mwiederkehr

Ich hoffe auch, dass es Ersatz geben wird. Denn wenn man, wie Microsoft, der Meinung ist, dass ein Webserver zum Betriebssystem gehören soll, sollte auch ein Mailserver dabei sein. Als lokales Gateway für Geräte, die keine Authentifizierung können, aber auch für Scripts, welche per Pickup-Verzeichnis mailen, ist der Dienst notwendig.

Netaphor scheint ca. 1 EUR pro Monat und Gerät zu kosten. Das ist im gleichen Rahmen wie der MSP Monitor. Ich kann nicht nachvollziehen, weshalb das bei 1000 Geräten zu teuer sein soll. Dem Kunden wird euer Service bestimmt so viel Wert sein, oder ihr spart durch weniger manuelle Arbeit mehr ein, als die Lösung kostet. Ihr bezahlt 1 EUR pro Monat, könnt dem Kunden aber vielleicht 2 EUR berechnen für die Dienstleistungen "monatlicher Report über Druckvolumen", "proaktive Reaktion bei Fehlern" und "rechtzeitige Lieferung von Ersatztoner".

Als jemand, der vor etwa 20 Jahren einmal einen Spamfilter für Exchange selbst entwickelt hat, weil er das Gefühl hatte, es sei dank Event Sinks "ganz einfach" , kann ich Dir sagen: Solche Projekte werden immer um mehrere Grössenordnungen komplexer, als man anfänglich denkt. Den Zählerstand auslesen und per E-Mail verschicken ist für sich eine überschaubare Sache, das stimmt. Aber wie passt man die Konfiguration an? Bei 1000 Geräten werden es einige Kunden sein. Kommt man da überall ans Überwachungs-Script? Man kann viele Lösungen bauen, vom Laden der Konfiguration über einen Webserver bis zum über einen Reverse-SSH-Tunnel erreichbaren Webinterface. Aber das alles ist viel mehr Aufwand, als die eigentliche Aufgabe, das Überwachen von Druckern.

Das ist ein Anwendungsfall für einen Raspberry Pi. Ich kenne einen Dienstleister, der bei den Kunden einen Raspberry Pi ins Netzwerk hängt. Dieser lädt Zähler- und Tonerstände täglich per FTP als CSV auf den Server. Fehler meldet er per E-Mail. Je nach gewünschter Ausbaustufe lässt sich das mit überschaubarem Aufwand realisieren, zum Beispiel als Projekt für den Azubi.

Oder aber man nimmt eine fertige Lösung. Ich habe auf Anhieb https://www.mpsmonitor.com/ gefunden. Die läuft in der Cloud und man installiert beim Kunden einen Agenten, welcher die Daten per SNMP abfragt. Dieser läuft entweder auf Windows, Linux (Raspberry Pi ist ausdrücklich unterstützt) oder bei grösseren Geräten direkt auf den Druckern. Angesichts des aus meiner Sicht fairen Preises von etwas über 100 EUR pro Monat für 100 überwachte Geräte, würde ich zu einer fertigen Lösung tendieren.

Laut https://www.bleepingcomputer.com/news/microsoft/new-microsoft-exchange-zero-days-allow-rce-data-theft-attacks/ hat Microsoft teilweise Entwarnung gegeben:

Regarding ZDI-23-1578: Customers who have applied the August Security Updates are already protected.

Schade nur, dass das nicht offensiver kommuniziert wird. (Und merkwürdig, dass der Bug laut ZDI Anfang September gefunden wurde und die hoffentlich mit einem aktuellen Exchange getestet haben.)

vor einer Stunde schrieb testperson:

Ich vermute, es gibt genügend Quellen, wo sich passende Zugänge gegen Kohle kaufen lassen. Hier gibt es ja bspw. den ein und anderen Breach, wo E-Mail und Passwort abhanden gekommen sind: Have I Been Pwned: Pwned websites

Das stimmt. Gegen gezielte Angriffe hilft "authentication required" nur sehr bedingt. Ich dachte eher an massenhafte "ich suche auf Shodan nach Exchange-Servern und lass mein Schrotflinten-Script feuern"-Angriffe.

vor einer Stunde schrieb zahni:

Was wollt Ihr denn? Microsoft will die IT jetzt sicherer machen. Das passt schon.

