Bei Kalenderchen handelt es sich um eine kleine, aber feine Kalender- und Terminanwendung für Windows als auch Tablets und Smartphones mit Android-Betriebssystem. Unter Linux soll das Programm via Wine lauffähig sein.

Die Anwendung ist ressourcensparend und leichtgewichtig, kann sowohl auf einem einzelnen PC als auch im Netzwerk eingesetzt werden. Einziger Wermutstropfen: Es gibt nur einen Kalender, wer also mehrere Kalender, z.B. für unterschiedliche Benutzer, verwenden möchte, muss entweder mehrere Kalenderchen-Instanzen ausführen oder eine Alternative suchen. Dafür gibt es als (weiteren) Pluspunkt die Möglichkeit Aufgaben und Notizen zu hinterlegen.

Installation

Es steht eine Installationsdatei als auch ein Zip-Archiv (Portable-Variante) zur Verfügung.

Netzwerkbetrieb

Um Kalenderchen im Netzwerk zu betreiben ist kein ausgewachsener Server notwendig, es genügt ein Netzlaufwerk. Der Speicherort kann ein anderer PC oder ein NAS sein. Es reicht aus, die Portable-Variante herunterzuladen, zu entpacken und den Ordner „Kalenderchen6″ auf den (Quasi-)Server oder das NAS zu kopieren.

Auf den zugreifenden PCs entweder eine Verknüpfung zur „Kalenderchen.exe“ anlegen, alternativ Kalenderchen installieren oder die Portable-Variante entsprechend platzieren und die Datei „datapath.dat“ anpassen. Man kann die Pfade nach einem Start von Kalenderchen in den Einstellungen auf der Registerkarte „Wartung“ ebenso festlegen.

Wichtig: Dem Test nach funktioniert kein UNC-Pfad („\\ip-adresse\freigabe“), es muss ein Laufwerk samt Pfad („Z:\Kalenderchen6″) angegeben werden!

Die (imho) sauberste Lösung besteht darin, auf jedem Arbeitsplatz Kalenderchen zu installieren oder die Portable-Variante zu platzieren und die Pfade anzupassen. Das hat den Vorteil, das über’s Netzwerk nicht alles (Programm und Daten) übertragen werden müssen. In der Voreinstellung gelten für alle Benutzer die gleichen Einstellungen, ändern lässt sich dies durch Editieren der Datei „datapath.dat“. Eine ausführliche Anleitung ist in dieser Datei enthalten.

Achtung: Leider wird die Ansicht der Termine bei der Netzwerknutzung nicht automatisch aktualisiert während Kalenderchen angezeigt wird. Erst wenn man die Anwendung minimiert und wieder maximiert erfolgt ein Update. Das ist ein potentieller Stolperstein, wenn mehrere Benutzer Termine eintragen. So kann es passieren, das ein Zeitpunkt mehrfach belegt wird.

Tipp: Im Download-Bereich finden sich neben den bereits enthaltenen Feiertagen zusätzlich die Feiertage anderer Länder oder die Schulferien.

Historie

Bei einem unserer längsten (oder heisst es ältesten?) Kunden hatten wir Kalenderchen vor Jahren erfolgreich im Einsatz. Dies wurde nur abgelöst, da eine neue Infrastruktur auf Basis von MDaemon Messaging Server und Microsoft Outlook (dies war notwendig, wegen einer Drittanwendung, die MS Office voraussetzte) eingeführt wurde.

Nach langer Zeit kam nun diese Anwendung wieder zur Sprache, da ein Neukunde eine einfache und kostengünstige Lösung suchte, um das Terminbuch in seiner Arztpraxis ablösen zu können. Ferner sollte von verschiedenen Arbeitsplätzen aus Termine eingetragen werden können.

Da kein Microsoft Office, sondern OpenOffice zum Einsatz kommt, wäre SimpleSyn oder (andere) Groupware-Lösungen zu viel des Guten gewesen.

Sechs Jahre, 1.354 Beiträge und 2.177 Kommentare später ist man immer noch mit dabei, da kann man nicht meckern. So gibt es immer wieder neues zu berichten, wiederkehrende Herausforderungen wie das (leidige) Thema Spam-Bekämpfung oder Performance, Änderungen, Wendungen usw. Kurzum: Es bleibt spannend.

Im G Data Security Blog ist ein lesenswerter Artikel mit dem Titel Zwei große Mythen zur IT-Sicherheit entlarvt erschienen. Die dort genannten Aussagen („…keine Porno- oder Sex-Seiten…“, „…ich habe nichts zu verbergen“) hören wir teils mehrmals wöchentlich.Dabei spielt das wo oder wie man surft nicht unbedingt eine Rolle, worüber man sich einen Schädling einfängt, da die Infektionswege vielfältig sind: Manipulierte Webseiten, präparierte E-Mails, gefälschte Downloads, kompromitierte Werbebanner-Anbieter etc.

Vom Grundsatz her möchte man in der Regel keine Malware (Viren, Würmer, Trojaner, Bot, …) auf dem Computer haben. Sich vermeintlich sicher zu fühlen, wenn man statt dem Marktführer Windows ein Linux, BSD oder Mac verwendet ist dabei trügerisch. Auch für diese Systeme gibt es Schadsoftware, wenn gleich es wesentlich weniger ist als für das Betriebssystem aus Redmond.

