Kategorie: Server

OWA und ECP mit Sophos per 2FA bzw. OTP zusätzlich schützen

Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.

Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.

Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.

Die Konfiguration stellt sich in 3 Schritten dar:

  • Umstellen der Sicherheit vom IIS (Internet Information Services) auf Basic und neustarten des Dienstes
  • Erstellen der WAF Regeln in der Sophos
  • Aktivieren der OTP Option in der Sophos

Umstellen der Sicherheit:

  • Melden Sie sich auf dem Exchange Server an
  • Öffnen Sie den Internetinformationsdienste Manager
  • Gehen Sie links im Verzeichnisbaum auf SERVERNAME > Sites > Default Web Site > rechts auf Authentifizierung
  • Wählen Sie bei Standardauthentifizierung auf Aktiviert
  • Gehen Sie auf Start > Ausführen > und geben Sie iisreset gefolgt von einem Enter ein

Nun kommt der 2. Teil, Erstellen der WAF Regeln:

  • Da die Grundkonfiguration der WAF/Exchange-anbindung umfangreicher ist, verweise ich hier auf die Anleitung von networkguy.de – dort ist es geschildert: https://networkguy.de/?p=998
  • Weiter geht es nun nach Webserver Protection > Reverse Authentification > Profiles > Neues Profil erstellen wie folgt:
  • Jetzt diesem Profil noch 2 Regeln erstellen unter Webserver Protection > Web Application Firewall > Site Path Routing > wie folgt:

Anschließend nun der 3. Teil:

  • Dazu unter Definitions & Users > Authentification Services > Ine-Time Password > One-Password Service Status aktivieren und wie folgt einrichten:

Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.

Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).

Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.

Weitere Links:

Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!


Veeam Community Edition (Freeware)

Veeam hat seine Backup and Replication Sicherungssoftware als Community Edition freigegeben – diese ist nun kostenlos zu haben und das dazu noch mit ein paar richtig Interessanten Features, die gerade in kleinen bis Home Netzwerken äußerst interessant sind:

  • Sicherung kommt nun ohne vCenter aus und kann Single Host alleine sichern.
  • Sichern als Veeam Datei und nicht mehr als VeeamZIP – somit auch Vollsicherung UND inkrementielle Sicherungen möglich.
  • Sichert nun auch Zeitgesteuert über die Oberfläche und nicht über Umwegen wie Windows Tasks.
  • Sichert virtuelle sowie Physische Server.
  • Sichert auf auf einfache SMB Drives wie z.B. von NAS oder lokal angeschlossene Platten wie USB Platten.
  • Sicherung sowie Replikation möglich.
  • Beschränkt auf 10 VMs.
  • Kann jederzeit auf Lizenz umgestellt werden, ohne Neuinstallation usw.

Download:
https://www.veeam.com/de/virtual-machine-backup-solution-free.html


Office 365 mit Active Directory verbinden

Um Office 365 mit dem AD zu verbinden (um z.B. Exchange- oder Sharepoint Online zu verwenden oder einfach nur Anmeldeprobleme bei Outlook zu beheben) geht ihr bitte wie folgt vor:

  • Die Domain der Emailadresse im AD als UPN einzurichten (DC > Active Directory Domänen und Vertrauensstellungen > Links den obersten Punkt rechte Maustaste > Eigenschaften > Benutzerprinzipalnamen Suffixe die Domain hinzufügen – z.B. domain.de).
  • Den Benutzern im AD den Anmeldenamen an die Emailadresse anpassen (DC > Active Directory Benutzer und Computer > Benutzer Eigenschaften öffnen > Register Konto > Benutzeranmeldename so Einstellen das er zusammen mit der Domain aus der Drop Down Box die Emailadresse ergibt).
  • Unter admin.microsoft.com eine eigene Domain erstellen (bitte dazu eine nicht verwendete Adresse verwenden wie administration oder so – die echten Adressen werden nachher syncronsiert werden mit dem AD) – z.B. sollte euer AD beispiel.local heißen, dann die Domain beispiel.onmicrosoft.com erstellen (wählt den Namen sorgfälltig, er kann im nachhinein nicht geändert werden).
  • Fügt nun die echte Domain hinzu unter admin.microsoft.com > Setup > Domänen (hierzu könnt ihr einen DNS TXT Eintrag erstellen, damit wird verifiziert das die Domain euch gehört), wenn ihr Exchange usw. lokal (ON Premise) nutzt, erstellt bitte nicht die MX Einträge usw.
  • Nun auf dem DC im AD eine OU erstellen für die Office 365 Benutzer und diese dorthin verschieben (DC >Active Directory Benutzer und Computer).
  • Auf einem Memberserver (DCs werden nicht unterstützt) noch die Software Azure AD Connect installieren und einrichten mit den Daten des Kontos das ihr erstellt habt, gebt auch direkt die OU an mit euren Office 365 Benutzern, damit diese nun übertragen werden.
  • Anschließend könnt ihr die User anpassen unter admin.microsoft.com > Benutzer > Aktive Benutzer und diesen bei Bedarf die entsprechende Lizenz oder Dienste zuordnen.