Schön wärs. Von dem, was ich bis jetzt über die SFI gelesen habe, bin ich nicht so begeistert. Es scheint um KI zu gehen, Telemetrie, Angriffe automatisch erkennen etc. Aber das ist immer Symptombekämpfung. Schnellere Update-Zyklen sind gut, Patches ohne Reboot, automatisch verteilte Mitigation-Rules im IIS etc. Aber eigentlich ist Software sicher, wenn sie sicher programmiert wurde. Dann braucht es auch keine dringenden Updates. Ich habe das Gefühl, die alten C++-Hasen mit diesem Denken sind weniger geworden und wurden durch Hipster ersetzt. Dann kommen Sachen wie Teams raus, eine JavaScript-Anwendung mit drangeklebter Browser-Engine. Das ist weder elegant noch sicher. Aber mal abwarten und den Tag nicht vor dem Abend kritisieren.

"Authentication is required" steht auch beim ersten Link. Und Microsoft ist der Meinung, dass es kein "immediate servicing" braucht. Das beruhigt mich etwas. Wobei es mir nicht mehr ganz so wohl ist, wenn ich bedenke, wie viele schwerwiegende Lücken bei Exchange in den letzten paar Jahren entdeckt worden sind. Hoffentlich hilft die angekündigte "Secure Future Initiative" (natürlich mit KI!)...

Ich habe das Szenario "RODC in DMZ" gesehen, für vom Internet erreichbare Anwendungen, die Domänen-Authentifizierung benötigen, wie das Remote Desktop Gateway. Gesehen in der Doku von Microsoft, nicht in der Praxis.

Läuft der Server als VM? Werden zu den Zeiten der Unterbrüche Snapshots gemacht?

Ich hatte solch ein Phänomen schon mit Access-Datenbanken. Alle Anwendungen haben die Snapshots überlebt, auch von den Terminalserver-Benutzern ist keine Reklamation gekommen, aber eine übers Netzwerk geöffnete Access-Datenbank ist mit etwa 50-prozentiger Wahrscheinlichkeit auf die Nase gefallen.

Habe die Rückmeldung bekommen: Das Problem lag an einer falschen Konfiguration der Software. Auf die Idee mit der Zertifikatskette ist man gekommen, weil man den Qualys SSL Server Test gemacht hat bei meinem Kunden und bei einem anderen Kunden, bei dem es funktioniert. Und das fehlende Root-Zertifikat war der einzige Unterschied. Eine Recherche im Internet hat dann ergeben, dass Android "manchmal Probleme mit Root-Zertifkaten hat".

Also eine Kombination aus Unkenntnis und hoher Selbstsicherheit. Kennen manche von uns vielleicht von ihren jungen Jahren.

vor 2 Stunden schrieb tesso:

Das Root Zertifikat gehört nicht in die Zwischenzertifikate, sondern zu den vertrauenswürdigen Stammzertifikaten.

Bei den Stammzertifikaten ist es schon. Es war der Versuch, den IIS dazu zu bringen, es als Teil der Kette an die Clients auszuliefern. Ich habe Berichte von Leuten gefunden, bei denen das funktioniert hat, allerdings waren das ältere Versionen vom IIS.

Vielen Dank für eure Antworten! Das Root-Zertifikat zu den Zwischenzertifikaten zu kopieren, hat leider nicht geholfen.

Es scheint, als liefen die Terminals mit einem Uralt-Android und entweder hatte jemand die famose Idee, dem vom Webserver gesendeten Root-Zertifikat zu vertrauen oder sie haben die Krypto selbst implementiert und vergleichen das vom Server gelieferte Root-Zertifikat mit dem in ihrem Store oder so... Auf jeden Fall will man noch einmal mit den Entwicklern sprechen, nachdem ich aus RFC 5246 zitiert habe:

certificate_list
      This is a sequence (chain) of certificates.  The sender's
      certificate MUST come first in the list.  Each following
      certificate MUST directly certify the one preceding it.  Because
      certificate validation requires that root keys be distributed
      independently, the self-signed certificate that specifies the root
      certificate authority MAY be omitted from the chain, under the
      assumption that the remote end must already possess it in order to
      validate it in any case.

Hallo zusammen

Auf einem IIS auf Windows Server 2019 läuft eine Webanwendung mit gekauftem Zertifikat. Dieses ist wie üblich von einer Zwischenzertifizierungsstelle signiert, deren Zertifikat wiederum von der Root-CA signiert ist. Im Browser funktioniert alles bestens und SSL Labs ist zufrieden.

Der IIS sendet das Zertifikat sowie das Zertifikat der Zwischenzertifizierungsstelle mit, nicht aber das Root-Zertifikat. Was laut Standard erlaubt und auch sinnvoll ist, denn der Client muss das Root-Zertifikat ja selbst haben. (Laut Standard darf der Webserver das Root-Zertifikat mitliefern, muss aber nicht.)

