Bei einem Kunden wurde die Firmware eines Igel Thin Clients vom Modell IZ2-RFX (D220) auf die aktuelle Version 10.05.500 aktualisiert. Leider funktionierte danach die Netzwerkverbindung nicht mehr.

Eine Fernverwaltung geschweige denn eine Anmeldung vom Thin Client am Terminalserver war nicht mehr möglich. Direkt an der Konsole des Geräts meldete das Netzwerk „no carrier“. Auf der Rückseite waren die LEDs der Netzwerkschnittstelle dunkel bzw. aus.

Bei diesem Kunden sind die Thin Clients am Switch-Port von snom 320-VoIP-Telefonen angeschlossen. Entfernte man das Telefon aus der Netzwerkverbindung, so klappte die Verbindung wieder. Offenbar vertragen sich die genannte Igel Firmware mit dem snom-Switch nicht.

Als Workaround wurde ein Downgrade der Firmware auf Version 10.03.570 durchgeführt. Damit lief zwar die Netzwerkverbindung wieder, dafür erschien nun in der RDP-Sitzung ein Laufwerk „A“ das vom Thin Client umgeleitet wurde. Gewollt und konfiguriert ist das nicht. Abhilfe hierzu schaffte das globale Deaktivieren des Laufwerks-Mappings. Das geht bzw. hilft natürlich nur, wenn dieses Feature nicht genutzt wird.

Via Suchmaschine konnte ich spontan zu diesen Schwierigkeiten nichts finden. Der Support ist informiert, mal sehen was da noch kommt.

Update 30.01.2019

Vom Support kam zum Laufwerk A folgendes:

„Wenn man im Setup unter Geräte – Speichergeräte – Hotplugspeichergeräte aktiviert und die Zahl der Laufwerke auf 1 oder höher setzt, wird standardmäßig ein Laufwerk A in der Sitzung angezeigt auss man ändert den Startbuchstaben ab (darunter).

Diese Konfiguration wird dazu verwendet Massenspeicher wie USB Sticks in die Sitzung zu nehmen.“

Ich hatte zwar testweise mal einen USB-Stick angesteckt, als mir dieses Laufwerk aufgefallen ist, durchgereicht wurde dieser allerdings nicht.

Zur Firmware kam dann noch dieses:

„der Client ist leider seit dem 31.12.2017 end-of-life und end-of-maintenance. Die letzte für diesen Client freigegebene Firmware ist die 10.03.100.“

Bei einem Testlauf eines Skript auf einem Windows 7 Professional 64-bit-Computer, das 22 neue Datensicherungen aus vorhandenen Voll- und Differenz-Sicherungen erstellen sollte (merge), kam es unerwartet zu Problemen. Seltsam war zunächst, das es bis vor ein paar Tagen noch klappte.

Der Fehler trat allerdings nicht immer an der gleichen Stelle oder mit den gleichen Sicherungen auf. Mal liefen zig Sicherungen durch, mal ging gar nichts mehr. Das Problem besteht darin, das die versteckte RAMDISK nicht mehr erstellt werden kann:

Beim gemeinsamen Testen mit Hr. Pawletta von Tom Ehlert Software fiel dann weiter auf, das auch das Mounten von Images zwar zuerst klappte, aber kurze Zeit später kein Inhalt der eingehängten Datensicherung mehr zu sehen war. Ein Backup von der eingehängten Sicherung war ebenfalls nicht möglich. Immer erst nach einem Neustart konnte wieder wie gewohnt vorgegangen werden.

Während des Telefonats dämmerte mir dann, das die letzte Änderung an dem System das Update auf VirtualBox 5.2.24 war. Vor dem Update lief das Ganze bereits erfolgreich. Naheliegend, das es in dieser Kombi wohl nun zu Schwierigkeiten kommt. Mit PoolMonEx wurde nach dem nicht-ausgelagerten Kernel-Speicher geschaut, dabei Stach an oberster Stelle „xoBV“ ins Auge. Danach im Netz gesucht stellt man fest, das dies wohl mit dem „VirtualBox Support Driver“, kurz „vboxdrv“, zu tun hat.

Jedenfalls wurde VirtualBox beendet und der Treiber mittels einer Eingabeaufforderung mit erhöhten Rechten auf den Starttyp „Manuell“ gesetzt:

sc config vboxdrv start= demand

Dann der Computer neugestartet und anschließend wieder getestet, leider ohne Änderung. Also in Sachen VirtualBox wieder Rolle rückwärts. Damit es irgendwie weiter geht, wurde kurzerhand eine virtuelle Maschine mit WinPE erstellt, die lediglich zum Durchführen der Eingangs erwähnten Drive Snapshot-„Mergerei“ dienen soll.

Das klappte soweit zunächst gut und das obwohl diese VM nur mit einer virtuellen CPU und 512 MB RAM versehen ist. Interessanterweise trat dort ebenfalls ein Fehler auf als von einer auf zwei virtuelle CPUs geändert wurde. Plötzlich konnte sporadisch der Drive Snapshot-Treiber nicht mehr geladen werden.

So recht erklären können wir es im Moment nicht. Möglich das es irgendwie an der Hardware oder einem Wechselspiel mit einem Treiber oder anderer Software liegt, wobei eigentlich fast nichts auf der Kiste drauf ist.

Für den Moment muss der Workaround mit der WinPE-VM als Drive Snapshot-System herhalten.

Kleiner Tipp zum Ende:

Führt man Drive Snapshot via Skript bzw. Aufgabe aus, unterbindet für gewöhnlich „-W“ das es bei einem Fehler oder am Ende „hängen“ bleibt. Mitunter reicht das alleine allerdings nicht, wie sich am Beispiel mit dem WinPE-Workaround gezeigt hat. Im Fehlerfall blieb Drive Snapshot in der VM mit einer grafischen Fehlermeldung, wie im obigen Screenshot zu sehen, stehen. Abhilfe schafft das zusätzlich Anhängen von „-Gx“ damit in jedem Fall Drive Snapshot beendet wird, ganz gleich ob erfolgreich oder nicht, ob via Batch, Aufgabe oder Grafisch ausgeführt, unabhängig von der verwendeten Shell bzw. Session.

Per Default versendet NextCloudPi mit dem in der Konfiguration von NextCloud angegebenen Absender via Sendmail/Postfix direkt per SMTP. Je nach Umgebung oder Provider funktioniert das oder eben auch nicht. In jedem Fall ist es besser, die Konfiguration auf die eigenen Bedürfnisse anzupassen.

