FAQ Übersicht

Software

MS Windows Update-Service und WSUS

Siehe auch Windows Update funktioniert nicht

  • WSUS überprüfen: wsusutil checkhealth
  • WSUS Reset: wsusutil reset

• Windows Updates per Powershell verteilen:
  https://www.powershellgallery.com/packages/PSWindowsUpdate/

"Updatepause für 7 Tage" läßt sich bis zu 5x drücken und erreicht max. 35 Tage.

WSUS-Client UsoClient (Win10/Server2019):

Microsoft hat WUAUCLT still gelegt und dafür UsoClient eingeführt.
USO ist die Abkürzung für „Update Orchestrator Service“ und ist der Dienst UsoSVC (Update Orchestrator Service) zum Verwalten der Windows Updates.

usoclient StartScan
usoclient StartDownload - startet den Download
usoclient StartInstall - startet Installation
usoclient RestartDevice - PC Neustart

Der Befehl „usoclient StartScan“ hat noch den Nebeneffekt, dass er einen evtl. vorhandenen WSUS Server über den aktuellen Patchstand der Windows Updates informiert und dieser dann gleich die korrekte Zahl anzeigt. Dies wurde vor Windows 10 mit dem Befehl „wuauclt /detectnow“ oder „wuauclt /resetauthorization /detectnow“ eingeleitet.

Update deinstallieren per CMD oder Powershell, falls die GUI scheitert:
wusa /uninstall /kb:4565503 /log:%homepath%\downdate.evtx
(Deinstalliert Update mit genannter KB)

Liste aller installierten Pakete inclusive Updates, Sprachpakete und einige Systemkomponenten:
dism /online /get-packages
Zeigt abgelöste Pakete mit Status "Abgelöst".

dism /online /Remove-Package /PackageName:xxx
Fehlerhaftes Paket deinstallieren.

Beim Boot von Fremdsystem/WinPE:
dism /image:c:\ /get-packages /scratchdir:c:\
(c: ist das zu untersuchende Offline-Systemlaufwerk)

Windows Update Mini Tool

  • Freeware
  • Updates rückgängig machen
  • Updates offline laden
  • Updateinstallation deaktivieren / manuell steuern


WSUS geht nicht für Windows 10:

- Update KB-3095113 installieren.
- IIS: Mime-Type .ESD = application/octet-stream hinzu fügen.
- WSUS: neue Klassifizierung "Upgrades" anhaken.

https://www.windows-faq.de/2016/08/19/windows-10-anniversary-update-1607-ueber-wsus-korrekt-verteilen/

https://www.windows-faq.de/2016/08/24/windows-10-feature-updates-mit-wsus-verteilen-application-octet-stream/

http://www.zdnet.de/88283945/wsus-updates-fuer-windows-10-optimal-verteilen/?referrer=nl_de_zdnet&t=00b74d57daa296d52bfa609fe3616d1a1822199

WSUS-Client WUAUCLT (alt):

wuauclt /detectnow: Windows Update prüft sofort, ob neue Updates vorliegen, ohne sich auf seinen Zwischenspeicher zu verlassen.
wuauclt /resetauthorization: Nur in Kombination mit einem Update-Server im lokalen Netz interessant. Bewirkt, dass die für die Auto-Updates zuständige Wuauclt.EXE die in einem Cookie gespeicherten Infos (z.Bsp. Gruppenmitgliedschaft) zurücksetzt und das Update erzwingt.
wuauclt /demoui: Testet, ob die Benachrichtigung über neue Downloads mit Hilfe des Symbols im Systray funktioniert.
wuauclt /ShowSettingsDialog: zeigt den Einstellungs-Dialog 'Automatische Updates' an.
wuauclt /reportnow - sendet Statusbericht an den WSUS.

Neue Clients: gpupdate /force und dann Wuauclt /reportnow /detectnow

 


WSUS Dual-Scan unterbinden

Windows 10 und Server 2016 laden per Default ihre Updates aus dem Internet, wenn der WSUS nicht verfügbar ist (Dual-Scan).
Damit verliert man die Kontrolle über die zu installierenden Updates.

Dual-Scan per GPO verbieten:
"Computerkonfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Windows Update" Punkt ""Keine Richtlinien für Updaterückstellungen zulassen, durch die Windows Update überprüft wird" aktivieren

Dual-Scan per Registry verbieten:
Registry Path: HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows\WindowsUpdate
Value Name: DisableDualScan
Value Type: REG_DWORD
Values: 1 (Enabled) oder 0 (Disabled)

Befehl: reg add "HKLM\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate" /v DisableDualScan /t REG_DWORD /d 1 /f

Quelle: https://hope-this-helps.de/serendipity/archives/Windows-10-Server-2016-Client-bezieht-seine-Updates-direkt-von-WU-und-nicht-mehr-vom-WSUS-Dual-Scan-563.html

WSUS Server auf SSL umstellen:

  • AD: Computerzertifikat erstellen und auf alle Clients ausrollen (siehe R&S Firewall und AD Zertifikate).
  • IIS-Manager / WSUS-Site / Bindungen bearbeiten: HTTPS konfigurieren, Port, Zertifikat auswählen
  • Gruppenrichtlinie: WSUS auf https: umstellen, Port 8531.
  • ggf. SSL erzwingen: IIS-Manager / WSUS-Site / virtuelle Verzeichnisse (APIremoting30, ClientWebService, DSSAuthWebService, ServerSyncWebService, SimpleAuthWebService) wählen / SSL-Einstellungen: "SSL erforderlich" anhaken, Zertifikat ignorieren.
  • CMD:
    cd %ProgramFiles%\Update Services\Tools\
    wsusutil.exe configuressl [FQDN-des-Servers]
  • Serverneustart, Test im Browser: https://[FQDN-des-Servers]:8531/selfupdate/wuident.cab, bei Erfolg wird Download der CAB angeboten.

Quelle: https://www.windowspro.de/wolfgang-sommergut/wsus-fuer-ssl-verbindung-konfigurieren

WSUS Import vom MS Update Katalog schlägt fehl (Server 2012R2 - 2019)
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Danach Reboot.
Quelle: https://community.spiceworks.com/topic/2144162-import-to-wsus-fails-direct-import-from-ms-update-catalog?page=3

WSUS kann mit "Interne Windows-Datenbank" WID (C:\Windows\WID\Data\SUSDB.mdf) oder SQL-DB arbeiten.
Verbindung mit SQL Management Studio auf WSD: "\\.\pipe\MICROSOFT##WID\tsql\query".

WSUS Konfig steht in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup

Fehler: Updates lassen sich nicht freigeben
  Nach Genehmigung der Updates erfolgt Fehlermeldung.
Lösung: Im ROOT-Verzeichnis des WSUS-Content- Laufwerkes und in /TEMP muß JEDER=Vollzugriff haben!

Dienste:
* WUASERV - Windows Update Service
* W3SVC - WWW-Publishingdienst

Links:

http://www.wintotal.de/updates-und-upgrades-unter-windows-10-im-griff/

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-08 16:04


PDF Drucker / Writer

PDF24 Creator - PDF-Drucker, Erstellen von PDF Dateien aus allen Anwendungen, Umsortieren, Zusammenfügen, Editieren, Spalten, Passwortschutz. Freeware.

CutePDF Writer - PDF-Drucker für alle Windows Versionen, Free for personal, commercial, gov or edu use.

Free eXPert PDF Reader -schlanker ressourcensparender Reader, Editierfunktionen, Freeware.

PDF-XChanger Editor -PDF-Reader mit guten Editierfunktionen, Freeware. Prof. ca. 35 EUR.

PDF Factory -PDF-Drucker, PDF zusammen setzen, Pro-Version auch PDF editieren, ca. 50-100 EUR.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-02-27 13:55


Softwareverteilung (Baramundi)

Oracle Java JRE:

Offline Download Java8: http://www.java.com/de/download/manual.jsp
http://www.oracle.com/technetwork/java/javase/downloads/index.html

http://www.oracle.com/technetwork/java/javase/downloads/index.html

Installation: jre-8u121-windows-i586.exe /s 
  -vorher iexplore.exe und jp2launcher.exe beenden
  - danach Java-Cache in allen Profilen löschen. (for /D %%i in (C:\Users\*) do rmdir "%%i\AppData\LocalLow\Sun\Java\" /S /Q)

Deinstallation: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F32180131F0} /quiet (Versionsnummer -131- anpassen!)
Info steht in Java "UninstallString" (Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4EA42A62D9304AC4784BF2238110140F\InstallProperties)

Hilfe: http://www.java.com/de/download/help/silent_install.xml (drauf achten dass x86 / x64 stimmt)

MSI extrahieren: http://www.java.com/de/download/help/msi_install.xml

Allgemeine Infos zu MSI: http://www.itninja.com/

 

Allgemeine Lösung zur Deinstallation:
1. Java Uninstall-Schlüssel in Registry suchen:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer

2. UninstallString (Registry: Werte=uninstall) suchen.
  Bsp. Java 1.8.0.45 deinst.: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218045F0} /quiet

Deinstallation aller Versionen per VB-Script: http://www.itninja.com/question/silent-uninstall-java-all-versions

 

Verfasser: Uwe Kernchen
Letzte Änderung: 1970-01-01 00:10


Datei-Verschlüsselung

Cryptomator
  - deutlich bessere Boxcryptor-Alternative, mein Favorit
  - Open Source, privat und kommerziell nutzbar, deutscher Hersteller
  - für alle gängigen Betriebssysteme (mobile Apps kostenpflichtig)
  - uneingeschränkte Anzahl Geräte
  - funktioniert lokal oder mit jeder Cloud
  - Multiuser-fähig (Duplikate bei Konflikt)
  - kein Account notwendig, Schlüssel liegt beim Anwender
  - dateiweise Verschlüsselung, auch Dateinamen und Pfadnamen, in einem Tresor-Ordner
  - entschlüsselt Mapping des Ordners als virtuelles Laufwerk
  - FS: WebDAV kann nur Dateien bis max. 4GB Größe, WinFsp funktioniert bei mir (in Windows) gut

- 7-Zip - Packer (Passwort)
  - Open Source, Entpacken mit Windows Boardmitteln (Explorer) möglich
  - Verschlüsselung mit Passwort
  - dateiweise oder ordnerweise Verschlüsselung
  - keine direkte Bearbeitung im Archiv möglich
  - Tip: AES-256 auswählen

Bitlocker - MS Bitlocker Festplattenverschlüsselung
  - Verschlüsselung per TPM-Modul, AD, USB-Stick oder Passwort
  - Hersteller: Microsoft, USA
  - bei Defekt dieser Umgebung ist die Festplatte per Notfallschlüssel lesbar.
  - Lizenz ist in Windows 7 Ultimate oder Enterprise, Windows 8.1/10 ab Prof. und  Windows Server ab 2012 enthalten.
  - Bitlocker To Go ist geeignet für USB-Verschlüsselung unter Windows.
  - Bitlocker läßt sich für Reboots suspendieren und ermöglicht so Wartung und Updates (des Bootloaders)
siehe: Bitlocker

HiCrypt Dateiverschlüsselung (Passwort, 2-FA)
  - Deutsche Software
  - Cloud Security Produkt des Jahres 2013
  - Netzwerkfähig, multiuserfähig, mehrere gleichzeitige Zugriffe möglich
  - Verschlüsselung mit Passwort, optional 2-Faktor-Auth. mit USB Smartcard Token oder Smartcard
  - Integrierte Benutzerverwaltung unabhängig von Domänenbenutzern.
  - keine Abhängigkeit von Domäne und Windows Userverwaltung (PKI)
  - Wiederherstellungsschlüssel für Disaster Recovery
  - nur Dateiinhalte werden verschlüsselt, Ordner- und Dateinamen bleiben erhalten
  - differentielle Backups und Replikation sind möglich
  - Zugriff erfolgt über spezielle Client-Software, keine Serverkomponenten

Veracrypt Festplatten- oder Containerverschlüsselung (Passwort)
  -
kompatibel und potentieller Nachfolger von Truecrypt.
  - Frankreich, Open Source
  - Verschlüsselung mit Passwort
  - bei Containern keine differentiellen Backups möglich
  - kann komplette Windows-Partitions im UEFI-Mode verschlüsseln. (eingeschränkt bei Secure Boot)
   https://veracrypt.codeplex.com/

MS EFS Dateiverschlüsselung (Zertifikat)
  - Hersteller: Microsoft, USA
  - Dateien und Ordner verschlüsseln mit Benutzerzertifikat
  - einfache Bedienung, im System integriert
  - Freigabe für mehrere Personen möglich, muß vom Nutzer selbst konfiguriert werden
  - Datei- und Ordnernamen bleiben im Klartext erhalten
  - differentielle Backups und Replikation sind möglich
  - Datenverlust bei Verlust des Personenzertifikates (Userprofil defekt, Passwort-Reset, ActiveDirectory defekt)
  - Sicherung des Userzertifikates und Domänenwiederherstellungs-Agenten möglich
  - Lizenz ist in allen Windows Prof. Versionen enthalten.
Die Lösung ist geeignet für Server im ActiveDirectory, weil hier die Nutzerdatenbank aufwändiger gesichert wird.
Auf lokalen PCs oder Notebooks ist die Gefahr von Datenverlust zu hoch.

- CryptSync - quelloffen von Stefan Küng
  - Open Source
  - praktische Oberfläche zum synchronisieren mit 7-Zip in die Cloud
  - Dateien können automat. mit CryptSync oder manuell mit 7-Zip entschlüsselt werden.

Boxcryptor - ehem. deutscher Hersteller, 12/2022: an Dropbox (US) verkauft
  - proprietärer Client, über den eine Zugriffs- und Lizenzkontrolle aus der Ferne erfolgt

Truecrypt - Freeware, altbewährt und sicher
  - Projekt wurde 2014 von der NSA angegriffen und von den Entwicklern eingestellt.
  -> zukünftige Betriebssysteme funktionieren ggf. nicht.
  - Verschlüsselung in einer Containerdatei, die als Laufwerk eingebunden werden kann.
Update 09/2015: eine gefährliche Sicherheitslücke wird im Windows-Treiber gefunden, mit deren Hilfe jeder Systemrechte erlangen kann. Der Hersteller patcht nicht mehr. Damit disqualifiziert sich Truecrypt für den weiteren Einsatz.

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-02-28 19:43


Kopierprogramme

Windows Explorer: GUI. Das dümmste aller Kopier-Tools.
 - bricht bei Fehler ab.
 - ist extrem langsam.
 - Ordnernamen bekommen das neue Datum.

XCopy: CMD. Boardmittel. Praktisch und schnell.
 + kann Berechtigungen und Dateidatum kopieren.
 - Ordnernamen bekommen das neue Datum.

Robocopy: CMD. seit Windows 7 Boardmittel. Sehr leistungsstark.
 + Copy, Move, Sync
 - Ordnernamen mit Original-Datum kopieren: ab Robocopy 26 mit /DCOPY:T
  Bsp: robocopy \\Servername\e$\it\ e:\it\ /E /COPYALL /DCOPY:DAT

Fastcopy: CMD/GUI. Schnell und sehr leistungsstark. 32-/64-bit, Portable-Version
 + kann Timestamps korrekt setzen.
 + Copy (+Compare), Move, Sync
 + kopiert ACLs, Junktions und Symlinks nach Benutzerwunsch.

Hasleo Backup Suite (Win, komplett free)
- System-Backup (Disks, Partitions, Files), Klonen/Partition ändern, Partitionen sichern mit bootfähigem WinPE
- Klonen/Wiederherstellen/Konvertieren von MBR -> GPT oder GPT -> MBR
- PC und Server-OS
- volle UEFI-Unterstützung
- auch USB-Laufwerke
siehe:
https://www.deskmodder.de/blog/2021/12/09/hasleo-backup-suite-system-backup-klonen-daten-sichern-mit-bootfaehigem-winpe-und-das-kostenlos/

• Macrium Reflect Free: IMAGE Copy, Empfehlung von CHIP.
- Disk Cloning (Free Edition ohne Partitionänderung), VSS, UEFI, GPT-Support
- incl. Rescue Media Builder
- Virtualisieren von Macrium Backup Images
Free Edition ohne:
- Delta Backups
- Server OS Backup
- USB-Copy
- Backup/Restore Files & Folders
30-Day Trial Editions, Jahresversion in CT-Notfall Windows
Free-Version ist eingestellt

DriveImage R-Drive: - 30 Tage Testversion
  - Backup, Partition Manager, Cloning (Umzug auf größere HD, Umzug HD-> SSD)
  - auch NVMe, SD-Cards
  - Plattformen: Windows, Linux, Mac
• R-Linux: kostenlose Widerherstellungstools für Linux

Clonezilla für Debian oder Ubuntu
  mit bootbarem Live-System

• Ubuntu auf neues System umziehen: https://wiki.ubuntuusers.de/Ubuntu_umziehen/

Synchronisation

Syncthing - quelloffene Synchronisation
- synchronisiert in beide oder in eine Richtung
- geeignet für LAN oder WAN
- intgerierte Versionsverwaltung
- verfügbar für viele Plattformen, Windows, Linux, Android, MacOS, Raspi4, u.a. auch für NAS von QNAP und Synology
- per Browser auf Port 8384 konfigurierbar
P-2-P Prinzip (kein direkter Zugriff) und Versionsverwaltung schützen vor EMOTET und Co.

 

Siehe auch :

System-Backup, Harddisk wechseln, Backup Betriebssystem

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-06 22:35


8Man Tips

- automatische Erzeugung von List-Gruppen:
Listrechte müssen in der Konfigurationsoberfläche für jeden Fileserver einmal aktiviert werden.
Um Listrechte zu aktivieren, gehen Sie bitte in der Konfigurationsoberfläche zu „Scans“.
Dort wählen Sie den gewünschten Fileserver aus und aktivieren im letzten Satz den Assistenten für Listrechte.
8MAN Group Wizard verwenden, damit Listrechte automatisch gesetzt werden.

- Ablaufdatum für Berechtigungen setzen:
In der Active Directory-Ansicht suchen Sie z. B. einen Benutzer oder eine Gruppe die aus, die Sie gerne mit einem Ablaufdatum versehen möchten.
Machen Sie einen Rechtsklick auf das Objekt, wählen - > „Ändern der Gruppenmitgliedschaften“ und wählen in der Mitgliederliste das Objekt aus, welches Sie mit einem Ablaufdatum versehen möchten.
Nun wieder Rechtsklick auf den Benutzer oder die Gruppe und „Ablaufdatum setzen“ wählen.
Jetzt können Sie ein Ablaufdatum setzen.

 Helpdesk: http://help.8man.com/de/index.html

Links:
http://www.aikux.com/videos/8man-enterprise/

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-09-20 14:18


CD Burner

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 16:39


PowerShell

  • Powershell 5 - alte original MS Powershell (in Windows Desktop und Server, im Startmenue oder Aufruf "powershell")
  • Powershell 7.1 - aktuelle quelloffene Powershell Core, muß nachgeladen werden im MS Store oder bei Github, Aufruf mit "pwsh".
                            basiert auf (quelloffener) .NET Plattform
                            läuft unter MacOS, Linux und Windows
                            als Script-Editor/Debugger dient MS Visual Studio Code

Powershell (5) ISE als Admin starten! (aus der Powershell heraus: "ise")
- Script-Ausführung dauerhaft aktivieren: Set-ExecutionPolicy RemoteSigned
 (nur noch PS1 aus dem Internet oder ohne vertraute Signatur werden geblockt)
  Mehr Infos mit help about_Execution_Policies (Bypass / Restricted)
- Script remote ausführen: Enable-PSRemoting

- $PSVersionTable - Version
- update-help -> zuerst ausführen! (aktualisiert die Hilfe, dauert Minuten)
- get-help -> Hilfe allgemein
- help Befehl -> Hilfe zum Befehl
- help Befehl -detailed -> detaillierte Hilfe zum Befehl
- help about_* -> Hilfe zum PS-Konzept

- get-command -> Liste aller Befehle
- # - Kommentarzeile
- <# ... #> - Kommentarblock, auch mehrzeilig

- get-(befehl) -example -> zeigt Beispiele

In der Powershell lassen sich alle externen .exe-Kommandos wie robocopy oder bcdedit, netsh, notepad usw. aufrufen.
Die meisten CMD-Befehle wie cd, md, dir, del funktionieren auch.

Viele weitere PS-Module in der MS PowerShell Gallery.

Ausgabebefehle:
- Write-Host - (auch farbig oder mit formatierten Arrays möglich)
- Write-Output (echo) - einfache Ausgabe
- Write-Error - gibt Fehlermeldungen aus

Add-On Menue / Webseite mit AddOns öffnen: praktische AddOns!
  - MS Script Browser: durchsucht Poswershell Scripte nach Stichworten

Beispiele
Get-Prozess - Liste aller Prozesse. (Parameter "*edge" schränkt auf Edge-Prozesse ein)
Get-Member - liefert Bestandteile eines vorher genannten Objektes.
Get-Prozess firefox | Get-Member - liefert alle verfügbaren Attribute
Format-List oder Format-Table - liefert formatierte Felder des vorher genannten Objektes
Get-Process firefox | Format-List Name, WorkingSet - liefert Speicherverbrauch aller Firefox-Instanzen
Get-Process firefox | Measure WorkingSet -Sum - liefert die Summe des Speicherverbrauch aller Firefox-Instanzen

Get-Service (gsv) - Liste aller installierten Services. (mit Status)
Where - Filter, kann mit "?" abgekürzt werden
-eq prüft auf Gleichheit (ne - ungleich, -gt - größer als, -lt - kleiner als, -ge -größer/gleich, -le - kleiner/gleich)
Get-Service | Where Status -eq Running - alle laufenden Dienste
Get-Service veeam* | Stop-Service  - stoppt alle Dienste, die mit Veeam beginnen

Sort-Objekt (sort) - sortiert das übergebene Objekt
dir | sort Length -descending

Get-Date - Datum mit allen Objekten (Tag, Monat, Stunde, Tag des Jahres, Tag der Woche...)
New-Timespan - zum Berechnen von Tagesdifferenzen

Variablen müssen nicht definiert werden.
Groß- und Kleinbuchstaben werden nicht unterschieden.
Jedes PS-Fenster hat seine eigenen Variablen, die beim Schließen des Fensters gelöscht werden.
$antwort = 5 * 3

$1woche = (Get-Date) - (New-TimeSpan -Days 7)
$kannweg = dir *.log | WHERE LastWriteTime -lt $1woche
Liefert Liste aller Log-Dateien > 1 Woche

Die Variable kann wieder in eine Filter-Pipeline übergeben werden.
$platz = $kannweg | measure Length -Sum

Berechnung mit der Eigenschaft "Sum" des Objektes "$platz".
$MByte = $platz.Sum / (1024*1024)

Mit dieser Methode kann auf alle Objekte zugegriffen werden.
$Jahr = (Get-Date).Year

Remove-Item (del) - löscht Datei
$kannweg | Remove-Item - löscht die oben definierte Liste in $kannweg

ForEach.Object (foreach oder %) - Schleife
$kannweg | % { move $_ e:\temp\test } - verschiebt Dateien aus "$kannweg" nach e:\temp\test
{} - umschließt Script-Block
Ruft nacheinander für jeden Eintrag von "$kannweg" den Script-Block auf.
Zuvor speichert es den aktuellen Eintrag von $kannweg in die Variable "$_", die als Platzhalter genutzt werden kann.

Auch WHERE nimmt Script-Block entgegen.
Get-Process | where {$_.Company -match 'Microsoft'} oder
Get-Process | where {$_.Company -match 'Microsoft' -and $_.WS -ge 10*1024*1024} - liefert Prozesse vom MS > 10MB

Die Powershell bildet REG-Schlüssel, Zertifikatsspeicher, Umgebungsvariablen als PSDrives ab.
Get-PSDrive - Liste aller PSDrives.
cd "HKCU:\Control Panel\Desktop\" - wechselt in den REG-Schlüssel, Anzeige mit "dir"

Get-Item-Property (gp) - liest Eigenschaften des angegebenen Objektes
gp . WallPaper - liefert Dateinamen des Bildschirmschoners.
Set-Item-Property (sp) - schreibt Eigenschaften des angegebenen Objektes
Remove-Item-Property (rp) - löscht Eigenschaften des angegebenen Objektes
help Registry - liefert Liste aller zur REG-Bearbeitung interessanten Befehle

get-childitem -path hklm:\software - Softwareliste
(get-childitem -path hklm:\software).Property - Softwareliste gefiltert

cd "Env:" - wechselt in Umgebungsvariablen. Hier geht wieder dir, gp, sp, rp...
$env:path - Inhalt von Umgebungsvariable %PATH%
$env:temp - Inhalt von Umgebungsvariable %TEMP%

Kontrollstrukturen:
(While, Do-While, Do-Until, For, Foreach)

if (Bedingung)
 { Befehle }
elseif (Bedingung)
 { Befehle }
else
 { Befehle }
IF (Test-Path "$env:TEMP\error.log") ... - prüft die Existenz eines Datei- oder Ordnernamens

Funktionen:
function NAME
{ bla, bla }

Aufruf einfach mit "NAME".
Funktionen können Parameter übergeben bekommen, für die man Defaults setzen kann.
Rückgabewerte per "return WERT" - beendet Schleife und Funktion sofort

function LogsLöschen($Ordner = ".", $Alter = 7)
{
 $datum = (Get-Date) - (New-TimeSpan -Days $Alter)
 dir "$Ordner\*.log" | ? LastWriteTime -lt $datum | Remove-Item
}

Aufruf ist möglich mit oder ohne Parameter, auch nur Parameter2 (Bsp. 4):

LogsLoeschen
LogsLoeschen Temp
LogsLoeschen Temp 30
LogsLoeschen -Alter 14

Beispielfunktion mit Array/Liste und Return, formatiert Zahlen übersichtlich und mit Einheit.
- return "{0:f2} - erstes Argument (0) wird als Gleitkommazahl mit 2 Nachkommastellen ausgegeben
- -f $Wert, $units[$unit] - formatierte Ausgabe

function BinFormat($Wert)
{
 $units = "", "Kilo", "Mega", "Giga", "Tera", "Peta", "Exa", "Zetta", "Yotta"
 $unit = 0
 while($Wert -ge 1024 -and $unit -lt $units.Length - 1)
 {
  $Wert = $Wert / 1024
  $unit++
 }
 return "{0:f2} {1}" -f $Wert, $units[$unit]
}

Externe PS-Scripts lassen sich einbinden mit ". MeineFunktionen.ps1".

Alle beim PS-Start per Default ausgeführtenScripts erfährt man mit:

$profile | fl * -Force

Dabei gibt es Scripts für AllUser und CurrentUser, die entsprechend ergänzt werden können.
"CurrentHost" ist nur die aktuelle PS-Sitzung.

Beispielscript mit .NET Framework Einbindung.
Wenn der aktuelle User ein Admin ist, färbe Fenster rot.

function BinIchAdmin() {
 $identity = [System.Security.Principal.WindowsIdentity]::GetCurrent()
 $princ = New-Object System.Security.Principal.WindowsPrincipal($identity)
 return $princ.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
} & {
 $ui = (Get-Host).UI.RawUI
 if(BinIchAdmin) {
  $ui.BackgroundColor = "DarkRed"
  Clear-Host
 }
}

Reguläre Ausdrücke
Bsp.: Liest Datei test.log und gibt nur Zeilen aus, in denen "Error" steht.

Select-String test.log 'Error'

Bsp2: Suchmuster "Error" oder "Warning". (Pipe steht für ODER)

Select-String test.log 'Error|Warning'

Bsp3: Aufruf geht auch mit Wildcards (*.log) und liest dann alle betroffenen Dateien.

Der Vergleichsoperator -match dient zum filtern.
Beispiel:
- "DIR" landet über die Pipe bei WHERE
- "-match" liefert nur WAHR, wenn der folgende Ausdruck passt
- "." (Punkt) steht normalerweise für ein beliebiges Zeichen, ähnlich Fragezeichen in Dateimasken (soll er hier aber nicht)
- "\" Escape-Zeichen sorgt dafür, dass das folgende Zeichen (Punkt) für sich selbst steht
- abschließendes "$" pinnt den Such-String an das Ende des durchsuchten Textes.
  (beginnt der RegEx mit "^", wird die Zeichenfolge am Anfang des Textes gesucht)
Das Beispiel sucht also Dateinamen, die mit ".txt" enden.

dir | Where Name -match '\.txt$'

RegEx Syntax kennt auch Zeichenklassen:
'[0-9]' - beliebige Ziffer
'[a-z]' - beliebigen Buchstaben (KEINE Umlaute!)
'[a-z0-9_]' - alle Ziffern, Buchstaben und der Tiefstrich
'h[aiu]t' - findet "hat", "hit" und "hut", aber nicht "haut"
'[^a-z]' - alle Zeichen ausser a-z
'\d' - Dezimalziffern
'\w' - Wortzeichen, also Zahlen, Umlaute und Buchstaben
'\s' - Wortzwischenräume (Leerzeichen, Tab, Umbruch)
Großschreibung kehrt Bedeutung um, also '\D' - alles ausser Ziffern
'.' - beliebige Zeichen
Weitere Syntax und Beispiele in CT 08/2018 S. 172ff.

Paketmanagement
- zuerst Modul (als Admin) aktualisieren:

Install-Module PackageManagement -Force
Install-PackageProvider NuGet -Force
Install-PackageProvider PowerShellGet -Force

- Übersicht aller Funktionen:
  (gcm) Get-Command -Module PowerShellGet
- gewünschtes Modul installieren: Install-Module ...  (-Scope CurrentUser installiert in Userprofil)
- GUI zur Modulsuche und Auswahl:

Find-Module -Tag Utilities | Out-Gridview -PassThru | Install-Module -Scope CurrentUser

 Beispiel: eigenen Host, IP, Username ermitteln
- Comutername über Enviroment-Variable: "$env:computername" oder "get-childitem -path env:computername"
- IP ermitteln: hier
- Username: $Env:USERNAME

Computerinfo ermitteln:
(ausführlich Windows, Sprache, 32/64-bit, WoL, BIOS, Hardware)
Powershell: get-computerinfo
einschränken auf Windows Versionsinformation:
Powershell: get-computerinfo | select windows*  (oder OsVersion)

Quellen und Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-05-29 11:56


Baramundi Tip(p)s

Automatisation Studio:
Variablen in geschweifte Klammern setzen. {%ProgramFiles%}

Benutzermenue einrichten:
PING: ping {Client] -t
BMA Log: notepad.exe "{BMAPath}\bma.log"
Explorer LW C: explorer.exe \\{Client}\c$RDP: mstsc.exe /v:{Client}
Windows RemoteHilfe: C:\Windows\System32\msra.exe /offerra {Client}  (Feature "Remoteunterstützung" muß installiert sein)
RDP: mstsc.exe /f /v:{Client}

Shutdown-Job (interaktiv) schlägt ggf. fehl, wenn er mit InstallUser und nicht mit LocalSystem gestartet wird. Damit wird ggf, auch die automatische Anmeldung vermieden.

Server Side Scripts: \\Server\bms$\Scripts\ServerSide\
Client Scripts: C:\DIP\Scripts\BDS

Firewall für WoL: Baramundi Relay: Port 7777 UDP, Baramundi Server: Port 10088 TCP eingehend.

Programmeinstellung korrigieren:
 - Konfig / Server / Grundeinstellungen / Kommunikation / bma-Installationsart= Push Transfer (über BMS)
 - Verbindungsmodus= Standard-Namensauflösung
 - Domäne / Installationsuser mit user@domain angeben!

DIP konfigurieren/wechseln:
- IP Netzwerkverwaltung, IP-Netzwerke, DIPs (in der bMC)
- Pfad + Freigabe (in baraDIP Config)
- C:\Program Files (x86)\baramundi\baraDIP\Apache\conf\passwd ->Datei auf neuen Server kopieren
- Schlüssel für Serverkommunikation: bMC unter Konfiguration/DIP-Verwaltung/Bearbeiten/Zertifikat (Inhalt kopieren)

Für Autologon muss ggf. Registry-Schreibschutz vom Antivirus (eScan!) deaktiviert werden.

Remote Desktop frei schalten: Remote Desktop und Remoteunterstützung zentral frei schalten

Remote Unterstützung frei schalten: Remoteunterstützung

Remote Standort:
- nur Management Center installieren
- Dienste baraDIP, baraDIPhttpd und Management Agent müssen laufen.

Gateway
- auf separatem Server installieren
- Gateway Enrollment Wizward ausführen
- BMS: Konfiguration / Mobil Devices / Allgemein: Gateway-Inbetriebnahme ausführen

Online-Portal, Dokumentationen: https://docs.baramundi.de/
Management Suite Module: Management Suite | baramundi

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-07-02 21:59


KeePass 2

Freier Open Source Passwortmanager

Empfehlung:

- Firefox Passworte mit "PassItFox", "Firefox Passwort Importer" o.ä. in KeePass übernehmen.
- alle Passworte im Firefox löschen
- Passwortmanager im Firefox deaktivieren

Meine Strategie:

  • Verschlüsselung mit sicherem Passwort ist flexibel und mobil nutzbar.
  • Bindung an Key-File macht das Ganze noch sicherer.
  • Bindung an Benutzerkonto ist unflexibel (kein Multiuser oder Mobil, Probleme bei Passwortwechsel oder Verlust des Benutzerkontos).

Haupt-PC:

  • Original-DB liegt lokal am PC. Sie wird bei Programmstart und bei jeder Änderung per Trigger (aktive DB mit einer URL/Datei synchronisieren) mit dem Dropbox-Client in die Cloud synchronisiert und beim Beenden per PlugIn als Backup gesichert. (Bsp. 5 Kopien)

Sonstige Windows-Geräte:

  • Drop-Box: DB-Ordner freigeben oder KeeAnywhere Plugin verwenden.
  • KeePass2: Open URL  https://www.dropbox.com/xxxxxxx/xyz.kdbx?dl=0

Wichtige Plugins:

  • Favicon Downloader - sieht schön aus und macht alles übersichtlicher.
  • DataBaseBackup (DataBaseBackup-2.0.8.6) - lokales Backup.
  • Firefox-Integration (Kee, bzw. KeeFox), damit man nicht von Hand Zugangsdaten für Internetseiten kopieren muss.
    KeeFox wird über die Firefox Add-Ons installiert und kopiert selbständig die PLGX-Datei in das KeePass-Verzeichnis.
    Kee benötigt KeePassRPC, welches manuell nach “C:\Program Files (x86)\KeePass Password Safe 2\Plugins\KeePassRPC.plgx” kopiert wird.
  • Cloud-Zugriff: KeeAnywhere bindet Dropbox, Google Drive oder OneDrive in den Öffnen-Dialog ein.
  • Cloud-Synchronisation, hier über Dropbox, damit man auf allen Geräten die gleichen Zugangsdaten verfügbar hat.
  • Android-App (KeePass2Android), damit es auch mit dem Handy klappt.

Sprachpaket: German.lngx in Keepass-Programmverzeichnis kopieren.

Konfiguration wird in KeePass.config.xml im Programmverzeichnis abgelegt.
 Feste, unveränderliche Teile der Konfiguration: in KeePass.config.enforced.xml

<Application>
		<LanguageFile>German.lngx</LanguageFile>
		<Start>
			<CheckForUpdate>false</CheckForUpdate>
			<CheckForUpdateConfigured>true</CheckForUpdateConfigured>
		</Start>
</Application>


Weitere Tips unter http://keepass.info/help/base/configuration.html

Trigger: Synchronisiere lokale DB am Haupt-PC mit Cloud

Ereignis: speichern einer Änderung

Bedingung: keine.

Aktion: speichern in das Verzeichnis des Dropbox-Clients

 

RDP: Um automatisch mittels "Open URL" RDP Sessions aus KeePass starten zu können muss RDP unter URL Overrides eingetragen werden.

  

 

cmd://cmd /c "cmdkey /generic:TERMSRV/{T-REPLACE-RX:/{BASE:RMVSCM}/(:\d{3,4}\z)//} /user:{USERNAME} /pass:{T-REPLACE-RX:!{PASSWORD}!\&!^&!} && mstsc /v:{URL:RMVSCM}  && timeout /t 5 /nobreak && cmdkey /delete:TERMSRV/{T-REPLACE-RX:/{BASE:RMVSCM}/(:\d{3,4}\z)//}"

 

Diese Version funktioniert auch bei einem & im Passwort und bei Angabe eines Ports in der URL, der Host wird mittels T-REPLACE-RX ermittelt.

Der Aufruf aus KeePass (URL Eintrag) erfolgt dann mittels folgender URL: rdp:IP (z.B.: rdp:192.168.0.2)

 

Putty: Die Standard URL Einstellung für Putty haben aus Sicherheitsgründen kein Passwort konfiguriert, außerdem kann nicht auf gespeicherte Profile zugegriffen werden. Wer seine Puttyprofile also abgespeichert hat und diese automatisch anmelden möchte kann dies durch Hinzufügen der folgenden URL Override umsetzen:

cmd://putty.exe -load {URL:RMVSCM} -l {USERNAME} -pw {PASSWORD}

im nächsten Screenshot eine gespeicherte Putty Session:

der Zugriff aus KeePass erfolgt so: putty://atest

 

UNC: 

Um auf die Freigabe eines Server zuzugreifen, kann z.B. eine URL-Überschreibung mit folgendem Inhalt erstellt werden:

cmd://cmd /c "net use {URL:RMVSCM} /user:{USERNAME} {PASSWORD} && explorer {URL:RMVSCM}"

 

der Aufruf über einen Eintrag geht dann so:

 

Quelle: http://www.libe.net/index.php/KeePass

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-05-01 08:07


SIV AG / kVASy 5 Starter Installationsparameter

Die kVASyStarter.msi nimmt für eine Batch-gesteuerte Installation folgende Parameter entgegen:
1. KVASYLAUNCHER_PROPERTIES_URL="<URL>" URL zur Starter-Konfigurationsdatei in der Form "file:////R:/ApplicationOrganizer/InhouseTest/kvasylauncher.properties". Benutze "/" anstatt "\". Als Protokoll kann auch das "http://"-Protokoll eingesetzt werden. Es muss sich hier um eine gültige URL handeln. Im Zweifelsfall kann diese im Browser getestet werden.
2. PROFILES_PATH="<Path>" Pfad zum kVASy5-Profilverzeichnis in der Form "D:\k5profiles". Default-Wert ist "#LOCALAPPDATA#\SIV.AG\kVASy\profiles". Netzwerkpfade sind möglich. Der User muß Schreibzugriff haben. Der Pfad darf auch Umgebungsvariablen enthalten, die erst zur Laufzeit vom Launcher aufgelöst werden. Diese müssen in Hashmarks (#) eingeschlossen sein. Beispiel: #USERPROFILE#\kvasy\profiles , D:\kVASy\profiles
3. WORKSPACES_PATH="<Path>" Pfad zum kVASy5-Workspace-Verzeichnis in der Form "H:\k5workspaces". Default-Wert ist "#USERPROFILE#\.sivag\kvasy\ao". Auch hier sind in Hashmarks eingeschlossene Umgebungsvariablen erlaubt.
4. CONFIGURATION_PATH="<Path>" Pfad, in dem der Starter interne Konfigurationsdateien ablegt. Es kann ein relativer Pfad (ausgehend vom Installationsverzeichnis) oder ein absoluter Pfad angegeben werden. Netzwerkpfade sind möglich. Schreibzugriff ist erforderlich. Hier sind keine Umgebungsvariablen erlaubt. ( D:\kVASy\configuration )
5. INSTALLDIR=<Pfad> Das Installationsverzeichnis. (Installation erfolgt als Administrator) ( C:\Programme\kVASyStarter )
6. /L*v <Log-Datei> Schaltet das Logging ein und kann zur Fehlersuche während der Installation verwendet werden.
7. /qn Silent-Mode - dieser Parameter muss immer der letzte sein.

Die Installation kann nur dann erfolgreich durchgeführt werden, wenn kein kVASy® Starter auf dem Installationsrechner noch ausgeführt wird. Es ist also vorher zu prüfen und sicherzustellen, dass keine launcher.exe noch ausgeführt wird.
Der Starter kann über folgenden Kommandozeilenaufruf deinstalliert werden:
msiexec /x kVASyStarter.msi 

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-06-24 17:51


MS Software ISO Downloads (Windows, Office)

• MS Office 2016 Download Links: https://www.heidoc.net/joomla/technology-science/microsoft/8-office-2016-direct-download-links

• Microsoft Windows and Office ISO Download Tool (Windows 7 / 8,1 / 10 / Office 2007 / 2010 / 2011 / 2013 / 2016)
Homepage (Phnom Penh, Cambodia): heidoc.net
Download Mirror: Windows ISO Downloader.exe
 ( Version: 5.10, Release Date: 10 August 2017 )

• MS Download Seite: https://www.microsoft.com/de-de/software-download/home

• Alternative TechBench Download-Seite: https://tb.rg-adguard.net

• Download/Hilfe MS Windows und Office: SoftwareHunter

• Win10 Installation: https://uwe-kernchen.de/phpmyfaq/index.php?action=artikel&cat=14&id=243&artlang=de

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-11-02 11:05


Fernsteuerung / Remote Verwaltungstools

Windows Shadowing (mstsc.exe): https://administrator.de/contentid/500133
Windows RemoteUnterstützung (msra.exe): https://administrator.de/wissen/einrichtung-fernwartung-bordmitteln-vista-111579.html

  • Real VNC - Klassiker, teuer
  • TightVNC - free, auch kommerziell. Java-basiert, auch als Dienst, alle Plattformen. kompatibel mit anderer VNC-Software
  • UltraVNC - Open Source, nur für Windows (alle Versionen), TCP Port 5900 (änderbar), kompatibel mir RealVNC, TightVNC u.a.
        (auch als Dienst, mit Dateitransfer, Verschlüsselung mit PlugIn, Remote-Bildschirm skalieren, Zwischenablage)
  • ThinVNC - über HTML5/AJAX mit aktuellen Webbrowsern (unverschlüsselt)

Royal Applications
  Universal Client für RDP, VNC, SSH based terminals, S/FTP or web-based interfaces.

ASG Remote Desktop
  Universal Client für RDP, VNC, SSH based terminals, S/FTP or web-based interfaces.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-01-20 19:44


ISO aus CD erstellen

Infra Recorder, auch portable http://infrarecorder.org/

Einfaches Tool zum CD brennen, erstellt auch ISO aus CD.

(Seit 2012 nicht mehr weiter entwickelt. Bis Windows 7 super)

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-02-07 19:17


Netzwerk-Papierkorb Undelete Server von Condusive

Es ist kaum zu glauben, aber auch im Jahr 2017 gibt es bei Windows noch keinen Papierkorb für Dateien, die auf einem Netzwerk-Laufwerk gelöscht wurden.
Der Papierkorb greift nur lokal.
Windows Server speichern nur Dateien im Papierkorb, die an der Serverkonsole selbst gelöscht wurden.

Eine sehr praktische Software ist der Undelete Server von Condusive, der diese Lücke schließt und noch deutlich mehr bietet.
Jeder Druck auf den "Speichern"-Button am Client erzeugt eine Kopie im Undelete-Papierkorb auf dem Fileserver.
Der Papierkorb hat also eine Versionsverwaltung.
Man kann eine fehlerhafte Datei minutiös zurück rollen bis zum letzten fehlerfreien Stand.
Diesen Komfort bietet so kein Snapshot und kein Backup, und das macht die Software für mich zum unverzichtbaren Geheimtip.

Leider liegt die Priorität des Herstellers auf anderen Dingen und die Lizenzpolitik ist undurchsichtig.

Die aktuell auf der Herstellerseite und als Update angebotene Version 10 Build 7.0.202.26 ist von 2012 und unterstützt Windows 10 und Server 2016 nicht bzw. fehlerhaft.
Der Hersteller bietet aber eine Version 10 Build 7.0.205.0 von 2013 an (u.a. als Testversion), die die neuen Betriebssysteme fehlerfrei unterstützt. Beim Neuerwerb bekommt man auch diese Version. Offensichtlich wird es aber kein Update von Build 7.0.202.26 auf 7.0.205.0 geben.

Eine vergleichbare Software gibt es auch hier: https://www.1securitycenter.com/network_recycle_bin.html (veraltete Webseite ohne Impressum).

Mit regelmäßigen Volumenschattenkopien erreicht man ähnliche Sicherheit mit Bordmitteln.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-12-29 12:28


Alcatel Pimphony

Pimphony läßt sich im Benutzer nicht konfigurieren,
Fehlermeldung: Run-time-error '3204' Database already exists.

Behebung: Im Userprofil Verzeichnis: AppData/Roaming/Alcatel Pimphony/ löschen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-08-25 11:33


eVergabe (intern)

Bild

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-09-08 11:18


Corporate Montage - Presurfer

Der Presurfer ist ein Tool zur Lizenzüberwachung der Bentley GIS -Lizenzen.

- auf dem GIS-Server läuft das eigentliche Programm.
- alle Zugriffe werden in einer SQL-Datenbank geloggt.
  - hängengebliebene Sitzungen suchen in Datenbank dbo.AquiredLicenses mit "where StopTime is NULL"

- auf jedem zu überwachenden Client läuft ein PreserverService.

- auf Server und allen Clients liegt unter ProgramData/Corporate Montage/Runner/ eine LOG-Datei für jeden Tag.
- wenn der Server nichts loggt, läuft der Dienst auf dem Client nicht
- LOG auf dem Client ist sehr informativ.

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-11-13 11:54


Adobe Reader auf Terminalserver

 

Der Adobe Reader wird auf dem Terminalserver nicht sauber beendet und belegt vor allem nach dem Druck so viel Speicher, dass er den Server nach einigen Ausdrucken zu 100% CPU auslastet.

Abhilfe:  "geschützten Mode" deaktivieren. (In AR11 unter Sicherheit -erweitert)

oder für alle User per Registry:

Find Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown

Create new DWORD32 Value:

          Value Name:  bProtectedMode

          Value Data:  0

Alternative:
PDF XChange Editor free (Terminalserver-tauglich): https://www.pdf-xchange.de/DL/pdf-xchange-editor.htm

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-06 11:41


Powershell: IP ermitteln

Powershell ISE starten, ggf. Script-Ausführung aktivieren.

