mwiederkehr

Bei meinen Kunden werden die Benutzer so weit wie möglich von Konfigurationsarbeiten entlastet. Die Drucker werden automatisch verbunden, die Signatur eingestellt etc. Vor der Einführung neuer Software wird eine firmenspezifische Dokumentation erstellt und in Gruppen geschult. Für kleinere Sachen wie "Abwesenheitsassistent einrichten" gibt es Anleitungen im Intranet.

Vieles wird aber bei Bedarf ohne zu Murren von Power-Usern oder dem Azubi im First-Level-Support erledigt. Die Mitarbeiter, die OOF nicht selbst einrichten können, sind meist ältere Semester (mit entsprechendem Gehalt). Da ist es sowohl für den Arbeitnehmer angenehmer wie auch für die Firma günstiger, wenn Anpassungen schnell vom Support vorgenommen werden, statt dass sich der Arbeitnehmer eine halbe Stunde lang abmüht. (Das gilt auch für Sachen wie die Erstellung von Präsentationen: es ist effizienter, wenn der Geschäftsführer den Inhalt auf Papier skizziert und die Lehrtochter auf dem Sekretariat dann eine Präsentation daraus bastelt, anstatt wenn man ihn tageweise auf PowerPoint schulen würde.)

Du schreibst, Du hättest den Client neu installiert und auf die aktuelle Version aktualisiert. Das heisst installiert mit 1709, dann aktualisiert auf 1803?

Hatte das Problem auf zwei Clients. Jeweils nach dem Update von 1709 auf 1803. Bei beiden war ein HP Multifunktionsdrucker installiert. Bei mir hat geholfen, alle Drucker über die Druckverwaltung zu löschen, den Spooler neu zu starten und dann die Drucker über die "neue" Oberfläche wieder zu installieren.

vor 28 Minuten schrieb RealUnreal:

Lt. Handbuch soll man ein Häkchen machen vor "Show System and Hidden Volumes" um die zu sichern.

Wird sonst wirklich der System State nicht mitgesichert?

Das wäre mir jetzt nicht aufgefallen. Wenn man "entire computer" auswählt, wird alles gesichert. Bei "Volume level backup" nimmt er standardmässig auch die versteckten Partitionen, wenn man C: auswählt. Aber es kann nicht schaden, den Haken zu setzen und die Auswahl zu verifizieren.

Der Konfigurationsassistent ist etwas ungünstig gestaltet an der Stelle. Gelöscht werden alte Backups jeweils nach einer Sicherung. Sicherst Du nur einmalig, wird nicht nach 14 Tagen automatisch das einzige Backup gelöscht.

Du kannst einfach eine Sicherung manuell starten und zur Sicherheit danach den Speicherort umstellen.

Du kannst das Verhalten des Keyloggers ja ändern, damit er nicht erst auf Ctrl-C reagiert.

Aber jetzt wo wir wissen, was Du eigentlich machen möchtest, ist es einfacher. Du kannst direkt bei Änderungen in der Zwischenablage benachrichtigt werden:

https://mnaoumov.wordpress.com/2013/08/31/cpowershell-clipboard-watcher/

Das funktioniert dann auch, wenn ein Benutzer etwas über das Kontextmenü in die Zwischenablage kopiert.

Das wird nicht einfach. Es gibt zur Registrierung eines globalen Hotkeys keine Funktion in PowerShell. Man könnte evtl. C#-Code einbinden:

https://www.fluxbytes.com/csharp/how-to-register-a-global-hotkey-for-your-application-in-c/

Aber das wird dann schnell unübersichtlich.

Oder man fängt (wie bei einem Keylogger) wirklich alle Tastaturanschläge mit und reagiert, wenn die gewünschte Kombination kommt:

https://www.tarlogic.com/en/blog/how-to-create-keylogger-in-powershell/

Ich habe das Gefühl, dass dieses Vorgehen recht viel CPU verbrät im Hintergrund.