Grundsätzlich gibt es mehrere Wege E-Mail in NextCloudPi zu konfigurieren. Der einfachste Anfang besteht in der Konfiguration der Absender-Adresse und ggf. der Methode in den Nextcloud-Einstellungen des Administrators. Unter

Einstellungen - Grundeinstellungen

befindet sich der Abschnitt „E-Mail-Server“. Dort kann man den Sendemodus (Sendmail/SMTP), den Sendmail-Modus und die Absender-Adresse konfigurieren. Stellt man den Sendemodus auf „SMTP“ kann anschließend direkt die Anbindung an den eigenen Mailserver oder den eines Providers erfolgen. Von hier aus kann zudem eine Testmail versendet werden.

Alternativ kann man direkt in der Konfigurationsdatei unter

/nextcloud/config/config.php

die entsprechenden Zeilen anpassen.

Als weitere Möglichkeit bietet es sich an, Postfix für die eigene Umgebung anzupassen:

dpkg-reconfigure postfix

Bemerkung: Nicht irritieren lassen darf man sich davon, das in den Nextcloud-Einstellungen nur von Sendmail die Rede ist, bei NextCloudPi ist Postfix installiert und greift an dieser Stelle.

Postfix – Richtigen Absender einstellen

Damit Mails nicht einfach als root oder root@hostname.domain.tld versendet werden, was nicht überall funktioniert, kann man eine neue Datei „/etc/postfix/sender_canonical“ mit folgendem Inhalt erstellen:

root name@domain.tld

In der Datei „/etc/postfix/main.cf“ folgendes einfügen:

sender_canonical_maps = hash:/etc/postfix/sender_canonical

Die Änderung in Postfix übernehmen:

postmap /etc/postfix/sender_canonical
service postfix restart

Postfix – Mails an root umleiten

Damit Mails die an root gesendet werden letztlich im richtigen (externen) Postfach landen, folgendes ändern:

Eine neue Datei „/etc/postfix/virtual“ mit diesem Inhalt erstellen:

root name@domain.tld

In „/etc/postfix/main.cf“ diese Zeile eintragen:

virtual_alias_maps = hash:/etc/postfix/virtual

Die Änderung in Postfix übernehmen:

postmap /etc/postfix/virtual
service postfix restart

Mails von Cronjobs steuern

Nervig können die Mails von Cronjobs sein. So prüft NCP beispielsweise stündlich, ob Updates anliegen. Selbst wenn nichts neues anliegt erhält man eine Mail das eben keine Aktualisierungen zur Verfügung stehen. Diese Nachricht lässt sich unterbinden durch diese Änderung:

Die Datei

/etc/cron.d/ncp-notify-updates

editieren und „> /dev/null“ an den Befehl anhängen. Letztlich muss die Zeile so aussehen:

40 */1 * * * root /usr/local/bin/ncp-notify-update > /dev/null && /usr/local/bin/ncp-notify-unattended-upgrade > /dev/null

Wen die täglichen Mails von debsecan stören, der kann das Skript unter

/etc/cron.d/debscan

entsprechend bearbeiten. Besser ist es allerdings mittels

dpkg-reconfigure debsecan

die tägliche Benachrichtigung zu konfigurieren.

Troubleshooting

Im Fehlerfall ist es hilfreich das Protokoll unter

/var/log/mail.log

zu prüfen.

Quellen:

GitHub – NextCloudPi – Wiki – Email settings

Ubuntuusers – Wiki – Postfix

askubuntu.com – Stop Postfix sending email to root@domain.local

SysAdminsLife – QuickTipp: Cron Daemon Mails deaktivieren – Cronjob ohne Ausgabe Email

Eigentlich ist das Action Pack von Microsoft eine feine Sache. Für einen jährlichen Obolus erhält man diverse Lizenzen für den eigenen Gebrauch. Man meldet sich an, zahlt, bekommt Zugriff auf die Lizenzschlüssel und die Downloads und los gehts.

Bereits in der Vergangenheit gab es immer wieder Schwierigkeiten bei der Verlängerung, immer gegen Jahrsende in unserem Fall, fürchtete ich bereits die „Verlängerungs-Aktion“. Sei es das ewig leidige Thema, das so manches nur mit den MS-eigenen Browsern Interner Explorer oder zuletzt eben Edge funktioniert und selbst da nicht richtig oder Probleme mit der Bezahlung oder nur mit Verrenkungen wie z.B. die Sprache ändern es weiter geht.

Vergangenes Jahr mit dem Wechsel auf die Azure-Plattform war dann das Chaos perfekt. Der Partner-Support meinte „jeder hat Probleme“. Nur mit Hilfe eines Hotline-Mitarbeiters und eines erzwungenen Windows 10-Computers, da man nur dort Fernbetreuung vom Support erhält, konnte das Partner-Konto auf Azure umgehoben werden.

Fairerweise muss ich dazu sagen, das bei uns noch ein Namenswechsel hinzukam. Der damalige Supporter meinte allerdings, das es bei dem Wechsel der Plattform diesbezüglich keine Probleme gibt, ganz im Gegenteil, es wäre die perfekte Gelegenheit den Namen anzupassen und auf der alten Palttform einfach alles zu lassen wie es ist. Das sah soweit gut aus, aber um ehrlich zu sein wäre ich nie auf die ganzen Schritte gekommen, wie mir zu diesem Zeitpunkt per Telefon und Fernbetreuung vorgegeben wurden. Einfach sieht anders aus.

Im Gegensatz zu früher kann man vorab das Abo nicht mehr verlängern. Vielmehr kann man nun innerhalb eines Zeitfenster nach dem Ablauf erst die Verlängerung bestellen. Also auf das Ablaufdatum gewartet und dann wie mir der Supporter mitgeteilt hatte die Verlängerung gekauft. Aber da kamen dann weitere Überraschungen.

An dieser Stelle die Anmerkung, das wir keine Firmen-Kredikarte haben, Microsoft bietet dafür dann nur noch Überweisung als Alternative an. Das hatte mal alles funktioniert, bis jetzt. Selbst nach Wochen gab es keine Proforma-Rechnung geschweige denn korrekte Angaben, was denn nun zu bezahlen wäre. Trotz Angabe der Ust.-ID war in den Bestelldetails immer „geschätze Steuer: 0,00 €“ angegeben. Witzig, Teil I.