• Host testen und IP zum Name ermitteln:

$ip = (Test-Connection 'A039N015' -Count 1).IPV4Address.IPAddressToString
Write-Host "Die IP-Adresse ist $ip"

• nur IP zu Name aus DNS ermitteln (ohne Test):

[System.Net.Dns]::Resolve('A039N015').AddressList.IPAddressToString

• ausführliches Beispiel:

<#
   Name
   Get-IPv4
   Beschreibung
   Ermittelt die IPv4, zugehörige MAC-Adresse sowie den Adapternamen
   Benötigt
   PowerShell 3.0 (Windows6.1-KB2506143-x64)
   Version, Datum, Beschreibung, Autor 
   1.0 | 23.01.2017 | Initiale Version | Stefan Rehwald
   1.1 | 11.07.2017 | Clear-Variable hinzugefügt | Stefan Rehwald
#>

function Get-IPv4 ()
{
    $IPRaw = ipconfig /all
    $i=0
    Foreach($Row in $IPRaw)
    {
        #Get IPv4 (all), MAC and Adaptername
        If($Row -like "*IPv4*")
        {
            #MAC
            $j=$i
            do
            {            
                $j--
            }while ($IPRaw[$j] -notlike "*Phy*")
            $v4_MAC = $IPRaw[$j].Trim()

            #Adaptername
            $j=$i
            do
            {            
                $j--
            }while ($IPRaw[$j] -notlike "")
            $v4_Adaptername = $IPRaw[$j-1]

            #Data
            $v4_IPv4 = $Row.Split(":")[1].trim()
            $v4_MAC =  $v4_MAC.Split(":")[1].trim()
            $v4_Adaptername = $v4_Adaptername.Replace(":","")
            $IPData =@($v4_IPv4,$v4_MAC,$v4_Adaptername)
            
            #LOG
            Write-Host "$($v4_IPv4);$($v4_MAC);$($v4_Adaptername)" -F Green
          
            #Clearing
            Clear-Variable v4_*
        }
        $j=0
        $i++

    }
}

Get-Ipv4

<# Ausgabe #>

# 172.29.0.241(Bevorzugt);E4-B3-18-E6-B1-58;Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung
# 192.168.1.1(Bevorzugt);C8-5B-76-2B-28-7C;Ethernet-Adapter LAN-Verbindung

Einfache Ausgabe der IP, ermittelt aus dem Hostname:

$IPClient = Test-Connection $env:COMPUTERNAME -Count 1

#IPv4
$IPClient.IPV4Address.IPAddressToString

#IPv6
$IPClient.IPV6Address.IPAddressToString
<# Ausgabe #>
#IPv4
# 192.168.1.1 
#IPv6
# fe80::e6:bfe9:cc2c:7e1d%13

Quelle: https://blog.stefanrehwald.de/2017/01/31/powershell-14-ipv4v6-und-mac-ermitteln-ohne-zusaetzliche-cmdlets/

So gehts auch:

Get-Wmiobject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=true" | select Description,IPAddress

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-02-06 08:08


MusicMixer, Audioeditor, Mehrspurrecording, Profi Freeware PC

Audacity

Audacity ist ein freier Audioeditor und -rekorder bzw. eine Digital Audio Workstation.
Auf beliebig vielen Spuren können Audiodateien gemischt und bearbeitet werden.
Deutsch, VST-kompatibel.

https://www.audacity.de/
CT 14/2019 S. 134ff.

Tip: mit FFmpeg Bibliothekt kann das Programm MP4 lesen, WMA, AAC u.a. importieren und exportieren.

Bandlab Cakewalk

Professionelle Musik-Produktions-Software (ähnlich Steinberg Cubase)

- Sequenzer für beliebig viele MIDI- und Audio-Spuren

- üppig ausgestattetes virtuelles Mischpult
- alle gängigen Audio- und MIDI-Treiber werdewn unterstützt, alternativ: ASIO4All-Treiber
- VST 2/3-Schnittstelle für Effekte

Achtung: Anbieter lässt sich freie Vermaktung aller Daten in den AGB abnicken!
Programm läuft aber auch offline ohne Datenübertragung.

Herstellerseite: www.bandlab.com

Beschreibung: CT 11/2018 S. 62ff
Link zu guten kostenlosen VST-Plugins: ct.de/y3um

No 23 Recorder

Freeware zum Audiomitschnitt von der Soundkarte

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-12-28 13:02


audatis Datenschutz-Manager

Aktivitätenverwaltung
Dokumentiert Schulungen, Beratung, Berichte, Vor-Ort-Termine usw. und definiert (gerade für ext. DSB) vor Ort Standardentfernungen und -reisezeiten für einfache Abrechnungsgrundlagen.

Anfragen Betroffener
Anfragen können durchsucht und gefiltert werden.
Abgeschlossene Anfragen können in ein Archiv verlagert werden.
Anfragen lassen sich (auf Wunsch) über einen privaten Link auch von nicht angemeldeten Usern erstellen.

Auftragsverarbeitung
- Vorlagen können für den eigenen Mandanten und für untergeordnete Einheiten freigeben werden.
- Eigene Vertragsgrundlagen können in den Vorlagentextbausteinen definiert werden. Neben AV-Vertrag gem. Art. 28 DS-GVO, EU-Standardvertragsklauseln, etc. können damit alle für Sie relevanten Vertragsarten abgebildet und Einträge danach gefiltert werden.
- "AV-Export" - exportiert das gesamte Verzeichnis als CSV.
- "Internes Verzeichnis" (Langform) und Behördliches Verzeichnis" - gibt die mit den Auftragsverarbeitungen verknüpften Verfahren aus.

Benutzer vs. Mitarbeiter
Benutzer melden sich im audatis an und haben einen eigenen Login + Benutzerrolle.
audatis lizenziert die Anzahl der Benutzer.
Mitarbeiter können beliebig viele erstellt werden und zu Organisationsstrukturen hinzu gefügt werden.
Benutzer können zukünftig der Dokumentations- und Nachweisverwaltung zugeordnet werden.

Online-AV-Verträge
können als elektronische Verträge direkt aus dem Programm generiert werden (kostenpflichtig).
Vertäge sind auch möglich für "Vereinbarungen für gemeinsam Verantwortliche", welche ein 1:1 Verhältnis innehaben.
Inhaltlich sind die Vereinbarungen identisch nutzbar, jedoch sprachlich etwas abgewandelt. Sie landen dann automatisch in der Übersicht der Gemeinsam Verantwortlichen und nicht in der Auftragsverarbeitung.

Berichtsverwaltung
Mächtiges Ausgabewerkzeug über fast alle Module.
* Bereiche: Internetseiten, Gemeinsam Verantwortliche, Datenschutz- und Sicherheitsvorfälle, Anfragen Betroffener, Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungen, TOM lassen sich ausgeben
* je nach Bereich Ausgabe als Liste, Tortendiagramm oder Bericht möglich
* Gruppierung nach Unterpunkten möglich

Dateiablage
Zentrale Dateiablage besitz pro Ordner eigenständige Berechtigungen an Rollen oder einzelnen Benutzern.
"Shared-Ordner" lassen sich in der Group-Version über Mandanten hinweg benutzen.

Datenschutz-Vorfälle
können (auf Wunsch) über einen privaten Link auch von nicht angemeldeten Usern erstellt werden.
In Datenschutzvorfällen (Vorlagen) können Sofortmaßnahmen hinterlegt werden.

Fragebogenmanager

  • Check-In Fragebogen
    Fragebogenverwaltung -> Check-In Fragebogen verwalten:
    -> Fragebogen wählen und Mandanten zuweisen
    - Fragebogen muß beim CheckIn ausgefüllt werden und läßt sich nur von Administratoren übergehen
    - erst nach Bearbeitung des Fragebogens kommt man wieder in den Mandant (!)
    - der fertig ausgefüllte Fragebogen liegt unveränderbar mit Abschlussdatum in der Fragebogenverwaltung -> Check-In Fragebogen verwalten.

  • Audit Fragebogen
    - Modul Audit -> Audit erstellen: Benutzer und Fragebogen zuweisen
    - der ausgefüllte Fragebogen bleibt im Modul Audit. (Im Moment fehlt leider noch ein Ablagedatum)

  • AV Selbstauskunft (nur Auftragnehmer-AN)
    - Auftragsverarbeitung -> Selbstauskunft -> Fragebogen wählen, Link generieren
    - Fragebogen kann extern ausgefüllt werden
    - Selbstauskunft wird komplett als Historie in der betr. Auftragsverarbeitung gespeichert.

Protokollverwaltung
Erstellen einfacher Gesprächsprotokolle, um diese mit Tagesordnungspunkten (TOP) zu versehen.
Jedem TOP können dabei Aufgaben oder Maßnahmen für Benutzer zugeordnet werden.
Damit lässt sich direkt bei der Protokollerstellung auch die weitere Überwachung der Abarbeitung und Verteilung von Aufgaben erledigen. (Dieses Modul muss zunächst in der Benutzerverwaltung aktiviert werden).

TOM
- Vorlagen können für den eigenen Mandanten und für untergeordnete Einheiten freigeben werden.

Vorlagenbausteine
Vorlagentextbausteine können direkt mehreren / allen Mandanten zugewiesen werden (Group-Version).

Zusammenarbeit mit Aufsichtsbehörden
Modul ist ähnlich aufgebaut wie Anfragen Betroffener.
Der Fokus liegt hier aber auf einer übersichtlichen Dokumentation aller Anfragen an und Anliegen von der Aufsichtsbehörde.
Hier können Beschwerden, Anfragen, Konsultationen in Zusammenhang mit der DSFA sowie Prüfungen durch die Aufsichtsbehörde dokumentiert und mit Fristen versehen zur Abarbeitung eingestellt werden.


Neuen Benutzer registrieren

Sofern Sie eine Einladung zur Registrierung als neuer Benutzer erhalten haben, können Sie über den entsprechenden Link einen neuen Benutzer festlegen.

1. Zunächst müssen Sie Angaben zu Ihrer Person (Name, Vorname, E-Mail-Adresse) machen und einen Benutzernamen definieren.

Die verwendete E-Mail-Adresse muss identisch zu der in der Einladungsmail angegebenen E-Mail-Adresse sein.
Das zu vergebene Passwort muss ausreichend komplex und sicher sein und ein weiteres Mal bestätigt werden.

Sie erhalten Hinweise welche Zeichen Sie verwenden dürfen und wie lang Benutzername und Passwort sein müssen!

2. Nun müssen Sie noch Ihren Freischaltcode eingeben, um die Registrierung zu verifizieren. Diesen erhalten Sie ebenfalls in der Einladungsmail.

3. Sie erhalten nun eine E-Mail mit einem Aktivierungslink, den Sie zunächst anklicken müssen, um die Registrierung abzuschließen. Anschließend können Sie sich mit Ihren Benutzerdaten anmelden.

4. Den Link zur Anmeldung finden Sie immer ganz oben rechts in der Kopfzeile.

Quelle: audatis FAQ

Verfasser: Uwe Kernchen
Letzte Änderung: 2019-03-21 10:25


Lizenz auslesen

License Crawler von Martin Kliensmann - läuft auf Windows- 95 bis 10 und Server, findet viele Keys.

Magical Jelly Bean Keyfinder - findet Windows Key, manchmal auch mehr. (CT Notfall Windows 2022)

ShowKeyPlus
Liest installierten Windows Key aus sowie ggf. den in der Hardware hinterlegten OEM-Key oder den Original-Key vor einem Gratis-Win10-Update.
Außerdem zeigt es nach Eingabe eines Key die Windows-Edition.

MS Office Key per Eingabeaufforderung ändern:

  • cd C:\Program Files\Microsoft Office\Office16 (o.ä.)
  • cscript OSPP.VBS /dstatus - vorhandenen Key auslesen
  • cscript OSPP.VBS /unpkey:KEY (nur letzten 5-er Block)
  • cscript OSPP.VBS /inpkey:KEY-KEY-KEY-KEY-KEY - neuen Key installieren
  • cscript OSPP.VBS /act  - Key aktivieren

Siehe auch Server Lizenz Aktivierung.

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-03-08 21:49


Datenschutz

Verfasser: Uwe Kernchen
Letzte Änderung: 2019-01-17 11:53


Passworte auslesen oder zurück setzen

Windows 10: lokales Passwort zurück setzen mit Bordmitteln

Windows Login Unlocker, setzt Windows Passwort zurück, sogar bei Microsoft-Account (u.a. CT Notfall-Windows), Quelle: russisches Forum

CHNTPW - setzt Windows Passwort zurück (kann keine MS Konten), OpenSource für Windows und Linux (u.a. in Kali Linux, CT Notfall Windows)

Router und Webseiten auslesen(IE): RouterPassView von Nirsoft
Browserpassworte, Netzwerkshares, Windows, Mailaccounts, PST-Dateien, RDP-Connection, VNC u.a. bei Nirsoft
John the Ripper - Passwortgeschützte ZIP-Dateien, PDF, Office, Keepass (Win, Linux, MacOS), u.a. bei Kali Linux (CT: ct.de/y41x)

EFS-verschlüsselte Dateien sind systembedingt nach einem PW-Reset nicht mehr lesbar.

Verfasser: Superadmin
Letzte Änderung: 2022-03-11 09:16


Tools: Handy als Webcam

Mit entsprechenden Tools ist es möglich, das Handy als "Webcam" für Videokonferenzen am PC zu nutzen.

Android: DroidCam verwandelt das Android-Handy in eine WLAN/USB-Webcam mit der man über Skype, Zoom, Teams, JitsiMeet und andere Programme chatten kann. DroidCam kann auch netzwerkübergreifend als IP-Kamera mittels Webbrowser genutzt werden.
Das Gleiche gibt es auf der Webseite des Entwicklers für IOS, die entsprechenden Treiber für Windows und Linux.

Das Mobiltelefon läßt sich über WLAN oder USB (Debug- und Entwicklermode ON) an den PC anbinden.
Eine leichte Latenz ist spürbar.
Neben dem Bild läßt sich auch das Mikrophon des Handys nutzen. Das vermeidet Synchronisationsfehler von Ton und Bild und das Handy optimiert die Echounterdrückung.
Der Einsatz von Kopfhörern zur Echounterdrückung ist aber empfehlenswert.

Bei ernsthaftem Einsatz ist eine Handyhalterung etwa in Gesichtshöhe empfehlenswert.

Weitere Tools und Praxistips in CT 14/2020 S.92ff.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-07-11 14:16


GIT Versionsverwaltung

GIS verteilte Versionsverwaltung (lokal, zentral, verteilt)
GITHUB ist ein Anbieter von GIT.

GIT Bash Konfiguration:
- git config --list - listet aktuelle Config
- git config --global user.name "Git-Username"
- git config --global user.email "mail@server.de"
- cd ... zum lokalen Datenverzeichnis
- git init - erstellt (leeres) Repository


Quelle: HPI

GIT Bash Daten hinzu fügen:
- git add *.php - Datei der Staging Area hinzu fügen und für Repository auswählen
- git commit - Änderungen im Repository speichern. Ggf mit Kommentar: git commit -m "Kommentar"
- git commit --ammend - ersetzt den letzten Commit mit dem Neuen (Fehlerkorrektur im Kommentar o.ä.)
- git remove - Datei wieder aus Repository und Index entfernen
- git status - zeigt Staging Cache und Repository

Online Repository
- git remote - verwaltet alle verfolgten Repositorys
- git remote add <alias><url> - synchronisiert lokalen Alias in Online-Repository
- git remote remove <alias> - entfernt Repository online
- git clone <url><alias> - clont vorhandenes Online-Repository in lokalen Alias

Lokale Änderungen online übertragen
- git push orgin/<branch>
- git push -u orgin master

Online Änderungen lokal übertragen
- git fetch origin
- git merge origin/<branch>
- git pull (=fetch+merge)

Master-Branche ist immer der aktuelle Branch.
- git branch <branchname> neuen Branch erstellen
- git checkout <branchname> Branch wechseln
- git checkeou -b <branchname> neuen Branch erstellen und gleich hin wechseln
- git merge <branchname> Merged aktuellen Branch mit <branchname>

- git log zeigt Versionshistorie des Repositorys

Verfasser: Uwe Kernchen
Letzte Änderung: 1970-01-01 01:00


Audio CD rippen

• Windows Media Player
  - CD auswählen
  - CD kopieren (vorher Kopiereinstellungen)

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-07-15 21:44


Siemens WinCC

WinCC Client in MS Edge ausführen:

  • URL zu "Seiten im Internet Explorer-Modus" hinzu fügen
  • URL zu "Ausnahmen von Tracking-Verhinderung" hinzu fügen
  • erste Webseite geht
  • "webnavigatorclient.exe" herunter laden und als Admin ausführen
  • Installation in MS Edge vervollständigen
  • ggf. sehr schmale Navigation auf der linken Seite beachten!
  • Start im Browser oder im Client (C:/Programme (x86)/Siemens/WinCC/Webnavigator/Client/bin/WinCCViewerRT)

Webnavigator 7.5:
  - Verknüpfung aus Programme/Siemens../ ziehen
  - Konfiguration wird per Default in Users/..../AppData/LocalLow/WinCCViewerRT.xml gespeichert.

SQL-Server für WinCC optimieren: https://support.industry.siemens.com/cs/document/109812306/wie-k%C3%B6nnen-sie-im-pcs-7-umfeld-die-verarbeitung-von-tasks-im-sql-server-optimieren-

Versionsübersicht:  Quelle: https://de.wikipedia.org/wiki/WinCC

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-04-12 15:35


Software deinstallieren

1. Uninstall-Schlüssel in Registry suchen:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstaller

2. UninstallString (Registry: Werte=uninstall) suchen.

3. in Kommandozeile ausführen.

Bsp. Java 1.8.0.45 deinst.:
MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218045F0} /quiet

Bsp.: Symantec Endpoint Protection 14 deinst.:
MsiExec.exe /I{4DF3B441-9145-4D02-970E-F18CA893EA11} /quiet
oder: Norton Removal Tool

/quiet - Hintergrundmodus ohne Benutzeraktion
/passive
- unbeaufsichtigt, nur Statusleiste

Verfasser: Superadmin
Letzte Änderung: 2020-08-25 22:07


Python

  • Module installieren: pip install (Modul)
  • Welche Module sind installiert? pip list

Interne Module importieren:

  • winsound (Beep Sound, WAV-Dateien)

Externe Module der Python Community:

Verfasser: Superadmin
Letzte Änderung: 2023-06-07 09:46


Abkürzungen

CAL Client Access Lizenz (User-CAL, Device-CAL, RDP-CAL)
COA Microsoft Certificate of Authenticity - OEM Lizenzaufkleber
CSP MS Cloud Produkte (Miet-Abo)
LAG Link Aggregation Group (Switch)
LMC Lancom Managed Cloud
LTSC (LTSB) MS Long Time Service Chanal, früher Long Time Service Branch
Langzeitsupport
KMS Key Management Service (Volumenlizenz aktivieren über eigenen Server)
MAK Multiple Aktivation Key (Volumenlizenz für mehrere Lizenzen, online aktivierbar, siehe auch KMS)
OVP Originalverpackung
SDN Software Defined Network
SKU Stock Keeping Unit, Artikelnummer, individuelle Produktnummer
VCSP Veeam Cloud- und Serviceprovider
VDA Virtual Desktop Access (Lizenz für virtuelle Windows 10)
VUL Veeam Universal License (Abo-Model)

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-02-09 08:23


Synology NAS

Verfasser: Superadmin
Letzte Änderung: 2021-03-29 17:30


DIWA / Kommunale Umwelt

DIWA 5 auf neuem PC installieren

Fehler: kann Wartungen als ZIP-Datei nicht importieren
DiWa5 benötigt für den Import den Microsoft XML-Basisdienst in der Version 4.x. Fehlermeldung „Klasse nicht registriert …“
(https://docs.microsoft.com/en-us/previous-versions/windows/desktop/ms754671(v=vs.85)) ----> Msxml2.SAXXMLReader.4.0 fehlt
Lösung: Sie können die Setup-Datei für den "Microsoft XML-Basisdienst" u.a. hier herunterladen (MSI von 2016):  https://www.diwa5.de/download/direct/msxml.msi

Firebird / DIWA auf anderen Server verschieben

Firebird besitzt eine ALIASES.CONF.
- Datei steht üblicherweise in %Programms%/../Database/Server/
- Datei beinhaltet Alias und Pfad + DB-Datei

  • Firebird-Dienst beenden
  • FDB Datenbankdatei aus ALIASES.CONF auf neuen Server verschieben
  • Dienste auf neuem Server starten

Diwa5 Neue Datenbank

C:\Program Files\DiWa5\Database\Server\aliases.conf
Datei enthält alle Aliases + Pfad zur .FDB Datendatei.

• leere Datei nehmen oder vorhanden kopieren und dort eintragen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-05-10 16:28


Citrix Workspace Zweischirmbetrieb

- Bild auf Fenstermodus verkleinern
- Bild zwischen die Bildschirme schieben, also auf beide Monitore
- auf Vollbild schalten

Verfasser: U.Kernchen
Letzte Änderung: 2021-09-04 08:38


Capaz Zahnarzt Praxisverwaltung

  • Datenpartition mit /CAPAZW -Verzeichnis mit festem Laufwerksbuchstaben mappen
  • Verknüpfung der Datei /CAPAZW/EXE/CAPAZW.EXE auf den Desktop erstellen
  • Verknüpfungsziel mit entspr. USERx erweitern (z.B. Ziel: Z:/CAPAZW/EXE/CAPAZW.EXE USER1) - jeder User nur einmal
  • Firewall-Anfrage beim erstmaligen Zugriff auf CAPAZW zulassen
  • Lockmanager ( LMW ) manuell einbinden, nicht über LMWSetup
  • Lockmanager muß laufen, bevor die Clients gestartet werden können
  • Lizenzmanager lmw.exe startet am Terminalserver mit dem ersten Aufruf, in Folgesitzungen startet er nicht nochmal
  • Firewall-Anfrage beim erstmaligen Zugriff auf LMW zulassen
  • in jedem User-Verzeichnis liegt eine CAPAZW.INI mit DBLOGMGR = IP-Adresse des Lockmanagers

- diverse Schnittstellen zu anderen Programmen
  https://www.capaz.de/capaz-zasoftware-hardware

- Sicherungsprogramm im Standardlieferumfang

Verzeichnisstruktur von \CAPAZW
\CAPAZW\DBD Datenbank Patienten Stammdaten, Leistungen etc...
\CAPAZW\EXE Programmdateien
\CAPAZW\USERxx Usereinstellungen (bezogen auf Workstation)
\CAPAZW\CAM Intraorale Bilder
\CAPAZW\STA Stammdaten, Einstellungen
\CAPAZW\TEXT Schreibmaschinentexte
\CAPAZW\BAS diverse Textdateien
\CAPAZW\HELP Hilfesystem HTML-basierend

Firewall Ports für Lizenzmanager lmw.exe:
* 1523 TCP
* 50789 TCP
* 49789-49799 TCP

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-04-24 11:17


DATEV Updates

  • vorher Snapshot erstellen, danach wieder löschen
  • Taskplaner: DATEV - Jobs deaktivieren und hinterher wieder aktivieren
  • Update liegt auf L:/Datev/ -> Setup starten
  • DATEV Installationsmanager
  • prüfen auf neueste Version
  • Server-Komponenten zuerst am DATEV-Server (DC)
  • Programmkomponenten dann auch an TS, (Kommunikationsserver), (Clients)
  • Benutzerdefiniert Installation
  • nicht Aktualisierung im Netz,
    nur Aktualisierung am Arbeitsplatz (alle Plätze einzeln)
  • Assistent -> Datenanpassung

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-01-01 01:21


Canon Toner ohne "Kopierschutz" betreiben

Wegen Chipknappheit muß Canon jetzt selbst Toner ohne ihren ach so sinnvollen "Kopierschutz" herstellen und informierte Kunden kurzzeitig, wie sie diesen umgehen können. Die Informationen sind inzwischen von den offiziellen Webseiten verschwunden.
Quelle: https://www.borncity.com/blog/2022/01/10/canon-liefert-toner-ohne-herstellerchips-aus-und-gibt-hinweise-zur-nutzung/

Betroffen sind laut Canon folgende Modelle:

imageRUNNER 1435i/1435iF
imageRUNNER 2625i/2630i/2645i
imageRUNNER ADVANCE 4525i/4535i/4545i/4551i, II und III
imageRUNNER ADVANCE C250i/350i/C351iF
imageRUNNER ADVANCE C255i/C355i/C355iF/C256i/356i
imageRUNNER ADVANCE C256i/356i II und III
imageRUNNER ADVANCE C3320i/3325i/3330i
imageRUNNER ADVANCE C3520i/3525i/3530i, II und III
imageRUNNER ADVANCE C5535i/5540i/5550i/5560i, II und III
imageRUNNER ADVANCE DX 4725i/4735i/4745i/4751i
imageRUNNER ADVANCE DX 6000i
imageRUNNER ADVANCE DX C257i/C357i
imageRUNNER ADVANCE DX C3720i/3725i/3730i
imageRUNNER ADVANCE DX C3822i/3826i/3830i/3835i
imageRUNNER ADVANCE DX C5735i/5740i/5750i/5760i
imageRUNNER C1325iF/1335iF
imageRUNNER C3025i
imageRUNNER C3125i
imageRUNNER C3226i

Kopie der Canon-Webseite vom 07.01.2022 aus webarchive.org:
Wie Sie Ihr Gerät weiter verwenden

Befolgen Sie bei den folgenden Modellen die nachstehenden Anweisungen, wenn nach dem Einsetzen des Toners eine Fehlermeldung angezeigt wird:

imageRUNNER 2625i/2630i/2645i
imageRUNNER ADVANCE 4525i/4535i/4545i/4551i, II und III
imageRUNNER ADVANCE DX 4725i/4735i/4745i/4751i
imageRUNNER ADVANCE DX 6000i
imageRUNNER ADVANCE C255i/C355i/C355iF/C256i/356i
imageRUNNER ADVANCE C256i/356i II und III
imageRUNNER ADVANCE DX C257i/C357i
imageRUNNER C3125i
imageRUNNER C3226i
imageRUNNER ADVANCE C3520i/3525i/3530i, II und III
imageRUNNER ADVANCE DX C3720i/3725i/3730i
imageRUNNER ADVANCE DX C3822i/3826i/3830i/3835i
imageRUNNER ADVANCE C5535i/5540i/5550i/5560i, II und III
imageRUNNER ADVANCE DX C5735i/5740i/5750i/5760i

Der folgende Bildschirm kann angezeigt werden, wenn Toner verwendet wird, der keine elektrischen Komponenten enthält.
Drücken Sie auf [Close] [Schließen], um den Druckvorgang fortzusetzen.


Interim_Toner_Screenshot_1

Der auf Ihrem Gerät angezeigte Tonerstand ist möglicherweise nicht korrekt, und der verbleibende Tonerstand kann plötzlich von 100 % auf 0 % wechseln.

Wenn 0 % angezeigt wird, setzen Sie einen neuen Tonerbehälter ein.


Interim_Toner_Screenshot_2

 



Befolgen Sie bei den folgenden Modellen die nachstehenden Anweisungen, wenn nach dem Einsetzen des Toners eine Fehlermeldung angezeigt wird:

imageRUNNER C1325iF/1335iF
imageRUNNER C3025i
imageRUNNER ADVANCE C250i/350i/C351iF
imageRUNNER ADVANCE C3320i/3325i/3330i

Der folgende Bildschirm kann angezeigt werden, wenn Toner verwendet wird, der keine elektrischen Komponenten enthält.
Drücken Sie auf [I Agree] [Ich stimme zu], um mit dem Drucken fortzufahren.

Bitte drücken Sie nicht auf [Cancel] [Abbrechen]. Sollten Sie bereits darauf gedrückt haben, führen Sie die folgenden Schritte aus:

  1. Nehmen Sie den Toner aus dem Gerät.
  2. Setzen Sie den Toner wieder in das Gerät ein.
  3. Drücken Sie auf [I Agree] [Ich stimme zu], um den Druckvorgang fortzusetzen.

Interim_Toner_Screenshot_3

Der auf Ihrem Gerät angezeigte Tonerstand ist möglicherweise nicht korrekt, und der verbleibende Tonerstand kann plötzlich von „OK“ zu „Empty“ („Leer“) wechseln.
Wenn „Empty“ („Leer“) angezeigt wird, setzen Sie einen neuen Tonerbehälter ein.


Interim_Toner_Screenshot_4

 



Befolgen Sie bei den folgenden Modellen die nachstehenden Anweisungen, wenn nach dem Einsetzen des Toners eine Fehlermeldung angezeigt wird:

imageRUNNER 1435i/1435iF

Der folgende Bildschirm kann angezeigt werden, wenn Toner verwendet wird, der keine elektrischen Komponenten enthält.
Drücken Sie auf [OK], um den Druckvorgang fortzusetzen.


Interim_Toner_Screenshot_5

Bitte drücken Sie nicht auf [Stop] [Stopp]. Sollten Sie bereits darauf gedrückt haben, führen Sie die folgenden Schritte aus:

  1. Nehmen Sie den Toner aus dem Gerät.
  2. Setzen Sie den Toner wieder in das Gerät ein.
  3. Drücken Sie auf [OK], um den Druckvorgang fortzusetzen.

Der auf Ihrem Gerät angezeigte Tonerstand ist möglicherweise nicht korrekt, und der verbleibende Tonerstand kann plötzlich von „OK“ auf „None“ („Keine“) wechseln.
Wenn „None“ („Keine“) angezeigt wird, setzen Sie einen neuen Tonerbehälter ein.

Passend dazu: Golem.de - Der endgültige Beweis, dass DRM weg kann

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-01-14 09:26


Lancom VPN Client f.Windows lizenzieren

Lizenz aktivieren

  • Hilfe -> Lizenzinfo und Aktivierung
  • Online aktivieren
  • Lizenzkey und Seriennummer eingeben
  • Onlineaktivierung
  • Erfolgreiche Aktivierung abwarten -> Fertigstellen

Lizenz auf neues Gerät übertragen

  • Hilfe -> Client deaktivieren
  • Assistent zur Deaktivierung ausfüllen
  • Daten an Deaktivierungsserver übertragen
  • E-Mail mit neuem Lizenzschlüssel

Verfasser: Uwe Kernchen
Letzte Änderung: 1970-01-01 01:00


SNMP

SNMP: Simple Network Management Protokol, Port 161 oder 162
  Scan nach SMTP-Geräten mit einfachem Portscanner möglich.

  • ESXi - SNMP konfigurieren per SSH/Shell:
    esxcli system snmp set --communities public
    esxcli system snmp set --enable true
    esxcli network firewall ruleset set --ruleset-id snmp --allowed-all true
    esxcli network firewall ruleset set --ruleset-id snmp --enabled true
    # SNMP-Dienst neu starten
    /etc/init.d/snmpd restart
    # prüfe SNMP-Einstellungen
    esxcli system snmp get
  • vCenter - SNMP konfigurieren per SSH
    # prüfe SNMP-Einstellungen
    snmp.get
    # setze Communiti(s)
    snmp.set --communities MySnmpCommunity
    # Allow a device to access the SNMP agent (192.168.10.10 = monitoring server)
    snmp.set --targets 192.168.10.10@161/MySnmpCommunity,localhost@161/MySnmpCommunity
    # Enable the SNMP Agent
    snmp.enable
    # Verify the SNMP Settings configured
    snmp.get
    # Test the working
    snmp.test

SNMP OIDs des Lancom Router ermitteln
- WebConfig -> Extras -> SNMP-Geräte-MIB abrufen (enthält alle OIDs)
- SSH/Putty:
  * zu gewünschtem Eintrag navigieren
  * "dir -a" -gibt OIDs des Eintrages mit aus

Beispiel: * Status / WAN / Byte-Transport / VDSL-1 Traffic: SNMP (Benutzerdefinierte Tabelle) "1.3.6.1.4.1.2356.11.1.4.1"


SNMP Debug Tool von PRTG: https://www.paessler.com/de/tools/snmptester

• SNMP testen unter Linux: sudo apt install snmp
  snmpset / snmpget
ioBroker: EXEC-Block: snmpset -v1 -c private 172.16.100.2 .1.3.6.1.4.1.19865.1.2.2.1.0 i 0

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-03-09 10:39


MS Visual Studio Code

Open Source Editor mit
Debugger mit Haltepunkten, Variablenlisten und "Call Stack".
- Start mit "CODE", ist in PATH registriert

  1. Erweiterungen nachinstallieren (File -> Preferences -> Extensions)
    wichtig: German Language Pack, PowerShell (MS), CodeRunner, HTML CSS Support, PHP Debug+Intellisense
  2. Einstellungen: Tab Size=2, Word Wrap= on

Nicht zu verwechseln mit Visual Studio, trotz Namensähnlichkeit ist das ein gänzlich anderes Produkt.

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-06-12 22:01


Google Suche Tips

Such-Operatoren:

  • "Gesuchter Satz" - Suchbegriffe in Anführungszeichen werden als gesamte Phrase gesucht
  • -Ausschluss - "Minus" schließt Begriff aus der Suche aus (Bsp: computer chips -intel)
  • allintext:china kohle kosten - gibt nur Ergebisse aus, in denen ALLE Suchbegriffe vorkommen
  • site:webseite - sucht nur auf der angegebenen Webseite (Bsp: FC Bayern site:sueddeutsche.de)
  • inurl:wasser - Sucht nur in URLs, in denen das Wort (wasser) vorkommt
  • filetype:pdf - zeigt nur Suchergebnisse mit dem gewünschten Filetype

Alternative Suchmaschinen:

  • BING - Microsoft
  • QWANDT - franz., eigener Suchindex
  • STARTPAGE - niederländ., leitet Suchanfragen anonymisiert an Google weiter
  • DuckDuckGo - sammelt keine Personendaten, sucht in 400 Quellen wie Wikipedia, Bing, Yahoo, Yandex (kein Google)
  • ECOSIA - Suchergebnisse von BING, verbindet Suche mit dem Anliegen der Aufforstung

Archiv - Suche:

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-05-06 12:42


Powershell: Benutzer und Gruppen

Powershell ISE starten, ggf. Script-Ausführung aktivieren.

Benutzer ermitteln:

• unformatierte Langform (lokal):
Get-CimInstance -ClassName Win32_ComputerSystem -Property UserName
Get-CimInstance -ClassName Win32_ComputerSystem -Property UserName | Format-Table -Property UserName

• Kurzform (lokal)
Benutzername ohne Domain: $env:UserName

• Lokal und Remote:
qwinsta /server:remotePC

AD Gruppen auslesen:

get-adgroup

Check ob User in einer Gruppe ist:

$user = $env:username
$group = "DeineSoftwaregruppe"  
$members = Get-ADGroupMember -Identity $group -Recursive | Select -ExpandProperty Name
If ($members -contains $user) {
      Softwareinstallation, weil User ist in Gruppe
      Am Ende: Remove-ADGroupMember -Identity DeineSoftwaregruppe -Members $user
 } Else {
       User ist nicht in Gruppe, tue XY
}

User zu Gruppe hinzu fügen:

PS: Add-ADGroupMember -Identity Gruppenname -Members Username

CMD:

net localgroup /add administrators Domain\adminuser
net localgroup /add administratoren Domain\adminuser
Gruppe entfernen:
Remove-ADGroupMember

Letzte angemeldete User auslesen:

get-eventlog -newest 10 -logname security | Format-List

Support-Admin Konto auktivieren, Remotesitzung, anschließend Konto deaktivieren:
- mittels PS-Script: GenerateRandomPassword.ps1
- lokalen Admin anlegen, Konto deaktivieren
- per Script Konto aktivieren, Zufallspasswort setzen, RDP anmelden, Konto wieder deaktivieren
Quelle: https://administrator.de/tutorial/sicherer-umgang-mit-supportkonten-262066.html

@echo off
set /p target=Auf welchen PC willst Du?: %=%
for /f %%a in ('powershell \\server\share\GenerateRandomPassword.ps1') do net user admin%target% %%a /domain /active /workstations:%computername%,%target% & cmdkey /add:TERMSRV/%target% /user:netbiosdomainname\admin%target% /pass:%%a
start /wait mstsc /v:%target%
pause
net user admin%target% /active:no /domain

PowerShell Remoting
https://docs.microsoft.com/de-de/powershell/scripting/learn/remoting/running-remote-commands?view=powershell-7

Windows Remoteverwaltung konfigurieren:
WINRM QUICKCONFIG  - Firewall: Port 5985, Dienststart...

 

Inaktive Benutzerkonten per Powershell finden.
Bsp: Nutzer haben sich > 90 Tage nicht angemeldet

Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 90.00:00:00 |
Where {$_.Enabled -eq “True”} |
Sort -property LastLogonDate -desc |
ft UserPrincipalName, LastLogonDate -autosize

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-02-05 21:58


Powershell: MySQL Zugriff

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-06-10 08:40


Company Connect

Deutschland LAN / CompanyConnect SDSL 
Hotline 0800/5231323
Bsp:
IP: 61.158.25.122-126
Gateway: 61.158.25.121
Subnet: 255.255.248
(Lancom: Kommunikation/Protokolle/IP-Parameter:)
IP: 61.158.25.121 Telekom-Router (Mask: 255.255.255.248)
    61.158.25.122 Lancom-Router
DNS: 194.25.0.52 (Leipzig)
     194.25.0.60 (Hannover)
     194.25.0.68 (FFM)

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-07-04 13:00


beBPo Behördenpostfach Thüringen

Ablage im Netzwerk, flexible Nutzung von mehreren Arbeitsplätzen
(Mitarbeiter A muß Postfach schließen, dann kann Mitarbeiter B sich anmelden)

  • Installation des Communicators auf allen betreffenden Clients
  • Konfigurationsassistent nur am ersten PC und Userprofil notwendig
  • Konfig-Datei "govello20.properties" in jedes betr. Benutzerprofil kopieren

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-08-24 16:42


TOM technisches Objektmanagement

M.O.P Technisches Objektmanagement

  • Client-Verzeichnis einfach vom Server kopieren
  • Servername in \TOM\Client\Einstellungen\SUW_Lokal.xml anpassen

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-09-21 15:26


Gruppenrechte zuweisen per PowerShell

Administrative Gruppenmitgliedschaft sollte automatisiert zugewiesen und wieder entfernt werden.
Lösung per PowerShell mit "Invoke":

Invoke-Command -ComputerName <Computername>
-scriptBlock{
Add-LocalGroupMember -Group "Administrators" -Member <Benutzername>}

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-10-01 15:53


Observium

Observium

  • Unlimited Sensoren free, Professional: 240,- EUR p.a.
  • basiert auf PHP + MySQL, Großbritannien
  • nur SNMP-Monitoring, keine Agenten, aber sehr viele vorgefertigte Geräte-MIBs
  • alle Grafiken (Diagramme) lassen sich als Link per IFRAME in eigene MAPs einbinden
    (Authentification: Allow graphs to be viewed by anyone=Y)
  • Konfiguration in opt/observium/config.php: https://docs.observium.org/config_options/
    (Defaults in /opt/observium/includes/default.inc.php)
    Die GUI hat nicht alle Werte und schreibt nicht in die config.php zurück.
    Einträge in der config.php erscheinen rot und gesperrt mit Schloß in der GUI.
  • Postfix MTA (bound to localhost) to allow sending of email (e.g., password recovery)
  • Update der Prof-Version (Changelog, ggf. von Stable auf ROLLING schalten):
    cd \opt\observium
    sudo svn cleanup
    sudo svn update  (Zugangsdaten SVN-Zugang)
    ./discovery.php -u
  • Update der Community Edition (CE):
    - alte Version umbenennen
    - neuer Download
    - neue Installation
    - verschiebe /rrd, /logs, config.php aus alter Installation
  • Update Anleitung (auch CE): https://docs.observium.org/updating/
  • Migration CE zu Pro: https://docs.observium.org/ce-migration/
  • MIBs unter opt/observium/mibs/
  • LOGs unter /opt/observium/logs bzw. /var/log/messages oder /var/log/syslog
  • Backup Jobs unter opt/observium/rrd/
  • HTML Root in /opt/observium/html
  • Lizenz von Common zu Subscription konvertieren: https://docs.observium.org/ce-migration/
  • Ubuntu 22 LTS, Festplatte min. 100 GB

Nur professional Version kann:

  • Alert E-Mail Notification bei SNMP-Schwellwert (Discord, Telegramm, Teams, SMS..)
  • SVN automatisches Updatesystem

Andere Benutzer ohne Admin-Rechte anlegen:
 - Users -> Device Permissions: alle (gewünschten) Geräte hinzu fügen!

E-Mail Checker einrichten:

  • Konfiguration in der config.php, nicht in der GUI
  • $config['email']['backend'] = 'smtp';
  • $config['enable_syslog'] = 1;
  • $config['email']['smtp_secure'] = '';  // leer für 'none' encryption
  • ggf. Firewall öffnen (ufw status , ufw allow 587), Test mit Telnet
  • Test: /opt/observium/test_alert.php
    Bsp: ./test_alert.php -a [Mailadresse]
  • Mail-Log: /var/mail/observium
  • oder über Sendmail https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1446

Alert Checks:

  • Gerät(e) DOWN: Entity: Device, Conditions: device_status equals 0, Association: Device Type IN [Kategorie]
  • Gerät(e) REBOOT: Entity: Device, Conditions: device_rebooted equals 1, Association: Device Type IN [Kategorie]
  • (DSL) Port Traffic hoch: Entity: Port, Conditions: ifInOctets_perc ge 85, ifOutOctets_perc ge 85, Association: Device IN [IP], Port Label EQUALS [VDSL...]
    Nach Änderungen der Alert Checker REBUILD durchführen!

    Quellen:
  • Doku Observium Alert Checker: https://docs.observium.org/alert_checker/
  • Alerts definieren: https://infosecmonkey.com/setting-up-alerts-in-observium-community-edition/


Cron-Jobs:

# Run a complete discovery of all devices once every 6 hours
33 */6 * * * root /opt/observium/observium-wrapper discovery >> /dev/null 2>&1

# Run automated discovery of newly added devices every 5 minutes
*/5 * * * * root /opt/observium/observium-wrapper discovery --host new >> /dev/null 2>&1

# Run multithreaded poller wrapper every 5 minutes
*/5 * * * * root /opt/observium/observium-wrapper poller >> /dev/null 2>&1

# Run housekeeping script daily for syslog, eventlog and alert log
13 5 * * * root /opt/observium/housekeeping.php -ysel

# Run housekeeping script daily for rrds, ports, orphaned entries in the database and performance data
47 4 * * * root /opt/observium/housekeeping.php -yrptb

Anmerkung:

  • Version 23.8.13005 (18.09.2023) - SMTP-Alert geht wieder
  • Version 23.8.12912 (02.08.2023) - SMTP-Alerting funktioniert nicht

Alternative: LibreNMS (Fork von Observium, starke Ähnlichkeit, voll kostenlos)

Quellen und Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-26 17:29


Adobe Reader

Download:
https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html
FTP (alt): ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/
https://get.adobe.com/de/reader/enterprise

Problem: Adobe Reader zeigt Schriften nicht korrekt an

  • AR unter Datei / Eigenschaften / Schriften - sieht man die im Dokument eingebetteten Schriften
  • AR unter Bearbeiten / Einstellungen / Seitenanzeige: Test Seitencache verwenden, lokale Schriften verwenden sollte AN sein (Testweise AUS kann sinnvoll sein), Rendern/Text glätten sollte AN sein
  • Windows unter Dienste: Windows-Dienst für Schriftartencache sollte automatisch starten, ggf. manuell aus/ein

Adobe Reader verteilenhttps://ictschule.com/2012/11/09/adobe-reader-11-verteilen/

Steps to extract the Adobe Reader MSI installation files from the compressed executable:
1. Obtain Adobe Reader from adobe.com: http://get.adobe.com/reader/ and save the file to your desktop.
2. Choose Start > Run.
3. In the Open text box, type: "%UserProfile%\Desktop\AdbeRdr80_en_US.exe" -nos_ne
4. Click OK.
5. When the Adobe Reader Setup screen clears, choose Start >  Run.
6. In the Open text box, type: %temp%
7. Drag the Adobe Reader folder to your desktop.
This folder contains AcroRead.msi and Data1.cab files needed for installation.

Alternative:
PDF XChange Editor free (auch kommerziell nutzbar): https://www.pdf-xchange.de/DL/pdf-xchange-editor.htm

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-06 11:40


Elster Authenticator Verbindungsfehler

Fehler beim Update und bei der Benutzer-Anmeldung.

Fehlermeldung: Es konnte keine Verbindung zu MeinElster aufgebaut werden. Bitte prüfen Sie Ihre HTTP-Proxy-Konfiguration.

Abhilfe (lt. Elster):

  1. Dem ausführenden Benutzerkonto werden Schreibrechte im Installationsverzeichnis des ElsterAuthenticators eingeräumt
    (wir empfehlen dies dringend)

  2. Der ElsterAuthenticator wird einmalig mit dem Benutzerkonto ausgeführt, das die Installation durchgeführt hat.
    Wählen Sie anschließend im Konfigurationsmenü im Registerreiter "Erweitert" die Schaltfläche "Prüfe auf neue Version" an. Hierdurch wird die benötigte Datei heruntergeladen und mit den Schreibrechten dieses Benutzerkontos installiert.

Verzeichnis bei All-User-Installation:
C:\Programme\ElsterAuthentificator\

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-06-02 12:05


Zwischenablage, Clipboard History

Windows

  • [Strg] + [C]  - Inhalt in Zwischenablage kopieren

  • [Strg] + [X]  - Inhalt in Zwischenablage verschieben (ausschneiden)

  • [Strg] + [V]  - Inhalt der Zwischenablage einfügen

  • [Windows] + [V]  - Zwischenablage-Verlauf (Clipboard Historie) aufrufen (max. 25 Einträge)

  • [Klick auf Auswahl aus der Liste] - fügt Eintrag als Nur-Text ein

  • [Shift] + [Klick auf Auswahl aus der Liste] - fügt Eintrag formatiert ein

  • Einschalten des Zwischenablage-Verlaufs unter Einstellungen -> SYSTEM -> Zwischenablage
  • Nutzer eines Microsoft-Kontos können die Zwischenablage zwischen PCs synchronisieren (Sicherheitsrisiko!!).
  • Einträge können im Eintragsmenue gelöscht oder angepinnt werden (dann bleiben sie auch beim PC-Neustart erhalten).
  • Zwischenablage enthält auch Screenshots. Textformatierungen gehen teilweise verloren.

