Kategorie: Client

Office 365 auf einem Windows Server 2019 RDS Sitzungshost (Terminalserver)

Microsoft hatte den Betrieb von Office 365 auf einem Windows Server 2019 RDS Sitzungshost (Terminalserver) untersagt – ist jedoch mittlerweile davon wieder abgerückt und erlaubt dies.

Jedoch kann es sein, das wenn man Office auf einem Terminalserver installiert die folgende Meldung erscheint:

Diese Kopie von Microsoft Office kann auf einem Computer, der die Terminaldienste ausführt, nicht verwendet werden. Damit Microsoft Office auf einem Computer, der die Terminaldienste ausführt, verwendet werden kann, müssen Sie eine Volumenlizenzedition von Office verwenden.

Das Problem ist wohl, das ein Registryeintrag nicht erstellt wurde bei der Installation – diesen kann man jedoch schnell selber erstellen. Danach funktioniert Office wie es soll (es reicht die Anwendung neu zu starten, nicht den Server).

Registryeintrag:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\ClickToRun\Configuration
   Name: SharedComputerLicensing
   Typ: REG_SZ ("Zeichenfolge")
   Inhalt: 1

Quelle:
https://www.ugg.li/diese-kopie-von-microsoft-office-kann-auf-einem-computer-der-die-terminaldienste-ausfuehrt-nicht-verwendet-werden-mit-office-365-proplus/


Windows 10 ohne Spiele und Werbung

Im Netzwerk mit Active Directory:

Melden Sie sich auf auf einem DC an und erstellen Sie Erstellen Sie über die Gruppenrichtlinienverwaltung eine neue Regel (z.B. WIN10-NO-BLOATWARE) und gehen Sie mit der rechten Maustaste auf Bearbeiten (unter Gruppenrichtlinenverwaltung > Gesamtstruktur AD-NAME > Domänen > AD-NAME > Gruppenrichtlinienelemente) unter Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung > Neues Registrierungselement mit den folgenden Werten:

  • Aktion: Aktualisieren
  • Schlüsselpfad: Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager
  • Name: SilentInstalledAppsEnabled
  • Wert: REG_DWORD
  • Wertdaten: 0000000

Dann diese Regel noch der Benutzer OU zuordnen.

Einzelplatzrechner:

Sollten Sie jedoch kein Active Directory haben und die Einstellung auf einen Einzelplatzrechner haben, können Sie auch die Einstellung am Rechner selber vornehmen – leider jedoch muss diese pro Rechner vorgenommen werden, da die Einstellung leider nur pro Benutzer und nicht für den Rechner (also alle Benutzer) vorgesehen hat.

Gehen Sie dazu wie folgt vor:

  • Start > Ausführen > Regedit
  • Bei Rückfrage der UAC bestätigen
  • Gehen Sie in den Pfad HKEY_LOCAL_USER\Software\Microsoft\Windows\Current Version\ContentDeliveryManager
  • Machen Sie einen Doppelklick auf den Eintrag SilentInstalledAppsEnabled und stellen Sie den Wert von 1 auf 0
  • Deinstallieren Sie alle Anwendungen und starten ihren Rechner neu
  • Windows wird nun keine Anwendungen mehr selber installieren, auch nicht nach einem Update auf das nächste Build.

Alternativ können Sie die folgende Datei herunterladen, entpacken und ausführen: Win10-ohne-Bloatware.zip


Docusnap: Sicherheit Webserver

In der Standardkonfiguration bietet Docusnap einen Webserver, der komfortabel alle Informationen bietet (lesend), welche Docusnap inventarisiert hat.

Jedoch ist auch in der Standardkonfiguration die Benutzerverwaltung deaktiviert.

Eine der ersten Tätigkeiten sollte sein, die Benutzerverwaltung zu aktivieren und die Benutzer einzurichten unter Docusnap > Administration > Docusnap Benutzer.

Anschließend kann man die Einstellung wie folgt für Docusnap vornehmen unter Docusnap > Optionen > Docusnap Server > Im Assistenten Tab 4. Server API (natürlich mit euren eigenen Daten):

Eine andere Alternative (auf die ich hier jedoch nicht eingehe),wäre es – die Windowsfirewall entsprechend anzupassen, das nur erlaubte Server/Rechner auf den Port zugreifen können.


