Quantcast
Channel: Software – Andy's Blog
Viewing all 1830 articles
Browse latest View live

Windows: LGPLite Stream Engine reaktivieren

April 7, 2020, 8:23 am
$
0
0

Seit kurzem bin ich Besitzer eines AVerMedia LGP Lite GL310, um mit dessen Hilfe via HDMI z.B. von einem PC, Camcorder, DSLR (Spiegelreflexkamera), GoPro, etc. kurzum von allem was einen HDMI-Ausgang hat eine Aufzeichnung machen zu können.

Beim Herumspielen in Verbindung mit OBS Studio hatte ich allerdings irgendwie die „LGPLite Stream Engine“ als Quelle deaktiviert. Fortan wurde das Gerät nur noch als „AVerMedia C835 Capture“-Device angeboten. Das funktioniert zwar auch, allerdings ist dann die Auflösung reduziert.

Nach etwas Suchen fand sich dann die zugegebenermaßen einfache Lösung zum Reaktivieren:

  • Aus dem Ordner 
    C:\Program Files (x86)\AVerMedia\AVerMedia Stream Engine

    die „AVerMedia Stream Engine.exe“ ausführen.

  • Den Haken setzen bei „Enable Live Gamer Portable Stream Engine“.

Im Idealfall kann man am Beispiel von OBS Studio nun das Gerät wieder als Quelle auswählen. Unter Umständen kann es allerdings auch vorkommen, das man die Anwendung nochmal neu starten muss.

Hinweis: Die Einstellung wird anscheinend pro Benutzer gespeichert.


Ähnliche Artikel:

  1. Windows Server 2016: Windows-Fotoanzeige reaktivieren
  2. MS Office reaktivieren
  3. Windows: Transport Stream-Dateien werden nicht wiedergeben, woran kann das liegen?!
  4. Windows: Automatisch OpenVPN-Verbindung inkl. Anmeldung herstellen
  5. Windows 10: Alte Windows-Fotoanzeige reaktivieren
Search

3CX WebMeeting: Verdrehte WebCam-Vorschau (oder auch nicht)

April 7, 2020, 8:33 am
$
0
0

Bei der Vorbereitung für einen Beitrag und dem damit vorbundenen herumexperimentieren mit WebCam und weiteren Quellen fiel mir eine Kleinigkeit auf:

Im 3CX WebMeeting ist die Vorschau-Anzeige spiegelverkehrt:

Davon sollte man sich nicht irritieren lassen und schon gar nicht in der Quelle das Bild drehen/spiegeln lassen. Beim „Device Test“ ist die Ausrichtung ok, in der Anzeige des eigenes Bildes bei der eigentlichen Konferenz (rechts unten) ist sie gespiegelt.

Im Zweifelsfall immer mit einem weiteren Computer oder einem Smartphone prüfen, wie das Bild wirklich bei den Konferenz-Teilnehmern ankommt.


Ähnliche Artikel:

  1. 3CX WebMeeting mit mehreren Kameras nutzen
  2. Android: Das Smartphone als Webcam benutzen
  3. Windows 10: 3CX-WebMeeting mit Bild und Ton zulassen
  4. Mal schnell die Webcam testen
  5. Windows 8.1: PDF-Vorschau (re)aktivieren

3CX WebMeeting mit mehreren Kameras nutzen

April 7, 2020, 9:21 am
$
0
0

Gerade bei ausgedehnten Räumlichkeiten, verschiedene Blickwinkel, paralleler Übersetzung für Hörbehinderte (Gebärden-/Zeichensprache, Bild-in-Bild) oder moderierten WebMeetings bzw. WebKonferenzen kann der Einsatz von mehreren Kameras Sinn ergeben.

Vorbereitung und Installation

Per Default nutzt 3CX WebMeeting immer die am Computer angeschlossene Webcam. Über einen kleinen Umweg mit OBS Studio (Open Broadcaster Software) samt der kompakten Erweiterung OBS-VirtualCam ergeben viel mehr Möglichkeiten.

Die Installation von OBS Studio bedarf eigentlich keiner eigenen Worten. Herunterladen, ausführen, fertig. Beim ersten Start fragt der Einrichtungsassistent ob man primär Streamen oder Aufnehmen möchte. Da 3CX nicht als Streaming-Anbieter hinterlegt ist, wählt man an dieser Stelle primär aufnehmen aus.

Von der Einrichtung her ebenso simple ist OBS-VirtualCam. Während des Setups wird man gefragt, ob man vier oder eine virtuelle Kamera anlegen möchte. Das war’s dann auch schon.

Verschiedene Video-Quellen einbinden

OBS Studio bietet einiges an Möglichkeiten verschiedene Quellen sowie Medien einzubinden. Im Rahmen dieses Beitrags werden allerdings nur verschiedene Kameras betrachtet. Ob nun eine Kamera via USB, Netzwerk, HDMI(-Konverter) oder Browser erreichbar ist spielt keine Rolle, OBS Studio kann alle verwenden.

Am einfachsten ist die lokale USB-Kamera:

  • Im Abschnitt „Quellen“ auf das Pluszeichen klicken.
  • Auf „Videoaufnahmegerät“ klicken.
  • Ggf. bei „Gerät“ die Webcam auswählen.
  • Sofern notwendig bzw. geünscht die Auflösung und weitere Parameter einstellen.

Am Beispiel einer Instar-Netzwerkkamera gibt es gleich zwei Wege den rtsp-Stream zu verwenden:

  • Im Abschnitt „Quellen“ auf das Pluszeichen klicken.
  • Auf „Medienquelle“ klicken.
  • Den Haken entfernen bei „Lokale Datei“.
  • Bei „Eingabe“ die URL, z.B. rtsp://<Benutzername>:<Kennwort>@<IP-Adresse>, eintragen.

Alternativ funktioniert auch:

  • Im Abschnitt „Quellen“ auf das Pluszeichen klicken.
  • Auf „VLC-Videoquelle“ klicken.
  • Bei der „Wiedergabeliste“ auf das Pluszeichen klicken und „Pfad/URL hinzufügen“ auswählen.
  • Die URL, z.B. rtsp://<Benutzername>:<Kennwort>@<IP-Adresse>, eintragen.
  • Ggf. das „Sichtbarkeitsverhalten“ anpassen.

MJPEG-Streams wie beispielsweise von motionEye(OS) kann man so hinzufügen:

  • Im Abschnitt „Quellen“ auf das Pluszeichen klicken.
  • Auf „Browser“ klicken.
  • Die URL eintragen und die Auflösung anpassen.

Über einen HDMI-Konverter, wie z.B. dem AVermedia LGP Lite GL310, können zudem beispielsweise Camcorder, Spiegelreflex oder die beliebten GoPro ActionCams verbunden werden. Solange das jeweilige Gerät einen HDMI-Ausgang hat, kann es als Quelle dienen.

  • Im Abschnitt „Quellen“ auf das Pluszeichen klicken.
  • Auf „Videoaufnahmegerät“ klicken.
  • Ggf. bei „Gerät“ „AVerMedia C835 Capture“ oder „LGPLite Stream Engine“ auswählen. Letztgenanntes sollte eigentlich bevorzugt werden, um die Grenze von 720×480 Pixel zu überwinden. Im Test gab es allerdings nur einen schwarzen Bildschirm und im weiteren Verlauf wurde das Gerät auch gar nicht mehr angezeigt.
  • Falls nötig weitere Parameter anpassen.

Das Smartphone lässt sich ebenfalls als kabellose Webcam verwenden bzw. einbinden:

Als Grundlage dient dabei der Beitrag Android: Das Smartphone als Webcam benutzen.

