Umstellen von „verzögertem“ auf „aktuellen“ Kanal in Office 365

Veröffentlicht am Veröffentlicht in Computer

Wenn man bei Office 365 ein Abo hat das ein lokal installiertes Office beinhaltet, bekommt man in der Standardeinstellung immer eine 4 Monate alte und nicht die aktuelle Version von Office installiert.

Um dies zu ändern muß man im Office 365 Admin Center unter Einstellungen -> Dienste und Add-Ins -> Einstellungen für Office-Softwaredownloads von „Alle 4 Monate (verzögerter Kanal)“ auf „Monatlich (aktueller Kanal)“ umschalten.

Diese wirkt sich allerdings nur auf neue Installationen aus. Um vorhandene Installationen in den aktuellen Kanal zu bekommen müssen am Client ein paar Registry-Änderungen durchgeführt werden, die man am einfachsten von einem „Microsoft EasyFix“ durchführen läßt. Sofort nach dem Abschluß des EasyFix wird automatisch Office-Update gestartet und auf die aktuelle Office Version aktualisiert.

Adapter: DVI-DisplayPort oder DisplayPort-DVI?

Veröffentlicht am Veröffentlicht in Computer

Ein DisplayPort-Signal beinhaltet mehr Informationen (z.B. DisplayPort 1.2 Multi-Stream Transport (MST) für Daisy Chaining) als ein DVI-Signal. Deshalb kann man mit einem passiven „DisplayPort auf DVI“ Adapter immer nur DisplayPort zu DVI machen und nicht umgekehrt.

Ein Display mit DVI-Port per Adapter an einen Rechner mit DisplayPort betreiben geht.

Ein Display mit DisplayPort per Adapter an einem Rechner (oder einer Docking Station) mit DVI-Port betreiben geht nicht!

Fehler bei E-Mail aktivierten öffentlichen Ordnern in Office 365

Veröffentlicht am Veröffentlicht in Computer

Man erzeugt in der Web-Admin-Oberfläche von Office 365 einen neuen öffentlichen Ordner, E-Mail aktiviert ihn, gibt ihm eine E-Mailadresse, achtet darauf, dass in den Eigenschaften des neuen Ordners unter „Nachrichtenflusseinstellungen“ bei „Nachrichten annehmen von“ die Option „Allen Absendern“ gewählt ist und weiter unten „Authentifizierung aller Absender anfordern“ nicht aktivert ist. So wie man das von den (Verteiler-) Gruppen in Office 365 gewohnt ist.

Man schickt eine Testmail an den neuen Ordner und bekommt sie mit dem Fehler „550 5.4.1 Recipient address rejected: Access denied“ zurück.

Eine Google-Suche bringt schnell die Info, dass man mit Outlook in den Eigenschaften des neuen öffentlichen Ordners unter Berechtigungen dem Benutzer „Anonym“ die Berechtigung „Elemente erstellen“ geben muß, sonst kann er von externen Absendern nicht erreicht werden. Macht Sinn, ändert nur leider nichts an obigem Verhalten.

Nach einiger Suche bin ich dann auf einen Blogeintrag gestoßen, der die Lösung beschreibt: Man muß in der Office 365 Web-Admin-Oberfläche im „Exchange Admin Center“ unter Nachrichtenfluss/Akzeptierte Domänen in den Eigenschaften der betroffenen Domäne den Wert bei „Diese akzeptierte Domäne ist“ von „Autorativ“ auf „Internes Relay“ umstellen. Nur dann sind öffentliche Ordner per E-Mail erreichbar. Beim Bestätigen dieser Änderung kommt noch eine Warnung weil kein ausgehender Connector vorhanden ist, aber da es ja nur um die Erreichbarkeit von öffentlichen Ordnern geht ist dies kein Problem.

Nach dieser Änderung sind die öffentlichen Ordner sofort ganz normal per E-Mail erreichbar.

Site2Site VPN zwischen Fritzbox und SonicWALL

Veröffentlicht am Veröffentlicht in Computer

Nach langen Versuchen  ist es mir gelungen einen Site2Site-Tunnel zwischen meiner AVM FRITZ!Box 7390 (Fritz!OS 6.83) Zuhause und unser SonicWALL TZ 400 (SonicOS Enhanced 6.2.7.1-23n) im Büro aufzubauen.