Docusnap: Fehler bei der Inventarisierung

Wenn ihr ein System nicht über den Agent inventarisieren könnte, prüft bitte folgendes:

Stellt sicher, das ihr den UPN (benutzer@domain.local) statt dem Prä-Win 2000 Logon (DOMAIN\Benutzer) verwendet.

Prüft ob ihr die entsprechenden Firewall ausnahmen eingerichtet habt (z.B. zum testen, die Firewall ausschalten – klappt dann das Inventarisieren, dann bitte entsprechend die Ausnahmen anpassen). Geht dabei wie hier beschrieben vor: https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Windows-Firewall-Ausnahmen_DE.pdf

Prüft bitte auch ob WMI funktioniert (testen könnt ihr dies vom Server aus mit wbemtest.exe in Richtung des Clients). Hier gibt es weitere Informationen: https://media.docusnap.com/media/doc/howto/DocusnapX_WMIZugriffsprobleme.pdf


Docusnap: System manuell Inventarisieren

Hier erläutere ich euch, wie ich vorgehe um ein System manuell zu inventarisieren:

Server:

  • Auf dem Server im Installationsordner gibt es einen Unterordner mit dem Namen Tools, dort bitte die Datei DocusnapScript.exe kopieren und bereitstellen.
  • Weiterhin habe ich einen Ordner erstellt mit dem Namen Reports und diesen als DocusnapReports freigegeben (Vollzugriff!). Dort kann man die Reports reinkopieren.
  • Im Docusnap kann man unter Intenvar > Script Import einen Import Job erstellen und diesen auch periodisch (z.B. jeden Tag um 18 Uhr) automatisch in Docusnap importieren lassen.

Client:

Auf dem Client habe ich die oben genannte EXE Datei in den Ordner C:\INSTALL kopiert und eine Verknüpfung dazu erstellt mit (docusnapscript.exe -O C:\INSTALL). Beim Aufruf wird im Hinergrund eine XML Datei erstellt, welche in den Reports Ordner kopiert werden kann. Diese Anwendung benötigt nur Userrechte – kann somit sogar vom Anwender selber durchgeführt werden und die XML eingeschickt werden (bitte vorher Zippen – wenn ich mich recht entsinne sperrt Outlook XML Dateien).

Weitere Infos:

https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Skriptbasierte-Inventarisierung_DE.pdf


Outlook 2016/365 fordert immer wieder Anmeldedaten an bzw. Outlook kann nicht eingerichtet werden trotz korrektem Autodiscover

Diese Lösung ist nur für Problemfälle mit einem lokalen bzw. on-Premise Exchange Server – NICHT für Office 365 Exchange Systeme.

Um als erstes ein Problem mit den Anmeldedaten auszuschließen, melden Sie sich an OWA (Outlook Web Access) an und prüfen Sie ob diese richtig sind.

Wenn ja, dann kann es sein, das Outlook versucht ihre Daten mit Office 365 Server abzugleichen – obwohl Sie einen eigenen Exchange Server haben. Da dann ihre Zugangsdaten nicht akzeptiert werden vom Office 365 Server kommt immer wieder die Anmeldemaske bzw. kann die Outlook-konfiguration nicht abgeschlossen werden.

Dies sehen Sie daran, das wenn Sie ihre Emailatokonfiguration prüfen (Outlook öffnen, STRG Taste gedrückt halten und mit der rechten Maustaste auf das Outlook Icon, dann sehen Sie dort den Eintrag) und dann Verbindungsversuche kommen nach outlook.office365.com .

Um dies Outlook abzugewöhnen, können Sie einen folgenden Registryeintrag erstellen (entweder von Hand oder über GPO) unter:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover

  • Typ: DWORD
  • Name: ExcludeExplicitO365Endpoint
  • Wert: 1 (0x00000001, HEX)

Sollte das immer noch nicht klappen, so kann man noch eine weitere Lösung zu rate ziehen:

Erstellen sie in ihrem DNS eine Zone für outlook.office365.com mit einem Hosteintrag auf die IP ihres Exchange Servers (z.B. CAS Server). Warten Sie ab, bis die Einstellung im DNS repliziert ist, leeren sie den Cache des DNS Servers bzw. des Clients (ipconfig /flushdns).

Clients die mobil arbeiten könnte man die Hostsdatei anpassen.