Ubuntu

  • [Ctrl] + [Shift] + [C] oder [Ctrl] + [Insert] - Inhalt in Zwischenablage kopieren

  • [Ctrl] + [Shift] + [V] oder [Shift] + [Insert] - to paste

VMWare

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-09-17 08:56


Windows Standard Font

Standard-Schrift in allen Office-Anwendungen (Windows, Word, PowerPoint, Outlook...)

  • Aptos (original: Bierstadt) serifenlos, Klein-/Großbuchstaben deutlich unterscheidbar, ab 2024 Standard auch in Office/Microsoft 365 Online Apps "in der Cloud" (für Monitore mit höherer Auflösung)
  • Calibri (Standard in Office usw. seit 2007)
  • Segoe UI (Standardschrift in Windows)
  • Times New Roman (optisch veraltet)

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-07-14 12:06


LibreNMS Network Monitoring System

  • Fork von Observium (2013 abgespalten), vollständig kostenfrei
  • Github Community und Ressourcen: https://github.com/librenms/
  • VM App: Ubuntu 22, Username: librenms, Password: CDne3fwdfds, Netzwerk= Bridge to LAN
  • WEB-GUI (http): Username: librenms, Password: D32fwefwef
  • MySQL/MariaDB Login: mysql -u librenms -p  (D42nf23rewD)
  • Update LibreNMS manuell:
    cd /opt/librenms
    git pull
    ./scripts/composer_wrapper.php install --no-dev
    php includes/sql-schema/update.php
    ./validate.php
  • Update LibreNMS automatisch:
    ./daily.sh
    Konfiguration im WebGUI: Global-Settings -> System -> Updates
  • Konfiguration: /opt/librenms/config.php
    $config['nets'] - eigene Netze konfigurieren
  • /opt/librenms/validate.php - listet alle Komponenten auf (PHP, SQL, SNMP..)
  • Sendmail konfigurieren:
    - MSMTP einrichten: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1446
    - Sendmail-Pfad korrigieren: /usr/bin/msmtp

https://www.youtube.com/watch?v=RmQBZH72TKg

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-11-28 10:10


Windows 11 Systemanforderungen erfüllen

Kompatibilitätscheck mit "MS PC Health Check" (Integritätsprüfung) oder "WyNotWin11".

Systemvoraussetzungen:

  • CPU: 64-bit Prozessor, min. 2 Kerne, 1 GHz Takt - erforderlich
  • HD min. 64 GB frei - erforderlich
  • CPU: Intel-Prozessoren ab 8.Generation ab Mitte 2017 - umgehen mit RUFUS, Ventoy oder Registry
  • CPU: AMD-Prozessoren ab Ryzen 2.Generation (Zen+) ab 2018
  • Secure Boot - umgehen mit RUFUS oder Ventoy
  • UEFI-Firmware
  • 4GB RAM (sinnvoll!) - umgehen mit RUFUS
  • TPM 2.0 - umgehen mit RUFUS oder Registry
  • Grafikkarte mit min. DirectX 12
  • Internetverbindung (Home Version zwingend)
  • Microsoft-Konto - umgehen mit Domäne oder RUFUS

• Prüfung der Systemvoraussetzungen beim Inplace-Upgrade deaktivieren:
- Windows 10 starten
- Windows 11 - ISO mounten
- DOS-Box (in Win11-Laufwerk): setup /product server

• Registry-Hack zum Ignorieren der Systemvoraussetzungen:
- REGEDIT: Computer\HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup - DWORD-Wert (32-Bit): AllowUpgradesWithUnsupportedTPMOrCPU = 1 (hex)
- Windows neu starten, Upgrade installieren (Warnhinweis)

• Internetzwang bei der Installation umgehen:
c:\Windows/System32/oobe/BypassNRO.cmd
"Ich habe kein Internet"
https://answers.microsoft.com/de-de/windows/forum/all/windows-11-ohne-netzwerkzugang-installieren/6bb8b5ac-f0ae-402c-b108-a69ec32bb563


Ein unter Umgehung der Systemanforderungen installiertes Windows 11 berechtigt nach bisherigen Erfahrungen nicht zum automatischen Erhalt von zukünftigen Funktions-Updates. Das muss dann (mit Glück) wieder mit den hier genannten Tricks installiert werden.
Mit Update 24H2 scheinen die Systemanforderungen noch einmal verschärft worden zu sein.

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-15 08:19


Betriebssysteme

Fehlersuche: Zuverlässigkeitsprüfung

- bordeigenen Zuverlässigkeitsprüfung! im Suchfenster "Zuverlässigkeit"...

- listet Fehler und Warnungen des Ereignisprotokolls tageweise sehr übersichtlich ein.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:12


Menues, Ordner, Profile, Taskleiste

Windows 8-10

Startmenue All Users: C:\ProgramData\Microsoft\Windows\Start Menu
Desktop All Users: C:\Users\Public\Desktop (Öffentlich/Öffentlicher Desktop)
  -> Tip: "dir /ad" löst die Links in den jeweiligen Verzeichnissen auf.
Startmenue [User]: Users/[User]/AppData/Roaming/Microsoft/Windows/Start Menu
Desktop [User]: Users/[User]/Desktop
Persönl.angeheftetes Startmenue: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
Persönl. Taskleise: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar   -> siehe unten!

SendTo: Users/[Benutzer]/AppData/Roaming/Microsoft/Windows/SendTo

-> direkter Sprung in den Ordner "Autostart All-Users": ausführen: "shell:startup"

Standardprofile: \\%systemroot%\Users\Default
Das Profil wird durch Hineinkopieren eines lokalen Profils angelegt. (keine Drucker!)
(ausgeblendete +geschützte Systemdateien sichtbar, JEDER=lesen, Kopieren alles ausser ntuser.dat, ntuser.dat.log, ntuser.ini)
Domänen Default Profil: //[Servername]/Netlogon/Default User.v2 / v4-Win7 / v5 -Win10
Domänen User Profil: muß in "AD Benutzer und Computer" definiert werden. Änderung für einzelnen PC im lokalen Profilmanager möglich.
//[Servername]/Profile/%username% (PROFILE muß eine Freigabe mit Vollzugriff sein)

Howto: http://www.dertechblog.de/2011/10/howto-angepasstes-windows-default-profile-bereitstellen/
Verbindliches Profil kann vom Benutzer nicht geändert werden. Änderungen werden beim Abmelden verworfen.
-> USER.DAT in USER.MAN umbenennen. Funktioniert für Userprofile und kann sogar im Default Profil definiert werden.

Standardprofile werden in Domänen zuerst unter \\\netlogon\Default User gesucht, danach lokal in \\%systemroot%\Dokumente..\Default User.

• Default Profil in Windows 10 erstellen: http://www.tenforums.com/tutorials/2110-default-user-profile-customize-windows-10-a.html
(erscheint plausibel. ich habe es noch nicht getestet)

Um Programme an die Taskleise zu pinnen genügt es nicht, eine Verknüpfung im o.g. Ordner "Persönliche Taskleiste" anzulegen. Die Info wird außerdem verschlüsselt unter HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband abgelegt. Lösbar ist das mit VB. (Beispiel kopiert Paint-Verknüpfung in die Taskbar.)

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Set objShell = CreateObject("Shell.Application")
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Accessories")
Set objFolderItem = objFolder.ParseName("Paint.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
    If Replace(objVerb.name, "&", "") = "An Taskleiste anheften" Then objVerb.DoIt
Next

Das geht genauso umgekehrt mit "Von Taskleiste lösen". 

betrifft: Win2008, Win2012, Win2016, WinVista, Win7, Win8, Win10

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-11-30 15:26


"Eigene Dokumente" anstatt Ordnernamen wird angezeigt

Wenn User-Ordner auf Netzfreigaben verschoben werden, zeigt Windows diese als "Eigene Dokumente" und nicht mit ihrem wirklichen Namen.
Abhilfe: für desktop.ini - Berechtigungen lesen verbieten.
http://support.microsoft.com/kb/947222/en-us

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-12-22 16:05


Backup Betriebssystem

WBAdmin (Win Vista - Win 11, auch Server, lässt sich super scripten):
Erforderliche Dienste: "Blockebenen-Sicherungsmodul" (WBEngine) und "Volumenschattenkopie" (VSS) - sollten auf MANUELL stehen und sich starten lassen.
* Backup aus der DOS-Box:
  "WBADMIN start systemstatebackup -backupTarget:e:"
  oder "WBADMIN start backup -backupTarget:E: -include:C: -allcritical -quiet"
* GUI: Systemsteuerung -> Sichern und Wiederherstellen (Win7)

* BareMetall-Restore:
Installations-CD/Stick oder Recovery-Partition: ( „Computerreparaturoptionen“ > „Problembehandlung“ > „Erweiterte Optionen“ > „Systemimage-Wiederherstellung“)
* Restore einzelner Files: VMDX-Datei in Datenträgerverwaltung mounten
* Restore aus dem System (CMD):
 - Backup-Versionen suchen in CMD: "WBADMIN get versions –backup target:E:" 
  Das Repository liegt in %windir%\system32\wbem\repository.
 - Volume GUID-based path suchen: "mountvol"
 - "WBADMIN start recovery" liefert den nötigen Syntax

• Befehlsübersicht: https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/wbadmin
• DC-Backup und Restore mit WBAdmin: https://www.msxfaq.de/windows/dc_backuprestore.htm

Veeam Backup (auch free, auch BIOS auf UEFI) siehe Backup: Veeam Backup

Systemimage als VHDx sichern:
Sysinternals Tool: DISK2VHD, sichert beliebige Volumes als VHD(x)-Datei.
Die Datei kann in Windows als Laufwerk gemountet werden oder in Hyper-V (Neuer Virtueller Computer / Vorhandene Festplatte) gestartet werden.


Windows 8.1: DISM
- Aufruf aus Wiederherstellungskonsole (CD, Stick), legt komprimierte WIM-Datei mit gesamtem Inhalt von LW: C: (ausser Wiederherstellungspunkte, Auslagerungsdateien, Papierkorb und OfflineCache) an.
Backup: dism /capture-image /imagefile:[Ziellaufwerk]:image.wim /capturedir:c: /scratchdir:[Ziel-/Templaufwerk]: /name:"Mein Image"
Restore: dism /apply-image /applydir:[Ziellaufwerk]: /imagefile:[Backuplaufwerk]:\image.wim /scratchdir:[Ziel-/Templaufwerk]: /index:1
Ausführliche Anleitung mit Exclusion-List in ct 17/2014 S.76ff.


Siehe auch:

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-11-22 15:40


Systemreparatur, Wiederherstellungskonsole

Mit der Tastenkombination <Shift>-<F10> kann während einer Reparaturinstallation eine WinPE Eingabeaufforderung (CMD.EXE) geöffnet werden.

Win 10, Server 2019:

Bootrecord reparieren:
- Erste aktive Partition ermitteln. Normalerweise "System-reserviert" oder "EFI-Systempartition", LW E:

bcdboot c:\windows /s e: /l de-de

Systemdateien überprüfen und automatisch vervollständigen: (online:)

sfc /scannow

(offline aus einer Win-PE Kommandozeile)

sfc /scannow /offbootdir=e:\ /offwindir=c:\windows

Möglichkeiten zum Aufruf des erweiteren Starts -> giga.de

 

Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /RestoreHealth

Bei Fehlermeldungen bei o.g. Befehl:
Mount Windows Server 2016 ISO as a drive (E: im Beispiel)
Run dism /online /cleanup-image /restorehealth /source:WIM:E:\sources\install.wim:1 /limitaccess

DISM offline aus WinPC Kommandozeile, wenn das System nicht mehr läuft:
Dism /Image:e:\ /Cleanup-Image /RestoreHealth /source:esd:C:\install.esd:1

Mehr Infos zu DISM

 

Windows 8:

Wiederherstellungskonsole kann:

- Windows in Auslieferungszustand zurück versetzen.
- Windows auf Systemwiederherstellungspunkt setzen.
- Eingabeaufforderung mit
  diskpart (Partitionierer),
  dism(Imager, ->Backup Betriebssystem),
  wpeinit (startet Netzwerk, danach Mappen mit NET USE)...

Unter Windows 8.1 kann man auch einfach einen Wiederherstellungs-Stick erstellen. ( Windows 8.1 Wiederherstellungslaufwerk erstellen)

Windows 7:

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

Systemdateien überprüfen:

sfc /scannow


Hilfe:
Microsoft Community

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-05-03 11:16


Forensik

DEFT "Digital Evidence & Forensics Toolkit" Linux-Boot-CD, auch als VM verfügbar, voller Forensik Tools.
Browserverlauf, Lesezeichen und Cache auslesen, MailView (Outlook Express, Windows Mail, Thunderbird), u.a. WLAN-, Acces-, PST-, VNC- Passworte auslesen, Windows Passworte neu setzen, Photorec (gelöschte Dateien), JumpListView (geöffnete Dokumente, besuchte FTP-Links über viele Monate), WinLogonView (Windows Anmeldevorgänge), LastActivityView, CrowdInspect (holt für alle Prozesse automatisch Bewertungen von VirusTotal u.a.), Netzwerktools.
Siehe ct 20/2014 S.96.
Download: deftlinux.net

DART "Digital Advanced Response Toolkit" beinhaltet nur die Windows-Tools von DEFT (oben).
Ausführliche Anleitungen in ct 20/2014 S.90ff.

Prefetch-Dateien werden für jedes gestartete Programm erstellt. Der Zeitstempel liefert die Information, wann das Programm zuletzt gestartet wurde.
(Windows XP, Win7, Win8. Ab Windows 7 bei System auf SSD standardmäßig deaktiviert.)
Siehe ct 20/2014 S.92.

Most Recently Used Listen, 10 Dateien für jede Dateiendung: [HKU\%user%\Software\Microsoft\CurrentVersion\Explorer\RecentDocs]

  • Überwachungsrichtlinien
    Achtung! Jeder DC hat ein eigenes Protokoll und muss separat überprüft werden!
  • Gruppenrichtlinien VORHER einrichten (per GPO Default DomainControllers Policy: Computer/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie):
    - Anmeldeereignisse = überwachen
    - Kontenverwaltung = überwachen 
    - Verzeichnisdienstzugriff = überwachen 
    - Objektzugriffsversuche = überwachen 
    - Richtlinienänderungen = überwachen 
    - Systemereignisse = überwachen
    Wichtige zu überwachende Events:
    * ID 4625 = Anmeldefehler
    * ID 4698 = erstellen einer neuen Aufgabe
    * ID 4720 = neues Nutzerkonto wurde erstellt
    * ID 4723 = versuchte Passwort-Änderung
    * ID 4424 = versuchtes Zurücksetzen eines Kennwortes
    * ID 4728 = ein Mitglied wurde zu einer Sicherheitsgruppe hinzu gefügt
  • Windows Protokoll "Sicherheit" Eventlog von 128MB auf min. 1GB vergrößern (per GPO: Computer/Admin.Vorlagen/Windows Komponenten/Ereignisprotokolldienst/Sicherheit: max. Protokolldateigröße)
  • aktuelle Überwachungsrichtlinien anzeigen:  auditpol /get /category:*

siehe auch:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-02-06 15:57


Windows Update funktioniert nicht

• Systemüberprüfung ausführen und alle Systemfiles checken. (dism, sfc... )

Siehe Windows Systemreparatur
Siehe Windows Update-Service Tips

 

Manchmal hilft diese Lösung:

- NET STOP wuauserv (ggf. Systemdienste "Automatische Updates" und "Intelligenter Hintergrundübertragungsdienst" (wuaserv, cryptSync, bits, msiserver))
- windows/SoftwareDistribution/Datastore/datastore.edb weg kopieren
- windows/SoftwareDistribution/Data/
leer machen leeren (Download-Cache)
  oder:  rd c:\windows\SoftwareDistribution /s /q  (enthält alle Updates + Statusinfos)
- NET START wuauserv


Unter Server 2012/2016 hilft gelegentlich statt der GUI
das Kommandozeilentool SCONFIG. (Server 2012/2016/2019)
Updates konfigurieren und installieren


Oder Update manuell vom Software Catalog installieren:
https://www.catalog.update.microsoft.com/Search.aspx?q=Server+2016


„Windows Update PowerShell Module“ von Technet (gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc) herunter laden. Archiv öffnen und Ordner „PSWindowsUpdate“ in  Verzeichnis „%Windir%\System32\WindowsPowerShell\v1.0\Modules“ entpacken.

Suchen (Windows+Q) nach „PowerShell“, Suchtreffer „Windows PowerShell“ mit Rechtsklick als Administrator öffnen.

Zuerst Ausführen des Skripts mit dem Befehl erlauben:

Set-ExecutionPolicy RemoteSigned

Sicherheitsabfrage mit "Ja" bestätigen.

Zwei weitere Befehle importieren das Modul und starten die Installation der Updates:

Import-Module PSWindowsUpdate

Get-WUInstall

Nach der Eingabe von Get-WUInstall dauert es einige Zeit, dann erscheint ein Update-Dialog.


• oder PSWindowsUpdate:
https://www.powershellgallery.com/packages/PSWindowsUpdate/


Fehlerhafte Updates von der Kommandozeile deinstallieren: wusa /uninstall /kb:xxxx

 


Windows Update neu registrieren:

net stop wuauserv
net stop bits
net stop cryptsvc
ren %systemroot%System32Catroot2 old catrood2
net start cryptsvc
ren %systemroot%SoftwareDistribution Software Distribution.old
regsvr32 wuapi.dll
regsvr32 wuaueng.dll
regsvr32 wucltux.dll
regsvr32 wups2.dll
regsvr32 wups.dll
regsvr32 wuwebv.dll
net start bits
net start wuauserv

 

Verwalten der Intelligenten Hintergrund-Dateiübertragung: (Win7-10)
BITS kann Uploads und Downloads. Windows nutzt BITS intensiv (Update, Nachrichten, Live-Dienste). Aber auch andere Programme oder Malware kann BITS nutzen.
bitsadmin /list /allusers   - Liste aller laufenden oder anstehenden Aufträge

bitsadmin /monitor /refresh 2  - zeigt im Intervall (2 sek.) vorhandene Jobs

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-07-07 11:26


Treiberinstallation ohne Hardwareerkennung

Klassischer Hardwareassistent, der auch Treiber ohne Hardwareerkennung installiert:
"hdwwiz" im Suchfeld eingeben und "Als Administrator ausführen"

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:12


Windows Registry

Physische Sicht:
Allgemeine Reg.-Daten:

- HKLM\SAM [Benutzer, Rechte] -> /windows/system32/config/SAM
- HKLM\BCD00000000 [Bootkonfiguration] -> [UEFI-Partition] /EFI/Microsoft/Boot/BCD
- HKLM\SAM [Anmeldenamen, Kennwort-Hashes] -> /windows/system32/config/SAM
- HKLM\SECURITY [Benutzer, Rechte, Sicherheitsrichtlinien] -> /windows/system32/config/SECURITY
- HKLM\SOFTWARE [allgemeine Softwareeinstellungen] -> /windows/system32/config/SOFTWARE
- HKLM\SYSTEM [Gerätetreiber, Dienste] -> /windows/system32/config/SYSTEM
- HKU\DEFAULT [Standard-Profil von LOKAL SYSTEM] -> /windows/system32/config/DEFAULT
Benutzerspezifische Reg.-Daten:
- HKCU\ [persönl. Nutzerprofil] -> /Users/[user]/NTUSER.DAT (-> Forenisk)
- USRCLASS.DAT [benutzerspez. Softwareeinstellungen] -> /USERS/[user]/AppData/Local/Microsoft/Windows/
Kopie der Registry: befindet sich in /windows/repair/
Wiederherstellungspunkte: in /SystemVolumeInformation/_restore{GUID}/RP{x}/Snapshot/
(RP{x} steht für die einzelnen Wiederherstellungspunkte)

Logische Sicht (in REGEDIT):
- HKEY_CLASSES_ROOT (HKCR) - Zuweisung von Dateitypen und Dateiendungen zu Anwendungen, COM-Klassen
  (Summe von HKLM\Software\Classes und HKCU\Software\Classes, wobei HKCU Vorrang hat)
- HKEY_CURRENT_USER (HKCU) - (Link auf aktuellen User in HKU)
- HKEY_LOCAL_MACHINE (HKLM) - Treiber, Dienste, globale Anwendungs- und Systemeinstellungen
- HKEY_USERS (HKU) - alle Userkonten inclusive HKCU und Systemuser (siehe unten)
- HKEY_CURRENT_CONFIG (HKCC) - aktuelle Hardwarekonfiguration (Link auf HKLM\System\CurrentControlSet\Hardware Profiles\Current)

HKCU eines anderen Benutzers laden / editieren:
Registry: HKU/ markieren, Datei -> Struktur laden, ntuser.dat aus dem betreffenden Userprofils laden.
Mit "Struktur entfernen" werden die Änderungen gespeichert.
Prinzip funktioniert bei Offline-Windows mit allen REG-Zweigen.

 ID des angemeldeten Users ermitteln (HKCU): Dosbox: whoami /logonid

  • in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList User-ID auswählen, in ProfileImagePath steht das jeweilige Userverzeichnis
  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run - Autostart des lokal Users
  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce - Einmalstart lokal User

SID eines beliebigen anderen Users (username) ermitteln:
wmic useraccount where name='username' get sid

Systemkonten:
(S-1-5-18) - System
(S-1-5-19)  - Lokaler Dienst
(S-1-5-20) - Netzwerkdienst

Abkürzung:
HKLM\System\CurrentControlSet (gibt es nur lokal) = HKLM\System\Select verrät, welches ControlSet das aktuelle ist.
HKEY_CLASSES_ROOT = HKLM\SOFTWARE\Classes

 

* ganzen Schlüssel mit Unterschlüsseln löschen: [-Hkey_Local_Machine\Testschlüssel]
* einzelnen Wert löschen: [Hkey_Local_Machine\Testschlüssel] "Testwert"=-

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-03-22 14:19


System-Backup, Harddisk wechseln

Siehe auch -> Kopierprogramme.

 

Windows 10

MiniTool Partition Wizard (auch für ältere Windows Versionen)
Partiongröße verändern, Partition oder Disk clonen, Partition Recovery, MBR->GPT, GPT->MBR (auch free).
Als Windows-Installation oder Boot-CD (nicht free) Download verfügbar, Jahresversion in CT Notfall Windows.
Einschränkung der Free-Version: nicht kommerziell, keine Server, keine dynam. HD, GPT-Partition, kopiert keine Systempartition(?), keine Boot-CD.

Haselo Backup (kompett free) (Disk Cloning, VSS, UEFI, GPT-Support) (siehe Kopierprogramme)

AOMEI Backupper (free) - Windows Backup-Software für Betriebssystem, Daten und Anwendungen mithilfe der Sicherungs-, Wiederherstellungs- oder Klonfunktion.
Installieren und HD klonen möglich, Server nicht möglich mit kostenloser Edition.
Erstellt ein bootfähiges WinPE- oder Linux-Laufwerk für Bare-Bones oder nicht bootfähige Computer (auch Freeversion)
Free-Version: kein Systemklon, Partitionanpassung, dynam. Datenträger klonen, Universalrestore

Drive Snapshot (1-Jahres-Version in CT Notfall-Windows 2022)
- Image Kopie

Manuelles Ändern der Partitiongröße, um das WinRE Update (Bereich wurde in Update 22H2 auf 500MB vergrößert) zu installieren
-> Microsoft KB 5028997

Duplicati
• Datensicherung für Windows, Linux, MacOS, Synology u.a.
• Web based GUI


Windows 8.1

Boardmittel DISM.... Beschreibung unter  Backup Betriebssystem

 

Win XP - Win 8

xcopy [Quelle] [Ziel] /c /h /e /k /r /o /x .
Wie bei Win9x, außerdem werden aber auch Besitzer und ACLs mit kopiert. System per CD/Reparatur wiederherstellen. (ggf. Rettungsdisk anlegen!)

Einfacher: Acronis True Image Home (11): HD klonen.

 

WinNT - 2003

Neue HD parallel mit einbauen, im Festplattenmanager Plattenspiegelung aktivieren, nach erfolgter Spiegelung wieder deaktivieren.
Besser: spezielle Tools wie Acronis DiskImage.

 

Windows 9x:

Neue HD parallel mit einbauen, Daten im Windows (DOS-Box) kopieren mit xcopy c:\*.* [neue HD:] /c /h /e /k /r .
Anschließend neue HD als Master anklemmen, mit FDISK Partition aktivieren, von Bootdisk SYS C: ausführen, fertig !
Selbst Laufwerks-Freigaben und Papierkorbinhalt stimmen noch.

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-06 22:26


Filesystem: Filerecovery

MS Windows File Recovery
für Win10 ab Update 2004, Command Line Applikation

HDD RAW Copy (u.a. CT Notfall-Windows)
1:1 Kopie des Datenträgers

Unstoppable Copier (u.a. CT Notfall-Windows)
1:1 Kopie, besonders bei defekten Sektoren o.ä. (Kopierschutz, defekte CD)

CONVAR File Recovery -Datenrettungsprogramm, unterstützt FAT 12/16/32 und NTFS.
(voll funktionsfähige Freeware)

Recuva (u.a. CT Notfall-Windows)
Suche im Verzeichnis nach gelöschten Dateieinträgen.

Testdisk (u.a. CT Notfall-Windows)
Suche auf der Disk nach gelöschten Dateieinträgen.

PhotoRec / QPhotoRec - freie Software (letzteres mit GUI)
ggf. Letzte Rettung. Durchkämmt Datenträger und sucht nach Dateianfängen.

ShadowCopyView  (u.a. CT Notfall Windows)
versucht Daten aus Schattenkopien zu retten

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-11-14 07:56


Windows: Automatische Anmeldung

Server2016, Win10 (Stand 2020):
Reg-Eintrag (unten) ist nicht mehr vorhanden oder funktioniert nicht mehr, aber per CMD geht es.

CMD: control userpasswords2

Haken entfernen "Benutzer müssen Benutzernamen und Kennwort eingeben".

Weitere Methoden für Win10-20H2, Windows Hello u.v.a.m.
https://www.deskmodder.de/wiki/index.php?title=Windows_10_automatisch_anmelden_ohne_Passworteingabe


Getestet unter WinXP, Vista, Win2008, Win7, Win2012R2, Win10 (21H1):

Eintrag in Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon :

ValueTypWert AutoAdminLogon REG_SZ 0x0 oder 0x1. Bei 0x1 erfolgt automat. Anmeldung.
DefaultPassword REG_SZ Kennwort
DefaultUserName REG_SZ Username

Das klappt nur, wenn man wirklich alle 3 Parameter angibt.

Diverse alternative Methoden beschreibt Deskmodder.

 

Win 2000 Prof:

Einfach in Systemsteuerung\Benutzer u. Kennwörter Häkchen bei "Benutzer müssen .. Benutzernamen eingeben.." bzw. "Vor Anmeldung CTRL-ALT-DEL.." raus.
Geht nicht bei der Serverversion.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-07-15 20:56


Windows: RUN Bootreihenfolge

1. Registry: HKLM
2. Registry: HKCU
3. autoexec.bat
4. Anmeldescript

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-09-08 09:10


Bootdisketten

für alle gängigen Systeme (DOS, LINUX, OS/2, WinXXXX, Win-Server..) gibt es bei bootdisk.de

DOS Boot-Stick mit RUFUS erstellen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-12-09 15:29


Tools, Infos, Hilfe

Diese Tools gehören bei mir auf jeden PC:

Classic Shell - ohne ist Windows 8, Server 2008, 2012 praktisch unbedienbar. http://www.classicshell.net/
NetSpeedMonitor, zeigt Upload-/Download Traffic in Echtzeit in der Taskleiste an. (Windows 7, 8, bei Win10 im Kompatibilitätsmode installieren) http://winfuture.de/downloadvorschalt,3351.html
Lanlights alternativ für die nicht so technik-affinen. Zeigt den Net-Speed als Blinkern im Netzwerksysmbol wie bei Win98. (Windows XP, 7, 8) http://www.paulmather.net/lanlight.asp
BGInfo aus  Sysinternals Tools gehört auf jeden Server oder jede VM.
F.Lux - passt Farbtemperatur und Helligkeit des Bildschirmes der Tageszeit an

Advanced IP Scanner
• IP-Scanner

Softperfect NetScan
• IP-Scanner
• doppelte IP-Adressen suchen
• DHCP-Server suchen

Systemstart optimieren mit msconfig.
Verschafft Überblick über system.ini, win.ini, boot.ini incl. aller Parameter, laufend Dienste bzw. Nicht-MS-Dienste und Systemstart.
Tool ist nicht in Win2000 enthalten, läuft aber auch dort.


Systeminfo.exe
  Sehr leistungsfähiges Tool, listet OS Version, Installationsdatum, Startzeit, Startvolume, Hotfixe u.a.
In Win7/8/10 enthalten.


sysinternals.com
Tools, Sourcen und Infos zu Windows
Die Tools sind so mächtig, dass ich ihnen einen eigenen Artikel gebe:  Sysinternals Tools


support.microsoft.com/fixit/
Microsoft Fix-It Supportcenter


Windirstat.info
Gutes Disknutzung- und Bereinigungs-Tool, free. Nur lokale Laufwerke.
Bei Speziiellen Anforderungen wie "Wo liegen die großen ZIP-Dateien" ist Treesize gefragt.


MS ICACLS
• alle ACLs von XXX sichern (kann im Texteditor bearbeitet werden):
icacls C:\XXX /save C:\Temp\ACL-XXX-Sicherung /t /c /l /q
• Vollzugriff für Admin setzen:
icacls C:\XXX /grant WindowsDomäne\Adminnutzername:(F) /t /c /l /q
• gesicherte Berechtigungen auf Verzeichnis anwenden:
icacls C:\ /restore C:\Temp\ACL-XXX-Sicherung-angepasst /t /c /l /q


AllDup

Sucht doppelte Dateien, je nach Einstellung gleiche Dateinamen (schnell), ähnliche Dateinamen, ähnliche Bildinhalte, gleicher Dateiinhalt (entsprächend langsamer).


Treesize Professional
Geniales Disknutzung-Tool, kostenpflichtig


mythicsoft.com
"Agent Ransack" - Windows-Dateisuche, die auch funktioniert. Sehr schnell, auch im Netzwerk.


netzwerktotal.de
aktuelle Infos zum Thema Internet, Windows, Computer, Smartphone und Co.
Forum und Downloads

 

MiniTool Partition Wizard

Partiongröße verändern, Partition oder Disk clonen, Partition reparieren.
Als Boot-CD oder Windows-Installation.

 

Nirsoft

Tools (Passwort, Netzwerk, Outlook....)

 

NetTools

Umfangreiches Free ActiveDirectory Troubleshoting Tool, ohne Installation, gute FAQ und Doku,
z.Bsp. Last Logon, letzte Passwortänderung, Passwortablauf, letzte fehlerhafte Passworteingabe, Gruppenmitgliedschaften mit Historie, DC-VerbindungsCheck, GPO-Explorer, Standortreplikation checken, LDAP-Browser, LDAP-Search mit vorkonfigurierten Favoriten (Groups without Members, Users: Accounts that will expiry in the next 30 days)

 

WinFaq.de

Tools und Infos zu Windows 9x .. 8  .. 10

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-01 19:48


Net Framework 3.5 installieren

Klingt einfach, ist es aber leider nicht.

Feature nachinstallieren schlägt fehl.

Lösung beim Server (2012 -): alternativen Datenpfad angeben: CD:\sources\sxs\

Lösung bei Windows 10: Download oder DISM

oder (Source-Verzeichnis zur CD entsprechend anpassen):

dism /online /enable-feature /featurename:netfx3 /all /source:d:\x64\sources\sxs /limitaccess

Bei Win10 Version 1903 funktioniert die Installation aus dem Source-Verzeichnis nicht.
Abhilfe: 1809-CD.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-02-21 15:26


ISO mounten schlägt fehl: "problem beim bereitstellen"

Windows Server 2008, Server 2012: ISO muß lokal liegen, nur dann geht es.

Das Problem hat Windows 8 übrigens auch.

Bei Windows 10 geht auch das Mounten von ISOs im Netzwerk.

Windows 7 kann keine ISO mounten. Abhilfe: WinCDEmu, bei WinXP, Win7, Win2008,.... sogar als Portable.

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-07-13 21:17


Remoteunterstützung

- es kann (betriebsrat-konform) der Bildschirm des entfernten Users gezeigt oder gesteuert werden.
- man arbeitet im Berechtigungskontext des entfernten Users. "Als Administrator ausführen" geht nicht.

 
Ab Server 2008 bzw. Windows XP:
C:\Windows\System32\msra.exe /offerRA {Client}

Server: Feature "Remoteunterstützung" muß installiert sein.

Firewall:
Eingehende Regel: Remoteunterstützung aktivieren!
Portausnahme:
 135:TCP:192.168.128.0/21:enabled:Port 135
Programmausnahme:
 %systemroot%\System32\raserver.exe:192.168.128.0/21:enabled:Remoteassistance
 %systemroot%\System32\msra.exe:192.168.128.0/21:enabled:Remoteassistance anbieten

Gruppenrichtlinie:
Remoteunterstützung (Einladung per Mail) aktivieren:
Richtlinie -> Computerkonfiguration\Administratve Vorlagen\(Windows-Komponenten)\System\Remoteunterstützung\Angeforderte Remoteunterstützung: aktiviert (und dann konfigurieren)
Remoteunterstützung (Helfer kann Steuerung anbieten) aktivieren:
Computerkonfiguration/Administrative Vorlagen/System/Remoteunterstützung
Remoteunterstützung anbieten = Aktiviert
Remoteüberwachung dieses Computers zulassen: Helfer dürfen den Computer remote steuern
Helfer:
RU-Helper

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:13


Windows (7/8.1/10)-ISOs zum freien Download

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-10-21 15:31


Ausgeblendete Geräte im Gerätemanager anzeigen

Standardmäßig blendet der Gerätemanager alle Geräte aus, die nicht mehr vorhanden oder angeschlossen sind. Zum Anzeigen folgende Variablen setzen:

 -> Systemsteuerung -> System, Tabreiter "Erweitert" -> "Umgebungsvariablen".

Systemvariablen hinzu fügen:

 

Devmgr_show_details=1

Zeigt einen erweiterten Tabreiter mit Details an

Devmgr_show_nonpresent_devices=1

Zeigt auch Geräte an, die in der aktuell laufenden Konfiguration nicht vorhanden sind

 

Das Gleiche geht auch über die Registry unter
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ Session Manager\ Environment

oder kurz und schmerzlos aus der DOS-Box mit SET.

set devmgr_show_details=1
set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:13


Windows Suche

Die Windows Dateisuche (wie auch die Kopierfunktion des Explorers) war schon immer grottig und das wird sich wohl auch nicht ändern.

Es gibt eine Menge Alternativen, die es besser können.

Gute, (nichtkommerziell!) kostenlose Alternative: FileLocator Lite bzw. Agent Ransack von https://mythicsoft.com/
Klein, schnell, erfolgreich, auch in Netzlaufwerken und UNC-Pfaden. Durchsucht PDF und Office-Files. Ideal auch für Portable.

Leistungsstark: FindIt.
Shareware, 30 Tage Test, dann 29 EUR. Durchsucht Office, PDF, Powerpoint, HTML, PHP, E-Mail EML, DBF und mehr. Ohne Index, auch Netzlaufwerke.

Kostenlose Alternative: NeoSearch
Das Programm indiziert alle Ziele, auch Netzlaufwerke. Dynamische Ergebnisse ab Tippen des ersten Buchstaben. Keine PDF- und Office-Suche.

Everything - schnelle NTFS-Suche
indexbasiert (eigene DB), ressourcensparend, für alle Windows Versionen (schnell bei NTFS, ReFS)

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-03-11 09:25


Batch: Datum formatieren [JJJJ-MM-TT]

echo  Timestamp ermitteln ..
if "%date:~2,1%" == "." goto :Kurzform

:Langform
set ukdate=%date:~9,4%-%date:~6,2%-%date:~3,2%
goto :weiter

:Kurzform
set ukdate=%date:~6,4%-%date:~3,2%-%date:~0,2%

:weiter

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-09-10 12:53


Remote Desktop frei schalten

per GPO:

* Netzwerkverbindungen –> Windows Firewall –> Domänenprofile: "Windows Firewall: Eingehende Remotedesktopausnahmen zulassen”

* Computerkonfiguration –> Richtlinien –>  Administrative Vorlagen –> Windows-Komponenten –> Remotedesktopdienste –> Remotedesktopsitzungs-Host –> Verbindungen: “Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen." = aktivieren.

* Computerkonfiguration –> Richtlinien –> Administrative Vorlagen –> Windows-Komponenten –> Terminaldienste – Remoteverbindungen für Benutzer mithilfe der Terminaldienste zulasssen” aktivieren.
 

Andere Methode per WMI:

* wmic /node:<IP-Adresse> RDToggle get AllowTSConnections - gibt Status der RDP-Verbindung aus. (1= erlaubt, 0= verboten)

* wmic /node:<Name-des-PCs> RDToggle where ServerName="<Name-des-PCs>" call SetAllowTSConnections 1, 1 - setzt RDP-Freigabe (Die erste 1 erlaubt RDP, 0 würde verbieten. Die zweite 1 passt Firewallregel an.)

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-10-14 11:12


Batch: Dateien in allen Profilen löschen

Java-Cache in allen Profilen löschen:

for /D %%i in (C:\Users\*) do rmdir "%%i\AppData\LocalLow\Sun\Java\" /S /Q

(Im CMD-Fenster nur ein "%" setzen!)

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-10-21 18:09


Autostart / RUN

Diese Orte durchsucht Windows nach Autostart-Einträgen:

o  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

o  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

o  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal

o  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components


o  HKLM\System\CurrentControlSet\Control\Terminal Server

o  HKLM\SOFTWARE\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers                      

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

o  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects                                      

o  HKLM\System\CurrentControlSet\Services


o  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce


Einträge über MS-Config:

o  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Verfasser: Uwe Kernchen
Letzte Änderung: 1970-01-01 01:00


Sysinternals Tools

Sehr cool: die aktuelle Online-Version läßt sich direkt auf dem PC mappen:
net use * http://live.sysinternals.com
oder direkt über den Link: http://live.sysinternals.com

• AccessEnum
Zeigt für wählbaren Ordner und Unterordner Nutzer und Gruppenberechtigungen.
Auch für die Registry.

• Autoruns (autoruns.exe)
Problem:
Autostart-Prozesse identifizieren.
Lösung:
"Autoruns" starten, File: "Run-as-Administrator", auch hier lassen sich alle Prozesse auf Viren prüfen mit "Scan Options: Check VirusTotal".

• BGInfo - der universelle, informative Dektophintergrund.
(Bginfo64.exe server.bgi /timer:0 /silent /nolicprompt)

• Prozess Monitor (procmon.exe)
Problem:
REG-Einstellung für spezielles Problem finden.
Lösung:
"Prozessmonitor" starten, mit "Lupe" Aufzeichnung stoppen, mit "Radiergummi" alles löschen, "Fadenkreuz" auf zu überwachenden Prozess klicken, alle Kategorien außer REGISTRY im Schnellfilter deaktivieren.
Nun mit "Lupe" Aufzeichnung starten, schnell die zu überwachende Aktion ausführen, Aufzeichnung stoppen.
Operation "RegSetValue" suchen, mit Rechtsklick "Highlighten" oder besser alle anderen Operationen "Excluden".
Rechtsklick auf das Ergebnis, "Jump to" springt direkt in die Registry auf den gewünschten Wert.

Problem: Bootprobleme identifizieren.
Lösung: "Prozessmonitor". Options: "Enable Boot Logging". "Profiling-Einträge" auswählen, wenn man Timingprobleme sucht.
Windows neu starten (Ruhezustand reicht NICHT). Procmon umgehend neu starten (sonst protokolliert es weiter), Ereinisse speichern und auswerten.

• Prozess Explorer (procexp.exe)
Problem:
Unbekanntes Programm bringt Fehlermeldung.
Lösung: "Prozess Explorer" starten, Menue: Fadenkreuz-Symbol starten, Fadenkreuz mit gedrückter linker Maustaste auf die Fehlermeldung ziehen, Prozess Explorer meldet den zugehörigen Prozess.

Problem: Prozesse auf Viren prüfen.
Lösung: "Prozess Explorer" starten, File: "Show Details for all Processes" (startet als Admin), Options: VirusTotal.com="Check VirusTotal.com", prüft alle laufenden Prozesse bei Virustotal.

• SYSMON
Problem:
Malware erkennen.
Lösung: Sysinternals "SYSMON". Installiert einen Dienst, loggt u.a. jeden Prozessstart mit kompletter Befehlszeile + Vaterprozess, Netzwerkaktivitäten usw.

• Disk2vhd
Das Programm erstellt virtuelle .vhd oder .vhdx -Festplatten von physischen Festplatten
und eignet sich damit zum Virtualisieren physischer PCs für HyperV, VMWare Workstation oder Virtual Box.
Images bootfähig machen siehe CT 06/2020 S.158 ff.

TCPView bzw. Kommandozeilenversion TCPVCON.EXE
Überwacht Netzwerkaktivitäten mit Angabe von auf Anfrage wartenden Prozessen, Protokoll, lokale und remote IP mit Hostname und WHOIS, Prozess-ID, Datenvolumen, Pfad und Dateiname des Prozesses.

PsExec führt Befehle auf anderen Rechnern im Netzwerk aus

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-12-30 15:11


Batch: Pause einfügen

SLEEP.CMD anlegen.

ping 127.0.0.1 -n %1 -w 1000>NUL

Aufrufen mit "call sleep 5" wartet 5 Sekunden.

 

Natürlich geht auch der Direktaufruf von
ping 127.0.0.1 -n 5 -w 1000>NUL

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-06-03 13:05


Windows PC einrichten

Meine Grundeinstellung:


Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-05 17:28


Bootfähigen USB-Stick erstellen

Neu 2020: Ventoy

ISO-Datei (ISO/WIM/IMG/VHD(x)/EFI) auf Stick schieben und Ventoy packt sie selbständig beim booten aus.

Multibootfähig, mehrere ISOs auf einem Stick. UEFI und MBR.
Bootet Knoppix und beliebige andere ISO-Cds.
Dateisystem exFAT unterstützt ISOs > 4GB

 

Einfach und genial: Rufus

Partitionschema und Dateisystem wählen, ISO-Datei auswählen (Windows, Linux, DOS),
Boot-Stick erstellen. Einfach und gut.

RUFUS erreicht DualBoot UEFI/BIOS durch das Laden eines eigenen NTFS-Treibers.
Der Treiber ist nicht digital signiert und funktioniert nur bei deaktiviertem SecureBoot.

 

Multiboot-USB-Stick unter Windows erstellen:

YUMI – Multiboot USB Creator

(Anleitung in CT 2013/3 S. 154 f.)

 

DOS USB-BootStick erstellen

-> Rufus, DOS-Lader ist bereits in RUFUS integriert
Startart: FreeDOS
Partitionschema: MBR
Zielsystem: BIOS (bzw.UEFI-CSM)
Dateisystem: FAT32
Beim Booten Version ohne UEFI auswählen

siehe hier: https://www.thomas-krenn.com/de/wiki/Bootf%C3%A4higen_DOS_USB-Stick_erstellen

 

Windows 7-8:
USB-Stick bootfähig machen

 

ISO-Image bearbeiten:
kostenlos mit WinISO 5.3 (bis 700 MB!!)
oder mit ISO Workshop (privat free)

 

Dateien aus Windows Install.WIM entfernen oder hinzufügen:
kostenlos mit NLite free

( Anleitung: Wintotal )

Setup-Stick erstellen mit Install.wim > 4 GB: siehe CT 15/2020 S.160 ff.

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-12-09 15:36


SmartScreen verstehen

Microsoft SmartScreen ist ein Phishing- und Malware Filter und ist implementiert in verschiedenen Microsoft Produkten wie Internet Explorer, Microsoft Edge, Outlook.com und Windows Operating System.
Und SmartScreen wird auch an diesen unterschiedlichen Stellen einzeln verwaltet.

Alle Links werden vor dem Öffnen mit einer Datenbank bei MS verglichen und ggf. geblockt. Das ist natürlich nicht fehlerfrei und blockt gelegentlich auch erwünschte Anwendungen.

Windows 10: Unter Datenschutz / Allgemein kann man SmartScreen für Apps aus dem Microsoft Store ein/ausschalten.

Für IE7 aufwärts oder Edge wird es im jeweiligen Browser unter "Sicherheit" eingestellt.

Unter Windows 8 geht man in die „Systemsteuerung“ -> „System und Sicherheit“ -> „Wartungscenter“ ->  „Windows SmartScreen-Einstellungen ändern".

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-11-07 16:26


Mehrschirmbetrieb, Remote Mehrschirm

Mehrschirmbetrieb ist keine besondere Herausforderung,
Doch die Tücken liegen im Detail.

Windows Rechner mit wechselnder Monitorkonfiguration
Verschieben von nicht sichtbaren Fenstern aus aktuell nicht verfügbaren Bildschirmen oder Bereichen:

Unsichtbares Fenser verschieben nur mit der Tastatur:
Programm in Taskleiste anklicken, [ALT + Leertaste], V(erschieben), Pfeiltaste (Richtung sichtbares Bild), ENTER

Unsichtbares Fenser verschieben mit Maus und Tastatur:
Maus über dem Programm in Taskleiste hovern, [Shift + rechte Maustaste], Verschieben klicken, Pfeiltaste (Richtung sichtbares Bild)

(Edge: ALT+Leertaste, "V", ENTER, Pfeiltaste)

Das Verschieben klappt nicht bzw. ist ausgegraut, wenn das Fenster im Vollbild-Mode ist!
Vollbild beenden: Programm in Taskleiste anklicken, [Windows-Taste + Pfeil-runter]

Unter VMWare ESXi 6 kann man jeder VM bis zu 4 Anzeigen mit der benötigten Auflösung und Speichermenge konfigurieren.
Bei entsprechender Grafik-Hardware im Host geht auch mehr.
Unter VMWare ESXi 7 kann man jeder VM bis zu 10 Anzeigen mit der benötigten Auflösung und Speichermenge konfigurieren.

