mwiederkehr

Als Tipp für den Anfang die Parameter, die ich jeweils setze: robocopy /e /v /mir /copyall /b /efsraw /XJ /r:0 /w:0 /tee /log:c:\temp\robocopy_log.txt \\quelle\d$\Daten D:\Daten Erklärung: /e: Unterverzeichnisse kopieren, inkl. leeren Verzeichnissen /v: ausführliche Ausgabe /mir: Dateien spiegeln (in Quelle nicht vorhandene Dateien werden in Ziel gelöscht) /copyall: alle Dateiattribute (Schreibgeschützt, Archiv, Sicherheitsinformationen, Besitzer etc.) kopieren /b: im Backup-Modus kopieren (damit können auch sonst nicht zugängliche Dateien wie Benutzerprofile kopiert werden) /efsraw: EFS-Dateien kopieren, ohne sie zu entschlüsseln (funktioniert sonst nicht, wenn der ausführende Benutzer keinen Schlüssel hat) /XJ: Links nicht folgen (sonst Endlosschleife bei "App Data" im Profil) /r:0: keine Wartezeit bei Fehlern /w:0: keine Wiederholung bei Fehlern /tee: Ausgabe auf Shell und in Logdatei Damit habe ich schon manchen Server migriert. Ein Knackpunkt bei Dir könnte die sehr grosse Anzahl der Dateien sein, welche abgeglichen werden muss über die schmale Leitung. Bei sehr vielen Dateien dauert das Vergleichen seine Zeit, auch wenn schlussendlich nur wenige Dateien kopiert werden müssen. Das findest Du mit einem Testlauf aber schnell heraus.

Robocopy kann inkrementell im Sinne von "nur geänderte Dateien" kopieren. Wenn einzelne Dateien nicht allzu gross sind, ist es das Tool der Wahl. Bei sehr grossen Dateien, die man inkrementell im Sinne von "nur geänderte Blöcke" kopieren muss, würde ich rsync nehmen. Das bedeutet (unter Windows) aber mehr Aufwand.

Ist auch einfacher, kann dafür weniger. Ein Vorteil von XML ist ja, dass man ein Dokument validieren kann. Das ist bei JSON nicht gegeben. Richtig Freude macht auch XSL. Damit kann man sehr viel machen, ohne an einer Anwendung Änderungen vornehmen zu müssen. Wenn man von seiner Anwendung aus ein PDF generieren muss, welches vom (versierten) Anwender anpassbar sein muss, kann man entweder etwas wie Crystal Reports nehmen oder aber man schreibt ein XML, transformiert es mittels XSLT zu XSL-FO und dieses dann in ein PDF. Das Stylesheet ist vom Benutzer frei anpassbar. Umgebungen wie das .NET Framework liefern die notwendigen Werkzeuge (Interpreter etc.) schon mit. Man kann aus einer XML-Datei (oder besser: einem Schema) auch direkt Klassen erzeugen lassen. Liest man dann ein XML ein, hat man alle Elemente in einem Array mit den richtigen Datentypen. (Und das ist unglaublich schnell: ich arbeite oft mit XML-Dateien über 100 MB und das Einlesen dauert keine Sekunde.)

Du musst keine Lizenzen zuweisen, das macht der Server selbst. Bei Gerätelizenzen bekommt jedes Gerät nach der Anmeldung ein "Lizenzzertifikat" und auf dem Lizenzserver wird entsprechend eine Lizenz abgezogen. Bei Benutzerlizenzierung wird die Lizenz im AD eingetragen. Die Anzahl der Benutzerlizenzen wird nicht kontrolliert im Sinne von "kein Login mehr möglich, wenn keine freien Lizenzen vorhanden sind". Dies ginge gar nicht, da Microsoft Benutzer im Sinne von Personen lizenziert, nicht im Sinne von Benutzerkonten. Bei einem Audit muss man aber natürlich trotzdem die korrekte Anzahl an Lizenzen vorweisen können. Mischen kannst Du die Lizenzen nicht. Ein Terminalserver befindet sich immer entweder im "pro Benutzer"- oder "pro Gerät"-Modus. Die Gerätelizenzen sind nicht von einer Domäne abhängig. Auch ein Client auf Android bezieht eine Lizenz.

Zum Thema Quarantäne: kann davon nur abraten. Aus den Gründen, die Norbert schon genannt hat und fast noch wichtiger: es gab Reklamationen von Benutzern, dass sie wichtige Informationen zu spät erhalten hätten. Schickt ein Kunde eine Anfrage und die wird falsch positiv erkannt und abgelehnt, erhält er eine Fehlermeldung und ruft an. Geht die Mail in die Quarantäne, sieht der Benutzer sie erst am nächsten Tag. Man hat dann das Interval für Quarantäne-Mails auf eine Stunde herabgesetzt. Das hat dazu geführt, dass manche Benutzer mehrmals pro Tag eine Mail durchlesen mussten, nur um zu sehen, dass alles korrekt erkannter Spam war. Bei Antispam halte ich Quarantänen deshalb für nicht sinnvoll. Bei potentiell gefährlichen Dateianhängen kann man sich überlegen, diese an ein anderes Postfach umzuleiten. Wobei man da den Datenschutz beachten muss, besonders wenn die private Nutzung von E-Mail am Arbeitsplatz nicht explizit verboten ist. Neben den genannten Lösungen ist vielleicht https://efa-project.org/ noch einen Blick wert. Habe davon viel Positives gehört. (Kein Wunder, die Komponenten dahinter sind seit Jahren etabliert, wie SpamAssassin etc.)

