mwiederkehr

0755 ist ein Unix-Recht. Es bedeutet: Besitzer darf Lesen, Schreiben und Ausführen, alle anderen dürfen Lesen und Ausführen. Unter Windows bedeutet das, dem Benutzer des Anwendungspools diese Rechte zu geben. (Ganz normal über die Eigenschaften, mit FTP hat das nichts zu tun.) Erstelle am besten einen separaten Benutzer für jede Anwendung und gib diesem die Rechte. Schreibrechte nur dort geben, wo sie auch benötigt werden (auch wenn es in Anleitungen immer wieder heisst, überall Schreibrechte zu geben). Wenn ein Joomla zum Beispiel nicht ins Template-Verzeichnis schreiben kann, laufen viele Angriffe ins Leere.

Schau mal ins Log vom IIS: gibt es dort verdächtige Einträge? POSTs von einer externen IP (ohne dass jemand offiziell schon am System arbeitet) zum Beispiel? Setze in der php.ini vielleicht noch folgende Parameter: allow_url_fopen = Off disable_functions = exec,passthru,shell_exec,system,proc_open Das reduziert die Angriffsfläche etwas. Aber mittelfristig muss die Webanwendung wohl aktualisiert oder ersetzt werden.

Darf ich raten: Du hast die php_mysql.dll benötigt und diese nicht von php.net oder mysql.com bezogen, sondern vom ersten Link in Google? Leider ist in den Suchresultaten (auch bei Treibern etc.) nicht immer eine seriöse Seite zuoberst. Immer prüfen, woher man etwas bezieht. Oder aber Deine nicht mehr ganz taufrische Webanwendung hat eine Lücke. Das aber eher weniger, wenn der alte Server nie gehackt wurde.

Es ist aktuell tatsächlich schwierig: Roaming Profiles machen immer häufiger Probleme, zum Beispiel zwischen mehreren Versionen von Windows 10. Andererseits ist gerade ein kleineren Umgebungen eine zentrale Lösung für Signaturen etc. zu teuer. Und ein CAD-Zeichner ist nicht besonders begeistert, wenn er seine Werkzeugleisten neu einrichten muss, nur weil er mal an einem anderen Arbeitplatz arbeitet... Die elegante Lösung für diese Anforderungen wäre UE-V. Gibt es aber leider nur für Enterprise. Deshalb verwenden wir häufig immer noch Roaming Profiles. Aufwendig installierte Rechner (CAD etc.) sichern wir zudem mit Veeam Agent. Zum Thema Firefox: Der Profilpfad ist ja anpassbar. Könnte man das Profil evtl. auf einen UNC-Pfad legen? (Dann müsste man aber sicherstellen, dass der Benutzer nie an mehreren Rechnern gleichzeitig mit Firefox arbeitet.)

Es gibt ein Tool dafür: https://www.nartac.com/Products/IISCrypto/

Der IIS hat standardmässig auch eine Beschränkung des Uploads, diese muss ebenfalls angepasst werden: http://ajaxuploader.com/large-file-upload-iis-asp-net.htm Zum Flash-Problem: Schau doch mal mit den Entwicklertools des Browsers, ob der IIS alle Dateien (.js und .swf) ausliefert. Evtl. wird ein Script oder das Flash-Applet selbst nicht geladen.

Die Version von MySQL sollte kein Problem sein. "Call to undefined function mysql_errno()" deutet darauf hin, dass die MySQL-Extension von PHP nicht geladen ist. Ist im ext-Verzeichnis eine Datei namens "php_mysql.dll" vorhanden und wird diese in der php.ini geladen?

Wenn nur der Header kommt ist display_errors auf "off", error_reporting hat einen zu hohen Wert oder der IIS gibt Fehlermeldungen von CGI-Anwendungen nicht weiter (siehe den Link in meinem letzten Beitrag). Du kannst das Testen, indem Du eine fehlerhafte PHP-Datei erstellst und diese aufrufst. Aufpassen mit den Versionen: bei PHP ist man eher konservativ mit neuen Hauptnummern. Von PHP 5.2 zu PHP 5.6 ist der Unterschied grösser, als die Zahlen es vermuten lassen. Wenn auf dem alten Server PHP 5.0 installiert ist, ist es gut möglich, dass die Anwendung mit 5.6 nicht läuft. Wieso musst Du die Installation überhaupt erneut durchführen? Kannst Du nicht einfach Verzeichnisse und Datenbank kopieren?

Aktiviere mal die Ausgabe der Fehlermeldungen: https://docs.microsoft.com/en-us/iis/application-frameworks/install-and-configure-php-on-iis/improve-php-error-messages-in-iis-7-and-above Irgendwas muss zu sehen sein. Was war denn auf dem alten Server für eine Version von PHP installiert? (Wenn ich "short_open_tag" lese denke ich an Versionen weit vor 5.6...)

