DKIM für mehr als eine Custom Domain in Office 365 aktivieren

Posted Veröffentlicht in Computer

Auch wenn es (noch) nicht weit verbreitet ist, habe ich mir angewöhnt in Office 365 neben dem dort vorgeschriebenen SPF-Record auch die beiden DKIM-Records für jede Domain anzulegen mit der E-Mails aus Office 365 verschickt werden.

Heute wollte ich zum ersten Mal DKIM für eine zweite Custom Domain in gleichen Office 365 Tenant aktivieren. An der Stelle, an der auf der DKIM-Seite im Exchange Admin Center normalerweise der „Aktivieren“ Link angezeigt wird, stand bei der zweiten Domain nur „Für diese Domäne sind keine DKIM-Schlüssel gespeichert„. Etwas Recherche hat mich zu einer TechNet-Seite geführt, auf der erklärt wird dass man für zusätzliche Custom Domains DKIM jeweils mit folgendem PowerShell Befehl aktivieren muß:

New-DkimSigningConfig -DomainName BeispielDomain -Enabled $true

Wenn bei der Ausführung dieses Befehle die beiden DKIM-DNS-Records schon korrekt existieren, ist DKIM für diese Domain anschließend aktiv. Ansonsten wird jetzt der zuvor fehlende „Aktivieren“ Link angezeigt.

Dieser Link zeigt übrigens (wenn die DKIM-DNS-Records noch nicht korrekt existieren) nach Klick in einer gelben Meldung den erwarteten Inhalt der etwas komplexen Records an. Das war bei den ersten Domains für mich sehr hilfreich.

Fehler bei Neuinstallation eines Macs vom USB-Stick

Posted Veröffentlicht in Computer

Ein älteres MacBook Pro (Late 2008) soll vor einem Verkauf gelöscht und neu installiert werden. Das letzte unterstützte Betriebssystem für diesen Rechner ist El Capitan (10.11), weshalb ich mir gemäß offizieller Anleitung einen bootfähigen USB-Stick mit El Captain erzeugt habe.

Das MacBook ist auch ganz normal von dem Stick hochgefahren, ich habe nach der Sprachwahl mit dem Festplatten-Dienstprogramm die „Macintosh HD“ formatiert und wollte anschließend die Neuinstallation von macOS starten. Nach einigen Sekunden brach diese aber mit der Fehlermeldung „Diese Version des Programms „OS X El Capitan installieren“ kann nicht verifiziert werden. Sie wurde beim Download möglicherweise beschädigt oder verändert“ ab. Eine Neuerstellung des USB-Sticks hat nichts an diesem Fehler geändert.

Die Lösung habe ich in einem Blog-Posting gefunden: Das El Captain Installationsprogramm ist mit einem Apple Entwickler-Zertifikat signiert, das am 14.02.2016 abgelaufen ist. Man muß deshalb im Terminal (über die Menüzeile zugänglich) das Systemdatum mit dem Befehl date mmddHHMMYYYY auf ein früheres Datum zurückstellen. Beispielsweise wird mit

date 020110102016

das Systemdatum auf 01.02.2016 10:10 Uhr gestellt. Nach dieser Änderung lief die macOS Installation problemlos durch. Im fertig installierten macOS sollte sich die Systemzeit dann automatisch auf das aktuelle Datum/Uhrzeit korrigieren.

Fehler „E-Mail-Adressen müssen eindeutig sein…“ in Office 365

Posted Veröffentlicht in Computer

Für einen Kunden habe ich zwei Domänen seinem Office 365 Konto hinzugefügt: firma.de und firma.cn. In einem ersten Schritt habe ich ohne Probleme ein ganz normales Postfach mit der Adresse mitarbeiter@firma.de angelegt. In einem zweiten Schritt wollte ich ein „Freigegebenes Postfach“ mit der Adresse mitarbeiter@firma.cn anlegen. Ein freigegebenes Postfach deshalb, weil der Mitarbeiter auch mit der zweiten Adresse als Absender E-Mails verschicken können soll.

Zuerst habe ich das auf der Office 365 „Start“ Seite versucht: Links in der Navigation auf Gruppen->Freigegebene Postfächer und dann auf den Button „Postfach hinzufügen“ geklickt, Name und gewünschte E-Mailadresse eingetippt und bestätigt. Es dauert einen kleinen Moment, dann erscheint die Fehlermeldung „E-Mail-Adressen müssen eindeutig sein, und diese wird bereits von mitarbeiter verwendet„. Nein, wird sie nicht! Ich habe noch keine einzige Adresse in der Domäne firma.cn vergeben!

