mwiederkehr

Die Jahre um das Erscheinen von Exchange 2013 waren eine turbulente Zeit mit vielen Kurswechseln. Das HMC ist wegen überbordender Komplexität gefloppt, aber die Kunden wollten Hosting. Multi-Tenancy kam (zumindest für mich) überraschend mit dem SP1 von Exchange 2010. Der "/hosting"-Switch hätte dem GAL-Berechtigungs-Gebastel ein Ende setzen sollen. Gleichzeitig wurde das beliebte kommerzielle DotNetPanel aufgekauft und sollte als Ersatz für das HMC dienen. Es wurde unter dem Namen WebsitePanel als Open Source veröffentlicht und als Paket für den Web Platform Installer gepflegt. Hosting von Microsoft-Produkten sollte endlich nicht nur lizenzrechtlich (SPLA), sondern auch technisch funktionieren. Mit Exchange 2013 wurde man dann so richtig im Regen stehen gelassen: kein "Hosting Mode" mehr, nicht einmal ein vernünftiger Migrationspfad wurde angeboten, nur Cross-Forest-Migration. Das WebsitePanel wurde tauglich für Address Book Policies gemacht, viel mehr kam aber nicht mehr. Das war die Zeit, als man bei Microsoft gemerkt hat, dass man Hosting auch selbst kann und keine Partner benötigt dafür.

Das ist korrekt für die Samsung Gallery. Die scheint nur mit dem persönlichen OneDrive synchronisieren zu können. Was aber funktionieren sollte, ist die Synchronisation mit der OneDrive-App. Also dass nicht die Gallery die Fotos hochlädt, sondern die OneDrive-App. Das sollte mit jedem Gerät funktionieren, da OneDrive die Fotos aus der Bibliothek zieht.

Falls beide, dann zuerst den Network+, da der weniger weit geht. Ich würde den Arbeitgeber einbeziehen, evtl. ist ihm eine Zertifizierung etwas wert. Muss ja nicht Geld sein, schon einen halben Tag pro Woche lernen auf Arbeitszeit wäre nicht schlecht. Wie auf https://www.cisco.com/c/en/us/training-events/training-certifications/certifications/associate/ccna.html zu lesen ist, kann man die Prüfung online machen oder in einem Center Pearson VUE. Beim Network+ ist es ebenso.

Steht der Entscheid zum CCNA schon fest? Nichts gegen den CCNA, die Ausbildung bietet eine solide Grundlage in Netzwerktechnik. Aber es ist eine herstellerspezifische Zertifizierung. (Wobei das nicht mehr so "schlimm" ist wie früher, da die Protokolle mittlerweile standardisiert sind und sich auch bei der Konfiguration viele Hersteller an die Cisco-Syntax anlehnen.) Herstellerunabhängig wäre zum Beispiel CompTIA Network+, wenn auch nicht ganz auf dem gleichen Niveau. Lernen kannst Du selbst, wobei es natürlich hilfreich ist, einen Experten fragen zu können, wenn man irgendwo nicht weiter kommt. Zumindest früher lag den offiziellen Lernunterlagen ein Netzwerksimulator bei, mit dem man diverse Komponenten virtuell verkabeln und die echte Syntax verwenden konnte. Wie ich sehe, gibt es den jetzt online: https://www.boson.com/network-simulator/ccna-200-301-cisco-network-simulator

Gegen das gesteigerte Marketing-Blabla gibt es dann wieder eine KI:

Die zunehmende Automatisierung und Digitalisierung bedroht viele Arbeitsplätze mit niedriger Qualifikation. Die "KI" ist daran aus meiner Sicht zumindest aktuell nicht so sehr beteiligt. Aber mehr als die Blockchain, um den vorhergehenden Hype nicht zu vergessen. Vor dreissig Jahren musste, wer für ein Bauprojekt einen beglaubigten Grundbuchplan wollte, diesen beim zuständigen Geometer bestellen. Die Pläne waren pro Gemeinde nur auf Papier vorhanden, welches auf einer Aluminiumplatte aufgeklebt war. Jemand musste den richtigen Ausschnitt im Heliografen zentrieren und der Plan wurde fotografisch reproduziert. Danach wurde mit Tusche und einer Schablone das Datum notiert und der Stempel kam darauf. Vor zwanzig Jahren waren die meisten Pläne digitalisiert, sodass es nur einen Ausdruck im Laserdrucker und den Stempel benötigte. Heute wählt man den Ausschnitt auf einer Website, bezahlt mit Kreditkarte und bekommt Sekunden später den Plan als signiertes PDF. Es ist eine Illusion zu glauben, dass der ungelernte Hilfsarbeiter, welcher den Heliografen bedient hat oder der Vermessungszeichner, welcher den Ausdruck gefertigt hat, nun alle an der Entwicklung von Webanwendungen arbeiten. Diese Stellen sind verloren gegangen. Das ist aber die "Schuld" der Digitalisierung, ChatGPT braucht es dafür nicht. Neu ist bei ChatGPT höchstens, dass jetzt auch gewisse "höherwertige" Stellen bedroht sind: Produktbeschreibungen aufgrund von Stichworten oder ganze Affiliate-Spam-"Produkttests" erzeugt ChatGPT in "menschlicher" Qualität, auch Beiträge für Content-Marketing, also Texte im Stile von "zehn Tipps für die Grillsaison", sind brauchbar. Das sind aber alles Sachen, die bestehende Inhalte in anderer Form wiedergeben und keine neuen Erkenntnisse bringen.

