mwiederkehr

Verhindern, dass andere Leute eure Mailadressen als Absender verwenden kannst Du nicht, aber Du kannst für eure Domain einen SPF-Record eintragen. Das ist ein DNS-Eintrag, welcher festlegt, von welchen Systemen Mails mit eurer Absenderadresse kommen dürfen. Dieser wird von den meisten Mailservern ausgewertet. Kommen Mails mit eurem Absender von fremden Hosts, werden sie als Spam abgelehnt. https://de.wikipedia.org/wiki/Sender_Policy_Framework http://www.spf-record.de/generator

Hallo zusammen Seit der Installation des Creator's Updates können sich die Clients nicht mehr über ein Remote Desktop Gateway verbinden. Anscheinend wird Kerberos erzwungen, das Gateway unterstützt aber nur NTLM. Die überall vorgeschlagene Lösung, den Client aus dem Verzeichnis Windows.old zu kopieren, funktioniert, aber wohl nur bis es wieder ein Update gibt... Auf https://partnersupport.microsoft.com/en-us/par_clientsol/forum/par_win/windows-10-1703-unable-to-connect-via-remote/1e9cec01-38d2-44ab-95ab-b1128964ccf4?auth=1 ist zu lesen, dass das Problem im RedStone 3 Update im Herbst behoben sein sollte. Falls man früher einen Patch wolle, solle man Microsoft kontaktieren. Bevor ich dort ein Ticket aufmache, wollte ich kurz fragen: hat das schon jemand getan? Gibt es schon einen Patch? Vielen Dank!

Oder die APU2 von pcengines.ch mit pfSense. Kostet etwas mehr als der RasPi, hat dafür aber 3 LAN-Ports. :)

Clients: für die IT sofort, für den Rest sieben Tage verzögert Server: monatlich, eine Woche nach dem Patch Day und dann etwas gestaffelt, also nicht alle Terminalserver in einer Farm gleichzeitig etc. Grundsätzlich versuche ich mich über Medien, Foren und Mailinglisten zu informieren. So weiss ich, wenn ein Update wirklich dringend ist oder habe eine Woche Reserve, falls es Probleme mit einem Update gibt.

Der Kartenleser wird intern wahrscheinlich über USB angesprochen. Darauf lässt sich Windows offiziell nicht installieren. Es gibt ganz üble Hacks, aber für ein Produktivsystem sind die keine Überlegung wert. Wenn schon, würde ich ESXi oder allenfalls Nano Server nehmen, da die weniger aufs Bootmedium schreiben. Sonst ist die Lebensdauer einer SD-Karte relativ kurz. Und dann vielleicht ein Leser mit "RAID" für USB: https://www.hpe.com/ch/de/product-catalog/servers/flash-media-devices.hits-12.html Aber mal ganz grundsätzlich: wieso kaufst Du die Sophos nicht als Appliance? Einstecken und läuft, es gibt Support und Garantie und braucht auch weniger Strom...

Das Problem ist, dass in der INF-Datei der Treiber die Servervarianten von Windows nicht aufgeführt sind, obwohl der Treiber funktionieren würde. Man muss deshalb die INF-Datei bearbeiten. Danach nimmt Windows den Treiber aber nicht mehr, weil logischerweise die Signatur nicht mehr stimmt. Deshalb muss man die Signaturprüfung deaktivieren. Siehe https://blog.citrix24.com/install-windows-server-2016-core-intel-nuc/ Habe ich mit meinem NUC Ende 2015 mit Server 2012 R2 gemacht und hatte bis jetzt noch keine Netzwerkprobleme.

Ist das Laufwerk D: eine Disk mit 4KB Sektorgrösse? Dies wird von Windows Backup unter Server 2008 R2 nicht unterstützt. Oder als Tipp: https://www.veeam.com/de/windows-endpoint-server-backup-free.html Ist kostenlos und bietet mehr Funktionen als das Windows Backup (unter anderem Mailbenachrichtigung).