Ebenfalls sollte man im Hinterkopf haben, selbst wenn es einen selbst nicht betrifft, kann man dennoch im juristischen Sinne ggf. als Störer gelten. Das geht schneller als man meinen möchte: Z.B. man leidet unwissentlich eine infizierte E-Mail weiter und beim Empfänger tritt ein Schaden ein. Hat man selbst in einem solchen Fall gar keinen Virenscanner installiert, so gilt das als grob fahrlässig.

Hinweis: Ich bin kein Jurist, aber man bekommt im beruflichen Alltag eine Menge mit.

Es geht nicht immer um Daten- oder Identitätsdiebstahl, der eigene Computer könnte zur „Spam-Schleuder“ werden oder für Angriffe gegenüber Dritte verwendet werden. Dies sind ebenso unerwünschte Vorfälle wie wenn das Online Banking kompromitiert wird oder die eigenen Dateien verschlüsselt werden und man erpresst wird.

Selbst mit installierten und aktuellen Virenschutz gibt es keinen 100%-igen Schutz, auch wenn einem dies das Marketing von manchem Hersteller gerne so verkauft. Das heisst allerdings wiederum nicht, das Antiviren-Programme sinnlos wären! Letztlich geht es darum zum einen Risikominimierung zu betreiben und zum anderen sich selbst als auch  andere zu Schützen.

Mehrere Virenscanner auf einem Computer hingegen bringen evtl. mehr Probleme als Schutz. Dazu eine kleine Geschichte aus der eigenen Erfahrung: Vor ein paar Jahren erhielt ich plötzlich unmengen E-Mails von einem Freund, allesamt mit schädlichem Inhalt. Der Verdacht, das der Computer des Freundes mit einer Schadsoftware infiziert ist war schnell gegeben. Auf telefonische Nachfrage bei ihm folgte die Aussage „kann gar nicht sein, ich habe sieben (!) Virenscanner installiert“. Nach einigen guten Zureden durfte ich mir den Computer ansehen und musste feststellen, das die Virenscanner sich zum Teil gegenseitig behinderten. Sei es das die Signaturen jeweils vom anderen Virenscanner als bösartig eingestuft und entsprechend in die Quarantäne verschoben oder gleich gelöscht wurden. So manche Security-Suite behinderte den Download der Signaturen oder Updates, da der jeweilige Stream als verdächtig eingestuft wurde usw.

Man konnte sagen: Die Virenscanner behinderten sich gegenseitig oder stellten sich selbst jeweils ein oder mehrere Bein(e). Jedenfalls wurden erstmal alle Virenscanner deinstalliert, der Computer mit entsprechenden Bootmedien untersucht und bereinigt, anschleißend war der Spukt vorbei. Seitdem läuft nur noch ein Virenscanner.

Bemerkung: Es gibt Virenscanner, die speziell für den Betrieb mit anderen Produkten ausgelegt sind, dadurch lässt sich stress- und problemfrei ein Cross-Check realisieren. Die Kombination beim Freund war allerdings kontraproduktiv.

Was man ebenfalls beachten sollte ist, welche Schutzmodule der Virenscanner bietet. Damit ist gemeint: Werden nur Dateien untersucht oder kann das jeweilige Produkt E-Mail-Protokolle wie POP3, IMAP und SMTP prüfen. Die passende Wahl des Virenscanners ist also von dem jeweiligen Szenario abhängig.

Scheitert nach einem Update des Mac OS X OpenVPN-Clients Tunnelblick oder einer pfSense-Firewall der VPN-Verbindungsaufbau zu einer Securepoint UTM, so kann dies an einem zu kurzem Diffie-Hellman-Schlüssel liegen.

Im OpenVPN-Log einer pfSense sieht das z.B. so aus:

Hintergrund dieses Umstands ist die Logjam-Attacke, die auf zu kurze DH-Schlüssel basiert. Neuere OpenSSL-Versionen, die unter anderen von OpenVPN genutzt werden, verweigern bei zu kurzen Schlüsseln (<= 512 bit) den Verbindungsaufbau. Die Lösung dieses Problems besteht in der Verwendung größerer Schlüssel.

In diesem Fall müssen die Schlüssel auf der Securepoint UTM neu generiert werden. Beschrieben ist dieser Vorgang im Securepoint-Forum unter

Securepoint Support Forum – SSLVPN / DH Key too small

Für Securepoint OS v11 sind folgende Schritte notwendig:

• Einen root-Benutzer anlegen.
• Per ssh mit der UTM verbinden.
• Folgende Befehle ausführen:

sqlite3 /tmp/running.db "update openvpn set openvpn_dh_size = 1024, openvpn_dh_data = '`openssl dhparam 1024`' where openvpn_dh_size < 1024"
spcli system config save
spcli appmgmt config
spcli appmgmt restart application openvpn

In der Regel sollte kein Neustart der UTM notwendig sein. Im Forum findet sich allerdings die Meldung, das zumindest bei einem Anwender erst nach einem Neustart alles funktionierte.

Für v10 findet sich im verlinkten Forum-Beitrag ebenfalls eine entsprechende Beschreibung.

