Kategorie: Allgemein

Office 365 auf einem Windows Server 2019 RDS Sitzungshost (Terminalserver)

Microsoft hatte den Betrieb von Office 365 auf einem Windows Server 2019 RDS Sitzungshost (Terminalserver) untersagt – ist jedoch mittlerweile davon wieder abgerückt und erlaubt dies.

Jedoch kann es sein, das wenn man Office auf einem Terminalserver installiert die folgende Meldung erscheint:

Diese Kopie von Microsoft Office kann auf einem Computer, der die Terminaldienste ausführt, nicht verwendet werden. Damit Microsoft Office auf einem Computer, der die Terminaldienste ausführt, verwendet werden kann, müssen Sie eine Volumenlizenzedition von Office verwenden.

Das Problem ist wohl, das ein Registryeintrag nicht erstellt wurde bei der Installation – diesen kann man jedoch schnell selber erstellen. Danach funktioniert Office wie es soll (es reicht die Anwendung neu zu starten, nicht den Server).

Registryeintrag:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration
   Name: SharedComputerLicensing
   Typ: REG_SZ ("Zeichenfolge")
   Inhalt: 1

Quelle:
https://www.ugg.li/diese-kopie-von-microsoft-office-kann-auf-einem-computer-der-die-terminaldienste-ausfuehrt-nicht-verwendet-werden-mit-office-365-proplus/


RDS Gateway mit Sophos 2FA einrichten

Kategorie: Allgemein

Dieser Artikel ist noch in der Entwicklung

Terminalserver sollten heute nicht mehr direkt veröffentlich werden, da es mittlerweile Angriffe gibt, welche auch schon ohne Anmeldung Schadcode auf dem betroffenem System ausführen können.

Um den Terminalserver zu schützen, kann man einen sogenannten Remotedesktop Gateway Server vor den Terminalserver(n) schalten, so das diese die Verbindungen annimmt und das Remotedesktopprotokoll über HTTPS Tunnel, sofern sich erfolgreiche angemeldet wurde.

Um eine noch höhere Sicherheit zu integrieren, versuche ich von der Sophos UTM mittels WAF (Wab Application Firewall) eine 2 FA (Faktor Authentifizierung) einzurichten.

Mich interessiert sowohl, der Zugriff über das Webinterface als auch über die Apps.

Vorbereitungen:


VMWare: Uhrzeitsynconisation einrichten

Auf dem Host die Uhrzeit einstellen (z.B. im iLO – bei iLO beachten, das Zeit immer UTC ist).

Dann auf dem ESXI unter Navigator > Host > Verwalten > Uhrzeit und Datum wie folgt einstellen

  • Startrichtlinie: Mit dem Host starten und beenden
  • NTP Server: 0.de.pool.ntp.org
  • Dienst starten

In der VM dann in einer CMD Box nach C:\Programme\VMWare\VMWare Tools und folgendes eingeben:

vmwaretoolboxcmd timesync status

Mit Enable und Disable kann man die Uhrzeitsyncronisierung mit dem Host aktivieren bzw. deaktivieren.


Veeam Community Edition (Freeware)

Veeam hat seine Backup and Replication Sicherungssoftware als Community Edition freigegeben – diese ist nun kostenlos zu haben und das dazu noch mit ein paar richtig Interessanten Features, die gerade in kleinen bis Home Netzwerken äußerst interessant sind:

  • Sicherung kommt zwar ohne vCenter aus und kann Single Host alleine sichern – jedoch benötigt dieser weiterhin eine Lizenz um die Backup API zu nutzen.
  • Sichern als Veeam Datei und nicht mehr als VeeamZIP – somit auch Vollsicherung UND inkrementielle Sicherungen möglich.
  • Sichert nun auch Zeitgesteuert über die Oberfläche und nicht über Umwegen wie Windows Tasks.
  • Sichert virtuelle sowie Physische Server.
  • Sichert auf auf einfache SMB Drives wie z.B. von NAS oder lokal angeschlossene Platten wie USB Platten.
  • Sicherung sowie Replikation möglich.
  • Beschränkt auf 10 VMs.
  • Kann jederzeit auf Lizenz umgestellt werden, ohne Neuinstallation usw.

Download:
https://www.veeam.com/de/virtual-machine-backup-solution-free.html


Docusnap: Client local einrichten

Kategorie: Allgemein

Sofern noch nicht geschehen, geben Sie den Ordner DOCUSNAP frei. Auf dem Client ziehen Sie das Icon von \\<Servername>\DOCUSNAP\Docusnap.exe auf den Desktop.

Dann auf dem Server im Docusnap in der Administration den Windowsbenutzer hinzufügen.

Gehen Sie anschließend auf den Server in das SQL Management Studio und geben Sie dem Benutzer Zugriff auf die Datenbank (z.B. Name = <AD>\<User>, Rolle = public, Datenbank = <DOCUSNAP DATENBANKNAME>). Anschließend in der Datenbank noch unter <Datenbankname> > Sicherheit > Benutzer > <Benutzername> > Doppelklick > Tab Mitgliedschaft > db_datareader und db_datawrtier aktivieren.

