Kategorie: Support

Office 365 auf einem Windows Server 2019 RDS Sitzungshost (Terminalserver)

Microsoft hatte den Betrieb von Office 365 auf einem Windows Server 2019 RDS Sitzungshost (Terminalserver) untersagt – ist jedoch mittlerweile davon wieder abgerückt und erlaubt dies.

Jedoch kann es sein, das wenn man Office auf einem Terminalserver installiert die folgende Meldung erscheint:

Diese Kopie von Microsoft Office kann auf einem Computer, der die Terminaldienste ausführt, nicht verwendet werden. Damit Microsoft Office auf einem Computer, der die Terminaldienste ausführt, verwendet werden kann, müssen Sie eine Volumenlizenzedition von Office verwenden.

Das Problem ist wohl, das ein Registryeintrag nicht erstellt wurde bei der Installation – diesen kann man jedoch schnell selber erstellen. Danach funktioniert Office wie es soll (es reicht die Anwendung neu zu starten, nicht den Server).

Registryeintrag:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration
   Name: SharedComputerLicensing
   Typ: REG_SZ ("Zeichenfolge")
   Inhalt: 1

Quelle:
https://www.ugg.li/diese-kopie-von-microsoft-office-kann-auf-einem-computer-der-die-terminaldienste-ausfuehrt-nicht-verwendet-werden-mit-office-365-proplus/


Migration SBS 2011 nach Windows Server 2019 und Exchange 2019

Artikel wird noch erstellt …

Hier beschreibe ich in Schritten, wie von SBS 2011 auf Windows Server 2019 sowie Exchange 2019 migriert wird. Da Exchange 2019 nicht Exchange 2010 unterstützt (maximal 2 Versionen), migriere ich einmal dazwischen auf Windows Server 2012 R2 und Exchange 2013.

Ich habe mir mittlerweile folgende Konfiguration angewöhnt:

  • KUNDE-DC: Domaincontroller, 1. DNS, DHCP Server
  • KUNDE-FILE: Domaincontroller, Fileserver, 2. DNS, 2. DHCP (HA Config)
  • KUNDE-EXCHANGE: Exchange Server
  • KUNDE-APPS: Anwendungsserver für Monitoring, Datensicherung, Administration, Virenschutz usw.

Sofern nötig Server erweitern sowie upgrade ESXI / VSCA.

Einrichten einer weiteren VM für den temporären DC. In dieser wird Windows Server 2012 R2 installiert.

Nach der Installation wird die Rolle Domaincontroller hinzugefügt und diesen zum AD als weiterer DC hinzugefügt.

Nach dem Neustart wird geprüft ob DC, DNS und GC funktionieren.

Dann wird mittels NTDSUtil die 5 FSMO Rollen auf den neuen Windows Server 2012 R2 übertragen. Alternativ auch über DSA.MSC > rechte Maustaste > Alle Aufgaben > Betriebsmaster. Danach neustarten und ca. eine halbe Stunde danach abwarten bis alles repliziert ist.

Dann wird eine weitere VM für den temporären Exchange installiert mit Windows Server 2012 R2. Anschließend wird Exchange 2013 installiert laut dieser Anleitung:

Anschließend wird Exchange eingerichtet und das Zertikat importiert sowie den Diensten hinzugefügt auf dem neuen Server. Sollte das Zertifikat nicht zur Hand sein, kann mittels MMC das Zertifkat auf dem alten Exchange exportiert werden als PFX Datei.

Danach werden die Connectoren entfernt und der Emailfluß ein- und ausgehend angepasst.

Sollte das funktionieren, werden die Mailboxen verschoben, sie sollte erst mal eine kleine unwichtige verschoben werden – wenn dies ein paar mal Problemlos getestet wurde, können dann die anderen verschoben werden.

Im Normalfall sollte es ausreichen, wenn Outlook anschließend einmal neu gestartet wird – im Normalfall sollte das jedoch Outlook selber melden und um einen Neustart bitten.