Im Partner Portal Ticket eröffnet, selbst nach Wochen hat da niemand drauf reagiert. Partner Support angerufen, man wäre überlastet hieß es, auch oder gerade wegen der Azure-Umstellung. Der Supporter gab sich alle Mühe, forderte per Mail Screenshots usw. an. Gab sofern es ihm möglich war Rückmeldung. So gab es einmal die Mitteilung, man solle die Steuer-ID eintragen, denn dann würde die Steuer-Angabe ausgerechnet. Die war aber bereits drinnen, was die zuvor übermittelten Screenshots auch zeigten. Zur Sicherheit also nochmal den betreffenden Screenshot samt Markierung übermittelt. Witzig, Teil II.

In der Zwischenzeit kamen automatische Erinnerungsmails das man doch mal bezahlen sollte. Witzig, Teil III. By the way: Mit Witzig ist dabei selbstredend ironisch gemeint. Und ja, mittlerweile ist man von dem Thema schlichtweg genervt und man hat eigentlich zudem anderes zu tun. Nachdem ich die Faxen nun dicke hatte und im Gegensatz zu den vergangenen Jahren statt Stunden mittlerweile Tage/Wochen für die Verlängerung drauf gegangen sind, zogen wir Bilanz. Wo und wie werden Action Pack-Lizenzen verwendet und benötigen wir diese überhaupt.

Azure, Exchange, SQL Server (jenseits von Express), uvm. nutzen wir nicht. Diverse Test-Maschinen die mit Action Pack-Lizenzen installiert sind konnten sogar ganz eingemottet respektive platt gemacht werden. Die eigentlich produktiv-genutzten Lizenzen waren überschaubar und nach kurzer Durchrechnerei auf kurze über mittlere bis auf lange Sicht als Kauflizenz(en) schlichtweg günstiger als per jährlichem Abo. Vorausgesetzt man will nicht immer auf dem allerneuesten Stand sein. Jedes Jahr neues Office kaufen wäre in dieser Hinsicht nicht gut.

Daraus folgte dann die Stornierung der aktuellen Bestellung. Mal sehen ob MS wenigstens das hinbekommt. Zumindest im Partner-Konto war unter „Gekauft“ die Order schnell verschwunden. Fairerwaise wurde das offene Partner-Ticket durch uns mit dem Verweis auf die Stornierung geschlossen.

Persönlich finde ich es schon erstaunlich, das ein milliardenschwerer Konzern wie Microsoft es selbst nach Jahren nicht hinkriegt, das solche Dinge einfach laufen. Die NFR’s die wir von anderen Herstellern haben sind wesentlich einfacher zu bekommen, da braucht’s keine Stunden, Tage oder Wochen für und auch sonst keine grossartigen Verenkungen oder Aktionen. Dennoch macht das Action Pack durchaus Sinn, wenn man es entsprechend nutzt. Für uns hat sich dieses Thema jedenfalls erstmal erledigt.

Bei ecoDMS handelt es sich um ein mächtiges Dokumentenmanagementsystem. Darin sammeln sich im Laufe der Zeit mitunter zig tausende Dokumente als auch jede Menge Anpassungen z.B. für automatische Klassifizierung. Beides möchte man im Desasterfall nicht verlieren, daher ist eine Datensicherung unerlässlich.

Diese Notizen beziehen sich auf die Windows-Version, können aber vermutlich auch für Linux oder MAC unter Anpassung der Dienstnamen und Pfade angewendet werden.

ecoDMS bietet gleich mehrere Möglichkeiten zur Datensicherung an:

Manuelle Datensicherung mit One-Klick-Backup

One-Klick-Backup ist das Mittel der Wahl bevor man ein Update durchführt. In fast jedem Fall wird dieses Programm für die Wiederherstellung benötigt.

Automatische Sicherung mit mitgeliefertem Programm

ecoDMS bringt neben dem One-Klick-Backup das Konsolenprogramm „ecoDMSBackupConsole.exe“ mit, das mittels Skript oder Aufgabe ausgeführt werden kann.

Nachteil ist, das keine Option existiert, wie viele Sicherungen aufbewahrt werden sollen. Damit läuft man Gefahr, das Sicherungsmedium vollzuschreiben. Abhilfe schaffen z.B. solche Tools wie DelAge32 bzw. DelAge64.

@echo off

rem Konfiguration

 set destination=C:\Backup\ecoDMS
 set ecoDMSbinPath=C:\Program Files (x86)\ecoDMS GmbH\ecoDMS Server
 set tools=C:\Backup\Tools
 
rem Datensicherung ausfuehren

 "%ecoDMSbinPath%\ecoDMSBackupConsole.exe" "%destination%" best 2>%destination%\%date%.log
  
rem Alte Datensicherungen entfernen

 %tools%\Delage32\Delage32.exe %destination%\*.zip 8
 %tools%\Delage32\Delage32.exe %destination%\*.log 8

Leider gibt das Programm keinen Rückgabewert (Errorlevel) aus den man weiter auswerten könnte. Das Protokoll liefert ebenfalls keinen eindeutigen Hinweis auf (Miss-)Erfolg der Datensicherung.

Automatische Datensicherung mit integriertem Backup

Gegenüber der vorigen Methode glänzt die integrierte Datensicherung mit einfacherer Konfiguration, einem besserem Protokoll (für den Fall, das man es extern via Monitoring auswerten möchte) und einer E-Mail-Benachrichtigung. Zu finden ist die Konfiguration im ecoDMS-Client unter „Optionen – Einstellungen – Einstellungen – Sicherung“, den man als Benutzer mit Administratorrechten öffnen muss. Laut Support handelt es sich hierbei um die empfohlene Methode.

Datensicherung auf Dateiebene

Last but not least kann man auch auf Dateiebene eine Sicherung erstellen. Im Idealfall werden vorher die Dienste beendet und dann der Ordner

C:\ProgramData\ecoDMS

gesichert werden.

Die Wiederherstellung läuft dann ähnlich, d.h.

• ecoDMS installieren,
• die Dienste beenden und
• den Ordner(inhalt) ersetzen.
• Die Dienste wieder starten.

Einstellungen des Connection Manager sichern

Die Einstellungen des Connection Managers findet man in der Registry unter

HKCU\Software\Applord GmbH\ecoDMS - Profilmanager

Troubleshooting

Stellt man ecoDMS aus einer Datensicherung wieder her und es kommt dabei zu Fehlermeldungen die Unicode-Zeichen enthalten, so sollte man den Support kontaktieren, der das Problem lösen kann. Unicode-Zeichen haben in der Datenbank nichts zu suchen. Oft kommt es zu diesen, wenn das OCR versagt hat (Support-Aussage). Dies Betraf meines Wissens nach zuletzt Version 16.09.