Exchange: Ordnerzugriffe per Shell

Sollte ein Anwender krank sein und jemand muss auf seine Ordner zugreifen, so kann dies der Administrator auch per Shell erledigen.

Hier dazu der Microsoftartikel:

https://docs.microsoft.com/en-us/powershell/module/exchange/mailboxes/add-mailboxfolderpermission?view=exchange-ps

Der Powershell Befehl lautet z.B. wie folgt:

Add-MailboxFolderPermission -Identity <inhaber>:\Mailbox -User <vertretung> -AccessRights Editor -SharingPermissionFlags Delegate

Rechte:
Editor (erstellen)
Reviewer (nur lesen)

Rechtevorgabe Beispiel:
Calender: Editor
Tasks: Reviewer
Inbox: Reviewer

Vorlage:

Add-MailboxFolderPermission -Identity <inhaber>:\Calendar -User <vertretung> -AccessRights Editor
Add-MailboxFolderPermission -Identity <inhaber>:\Tasks -User <vertretung> -AccessRights Reviewer
Add-MailboxFolderPermission -Identity <inhaber>:\Inbox -User <vertretung> -AccessRights Reviewer


Docusnap: Sicherheit Webserver

In der Standardkonfiguration bietet Docusnap einen Webserver, der komfortabel alle Informationen bietet (lesend), welche Docusnap inventarisiert hat.

Jedoch ist auch in der Standardkonfiguration die Benutzerverwaltung deaktiviert.

Eine der ersten Tätigkeiten sollte sein, die Benutzerverwaltung zu aktivieren und die Benutzer einzurichten unter Docusnap > Administration > Docusnap Benutzer.

Anschließend kann man die Einstellung wie folgt für Docusnap vornehmen unter Docusnap > Optionen > Docusnap Server > Im Assistenten Tab 4. Server API (natürlich mit euren eigenen Daten):

Eine andere Alternative (auf die ich hier jedoch nicht eingehe),wäre es – die Windowsfirewall entsprechend anzupassen, das nur erlaubte Server/Rechner auf den Port zugreifen können.


Docusnap: Fehler bei der Inventarisierung

Wenn ihr ein System nicht über den Agent inventarisieren könnte, prüft bitte folgendes:

Stellt sicher, das ihr den UPN (benutzer@domain.local) statt dem Prä-Win 2000 Logon (DOMAIN\Benutzer) verwendet.

Prüft ob ihr die entsprechenden Firewall ausnahmen eingerichtet habt (z.B. zum testen, die Firewall ausschalten – klappt dann das Inventarisieren, dann bitte entsprechend die Ausnahmen anpassen). Geht dabei wie hier beschrieben vor: https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Windows-Firewall-Ausnahmen_DE.pdf

Prüft bitte auch ob WMI funktioniert (testen könnt ihr dies vom Server aus mit wbemtest.exe in Richtung des Clients). Hier gibt es weitere Informationen: https://media.docusnap.com/media/doc/howto/DocusnapX_WMIZugriffsprobleme.pdf


Docusnap: System manuell Inventarisieren

Hier erläutere ich euch, wie ich vorgehe um ein System manuell zu inventarisieren:

Server:

  • Auf dem Server im Installationsordner gibt es einen Unterordner mit dem Namen Tools, dort bitte die Datei DocusnapScript.exe kopieren und bereitstellen.
  • Weiterhin habe ich einen Ordner erstellt mit dem Namen Reports und diesen als DocusnapReports freigegeben (Vollzugriff!). Dort kann man die Reports reinkopieren.
  • Im Docusnap kann man unter Intenvar > Script Import einen Import Job erstellen und diesen auch periodisch (z.B. jeden Tag um 18 Uhr) automatisch in Docusnap importieren lassen.