Windows 10 Professional unterstützt Mehrschirmbetrieb per RDP (Haken setzen: Alle Monitore für Remotesitzung verwenden).

Windows 7 Professional unterstützt keinen Zweischirmbetrieb per RDP!
Diese Funktion ist der Ultimate- und Enterprise-Edition bzw. Windows 7 Embedded vorbehalten.
Der Versionswechsel geht per "Anytime Upgrade" ohne Datenträger in wenigen Minuten (Internetverbindung).

Windows Server 2008R2 ff. unterstützen RDP im Zweischirmbetrieb.

Teamviewer (15) erkennt keine virtuellen Bildschirme und zeigt nur mehrere Monitore, wenn die auch physisch am Gerät hängen.

Siehe hier unter Multiple-Monitor Support:
https://blogs.technet.microsoft.com/enterprisemobility/2009/07/01/using-multiple-monitors-in-remote-desktop-session/
https://schneidr.de/2012/02/remote-desktop-mit-mehreren-monitoren/

VMWare Workstation 11 arbeitet problemlos mit Zweischirmbetrieb.
Verschiebe ich aber die VM auf einen ESXi-Host (6), geht das (auch bei Bedienung aus der VM Workstation) nicht mehr.

getestet:
• VNC (aktueller Client, Server v.4) zeigt auf 1 Bildschirm beide virtuelle BS an
• VNC Client läßt sich 2x parallel starten, 2 Server nebeneinander oder in 2 Client-Bildschirmen

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-09-10 10:14


Bitlocker

Bitlocker kann verschlüsselt werden durch:
- TPM-Modul (transparent)
- TPM + PIN oder enhancced PIN
- USB-Key
- Kennwort
- RecoveryKey

Per Default verschlüsselt Bitlocker nur mit AES-128.
Per GPO kann man AES CBC 256 aktivieren. (Performance)
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung
–> «Verschlüsselungsmethode und Stärke wählen» - aktivieren
–> «Verschlüsselungsmethode für Wechsellaufwerke wählen» - AES CBC 256-Bit

Bitlocker per GPO aktivieren:
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke
–> «Konfigurieren von TPM-Systemstart-PIN» und «Require Start-PIN Bei TPM» wählen

Status abfragen: CMD-Befehl

manage-bde -status

Preboot-PIN-Abfrage aktivieren:

manage-bde -protectors -add c: -TPMandPIN

PIN ändern:

manage-bde -changepin c:

PIN-Abfrage wieder deaktivieren:

manage-bde -protectors -add c: -TPM

Bitlocker suspendieren für HD-Wartung, Bios-Updates u.ä. (Bsp. LW X):
- per GUI in Bitlocker Verwaltung: Schutz anhalten / fortsetzen
- per PowerShell: Suspend-BitLocker -MountPoint "X:"
- per PS, nur System-LW, für 1-9 Neustarts, 0= ewig: Suspend-BitLocker -MountPoint "<drive letter>:" -RebootCount <restarts>
- per CMD: manage-bde -protectors -disable X:
  oder manange-bde -protectors -disable X: -rc 5 (pausiert für 5 Neustarts)

Siehe auch: Verschlüsselung

Ext. Links:
• Administrator.de Wissenssammlung Bitlocker ,
dateibasierter Bitlockerprotektor zu Recovery- und Supportzwecken

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-08-11 19:45


Windows Produkt Key auslesen

Update von Win7/8 auf Win10: Der Key aus Windows 7 oder 8 wird in einen Windows-10-Schlüssel umgewandelt und zusammen mit einer Hardware-ID auf Microsoft-Servern gespeichert. Für Neuinstallation nutzt man wieder den Win7/8 Key.

Windows 7 Key per Registry auslesen:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\"
Suchen nach "ProductID", dort steht (u.a.) der Product-Key von Windows 7.

Tools zum Keys auslesen:
• "Windows Product Key Viewer" - (free) liest nur Windows Keys aus
• "The Ultimate PID Checker"
• "Magical JellyBean Keyfinder" - (free) liest Windows-, Office- Produktkeys usw. aus (CT Notfall Windows 2022)
• "Recover Keys" (ab 29 USD), unterstützt 3000+ Programme, u.a. Photoshop CS 2-6, Windows BIOS-Keys...

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-11-08 18:52


Temporäres Benutzerprofil

Temporäres Benutzerprofil verschwindet beim Beenden der Usersitzung.

Es gibt viele dokumentierte Lösungsansätze, aber vielleicht hilft auch dieser Tip:

-> der verwendete User ist nur Domänengast.
Damit wird nachvollziehbar kein (dauerhaftes) lokales Profil angelegt.
Hinzufügen des Users als Domänenmember beendet das Problem.

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-01-19 13:30


Windows PE (Preinstallation Environment)

- jede PE-Version kann abwärtskompatibel alle vorherigen Windows-Versionen bearbeiten

- Aufruf der PE-Eingabeaufforderung mit [SHIFT - F10]

- unter PE besitzt man SYSTEM-Rechte

- Powershell und NET Framework fehlt

- ausführbare Programme in x:\windows\system32\

- GUI für Kopieren / Umbenennen / Löschen bietet "Öffnen"-Dialog von notepad.exe

- 32-bit PE startet nur 32-bit Programme, 64-bit PE nur 64-bit Programme

- Netzwerk initialisieren:

wpeutil initializenetwork

- Firewall aus / ein schalten:

wpeutil disablefirewall / enablefirewall

- Treiber laden:

drvload e:\Treiber\treiber.inf

- Bitlocker Laufwerk entsperren:

manage-bde -unlock c: -pw

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-05-15 14:26


Freigaben Zugangsdaten

Wenn Windows die Zugangsdaten für eine Freigabe (NAS, PC..) gespeichert hat, kann man zukünftig ohne Passworteingabe auf diese Freigabe zugreifen. Das unterwandert aber häufig das Sicherheitskonzept.

Abfrage aller im Windows hinterlegten Zugangsdaten:

cmdkey /list

Löschen von hinerlegten Zugangsdaten:

cmdkey /delete:<Ziel>

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-06-22 10:10


Windows Supportlinien und Lizenzbezeichnungen

LTSB
LTSC
Long Term Servicing Channel
Long Term Servicing Branch
Normale Kauflizenz, Updates bis zum EOL
Ab Release 5 Jahre Mainstream Support + 5 Jahre Extended Support
Neue Version alle 2-3 Jahre
SAC Semi-Anual Channel halbjährlich komplett neue Server-Basis (Branch),
SAC Releases werden nur 18 Monate unterstützt,erfordert aktive SA
SAC enthält nicht die GUI-Version
Bsp: Server 1803

SA - Software Assecurance

Windows Desktop-Versionen und Servicelaufzeiten

LTSB und LTSC Versionen besitzen keinen Microsoft Store und keine Apps.
AppStore nachinstallieren nach dieser Anleitung: https://www.youtube.com/watch?v=NcvRut5SPZ8

Windows Version und installierte Features abfragen mit DISM: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1334

Windows Version mit Powershell abfragen: get-computerinfo

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-06-29 09:47


Programme auf Netzlaufwerken an Taskleiste anheften

Programme auf Netzlaufwerken lassen sich in Windows 7 - 10 nicht an die Taskleiste anheften.

Einzige mir bekannte Lösung:
- Programmdatei lokal auf den PC kopieren
- Verknüpfung in Taskleiste anlegen
- Verknüpfung editieren auf Ziel im Netzwerk
- lokale Kopie wieder löschen

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-10-19 12:04


Fehlersuche: Windows-Bremsen

• Windows Protokollierung von Hoch- und Herunterfahren.
Ereignisprotokoll: Anwendungs- und Dienstprotokolle / Microsoft / Diagnostics-Performance / Betriebsbereit
  ID 100er - Hochfahren
  ID 101 - Anwendung hat den Start verzögert
  ID 102 - Treiber hat den Start verzögert
  ID 103 - Dienst hat den Start verzögert
  ID 106 - Windows Hintergrundoptimierung
  ID 107 - GPO Computer
  ID 108 - GPO User
  ID 109 - Hardware-Initialisierung
  ID 200er - Herunterfahren, 201 - 209 wie oben.

Sysinternals ProcessMonitor
- Auflisten aller Prozesse, die länger als z.Bsp. 1 sek. dauern.
  Filter: Duration ... is more than ... 1 sek
- Anzeige .. Spalte "Duration" einblenden, hilfreich ist "Image Path" und "Command Line".

Verfasser: Uwe Kernchen
Letzte Änderung: 2019-10-29 14:18


Filesystem NTFS - symbolische Verknüpfungen

Symbolische Links (symlink)
- werden mit MKLINK erstellt
- benötigen Admin-Rechte zum Erstellen
- Auflösung von symbol. Links auf Remote-Maschinen erfolgt auf dem Client
- nicht alle Anwendungen können mit symlinks umgehen

Symbolische Verzeichnisverknüpfung (junctions) (ab Win 2000)
- werden mit MKLINK erstellt
- benötigen keine Admin-Rechte zum Erstellen
- Windows unterstützt keine junktions auf Remote Shares
- (Auflösung von Verzeichnisverknüpfungen auf Remote-Maschinen erfolgt auf dem Server?)
- Verzeichnisverknüpfungen sind komplikationsfreier

RemoteDesktopService-User können so konfiguriert werden, dass jedes Userprofil in einer eigenen virtuellen Disk liegt und als Junction unter &users% eingebunden ist.
https://woshub.com/user-profile-disks-in-windows-server-2012-r2-rds/

Bsp: "C:\Dokumente und Einstellungen" -> "C:\Users"
Der direkte Inhalt ist für den Zugriff gesperrt, damit Programme den Inhalt des verknüpften Ordners nicht zweimal zählen.
Der Zugriff auf Inhalte wie "C:\Dokumente und Einstellungen\[Benutzername]\" funktioniert.
• Anzeigen mit "Junctions" von Sysinternals oder CMD, Powershell.
• Bearbeiten mit CMD: mklink.

Bessere Ergebnisse als der Explorer zeigt CMD.
dir /as

Vollständigen Ordnerinhalt anzeigen geht am Besten mit der Powershell.
dir -force

Hardlinks
Ein Hardlink ist ein Verzeichniseintrag für eine Datei. Jede Datei weist mindestens einen Hardlink auf.
Auf NTFS-Datenträgern kann jede Datei mehrere Hardlinks besitzen, und daher kann eine Datei in mehreren Verzeichnissen (oder im selben Verzeichnis mit verschiedenen Namen) angezeigt werden.
Da alle diese Verbindungen auf dieselbe Datei verweisen, können Programme einen beliebigen Hardlink öffnen und die Datei ändern.
Eine Datei wird nur dann aus dem Dateisystem gelöscht, wenn alle Hardlinks zu dieser Datei gelöscht wurden.
Alle Hardlinks auf eine Datei teilen sich die gleichen Zugriffsberechtigungen.
Um einen Hardlink zu erzeugen, benötigt der Benutzer das Recht zum Schreiben von Attributen auf dem jeweiligen Ordner-Zweig sowie auf dem Share, falls es sich nicht um ein lokales Laufwerk sondern um eine Freigabe handelt.
Existiert mehr als ein Hardlink für eine Datei, so wird lediglich einmal Plattenplatz für diese Datei belegt, egal wie viele Hardlinks existieren.
Hardlinks anzeigen: TreeSize, Optionen: Hardlinks bei einem Scan berücksichtigen, um genauere Werte für den belegten Speicherplatz zu erhalten

Data Deduplication
Win Server ab 2012 bieten eine Funktion zum automatischen deduplizieren von Daten. Die NTFS-Deduplikation bündelt Dateien mit annähernd gleichen Inhalten in sogenannten "Chunks".
Chunks werden in den Unterordner "Systeme Volume Information\Dedup\ChunkStore\" auf der entsprechenden NTFS-Partition verschoben.
Nachdem die Deduplikation von Windows ausgeführt wurde, werden die Originaldateien durch Verknüpfungen mit den korrespondierenden Chunks im ChunkStore Ordner ersetzt.
Zwei identische Dateien benötigen anders als zuvor, nach der Deduplikation nur noch die Hälfte des Speicherbedarfs. Da die Originaldateien nun lediglich noch eine Verknüpfung statt der Daten enthalten, liefert Windows für diese einen wesentlich kleineren Speicherplatz zurück als zuvor (Für zwei identische Dateien wird der benötigte Speicherplatz mit "0 Byte" angegeben).
Um sich von TreeSize die Originaldatei- und -ordnergrößen anzeigen zu lassen, müssen Sie einfach den Anzeigemodus von "Belegter Speicher" zu "Größe" umstellen. Der "Belegte Speicher", der von TreeSize angezeigt wird, ist der Speicherplatz, den Sie durch Löschung der entsprechenden Datei erhalten würden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-09-02 13:52


Batch: WHOAMI, SIDs abfragen

Ist die aktuelle Umgebung "Als Administrator" gestartet?

@echo off
whoami /groups | find "S-1-16-12288" > nul
if not errorlevel 1 {
color 47
}

  • Abfrage der möglichen Farben (Hintergrund+Schrift): color /?
  • "If not errorlevel 1" prüft, ob der Wert gleich oder größer ist. Abfrage "if errorlevel 0" wäre also sinnlos.
  • SID oben bedeutet "Hohe Verbindlichkeitsstufe", d.h. Start "als Administrator".

Liste aller bekannten Gruppen- und Systemuser- SIDs:
https://support.microsoft.com/de-de/help/243330/well-known-security-identifiers-in-windows-operating-systems

Verfasser: Superadmin
Letzte Änderung: 2020-08-24 11:47


Windows Dienste per Registry bearbeiten

Hier findet man alle Dienste:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Dienste können hier bearbeitet/umbenannt oder gelöscht werden.

Startart in Wert "Start":
0 = Boot
1 = System
2 = Automatic
3 = Manual
4 = Disabled

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-09-05 14:15


Bildschirmtastatur

Wenn man mit einem Tablet einen PC fernsteuert, wird manchmal beim Klick in ein Eingabefeld keine Bildschirmtastatur eingeblendet.

Abhilfe: Bildschirmtastatur mit [WINDOWS-Strg-O] oder [osk.exe] starten.

Im Tablet-Modus (aktivierbar unten rechts im Infocenter) wird die Bildschirmtastatur rechts im Infobereich der Taskleiste angezeigt.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-09-08 11:11


DISM

Kommandozeilentool (Eingabeaufforderung und Powershell) zum Bearbeiten von Images, seit Windows 7, Funktionsumfang wurde in jeder Version weiter entwickelt.

Tip: 7-Zip kann WIM-Dateien öffnen.

Informationen über den Inhalt eines Images (Indexnummer, Beschreibung):

DISM /Get-Info /Imagefile:D:\Sources\Install.esd

Informationen über den Inhalt der Datei mit Index=5 aus dem Image (Beschreibung, Größe, Architektur, Sprache...):

DISM /Get-Info /Imagefile:D:\Sources\Install.esd /Index:5

Fehler in Systemdateien suchen und beseitigen:

Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /RestoreHealth

Bei Fehlermeldungen bei o.g. Befehl:
Mount Windows Server 2016 ISO as a drive (E: im Beispiel)
Run dism /online /cleanup-image /restorehealth /source:WIM:E:\sources\install.wim:1 /limitaccess

DISM offline aus WinPE Kommandozeile, wenn das System nicht mehr läuft:
(siehe auch deskmodder.de)

Dism /Image:e:\ /Cleanup-Image /RestoreHealth /source:esd:C:\install.esd:1 

Richtige Version im Offline Image suchen:
(mehr dazu: https://www.computerbase.de/forum/threads/wie-dism-offline-korrekt-anwenden.2122965/)

Dism /Get-WimInfo /Wimfile:"L:\sources\install.wim"
(geht auch bei install.esd)

Image (Index 5) auspacken. ESD-Dateien lassen sich nicht bearbeiten.
ESD in WIM konvertieren:

DISM /Export-Image /SourceImageFile:E:\Sources\Install.esd /SourceIndex:5 /DestinationImageFile:E:\Sources\Install.wim /Compress:max

WIM entpacken, Mounten:

DISM /Mount-Image /Image-File:E:\Sources\Install.wim /Index:1 /MountDir:G:\Mount

Das entpackte Image kann im Explorer bearbeitet werden (Default Profil, Treiber, Hintergrundbild, Programme, Apps.. hinzufügen/löschen)

Überblick über alle eingebundenen Images:

DISM /Get-MountedWimInfo

Falls hier nicht mehr gültige Images angezeigt werden:

DISM / Cleanup-MountPoints
DISM / Cleanup-Wim

WIM packen, Dismounten:

DISM /Unmount-Image /MountDir:G:\Mount /Commit

/Discard statt /Commit verwirft die Änderungen.

Apps auflisten/deinstallieren

Das funktioniert am aktiven Windows oder bei einem Image.
1. Image einbinden (/Mount-Image..) z.Bsp. nach G:\Mount
2. Überblick über Apps verschaffen (Ausgabe in Datei)
DISM /Get-ProvisionedAppxPackages /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-ProvisionedAppxPackages /Online

3. betreffende App suchen, bsp. "Microsoft.MicrosoftSolitaireCollection"
4. App löschen, bsp.
DISM /Remove-ProvisionedAppxPackage /Image:G:\Mount /PackageName:Microsoft.MicrosoftSolitaireCollection_4.4.8204.0_neutral_-_8wekyb3d8bbwe
Wenn App aus der Online-Version gelöscht werden soll, "/Image:..." durch "/online" ersetzen.
5. Image mit /Commit dismounten

Windows Version ermitteln
Abbildversion (Bsp: 10.0.19043.1766) und aktuelle Edition (Bsp: Professional)

dism /online /get-currentedition

Treiber auflisten/deinstallieren

Ablauf wie bei Apps, nur statt /Get-ProvisionedAppxPackages
DISM /Get-Drivers /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-Driver /Online

Treiber löschen
DISM /Remove-Driver

Treiber hinzufügen
DISM /Add-Driver

Windows "Fähigkeiten" auflisten/deinstallieren

Ablauf wie bei Apps, nur
DISM /Get-Capabilities /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-Capabilities /Online

Windows Updates auflisten/deinstallieren

Ablauf wie bei Apps, nur
DISM /Get-Packages /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-Packages /Online

Windows Features auflisten/deinstallieren

Ablauf wie bei Apps, nur
DISM /Get-Features /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Online /Get-Features /Format:Table

DISM in der Powershell: https://docs.microsoft.com/de-de/windows-hardware/manufacture/desktop/use-dism-in-windows-powershell-s14?view=windows-11

Verfasser: Superadmin
Letzte Änderung: 2023-08-23 07:43


Erzwungene Bildschirmsperre umgehen

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-07-14 18:27


Programm als Dienst starten

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-01-04 08:40


AD Zertifikate

Zertifikate: certmgr.msc (lokaler Computer!)
  (ggf. mmc.exe aufrufen, Zertifikate -> lokaler Computer hinzufügen)
Zertifikatserver: certsrv.msc
Zertifikatsvorlagen: certtmpl.msc
Zertifikat manuell erneuern: certutil -pulse
DC Zertifikate prüfen: certutil -DCinfo

Zertifikatsvorlage anpassen: Zertifikat duplizieren,
  Kompatibilität anpassen, Name sinnvoll setzen, Gültigkeitsdauer

Neues Zertifikat anfordern: von Ihnen konfiguriert, Zertifikatregistrierung: Status: Nicht verfügbar: Antragsteller korrigieren, besonders E-Mail raus

AD Zertifikat als PEM exportieren: Unter Windows wird die Verschlüsselung von PEM-Zertifikaten als Base-64-codiertes X.509 (.CER) bezeichnet. 

Zertifikatstelle sichern:

  • CA-Server certsrv.msc aufrufen, CA -> Alle Tasks -> CA sichern
  • Backup AD CertServer RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc
    (enthält Konfiguration der CA, darunter die CRL- und AIA-Speicherorte)

Zertifikatsstellen-Webregistrierung
Hier kann man das aktuelle Zertifikatstellenzertifikat und die Zertifikatskette downloaden.

http://localhost/certsrv

 

Anleitung AD Zertifikatsdienst: https://sid-500.com/2017/03/31/active-directory-zertifikatsdienste-teil-1-installation-einer-enterprise-root-ca/

Eigene AD Zertifikatsvorlage erstellen: https://sid-500.com/2017/04/01/active-directory-zertifikatsdienste-teil-3-eigene-zertifikatsvorlagen-erstellen/

AD Zertifikatserver auf neuen Server migrieren: https://www.windowspro.de/brandon-lee/active-directory-zertifikatdienste-einen-neuen-server-migrieren

AD Zertifikatsvorlage erstellen und aktivieren
https://www.tecchannel.de/a/active-directory-client-zertifikate-teil-1-zertifikatvorlagen,1739816,5

AD Zertifikate anfordern
https://www.tecchannel.de/a/active-directory-client-zertifikate-teil-2-anfordern-von-zertifikaten,1740097

Das war für mich hilfreich:
https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/

Zertifikate über AD, Subjekt Alternative Name Zertifikate für mehrere Server
https://www.windowspro.de/wolfgang-sommergut/san-zertifikate-ausstellen-ueber-active-directory-ca


OpenSSL Selfsign Zertifikate (Bsp. für Apache)
https://wiki.manitu.de/index.php/Server:Selbst-signiertes_SSL-Zertifikat_erstellen/erzeugen

Eigene AD Zertifikatsvorlage erstellen: https://sid-500.com/2017/04/01/active-directory-zertifikatsdienste-teil-3-eigene-zertifikatsvorlagen-erstellen/

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-06-22 18:43


Interne Windows Datenbank (WID)

Der Artikel wird zur Zeit überarbeitet und kann leider nicht angezeigt werden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-04-12 09:26


Powershell: Windows Update

Powershell ISE starten, ggf. Script-Ausführung aktivieren.

  • Get-WindowsUpdate - auf Updates prüfen
  • Install-WindowsUpdate - Updates installieren
    Install-WindowsUpdate -AcceptAll -AutoReboot

Modul PSWindowsUpdate

  • Import-Module PSWindowsUpdate - PowerShell Modul installieren
  • Get-Command –Module PSWindowsUpdate - listet alle Kommandos
  • Get-WUInstall - Update des PC's mit evtl. Bestätigung einer Eingabe
  • Get-WUInstall -MicrosoftUpdate -IgnoreUserInput -WhatIf -Verbose - Update des PC's ohne weitere Nutzereingabe
  • Get-WUList - Liste aller installierten Patche
  • Get-WUHistory - Liste aller installierten Updates, sogar über Funktionsupdates hinaus (dauert)

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-02-03 16:13


Forensik: ntuser.dat

Die NTUSER.DAT befindet sich als versteckte Systemdatei im Ordner des jeweiligen Benutzers unter C:\Benutzer\<benutzer>\NTUSER.DAT
Ausserdem gibt es eine gleichnamige .log1 und log2 als Zwischenspeicher, bevor die Änderungen final in der NTUSER.DAT landen.
Diese sollten in die Analyse einbezogen werden.
Da jeder Benutzer eine eigene NTUSER.DAT besitzt, können gefundene Spuren exakt einem Benutzerkonto zugewiesen werden.

Im Live-Betrieb mit REGEDIT unter Computer\HKEY_CURRENT_USER\ (andere User unter HKU).
ID des angemeldeten Users ermitteln (HKCU): Dosbox: whoami /logonid

HKCU eines anderen Benutzers laden / editieren:
Registry: HKU/ markieren, Datei -> Struktur laden, ntuser.dat aus dem betreffenden Userprofils laden.

Offline Tool: Registry Explorer

MS Office

  • legt die zuletzt aufgerufenen Dateien und Speicherorte ab
  • nicht vertrauenswürdige Speicherorte (default: alles außer lokale Festplatte) werden gesondert gespeichert
  • Schlüssel in NTUSER.DAT\Software\Microsoft\Office\
  • ...\Word\User MRU\ listet die letzten 50 Word-Dokumente auf
  • ...\Word\Place MRU\ listet die letzten 50 Word Speicherorte auf

Dateien und Ordner

  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs - speichert die letzten 150 zugegriffenen Dateien ab
    - besitzt für jeden Dateityp einen Subschlüssel
    - Datei MRUListEx speichert jeweils die Reihenfolge, in der die Dateien geöffnet wurden
  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU - speichert Dateien, die mit „Öffnen“ oder „Speichern unter“ Dialoges geöffnet bzw. geschlossen wurden
    - je Dateityp gibt es einen Subschlüssel und eine MRUListEx wie oben
  • NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU - speichert Programm im Ausführen-Dialog

Fernzugriff

  • NTUSER.DAT\SOFTWARE\Microsoft\Terminal Server Client\Servers - enthält Ziele (IP + Anmeldename) der RDP-Verbindungen

siehe auch:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-01-26 15:38


Taskjob: bei Anmeldung am Netzwerk

Taskplaner startet beliebigen Job bei Verbinden eines Netzwerkes.

https://administrator.de/images/c/2022/07/19/412247054ad7be7402882b45cab0a6ec.jpg

Nutzung für GPO-Aktualisierung nach Login, Laufwerks-Mapping nach VPN-Login u.v.a.m.

Bsp: powershell.exe -windowstyle hidden -command "gpupdate /force"

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-03-22 15:00


Hardware

Filesystem: FAT

Volumes können bis 4 GB groß sein.

Die max. Dateigröße ist 2 GB.

Domänen werden nicht unterstützt.

Windows 7/8 unterstützt FAT, kann aber nur auf NTFS installiert werden.

 

FAT in NTFS konvertieren:

Umwandeln ohne Neuformatierung oder Datenverlust:
CONVERT <LAUFWERK>: /FS:NTFS

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-04-16 11:18


Filesystem: FAT32

Volumes von 512 MB bis 2 TB.

Die max. Dateigröße ist 4 GB.

Windows XP kann nur FAT32-Volumes bis 32 GB formatieren.

Domänen werden nicht unterstützt.

PCs im UEFI-Modus booten nur von Fat32.

Verfasser: Uwe Kernchen
Letzte Änderung: 1970-01-01 01:00


Filesystem: NTFS

Volumes größer als 2 Terabyte sind möglich.

Die Dateigröße wird lediglich durch die Größe des Volumes begrenzt.

Kann nicht auf Disketten verwendet werden.

Domänen + Berechtigungen werden unterstützt.

ab Windows NT

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:09


Prozessoren Übersicht

Core I3-4xxx 2 Kerne, Grafik, HT, kein Turbo-Boost
Core I5-4xxx 4 Kerne, Grafik, kein HT, Turbo-Boost
Core I5-4570T 2 Kerne, Grafik, HT, Turbo-Boost
Core I7-4xxx 4 Kerne, Grafik, HT, Turbo-Boost
Core I7-49xx 4-6 Kerne, keine Grafik, HT, Turbo-Boost

 

Intel Prozessorfinder http://processorfinder.intel.com
Wikipedia http://de.wikipedia.org/wiki/Mikroprozessoren_von_Intel

 

Sockel 7 Intel Pentium (MMX), AMD K5 /K6, Cyrix /IBM 6x68 (L; MX), IDT C6
Super Sockel 7 AMD K6-2 /K6-III, Cyrix /IBM 6x86MX /PR300 /PR333, IDT Winchip 2
Sockel 8 Intel Pentium PRO
Sockel 370 einige Intel Celeron(PPGA) /einige Pentium III
Slot 1 einige Intel Celeron /einige Pentium III /Pentium II
Slot 2 Intel Pentium II XEON /Pentium III XEON
Slot A AMD Athlon
AM2 AMD Athlon64, Athlon64 X2, Athlon64 FX, Sempron

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:09


Festplatte Partitionen, Partitiongrößen, Aufzeichnungsverfahren

SSD halten ihre Daten ohne Stromversorgung maximal 2 Jahre.
Das sollte man beim Speichern auf externe SSD beachten.

MBR:
 1.Partition: BOOT, 350MB (Bootdateien und Wiederherstellungssystem)
 2.Partition: Windows-NTFS

UEFI:
 1.Partition: SYSTEM, 350MB, FAT32 (Wiederherstellungssystem)
 2.Partition: ESP, 100MB (EFI System Partition, Boot-Dateien)
 3.Partition: MSP, 120MB (MS reserviert)
 4.Partition: Windows-NTFS


Aufzeichnungsverfahren:

  • SMR - Shingled Magnetic Recording
    - speichert die Daten sehr dicht auf überlappenden Bahnen
    - verringerte Geschwindigkeit beim Ändern gespeicherter Daten teils erheblich
      (ungeeignet für häufig wechselnde Inhalte)
    - wird für preisgünstige Modelle eingesetzt
  • CMR - Conventional Magnetic Recording
    - teurer, schneller


2014:
Neue Festplatten mit 4kB-Sektoren werden nicht von Windows vor Version 8.1 oder Server 2012R2 als Bootlaufwerke unterstützt, ebenso nicht von MacOS.
Sie laufen nicht mit Intel RST-Treiber iastor.sys, etlichen SAS-Controllern und diverser systemnaher Software.


Win2000 und XP
können in der ersten Auslieferungsversion nicht mehr als 128 GB pro Festplatte adressieren! Für größere Platten muß bei Windows 2000 mindestens das SP3 installiert sein (SP3 aktualisiert die ATAPI.SYS). Bei Windows XP muss man entweder die Registrierung editieren oder das min. SP1 installieren.

Außerdem ist das gewählte Datenträgerformat entscheidend:

► Windows Partitionen:
MBR: 4 Partitionen
GPT: 128 Partitionen

► Maximale Partition- und Fesplattengröße:
MBR: 2 TByte
GPT: 18 ExaByte

Windows ME /Win98: maximal 128 GB pro Festplatte.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-04-10 14:00


BIOS

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:09


Speicher Typen

SIPP die ollen 8-bit Dinger mit Beinchen
SIMM (PS/2) (Single In-line Memory Modul) - eine Kontaktreihe. Zugriffszeit: 60 .. 70 ns.
72-polig -> 32-Bit (im 64-bit Pentium paarweise!).
30-polig -> 8-Bit (alt: 4x gleiche Mudule für 32-bit CPU).
- FPM (FastPage) -schneller als DRAM
- EDO (Extended-Data Output DRAM) -schneller als FPM.
DIMM (Dual In-Line Memory Modul) - 64-Bit, 168-polig (2x84), 2 Kerben (nach Pin 10 und 40), zwei Kontaktreihen. Zugriffszeit typisch 8..12 ns
- EDO (alt und lahm) oder SDRAM- Bestückung
- SO-DIMM (Small Outline DIMM) - für Notebooks. 72-polig (32-bit) oder 144- polig (64-bit)
Gängig: PC-66, PC-100, PC-133 für 66, 100 und 133 MHz Bustakt.
DDRAM (Double Data RAM) - 184-polig (2x92), 2.5V / 2.6V, 1 Kerbe, doppelte Datenrate gegenüber SDRAM
Gängig: DDR200, 266, 333[PC2700] (2.5V+/-0.2V), DDR400[PC3200] (2.6V+/-0.1V).
RDRAM (RIMM) (Rambus Dynamic RAM) - 1 Kerbe (nach Pin46), Metallkappe, schneller als DDRAM, teuere Insellösung. Gängig: PC600, PC711, PC800, PC1066, PC1200, PC1333. Jeder freie Slot muß terminiert sein.
DDR2, 1.8V, 1 Kerbe, 240-Pin, doppelte ext.Bandbreite, geringerer Energieverbrauch gegenüber DDR, leere Slots müssen ggf. terminiert sein.
Gängig: DDR2-400[PC2-3200], DDR2-533[PC2-4200], DDR2-667[PC2-5300], DDR2-800[PC2-6400]. Auch als ECC oder S0 (200 Pin) für Notebook.
DDR3, 1.5V, 1 Kerbe (andere Pos. als DDR2), 240-Pin
Gängig: DDR3-1066MHz, DDR3-1333MHz, DDR3-1600MHz. Auch als ECC oder S0 (204 Pin) für Notebook.


Weiter Infos: Kingston

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:09


Grafik Ports

  DVI(D) HDMI DisplayPort (DP)
Auflösung: Single Link: WUXGA (1920x1200)
Dual Link: WQXGA (2560x1600)
WUXGA (1920x1200) aktuell
lt. Spezifikation theoretisch mehr möglich.
WQHD (2560x1440)
WQXGA (2560x1600)
Ton: nein Digital Ton Digital Ton
Kopierschutz: nein ja ja
Mini-Variante:   Mini-HDMI
nur bis WUXGA (1920x1200)
Mini Display Port (MDP)
volle Auflösung
mit passivem Adapter in beide Richtungen übertragbar
Adapter: DVI(I) -> VGA HDMI -> DVI(D) DP -> HDMI
DP -> DVI
DP -> Dual-Link DVI
DP -> VGA
Der Chip schaltet automatisch auf passendes Signal, Kopierschutz usw.
DVI, DualLink DVI, HDMI -> DP nur mit aktivem Adapter.(>100 EUR)
Länge: DVI(I) -> VGA ca. 5m bis max. 10m möglich. WQXGA: Standard 2m, gute Kabel bis über 10m
1080p: Standard 15m
Stecker mit Verriegelung
Bemerkung: DVI(I) -> VGA keine Angaben. ca. 5m bis max. 10m möglich. DP 1.2 kann mehrere Displays mit verschiedenen Bildern und Auflösungen
über einen Anschluß per Hub oder Kaskadierung bedienen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:09


AGP Bus

AGP Bustakt Spannung max.Transfer
x1 66 MHz 3,3 und 1,5V 266 MB/sec.
x2 66 MHz 3,3 und 1,5V 533 MB/sec.
x4 66 MHz 1,5 V 1066 MB/sec.
x8 66 MHz 0,8 V 2,1 GB/sec.

AGP funktioniert erst ab Win95C mit USB-Unterstützung und DirectX ab V.5!

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:10


PCI Bus

  PCI
2.0
PCI
2.1
PCI
2.2
PCI 2.3/
PCI 3.0
PCI-X
1.0
PCI-X
2.0
PCI-X
3.0
max. Busbreite 32 Bit 64 Bit 64 Bit 64 Bit 64 Bit 64 Bit 64 Bit
max. Takt 33 MHz 66 MHz 66 MHz 66 MHz 133 MHz 533 MHz 1066 MHz
Slots pro Bridge 4 2 2 2 1 1 1
Spannung 5 V 5/3.3 V 5/3.3 V 3.3 V 3.3 V 3.3/1.5 V 3.3/1.5 V
Einführung 1993 1994 1999 2002/2004 1999 2002 2004

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:10


DELL iDrac, Lifecycle Update

F1 - Setup
F12 - BootMenue

Lifecycle Controller-Update

FTP-Server: Adresse: ftp.dell.com. Keine Anmeldeinformationen. Ggf. Dateipfad: catalog. VERALTET
HTTP/S-Server: Adresse: downloads.dell.com. Ggf. Dateipfad: catalog.
USB
: muß Fat32 sein.

Download startfähiger ISO-Dateien zum Aktualisieren für PowerEdge Server

iDrac Standardzugang: root / calvin

- Anmeldung im IE schlägt öfter fehl. Manchmal läuft der IE aber dann besser.
- Link im IE zur vertrauenswürdigen Zone hinzu fügen!

iDRAC neu starten, wenn sie hängt: auf dem Server anmelden, CMD-Fenster öffnen und dort den Befehl: „racadm racreset“ absetzen.

- Firefox: Zertifikat "DELL iDrac" löschen! Alle Server haben das gleiche Zertifikat, das blockt FF ab.

 

* You must disable the Enhanced Security Mode in Internet Explorer for the
  Java-based virtual console and virtual media plug-in to function properly.
  Else, specify the ActiveX plug-in in the iDRAC6 configuration instead of Java.
  In addition, you must add the iDRAC6 Web URL to the Intranet security
  zone only. Also, this zone settings must be Medium-Low or lesser, for the
  control to function properly.
* To successfully launch Virtual Media, make sure that you have installed
  a 64-bit JRE version on a 64-bit operating system with 64-bit browser or a
  32-bit JRE version on a 32-bit operating system with 32-bit browser. iDRAC6
  does not support 64-bit ActiveX versions. Also, make sure that for Linux,
  the compat-libstdc++-33-3.2.3-61 related package is installed for launching
  Virtual Media. On Windows, the package may be included in the .NET framework
  package.
* When the SSL encryption strength is set to "168-bit or higher" or "256-bit or
  higher" and a downgrade is performed to firmware version 1.97 or lower, the
  encryption strength  defaults to Auto-negotiate. After this if you upgrade
  the firmware to version 1.98, the encryption strength is set to the previously
  set "168-bit or higher" or "256-bit or higher" value. 

 

Gute FAQ: https://faq.hosteurope.de/?cpid=11831

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-11-09 19:15


Bildschirm kalibrieren

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:10


SCSI / SATA / SAS

Interface-TypGeräteKabellängeDatenrateÜbertragungsart
ATA + U-DMA/33   30 cm   Länge für beide EIDE-Kabel zusammen (!)
SCSI Asynchr. 8 6 m 5 MB/s SE
Fast SCSI 8 3 m 10 MB/s 8-bit SE
Wide SCSI 16 3 m 20 MB/s SE
Ultra SCSI 4 3 m 20 MB/s 8-bit SE
Ultra SCSI 8 1,5 m 20 MB/s 8-bit SE
UltraWide SCSI 4 3 m 40 MB/s 16-bit SE
UltraWide SCSI 8 1,5 m 40 MB/s 16-bit SE
UW Diff. SCSI 16 25 m 40 MB/s HVD
U2Wide SCSI 16 12 m 80 MB/s 16-bit LVD
Ultra160 SCSI 16 12 m 160 MB/s 16-bit LVD
Ultra320 SCSI 16 12 m 320 MB/s 16-bit LVD
S-ATA 1(4) 1m 150 MB/s seriell
S-ATA 2 1(16) 1m 300 MB/s seriell
eS-ATA 1 2m 300 MB/s seriell
SAS Serial Attached SCSI . intern 1m
extern 10m
300 MB/s abwärtskompat. zu SCSI,
unterstützt auch SATA-Festplatten
SAS 2 . intern 1m 600 MB/s seriell

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:10


DELL ProSupport

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:08


USB

Standard Speed Länge Bemerkung
USB 1 1,5 / 12 MBit/s    
USB 2 480 MBit/s   5V / 500 mA/Port
USB 3.0 5 GBit/s 3 m SuperSpeed, 5 V / 900 mA/Port
USB 3.1 Gen1 5 GBit/s 3 m SuperSpeed
USB 3.1 Gen2 10 GBit/s 1 m SuperSpeed Plus

 

 

 

 

 

 

Stecker

Typ Bemerkung
A Host (USB 3.0: blau, USB 3.1: türkis)
B Geräteseite
Micro B  
C

USB 2.0 - 3.1, kleiner, verdrehbarer Stecker,

USB-PD: höhere Ströme bis 100W, 5/12/20 V / max.5 A.

kein Unterschied zwischen Geräte- und Hostseite.

transportiert außer USB auch Thunderboldt, DisplayPort, PCI-Express und Audio analog.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-11-19 11:19


Festplatte Schreib-/Lesegeschwindigkeit abfragen

Einfacher Test für lokale Laufwerke in der DOS-Box.

Alle Tests (LW C):
winsat disk -drive c

Lesegeschwindigkeit LW C:
winsat disk -seq -read -drive c

Schreibgeschwindigkeit LWC:
winsat disk -seq -write -drive c

Übliche Geschwindigkeitswerte
Festplatten (seq. lesen) > 110 MB/s (SATA) ... 550 (SAS RAID) ... 5.000 MB/s (VM)
Festplatten (seq. schreiben) > 130 MB/s (SATA) ... 430 MB/s (SAS RAID) ... 1.500 MB/s (VM)
SSDs (seq. lesen) > 400 MB/s ... 500 MB/s
SSDs (seq. schreiben) > 200 MB/s ... 500 MB/s

Erfolgreich getestet in: Windows 7 - 8.1 - 10 Pro, Server 2016.

Geht nicht in Server 2008R2 - 2012 - 2012R2.
Bei diesen System einfach WinSAT.exe und WinSATAPI.dll von C:\Windows\System32 eines o.g. Systems holen, ggf. "regsvr32 C:\Windows\System32\WinSATAPI.dll" ausführen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-09-15 10:22


AVM FritzBox

Default IP bzw "Notfall-IP" 169.254.1.1 geht immer!
Auch wenn das Gerät auf eine ander IP konfiguriert wurde.
Default IP: 192.168.178.1
Das Default-PW der Box steht auf der Geräteunterseite.

Auf Werkseinstellung können die Geräte nur über die GUI oder per Telefon gesetzt werden.
Geben Sie am Telefon #991*15901590* ein.
An WEB-GUI: Kennwort vergessen, Werkseinstellung.

Fritzbox als Modem im Bridgemode nicht mehr supported
(ein LAN-Interface steuert direkt das Modem, ohne NAT)
* Menue Bridgemode einblenden über Sicherungsdatei:
https://www.youtube.com/watch?v=yYzLLYQOGMA

https://emil.network/netzwerk/fritzbox-als-modem-nutzen/

Im Bridgemode ist Telefonie, WLAN, DECT der Fritzbox nicht nutzbar!

So soll auch die Telefonie der Fritzbox (als Modem) funktionieren:
https://www.ip-phone-forum.de/threads/fritzbox-als-dsl-modem-und-gleichzeitig-telefonie-klappt-bei-7490-warum-nicht-bei-7590.306556/

Plan-B:
Fritzbox als "Exposed Host" routet alle Ports an den innenliegenden Router weiter.
Doppel-NAT!

Fritz Box Internet per Handy-Hotspot
- im Bereich "Internet ->Zugangsdaten" -> bei "Internetanbieter" -> "Weitere Internetanbieter" auswählen
- "vorhandener Zugang über WLAN" wählen
- unter "WLAN-Geräte" den vom Handy aufgespannten Hotspot suchen
Danach sind alle Geräte an der Fritzbox über das Handy online.

Fritz Box Internet per Handy + USB
- Handy (Android!) per USB-Kabel an Fritzbox anschließen
- Handy: Einstellungen -> Netzwerk & Internet -> USB und Tethering -> "USB-Tethering" aktivieren
- danach zeigt die Fritzbox einen neuen Menuepunkt "Mobilfunk" mit 3 Optionen:
 1. Internetzugang aktivieren - Fritzbox geht per Handy online
 2. Internetzugang deaktivieren - Fritzbox geht normal (ohne Handy) online
 3. Ausfallsicheres System - Fritzbox geht per Handy online, wenn der normale Internetzugang ausfällt.
  Läuft das DSL wieder, schaltet die Fritzbox nach 30 Minuten zurück.

FritzBox Tools
- Checksum der Konfig berechnen / nach Änderungen aktualisieren
- Entschlüsseln der Konfig
- Kennwörter überschreiben...
https://www.mengelke.de/Projekte/FritzBox-JSTool

Fritzbox VPN zu Lancom-Router
- Fritzbox kann nur IPSec IKE v.1
- eingeschränkte Prosposals bei Lancom anlegen, weil die Fritzbox nicht mehr kann:
IKE: SHA1, AES-CBC256, PSK, Gültigkeit 3600 Sekunden
IPSEC: AES-CBC 256, SHA1, Gültigkeit 7200 Sekunden

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-09-06 11:03


Ubiquiti Ubifi Controller, Switche, WLAN, VLAN

Default IP: 192.168.1.1
(bei Dreammachine, DM Pro, Security Gateway, SG Pro)

Default IP: 192.168.1.8
(bei Cloudkey, Cloudkey Pro)

Für Ersteinrichtung per Bluetooth (Handy-App) oder LAN (Browser) ist ein Ubiquiti-Account erforderlich!
Ubiquiti Username darf nur aus Kleinbuchstaben bestehen.
Nach der Einrichtung kann man die Online-Konfig durch den Ubiquiti-Account wieder deaktivieren.

Default SSH PW für Geräte, die noch nicht administriert wurden: ubnt / ubnt oder root / ubnt.

Abhängigkeiten:

Routing, Statische Routen USG Security Gateway  
IDS / IPS USG Security Gateway  
Portforwarding Unifi Controller muß online sein  
Automat. WLAN Geschwindigkeitstest USG Security Gateway  
Deep Packet Inspection (DPI) USG Security Gateway  
Gastportal Unifi-Controller muß online sein  
RADIUS USG Security Gateway  
Geräte ausrollen mit zentraler Konfiguration Controller muß temporär online sein  
WLAN Kanäle scannen Controller muß temporär online sein  


Ports:

  • TCP/8443: Web GUI
  • TCP/8080: Device/Controller Communication
  • TCP/8880: HTTP Portal Redirection
  • TCP/8843: HTTPS Portal Redirection
  • TCP/6789: UniFi Mobile Speed Test
  • UDP/3478: STUN (optional, für UniFi VoIP Telefone)
  • UDP/10001: Device Discovery
  • UDP/1900: Layer 2 Network Discovery
  • UDP/5514: Remote Syslog Capture (optional)


PoE:

Alle AP lassen sich per PoE speisen, aber mit verschiedenen Standards!
Teilweise wird sogar PoE passiv und teils aktiv genutzt.
Bei den 5-er Packs liegt kein PoE-Injektor bei, bei den Einzelgeräten schon.
Nicht alle PoE-Injektoren unterstützen 1GB Datendurchsatz.