  • Im Abschnitt „Quellen“ auf das Pluszeichen klicken.
  • Auf „Videoaufnahmegerät“ klicken.
  • Ggf. bei „Gerät“ „DroidCam Source 3“ auswählen.

Hat man die Quellen eingebunden kann man die Fenster wie gewünscht arrangieren. Mittels Szenen können verschiedene Varianten vorbereitet und abgespeichert werden. Szenen lassen sich zudem duplizieren, damit man nicht immer von vorne beginnen muss. Auf diese Weise können bestimmte Kamera-Kombinationen vordefiniert und dann während des WebMeetings bequem gewechselt werden.

OBS Studio mit OBS-VirtualCam in 3CX WebMeeting verwenden

Im OBS Studio die OBS-VirtualCam unter

Werkzeuge (T) - VirtualCam

aufrufen. Damit das Bild ggf. richtig dargestellt wird den Haken setzen bei „Horinzontal Flip“ und auf „Start“ klicken.

Tipp: Müssen nur einzelne Quellen gedreht oder gespiegelt werden, so kann dies nach deren Auswahl und unter

Bearbeiten - Transformieren

vorgenommen werden.

Im 3CX WebClient das WebMeeting starten und in den Einstellungen bei Kamera „OBS-Camera“ auswählen.

Handhabe

Hat man seine Quellen konfiguriert, kann man Diese wie gewünscht anordnen, mittels Tranformieren und Filter anpassen und in Szenen organisieren. Am Beispiel eines simplen Bild-im-Bild kann das so aussehen:

Ok, nicht hübsch, dafür selten 😉 Im übrigen „Live geschossen“, damit es Bildunterschiede gibt wurde mit einer Renderverzögerung gearbeitet. Die Großaufnahme stammt von einer GoPro Hero3 die mittels AVerMedia LGP Lite GL310 angebunden ist, das kleine Bild kommt von einer MS LiveCam 3000 die mittels Filter in der Größe beschnitten ist.

Tipp: Um nicht einfach „Blind“ das Live-Bild zu verändern bietet sich der Studio-Modus an. Dieser teilt die Ansicht von OBS Studio auf. Links die Vorschau, rechts Live. So kann man bequem die Quelle wechseln und dann überblenden. Dies wirkt dann gleich viel angenehmer als das schlichte harte Wechseln der Videos (oder sonstiger Quellen).

Achtung bei RTSP-Stream-Quellen: In der Vorschau werden diese per Vorgabe nicht angezeigt. Abhilfe schafft eine entsprechende Änderung pro Quelle:

  • Bei „Medienquelle“: Die Haken entfernen bei „Wiedergabe bei erneuter Quellenaktivierung neu starten“ und „Nichts anzeigen, wenn Wiedergabe endet“.
  • Bei „VLC-Medienquellen“: Bei „Sichtbarkeitsverhalten“ auf „Immer abspielen, auch wenn nicht sichtbar“ ändern.

Weitere Pluspunkte

Führt man mit OBS Studio den Mitschnitt durch erhält man, in Abhängigkeit der Einstellung versteht sich, eine wesentlich bessere Qualität als mit der Aufzeichnung von 3CX.


Ähnliche Artikel:

  1. 3CX WebMeeting: Großer Zuwachs durch Corona
  2. 3CX LinkTipp: Sie suchen eine E-Learning-Lösung? WebMeeting bündelt digitales Lernen, Präsentieren und Interagieren
  3. Windows 10: 3CX-WebMeeting mit Bild und Ton zulassen
  4. 3CX WebMeeting: Verdrehte WebCam-Vorschau (oder auch nicht)
  5. RaspberryPi, MotionEyeOS und Instar Kameras

Veeam Agent for Windows: Aus VeeamRecoveryMedia.iso nachträglich einen bootfähigen USB-Stick erzeugen

April 14, 2020, 8:29 am
$
0
0

Bei der Ersteinrichtung sowie bei Updates von Veeam Agent for Windows und natürlich jederzeit manuell kann man ein Wiederherstellungsmedium erzeugen. Hat man keinen USB-Stick zur Hand, kann dieses zunächst als ISO-Datei angelegt werden.

Möchte man nun nachträglich einen bootfhähigen USB-Stick erzeugen, kann man dies manuell mit dem entsprechenden Assistenten tun oder mit Hilfe des Tools Rufus.

  • Rufus starten.
  • Den USB-Stick auswählen.
  • Die passende „VeeamRecoveryMedia-<Computername>.iso“ auswählen.
  • Auf „START“ klicken.

Hilfreich ist dieser Weg immer dann, wenn man mehrere Arbeitsplätze oder Server sichert und die Wiederherstellungsmedien beispielsweise als ISO-Dateien auf einem NAS liegen hat. Im Bedarfsfall kann schnell und einfach das entsprechende Wiederherstellungsmedium erzeugen und von diesem Booten.


Ähnliche Artikel:

  1. Schnell und einfach einen USB-Stick für die Windows Server 2019-Installation erstellen
  2. Veeam Agent for Windows-Sicherungen belegen mehr Speicherplatz als eingestellte Aufbewahrungstage
  3. Windows: Veeam Endpoint Backup und Veeam Agent for Windows – Probleme mit .Net Framework 4.7
  4. Ein paar Notizen zu Veeam Agent for Windows
  5. Windows: USB-Stick bootfähig machen

Veeam Extract Utility: Virtuelle Maschinen aus dem Backup extrahieren

April 14, 2020, 9:55 am
$
0
0

Mit dem Veeam Extract Utility besteht die Möglichkeit ohne Installation von Backup & Replication virtuelle Maschinen aus einer Datensicherung zu extrahieren.

Das Tool kann im Veeam-Konto unter „Additional downloads“ für Windows und Linux heruntergeladen werden. Eine Installation ist nicht notwendig. Sowohl das Kommandozeilen-Tool als auch die grafische Oberfläche kann direkt gestartet werden.

Man wählt die gewünschte *.vib oder *.vkb aus, gibt einen Zielordner an und selektiert die virtuelle Maschine(n).

Leider kann man mit dem Extract Utility keine Dateien aus einer Datensicherung des Veeam Agent for Windows bzw. Linux extrahieren.


Ähnliche Artikel:

  1. Ein paar Notizen zu Veeam Endpoint Backup FREE
  2. VMware: Schnell Platz auf einem Host schaffen und alte virtuelle Maschinen platzsparend aufbewahren
  3. Ein paar Notizen zu Veeam Agent for Windows
  4. Windows: Veeam Endpoint Backup und Veeam Agent for Windows – Probleme mit .Net Framework 4.7
  5. Virtuelle Maschinen von Proxmox VE zu Hyper-V migrieren

Windows 10: Mit Drive Snapshot von MBR/Legacy auf GPT/UEFI umziehen

April 16, 2020, 3:35 am
$
0
0

Von einem leicht betagten und zudem angeknacksten Windows 10-PC sollte die Installation auf eine neue Hardware umziehen. Das Altsystem lief allerdings noch mit klassichem BIOS bzw. UEFI-Legacy, die neue Hardware ist allerdings „UEFI only“.

Somit ist ein simples Umbauen der SSD bzw. Klonen nicht möglich. Zusätzlich war noch die Anforderungen das System von der bisherigen 2.5″ SATA-SSD auf eine M.2 NVMe-SSD zu migrieren.

Der offizielle Weg führt beispielsweise über das Bordmittel MBR2GPT, anschließend müsste man dann die SSD immer noch irgendwie umkopieren. In diesem Fall ging es einfacher.

Mittels Drive Snapshot wurde die C-Partition vom Altgerät gesichert und anschließend der neue PC mit Hilfe des c’t-Notfall-Windows gestartet. Nun wurde schlicht die C-Partition wiederhergestellt. Bei der Wiederherstellung wurde die vorinstallierte C-Partition überschrieben.