Troubleshooting

Bei einem Kunden der eine Standortvernetzung verwendet, lies sich der OpenVPN-Dienst auf einer pfSense nicht mehr starten bzw. dieser Stürzte sofort ab, nachdem auf der Securepoint UTM der neue DH-Schlüssel erzeugt worden war. Nach einem Neustart der pfSense lief alles wieder wie es sollte.

Bei einem unserer Server kam es während des bislang heissesten Wochenende des Jahres zu einem Temperatur-Alarm. Dabei zeigten sich mehrere Kuriositäten.

Zum einen wunderte man sich, das in einem gekühlten Serverraum überhaupt ein Alarm dieser Art zustande kam und das noch dazu Nachts um ca. 23:30 Uhr. Damit war der Vorfall zum einen jenseits des heissen Tages und zum anderen ebenfalls jenseits des Zeitfensters der Datensicherung bei dieser Maschine.

Seltsam war zudem, das Server-Eye keinen Alarm ausgab, der Temperatur-Alarm war rein akustischer Art und erschien auch nur im Log der RAID-Controller-Software. Eigentlich sollten solche Ereignisse parallel zum RAID-Controller-Log auch noch ins Eventlog von Windows geschrieben werden.

Zum Einsatz kommt in dieser Maschine ein Adaptec 6405 und ein 6405e.

Während der Kommunikation mit dem Support von Server-Eye viel dann auf, das im OCC ein wesentlich geringerer Wert bei der Controller-Temperatur angezeigt wird, als im Web-Interface des maxView Storage Managers. Die Differenz betrug im Mittel 20°C.

Ein Update auf die aktuelle Version der RAID-Controller-Software (msm_windows_x64_v1_08_21375 vom 17.06.2015) behob das Problem. Ein weiterer positiver Nebeneffekt ist, das mit der aktuellen Version auch die Logjam-Thematik erledigt ist.

Troubleshooting

Ein Inplace-Upgrade lief zwar erfolgreich durch, allerdings lies sich anschließend das Web-Interface nicht mehr aufrufen. Eine Deinstallation inkl. Löschen der Konfiguration mit anschließender Neuinstallation der Software löste dieses Problem. Ein Server-Neustart ist im übrigen nicht notwendig.

Nach der Neuinstallation fehlt in der Desktop-Verknüpfung der Port. Per Standard sieht die URL wie folgt aus:

https://localhost:8443/maxview/manager/main.xhtml

Für Geschäftskunden die mehr als zwei Sprachkanäle benötigen und das bei der Telekom haben möchten ist bei den All-IP-Anschlüssen der Tarif DeutschlandLAN IP Voice/ Data S interessant. Dieser kommt per Standard mit zwei Sprachkanälen und es können maximal Sechs gebucht werden. Aktuell befindet sich das noch im Aufbau und ist ab Ende 2015 (Stand: 15.07.2015) verfügbar.

Laut Auerswald gibt es bislang nur ein paar Testanschlüsse, diese Angabe wurde zumindest in einem Webinar gemacht. Bei unseren Kunden werden diese Anschlüsse zwar seit März 2015 seitens der Telekom angeboten, allerdings war bislang nirgends der Tarif realisierbar. Darauf gewartet wird von so manchen Kunden, der bislang nur einen ISDN-Mehrgeräteanschluss hat (und nicht mehr bekommt) allerdings sehnsüchtig. So mancher VoIP-Anbieter ist bereits seit langen in der Lage mehr Sprachkanäle anzubieten. Wer aber zwingend bei der Telekom bleiben möchte oder muss, hat außer warten aktuell kaum eine andere Wahl.

Im Zuge der kommenden Aufrüstung bzw. Wechsel wollte ich wissen, in wie weit die bekannten und beliebten AVM FRITZ!Box-Router das unterstützen, schließlich hat der eine oder andere Kunde diese an der Wand hängen. Das die Geräte (je nach Modell) VoIP beherrschen ist bekannt, auch das z.B. die 7490 maximal fünf gleichzeitige Internet-Gespräche führen kann ist in der Wissendatenbank nachlesbar. Zu beachten ist dabei allerdings das via DECT maximal drei und am internen S0-Bus maximal zwei Gespräche gleichzeitig stattfinden können, mittels IP-Telefonen gehen dann ebenfalls nur zwei Gespräche gleichzeitig.

Auf Nachfrage beim Hersteller kam leider nur zurück, das man sich in der Wissendatenbank informieren kann (unter anderem der Hinweis der maximalen Gespräche der bereits verlinkt ist) als auch die unterstützten Anschlussarten. Dort wird angegeben, das alle IP-Anschlüsse der Telekom unterstützt werden. Auf den konkreten Tarif konnte (oder wollte) man nicht eingehen.

Vermutlich wird es möglich sein, ob es dann wirklich funktioniert muss die Praxis dann zeigen. Falls es klappt, wäre eine FRITZ!Box im gewissen Rahmen durchaus eine Alternative zur Telekom Digitalisierungsbox Premium bzw. bintec elmeg be.IP. Wenngleich der Fokus von AVM auf Privatkunden liegt, während die anderen Geräte auf kleine Geschäftskunden abzielen. Im freien Feld findet man allerdings immer wieder FRITZ!Boxen bei Geschäftskunden vor, ganz gleich ob Ein-Personen-Betrieb, Handwerker oder gar grösere Betriebe.

