. Denn genau dieses Problem hatte ich schon mal...

Probiert habe ich es noch nicht. Direkt per iSCSI geht nicht, man müsste den Umweg über PXE machen. Die neuste Firmware unterstützt PXE nun beim RasPi 4. Ich würde anstelle von iSCSI aber NFS nehmen. Dafür braucht man keinen neuen Kernel und kann vom NFS-Server aus komfortabel auf die Dateisysteme der RasPis zugreifen.

Ganz guter Tipp! Wegen diesem "Verhalten" habe ich einmal Blut und Wasser geschwitzt. Würde ich auch gleich machen, ja. Wenn die Erweiterungen auch zwei Controller haben, geht auch das online. Früher gab es damit manchmal Probleme, wenn man die Firmware über den Browser upgedatet hat. Aber aktuell ist mir nichts bekannt. Ich würde die Funktion aktualisiert lassen. So wird ein Controller aktualisiert und wenn der wieder erfolgreich gestartet ist, lädt der andere auch die aktuelle Firmware.

Die angepasste Firmware ist nicht nur, damit die SSD als fremd erkannt wird. Es werden schon Einstellungen vorgenommen zur Abstimmung mit dem RAID-Controller. (Was aber den Preis natürlich auch nicht verdoppeln sollte.) Je nach System laufen fremde Disks mehr oder weniger gut. Die HP ProLiant Server drehen bei einer fremden Disk im Slot die Lüfter dauerhaft voll auf, weil sie den Temperatursensor der Disk nicht auslesen können. Andererseits habe ich in einem MSA2040 mehrere Jahre problemlos Samsung-SSDs betrieben. Dies aber nur in einer Testumgebung. Für Produktivumgebungen rate ich davon ab. Denn es es aus irgend einem Grund zu einem Supportfall kommt, wollen sie die Systeminformationen sehen und darin sollten dann keine fremden Komponenten auftauchen. Du kommst aber über einen Händler wahrscheinlich günstiger an originale SSDs als über Dell. Zumindest bei HP kann ein Händler ab einem gewissen Betrag ein Projekt aufmachen und bekommt dann besonders bei Disks einiges bessere Preise. Falls Du mehrere SSDs brauchst, würde ich bei einigen Händlern ein Angebot anfordern.

Leider fällt mir nichts mehr dazu ein. Die Konfiguration ist meiner Meinung nach korrekt. Evtl. ist es ein Bug. Du könntest ein Ticket bei Microsoft aufmachen. Bevor Du einen anderen FTP-Server installierst: muss es unbedingt FTP sein? Wenn man kein unverschlüsseltes FTP will, muss man FTPS nehmen und das ist bezüglich Firewall nicht unkompliziert. Ich würde prüfen, ob SFTP nicht in Frage kommt. Da läuft alles garantiert verschlüsselt und es braucht nur einen Port von aussen. SFTP geht kostenlos mit OpenSSH und komfortabel mit Bitvise (da per GUI konfigurierbar).

Du könntest Veeam auf einem unabhängigen Server laufen lassen. Je nach Budget und Anforderungen kann das notfalls auch ein Intel NUC sein. Bei einem Ausfall des Hauptservers könntest Du dann das Backup in Veeam mounten und so auf die Dateien zugreifen oder (falls Ersatzhardware verfügbar) die VMs mit "Instant VM Restore" schon während dem Restore starten. Trotzdem brauchst Du ein Konzept und musst den Restore testen. Mal kurz ein paar Server wieder herstellen, während Leute darauf arbeiten wollen, ist nicht so lustig, wenn das Backup auf einem langsamen NAS liegt...

Nur eine kurze Anmerkung zum Thema "defekte SD-Karte": Ich hatte auch schon das Problem, dass sich die Karten nach max. zwei Jahren verabschiedet haben. Geholfen haben dann teurere Karten. Auch wenn man die zusätzliche Geschwindigkeit nicht braucht, die Karten scheinen auch dauerhafter zu sein. Was auch hilft, falls man keine Dateien oder Einstellungen auf den Clients speichern will, ist das mounten der Karte als read-only. Alle veränderbaren Dateien (Logs etc.) liegen dann in einem temporären Dateisystem im RAM. Das System selbst ist unveränderbar. Das reduziert die Schreiblast auf den Karten natürlich enorm. Nur bei Updates muss man die Karte read-write mounten. Weiterer grosser Vorteil: anstatt das System herunter zu fahren kann man auch einfach den Stecker ziehen und muss beim nächsten Start keinen fsck über sich ergehen lassen.