Gehen Sie in den SQL Server Configuration Manager und aktivieren Sie TCP/IP und Named Pipes, starten Sie danach den SQL Dienst neu.

Nun können Sie den Docusnap Client direkt über Netzwerk auf einer Arbeitsstation starten, geben Sie die Lizenzinformationen, sowie die SQL Informationen als auch die Verschlüsselungsdatei an.

Anschließend steht Docusnap auf dem Client bereit.


Windows Installer Problem Error 1325 Documents is not a valid short file name

Bei einem Benutzer, der sein Homelaufwerk auf einem Netzlaufwerk hatte und die Dokumentenpfade angepasst hatte auf diese Ordner per GPO hatte das Problem, das er keine Software installieren konnte – die Installation brach immer mit dem Fehler Error 1325 Documents is not a valid short file name ab.

Ich habe die Rechte vom Rootordner geprüft und der User hatte keine Leserechte des Rootordners. Nachdem ich den User (bzw. Gruppe Domänen-Benutzer) Leserechte gab auf dem Ordner (Achtung: Bitte Vererbung beachten!)  und der User sich neu anmeldete, war das Problem behoben und der Installer lief ohne Probleme durch.

Laut Recherche lag die Vermutung nahe, das der Installer versucht zu lesen, wieviel Platz auf dem Laufwerk ist – was jedoch fehl schlug, da er keine Leserechte auf den Rootordner hatte.


Sophos: Auf SG (Wireless) Password of the Day (PotD) einrichten

Bei den kleinen Sophos SG mit eingebauten WLAN weicht die Einrichtung des WLAN ab von den der großen Boxen, da diese das WLAN als internes Interface realisiert haben.

Hier eine kleine Anleitung wie man das Password of the Day auf einer kleinen SG-xxxW einrichtet:

  • Melden Sie sich am Webadmin an
  • Gehen Sie zu Wireless Networks > New wireless Network
  • Erstellen Sie ein Wireless Network mit den folgenden Daten: Network name: Wireless-Gast, Network SSID: Wireless-Gast, Encryption: No encryption, Client Traffic: Separate Zone, Adanved > Client Isolation: Enabled
  • Gehen Sie nun zu Interfaces & Routing > Interfaces > Add Interface
  • Erstellen Sie ein neues Interface mit den folgenden Daten: Name: Wireless-Gast, Type: Ethernet, Hardware: wlan1 (Die Nummer ist zu sehen in Wireless Networks > Wireless Networks > In dem Wireless Network in der Klammer angezeigt), IPv4 Address: 192.168.5.254, IPv4 Netmask: 24
  • Gehen Sie nun nach Network Services > DHCP
  • Erstellen Sie nun einen neuen DHCP Server mit den folgenden Daten: Interface: Wireless-Gast, Range Start 192.168.5.100, Range end: 192.168.5.200, DNS Server: 192.168.5.254, Default Gateway: 192.168.5.254, Domain: wireless.gast, Lease Time 86400
  • Gehen Sie nun nach Networks Services > DNS > General und fügen dort unter allowed Networks Wirelss-Gast (Network) hinzu.
  • Anschließend gehen Sie unter Network Protection > NAT > Masquerading und erstellen eine neue Masquerading Regel mit den folgenden Werten: Wireless-Gast (Network), Interface: External (WAN) und wenn nötig bitte auch Use Address einrichten.
  • Dann noch unter Network Protection > Firewall die ausgehende Regel für Internet IPv4 und Internet IPv6 anpassen, so das Wireless-Gast ebenfalls mit in die Regel kommt.
  • Zu guter letzt noch unter Wireless Protection > Hotspots > Hotspots einen neuen Hotspot erstellen mit folgenden Daten: Name: Wireless-Gast, Interfaces: Wireless-Gast, Administrative Users: admin (und die User, die das Password of the Day sehen sollen im Userportal), Hotspot Type: Password of the Day, Password creation Time: 4:00, Send Password by Email to: Adresse oder Verteilerliste, die das Passwort erhalten sollen

Das war die Einrichtung. Wenn man noch möchte, das das Wireless-Gast nicht unverschlüsselt ist kann man entweder ein eigenes Kennwort vergeben (unter Wireless Networks > Wireless Networks > Wireless-Gast bearbeiten > Encrytion Mode aktivieren und ein Kennwort vergeben) oder aber das Kennwort mit dem Password of the Day syncronisieren (dann zusätzlich noch zu dem Punkt vorher in Wireless Protection > Hotspots > Hotspots > Hotspot bearbeiten > Option Syncronize Password with PSK or Wireless Network) – dann muss das Kennwort jedoch doppelt eingegeben werden (als WLAN Kennwort und nochmal beim Aufruf einer Seite auf der Loginseite).