Eine gravierende Einschränkungen kann die „Mischung“ der maximal möglichen Gespräche je nach internen Anschluss sein. Verwendet man unterschiedliche Telefone (DECT, Analog, ISDN, VoIP) kommt man hin, möchte man aber beispielsweise vier IP-Telefone an die FRITZ!Box anbinden geht das zwar, aber es können nicht alle gleichzeitig telefonieren.

Bei einem Kunden bestand die Anforderung alle Benutzer zu einem bestimmten Zeitpunkt vom Terminalserver abzumelden. Die gängigen Mittel wie z.B. nach einer gewissen Leerlaufzeit abmelden waren für das Szenario unpassend, da es zwar eine Kernarbeitszeit gibt, aber auch flexible Arbeitszeiten als auch Außendienstmitarbeiter, die sich mit dem System verbinden, wann Sie können. Darüber hinaus meldet sich nicht jeder Benutzer ab, teilweise wird bewusst oder bei schlechter Verbindung die Sitzung nur getrennt (z.B. wenn man auf dem Weg zum nächsten Termin ist und/oder später an gleicher Stelle weiterarbeiten möchte oder das mobile Internet nicht gerade der „Hit“ ist).

Wieso eigentlich alle Benutzer abmelden?

Diese Frage ist schnell beanwortet: Die beim Kunden eingesetzte Branchenlösung verlangt zum Zeitpunkt der Datensicherung, das niemand mit der Datenbank verbunden ist. Schattenkopie (VSS) o.ä. kennt diese Anwendung nicht. Eine Option wäre nun alle entsprechenden Prozesse zu beenden oder eben alle Benutzer abzumelden. Letzteres erschien als die bessere Lösung, da man Sie mit weiteren Befehlen kombinieren kann (siehe weiter unten) und man so sicher sein kann, das nicht doch etwas „hängen“ bleibt.

Seitens der Bordmittel von Microsoft gibt es den Befehl „logoff“ den man zum Abmelden verwenden kann, dieser erwartet allerdings die Angabe eines Sitzungsnamens oder einer Sitzungs-ID. Beides kann über den Befehl „query session“ („query user“ würde wahrscheinlich genauso funktionieren), ermittelt werden. Leider gibt es bei „logoff“ keine Wildcard, damit alle Benutzer auf einmal abgemeldet werden können.

Die Lösung

Mit AutoIt wurde ein Skript bzw. Tool entwickelt, das den Befehl „query session“ ausführt, aus der Ausgabe die Sitzungs-ID ermittelt und alle aktiven wie auch getrennten Sitzungen abmeldet.

Download (WTS-LogOff-AllUsers_v2.zip)

(64-bit Version [32-bit kann kompiliert werden], Quellcode)

Hinweise: Das Tool meldet die Benutzer ohne jede Vorwarnung ab! Führt man das Tool z.B. als Administrator aus, so wird dieser nicht abgemeldet. Wird das Tool mittels Aufgabe ausgeführt, so wird, sofern angemeldet, selbst der Benutzer abgemeldet, dessen Anmeldedaten für die Aufgabe verwendet werden!

Entwickelt und getestet wurde unter Windows 7 Professional 64-bit das mit einer entsprechenden Lösung zum Terminalserver gemacht wurde, beim Kunden ist ein Windows Server 2012 Standard (64-bit) mit RDS-Rolle im Einsatz. Andere Lösungen sollten ebenso funktionieren, sind allerdings nicht getestet.

Für den Fall, das man zunächst testen möchte, welche Sitzungen abgemeldet werden, kann im Quellcode die Zeile 68 auskommentieren und die Zeile 70 einkommentieren, dadurch wird das Abmelden deaktiviert und stattdessen erscheint eine MessageBox mit Sitzungs-ID, die abgemeldet werden würde.

Kombination mit weiteren Befehlen

Das hier vorgestellte Skript bzw. das daraus resultierende Tool kann z.B. mit den Befehlen

• change logon /disable (neue Anmeldungen verweigern) und
• change logon /enable (Anmeldungen wieder zulassen)

kombiniert werden. Man könnte folgenden Ablauf realisieren:

1. Neue Anmeldungen verweigern.
2. Alle aktiven oder getrennten Sitzungen beenden.
3. Datensicherung/Wartung/… durchführen.
4. Anmeldungen wieder zulassen.

Rechzeitig zum Support-Ende von Windows Server 2003 (inkl. Small Business Server 2003) und Exchange Server 2003 stellt EBERTLANG das PDF MDMigrator Guide – von Exchange zu MDaemon in wenigen Schritten für den MDaemon Messaging Server bereit.

Auf 11 Seiten wird Schritt-für-Schritt erklärt, welche Voraussetzungen notwendig sind, welche Vorbereitungen getroffen werden müssen und wie die eigentliche Migration abläuft um von einem Exchange Server 2003, 2007 oder 2010 zu MDaemon zu wechseln.

Persönliche Bemerkung

Ein paar Screenshots des Migration Guides stammen von diesem Blog (siehe entsprechende Copyright- und Quellen-Angaben). EBERTLANG hat im Vorfeld freundlich um Erlaubnis gefragt, die ich gerne erteilt habe. An dieser Stelle möchte ich mich für die gute Zusammenarbeit gedanken.