Nun sollte der Fileserver und wenn vorhanden die anderen Anwendungen (Sicherung, Virenschutz usw. – hierzu richte ich meistens einen eigenen Application Server ein) „verschoben“ werden – dies mache ich mit Robocopy und lasse die Anwender fast bis zum ende durcharbeiten. Erst wenn ich echt umstelle, dann melde ich die Anwender nach Absprache ab und mache einen letzten Sync. Anschließend werden noch Loginscripte angepasst.

Danach sollte der DHCP übernommen werden und auch der Clientbereich so angepasst werden, das auf dem neuen DC/DNS Server gezeigt wird.

Sind alle Funktionen übertragen kann der Exchange deinstalliert werden, danach das AD entfernt werden (bitte nicht den Hacken machen bei „Dies ist der letzte Server in der Domain“.

Weitere Links:


VMWare: Uhrzeitsynconisation einrichten

Auf dem Host die Uhrzeit einstellen (z.B. im iLO – bei iLO beachten, das Zeit immer UTC ist).

Dann auf dem ESXI unter Navigator > Host > Verwalten > Uhrzeit und Datum wie folgt einstellen

  • Startrichtlinie: Mit dem Host starten und beenden
  • NTP Server: 0.de.pool.ntp.org
  • Dienst starten

In der VM dann in einer CMD Box nach C:\Programme\VMWare\VMWare Tools und folgendes eingeben:

vmwaretoolboxcmd timesync status

Mit Enable und Disable kann man die Uhrzeitsyncronisierung mit dem Host aktivieren bzw. deaktivieren.


Exchange Online: Postfach von on Premise nicht migrierbar – Mailbox existiert

Als ein Postfach migriert wurde, hatte wohl Exchange Online nicht die ExchangeGUID erkannt und das Postfach neu erstellt.

Somit war die Mailbox doppelt vorhanden, einmal On Premise (mit Daten) und einmal auf Exchange Online (ohne Daten).

Früher bedeutete das, das die Mailbox komplett neu aufgesetzt werden musste und somit alles wieder angepasst werden musste (inkl. Sharepoint usw.).

Mittlerweile gibt es da jedoch ein Powershell Befehlt für (vorher müsst ihr jedoch dem Benutzer die Exchange Lizenz entziehen):

Erst dazu mit einem Rechner verbinden, der auch die Exchange Online Powershell hat und wie folgt verbinden:

$UserCredential = Get-Credential

$Session = New-PSSession -ConfigurationName Microsoft.Exchange -ConnectionUri https://outlook.o ffice365.com/powershell-liveid/ -Credential $UserCredential -Authentication Basic -AllowRedirection

Import-PSSession $Session -DisableNameChecking

Set-User name@domain.tld -PermanentlyClearPreviousMailboxInfo

Jetzt kann man den User wieder nach Exchange Online migrieren.

Anschließend natürlich kontrollieren, ob die Lizenz wieder zugewiesen wurde.

Weitere Infos:

https://techcommunity.microsoft.com/t5/Exchange-Team-Blog/Permanently-Clear-Previous-Mailbox-Info/ba-p/607619


Sophos UTM: RDP Sicherheit umstellen

Das BSI (Bundesministerium für Sicherheit in der Informationstechnik) RDP (Remotedesktop Protokoll) nicht mehr für extern freizugeben, doch nun hat sich die Lage verschlechtert – es ist eine Lücke gefunden wurden, welche eine Remotecode Execution erlaubt OHNE ANMELDUNG!

Es betrifft zwar „nur“ Systeme wie Windows 7 und Server 2008 R2 und diese Lücke wird auch schon über das Windowsupdate geschlossen – jedoch kann jederzeit wieder eine solche Lücke entdeckt werden.