Zweiter Versuch, diesmal im „Exchange Admin Center“: In der Spalte „Empfänger“ auf „Freigaben“ und dann auf das „+“ oberhalb der Liste geklickt. Name und gewünschte E-Mailadresse eingetippt und mitarbeiter@firma.de unter „Benutzer“ hinzugefügt und bestätigt. Auch hier dauert es wieder einen kleinen Moment, dann erscheint die Fehlermeldung „Die Proxyadresse „SMTP:mitarbeiter@firma.de“ wird bereits als Proxyadresse oder vom LegacyExchangeDN verwendet. Wählen Sie eine andere Proxyadresse aus„. Wieso mitarbeiter@firma.de? Ich versuche gerade mitarbeiter@firma.cn anzulegen!

Nach einiger Recherche bin ich auf den Grund gestoßen: Auf der Office 365 „Start“ Seite unter Setup->Domänen ist immer eine der dem Office 365 Konto hinzugefügten Domänen als „Standard“ festgelegt. Wenn ich jetzt versuche ein freigegebenes Postfach mit einer E-Mailadresse aus einer der anderen (nicht-Standard) Domänen anzulegen, wird diesem automatisch eine zusätzliche E-Mailadresse („Proxyadresse“) aus der Standard-Domäne hinzugefügt.

In diesem Fall ist firma.de die Standard-Domäne. Ich wollte ein freigegebenes Postfach mit der Adresse mitarbeiter@firma.cn anlegen, weshalb er diesem automatisch die Proxyadresse mitarbeiter@firma.de hinzufügen wollte. Die gibt es aber schon!

Die Lösung ist ganz einfach: Temporär die gewünschte Domäne als Standard-Domäne festlegen (dazu unter Setup->Domänen die gewünschte Domäne anklicken und dann oben auf den Button „Als Standard festlegen“ klicken), das freigegebene Postfach anlegen und die Standard-Domäne anschließend wieder auf die gewünschte Domäne zurückändern.

Umstellen von „verzögertem“ auf „aktuellen“ Kanal in Office 365

Posted Veröffentlicht in Computer

Wenn man bei Office 365 ein Abo hat das ein lokal installiertes Office beinhaltet, bekommt man in der Standardeinstellung immer eine 4 Monate alte und nicht die aktuelle Version von Office installiert.

Um dies zu ändern muß man im Office 365 Admin Center unter Einstellungen -> Dienste und Add-Ins -> Einstellungen für Office-Softwaredownloads von „Alle 4 Monate (verzögerter Kanal)“ auf „Monatlich (aktueller Kanal)“ umschalten.

Diese wirkt sich allerdings nur auf neue Installationen aus. Um vorhandene Installationen in den aktuellen Kanal zu bekommen müssen am Client ein paar Registry-Änderungen durchgeführt werden, die man am einfachsten von einem „Microsoft EasyFix“ durchführen läßt. Sofort nach dem Abschluß des EasyFix wird automatisch Office-Update gestartet und auf die aktuelle Office Version aktualisiert.

Adapter: DVI-DisplayPort oder DisplayPort-DVI?

Posted Veröffentlicht in Computer

Ein DisplayPort-Signal beinhaltet mehr Informationen (z.B. DisplayPort 1.2 Multi-Stream Transport (MST) für Daisy Chaining) als ein DVI-Signal. Deshalb kann man mit einem passiven „DisplayPort auf DVI“ Adapter immer nur DisplayPort zu DVI machen und nicht umgekehrt.

Ein Display mit DVI-Port per Adapter an einen Rechner mit DisplayPort betreiben geht.

Ein Display mit DisplayPort per Adapter an einem Rechner (oder einer Docking Station) mit DVI-Port betreiben geht nicht!

Fehler bei E-Mail aktivierten öffentlichen Ordnern in Office 365

Posted Veröffentlicht in Computer

Man erzeugt in der Web-Admin-Oberfläche von Office 365 einen neuen öffentlichen Ordner, E-Mail aktiviert ihn, gibt ihm eine E-Mailadresse, achtet darauf, dass in den Eigenschaften des neuen Ordners unter „Nachrichtenflusseinstellungen“ bei „Nachrichten annehmen von“ die Option „Allen Absendern“ gewählt ist und weiter unten „Authentifizierung aller Absender anfordern“ nicht aktivert ist. So wie man das von den (Verteiler-) Gruppen in Office 365 gewohnt ist.