Es gibt Metasploit-Module zur Auflistung von Benutzern bei OWA und RDWeb. Soweit ich es den entsprechenden Websites entnehmen konnte, ist das Problem bei Microsoft bekannt, wird jedoch als nicht schwerwiegend genug erachtet, um eine Lösung anzubieten. Ich würde, wie Nils vorgeschlagen hat, die Pentester fragen.

Ich habe ja immer gemeint, als Dialekt-gewohnter Schweizer die deutschen Dialekte recht gut zu verstehen. Als mir der Opa des Schwagers aus der Lüneburger Heide einen Witz in Heidjer-Platt erzählt hat, habe ich fast gar nichts verstanden. Wenigstens ist mein Hochdeutsch inzwischen so gut, dass ich erst nach ca. einer Minute die Frage "aus der Schweiz?" zu hören bekomme.

Dazu fällt mir ein Lied eines (in der Schweiz) berühmten Komikers ein: https://www.youtube.com/watch?v=oLLLH8D5e8k

In meinem Umfeld hat sich diesbezüglich die letzten Jahre sehr viel geändert. Man hat es aufgegeben, Datenschutz ist etwas für Nerds. Mal kurz TikTok installieren? Kein Problem, "die Amis wissen sowieso schon alles über mich, dann können es die Chinesen auch wissen". Kürzlich hat ein Anwalt, der noch einen eigenen Exchange betreibt, gemeint, er könne demnächst auch in die Cloud, da ohnehin alle ausgehenden E-Mails dorthin gingen. Laut Erfahrungsberichten sollen "elektronische" Rückspiegel so ziemlich das dümmste Zubehör sein. Nicht wegen der Ausfallsicherheit, sondern weil man nicht räumlich sieht damit.

Der Unterschied zu früher ist jetzt wohl, dass auch bei kleineren Unternehmen die Anforderungen an die Verfügbarkeit der IT massiv gestiegen sind. Früher hat man ohne grosses Murren gewartet, bis der Restore vom NTBackup fertig war und halt einen halben Tag lang das Büro aufgeräumt. Bei den heutigen papierlosen Büros gibt es nichts mehr aufzuräumen und ohne IT funktioniert nicht mal das Telefon. Da hat die Cloud schon ihre Vorteile.

Falls ein Azubi vorhanden ist, wäre das doch eine schöne PowerShell-Übung. Stichworte: Graph API, Toast Notifications.

"SystemDefaultTlsVersions" = 1 bedeutet, dass .NET-Anwendungen sich an die Verschlüsselungseinstellungen des Betriebssystems halten. TLS 1.2 wird damit standardmässig nicht erzwungen, aber präferiert. Anwendungen, die für .NET-Versionen kleiner als 4.7 kompiliert wurden, verwenden sonst die Standardeinstellung von .NET und die ist je nach Version anders und bei diesen Versionen veraltet. Er versucht dann gar nicht TLS 1.2 zu verwenden, auch wenn er es könnte und so scheitern Verbindungen zu Servern, die TLS 1.2 erfordern. "SchUseStrongCrypto" = 1 heisst, dass nur noch TLS 1.0 und höher erlaubt sind, kein SSL 3.0 mehr. Ich lasse auf neuen Servern jeweils gleich noch "IIS Crypto" mit dem Profil "Strict" laufen, was alles unter TLS 1.2 deaktiviert. So würde man Probleme schon bei der Installation sehen. Ich hatte aber noch nie Probleme damit. Die Zeit läuft, TLS 1.2 ist nicht mehr so neu, wie man vielleicht meint.