Eine Möglichkeit der Migration hatte ich ebenfalls vor längerer Zeit im Rahmen dieses Blogs beschrieben:

Windows: Migration von Windows Small Business Server 2003 zu Alt-N MDaemon Messaging Server Pro

Eine der Vorteile im Domänen-Netzwerk besteht darin, das der Administrator auf die administrativen Freigaben, z.B. „\\hostname\c$“, von Computer zugreifen kann. Ferner können Remote-Zugriffe auf die Registry oder das Ausführen einer Remote-Shell (z.B. („PsExec \\hostname cmd“) erfolgen.

Befinden sich die Computer allerdings in einer Arbeitsgruppe oder wenn es Computer in einem Domänen-Netzwerk gibt, die nicht Mitglied der Domäne sind (z.B. Außendienst-Notebooks), so funktionieren die genannten Möglichkeiten nicht.

Abhilfe schafft eine Änderung in der Registry:

• „regedit“ öffnen.
• Zu folgenden Schlüssel wechseln:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

• Einen neuen DWORD (32-bit)-Eintrag mit folgenden Werten erstellen:

Name: LocalAccountTokenFilterPolicy
Wert: 1

• Den Computer neustarten.

Windows-Firewall anpassen

Damit die Zugriffe erfolgreich sind, müssen diverse Regeln in der Windows-Firewall angepasst werden:

• Zugriff auf die administrativen Dateifreigaben (C$, D$ usw., gilt auch für das Ausführen von z.B. „PsExec \\hostname cmd“):

"Datei- und Druckerfreigabe (SMB eingehend)" aktivieren für "Privat"

Dies stellt (imho) die Minimal-Anforderung dar. Je nachdem auf was alles zugegriffen werden soll, müssen weitere Regeln angepasst werden.

Für die Zugriffe ist eine erfolgreiche Anmeldung (z.B. mit dem lokalen Administrator-Konto) notwendig. So muss z.B. beim Zugriff via Windows-Explorer entsprechend der Benutzername samt Kennwort angegeben werden:

computername\username
Kennwort

Die Angabe des Computernamens ist notwendig, da sonst der lokale Computername des zugreifenden Computers verwendet wird, i.d.R. scheitert dann die Anmeldung. Um MMCs nutzen zu können kann der Befehl „runas“ verwendet werden:

runas /netonly /user:computername\username mmc

Quelle

Microsoft Support – Error message when you try to access an administrative share on a Windows Vista-based computer from another Windows Vista-based computer that is a member of a workgroup: „Logon unsuccessful: Windows is unable to log you on“

WindowsPro – UAC-Filter für Windows-Fernwartung abschalten

VirtualBox 5 bringt viele interessante Neuerungen und Verbesserung. Eine Neuerung besteht darin, das man virtuelle Maschinen im Hintergrund ausführen kann.

Dieses Feature darf keinesfalls mit den Möglichkeiten von z.B. Hyper-V oder VMware verglichen werden, denn die virtuellen Maschinen werden im Kontext des Benutzers ausgeführt und nicht mittels eines Systemdienstes.

Daraus ergibt sich, das sobald der Benutzer sich abmeldet, die im Hintergrund laufenden Instanzen beendet werden. Meinem Test nach findet kein Herunterfahren oder Speichern statt, es wird der virtuelle Stromstecker gezogen!

Positiv ist, das man laufende virtuelle Maschinen in den Hintergrund versetzen kann, sofern diese ohne GUI oder abgekoppelt gestartet wurden und VirtualBox beendet werden kann, ohne das dies einen Einfluss auf die „Hintergrund-Maschinen“ hat.

DDNS-Anbieter gibt es so einige, leider stellten in der Vergangenheit immer mehr Betreiber ihren Dienst ein oder strichen die kostenlosen Angebote aus ihrem Portfolio. So mancher Anbieter geriert darüber hinaus in Schwierigkeiten mit der Justiz (z.B. No-Ip, wenngleich das Vorgehen von Microsoft fragwürdig war in diesem Fall) und weitere Anbieter, die zwar noch kostenlose Dienste anbieten verlangen eine monatliche Bestätigung, das man noch da ist (z.B. SelfHost).

Der Lüneburger Firewall-Hersteller Securepoint bietet mit SPDNS seit geraumer Zeit ebenfalls einen DDNS-Dienst an, der kostenlos ist und der Erfahrung nach bislang ohne Probleme funktioniert. Der Dienst kann von jedem kompatiblen DDNS-Client verwendet werden, man ist also nicht zwingend auf eine UTM des Herstellers angewiesen.

Um SPDNS mit einer pfSense nutzen zu können, muss man einen „Custom“-Dynamic DNS anlegen:

• Am Web-Interface anmelden.
• Auf „Services – Dynamic DNS“ klicken.
• Auf der Registerkarte „DynDNS“ auf das Plus-Zeichen klicken.
• Bei „Service type“ „Custom“ auswählen.
• Bei „Username“ den SPDNS-Hostname eintragen.
• Bei „Password“ das Update-Token eintragen.
• Im Feld „Update-URL“ folgende Zeile eintragen und anpassen („SPDNS-HOSTNAME“ entsprechend ersetzen):

http://www.spdns.de/nic/update?myip=%IP%&hostname=SPDNS-HOSTNAME

• Im Feld „Description“ einen Namen (z.B. SPDNS) eintragen.
• Auf die Schaltfläche „Save“ klicken.