Quelle(n):

ecoDMS – FAQ –  Backup & Restore – Beispiel zur Erstellung eines automatisierten Backups unter Windows (ecoDMS Version 14.08)

Leider gehört es zu den Übeln unserer Zeit, das nahezu ständig Zugangsdaten irgendwo entwendet und missbraucht werden. Ganze Sammlungen an Mail-Adresse- und Kennwort-Kombinationen geistern durch’s Netz, so das man selbst als ungeübter Aggressor leicht (weiteren) Schaden anrichten kann.

Zwei mögliche Anlaufstellen um zu prüfen ob Zugangsdaten, vornehmlich zum E-Mail-Postfach, in den bisherigen Leaks gefunden wurden finden sich hier:

have i been pwned?

HPI Identity Leak Checker

Leider muss ich zugeben, das vor nicht allzulanger Zeit eines meiner privaten E-Mail-Konten, natürlich das Älteste, geknackt wurde. Das Ganze fiel zum Glück schnell auf ohne das es bislang zu weiteren Schaden gekommen ist. Aufgeflogen ist das Ganze durch eine ominöse eBay-Auktion. Die „Show“ war allerdings schnell rum. Der oder die Angreifer hatten vermutlich nur 10 Minuten Zugriff auf das Postfach und stellten sich dabei auch nicht sonderlich geschickt an, außer bei eBay das Kennwort via „Passwort vergessen“ zu ändern und dort auf eine entsprechend platzierte Auktion zu bieten wurde scheinbar nichts weiter unternommen.

Da keine Umleitung oder Löschung der (eBay-)Mails erfolgte konnte ich das Ganze sozusagen live verfolgen und zeitnah eingreifen. Bei eBay wurde der Missbrauch via Hotline gemeldet, das Gebot und die Auktion waren damit erledigt. Das Postfach- als auch eBay-Kennwort wurde geändert und sicherheithalber wurden alle Zugangsdaten die mit dieser E-Mail-Adresse in Verbindung stehen überprüft und geändert.

Möchte man einen eigenen Messenger-Dienst installieren und nutzen, bieten sich solche auf Basis des XMPP-Standards an. Ein entsprechender Server ist Openfire an dem man dann Clients für Android, iOS, Linux, per WebApp oder Windows anbinden kann.

Zu beachten ist, das nicht alle XMPP-kompatiblen Clients jenseits von Text-Nachrichten miteinander können. Das gilt besonders wenn es um Emojis, die Übertragung von Bildern und Dateien oder weiteres wie Sprachnachrichten bis hin zu Audio- oder Videotelefonie geht.

Warum Openfire?

Der XMPP-Server Openfire ist leicht und schnell unter Linux, Mac und Windows zu installieren und wird via Browser verwaltet. Das macht es einfach den Server zu handhaben und lässt einem die Freiheit bei der Wahl des Betriebssystems. Die einzige Voraussetzung ist Java.

Openfire – Installation unter Debian 9 Stretch

Unter Linux kann man entweder das Original-Java von Oracle installieren oder auf die Alternative OpenJDK zurückgreifen. Letzteres kommt für diesen Beitrag zum Einsatz:

apt install default-jre

Ob bereits eine Java-Umgebung installiert ist und falls ja ob Original oder open source lässt sich mit

java -version

ermitteln. Openfire ansich befindet sich nicht in einer Paketquelle und muss von daher zunächst heruntergeladen werden:

wget https://github.com/igniterealtime/Openfire/releases/download/v4.2.4/openfire_4.2.4_all.deb

Die aktuelle Version und der dazugehörige Download-Link findet sich direkt im Download-Bereich der Macher oder auf GitHub:

ignite realtime – Downloads

GitHub – igniterealtime/Openfire – Releases

Sobald das aktuelle Installationspaket heruntergeladen wurde kann man dieses mit

dpkg -i openfire_4.2.4_all.deb

ausführen. Die Installation erfolgt rasch, so das man kurze Zeit später direkt im Browser fortfahren kann.

Erst-Konfiguration

Nach der Installation geht es direkt im Browser unter

http://<IP-oder-Hostname>:9090
oder
https://<IP-oder-Hostname>:9091

weiter. Man durchläuft zunächst einen Ersteinrichtungsassistenten, im Anschluss kann man direkt unter „Benutzer/Gruppen“ mit dem Anlegen von Benutzern beginnen.

DNS-Einstellungen

Idealerweise setzt man folgende Einstellungen im DNS:

XMPP – Wiki – https://wiki.xmpp.org/web/SRV_Records

Beim Test klappte es aber auch ohne nur unter Angabe der (öffentlichen) IP-Adresse oder des FQDN.

SSL/TLS-Zertifikat

Bei der Installation richtet Openfire ein selbstsigniertes Zertifikat ein. Bei der Nutzung von so mancher App wird zunächst nachfragt ob dem Zertifikat vertraut werden soll. Bei aufmerksamen Nutzern hält sich das Risiko für Man-in-the-middle-Attacken in Grenzen. Nichts destotrotz kann man (natürlich) auch auf Let’s Encrypt setzen. Getestet habe ich es nich, aber umsetzen bzw. ein vorhandenes Zertifikat liese sich wohl wie hier beschrieben importieren:

Using letsencrypt certs on Openfire

Firewall

Mit einem einzelnen (verschlüsselten) Port ist es leider nicht getan. Die Transportweg ist SSL/TLS-verschlüsselt, zusätzlich kann man, in Abhängigkeit des XMPP-Clients noch auf die Nachrichtenverschlüsselung mittels OMEMO oder OTR setzen.

Man sollte nicht die Adminkonsole in der Firewall zum Internet hin freigeben! Ebenso wenig sollten unverschlüsselte Ports freigegeben werden. Soweit möglich sollte zudem auf old-style- oder legacy-Verbindungen verzichtet werden.

Im Idealfall werden nur folgende Ports geöffnet:

• 5222/tcp XMPP (mit STARTTLS)
• 7443/tcp http-bind (over https)
• 7777/tcp File Transfer Proxy (Relevant für die Dateiübertragung, wenn die Benutzer sich nicht im gleichen Netzwerk befinden)

Sicherheit

Im Bereich Sicherheit wurde in Sachen SSL/TLS-Zertifikat als auch Firewall bereits ein wenig erwähnt. In Openfire ansich gibt es noch weitere Einstellungen die man setzen bzw. ändern kann.

Selbstregistrierung für Benutzer deaktivieren:

Server - Servereinstellungen - Registrierung & Anmeldungen (Registrierungseinstellungen) - Interne Kontenregistrierung auf "Deaktiviert" setzen

An gleicher kann und sollte man, wenn man schonmal da ist, die Anmeldemethoden ändern, allerdings streikt dann so mancher Client wie z.B. Pidgin wenn sowohl MD5 als auch Plain deaktiviert ist.