Wenn auf dem Rechner noch Dienste laufen, muss ich meinen Vorschlag bezüglich OneDrive revidieren. Den Druck von Rechnungen wird man als moderne Firma bald abschaffen und E-Mail-Archivierung gibt es gehostet, aber das mit den Datenbanken wäre abzuklären. Es könnte sinnvoll sein, den Server als Server zu installieren und zwei VMs einzurichten: ein DC und ein Datei- und Datenbankserver. Bezüglich RAID bin ich bei diesem Mainboard skeptisch. Ein RAID 5 aus NVMe- und SATA-SSDs wird wahrscheinlich nicht funktionieren. Evtl. den Hyper-V auf die NVME-SSD installieren (ohne RAID) und mit den beiden SATA-SSDs ein RAID 1 einrichten. Dies lieber mit Windows als mit dem "Onboard-RAID" des Mainboards. Ich würde eine lokale Firma beiziehen. Die kann Dir Vorschläge machen zum Umzug in die Cloud oder den Server sauber installieren. Routineaufgaben wie Datensicherungskontrolle und Windows Updates kannst Du danach ja immer noch selbst durchführen.

Bei so wenigen Benutzern rate ich von einem eigenen Exchange ab, sogar wenn Kenntnisse vorhanden sein sollten. Der Aufwand für Installation und Unterhalt lohnt sich nicht für so wenige Postfächer. Ich bin bei einer Rechnung mal auf mindestens 50 Postfächer gekommen, ab denen sich rein finanziell betrachtet ein eigener Exchange lohnt. In der Zwischenzeit ist Exchange Online aber sogar noch günstiger geworden. Da ihr bis jetzt ohne Domäne auszukommen scheint, könnte man auch überlegen, den Server auszumustern und die Daten auf OneDrive zu speichern. Das sehe ich in kleinen Umgebungen immer häufiger.

Laut https://docs.lithnet.io/password-protection/advanced-help/powershell-reference/test-isaduserpasswordcompromised liest es die Hashes aus dem AD und vergleicht sie mit gehashten Passwörtern auf der Liste. Aber sonst bin ich Deiner Meinung. Man sollte sich überlegen, in welchem Szenario "Passwörter durchprobieren" überhaupt realistisch ist. Wenn der Benutzer die Zugangsdaten auf einer Phishing-Seite eingibt, hilft ein komplexes Passwort nicht und man hat hoffentlich nicht RDP offen, sodass tausende Passwörter durchprobiert werden können. MFA ist inzwischen komfortabel genug geworden, um es für jegliche Zugriffe von extern zu erfordern. Damit verliert das Passwort nochmals an Bedeutung. Aus meiner Sicht reichen die Komplexitätsanforderungen von Windows aus für normale Accounts. Und bei Admin-Accounts sollte man darauf vertrauen können, dass die Admins selbst ein genug sicheres Passwort verwenden.

Das kann ich aus meiner Erfahrung für die meisten Szenarien bestätigen, deshalb ist es auch schön, dass es wieder CPUs mit weniger Cores, aber mehr GHz gibt. Gerade in kleineren Umgebungen ist weniger parallelisierbar, als man in der "Multi-Core-Euphorie" angenommen hat. Auf einem Terminalserver startet jemand Word, dann jemand Outlook, aber selten passiert das genau gleichzeitig. Auch in Datenbanken laufen viele Abfragen nur auf einem Core und es kommt nicht häufig vor, dass gleichzeitig mehrere Leute eine Auswertung erstellen. Gute Parallelisierbarkeit, also gleichmässige Auslastung aller Cores, habe ich in der Praxis erst bei Webservern mit vielen Zugriffen und Veeam gesehen. Was ist Dein "aber"? Bei mir war es die schlechte Verfügbarkeit der Server bei HPE. DL360 gab es fast immer ab Lager, auf DL365 musste man teils Monate warten. Und ich hatte schon einen Techniker vor Ort, der unverrichteter Dinge wieder abziehen musste, da das Ersatzteil nicht vorrätig war. Ein Kontakt bei HPE hat mir erzählt, die AMD-Systeme verkauften sich in den USA gut, aber in Europa und besonders der Schweiz eher schlecht, deshalb hätten sie auch nichts an Lager. Er hat das begründet mit dem "Billig-Image" von AMD und der höheren Kaufkraft in Europa. Aber vielleicht ist es auch ein Henne-Ei-Problem, wenn die Server nicht verfügbar sind, bestellt man sie nicht. Interessant, es geht also noch etwas bezüglich Scheduler. Erinnert mich an die Zeiten, als man Linux-Kernel selbst kompiliert hat, mit exotischen Scheduler-Einstellungen, für genau seinen Zweck "optimiert". Eine Begründung gegen Hyper Threading habe ich noch gefunden: Wenn man alle Cores dauerhaft voll auslastet, sind 16 richtige Cores besser als 32 SMT-Cores, weil es weniger Kontextwechsel gibt. Das sind aber eher exotische Szenarien wie Machine Learning. Und wie in Deinem Link nachzulesen ist, reicht Windows Server 2019 die Information über SMT in die VMs durch, deren Scheduler sieht also, ob er vier richtige Cores oder zwei Cores mit SMT hat und kann sich entsprechend verhalten.