Das erste Update wird sofort gestartet, danach bei jeder Änderung an der WAN-Schnittstelle, spätestens täglich um 01:01 Uhr via Cronjob. Möchte man ein Update manuell anstossen, den entsprechenden Eintrag editieren und auf die Schaltfläche „Save & Force Update“ klicken.

Auf der Registerkarte „DynDNS“ wird die aktuelle öffentliche IP-Adresse in der Spalte „Cached IP“ angezeigt. Ist diese grün ist alles ok, ist diese rot stimmen öffentliche IP oder DDNS-Hostname nicht überein.

Unter „Status – System-Logs“ auf der Registerkarte „System“ finden sich Meldungen vom DDNS-Dienst, dies kann hilfreich sein bei einer evtl. Fehlersuche.

Tipp: Die Ansicht nach „dyndns“ filtern, damit es übersichtlicher wird.

Quellen

SPDNS FAQ

pfSense Forum – Dynamic DNS mit spDNS

Mitunter kommt man nicht drum herum, einen Router hinter einen anderen Router anschließen zu müssen. Das kann z.B. beim sogenannten Router-Zwang der Fall sein oder bei entsprechenden Anschlüssen, wo Provider-Geräte die Einwahl bzw. die Verbindung regeln.

In Folge bekommt ein nachgeschalteter Router bzw. DDNS-Client nicht unbedingt mit, wenn die Verbindung z.B. im Rahmen der 24-Stunden-Trennung unterbrochen wird und erneut aufgebaut wurde und nun der Anschluss eine neue öffentliche IP-Adresse hat.

Beim Einsatz von pfSense mit Dynamic DNS in einem solchen Szenario kann man relativ beruhigt sein, den das System erkennt, ob an der WAN-Schnittstelle ein typisches privates Netz anliegt und prüft dann über einen externen Dienst (checkip.dyndns.org), welche öffentliche IP-Adresse gerade aktuell ist.

Leider ist es in der Voreinstellung so, das die automatische Prüfung bzw. Update per Cronjob nur einmal täglich um 01:01 Uhr ausgeführt wird. Abhilfe schafft das Ändern des Cronjobs. Am einfachsten geht dies mit dem installierten Package „Cron“ das unter „Services – Cron“ die Konfiguration zur Verfügung stellt:

Im Screenshot ist bereits der „DynDNS“-Job markiert und auf „Alle fünf Minuten“ geändert.

Hilfestellung bei der Konfiguration liefert der Wikipedia-Eintrag „Cron“.

Ein Geschäftskunde benötigte mehr Bandbreite, die Firma war die letzten Jahre gewachsen und da der Grossteil der Kommunikation (jenseits von Telefonie) via E-Mail und eCommerce stattfindet waren die Ansprüche in Sachen Performance gestiegen.

Bislang hatte der Kunde nur ein ADSL 2000 bei der Telekom, auf Anfrage was denn machbar wäre hies es lapidar, mehr geht nicht. Die Frage nach SDSL oder CompanyConnect wurde seitens der Telekom schon gar nicht mehr beantwortet.

Da der Kunde innerhalb des Gebäudes in dem er sich befindet umzog und folglich der Telefonanlagen- als auch DSL-Anschluss umgezogen werden musste, war ein Telekom-Techniker vor Ort. Dieser meinte zum Kunden: „VDSL mit 100 Mbit/s liegt drausen im Kasten, muss nur beschaltet werden. Beauftrag den Anschluss als Privatkunde und nicht als Geschäftskunde, dann klappt das“.

Gesagt, getan. Der Kunde hat seit ein paar Monaten nun einen entsprechenden Anschluss der bislang ohne Probleme läuft. Klar fehlen dem Anschluss respektive Tarif Geschäftskunden-Features wie Entstörung innerhalb von acht Stunden oder eine feste IP-Adresse, darauf kam es dem Kunden allerdings auch nicht an.

Kurios ist dieser Fall dennoch, wenngleich (leider) kein Einzelfall. Mich würde mal interessieren, warum das so ist. An der zugrundeliegenden Technik scheint es jedenfalls nicht zu liegen, da diese ja vorhanden ist und prinzipiell läuft.

In den vergangenen Tagen gab es gleich zwei Probleme mit Voicemail: Bei einem Kunden mit einer AVM FRITZ!Box von Kabel Deutschland streikte plötzlich der Anrufbeantworter. Dieser nahm zwar den eingehenden Ruf entgegen, spielte aber keine Ansage mehr ab, zeichnete nicht mehr auf und beendete das Gespräch nach einer Sekunde.

Ein Löschen und neu Anlegen des AB änderte nichts daran. Beim Löschen erschien kurz eine Fehlermeldung, die allerdings beim Refresh des Web-Interfaces bereits verschwunden war und im Protokoll fand sich leider gar kein Eintrag. Um zu prüfen, ob es nur diesen einen AB (Interne Nr. 600) oder Alle (>600) betraf, wurde ein Weiterer angelegt (dieser hat die Nr. 601) und siehe da, dieser lief wie es soll.

Ebenfalls ein Problem zeigte sich bei einer Auerswald-Telefonanlage, bei der ein Hinweistext (Voicemail die nach einer gewissen Zeitspanne, wenn keiner abnimmt anspringt) nicht mehr funktionierte. Auch dort tauchte das Problem unvermittelt auf. Ein löschen der Einstellungen dieser Voicemail-Box änderte ebenso nichts. Erst die Konfiguration einer bislang ungenutzten Voicemail und das entsprechende Ändern in der Rufverteilung halfen.