Auf der Seite FRITZ!Box mit einem Firmen-VPN verbinden auf der AVM-Website wird beschrieben welche Voraussetzungen auf der Firmenseite (= SonicWALL) geschaffen werden müssen und was auf der Fritzbox unter „Internet/Freigaben/VPN/VPN-Verbindung hinzufügen/Diese FRITZ!Box mit einem Firmen-VPN verbinden“ eingestellt werden muß um den Site2Site-Tunnel aufzubauen. Es ist mir auch gelungen den Tunnel auf diese Weise einzurichten und aktiv zu bekommen. Der Knackpunkt war dabei der auf der Fritzbox angefragte „VPN-Benutzername(Key-ID)“. Dieser muß identisch sein mit der „Peer IKE ID (Key Identifier)“ auf der SonicWALL.  Auf der SonicWALL sah anschließend auch alles OK aus, aber auf der Fritzbox wird bei dem Tunnel trotz grünem Status sowohl „lokales Netz“ als auch „entferntes Netz“ mit „0.0.0.0“ angezeigt und es ist in keiner Richtung eine Nutzung (nicht mal Ping) möglich.

Also habe ich mir wie z.B. in diesem XING-Thread teilweise beschrieben, das Programm „Fritz!Fernzugang einrichten“ von der AVM-Website heruntergeladen. Nach dem Start habe ich die Option „Verbindung zwischen zwei FRITZ!Box-Netzwerken einrichten“ gewählt und dann in den beiden Schritten für die „FRITZ!Box 1“ meine „MyFRITZ!-Adresse“ (xxxxxxxxxxxxxxxx.myfritz.net) und ein beliebiges IP-Netz eingegeben (das bei mir Zuhause genutzte Fritzbox-Standardnetzwerk 192.168.178.0/24 ist an dieser Stelle nicht zugelassen). In den beiden Schritten für die „FRITZ!Box 2“ habe ich dann den FQDN der SonicWALL und die IP-Informationen des LAN im Büro eingetragen. Dadurch wurden zwei cfg-Dateien im Programmordner von FRITZ!Fernzugang erzeugt. Die Datei im mit meiner MyFRITZ!-Adresse benannten Ordner (also die für die lokale Fritzbox) habe ich dann noch wie folgt bearbeitet und letztlich verwendet:

  • use_nat_t = no; (war yes)
  • always_renew = yes; (war no)
  • key = „der_von_mir_gewaehlte_komplexe_und_lange_Key“;
  • ipaddr = 192.168.178.0; (im Bereich phase2localid; war die vorher eingegebene beliebige IP)
  • phase1ss = „LT8h/all/all/all“; (war „all/all/all“)
  • phase2ss = „esp-3des-sha/ah-no/comp-no/no-pfs“; (war „esp-all-all/ah-none/comp-all/pfs“)

Ich habe in der Fritzbox zuerst die von den vorherigen Versuchen vorhandene „VPN-Verbindung“ gelöscht und mit „Internet/Freigaben/VPN/VPN-Verbindung hinzufügen/Eine VPN-Konfiguration aus einer vorhandenen VPN-Einstellungsdatei importieren“ die bearbeitete cfg-Datei importiert, was länger als erwartet dauert (ca. 30 Sekunden). Was auffällt ist, dass die so erzeugte VPN-Verbindung nicht editiert werden kann. Der „Stift-Button“ fehlt bei importierten Verbindungen.

[Update] Die Möglichkeit andere IPsec Proposals zu verwenden habe ich in einem Blogeintrag gefunden, da diese Informationen nicht auf der AVM-Website dokumentiert sind. So wird z.B. ohne das vorangestellte „LT8h“ von der Fritzbox eine Lifetime von 1 Stunde verwendet. Und angeblich klappt ein von der Fritzbox veranlaßter Reconnect nur, wenn man für die Phase2 ein Proposal mit „…comp-no…“ verwendet. In einem anderen Blogbeitrag habe ich dann ein (älteres) Listing der Datei „/etc/default/avm/ipsec.cfg“ der Fritzbox gefunden, in der alle verfügbaren Proposals definiert sind.
Der Tunnel ist jetzt mit der beschriebenen Konfiguration (anonymisiert; „_.txt“ am Ende entfernen) seit mehreren Tagen stabil.