Ähnliche Artikel:

  1. Drive Snapshot: Fehler 87 bzw. 57 beim Wiederherstellen der UEFI-MSR-Partition
  2. Drive Snapshot und UEFI
  3. Windows 8.1 und 10: Wiederherstellungslaufwerk um Drive Snapshot erweitern
  4. Windows-Installation auf VMware ESXi 5.0 Update 1 mit Drive Snapshot migrieren
  5. Windows 10: Von UEFI auf MBR umstellen

WSUS: Fehlende Update-Datei erneut herunterladen

April 16, 2020, 4:56 am
$
0
0

Bei einem Kunden scheiterte Reihenweise die Installation des Updates KB4549951. Auf den Windows 10-Arbeitsplätzen fand sich sowohl in den Einstellungen bei „Update und Sicherheit“ als auch im Ereignisprotokoll die Meldung, das ein Update nicht heruntergeladen werden konnte.

Auf dem WSUS war das Update allerdings genehmigt und vermeintlich vorhanden. In der Konsole wurde kein Fehler, mit Ausnahme das die Clients das genannte Update nicht installieren können, zu finden.

Um Rückschlüsse auf die eigentliche Update-Datei zu erhalten, kann man in der WSUS-Konsole mit der rechten Maustaste auf den entsprechenden Eintrag klicken und „Dateiinformationen“ auswählen. In der Spalte „Datei-URI“ wird die Adresse zum WSUS-Server samt dem Pfad angezeigt:

https://wsus.domain.tld:8531/Content/B8/B4B915F118A64152F6B81F6626E5FE955B8.cab

Dieser entspricht mit Ausnahme von „http(s)://<Servername>:<Port>/…“ dem Pfad im Dateisystem. D.h. die entsprechende *.cab-Datei findet man quasi an der gleichen Stelle:

C:\WSUS\WsusContent\B8\B4B915F118A64152F6B81F6626E5FE955B8.cab

Im konkreten Fall war die Datei sogar vorhanden, beim Versuch diese zu öffnen erhielt man allerdings eine Fehlermeldung. Ein Blick in das Protokoll des Virenscanner offenbarte, das dieser einen Trojaner in der Datei detektiert und diesen gelöscht hatte. Das Ganze ist (natürlich) ein False-Positive. Der Virenscanner wurde hinsichtlich des WSUS entschärft, so das nun nur noch Update-Datei neu geladen werden musste.

Die beschädigte Datei wurde gelöscht und das Update wurde abgelehnt. Selbst nach mehreren Durchläufen des Serverbereinigungsassistenten und anschließendem neu genehmigen sowie synchronisieren führten allerdings zu keinen erneuten Download.

Abhilfe schaffte dann der Einsatz des wsusutil. In einer Eingabeaufforderung folgende Befehle ausführen:

cd "C:\Program Files\Update Services\Tools"
wsusutil.exe reset

Die Befehle sind quasi sofort abgeschlossen. Im Hintergrund prüft der WSUS ob die Datenbankeinträge mit den vorhandenen Dateien übereinstimmen. Dieser Vorgang benötigt einige Zeit und erzeugt Last auf dem Server. Anschließend werden alle fehlenden Update-Dateien (nochmals) heruntergeladen. Auch dies dauert je nach Umfang und Internetverbindung durchaus seine Zeit.

Sind diese Vorgänge abgeschlossen sollte beim nächsten Updatedurchlauf auf den Arbeitsplätzen alles wieder ordnungsgemäss funktionieten. In diesem Praxisfall war es auch so.


Ähnliche Artikel:

  1. WSUS – Serverbereinigung nicht vergessen
  2. Windows: Den WSUS mit dem Local Update Publisher (LUP) aufbohren
  3. WSUS: Die Serverbereinigung bricht ab
  4. Windows: Zugang zum WSUS über WAN reglementieren
  5. WSUS: Computer wird nach Upgrade mit falschem Betriebssystem angezeigt

Windows 10: Mit MBR2GPT von MBR/BIOS/CSM/Legacy auf GPT/UEFI wechseln

April 16, 2020, 9:05 am
$
0
0

Mit Hilfe des Befehls MBR2GPT kann amn ein Windows 10 System von klassischen MBR-Partitionsschema das vom BIOS oder bei UEFI im Legacy-Mode unterstützt wird auf GPT und UEFI-only umstellen.

Damit der Vorgang erfolgreich durchgeführt werden kann, muss der betroffene Computer von einem Bootmedium aus gestartet werden oder die Festplatte bzw. SSD mit einem anderen Computer verbunden werden.

Wichtig: Bevor man irgendwelche der nachvollgenden Schritte durchführt unbedingt eine Datensicherung erstellen!

Am Beispiel des Windows 10-Installationsmediums (DVD, USB-Stick, ISO) sieht der Vorgang wie folgt aus:

  • Den Computer vom Installationsmedium starten.
  • Die Sprache auswähen bzw. bestätigen und auf „Computerreparaturoptionen“ klicken.
  • „Problembehandlung“ auswählen.
  • „Eingabeaufforderung“ anklicken.
  • Zunächst mit 
    mbr2gpt /validate

    prüfen, ob alle Voraussetzungen erfüllt sind.

  • Ist soweit alles in Ordnung mit 
    mbr2gpt /convert

    die Umwandlung durchführen. Dieser Vorgang nimmt einige Zeit in Anspruch, da unter anderem die Systempartition verkleinert wird und die für den UEFI-Bootvorgang relevanten Partitionen angelegt und weitere Schritte durchgeführt werden.
    Wie man im Screenshot sieht, konnte die Wiederherstellungsumgebung nicht migriert werden. Diesen Umstand löst man im Nachgang, dazu weiter unten mehr.

  • Die Rettungsumgebung kann nach der Eingabe von „exit“ und dem Auswählen von „PC ausschalten“ verlassen werden.
  • Nachdem der Vorgang abgeschlossen ist den Computer neustarten und im BIOS bzw. UEFI den Legacy-Mode, CSM o.ä. benanntes deaktivieren. Ggf. muss beim Startmedium noch der „Windows Boot Manager“ ausgewählt werden.
  • Sobald das installierte Windows wieder läuft können in einer Eingabeaufforderung mit erhöhten Rechten folgende Befehle ausgeführt werden um die vorigen Fehler bei der Konvertierung zu beheben: 
    reagentc /disable
reagentc /enable


Ähnliche Artikel:

  1. Windows 10: Mit Drive Snapshot von MBR/Legacy auf GPT/UEFI umziehen
  2. Windows 10: Von UEFI auf MBR umstellen
  3. VMware Workstation Player: Nach dem Boot direkt ins BIOS wechseln
  4. Windows 10 Upgrade: „Persönliche Einstellungen und Apps beibehalten“ ausgegraut
  5. HP 285 G3 – Windows 10 bootet nicht mehr nach BIOS-Update
Search

Windows: EFS-verschlüsselte Dateien finden

April 27, 2020, 11:20 pm
$
0
0

Bei einer gemeinsamen Server-Migration mit einem Kollegen stellte sich bei der Vorabprüfung des Altsystems die Frage, ob Dateien mit EFS verschlüsselt sind, denn in der CA waren entsprechende Zertifikate von ehemaligen Mitarbeitern zu finden.