Zur Replikation könnte man DFS verwenden. Aber nur für die Synchronisation der FTP-Uploads oder gelegentliche Änderungen an Konfigurationsdateien, nicht, wenn die Webanwendung selbst Dateien schreibt (=> Versionskonflikte!). Lies Dir vielleicht noch die Doku zu "IIS Shared Configuration" durch, das könnte hilfreich sein. Wenn Du nur einen einfachen Round-Robin-Loadbalancer brauchst, reicht die in grösseren Firewalls vorhandene Variante aus. Die WatchGuard kann auch einfache Persistenz ("alle Anfragen von einer IP kommen acht Stunden lang auf den gleichen Server"). Noch ein Tipp aus der Praxis: bei den IIS-Logdateien nicht einen gemeinsamen Pfad angeben, sondern jeder Server loggt für sich und dann kannst Du die Dateien zum Beispiel mit dem Tool "Log Parser" zusammenfassen für eine Auswertung. (Der IIS schreibt Logs immer erst nach einer gewissen Zeit, und wenn es eine gemeinsame Datei ist, gehen so Einträge verloren.)

Du kannst OpenVPN als Dienst installieren. Dann wird der Tunnel aufgebaut, wenn der Dienst gestartet wird. Allerdings gibt es noch keine Integration in den Anmeldebildschirm dafür. Du müsstest die Zugangsdaten also in einer Datei hinterlegen (lesbar für Dienstbenutzer reicht zwar, aber unter Umständen will man das trotzdem nicht). Ansonsten bleibt wohl nur eine proprietäre Lösung: WatchGuard kann "connect before login" (aber nur mit IPSec, nicht mit SSL), Cisco soll es auch können.

Im Süden ist es auf dem Land auch nicht so toll, aber für ein paar User mit RDP reicht es meist. Im Zweifelsfall zwei Leitungen nehmen, RDP über die erste, Drucken und Scannen über die zweite. Bezüglich Verfügbarkeit hat die Swisscom seit einiger Zeit ein interessantes Konzept: beim DSL für Geschäftskunden gibt es einen 4G-Stick für den (Zwangs-)Router. Fällt DSL aus, schaltet der Router innert kurzer Zeit auf 4G um. Man behält damit sogar seine fixe IP-Adresse.

Du solltest von der anderen Seite her denken: nicht "ich habe DC, Exchange etc.", sondern "welche Anwendungen benötigt mein Kunde?". Der Server (falls er notwendig ist) ist dann nur Mittel zum Zweck (um die Software auszuführen oder die Daten zu speichern). Nimmt man statt Hardware vor Ort vielleicht besser einen Cloud-Server? Gibt es die benötigte Software schon als Cloud-Lösung und für E-Mail und Daten nimmt man Office 365? Einfach mal mit DC, File- und Printserver anzufangen hat man früher gemacht, aber heute gibt es ja mehr Möglichkeiten.

Ja, genau das hatten wir mit unserem ersten Terminalserver mit Windows 2016. Seit ca. einem halben Jahr ist es nicht mehr aufgetreten. Wurde wohl mit einem Update behoben. Genaueres müsste ich nachfragen, habe mich nur am Rand damit befasst.

Das funktioniert grundsätzlich gut. Wie es mit Drucker- und Laufwerkmapping und RemoteFX aussieht, weiss ich nicht. Zudem hat man keinen Support und keine Verwaltungslösung. Es gibt von IGEL einen bootfähigen USB-Stick, welcher alte Rechner in ThinClients verwandelt: https://www.igel.de/produkte-hardware/igel-ud-pocket-universal-desktop-thin-client/. Damit hat man eine supportete und verwaltbare Umgebung.

Bei meinen Kunden werden die Benutzer so weit wie möglich von Konfigurationsarbeiten entlastet. Die Drucker werden automatisch verbunden, die Signatur eingestellt etc. Vor der Einführung neuer Software wird eine firmenspezifische Dokumentation erstellt und in Gruppen geschult. Für kleinere Sachen wie "Abwesenheitsassistent einrichten" gibt es Anleitungen im Intranet. Vieles wird aber bei Bedarf ohne zu Murren von Power-Usern oder dem Azubi im First-Level-Support erledigt. Die Mitarbeiter, die OOF nicht selbst einrichten können, sind meist ältere Semester (mit entsprechendem Gehalt). Da ist es sowohl für den Arbeitnehmer angenehmer wie auch für die Firma günstiger, wenn Anpassungen schnell vom Support vorgenommen werden, statt dass sich der Arbeitnehmer eine halbe Stunde lang abmüht. (Das gilt auch für Sachen wie die Erstellung von Präsentationen: es ist effizienter, wenn der Geschäftsführer den Inhalt auf Papier skizziert und die Lehrtochter auf dem Sekretariat dann eine Präsentation daraus bastelt, anstatt wenn man ihn tageweise auf PowerPoint schulen würde.)