Prüfen Sie dann erneut ob alles funktioniert.

Update 2019:

Der saubere Weg wäre das eigene AD mit Office 365 zu verbinden, dies ist jedoch umfangreich. Eine Anleitung finde ihr hier:
https://www.leibling.de/office-365-mit-active-directory-verbinden/


Gefahrenpotenzial durch Macroviren minimieren

Alte Officedokumentenformate (doc, dot, xls, xlt, ppt) sowie auch neue Officeformate mit der Endung *m (docxm, dotxm, xlsm, xltm) können Macros enthalten, welche Schadensroutinen beinhalten.

Diese Dokumente werden per Email versendet und infizieren Computer und versuchen z.B. Dateien zu verschlüsseln und Lösegeld zu erpressen.

Eine Gefahr ist, das Virenscanner oft nicht vor den Dateien warnen, da das Dokument beim Versand noch kein Virus enthält, sondern erst das Macro diesen lädt. Oft warnt auch dann nicht der Virenscanner, da dieser die Festplatte überwacht – die Anwendung wird jedoch nicht gespeichert, sondern direkt aus dem Speicher ausgeführt.

Das größte Probleme dabei ist, das diese mails mittlerweile täuschend echt aussehen, auf echten Dokumenten beruhen, perfektes Deutsch verwendet wird oder gar vorgeben vom Kollegen zu stammen.

Der sicherste Schutz ist, die oben genannten Dateien direkt auf dem Mailgateway zu blockieren.

Weiterhin kann man auch den Windows Scripting Host deaktivieren. Erstellen sie dazu eine GPO mit der folgenden Einstellung:

Computerkonfiguration > Richtlinien > Windows Einstellungen > Registrierung Zeichenfolge (DWORD) Enabled = 0 für den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

Eine weitere Sicherheitsmassnahme ist es Powershell zu deaktivieren. Erstellen Sie dazu eine GPO mit den folgenden Einstellungen:

Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > AppLocker > Ausführbare Regeln > Neue Deny Regel für jeder auf den Pfad %SYSTEM32%\Windows\PowerShell*

Diese beiden GPO Ordnen Sie der OU zu, wo Workstations und Laptops enthalten sind – nicht den Servern

Dazu kann man noch GPOs für die entsprechende Officeversionen einführen, welche Macros verbieten oder deaktivieren. Mehr infos hier: https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/


OpenVPN / Sophos SSL VPN Client: Windows Rechner als Softwarerouter verwenden

Achtung: Seit dem 23.1.2019 habe ich auch einen Artikel der erklärt, wie man einen Raspberry Pi verwenden kann. Diese Lösung wäre zu bevorzugen!

Dieser Tip funktioniert zwar grundsätzlich, ist aber weit entfernt davon als stabil zu gelten – womöglich kann er dazu dienen eine kurze Zeit als Notlösung zu fungieren.

Stellen Sie auf dem Rechner im BIOS/UEFI ein, das der Rechner immer an bleibt und nach einem Stromausfall wieder hochfährt.

Stellen Sie im Windows in den Energieoptionen ein, das der Rechner nicht ausschaltet (Festplatte und Monitor können jedoch ausgehen). Es muss niemand am Rechner angemeldet sein, nachdem alles eingerichtet wurde! Es reicht wenn er hochfährt.

Melden Sie sich an Windows mit Adminrechten an und geben Sie dem Rechner eine Feste IP, sowie alle benötigten weiteren Parameter wie DNS und Gateway.

Installieren Sie den aktuellsten Open VPN oder Sophos VPN Client und richten Sie die SSL Verbindung ein (am besten mit rechter Maustaste und „Als Administrator ausführen“) und testen Sie die Verbindung.

Sollte diese funktionieren, gehen Sie bitte in das Config Verzeichnis des VPN Clients (z.B. C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config) und erstellen sie eine Datei mit dem Namen password.txt, tragen sie in der ersten Zeile den Benutzernamen und in der zweiten Zeile das Kennwort ein.

Öffnen Sie die entsprechende Config-Datei und tragen Sie nach auth-user-pass ein Leerzeichen und dann password.txt ein:

auth-user-pass password.txt

Prüfen Sie nun ob Sie die Verbindung ohne Zugangsdaten aufbauen können.

Klicken Sie nun auf Start und tippen Sie services.msc und machen ein Doppelklick auf OpenVPN Service und stellen Sie die Startart auf Automatisch.