Einstellungen für unsichere Verbindungen sollte man dahingehend ändern, das diese auf verschlüsselte Verbindungen umgeleitet werden:

Server - Servereinstellungen - Client Connections

Jeweils unter „Advanced configuration…“ kann geregelt werden, das Verbindung keine, optional (wenn verfügbar, entspricht der Voreinstellung) oder immer STARTTLS verwenden. An gleicher Stelle kann man alte TLS-Versionen und Cipher Suites deaktivieren.

Weiteres / Sonstiges

Per Voreinstellung werden Offline-Nachrichten gespeichert, bis zur maximalen Größe des Speicherplatzes. Die Einstellung ist allerdings auf 100 KB pro Benutzer festgelegt. Bekommt man also ein Bild geschickt, während man Offline ist, klappt das schlicht nicht. Der Absender bekommt unschönerweise lediglich „Übermittlung“ fehlgeschlagen angezeigt. Ändern kann man das unter

Server - Servereinstellungen - Offlinenachrichten

Allerdings gelang es mir bislang nicht, diesen Wert zu ändern.

Quellen:

openfire – Installation Guide

Linuxize – How to install Java on Debian 9

TecAdmin.net – How to Install Java on Debian 9 (Stretch)

DigitalOcean – How To Install Openfire XMPP Server on a Debian or Ubuntu VPS

Seit vielen Jahren verwende ich nun schon Drive Snapshot und PsExec gemeinsam. Nun begegnete mir erst- und hoffentlich letztmalig das Problem, das sich die Datensicherung auf diese Art nicht starten lässt.

Das Kuriose ist, das sich PsExec erfolgreich verbindet, aber beim Aufruf der snapshot.exe dann schlichtweg nichts mehr passiert. Um aus diesem Zustand wieder herauszukommen hilft dann nur PsExec auf dem Ziel-Computer zu beenden und manuell zu löschen:

net stop psexesvc
sc delete psexesvc

Damit nun in Sachen Fehlersuche kein Faß aufgemacht wird, da es sich bei dem Ziel-Computer um Windows 7 handelt und dieser in absehbarer Zeit ohnehin abgelöst wird, musste eine andere Lösung gefunden werden. Diese besteht darin, die Datensicherung als Aufgabe anzulegen und dann via PsExec oder direkt mittels schtask anzutriggern.

psexec \\<Ziel-Computer> -u <Domäne\Benutzername> -p <Kennwort> schtasks /run /tn <Aufgabenname>

oder

schtasks /run /s <Ziel-Computer> /tn <Aufgabenname> /u <Domäne\Benutzername> -p <Kennwort> schtasks

Kommt es beim Verbindungsaufbau von einem Igel Thin Client z.B. zu einem Windows-Terminalserver zu einem schwarzen Bildschirm, kann man sich mit folgendem Workaround behelfen:

• „Strg + Esc“ bzw. „Ctrl + Esc“ drücken. Mit dieser Tastenkombination kommt man wieder auf den Igel Desktop.
• In der Taskleiste die fehlgeschlagene Verbindung mit der rechten Maustaste anklicken und „Close“ auswählen.

I.d.R. klappt der Verbindungsaufbau beim zweiten Versuch.

Der für die Spiegeln-Funktion im Igel UMS integrierte VNC-Viewer ist relativ rudimentär. Leider fehlt z.B. eine Option um auf die Anzeigengröße des Supporters bzw. Administrators zu skalieren, so das man mit unter recht viel hin und her scrollen darf.

Abhilfe kann leisten stattdessen einen anderen VNC-Viewer zu verwenden. Dieser ist zwar dann nicht direkt aus dem UMS heraus aufrufbar, erleichtert einem mitunter dennoch die Arbeit. Vom zu supportenden Thin Client benötigt man lediglich die IP-Adresse und das Kennwort.

Ich für meinen Teil greife dabei gerne auf den Viewer von TightVNC zurück.

Seit kurzem tritt bei einem Kunden das Problem auf, das gesendete Nachrichten mit einem Anhang der Größer-gleich 15 MB es zu einem Timeout beim Speichern kommt.

Die Nachricht als solches wird erfolgreich per SMTP versendet und kommt beim Empfänger auch an, nur das Abspeichern dieser Nachricht beim Absender in gesendete Objekte scheitert mit einer Fehlermeldung. DIes geschieht gleich auf zwei PCs, ist also nicht auf eine Maschine begrenzt.

Nachrichten mit kleineren Anhängen erzeugen wiederum keine Schwierigkeiten. Überraschenderweise klappte es beim Kunden mit seinem Glasfaser-Anschluss der Telekom nicht, während es bei uns mit einem VDSL 100 ohne Schwierigkeiten durchlief. Der Mail-Provider ist übrigens 1&1 IONOS.

Als mögliche Ursachen kommt so einiges in Frage:

• Virenscanner (sozusagen der Klassiker, ist aber in diesem Fall unschuldig)
• Verbindung (gemeint ist ein langsamer und/oder problematischer Internetanschluss, was in diesem Fall nicht zutrifft)
• Probleme beim Provider
• Probleme mit dem Router, z.B. Telekom Speedport, die „ungefragt“ Mailserver filtern oder aus einem anderen Grund Schwierigkeiten mit (IMAP-)Verbindungen machen

Da es bis vor wenigen Tagen beim Kunden noch ohne Schwierigkeiten lief, muss sich zwischenzeitlich irgendetwas verändert haben, nur das was ist nun die Frage.

Speziell bei Thunderbird kann man versuchen mittels der folgenden Einstellungen die Timeout-Schwelle hochzusetzen:

• Extras – Einstellungen – Registerkarte „Erweitert“ – Allgemein – „Konfiguration bearbeiten“.
• Die Sicherheitabfrage bestätigen.
• Nach „mail.server.server1.timeout“ suchen und von „29“ auf etwas Höheres, z.B. „120“, setzen. Leider lässt sich dieser Wert nicht mehr so ohneweiteres (dauerhaft) ändern, da er immer wieder zurückgesetzt wird, daher herausgestrichen.
  
• Nach „mailnews.tcptimeout“ suchen und auf einen höheren Wert, z.B. „1000“ oder „2000“, setzen.

Nach einiger Recherche kann man Anfügen, das solche Schwierigkeiten nicht auf Thunderbird oder einen bestimmten Anbieter beschränkt sind. So fand sich Dasselbe in Grün z.B. für Outlook.