Client:

Auf dem Client habe ich die oben genannte EXE Datei in den Ordner C:\INSTALL kopiert und eine Verknüpfung dazu erstellt mit (docusnapscript.exe -O C:\INSTALL). Beim Aufruf wird im Hinergrund eine XML Datei erstellt, welche in den Reports Ordner kopiert werden kann. Diese Anwendung benötigt nur Userrechte – kann somit sogar vom Anwender selber durchgeführt werden und die XML eingeschickt werden (bitte vorher Zippen – wenn ich mich recht entsinne sperrt Outlook XML Dateien).

Weitere Infos:

https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Skriptbasierte-Inventarisierung_DE.pdf


Docusnap: Erstellen Visualisierung

Docusnap ist sehr umfangreich, damit läßt sich eine detailierte Visualisierung erstellen, welche die tatsächliche Infrastruktur wiederspiegelt.

Damit man nicht mehrfach die Pläne neu gestalten müssen, empfiehlt sich eine logische Vorgehensweise, welche aufeinander aufbaut.

Beispielsweise die Netzwerkkabel mit den verwendeten Farben (damit sich auch die Kabel in der Wand gemeint, welche zu den Dosen gehen). Solche Details stellt man in den Editor für die Physikalische Infrastruktur ein.

Gehen Sie dazu zuerst im Docusnap links auf den Punkt Standorte und wahlen dann oben links den Punkt Editor öffnen. Um nun die entsprechenden Punkte wie Kabel oder Geräte verwenden zu können, müssen diese erst angelegt werden.

Gehen Sie z.B. auf das Zahnrad oben recht und wählen dort Kabeltypen bearbeiten. Dort können sie die fehlenden Kabel anlegen.

Wenn Sie diese gespeichert haben, können Sie Kategorien anlegen, ich habe beispielsweise neue Kategorien wie Multimedia (z.B. für Sonosgeräte) und Hausautomation (z.B. für Steuermodule für die Hausautomation wie Homematic CCU2 oder Moeller ECIs) angelegt.

Nun kann man Geräte anlegen wie eigene Server, Storage, Steuergeräte usw.

Am besten sucht man sich dazu ein paar Bilder bei Google raus von den entsprechenden Geräten (von vorne und hinten) und auch am besten die Maße. Achtet am besten darauf, das die Bilder transparente PNGs sind und kaum Platz drumherum haben (sonst passen die Maße nicht und die Bilder sehen gestaucht aus).

Mit der entsprechenden Automatischen Porterkennung kommt man schon recht weit, sollte Ports fehlen kann man diese manuell hinzufügen und entsprechend die Reihenfolgen anpassen.

Habt ihr dann alle Gerät, Kabel und Kategorien angelegt, kann man anschließend erst die Standorte anlegen mit entsprechenden Gebäuden, Räumen usw. – anschließend könnt ihr dann unter Standortelemente die entsprechenden Elemente anlegen wie z.B. Netzwerkdosen usw.

Habt ihr in der Inventarisierung auch schon im entsprechenden Gerät im Tab Editor den Standort angegeben, sind auch schon die entsprechenden Geräte in den Standorten zugeordnet.

Verbindungen wie Kabelzuordnungen zwischen den Elementen könnt ihr schaffen, wenn ihr im Editor für die Physikalische Infrastruktur die Standorte öffnet und dann rechts neben den Informationen auf das viereck mit den 3 Punkten geht und dort dann Bearbeiten auswählt.

Wenn ihr nun auf ein Element geht und dann unter Stecker und Kabelverbindungen geht und auf das leere Feld neben dem Eintrag geht, dann könnt ihr die Kabel zuordnen.

Genauso kann man auch Racks anlegen. Aktiviert man den Hacken Verbinden anzeigen, bekommt man auch die Kabel angezeigt in den entsprechenden Farben – mit einen Doppelklick auf das Kabel kann man auch die Kabelführung anpassen



Kostenloses Alfresco Community Edition DMS installieren und einrichten

Dieser Artikel befindet sich noch in der Erstellung und wird fortlaufend erweitert.

