VMWare: Uhrzeitsynconisation einrichten

Auf dem Host die Uhrzeit einstellen (z.B. im iLO – bei iLO beachten, das Zeit immer UTC ist).

Dann auf dem ESXI unter Navigator > Host > Verwalten > Uhrzeit und Datum wie folgt einstellen

  • Startrichtlinie: Mit dem Host starten und beenden
  • NTP Server: 0.de.pool.ntp.org
  • Dienst starten

In der VM dann in einer CMD Box nach C:\Programme\VMWare\VMWare Tools und folgendes eingeben:

vmwaretoolboxcmd timesync status

Mit Enable und Disable kann man die Uhrzeitsyncronisierung mit dem Host aktivieren bzw. deaktivieren.


Exchange Online: Postfach von on Premise nicht migrierbar – Mailbox existiert

Als ein Postfach migriert wurde, hatte wohl Exchange Online nicht die ExchangeGUID erkannt und das Postfach neu erstellt.

Somit war die Mailbox doppelt vorhanden, einmal On Premise (mit Daten) und einmal auf Exchange Online (ohne Daten).

Früher bedeutete das, das die Mailbox komplett neu aufgesetzt werden musste und somit alles wieder angepasst werden musste (inkl. Sharepoint usw.).

Mittlerweile gibt es da jedoch ein Powershell Befehlt für (vorher müsst ihr jedoch dem Benutzer die Exchange Lizenz entziehen):

Erst dazu mit einem Rechner verbinden, der auch die Exchange Online Powershell hat und wie folgt verbinden:

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.o ffice365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session -DisableNameChecking

Set-User name@domain.tld -PermanentlyClearPreviousMailboxInfo

Jetzt kann man den User wieder nach Exchange Online migrieren.

Anschließend natürlich kontrollieren, ob die Lizenz wieder zugewiesen wurde.

Weitere Infos:

https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Permanently-Clear-Previous-Mailbox-Info/ba-p/607619


Sophos UTM: RDP Sicherheit umstellen

Das BSI (Bundesministerium für Sicherheit in der Informationstechnik) RDP (Remotedesktop Protokoll) nicht mehr für extern freizugeben, doch nun hat sich die Lage verschlechtert – es ist eine Lücke gefunden wurden, welche eine Remotecode Execution erlaubt OHNE ANMELDUNG!

Es betrifft zwar „nur“ Systeme wie Windows 7 und Server 2008 R2 und diese Lücke wird auch schon über das Windowsupdate geschlossen – jedoch kann jederzeit wieder eine solche Lücke entdeckt werden.

Möglichkeiten zur Sicherheit wären:

  • RDP deaktivieren
  • RDP Zugriff nur auf bestimmte Adressen erlauben
  • RDP erst nach VPN Einwahl erlauben

Eine weitere Möglichkeit wäre jedoch auch bei Nutzung des Sophos UTM mit der Advanced Network Option (VPN Lizenz) den RDP Zugriff nur noch über das sogenannte HTML 5 VPN Portal anzubieten über das Userportal:

Dazu muss erst in der Sophos UTM unter Managemt > User Portal diese eingerichtet und aktiviert werden.

Danach kann man dann unter Remote Access > HTML 5 VPN Portal dieses aktivieren und einen Server wie folgt freigeben (Beispiel):

Weitere Informationen:


Nextcloud: Updaten der VM

Die Nextcloud VM kann automatisiert mit einem Cronjob aktuell gehalten werden – jedoch sollten wir zuvor erst einmal einen aktuellen Status erstellen, bevor wir die autmation einrichten.

Bevor ihr nun loslegt, solltet ihr unbeding prüfen ob ihre eine aktuelle Sicherung habt oder einen Snapshot der VM anlegen – sicher ist sicher!

Zuerst aktuallieren wir die Pakete, meldet euch dazu auf der Shell an mit nadmin und gebt folgenden ein:

sudo apt-get update

Danach könnt ihr die Distribution aktualisieren mit:

sudo apt-get dist-upgrade

Nun noch Nextcloud aktualisieren:

sudo bash /var/scripts/update.sh

Wenn alle Updates durch sind, kann man das updaten automatisieren wie folgt:

sudo crontab -u root -e
0 5 * * 1 /var/scripts/update.sh

Danach sollte ihr sicherheithalber den Server neustarten:

sudo init 6

Prüft auch bitte ob alle Apps aktiviert und kompatibel sind. Sollte alles ok sein und ihr einen Snapshot erstellt haben, so könnt ihr diesen löschen.

Nun sollten die Updates jeden Montag um 5 Uhr ausgeführt werden.

Quelle: https://www.techandme.se/nextcloud-update-is-now-fully-automated/


Docusnap: Dienstekonfiguration speichert Zugangsdaten nicht

Solltet ihr eure Daten auf einem SQL Server ablegen und bei der Konfiguration von Docusnap nicht die Zugangsdaten gespeichert werden können mit dem Hinweis, das die Zugangsdaten nicht korrekt sind – könnte das daran liegen, das der Docusnap Dienst mit einem Konto läuft (z.B. lokales System) welches keinen SQL Zugriff hat.

