mwiederkehr

Die geblockten URLs sind nicht das Problem, das Problem sind die nicht geblockten. Oder anders: Wenn jemand klickt, der Aufruf blockiert wird und nichts weiter passiert, würde ich nichts unternehmen. Wenn von dem Client aus aber mehrere Anfragen blockiert werden, insbesondere zu ungewöhnlichen Zeiten, ist die Gefahr gross, dass etwas läuft, was nicht laufen sollte und eine Neuinstallation ist angesagt. 20 Minuten für eine Neuinstallation sind machbar übers Netzwerk. Wobei sich solche Beispiele auf ideale Umgebungen beziehen, in denen alle Software paketiert ist oder ausser Office keine Anwendungen benötigt werden. Es gibt da ganz andere Fälle, zum Beispiel bei Ingenieuren. Dort hat jeder fünf Versionen von drei CAD- und Berechnungs-Anwendungen installiert, die teilweise telefonisch aktiviert werden müssen, den Grafikkartentreiber genau in Version X benötigen und gewisse Daten lokal speichern. Aber das soll kein Hindernis sein für eine Neuinstallation bei Verdachtsfällen. In solchen Umgebungen sichere ich die Clients täglich über Mittag und das Zurückspielen der Sicherung dauert auch ziemlich genau 20 Minuten.

Danke! Der Beitrag von Frank hat mir den Mut gegeben, das virtuelle Verzeichnis im IIS zu löschen. Danach hat "New-EcpVirtualDirectory" funktioniert und es läuft wieder.

Hallo zusammen Ein Kunde hat auf einem Server mit Exchange 2013 Windows Updates mit der Option "Updates für andere Microsoft-Produkte einschliessen" installiert. Bei der Installation des aktuellen SU kam es zu einem Fehler. Danach waren auf dem System viele Dienste deaktiviert (alle Exchange-Dienste, aber auch die IIS-Verwaltung und WMI). Ich habe die Dienste wieder aktiviert und das SU wie erforderlich von einem "elevated prompt" aus installiert. Nach einem Neustart läuft alles bis auf das ECP wieder. Dieses wurde versucht neu anzulegen, was wegen nicht laufendem IIS-Verwaltungsdienst nur so halb funktioniert hat. "Get-EcpVirtualDirectory" liefert kein Resultat und keinen Fehler. Im AD sind die Objekte für ECP (Frontend und Backend) weg. Im IIS existiert im Front- als auch im Backend noch ein virtuelles Verzeichnis "/ecp". "Create-EcpVirtualDirectory" meldet, das Objekt ECP existiere schon in der Default Web Site. OWA funktioniert, auch der "ECP-Teil" von OWA funktioniert, also die Verwaltung der Regeln etc. Nur wenn man per "?ExchClientVer=15" auf das "Admin-ECP" zugreifen will, kommt Fehler 400. Wie erstellt man das ECP neu? Ich hätte gesagt, ich muss die virtuellen Verzeichnisse im IIS manuell löschen. Ist das richtig? Gibt es einen besseren Weg? Besten Dank für eure Tipps! P.S.: Termin für die Migration ist eingeplant. Wusste bis heute nicht, dass der Server existiert.

Ich versuche, wo immer möglich, mindestens zwei Exchange Server zu betreiben. Man muss dann zwar zwei Server updaten, die Dienste sind aber während der ganzen Zeit verfügbar. Siehe zum Beispiel https://www.frankysweb.de/exchange-2019-database-availability-group-dag/. Man kann Snapshots als Backups mit schneller Wiederherstellung ansehen, dann würde ich aber den Server vor dem Erstellen des Snapshots herunterfahren.

Grundsätzlich sollte man beim RAM nicht sparen, aber "doppelt so viel RAM wie die DB gross ist", ist keine allgemeine Regel. Ein Beispiel: Die ERP-Datenbank eines Kunden ist 30 GB gross. Die Tabellen mit allen Artikeln, Aufträgen und Stundenrapporten (diese allein mit mehr als einer Million Datensätze) sind 1 GB gross. Die restlichen 29 GB belegt die Tabelle "dok" mit den Spalten "dok_id" (int) und "dok_image" (varbinary(max)). Will heissen: Die 29 GB werden nur angefasst, wenn ein Dokument geöffnet oder erstellt wird, was relativ selten (ein paar Mal pro Stunde, nicht ein paar Mal pro Sekunde) passiert.