Mit Bordmitteln lässt sich in der Eingabeaufforderung mittels

cipher /u /n

eine Auflistung aller auf dem System verschlüsselter Dateien erstellen. Die Ausgabe kann mit „> EFS-Dateien.log“ umgeleitet werden:

cipher /u /n > EFS-Dateien.log

Zusätzlich kann man den Parameter „/s“ (wie Suchen) verwenden und die Ausführung auf einen bestimmten (Unter-)Ordner eingrenzen:

cipher /s C:\Dokumente

Alternativ kann man Such-Tools wie Nirsoft’s SearchMyFiles verwenden:

Quellen:

ITPro Today – A Fast Way to Find EFS Folders and Files

superuser – How to list encrypted files in Windows 7?


Ähnliche Artikel:

  1. Windows: Mit Bat2Exe mal schnell Batch-Skripte in ausführbare Dateien umwandeln
  2. Windows Dateiserver: Sitzungen und geöffnete Dateien verwalten
  3. Windows: Mit Permadelete Dateien und Ordner sicher löschen
  4. Windows: Mit Robocopy nur nicht vorhandene Dateien kopieren
  5. Windows: Mit fileSPLIT Dateien aufteilen

3CX: Datensicherung auf SMB einrichten nicht möglich

April 29, 2020, 5:40 am
$
0
0

Seit Version 16 Update 4 unterstützt 3CX die Datensicherung auf ein SMB-Ziel (Windows, Samba). Bei der Einrichtung kann es einen kleinen Fallstrick geben.

Während in Windows-Umgebungen die Eingabe von z.B.

\\<Backup-Server>\<Freigabe>

funktioniert, streikt die gleiche Syntax (in angepasster Form) in der 3CX:

smb://<Backup-Server>/<Freigabe>

Man erhält lediglich die Meldung „Cannot connect to SMB“.

Es spielt keine Rolle ob man Hostname, IP-Adresse oder den FQDN verwendet. Des Rätsels Lösung besteht schlicht im Anhängen eines Schrägstriches („/“):

smb://<Backup-Server>/Freigabe/

Quelle:

3CX Forum – SMB Backup Location


Ähnliche Artikel:

  1. Windows: Personal Backup für die Datensicherung
  2. Windows-Datensicherung in eine VHD(X)-Datei
  3. Windows: Homepage-Datensicherung mit WinSCP
  4. Homepage-Datensicherung
  5. MySQL-Datensicherung

3CX: Vorsicht beim Verbinden zu externen Rufnummern und den ausgehenden Regeln

April 30, 2020, 7:48 am
$
0
0

Fasst man ausgehende Regel(n) zu eng, also das diese zum Beispiel nur für bestimmte Nebenstellen oder Gruppen gelten, kann es passieren das wiederum die Anlage an sich nicht mehr nach außen verbinden kann.

Wir hatten einen Fall, bei dem ein Kunde außerhalb der Geschäftszeiten statt auf eine Voicemail oder einen IVR auf ein externes Call Center die eingehenden Anrufe verbindet. Mit anderen Worten: Im Trunk war angegeben, das außerhalb der Geschäftszeiten an eine externe Rufnummer verbunden werden soll.

Soweit, sogut. Fatalerweise waren allerdings die ausgehenden Regeln auf eine bestimmte Gruppe festgelegt. Außerhalb der Geschäftszeiten geschah dann folgendes: Der Anrufer konnte nicht an das Call Center verbunden werden. In der Rufliste stand lediglich „Nicht angenommen“.

Da keine ausgehende Regel für die Anlage als solches galt konnte schlicht kein Weg für das Erreichen des Ziels gefunden werden. Die Anlage ansich ist zudem auch nicht Teil der „Default“-Gruppe. Daraus ergibt sich, wenn man solche Konstrukte hat, man zumindest eine oder mehrere Regeln haben muss, die für die Anlage gelten. Das heisst: Eine solche ausgehende Regel darf nicht auf eine bestimmte Nebenstelle oder Gruppe beschränkt sein.


Ähnliche Artikel:

  1. 3CX: Feiertagsansage wird ignoriert
  2. 3CX: Die PBX automatisch neustarten lassen
  3. Securepoint OS v11 – VPN-Benutzern eine IP-Adresse und Portfilter-Regeln zuweisen
  4. Doppelte Mails im Postfach? Regeln überprüfen!
  5. 3CX: E.164 über ausgehende Regeln umwandeln

Windows: „Verschwundene“ Objekte im Active Directory wiederherstellen

May 6, 2020, 6:48 am
$
0
0

Bei einer unfreiwillig „spannenden“ Server-Migration zusammen mit einem Kollegen eines SBS 2008 zu Windows Server 2019 Standard verschwanden plötzlich Benutzerkonten aus dem Active Directory.

Zunächst betraf es lediglich vier Benutzerkonten aus zwei OUs, dann teilweise weitere Konten aus der übergeordneten Benutzer-OU. Bewusst gelöscht wurde nichts, die Replikation sah zunächst ebenfalls gut aus, die Konten waren einfach weg.

Bei neueren Windows Server/Active Directory-Ausgaben hat man die Möglichkeit den Papierkorb zu nutzen, sofern aktiviert. Bei dieser recht alten Ausgangsbasis stand dies nicht zur Verfügung. Da die Migration bereits recht weit fortgeschritten war, erschien ein Rollback ungünstig, zumal der alte Server ohnehin bereits weitere Minuspunkte hatte.

Letztlich konnten die betroffenen Konten mittels AdRestore wiederhergestellt werden:

In einer Eingabeaufforderung mit erhöhten Rechten zunächst

adrestore

ausführen um eine Liste der gelöschten Objekte zu erhalten.

Tipp: Die Ausgabe in eine Datei umleiten („adrestore > output.log“).

Mit

adrestore -r <Name>

werden nacheinander alle Treffer für die Wiederherstellung angeboten.

Anschließend musste noch der Benutzername samt Domäne neu angegeben, das Kennwort gesetzt und das jeweilige Konto reaktiviert werden. Mitunter muss zudem die Gruppenmitgliedschaft korrigiert werden. Weitere Angaben wie z.B. E-Mail-Adresse etc. muss man neu ausfüllen.

Hauptsache das ursprüngliche Konto samt zugehöriger SID ist wieder da, denn davon hängt unter anderem die Nutzung des Benutzerprofils, Zugriffsrechte, WTS-Anmeldung, etc. ab.

Soweit Glück im Unglück, so musste das Projekt nicht abgebrochen oder gar ein Authoritative Restore des AD durchgeführt werden. Seltsam war das Ganze dennoch, in all den Jahren habe ich sowas noch nicht erlebt.

Erfreulicherweise kannte ich das Tool noch von einer längst vergangenen TechNet-Veranstaltung mit Nils Kaczenski (FAQ-o-matic) seinerzeit in der Microsoft-Niederlassung in Bad Homburg.

Quellen:

FAQ-o-matic – AdRestore (Suchergebnis)

Computerwoche – Sysinternals ADRestore – Wiederherstellung von Objekten im Active Directory

Stealthbits – Blog – How to Restore Deleted Active Directory Objects

Petri – Recovering Deleted Items in Active Directory


Ähnliche Artikel:

  1. Windows: Autorisierende Wiederherstellung der gesamten AD DS-Datenbank in Windows Server 2008 (R2)
  2. Windows: Active Directory-Migration von Windows Server 2012 Essentials zu Windows Server 2019 Standard
  3. Windows: MDaemon und Active Directory
  4. Windows: Active Directory-Migration von Windows Server 2003 auf Windows Server 2012 R2
  5. Windows: Active Directory von Windows Small Business Server 2003 zu Windows Server 2012 migrieren

Windows: DHCP-Server bei unterschiedlichen Sprachen migrieren

May 7, 2020, 9:56 am
$
0
0

Möchte man beispielsweise einen DHCP-Server von einem deutschen auf ein englischen Windows Server migrieren, stößt man spätestens beim Versuch die Daten auf dem Zielserver zu übernehmen auf ein Problem.