Auf der SonicWALL habe ich zuerst ein Address Object „Mein_Home_LAN“ (unter Netzwerk/Address Objects: Zone VPN; Network; 192.168.178.0; 255.255.255.0) erzeugt und dann unter VPN/Settings eine VPN-Policy mit folgenden Eigenschaften angelegt:

General

  • Policy Type: Site to Site
  • Authentication Method: IKE using Preshared Secret
  • Name: Mein_Home_Tunnel
  • IPsec Primary Gateway Name or Address: xxxxxxxxxxxxxxxx.myfritz.net
  • IPsec Secondary Gateway Name or Address: 0.0.0.0
  • Shared Secret: der_von_mir_gewaehlte_komplexe_und_lange_Key
  • Local IKE ID: Domain Name: Der FQDN der SonicWALL
  • Peer IKE ID: Domain Name: xxxxxxxxxxxxxxxx.myfritz.net

Network

  • Choose local network from list: X0 Subnet
  • Choose destination network from list: Mein_Home_LAN

Proposals

  • Exchange: Aggressive Mode
  • DH Group: Group 2
  • Encryption: 3DES
  • Authentication: SHA1
  • Life Time (seconds): 28800
  • Protocol: ESP
  • Encryption: 3DES
  • Authentication: SHA1
  • Enable Perfect Forward Secrecy: Nicht aktiviert
  • Life Time (seconds): 3600

Advanced

  • Alle Optionen auf der Seite Advanced: nicht aktiviert

Unter VPN/Advanced (global, nicht in den Eigenschaften der VPN-Policy) sind folgende Optionen gewählt:

  • Enable IKE Dead Peer Detection: aktiviert
  • Clean up Active tunnels when Peer Gateway DNS name resolves to a different IP address: aktivert
  • Alle anderen Optionen auf der Seite Advanced: nicht aktiviert

Veeam Backup mit wechselnden USB-Festplatten einrichten

Veröffentlicht am Veröffentlicht in Computer

Man kann in „Veeam Backup & Replication“ problemlos eine USB-Festplatte (sowohl lokal am Backup-Server als auch an einem Netzwerk-Client) als Backupziel („Repository“) einrichten. Da man üblicherweise mehrere USB-Festplatten verwendet und diese regelmäßig tauscht, muß man um Veeam-Fehlermeldungen zu vermeiden in den „Advanced“ Einstellungen des Repositorys die Option „This repository is backed by rotated hard drives“ aktivieren.

Das funktioniert dann auch erst mal, allerdings wird nach einigen Tauschzyklen die USB-Festplatte voll sein und das Backup entsprechend abbrechen. Das liegt daran dass Veeam – wenn es erkennt dass die USB-Festplatte getauscht wurde – mit einem FullBackup einen neuen Backupzyklus beginnt ohne die vorhandenen alten Backupdateien von der USB-Festplatte zu löschen. Die „alten“ Restore Points werden in Veeam nicht angezeigt, obwohl die dazugehörigen Dateien auf der USB-Festplatte vorhanden sind. Sie werden auch nicht im Lauf der Zeit durch die „Retention policy“ („Restore points to keep on disk“) gelöscht. Es bleibt einem also erst mal nichts anderes übrig als nach jedem USB-Festplattentausch die alten Veeam Backupdateien manuell zu löschen damit die USB-Festplatte nicht „volläuft“.

Dies gilt zumindest für normale „Backup Jobs“. Bei „Backup Copy Jobs“ verhält sich Veeam so wie man es eigentlich immer erwarten würde: Beim ersten Lauf nach einem USB-Festplattentausch werden in diesem Fall nur die geänderten Daten kopiert, um den aktuellen Stand wieder auf der USB-Festplatte zu haben.

In dem Knowledgebase Artikel KB1154 beschreibt Veeam einen Registry Key, der einem hilft dieses Problem zu umgehen: Wenn dieser Key existiert und einen der in dem Artikel beschriebenen Werte hat (sinnvollerweise ein DWORD mit dem Wert „3“), dann löscht Veeam auf einer als getauscht erkannten USB-Festplatte alle vorhandenen Backups bevor es mit einem FullBackup einen neuen Backupzyklus beginnt.

HKLM\Software\Veeam\Veeam Backup and Replication\ForceDeleteBackupFiles

Damit kann man ohne manuellen Eingriff einfach die USB-Festplatten tauschen. Allerdings verliert man so die Möglichkeit nach einem USB-Festplattentausch noch auf die alten Backups zugreifen zu können, worin ich aber kein Problem sehe.

Festplatte/USB-Stick per Command Line löschen

Veröffentlicht am Veröffentlicht in Computer

Manchmal läßt sich eine Festplatte einfach nicht mit dem dafür vorgesehen Programm („Festplattendienstprogramm“ unter macOS oder „Datenträgerverwaltung“ unter Windows) löschen/formatieren. Meistens treten solche Probleme mit den dazugehörigen nichtssagenden Fehlermeldungen auf, wenn man versucht das Format (NTFS/FAT32 ↔ Mac OS Extended) oder das Schema (MBR ↔ GUID) zu ändern oder wenn spezielle Partitionen (z.B. Recovery-Partitionen) auf der Festplatte vorhanden sind.