Unifi WLAN Accesspoints:

  • keine eigene Weboberfläche,- Konfiguration nur über kostenlose Controller-Software, Hardware-Controller oder App.
  • arbeiten als Layer-2 Bridge, IP + DHCP kommt vom vorherigen LAN
  • per Default mit dynamischer IP. Besser statisch setzen.
  • bis 4 SSIDs je AP
  • Ländereinstellungen bestimmen auch WLAN-Sendeleistung!
    In Deutschland ist die Sendeleistung auf 100 mW (20 dBm) begrenzt, während in den USA bis zu 1000 mW (also dem 10-fachen) erlaubt sind.
  • Sendeleistung kann zentral über die Ländereinstellungen (Auto-Mode) oder für jeden AP manuell in Custom konfiguriert werden.

SSH Device (AP) Reset + neu in Controller einbinden:

- Run "sudo syswrapper.sh restore-default"
- Wait until the device reboots
(Werkseinstellung mit Default Passwort)
- SSH into the device again and
- Run: "set-inform http://ip-of-controller:8080/inform"

Unifi Controller

  • kostenlose Software für Windows, Linux und macOS zum Konfigurieren von Unifi-Komponenten wie Switch, Routing, Firewall, WLAN
  • als Hardware in verschiedenen Ausführungen verfügbar, sinnvoll für Dauerbetrieb, Monitoring und Statistik (Clod-Key, Dreammachine)
  • UNIFI-AccessPoints und Managed Switche haben keine WEB-Oberfläche und werden nur über den Controller administriert.
  • Controller muss nicht dauerhaft laufen, Abhängigkeiten siehe oben.

• Controller lässt sich immer über Port 8443 erreichen. (https://IP-DES-CONTROLLER:8443/)
• Controllerwechsel über Backup bei gleicher FW-Version.
Schlägt das fehl, dann per SSH (set-inform http://IP-DES-NEUEN-CONTROLLER:8080/inform) Hardware neu bekannt machen.

UniFi Dream Machine Pro

  • 8-Port Switch, Full Managed, mit 1x SFP+
  • Unifi Controller
  • Security Gateway (Firewall, Thread Management, Geolocation, detaillierte Traffic-Protokollierung..) mit 1x SFP+
  • Protect Videorecording, Gesichtserkennung, VMotion

Konfiguration per Bluetooth-App oder per Browser (über LAN-Port per DHCP-Adresse oder Default IP=192.168.1.1).

SSH Login (SSH in GUI aktivieren, SSH Username= root):

$ ssh unifi
# mca-cli - startet CLI
$ set-inform http://[IP]:8080/inform - liest Hardware neu ein

SSH Live-LOG, aktualisiert sich:

tail -f /var/log/messages

Ubiquiti UniFi AC PRO
Art. UAP-AC-PRO

günstige 3-er Pack und 5-er Pack, ohne PoE-Injektor
Einzelverpackung mit PoE Gigabit Adapter 48V, 0.5A
Unterstützt PoE: 802.3af PoE / 802.3at PoE+ (aktiv), Leistungsaufnahme max. 9W

Backup in der GUI konfigurierbar.
CloudKey: SD-Karte

Netzwerke
- vorhandenes LAN als Management-LAN belassen, Änderungen führen ggf. zu Fehlern.
- eigenes LAN neu hinzu fügen.
- Switchports können LANs zugewiesen werden mit VLAN, DHCP.
- einzelnen Ports kann eine feste IP aus dem DHCP-Bereich zugewiesen (reserviert) werden.
- Geräte können Name (Alias) und Symbolbild bekommen (Falsches Symbolbild melden, Bild aus Liste wählen).

WLAN
Band-Steering: "5 GHz bevorzugen" oder "Ausbalanciert" (für jeden AP einstellen).

Gästeportal
- Logo als PNG, 400 x 400 pix, transparent

VLAN
Unifi arbeitet bei den Port-Profilen mit TAGGED VLANs und bei Netzwerken mit UNTAGGED VLANs.
Man kann auf einem Port über Switch-Profile mehrere VLANs taggen und max. 1 VLAN untagged konfigurieren.
Profil "All" entspricht UNTAGGED und VLAN1. Sinnvoll für Uplinks bzw. unkonfiguriert.
Das Native Netzwerk ist das UNTAGGED Netzwerk des Ports (entspricht PVID bei Netgear) und wird nicht nach außen übertragen.
Jeder Port hat (bei Unifi) nur ein UNTAGGED Netzwerk.

Bsp.1: Switch aufteilen
- gewünschte Ports in separates (natives, ungetaggtes) VLAN

Bsp.2: Switch aufteilen, ein Port erreicht aber mehrere VLANs
- gewünschte Ports in Portgruppe, die alle gewünschten VLANs (TAGGED) enthält.

UDM Firewall:
- Regeln werden von kleinen zu grossen Indexnummern abgearbeitet.
https://ubiquiti-networks-forum.de/wiki/entry/46-firewall-regeln-basis-wissen-ej/
https://help.ui.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall-How-to-Disable-InterVLAN-Routing

Übersicht der UniFi - Produktlinien:
https://help.ui.com/hc/en-us/articles/360050130353-UniFi-UniFi-Overview

Übersicht der Switche und AccessPoints, Kameras usw. sowie deren PoE-Standards:
https://help.ui.com/hc/en-us/articles/115000263008-UniFi-Supported-PoE-Output-and-Input-Modes

UniFi Controller Passwort zurück setzen
(ggf. erforderlich nach Backup und Restore, das zerschiesst gerne alle Benutzer)
https://gist.github.com/AmazingTurtle/e8a68a0cbe501bae15343aacbf42a1d8

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-12-31 01:15


APC USV Tips

APC USVs kennen 2 unterschiedliche Modulslots!
Passende Größe beachten (12.1 x 3.8 mm oder 2.5 x 4.7 mm).

  • APC UPS mit SNMP-Modul können Powerchute Network Shutdown (kostenlos) nutzen
  • APC Smart-UPS können Powerchute Business (kostenlos) nutzen
  • APC Back-UPS können nur Powerchute Personal Edition, nicht für Server

APC Back-UPS erlauben teilweise keinen Akku-Tausch mehr!
(Akkuwechsel nur in der Fachwerkstatt, Wechselakku kostet ungefähr das Gleiche wie das ganze Gerät)

Verfasser: U. Kernchen
Letzte Änderung: 2023-02-13 08:57


PC Stromverbrauch

8-Stunden-Strommessung an einem Büro-Arbeitsplatz

Intel Core-i5-8400
mit TFT-Bildschirm 20"

Mittlere Stromaufnahme in Betrieb: 55 Watt
PC aus (WoL aktiv), Monitor in Standby: 14 Watt

Verfasser: Superadmin
Letzte Änderung: 2021-08-17 11:08


Hardware Diagnose

CPU-Z - aktuelle Prozessorwerte, Stresstest  (u.a. in CT Notfall Windows)

Prime92 - Prozessortests, Stresstest, auch für einzelne Kerne (u.a. in CT Notfall Windows)

 

Windows Speicherdiagnose - startet Windows neu und testet RAM (Suchen: Speicherdiagnose, u.a. in CT Notfall Windows)

 

Speccy - allg. Hardware-Info, SSD Überblick über Hardware und Laufwerke (u.a. in CT Notfall Windows)

SSD-Z - SSD Lesebenchmark  (u.a. in CT Notfall Windows)

HD-Tune - liest SMART-Diagnosedaten von Festplatten aus, wichtig: "Reallocated Sector Count", simpler Benchmark und Oberflächentest (u.a. in CT Notfall Windows)

HDSentinel - analysiert Festplatten (u.a. in CT Notfall Windows)

 

HDTestw - prüft Integrität von Speichermedien (USB-Sticks)  (u.a. in CT Notfall Windows)

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-03-11 11:30


Lucom Router

  • VPN Preshared Key darf keine Sonderzeichen enthalten
  • während der Konfiguration: Debug-Mode der IPSec-Verbindung auf "control-more" stellen
  • Mobilfunk verbunden: in "Mobile WAN" steht unter Connection Log: "(1st SIM card) Connection successfully established."
  • NTP-Server eintragen, Zeit muß für VPN stimmen
  • VPN verbunden: im System-Log steht "establishing CHILD_SA ipsec2-1"
  • VPN IPSec verbunden: in IPSec-Status steht "ipsec1-1: #1, ESTABLISHED"
  • Network -> tun0: OpenVPN -Tunnel Schnittstelle
  • Network -> usb0: Mobile Netzwerk-Verbindung
  • Zertifikate und private Schlüssel müssen im Format PEM sein. Zertifikate müssen Start- und Stop-Tags besitzen.
  • Lucom unterstützt für die local und remote ID:
    - IP-Adresse (z. B.: 192.168.1.1)
    - DN (z. B.: C=CZ,O=CompanyName,OU=TP,CN=A)
    - FQDN (z. B.: @director.companyname.cz) – Das Symbol @ symbol geht der FQDN voran.
    - User FQDN (z. B.: director@companyname.cz)

E2M / IEC104 Energy-Steuerung Pholtaikanlagen

  • Open VPN
  • Port 2404 muß vom VPN-Router zum IEC-Server erreichbar sein
  • VPN-Server: m2m.e2m.energy
  • Encryption algorithm: AES-256-CBC (256 bit)
  • DH Parameter Leght: 2048 bit
  • Auth Digest Algorithm: SHA1 (160bit)
  • E2M Network: 192.168.210.0 / 24

Lucom Router Konfiguration:

  • Interface-Typ: TUN
  • USER-PASS.TXT in Lucom Startup-Script kopieren
  • OpenVPN Eintrag erstellen:
  • Protocol: UDP
  • UDP Port: • 1194 für VPN010009xxxxxx, • 1195 für VPN010008xxxxxx 
  • Remote IP: m2m.e2m.energy (80.64.177.239)
  • Remote Subnet: 192.168.210.0
  • Remote Subnet Mask: 255.255.255.0
  • Redirect GW: no
  • Ping Interval: 120 sek
  • Ping Timeout: 30 sek
  • Compression: LZO
  • NAT Rules: applied
  • Auth Mode: X.509 cert (multicert)
  • Preshares Secret: TLSAuth.KEY hinein kopieren (2048 bit OpenVPN static key)
  • CA Certificate: ca.cert
  • Local Certifikate: VPNxxxx.crt
  • Local Private Key: VPNxxx.key
  • Extra Options: " o   --cipher AES-256-CBC --auth SHA1 --lport 0 --verify-x509-name hluvkwb02.energy2market.de name --auth-user-pass /tmp/user-pass.txt "
  • speichern, Privat Key-PW eingeben

Der Router baut nun automatisch den VPN Kanal auf. Wenn der Kanal aufgebaut ist wird unter „Status – Network“ ein „tunX“ Netzwerk (x= Nummer der VPN Konfiguration) angezeigt. Sollte dieses nicht erfolgen sollte über „Status – System LOG“ geprüft werden, welcher Fehler vorliegt.
• Test mit PING auf Tunnel Client IP

Vor der nachfolgenden Erstellung der VPN-Verbindung müssen die » Zertifikate erstellt werden «.

VPN (Lan <-> LAN) IPSec IKEv2 zertifikatsbasiert

Router Lancom
Grundkonfiguration siehe hier.
(Zertifikat mit X509v3 Subject Alternative Name: IP-Adresse)

  • Verschlüsselung: DH14, DH2, kein PFS, AES-CBC-256, AES-CGM-256, SHA-256, SHA1, MD5
  • Authentifizierung: lokal/entfernte Identität: RSA-Signatur, ASN.1-Distinguished-Name, VPN1, CRL-Check: Ja
  • Verbindungsparameter: Default (30 sek, keine)
  • Gültigkeitsdauer: 85.860 sek, 0 kB, 14.400 sek, 2.000.000 kB)
  • Regelerzeugung: Manuell
  • IKE-CFG: Server
  • IPv4-Adress-Pool eintragen
  • IPv4-Routing-Tabelle: Eintrag erstellen
  • Firewall IPv4-Regel: VPN übertragen (je nach Firmware)

Router Lucom
LTE router LR77 v2 Libratum

  • Type: policy-based
  • Remote IP Adress: Router-IP
  • Remote ID: Identität aus Server-Zertifikat -> Inhaber -> RFC-2253 (Reihenfolge gedreht!!)
  • Local ID: Identität aus Client-Zertifikat -> Inhaber -> RFC-2253 (Reihenfolge gedreht!!)
  • Remote Subnet + Mask: Remote Subnet + Mask
  • Local Subnet + Mask: Local Subnet + Mask
  • Encapsulation Mode: tunnel
  • Force NAT Traversal: yes
  • IKE: IKE v2
  • IKE Algorithm: manual
  • IKE Encryption: AES256CGM128
  • IKE Hash: SHA256
  • IKE DH Group: 2
  • IKE Reauthentication: yes
  • ESP Algorithm: manual
  • ESP Encryption: AES256GCM128
  • PFS: disabled
  • Key Lifetime: 3600 sek
  • IKE Lifetime: 86400
  • Rekey Margin: 540 sec
  • Rekey Fuzz: 100%
  • Authenticate Mode: X.509 certificate
  • CA.crt / Remote Cert Pubkey.crt / Local Cert PubKey.crt / Local Zert PrivKey.pem, am Besten in Klartext rein kopieren
  • Revocation Check: if possible


LR77 v.2 Libratum

LTE/4G/3G/Edge Modem
2x LAN (10/100), 2x SIM-Card
* max. 4x OpenVPN
* max. 4x IPSec IP v4 / v6 / DualStack
Default IP: 192.168.1.1
User: root
PW: P +letzten 8 Stellen der SnNr.+ h
* Mobile WAN: APN: internet, Dial: *99#, PAP
* Service -> HTTP: Zertifikat muß ggf. erneuert werden
* LED Power: green blinking = ready, on = starting Router, fast blinking = Updating
* LED DAT: rot blinking = Communication
* LED WAN: gelb 1x flash per Sec = Signal good, 2x flash per Sec = Signal angemessen, 3x flash per Sec = Signal schlecht
* LED SIM: gelb on: SIM Card aktiv

Handbücher:
https://www.lucom.de/files/inhalte/downloads/router/lr77v2-libratum/lr77v2-libratum-user-guide.pdf
https://www.lucom.de/industrierouter/lr77-v2libratum-sl-lte-vpn-4g-mobilfunkrouter-ohne-zubeh-r-25704z-bb-lr2l710020.html#downloads
Hersteller: https://advantech-bb.com/


Quellen und Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-01-21 19:25


DELL PowerVault ME5024

SAN Storage mit
• 24x 2,5" Laufwerke
• 2x Controller
• bis 4x FC-Ports je Controller


Problem: WEB-GUI startet nicht, Ladebalken bleibt bei 0%

Lösung:
• anderen Controller (zweite IP) versuchen
• SSH-CLI: "#restart mc a" (bzw. b)

 

Problem: Initiator läßt sich keinem Host zuordnen
Hosts / Alle Initiatoren: ausgewählten Initiator zu vorhandenem Host hinzufügen schägt fehl

Lösung: Das schlägt fehl, weil dem Initiator nicht die Volumes identisch zum ersten Initiator zugeordnet sind.
Aktuell können die Volumes dem Initiator nur über CLI zugeordnet werden.
SSH: Zuordnung anzeigen
# show initiators
Nickname       Discovered Mapped Profile  Host Type  ID
-----------------------------------------------------------------------
initiator0001  Yes        No     Standard SAS        54cd98f05a2fb900
initiator0002  Yes        Yes    Standard SAS        54cd98f05a2fb901
-----------------------------------------------------------------------
Success: Command completed successfully.

SSH: Zuordnung aller Volumes zum Initiator erstellen
# map volume access read-write initiator initiator0001 lun 1 VOL1
# map volume access read-write initiator initiator0001 lun 2 VOL2
usw.

Danach läßt sich der Initiator einem vorhandenen Host in der WEB-GUI zuordnen.

DELL CLI Referenz: https://www.dell.com/support/manuals/de-de/powervault-me5024/me5_series_cli/fc-port

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-09-21 19:32


Akku Report auslesen

CMD:

powercfg /batteryreport

erstellt ausführlichen Batterie-Report bei Notebooks
in c:\windows\system32\batterie-report.html

Verfasser: Uwe Kernchen
Letzte Änderung: 1970-01-01 01:00


MikroTik Geräte

Wireguard/Switch/Router

Routerboard RB1100AHx4

  • 19" Router mit redundanten Netzteilen
  • 2x Netzteil 230V intern redundant und 2-Pin 12-57V/48C und PoE in
  • CPU: ARM32, 4x 1.4 GHz, RAM: 1 GB
  • Router OS Level 6 (höchster Level, incl. CapsMan)
  • 13x 10/100/1000 Mb/s RJ45
  • Durchsatz: max. 7.5 Gb/s, IPSec bis 2.2 Gbps
  • Passiv-Kühlung
  • Default IP: 192.168.88.1

RouterBOARD hEX - RB750Gr3

  • Mini Pocket, PVC
  • 5x 10/100/1000 Mb/s RJ45
  • CPU: MT7621A, 2x 800 MHz, RAM: 256 MB
  • Router OS Level 4
  • Durchsatz: max. 1.9 Gb/s, IPSec bis 470 Mbps
  • Power: DC jack (8-30V), PoE-IN (8-30V, 5-10W
  • Passiv-Kühlung

WLAN

cAP ax (++)

  • WLAN Accesspoint/Router/Repeater Wi-Fi 6
  • erweiterte WLAN auth.: OWE, WPA3-PSK, WPA3- EAP, WPA-EAP-192 and 802.11r roaming
  • Rauchmelderdesign, groß, Durchmesser ca. 22cm
  • 2x LAN 10/100/1000 (Lan1: PoE in, Lan2: PoE out)
  • CPU: ARM64, 4x 1.8 GHz, RAM: 1 GB
  • Router OS Level 4
  • Netzteil, direkt (18-57V) oder per PoE Injektor (inclusive)
  • Passiv-Kühlung
  • Front-Mitte: Button zum Deaktivieren der LED
  • Default PW: Geräte-Aufkleber

hAP ax2  (C52iG-5HaxD2HaxD-TC) (+++)

  • WLAN Accesspoint/Router/Repeater Wi-Fi 6
  • WLAN 802.11a/b/g/n/ac/ax (WiFi 6)
  • 2,4 GHz: 574 MBit/s, 5 GHz: 1201 MBit/s
  • erweiterte WLAN auth.: OWE, WPA3-PSK, WPA3-EAP, WPA-EAP-192
  • Pocket Gehäuse
  • 5x LAN 10/100/1000 (Lan1: PoE in / out)
  • CPU: ARM64, 4x 864 MHz, RAM: 1 GB
  • Router OS Level 4, kein CAPsMAN (braucht OS Level-6)
  • Netzteil, inclusive 24V/1.5A (12-28V) oder per PoE Injektor (18-28V/24W)
  • Passiv-Kühlung

cAP ac (--)

  • WLAN Accesspoint/Router/Repeater Wi-Fi 4
  • 2.4 GHz und 5 GHz
  • Rauchmelderdesign, sehr klein, Durchmesser ca. 14cm
  • 2 Gehäuseschalen: rund oder viereckig
  • Patchraum für normale RJ45-Stecker zu eng!
  • CPU: ARM32, 4x 716 MHz, RAM: 128 MB, spürbar langsam!
  • Router OS Level 4
  • Fronmitte-Pushbutton bzw. Mode-Button innen: LEDs on/off
  • Erst-Konfiguration am einfachsten über WLAN, dann Winbox
  • Stromversorgung über PoE (inclusive)
  • Wandbefestigung lösen: Gerät (ohne Rastung) gegen Uhrzeiger drehen

LTE

LHG LTE18 kit

  • Parabolschüssel-Gehäuse
  • 1x LAN, 1x LTE, MicroSIM
  • Router OS Level 3
  • Werksreset: Hold Reset Button during boot (5 sek) - dann ist Passwort leer!
  • Stromversorgung über PoE (inclusive), PoE in 802.3af/at, 12-57V
  • Masthalterung (2x Schellen)

    LTE-Zugang einrichten:
  • PPP-Interface löschen, falls es angelegt ist
  • LTE-Interface hat Status "R"un
  • Interface List / LTE / LTE APNs: einrichten, DNS + Default Route zufügen, ggf. APN + Username
    IP Type= auto, Use Peer DNS, Add Default Route (NICHT "Use Network APN"!)
  • Interfaces / Interface List: List= WAN, Interface= lte1
  • LTE-Interface bekommt automatisch eine IP v4 und V6-Adresse
  • kein DHCP-Client auf LTE-Interface erstellen (alt)
  • Default Route 0.0.0.0/0 auf LTE erstellen (automatisch)
  • Test: PING vom Router, Traceroute vom PC (geht erst nach ca. 7. Hop)
  • NAT-Regel für Clientzugriff erstellen  (Chain: srcnat, Out.Interface List: WAN, IPSec Policy: out/none, Action: masquerade)

siehe auch:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-10 08:45


BIOS, Bootreihenfolge Tastenkürzel

DELL PC

  • F2 - Setup
  • F12 - One-time Bootmenue (neue Systeme mit Diagnostics, Bios Update, SupportAssist OS Recovery / BiosConnect / Reset - online Recovery)

DELL PowerEdge Server

  • F2 - Setup
  • F10 - Live Cycle Controller
  • F11 - Bootreihenfolge
  • F12 - PXE-Boot

Lenovo

  • F1 - Setup
  • F12 - Bootmenue

Intel NUC

  • F2 - BIOS
  • F10 - Bootreihenfolge
  • F11 - PXE Boot

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-19 16:45


ZigBee Gateway Phoscon ConBee III

  • USB-Stick für Windows, macOS, Linux
  • Cloudfrei, direkte Anbindung an gängige Homeautomatisierungen
  • (bald) Matter und Thread kompatibel, Thread Border Gateway
  • ZigBee 3.0, ZigBee Green Power, Bluetooth Low Energy (BLE)
  • Chip: EFR32MG21 von Silicon Labs
  • ZigBee Reichweite bis 30m (Freifeld: 200m)
  • max. 512 Teilnehmer
  • Geräte Kompatibilitätsliste: https://phoscon.de/de/conbee3/compatible
  • Stick installieren: https://phoscon.de/de/conbee3/install
  • USB-Sticks abfragen: ls -lha /dev/serial/by-id
  • USB-Stick ist über die IP des Wirts-PCs erreichbar
  • Ubuntu-User muß angemeldet sein (Automatische Anmeldung!), damit die Phoscon App und das Gateway arbeitet
  • ioBroker: Phoscon Adapter
  • ioBroker: Zigbee-Adapter: Baudrate auf 38.400 stellen!

Sensoren:

  • Tuya Zigbee Thermometer+Hygrometer -> als Multi-Sensor erkannt (Temperatur + Luftfeuchtigkeit, kein Batteriestand)
  • Tuya Zigbee Smart Switch Modul MS-104BZ (2x Schalter In, 2x Relais Out) -> als Zwischenstecker erkannt (2x Lights Schalter In/Out)
  • Tuya Zigbee Smart Switch Modul MS-104Z (1x Schalter In, 1x Relais Out) -> als Zwischenstecker erkannt (1x Lights Schalter In/Out)
  • Tuya Zigbee MiniSwitch XYZ02-16A-W-1PC (ZN-01 6) (1x Schalter In, 1x Relais Out) -> als Licht erkannt (1x Schalter)
  • WLAN-Sensoren sind prinzipbedingt nicht einbindbar

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-03-05 16:33


DrayTek Vigor 167 Modem

  • VDSL2 Vectoring Modem, 35b Modem
  • als Router oder Bridge konfigurierbar
  • WEB-GUI, CLI, Telnet/SSH
  • Firmwareupdate via TFTP/HTTP/TR-069
  • SNMP v1/v2c
  • E-Mail Alarmierung und Logging
  • 1x xDSL WAN, 2x 10/100/1000Base-TX LAN
  • RESET-Taste: 10 sek= Werksreset
  • On/Off Taster an der Rückseite
  • Default IP: 192.168.1.1
  • Default User: admin / admin
  • NICHT Magement und PPToE -Modem gleichzeitig am Modem abgreifen. Die Ports sind nicht getrennt. (Zyxel VMG3006 trennt das)

Quellen:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-12-11 09:23


Netzwerk

Windows Netzwerkzuordnung, Netzwerkstandort ändern

  • Windows identifiziert das Netzwerk anhand der MAC-Adresse des Standardgateways
  • beim Ändern des Defaultgateway -Gerätes (MAC-Adresse) ändert sich (meist) das Netzwerk
  • PCs ohne gültiges Standardgateway landen im "Öffentlichen Netzwerk"! (Firewall dicht)
    Abhilfe: Standardgateway auf beliebiges Gerät im LAN definieren (Drucker, NAS, PC), dann kann das "unbekannte Netzwerk" einer Kategorie zugeordnet werden.
  • Heimnetzwerke sind nur von PCs sichtbar, deren LAN als "Heimnetzwerk" eingestuft wurde.

 

Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\
Profilname: Netzwerk identifizieren
Category Werte:

    • Öffentlich = 0
    • Privat = 1
    • Arbeitsplatz = 2


GPO Windows 7-10 Prof/Ultimate: Netzwerkstandort dauerhaft erzwingen
- Gruppenrichtlinieneditor "gpedit.msc" oder Lokale Sicherheitsrichtlinie "secpol.msc" starten
- Computerkonfiguration –> Windows Einstellungen –> Sicherheitseinstellungen –> Netzwerklisten-Manager-Richtlinien
- Alle Netzwerke, Nicht identifizierte Netzwerke: einstellen


Powershell:

- get-netconnectionprofile  (NetworkCategory: Public = öffentl. Netzwerk)
- set-netconnectionprofile -InterfaceIndex 16 -NetworkCategory Private (InterfaceIndex von oben nehmen) - setzt priv. Netzwerk

Netzwerkkategorie mit Powershell auf Domänennetzwerk ändern:

set-netconnectionprofile -interfaceindex <NR> -networkcategory DomainAuthenticate
oder -networkcategory Private / Public

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-05-27 11:07


IP v6 Tunneladapter deaktivieren

IP v4 - to - v6 Tunneladapter über Microsoft ausschalten!

Sonst hat der PC ein unkontrolliertes VPN direkt zu Microsoft.
(standardmässig in der Domain aus, sonst selbst bei abgeschaltetem IP V6 an)
netsh interface teredo set state disabled
netsh interface isatap set state disabled
- UDP Port 3544 (Teredo) in Firewall schließen!

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-05-11 16:44


Internet Tools: IP, Speed, Security, DNS, Mailserver, Spezialsuchmaschinen

WEB-Tools
Security, Schwachstellen, Malware
Spezial - Suchmaschinen

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-02-06 08:17


Netzwerk-Ports

Liste aller registrierten Ports (POP,Telnet,FTP,HTTP...) bei IONOS oder bei Wikipedia.

Offene Ports prüfen:

  • nmap (Linux)
  • Advanced Port Scanner (Windows, Portliste erweitern)
  • Telnet [host] [port] - (Linux/Windows) kann alle TCP-Ports anfragen  (Bsp: telnet gmail-smtp-in.l.google.com 25)
  • Windows Powershell: Test-NetConnection <address> -p <port_number>
  • Linux NMAP: nmap -sU -v <address>  - UDP-Scan (dauert lange)
  • TCPing oder TCPing - Kommandozeilen Tool

siehe auch:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-09-30 21:25


IP v4 Adressklassen

Klasse Wertebereich Netzwerk max. Hosts
- 0. 0. 0. 0 Netzwerkkennung  
A (1-126). x. y. z w.0.0.0 16.777.214
(A) 10. x. y. z w.0.0.0 lokal, im Internet gesperrt (1x Klasse A)
- 127.0.0.0 lokal Host, Loopback  
B (128-191). x. y. z w.x.0.0 65.534
(B) 169. 254. y. z MS APIPA, automat. Adresse ohne DHCP-Server  
(B) 172. 16. 0. 0 -
172. 31. 255. 255
w.x.0.0 lokal, im Internet gesperrt (16x Klasse B)
C (192-223). x. y. z w.x.y.0 254
(C) 192. 168. y. z w.x.y.0 lokal, im Internet gesperrt (256x Klasse C)
D (224-239). x. y. z Multicast -
E (240-255). x. y. z reserviert -
- 255. 255. 255. 255 Broadcast  


siehe: Wikipedia, reservierte Adressklassen

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-05-27 11:29


IP v6 Adressformat und -klassen

IP v6 Adressformat

Die 128-bit IP6-Adresse besteht aus 3 Teilen.
Zuerst unterteilt sie sich in 64-bit Netzanteil und 64-bit Hostanteil bzw. Interface Identifier (IID).
Der Netzanteil wird unterteilt in den Provider-Anteil (üblich: 48-56 bit) und die Subnetze (meist 8-16 bit).
Mit den Subnetzen wird bei IP6 die Infrastruktur des Netzes abgebildet. (Security-Zonen wie Aktive Komponenten, Server, Büro, Prozessnetz, Fernarbeitsplätze sowie Standort-Topologie wie Etage, Gebäude)

Ein fester Provider-Anteil (Präfix) entspricht einer festen IP4-Adresse.

Der Präfix ist providerabhängig und wechselt bei Providerwechsel zwangsläufig. (Ausnahme: Provider Idependent Adressraum IPv6-PI für Multihoming)

Bei IP v6 dürfen mehrere Router als Default Gateway eingetragen werden. Damit ist einfaches Load Balancing möglich.

 

IP v6 Adressklassen

Adresse/Wertebereich Netzwerk
::1/128 Local Host
::/0 Standard Gateway
::/128 Unspezified (0.0.0.0 bei IPv4)
fe80::/10 Link Local Adress (LLA), verbindungslokale (wie IPv4 APIPA), reicht zur Verbindung im LAN aus, werden nicht geroutet.
FC00::/7 (FC00-FDFF) Unique Local Adress (ULA), wie priv. IPv4-Adressen, manuell oder vom Router vergeben, überflüssig bei statischer GUA (sonst für VPN), werden in LAN oder VPN geroutet und im Internet verworfen. Sie sind trotzdem weltweit eindeutig.
2000::/3 (2000-3FFF) Global Unique Adress (GUA), vom Provider zugewiesen, weltweit eindeutig, werden geroutet.
Gängige Präfixe:
. -/32: Zuweisung an Provider
. -/48: 65.536 Subnetze
. -/56: 256 Subnetze (Telekom DSL)
. -/64: 1 Subnetz
. -/128 1 Client
2002::/48 Reserviert für 6to4 Übertragung.
ff01 Schnittstelle
ff02 LAN (link-lokal)
ff02::1 Multikast-Adresse fuer alle aktive Netzwerkknoten
ff02::2 Multikast-Adresse fuer Router
ff02::f Multikast-Adresse fuer UPnP
ff02::101 Multikast-Adresse fuer NTP Zeitserver
ff02::1:2 Multikast-Adresse fuer DHCP-Agents und Server
ff05 Firmennetz (site-lokal)

 

IPv6 Multicast Rundruf an alle aktiven Geräte: ping -6 ff02::1

Internet Verbindungstest über PING an US-Provider Sprint: ping 2000::1
PING an CT: ping -6 ct.de

IPv6 Host-ID dynamisch über Zufallszahl oder statisch über MAC
netsh interface ipv6 set global randomizeidentifiers=disabled

IP-Scans erfolgen üblicherweise über den Neightbor Cache statt.
Linux: ip -6 -r neightbor show

Ausführliche Infos über IP v6 Adressvergabe, Provisionierung usw: CT 10/2016
Redundante Internetzugänge mit IPv6: CT 12/2016 S.172ff.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-04-10 14:28


Layer 3: Router

Router verwenden logische (IP-) Adressen auf OSI Layer 3 zur Datenübertragung.
Ein Router kann mehrere Gegenstellen und unterschiedliche Topologien und Protokolle verbinden.
Die zu übertragenden Protokolle müssen allerdings routingfähig sein und vom Router unterstützt werden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:05


Layer 1: Repeater (Hub)

Hubs sind nicht mehr am Markt und sollten aus dem Netzwerk entfernt werden.
Sie bremsen den Datenverkehr auf ca. 30 MBit/s und arbeiten nur Halbduplex.

Signalregenerator auf OSI Layer 1, trennt nicht die Collision Domains.
dient zum Vergrößern der Netzwerkausdehnung,
sehr schnell, keine Datenmodifizierung
klassischer Multiport-Repeater ist der Hub.
Repeater-Regel:
Maximal 4 Repeater (10MBit/s) oder 2 Class2-Repeater (FastEthernet) dürfen zwischen 2 Stationen sein, sofern sie nicht durch Bridges, Switches oder Router getrennt sind.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-04-16 08:48


Layer 2: Bridge (Switch)

Bridges erweitert das Netzwerk über die Ethernet-Begrenzung hinaus durch Trennung der Collision Domains, verwendet zur Adressierung nur physische (MAC-) Adressen auf OSI Layer 2 (Adresstabelle selbstlernend).
Eine Bridge verbindet genau zwei Netzwerke miteinander und arbeitet protokoll-unabhängig.
Klassische Multiport-Bridge ist der (Layer2-) Switch.
Bridges lesen (i.Allg.) das gesamte Datenpaket und sind langsamer als Repeater.
Sie übertragen aber nur die benötigten Datenpakete in das andere Segment, filtern defekte Pakete und erhöhen so die Datensicherheit, den Durchsatz und vermeiden Collisionen.
Bis zu 7 Bridges dürfen zwischen 2 Stationen liegen.

VLANs trennen Netzwerke auf Layer-2.

Access Control Lists (ACL) - Freigabe oder Sperrung von speziellen MAC-Adressen, IP-Adressbereichen o.a. pro Port.

RADIUS Authentifizierung (IEE 802.1x): Host muß sich am Switch authentifizieren.

Link-Aggregation fasst bei Bedarf zwei oder mehr physische Leitungen zu einer logischen Leitung zusammen (Durchsatz).

Spanning Tree Protokoll (STP) ermöglicht redundante Verbindungen zwischen Switchen oder Routern (Ausfallsicherheit).
Bei Verbindungsausfall schaltet STP automatisch auf eine Reserveverbindung.
Weiterentwicklung RSTP und MSTP ermöglichen individuelle Pfade für verschiedene VLANs.

Loop-Protection schaltet automatisch Ports ab, die zu Netzwerkschleifen führen. (Standardausstattung bei Managed Switch)

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-05-28 10:02


VPN über Router hinweg

Lancom Router hinter Fremdrouter:
 - TFTP 69 bzw. TCP 443 forwarden (Zum Verwalten des Lancom von extern + ggfs. SSL VPN)
  Die Konfigurationsports (HTTPS, HTTP, SSH, TFTP) können im LC WebConfig geändert werden.

IPSec forwarden:
 - UDP 500 IKE (IPSec)
 - UDP 4500 NAT Traversal 
 - (TCP 10.000)
 - AH Protocol 50 – IPSEC phase 2 protocol (AH)
 - ESP Protokoll 51 (IP Protokoll Nummer 51, nicht TCP oder UDP 50 !)
   (sollte ESP sich nicht forwarden lassen -> udp 4500)
 - bei Verwendung von Dynamic VPN muss der UDP-Port 87 freigeschaltet werden.

UDP (OpenVPN, Wireguard) über Lancom Router:
- unter IP-Router / Maskierung: UDP Timeout größer (120s) stellen

Windows IPSec/PPTP Funktionalität:
- PPTP Verhandlung = TCP 1723 (GRE wird mit diesem Eintrag automatisch weitergeleitet)
- IKE Verhandlung = UDP 500
- GRE General Routing Encapsulation (Protokoll 47)
- ESP Encapsulating Security Payload (Protokoll 50)

Bei Zugang des VPN-Clients über Router muß "VPN Passthrough für IPsec (IKE,ESP)" im Router aktiviert sein. (= NAT Traversal)

Weitere Netze über VPN-Tunnel routen (Lancom):

Bsp.: Lan-A - LAN-B --VPN-- LAN-C
- Routing einrichten
- Lan C muß wissen, dass LAN A über LAN B erreichbar ist.
- LAN A muß wissen, dass es LAN C über LAN B erreicht.

Firewall-Regel auf VPN-Router LAN B:
- "Regel wird zur Erzeugung von VPN-Regeln heran gezogen".
- Aktion = "Accept".
- Verbindung von Station: LAN A
- Verbindung zu Station: VPN-Gegenstelle

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-06-18 17:08


Internet aus dem Mobilfunknetz (GPRS/UMTS/LTE)

T-Mobile: User: tm (egal), PW: tm, DNS: 193.254.160.1, Einwahlnr.: *99#, APN: internet.telekom, internet.t-mobile
  • aktuelles Datenvolumen abfragen (auch bei Congstar & Co): https://pass.telekom.de/

Vodafone: User: - (egal), PW: -, DNS: 139.7.30.125 u. .126, Einwahlnr.: *99#, APN: web.vodafone.de

O2: User: - (egal), PW: -, DNS: 195.182.096.028 u. .061, Einwahlnr.: *99#, APN: internet (pinternet.interkom.de)

E-Plus: APN: internet.eplus.de

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-01-27 14:47


T-VDSL / T-DSL / T - Online installieren

• VDSL Deutschland LAN IP Voice/Data: wie Call&Surf installieren.

• T-Online PPP-Anmeldung per DFÜ-Netzwerk:
Rufnr.
= 0191011 (ohne Vorwahl!), Benutzername= Anschlußkennung Teilnehmernr. "#" Mitbenutzernr.; Kennwort= Kennwort
( Doppelkreuz nur, wenn Teilnehmernummer weniger als 12 Stellen hat. )
• E-Mail Einstellungen:
  Postausgang: SMTP Host: mailto.t-online.de / alt: mailto.btx.dtag.de
  Posteingang: POP3 Host: pop.t-online.de / alt: pop.btx.dtag.de
Nur bei Einwahl über den T-Online-Zugang erreichbar!

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:07


VPN IPSec-Client für Android (NCP/Lancom/Bintec...)

Der NCP-Client für Android wird nicht weiter entwickelt.
Aktuelle Android-Versionen bieten ihn nicht mehr zur Installation an.
Hat man den NCP-Client bereits, läßt er sich auch auf Android 10 (mit Warnung) installieren und nutzen.

Android 12 unterstützt meist kein IPSec IKE v.1 mehr.
Android 10 unterstützt meist noch kein IPSec IKE v.2.
VPN IKE v.2 geht bei den meisten Geräten ab Android 11 mit dem integrierten Client.
Bei Android System-VPN empfiehlt sich die App: VPN Shortcut.
Ältere Android-Versionen: NCP-Client.
-> Beste Alternative: StrongSwan (IKE v.2 zertifikatsbasiert).

VPN IKE v.2 mit Android v.2-fähigem VPN
https://docplayer.org/191793538-Manuelle-einrichtung-einer-ikev2-client-to-site-vpn-verbindung-ipv4-zwischen-lancom-routern-und-android-endgeraeten.html

VPN IKE v.1 mit Android v.1-fähigem VPN
https://www.it-beratung-koch.de/kb/ipsec-vpn-verbindung-zwischen-lancom-router-und-android/  (PDF-Kopie als Anlage)
DEFAULT-Eintrag in Verbindungsliste ist wichtig für alle Geräte, deren IP der Router nicht kennt (Mobilfunk, dyn. IP)!
DEFAULT-Werte wechseln mit den LCOS-Versionen.
- VPN IKE1 Defaults: "IKE_PRESH_KEY" ggf. durch "WIZ-IKE-PRESH-KEY"
- VPN IKE1 Default IPSec Prosposal Liste (alt):

- VPN IKE1 Default IPSec Prosposal Liste (Stand FW.10.50):


Android 10 (ff.) Konfiguration Systemfunktion IKE v1
Android-Gerät:
- IPSec XAUTH PSK
- IPSec-ID: (ipsec-id)
- vorinstallierter IPSec-Schlüssel: (ipsec-key)
- Nutzername: (nutzer-name)
- beim Verbinden: (nutzer-name) + (passwort)

Router:
- Verbindungsparameter: PFS=2, IKE-Gruppe=2, IKE-Presh-Key
- IKE-Schlüssel: lokale/entfernte Identitäts-Typ: Key-ID, Identität: (ipsec-id), Preshare= (ipsec-key)
- IPSec-Prosposals: TN-AES256-SHA, TN-AES128-SHA
- kein dynam. VPN, Aggressive Mode, IKE-CFG= Server, XAUTH= Server, Regel= manuell, IPv4-Regel: Wiz-Any-To-Any (o.a.)
- kein AH, feste RAS-IP konf. (IPv4-Routing-Tabelle)
- Kommunikation/PPP-Liste: Gegenstelle: (nutzer-name), Passwort= passwort


Android Konfiguration NCP/IKE v1
Android-Gerät:
- XAUTH: nicht gesetzt
- IKE ID Type: FQUN
- IKE: lokale Identität (FQUN)
- Aggresive Mode IKE v1
- PFS: DH-Group 2 (1024bit) / neu: DH14
- IKE DH Group: none / neu: DH2
- IKE Policy: automatic / neu: user defined
  (Encryption: AES 256bit, Hash: SHA)
- IPSec Policy: automatic / neu: User deifined
  (Protocol: ESP, Encryption: AES 256bit, Autentification: SHA)
- Line Timeout: 100 sec
- Connection Mode: Auto reconnect
- IKE config mode

Router:
- IP-Adressen: automatisch, Config-Mode
- PFS-Group manuell setzen
- IPSec HTTPS ein


Advanced VPN-Client für Windows (Android-veraltet)
IPSec VPN-Client von NCP für Windows, MacOS und Android.
Lancom, Bintec, Juniper u.a. kaufen dieses Produkt und passen es an.

ab Version 9.3: IKE V2 inklusive Mobility Extensions (MOBIKE), Mobile Broadband, neue Firewall-Features, Seamless Roaming

ab Version 3.10: Ab dieser Version ist für alle Major-Versionen eine Aktivierung bzw. Update-Installation mit altem Lizenzschlüssel nicht mehr möglich. Bitte beachten Sie folglich, ab Version 3.10 für die Aktivierung zwingend einen Lizenzschlüssel der gleichen Version (3) verwenden zu müssen.

ab Version 3: Unterstützung von Windows 10.
Update auf Version 3: Deinstallation der Vorversion erforderlich! (Vorher Profil sichern!)

ab Version 2.32 Build218: Kopieren der Lizenz bei Neuinstallation nicht mehr möglich!
- neue Funktion zum Deaktiveren der Lizenz im Programm nutzen.
Es werden die aktuellen Lizenzdaten angezeigt und per Mail zugesendet. Die sind für die Neuaktivierung erforderlich.

vor Version 2.32: Übernahme auf neuen PC: Verzeichnis Programme/Lancom sichern, ncp.db (Lizenzdatei) in neue Installation kopieren. Danach kommt Meldung: "Hardware geändert, neu aktivieren" . Das geht problemlos. Geht erst ab V2.2 unter Windows 7!

Versionen Kompatibilitätsliste (Win, macOS): https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=37457108
Aktuelle Versionen: bei NCP.

Updates zu Servicereleases sind kostenlos, Major Releases kostenpflichtig.
Neue Major Releases bis Version 10.1x wurden durch Änderung der ersten Nachkommastelle gekennzeichnet, z.B. 10.00 auf 10.10.
Ab Version 11 werden Major Releases durch Änderungen ganzer Zahlen gekennzeichnet, z.B. 11.x auf 12.x.

-------------------------------------------------------------------
Übernahme Telefonbuch: ncpphone.cfg
Profil sichern: ncpphone.sav im Installationsverzeichnis des Clients.

Übernahme Android über Export / Import.
Die Bedienung ist alles andere als intuitiv, funktioniert aber. (Haken anwählen, dann bestätigen mit ZURÜCK-Button)

 


Alternative VPN-Clients

Lancom myVPN für MacOS - veraltet, nur IKE v1, funktioniert nicht mit aktuellen iOS.
Besser manuell konfigurieren (IPSec over HTTPS aus, Firewallregel nicht vergessen).
(https://support.lancom-systems.com/knowledge/display/KB/IKEv2+VPN-Verbindung+zwischen+LANCOM+Router+und+Apple+iPhone-+oder+iPad-Client)

Windows 10 - OS-Client kann eingeschränkt IKE v2.
Win10 unterstützt kein IKEv2 mit PSK sondern hier nur EAP mit MsCHAPv2 oder mit Zertifikaten.
Im LANCOM darf nicht PSK als Server und Client Identität genommen werden und für die Remote-Auth muss RSA gewählt werden (Authentifizierung mit Client-Zertifikaten).
Quellen:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html#toc-10

Unter Windows 10 ist der Lancom Advanced VPN Client eine gute Lösung.

VPN IPSec zertifikatsbasiert zu Android
https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1398

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-07-24 10:39


Wake on Lan

Nirsoft WakeMeOnLan: http://blog.nirsoft.net/2011/08/18/new-utility-that-turns-on-computers-on-your-network-with-wake-on-lan-packet/
Mini WoL: https://www.tweaking4all.com/home-theatre/miniwol2/
WOL-Tool: http://www.oette.info/ (Netzwerk-Scan,automatisch MAC-Adresse ermitteln, Scheduler)
Wake On Lan: https://sourceforge.net/projects/aquilawol/

Android: Wol Wake on Lan Wan: https://play.google.com/store/apps/details?id=com.benfinnigan.wol

WOL-Script: http://masterbootrecord.de/docs/wakeup.php oder http://www.gammadyne.com/cmdline.htm#wol

 

WoL im Windows aktivieren: Geräte-Manager -> Netzwerkadapter -> Eigenschaften -> Erweitert.
- „Aktivierung durch Magic Packet“ oder „Wake Up Capabilities“ o.ä. aktivieren bzw. "Magic Packet“.
- Registerkarte „Energieverwaltung“, Haken setzen „Gerät kann den Computer aus dem Standbymodus aktivieren“ und „Nur Magic Packet kann Computer aus dem Ruhezustand aktivieren“.

BIOS anpassen:
• Wake-Up-Event by: BIOS
• „Power ➞ APM Configuration“, Option „Power On By PCIE Device“ (Onboard-Netzwerkchip oder PCI-Express-Netzwerkkarte) setzen oder
• „Power On By PCI Device“ (PCI-Netzwerkkarte) auf „Enabled“
• je nach BIOS: ErP deaktivieren

WoL über VPN: Portforwarding und Firewall-Regel im Ziel-Router für Port 7 (o.a.) auf die Broadcast-Adresse des internen Zielnetzes.