Besten Dank für Deine Antwort, Nils. Es geht primär um kurzzeitige Peaks (Terminalserver) und längere Vollauslastung einzelner Cores (Katalogaufbereitung von XML zu PDF, läuft nur auf einem Core und dauert mehrere Stunden). Insofern erachte ich einen hohen Turbo-Takt als wichtig. Das bestehende System krankt etwas daran, dass die Parallelisierung überschätzt wurde. Sehr viele Cores, aber geringer Takt. Ich würde aber auch sagen, dass 3.6/4.0 GHz besser sind als auf 1/4 der Cores 3.7/4.0 GHz und den restlichen nur 3.2 GHz. Falls Du Dich entschliessen solltest, ein gewisses Buch zu aktualisieren, hättest Du einen Käufer auf sicher. Es ist erstaunlich, wie wenig man zu der Materie im Internet findet. Bei Intel gibt es diverse Benchmarks, aber alle ohne Virtualisierung und Microsoft äussert sich überhaupt nicht zu den neuen CPU-Features. Auch Dir besten Dank, Norbert. Anscheinend geht es mit Windows 11, nur Windows Server bootet erst wieder, nachdem man die Efficiency Cores deaktiviert hat: https://www.reddit.com/r/HyperV/comments/s8hgr1/hyperv_on_intel_12900k/ Höchstleistung habe ich bis jetzt auch immer verwendet, wobei das wohl je nach Serverhersteller eine andere Bedeutung haben kann. Bei HPE heisst es nicht "lass immer alle Cores im Turbo laufen und ziehe die TDP", sondern es deaktiviert gewisse P- und C-States, sodass sich die CPU nicht zu tief schlafen legt. Gemäss Anzeige im Power Meter vom iLO ist der Stromverbrauch nur ein paar Watt höher als mit "Dynamic Power Saving". Mit "OS Control" und im Windows auf Höchstleistung gestellt, ist er exakt identisch, sodass ich davon ausgehe, dass er das Gleiche macht. Ich dachte nur, vielleicht wäre aktuell "OS Control" besser, weil die OS immer ausgefeilter werden. Was ist die Begründung für "kein Hyper-Threading"? Ich habe das bis jetzt erst wegen Sicherheitsbedenken (verhindert gewisse Side-Channel-Angriffe) gelesen. Bei der Anzahl Cores nehme ich auch immer eine gerade Anzahl und beim RAM ein Vielfaches von 1024, aber ob es wirklich einen Effekt hat, weiss ich nicht. Sieht halt komisch aus sonst.

Hallo zusammen Anlässlich der Beschaffung neuer Hosts bin ich am Evaluieren einer geeigneten CPU. Dabei bin ich auf den Xeon 6444Y gestossen. Mit zwei solchen CPUs pro Host kämen wir auf ein Verhältnis vCPU:CPU von 4:1. Die CPU hat einen Basistakt von 3.6 GHz und einen Turbo-Takt 4.1 GHz. In den Spezifikationen bin ich auf folgende relevanten Features gestossen: Intel® Speed Select Technology - Base Frequency Damit lässt sich der Basistakt von vier "high priority" Cores auf 3.7 GHz erhöhen, während die restlichen zwölf "low priority" Cores auf 3.2 GHz abgesenkt werden. Intel® Speed Select Technology – Turbo Frequency Damit kann bei einer einstellbaren Anzahl Cores der Turbo-Takt erhöht werden, bei gleichzeitiger Reduktion des Turbo-Takts der anderen Cores. Leider habe ich keine Informationen zu diesen Features im Zusammenhang mit Hyper-V gefunden. Mir ist bekannt, dass Hyper-V nicht mit den Performance- und Efficiency-Cores der aktuellen i5 und i7 umgehen kann (bootet nicht). Das ist aber nicht direkt vergleichbar, da bei den Xeon alle Cores identisch sind, einfach anders getaktet. Kann Hyper-V bei Server 2022 die Features nutzen und die Workloads sinnvoll verteilen, oder lässt man solche Sachen am besten deaktiviert? Oder regelt die CPU das selbst? Also wird der Core höher getaktet, auf dem es etwas zu tun gibt und nicht einfach Core Nummer 1 und das Scheduler vom OS muss das wissen und den arbeitenden Prozess dort hin verschieben? Wie ist die Empfehlung bezüglich Power Management? Immer noch auf "High Performance" stellen oder ist "OS Control" bei modernen OS mittlerweile besser? Besten Dank für eure Tipps!