In diesen Fällen hilft es immer die Festplatte/den USB-Stick per Command Line zu löschen:

Unter macOS geht man dazu ins Terminal und läßt sich zuerst mit „diskutil list“ die vorhandenen Festplatten auflisten. Dann löscht man mit „diskutil erasedisk …“ die gewünschte Festplatte

diskutil list
diskutil eraseDisk JHFS+ The_Disk_Name /dev/disk2

Unter Windows öffnet man eine Eingabeaufforderung („cmd“), startet darin „diskpart“, läßt sich mit „list disk“ die vorhandenen Festplatten auflisten und wählt mit „select disk ..“ die gewünschte Festplatte aus. Dann löscht man mit „clean“ die gerade gewählte Festplatte.

diskpart
list disk
select disk 1
clean

Normalerweise ist die Festplatte danach in dem Zustand den man haben möchte. Falls man doch noch Änderungen an der Festplatte vornehmen möchte (z.B. von MBR auf GUID umstellen) kann man das jetzt problemlos mit dem dafür vorgesehenen Programm erledigen.

Lösung für Event 10009 (DistributedCOM)

Veröffentlicht am Veröffentlicht in Computer

Auf einem DomainController wird im Eventlog alle 1/2 Stunde der Event 10009 (DistributedCOM) mit folgendem Text angezeigt:

DCOM konnte mit dem Computer "xxxx" unter Verwendung eines beliebigen, konfigurierten Protokolls
   keine Daten austauschen.

In einem MSDN Blog-Posting habe ich einen Hinweis für die Fehlersuche gefunden: Der Domain Controller muß den PC nicht nur anpingen, sondern auch per Telnet auf Port 135 erreichen können.

Und das hat hier nicht funktioniert. Es hat sich herausgestellt, dass auf dem PC neben der Windows Firewall auch noch eine „McAfee Firewall“ aktiv war, die (ungewollt) zusammen mit der „McAfee Endpoint Protection“ (Nachfolger von „McAfee VirusScan“) installiert worden ist. Kaum hatte ich diese unnötige zusätzliche Firewall deinstalliert (und die Windows Firewall aktiviert), war der Zugriff vom Domain Controller über Telnet Port 135 möglich und der Event 10009 tauchte nicht mehr auf.

„Single Click Select All“ in Firefox abschalten

Veröffentlicht am Veröffentlicht in Computer

Heute habe ich endlich drangedacht mich um die Lösung eines kleinen, aber für mich sehr störenden Problems zu kümmern: Als Firefox-User nervt mich seit langem das „Feature“, das die Adresszeile komplett markiert wird, wenn ich mit der Maus auf die angezeigte Adresse klicke. Ich will das nicht! Wenn ich auf die Adresse klicke, dann mache ich das, weil ich an der Adresse eine Änderung vornehmen möchte (z.B. IP-Adresse, Port oder ganz simpel Tippfehler). Wenn ich die Adresse nicht bearbeiten sondern komplett überschreiben will, dann drücke ich Ctrl (Cmd) + L und klicke nicht auf die Adresse.

Die (zu erwartende) Lösung habe ich einem Blog-Beitrag gefunden: Es gibt ein Firefox-Setting, mit dem man dieses Verhalten beeinflussen kann: Einfach about:config aufrufen, die Warnung bestätigen, nach „browser.urlbar.clickSelectsAll“ suchen und durch Doppelklick auf „false“ umstellen. Fertig!

Synology und TimeMachine unter macOS Sierra: „Datensicherung fehlgeschlagen“

Veröffentlicht am Veröffentlicht in Computer

Vor kurzem habe ich auf einem MacBook unter macOS Sierra TimeMachine für die Sicherung auf eine neue Synology NAS eingerichtet. Dabei habe ich mich an die Empfehlungen in der Synology Knowledgebase (getrennter Benutzer und getrennte Freigabe für TimeMachine) gehalten. Das erste Backup lief ohne Probleme durch.

Nach einigen Tagen wurde dann auf dem MacBook die Meldung „Datensicherung fehlgeschlagen. Das Backup auf …. wird bereits verwendet“ angezeigt und entsprechend auch keine Sicherung mehr durchgeführt. Die Lösung habe ich in einem Blog-Posting gefunden: Das beschriebene Problem wird durch den Ruhezustand des MacBooks z.B. durch Zuklappen des Displays ausgelöst und kann vermieden werden, indem man im Webinterface der Synology NAS unter „Systemsteuerung → Dateidienste → SMB/AFP/NFS → AFP → Erweiterte Einstellungen“ die Option „Ressourcen sofort nach der Trennung freigeben“ aktiviert.