Dies könnt ihr lösen, in dem ihr ein berechtigtes Konto im Assistenten angibt (z.B. SA oder ein anderes SQL eigenes Konto) oder aber in dem ihr ein Konto für den Dienst verwendet, welches Zugriff auf die SQL Datenbank hat.

Leider werden hier ein paar Rechte benötigt, welche der Assistent sich nicht selber geben kann – am einfachsten ist es dann in den Diensteigenschaften (Win + R Taste > Services.msc und Enter> Docusnap Dienst Doppelklick > Account angeben) den Account von Hand zu ändern und den Dienst neuzustarten. Dann kann man auch im Assistenten den entsprechenden Account verwenden.


OWA und ECP mit Sophos per 2FA bzw. OTP zusätzlich schützen

Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.

Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.

Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.

Die Konfiguration stellt sich in 3 Schritten dar:

  • Umstellen der Sicherheit vom IIS (Internet Information Services) auf Basic und neustarten des Dienstes
  • Erstellen der WAF Regeln in der Sophos
  • Aktivieren der OTP Option in der Sophos

Umstellen der Sicherheit:

  • Melden Sie sich auf dem Exchange Server an
  • Öffnen Sie den Internetinformationsdienste Manager
  • Gehen Sie links im Verzeichnisbaum auf SERVERNAME > Sites > Default Web Site > rechts auf Authentifizierung
  • Wählen Sie bei Standardauthentifizierung auf Aktiviert
  • Gehen Sie auf Start > Ausführen > und geben Sie iisreset gefolgt von einem Enter ein

Nun kommt der 2. Teil, Erstellen der WAF Regeln:

  • Da die Grundkonfiguration der WAF/Exchange-anbindung umfangreicher ist, verweise ich hier auf die Anleitung von networkguy.de – dort ist es geschildert: https://networkguy.de/?p=998
  • Weiter geht es nun nach Webserver Protection > Reverse Authentification > Profiles > Neues Profil erstellen wie folgt:
  • Jetzt diesem Profil noch 2 Regeln erstellen unter Webserver Protection > Web Application Firewall > Site Path Routing > wie folgt:

Anschließend nun der 3. Teil:

  • Dazu unter Definitions & Users > Authentification Services > Ine-Time Password > One-Password Service Status aktivieren und wie folgt einrichten:

Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.

Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).

Alternativ kann man sich ein Template einrichten, wo man das eigene Design und auch andere Felder – bei mir habe ich Passwort und PIN in eigene Felder gepackt:

Weiterhin muss im ECP noch unter Server > Virtuelle Verzeichnisse > einmal unter OWA und einmal unter ECP Doppelklick > Authentifizierung > Mindestens ein Standardauthentifizierungsverfahren verwenden > Standardauthentifizierung auswählen.

Anschließend mit iisreset den Webserver neustarten.

Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.

Weitere Links:

Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!


iPhone im Urlaub mit Telekom Vertrag

Ich nutze ein iPhone mit Telekom Vertrag. Da dies die Stream On Option hat (Musik und Video) habe ich natürlich alles so eingestellt, das es auch über Mobilfunk genutzt werden kann. Weiterhin ist WLAN Call aktiv.

Im Urlaub kann dies jedoch teuer werden, da bei WLAN Call jeder Anruf aus Deutschland geführt wird. Im EU Roaming sind zwar die Anrufe vom Ausland ins Ausland und nach Deutschland enthalten, jedoch nicht die Anrufe von Deutschland INS Ausland. Deswegen ausschalten.

Auch gilt zwar das Datenvolumen wie in Deutschland, jedoch greifen nicht die Stream On Optionen und Streaming wird voll vom Datenvolumen abgezogen.

Deswegen im iPhone (und natürlich auf iPad oder Apple Watch wenn diese eine eSIM haben) in die Einstellungen > Telefon > Rufnummer (bei Dual SIM) auswählen > WLAN-Anrufe > WLAN-Anrufe auf iPhone deaktivieren.

Dann in Einstellungen > Dienstname > Mobile Daten > Deaktivieren.

Meine Dienste waren:

  • iTunes und App Store sowie Apple Music (eigener Eintrag)
  • Netflix
  • Amazon Music / Video / Photos
  • Plex
  • Fotos
  • Nextcloud
  • Spotify

Dann als nächstes direkt in den entsprechenden Apps schon Medien für unterwegs runterladen.