Man könnte parallel ein AutoIt-Script laufen lassen. AutoIt unterstützt globale Hotkeys:

https://www.autoitscript.com/site/autoit/

Dieses könnte bei Drücken der Tastenkombination dann entweder den PowerShell-Prozess killen oder eine Datei anlegen, deren Existenz das Script prüft und sich dann beendet.

Vernünftiger wäre es wohl, das Tool gleich in C# zu schreiben.

Die korrekte Methode scheint nicht "SaveAs2" zu sein, sondern "ExportAsFixedFormat":

https://msdn.microsoft.com/en-us/vba/word-vba/articles/document-exportasfixedformat-method-word

Dort den Parameter "UseISO19005_1" auf true setzen.

Man könnte überlegen, den Server auf Hyper-V virtuell zu betreiben. Dann könnte man einen zweiten Server kaufen und die VM replizieren (Hyper-V Replica). So hätte man ein Replikat mit im Notfall nur wenigen Minuten Datenverlust.

Mit Azure Site Recovery könnte man den Server (auch ohne ihn zu virtualisieren) nach Azure replizieren. Da fällt die zweite Hardware weg, die Daten wären extern gespeichert, aber dafür ist die Einrichtung komplizierter (VPN einrichten etc.).

Oder auf einem Client Windows 10 installieren, den Hyper-V aktivieren und vom Server jede Nacht ein "Backup" mit disk2vhd machen, welches man dann im Hyper-V starten könnte. Da sind wir dann aber in der Bastelecke...

Du hast es tatsächlich nicht einfach...

Was mir noch einfällt bezüglich Finanzierung: wenn ihr die Mittel nicht auf einmal habt bzw. bekommt, wäre evtl. ein Leasing eine Option. HP bietet das zum Beispiel an ("HP Financial Services"). Wenn man die Lizenzen als ROK kauft, kann man sie auch in die Finanzierung nehmen. Von meinen Kunden hat das erst einer gewünscht, habe also keine grosse Erfahrung damit. Aber der Zinssatz war recht attraktiv. Vielleicht kommt das der Geschäftsführung entgegen, dann hätten sie konstante Ausgaben statt jetzt viel auf einmal.

Ich rate davon ab, aus Kostengründen jetzt noch W2k8R2 zu installieren. Anfang 2020 ist der End of Life und spätestens dann habt ihr den Installationsaufwand nochmals. Ich würde dem Chef das versuchen zu erklären, um eine Beschaffung der Lizenzen auch ausserhalb des Budgets zu ermöglichen.

"The operation has timed out" heisst wahrscheinlich "Mailserver hat nicht reagiert".

Stimmt der Server und der Port? Funktioniert der Zugriff mit Telnet? Wie lange dauert es, bis "220 server xy ready" kommt?

Das AD ist sehr vereinfacht gesagt eine Datenbank, welche Benutzer und Gruppen enthält. Anwendungen wie Windows oder Exchange führen Authentifizierungen über das AD aus. Dabei wird das AD immer vom Dienst, an welchem man sich anmeldet, kontaktiert, nicht vom Client direkt. Wenn sich also jemand am OWA vom Exchange anmeldet, kontaktiert der Exchange das AD, nicht der Browser vom Client. Deshalb muss das AD von aussen nicht erreichbar sein.

Auf der Firewall musst Du nichts von innen nach aussen blockieren, das AD baut nicht selbst Verbindungen zu irgendwelchen Servern im Internet auf.

vor 17 Minuten schrieb TuxedoDings:

Ja, eigentlich die Kategorie "Online Spiele" o.ä. Aber wenn sich die Herrschaften nicht daran halten wird's einfach ganz gesperrt. Mal sehen wie die verantwortlichen letztenendes entscheiden.

Dazu passt der Spruch "soziale Probleme lassen sich nicht mit Technik lösen". Sprich: wenn es Leute gibt, die während der Arbeitszeit spielen, bringt ein Filter nicht viel. Die kommen dann mit einem portablen Browser oder kopieren die Flash-Games direkt auf den Stick. Oder machen lange WC-Pausen mit dem Smartphone... Wir hatten das mal mit einem Lehrling. Der hat alle technischen Sperren jeweils als Herausforderung gesehen. Geholfen hat dann ein Gespräch mit seinen Eltern über Konsequenzen, Abschlussprüfung etc.