Zum Thema DHCP-Server migrieren gibt es bereits ein paar Einträge in diesem Blog (Suchergebnis). Der Klassiker mittels

netsh dhcp server export c:\dhcp.txt all

und

netsh dhcp server import c:\dhcp.txt all

funktioniert bis heute. Ebenso gut klappt es in der Powershell:

Export-DhcpServer -File C:\Migration\DHCPdata.xml -Leases -Force -Verbose

und

Import-DhcpServer -File C:\Migration\DHCPdata.xml -BackupPath C:\Migration -Leases -ScopeOverwrite -Force -Verbose

Das Ganze ist allerdings nur von Erfolg gekrönt wenn die Sprachversionen auf beiden Seiten identisch sind. Der Hintergrund dazu ist, das beim Export auch die Klassen ausgegeben werden und diese sind in der jeweiligen Systemsprache verfasst.

Eine schöne Anleitung wie man auf dem Quellserver die Klassen übersetzt findet sich hier:

IT from the field – DHCP migration between different server languages

Ein anderer Weg besteht darin, nur die eigentlich relevanten Daten wie Bereich, Optionen und Reservierungen zu übernehmen. Zu diesem Zweck auf beiden Seiten die aktuellen DHCP Server-Daten mit netsh (s.o.) exportieren.

Die Datei des Quellservers öffnen und die Zeilen von

# =====================================
# Bereich hinzufgen
# =====================================

bis

# =====================================
# Ende - Bereich hinzufgen
# =====================================

kopieren und in eine neue Datei einfügen. Unbedingt den DHCP-Server-Namen anpassen! Diese Datei auf dem Zielserver kopieren und mittels

netsh exec <Dateiname>

ausführen. Auf dem Zielserver wird der Bereich samt aller dazugehörigen Einstellungen angelegt. Die Ausgabe des vorigen Befehls auf etwaige Fehler hin untersuchen.

Anschließend den Bereich im bisherigen DHCP-Server deaktivieren und die Autorisierung aufheben. Zur absoluten Sicherheit noch den Dienst deaktivieren.

Auf dem neuen DHCP-Server den Bereich aktivieren, den Dienst Autorisieren und ein- bis zweimal den Dienst neustarten.

Grüße an den Kollegen aus Köln der diesen Beitrag inspiriert hat.

Quellen:

ChicagoTech.net – The request is not supported when import DHCP data


Ähnliche Artikel:

  1. Windows Server: DHCP-Datenbank sichern und wiederherstellen
  2. Dual DHCP DNS Server
  3. Windows Server 2012 R2: WSUS auf einen anderen Server umziehen
  4. Windows: DHCP-Server von Windows Server 2012 zu Windows Server 2016 migrieren
  5. Windows: DHCP-Server Migration

Veeam Agent for Microsoft Windows: Datensicherung kann nicht geöffnet werden

May 8, 2020, 3:39 am
$
0
0

Bei einem Kunden wird für die Datensicherung eines PCs Veeam Agent for Microsoft Windows FREE verwendet. Vor gerade einmal vier Wochen war diese Datensicherung bereits sehr hilfreich, da eine defekte Festplatte den Computer lahm legte. Beim jüngstens Service-Fall vor ein paar Tagen allerdings konnte diese nicht verwendet werden.

Aus der Datensicherung sollten ein paar Dateien wiederhergestellt werden. Allerdings konnten die letzten x Sicherungen weder am betroffenen PC noch an einem anderen PC geöffnet werden. Es erschien immer folgende Fehlermeldung:

"Die Eingabezeichenfolge hat das falsche Format"

Auf Duetsch findet man leider in Bezug zu Veeam leider nichts dazu. Anders sieht es aus, wenn man die englischen Fehlermeldung verwendet:

"The input string is in the wrong format"

bzw.

"Input string was not in a correct format"

Der ersten Treffer bezieht sich auf ein NAS als Ziel:

Veeam Community Forums – Input string was not in correct format

Veeam Community Forums – Error on file restore [Case 03627933]

In der Tat ist es beim Kunden so, das dieser PC auf einem Windows Server 2019 sichert. Allerdings testeten wir auch den Restore von einer USB-Festplatte aus, ebenfalls mit der genannten Fehlermeldung.

Nebenbei bemerkt: Eine gleichlautende Fehlermeldungen kann einem bei verschiedenen Vorgängen angezeigt werden. Bspwl. auch beim Verbindungsversuch in VMware-Umgebungen.

Lösen konnten wir das nicht. Zum Glück gab es noch eine ca. drei Wochen alte Drive Snapshot-Sicherung, die sich wiederum ohne Probleme öffnen lies und so die notwendigen Dateien wiederhergestellt werden konnten.

Da es schnell gehen musste, konnte der Fehler zunächst nicht weiter „erforscht“ werden. Nun ein paar Tage später schaute ich mir das Ganze nochmals an.

Hilfreich (zumindest für den Support) können die Logs unter

C:\ProgramData\Veeam\Endpoint

sein. So werden Protokolle während des Versuchs die Datensicherung zu Öffnen erzeugt. Eines davon ist folgendes:

C:\ProgramData\Veeam\Endpoint\FLR__<Computername>_\VeeamAgent.MountVm.Server.log

Dort fanden sich beispeilsweise folgende Zeilen:

[08.05.2020 12:09:41] < 8036> stg| Opening storage [J:\Backup\Veeam\Backup2020-05-04T120510.vbk] in read-only mode. Failed.
[08.05.2020 12:09:41] < 8036> stg| Closing storage file [HostFS://J:\Backup\Veeam\Backup2020-05-04T120510.vbk].
[08.05.2020 12:09:41] < 8036> cli| ERR |Failed to process method {Stg.OpenRead}
[08.05.2020 12:09:41] < 8036> cli| >> |Storage version [12] is not supported for read-only access.
[08.05.2020 12:09:41] < 8036> cli| >> |--tr:Failed to open storage for read access. Storage: [J:\Backup\Veeam\Backup2020-05-04T120510.vbk].
[08.05.2020 12:09:41] < 8036> cli| >> |--tr:Failed to open storage [HostFS://J:\Backup\Veeam\Backup2020-05-04T120510.vbk[]] for read access.
[08.05.2020 12:09:41] < 8036> cli| >> |An exception was thrown from thread [8036].
[08.05.2020 12:09:41] < 8036> cli| ERR |Failed to process {Invoke} command
[08.05.2020 12:09:41] < 8036> cli| >> |Details:
[08.05.2020 12:09:41] < 8036> cli| >> |Storage version [12] is not supported for read-only access.
[08.05.2020 12:09:41] < 8036> cli| >> |--tr:Failed to open storage for read access. Storage: [J:\Backup\Veeam\Backup2020-05-04T120510.vbk].
[08.05.2020 12:09:41] < 8036> cli| >> |--tr:Failed to open storage [HostFS://J:\Backup\Veeam\Backup2020-05-04T120510.vbk[]] for read access.
[08.05.2020 12:09:41] < 8036> cli| >> |Agent failed to process method {Stg.OpenRead}.

Zur Info: Das Laufwerk „J:“ ist eine USB-Festplatte. Vor allem die Meldung:

Storage version [12] is not supported for read-only access.

wirft dabei Fragen auf. Zunächst war die Vermutung naheliegend, das es ein Rechteproblem sein könnte. Allerdings ist auf dem Ordner sowie die Dateien Vollzugriff vorhanden.

Parallel zu dem ersten Protokoll wird ein zweites unter

C:\ProgramData\Veeam\Endpoint\FLRSessions\Windows\FLR__<Computername>_\VeeamAgent.MountVm.Client.log

erstellt. Darin fanden sich allerdings keinerlei Fehler oder Warnungen.

