mwiederkehr

Hallo zusammen Ein Kunde betreibt DHCP und WDS auf verschiedenen Servern. Seit der Installation von WDS bekommen einige Netzwerkgeräte (alle vom gleichen Hersteller, wohl aber basierend auf Linux) keine IP-Adresse mehr. So viel konnte ich herausfinden: - Gerät sendet DHCPDISCOVER - WDS sendet DHCPOFFER mit Vendor-Class-ID "PXEClient" und ohne IP-Adresse ("yiaddr" = "0.0.0.0") => logisch, er sendet ja nur die Informationen für PXE-Boot - einen Tick später schickt der DHCP einen DHCPOFFER ohne Vendor-Class-ID und mit IP-Adresse - das Gerät entscheidet sich für die Antwort vom WDS und nimmt die IP "0.0.0.0" bzw. geht auf die als Fallback hinterlegte fixe IP zurück Nun ist die Frage: - Verbockt es das Gerät, indem es sich für den DHCPOFFER ohne IP entscheidet und nicht (wie alle anderen Clients mit Windows, Android und iOS) die Antwort mit IP nimmt? oder - Hält sich der WDS nicht an den Standard, indem er immer eine Antwort schickt, obwohl die Anfrage nicht die Vendor-Class-ID "PXEClient" enthält? Ich werde aus RFC 2131 nicht ganz schlau. Dort steht eigentlich, dass "yiaddr" immer eine IP enthalten muss und dass herstellerspezifische Parameter nur mitgesendet werden, wenn der Client eine entsprechende Vendor-Class-ID mitliefert. Kennt ihr solche Probleme? Lasst ihr euren WDS den DHCP-Port gar nicht abhören, sondern habt alles auf dem DHCP-Server konfiguriert?

Das sind aber schon einige Anforderungen... Eigentlich schade für den ganzen Aufwand, wenn die Clients dann nur "dumm" Citrix ausliefern. Zum Thema Kosten: so habt ihr den Aufwand für die Verwaltung der lokalen Clients sowie auch dem Betrieb der Server im RZ. Deshalb würde ich noch einmal das Gespräch mit dem Server-Verantwortlichen suchen bezüglich Thin Clients. Ich verstehe, dass er Vorbehalte hat. Aber ihr würdet ja nicht einfach ein Linux und einen alternativen Citrix-Client aus dem Internet nehmen, sondern Clients eines etablierten Herstellers, welcher von Citrix zertifiziert ist und Support bietet. Ich verstehe wirklich nicht, weshalb man sich da so strikte verweigern kann.

Bei mir zeigt es mit einem Domänenbenutzer, der lediglich lokale Adminrechte hat, die gesamte Domain an. Ist evtl. die Admin-Filterung ein Problem? Versuch es doch mal ohne Domain-Admin.

Du könntest das Stylesheet (CSS) anpassen: https://docs.microsoft.com/en-us/exchange/clients/outlook-on-the-web/customize-outlook-on-the-web?view=exchserver-2019 Achtung: Updates nehmen auf das angepasste CSS keine Rücksicht. Also immer sichern und nach Updates allenfalls zurück kopieren.

Umleitung in anderes Postfach ist heikel bezüglich Datenschutz, besonders wenn die private Nutzung von E-Mail gestattet ist. Besser ablehnen mit einer kurzen Info, dass die Mail an quarantine@domain.de oder so gesendet werden soll. Es ist eine mühsame Geschichte: docm, exe etc. kann man gut verbieten, aber wenn alle docx vom Admin freigegeben werden müssen, hat der viel zu tun... Leider können aber auch docx ausführbare Inhalte enthalten, Microsoft hat das nicht so genau getrennt. Der Punkt "Benutzer schulen" ist übrigens nicht von Erfolg gekrönt. Hatte kürzlich den Fall, dass über jemandes E-Mail-Konto eine Rechnung.docx verschickt wurde. Er ist nicht in der Buchhaltung tätig und die Firma verschickt ganz allgemein keine Rechnungen per E-Mail. Fazit: 80 Mails gingen raus, von zehn (!) Leuten kam die Antwort, man könne das Dokument nicht öffnen.

