mwiederkehr

Das stimmt. Gegen gezielte Angriffe hilft "authentication required" nur sehr bedingt. Ich dachte eher an massenhafte "ich suche auf Shodan nach Exchange-Servern und lass mein Schrotflinten-Script feuern"-Angriffe. Schön wärs. Von dem, was ich bis jetzt über die SFI gelesen habe, bin ich nicht so begeistert. Es scheint um KI zu gehen, Telemetrie, Angriffe automatisch erkennen etc. Aber das ist immer Symptombekämpfung. Schnellere Update-Zyklen sind gut, Patches ohne Reboot, automatisch verteilte Mitigation-Rules im IIS etc. Aber eigentlich ist Software sicher, wenn sie sicher programmiert wurde. Dann braucht es auch keine dringenden Updates. Ich habe das Gefühl, die alten C++-Hasen mit diesem Denken sind weniger geworden und wurden durch Hipster ersetzt. Dann kommen Sachen wie Teams raus, eine JavaScript-Anwendung mit drangeklebter Browser-Engine. Das ist weder elegant noch sicher. Aber mal abwarten und den Tag nicht vor dem Abend kritisieren.

"Authentication is required" steht auch beim ersten Link. Und Microsoft ist der Meinung, dass es kein "immediate servicing" braucht. Das beruhigt mich etwas. Wobei es mir nicht mehr ganz so wohl ist, wenn ich bedenke, wie viele schwerwiegende Lücken bei Exchange in den letzten paar Jahren entdeckt worden sind. Hoffentlich hilft die angekündigte "Secure Future Initiative" (natürlich mit KI!)...

Ich habe das Szenario "RODC in DMZ" gesehen, für vom Internet erreichbare Anwendungen, die Domänen-Authentifizierung benötigen, wie das Remote Desktop Gateway. Gesehen in der Doku von Microsoft, nicht in der Praxis.

Läuft der Server als VM? Werden zu den Zeiten der Unterbrüche Snapshots gemacht? Ich hatte solch ein Phänomen schon mit Access-Datenbanken. Alle Anwendungen haben die Snapshots überlebt, auch von den Terminalserver-Benutzern ist keine Reklamation gekommen, aber eine übers Netzwerk geöffnete Access-Datenbank ist mit etwa 50-prozentiger Wahrscheinlichkeit auf die Nase gefallen.

Habe die Rückmeldung bekommen: Das Problem lag an einer falschen Konfiguration der Software. Auf die Idee mit der Zertifikatskette ist man gekommen, weil man den Qualys SSL Server Test gemacht hat bei meinem Kunden und bei einem anderen Kunden, bei dem es funktioniert. Und das fehlende Root-Zertifikat war der einzige Unterschied. Eine Recherche im Internet hat dann ergeben, dass Android "manchmal Probleme mit Root-Zertifkaten hat". Also eine Kombination aus Unkenntnis und hoher Selbstsicherheit. Kennen manche von uns vielleicht von ihren jungen Jahren.

Bei den Stammzertifikaten ist es schon. Es war der Versuch, den IIS dazu zu bringen, es als Teil der Kette an die Clients auszuliefern. Ich habe Berichte von Leuten gefunden, bei denen das funktioniert hat, allerdings waren das ältere Versionen vom IIS.

Vielen Dank für eure Antworten! Das Root-Zertifikat zu den Zwischenzertifikaten zu kopieren, hat leider nicht geholfen. Es scheint, als liefen die Terminals mit einem Uralt-Android und entweder hatte jemand die famose Idee, dem vom Webserver gesendeten Root-Zertifikat zu vertrauen oder sie haben die Krypto selbst implementiert und vergleichen das vom Server gelieferte Root-Zertifikat mit dem in ihrem Store oder so... Auf jeden Fall will man noch einmal mit den Entwicklern sprechen, nachdem ich aus RFC 5246 zitiert habe: certificate_list This is a sequence (chain) of certificates. The sender's certificate MUST come first in the list. Each following certificate MUST directly certify the one preceding it. Because certificate validation requires that root keys be distributed independently, the self-signed certificate that specifies the root certificate authority MAY be omitted from the chain, under the assumption that the remote end must already possess it in order to validate it in any case.