Ob ein Bare-Metal-Recovery möglich ist wurde nicht getestet. Die beteiligten Laufwerke sowie die Datensicherung sind nicht verschlüsselt, also kann es nicht daran liegen.

Die Angelegenheit bleibt also bis hierhin ungelöst und unverstanden. Schlimmer noch: Was nutzt eine Datensicherung, wenn man sie weder Öffnen oder Wiederherstellen kann?! Seltsam ist, das es zumindest wenige Wochen zuvor noch geklappt hat.


Ähnliche Artikel:

  1. Veeam Extract Utility: Virtuelle Maschinen aus dem Backup extrahieren
  2. Veeam Agent for Windows: Aus VeeamRecoveryMedia.iso nachträglich einen bootfähigen USB-Stick erzeugen
  3. Windows: Veeam Endpoint Backup und Veeam Agent for Windows – Probleme mit .Net Framework 4.7
  4. Veeam Agent for Windows-Sicherungen belegen mehr Speicherplatz als eingestellte Aufbewahrungstage
  5. Ein paar Notizen zu Veeam Agent for Windows

Windows Server: Keine automatische Vergabe von Laufwerksbuchstaben an USB-Festplatte(n)

May 10, 2020, 10:26 pm
$
0
0

Bei einem Windows Server 2012 R2 Standard wurden plötzlich keine Laufwerksbuchstaben mehr den wöchentlich wechselnden USB-Festplatten zugewiesen. Zuvor hatte dies jahrelang ohne jedes weitere ztun funktioniert.

Gelöst bzw. reaktiviert werden kann das Ganze mittels Eingabeaufforderung mit erhöhten Rechten und

diskpart
automount enable

Möchte man nur den Status von Automount abfragen genügt ein

diskpart
automount

Die Ausgaben sehen so aus:

C:\Users\Administrator>diskpart

Microsoft DiskPart-Version 6.3.9600

Copyright (C) 1999-2013 Microsoft Corporation.
Auf Computer: SRV01

DISKPART> automount

Die automatische Bereitstellung von neuen Volumes ist deaktiviert.

DISKPART> automount enable

Die automatische Bereitstellung von neuen Volumes ist aktiviert.

Der Lesart bei Uwe Sieber nach wäre Automount per Standard deaktiviert. Ich kann mich nicht Entsinnen das wir jemals bewusst oder unbewusst diese Funktion irgendwie/irgendwo de-/aktiviert hätten. Dieser eine Server war jetzt der Erste wo das nicht mehr funktionierte und der genannte Schritt notwendig wurde. Beim Vergleich mit einem anderen Server war diese Funktion aktiv. Sei’s drum, hauptsache geklärt und wieder etwas gelernt.

Quellen:

Uwe Sieber – Troubleshooting für USB-Sticks unter Windows XP (siehe „Windows Server“)

Uwe Sieber – USBDLM – USB Drive Letter Manager – Laufwerksbuchstaben-Manager für Windows

Microsoft Docs – Automount


Ähnliche Artikel:

  1. Windows: Mit DiskPart alle Laufwerksbuchstaben anzeigen lassen
  2. Windows 8: Dual-Boot und die Laufwerksbuchstaben
  3. Windows: Mit diskpart den Laufwerksbuchstaben eines optischen Laufwerks ändern
  4. Windows Server-Sicherung in VHD-Dateien mit unterschiedlichen Laufwerksbuchstaben
  5. Exchange Server 2010 – Automatische Weiterleitung zulassen
Search

Android: YouTube-Video im gesperrten Zustand (weiterhin) wiedergeben

May 17, 2020, 4:07 am
$
0
0

Bei YouTube eine Playlist oder einen (DJ-)Mix sowie LiveStreams wiedergeben ist mittlerweile normal. Das allerdings die Wiedergabe stoppt sobald das Gerät gesperrt wird ist mehr als störend. Abhilfe schafft die Wiedergabe im Hintergrund.

Am Beispiel des alternativen YouTube-Players NewPipe ist das ganz einfach:

  • Das gewünschte Video aufrufen und auf „Hinterground“ tippen.

Das war’s schon. Für weitere Apps und Alternativen finden sich nachfolgend die notwendigen Kniffe:

AndroidPit – How to play YouTube videos with the screen off


Ähnliche Artikel:

  1. Datenschutz: YouTube-Videos einbetten – Besser nicht
  2. Android: Alternative YouTube-App(s)
  3. Weltbild Tablet: Demo-Video zu Android 4.0
  4. Mit VidPlayVST Videos in DAW wiedergeben
  5. Android: Das Smartphone als Webcam benutzen

Newsletter und Rundschreiben mit Outlook versenden – Limits beachten

May 24, 2020, 11:36 pm
$
0
0

Möchte man einen Newsletter oder ein Rundschreiben per Mail versenden, so gibt es ein paar Punkte zu beachten.

Als Fallbeispiel dient der Wunsch eines Kunden, ein Rundschreiben an ca. 900 Empfänger zu versenden, erfolgen solle dies per Outlook.

Der Verfasser hat eine entsprechende generische Nachricht samt Anhang verfasst, es gibt also keine persönliche Anrede o.ä., das macht die Sache schonmal erheblich einfacher. Als Absender und Empfänger trägt man beispielsweise sich selbst ein, die eigentlichen Empfänger werden in BCC gesetzt.

Bevor man allerdings auf diese Weise versucht sehr viele Empfänger zu addressieren muss das eine oder andere Limit bedacht werden:

  • Outlook: Seitens Microsoft werden keine konkreten Limits angegeben. Erfahrungswerte zeigen allerdings, das es im Allgemeinen mit sehr vielen Nachrichten nicht unbedingt klar kommt, von daher sollten nur 100 – 500 Empfänger/BCC angegeben werden.
  • Mailserver: Betreibt man einen eigenen Mailserver, so greifen ggf. dort bereits die ersten Limits. Beispielsweise beim MDaemon Messaging Server ist als Vorgabe maximal 100 Empfänger voreingestellt. Dieser Wert kann verändert werden.
  • Provider: Last but not least muss der Provider noch mitspielen. Entsprechende dortige Limits können beispielsweise so aussehen:
    – max. 1000 E-Mails in 10 Minuten (bei SMTP)
    – max. 4000 Empfänger pro 10 Minuten (bei SMTP, Empfänger/CC/BCC)

Hinzu kommt eine maximale Anhanggröße (gilt auch für Outlook). Generell sollten keine großen Anhänge per E-Mail versendet werden. Auch kann das Rückstreuen von nicht-zustellbar Nachrichten ein gewöhnliches Postfach „zumüllen“, daher sollte überlegt werden ein eigenes für den Newsletter-Versand Postfach anzulegen.

Möglich ja, je nach Anforderung und Umfang sind allerdings spezielisierte Programme und entsprechende Anbieter sinnvoller. Vor allem wenn es darum geht Newsletter zu realisieren sollte an die Punkte Opt-In/opt-Out gedacht werden.

Quellen:

Microsoft Community – Limitations on BCC recipients??? or recipients in general

MDaemon – (FAQ) Too Many Recipients error (452)


Ähnliche Artikel:

  1. Outlook 2010 – Ewig schleicht die „winmail.dat“
  2. Outlook: Probleme mit Umlauten beim E-Mail-Versand
  3. Windows 10 mit Outlook 2010 – Senden an E-Mail-Empfänger funktioniert nicht
  4. Outlook: Per CLI eine neue E-Mail erstellen
  5. Microsoft Outlook 2016 – Probleme beim Versenden mit E-Mail-Anhang

MDaemon: (Weitergeleitete) Eingehende Mails automatisch verschieben und Spam-Mails dabei ausschließen

June 7, 2020, 11:01 pm
$
0
0

Aus historischen Gründen existiert mitunter noch eine alte Mail-Domain die eigentlich gar nicht mehr genutzt wird, aber selbst Jahre später noch Lieferanten und Kunden an alte Adressen Nachrichten versenden.