und Quelle: https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd197552(v=ws.10) Das würde heissen, wenn der erste DNS sich mal länger als eine Sekunde Zeit lässt mit der Antwort, wird er danach ignoriert. Das kann schon mal vorkommen, wenn er einen Namen im Internet auflösen muss und der zuständige DNS-Server keine Antwort gibt. Das Problem ist dann, dass er nicht wieder den internen DNS fragt, wenn ihm der externe logischerweise die interne Domäne nicht aufgelöst hat. In der Praxis habe ich schon viele solche Konfigurationen gesehen. Meist funktioniert es. Manchmal werden nach einigen Stunden die Gruppenrichtlinien nicht mehr aktualisiert, aber das merkt der Benutzer meist nicht. Die verbundenen Laufwerke und Drucker bleiben ja verbunden. Jedenfalls bis irgendwann das Ticket abläuft, aber das hält schon einen Arbeitstag. Würde ich so nicht konfigurieren. Wenn die Firewall verfügbarer ist als der DC, kann man auf der Firewall einen Forwarder zum DC einrichten und dann die Firewall als DNS bei den Clients eintragen.

Da die Aufgabe exakt definierbar ist und ohne Zugriff auf Datenbanken etc. im Firmennetz gelöst werden kann, könnte man für die Entwicklung einen Freiberufler suchen. Allenfalls findet sich an einer Uni ein Student, der damit neben dem Studium etwas Geld verdienen möchte.

Ja, natürlich! Bitte entschuldige meine falsche Wortwahl. Hatte kürzlich etwas viel mit Deployment zu tun, und dort verwendet man WOL, um dann anschliessend per PXE starten zu können. Du benötigst natürlich kein PXE, sondern nur WOL und auch nur, wenn Du die Rechner nachts aufwecken willst.

Ich würde wenn möglich auch ein besseres Dateiformat verwenden. Aber manchmal ist solche Spezialsoftware ja schon älter als man selbst... Falls es dieses Format sein muss, würde ich beide Dateien in C# in ein Dictionary laden. Also den Zeilenumbruch nach dem Doppelpunkt entfernen und dann Zeilenweise lesen und beim Doppelpunkt splitten. Dann geht es dank LINQ einfach: var sourceIni = new Dictionary<string, string>(); var targetIni = new Dictionary<string, string>(); sourceIni.Add("wert1", "test"); sourceIni.Add("wert2", "123"); sourceIni.Add("wert3", "xxx"); targetIni.Add("wert1", "test"); targetIni.Add("wert3", "yyy"); targetIni.Add("wert4", "4"); var newIni = targetIni.Concat(sourceIni).GroupBy(d => d.Key).ToDictionary(g => g.Key, v => v.First().Value); var toRemove = targetIni.Where(k => !sourceIni.ContainsKey(k.Key)); "newIni" enthält dann die Werte beider Dateien, wobei die schon in der Zieldatei vorhandenen Werte Vorrang haben. Werte, die es in der Quelldatei nicht mehr gibt, bleiben erhalten. In der Variable "toRemove" stehen diese und könnten mit var total = newIni.Except(toRemove); entfernt werden. Danach das Dictionary wieder in die Datei schreiben. C# lässt sich auch in PowerShell-Scripts einbinden, falls Du keine EXE machen willst.

Um die Rechner nachts zu starten, weil "lasst euren Rechner heute Abend laufen" nicht sehr zuverlässig funktioniert.

Ja, das ist so. Kann aber auch ein Vorteil sein, wenn man den Installationszeitpunkt selbst festlegen will: PXE-Boot, Update, Neustart, Herunterfahren. So müssen die Benutzer am nächsten Morgen nicht warten. Für die Suche könntest Du ABC-Update über PDQ anstossen.

PDQ ist -sehr vereinfacht ausgedrückt- ein psexec mit GUI. Will heissen: es wird auf den Clients kein Agent installiert und man kann problemlos mit lokalen Benutzern verbinden. Für TeamViewer gibt es übrigens auch die Option, den Status von Virenscanner, Windows Update etc. zu überwachen. Damit kann aber keine Software verteilt werden.

Die günstigste Lösung wäre wohl PDQ, gesteuert von einem Server im RZ aus über VPN. Das reicht, um Windows Updates und hie und da mal einen neuen Citrix Client zu installieren. Ansonsten Intune oder eine Drittanbieterlösung. Panda bietet zum Beispiel so eine Software an: man installiert auf jedem Rechner einen Agent und kann diesen dann über die Cloud verwalten. Kostet glaube ich um die fünf Euro pro Rechner pro Monat. Habt ihr euch schon zum Einsatz von Thin Clients Gedanken gemacht? Diese können gut abgeriegelt und zentral verwaltet werden. Es gibt zum Beispiel von IGEL auch USB-Sticks, mit welchen man vorhandene Rechner zu Thin Clients "umwandeln" kann (Festplatte raus, Stick rein).