Veeam Community Edition (Freeware)

Veeam hat seine Backup and Replication Sicherungssoftware als Community Edition freigegeben – diese ist nun kostenlos zu haben und das dazu noch mit ein paar richtig Interessanten Features, die gerade in kleinen bis Home Netzwerken äußerst interessant sind:

  • Sicherung kommt zwar ohne vCenter aus und kann Single Host alleine sichern – jedoch benötigt dieser weiterhin eine Lizenz um die Backup API zu nutzen.
  • Sichern als Veeam Datei und nicht mehr als VeeamZIP – somit auch Vollsicherung UND inkrementielle Sicherungen möglich.
  • Sichert nun auch Zeitgesteuert über die Oberfläche und nicht über Umwegen wie Windows Tasks.
  • Sichert virtuelle sowie Physische Server.
  • Sichert auf auf einfache SMB Drives wie z.B. von NAS oder lokal angeschlossene Platten wie USB Platten.
  • Sicherung sowie Replikation möglich.
  • Beschränkt auf 10 VMs.
  • Kann jederzeit auf Lizenz umgestellt werden, ohne Neuinstallation usw.

Download:
https://www.veeam.com/de/virtual-machine-backup-solution-free.html


Windows 10 ohne Spiele und Werbung

Im Netzwerk mit Active Directory:

Melden Sie sich auf auf einem DC an und erstellen Sie Erstellen Sie über die Gruppenrichtlinienverwaltung eine neue Regel (z.B. WIN10-NO-BLOATWARE) und gehen Sie mit der rechten Maustaste auf Bearbeiten (unter Gruppenrichtlinenverwaltung > Gesamtstruktur AD-NAME > Domänen > AD-NAME > Gruppenrichtlinienelemente) unter Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung > Neues Registrierungselement mit den folgenden Werten:

  • Aktion: Aktualisieren
  • Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager
  • Name: SilentInstalledAppsEnabled
  • Wert: REG_DWORD
  • Wertdaten: 0000000

Dann diese Regel noch der Benutzer OU zuordnen.

Einzelplatzrechner:

Sollten Sie jedoch kein Active Directory haben und die Einstellung auf einen Einzelplatzrechner haben, können Sie auch die Einstellung am Rechner selber vornehmen – leider jedoch muss diese pro Rechner vorgenommen werden, da die Einstellung leider nur pro Benutzer und nicht für den Rechner (also alle Benutzer) vorgesehen hat.

Gehen Sie dazu wie folgt vor:

  • Start > Ausführen > Regedit
  • Bei Rückfrage der UAC bestätigen
  • Gehen Sie in den Pfad HKEY_LOCAL_USER\Software\Microsoft\Windows\Current Version\ContentDeliveryManager
  • Machen Sie einen Doppelklick auf den Eintrag SilentInstalledAppsEnabled und stellen Sie den Wert von 1 auf 0
  • Deinstallieren Sie alle Anwendungen und starten ihren Rechner neu
  • Windows wird nun keine Anwendungen mehr selber installieren, auch nicht nach einem Update auf das nächste Build.

Alternativ können Sie die folgende Datei herunterladen, entpacken und ausführen: Win10-ohne-Bloatware.zip


Office 365 mit Active Directory verbinden

Um Office 365 mit dem AD zu verbinden (um z.B. Exchange- oder Sharepoint Online zu verwenden oder einfach nur Anmeldeprobleme bei Outlook zu beheben) geht ihr bitte wie folgt vor:

  • Die Domain der Emailadresse im AD als UPN einzurichten (DC > Active Directory Domänen und Vertrauensstellungen > Links den obersten Punkt rechte Maustaste > Eigenschaften > Benutzerprinzipalnamen Suffixe die Domain hinzufügen – z.B. domain.de).
  • Den Benutzern im AD den Anmeldenamen an die Emailadresse anpassen (DC > Active Directory Benutzer und Computer > Benutzer Eigenschaften öffnen > Register Konto > Benutzeranmeldename so Einstellen das er zusammen mit der Domain aus der Drop Down Box die Emailadresse ergibt).
  • Unter admin.microsoft.com eine eigene Domain erstellen (bitte dazu eine nicht verwendete Adresse verwenden wie administration oder so – die echten Adressen werden nachher syncronsiert werden mit dem AD) – z.B. sollte euer AD beispiel.local heißen, dann die Domain beispiel.onmicrosoft.com erstellen (wählt den Namen sorgfälltig, er kann im nachhinein nicht geändert werden).
  • Fügt nun die echte Domain hinzu unter admin.microsoft.com > Setup > Domänen (hierzu könnt ihr einen DNS TXT Eintrag erstellen, damit wird verifiziert das die Domain euch gehört), wenn ihr Exchange usw. lokal (ON Premise) nutzt, erstellt bitte nicht die MX Einträge usw.
  • Nun auf dem DC im AD eine OU erstellen für die Office 365 Benutzer und diese dorthin verschieben (DC >Active Directory Benutzer und Computer).
  • Auf einem Memberserver (DCs werden nicht unterstützt) noch die Software Azure AD Connect installieren und einrichten mit den Daten des Kontos das ihr erstellt habt, gebt auch direkt die OU an mit euren Office 365 Benutzern, damit diese nun übertragen werden.
  • Anschließend könnt ihr die User anpassen unter admin.microsoft.com > Benutzer > Aktive Benutzer und diesen bei Bedarf die entsprechende Lizenz oder Dienste zuordnen.