Microsoft hatte den Betrieb von Office 365 auf einem Windows Server 2019 RDS Sitzungshost (Terminalserver) untersagt – ist jedoch mittlerweile davon wieder abgerückt und erlaubt dies.
Jedoch kann es sein, das wenn man Office auf einem Terminalserver installiert die folgende Meldung erscheint:
Diese Kopie von Microsoft Office kann auf einem Computer, der die Terminaldienste ausführt, nicht verwendet werden. Damit Microsoft Office auf einem Computer, der die Terminaldienste ausführt, verwendet werden kann, müssen Sie eine Volumenlizenzedition von Office verwenden.
Das Problem ist wohl, das ein Registryeintrag nicht erstellt wurde bei der Installation – diesen kann man jedoch schnell selber erstellen. Danach funktioniert Office wie es soll (es reicht die Anwendung neu zu starten, nicht den Server).
Hier beschreibe ich in Schritten, wie von SBS 2011 auf Windows Server 2019 sowie Exchange 2019 migriert wird. Da Exchange 2019 nicht Exchange 2010 unterstützt (maximal 2 Versionen), migriere ich einmal dazwischen auf Windows Server 2012 R2 und Exchange 2013.
Ich habe mir mittlerweile folgende Konfiguration angewöhnt:
KUNDE-APPS: Anwendungsserver für Monitoring, Datensicherung, Administration, Virenschutz usw.
Sofern nötig Server erweitern sowie upgrade ESXI / VSCA.
Einrichten einer weiteren VM für den temporären DC. In dieser wird Windows Server 2012 R2 installiert.
Nach der Installation wird die Rolle Domaincontroller hinzugefügt und diesen zum AD als weiterer DC hinzugefügt.
Nach dem Neustart wird geprüft ob DC, DNS und GC funktionieren.
Dann wird mittels NTDSUtil die 5 FSMO Rollen auf den neuen Windows Server 2012 R2 übertragen. Alternativ auch über DSA.MSC > rechte Maustaste > Alle Aufgaben > Betriebsmaster. Danach neustarten und ca. eine halbe Stunde danach abwarten bis alles repliziert ist.
Dann wird eine weitere VM für den temporären Exchange installiert mit Windows Server 2012 R2. Anschließend wird Exchange 2013 installiert laut dieser Anleitung:
Anschließend wird Exchange eingerichtet und das Zertikat importiert sowie den Diensten hinzugefügt auf dem neuen Server. Sollte das Zertifikat nicht zur Hand sein, kann mittels MMC das Zertifkat auf dem alten Exchange exportiert werden als PFX Datei.
Danach werden die Connectoren entfernt und der Emailfluß ein- und ausgehend angepasst.
Sollte das funktionieren, werden die Mailboxen verschoben, sie sollte erst mal eine kleine unwichtige verschoben werden – wenn dies ein paar mal Problemlos getestet wurde, können dann die anderen verschoben werden.
Im Normalfall sollte es ausreichen, wenn Outlook anschließend einmal neu gestartet wird – im Normalfall sollte das jedoch Outlook selber melden und um einen Neustart bitten.
Nun sollte der Fileserver und wenn vorhanden die anderen Anwendungen (Sicherung, Virenschutz usw. – hierzu richte ich meistens einen eigenen Application Server ein) „verschoben“ werden – dies mache ich mit Robocopy und lasse die Anwender fast bis zum ende durcharbeiten. Erst wenn ich echt umstelle, dann melde ich die Anwender nach Absprache ab und mache einen letzten Sync. Anschließend werden noch Loginscripte angepasst.
Danach sollte der DHCP übernommen werden und auch der Clientbereich so angepasst werden, das auf dem neuen DC/DNS Server gezeigt wird.
Sind alle Funktionen übertragen kann der Exchange deinstalliert werden, danach das AD entfernt werden (bitte nicht den Hacken machen bei „Dies ist der letzte Server in der Domain“.
Terminalserver sollten heute nicht mehr direkt veröffentlich werden, da es mittlerweile Angriffe gibt, welche auch schon ohne Anmeldung Schadcode auf dem betroffenem System ausführen können.
Um den Terminalserver zu schützen, kann man einen sogenannten Remotedesktop Gateway Server vor den Terminalserver(n) schalten, so das diese die Verbindungen annimmt und das Remotedesktopprotokoll über HTTPS Tunnel, sofern sich erfolgreiche angemeldet wurde.
Um eine noch höhere Sicherheit zu integrieren, versuche ich von der Sophos UTM mittels WAF (Wab Application Firewall) eine 2 FA (Faktor Authentifizierung) einzurichten.
Mich interessiert sowohl, der Zugriff über das Webinterface als auch über die Apps.
Das BSI (Bundesministerium für Sicherheit in der Informationstechnik) RDP (Remotedesktop Protokoll) nicht mehr für extern freizugeben, doch nun hat sich die Lage verschlechtert – es ist eine Lücke gefunden wurden, welche eine Remotecode Execution erlaubt OHNE ANMELDUNG!
Es betrifft zwar „nur“ Systeme wie Windows 7 und Server 2008 R2 und diese Lücke wird auch schon über das Windowsupdate geschlossen – jedoch kann jederzeit wieder eine solche Lücke entdeckt werden.
Möglichkeiten zur Sicherheit wären:
RDP deaktivieren
RDP Zugriff nur auf bestimmte Adressen erlauben
RDP erst nach VPN Einwahl erlauben
Eine weitere Möglichkeit wäre jedoch auch bei Nutzung des Sophos UTM mit der Advanced Network Option (VPN Lizenz) den RDP Zugriff nur noch über das sogenannte HTML 5 VPN Portal anzubieten über das Userportal:
Dazu muss erst in der Sophos UTM unter Managemt > User Portal diese eingerichtet und aktiviert werden.