Darf ich fragen, weshalb ihr hier nicht Autodiscover per SRV-Record vorschlägt? Habe es auch immer per Redirect gemacht, aber bei Office 365 machen sie es mit SRV-Records und ich habe noch nicht von Problemen damit gehört. Selbst ältere Smartphones verbinden sich problemlos.

Hast Du mal eine neue E-Mail erstellt, also ohne Signatur und dann ein Bild eingefügt? Ich hatte schon so einen Fall, als die Signatur als "Newsletter" missbraucht wurde, mit viel HTML und vielen Bildern drin. Ein Bild mehr und Outlook wollte nicht mehr senden. (Das war allerdings noch zu Zeiten von Outlook 2010.)

Es könnte helfen, die Datei "DefaultLayouts.xml" von "C:\Users\Default\AppData\Local\Microsoft\Windows\Shell" an den gleichen Ort im Profil zu kopieren, allenfalls ohne geöffnete explorer.exe.

Ein Postfach mit (serverbasierten) Regeln finde ich gar nicht so schlecht: Pro Kunde / System ein Unterordner. Per Regel werden "erfolgreich"-Meldungen in den richtigen Ordner verschoben. Nachrichten, auf die keine Regel passt (sprich: Fehlermeldungen), bleiben im Hauptordner und werden so schneller gesehen. Man sieht am Morgen auf einen Blick, ob alles OK ist: wenn der Hauptordner leer ist und es in den Unterordnern ungelesene E-Mails hat. So erkennt man auch, falls ein System gar keine E-Mails mehr schickt.

Leider findet man so gut wie keine Dokumentation im öffentlich zugänglichen Teil der Website. Habe es aber nicht lassen können und die App installiert. Beim Hinzufügen eines Kontos kann man optional die Adresse des Push-Servers angeben. Für mich heisst das: Das ist eine Serverkomponente, die man auf seiner eigenen Infrastruktur installieren kann. (Sonst müsste man ja keine Adresse angeben.) Daraus folgt: Du hast recht. Um es mit den Worten eines ehemaligen Lehrers zu sagen: Ich nehme es zurück und behaupte das Gegenteil.

Ja, das stimmt. Die Mail-Apps des System unterscheiden sich auch anderweitig von solchen von Drittanbietern: hat man das Mailkonto direkt auf dem System eingerichtet, löscht ein Remote Wipe alle Daten auf dem Gerät. Verwendet man Outlook, werden nur dessen Daten gelöscht. Dies kann gewünscht sein (BYOD), ist aber auf jeden Fall ein ganz anderes Verhalten, das wohl vielen nicht bekannt ist. In der Anleitung steht nichts von Push, dort ist nur beschrieben, wie man eine regelmässige Synchronisierung aktiviert. Das geht auch ohne "Proxy" dazwischen. Das mit der Serverkomponente habe ich im Changelog der App bei Google Play gesehen: "Push-Notifizierungen für neue E-Mails (Server-Komponente nötig)" (https://play.google.com/store/apps/details?id=com.isec7.android.med&hl=de). Nine macht die Synchronisierung tatsächlich ohne externe Server. Sie scheinen dafür Background Services zu verwenden: http://nine-faq.9folders.com/articles/8701-why-are-my-incoming-mail-delayed. Das funktioniert, wenn das Betriebssystem nicht reinpfuscht. Bei meinem Galaxy S7 werden trotz Deaktivierung aller Energiespar-Einstellungen die Hintergrunddienste der VoIP-App nach einem Tag beendet. Öffne ich sie nicht einmal täglich, kommen keine Anrufe rein. Wie sie es auf iOS machen, welches keine Hintergrunddienste (sondern nur Downloads etc. im Hintergrund) erlaubt, ist mir nicht klar. Da kenne ich mich zu wenig aus. Fazit: Du hast recht, es geht dank Hintergrunddiensten auch ohne Drittserver, wenn auch mit den erwähnten Nachteilen.

Unter anderem hier: https://www.thurrott.com/cloud/microsoft-consumer-services/outlook/208133/outlook-getting-shared-mailbox-support-on-phones Zudem habe ich die Option bei meinem Outlook nicht (obwohl es gestern Nacht ein Update bekommen hat). Ja, wenn man die eingebaute Mail-App nutzt. Ich finde es wichtig, dass man diese Entscheidung trifft, aber es stört mich, dass deswegen in den Medien immer auf Outlook rumgehackt wurde und immer vergessen ging, dass das alle Apps so machen müssen. Für viele meiner Kunden ist das kein Grund, Outlook nicht zu verwenden, denn sie haben ihre Mails eh bei Office 365. Wer aber aus Gründen des Datenschutzes einen eigenen Exchange betreibt, für den ist das natürlich ein Kriterium.