Man schickt eine Testmail an den neuen Ordner und bekommt sie mit dem Fehler „550 5.4.1 Recipient address rejected: Access denied“ zurück.

Eine Google-Suche bringt schnell die Info, dass man mit Outlook in den Eigenschaften des neuen öffentlichen Ordners unter Berechtigungen dem Benutzer „Anonym“ die Berechtigung „Elemente erstellen“ geben muß, sonst kann er von externen Absendern nicht erreicht werden. Macht Sinn, ändert nur leider nichts an obigem Verhalten.

Nach einiger Suche bin ich dann auf einen Blogeintrag gestoßen, der die Lösung beschreibt: Man muß in der Office 365 Web-Admin-Oberfläche im „Exchange Admin Center“ unter Nachrichtenfluss/Akzeptierte Domänen in den Eigenschaften der betroffenen Domäne den Wert bei „Diese akzeptierte Domäne ist“ von „Autorativ“ auf „Internes Relay“ umstellen. Nur dann sind öffentliche Ordner per E-Mail erreichbar. Beim Bestätigen dieser Änderung kommt noch eine Warnung weil kein ausgehender Connector vorhanden ist, aber da es ja nur um die Erreichbarkeit von öffentlichen Ordnern geht ist dies kein Problem.

Nach dieser Änderung sind die öffentlichen Ordner sofort ganz normal per E-Mail erreichbar.

Site2Site VPN zwischen Fritzbox und SonicWALL

Posted Veröffentlicht in Computer

Nach langen Versuchen  ist es mir gelungen einen Site2Site-Tunnel zwischen meiner AVM FRITZ!Box 7390 (Fritz!OS 6.83) Zuhause und unser SonicWALL TZ 400 (SonicOS Enhanced 6.2.7.1-23n) im Büro aufzubauen.

Auf der Seite FRITZ!Box mit einem Firmen-VPN verbinden auf der AVM-Website wird beschrieben welche Voraussetzungen auf der Firmenseite (= SonicWALL) geschaffen werden müssen und was auf der Fritzbox unter „Internet/Freigaben/VPN/VPN-Verbindung hinzufügen/Diese FRITZ!Box mit einem Firmen-VPN verbinden“ eingestellt werden muß um den Site2Site-Tunnel aufzubauen. Es ist mir auch gelungen den Tunnel auf diese Weise einzurichten und aktiv zu bekommen. Der Knackpunkt war dabei der auf der Fritzbox angefragte „VPN-Benutzername(Key-ID)“. Dieser muß identisch sein mit der „Peer IKE ID (Key Identifier)“ auf der SonicWALL.  Auf der SonicWALL sah anschließend auch alles OK aus, aber auf der Fritzbox wird bei dem Tunnel trotz grünem Status sowohl „lokales Netz“ als auch „entferntes Netz“ mit „0.0.0.0“ angezeigt und es ist in keiner Richtung eine Nutzung (nicht mal Ping) möglich.

Also habe ich mir wie z.B. in diesem XING-Thread teilweise beschrieben, das Programm „Fritz!Fernzugang einrichten“ von der AVM-Website heruntergeladen. Nach dem Start habe ich die Option „Verbindung zwischen zwei FRITZ!Box-Netzwerken einrichten“ gewählt und dann in den beiden Schritten für die „FRITZ!Box 1“ meine „MyFRITZ!-Adresse“ (xxxxxxxxxxxxxxxx.myfritz.net) und ein beliebiges IP-Netz eingegeben (das bei mir Zuhause genutzte Fritzbox-Standardnetzwerk 192.168.178.0/24 ist an dieser Stelle nicht zugelassen). In den beiden Schritten für die „FRITZ!Box 2“ habe ich dann den FQDN der SonicWALL und die IP-Informationen des LAN im Büro eingetragen. Dadurch wurden zwei cfg-Dateien im Programmordner von FRITZ!Fernzugang erzeugt. Die Datei im mit meiner MyFRITZ!-Adresse benannten Ordner (also die für die lokale Fritzbox) habe ich dann noch wie folgt bearbeitet und letztlich verwendet:

  • use_nat_t = no; (war yes)
  • always_renew = yes; (war no)
  • key = „der_von_mir_gewaehlte_komplexe_und_lange_Key“;
  • ipaddr = 192.168.178.0; (im Bereich phase2localid; war die vorher eingegebene beliebige IP)
  • phase1ss = „LT8h/all/all/all“; (war „all/all/all“)
  • phase2ss = „esp-3des-sha/ah-no/comp-no/no-pfs“; (war „esp-all-all/ah-none/comp-all/pfs“)

Ich habe in der Fritzbox zuerst die von den vorherigen Versuchen vorhandene „VPN-Verbindung“ gelöscht und mit „Internet/Freigaben/VPN/VPN-Verbindung hinzufügen/Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren“ die bearbeitete cfg-Datei importiert, was länger als erwartet dauert (ca. 30 Sekunden). Was auffällt ist, dass die so erzeugte VPN-Verbindung nicht editiert werden kann. Der „Stift-Button“ fehlt bei importierten Verbindungen.