Meldet sich der Server mit seinem internen Namen? Oder sonst: werden nur gewisse Mails geblockt? Hatte in letzter Zeit das Problem bei einigen wenigen Kunden. Der Grund war jeweils eine zu sehr ausgeschmückte Signatur. So dass in den Mails (die man gerne ohne Betreff verschickt...) ein oder zwei Sätze Text waren, aber in der Signatur etwa zehn Bilder inkl. Links darauf, teils über bit.ly verkürzt. Scheint eine neue Mode zu sein, gleich den Veranstaltungskalender in die Signatur zu packen... Wenn Du den Fall einer geblockten Mail hast, nimmt doch mal mit der IT des Empfängers Kontakt auf. Die können Dir genauer sagen, weshalb die Mail abgelehnt wurde.

Als Ticketsystem könntest Du Dir mal https://zammad.org/ ansehen. Das ist ein Fork vom sehr bekannten OTRS und hat ein ansprechendes Webinterface. Das kann dann noch viel mehr als Mails beantworten. :) Aber rechne ein paar Tage für die Konfiguration ein. Die Installation geht schnell, aber man muss sich detailliert Gedanken machen, was man damit tun will. Mittels Transport Agent kann man bei Exchange in die Verarbeitung von Mails eingreifen. Die kommerziellen Tools basieren auch auf dieser Schnittstelle. Jedes Mail an eine bestimmte Adresse zu beantworten wäre mit ein paar Zeilen Code erledigt. Wenn keine Programmierkenntnisse vorhanden sind, rate ich jedoch dringend davon ab. Der Transport Agent ist quasi ein Makro auf Serverebene. Stürzt der ab, gibt es Probleme.

Auf den PC zu arbeiten würde funktionieren, ich halte das aber für etwas kompliziert. Wie wäre es mit einem Terminalserver? Müsste nicht so kompliziert sein, für diese Anzahl Mitarbeiter würde ein einzelner Server als Sitzungshost und Gateway schon reichen. Falls die Anwendungen nicht auf einem Server laufen, kämen auch virtuelle Desktops in Betracht, aber das wäre aufwändiger und teurer. (Windows Clients müssen speziell lizenziert werden, wenn sie virtuell laufen.)

Es gilt leider nicht "wenn USV vorhanden, Strom gut". :) Probleme mit USV, die zu Unterbrüchen führen, sind selten, aber es gibt sie. Deshalb hat man idealerweise zwei getrennte Stromkreise und wenn nicht, hängt man die Geräte an die USV und parallel dazu direkt ans Netz (ggf. über einen Überspannungsschutz). Für Geräte mit nur einem Netzteil gibt es Static Transfer Switches.

Die QNAP ist ja eine unabhängige Hardware und sollte nicht von den Servern beeinflusst werden. Wird diese heruntergefahren oder ist auch einfach der Strom weg? Falls heruntergefahren => ist ein Agent der USV installiert, welcher das Herunterfahren initiieren könnte? Falls Strom weg => hänge sie mal direkt an den Strom, ohne USV Hat die USV ein Protokoll? Lief dort zu den Ausfallzeiten ein Selbsttest? Hatte schon mal den Fall, dass eine USV mit altersschwacher Batterie regelmässig einen Selbsttest gestartet, diesen aber nicht durchgehalten hat. Zuerst Shutdown-Signal, ein paar Sekunden später Strom weg.

Die Erwähnung von PRTG bringt mich auf eine Idee: Falls der Switch sFlow unterstützt, kann man das auf dem Port aktivieren, an dem der Router hängt und im PRTG einen Sensor dafür einrichten. Man sieht dann zwar nicht in die Verbindungen hinein wie bei einem Proxy, aber man sieht, welcher Rechner wann wohin auf welchem Protokoll eine Verbindung hatte und wie viele Daten übertragen wurden. So könnte man den "schuldigen" Rechner identifizieren und dort genauer nachschauen.

Es scheint ein Problem mit dem Handshake zu geben, darauf deutet jedenfalls die Meldung hin. Hier ein Beitrag von jemandem mit dem gleichen Problem: https://social.technet.microsoft.com/Forums/ie/en-US/b6ffa278-4a04-4609-ac35-8390f5ba9cb6/ldap-over-ssl-on-windows-2012r2-server-dcs-tls-12-not-working?forum=winserversecurity Es ist mir allerdings im Moment nicht klar, weshalb es zwischen den beiden DC funktioniert. Hat der VPN Server eine ältere Windows-Version installiert als die DC?

Da Updates seit einiger Zeit ja monatlich als Rollup veröffentlicht werden, könntest Du diese herunterladen und einzeln installieren. Die enthalten aber keine Updates für .NET, Office etc., sondern nur für Windows.