Jetzt bin ich vor Freude fast in die Luft gesprungen, aber man muss sich noch etwas gedulden: das Feature gibt es erst in der Testversion. Zumindest kommt das aber endlich. Das ist aber technisch bedingt und nicht weil "die böse Microsoft alle E-Mails mitlesen will". Für Push geht es nicht anders, als den Dienst des Herstellers (Apple bzw. Google) zu verwenden. Auch andere Apps wie ISEC7 arbeiten so, wenn man Push will. Hintergrunddienste, die dauernd eine Verbindung offen halten, sind aus Energiespargründen nicht mehr geduldet. Und wie will der Server wissen, wann er eine Push-Meldung schicken muss? Indem er selbst das Postfach abfragt, und dafür braucht er den Zugriff. Auch andere Apps funktionieren so: wenn ich bei der Zeitung einstelle, dass ich über Tech-News informiert werden will, informiert mich nicht mein Smartphone, sondern der Server merkt sich die Einstellung und verschickt die Push-Nachrichten.

Was funktioniert denn nicht mit Duplicati? Ich habe es auch schon probiert und hatte bei grösseren Sicherungen immer wieder Probleme. Das lag aber an OneDrive, nicht an Duplicati. OneDrive ist nicht geeignet für solche Backups und Microsoft führt immer wieder mal eine Änderung ein, die Schwierigkeiten bringt (Throttling, Ausschluss von Fremdclients etc.). Es gibt dann von den Tools ein paar Tage später Workarounds, bis Microsoft wieder etwas ändert usw. Professionell nicht nutzbar. Habe Duplicati dann auf Backblaze B2 umgestellt. Kostet einen halben Cent pro GB pro Monat und funktioniert seit über einem Jahr tadellos für eine Sicherung mit über 500 GB. Falls es OneDrive sein muss, könntest Du noch rclone (Open Source, kopiert die Dateien aber einfach, keine Komprimierung und Versionierung) oder CloudBacko testen. Falls es professionell sein soll, würde ich eine fertige Lösung eines Herstellers nehmen. Da kann ich die Acronis Backup Cloud empfehlen. Kostet um die 10 Cent pro GB pro Monat, dafür hat man einen richtigen Agent, Support und kann auch Office 365 etc. sichern. Duplicati mit Backblaze ist cool für zuhause weil fast kostenlos, aber einem Kunden würde ich das nicht verkaufen.

Outlook ist diesbezüglich leider extrem mühsam. Die Kontoeinstellungen werden nicht lesbar in einer INI-Datei gespeichert, sondern in der Registry und das auch sehr kryptisch. Zudem bietet Outlook keine Schnittstelle für den Im- und Export von Konten. (Der Grund ist wohl, weil Outlook als Exchange-Client geschaffen wurde und man dort dank Domäne und Autodiscover keine Kontoeinstellungen übernehmen muss.) Das Kopieren des Schlüssels "HKEY_CURRENT_USER\Software\Microsoft\Office\xy.0\Outlook\Profiles" könnte helfen. Zusätzlich muss die PST-Datei ebenfalls kopiert werden. Aber -wie von Jan schon erwähnt- gibt es bessere IMAP-Clients als Outlook. Bei Thunderbird ist das Übernehmen des Profils auch sehr unkompliziert.

Hätte zuerst gesagt ja, denn die Clients greifen ja auf einen Dienst zu, der von einem Windows Server zur Verfügung gestellt wird. Der WSUS ist aber ein Spezialfall: es ist eine Webanwendung und die Benutzer oder Clients authentifizieren sich nicht. Dafür braucht man normalerweise keine CALs. Bin da aber nicht ganz sicher, denn auch wenn die Clients sich nicht authentifizieren, sind sie trotzdem nicht anonym, sondern werden erkannt. Oder ist der gehostete Server über SPLA lizenziert? Dann bräuchte es auch keine CALs.

Software, die Treiber installiert, sich also tief im System einklinkt. Gibt es ein Problem einer normalen Software nach der Installation von Windows Update, läuft einfach die Software nicht mehr. Läuft aber ein Treiber nicht mehr, startet der Rechner unter Umständen nicht mehr. Deshalb versuche ich, besonders auf Servern "fremde" Treiber zu vermeiden.