Wir haben dem Kunden empfohlen, erstmal den Router neu zu starten und dann nochmal zu testen. Seitdem haben wir nichts mehr gehört.

Quellen:

Telekom hilft – IMAP Probleme: T-online mit Thunderbird

ProtonMail – Thunderbird: ‘Connection to server timed out’ error

Um mal schnell ein oder mehrere Bilder zu verkleinern muss man nicht gleich ein Grafik- oder Fotoprogramm starten. Schnell und einfach gelingt das Vorhaben mit dem Tool Image Resizer for Windows.

Nach der Installation kann man nachdem ein Bild mit der rechten Maustaste angeklickt wurde mittels „Bilder neu skalieren“ die Wunschgröße angeben:

Je nach ausgewählter Größe wird entsprechend eine neue Datei mit der Namenskonventation „<Originaldateiname> <Größe>.<Erweiterung>“ erstellt. Z.B.

01.png
01 (Klein).png

Die Namensgebung ist konfigurierbar. Die Originaldatei wird nicht verändert, außer man konfiguriert das Tool entsprechend. Eigene Größen lassen sich zudem einstellen. Mehrere Bilder können auf einen Schlag geändert werden, diese dazu Auswählen und wie zuvor beschrieben vorgehen.

Wie die Größe von Bildern beispielsweise mit Paint 3D und IrfanView verändert werden kann, wird hier gezeigt:

heise – tipps+tricks – Fotos verkleinern in Windows 10 – so geht’s

Kopiert man mit Robocopy ein Laufwerk, ist der Ziel-Ordner zunächst nicht sichtbar bzw. verschwindet aus dem Windows-Explorer sobald der Kopiervorgang startet.

Ursache für dieses Verhalten ist, das Robocopy die Attribute „System“ und „Versteckt“ auf den Ziel-Ordner anwendet und dadurch dieser in der Standard-Ansicht des Windows-Explorers folglich nicht mehr zu sehen ist.

Das manuelle Ändern der Attribute hilft nur, solange kein erneuter Robocopy-Durchlauf stattfindet. Damit automatisch die Attribute gesetzt werden, kann man sich mit einem kleinen Skript helfen. Anbei ein Beispiel aus der Praxis für den regelmässigen Abgleich von einem Daten- auf ein Backup-Laufwerk:

@echo off

set source=D:
set destination=E:\Backup\D
set exclude=VirtualBox

robocopy "%source%" "%destination%" /zb /copyall /mir /xd $RECYCLE.BIN /xd "System Volume Information" /xd "%exclude%" /xj /r:0 /w:0 /log:backup_d.txt /np /tee

attrib -S -H "%destination%"

Durch einen Blog-Beitrag von Mike Kuketz bin ich auf Blokada gestoßen, eine nette kleine App die auf einfache Weise Tracking und Werbung von Android fern hält.

Herunterladen kann man diese direkt auf der Anbieter-Seite oder z.B. bei F-Droid. Im  PlayStore gibt’s die App nicht, da sie ja gewissermaßen das Geschäftsmodell von Google, sonstigen Werbeanbietern und so manchen App-Ersteller torpediert.

Direkt nach der Installation kann man Blokada aktivieren und das war es dann im wesentlichen auch schon.

Bei den von mir getesteten Apps als auch Internetseiten erschien bislang keine Werbung mehr und die gewollten bzw. gewünschten Funktionen tun nach wie vor ihren Dienst. Sollte es dennoch mal irgendwo klemmen, kann man URLs auf die Whitelist setzen.

Für den Anfang kann es ganz interessant sein sich bei jeder Blockierung benachrichtigen zu lassen, dies ist sogar die Voreinstellung. Auf die Dauer ist das allerdings störend bzw. lästig.

Weitere Blacklists als auch andere DNS-Anbieter können aktiviert werden, das kann helfen, kann aber auch zuviel des Guten sein. Nebenbei bemerkt: Ein gerootetes Android wird nicht benötigt!

Generell kann man mit Firewall-Apps wie z.B. NetGuard (GitHub) und AFWall+ Apps komplett vom Internet abklemmen und hat mehr Optionen. Für schnell und einfach als auch passend für den gemeinen Anwender tut’s Blokada allemal.

Kurz notiert, da es mal eine entsprechende Anfrage gab: Ist die Sicherungsdatei von Windows Backup beschädigt, d.h. die eigentliche Datensicherung, kann man erstmal versuchen über Windows Backup ansich in die Sicherung reinzuschauen.

Gelingt dies nicht, wäre der nächste Versuch über die Datenträgerverwaltung und das Einhängen der VHDX. Hilfreich kann sein, wenn sich partout kein Laufwerksbuchstabe zuweisen lässt folgendes in einer Eingabeaufforderung mit erhöhten Rechten auszuführen:

diskpart
list volume
select volume "volume number"
volume clear nodefaultdriveletter

„Volume number“ ist dabei das Volume der einhängten Datensicherung.

Quelle: Microsoft TechNet Forums – mount vhdx file from Windows Server Backup 2012

Lässt sich die VHDX schon nicht mounten, könnte man z.B. mit 7-Zip versuchen rein zu schauen. In der Vergangenheit hat ein Kollege mal erzählt, er hätte eine Windows Backup-Sicherung mit Acronis öffnen können, ob das möglich ist bzw. stimmt kann ich leider nicht sagen.

Hat man soweit immer noch kein Glück gehabt, gibt es spezialisierte Tools wie z.B.

bitrecover – Windows Backup Viewer (Freeware, sozusagen nur Schauen, nicht anfassen) bzw. der große Bruder:

bitrecover – Backup Recovery Wizard (kostenpflichtig, Öffnen und Wiederherstellen)

Vor kurzem kam nebenbei bei einer Schulung die ich abgehalten habe die Frage bzw. das Thema auf, wie man aus dem SYSTEM-Kontext heraus einen Befehl oder ein Skript als anderer Benutzer ausführen könnte.

Hintergrund dieser Geschichte ist, das die dort verwendete Systems-Management-Lösung, genauer gesagt der Agent als SYSTEM-Benutzer läuft. Verwendet man stattdessen den Administrator gibt es Ungemach wie z.B. das der Administrator für bestimmte Dinge an- oder abgemeldet sein muss.