Du schreibst, Du hättest den Client neu installiert und auf die aktuelle Version aktualisiert. Das heisst installiert mit 1709, dann aktualisiert auf 1803? Hatte das Problem auf zwei Clients. Jeweils nach dem Update von 1709 auf 1803. Bei beiden war ein HP Multifunktionsdrucker installiert. Bei mir hat geholfen, alle Drucker über die Druckverwaltung zu löschen, den Spooler neu zu starten und dann die Drucker über die "neue" Oberfläche wieder zu installieren.

Das wäre mir jetzt nicht aufgefallen. Wenn man "entire computer" auswählt, wird alles gesichert. Bei "Volume level backup" nimmt er standardmässig auch die versteckten Partitionen, wenn man C: auswählt. Aber es kann nicht schaden, den Haken zu setzen und die Auswahl zu verifizieren.

Der Konfigurationsassistent ist etwas ungünstig gestaltet an der Stelle. Gelöscht werden alte Backups jeweils nach einer Sicherung. Sicherst Du nur einmalig, wird nicht nach 14 Tagen automatisch das einzige Backup gelöscht. Du kannst einfach eine Sicherung manuell starten und zur Sicherheit danach den Speicherort umstellen.

Du kannst das Verhalten des Keyloggers ja ändern, damit er nicht erst auf Ctrl-C reagiert. Aber jetzt wo wir wissen, was Du eigentlich machen möchtest, ist es einfacher. Du kannst direkt bei Änderungen in der Zwischenablage benachrichtigt werden: https://mnaoumov.wordpress.com/2013/08/31/cpowershell-clipboard-watcher/ Das funktioniert dann auch, wenn ein Benutzer etwas über das Kontextmenü in die Zwischenablage kopiert.

Das wird nicht einfach. Es gibt zur Registrierung eines globalen Hotkeys keine Funktion in PowerShell. Man könnte evtl. C#-Code einbinden: https://www.fluxbytes.com/csharp/how-to-register-a-global-hotkey-for-your-application-in-c/ Aber das wird dann schnell unübersichtlich. Oder man fängt (wie bei einem Keylogger) wirklich alle Tastaturanschläge mit und reagiert, wenn die gewünschte Kombination kommt: https://www.tarlogic.com/en/blog/how-to-create-keylogger-in-powershell/ Ich habe das Gefühl, dass dieses Vorgehen recht viel CPU verbrät im Hintergrund. Man könnte parallel ein AutoIt-Script laufen lassen. AutoIt unterstützt globale Hotkeys: https://www.autoitscript.com/site/autoit/ Dieses könnte bei Drücken der Tastenkombination dann entweder den PowerShell-Prozess killen oder eine Datei anlegen, deren Existenz das Script prüft und sich dann beendet. Vernünftiger wäre es wohl, das Tool gleich in C# zu schreiben.

Die korrekte Methode scheint nicht "SaveAs2" zu sein, sondern "ExportAsFixedFormat": https://msdn.microsoft.com/en-us/vba/word-vba/articles/document-exportasfixedformat-method-word Dort den Parameter "UseISO19005_1" auf true setzen.

Man könnte überlegen, den Server auf Hyper-V virtuell zu betreiben. Dann könnte man einen zweiten Server kaufen und die VM replizieren (Hyper-V Replica). So hätte man ein Replikat mit im Notfall nur wenigen Minuten Datenverlust. Mit Azure Site Recovery könnte man den Server (auch ohne ihn zu virtualisieren) nach Azure replizieren. Da fällt die zweite Hardware weg, die Daten wären extern gespeichert, aber dafür ist die Einrichtung komplizierter (VPN einrichten etc.). Oder auf einem Client Windows 10 installieren, den Hyper-V aktivieren und vom Server jede Nacht ein "Backup" mit disk2vhd machen, welches man dann im Hyper-V starten könnte. Da sind wir dann aber in der Bastelecke...

Du hast es tatsächlich nicht einfach... Was mir noch einfällt bezüglich Finanzierung: wenn ihr die Mittel nicht auf einmal habt bzw. bekommt, wäre evtl. ein Leasing eine Option. HP bietet das zum Beispiel an ("HP Financial Services"). Wenn man die Lizenzen als ROK kauft, kann man sie auch in die Finanzierung nehmen. Von meinen Kunden hat das erst einer gewünscht, habe also keine grosse Erfahrung damit. Aber der Zinssatz war recht attraktiv. Vielleicht kommt das der Geschäftsführung entgegen, dann hätten sie konstante Ausgaben statt jetzt viel auf einmal.

Ich rate davon ab, aus Kostengründen jetzt noch W2k8R2 zu installieren. Anfang 2020 ist der End of Life und spätestens dann habt ihr den Installationsaufwand nochmals. Ich würde dem Chef das versuchen zu erklären, um eine Beschaffung der Lizenzen auch ausserhalb des Budgets zu ermöglichen.