WOL beherrschen auch diverse Router. (Lancom: wakeup per Telnet oder SSH, oder per TFTP)
Fritzbox: Heimnetz -> Compter ...bearbeiten -> Computer starten

Oft genügt der Windows-Netzwerktreiber nicht. Bei Intel sollten unbedingt die Hersteller-Treiber installiert sein.

Bei Windows 8/8.1/10 funktioniert WoL oft erst, wenn der "Schnellstart" (Hybridboot) in den Energieoptionen abgeschaltet wird.

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-11-26 12:37


NBase-T, 1000Base-T ,100Base-T, 10Base-T

Twistet Pair Kupferkabel, sternförmige Verkabelung

Bandbreite:
10Base-T - Ethernet 10MB/s,
100Base-T - Fast Ethernet 100MB/s,
1000Base-T - Gigabit Ethernet 1000 MB/s
  max. Segmentlänge: 100 m bis zum Repeater (Hub)
NBase-T - MultiGigabit
  auf Cat5e-Kabel bis ca. 50 m mit max. 10 GBit/s
  bei längeren Kabelstrecken fällt es automatisch auf 5 GBis/s oder 2.5 GBit/s zurück

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-07-26 13:54


Lancom Router

Ab FW 10.50 verhält sich die Action Tabelle beim Verbindungsaufbau anders!
Ein "gerne" gemachter Fehler dabei ist, daß das IPv6-Modul eingeschaltet ist, obwohl es nicht genutzt wird.
FW 10.60 - keine VPN-Netzwerkbeziehungen (SA) mehr in der Firewall, nur noch in VPN / Allgemein / Netzwerkregeln 
FW 10.70
- geringe Änderungen an der Firewall, neu: VPN-Mash
Aktuelle LCOS -Wartungsstände: https://www.lancom-systems.de/produkte/firmware/versionsuebersicht/

Best Practice

  • LAN-Bridge auf "Router" stellen
  • gewünschte LANs definieren und Ports zuweisen
  • ggf.Bridge-Gruppe anlegen, gewünschte Ports aufnehmen (innerhalb einer Bridge arbeitet keine Firewall!)
  • Firewall: Deny-All Regel erstellen, nur gwwünschten Traffic erlauben
  • Lanconfig: unter Admin > Access Settings > Access Stations die Netze oder IPs eintragen, die zum Management auf den Router zugreifen dürfen
  • nur sichere Protokolle (HTTPS, SSH, SNMPv3 und TelnetSSL) aus LAN oder VPN erlauben, alles andere aus
  • Intranet und DMZ sind vordefinierte Netzwerktypen zur Vereinfachung von Firewall Szenarien. Ein Intranet kann auf die DMZ zugreifen, andersrum jedoch nicht.

LCF-Datei enthält MIB-OID-Struktur.
Diese Struktur funktioniert auch über SSH/CLI, aber statt der Punkte muss ein Slash verwendet werden (Bsp: cd 2/12/1)

Default IP (wenn kein DHCP vorhanden)
Switch: 172.23.56.250 oder 251, Router: 172.23.56.254

Management-Protokolle:
- Lanconfig: HTTPS oder SSH (SSH auf VPN beschränken)
- LanMonitor: SNMP - Port 161 TCP+UDP

Automat. Neustart per Cron-Job

do /Other/Cold-Boot - Neustart (Kaltstart) des Routers
do /Other/Boot-System - Neustart (Warmstart) des Routers
do /o/m/d T-DSLBIZ - Neustart der DSL-Verbindung

Felder Wochentage, Monatstage und Monate leer lassen, wenn dieser Befehl immer ausgeführt werden soll.
Nur Echtzeit + Abweichung + Minuten + Stunden eintragen.

Firewall-Regel per Cron-Job ein / aus schalten: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32983237
 

DEFAULT Verbindungs-Parameter nicht löschen!
siehe unten VPN IPSec Lancom Tips

DNS-Auflösung und Domänenanbindung für Außenstellen über VPN-Tunnel:

- am Serverstandort:
- DNS-Server und -Weiterleitung im Router aktivieren.
- eigene Domäne eintragen,
- Weiterleitung: *.[Domäne] -> als Gegenstelle IP-Adressen der DNS-Server.

- am Außenstandort:
- DNS-Server und -Weiterleitung im Router aktivieren.
- keine eigene Domäne eintragen,
- Weiterleitung: *.[Domäne] -> VPN-Gegenstelle.

 

Telnet/Putty/SSH
PING vom entfernten Router senden:
PING [IP-Adresse] -c 10 (-a a.b.c.d = setzte Absendeadresse des PING)
PING [IP-Adresse] -r  (-r = Traceroute-Mode)

Events: Status->Config->Event-Log
Fehler / IDs lassen sich direkt über ID erreichen, führende 1 weg lassen (1.2.19.36.3.1.2 -> cd \2\19\36\3\1\2)
default -r setzt aktuelle Ebene und alle Unterebenen auf Defaultwerte. Bei Aufruf in der Hauptebene entspricht das beinahe einem Werksreset.
ls st/voice/call-counter - listet aktuell laufende Anrufe
ls /st/acc/curr - listet aktuelle User
dir status/vdsl/connection - zeigt DSL Verbindungsfehler
show jobs - zeigt Auslastung der Prozesse

Fehlersuche:
show job - zeigt Prozesse und Auslastung

Mail-Benachrichtigung
In Telnet testen
- "trace + smtp" - SMTP-Trace einschalten
- "testmail <ABSENDER> <EMPFÄNGER> <AbsenderName> <Betreffzeile> <Haupttext>" - Testmail senden
* Verbindungsfehler: Kommunikation -> Aktionstabelle
mailto:mail@domain.net?subject=BETREFFZEILE_DER_MAIL(Abbruch DSL um %t)?body=INHALT_DER_MAIL DSL Verbindung gestört um %t.
  Verbindungsereignis= Ereignis Abbruch mit Fehler.
  Gegenstelle= entsprechende Gegenstelle.
* Firewall -> IDS / DoS -> E-Mail Nachricht senden

Mail hängt beim Test: Puffer löschen mit  do /Status/Mail/Clear-Buffer
Der Router löscht den Puffer sonst erst beim Neustart! Bei Fehlersuche sehr wichtig.

Konfiguration Router hinter Router:
1. WEB-Konfiguration des ersten Routers öffnen
2. HTTP-Tunnel von diesem Gerät zu anderem Gerät im Zielnetz aufbauen

Lancom hinter anderem Router:
- Port 161 TCP+UDP forwarden für Lancom Monitor
- Port 443 TCP forwarden für Management (ggf. anpassen: Management -> Admin -> Einstellungen)

SIP von Fritzbox o.ä. über Lancom Router frei geben: Sonstige Dienste -> Dienste -> SIP-ALG aktivieren
Damit arbeitet der Router als SIP-Proxy. Der Call-Manager muß nicht aktiviert sein.

VoiceCallManager (VCM): VCM / Erweitert / QoS: "Reduktion der PMTU" raus schmeißen.
Das sind alte Relikte, die mehr Schaden als Nutzen bringen.

SNMP: LanMonitor nimmt AES256 mit SHA256, Benutzername root

Probleme mit LanMonitor:

  • SNMP(3) Zugriff nur lokal oder über VPN! (Port wird im WAN ständig attakiert)
  • Lanconfig: Meldungen/Monitoring -> Protokolle -> SNMP Einstellungen -> "Administratoren haben SNMPv3-Zugang entsprechend ihrer Zugriffsrechte" aktivieren
  • ggf: LanConfig -> Rechtsklick aufs Gerät -> Eigenschaften -> Protokolle manuell unter Logindaten deinen LanMonitor SNMPv3 Zugang hinterlegen
  • SNMP-Pfad per SSH auf Default zurücksetzen:
    cd /setup/snmp
    default -r

Tagging
Schnittstellen-TAGs trennen die Netze und müssen per Firewall-Regel zusammen geführt werden.
Wenn es eine Route mit dem gleichen Tag wie dem Schnittstellen-Tag gibt, so wird diese genutzt. Gibt es keine Route mit dem gleichen Tag wird die Route mit Tag 0 genutzt.
TAG-0 in einer Firewall-Regel bedeutet, dass das eventuell vorhandene Schnittstellen-TAG nicht verändert wird.
Pakete mit Routing Tag-0 haben Zugriff auf alle anderen Tags, wenn das nicht per Firewall gesperrt wird. Anders herum jedoch nicht.
Ein Netz mit TAG=0 kann alle Netze sehen.
Ein Netz vom Typ DMZ kann von allen Netzen gesehen werden.
Netze mit allen anderen unterschiedlichen Tags können sich nicht sehen.

Routing vs. Bridge Mode
Im Bridge Mode (default) kann man an den jeweiligen Interfaces und Switches Geräte im selben IP Netz betreiben, ohne dass die Firewall das blocken kann.
Im Routing Mode (besser) kann man zwischen den Netzen mit Firewallregeln routen.

Routing zu weiteren Netzen über zweiten lokalen Router
- Routingtabelle im Default Gateway Router anlegen
- ICMP Redirect (alt: Pakete im lokalen Netz übertragen) anhaken! (asymetrisches Routing, Pakete laufen über Router1-> Router2, Antwortpakete nicht)

VPN
Lancom Router können IPSec IKE v.1 und v.2, L2TP und PPTP.
R&S Firewalls können IPSec IKE v.1 und v.2, SSL-VPN (Open-VPN), Wireguard ab FX 10.12.
siehe auch:
• VPN IPSec Lancom Tips: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1238
• VPN zu Android: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1120
• VPN Lancom zu MikroTik Router: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1425
• VPN mit Zertifikaten: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1393
• Adv.VPN Client für Windows lizenzieren: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1376
• VPN über Router hinweg: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1111
• Zertifikate ausrollen an mehrere Router, hier sind alle Mountpoints: https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/scp_file_transfer_mountpoints.html
• Lancom VPN hinter anderen Routern: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32989036

Zugriff für VPN-Gegenstellen einschränken:
• VPN-Clients (IKE v1/v2): VPN-Regelerzeugung, IPv4-Regel (Einschränken auf Subnet oder Station)
• VPN-Netze: Firewallregel
  Prio 2: bei Bedarf individuell Stationen erlauben: Accept-VPN - Quelle: VPN-Gegenstelle(n), Verbindungsziel: freizugebende Ziel-IP(s)
  Prio 1: Alle VPN-Gegenstellen verbieten: Reject-VPN - je eine Regel (Out und In) für Quelle und Ziele
• VPN-Netze: Netzwerkbeziehungen (SA)
  VPN / IKev2 / Verbindungsliste der VPN Verbindung / Regelerzeugung = manuell
  VPN / Allgemein / Regel: eigene Netzwerkbeziehung erstellen

VPN Fehlersuche per SSH-Konsole:
show vpn cert - listet die vorhandenen Zertifikate
trace # vpn status  (mit "Cursor-hoch" -> "ENTER" kann man on/off umschalten)
trace # vpn-ike
trace # vpn-debug
trace + vpn packet

VPN-Client für Windows
* NCP Client, konfigurierbar per Lanconfig-Assistent

* 09/2023 neu: Lancom Trust Access Client (NCP)

  • Miet-Lizenz über LMC, zentral ausrollbar
  • zwingend Anbindung an Azure AD (-> ggf. Anbindung lokales AD)
  • Prinzip: SSL Interception
  • der selbe Client kann auch klassisch IPSec mit lokaler Lizenz
  • Voraussetzung: LCOS 10.8, LMC

Firewall:
/Setup/IP-Router/Firewall
• ls Rules
• ls Actions
• Trace

VLAN mit Lancom Routern und Switchen: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1346

Quellen und Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-03-17 13:36


Telekom "Digitalisierungsbox Standard"

Gerät ist baugleich Bintec-Elmeg be.IP.

Default: 192.168.2.1  (admin/admin)

"Pass Through": Neue Bridge über Ethernetport (en1-4) und DSL-Port bilden.

  ADSL: ethoa35-5 (Ethernet over ATM)
  VDSL: efm35-60 (Ethernet First Mile)
Port LAN 1-4 (en1-0): Konfigurationsports auf Default IP
Port LAN-5    (en1-4): an internen Router. Der übernimmt die Einwahl.

Firmware und Handbuch: https://www.telekom.de/hilfe/geraete-zubehoer/router/weitere-router/digitalisierungsbox/digitalisierungsbox-standard?samChecked=true

Anleitung: https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-digitalisierungsbox-standard-vdsl.pdf

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-05-03 19:35


WLAN/WiFi

  • 6 GHz hat keine Störquellen, sehr hohe Bandbreite oder hohe Teilnehmerzahl
  • 6 GHz hat eine hohe Dämpfung und kann nahezu nur im selben Raum genutzt werden
  • 5 GHz Band hat mehr Bandbreite, aber einige Störquellen, spez. Zulassungen wie DFS / Radar / Wetterradar
  • 2.4 GHz Band hat max. 3 überlappungsfreie Kanäle und ist zulassungsfrei

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-12-07 14:43


Speedport Hybrid Router

Die Telekom setzt seit einiger Zeit SMTP-Filter zur Vermeidung von Spamversand ein.

Wenn der Mailversand nicht klappt, fehlt der entsprechende Mailserver in der Whitelist des Routers.

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-10-04 23:20


VPN IPsec Tips (Lancom)

Phasen bei IPSec IKEv1 und IKEv2 (Quelle: Cisco):

understanding-ikev2-packet-exch-debug-01.gif

Der VPN-Tunnelaufbau beim Einsatz von IKEv2/IPSec erfolgt mit 4 IKE-Telegramme.
- 2 Telegramme sind für die Aushandlung der Verschlüsselung (des Steuerkanals IKE) => IKE_SA_INIT-REQUEST + IKE_SA_INIT-RESPONSE.
- 2 Telegramme sind für die Authentifizierung der beiden VPN-Endpunkte => IKE_AUTH-REQUEST + IKE_AUTH-RESPONSE.

Zuerst erfolgt der Austausch der IKE_SA_INIT-Telegramme, danach kommen die IKE_AUTH-Telegramme.
Die IKE_SA_INIT-Telegramme werden unverschlüsselt übertragen.
Die IKE_AUTH-Telegramme sind bereits verschlüsselt.
Die REQUEST-Telegramme kommen immer vom Initiator (Client) des VPN-Tunnels.
Die RESPONSE-Telegramme werden immer vom Responder (Server) versendet.

 

Main Mode - setzt feste IP auf beiden Seiten voraus
Aggressive Mode - erforderlich für dynam. IP

IP wird automatisch zugewisen (IKE-CFG, bsp. Lancom Adv.VPN-Client) oder fest:
ike1: Routing-Tabelle: VPN-Verbindung in "Router" auswählen, feste IP-Adresse (Mask 255.255.255.255)
ike2: Lanconfig: VPN -> IKEv2 -> IPv4-Adressen: IP-Pool festlegen, VPN -> IKEv2 -> Verbindungsliste: IPv4-Adress-Pool auswählen (es darf kein fester IP-Eintrag in der Routing-Tabelle sein)

Local ID - Peer ID
Muss auf beiden Seiten gleich (gedreht natürlich) sein.
Als ID kommt Feste-IP oder FQDN in Frage. Der FQDN muss kein gültiger Domainname sein. Lange Zeichenkette ist besser.

PSK Preshared Key - möglichst 20-30 Zeichen lang, (bei Fritzbox und Lucom keine Sonderzeichen)

phase2localid - phase2remoteid
Proxy-IDs, definieren den Subnetbereich, von und zu dem das VPN getunnelt wird. (Bsp.: 192.168.110.0/24)

PPP-Liste: Gegenstelle eintragen mit (Benutzer) + Passwort.

IPv4-Regeln:
RAS-WITH-NETWORK-SELECTION | 0.0.0.0/0 - 0.0.0.0/0  -> alle IPv4-Adressen (Default-Route) - bei Router-Router
RAS-WITH-CONFIG-PAYLOAD | 0.0.0.0/0 - 0.0.0.0/32 -> nur IPv4-Adresse des VPN-Clients - bei Clientverbindungen

Aktuelle und empfohlene Parameter:
- DH-Gruppe 14
- AES-256
- SHA-256
- Lifetime = 8 Std.

 

DEFAULT-Einträge nicht löschen!
• VPN IKE2 Verbindungsliste:
Bei fehlendem DEFAULT-Eintrag in /Setup/VPN/IKEv2/Gegenstellen/ verarbeitet das VPN-Modul des LANCOM-Router nur einkommende IKE_SA_INIT-REQUEST's, deren Absender-IP-Adresse in /Setup/VPN/IKEv2/Gegenstellen/Entferntes-Gateway eingetragen sind (=> statische IP-Adressen) ODER für welche die Absender-IP-Adresse einer in /Setup/VPN/IKEv2/Gegenstellen/Entferntes-Gateway eingetragen DNS-Adresse entspricht (=> dynamische IP-Adresse). Vom LANCOM-Router nicht akzeptierte IKE_SA_INIT-REQUEST's werden mit Fehlermeldung (Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 632 bytes) unverarbeitet verworfen.

DEFAULT-Eintrag in Verbindungsliste ist wichtig für alle Geräte, deren IP der Router nicht kennt (Mobilfunk, dyn. IP)!
Es werden Verschlüsselungen zugewiesen und PSK oder Zertifikat entschieden.
Der Default-Eintrag darf keinen Eintrag in IPv4-CFG-Pool und IPv4-Regeln aufweisen.

Ab LCOS Fw 10.50 änder sich das Verhalten der Actionstabellen bei IP v6.
Ein "gerne" gemachter Fehler dabei ist, daß das IPv6-Modul eingeschaltet ist, obwohl es nicht genutzt wird.

Konfiguration einer Fritzbox (entsprechend langsam und ohne detaillierte Filter) in CT 2017/15 S.160ff.
Die Fritzbox kann nur IPSec (IKE v.1) + neuerdings Wireguard, kein PPTP oder SSL.

Für zertifikatsbasierte VPN sollte der Router mit der festen IP einen gültigen FQDN besitzen.
Alternativ: X509v3 Subjekt Alternative Name: IP-Adresse oder DNS
Kontrolle der Zertifikate in SSH-Konsole mittels "show vpn cert" und "show vpn ca".

VPN siehe auch:
• VPN zu Android: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1120
• VPN Zertifikate erstellen: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1393
• Adv.VPN Client für Windows lizenzieren: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1376
• VPN über Router hinweg: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1111
• Lancom Router: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1159
• IPSec erklärt: https://administrator.de/tutorial/ipsec-protokoll-einsatz-aufbau-benoetigte-ports-und-begriffserlaeuterungen-73117.html

Verfasser: Uwe Kernchen
Letzte Änderung: 1970-01-01 01:00


Top Level Domains

Lokale Sonderanwendungen von TLDs

  Freie Verwendung
.intern
.lokal
Privates Heimnetz
.test Reserviert für Tests, wird offiziell nicht vergeben, kann lokal genutzt werden.
 
Reservierte Sonderanwendungen
.localhost Wird bei den meisten Rechnern für deren Loopback Device lokal verwendet. Aus diesem Grund wird sie laut RFC 2606 nicht anderweitig vergeben, da sie in der Regel ohnehin nicht erreichbar wäre.
.local Apples Multicast-DNS (mDNS) für Link-Local-Adressen (Bonjour), nicht auf DNS-Servern verwenden.
.arpa Wird als Infrastrukturdomain für technische Zwecke im DNS und einige andere Aufgaben verwendet.
 .home.arpa Homenet Control Protocl (HCP) für Heimnetze mit mehreren Subnetzen.
 .example Reserviert für Beispiele in Texten oder Dokumentationen. TLD wird nicht vergeben, ebenso wie die Second-Level-Domains example.com, example.net, example.org, so dass z. B. automatisch generierte Links in Onlinedokumenten nicht auf reale Domains verweisen. 
.invalid Reserviert als Beispiel für eine garantiert nicht vorhandene Domain, kann beispielsweise für Softwaretests eingesetzt werden.

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-02-07 18:27


Netzwerk Test- und Hackertools

  • TCPView aus Sysinternals überwacht Netzwerktraffic
  • NetworkTrafficView von Niersoft- überwacht Netzwerktraffic, Verbindungen und ausgehende Prozesse
  • Totusoft LAN Speed Test, Installer und Portable, Lese- / Schreibtest für beliebige Netzwerkfreigabe (brauchbare kostenlose Lite-Version)
  • NMap - Network Mapper, spürt Rechner, Drucker, NAS, Router und darauf laufende Dienste auf, Portscanner (u.a. in Kali Linux)
  • IoT Device Default Password Lookup: https://www.defpass.com/
  • Shodan Computer-Suchmaschine (sucht Dienste, SCADA-Systeme): https://www.shodan.io/
  • E-Mail Server auf Blacklists und Konfiguration testen: mxtoolbox.com

Downloads Hacker-Tools und Infos: ct.de/ygg5

Kali Linux enthält viele nützliche Hacking Tools,
USB-Stick erstellen - Anleitung in CT 2021/23 S.30 ff.
Download: ct.de/ypk1

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-12-30 15:15


Lancom R&S Unified Firewall

Hersteller: Gateprotect, Rohde & Schwarz Cybersecurity, Lancom Systems

OEM-Partner:
• Antivirus: Avira / DE -> US
• Antispam, Contentfilter, URL-Filter: Bitdefender / Ro

Gerätetypen: UF-60 (5 User)  ... UF-760 (200 User), auch als Virtual Appliances

Lizenzmodel:
  • Basic Lizenz:
    - Aktivierung der Firewall-Funktionen inclusive Updates
    - Netzwerksegmentierung, Userverwaltung, VPN-Funktion
  • Full Lizenz:
    - Aktivierung der UTM- & Firewall-Funktionen,
    - Sandboxing, Machine Learning, AV/Malware Protection, Spamfilter, DPI, IDS/IPS, SSL Insp., inkl. Updates
    - Filter- und Scanfunktion, Contentfilter incl. BPjM Jugendschutz
  • Gerät läuft im 30 Tage Testmodus mit allen Funktionen ausser Konfig-Speichern. Ohne Lizenz kann keine Konfiguration gespeichert werden, aber importiert. Nach Werksreset beginnt der Testzeitraum neu.
    Lizenz aktivieren: https://lancom.de/uf-lizenz


Grundsätzliches
:
* Alle (je nach Modell: 4...256) Ports lassen sich beliebig als LANs oder WANs konfigurieren.
* Jede Aktion rechts in der Web-Oberfläche muß mit "Activate" aktiviert werden.
- Button blau ist nicht aktiviert.
* Regeln des Netzwerks werden auf untergeordnete Hosts oder Bereiche vererbt, dort können aber abweichende Regeln festgelegt werden.
* Passwort+Support-PW ändern: Firewall->Administrator-> Benutzer wählen "Kennwort-Änderung erforderlich nach nächster Anmeldung"
* RESET Button macht nur Neustart. Werks-Reset siehe unten.

Grundkonfiguration:
* Konfiguration per Default über ETH1, IP= https://192.168.1.254:3438
* Zugang: admin / admin, Passwort festlegen
* 1.LAN an ETH1 konfigurieren: Network / Connections / ETH1 benennen, IP festlegen (Mask im selben Feld!)
* Internetzugang einrichten. Network / Connections / ETH0 benennen, IP (+Mask) festlegen
- WAN: Default Gateway aktivieren, IP eingeben
- Network / DNS: ggf. DNS-Server hinterlegen
- Firewall / Time Settings: NTP-Einstellungen vornehmen
* Test: unter Diagnostic / Traceroute sollte jetzt eine Internetverbindung funktionieren
* Firewall / Update: Updates installieren
* Firewall / License: Lizenz eintragen
Tip:
* alle Einträge lassen sich bequem über die Suche finden
* Desktopregeln als PDF exportieren (Managementbericht/Export)
* Ansicht kann gefiltert werden über Tag, IP, Port oder Interface
* es können mehrere Nutzer mit granularen Rechten angelegt werden

Firewall in das Netzwerk einbinden:
1. Reihenschaltung Modem/Router -> Firewall
Das Verfahren ist logisch und naheliegend.
Im Idealfall nimmt man aber ein Modem und vermeidet die Router-Kaskade.
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925378
2. Einschleifen in den Router (Lancom nennt das Layer-3 Schleife)
Klingt erst mal überflüssig kompliziert, hat aber auch Vorteile.
- das Standardgateway ändert sich nicht. Bekanntlich macht Windows alle Netze dicht, wenn sich dieses Gerät ändert
- die Firewall kann bei Konfigurationsproblemen von extern umgangen oder deaktiviert werden
- bestehende VPN-Verbindungen zum Router lassen sich zumindest übergangsweise bei Umgehung der Firewall weiter nutzen
- die Pakete gehen zweimal durch den Router, das ist deutlich langsamer
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32982461
3. Transparenter Bridge Mode
- das Standardgateway ändert sich nicht
- Firewall arbeitet nicht als Router oder DNS-Gateway
- das Verfahren wird nicht mehr kommuniziert und dürfte nur mit wenigen Funktionen der Firewall arbeiten
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=56165091
https://www.lancom-systems.de/download/produkte/lc_firewall_jump_start/MA_Firewall-Jump-Start_DE.pdf (ab S. 16)


DNS
Viele Funktionen der Firewall arbeiten auf DNS-Basis. Zu langsames DNS führt häufig zu Funktionsfehlern.
- DNS-Informationen der Firewall von einem potenten DNS-Server holen, nicht vom vorgeschalteten Router
- direkten DNS-Verkehr über die Firewall blocken (manche Dienste haben fest verdrahtete DNS-Einträge und irgnorieren sonst die Firewall)
- DNS-Cache deaktivieren

Firewall-Konfiguration:
* für interne Zugriffe auf die Firewall ist keine Regel erforderlich (DNS, NTP, HTTP/S...)
* Objekte im Schaubild rechts anlegen:
- Create Internet Objekt erstellt WAN-Objekt. Activate.
- Create Network, Host-Group und/oder Host erstellt die LAN-Objekte, Activate.
* 1. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Network) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Objekt -> Internet-Objekt) konfiguriert
  (Aktions-Pfeil: LAN-Objekt zu WAN, NAT genauso)
- rechts erscheint die Liste der Regeln. Regel "Ping" mit "+" hinzu fügen.
Nun kann man per PING aus dem LAN das Internet erreichen.
* 2. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Host-Group) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Hostgroup-Objekt -> Internet-Objekt) konfiguriert
- rechts erscheint die Liste der Regeln. Regel "HTTP" und "HTTPS" mit "+" hinzu fügen.
Nun kann man per Browser aus der Hostgroup im LAN das Internet erreichen.

• Host für einzelne Geräte/IP
• IP-Bereich für Bereiche (Drucker, Notebooks, IoT...)
• Host-/Netzwerk-Gruppe erlaubt mehrere IP/Geräte in einem Objekt

• DROP-Regeln gehen vor ALLOW-Regeln und lassen sich auch in Vererbung nicht überschreiben
• Regeln vererben sich über Netzwerk -> IP-Range -> Host
• Priorität: Host größer als IP-Range größer als Netzwerk

Dienste
Neben den vordefinierten Diensten können eigene Dienste auch mit mehreren Ports und Protokollen angelegt werden.
Mit Dienst-Gruppen können mehrere Dienste zusammengefasst werden.

NAT (Network Adress Translation)
- wird in jeder Desktop-Verbindungsregel einzeln gesteuert
- ist bei Regeln zum WAN per Default aktiviert
- Achtung bei Regeln zu einzelnen Servern im WAN (DNS o.ä.): NAT setzen, Regel meist nicht bidirektional lassen!

Portforwarding wird im Protokoll der Desktop-Verbindung (Hostobjekt zu WAN) konfiguriert.
Bsp: Dienst HTTP, Verbindungsrichtung drehen (von außen nach innen), NAT aus, DMZ/Port-Weiterleitung aktivieren
Quellport ist das Dienstobjekt, abweichender Zielport kann definiert werden.
Portforwardings können auch für Dienstgruppen eingerichtet werden.

Proxy-Konfiguration:
Der Proxy ist ein klassischer Man-in-the-middle und bricht gültige Zertifikatsketten auf.
Er ist für viele Funktionen unerläßlich, aber er ist eine Dauerbaustelle für Admins und ständiges Ärgernis der Anwender.
• Antivirus funktioniert nur mit aktivem Proxy (HTTP/S, FTP, EMail)
• URL-/ Contentfilter funktioniert nur mit aktivem Proxy (HTTP/S)
• Webstatistik geht nur mit Proxy
• Spamfilter, Blacklist/Whitelist funktioniert nur mit aktivem Proxy (EMail)
• Applicationfilter, IDS und IPS funktionieren auch ohne Proxy.

Hinweis:
* Der Proxy muss global und pro Verbindung aktiviert werden.
* Keine Firewall-Regel darf TCP Port 443 enthalten, sonst wird der HTTPS-Proxy ausgehebelt.

Proxy-Whitelist Syntax: "domain.com" -> nur Domain ohne Subdomains, ".domain.com" -> Domain incl Subdomains

Der moderne "HTTP Strict Transport Security (HSTS)" Modus von Google, Wikipedia u.a. erlaubt keine HTTPS-Proxys.
Weitere Proxy-Ausnahmen:
- Seiten mit Ende-Ende-Zertifikat (Grundbuch, KSA, Onlinebanking, MS WSUS, Windows Aktivierung, Firmwareupdates (VMWare, Lancom)...)
- Signal Desktop Client (.signal.org und .whispersystems.org)
- Microsoft Server- oder Office- Aktivierung

Zertifikate
• Firewall enthält ein eigenes SSL-Zertifikat, wird aber als "Man-in-the-Middle" von allen Browsern als "unsicher" eingestuft (Zertifikat stammt nicht von der Webseite). Das eigene Zertifikat der Firewall muß also auf alle Clients ausgerollt und im Browser als vertrauenswürdig hinterlegt werden (Eport PEM, in CRT umbenennen).
• Lets Encrypt Zertifikate für Reverse Proxy und externes Portal (-> FX 10.10).


Einbinden des LCOS Root CA und LCOS Proxy-Zertifikates manuell oder per GPO:
• LCOS Root CA als vertrauenswürdige Stamm-CA
• LCOS HTTPS Proxy als vertrauenswürdiger Herausgeber 
Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel \ Vertrauenswürdige Stammzertifizierungsstellen


Einbinden manuell in Firefox: als Zertifizierungsstelle importieren.
Firewall-Zertifikate werden beim Reset gelöscht -> sichern!

Zertifikat für HTTPS-Webzugriff erstellen: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32983640

* Desktop-Connection wählen (Bsp.: Hostgroup-Objekt -> Internet-Objekt), HTTP-Regel editieren.

Unter Advanced: Proxy aktivieren.


* Import Zertifikate in Mobilgeräte ist problematisch.
ggf. IP-Bereich als Objekt definieren, HTTPS ohne Proxy

* E-Mail Proxy: POP3/SMTP- und IMAP-Proxy
* HTTP-, HTTPS-Proxy

URL-/Contentfilter
Um URL- und Contentfilter für HTTP- und HTTPS-Verbindungen zu verwenden, wird der HTTP-Proxy benötigt.
URL/Contentfilter wird für jede Firewall-Verbindung konfiguriert.
Um URL- und Contentfilter für DNS-Anfragen zu verwenden, muss der Web-Filter-Modus auf „DNS“ oder „Proxy und DNS“ gesetzt werden.
Falls Ausnahmen/Override erlaubt sein soll, in "Einstellungen" zentral erlauben.
- vordefinierte Kategorien
- eigene URL-Blacklist
- Blacklists für Dateiendungen (\.exe$)
- eigene URL-Whitelist
Konfiguration des BPjM-Moduls im Content Filter: URL/Contentfilter-Regel in Verbindung aktivieren, WEB-Filter-Modus= DNS
-> https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=128418084

UTM / Applikation Firewall:
Per Default: aus.
Vorteil: funktioniert ohne Proxy.
Nachteil: Der Application-Filter liefert keine definierte Block-Seite wie der Content-Filter, sondern der geblockte Aufruf schlägt fehl.
Dienst aktivieren, Filter-Profil erstellen, in Desktop-Verbindung Profil als Whitelist oder Blacklist definieren.

Die R&S Application Firewall wird u.a. auch von Barracuda genutzt und ist sehr leistungsstark.
Sie kann auch verschlüsselten Traffic über Layer-7 Mustererkennung verarbeiten und erkennt die Anwendung (Aliexpress, AmazonShopping, Apple Maps, Bitcoin, eBay, Facebook, Office365, GoToMeeting, Dropbox, OneDrive, Games, Modebus, Mail, Messenger, News, Peer-to-peer, RemoteControl, Tunnel, Streaming u.v.a.m.).
Unabhängig vom Application-Filter muß der entsprechende Port frei gegeben sein (Verbindungsregel), wenn die Applikation erlaubt sein soll.

Tip:
* Intrusion Detection (IDS) aktivieren, Intrusion Prevention (IPS) aber erst nach Hinzufügen der Ausnahmen! (IDS-Protokoll)
* Fehler, gesperrte Aufrufe usw. im Systemlog. Type=Error, Message=IP eingrenzen

Reverse Proxy
Will man über nur eine externe IP-Adresse verschiedene interne Ziele bei gleichem Port erreichen, nutzt man Reverse Proxy.
Der Reverse Proxy löst verschiedene Domain Namen auf einer IP-Adresse auf und routet sie an verschiedene interne Server.

  • mehrere Domainnamen (mail.domain.de und web.domain.de) verweisen auf die selbe externe IP-Adresse
  • im Router ist eine Portfreigabe von Port 443 und/oder 80 auf den Server eingerichtet auf dem der Reverse Proxy läuft
  • der Reverse Proxy wertet die angefragte Domain aus und leitet dann beispielsweise entweder zum Exchange oder Webserver weiter

VPN Verbindung:
Die R&S Firewall erlaubt beliebig viele (!) IPSec VPN-Verbindungen IKE v1 und IKE v2.
Außerdem unterstützt die Firewall VPN Open-SSL / OpenVPN.
Die Einrichtung des Advanced VPN-Client von Lancom (NCP) per IPSec wird in der Lancom KB beschrieben.
Anleitung für OpenVPN:
https://blog.hartinger.net/openvpn-einrichten-bei-einer-lancom-unified-firewall/
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=42108821

  • IPSec-Einstellungen: IPSec aktivieren
  • virt. IP-Pools: Default IP-Pool konfigurieren (DNS) oder eigenen Pool anlegen
  • Verbindung anlegen, Vorlage wählen, Tunnel und Authentifizierung konf.
  • VPN-Verbinung: Konfig. exportieren
  • Desktop-Objekt: VPN-Host erstellen
  • Desktop-Verbindung(en) VPN-Host zu LAN-oder-Host definieren, Dienste frei geben

Netzwerksegmentierung/VLAN
Die Firewall kann intern nicht arbeiten, wenn alle Geräte im gleichen Netzwerk sind.
Routing über Netzsegmente ist erforderlich.
Da die physischen Ports beschränkt sind, heißt die Lösung VLAN.

  • Netzwerk / VLAN interfaces anlegen
  • Netzwerk / Verbindungen / Netzwerkverbindungen anlegen (Name, VLAN-Interface wählen, IP festlegen)
  • Desktop-Objekt: Netzwerk erstellen, Name festlegen, VLAN-Interface und Netzwerk-IP auswählen

Routing
Die Firewall arbeitet auch als Router.
Unter Netzwerk / Routing können individuelle Routen (beispielsweise zu Transfer-Netzen hinter anderen Routern) angelegt werden.
Routen zwischen Netzwerkobjekten werden automatisch erstellt und sind verborgen (Nicht konfigurierbare Tabellen anzeigen).
Unabhängig vom Routing muß zu dem Netz auch eine Firewallregel angelegt werden.
Weitere interne Netze: ggf. RDP, DNS, SMB.. frei geben!

"Routing" zu anderen Routern im gleichen Netz (bei Lancom-Routern mit ICMP-Redirect) ist mir bei den UF nicht gelungen.
Lösung: Anderen VPN-Router in getrenntes Transfer-Netz hinter die UF.

Monitoring
Die Firewall kann max. 8 GB Monitordaten auf die interne HD speichern. Nach 6GB werden die ältesten Daten automatisch überschrieben.
Die letzten 500 Ereignisse werden angezeigt, für mehr Ereignisse: filtern.
• Alarmprotokoll: Traffic, geblockte Verbindungen
Im Alarmprotokoll können für jedes Ereignis individuell Regeln erstellt werden, wenn das Protokoll als Rohdaten gespeichert wird.

Backup / Daten
Im GUI-Backup ist nur der Config-Pfad enthalten, es fehlen die Zertifikate.
Das Backup erfolgt als passwortgeschützte ZIP-Datei, die sich wieder entpacken läßt.

SSH-Backup:

ssh gpadmin@Firewall-Internal-IP
sudo bash
cd /tmp
zip -r backup.zip /opt/gateprotect/etc

Datenpfade:
/opt/gateprotect/etc - Configuration
/opt/gateprotect/keys - Zertifikate
/opt/gateprotect/license - Lizenz

Dateien:
gprules.ini -> Firewal Rules
gpnetworkd.json -< Netzwerkkonfiguration, Interfaces, Routen ...

Fehlersuche
• Monitoring & Statistiken > Einstellungen: bsp: "Blockierter eingehender Verkehr" -> Rohdaten speichern
• Fehler provozieren
• Alarmprotokoll: Einträge "Connection Blocked" suchen
• Zahnrad rechts: neue Regel aus Eintrag erstellen

Werksreset:
Werksreset löscht auch die Lizenz aus dem Gerät! Lizenz vorher sichern!

  • einfach über GUI (wenn Ports erreichbar und Passwort bekannt)
  • wenn nichts mehr geht: USB-Stick -> automatische Installation (LCOS FX-ISO + UF-USB-Stick-Creator)
    Firewall geht danach aus. USB-Stick abziehen(!) und neu starten.

Versionshistorie:

• Release-Update FX 10.13 RU2  (05.12.2023)

  • When using an IPSec connection and port forwarding at the same time, packets sent via the IPSec connection for the ports used in port forwarding were sent to the port forwarding destination instead of the actual destination. This led to restricted communication via the VPN connection.
  • If the mail proxy was activated in the configuration of the Unified Firewall after an update to LCOS FX 10.13 Rel or 10.13 RU1, a mail server (e. g. Microsoft Exchange) could no longer receive e-mails. If the inbound proxy (SMTP-IN) was deactivated, e-mail reception worked again.
  • An update to the Squid proxy has fixed a vulnerability in the web proxy that allowed attackers to smuggle data through the proxy using request/response packets in HTTPS 1.1 or ICAP.

Relase-Update FX 10.13 RU1 (01.11.2023 - zurück gezogen / 10.11.2023):

  • Erweiterung des WEB-GUI der Firewall: Desktop-Verbindungen zeigen auch geerbte Berechtigungen

Release-Update FX 10.12 RU3 (09/2023):

  • Schlüssel zum Betrieb der Avira Antivirus Engine wurden aktualisiert (keine Funktion ab 10/2023 ohne dieses Update!)
  • Sicherheitslücke im Border Gateway Protokoll (BGP) behoben (CVE-2023-38802)
  • diverse Fehlerkorrekturen in RU2

Release-Update FX 10.12 RU1 (07/2023):

  • Wireguard VPN
  • Hardware-Monitoring (CPU, RAM, Festplatte) mit Zuordnung des Ressourcenverbrauches zu Features und Prozessen
  • automat. E-Mail-Versand von Security Reportings
  • DNS-basierte Firewall-Regeln (Regeln mit Host-Namen statt IP-Adressen)

Release-Update FX 10.11 (02/2023):

  • Wechsel des OEM-Partners für Antispam, Contentfilter und URL-Filter von Cyren/US (in Insolvenz) in Bitdefender/Ro

Release-Update FX 10.10 (01/2023):

  • Zertifikatsverwaltung > Let's Encrypt: können im Reverse Proxy Frontend bei aktiviertem SSL-Modus und im externen Portal der Benutzerauthentifizierung verwendet werden

Release-Update FX 10.9 (08/2022):

  • URL- / Content-Filter auf Basis von DNS ohne SSL-Inspection
    DNS-Abfragen, die über den DNS-Server der LANCOM R&S®Unified Firewall laufen, werden klassifiziert und gemäß ihrer Kategorien oder konfigurierter Black und Whitelists gefiltert. In den Desktop-Verbindungen wurde unter dem Tab "URL-/ Content-Filter" ein neues Auswahlfeld für den Web-Filter-Modus hinzugefügt. Es werden die gleichen Profile genutzt wie beim URL-/ Content-Filter über den HTTP-/ HTTPS-Proxy.
    - gefiltert wird auf der Domain, nicht auf der URL
    - es wird keine Blockpage angezeigt und ist nicht möglich, den Override-Modus zu nutzen
    - gefiltert wird nur, wenn die DNS Anfrage durch die Firewall geht
  • BGP: unter Netzwerk > Routing: neuer Menü-Eintrag BGP
    Monitoring & Statistiken > BGP-Status

• Release-Update FX 10.5 (06/2020):

  • IMAP-Proxy
  • Content-Filter für ausgewählte Seite kann temporär deaktiviert werden
  • individuelles Routing für mittels PACE2 DPI Engine erkannte Protokolle und Applikationen (über VPN, andere Internetanschlüsse, am Proxy vorbei..)

Quellen:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-12-12 08:38


Arcor/Vodafone SIP-Zugang an Lancom Router

Die Zugangsdaten von Vodafone sind unzureichend und Lancom-KB und Router-Assistent nicht zielführend.

SIP-Domäne/Realm: vorwahl.sip.arcor.de
Registrar: leer
SIP-ID/Benutzer: VorwahlRufnummer (normal ohne Land, mit führender Null)
Display-Name: wie SIP-ID/Benutzer

Der VoIP-Assistent für "andere Anbieter" erstellt fehlerhafte CALL-Routen.
Tip vom Lancom-Support: Im Assistent immer "Telekom" konfigurieren und hinterher die SIP-Zugangsdaten manuell korrigieren.

Siehe auch:
Lancom Call-Manager
https://www.johnlose.de/2019/06/lancom-systems-voice-callmanager-sbc-zusammen-mit-vodafone_de-red-dsl-konfigurieren/

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-07-02 11:34


WLAN Passwort

Liste aller WLAN-Profile auslesen
Powershell: netsh wlan show profile

WLAN Passwort auslesen
Powershell: netsh wlan show profile [WLAN-Name] key=clear

Über die Windows Oberfläche:
- "Netzwerkverbindungen anzeigen" suchen und öffnen
- WLAN Verbindung ->Rechtsklick
-> "Status"
-> "Drahloseigenschaften"
-> "Sicherheit" - Zeichen anzeigen

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-08-15 23:06


LWL Glasfaser Grundlagen

Multimode - eher für kürzere Strecken geeignet
  Kabelbezeichnung: OM.., meist schwarzer Bügel
Singlemode/Monomode - Langstreckenübertragung 10 km bis >100 Kilometer
  Kabelbezeichnung: OS.., meist blauer Bügel

SFP-Module sind HotPlug-/HotSwap-fähig.

Multimode SFP-Module
SFP - max. 1 Gb/s
    (SX, BiDi)
SFP+ - max. 10 Gb/s
    (SR, LRM)

übliche Multimode: SX-Modul mit 850nm, Duplex (2 Fasern), max. 550m
geringfügig teurer: SX-Modul mit 1310nm, Duplex (2 Fasern), max. 2km
teurer: SX-Modul mit 1310/1550nm, Bidirektional (1 Faser), max. 550m

Kabeltypen Multimode
OM1 - Standard von 1989, 100 Mb/s bis 2000m, 1 Gb/s bis 275m, 10 Gb/s bis max. 33m
OM2 - Standard von 1998, 100 Mb/s bis 2000m, 1 Gb/s bis 550m, 10 Gb/s bis max. 82m
OM3 - Standard von 2002, Bandbreite: 2500 MHz, 100 Mb/s bis 2000m, 1 Gb/s bis 550m, 10 Gb/s bis 300m, 40 Gb/s und 100 Gb/s bis 100m
OM4 - Standard von 2009, Bandbreite: 4700 MHz, weit verbreitet, 100 Mb/s bis 2000m, 1 Gb/s bis 1000m, 10 Gb/s bis 550m, 40 Gb/s und 100 Gb/s bis 150m
OM5 - Standard von 2014, wenig üblich, optimiert für Wellenmultiplex

Steckertypen
LC-Stecker - passen in SFP- und SFP+ -Tranceiver, weit verbreitet, hohe Portdichte
SC-Stecker - passen meist in LWL-Patchfelder, hervorragende optische Leistung
MPO/MTP-Stecker - Mehrfaser-Stecker

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-12-12 22:03


Onlinespeicher

  • WeTransfer - kostenlos, max. 2 GB, speichert für 14 Tage (Stand 07/2021)
    keine Anmeldung, keine Verschlüsselung, nur E-Mail Adresse mit Verifikationsmail
    kostenloser Account mit Werbung
  • MS OneDrive - kostenlos zu jedem MS Konto 5 GB Speicherplatz (Stand 07/2021)
    kostenpflichtig mehr.

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-07-24 08:28


Kerberos testen

Funktion testen mit KLIST.