Hallo zusammen Erstmal vielen Dank für die Hinweise! 12 Hops. Sieht nicht schlecht aus. Von anderen Anschlüssen des selben Providers habe ich mehr Hops und es ist trotzdem schneller. Keine Veränderung. Also den Router selbst kann ich nicht wechseln, da "Zwangsrouter" wegen VoIP. Aber ich kann vor der Firewall direkt am Router einstecken und es gibt keine Veränderung. Der Router selbst sollte auch nicht das Problem sein, hat eine aktuelle Firmware und an anderen Orten läuft dieses Modell gut. Alle deaktiviert. Auf den Rechner ist noch ein Virenscanner mit "Web-Schutz" (aber ohne Add-On) drauf. Diesen habe ich deaktiviert. Und spätestens mit Proxy über SSH sollte der nicht mehr reinfunken.

Hallo zusammen Komme bei einem Netzwerkproblem nicht mehr weiter. Situation: Kunde hat neues DSL bekommen, seither reklamiert er, "das Internet" sei "langsam". Als Referenz nimmt er die Ladezeit einer Boulevardzeitung, völlig überladen mit Werbung, schon die Startseite ist 8 MB gross... Aber tatsächlich: in meinem Netzwerk lädt die Seite schneller. Psychologisch etwas ungünstig ist, dass es am Anfang tatsächlich Probleme gab: beim Provider ging etwa jedes zehnte UDP-Paket verloren, wodurch der DNS-Server Abfragen mehrmals machen musste und die Ladezeit wirklich hoch war. Dies wurde inzwischen behoben. Was ich bisher gemacht habe: - Überwachung Ping-Latenz: konstant bei 20-30ms, was für DSL gut ist - Überwachung DNS-Server des Providers und von Google: Antwortzeit um 30ms, keine Ausreisser nach oben, keine Unterbrüche - Speedtest: 50 Mbps down / 10 Mbps up, wie vom Provider angeboten - MTU: Ping mit 1472 Byte geht unfragmentiert durch, MTU von 1500 also OK - Firewall (ZyWALL USG) entfernt und direkt an Router getestet: selbes Phänomen - auf VM ohne Virenscanner getestet: selbes Phänomen - SSH-Tunnel zu Proxy auf externem Server aufgebaut: auch nicht schneller Über die Leitung kann man ganz normal mit RDP arbeiten. Wenn man die Seite aufbaut, werden die Elemente nach und nach dargestellt, es dauert ca. fünf Sekunden, bis die Seite benutzbar ist. Die Werbung kommt danach noch rein. Die gesamte Ladezeit beträgt um die 15-20s. Das ist nicht nur per RDP, sondern auch lokal der Fall. Das Merkwürdige: Bei mir wird die Ladezeit als gleich lang angezeigt, aber ich kann die Seite wesentlich früher benutzen, weshalb sie subjektiv schneller scheint. Als würden die Elemente in einer anderen Reihenfolge geladen. Als Browser habe ich beides mal den Internet Explorer 11 ohne Add-Ins verwendet. Ein Firefox mit uBlock macht die Sache natürlich schneller, ist aber leider keine Option für den Kunden. Nun bin ich ratlos und hoffe auf einen guten Tipp: für mich sieht das eher nach einem Software- als einem Netzwerkproblem aus. Latenz und Bandbreite OK, kein Paketverlust. Oder habe ich einen Test vergessen? Nachtrag: Beim neu laden mit eingeschaltetem Browsercache erscheint die Seite schneller. Das deutet eher auf ein Netzwerkproblem hin... Vielen Dank für eure Ratschläge!

Wenn Du eine komplett neue Domäne machst, ohne Vertrauensstellung, musst Du die Profile bzw. die Berechtigungen darauf anpassen. Der Benutzer muss Vollzugriff darauf haben sowie auch auf die Registry in der ntuser.dat. Am einfachsten geht das mit dem User Profile Wizard (http://www.forensit.com/de/). Die Gratisversion muss man auf jedem PC ausführen, aber bei sechs Clients sollte das kein Problem sein.