Heute (29.07.2015) ist der offizielle Startschuss für Windows 10. Im Vorfeld wurde bereits bekannt, das nicht alle ab diesem Tag das neue Windows erhalten. Action Pack-Abonennten haben bereits die Möglichkeit, die ISO-Dateien herunterzuladen und Produktschlüssel zu erhalten.

Laut Anzeige stehen die Downloads bereits seit dem 27.07.2015 zur Verfügung. Die Editionen mit einem „N“ enthalten wie gehabt keine Media Player, die mit einem „K“ sind spezielle koreanische Varianten und LTSB (Long Term Servicing Branch) gibt es nur bei Enterprise und enthält keinen EdgeBrowser als auch weitere Neuerungen. Diese sind speziell für Umgebungen gedacht, bei denen es nicht um neue Funktionen, sondern lange Zeit stabile Umgebungen geht (Mission critical, Revisionssicherheit, etc.).

Da bei Action Pack immer nur die letzten zwei Versionen eines Produkts bereitgestellt werden, ist mit dem Erscheinen von Windows 10 folglich Windows 7 herausgenommen worden. An dieser Stelle gibt es offenbar einen Bruch mit der bisherigen Regelung, da Windows 8 und 8.1 nach wie vor vorhanden sind.

Interessantes Detail: Bislang waren „nur“ die Pro-Versionen von Windows, neben den Servern, verfügbar. Nun steht die Enterprise steht Pro zum Download bereit. Ob ein Inplace-Upgrade möglich ist bzw. gelingt, müssen die Tests und/oder Praxis zeigen.

Beim Cisco SPA112 handelt es sich um einen Analog-VoIP-Adapter, der unter anderem in der c’t seine Erwähnung findet und gerne eingesetzt wird, um analoge Endgerät wie z.B. Fax-Gerät oder (schnurlose) Telefone an VoIP anzubinden.

In der Voreinstellung verwendet das Web-Interface kein SSL, wer dies aus Sicherheitsgründen geändert hat, bekommt unter Umständen seit geraumer Zeit keinen Zugriff mehr auf das Gerät. Hintergrund ist der sogenannte Poodle-Angriff auf SSL und die Folge, das die Browser (Internet Explorer, Firefox und Co.) alte SSL-Versionen deaktiviert oder gar ganz entfernt haben.

Bei Firefox kann man zwar via „about:config“ die alte SSL-Version reaktivieren, allerdings gelang der Zugriff immer noch nicht. Mit Google Chrome hatte man ebenfalls kein Glück, einzig der Internet Explorer 11 (unter Windows 8.1) spielte mit, nachdem ein paar Einstellungen geändert worden waren:

Die aktuelle Firmware 1.4.0 vom 28.Juli 2015 ändert nichts an der Thematik.

Beim Wortmann Terra Miniserver G2 handelt es sich um kleinen, kompakten Server für Unternehmen. Wir setzen den Miniserver bei einigen Kunden ein, anbei ein paar kurze Notizen dazu.

BMC oder IPMI melden Chassis Intrussion

Diese Meldung kommt dadurch zustande, das der Hersteller ab Werk den „CaseOpen“-Taster bzw. dessen Kabel nicht verbindet. Um das nachzuholen muss man das Mainboard ausbauen, um das Kabel aufstecken zu können, da es naturgemäss recht eng im Gehäuse zugeht. An welcher Stelle das Kabel angeschlossen werden muss findet man im Handbuch auf Seite 2-28.

Den Alarm wiederum kann man nur im BIOS unter „Event Logs – Erase Event Log – Yes, Next reset“ zurücksetzen. Ein Reset im BMC oder anderweitig scheint nicht vorgesehen zu sein.

RAID-Controller-Unterschiede – Nur bei Geräten mit entsprechendem Controller!

Während in der Vergangenheit ein Adaptec 6405 als RAID-Controller verbaut wurde, steckt mittlerweile ein 8405 drin. Dieser Unterschied muss beim Einsatz eines ZMM (f.k.a.BBU) beachtet werden, denn das AFM-600 passt nur für den 6405, beim neueren Controller wird das AFM-700 benötigt.

Daraus ergibt sich, das man vor dem Bestellen besser nochmal das aktuelle Datenblatt studiert. Uns ist es allerdings auch schon passiert, das wir seitens der Hotline eine veraltete Information bekommen haben und folglich was unpassendes geliefert wurde. Es scheint, als sei Wortmann-intern diese Änderung nicht überall bekannt.

Hardware überwachen

Um den Zustand der Hardware wie z.B. die Temperatur, Lüfter, Chassis Intrussion, Spannungen etc. überwachen zu können gibt es gleich mehrere Möglichkeiten. Zum einen kann man im BMC Alarme konfigurieren bzw. die Alarmierung via E-Mail oder SNMP. Das System ansich untersützt IPMI, so kann man mit entsprechenden Monitoring den aktuellen Status abfragen (z.B. mit Server-Eye und dem IPMI-Sensor). Zu guterletzt gibt es vom Mainboard-Hersteller ASUS noch die Lösung ASWM (ASUS System Web-based Management).