Existiert im MDaemon Messaging Server die alte Mail-Domain nicht mehr, sondern diese gibt es nur noch beim Mail-Provider und sollen alle dort ankommenden Nachrichten in einen bestimmten (Unter-)Ordner eines Postfaches der aktuellen Mail-Domain lässt sich das mit Hilfe des Inhaltfilters umsetzen.

Die Ausgangslage für diesen Beitrag ist ein entsprechendes Live-Szenario. Beim Mail-Provider werden alle Nachrichten die an die alte Mail-Domain gesendet werden mittels Weiterleitungs-Regel(n) an ein Postfach der aktuellen, wenn man so möchte neuen, Mail-Domain weitergereicht. Soweit, sogut.

Allerdings ist so nicht unbedingt leicht erkennbar, ob an die alte oder neue Mail-Domain gesendet wurde. Da man allerdings genau das Wissen möchte um den betreffenden Absender einen entsprechenden Hinweis geben zu können, sollten diese Nachrichten in einen eigens dafür vorgesehenen Ordner einsortiert werden.

Die einfachste Regel dazu sieht folgendermaßen aus:

Kurzum: Enthält der „TO Header“ eine bestimmte E-Mail-Adresse bzw. -Domain wird die Nachricht in einen bestimmten Ordner verschoben.

Damit das Ganze auch mit beim Mail-Provider weitergeleiteten Nachrichten klappt muss die Regel so aussehen:

Man muss einen benutzerdefinierten Header „X-Original-To“ verwenden, denn bei weitergeleiteten Nachrichten wird der „TO Header“ umgeschrieben.

Das funktioniert, hat allerdings den Nachteil, das auch als spam-markierte Mails (der Betreff beginnt z.B. mit „[***SPAM***“) ebenfalls in den Ordner verschoben werden.

Das Ganze lässt sich mit einer kleiner Erweiterung der Regel(n) lösen. An dieser Stelle kommen reguläre Ausdrücke zum Einsatz. Eine sehr gute Hilfe- sowie Testseite finden sich hier:

MDaemon – Hilfe – Sicherheit – Inhaltsfilter und AntiVirus – Der Editor für den Inhaltsfilter – Regeln: Nutzung Regulärer Ausdrücke in den Filterregeln

FREEFORMATER.COM – Regular Expression Tester

Man legt eine Text-Datei, z.B. mit Notepad, an und fügt folgendes ein:

REGEX:^\[\*\*\*SPAM\*\*\*

Nun editiert man die Regel(n), aktiviert

If the Subject HEADER does NOT contain any words from text file

und verweisst auf die zuvor erstellte Datei. Wichtig ist, das die Regeln via „und“ verarbeitet werden, denn es soll ja nur Greifen wenn die entsprechende Domain UND NICHT die Spam-Markierung zutreffen. Rein in Textform sieht so eine Regel dann so aus:

Apply this rule to messages in the LOCAL & REMOTE queue

If the userdef1:X-Original-To HEADER contains 'old-domain.de'
and If the Subject HEADER does NOT contain any words from text file 'C:\Scripts\MDaemon\Filter.txt'
...then copy message to folder "C:\MDaemon\Users\new-domain.de\support\INBOX.IMAP\old-domain.IMAP\"...
and delete this message

Übrigens: Im MDaemon in der Live-/Protokoll-Ansicht auf der Registerkarte „Sicherheit – Inhaltsfilter“ kann man gut erkennen, ob die Regeln greifen und welche auf die jeweilige Nachricht „matchen“:

Mon 2020-06-08 02:49:58.185: Content Filter processing c:\mdaemon\queues\local\md50000171489.msg...
Mon 2020-06-08 02:49:58.185: * Message return-path: <Absender>
Mon 2020-06-08 02:49:58.185: * Message from: <Absender>
Mon 2020-06-08 02:49:58.185: * Message to: <Epfänger>
Mon 2020-06-08 02:49:58.185: * Message subject: Ich konnte nicht widerstehen und vorbeigehen!
Mon 2020-06-08 02:49:58.185: * Message ID: <ID>
Mon 2020-06-08 02:49:58.185: Start Content Filter results
Mon 2020-06-08 02:49:58.187: * Message matched rule: 3 "Journal" (Hits: 109757)
Mon 2020-06-08 02:49:58.196: * Action: Message copied to directory
Mon 2020-06-08 02:49:58.214: * Message matched rule: 6 "ALT umleiten - X-Original-To" (Hits: 4405)
Mon 2020-06-08 02:49:58.214: * Condition: X-Original-To header contains [old-domain.de]
Mon 2020-06-08 02:49:58.214: * Condition: Did not match any words from C:\Scripts\MDaemon\Filter.txt
Mon 2020-06-08 02:49:58.222: * Action: Message copied to directory
Mon 2020-06-08 02:49:58.222: * Action: Message deleted (this action ends further rule processing)
Mon 2020-06-08 02:49:58.231: * Matched 2 of 14 active rules
Mon 2020-06-08 02:49:58.231: End of Content Filter results

 


Ähnliche Artikel:

  1. MDaemon: Spam automatisch in den Junk-E-Mail-Ordner verschieben lassen
  2. Spam-Mails beim Provider nicht annehmen, so das der eigene Mailserver sauber(er) bleibt
  3. Windows: MDaemon und SecurityPlus – E-Mails aus der Quarantäne verarbeiten
  4. MDaemon: Mit Regeln des Inhaltsfilters beim Emfpang Nachrichten verarbeiten lassen
  5. MDaemon: ClamAV deaktivieren

Spam-Mails beim Provider nicht annehmen, so das der eigene Mailserver sauber(er) bleibt

June 7, 2020, 11:27 pm
$
0
0

Idealerweise werden Spam-Mails schon gar nicht erst angenommen, eine der beliebtesten und sehr erfolgreichen Maßnahmen dabei ist das Greylisting.

Wird der eigene Mailserver sozusagen hinter einem Mail-Provider betrieben, d.h. dieser ruft die Nachrichten z.B. mit POP3 oder IMAP beim Anbieter ab, kann das Greylisting des Spamfilters des Mailservers nicht funktionieren.

Je nach Provider gibt es allerdings die Möglichkeit, Greylisting und andere Annahme-Filter zu aktivieren, ohne gleich ein gesamtes Arsenal an Filtern einschalten zu müssen.

Am Beispiel von All-inkl sieht das so aus:

  • Über das KAS das jeweilige Webmail des entsprechenden Postfachs öffnen.
    Hinweis: Beim Anlegen neuer Postfächer im KAS nicht den Spamfilter aktivieren, denn dies schaltet evtl. mehr ein als einem Recht ist.
  • Unter „Einstellungen“ auf „Spamfilter“ klicken.
  • Nur den Abschnitt „Annahme-Filter“ aktivieren.

Auf diese Art läuft man nicht Gefahr, das als spam-markierte Nachrichten im Postfach beim Provider sozusagen hängen bleiben und dann ggf. niemals oder zumindest sehr lange Zeit unentdeckt bleiben, gerade bei false-positives ist das ein Thema.

Aktiviert man mehr Filter und belässt das Verschieben in den Spam-Ordner müsste man regelmässig das Provider-Postfach auf evtl. erwünschte Nachrichten hin überprüfen.

Bei anderen Mail-Providern sind die Spam-Filter-Möglichkeiten unterschiedlich. Bei 1&1 IONOS zum Beispiel kann man (leider) nur eine Empfindlichkeit einstellen, aber es gibt keine Möglichkeit vorzugeben was dann geschehen soll (außer in den Spam-Ordner zu verschieben).