In der Domäne kommen hier bei Clients und Servern eine Liste von Tickets.
Bei Fehlern oder bei Einzel-PCs kommen 0 Tickets.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-12-15 14:52


Layer 2: VLAN

VLAN (Virtual Local Area Networks)
Logische Netzwerktrennung auf Layer 2

Vorteile:

  • logische Trennung der Netzwerke bei einheitlicher physischer Netzstruktur (Sicherheit, Abgrenzung von IoT, VoIP, iSCSI/Backup usw.)
  • jedes VLAN bildet eine eigene Broadcast-Domain (Traffic wird reduziert und kann in VLANs priorisiert werden)
  • Übertragen mehrerer logisch getrennter VLAN-Netze ist über ein Kabel möglich (Trunking)
  • ein Switch wird mit VLAN in mehrere virtuelle Switche geteilt, auch Switch-übergreifend

Grundlagen:

  • max. 4096 VLANs
  • VLAN-1 ist immer das Default-VLAN im Auslieferungszustand. Geräte ohne VLAN-Tag kommen per Default in VLAN-1.
  • VLAN-7 nutzt die Telekom für VDSL und sollte frei gehalten werden
  • VLAN-fähig sind Managed Switche, Router, Linux, VMWare, Windows je nach Netzwerkkarte, diverse Geräte wie NAS, WLAN-AccessPoints usw.
  • jeder Port und jedes Gerät kann Teil nur eines VLANs sein, aber es können ihm mehrere VLANs zugeordnet werden (Trunk)
  • VLAN-Trunks müssen alle VLAN-IDs hinterlegt haben, die sie übertragen sollen. Oder sie sind so konfiguriert, dass sie alle VLANs weiter leiten.
    Dynamische, selbstlernende VLAN-Trunks sind heute Standard.
  • VLAN-Tags werden vom Ziel-Switch entfernt, wenn der Empfänger-Switchport UNTAGGED ist. Ansonsten gehen die TAGGED Pakete bis zum VLAN-taggingfähigen Zielgerät.
  • Verbinden verschiedener VLANs ist durch gezieltes Routing (Layer 3) möglich
  • Verschiedene VLANs können identische Netzwerkadressen haben, dann ist aber kein Routing möglich.

Verfahren:

- Switch wird pro Port genau einem VLAN zugewiesen (VLAN-ID)
- jeder Port kann Member von mehreren VLANs sein und deren Pakete übertragen (PVID)
- innerhalb eines Switches erfolgt die Kommunikation meist portbasierend, zwischen den Switchen paketbasierend.

  1. (U) Port-basierend (untagged)
    - statische Netzstruktur, unterteilt einen physischen Switch in mehrere logische Switche
    - am Port liegen alle Daten des jeweiligen VLAN an, es werden aber keine VLAN-Informationen nach außen weiter gereicht

  2. (T) TAG-basierend (paketbasiert, framebasiert, tagged)
    - Datenpakete werden mit VLAN-TAG an das nächste Gerät weiter geleitet (Gegenseite muss auch getagged sein)
    - die Kommunikation verschiedener VLANs kann über ein Kabel erfolgen
    - VLAN-TAG wird in IEEE 802.1q festgelegt, Cisco, 3Com u.a. haben teilweise abweichende Standards
    - Anwendung: Uplinks zwischen Switchen, AccessPoints, Hyper-V- und ESX-Servern, VoIP-Telefonen...

Umsetzung:
VLANS werden üblicherweise zwischen Switchen und Routern konfiguriert, Endgeräte haben einen ungetaggten Port mit der passenden VLAN-ID.

  • VLAN tagged
    Tagged Port eingehend: Die VLAN-Markierung wird überprüft aber nicht verändert
    Tagged Port ausgehend: Die VLAN-Markierung wird überprüft aber nicht verändert
  • VLAN untagged - pro Port gibt es max. 1 untagged VLAN
    Untagged Port eingehend: Die VLAN-Markierung wird laut PVID (häufig identlichen mit der untagged VLAN ID) intern im Switch hinzugefügt
    Untagged Port ausgehend: Die VLAN-Markierung wird überprüft und beim Versenden entfernt
  • PVID (Port VLAN ID) - je nach Hersteller, typisch: Netgear, MikroTik, TP-Link
    - bestimmt das VLAN, in das untagged Frames geforwardet werden die an dem Port reinkommen.
    - heisst bei anderen Herstellern native Vlan oder dual Mode VLAN.
    - Jedem Port muss eine PVID zugewiesen werden (standardmäßig PVID 1).
    - Um die Standard-PVID eines Ports zu ändern, muss zunächst ein VLAN erstellt werden, dass den Port als Mitglied enthält.
    This is a term used for non-Cisco switches.
  • Auto-PVID - bei vielen Herstellern ist die PVID automatisch = VLAN-ID



    VLAN-Portdefinition im Lancom Router:

* VLAN am PC:
- Intel oder Realtek Netzwerkkarten unterstützen VLAN
- bei Realtek ist das Realtek Diagnostics Programm erforderlich
1. Original LAN-Karte wird deaktiviert (keine IP)
2. je VLAN wird eine virt. Netzwerkkarte angelegt

* VLAN in VM-Workstation:
1. VLANs über die physische Netzwerkkarte definieren (siehe oben)
2. entsprechende virtuelle Netzwerkkarte mit VLAN der gewünschten VM zuweisen

Dynamische VLANs
Zuordnung zu einem VLAN anhand von MAC-Adresse, IP-Adresse, Protokolltyp oder Anwendungsebene/Portnummer.
Damit kann beispielsweise VoIP priorisiert werden oder ein Mobilgerät unabhängig von seinem Port einem VLAN zugeordnet werden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-06-16 08:58


Störungen und Ausfälle

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-03-19 12:52


Lancom VLAN (Router, Switche)

VLANs lassen sich bei Lancom Routern nicht auf physische Ports (ETH1-4) konfigurieren, sondern nur auf logische Interface (LAN1-4).
Einem physischen Port (ETH1-4) kann man nur ein logisches Interface (LAN1-4) zuordnen.
Einem logischen LAN (LAN1-4) kann man zwei oder mehr physischen Ports zuordnen, aber dann kann man diese nicht mehr per VLAN oder Firewall trennen.
Mehrere logische LAN mit ggf. unterschiedlichen VLANs lassen sich zu einer BRG zusammen fassen.

Beispiel:
- 2 lokale, getrennte Netze (Netz A an ETH1, Netz B an ETH2) sollen über den Router ins Internet gehen
- AccessPoint an ETH4 soll mit 2 unabhängigen SSIDs WLAN für LAN1 (VLAN1) und LAN2 (VLAN30) anbieten

  • ETH 1 = LAN-1
  • ETH 2 = LAN-2
  • ETH 4 = LAN-4
    (Schnittstellen -> LAN -> Eth.Ports)
  • LAN-1 + LAN-2 + LAN-4 = BRG-1
    (Schnittstellen -> LAN-Bridge -> Port-Tabelle)
  • VLAN 1 = LAN-1 + LAN-4
  • VLAN 30 = LAN-2 + LAN-4
    (Schnittstellen -> VLAN: VLAN-Modul aktivieren, VLAN-Tabelle)
  • LAN-1 Port-VLAN-ID = 1
  • LAN-2 Port-VLAN-ID = 30
  • LAN-4 Port-VLAN-ID = 1
    (Schnittstellen / VLAN / Port-Tabelle)
  • Netz A = VLAN 1 / BRG-1
  • Netz B = VLAN 30 / BRG-1
    (unter IP-Netzwerke: VLAN-ID und Schnittstelle)

Tagging-Mode für logische Interfaces:
- Access (niemals): ausgehend untagged, ankommende VLANs werden interpretiert als hätten sie kein VLAN.
- Hybrid (gemischt): Erlaubt Pakete mit und ohne Tag. Pakete ohne TAG werden dem Port-VLAN (PVID) zugewiesen.
- Trunk (immer): ausgehende Pakete bekommen immer ein TAG. Ankommende Pakete ohne TAG werden verworfen.

VLAN am Router aktivieren, ohne sich auszusperren:
- unter Schnittstellen / VLAN das VLAN Modul aktivieren
- unter Schnittstellen / VLAN / Port-Tabelle prüfen, ob alle LAN-x Ports auf Access (oder Hybrid) stehen mit PVID 1
- unter Schnittstellen / VLAN / VLAN-Tabelle prüfen, ob alle LAN-x Ports dem VLAN 1 angehören
- unter IPv4 / IP-Netzwerke dafür sorgen, dass jedes Netzwerk die VLAN-ID 1 besitzt

Beispiel:
* Lancom Router soll mit TAGGED VLAN an (TAGGED) Switchport

Lösung:

  • VLAN Modul AUS lassen
  • IP v4 Netzwerk erstellen, VLAN-ID vergeben
  • Router ist auf dieser IP nur noch über das TAGGED VLAN ereichbar

Wenn das VLAN-Modul deaktiviert bleibt, muss beim Netzwerk INTRANET die VLAN-ID = 0 bleiben.

In der Routing-Tabelle ist Tag 0 der Wildcard, d.h. Routen mit Tag 0 (Admin-Netz) gelten für alle Netze.
ARF-Netze mit Tag 0 sind "Supervisor"-Netze, d.h. sie sehen alle anderen Netze mit allen anderen Tags.
IP-Netze mit Tag 0 sehen alle Netze, werden aber nur von Netzen mit Tag 0 gesehen.
Netze vom Typ DMZ werden aus allen Tags gesehen.
Verschiedene VLANs lassen sich nur mit Firewallregeln erreichen (Netze gegenseitig erlaubt und auf Zielnetz umtaggen).

 

Lancom Switche (original: Accton)

Quellen und Links:

Verfasser: U.Kernchen
Letzte Änderung: 2023-07-24 15:03


Nutzerpasswort in RDP Remotesitzung ändern

Das Windows-Passwort ändert man mit der Tastenkombination "STRG + ALT + ENTF".
In der Remote-Sitzung klappt das allerdings nicht, weil diese Tastenkombination auf dem Steuerrechner ausgeführt wird und nicht in der Remote-Sitzung.

Lösung:
In der RDP-Sitzung "STRG + ALT + ENDE" nutzen.
Es öffnet sich der gewohnte Bildschirm.

Hinweis:
Läuft das Passwort ab, gibt es über RDP keine Möglichkeit, das Kennwort selbst zu ändern!
Also Passwort nach o.g. Anleitung rechtzeitig vor dem Ablauf ändern.
Sonst kann nur der Admin helfen.

In VMWare Sitzung: "STRG + ALT + INSERT" nutzen.

Verfasser: U.Kernchen
Letzte Änderung: 2023-07-26 19:49


Zweifaktorauthentifizierung 2FA Auth

Problem:
Abhängigkeit von einem Gerät.
Bei Geräteverlust oder Defekt kein 2FA-Zugriff mehr möglich.

Lösung:
Es ist möglich, den QR-Code beim Einrichten von 2FA von mehreren Geräten zu scannen
und mehrere Authentifikatoren parallel zu betreiben.
(Handy + Reiner SCT Authenticator)

Google Authenticator synchronisiert standardmäßig per Google Konto(!)
Einstellungen: ohne Konto verwenden

OTP Authentifikatoren sind auch für Windows verfügbar.
Der "zweite Faktor" sollte nicht auf dem Gerät laufen, auf dem die Anwendung läuft.

Verfasser: U.Kernchen
Letzte Änderung: 2024-02-03 11:07


Wireguard VPN

  • GNU GPLv2 Open Source
  • modern, stabil, einfach konfigurierbar, roamingfähig, schlank und schnell (höhere Übertragungsgeschwindigkeit, geringere Latenz)
  • schneller als IPSec oder OpenVPN
  • schlanker Code und geringe Komplexität
  • energieeffizient, kaum Daten im Leerlauf, geeignet für Mobilgeräte
  • kostenloser Client für alle gängigen OS (Windows (nur mit Adminkonto), Android, macOS, embedded Devices, OpenBSD, FreeBSD, NetBSD)
  • seit 2020 im Linuxkernel integriert
  • ähnlich wie OpenVPN ist die Konfiguration über alle Plattformen hinweg identisch
  • Roamingfähig, keine Verbindungsabbrüche bei Netzwechsel
  • robust gegen kurze Verbindungsausfälle
  • Port: UDP, Default: UDP 51820, frei änderbar - muß manuell in Firewalls frei gegeben werden (MTU: 1420), problemlos über NAT
  • jede Verbindung hat eigene Public- und Private Key (einfache Textstrings) und funktioniert ähnlich wie SSH-Keys
    Die Schlüsselpaare lassen sich meist komfortabel im Gerät erstellen, es geht aber auch offline (siehe unten).
    Damit lassen sich VPN-Verbindungen für Endgeräte konfigurieren, ohne diese in den Händen zu halten.
  • jeder Public Key wird mit Liste erlaubter Netze verknüpft (Wildcard 0.0.0.0/0 bedeutet: alle Netze gehen durch Tunnel)
    - In Versandrichtung verhält sich die Liste wie eine Routing Tabelle.
    - In Empfangsrichtung dient die Liste als Access Control List.
  • Clients bekommen (meist) statische IPs, Firewallregeln pro Endgerät möglich (DHCP-Pool nur über Scripts)
  • eine Verbindung lässt sich auf mehreren Endgeräte nutzen, diese bekommen aber die gleiche IP und gleiche AccessRights
  • nur eine Seite muß eine feste IP und einen von außen erreichbaren UDP-Port besitzen
  • Server erstellt (je nach Gerät) einfache Textdatei .conf oder QR-Code, der einfach am Client eingebunden wird
  • Wireguard-Router: Dreytek Vigor, MikroTik, AVM Fritzbox, GL.iNet, pfSense, OpenSense, OpenWRT
 
Voraussetzungen
Der Wireguard-Router als Verbindungs-Empfänger muß eine feste IP haben und der verwendete UDP-Port muss beim Router ankommen.
Wird der WG-Router nach dem Standardgateway installiert, sind im Gateway-Router folgende Einstellungen erforderlich:
  • Portforwarding: UDP-Port (51820) zum WG-Router (LAN-IP)
  • Routing-Tabelle: WG-Transfernetz (192.168.200.0/24) zum WG-Router (LAN-IP), Maskierung aus
  • Firewall: UDP-Zielport (51820) frei geben
  • Firewall: Verbindungsquelle Wireguard-Router (LAN-IP) Internet erlauben
  • Firewall: Verbindungsziel WG-Transfernetz (192.168.200.0/24) erlauben
    (Bintec: "vollständige IP v4-Filterung" deaktivieren ->siehe Bintec)

Wireguard-Client (Windows, Android)
- exportiert 'wireguard-export.zip' (die enthält für jede Verbindung eine '[verbindung].conf'
- importiert wahlweise einzelne 'verbindung.conf' oder 'wirguard-export.zip' mit allen Verbindungen
- vorhandene Verbindungen bleiben bei einem weiteren Import erhalten

Wireguard-Client (Ubuntu)
- GUI: Wireguird
- GUI: https://snapcraft.io/install/wireguard-gui/ubuntu#install

Anleitung: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wireguard-660620.html
  MikroTik: siehe MikroTik Wireguard-Artikel
  GL.iNet LTE: siehe GL.iNet Wireguard mit OpenVPN

Public Key und Private Key können auch unabhängig vom jeweiligen Gerät konfiguriert werden,
um eine .conf Datei für ein beliebiges Endgerät zu erstellen.

umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee peer1_private.key | wg pubkey > peer1_public.key

Weitere VPN Client (Peer) Schlüssel generiert man dann nur noch mit wg genkey | tee peer2_private.key | wg pubkey > peer2_public.key usw.


Beispiel der .conf Datei für den Peer1:

[Interface]
# Name = wireguard-server2.example
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254

[Peer]
# Name = Client-peer1
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.188.0/24
# PersistentkeepAlive = 25

  • Die importierte Verbindung heisst wie die .conf-Datei.
  • #Name - Comment-Feld, nur informativ
  • Address = Client: Client Adresse (192.168.200.3/32), Server: ganzes Subnetz (192.168.200.0/24), auch mehrere Subnets möglich
  • PrivateKey = der jeweils eigene private.key, im Endgerät wird dann der Public-Key angezeigt
  • ListenPort = UDP Port, auf den der Server hört
  • Table = ggf. Routing Table
  • PublicKey = gegenüberliegender public.key
  • AllowedIPs = die Adressen die der Wireguard Server in den Tunnel routet. Wireguard nennt dies "Cryptokey Routing" was bewirkt das der Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernimmt.
    AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.
  • Endpoint = [öffentl.Serveradresse]:Port  (nur beim Client, Port nicht vergessen!)
  • PersistentkeepAlive = hält die Verbiundung offen, nur bei Clients hinter NAT

Site-to-Site VPN-Verbindung

  • beide Seiten routen im Wireguard in das jeweils gegenüberliegende LAN mit einem Eintrag "AllowedIPs"
  • ist der Wireguard-Router nicht das Standardgateway, muß das Standardgateway (oder der PC) ein Routing zum Zielnetz besitzen

Wireguard Server komfortabel unter Linux: -> Wireguard Easy
• WG-Server und Simple Use WEB-UI
• list, create, edit, delete, enable & disable Clients, Statistik (QR-Code oder Config-File)
• erfordert Docker

Wireguard Online Config Generator:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-08 11:01


Netzwerk - Monitoring

PRTG

  • 30 Tage Vollversion, 100 Sensoren kostenlos,
  • Abrechnung nach Sensoren (500/1000/...) (2.500 Sensoren = 5199,- EUR, Wartung jährlich 1000,- EUR)

    Map Designer

    - eigene Bilder einfügen: c:\Program Files (x86)\PRTG Network Monitor\webroot\mapicons\iconset(...) Bilder rein kopieren
    - Status-Icons: "Name und Status, transparent" zu Bild hinzu fügen

    Lancom Router per SMTP monitoren: Client Traffic Auswertung mit Lancom SNMP und PRTG – Andys Blog (etscheid.biz)

CheckMK

  • 30 Tage Vollversion, 25 Hosts kostenlos, Abrechnung nach Services (3.000 Services= 780,- EUR p.a.)
  • deutsch, sehr gute dt. Online-Dokumentation
  • viele Plugins für Betriebssysteme, Datenbanken u.v.a.m
  • SNMP-Monitoring

Observium

openITCockpit

  • mandantenfäig, PHP-basierend, deutschsprachig
  • leicht bedienbare Weboberfläche zum Monitoring von Nagios, Naemon, Prometheus, CheckMK
  • eigene Clients für alle OS zum Überwachen von Hosts und Services
  • viele APIs für SAP

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-03-26 11:30


Autorisierte DHCP-Server entfernen

DHCP-Server, die nicht laufen, können per GUI nicht aus der DHCP-Autorisierung entfernt werden.

Lösung:

  • ADSIEDIT.msc starten
  • Verbinden mit: Namenskontext -> Konfiguration
  • CN=Services
  • CN=NetServices
  • fehlerhafte Einträge löschen

Sollten Einträge von älteren Windows-Versionen hier nicht auftauchen:
• CN=DhcpRoot im gleichen Zweig Services / NetServices öffnen
• Einträge in dhcpServers manuell bereinigen

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-05-03 14:12


VPN-Zertifikate erstellen

Um (zertifikatsbasierende) VPN-Verbindungen herzustellen, benötigt man VPN-Zertifikate für alle Geräte, die von derselben VPN-Zertifizierungsstelle (CA) signiert wurden.
Es empfiehlt sich, die VPN-CA und die VPN-Zertifikate an einem Standort zu verwalten und die VPN-Zertifikate von dort an alle weiteren Standorte/Geräte zu exportieren. Die VPN-CA muß nicht öffentlich vertrauenswürdig sein, sondern stellt nur das Vertrauen für die beteiligten VPN-Gegenstellen dar.

Für VPN-Verbindungen werden drei Zertifikate benötigt.

- 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt (nur öffentlicher Schlüssel) .CRT
- 1 Maschinenzertifikat für den LANCOM-Router (öffentlicher .CRT und privater Schlüssel .PEM)
- 1 Maschinenzertifikat für die Gegenstelle (öffentlicher .CRT und privater Schlüssel .PEM)

Prinzip: https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1120076.html

Jede weitere VPN-Verbindung benötigt ein eigenes Maschinen-Zertifikat, damit der Router den jeweiligen Client identifizieren kann.

Lancom spezifisch:
Die Router-integrierte CA (nur ab VPN-25 Option) sollte man aus Sicherheitsgründen nicht benutzen.
Das Erstellen einer eigenen CA ist vorzuziehen (gilt für alle VPN-Gateways).
Der Assistent zum Erstellen der Zertifikate im Lancom-Router funktioniert nur mit der integrierten CA.

Die Maschinen-Zertifikate werden bei Lancom-Routern mit ihrer Zertifikatskette als PXSC#12 .p12 -Datei in die Container VPN1..VPN9 geladen.
Die Zertifikate werden erst nach einem Neustart aktiviert!
Es ist (bei Lancom) nicht erforderlich, das extern erstellte CA-Zertifikat in den Router zu laden.
Die .PEM Maschinenzertifikate müssen unverschlüsselt ohne Passwort sein. Nur die Zertifikatskette .P12 ist verschlüsselt.
Der jeweilige VPN-Container wird in der VPN-Verbindung ausgewählt.

 

Zum Erstellen der CA + Zertifikate empfiehlt sich das grafische OpenSSL-Tool XCA.
Anleitung siehe:
https://docs.insys-icom.de/pages/de_m3_creating_certificates_xca.html
https://support.lancom-systems.com/knowledge/display/KB/Erstellen+von+X.509-Zertifikaten+mit+der+Anwendung+XCA

Root-CA (Stammzertifikat)
mit XCA erstellen.

Konfiguration:
- keine Leerzeichen oder Sonderzeichen verwenden
- Groß- und Kleinschreibung ist wichtig!
- Description Name und Common Name sollten identisch sein,
  Common-Name muss eindeutig sein
- der Inhalt muß bei den untegeordneten Zertifikaten identisch sein

  • Zertifikate: "Neues Zertifikat"
  • Selbstsigniertes Zertifikat erstellen
  • Signatur algorithmus: SHA 256
  • Vorlage: "[default] CA" (oder eigene Vorlage) -> "Alles übernehmen"
  • Inhaber: Interner Name = commonName
  • Inhaber: countryName: DE, organizationName: FIRMA
  • Inhaber: Privater Schlüssel erstellen: RSA-2048bit
  • Erweiterungen: Typ: Zertifikats Authorität
  • Erweiterungen: Gültigkeit Zeitspanne höher setzen
  • Schlüsselverwendung laut Vorlage, min. "Certificate Sign, CRL Sign"
  • "OK" erstellt CA-Zertifikat
  • Zertifikate: Export -> Öffentl. CA-Zertifikat als PEM (ca.crt)
  • Private Key der CA wird von XCA verwaltet und muß nicht exportiert werden.

 

Geräte-Zertifikate (Server und Client)
mit XCA erstellen.
Es werden 2 Zertifikatspaare (Server und Client) erstellt, die jeweils mit dem CA-Zertifikat beglaubigt sind.

  • Zertifikate: "Neues Zertifikat"
  • Verwende dieses Zertifikat zum Unterschreiben: "CA-Zertifikat" auswählen
  • Signatur algorithmus: SHA 256
  • Vorlage: "[default] TLS_server" (oder eigene Vorlage) -> "Alles übernehmen"
  • Inhaber: Interner Name = commonName : "server" und "client"
  • Inhaber: wie CA
  • Inhaber: Privater Schlüssel erstellen: RSA-2048bit
  • Erweiterungen: Typ: End Instanz
  • Erweiterungen: Gültigkeit Zeitspanne höher setzen
  • Erweiterungen: ggf. X509v3 Subjekt Alternative Name -> Bearbeiten, IP, E-Mail, DNS hinzu fügen (dyn. Clients)
  • Schlüsselverwendung laut Vorlage, min. "Certificate Sign, Non Repudiation, Key Encipherment, Key Agreement" und "TLS-Server" bzw. "TLS-Client"
  • "OK" erstellt CA-Zertifikat
  • unter Inhaber: RFC-2253 steht die Identität für die Gegenstelle
  • Maschinenzertifikat -> Export: PKCS#12 Zertifikatskette exportieren (client.pfx, server.pfx)
  • je nach Gegenstelle ggf. Privaten Schlüssel des Maschienenzertifikats exportieren

Lancom:
Zertifikatsinstallation überprüfen:
show vpn cert
show vpn ca

 Lancom Router

  • WebConfig: Extras -> Dateimanagement -> Zertifikat hoch laden -> Typ: VPN-Container (VPN1..9) PKCS#12 (vorhandene CA ersetzen) -> server.pfx laden, Passphrase erforderlich
  • Zertifikate mit SSH prüfen: "show vpn ca" und "show vpn cert"
  • VPN-Verbindung IPSec (ike2) mit Wizard erstellen
  • Lanconfig: VPN -> IKEv2 -> Authentifizierung -> Verbindung editieren
  • Authentifizierung lokal / entfernt = RSA Signatur
  • Identitätstyp = ASN.1-Distinguished-Name
  • ID lokal/entfernt= jeweils Name im RFC Format, der unter xca -> Inhaber -> RFC2253 steht (CN=netdesign-client,O=netdesign,C=de)
  • Lokales Zertifikat = Container (VPN1) auswählen

Besonderheiten bei Clients mit dynam. IP:

  • Lanconfig: VPN -> IKEv2 -> IPv4-Adressen: IP-Pool festlegen
  • VPN -> IKEv2 -> Verbindungsliste: IPv4-Adress-Pool auswählen
  • VPN -> IKEv2 -> Verbindungsliste: IKE-CFG-Mode= Server
  • bei IOS werden "FQDN" statt "ASN.1.." verwendet
  • ggf. muss das Server-Zertifikat (Lancom Router) die Eigenschaft "X509v3 Subject Alternative Name" besitzen im Format DNS oder IP,
    Inhalt ist dann die WAN IP / Domain Name von Gegenüber.
  • Das Maschinenzertifikat des LANCOM-Routers (VPN-Server) muss den "Common Name" ("CN=") des LANCOM-Routers ausweisen.
    Das Maschinenzertifikat des VPN-Clients bzw. Endpunkt muss den "Common Name" ("CN=") des VPN-Clients bzw. -Endpunktes ausweisen.
  • Fehlermeldungen abarbeiten (in der Regel sowas wie Remote ID doesnt match != ..)
  • Im Internet nachlesen, was der jeweilige Client zwingend benötigt, meist irgendwas am Zertifikat.
    Logmeldungen im Client abarbeiten

Fehlersuche:

  • SSH Fehlersuche: trace # vpn status  (mit "Cursor-hoch" -> "ENTER" kann man on/off umschalten)
  • trace + vpn - Auswerten mit Putty: Copy-All-To-Clipboard
  • SSH: show vpn long - zeigt VPN-Tunnel Regeln, Verschlüsselung und Einstellungen
  • SSH: show vpn rules- zeigt VPN Security Policies
  • SSH: show vpn sadb - zeigt ausgehandelte SA
  • Trace (LanConfig oder LanMonitor): vpn-debug / vpn-ike / vpn-status  laufen lassen und Verbindung aufbauen

Danke an Dr.Einstein: https://www.lancom-forum.de/viewtopic.php?p=110121#p110121

Wenn die Zertifikate erstellt sind, werden die VPN-Verbindungen konfiguriert.


Quellen und Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-03-03 17:19


VPN IPSec (Client -> LAN) zwischen Android und Lancom Router

Vor der nachfolgenden Erstellung der VPN-Verbindung müssen die » Zertifikate erstellt werden «.

VPN-Verbindung zwischen Lancom Router und Android Client (IPSec IKE.v2 mit Zertifikat)
mit StrongSwan VPN-Client

Lancom-Router:

  • Verschlüsselung: DH28, DH14, kein PFS, AES-CBC-256, AES-CGM-256, SHA-256
  • Authentifizierung: 2x RSA-Signatur, lokale Identität: IPv4-Adresse, entfernte Identität: ASN.1-Distinguished-Name, VPN1, CRL-Check: Ja
    (Variante 2: Authentifizierung: 2x RSA-Signatur, lokale Identität: IPv4-Adresse, entfernte Identität: FQDN (DNS aus Zertifikat und Client-ID), VPN1, CRL-Check: Ja)
  • Verbindungsparameter: Default (30 sek, keine)
  • Gültigkeitsdauer: Default (86.400 sek, 0 kB, 14.400 sek, 2.000.000 kB)
  • Regelerzeugung: Manuell
  • IKE-CFG: Server
  • IPv4-Adress-Pool eintragen

StrongSwan VPN-Client:

  • CA-Zertifikat und Client-Zertifikatskette auf Android übertragen
    (muss als X509v3 Subjekt Alternative Name -> IP des Routers enthalten)
  • CA-Zertifikate: Zertifikat importieren (ca.crt)
  • Verbindungsprotil erstellen
  • Server: IP-Adresse
  • VPN-Typ: IKEv2 Zertifikat
  • Benutzer-Zertifikat: client.pfx
  • CA-Zertifikat: auswäheln -> importiert -> ca.crt
  • Erweitert: Server-Identität ist per Default = Server-IP (passt: X509v3 SAN -> IP)
  • Erweitert: Client-Identität: Identität aus Client-Zertifikat -> Inhaber -> RFC-2253 (CN=... , ggf. gedreht!)
    (Variante 2: Client-Identität: Identität aus Client-Zertifikat -> X509v3 SAN -> DNS)
  • Erweitert: NAT-T Keepalive-Interval: 15
  • Erweitert: RSA/PSS-Signaturen verwenden: on

 

Fehlersuche:

  • SSH Fehlersuche: trace # vpn status  (mit "Cursor-hoch" -> "ENTER" kann man on/off umschalten)
  • trace + vpn - Auswerten mit Putty: Copy-All-To-Clipboard
  • SSH: show vpn long - zeigt VPN-Tunnel Regeln, Verschlüsselung und Einstellungen
  • SSH: show vpn rules- zeigt VPN Security Policies
  • SSH: show vpn sadb - zeigt ausgehandelte SA
  • Trace (LanConfig oder LanMonitor): vpn-debug / vpn-ike / vpn-status  laufen lassen und Verbindung aufbauen

Typischer Fehler:
• DEFAULT-Eintrag in Verbindungsliste bis zum letzten Parameter prüfen!
• im Trace:
Compare: -Received-ID C=de,O=netdesign,CN=tw-pls-tw-client:DER_ASN1_DN != Expected-ID CN=tw-pls-hdf-client,O=netdesign,C=de:DER_ASN1_DN
-> die Geräte drehen die Reihenfolge!

Tip:
• VPN/Allgemein/Flexiber Identitätsvergleich aktivieren
• VPN IKEv1 Default-Parameter: alle 3 Defaults von Gruppe 2 (1024) auf Gruppe 14 (2048) stellen

 

Quellen und Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-12-03 19:24


Modbus

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-03-11 10:58


VPN Verfahren

Ein VPN-Tunnel kann eine Netzwerkverbindung auf Layer 2 (Bridge) oder Layer 3 (Route) aufbauen.
• Bridge: VPN- Clients und LAN sind im selben Netzsegment. Jeder Paketmüll wird auf VPN übertragen.
• Route/Tunneling: virtueller LAN-Adapter legt ein Transfer-Netz an, VPN über Routing-Regeln, Traffic kann auf lokal / VPN aufgetailt werden.

Portforwarding/Routing
Steht der VPN-Router hinter einem anderen Router, so müssen die entsprechenden VPN-Ports auf den VPN-Router geforwarded werden.
Außerdem ist ein Routing im DSL-Router auf das interne Transfernetz des VPN-Routers erforderlich!


Übertragungs-/Verschlüsselungsverfahren

  • IPSec - seit 1993
    - proprietäre Software, Lizenz pro Client erforderlich
    - Mainmode (berücksichtigt WAN-IP der Gegenseite, sicherer) und AggresiveMode (kann dynam. IP)
    - Verschlüsselung mit PreShare oder Zertifikaten
    - NAT-Probleme können umgangen werden mit IPsec-Passthrough oder IPsec mit NAT-Traversal
    - Breite Geräteunterstützung: Lancom, Lucom, Vigor, Fritzbox (nur IKE v1)
    - Windows OS: NCP-Client (Bintec, Lancom..), native Unterstützung mit Zertifikaten
    - Android OS: native Unterstützung je nach Version und Gerät, teils nur IKE v.1, mit Zertifikat
    - kein einheitlicher, geräteübergreifender Standard zum Austausch der Konfiguration

  • Wireguard - seit 2015
    - Open Source / GPLv2-Lizenz
    - Client kostenlos und für alle Betriebssysteme verfügbar, seit 2020 direkt im Linuxkernel integriert (also auch embedded Devices)
    - modern, stabil, einfach konfigurierbar, roamingfähig, schlank und schnell (höhere Übertragungsgeschwindigkeit, geringere Latenz)
    - jede Verbindung hat eigene Public- und Private Key und funktioniert ähnlich wie SSH-Keys
    - jeder Public Key wird mit Liste erlaubter Netze verknüpft (Wildcard 0.0.0.0/0 bedeutet: alle Netze gehen durch Tunnel)
      In Versandrichtung verhält sich diese Liste wie eine Routing Tabelle.
      In Empfangsrichtung dient sie als Access Control List.
    - keine Zertifikate erforderlich, Key-Paar kann vom Router oder offline erzeugt werden
    - Server erstellt (je nach Gerät) fertige Conf-Datei oder QR-Code, der einfach am Client eingebunden wird
    - Clients bekommen statische IPs und der Access läßt sich individuell pro Gerät steuern
    - Default Port: 51820 (UDP), frei änderbar, problemlos über NAT
    - energieeffizient, kaum Daten im Leerlauf, geeignet für Mobilgeräte
    - viele Softwarelösungen: pfSense, OpenSense, OpenWRT
    - bisher wenig Geräte: Fritzbox ab FW 7.50, Vigor, GL.iNet, MikroTik (ab RouterOS 7)

  • OpenVPN - seit 2002
    - Open Source Software, Client kostenlos und für alle Betriebssysteme verfügbar
    - Verschlüsselung mit OpenSSL oder embedTLS, (Zertifikat und Preshare)
    - Transport flexibel, wahlweise per UDP oder TCP
    - Default Port: 1194 (UDP)
    - NAT ist kein Problem, weil OpenVPN weder IP-Adresse noch Portnummer authentifiziert
    - einfach konfigurierbar, langsam gegenüber IPSec oder Wireguard
    - erlaubt, dass sich mehrere Clients gleichzeitig mit demselben Zertifikat anmelden. Dann können aber Clients nicht einzeln deaktiviert werden.
    - .ovpn ist ein fast einheitlicher Standard zum Übertragen der Konfiguration auf Clients (enthält die notwendigen "ca.crt", "client01.crt" und "client01.key").
    - verfügbar für alle Betriebssysteme (Debian, Ubuntu, MS Windows, macOS, Android und iOS)
    - Konfiguration lässt sich inclusive Zertifikate exportieren und auf der Gegenstelle importieren (Datei oder QR-Code, geräteabhängig)
    - breite Geräteunterstützung (Lucom, Lancom R&S Firewall, Fritzbox, Vigor, MikroTik, GL.iNet, OpenWRT, DD-WRT)
    Anleitung: https://blog.hartinger.net/openvpn-einrichten-bei-einer-lancom-unified-firewall/

  • SSL
    - Verschlüsselung mit TLS und SSL, gute Verschlüsselungsstärke
    - nutzt nur Port 443 und funktioniert praktisch überall, kompatibel zu NAT
    - geringer Konfigurations- und Wartungsaufwand
    - kein Tunneling, ausschließlich für RemoteAccessVPN geeignet
    - normaler Browser dient üblicherweise als VPN-Client (Anwendung muß browserbasierend sein), über PlugIns auch Weiterleitung/Gateway auf andere Dienste möglich
    Geräte: Vigor, Lancom R&S Firewall

  • L2TP over IPSec
    - funktioniert auf allen OS mit Boardmitteln
    - funktioniert ohne Zertifikate und ist einfach konfigurierbar
    - die Kombination von L2TP und IPsec hebt die Schwächen beider Protokolle gegenseitig auf
    Geräte: MikroTik, Vigor

  • PPTP (veraltet)
    - unsichere oder keine Verschlüsselung
    - stabil, einfach, früher weit verbreitet

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-03-25 12:06


Zigbee, WiFi, Matter, Thread

ZigBee

  • eigener Funkstandard, lizenzfreie Frequenz 868 MHz (Europa) und 2.4 GHz LR-WPAN Kanal 11-25 (weltweit, wie WLAN)
  • erst Zigbee 3.0 ist ein einheitlicher Standard für alle großen Hersteller
  • Stand 2022/23: weit verbreitet im Bereich Steuerung und Statusmeldung (SmartHome, M2M, Industrie 4.0, IoT und Gebäudeautomation)
  • energiesparender als Bluetooth oder WLAN, geeignet für batteriebetriebene Geräte (Heizkörperthermostate, Thermometer, Türkontakte..)
  • Reichweite (je nach Router und Frequenz 10 bis 50m +Mesh), geringere Datenrate als WLAN od. Bluetooth (max. 250 kb/s)
  • spannt autark ein Mesh-Netzwerk über alle Geräte auf (Akku-Geräte sind meist im Standby und keine Mesh-Partner)
  • ZigBee Geräte haben keine IP-Adresse und kommunizieren proprietär nur mit dem passenden Gateway. Nur das (LAN-)Gateway hat eine IP-Adresse.
    Ist das Gerät nicht (mehr) am Gateway angelernt, erreicht man es nur durch Tastendruck am Gerät + neu anlernen.
  • in der Regel wird eine Bridge, ein Hub oder Router (Steckdosengerät!) benötigt. (Koordinator)
    - Amazon Echo Plus (einige Modelle)
    - Google Assistant
    - Sonoff, Tuya, Phoscon usw. Zigbee Bridge
  • Tuya Gateway arbeitet nur per Cloud, besser ist Tasmota, Phoscon (proprietär) oder Thread

    Eigene Erfahrungen mit ZigBee:
  • Reichweite geringer als WLAN (Tuya-Bridge), trotzdem kaum Grenzen im Wohnhaus durch Mesh
  • Inbetriebnahme absolut komplikationslos
  • deutlich langsame Reaktion bei direkter Kommunikation mit den Geräten (spürbar geringe Bandbreite)
  • Schalter reagieren schnell und verzögerungsfrei
  • ohne Internet keine Funktion (Tuya Cloud!)
  • sind App oder Gateway oder WLAN (WLAN ändern bedeutet App-Reset) defekt, müssen alle Geräte per Knopfdruck neu angelernt werden (also nicht zu fest einbauen)
  • SmartLife App funktioniert besser als Tuya App
  • in Alexa oder Google Assistant: SmartLife Skill laden, verbinden und die Geräte sind per Sprache steuerbar

WLAN

  • Funkstandard, 2.4 GHz und 5 GHz weltweit (IoT meist nur 2.4GHz)
  • hohe Bandbreite (Kameras, TV, Audio möglich)
  • hoher Energieverbrauch, nicht für batteriebetriebene Geräte geeignet
  • kein Mesh, reine Punktverbindung zwischen IoT-Gerät und WLAN-Router
  • jedes Gerät hat eine IP-Adresse, eine WEB-GUI und arbeitet ohne spezielles Gateway
  • Steuerung über jede gängige Home Automatisierung direkt möglich, kein Cloudzwang
  • Phoscon USB Zigbee-Gateway kann systembedingt keine WLAN-Geräte

Die Zukunft

  • Matter (Cloud-unabhängig) bzw. Thread (Matter + Anbieterunabhängig)
    Matter ist ein Kommunikationsprotokoll, Thread ein Funkstandard (wie ZigBee), meist mit Matter

  • Matter basiert auf drei Technologien:
    • Bluetooth LE für das Setup
    • Wi-Fi oder LAN für die Benutzung mit hohen Bandbreiten
    • Thread (mit Border Router) für geringe Bandbreiten
    • andere Funkstandards wie ZigBee werden durch Matter-kompatible Bridges angebunden
    Oberflächen von Apps für die Automatisierungen arbeiten wie bisher, nur unter der Haube soll alles kompatibel werden.
    Die Matter-Spezifikation enthält eine Funktion namens „Multi-Admin“, mit der ein einzelnes Matter-Gerät von mehreren Smart-Home-Systemen gleichzeitig gesteuert werden kann. Das bedeutet, dass Kunden nicht mehr ein einziges System wählen müssen, um Smart-Home-Geräte in ihrem Haus direkt zu steuern.
    Matter arbeitet lokal, Cloud-Zusatzfunktionern und Diadnosedaten sind erlaubt.

  • Thread-Geräte sind (wie WLAN) Netzwerkgeräte mit eigener IP und per mDNS auffindbar.
    Thread arbeitet im 2.4GHz Bereich als 6LoWPAN nach IEEE 802.15.4 als Mesh-Netz. Im Vergleich zu WLAN ist die Reichweite höher, bis 100m.
    Geräte werden einfach über einen QR-Code eingebunden.
    Die Steuerung erfolgt herstellerunabhängig mit beliebiger Thread-App.
    Der Standard ist stromsparend ausgelegt und (anders als WLAN) für Batteriegeräte geeignet.
    Gerätetypen:
    • Endgeräte (Sensoren, Aktoren)
    • Thread-Router (jedes nicht batteriebetriebene Thread Mesh-Gerät ersetzt den WLAN-Repeater)
    • Thread Border-Router (verbinden Thread mit dem LAN/WAN)

WiFi, ZigBee und Tread arbeiten im selben 2.4 GHz Frequenzband.
WiFi ist für batteriebetriebene Geräte ungeeignet (Laufzeiten < 1 Jahr).
ZigBee ist für fest verbaute Geräte ungeeignet, weil man die Geräte ohne Gateway (Defekt, Fehler) nicht erreicht.
Jedes ZigBee und Thread Netzwerk hat eine eindeutige PAN-ID (personal area network identifier), vergleichbar mit der WLAN-SSID.
Zigbee und Thread sollten auf dem gleichen Kanal betrieben werden, wenn das gleiche Interface/der gleiche Adapter für beides genutzt wird (Multi PAN). In größeren Netzen sollte man beide trennen.
Wichtig ist, dass die Geräte oder zumindest ihre Gateways Matter unterstützen.

Siehe:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-06 21:17


MikroTik Router

  • Einfache Konfiguration selbst ohne IP-Adressvergabe über MAC-Adresse per Winbox.
  • in Default-Config ist Port-1 = WAN (kein Management)
  • SafeMode (oben links): Konfiguration wird sofort aktiv, aber nicht zurück geschrieben bis man Safe-Mode beendet. Vorher reicht aus/ein für Urzustand.
  • Konfiguration per Winbox, WEB-Gui oder SSH möglich.
  • Werksreset: Reset-Taste (ca. 5 sek.) + Power-on oder SSH: /system reset-configuration oder GUI: System -> Reset Configuration
  • Stromversorgung: meist 24V, Hohlstecker 5,5x2.1mm (Plus Innen), teilweise auch PoE oder Schraubklemme

RouterOS wird in Lizenzlevel 0 (Demo) bis 6 (Controller) angeboten.
Preise und Funktionen: https://help.mikrotik.com/docs/display/ROS/RouterOS+license+keys
Alle Lizenzen:

  • gelten zeitlich unbegrenzt
  • beinhalten alle zukünftigen Updates
  • können unbegrenzt Interfaces nutzen
  • sind für ein Gerät

Default Config (Router Mode):

  • WAN Port geschützt durch Firewall, DHCP= on
  • Eth.-Ports (außer WAN) sind Mitglied in "LAN Bridge"
  • LAN-Bridge IP= 192.168.88.1/24, DHCP-Server und DNS = ON
  • WAN Gateway = Ether-1, IP v4 Firewall= ON, NAT= ON, DHCP-Client= ON

Default-Konfig löschen im Terminal: system reset-configuration skip-backup=yes no-default=yes
oder GUI: System -> Reset Configuration -> Haken bei "No default Configuration"

Backup

  • Backup per GUI: Files -> Backup (komplett incl. Zertifikate, geht aber nur optimal auf gleicher Hardware + Firmware)
    dann Konfiguration Download
  • Backup Plaintext per Terminal: (reines Konfig-Backup ohne Zertifikate, aber Script einfach anpassbar, hardwareübergreifend)
    - /export show-sensitive file=backup.rsc  (Scrip Export, dann File Download)
    - /system reset-configuration skip-backup=yes run-after-reset=backup.rsc  (Löschen + Import)
    - import backup.rsc  (Teil-Import als Ergänzung des Systems)

Einrichtung Best Practice:

  • Passwort unter System / Users festlegen  (Default: admin / ohne PW, bei manchen WLAN-Accesspoints vorkonf. auf dem Gehäuse)
  • Gerätename GUI: System -> Identity oder Terminal:  /system identity set name="UKRouter"
  • IP unter IP -> Addresses (pro Interface oder Bridges) (IP:x.x.x.y/24, Network: x.x.x.0)
  • alle Ports, die "das Gleiche" machen sollen, werden als Bridge zusammen gefasst (jeder Port kann nur zu einer Bridge gehören)
  • Internetzugang kann auf beliebigen Port definiert werden
    - DHCP-Client einrichten, DNS, NTP
    - Default-Gateway aktivieren (Default-Route wird automat. erstellt unter IP -> Routes)
    - NAT einrichten (IP -> Firewall -> NAT): Chain: srcnat, Src.Address: [LAN\24], Out.Interface: Internet,  Action: masquerade
    - DNS-Weiterleitung: IP -> DNS: Allow Remote Requests ->aktivieren
  • Firmware Upgrade unter System / Packages (Channel: upgrade)
  • Router auf HTTPS umstellen (1)
    /certificate
    add name=LocalCA common-name=LocalCA days-valid=36500 key-usage=key-cert-sign,crl-sign
    sign LocalCA
    add name=Webfig common-name=192.168.88.1
    sign Webfig ca=LocalCA
    /ip service
    set www-ssl certificate=Webfig disabled=no
    disable www
  • Firewall (IPTables) unter IP -> Firewall ist per Default aus!
  • Firewall: Accept Input: DNS(56), HTTP/S, Stateful, PING(ICMP), SNMP(UDP-161/162), NTP(UDP-123) / DROP ALL  (siehe Firewall)
  • Firewall: Accept Forward: Stateful,
    pro Wireguard-Verbindung: Wireguard Client Src.Address, LAN-Ziel Dst.Address, In.Interface: WIREGUARD, Out.Interface: Lan-Bridge
  • Internetzugang für LAN: unter IP -> Firewall -> NAT: Chain:dstnat, Protocol:tcp, Dst.Port:80,443, In.Interface oder In.Interface List:festlegen(WAN), Action:dst-nat, To-Adresses:192.168.0.24/32
/ip firewall filter
add action=accept chain=input comment=HTTP/S dst-port=443 in-interface=all-ethernet protocol=tcp
add action=accept chain=input comment=Stateful connection-state=established,related
add action=accept chain=forward comment=Stateful connection-state=established,related
add action=accept chain=input comment=DNS dst-port=56 protocol=tcp
add action=accept chain=input comment=DNS dst-port=56 protocol=udp
add action=accept chain=input comment=NTP dst-port=123 protocol=udp
add action=accept chain=input comment=SNMP dst-port=161,162 protocol=udp
add action=accept chain=input comment=PING protocol=icmp
add action=accept chain=forward comment=PING protocol=icmp
add action=drop chain=forward comment="DROP ALL"
add action=drop chain=input comment="DROP All"

Firewallregeln
"Action: log" nutzen zur Fehlersuche
Regeln können deaktiviert werden (D/E), ohne sie zu löschen.
In den einzelnen Regeln wird der Traffic für jede Regel angezeigt, d.h. man sieht ob die Regel greift.