Hallo zusammen Auf einem IIS auf Windows Server 2019 läuft eine Webanwendung mit gekauftem Zertifikat. Dieses ist wie üblich von einer Zwischenzertifizierungsstelle signiert, deren Zertifikat wiederum von der Root-CA signiert ist. Im Browser funktioniert alles bestens und SSL Labs ist zufrieden. Der IIS sendet das Zertifikat sowie das Zertifikat der Zwischenzertifizierungsstelle mit, nicht aber das Root-Zertifikat. Was laut Standard erlaubt und auch sinnvoll ist, denn der Client muss das Root-Zertifikat ja selbst haben. (Laut Standard darf der Webserver das Root-Zertifikat mitliefern, muss aber nicht.) Leider verlangen die angeschlossenen Zeiterfassungs-Terminals eine vollständige Zertifikatskette. Dazu ist zu erwähnen, dass die Software normalerweise auf einem vom Hersteller gelieferten Webserver läuft, der die ganze Kette ausliefert. Anscheinend liefern andere Webserver wie Nginx einfach alle Zertifikate aus, die man ihnen als Kette angibt. Kann man den IIS dazu bringen, auch das Root-Zertifikat mitzusenden? Ich habe Anleitungen gefunden, laut deren man die automatische Aktualisierung der Root-Zertifikate deaktivieren und das entsprechende Zertifikat dann zu den Zwischenzertifizierungsstellen verschieben soll. Das funktioniert insofern, als beim Zertifikat danach keine vollständige Kette mehr angezeigt wird und der IIS beim Zuweisen der Bindung reklamiert. Aber er liefert das als Zwischenzertifikat getarnte Root-Zertifikat trotzdem nicht aus.

Ich kann mir nicht vorstellen, dass externe Portale (resp. deren Benutzer) ohne direkten Datenbankzugriff eine Lizenz benötigen. Klar ist es bei Webanwendungen, die direkt auf den SQL Server zugreifen. Da kann man nicht sagen "aber der Webserver greift nur über einen Benutzer zu". Das ist ein Proxy-Zugriff und lizenzpflichtig. Aber ein Export in fremde Systeme ist etwas anderes. Das ist eher vergleichbar mit "Verkauf exportiert Preisliste in Excel und sendet sie an Kunden". Da würde man auch nicht auf die Idee kommen, dass der Kunde eine SQL-CAL benötigt. Viele Anwendungen zur Auftragsbearbeitung haben eine Schnittstelle zu Shops wie WooCommerce. Einige meiner Kunden haben solche Systeme im Einsatz und ich habe noch nie von Lizenzproblemen gehört. Wenn ein System für dessen Anwender (also die Kunden der Portale) weiterläuft, wenn man den SQL Server stoppt, sind aus meiner Sicht keine CALs erforderlich.

Es gibt Kabel mit integriertem Lichtwellenleiter. Hält man an ein Ende eine LED, leuchtet das andere Ende auf. Die liegen preislich im Rahmen. Kürzlich habe ich eine Luxusvariante gesehen, die haben die LEDs und eine Knopfzelle integriert. Keine Ahnung, wer sowas kauft. Falls von Hand beschriften eine Möglichkeit ist: Es gibt Kabelbinder mit beschreibbarer Rechteckfläche am Ende. Besser die Variante nehmen, bei der die Beschriftung parallel zum Kabel verläuft, sonst wird es vor dem Switch sehr eng. Unter dem Begriff "Knochenetikett" findet man Klebeetiketten, die sich um das Kabel legen lassen. So, wie der Juwelier Ringe beschriftet. Gibt es sehr günstig auf Rolle für Thermodrucker. Ich weiss aber nicht, ob die in der warmen Abluft besser halten als die P-Touch-Etiketten. Mit denen habe ich ähnliche Erfahrungen gemacht wie Du.

Ich bin mittlerweile so weit, dass ich mir "NoNag"-Editionen wünsche und bereit wäre, dafür mehr zu bezahlen. Ein Windows-Setup ohne Zwang zu einem Microsoft-Account, keine plötzlich Vollbild auftretenden "lassen Sie uns Ihren Rechner fertig einrichten"-Dialoge mit nur "Weiter" und "in drei Tagen erneut Fragen" als Optionen, kein First-Run-Wizard bei Edge mit x Fragen in x Dialogen und keine mit Updates aktivierten neuen Features. Einfach Software, die aus Benutzersicht gedacht ist und nicht aus Sicht des Marketings.

Bist Du sicher, dass es ein LAN-Port ist? Bei FortiGate-Firewalls lassen sich die Ports frei konfigurieren, unabhängig ihrer Beschriftung. Ohne die Konfiguration zu kennen, kann man das nicht beurteilen.

Falls Du noch Zeit findest: Ganz in der Nähe befindet sich die Schleuse Leerstetten. Mit fast 25 m Fallhöhe die höchste in Deutschland. Besuch lohnt sich! Einen schönen Mittwoch allerseits!

Die Firewall/den Router hast Du auch schon neu gestartet? Zeigt das Log Meldungen wie "too many sessions for client" mit der IP-Adresse des Servers? Dass Du 8.8.8.8 von den Clients aus pingen kannst, aber nicht vom Server, ist merkwürdig. Falls die Swisscom-DNS wie kürzlich ein Problem hatten und auf der Firewall ein hohes UDP-Timeout eingestellt ist, könnten viele unbeantwortete DNS-Abfragen die Anzahl erlaubter Verbindungen erreicht haben.