Vorbereitung:

Zur Vorbereitung habe ich eine VM (auf VMware) erstellt mit den folgenden Werten:

  • Windows Server 2012 R2 Standard
  • 4 vCPU
  • 6 GB Ram
  • 300 GB HDD

In dieser habe ich Windows installiert, alle Updates durchgeführt, einen festen Namen sowie IP zugeordnet und diese ans AD angebunden.

Download:

Die derzeit aktuelle Version finden Sie hier.

Installation

Veröffentlichen

Anpassungen Webdav

Email einrichten:

Ändern Sie in der Datei C:\alfresco-community\tomcat\shared\classes\alfresco-global.properties den Eintrag:

###E-mail site invitation setting

notification.email.siteinvite=false

wie folgt ab:

###E-mail site invitation setting

notification.email.siteinvite=true

### Outbound Email Configuration

mail.host=IP des Mailservers oder Relay
mail.port=25
mail.username=anonymous
mail.password=
mail.encoding=UTF-8
mail.from.default=emailadresse@domain.de
mail.smtp.auth=false


Starten Sie anschließend über das Alfresco Community Manager Tool den Alfresco- und Tomcat-Dienst neu.

Benutzer einrichten

OCR anbinden

App einrichten

Foto mit App erstellen und per OCR ablegen


Dokumente verwalten und archivieren

Ich habe Unmengen an Dokumente, welche ungeordnet vorhanden sind – Beispielsweise Briefe, Verträge mit Versicherungen, Schreiben die ich mit Office erstellt habe, Rechnungen für das Auto die ich per Email erhalten habe usw.

Jedesmal wenn ich ein Dokument benötige, muss ich erst überlegen in welcher Form es kam und durchsuche entweder Ordner, Dateien auf dem Fileserver oder das Emailarchiv.

Auch wird es schwer Inhalte zu vergleichen.

Deswegen habe ich mir überlegt, alles meine Dokumente zu archivieren und in der originalen Form zu löschen (bis auf solche, die aufzubewahren sind – z.B. Versicherungspolicen usw.).

Alles andere jedoch, soll zentral an einer Stelle zusammengeführt werden und strukturiert abgelegt werden.

Dafür möchte ich mir eine Art Dokumenten Management System (fortfolgend DMS genannt) aufbauen – da es für mich privat ist, gelten keine rechtlichen Richtlinien (z.B. Aufbewahrungsdauer, nicht veränderbar usw.).

Meine Wünsche wären:

  • Weboberfläche und App
  • App kann mit der Kamera Dokument erfassen
  • Kann auf Windows installiert werden
  • Dateien liegen lesbar und zuordnungsfähig vor
  • OCR Erkennung

Dazu möchte ich mir gerne die folgenden Lösungen anschauen:

Nextcloud mit OCR Tesseract:

Eigentlich kein DMS, eher eine private Cloud. Jedoch mit App Anbindung, Webinterface, Open Source Scanengine (OCR), Volltextsuche, Benutzer und Rechteverwaltung.

Dazu habe ich auf dem Fileserver einen Ordner DMS eingerichtet und freigegeben. In diesem Ordner lege ich manuell alle Dateien ab und diese werden per Tesseract gescannt und indiziert.

Mit der flexiblen Suche Elasticsearch kann man dann alle Dateien über ihren Inhalt finden.

Hier hat man den Vorteil, das die Dateien normal im Dateisystem liegen und einfach gesichert werden können.

Leider sind die Ergebnisse mit Tesseract nicht so gut gewesen, so das ich eine kommerzielle Lösung für das OCR dazwischengeschaltet habe.

Dazu habe ich mir Nuance Omnipage 19 Ultimate angeschafft, welches gute Ergebnisse liefert. Leider hatte ich Probleme bei der Einrichtung des Workflows und wollte den Support in Anspruch nehmen (immer sind für mich als Privatperson eine Investition von 200€ eine Menge Geld und ich würde gerne VOR dem Kauf wissen, ob das Produkt meinen Vorstellungen entspricht) – aber leider bekam ich nur vom Support Antworten wie „Lesen Sie das Handbuch“ und „Wir kennen unsere Produkte auch nicht in der Tiefe“, was mich leider nicht zufriedenstellte – jedoch wurden bei Rückfrage einfach die Tickets geschlossen. Kein guter Support! Zu erwähnen wäre noch, das es derzeit noch eine Aktion gibt für 139€ – diese läuft zwar nur noch kurz, aber vielleicht kommt diese noch mal wieder.