Bei neueren Versionen von Windows gab es in der Vergangenheit nur selten Sicherheitslücken bei RDP bzw. dem Gateway und von denen waren noch weniger ohne Authentifizierung ausnutzbar. Von daher halte ich das Risiko für vertretbar, wenn man seine Systeme aktuell hält. Als wichtiger erachte ich den Schutz gegen fremde Logins wegen schwachen oder (ehemaligen) Mitarbeitern bekannten Passwörtern. Wenn ein Mitarbeiter geht, gibt es den Schlüssel ab. Er weiss jedoch vielleicht das Passwort eines Kollegen und dank Terminalserver kann er sich immer noch einloggen, auch wenn er keinen Zutritt zur Firma mehr hat. Deshalb halte ich es für ratsam, den Zugriff von aussen auf die Benutzer zu beschränken, die ihn benötigen und mittels Zwei-Faktor-Authentifizierung abzusichern. Da haben wir mit Duo gute Erfahrungen gemacht.

Was kommt denn für eine Fehlermeldung? Grundsätzlich kannst Du den (alten?) Weg über die .Net-Klasse "Net.Mail.SmtpClient" gehen oder den neuen über den Befehl "Send-MailMessage", aber nicht beide gleichzeitig.

Es steht zum Beispiel hier: https://support.microsoft.com/en-us/help/2833839/guidelines-for-installing-the-remote-desktop-session-host-role-service Das soll im Umkehrschluss aber nicht heissen, dass ein Domänencontroller als Terminalserver besser geeignet wäre! Funktioniert hat das schon immer, einfach ohne Features wie Session Broker etc. Neu bei Windows 2019 ist nur, dass es mit Benutzerlizenzen nicht mehr funktioniert.

Seit Windows 2019 werden Terminalserver ohne AD nur noch mit Gerätelizenzen unterstützt. Benutzerlizenzen funktionieren nicht mehr. Die Meldung ("Sie werden in 60 Minuten abgemeldet") erscheint jedoch von Anfang an. Was sagt denn die Lizenzierungsdiagnose?

Ergänzung: man kann mit Microsoft einen zusätzlichen Vertrag abschliessen "SPLA Managed PC Amendment", welcher die lokale Installation von über SPLA lizenzierter Software erlaubt. Eine Benutzerlizenz von Office wird damit zu einer Gerätelizenz. Dies gilt aber nur für an Kunden vermietete Rechner. Und es ist kein Zweitnutzungsrecht, sondern eine separate Lizenz.

Beim Verschlüsseln der Disk hat TrueCrypt eine "Rescue CD" bzw. ein ISO erstellt, welche unter anderem für solche Fälle gedacht ist. Du kannst damit starten und die Disk entschlüsseln. Alternativ kannst Du versuchen, bei einem ab CD gestartetem "Live-Windows" eine portable Version von TrueCrypt zu starten. Evtl. gibt es auch eine Linux-Live-Distribution mit enthaltenem TrueCrypt. Oder Du hängst die Disk per USB an einem anderen PC an und entschlüsselst sie von dort.

Du könntest https://nextcloud.com/ anschauen. Damit wäre das Sharing sicher gut abgedeckt. Die in Nextcloud erzeugten Links kannst Du mittels Tool in QR-Codes verwandeln. Evtl. gibt es auch schon eine Nextcloud-App dafür.

Bei mir gibt es die Kurznamen nur auf C:, nicht auf den anderen Partitionen. Anscheinend erzeugen neuere Versionen von Windows die Namen nicht mehr automatisch: https://superuser.com/questions/1505174/how-comes-that-short-filenames-8-3-are-created-in-one-partition-and-not-in-ano Nach der Aktivierung von 8.3-Namen werden diese für existierende Dateien nicht erzeugt. Man muss den Verzeichnisbaum mit Robocopy nach "_neu" kopieren und dann das alte Verzeichnis löschen und das neue umbenennen.

Als temporäre Lösung könntest Du die Weiterleitung für Anfragen von der Firma aus deaktivieren. Dann muss sich das Marketing keine Gedanken wegen Google machen. Falls die Umleitung über Apache mod_rewrite läuft, hilft folgende Zeile in der .htaccess direkt über der Umleitung (IP-Adresse natürlich anpassen): RewriteCond %{REMOTE_ADDR} !^1\.1\.1\.1$ Damit wäre die Website intern über "www" erreichbar und von extern würde umgeleitet.