[Update] Die Möglichkeit andere IPsec Proposals zu verwenden habe ich in einem Blogeintrag gefunden, da diese Informationen nicht auf der AVM-Website dokumentiert sind. So wird z.B. ohne das vorangestellte „LT8h“ von der Fritzbox eine Lifetime von 1 Stunde verwendet. Und angeblich klappt ein von der Fritzbox veranlaßter Reconnect nur, wenn man für die Phase2 ein Proposal mit „…comp-no…“ verwendet. In einem anderen Blogbeitrag habe ich dann ein (älteres) Listing der Datei „/etc/default/avm/ipsec.cfg“ der Fritzbox gefunden, in der alle verfügbaren Proposals definiert sind.
Der Tunnel ist jetzt mit der beschriebenen Konfiguration (anonymisiert; „_.txt“ am Ende entfernen) seit mehreren Tagen stabil.

Auf der SonicWALL habe ich zuerst ein Address Object „Mein_Home_LAN“ (unter Netzwerk/Address Objects: Zone VPN; Network; 192.168.178.0; 255.255.255.0) erzeugt und dann unter VPN/Settings eine VPN-Policy mit folgenden Eigenschaften angelegt:

General

  • Policy Type: Site to Site
  • Authentication Method: IKE using Preshared Secret
  • Name: Mein_Home_Tunnel
  • IPsec Primary Gateway Name or Address: xxxxxxxxxxxxxxxx.myfritz.net
  • IPsec Secondary Gateway Name or Address: 0.0.0.0
  • Shared Secret: der_von_mir_gewaehlte_komplexe_und_lange_Key
  • Local IKE ID: Domain Name: Der FQDN der SonicWALL
  • Peer IKE ID: Domain Name: xxxxxxxxxxxxxxxx.myfritz.net

Network

  • Choose local network from list: X0 Subnet
  • Choose destination network from list: Mein_Home_LAN

Proposals

  • Exchange: Aggressive Mode
  • DH Group: Group 2
  • Encryption: 3DES
  • Authentication: SHA1
  • Life Time (seconds): 28800
  • Protocol: ESP
  • Encryption: 3DES
  • Authentication: SHA1
  • Enable Perfect Forward Secrecy: Nicht aktiviert
  • Life Time (seconds): 3600

Advanced

  • Alle Optionen auf der Seite Advanced: nicht aktiviert

Unter VPN/Advanced (global, nicht in den Eigenschaften der VPN-Policy) sind folgende Optionen gewählt:

  • Enable IKE Dead Peer Detection: aktiviert
  • Clean up Active tunnels when Peer Gateway DNS name resolves to a different IP address: aktivert
  • Alle anderen Optionen auf der Seite Advanced: nicht aktiviert

Veeam Backup mit wechselnden USB-Festplatten einrichten

Posted Veröffentlicht in Computer

Man kann in „Veeam Backup & Replication“ problemlos eine USB-Festplatte (sowohl lokal am Backup-Server als auch an einem Netzwerk-Client) als Backupziel („Repository“) einrichten. Da man üblicherweise mehrere USB-Festplatten verwendet und diese regelmäßig tauscht, muß man um Veeam-Fehlermeldungen zu vermeiden in den „Advanced“ Einstellungen des Repositorys die Option „This repository is backed by rotated hard drives“ aktivieren.

Das funktioniert dann auch erst mal, allerdings wird nach einigen Tauschzyklen die USB-Festplatte voll sein und das Backup entsprechend abbrechen. Das liegt daran dass Veeam – wenn es erkennt dass die USB-Festplatte getauscht wurde – mit einem FullBackup einen neuen Backupzyklus beginnt ohne die vorhandenen alten Backupdateien von der USB-Festplatte zu löschen. Die „alten“ Restore Points werden in Veeam nicht angezeigt, obwohl die dazugehörigen Dateien auf der USB-Festplatte vorhanden sind. Sie werden auch nicht im Lauf der Zeit durch die „Retention policy“ („Restore points to keep on disk“) gelöscht. Es bleibt einem also erst mal nichts anderes übrig als nach jedem USB-Festplattentausch die alten Veeam Backupdateien manuell zu löschen damit die USB-Festplatte nicht „volläuft“.