HP Notebooks haben einen zuschaltbaren Blickschutz ("SureView"). Diesen empfinde ich als nicht sehr störend, auch wenn der Kontrast natürlich etwas leidet. Wie ich gesehen habe, haben die besseren Desktop-Bildschirme ("EliteDisplay") diese Funktion auch. Ich würde es mal mit so einem probieren. SureView funktioniert über eine veränderte Hintergrundbeleuchtung. Das verspricht eine bessere Qualität als eine nachgerüstete Folie.

Je nach Anforderungen und Netzwerkverkehr, kann es besser sein, die interne Filterung über die Switches zu machen statt über eine separate Firewall. Zur Filterung des Verkehrs von und nach aussen ist eine Firewall sinnvoll, mit VPN, Content Filter, Reverse Proxy etc. Intern reicht oft ein Paketfilter, mit dem man Sachen wie "VLAN 20 darf auf VLAN 40 zugreifen, aber nicht umgekehrt" oder "von VLAN 20 zu VLAN 40 ist nur DNS offen" umsetzen kann. Layer-3-Switches haben meist Paketfilter integriert. Im Gegensatz zu einer Firewall ist der Durchsatz kein Problem, und wenn man einen Stack hat, ist die Redundanz auch gleich gegeben.

Nach meinem Kenntnisstand geht das zumindest offiziell nicht. Server 2022 basiert auf der GUI von Windows 10. Die Previews von "vNext" haben die GUI von Windows 11. Ich denke nicht, dass Microsoft die neue GUI zurückportieren wird zu Server 2022. Von allenfalls erhältlichen Tools von Drittanbietern rate ich ab. Die mögen gut sein, damit Opa noch das alte Startmenü hat, aber auf einem Terminalserver möchte man so was nicht haben. Grundsätzlich ist zu beachten, dass Microsoft immer weniger Client-Tools auf den Servern zur Verfügung stellt. Die "Desktop Experience" von Server 2022 enthält nur die GUI, aber nicht die Tools wie die nachinstallierbare "Desktop Experience" bei Server 2012 R2. Es fehlt unter anderem die Scansoftware sowie die Möglichkeit, mehrere Bilder auf einer Seite zu drucken. Die Lösung wäre Multi-Session Windows 11, denn eigentlich ist ein Terminalserver näher an einem Client als an einem Server. Aber leider erlaubt Microsoft das nur in Azure. Es wäre schön, wenn man das dazu lizenzieren könnte oder es einfach mit TS-Lizenzen funktionieren würde.

https://virusfrei.zip/

Liest sich leider wie eine Antwort des First-Level-Supports vieler Firmen. "Ich habe ein Problem mit Software XY. Bei einer Auswertung wird ein Wert falsch gerundet." - "Versuchen Sie einen Neustart des Datenbankservers. Stellen Sie sicher, dass die Druckertreiber aktuell sind."

Ob die Windows-Firewall im Bridge-Modus funktioniert, weiss ich nicht. Denke aber eher nicht. WatchGuard und Zyxel habe ich schon im Bridge-Mode eingesetzt, wenn auch selten. OPNsense soll es auch können und das läuft bestens auf Hyper-V. Falls das nahe genug an "unter Windows" ist.

Falls das Argument der "zweistufige Filter" ist: Der NSP kann Anhänge zusätzlich zur integrierten Scan-Engine mit einem weiteren Virenscanner prüfen. Dieser könnte sogar von Sophos sein.

Für das Monitoring könntest Du den SMTP&IMAP-Roundtrip-Sensor vom PRTG einsetzen. Damit kannst Du regelmässig eine E-Mail an die vorderste Appliance (also den MX) schicken und er prüft per IMAP, ob diese auf dem Exchange ankommt. Aber ich schliesse mich meinen Vorrednern an und würde mich auf einen Filter konzentrieren, in diesem Fall ist der NSP die bessere Wahl. Da Du es erwähnt hast und es evtl. in der Diskussion mit dem Vorgesetzten auftauchen kann: E-Mail-Quarantäne ist eine schlechte Idee. Damit müssen entweder die Mitarbeiter regelmässig den Inhalt des Spam-Ordners prüfen (was den Zeitgewinn durch Spamfilterung mindert) oder aber E-Mails werden "vergessen", ohne dass der Absender eine Meldung bekommt. Moderne Filter haben so wenige False Positives, dass es besser ist, als Spam oder Viren erkannte E-Mails abzulehnen. Dann wird der Absender benachrichtigt und kann entsprechend reagieren.