Die Frage hat mich nun beschäftigt und im Lab wurde ein wenig getestet. Da ich keinen Zugriff auf die Management-Software habe wurde der Aufruf als SYSTEM-Benutzer kurzerhand mittels

psexec -i -s cmd

simuliert. Der erste Gedanke, das man mit RunAs und Alternativen etwas Bauen könnte klappte nicht. Sowohl mit RunAs, miniRunAs als auch startas kam es immer zu einem „Zugriff verweigert“. Schätzungsweise gibt es für SYSTEM keine sekundäre Anmeldung. Mit AutoIt habe ich es gar nicht erst versucht, da ich annahm, das dort das gleiche Scheitern droht.

Als Plan B griff ich dann auf die Aufgabenplanung genauer ausgedrückt dessen Kommandozeile zurück. Damit kann man sich etwas „basteln“. Ein Skript, das im SYSTEM-Kontext ausgeführt wird, legt eine Aufgabe mit dem auszuführenden Benutzer an, führt diese Aufgabe aus und entfernt sie wieder:

@echo off
schtasks /create /tn "<Aufgabenname>" /tr "Pfad\Skript" /sc once /st 00:00 /ru "<Domäne\Benutzername>" /rp "<Kennwort>" /f /rl highest
schtasks /run /tn "<Aufgabenname>"
schtasks /delete /tn "<Aufgabenname>" /f

Die Parameter „/sc“ und „/st“ sind bei der Arbeit mit schtasks verpflichtend, seltsamerweise kann man via GUI Aufgaben ohne Trigger anlegen (und diese dann manuell starten).

Natürlich kann man die gewünschten Aufgaben auch per Hand in der GUI anlegen und dann nur noch ausführen lassen:

schtasks /run /tn "<Aufgabenname>"

Als weitere Möglichkeit bietet es sich an, Aufgaben auf einem Computer vorzukonfigurieren, zu exportieren und dann mittels Befehl bzw. Skript zu importieren:

schtasks /create /tn "<Aufgabenname>" /xml "Pfad\Dateiname.xml" /ru "<Domäne\Benutzername>" /rp "<Kennwort>"

Entgegen der Auskunft in der Hilfe von schtasks ist die Angabe von /tn“ und „/ru“ verpflichtend. Beim Import klappts dann auch mit Aufgaben ohne Trigger.

Einen Rückgabewert kann man so erhalten:

schtasks /query /tn "Aufgabenname" /v /fo list

„Letztes Ergebnis:“ sollte im Erfolgsfall „0“ und im Fehlerfall „1“ oder größer sein. Via „find“ und mit „exit“ könnte man den Rückgabewert dann sozusagen weiterleiten:

schtasks /query /tn "<Aufgabenname>" /fo list /v | find "Letztes Ergebnis: 0"
if %errorlevel%==0 set ExitCode=0
if %errorlevel% gtr 0 set ExitCode=1
exit /b %ExitCode%

Der Rückgabewert von „find“ wäre bei „0“ gefunden also alles ok, bei „1“ nicht gefunden also Fehler. Das ist allerdings nur ein simples Beispiel. Hinweis: Zwischen „Letztes Ergebnis:“ und der Zahl sind einige Leerstellen, diese fehlen hier.

Wichtig ist, das die Abfrage nicht sofort nach dem Ausführen durchgeführt wird, da dies zu Fehlern führt. Eine kurze Pause z.B. mit „timeout /t 2“ sollte schon sein.

Was fehlt ist sowas wie „start /wait“, also das auf das Ende der Aufgabe gewartet werden kann. Durch Abfragen des Aufgabenstatus liese sich dazu allerdings eine Schleife bauen.

Im Zuge des leidigen Themas (siehe hier [bei den Updates]), das ein virtualisierter Terminalserver nicht mehr ohne weiteres neustartet, nachdem es zu RDP-Verbindungsproblemen kam, musste eine hoffentlich nur vorläufige andere Lösung her, wie man den automatischen nächtlichen Neustart doch irgendwie lösen kann.

Bevor das Problem auftrat wurde schlicht mit einer Aufgabe innerhalb des virtuellen Computers um 04:00 Uhr in der früh der Neustart mittels

shutdown -r -f -t 0

ausgelöst. Seitdem das nicht mehr geht, wird das Ganze vom Hyper-V Host aus durchgeführt.

Die erste Skript-Version sah dabei so aus:

@echo off

rem Konfiguration

 set VMname=WTS02

rem VM herunterfahren

 start powershell Stop-VM -Name "%VMname%" -Force 

rem Pause

 timeout /t 360

rem Pruefen, ob die VM (immer) noch laueft
rem Falls ja, dann mit Gewalt (Restart-VM) neustarten.
rem Falls nein, normal (Start-VM) starten.

 ping "%VMname%" -4 -n 1 | find "TTL"

 rem Errorlevel:
 rem 0 ist Online
 rem 1 ist Offline

 if %errorlevel%==0 (
 powershell Restart-VM "%VMname%" -Force
 exit
 )

 if %errorlevel%==1 (
 powershell Start-VM "%VMname%"
 )

Man gibt dem virtuellen Computer erst noch die Chance normal herunterzufahren und anschl. neu zu starten. Ist der virtuelle Computer nach fünf Minuten immer noch anpingbar (was in diesem Fehlerfall wirklich noch funktioniert, nur alles andere nicht mehr), dann „zieh‘ ihm den Stecker“.

Das funktionierte aber nur sporadisch. Hyper-V bemängelte das der virtuelle Computer bereits in einem Status wäre und dieser nicht geändert werden könne. Dabei macht es keinen Unterschied ob man „Restart-VM“ oder „Stop-VM“ oder eine Kombi aus beidem verwendet:

Restart-VM : Der Status von "WTS02" konnte nicht ge„ndert werden.
Der Vorgang kann nicht ausgefhrt werden, solange sich dieses Objekt im derzeitigen Status befindet.
In Zeile:1 Zeichen:1
+ Restart-VM WTS02 -Force
+ ~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Restart-VM], VirtualizationException
+ FullyQualifiedErrorId : InvalidState,Microsoft.HyperV.PowerShell.Commands.RestartVM

Stop-VM : Der Status von "WTS02" konnte nicht ge„ndert werden.
Der Vorgang kann nicht ausgefhrt werden, solange sich dieses Objekt im derzeitigen Status befindet.
In Zeile:1 Zeichen:1
+ Stop-VM WTS02 -TurnOff -Force
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
+ CategoryInfo : InvalidOperation: (:) [Stop-VM], VirtualizationException
+ FullyQualifiedErrorId : InvalidState,Microsoft.HyperV.PowerShell.Commands.StopVM

Der Teil des Skript der mit einer Kombi versuchte den virtuellen Computer  herunterzufahren bzw. neu zu starten sind übrigens so aus:

setlocal enabledelayedexpansion

:loop

ping "%VMname%" -4 -n 1 | find "TTL"

rem Errorlevel:
rem 0 ist Online
rem 1 ist Offline

if %errorlevel%==0 (
taskkill /im powershell.exe /f
powershell Restart-VM "%VMname%" -Force
if !errorlevel! gtr 0 (
timeout /t 30
taskkill /im powershell.exe /f
powershell Stop-VM "%VMname%" -TurnOff -Force
if !errorlevel! gtr 0 goto loop
timeout /t 10 
powershell Start-VM "%VMname%"
)
)

if %errorlevel%==1 (
powershell Start-VM "%VMname%"
)

Die „taskkill“-Anweisungen waren zudem nötig, da auch die Powershell-Befehle hängen blieben.