Idee für später: Ich möchte Dateien vorsortieren – wenn diese schon durchsuchbar sind (z.B. Officedokumente, duchsuchbare PDF) sollen diese direkt ins Archiv in einem Unterordner mit Datum im Namen – sind diese nicht durchsuchbar (z.B. Bilder, Bild-PDF) sollen diese verschoben werden in einen Hot Folder, welcher von der OCR Software überwacht wird. Dies könnte man mit einem Ordner realisieren, welcher Aktionen ausführen kann und per VBA Dateinamen und -attribute auswertet.

Alfreso Community Edition:

Die Alfresco Community Edition ist ein komplettes DMS. Sie ist komfortabel, flexibel und ist sehr übersichtlich gehalten. Es gibt eine Weboberfläche und eine App. Sie gefällt mir sehr gut, leider jedoch legt sie die Dateien nach einem eigenen Schema ab als BIN Dateien und das zuordnen wird somit unmöglich. Da ich gerne die Dateien als normale Dateien abgelegt habe möchte, kommt Alfreso nicht in Frage. Dies war der einzige Punkt der mich störte – mir gefiel besonders, das die Community Version genauso aktuell ist wie die kommerzielle Version.

Update: Auf Alfresco kann man die Ordner als WEBDAV Laufwerk freigeben (benötigt zwingend HTTPS und bringt auch leider einige weitere Probleme mit sich). Auch wie Agorum Core kann man bei Alfresco jedoch auch die Ordner per SMB freigeben – jedoch wird auch hier die Java Implementierung mit CIFS benutzt und muss die von Windows ersetzen – was nicht ganz trivial ist. Danach kann man jedoch die Ordner direkt nutzen und dort direkt Dateien ablegen bzw. nutzen (z.B. für OCR importe).

Die Schritte sind in Stichworten wie folgt:

  • VM herunterfahren
  • Weiteren Netzwerkadapter einrichten und das entsprechende Netz zuordnen
  • In Windows IPv4 feste Adresse ohne Gateway einrichten, IPv6 und Client für Microsoft Netzwerke sowie Datei- und Druckerfreigabe für Windows in den Bindings der Netzwerkkarte entfernen
  • Auf beiden Adaptern in den DNS Einstellungen Adressen dieser Verbindung in DNS aktualisiern deaktivieren, damit im DNS nicht die Adressen geändert werden
  • Basic Auth aktivieren (Regedit
  • In Alfreso in der file-server.xml anpassen und die IP des neuen Adapters binden
  • Im DNS einen weiteren Namen erstellen mit der neuen IP

Weitere Informationen: https://community.alfresco.com/docs/DOC-4804-file-server-configuration#w_runningsmb2fcifsfromanormaluseraccount

Agorum Core Open:

Diese Software bietet eine kostenlose Version (Open) und kann jederzeit in eine kostenpflichtige Lösung (Pro) upgegradet werden. Auch hier gibt es eine Weboberfläche und eine App. Ebenfalls wie Alfreso ist die kostenlose als auch die Pro Version die selbe – der Unterschied ist das automatismen (KI) und OCR fehlen (wie auch bei allen anderen, da hier kostenpflichtige Tools eingesetzt werden – hier z.B. I.R.I.S.).

Interessant erscheint mir, das das DMS Laufwerk als Netzwerkfreigabe bereitgestellt wird und somit die auf die Dateien zugegriffen und weiterverarbeitet werden können.

Update: Habe eben schon mal mit dem Support Kontakt gehabt. Er war freundlich und hilfsbereit. Auch habe ich den Tipp bekommen, das schon in der Open Source Version Tesseract getestet wird und vielleicht mit hineinkommt – dann wäre das ein DMS das OCR in der „Startversion“ bietet.

Hinweis:

Die Installation ist ein wenig komplexer, beachtet bitte unbedingt die folgenden Links:

Nuxeo:

Nuxeo habe ich mir noch nicht angeschaut, ist aber geplant.

Bitfarm DMS:

Das Bitfarm DMS gibt es in einer kostenlosen und in einer kommerziellen Version. Leider ist die kostenlose Version (4.x) älter als die kommerzielle Version (6.x) und kann auch somit nicht auf die Apps usw. zurückgreifen, so das ich dieses Produkt nicht weiter verfolgt habe.