Bei uns in der Schweiz ist Auffahrt ein normaler kirchlicher Feiertag. Wir verreisen jeweils mit Kollegen über das Auffahrtswochenende in den Schwarzwald. Da habe ich die Tradition zum ersten Mal gesehen. Männer auf provisorisch umgebauten Traktor-Anhängern oder die sportliche Variante mit dem Bier im Handwagen und unterwegs aufgefundenen Pylonen als Kopfbedeckung. Ich dachte, das sei eher ein südlicher Brauch, wo es Orte mit Namen wie "Bierbronnen" gibt und die Brauereidichte höher ist als im Norden, aber anscheinend findet der Brauch auch dort Verbreitung.

Der Veeam Agent kann den gesamten Rechner sichern und bringt Datenbanken über Schattenkopien in einen konsistenten Zustand. Der Veeam Explorer for Microsoft SQL Server ist eine zusätzliche Anwendung, welche bei der (kostenpflichtigen) Serverversion dabei ist. Damit lassen sich Datenbanken aus einer Sicherung öffnen, einzelne Tabellen wiederherstellen oder Datenbanken vor der Wiederherstellung temporär an einen SQL Server anhängen. Das ist bei sehr grossen Datenbanken sicher praktisch, aber Du brauchst es nicht. Ich würde zusätzlich zur Veeam-Sicherung die Datenbanken und Logs regelmässig per SQL-Backup sichern und die Sicherungsdateien dann mit Veeam sichern.

Wenn es darum geht, einen Cluster mit S2D zu bauen und den Speicher irgendeinem System zur Verfügung zu stellen, würde ich einen Scale-out File Server bauen und die Freigaben ein paar Clients zur Verfügung stellen. Dann wäre die Arbeit die Konfiguration von S2D, evtl. inkl. SSD-Cache, Benchmarks, Failover-Tests, Überwachung und Dokumentation der Wiederherstellung nach dem Austausch defekter Disks. Zusätzlich allenfalls noch einen kurzen Vergleich der Vor- und Nachteile mit anderen Systemen. Das wäre in der Schweiz im Rahmen einer Abschlussarbeit (zehn Tage Zeitbudget).

NFS ist für S2D bzw. Scale-Out File Server nicht unterstützt. Aber was ist überhaupt das Ziel Deiner Arbeit? Einen Virtualisierungscluster zu bauen oder einen redundanten Speicher: Falls Virtualisierungscluster, würde ich entweder Hyper-V Hyperconverged nehmen oder VMware mit einem iSCSI-Target ohne S2D, einfach auf einem einzelnen Server. In der Arbeit kannst Du dann beschreiben, dass man in der Praxis den Speicher anders aufbauen würde. Allenfalls, falls Du den Speicher in die Virtualisierungs-Hosts einbauen kannst, wäre VMware vSAN eine Option. Falls Du einen verteilten Speicher bauen willst, wirst Du wohl entweder bei einer kommerziellen Software (SANsymphony) oder aber Linux (mit DRBD und Pacemaker) landen. Das ist aber evtl. zu viel für ein einzelnes Projekt (und es stellt sich die Frage nach der Praxisrelevanz).

Du hast recht. Abgekündigt wurde Version 1.x von AADC, aber bei Version 2.x ist nichts bezüglich EOL zu lesen. Da wohl einige Medienberichte ungenau und ich war ebenfalls nicht genug aufmerksam.

AADC wird abgelöst durch Cloud Sync. "Raider heißt jetzt Twix – sonst ändert sich nix!" gilt zwar nicht ganz, aber in den (kleinen bis mittelgrossen) Umgebungen, in denen ich damit zu tun hatte, wurden alle benötigten Funktionen unterstützt und der Umstieg hat problemlos geklappt. Bei einer neuen Umgebung würde ich gleich mit Cloud Sync beginnen, dann spart man sich die Migration. Zudem wurde der Bedienkomfort verbessert, man kann den Status jetzt im Azure-Portal überwachen.