Ähnliche Artikel:

  1. MDaemon: (Weitergeleitete) Eingehende Mails automatisch verschieben und Spam-Mails dabei ausschließen
  2. Windows: MDaemon und E-Mail-Filter
  3. MDaemon: Anzeige von 500 Nachrichten pro Seite im WorldClient führt zum Abmelden beim Verschieben
  4. MDaemon: Spam automatisch in den Junk-E-Mail-Ordner verschieben lassen
  5. Windows: MDaemon und SecurityPlus – E-Mails aus der Quarantäne verarbeiten

Windows: (Zwingende) LDAP-Signierung für Active Directory

June 8, 2020, 2:42 am
$
0
0

Spätestens seit der Meldung Microsoft stellt Domaincontroller langsam auf LDAPS um bei heise vom 22.02.2020 kam etwas Unruhe auf, das mit einem zukünftigen Windows Update zwingend LDAPS im Active Directory benötigt wird.

Vorausgegangen war seitens Microsoft die Sicherheitsempfehlung ADV190023 | Anweisungen von Microsoft zum Aktivieren von LDAP-Channelbindung und LDAP-Signaturen vom 13.08.2019.

In der Zwischenzeit hat sich die Lage etwas entspannt, teilten die Redmonder doch am 10.03.2020 in einer Aktualisierung der zuvor genannten Empfehlung mit, das man bis auf weiteres keine Änderungen vornehmen wird.

Dennoch lohnt ein Blick auf das Thema LDAP-Signierung, Kanalbindung und LDAPS, geht es doch um die Sicherheit und damit man für etwaige zukünftige Änderungen gewappnet ist.

Konfigurierbar ist das Ganze über eine Gruppenrichtlinie, die ab Werk auf „Nicht konfiguriert“ steht und bislang unverschlüsseltes LDAP zulässt. Angedacht war mit dem Update eine neue Voreinstellung anzuwenden, auf die eigenen Bedürfnisse änderbar ist das Ganze dann nach wie vor.

Konkret geht es dabei um die Konfiguration von

Computerkonfiguration - Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen und Lokale Richtlinien - Sicherheitsoptionen - Domänencontroller: Signaturanforderungen für LDAP-Server

in der „Default Domain Controllers Policy“, ab Werk steht diese auf „Nicht konfiguriert“, via Gruppenrichtlinienverwaltung steht „Keine“ und „Erforderlich“ zur Auswahl. In der Registry sieht die Einstellung wie folgt aus:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NTDS\Parameters

Der Wert von REG_DWORD “ LDAPServerIntegrity“ kann folgende Werte haben:

  • 0 – Deaktiviert/Nicht konfiguriert. Der bisherige Standard bzw. bislang die Vorgabe.
  • 1 – Aktiviert/Signatur erforderlich.

Wen, wie und was genau es alles treffen würde lässt sich schwer abschätzen, hier ist pro Netzwerk Vorarbeit gefragt. So muss ggf. festgestellt werden, was alles LDAP nutzt, dazu weiter unten mehr. Zu Unterscheiden ist zudem ob man eine Domäne oder Arbeitsgruppe betreibt, letztere ist von der Änderung nicht betroffen.

Was ist mit Domänen-Mitgliedern?

Geht man vom aktuellen Stand, also Windows 8.x Pro/Enterprise und Windows 10 Pro/Enterprise sowie Windows Server 2012 mit und ohne R2 sowie neuer aus, sollte es zu keinen Schwierigkeiten kommen, sofern eine Domänen-weite Zertifikatsinfrastruktur bereits betrieben wird und somit die notwendigen Zertifikate sowie Vertrauen vorhanden ist.

Wird eine Zertifikatsinfrastruktur benötigt?

Gerade in (sehr) kleinen Umgebungen wurde bisher auf eine eigene Zertifikatsinfrastuktur verzichtet. Domänen-Controller stellen auch ohne CA ein eigenes selbst-signiertes Zertifikat aus, das für verschiedene Dinge verwendet wird. Clients vertrauen diesem Zertifikat allerdings nicht!

Man kommt also nicht umhin, eine CA (Rolle „Active Directory-Zertifikatdienste“) zu installieren und zu konfigurieren.

Der Vollständigkeit halber: Alternativ könnte man mit OpenSSL eine CA bauen oder eine externe Zertifizierungstelle verwenden. Dies sprengt allerdrings den Rahmen dieses Beitrags.

Was ist mit Nicht-Domänen-Mitgliedern?

Das können beispielsweise NAS und Drucker sowie Außendienst- und HomeOffice-Computer sein, die häufig kein Domänen-Mitglied sind. Ebenso VPN-Firewall-Router wie beispielsweise pfSense oder Securepoint UTM die die Benutzer gegenüber dem Active Direcoty authentifizieren.

Nicht-Domänen- bzw. Arbeitsgruppen-Computer melden sich gegenüber einem Windows Server nicht via LDAP an, sondern beim Zugriff auf die Ressource im Rahmen des jeweiligen verwendeten Protokolls. Als Paradebeispiel dient dabei ein Netzlaufwerk, die Anmeldung erfolgt mittels des SMB-Zugriffs, an dieser Stelle ist kein LDAP zwischen Client und Server im Spiel. Bei Remotedesktopverbindungen (RDP) sieht die Sache ähnlich aus.

Explizite LDAP-Zugriffe wie am Beispiel der genannten NAS-, pfSense- oder Securepoint UTM-Zugriffe sind da natürlich anders. Man muss dem jeweiligen Gerät dann das CA- sowie ein Client-Zertifikat zur Verfügung stellen und einbinden.

LDAP-Clients ermitteln

Bereits der heise-Artikel nennt Möglichkeiten um LDAP-Clients zu ermitteln, zusätzlich kann man beispielsweise mit SmartSniff die Zugriffe auf Port 389 beobachten.

Was tun, wenn LDAP zwingend benötigt wird?

Ideal wäre selbstverständlich wenn unverschlüsseltes LDAP nicht mehr verwendet wird. Ist das aufgrund von Legacy-Anwendungen nicht möglich, kann man dieses über die zuvor genannte Gruppenrichtlinie nach wie vor zulassen und man schränkt parallel dazu die Kommunikation mittels Firewall-Regel auf die betroffenen Geräte ein. Das mag zwar nun nicht das Optimum sein, aber besser als vorher alle Mal.

Wenn möglich kann man zusätzlich die Zugriffe durch ein VPN, stunnel, ssh und ähnliches schützen, damit der Datenverkehr dennoch verschlüsselt ist.

Links:

bl.ocks.org – Enable LDAP over SSL (LDAPS) for Microsoft Active Directory servers. (mit OpenSSL)

MS Tech Community – Step by Step Guide to Setup LDAPS on Windows Server (mit AD LDS)

MS Support – Aktivieren von LDAP über SSL mit einer Fremdanbieter-Zertifizierungsstelle

Microsoft Support – 2020 LDAP channel binding and LDAP signing requirements for Windows

Windows: Automatische Zertifikatverteilung (Certificate Autoenrollment) einrichten


Ähnliche Artikel:

  1. Securepoint OS v11 – SSL-VPN mit Active Directory-Anbindung
  2. Windows: „Verschwundene“ Objekte im Active Directory wiederherstellen
  3. Windows: Active Directory-Migration von Windows Server 2012 Essentials zu Windows Server 2019 Standard
  4. Windows: MDaemon und Active Directory
  5. Windows: Active Directory-Migration von Windows Server 2003 auf Windows Server 2012 R2
Viewing all 1830 articles
Browse latest View live
Search