Danach kann man dann unter Remote Access > HTML 5 VPN Portal dieses aktivieren und einen Server wie folgt freigeben (Beispiel):
Die Nextcloud VM kann automatisiert mit einem Cronjob aktuell gehalten werden – jedoch sollten wir zuvor erst einmal einen aktuellen Status erstellen, bevor wir die autmation einrichten.
Bevor ihr nun loslegt, solltet ihr unbeding prüfen ob ihre eine aktuelle Sicherung habt oder einen Snapshot der VM anlegen – sicher ist sicher!
Zuerst aktuallieren wir die Pakete, meldet euch dazu auf der Shell an mit nadmin und gebt folgenden ein:
sudo apt-get update
Danach könnt ihr die Distribution aktualisieren mit:
sudo apt-get dist-upgrade
Nun noch Nextcloud aktualisieren:
sudo bash /var/scripts/update.sh
Wenn alle Updates durch sind, kann man das updaten automatisieren wie folgt:
Solltet ihr eure Daten auf einem SQL Server ablegen und bei der Konfiguration von Docusnap nicht die Zugangsdaten gespeichert werden können mit dem Hinweis, das die Zugangsdaten nicht korrekt sind – könnte das daran liegen, das der Docusnap Dienst mit einem Konto läuft (z.B. lokales System) welches keinen SQL Zugriff hat.
Dies könnt ihr lösen, in dem ihr ein berechtigtes Konto im Assistenten angibt (z.B. SA oder ein anderes SQL eigenes Konto) oder aber in dem ihr ein Konto für den Dienst verwendet, welches Zugriff auf die SQL Datenbank hat.
Leider werden hier ein paar Rechte benötigt, welche der Assistent sich nicht selber geben kann – am einfachsten ist es dann in den Diensteigenschaften (Win + R Taste > Services.msc und Enter> Docusnap Dienst Doppelklick > Account angeben) den Account von Hand zu ändern und den Dienst neuzustarten. Dann kann man auch im Assistenten den entsprechenden Account verwenden.
Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.
Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.
Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.
Die Konfiguration stellt sich in 3 Schritten dar:
Umstellen der Sicherheit vom IIS (Internet Information Services) auf Basic und neustarten des Dienstes
Erstellen der WAF Regeln in der Sophos
Aktivieren der OTP Option in der Sophos
Umstellen der Sicherheit:
Melden Sie sich auf dem Exchange Server an
Öffnen Sie den Internetinformationsdienste Manager
Gehen Sie links im Verzeichnisbaum auf SERVERNAME > Sites > Default Web Site > rechts auf Authentifizierung
Wählen Sie bei Standardauthentifizierung auf Aktiviert
Gehen Sie auf Start > Ausführen > und geben Sie iisreset gefolgt von einem Enter ein
Nun kommt der 2. Teil, Erstellen der WAF Regeln:
Da die Grundkonfiguration der WAF/Exchange-anbindung umfangreicher ist, verweise ich hier auf die Anleitung von networkguy.de – dort ist es geschildert: https://networkguy.de/?p=998
Weiter geht es nun nach Webserver Protection > Reverse Authentification > Profiles > Neues Profil erstellen wie folgt:
Jetzt diesem Profil noch 2 Regeln erstellen unter Webserver Protection > Web Application Firewall > Site Path Routing > wie folgt:
Anschließend nun der 3. Teil:
Dazu unter Definitions & Users > Authentification Services > Ine-Time Password > One-Password Service Status aktivieren und wie folgt einrichten:
Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.
Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).
Alternativ kann man sich ein Template einrichten, wo man das eigene Design und auch andere Felder – bei mir habe ich Passwort und PIN in eigene Felder gepackt:
Weiterhin muss im ECP noch unter Server > Virtuelle Verzeichnisse > einmal unter OWA und einmal unter ECP Doppelklick > Authentifizierung > Mindestens ein Standardauthentifizierungsverfahren verwenden > Standardauthentifizierung auswählen.
Anschließend mit iisreset den Webserver neustarten.
Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.
Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!
Ich nutze ein iPhone mit Telekom Vertrag. Da dies die Stream On Option hat (Musik und Video) habe ich natürlich alles so eingestellt, das es auch über Mobilfunk genutzt werden kann. Weiterhin ist WLAN Call aktiv.
Im Urlaub kann dies jedoch teuer werden, da bei WLAN Call jeder Anruf aus Deutschland geführt wird. Im EU Roaming sind zwar die Anrufe vom Ausland ins Ausland und nach Deutschland enthalten, jedoch nicht die Anrufe von Deutschland INS Ausland. Deswegen ausschalten.
Auch gilt zwar das Datenvolumen wie in Deutschland, jedoch greifen nicht die Stream On Optionen und Streaming wird voll vom Datenvolumen abgezogen.
Deswegen im iPhone (und natürlich auf iPad oder Apple Watch wenn diese eine eSIM haben) in die Einstellungen > Telefon > Rufnummer (bei Dual SIM) auswählen > WLAN-Anrufe > WLAN-Anrufe auf iPhone deaktivieren.
Dann in Einstellungen > Dienstname > Mobile Daten > Deaktivieren.
Meine Dienste waren:
iTunes und App Store sowie Apple Music (eigener Eintrag)
Netflix
Amazon Music / Video / Photos
Plex
Fotos
Nextcloud
Spotify
Dann als nächstes direkt in den entsprechenden Apps schon Medien für unterwegs runterladen.
Um unsere Webseite für Sie optimal zu gestalten und fortlaufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Webseite stimmen Sie der Verwendung von Cookies zu.
Weitere Informationen zu Cookies erhalten Sie in unserer Datenschutzerklärung.EinverstandenWeiterlesen