Was ich schon gesehen habe: Die "heiklen" Daten werden per Remotedesktop bearbeitet, mit deaktivierter Zwischenablage und Screenshotfunktion. Du könntest Dir das Information Rights Management von Microsoft anschauen. Damit kann man Dokumente schützen, sodass sie nur auf Firmenrechnern geöffnet und daraus nichts kopiert werden kann. Es ist aber nicht trivial in Einrichtung und Betrieb.

Ich sehe aktuell nicht, wie ein Problem eines NTP-Servers relevant sein sollte für die Sicherheit der Clients, die im Falle von Windows eine andere Implementation verwenden. Zudem betrifft der Bug libntp, könnte also auch nur den Client betreffen. (Wonach es laut Kommentaren aussieht, aber habe es nicht geprüft.)

Die Jahre um das Erscheinen von Exchange 2013 waren eine turbulente Zeit mit vielen Kurswechseln. Das HMC ist wegen überbordender Komplexität gefloppt, aber die Kunden wollten Hosting. Multi-Tenancy kam (zumindest für mich) überraschend mit dem SP1 von Exchange 2010. Der "/hosting"-Switch hätte dem GAL-Berechtigungs-Gebastel ein Ende setzen sollen. Gleichzeitig wurde das beliebte kommerzielle DotNetPanel aufgekauft und sollte als Ersatz für das HMC dienen. Es wurde unter dem Namen WebsitePanel als Open Source veröffentlicht und als Paket für den Web Platform Installer gepflegt. Hosting von Microsoft-Produkten sollte endlich nicht nur lizenzrechtlich (SPLA), sondern auch technisch funktionieren. Mit Exchange 2013 wurde man dann so richtig im Regen stehen gelassen: kein "Hosting Mode" mehr, nicht einmal ein vernünftiger Migrationspfad wurde angeboten, nur Cross-Forest-Migration. Das WebsitePanel wurde tauglich für Address Book Policies gemacht, viel mehr kam aber nicht mehr. Das war die Zeit, als man bei Microsoft gemerkt hat, dass man Hosting auch selbst kann und keine Partner benötigt dafür.

Das ist korrekt für die Samsung Gallery. Die scheint nur mit dem persönlichen OneDrive synchronisieren zu können. Was aber funktionieren sollte, ist die Synchronisation mit der OneDrive-App. Also dass nicht die Gallery die Fotos hochlädt, sondern die OneDrive-App. Das sollte mit jedem Gerät funktionieren, da OneDrive die Fotos aus der Bibliothek zieht.

Falls beide, dann zuerst den Network+, da der weniger weit geht. Ich würde den Arbeitgeber einbeziehen, evtl. ist ihm eine Zertifizierung etwas wert. Muss ja nicht Geld sein, schon einen halben Tag pro Woche lernen auf Arbeitszeit wäre nicht schlecht. Wie auf https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/associate/ccna.html zu lesen ist, kann man die Prüfung online machen oder in einem Center Pearson VUE. Beim Network+ ist es ebenso.

Steht der Entscheid zum CCNA schon fest? Nichts gegen den CCNA, die Ausbildung bietet eine solide Grundlage in Netzwerktechnik. Aber es ist eine herstellerspezifische Zertifizierung. (Wobei das nicht mehr so "schlimm" ist wie früher, da die Protokolle mittlerweile standardisiert sind und sich auch bei der Konfiguration viele Hersteller an die Cisco-Syntax anlehnen.) Herstellerunabhängig wäre zum Beispiel CompTIA Network+, wenn auch nicht ganz auf dem gleichen Niveau. Lernen kannst Du selbst, wobei es natürlich hilfreich ist, einen Experten fragen zu können, wenn man irgendwo nicht weiter kommt. Zumindest früher lag den offiziellen Lernunterlagen ein Netzwerksimulator bei, mit dem man diverse Komponenten virtuell verkabeln und die echte Syntax verwenden konnte. Wie ich sehe, gibt es den jetzt online: https://www.boson.com/network-simulator/ccna-200-301-cisco-network-simulator