Leider verlangen die angeschlossenen Zeiterfassungs-Terminals eine vollständige Zertifikatskette. Dazu ist zu erwähnen, dass die Software normalerweise auf einem vom Hersteller gelieferten Webserver läuft, der die ganze Kette ausliefert. Anscheinend liefern andere Webserver wie Nginx einfach alle Zertifikate aus, die man ihnen als Kette angibt.

Kann man den IIS dazu bringen, auch das Root-Zertifikat mitzusenden? Ich habe Anleitungen gefunden, laut deren man die automatische Aktualisierung der Root-Zertifikate deaktivieren und das entsprechende Zertifikat dann zu den Zwischenzertifizierungsstellen verschieben soll. Das funktioniert insofern, als beim Zertifikat danach keine vollständige Kette mehr angezeigt wird und der IIS beim Zuweisen der Bindung reklamiert. Aber er liefert das als Zwischenzertifikat getarnte Root-Zertifikat trotzdem nicht aus.

Ich kann mir nicht vorstellen, dass externe Portale (resp. deren Benutzer) ohne direkten Datenbankzugriff eine Lizenz benötigen.

Klar ist es bei Webanwendungen, die direkt auf den SQL Server zugreifen. Da kann man nicht sagen "aber der Webserver greift nur über einen Benutzer zu". Das ist ein Proxy-Zugriff und lizenzpflichtig. Aber ein Export in fremde Systeme ist etwas anderes. Das ist eher vergleichbar mit "Verkauf exportiert Preisliste in Excel und sendet sie an Kunden". Da würde man auch nicht auf die Idee kommen, dass der Kunde eine SQL-CAL benötigt.

Viele Anwendungen zur Auftragsbearbeitung haben eine Schnittstelle zu Shops wie WooCommerce. Einige meiner Kunden haben solche Systeme im Einsatz und ich habe noch nie von Lizenzproblemen gehört.

Wenn ein System für dessen Anwender (also die Kunden der Portale) weiterläuft, wenn man den SQL Server stoppt, sind aus meiner Sicht keine CALs erforderlich.

Es gibt Kabel mit integriertem Lichtwellenleiter. Hält man an ein Ende eine LED, leuchtet das andere Ende auf. Die liegen preislich im Rahmen. Kürzlich habe ich eine Luxusvariante gesehen, die haben die LEDs und eine Knopfzelle integriert. Keine Ahnung, wer sowas kauft.

Falls von Hand beschriften eine Möglichkeit ist: Es gibt Kabelbinder mit beschreibbarer Rechteckfläche am Ende. Besser die Variante nehmen, bei der die Beschriftung parallel zum Kabel verläuft, sonst wird es vor dem Switch sehr eng.

Unter dem Begriff "Knochenetikett" findet man Klebeetiketten, die sich um das Kabel legen lassen. So, wie der Juwelier Ringe beschriftet. Gibt es sehr günstig auf Rolle für Thermodrucker. Ich weiss aber nicht, ob die in der warmen Abluft besser halten als die P-Touch-Etiketten. Mit denen habe ich ähnliche Erfahrungen gemacht wie Du.

Ich bin mittlerweile so weit, dass ich mir "NoNag"-Editionen wünsche und bereit wäre, dafür mehr zu bezahlen. Ein Windows-Setup ohne Zwang zu einem Microsoft-Account, keine plötzlich Vollbild auftretenden "lassen Sie uns Ihren Rechner fertig einrichten"-Dialoge mit nur "Weiter" und "in drei Tagen erneut Fragen" als Optionen, kein First-Run-Wizard bei Edge mit x Fragen in x Dialogen und keine mit Updates aktivierten neuen Features. Einfach Software, die aus Benutzersicht gedacht ist und nicht aus Sicht des Marketings.

Bist Du sicher, dass es ein LAN-Port ist? Bei FortiGate-Firewalls lassen sich die Ports frei konfigurieren, unabhängig ihrer Beschriftung. Ohne die Konfiguration zu kennen, kann man das nicht beurteilen.

vor 1 Stunde schrieb Nobbyaushb:

Rednitzhembach

Falls Du noch Zeit findest: Ganz in der Nähe befindet sich die Schleuse Leerstetten. Mit fast 25 m Fallhöhe die höchste in Deutschland. Besuch lohnt sich!

Einen schönen Mittwoch allerseits!