Dies gilt zumindest für normale „Backup Jobs“. Bei „Backup Copy Jobs“ verhält sich Veeam so wie man es eigentlich immer erwarten würde: Beim ersten Lauf nach einem USB-Festplattentausch werden in diesem Fall nur die geänderten Daten kopiert, um den aktuellen Stand wieder auf der USB-Festplatte zu haben.

In dem Knowledgebase Artikel KB1154 beschreibt Veeam einen Registry Key, der einem hilft dieses Problem zu umgehen: Wenn dieser Key existiert und einen der in dem Artikel beschriebenen Werte hat (sinnvollerweise ein DWORD mit dem Wert „3“), dann löscht Veeam auf einer als getauscht erkannten USB-Festplatte alle vorhandenen Backups bevor es mit einem FullBackup einen neuen Backupzyklus beginnt.

HKLM\Software\Veeam\Veeam Backup and Replication\ForceDeleteBackupFiles

Damit kann man ohne manuellen Eingriff einfach die USB-Festplatten tauschen. Allerdings verliert man so die Möglichkeit nach einem USB-Festplattentausch noch auf die alten Backups zugreifen zu können, worin ich aber kein Problem sehe.

Festplatte/USB-Stick per Command Line löschen

Posted Veröffentlicht in Computer

Manchmal läßt sich eine Festplatte einfach nicht mit dem dafür vorgesehen Programm („Festplattendienstprogramm“ unter macOS oder „Datenträgerverwaltung“ unter Windows) löschen/formatieren. Meistens treten solche Probleme mit den dazugehörigen nichtssagenden Fehlermeldungen auf, wenn man versucht das Format (NTFS/FAT32 ↔ Mac OS Extended) oder das Schema (MBR ↔ GUID) zu ändern oder wenn spezielle Partitionen (z.B. Recovery-Partitionen) auf der Festplatte vorhanden sind.

In diesen Fällen hilft es immer die Festplatte/den USB-Stick per Command Line zu löschen:

Unter macOS geht man dazu ins Terminal und läßt sich zuerst mit „diskutil list“ die vorhandenen Festplatten auflisten. Dann löscht man mit „diskutil erasedisk …“ die gewünschte Festplatte

diskutil list
diskutil eraseDisk JHFS+ The_Disk_Name /dev/disk2

Unter Windows öffnet man eine Eingabeaufforderung („cmd“), startet darin „diskpart“, läßt sich mit „list disk“ die vorhandenen Festplatten auflisten und wählt mit „select disk ..“ die gewünschte Festplatte aus. Dann löscht man mit „clean“ die gerade gewählte Festplatte.

diskpart
list disk
select disk 1
clean

Normalerweise ist die Festplatte danach in dem Zustand den man haben möchte. Falls man doch noch Änderungen an der Festplatte vornehmen möchte (z.B. von MBR auf GUID umstellen) kann man das jetzt problemlos mit dem dafür vorgesehenen Programm erledigen.

Lösung für Event 10009 (DistributedCOM)

Posted Veröffentlicht in Computer

Auf einem DomainController wird im Eventlog alle 1/2 Stunde der Event 10009 (DistributedCOM) mit folgendem Text angezeigt:

DCOM konnte mit dem Computer "xxxx" unter Verwendung eines beliebigen, konfigurierten Protokolls
   keine Daten austauschen.

In einem MSDN Blog-Posting habe ich einen Hinweis für die Fehlersuche gefunden: Der Domain Controller muß den PC nicht nur anpingen, sondern auch per Telnet auf Port 135 erreichen können.

Und das hat hier nicht funktioniert. Es hat sich herausgestellt, dass auf dem PC neben der Windows Firewall auch noch eine „McAfee Firewall“ aktiv war, die (ungewollt) zusammen mit der „McAfee Endpoint Protection“ (Nachfolger von „McAfee VirusScan“) installiert worden ist. Kaum hatte ich diese unnötige zusätzliche Firewall deinstalliert (und die Windows Firewall aktiviert), war der Zugriff vom Domain Controller über Telnet Port 135 möglich und der Event 10009 tauchte nicht mehr auf.