Habe es bei mir getestet. Einstellung war auf "Makros deaktiviert mit Benachrichtigung". Das Makro wurde erst ausgeführt, als ich es aktiviert habe. Danach umgestellt auf "Makros deaktiviert ohne Benachrichtigung". Dokument wieder geöffnet und das Makro wurde erneut ausgeführt. Dokument umbenannt => Makro wurde nicht mehr ausgeführt. Anscheinend speichert sich Word die Dokumente, bei denen Makros ausgeführt werden dürfen. Dies gilt dann auch noch, wenn man Makros deaktiviert. Hast Du das Dokument auf den Rechnern zuvor schon mal geöffnet gehabt?

Mein Beispiel ist ein Ausschnitt aus einem Script, welches von PRTG ausgeführt wird. Eure Beiträge haben mich dazu animiert, wieder mal bei Paessler nachzusehen, ob es mittlerweile einen offiziellen Sensor für die Hyper-V-Replikation gibt. Gibt es nicht, aber sie empfehlen folgendes Script: https://kb.paessler.com/en/topic/50023-monitoring-hyper-v-replication. Dieses hat gegenüber meinem Beispiel den Vorteil, gleich die Minuten seit der letzten erfolgreichen Replikation zurück zu liefern. Es ist eleganter, bei kleinen Bandbreiten eine höhere Zeit zuzulassen als Warnungen zu tolerieren.

So sollte es gehen: $VMReplication = Get-VMReplication | select Name,Health,State foreach ($vm in $VMReplication) { $name = $vm.Name if ($vm.Health -Contains "Normal" -and $vm.State -Contains "Replicating") { # Mit $name ist alles OK } elseif ($vm.Health -eq "Warning") { # $name hat Warnungen } elseif ($vm.Health -eq "Critical") { # $name hat Fehler } } Bei Replikationen an externe Standorte mit nicht so hoher Bandbreite toleriere ich im Monitoring ein paar Stunden "Warning", denn das kommt meist, wenn er mit der Replikation nicht nachkommt und Zyklen verpasst. "Critical" ist aber eigentlich immer ein Fehler.

Die Versionsnummer sieht halt aus wie eine IP-Adresse und anscheinend wird nicht geprüft, ob es sich um einen Link handelt oder ob zumindest "http" vorne dran steht. Ja, das ist ein Problem. Allerdings treten solche Fehler erstaunlich selten auf und man kann dann Ausnahmen definieren.

Beim Test-Tool auf https://www.cyren.com/security-center/url-category-check wird "12.0.0.0" als "Spam URL" erkannt. Dort kann man auch melden, dass dies ein Fehler ist. Hatte auch schon einen solchen Fall beim Content Filter von Cyren. Dort haben sie innerhalb eines Tages auf die Meldung reagiert und die Klassifikation korrigiert.

Es gibt auch die Möglichkeit, per "Fülllizenzen" (mein Distributor nennt das so) auf die notwendige Anzahl für VL zu kommen. Sprich: 2x Office, 3x "Office 365 1 GB File Storage Zusatz" für 4 Euro. Das ist soweit ich weiss legal, denn man erfüllt ja die Bedingungen für VL. Habe das bei einigen Kunden im Einsatz und hatte noch nie Probleme.

Hast Du mal die Energieoptionen zurückgesetzt („powercfg -restoredefaultschemes“)? Ist ein Exchange- oder Gmail-Konto in Windows Mail eingerichtet?

Doch, wir. Funktioniert sehr gut: wenig False Positives beim Antispam und bei Malware habe ich bis jetzt erst einmal bei einem Kunden ein False Negative gesehen (Word-Dokument mit eingebettetem OLE-Objekt). Bis jetzt hat sich noch nie ein Kunde beschwert, sein Newsletter sei als Spam erkannt worden. Ich denke grosse Anbieter haben den Vorteil, Unregelmässigkeiten schnell erkennen und darauf reagieren zu können. In meinem privaten Gmail-Account landet auch kaum Spam, und der wurde noch in Newsgroups verwendet.

Auf einem NAS kann man Snapshots erstellen lassen. Diese werden über das Webinterface verwaltet, so dass ein Virus, welcher Netzlaufwerke verschlüsselt, nicht ran kommt. Ein Offline-Medium oder die Cloud (mit Löschschutz) sind natürlich noch eine Stufe besser.

Musste das nur mal einrichten. Es ist mir nicht bekannt, ob es da mal Diskussionen gab. Eher nicht, weil ist ja bequem... Wobei man sich soweit ich weiss trotz Zertifikat mit Username und Passwort anmelden muss. Der User könnte dann persönlich sein. Das Zertifikat diente dann nur dazu, dass sich Mitarbeiter nicht von zuhause anmelden können oder so.

Es gibt schon Fälle, bei denen ein „User“-Zertifikat von mehreren Benutzern genutzt werden soll. Beim Schweizer Zoll muss man ein Zertifikat beantragen, wenn man Warendeklarationen elektronisch einliefern will. Pro Firma bekommt man ein Zertifikat. Dieses installiert man dann bei allen Benutzern, die sich beim Zoll einloggen müssen. Technisch ist das über ein Script lösbar: https://www.jasonpearce.com/2012/02/02/import-pfx-certificate-via-group-policy-preferences/