Die Firewall/den Router hast Du auch schon neu gestartet? Zeigt das Log Meldungen wie "too many sessions for client" mit der IP-Adresse des Servers?

Dass Du 8.8.8.8 von den Clients aus pingen kannst, aber nicht vom Server, ist merkwürdig. Falls die Swisscom-DNS wie kürzlich ein Problem hatten und auf der Firewall ein hohes UDP-Timeout eingestellt ist, könnten viele unbeantwortete DNS-Abfragen die Anzahl erlaubter Verbindungen erreicht haben.

Ich finde einige Beiträge, laut denen ein Cache des Systemprofils defekt ist: https://answers.microsoft.com/en-us/windows/forum/windows_10-hello/pc-stuck-at-a-blurry-login-screen/b63b7722-41ef-4cfa-9220-b3609452f8a0.

Wenn es tatsächlich ein Update-Problem wäre, müsste man aber mehr davon gehört haben. Es könnte deshalb auch ein Hardware-Defekt sein. Eine Reparaturinstallation ist schwierig, wenn man sich nicht anmelden kann und zum Kopieren von der Systemdateien von einem anderen System müsste dieses den exakt gleichen Updatestand haben.

Veeam kann ich ebenfalls empfehlen. Hat mir schon viel Arbeit erspart.

Outlook ist kein guter IMAP-Client. Eine Archivierung mittels Regeln ist aber ohnehin fehleranfällig.

Postfix kennt die Option "always_bcc", mittels derer eine Kopie aller E-Mails an eine bestimmte Adresse (Archivpostfach) geschickt werden kann. Wäre das eine Möglichkeit?

Ein Rechenzentrum auf dem Mond ist eine amüsante Idee. Strom wäre im Überfluss vorhanden, leider scheint die Sonne aber zwei Wochen am Stück und dann wieder zwei Wochen nicht. Die Abwärme brächte man nur per Abstrahlung weg. Laut Stefan-Boltzmann-Gesetz könnte man mit schwarzem Kupfer um die 200W/qm abstrahlen. Aber nur, wenn die Sonne nicht auf die Fläche scheint. Man hat also immer abwechselnd zwei Wochen Strom ohne Kühlmöglichkeit und dann zwei Wochen Kühlmöglichkeit ohne Strom. Man bräuchte demnach Akkus und Wärmespeicher.

Gameserver könnte man auch eher nicht betreiben, bei einer Latenz von 2.6s. 😀

Die Clients haben nicht zufällig einen öffentlichen DNS als zweiten Server eingetragen?

vor 2 Stunden schrieb NorbertFe:

Sicher? Wo kann man die denn komplett einfach abstellen?

Oh, jetzt hast Du mich erwischt. Ich meinte, dass das früher mal ging, aber ich war schon länger nicht mehr im Portal und jetzt sieht (wieder mal) alles ganz anders aus. Ich musste noch nie für jemanden eine E-Mail aus der Quarantäne fischen und diese enthält auch fast keine Elemente. Es wird so viel direkt abgelehnt, dass ich nicht gemerkt habe, dass doch eine Quarantäne vorhanden ist.

vor 1 Stunde schrieb wznutzer:

Funktioniert das zuverlässig? Ich nutze das ähnlich, aber es gibt das Problem, dass Emails die von der Exchange-Online-Protection in die Quarantäne sortiert werden, nach Freigabe nicht in das Journalpostfach zugestellt werden. Der Microsoft-Support hat das bestätigt, aber ist wohl by Design und das Journalpostfach wird als Featurecomplete angesehen und es ist mit keiner Änderung zu rechnen. Im Archiv fehlen somit alle Emails die mal in der Quarantäne waren und von da aus freigegeben wurden.

Das ist eine interessante (und erschreckende) Feststellung, war mir bis jetzt nicht bekannt. Uns betrifft es nicht, da wir keine Quarantäne nutzen.

Mailstore setze ich seit 2008 ein, mit mittlerweile ca. 200 Benutzern und um die 10 TB im Archiv. Es funktioniert gut, auch Updates waren immer problemlos.

Wobei die Benutzer es als Archiv im Sinne von "habe ich, brauche ich selten" und nicht als "Erweiterung des Outlook-Postfachs" einsetzen. Sie arbeiten also über das Webinterface oder den Client und ich habe keine Erfahrungen mit dem Outlook-Addin und dem Hin- und Herschieben von E-Mails. Die E-Mails werden von Mailstore direkt aus dem Journalpostfach abgeholt.