Mitunter hing der virtuelle Computer dermaßen, das einem nur noch übrig blieb, den korrespondieren „vmwp.exe“-Prozess z.B. via Task-Manager oder Process Explorer abzuschießen. Nicht schön, aber auf alles andere folgte keine Reaktion mehr.

Damit nun Hyper-V von der Status-Änderung nichts mitbekommt und im Fehlerfall dann eben „Restart-VM“ funktioniert musste dies etwas anders gelöst werden. Mit dem nachfolgenden Skript wird zunächst die Herunterfahren-Anweisung direkt an das Betriebssystem innerhalb des virtuellen Computers gesendet, wenn das klappt ist alles gut, wenn nicht, dann wieder „zieh‘ ihm den Stecker“:

@echo off

rem Konfiguration

 set VMname=WTS02

rem VM herunterfahren
rem Bewusst nicht ueber Hyper-V Powershell, da es im Fehlerfall nicht weiter geht

 net use \\%VMname% <Kennwort> /user:WTS02\Administrator /persistent:no

 shutdown /m \\%VMname% /s /f /t 0

 net use \\%VMname% /d

rem Pause

 timeout /t 360

rem Pruefen, ob die VM (immer) noch laueft
rem Falls ja, dann mit Gewalt (Restart-VM) neustarten.
rem Falls nein, normal (Start-VM) starten.

 ping %VMname% -4 -n 1 | find "TTL"

 rem Errorlevel:
 rem 0 ist Online
 rem 1 ist Offline

 if %errorlevel%==0 powershell Restart-VM %VMname% -Force
 if %errorlevel%==1 powershell Start-VM %VMname%

Der Vollständigkeit halber sei erwähnt, es geht hier um einen stand-alone Hyper-V als auch stand-alone Terminalserver, mit anderen Worten: Arbeitsgruppe.

Grundsätzlich ist es keine schlechte Sache, das Windows (Server) nach einem ungeplanten Neustart wie z.B. bei einem Absturz, Stromsausfall etc. nach der Ursache fragt. Unschön ist das allerdings auf einem Terminalserver, bei dem dieser Frage bei jedem Benutzer erscheint.

Generell ausknippsen lässt sich das mittels GPO unter

Computerkonfiguration - Administrative Vorlagen - System - Ereignisprotokollierung für Herunterfahren anzeigen

Mitbekommen, das es einen ungeplanten Neustart gab kann man immer noch neben der Uptime über das Ereignisprotokoll:

Protokollname: System
Quelle:        Microsoft-Windows-Kernel-Power
Datum:         07.02.2019 04:01:11
Ereignis-ID:   41
Aufgabenkategorie:(63)
Ebene:         Kritisch
Schlüsselwörter:(70368744177664),(2)
Benutzer:      SYSTEM
Computer:      wts02
Beschreibung:
Das System wurde neu gestartet, ohne dass es zuvor ordnungsgemäß heruntergefahren wurde. Dieser Fehler kann auftreten, wenn das System nicht mehr reagiert hat oder abgestürzt ist oder die Stromzufuhr unerwartet unterbrochen wurde.

Eine elegantere Lösung statt komplett die Meldung zu deaktivieren hat Ryan Gallier von Citrixrc.com veröffentlicht:

Disable Shutdown Event Tracker for non-administrative users

Klassicherweise nutzt RDP den Port 3389 via TCP. Seit Version 8 (Windows 8.x/Server 2012 und neuer) kommt zusätzlich die Nutzung via UDP hinzu.

Grundsätzlich ist die Variante via UDP schneller und in der Regel wird das zu verwendete Protokoll zwischen Client und Server automatisch ausgehandelt (in der Firewall muss es natürlich ebenfalls freigeschaltet sein). Funktioniert das alles, ist es gut. Allerdings kann es je nach Netzwerkverbindung oder client-seitiger Implementierung zu Schwierigkeiten kommen, dann kann es Sinn machen, RDP nur via TCP zuzulassen. Das kann man über die Firewall regeln oder direkt am Terminalserver z.B. mittels GPO konfigurieren:

Computerkonfiguration - Administrative Vorlagen - Windows-Komponenten - Remotedesktopdienste - Remotedesktopsitzungs-Host - Verbindungen - RDP-Transportprotokolle auswählen

Zur Auswahl steht:

• UDP und TCP verwenden (Vorgabe/Standard)
• Nur TCP verwenden
• UDP oder TCP verwenden

Bei einem Kunden streikten die automatischen Office-Update von MS Office 2013 Home and Business. Leider gibt es bei der Klick-und-Los-Variante (engl. Click&Run) keine Updates die man via Windows Update, Microsoft Katalog oder anderweitig herunterladen und installieren könnte. Allerdings lies sich mit ein wenig Glück die Update-Funktion wieder reanimieren.

Zuerst z.B. aus Word heraus unter „Datei – Konto“ die automatische Aktualisierung de- und erneut aktivieren.

Dann in der Aufgabenplanung unter „Microsoft – Office“ die vorhandenen Aufgaben manuell anstarten.

Zuguterletzt in einer Eingabeaufforderung mit erhöhten Rechten folgenden Befehl ausführen:

"C:\Program Files\Microsoft Office 15\ClientX64\integratedoffice.exe" updatedetection

In diesem Fall poppte dann gleich ein Fenster von Office auf, das darüber informierte, das Updates eingerichtet werden. Mit dem Ressourcenmonitor und dem Ereignisprotokoll-Anwendung kann man verfolgen, wie Updates heruntergeladen und installierten werden.

Möglicherweise kann man irgendeinen Schritt auslassen. Bei diesem Computer half zumindest die genannte Kombination.

Quellen:

Microsoft TechNet – Forums – Manually triggering updates in Office 2013

Microsoft Docs – Updateverlauf für Office 2013