Es kann viele Gründe geben, wenn Windows-Dienste streiken. Zwei Möglichkeiten bestehen darin, das z.B. ein Virus (o.ä.) Dienste schlichtweg entfernt. Der Klassiker dabei ist das Sicherheitscenter, Windows-Defender und Windows-Update „verschwinden“ zu lassen. Eine weitere Möglichkeit besteht darin, das irgendwelche System-Optimierungs-Tools das Betriebssystem kaputt optimiert haben.

Bei einem Neukunden war durch einen länger zurückliegenden Schädlingsbefall gleich mehrere Dienste nicht mehr präsent. Namentlich ging es dabei um den „Intelligenter Hintergrundübertragungsdienst (besser bekannt als „BITS“), „Sicherheitscenter“, „Windows Update“ und „Windows-Firewall“.

Der erste Versuch mit Hilfe der Tipps unter

www.winhelp.us – Repair or reinstall Windows Update

brachte leider keine Hilfe. Der Import der entsprechenden Reg-Dateien von

Windows Eight Forums – How to Restore Default Services in Windows 8 and 8.1

und einem Neustart zauberten die vermissten Dienste wieder in die Dienste-Verwaltung. Mit dieser Methode haben wir bereits mehrfach gute Erfahrungen gemacht. Manchmal reicht das schon aus, um Dienste-Probleme zu lösen.

Leider lies sich die „Windows-Firewall“ mit der Meldung „Zugriff verweigert“ und/oder „Code 5″ nicht starten. Erste hilfreiche Hinweise lieferte

Deployment Unearthed – Windows 7 Firewall Service Will Not Start

Leider war das noch nicht ganz die Lösung. Den Rest erledigte dann

Tweaking.com – Windows Repair

in der Portable-Variante. Es wurden allerdings im normalen Betrieb nur die Registry-Reparaturen durchgeführt. Empfehlenswert ist mindestens ein Backup der Registry (erledigt das Tool automatisch per Voreinstellung) oder für den Fall der Fälle des gesamten Systems.

Nicht immer wird gleich ein kompletter Netzwerkschrank benötigt, um ein wenig Netzwerk-Equipment verstauen zu können. Bei einem Kunden bestand der Wunsch darin, das Patchpanel, Switch als auch Router unter einen Tisch montiert werden sollten.

Nach ein wenig Suchen sind wir dann im Katalog von secomp über das 19″ Tischrack von apraNET gestossen. Das war genau das, das wir gesucht hatten. Mit 4HE bzw. 4U (auf deutsch Höheneinheiten) bietet es genug Platz für die genannte Montage.

Zusammen mit einem Einlegeboden konnte der Router (der nicht 19″ fähig ist) als auch die USB-Festplatte der Datensicherung ordentlich untergebracht werden. Das Rack eignet sich auch für die „Auftischmontage“ z.B. für Test- bzw. Laborumgebungen oder für die Wandmontage. Käfigmuttern und Schrauben werden mitgeliefert, Schrauben oder Dübel für die eigentliche Montage an Wand, Beton, Holz, etc. hingegen nicht.

Alternative

Alternativ kann man das 19″ Montage-Rack von StarTech verwenden. Dieses gibt es mit 2HE und in schwarz, leider ist etwas teurer.

Eigentlich möchte man nicht unbedingt Outlook’s Sicherheitshinweise oder -warnungen automatisch bestätigt haben. Auf der anderen Seite gibt es Situation da geht es nicht anders. So auch bei etwas unterschiedlichen Fällen, aus denen ein kleines Tool entstanden ist.

Fallbeispiele

Bei einem Kunden erschien bei jedem Abruf der E-Mails als auch beim Versenden ein Sicherheitshinweis, dass der Zertifikatname nicht zur aufgerufenen Domäne passt. Die Meldung ist berechtigt, allerdings dank der Gegenbenheiten nicht zu ändern. Der E-Mail-Provider bzw. -Hoster sah sich nicht dazu in der Lage ein Zertifikat auf die Kunden-Domäne oder ein Zertifikat das mehrere Domänen enthält auszustellen.

Bei einem anderen Kunden wurde ein Sicherheitshinweis durch Microsoft Exchange – Autodiscover „provoziert“. In diesem Fall traf es einen Computer, der nicht Domänen-Mitglied ist, alle Versuche dies zu Regeln scheiterten allerdings.

Workaround

In beiden Fällen ist der Fenstertitel („Sicherheitshinweis“) als auch der anfängliche Text (jeweils die Domäne) gleich im Aufbau. Somit war es einfach mittels AutoIt einen workaround zu erstellen.

Download: AutoClickOutlookSecurityWarning.zip

Das Archiv enthält eine *.exe-Datei, die z.B. im Autostart oder via Aufgabe gestartet werden muss und dann im Hintergrund weiterläuft. Das Tool wartet bis ein Fenster mit dem Titel „Sicherheitshinweis“ und der in der *.ini-Datei konfigurierten Domäne erscheint und bestätigt dann automatisch die Schaltfläche „Ja“.

Der Quellcode liegt ebenfalls bei und ist entsprechend kommentiert.

Hinweis: Wir konnten das Tool bislang nur in den genannten Kundenszenarien testen. Als Umgebung kam Windows 7 mit Outlook 2010 zu Eimsatz.