Sie können jederzeit, das Password of the Day einsehen oder zurücksetzen im Userportal im Register Hostspots.


Sophos: SSL VPN Client für Benutzer über Webadmin runterladen

Um den SSL VPN Client herunterzuladen gehen Sie bitte wie folgt vor:

  • Öffnen Sie den Webadmin.
  • Gehen sie auf Definition & Users.
  • Anschließend wählen die den Unterpunkt Users und setzen Sie bei den entsprechenden Usern den Hacken.
  • Wählen Sie unter Actions den Punkt Download SSL VPN Packages.
  • Abschließend wählen Sie bitte was sie herunterladen möchten.

Installieren Sie auf dem entsprechenden Gerät den VPN Client (bitte mit rechter Maustaste und Als Administrator ausführen) und kopieren Sie das entsprechende Profil nach C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config.


Günstige oder gar kostenlose Software für den Clientbetrieb

Affinty Photo Editor:
Professionelles Bildbearbeitungsprogramm mit riesigen Funktionsumfang. Bietet annähernd so viele Optionen wie Photoshop – jedoch ohne Abo. Kauf für 55€ mit lebenslangem Updaterecht und Recht auf so vielen Rechner wie gewünscht zu installieren. Manchmal bekommt man das Programm auch für 38€ wenn es im Angebot ist. Sehr zu empfehlen ist auch das gebundene Buch, welches in die Nutzung einweist. Das Programm gibt es für Mac, Windows und iPad.

GIMP:
Kostenlose Bildbearbeitung mit einem großen Funktionsumfang. Ich selber komme mit Affinity besser zurecht.

Darktable:
Bildverwalter und RAW-Konverter welcher auf Grundlegende Bildbearbeitungsfunktionen anbietet. Das Programm ist kostenlos und für Windows, Linux und Mac zu haben.

Libre Office:
Komplettes Office Paket welches es kostenlos für Windows, Mac und Linux gibt.

Office 365:
Ja, ihr habt richtig gelesen – Office 365 unter günstige Lösungenen! Es ist immer eine Frage wie man es nutzt. Wenn es Privat genutzt wird und auf 5 Rechnern benötigt wird, kann man Office pro Monat und Rechner für ca. einen Euro haben. Dazu nimmt man das Office 365 Home für 5 Rechner, welches dann 10€ im Monat kostet bzw. 99€ im Jahr, jedoch kauft ihr das dann nicht bei Microsoft, sondern die Voucher Karten bei Amazon (achtet bitte auf Echtheit, derzeit um die 73€ – oft jedoch Rabattiert, so gab es diese am Blue Monday für 66€ inkl. einer Microsoft Mouse).

mRemoteNG:
Ein einfaches Windows Tool, das auch unter Windows 10 läuft. Es kann RDP, SSH, Telnet, Webseiten usw. integrieren und stellt die Ansicht in Tabs dar.


Kostenlose Software für den Server- bzw. Netzwerkbereich

Viele Softwareprodukte, die ich einsetze sind entweder kostenlos oder zumindest für den Privateinsatz kostenlos.

Diese Software stelle ich hier vor:

Sophos UTM:
Professionelle Firewall welche Web- und Emailfilter bietet sowie VPN und alles dies mit einem Umfangreichen Reporting. Die Homeversion ist bis zu 50 IP Adressen frei.

VMWare ESXI Server:
Host zum virtualisieren von Servern, mittlerweile mit einer Webgui zur Administration.

VMWare vSphere Converter:
Tool zum convertieren von Physichen oder virtuellen Servern in eine ESXI Umgebung.

Veeam Windows Agent:
Kostenlose Software um Physische Windowsserver zu sichern. Unterstützt werden Zeitgesteuerte Inkrementielle- sowie Vollsicherungen und Emailnotifications. Gesichert werden kann auf Netzlaufwerken, USB Platten und auch Veeam Backup Repositories. Es gibt auch eine kostenlose Version für Linux und virtuelle Umgebungen.

Update:

Veeam hat Backup and Replication für virtuelle UND physische Server als kostenlose Community Edition freigeben – mit dem Umfang der Kaufversion jedoch beschränkt auf 10 Rechner. Mehr hier zu lesen.

PRTG Monitoring:
Monitoring und Alarminglösung, monitort über SNMP oder Native (Powershell, Webrequest usw.). Es können auch grafische Visualisierungen eingerichtet werden (siehe mein Monitoring). Es gibt eine Webversion und Apps welche gar die Apple Watch unterstützen. 100 Sensoren sind frei, womit man schon sehr weit kommt.

Docusnap:
Inventarisierungssoftware, welche Netzwerke inventarisiert und Dokumentiert. Es können auch Pläne und Reports erstellt werden (sogar Zeitbasiert). Bis zu 20 Rechnern kann die Software kostenlos genutzt werden.