Möglichkeiten zur Sicherheit wären:

  • RDP deaktivieren
  • RDP Zugriff nur auf bestimmte Adressen erlauben
  • RDP erst nach VPN Einwahl erlauben

Eine weitere Möglichkeit wäre jedoch auch bei Nutzung des Sophos UTM mit der Advanced Network Option (VPN Lizenz) den RDP Zugriff nur noch über das sogenannte HTML 5 VPN Portal anzubieten über das Userportal:

Dazu muss erst in der Sophos UTM unter Managemt > User Portal diese eingerichtet und aktiviert werden.

Danach kann man dann unter Remote Access > HTML 5 VPN Portal dieses aktivieren und einen Server wie folgt freigeben (Beispiel):

Weitere Informationen:


Nextcloud: Updaten der VM

Die Nextcloud VM kann automatisiert mit einem Cronjob aktuell gehalten werden – jedoch sollten wir zuvor erst einmal einen aktuellen Status erstellen, bevor wir die autmation einrichten.

Bevor ihr nun loslegt, solltet ihr unbeding prüfen ob ihre eine aktuelle Sicherung habt oder einen Snapshot der VM anlegen – sicher ist sicher!

Zuerst aktuallieren wir die Pakete, meldet euch dazu auf der Shell an mit nadmin und gebt folgenden ein:

sudo apt-get update

Danach könnt ihr die Distribution aktualisieren mit:

sudo apt-get dist-upgrade

Nun noch Nextcloud aktualisieren:

sudo bash /var/scripts/update.sh

Wenn alle Updates durch sind, kann man das updaten automatisieren wie folgt:

sudo crontab -u root -e
0 5 * * 1 /var/scripts/update.sh

Danach sollte ihr sicherheithalber den Server neustarten:

sudo init 6

Prüft auch bitte ob alle Apps aktiviert und kompatibel sind. Sollte alles ok sein und ihr einen Snapshot erstellt haben, so könnt ihr diesen löschen.

Nun sollten die Updates jeden Montag um 5 Uhr ausgeführt werden.

Quelle: https://www.techandme.se/nextcloud-update-is-now-fully-automated/


Docusnap: Dienstekonfiguration speichert Zugangsdaten nicht

Solltet ihr eure Daten auf einem SQL Server ablegen und bei der Konfiguration von Docusnap nicht die Zugangsdaten gespeichert werden können mit dem Hinweis, das die Zugangsdaten nicht korrekt sind – könnte das daran liegen, das der Docusnap Dienst mit einem Konto läuft (z.B. lokales System) welches keinen SQL Zugriff hat.

Dies könnt ihr lösen, in dem ihr ein berechtigtes Konto im Assistenten angibt (z.B. SA oder ein anderes SQL eigenes Konto) oder aber in dem ihr ein Konto für den Dienst verwendet, welches Zugriff auf die SQL Datenbank hat.

Leider werden hier ein paar Rechte benötigt, welche der Assistent sich nicht selber geben kann – am einfachsten ist es dann in den Diensteigenschaften (Win + R Taste > Services.msc und Enter> Docusnap Dienst Doppelklick > Account angeben) den Account von Hand zu ändern und den Dienst neuzustarten. Dann kann man auch im Assistenten den entsprechenden Account verwenden.


OWA und ECP mit Sophos per 2FA bzw. OTP zusätzlich schützen

Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.

Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.

Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.

Die Konfiguration stellt sich in 3 Schritten dar:

  • Umstellen der Sicherheit vom IIS (Internet Information Services) auf Basic und neustarten des Dienstes
  • Erstellen der WAF Regeln in der Sophos
  • Aktivieren der OTP Option in der Sophos

Umstellen der Sicherheit:

  • Melden Sie sich auf dem Exchange Server an
  • Öffnen Sie den Internetinformationsdienste Manager
  • Gehen Sie links im Verzeichnisbaum auf SERVERNAME > Sites > Default Web Site > rechts auf Authentifizierung
  • Wählen Sie bei Standardauthentifizierung auf Aktiviert
  • Gehen Sie auf Start > Ausführen > und geben Sie iisreset gefolgt von einem Enter ein

Nun kommt der 2. Teil, Erstellen der WAF Regeln:

  • Da die Grundkonfiguration der WAF/Exchange-anbindung umfangreicher ist, verweise ich hier auf die Anleitung von networkguy.de – dort ist es geschildert: https://networkguy.de/?p=998
  • Weiter geht es nun nach Webserver Protection > Reverse Authentification > Profiles > Neues Profil erstellen wie folgt:
  • Jetzt diesem Profil noch 2 Regeln erstellen unter Webserver Protection > Web Application Firewall > Site Path Routing > wie folgt:

Anschließend nun der 3. Teil:

  • Dazu unter Definitions & Users > Authentification Services > Ine-Time Password > One-Password Service Status aktivieren und wie folgt einrichten:

Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.

Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).

Alternativ kann man sich ein Template einrichten, wo man das eigene Design und auch andere Felder – bei mir habe ich Passwort und PIN in eigene Felder gepackt:

Weiterhin muss im ECP noch unter Server > Virtuelle Verzeichnisse > einmal unter OWA und einmal unter ECP Doppelklick > Authentifizierung > Mindestens ein Standardauthentifizierungsverfahren verwenden > Standardauthentifizierung auswählen.

Anschließend mit iisreset den Webserver neustarten.

Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.

Weitere Links:

Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!


iPhone im Urlaub mit Telekom Vertrag

Ich nutze ein iPhone mit Telekom Vertrag. Da dies die Stream On Option hat (Musik und Video) habe ich natürlich alles so eingestellt, das es auch über Mobilfunk genutzt werden kann. Weiterhin ist WLAN Call aktiv.

Im Urlaub kann dies jedoch teuer werden, da bei WLAN Call jeder Anruf aus Deutschland geführt wird. Im EU Roaming sind zwar die Anrufe vom Ausland ins Ausland und nach Deutschland enthalten, jedoch nicht die Anrufe von Deutschland INS Ausland. Deswegen ausschalten.

Auch gilt zwar das Datenvolumen wie in Deutschland, jedoch greifen nicht die Stream On Optionen und Streaming wird voll vom Datenvolumen abgezogen.

Deswegen im iPhone (und natürlich auf iPad oder Apple Watch wenn diese eine eSIM haben) in die Einstellungen > Telefon > Rufnummer (bei Dual SIM) auswählen > WLAN-Anrufe > WLAN-Anrufe auf iPhone deaktivieren.

Dann in Einstellungen > Dienstname > Mobile Daten > Deaktivieren.

Meine Dienste waren:

  • iTunes und App Store sowie Apple Music (eigener Eintrag)
  • Netflix
  • Amazon Music / Video / Photos
  • Plex
  • Fotos
  • Nextcloud
  • Spotify

Dann als nächstes direkt in den entsprechenden Apps schon Medien für unterwegs runterladen.


Veeam Community Edition (Freeware)

Veeam hat seine Backup and Replication Sicherungssoftware als Community Edition freigegeben – diese ist nun kostenlos zu haben und das dazu noch mit ein paar richtig Interessanten Features, die gerade in kleinen bis Home Netzwerken äußerst interessant sind:

  • Sicherung kommt zwar ohne vCenter aus und kann Single Host alleine sichern – jedoch benötigt dieser weiterhin eine Lizenz um die Backup API zu nutzen.
  • Sichern als Veeam Datei und nicht mehr als VeeamZIP – somit auch Vollsicherung UND inkrementielle Sicherungen möglich.
  • Sichert nun auch Zeitgesteuert über die Oberfläche und nicht über Umwegen wie Windows Tasks.
  • Sichert virtuelle sowie Physische Server.
  • Sichert auf auf einfache SMB Drives wie z.B. von NAS oder lokal angeschlossene Platten wie USB Platten.
  • Sicherung sowie Replikation möglich.
  • Beschränkt auf 10 VMs.
  • Kann jederzeit auf Lizenz umgestellt werden, ohne Neuinstallation usw.

Download:
https://www.veeam.com/de/virtual-machine-backup-solution-free.html