Mit Microsoft 365 kann man unter anderem den Defender zentral verwalten und Benachrichtigungen sammeln. Bei Business ist der normale Defender dabei, bei E5 der Defender ATP. Falls ihr jetzt schon Office 365 nutzt, könnte das eine Option sein.

Hast Du den FTP-Dienst mal neu gestartet? Habe auch an anderen Orten vorn Problemen gelesen. Es soll helfen, im Benutzerverzeichnis ein "echtes" (leeres) Verzeichnis mit dem Namen des virtuellen Verzeichnisses zu erstellen.

Kannst Du im Client ins nicht sichtbare Verzeichnis wechseln ("cd verzeichnisname")? Falls nein, stimmt etwas an der Konfiguration grundsätzlich nicht. Falls ja: ist die Anzeige von virtuellen Verzeichnissen im Punkt "FTP Directory Browsing" aktiviert?

Stimmt. Hatte ich gar nicht mehr im Kopf, da ich an den Dingern nie einen Monitor anschliesse. Somit fällt das Gebastel mit USB-"Grafikkarten" weg.

Ich kann mich da Jan anschliessen. Von der Leistung her wird es kein Problem sein. Ein Knackpunkt ist, dass der RasPi nur einen Monitoranschluss hat. Wie gut die USB-Grafikkarten sind, die man anschliessen kann, weiss ich nicht. Für Büroarbeiten wird es aber reichen. Es gibt für Linux Clients für RDP und ICA. Aber deren Konfiguration und Verwaltung macht erzeugt dann recht Aufwand. Da würde ich wenn schon auf kommerzielle Software setzen. Igel hat zum Beispiel den "UD Pocket" im Angebot. Ein USB-Stick mit ihrem angepassten Linux, welcher aus jedem PC einen Thin Client macht, inkl. Verwaltungssoftware. Habe den noch nie an einem RasPi im Einsatz gesehen, wohl aber an alten Rechnern, die so ein zweites Leben als Thin Clients geschenkt bekommen haben. Da gab es keine Probleme.

In Deinem ersten Beitrag schreibst Du, Du hättest die Benutzer im Active Directory angelegt. Sind das Domänenbenutzer? Falls ja, müsste "LocalUser" durch den Domänennamen ersetzt werden.

Du hast aber schon noch ein Verzeichnis "LocalUser" bzw. "Domänenname" vor dem Benutzernamenverzeichnis?

Ich habe schon einige gute Meinungen zu SEPPmail gehört. Das ist eine Appliance, die ausgehende Mails mit verschiedenen Technologien verschlüsseln kann. Hat der Empfänger PGP, verwendet sie das. Hat er ein S/MIME-Zertifikat, wird dieses verwendet. Falls er gar nichts hat, bekommt er einen Link zum Webmail, auf dem die E-Mail verschlüsselt hinterlegt ist. Der Absender teilt ihm dann telefonisch das Passwort mit. Soll anscheinend so einfach funktionieren wie versprochen. Selbst habe ich es noch nie eingesetzt, war nur vor ca. zehn Jahren mal an einer Demo. Man muss sich trotzdem überlegen, was für eine Lösung man will. Eine Verschlüsselung auf dem Gateway erspart einem viel Umtriebe, da man sich keine Gedanken über Dinge wie verschlüsselte Mails im Backup machen muss, dafür liegen die Mails halt eben unverschlüsselt auf dem Server.

Ich mache NIC-Teaming auf dem Host. Wie ich auch das RAID auf dem Host mache und nicht der VM zwei Disks zuweise und darüber ein RAID mache. Begründung: Der Admin der VM soll sich nicht um hardware-nahe Sachen wie NIC-Teaming oder Speicher kümmern müssen. Er sieht eine Anzahl CPU-Cores, GB an RAM und Disk und eine oder mehrere Netzwerkkarten. Er soll davon ausgehen dürfen, dass die so redundant wie in der Umgebung möglich konfiguriert sind. Zusätzlich kommen immer mehr VMs in der Form von Appliances daher, die man nur noch importiert. Da möchte ich nicht die Arbeit haben, auf deren Betriebssystem ein Teaming zu aktivieren.