Bei mir zuhause steht dafür ein Intel NUC: günstig, leise, sparsam und es geht eine M.2-SSD sowie eine 2.5"-Festplatte rein. Hyper-V sowie ESXi laufen problemlos. Die CPU reicht gut für ein paar Server, die 16 GB RAM auch und die VMs auf der SSD sind wirklich erstaunlich schnell. Was man von denen auf der Festplatte nicht behaupten kann. :)

Domänencontroller können problemlos in verschiedenen Netzwerken sein. Wichtig ist, dass das Routing funktioniert. Probleme gibt es, wenn man die beiden Netzwerke nicht verbindet und dem Server eine IP-Adresse in jedem Netzwerk gibt. So kann nicht garantiert werden, dass der Client immer einen DC in "seinem" Netzwerk auflöst. Ich würde das Routing einrichten und den neuen Server im neuen Bereich konfigurieren, ohne zweite IP-Adresse.

PowerShell ist sicher eine gute Idee. Hier ein Beispiel eines Scripts: https://gallery.technet.microsoft.com/scriptcenter/PowerShell-Create-Active-7e6a3978 Musst Du evtl. noch erweitern für Gruppenmitgliedschaften etc.

Als Firewall könntest Du eine virtuelle Appliance nehmen. Open Source ist zum Beispiel https://www.pfsense.org/. Das läuft gut und reicht, wenn Du nur Paketfilter willst. Wenn Du auch Spamfilter, Virenscanner etc. mit immer aktuellen Signaturen willst, bleibt wohl nur ein kommerzielles Produkt. Da gibt es einige: WatchGuard, Sophos, FortiGate...

Hier eine Anleitung, wie man bei Hetzner eine zusätzliche IP-Adresse auf eine VM bringt: https://wiki.hetzner.de/index.php/Windows_Server_HyperV Oder wenn man ein Subnet bestellt hat: https://wiki.hetzner.de/index.php/Windows_Server_Subnet Achtung: Bei beiden dieser Varianten muss man sich noch Gedanken über eine Firewall machen! Man könnte zum Beispiel in einer VM eine Firewall laufen lassen und die anderen VMs über diese mit dem Internet verbinden. Aber ganz grundsätzlich solltest Du Dir überlegen, ob das die richtige Lösung ist. Was machst Du bei einem Ausfall des Servers? Du müsstest zwei Server mieten für die Redundanz, was die Sache komplexer macht. Zudem ist der Betrieb eines Exchange nicht trivial. Man will von überall zugreifen, mit diversen Geräten und alles soll sicher sein. Man bringt die Installation mit Tutorials hin, aber traut man sich dann, Updates zu installieren? Ein Exchange von heute ist nicht mehr zu vergleichen mit dem Exchange vom SBS 2003 oder 2008, welcher die Mails per POP3 abgeholt hat und nur intern erreichbar war. Kurz: Der Betrieb eines eigenen Exchange lohnt sich erst ab ca. 30-50 Benutzern. Darunter geht man besser zu einem Provider bzw. nimmt Office 365.

Ich würde auch zu einer Neuinstallation raten. Nicht nur der Sicherheit wegen, sondern auch aus finanziellen Gründen. Der SBS ist schon etwas älter und die Hardware damit wohl auch. Statt jetzt noch viel Aufwand in die Reparatur zu investieren und dann in ein, zwei Jahren sowieso migrieren zu müssen, würde ich den Ersatz vorziehen. Neue Hardware, Server 2016, Exchange je nach Unternehmensgrösse bei Office 365, alles parallel installieren und dann die Daten kopieren. Beim neuen Backupkonzept darauf achten, dass die Lösung eine komplette Sicherung des Servers inkl. Betriebssystem erstellen kann, damit man nach so einem Vorfall einfach das Backup zurückspielen kann. Kostet Geld und Zeit, aber dafür habt ihr danach gleich einen neuen Server.

Hallo zusammen Früher gab es eine Warnung, wenn sich ein Benutzer per RDP an einem Terminalserver anmelden wollte und dieser Benutzer schon von einem anderen Rechner aus angemeldet war. Seit Server 2012 wird einfach die offene Sitzung übernommen. Leider finde ich keine Möglichkeit, dies zu verhindern. (Ausser natürlich mehrere gleichzeitige Sitzungen pro Benutzer zu erlauben, aber das ist nicht erwünscht.) Kann man konfigurieren, dass aktive Sitzungen nicht übernommen werden können oder dass zumindest eine Warnung erscheint?