Let’s Encrypt Zertifikate mit Host Europe WebPacks verwenden

Veröffentlicht am Veröffentlicht in Computer

In nächster Zukunft werden unverschlüsselte Websites (zuerst wohl von Google Chrome) generell als „nicht sicher“ markiert und auch in den Google Suchergebnissen abgewertet werden. Man sollte also dringend dafür sorgen, dass die eigene Website verschlüsselt, also per https ausgeliefert wird. Dafür ist ein Zertifikat erforderlich, das man von Certification Authorities (CA) wie Comodo oder Thawte für eine jährliche Gebühr kaufen kann und das man dann auf seinem Webserver installieren muß.

Seit einiger Zeit gibt es auch die Möglichkeit, sich von Let’s Encrypt ein (technisch einfaches aber funktionierendes) kostenfreies Zertifikat ausstellen zu lassen. Ein Problem dieser vollautomatisch erzeugten Zertifikate ist die geringe Gültigkeit von nur 3 Monaten. Dies ist kein Problem wenn die Zertifikate wie von Let’s Encrypt vorgesehen automatisch aktualisiert werden. Wenn man einen eigenen Webserver oder einen mit Plesk verwalteten virtuellen Server betreibt (dafür gibt es die sehr gute Let’s Encrypt Plesk Extension) ist so eine automatische Aktualisierung auch ohne weiteres möglich. Host Europe unterstützt bei den normalen WebPacks immerhin die Installation von eigenen Zertifikaten, aber keine automatische Aktualisierung. Hier muß man also im Moment noch regelmäßig das Zertifikat manuell aktualisieren.

Eine Beschreibung wie man ein Zertifikat bei Let’s Encrypt erzeugt und dann bei Host Europe einbindet, habe ich in einem Blogposting gefunden. Die Website ZeroSSL führt einen in wenigen Schritten durch den Prozess.
Auf der ersten Seite trägt man links seine E-Mailadresse und recht mit Leerzeichen getrennt die Domains und Subdomains ein, für die das Zertifikat gelten soll. Als nächstes werden daraus ein Let’s Encrypt Key (wird zusammen mit der eingegebenen E-Mailadresse für eine spätere Erneuerung des Zertifikats benötigt) und ein CSR erzeugt, die man beide sichern sollte.
Auf der zweiten Seite wird dann (wenn man HTTP Verification gewählt hat) pro angeforderter Domain/Subdomain der Inhalt und der Name einer Textdatei angegeben, die man erzeugen und an die angegebenen Stellen auf der Website kopieren muß um zu beweisen, dass man Zugriff auf den Webserver hat.
Auf der dritten und letzten Seite wird dann bereits das fertig erzeugte Zertifikat und der Key angezeigt, die man beide ebenfalls sichern sollte. Damit ist die Erzeugung des Zertifikats abgeschlossen.
Dieses Zertifikat kann man jetzt auf der Host Europe Website unter Produktverwaltung → Webhosting → Konfigurieren → Sicherheit & SSL → SSL administrieren → Global → Zuweisen/Ersetzen seiner Website zuordnen. Dazu müssen die beiden im letzten Schritt auf der ZeroSSL-Website erzeugten Dateien (Zertifikat und Key) angegeben werden. Die Felder für Passwort und CA können leer bleiben. Das Zertifikat ist entgegen der angezeigten Meldung normalerweise innerhalb kürzester Zeit verfügbar.

Schließlich sollte man noch in der Datei .htaccess mit

RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

eine dauerhafte Weiterleitung von http auf https einrichten, damit die Website immer verschlüsselt ausgeliefert wird.

[Update] Die Vorgehensweise bei der manuellen Aktualiserung des Zertifikats entspricht weitestgehend der oben beschriebenen Neuerstellung des Zertifikats.
Im ersten Schritt auf der ZeroSSL Website fügt man links E-Mail Adresse und den bei der Ersterstellung gesicherten Let’s Encrypt Key ein. Auf der rechten Seite dann den ebenfalls bei der Ersterstellung gesicherten CSR. Im zweiten Schritt folgt dann wie bei der Ersterstellung die HTTP Verification aller im CSR enthaltenen (Sub-)Domains und im dritten Schritt erhält man dann das Zertifikat, das man natürlich sichern sollte. Der Domain Key wird nicht erneut angeboten, da sich dieser seit der Ersterstellung nicht geändert hat.
Schließlich ersetzt man das alte Zertifikat an der gleichen Stelle auf der Host Europe Website („Global“) durch das neue Zertifikat. Dafür ist auch der (unveränderte) Domain Key erforderlich.