Wobei es bei SMTP tatsächlich vorgesehen ist, die Rollen von Briefkasten und Zusteller zu tauschen. Es gibt dafür die Kommandos TURN, ETRN und ATRN. Ich habe das bei Exchange 2003 noch im Einsatz gesehen. Danach hielt man das (wohl wegen des zwingenden Catch-Alls) nicht mehr für eine gute Idee und hat bei Dial-Up auf POP3-Abruf gewechselt. Aber heute ist es die beste Lösung, die E-Mails direkt zu empfangen. Wenn man Postfächer bei Domains hat, die man nicht exklusiv nutzt, richtet man eine Weiterleitung ein und nach und nach merken sich die Leute die neuen Adressen.

Ist im Postfach ein nach dem 23.02.2023 erstelltes, "komisches" Element enthalten? Also E-Mail, Kalendereintrag oder Kontakt? Was sagt https://testconnectivity.microsoft.com/tests/Eas/input mit "alle Elemente im Posteingangsordner synchronisieren"? Ich hatte solche Probleme schon bei Spam mit ungültigen Zeichen oder leeren Kalendereinträgen (das war aber ein Nokia vor x Jahren).

Auf dem Exchange selbst ist allenfalls ein signaturbasierter Filter sinnvoll und der ist bei Exchange dabei (Antimalware-Agent). Weitergehende Sachen wie Entfernung von Makros oder Umwandlung in PDF will man nicht auf dem Exchange selbst haben, da die notwendigen Tools dafür neue Sicherheitsprobleme schaffen. Falls eine gehostete Lösung nicht grundsätzlich ausgeschlossen ist, würde ich auch eine solche prüfen. NoSpamProxy gibt es beispielsweise mittlerweile aus der Cloud.

Arbeitsplatzdrucker gehören ohnehin abgeschafft. Die Kosten pro Seite sind hoch und je näher der Drucker, desto mehr wird gedruckt. Habe bei einigen Kunden erlebt, dass die Mitarbeiter nach Einführung von Stockwerkdruckern plötzlich entdeckt haben, dass man E-Mails auch am Bildschirm lesen kann.

Vor vielen Jahren habe ich so etwas mal per Anmeldescript gemacht, es war VBS oder Kixtart. Da ist man flexibel und kann auf alle Informationen wie Gruppenzugehörigkeit, OU, IP-Range etc. zugreifen. Wer welche Drucker bekommt, war in CSV-Dateien definiert nach Gruppen. Die fixen Rechner hatten als AD-Attribut den Standarddrucker hinterlegt. Wenn die IP-Range auf keinen Firmenstandort gepasst hat, war der Benutzer extern und das Script hat nichts gemacht. Das Script hat alle benötigten Drucker zusammengesucht und mit den schon verbundenen Druckern verglichen. Dann wurde nur hinzugefügt/gelöscht, was gefehlt hat/zu viel war. (Immer alle Drucker zu löschen und neu zu verbinden ist einfacher, benötigt aber Zeit.) Wollte man sichergehen, dass neue Treiber und Einstellungen vom Server übernommen werden, gab es ein Flag, welches den Drucker einmalig pro Benutzer neu verbunden hat. Evtl. gibt es so etwas in PowerShell schon auf GitHub, und sonst ist es eine schöne Aufgabe für den Azubi.

Das geht mit Throttling-Policies: https://learn.microsoft.com/en-us/powershell/module/exchange/New-ThrottlingPolicy?view=exchange-ps Der Parameter "RecipientRateLimit" ist für Deinen Zweck wohl am besten geeignet. Er limitiert nicht die Anzahl E-Mails, sondern die Anzahl unterschiedlicher Empfänger pro Tag pro Benutzer. Da unterschiedliche Empfänger gezählt werden, kann man den Wert normalerweise recht tief einstellen, ohne Probleme mit "E-Mail-Chats", Scan2Mail etc. zu bekommen.