Ich finde einige Beiträge, laut denen ein Cache des Systemprofils defekt ist: https://answers.microsoft.com/en-us/windows/forum/windows_10-hello/pc-stuck-at-a-blurry-login-screen/b63b7722-41ef-4cfa-9220-b3609452f8a0. Wenn es tatsächlich ein Update-Problem wäre, müsste man aber mehr davon gehört haben. Es könnte deshalb auch ein Hardware-Defekt sein. Eine Reparaturinstallation ist schwierig, wenn man sich nicht anmelden kann und zum Kopieren von der Systemdateien von einem anderen System müsste dieses den exakt gleichen Updatestand haben. Veeam kann ich ebenfalls empfehlen. Hat mir schon viel Arbeit erspart.

Outlook ist kein guter IMAP-Client. Eine Archivierung mittels Regeln ist aber ohnehin fehleranfällig. Postfix kennt die Option "always_bcc", mittels derer eine Kopie aller E-Mails an eine bestimmte Adresse (Archivpostfach) geschickt werden kann. Wäre das eine Möglichkeit?

Ein Rechenzentrum auf dem Mond ist eine amüsante Idee. Strom wäre im Überfluss vorhanden, leider scheint die Sonne aber zwei Wochen am Stück und dann wieder zwei Wochen nicht. Die Abwärme brächte man nur per Abstrahlung weg. Laut Stefan-Boltzmann-Gesetz könnte man mit schwarzem Kupfer um die 200W/qm abstrahlen. Aber nur, wenn die Sonne nicht auf die Fläche scheint. Man hat also immer abwechselnd zwei Wochen Strom ohne Kühlmöglichkeit und dann zwei Wochen Kühlmöglichkeit ohne Strom. Man bräuchte demnach Akkus und Wärmespeicher. Gameserver könnte man auch eher nicht betreiben, bei einer Latenz von 2.6s. 😀

Die Clients haben nicht zufällig einen öffentlichen DNS als zweiten Server eingetragen?

Oh, jetzt hast Du mich erwischt. Ich meinte, dass das früher mal ging, aber ich war schon länger nicht mehr im Portal und jetzt sieht (wieder mal) alles ganz anders aus. Ich musste noch nie für jemanden eine E-Mail aus der Quarantäne fischen und diese enthält auch fast keine Elemente. Es wird so viel direkt abgelehnt, dass ich nicht gemerkt habe, dass doch eine Quarantäne vorhanden ist.

Das ist eine interessante (und erschreckende) Feststellung, war mir bis jetzt nicht bekannt. Uns betrifft es nicht, da wir keine Quarantäne nutzen.

Mailstore setze ich seit 2008 ein, mit mittlerweile ca. 200 Benutzern und um die 10 TB im Archiv. Es funktioniert gut, auch Updates waren immer problemlos. Wobei die Benutzer es als Archiv im Sinne von "habe ich, brauche ich selten" und nicht als "Erweiterung des Outlook-Postfachs" einsetzen. Sie arbeiten also über das Webinterface oder den Client und ich habe keine Erfahrungen mit dem Outlook-Addin und dem Hin- und Herschieben von E-Mails. Die E-Mails werden von Mailstore direkt aus dem Journalpostfach abgeholt.

Das Problem ist gelöst oder besser gesagt Kerberos als Workaround implementiert. Mit CredSSP habe ich es unter keinen Umständen zum Laufen gebracht. Ich verstehe nicht, weshalb. Deshalb habe ich den Tipp von @cj_berlin befolgt und Kerberos verwendet. Also eine Vertrauensstellung eingerichtet und die Delegation konfiguriert. Seither gibt es keine Berechtigungsprobleme mehr. Besten Dank!

Danke für Deine Antwort! Der Account ist nicht in der Protected Users-Gruppe. Es ist ein lokaler Admin-Account (aber nicht der "Administrator"). Die Domänen vertrauen sich nicht und ich wollte das nach Möglichkeit so lassen, da sich aktuell die DCs der beiden Domänen nicht sehen.

Hallo zusammen Ich bringe es nicht fertig, VMs zwischen zwei Hosts in unterschiedlichen Domänen zu verschieben. CredSSP ist aktiviert und Trusted Hosts gesetzt. Ich kann die Hosts gegenseitig im Hyper-V-Manager hinzufügen und PowerShell-Sessions auf dem jeweils anderen Host starten. Kommandos wie "Get-VM" funktionieren, aber "Move-MV" bricht ab: The operation on computer 'hostname' failed: WinRM cannot process the request. The following error with errorcode 0x8009030e occurred while using Kerberos authentication: A specified logon session does not exist. It may already have been terminated. Ebenso das Verschieben über den Hyper-V-Manager. Live Migration ist auf beiden Hosts auf CredSSP gesetzt. Ich verwende jeweils den lokalen Administrator. Auch eine PS-Session vom Ziel- auf den Quellhost und darin Move-VM starten hat nicht geholfen. Es scheint, also zwinge ihn irgendwas auf Kerberos. Hat jemand eine Idee?

Arbeitest Du mit Adminrechten? Eine Anwendung, die mit Benutzerrechten läuft, kann keine Systemdienste beenden. Allenfalls stürzt ein Dienst ab und reisst die Abhängigkeiten mit sich. Das wäre aber in der Ereignisanzeige protokolliert.