Wenn Sie den Rechner neustarten und sich anmelden, sollten sie nach ein paar Sekunden Adressen aus dem entfernten VPN anpingen können (ohne das der VPN Client eine Verbindung anzeigt). Es sollte jedoch die Netzwerkschnittstelle des VPN Clients im Netzwerk- und Freigabecenter aktiv sein (kein rotes X).

Sollte nun soweit alles funktionieren, gehen Sie bitte mit der rechten Maustaste auf die Verbindung in die Eigenschaften auf dem Tab Freigabe (sollte der nicht vorhanden sein, deinstallieren Sie bitte den alten VPN Client und installieren eine aktuelle Version mit Adminrechten).

Windows wird nun eine Meldung ausgeben, das von der Netzwerkschnittstelle die IP Adresse verändert wird auf 192.168.137.1 – stellen Sie die Netzwerkeinstellungen wieder zurück auf die richtigen Werte. Nach ein paar Sekunden sollten wieder entferne Ressourcen anzupingen sein.

Damit nun die anderen Rechner auch das entsprechende Netz finden, müssen Sie eine Route erstellen auf das entfernte Netz, damit sie das nicht an jedem Rechner machen müssen, machen Sie das am besten auf den vorhandenen Router, der die Internetverbindung herstellt – z.B. bei einer Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:

Bekannte Probleme:

Nach einem Neustart funktioniert die Verbindung zwar an dem Rechner wo das VPN Installiert ist, jedoch nicht mehr bei den anderen Geräten im Netzwerk:

Hier muss einmal wieder der Hacken bei „Internetverbindung freigeben“ bei der VPN Netzwerkschnittstelle entfernt werden – da dabei Windows auch die IP bei der LAN Verbindung zurücksetzt auf 192.168.137.1, muss hier wieder alles die zuvor konfigurierte Adresse zurückgesetzt werden. Nach ein paar Sekunden ist die Verbindung durch den VPN Dienst wieder neugestartet und sollte wieder funktionieren.

Alle Geräte im Netzwerk können auf das Remotenetzwerk zugreifen, jedoch das Remotenetzwerk nicht auf die lokalen Geräte:

Dies wird auch leider nicht funktionieren, da alle Geräte hinter der Adresse des einzelnen VPN Rechners per NAT (Network Adress Translation) versteckt sind und nicht erreichbar sind. Hier würde eine Lösung benötigt, die das gesamte Netz anbindet (z.B. ein Hardwarerouter auf Raspi-Basis). Evtl. kommt hierzu noch ein entsprechender Beitrag.


TrendMicro Officescan deinstallieren ohne Kennwort

Sollte bei einem Client, die deinstallation fehlschlagen, da das Kennwort nicht bekannt ist, kann man sich eines Hilfsmittels bedienen um dennoch erfolgreich deinstallieren zu können.

Starten Sie Regedit mit Adminrechten und navigieren sie nach:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc

Editieren Sie den Eintrag Allow Uninstall von 0 auf 1.

Starten Sie danach die Deinstallation erneut.

Sollte der Eintrag nicht zu ändern sein, starten Sie bitte über msconfig in den abgesicherten Modus und ändern sie dort den Eintrag.

Weitere Infos: https://www.crestline.net/uninstall-trend-micro-without-password/


Windows Installer Problem Error 1325 Documents is not a valid short file name

Bei einem Benutzer, der sein Homelaufwerk auf einem Netzlaufwerk hatte und die Dokumentenpfade angepasst hatte auf diese Ordner per GPO hatte das Problem, das er keine Software installieren konnte – die Installation brach immer mit dem Fehler Error 1325 Documents is not a valid short file name ab.

Ich habe die Rechte vom Rootordner geprüft und der User hatte keine Leserechte des Rootordners. Nachdem ich den User (bzw. Gruppe Domänen-Benutzer) Leserechte gab auf dem Ordner (Achtung: Bitte Vererbung beachten!)  und der User sich neu anmeldete, war das Problem behoben und der Installer lief ohne Probleme durch.

Laut Recherche lag die Vermutung nahe, das der Installer versucht zu lesen, wieviel Platz auf dem Laufwerk ist – was jedoch fehl schlug, da er keine Leserechte auf den Rootordner hatte.