Filter sehe ich eher als Schutzmassnahme gegen Schadsoftware oder um zu verhindern, dass Kinder auf ungeeignete Seiten kommen, aber nicht als Schutz gegen Surfen während der Arbeitszeit.

vor 34 Minuten schrieb helpmeplease:

Grundsätzlich stimmt das natürlich. Doch es sind keine sensiblen Daten drauf.

Die Daten sind in solchen Fällen meist nicht das Problem, sondern das der Server für Spamversand etc. missbraucht wird. Aber ich denke, auch mit einem Hyper-V in der Grundkonfiguration hat man kein gravierendes Sicherheitsproblem, wenn das Administrator-Passwort gut genug ist.

vor 1 Minute schrieb helpmeplease:

Kannst du mir das etwas näher erklären was man beim Routing wo einstellen muss?

Das Wiki von Hetzner bietet viele Konfigurationsanleitungen, darunter auch solche für Hyper-V:

https://wiki.hetzner.de/index.php/Windows_Server_Subnet

https://wiki.hetzner.de/index.php/Windows_Server_HyperV

Wenn Du einzelne IP-Adressen bestellst, bekommst Du diese auf eine MAC-Adresse zugewiesen. Du kannst dann einer VM diese MAC-Adresse zuweisen und sie bekommt per DHCP direkt die entsprechende öffentliche IP.

Wenn Du ein ganzes Subnet bestellst, wird dieses auf die Haupt-IP Deines Servers geroutet. Du müsstest im Windows also Routing aktivieren und einen zweiten vSwitch erstellen, an welchem die VMs dann hängen. Die VMs haben dann direkt öffentliche IPs und den Host als Gateway.

Beide Konfigurationen schliessen die Verwendung einer Firewall-VM nicht aus. Dazu würde ich aus diversen Gründen auch raten: Sicherheit, VPN, je nachdem Ersparnis von IP-Adressen...

Was soll denn gesperrt werden? Für eine dynamische Sperre von "bösen" Seiten kommst Du um einen Proxy mit regelmässig aktualisierter Filterliste nicht herum.

Soll alles bis auf einzelne Seiten gesperrt werden, ginge es über Gruppenrichtlinien: 127.0.0.1 als Proxy eintragen und die erlaubten Seite als Ausnahme. Dann natürlich die Proxy-Einstellungen für die Benutzer sperren und dafür sorgen, dass sie nicht einfach einen Portable Firefox auf dem USB-Stick mitbringen.

Bist Du per F12 ins BIOS? Es geht anscheinend nur über F10. Nach dem Speichern der Einstellungen sollte beim nächsten Neustart eine vierstellige Zufallszahl angezeigt werden, die man eingeben muss. Dies zur Prüfung, dass wirklich jemand am Rechner die Einstellung vorgenommen hat. Wenn man mit F12 das Menü aufruft und darüber ins BIOS geht, wird die Zahl anscheinend nicht angezeigt.

Früher wurde in Computermagazinen der "Geheimtipp" rumgeboten, man solle die Aktivierung sichern und nach der Neuinstallation wiederherstellen. Ich weiss nicht, ob das jemals funktioniert hat.

Nötig ist es auf jeden Fall nicht. Ich hatte noch nie Probleme durch erschöpfte Aktivierungskontingente durch Neuinstallationen auf der gleichen Hardware.

Bei dieser Anzahl Switches und Clients lohnt sich Stacking eigentlich nur, wenn die Switches routen. Ich würde nicht Stacken, aber Modelle mit SFP+-Ports nehmen. Dann kannst Du die Uplinks mit 10 Gig-DACs machen. Das ist eine recht günstige und trotzdem schnelle Lösung.

Der fehlende Schlüssel bedeutet, dass Du nicht den Private Key des Zertifikats importiert hast, sondern nur den Public Key. Für die Authentifizierung werden jedoch beide Schlüssel benötigt. Achte beim Export darauf, dass beide Schlüssel exportiert werden. (Die Datei sollte die Endung "pfx" haben, nicht "cer" oder "pem".)

Nein leider nicht. Kenne das Problem nicht (bei mir wird die Spalte angezeigt in der Detailansicht) und finde im Internet nichts dazu. Nur ein Forenbeitrag bei Microsoft, aber dort steht keine Lösung.

So wie ich das verstehe, muss Bind kein Scavenging unterstützen (was er auch nicht tut). Das übernimmt der Windows DNS. Die Warnung besagt nur, dass man die Zonendatei nicht in einem anderen DNS-Server laden kann. Macht man aber auch nicht, die sekundären DNS-Server holen sich die Zone per Zonentransfer, und das ist ein standardisiertes Protokoll.

Eine andere Lösung wäre, die Zone auf dem Bind als Forward-Zone einzurichten. Dann müsste man an den Clients nichts umstellen und er würde alle Anfragen die Domäne betreffend an den Windows DNS weiterleiten.

Azure kann nicht dynamisch die Ressourcen einer VM anpassen. Für das müsste die VM heruntergefahren werden. Bei Azure nimmt man für solche Zwecke nicht einen Server, sondern den "App Service". Dieser ist "eine Ebene höher" als der Server, man mietet quasi einen IIS. Man stellt die Grösse der darunterliegenden VM ein, so dass es für den Normalbetrieb reicht. Bei viel Last kann Azure automatisch neue Instanzen starten und wieder beenden ("horizontale Skalierung"). Die Anwendung muss natürlich damit klar kommen, dass sie auf mehreren Instanzen läuft. Sprich: Sessions in Datenbank speichern, verteilter Cache, verteiltes Logging etc.

Ich kenne eure Anwendung nicht, aber aus Erfahrung kann ich sagen, dass man mit 2 Cores und 4 GB RAM weit kommt, wenn man Engpässe beseitigt. Wird viel Rechenleistung in nur wenigen Funktionen verbraten? Kann man diese optimieren? Ist die Datenbank das Problem? Können gewisse Inhalte gecacht werden? Vielleicht kann durch die Optimierung der Ressourcenbedarf soweit gesenkt werden, dass ein einzelner Server (wenn vielleicht auch mit 4 Cores und 8 GB RAM) ausreicht. Das würde die Komplexität reduzieren.

vor 47 Minuten schrieb RobDust:

In welche Cloud sichert Ihr? So wie ich verstehe, ist das ja nur der Part, welcher sich mit einer Cloud verbindet..

Das ist richtig. Cloud Connect bietet ein zusätzliches Repository an, welches in der Cloud liegt. Lokal braucht man Veeam inkl. Lizenz.

Wir sichern bei einem Schweizer Anbieter. Auf https://www.veeam.com/de/find-a-veeam-cloud-provider.html gibt es eine Übersicht über die Anbieter. Ich würde dort einen in Deinem Land raus suchen. Nicht nur der Preis ist entscheidend, sondern falls gewünscht auch die Zusatzangebote: kann man im Notfall die Backups auf einer USB-Festplatte abholen, damit man nicht alles über die Internetleitung ziehen muss? Einige Provider bieten auch an, im Notfall die Backups auf ihre Infrastruktur zurückzuspielen. So könnte man dann von extern per VPN arbeiten, bis man vor Ort neue Hardware beschafft hat. (Setzt natürlich ein entsprechendes Konzept mit Notfallplan voraus.)

Als Ergänzung ist vielleicht noch hinzuzufügen, dass viele Browser ihren eigenen DNS-Cache mitbringen. Der steht dann noch über der hosts-Datei. Diesen kann man ja nach Browser löschen oder man muss den Browser neu starten.

Weshalb das so ist, weiss ich nicht. Der Cache des Resolvers vom Betriebssystem sollte ja eigentlich schnell genug sein, ist er aber anscheinend nicht.