  • INPUT Regeln zum Router
  • Erlaube alle Antworten zur Verbindung (statefull): Chain: input,  Connection State: established+related, Action: accept
  • Management-Interface erlauben: Chain: input,  In.Interface: festlegen oder Bridge-LAN, Action: accept
  • DNS-Server des Routers erlauben: Chain: input,  Dst.Address: [LAN-IP des Routers], Protocol: UDP+TCP, Dst.Port: 56(DNS), Action: accept
  • ggf. PING vom LAN erlauben: Chain: input, Protocol: icmp, In.Interface: Bridge-LAN, Action: accept

  • INPUT DROP REGEL
    Drop All: Chain: input, Action: drop 
    Achtung! Dann ist alles zu! Ggf. erst Action: log oder "Safe Mode". Zugang lokal immer über WinBox möglich.


  • FORWARD Regeln (Traffic durch den Router)
  • Erlaube alle Antworten zur Verbindung (statefull): Chain: forward,  Connection State: established+related, Action: accept
  • Erlaube lokale PCs über HTTP/S zu Internet: Chain: forward, Dest.Address: NICHT! 192.168.1.0/24 (LAN), Protocol: TCP, Dst.Port: 80,443, In.Interface: LAN-Ports/Bridge, Action: accept
  • Bsp: Erlaube PING LAN ins Gäste-LAN: Chain: forward, Protocol: ICMP, In.Interface: Bridge-LAN, Out.Interface: bridge-gast, Action: accept
  • Bsp: Erlaube WebServer im Gäste-LAN aus LAN: Chain: forward, Protocol: TCP, Dst.Port:80.443, In.Interface: Bridge-LAN, Out.Interface: bridge-gast, Action: accept  (genauso in Gegenrichtung)

  • FORWARD DROP REGELn
  • Drop All: Chain: forward, Action: drop

  • Bsp: Trenne 2 Netze: Chain: forward, Src.Address: 192.168.10.0/24, Dst.Address: 192.168.20.0/24, Action: Accept, dann DROP ALL

Bedienung per Terminal

  • Aktuelle Firmware und mögliche Updates ermitteln /system routerboard print
  • Update Stable Version: /system package update set channel=current
  • Update-Check online: /system package update check-for-updates
  • 1.Schritt: RouterOS Update: /system package update download
  • 2.Wichtig: Reboot!: /system reboot
  • 3.Schritt: Bootlader aktualisieren: /system routerboard upgrade
  • 4.Wieder Reboot: /system reboot
  • SSH Hostkey neu erstellen: /ip ssh regenerate-host-key
  • System-Name setzen: /system identity set name="UKRouter"
  • Benutzer Admin neu einrichten:/user set admin name="maxmuster"
  • Benutzer Passwort setzen: /passwort
  • Routing Table: /ip route print
  • Ping: ping <ip>
  • komplette Konfig ausgeben: /export verbose
  • nur von Default abweichende Konfiguration ausgeben: /export compact
  • Export (compact) in Datei: /export file=configuration.rsc  (Datei kann dann unter "Files-Download" übertragen werden
  • Import Konfigurationsdatei von "Files": /import file=configuration.rsc

DHCP-Server

  • IP -> Addresses: feste IP für gewünschtes Interface einrichten (DHCP-Server, Bsp. 192.168.100.1/24)
  • IP -> DHCP-Server -> DHCP: DHCP-Server auf o.g. Interface anlegen (geht auch über Assistent: DHCP-Setup)
  • IP -> DHCP-Server -> Networks: DHCP-LAN (/24), Gateway (IP aus Schritt 1), DNS, NTP
  • IP -> DHCP-Server -> Leases: zeigt die zugewiesenen DHCP-Clients
  • IP -> Pool: DHCP-Pool anlegen, Bereich aus dem DHCP-LAN (192.168.100.10-192.168.100.12), mehrere Bereiche möglich
  • IP -> DHCP-Server -> DHCP: eben definierten Address Pool angeben

VPN IPSec:

VPN Wireguard (ab FW 7):

VPN L2TP:

VPN OpenVPN:

Port based VLAN:

  • VLAN erstellen: Interfaces -> VLAN -> VLAN anlegen (VLANs 10 .. 30, Interface=Uplink Port, Trunk-Port)
  • Router-IP im VLAN erstellen: IP -> Adresses -> IP-Adresse/24, Netzwerkmaske und Interface auf das entsprechende VLAN Interface einstellen
  • ggf. DHCP im VLAN: IP -> Pool -> Bereich definieren (192.168.3.10-192.168.3.20)
  • IP -> DHCP-Server: Interface= (vlan-Interface), Adress-Pool: Pool von oben wählen

VLAN  (FW 7.9)
Allgemeines

  • Routing Port ether1 darf (in den meisten Setups) nicht Mitglied der VLAN-Bridge sein
  • Interface "VLAN-Bridge" darf keine direkte IP-Adresse besitzen

Einrichtung

  • Bridge -> Bridge -> neue "vlan-bridge" erstellen (VLAN Filterung erstmal AUS)
  • Interfaces -> VLAN -> neus VLAN: Name, VLAN-ID, vlan-bridge eintragen (mehrfach für alle VLANs)
  • IP -> Addresses -> IP-Adresse für jedes VLAN festlegen (192.168.10.1/32, Network: 192.168.10.0)
  • Bridge -> Ports -> alle VLAN-Ports der VLAN-Bridge zuweisen
    - Endgeräte-Ports: "Admit only untagged and..", PVID entsprechend VLAN
    - Trunk Ports: "Admit All"
  • Bridge -> VLANs: Bridge=vlan-bridge, Tagged=vlan-bridge, alle gewünschten VLAN-IDs
  • Bridge -> Bridge: VLAN-Filterung für vlan-bridge = EIN

siehe auch:

WLAN

  • CAP - Controlled Access Point (einzelner AP)
    (MikroTik Router mit WLAN-Hardware)
  • CAPsMAN - Controlled Access Points Manager
    (kann jeder MikroTik Router, ist nur 1x erforderlich, geht aber auch mehrfach)
  • Grundkonfiguration CAP Einzelgerät Wireless:
    - WiFi-Interface: WLAN1 +2: Mode= "ap bridge", Country, Frequenz (auto), SSID, (Indoor), WPA aus
    - Security Profiles: Verschlüsselung und Passwort
  • Konfig. als Accesspoint mit DHCP-IP vom LAN:
    - Bridge anlegen, LAN + WLAN-Interfaces aufnehmen
    - IP -> DHCP-Client auf Bridge konf.
  • Konfig. als Accesspoint mit eigenem DHCP-Server:
    - Bridges getrennt für LAN und WLAN anlegen
    - Einrichtung DHCP auf WLAN-Interface siehe DHCP-Server
  • Reset-Button hat 3 Funktionen:
    - Hold this button during boot time until LED light starts flashing, release the button to reset RouterOS configuration (total 5 seconds).
    - Keep holding for 5 more seconds, LED turns solid, release now to turn on CAP mode. The device will now look for a CAPsMAN server (total 10 seconds).
    - Keep holding the button for 5 more seconds until LED turns off, then release it to make the RouterBOARD look for Netinstall servers (total 15 seconds).

CAPsMAN:

  • ist als Funktion und Lizenz in (jedem) Routerboard enthalten (Pocket Geräte haben teils kein CAPsMAN)
  • zentralisiert die Konfiguration aller APs (Provisioning)
  • optional wird auch der Datenverkehr zentral am CAPsMAN per VLAN angebunden (WLAN Control)
  • CAPsMAN -> CAP-Interface -> Manager -> CAPsManager =ENABLED, CA+Certificate= auto
  • Wireless -> WiFi-Interface -> CAP= ENABLED, Interface= WLANs, Certificate= Request, Discovery Interface festlegen
    Danach ist das WiFI-Interface nur noch vom CAPsMAN zu steuern.

siehe auch

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-08 14:27


VPN IPSec zwischen Lancom und MikroTik Router

Allgemeines
IPSec IKE v.2 Lan-to-Lan Verbindung mit Preshare.
Der Lancom-Router als Empfänger muß eine feste IP haben und die VPN-Ports müssen beim Router ankommen.
Lancom Router (FW 10.50 RU5)
  • VPN-Verbindung LAN-LAN mit Assistent erstellen (IKEv2, Router als Responder)
  • IPv4 Routing-Tabelle: Route zum Dst.LAN erstellen
  • Firewall: keine Einträge
  • VPN IKEv2 Verbindungsliste:
     
  • Verschlüsselung: DH-Gruppen: DH14, PFS: nein,
    IKE-SA: AES-CBC-256, Hash-Liste: SHA-256, SHA1,
    Child-SA: AES-CBC-256, AES-GCM-256, Hash-Liste: SHA-256, SHA1
  • Authentifizierung: FQUN, Identität + Passwort
  • Verbindungsparameter: DPD: 30 sek., Encapsulation: keine
  • Gültigkeitsdauer: IKE SA: 108.000 sek, 0 kBytes, Child SA: 28.800 sek, 2.000.000 kBytes
  • IPv4-Regel: Zieladressen einschränken
MikroTik Router (FW 7.8)
  • IP -> IPSec -> Profiles
    neues Profil anlegen, Parameter passend zu Gegenseite
  • IP -> IPSec -> Peers
    neues Peer anlegen, [Gateway-Adresse/32], Profil wie oben, IKE2, Send INITIAL_CONTACT
  • IP -> IPSec -> Identities
    neuer Eintrag, Preshare Key, ID Type (beide Seiten): user fqdn, Match By: remote id
  • IP -> IPSec -> Prosposals
    neuer Eintrag, IKEv2-Prosposals setzen
  • IP -> IPSec -> Policies
    neuer Eintrag, Peer: wie oben, Tunnel anhaken, Src.Netzwerk/24 und Dst.Netzwerk/24, Protocol: 255(all), Action: encrypt, Level: require, IPSec Protocols: esp, Prosposal: wie oben
  • Test - Ergebnis/Verbindung ok:
    IP -> IPSec -> Policies, PH2 State = established
    IP -> IPSec -> Active Peers, State = established, Local- und Remote IP, TX/RX Bytes

  • IP -> Firewall -> NAT darf für VPN-Verbindung nicht maskiert sein! (srcnat für VPN-Quell- und VPN-Zielnetz, action= accept)
  • IP -> Firewall ->Rules: forward-accept für Src.LAN und Dst.LAN
  • Routingtabelle: nicht erforderlich

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-03-21 14:36


VPN Wireguard Verbindung an MikroTik Router

Allgemeines/Voraussetzungen
-> siehe Wireguard VPN
Wireguard (WG) Server (ab RouterOS 7.8)
(Bsp.LAN: 192.168.200.1)
  • Voraussetzung (siehe oben): Internetverbindung (ausgehend) und offener UDP-Port (eingehend)
  • Wireguard -> Wireguard -> neu: Wireguard-Interface/Servername, MTU (1420), Listen Port: 51820 -frei festlegbar (UDP 49152-65535)
    * pro UDP-Port kann nur ein Wireguard-Server angelegt werden
    * pro Router genügt ein Wireguard-Server, wenn man nicht verschiedene Ports nutzen möchte
  • beim Aktivieren wird automatisch ein (unsichtbarer) Private Key und ein (kopierbarer) Public Key erstellt
  • IP -> Addresses: neues WG-Tunnel LAN anlegen: Address(Server): 192.168.200.1/24, (Network: 192.168.200.0), Interface: WG-Servername von oben
  • IP -> Firewall (UDP-Port erlauben): Input - Protocol:UDP - Dst.Port:51820 - In.Interface (WAN) wählen, Accept
  • IP -> Firewall (LAN, Host oder ALL erlauben): Forward -
    Src.Addr: WG-Endgerät (192.168.200.10), Dst.Addr.: LAN-Ziel (Host od. Subnet),
    In.Interface: Wireguard-Server, Out.Interface: LAN/Bridge, Accept
  • NAT muß für die Wireguard-Verbindung aus sein (IP -> Firewall -> NAT), (srcnat für VPN-Quell- und VPN-Zielnetz, action= accept)
  • IP -> Routes: Neue Route zum Wireguard-LAN, Gateway: %wireguard-server, Dst.Address: 192.168.200.0/24  (legt Router automatisch an)
  • neu: Router erstellt QR-Code der Verbindung (Client Daten in Peer eintragen)
Wireguard Peers im Router
(Bsp: 192.168.200.10)
Für jede Gegenstelle muß ein Peer angelegt werden, dass dem Client eine eigene IP (Allowed IPs) zuweist und den Public-Key der Verbindung enthält.
  • Wiregard -> Peers -> neu:
  • Interface: Servername von oben,
  • Public Key: PK der Gegenseite,
    (Alternativ: Wireguard-Tool (unten) oder Wireguard-Client erzeugt Schlüsselpaar)
  • Endpoint: öffentl. DNS/IP der Gegenstelle (bei LAN-to-Client: leer lassen)
  • Endpoint Port: UDP-Port vom Server der Gegenseite,
  • Allowed Addresses: 192.168.200.10/32 (statische Adresse des Clients im Wireguard-LAN)
    Bei LAN-LAN müssen hier alle erlaubten Netze rein, die über den Tunnel erreichbar sein sollen, kann auch 0.0.0.0/0 (alle) sein. (Firewall+Route!)
  • Keepalive: (25s)

    nur für QR-Code erforderlich:
  • Client Address: 192.168.200.10/32 (statische Adresse des Clients im Wireguard-LAN)
  • Client DNS: DNS-Server
  • Client Endpoint: öffentl. WAN IP oder DNS-Name
  • Client Listen Port: UDP-Port vom Server
  • Test: bei erfolgreicher Verbindung mit Client laufen Verbindungs-Bytes (Rx und Tx) im WG-Peer und im Client hoch
Wireguard Endgerät (Handy oder beliebiges anderes Gerät mit dem offiziellen Wireguard-Client)
(Bsp: 192.168.200.10)
  • Wireguard-Client laden
  • neue Verbindung - manuell erstellen
  • beliebiger Verbindungsname
  • Privater Schlüssel (wird automatisch erstellt)
  • Öffentl. Schlüssel: Key in Router -> Wireguard Peer -> Public Key kopieren
  • Adressen: Client Adresse (192.168.200.10/32) (wie Allowed Address vom Wireguard Peer)
  • Nameserver: ggf. Wireguard-Server/Router (192.168.200.1)
  • Öffentl. Schlüssel: PK des Routers aus Wireguard -> Wireguard
  • Erlaubte IPs: 0.0.0.0/0 schicke gesamten Traffic (auch Internet!) in den Tunnel
    sinnvoller ist konkrete Angabe (Transfernet + Zielnetz(e), siehe .conf unten)
  • Endpunkt: Einwahlpunkt IP oder Domain der Gegenseite +Doppelpunkt:Port!  1.2.3.4:51820 (wie oben)

Wireguard Gegenstelle (Router, Lan-to-Lan)
(Bsp.-IPs siehe Skizze)

  • Router1: Wireguard-Server einrichten wie oben
  • Router2: Wireguard-Server einrichten wie oben
    Anmerkung: pro Router genügt ein Wireguard-Server, falls nicht unterschiedliche Ports erforderlich sind
  • IP-Adresse zu virtuellem Wireguard-Interface hinzu fügen (->IP / Addresses)
    - Router 1: Address: 192.168.200.1/24, Network: 192.168.200.0
    - Router 2: Address: 192.168.200.2/24, Network: 192.168.200.0
    Anmerkung: pro Wireguard-Server sind mehrere Transfer-Netze möglich. Die Auswahl erfolgt über die Route unten.
  • Router1: Wireguard-Peer einrichten,
    - Pub-Key von Router2,
    - Endpoint-IP: DSL2, Endpoint-Port: UDP-Port wie oben
    - Allowed Address: 192.168.200.2/32 (Tunnel-Ende), 192.168.20.0/24 (Ziel-LAN)
  • Router2: Wireguard-Peer sinngemäß gleich einrichten
  • Route auf Router1: Route Dest. 192.168.20.0/24 (Ziel-LAN) über Gateway 192.168.200.2 (WG-Transfer)
  • Route auf Router2: Route Dest. 192.168.10.0/24 (Ziel-LAN) über Gateway 192.168.200.1 (WG-Transfer)

Wenn der Wireguard-Router hinter dem Default Router sitzt (wie oben gezeichnet):

  • Default-Router1: Portforwarding UDP (51820) zum Wireguard-Router (192.168.10.15)
  • Default-Router1: Statische Route zu Wireguard-LAN (192.168.200.0/24) über Wireguard-Router (192.168.10.15)
  • Default-Router1: Statische Route zu entferntem LAN (192.168.20.0/24) über Wireguard-IP (192.168.200.2/32)
  • für Router2 sinngemäß gleich


Beispiel der .conf -Datei
des Clients (IP: 3):

[Interface]
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254


[Peer]
# Name = VPN-zu-Oma
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.40.0/24
# PersistentkeepAlive = 25

  • Address: VPN-Adresse des Clients
  • PrivateKey: Privat-Key des jeweiligen Clients (im Client sieht man dann den Public-Key)
  • DNS falls gewünscht
  • PublicKey: Public-Key des WG-Servers
  • Endpoint: öffentliche Adresse des VPN-Servers mit Port
  • AllowedIPs: alle Adressen, die der Wireguard Server in den Tunnel routet. (also zumindest Wireguard-Server und Serverside-LAN)
    Dieses "Cryptokey Routing" bewirkt, dass Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernehmen.
    AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.

Wireguard Online Config Generator:

Quellen und Links:

Verwendete Abkürzungen:
• WG - Wireguard
• GW - Gateway

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-09 18:55


Lancom Management Cloud (LMC)

Software Defined Network (SDN) und zentrale Geräteverwaltung aller LAncom Router, Switche, Accesspoints, Firewalls
Zentrales Deployment und Rollout, Firmwareupdates
Zentrales Monitoring
Je nach Gerät sind Lizenzen der Kategorie A bis D erforderlich. -> Lizenzkategorien

Funktionen (u.a.)

  • WLAN Controller (kein Hardware-WLC erforderlich)
  • HotSpot mit Voucher-Anmeldung
  • Active Radio Control (ARC 2.0)
    selbstlernende Automatisierung optimiert das WLAN (Kanäle, Bandbreite, Sendeleistung..)
    alle AP müssen in der LMC sein (erfasst auch Fremdgeräte, kann sie aber nicht steuern)
    Scan ca. 5 min., in dieser Zeit gehen keine WLANs
    ohne Zusatzkosten
    alle APs ab LX 6.10 bzw. LCOS 10.72

mehr Funktionen: https://my.lancom-systems.de/produkte/netzwerk-management/management-cloud/entwicklung/

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-05-24 10:50


PING erlauben in Windows

Windows 10/11 und Windows Server blockieren PING-Anfragen per Firewall in den Default-Einstellungen.
Es antwortet nur auf PING-Anfragen aus dem selben Netz.
(Ohne NAT bleibt auch beim Routing die Absende-IP unverändert.)

  • Freigabe per Firewall-GUI: Eingehende Verbindung, Datei- u. Druckerfreigabe (Echoanforderung ICMP eingehend)

  • per GPO: Computerkonfiguration => Administrative Vorlagen => Netzwerk => Netzwerkverbindungen => Windows Defender Firewall : "Eingehende ICMP-Ausnahme zulassen" -> Eingehende Echoanforderungen

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-11-13 09:37


VPN Wireguard an Lancom/R&S Firewall

Diese Anleitung ist noch in Bau! Ich bin dankbar für jede Hilfe, Ergänzung oder Korrektur.
Allgemeines
Seit Firmware FX 10.12 RU1 (07/2023) unterstützen die Rohe&Schwarz UF-xxx Firewalls Wireguard.
Die UF-Firewall als Verbindungs-Empfänger muß eine feste IP haben und der verwendete UDP-Port muss beim Router ankommen.
Wird die Firewall als WG-Router nach dem Standardgateway installiert, sind im Gateway-Router folgende Einstellungen erforderlich:
  • Portforwarding: UDP-Port (Bsp: 51820) zum WG-Router (LAN-IP)
  • Routing-Tabelle: WG-Transfernetz (Bsp: 192.168.200.0/24) zum WG-Router (LAN-IP), Maskierung aus
  • Firewall: UDP-Zielport (51820) frei geben
  • Firewall: Verbindungsquelle Wireguard-Router (LAN-IP) Internet erlauben
  • Firewall: Verbindungsziel WG-Transfernetz (192.168.200.0/24) erlauben
Wireguard ist OpenSource und für jedes gängige Betriebssystem kostenfrei verfügbar.
Wireguard (WG) Server
(Bsp. Transfer-LAN: 192.168.200.1)
  • Voraussetzung (siehe oben): Internetverbindung (ausgehend) und offener UDP-Port (eingehend)
  • Netzwerk -> Interfaces -> WireGuard-Interfaces: "+" Interface wg0 (ff.) erstellen, MTU (1420), Interface AKTIVIEREN
  • VPN -> WireGuard: "+" WG-Verbindung erstellen, Interface AKTIVIEREN
    - Name: Verbindungsname
    - Interface: wg0 (Bsp) Interface von oben auswählen
    - Adresse: WG Transfernetz Adresse des Servers (bisher nicht verwendetes Netz, Bsp: 192.168.200.1/32)
    - Port: UDP-Port (51820) der WG-Verbindung -frei festlegbar (UDP 49152-65535)
    * pro UDP-Port kann nur ein Wireguard-Interface angelegt werden
    * pro Router genügt ein Wireguard-Server, wenn man nicht verschiedene Ports nutzen möchte

  • Desktop -> Dienste -> Benutzerdef.Dienste: "+" Dienst "WireGuard" anlegen
    - Port: 51820
    - Protocol: UDP
  • Netzwerk -> Netzwerk-Verbindungen: "+" Verbindung hinzufügen
    - Name: WireGuard
    - Interface: WG-Interface (wg01)
    - Netzwerk Adressen: In Feld klicken und oben konfigurierte erlaubte IP-Adressen auswählen. (192.168.200.0/24)
  • Firewallobjekt: Host hinzu fügen (keinen VPN-Host), WireGuard-Server
    - Host: Wireguard-Server (192.168.200.1)
  • Firewall Verbindung (WireGuard-Server <-> WAN) erstellen
    - benutzerdef. Dienst "Wireguard" (von oben) zufügen
    - Verbindungsrichtung drehen (von außen nach innen), Serverspezif.Einstellung, NAT =aus, DMZ/Port-Weiterleitung aktivieren
      (Portforwarding UDP-Port zum WG-Server)
Wireguard Peers im LF-Router
(Bsp Client: 192.168.200.10)
Für jede Gegenstelle muß ein Peer angelegt werden, dass dem Client eine eigene IP (Allowed IPs) zuweist und den Public-Key der Verbindung enthält.
  • VPN -> WireGuard: WG-Verbindung von oben auswählen
  • Authentifizierung: Schlüsselpaar erzeugen, kann auch importiert werden (Private-Key bleibt im Router, Public-Key bekommt die Gegenseite)
  • Peers: "+" neuen Peer erzeugen
    - Name: Peer-Name
    - Remote Adresse: Optionale öffentl. erreichbare Adresse oder DNS-Name der Gegenstelle. Nur nütig für Initiator der Verbindung. Die Angabe wird benötigt, wenn ein Remote-Port angegeben ist. 
    - Remote Port: Port wie Gegenseite (Bsp: 51820)
    - Public-Key: Key des Peers  (WG-Tool (unten) oder Wireguard-Peer erzeugt Schlüsselpaar)
    - Keep-Alive: Haltezeit (25s). Wert ist nur verfügbar, wenn eine Remote Adresse eingegeben wurde
    - Routen erstellen: Wenn aktiviert, werden alle IP-Adressen unter Erlaubte IP-Adressen automatisch in die Routing-Tabelle 201 eingetragen. Sonst müssen die Routen manuell erstellt werden.
    - Erlaubte IP-Adressen: IP-Adressen oder Netze mit Subnetzmaske (CIDR-Schreibweise), die über die WG-Verbindung erreichbar sein sollen
      Bei LAN-LAN müssen hier alle erlaubten Netze rein, die über den Tunnel erreichbar sein sollen, kann auch 0.0.0.0/0 (alle) sein.
      ACHTUNG, Bug!?  Trägt man hier das eigene LAN ein, ist der Router über LAN nicht mehr erreichbar.
Wireguard Endgerät (Handy oder beliebiges anderes Gerät mit dem offiziellen Wireguard-Client)
(Bsp: 192.168.200.10)
  • Wireguard-Client laden
  • neue Verbindung - manuell erstellen
  • beliebiger Verbindungsname
  • Privater Schlüssel (wird automatisch erstellt)
  • Öffentl. Schlüssel: Key in Router -> Wireguard Peer -> Public Key kopieren
  • Adressen: Client Adresse (192.168.200.10/32) (wie Allowed Address vom Wireguard Peer)
  • Nameserver: ggf. Wireguard-Server/Router (192.168.200.1)
  • Öffentl. Schlüssel: PK des Routers aus Wireguard -> Wireguard
  • Erlaubte IPs: 0.0.0.0/0 schicke gesamten Traffic (auch Internet!) in den Tunnel
    sinnvoller ist konkrete Angabe (Transfernet + Zielnetz(e), siehe .conf unten)
  • Endpunkt: Einwahlpunkt IP oder Domain der Gegenseite +Doppelpunkt:Port!  1.2.3.4:51820 (wie oben)


Beispiel der .conf -Datei
des Clients (IP: 3):

[Interface]
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254


[Peer]
# Name = VPN-zu-Oma
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.40.0/24
# PersistentkeepAlive = 25

  • Address: VPN-Adresse des Clients
  • PrivateKey: Privat-Key des jeweiligen Clients (im Client sieht man dann den Public-Key)
  • DNS falls gewünscht
  • PublicKey: Public-Key des WG-Servers
  • Endpoint: öffentliche Adresse des VPN-Servers mit Port
  • AllowedIPs: alle Adressen, die der Wireguard Server in den Tunnel routet. (also zumindest Wireguard-Server und Serverside-LAN)
    Dieses "Cryptokey Routing" bewirkt, dass Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernehmen.
    AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.

Wireguard Online Config Generator:

Quellen und Links:

Verwendete Abkürzungen:
• WG - Wireguard
• GW - Gateway

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-07-14 22:40


FS.COM Switche

Default IP: 192.168.1.1
Default PW: admin / admin

  • Konfiguration muss mit SAFE gesichert werden!
  • einige Geräte haben separaten Management-Port

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-07-19 19:48


VPN Wireguard Verbindung an GL.iNET OpenWRT

  • Default LAN-IP: 192.168.8.1 (kein https!)
  • Default WAN-IP 192.168.9.1 (DHCP: 100-249)
  • Reset-Button: 4sek: Repair Network, 10sek: Factory Reset
  • SIM-CARD (full size) PIN deaktivieren/setzen mit AT-Kommando: (Deaktivieren: PIN leer)
    AT+CLCK="SC",0,"<PIN>"
  • FirmwareUpdate OpenWRT Router GL.iNet GL-X300B-GPS: http://download.gl-inet.com/firmware/x300b/release/ oder ONLINE
    aktuell: FW 4.5.16  (04/2024)
  • OpenWrt Modul/Plug-In "Luci" für Backup/Restore (online) installieren, Login mit Root User, system → backup/flash firmware → Generate archive
  • OpenWrt Modul/Plug-In "WatchCat" und "Luci-App-Watchcat" - Ping Reboot, Periodic Reboot, Restart Interface (configured trough UCI /etc/config/system)
  • Firewall: Wireguard UDP-Port zum Router öffnen
  • bei LTE-Verbindung: VPN / Internet Killswitch aktivieren
  • VPN-Verbindung im WEB-GUI: gelb: versuche Aufbau, grün: Verbindung OK (Upload+Download wird angezeigt)
  • LEDs: (keine LED für VPN, lässt sich aber per Luci programmieren)
    PWR - Power
    4G - LTE-Verbindung
    WiFi - WLAN ON
    WAN - WAN Netzwerkverbindung
  • Luci/System/LED-Configuration: WAN- oder WiFi-LED (je nach Nutzung) auf Device "wg0" (Wireguard-Verbindung) konfigurieren

VPN siehe: Wireguard installieren

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-24 09:34


Planet Switche

Default IP: 192.168.0.100
selten auch: 192.168.0.254
Default Gateway: 192.168.0.254
admin / admin  

Einige Switche haben einen separaten Management-Port (VLAN 1).
Die Switche booten sehr lange (> 30 sek.).

BIOS + Manual Downloads: https://www.planet.com.tw/en/support/downloads

Industrie-Switche (DIN-Rail and Wall Mount Kit)

IGS-10020MT

  • Managed Gigabit Switch, IP30 Aluminium Gehäuse
  • fanless
  • 8-port 10/100/1000T + 2-port 100M/1G/2.5G SFP
  • LEDs: Power1, Power2, Fault Alarm, Netzwerk Ring, Ring.Owner
    per Port: Link, Speed
  • WEB-GUI, SNMP 1-3
  • Reset Button: <5 sek.: System Reboot, >5 sek.: Factory Reset
  • Removable 6-Pin Terminal Block for Power Input
    Pin1/2 = Power1, Pin3/4 = Fault Alarm, Pin 5/6 = Power2
  • Redundant Power System,  12 - 48V DC (1.25A) oder 24V AC (0.7A)
    Netzteil nicht im Lieferumfang!
  • Alarm Relay: 24V DC / 1A
  • Bootdauer ca. 35 sek. (alle LEDs an)

IGS-5225-4P2S  (PoE)

  • L2+ Managed Gigabit Switch, IP40 Aluminium Gehäuse
  • fanless
  • 4-port 10/100/1000T 802.3at/af PoE+ bis 36W + 2-port 100/1000MB SFP
  • 1 x RJ45-to-RS232 serial Management Port (115200, 8, N, 1)
  • LEDs: Power1, Power2, Fault Alarm (rot), Netzwerk Ring, Ring.Owner
    per TCP-Port: PoE, Link
    per SFP-Port: Link / Speed
  • WEB-GUI, SNMP 1-3
  • Reset Button: <5 sek.: System Reboot, >5 sek.: Factory Reset
  • Redundant Power System, Dual 48~56V DC (>51V DC for PoE+ output recommended), 6 - 152W
    Netzteil nicht im Lieferumfang!
  • PoE mit PoE Usage Monitor, PoE Scheduler
  • supported Modbus TCP/IP protocol

19" Switche

GS-4210-8T2S

  • Managed Edge Switch with Advanced L2/L4 Switching
  • fanless
  • 8x 10/100/1000BASE-T RJ45 Auto-MDI/MDI-X ports
  • 2x 100/1000BASE-X SFP interfaces (dual mode and DDM)
  • 1x RS-232-to-RJ45 serial Management Port (115200, 8, N, 1)
  • LEDs: Power, Sys
    per Port: Link/Akt
  • WEB-GUI, SNMP 1-3
  • Reset Button: <5 sek.: System Reboot, >5 sek.: Factory Reset
  • Dual Firmware Images

GS-4210-24T4S

  • Managed Switch with Advanced L2/L4 Switching
  • fanless
  • 24x 10/100/1000BASE-T RJ45 Auto-MDI/MDI-X ports
  • 4x 100/1000BASE-X SFP interfaces (dual mode and DDM)
  • 1x RS-232-to-RJ45 serial Management Port (115200, 8, N, 1)
  • LEDs: Power
    per TCP-Port: 1000 LNK/ACT (Green), 10/100 LNK/ACT (Orange)
    per SFP-Port: 1000 LNK/ACT (Green), 100 LNK/ACT (Orange)
  • WEB-GUI, SNMP 1-3
  • Reset Button: <5 sek.: System Reboot, >5 sek.: Factory Reset

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-12-02 19:45


Telefon, Mobiltelefon

Android Apps

Gute Apps:

- Nine: Mailclient inclusive eigenem Kalender + Aufgaben, kann Exchange, POP3, IMAP, Besonderheit: Exchange Kalender Marker-Tags werden auf Mobilgerät angezeigt

- Zoiper SIP Voip Softphone CSipSimple: gut funktionierender, universeller Voip-Client (kostenpflichtig!).

- WiFi File Transfer: FTP-Freigabe des Handy über WLAN, funktioniert gut, bei Sony Xperia nur für SD-Card

- Deutsche Tastatur von Stefan Richter (äöü, Cursortasten, freie Tastengröße...)

- OpenSignal (Info über Mobilfunkmasten, Richtung, Stärke...)

- Bubble UPnP (UPnp/DNA-Server und Renderer, spielt Bilder, Videos und Musik vom Handy oder von anderen Geräten auf dem TV. Demoversion, dann Kosten= 3,49 )

 

Nicht selbst getestet:

- Cloudii (Client für Google Drive, Dropbox, Skydrive, Box.com, OwnCloud, SugarSync, WebDAV, FTP/SFTP, Copy, Yandex)

- Kids Place: mit Elternpasswort, sperrt PlayStore und Hometaste, Apps können einzeln frei gegeben werden, Internetzugang pro App sperrbar

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-09-17 17:30


Telefon: Kabelbelegungen

 

Pin   12345678
Analog-Terminal (T91)     E a b W    
System- Terminal I2H (T92)     a c d b    
Telefon analog TAE-F Stecker a b W E        
T-DSL Monopol (Amt) TAE-F Stecker U-R a U-R b            
T-DSL UAE8       a1 b1      
S0 - ISDN UAE8 (T93)     a2 a1 b1 b2    
Telekom-Kabel     2 Ring eng 0 Ring 1 Ring 2 Ring weit    
UAE6   a2 a1 b1 b2      
UAE4 a2 a1 b1 b2        
UP0-ISDN (T93)       a b      
Ethernet
10Base-T
Telegärtner 5
(W-Gn)
(W-Org)
6
(Gn)
(Org)
3
(W-Org)
(W-Gn)
2
(Bl)
1
(W-Bl)
4
(Org)
(Gn)
7
(W-Brn)
8
(Brn)

 

Telefon
TAE- Stecker
Telefon
Westernstecker 4pin
Telefon
Westernstecker 6pin

 

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:01


VoIP

VoIP am Android-Gerät: in der Telefon-App unter "Einstellungen/Anrufkonten" einrichten (nicht bei allen Typen verfügbar!).
Falls nicht verfügbar oder per CSSID freischaltbar: "SIP Enable 10" App oder separate VoIP SIP App.

 

Vorteile:
- separate Telefonverkabelung entfällt, beliebig LAN oder WLAN. ( All-IP)
- VoIP Endgeräte können Handys sein, PCs, klassische Telefone mit Adapter oder spezielle VoIP-Geräte.
- VoIP ist nicht standortgebunden und läßt sich ggf. im Büro und auf dem Smartphone nutzen.
  (nur Telekom VOIP ist anschlussgebunden und hat keine Zugangsdaten)
- HD Codecs bieten deutlich bessere Sprachqualität, wenn sie durchgängig verwendet werden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-09-14 08:55


Android Gerät fernsteuern

Teamviewer 9 QS for Android kann einige ausgewählte Smartphones direkt fernsteuern.

Achtung! Die Lizenz ist NICHT in der kommerziellen Version enthalten! Mit der unlizenzierten (USB-)Version9 läuft es aber.

Stand 8/2014:

- Lenovo Tablet S6000 und Lenovo A7600-F mit AddIn unterstützt! Das geht geil.

- Google Nexus 5 nicht unterstützt.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:02


GSM/UMTS/LTE Netzabdeckung

Karten Funkversorgung:
Telekom
Vodafone
O2
E-Plus
Bundesnetzagentur  (Funkmasten, Abstrahlrichtungen)
LTE-Vergleich (Abdeckung, Tarife, alle Anbieter)

Stand 1/2018 lassen Telekom und Vodafone LTE durch ihre Serviceprovider nicht zu!
Das betrifft auch eigene Töchter wie Congstar oder Fyve.
Es gibt bei Congstar Ausnahmen in älteren Verträgen, die aber kein zugesicherter Vertragsbestandteil sind.

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-02-05 11:56


Android: Foto-Ordner ausblenden

Die Datei .nomedia versteckt Ordner vor der Google-Foto App und ähnlichen Apps wie QuickPic.

Damit lassen sich gezielt Ordner ein- und ausblenden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:02


WhatsApp Sicherheit, WhatsApp ohne SIM-Card mit Festnetznummer

- .APK-Datei (Android) herunter laden.

  Whatsapp: http://www.whatsapp.com/android/

  Chip: http://beste-apps.chip.de/android/app/whatsapp-messenger-apk-android-app,cxo.58151052/

- Apps von unbekannten Quellen (temporär!) erlauben.

- APK-Datei ausführen.

- statt Mobilfunknummer Festnetznummer (+49 ..) eingeben.

- nach Wartezeit von 5 Minuten ohne SMS Option "Code telefonisch übermitteln" wählen.

- WhatsApp läßt sich pro Rufnummer nur auf einem Gerät verwenden.

 

WhatsApp auf einem zweiten Gerät betreiben:
Tablet Manager - Interface für WhatsApp Web

WhatsApp sicherer machen:
Quelle: https://www.kuketz-blog.de/whatsapp-wie-sich-datenschutz-privatsphaere-verbessern-laesst-teil1/

  • möglichst keine Facebook-App auf gleichem Gerät / nicht anmelden
  • Chat -> Chat-Backup -> Ende-zu-Ende-verschlüsseltes Backup = EIN (nachträglich klappt das bei mir nicht)
  • Einstellungen -> Datenschutz -> Check starten
  • ggf. Kontakte und Sichtbarkeit einschränken
  • Anrufe von Unbekannt = stummschalten
  • Mache dein Konto sicherer -> Fingerabdruck-Sperre -ggf aktivieren
  • Mache dein Konto sicherer -> Verifizierung in zwei Schritten -unbedingt aktivieren (die PIN wird unregelmäßig beim Programmstart abgefragt)
  • Einstellungen -> Datenschutz -> Live Standort (!!)

WhatsApp Backup funktioniert nicht

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-17 09:58


All-IP

Probleme:
- für Fax over IP muß der Anschluß T.38 unterstützen! Ansonsten sind besonders mehrseitige Faxe Glücksache. Lancom und AVM Router unterstützen das. Die Telekom betreibt aber kein T.38 <-> T.30 Gateway!
Alternative: Fax-to-Mail Gateway.
Tobit David unterstützt T.38 per SIP
- auch ggf. interne ISDN-Schnittstelle am VoIP-Router unterstützt keinen Datenverkehr, sondern nur Sprachverbindung! Alarmanlagen und Notrofsysteme haben ggf. ein Problem damit.
- CAPI ist problematisch und wird von den meisten Anbeitern nicht mehr unterstützt.
 
Vorteile:
- einfacher Netzabschluß, einfache Entstörung vom Anbieter.
VoIP ist nicht standortgebunden und läßt sich ggf. im Büro und auf dem Smartphone nutzen.
  (nur Telekom VOIP ist anschlussgebunden und hat keine Zugangsdaten)
- HD Codecs bieten deutlich bessere Sprachqualität, wenn sie durchgängig verwendet werden.
 
Tip:
Mit der XCAPI können bestehende CAPI 2.0-kompatible Anwendungen im Bereich Unified Messaging (UMS), Automatic Call Distribution (ACD) oder Interactive Voice Response (IVR) über Voice over IP / SIP genutzt werden. Damit ist man in der Lage, Telefonie- und Faxfunktionen ohne herkömmliche Hardware wie Modem oder ISDN-Karte anzuwenden.
 
Sehr gute Hinweise zu Fax over VoIP: www.administrator.de/

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-12-27 19:22


Android Konto für die ganze Familie

Apps einmal für alle kaufen?

Auch bei mehreren Google-Konten auf dem Handy nutzt der Playstore immer das erste Hauptkonto.

Lösung:
- neuen Benutzer auf dem Handy erstellen.
- Familienkonto angeben.
- App kaufen und installieren.
Die App ist für alle Benutzer auf dem Gerät verfügbar.

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-02-03 13:01


Lancom Call-Manager

* mehrere SIP-Leitungen als Einzelaccounts
Problem: Bei ausgehenden Rufen wird immer die Hauptrufnummer übermittelt.
Lösung 1 ( Zuweisung pro Rufnummer):
Gerufene Nummer: #
Ziel-Nummer: #
Ziel-Leitung: SIP-LEITUNG FÜR 1234
Rufende Nummer (Filter): 1234
Das Gleiche für jede SIP-Leitung. Mit dieser Callroute wird jeder abgehende Ruf von intern Nummer 1234 über die SIP-LEITUNG für 1234 geleitet. Der Angerufene sieht die entsprechende Nummer in seinem Display.

Lösung 2 (Zuweisung über Vorwahl):
Gerufene Nummer: *1#
Ziel-Nummer: #
Ziel-Leitung: SIP-LEITUNG1

Immer wenn an einem Telefon die „*1“ vorgewählt wird, geht der Ruf über diese Leitung1.

* Wird ein Eintrag in der Call Routing Tabelle gefunden mit der Ziel-Leitung "RESTART", dann beginnt mit der neuen, umgesetzten Called Party ID wieder der komplette Durchlauf. Dabei wird die Angabe der Quell-Leitung (Calling Line) für den nächsten Durchlauf gelöscht.

* SIP-Leitungen: Displayname sollte möglichst frei bleiben und kann zu Fehlern führen.
Manche Provider fordern dein Eintrag aber.

* Meldung "Der Eintrag '#' existiert bereits in der Tabelle" beim Speichern der Call-Route
Identische Mehrfacheinträge mit Eintrag bei "Rufende Nr. (raus)" führen zu dieser Fehlermeldung. Mehrfacheinträge bei "Rufende Nr. (rein)" funktionieren.

Zielleitungen:
- ISDN
- alle definierten SIP Leitungen
- REJECT markiert eine gesperrte Rufnummer oder verbietet SIP-Steuerzeichen.
- USER leitet den Ruf an lokale SIP- bzw. ISDN-Teilnehmer weiter.
- RESTART beginnt mit der zuvor gebildeten Ziel-Nummer einen neuen Durchlauf in der Call-Routing-Tabelle.
  Dabei wird zuvor Quell-Leitung gelöscht.

CALL Routingtabelle im LCOS Benutzerhandbuch

Siehe auch: Arcor/Vodafone SIP-Zugang an Lancom Router

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-07-02 11:32


Fax

Lösungen: lokales Faxgerät, eigenes Faxgateway (Fritzbox..) oder Cloudlösung.

Cloudanbieter Simple-Fax:
https://simple-fax.de/faxdrucker-fuer-windows

- Faxversand über einen Faxdrucker im Windows oder per E-Mail
- Faxempfang über eine spezielle Rufnummer, die man bei der ersten Aufladung vom Anbieter bekommt
- Faxversand 7 ct. pro Seite


Die Telekom bietet für ihre Kunden ein PC-Fax Service an.
https://www.telekom.de/hilfe/festnetz-internet-tv/produkte/pc-fax/wie-melde-ich-mich-fuer-pc-fax-der-telekom-an

Die Faxnummer (Vorwahl 032) wird von der Telekom zugewiesen.
Versand und Empfang erfolgen als PDF-Datei über das Portal.

Aus einem Windows-Programm bedeutet Faxversand:
- drucken als PDF
- WEB-Portal öffnen, Faxversand wählen, PDF-Datei und Rufnummer anfügen

Faxempfang bedeutet bei allen Angeboten:
E-Mail mit angehängtem Fax als PDF-Datei


PDF24 Faxservice:
https://de.pdf24.org/fax-online.jsp

PDF24 ist ein guter gratis PDF-Editor.
Wenn man sich bei dem Fax-Dienst anmeldet, kann man praktisch mit einem Klick PDF erstellen und als Fax versenden.
Der Empfang erfolgt klassisch als PDF über E-Mail.
Vom Handling erscheint das sehr einfach.
Die Anmeldung ist kostenlos, Faxempfang im Paket ab 5 EUR p.m. nur sinnvoll bei intensiver Nutzung.
https://fax.pdf24.org/prices

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-08-22 08:38


Telefon USSD-Code (Sternchencode)

Anklopfen (Änderungen lassen nicht alle Provider zu)
*#43# - fragt Status ab
#43# - schaltet Anklopfen aus
*43# - schaltet Anklopfen ein

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-11-26 12:53


Android Handy wechseln

Meine persönliche To-Do List
Altes Handy:

  • Fotos sichern
  • Android Konto in Google Cloud sichern
  • WhatsApp / WhatsApp Business (lokal) in Google Cloud sichern
  • Signal lokal sichern (DCIM/Signal), Backup auf PC sichern (Backup-Token!)
  • VPN-Client Config sichern, Config auf PC sichern

Neues Handy:

  • SIM-Card in neues Handy
  • Android installieren, Handys verbinden, Daten übertragen per Kabel oder Wireless
  • (Konto anmelden) - geht automatisch
  • (Android 11: klassisches Menue mit Navigationsbuttons)
  • Apps installieren + aktualisieren
  • WhatsApp: Rufnummer registrieren, Backup wieder herstellen (Backup-PW)
  • Signal: Backup auf Handy spielen, Konto übertragen von Backup (Backup-Passphrase und Signal-PIN)
  • (VoIP: ZoiPer einrichten, im Hintergrund laufen erlauben)
  • Mailclient (Nine) einrichten (IMAP + Exchange)
  • 2FA Authentificator Daten per QR-Code vom alten Handy übertragen, (Google Authentificator synchronisiert per Cloud!)
  • Dropbox + Cryptomator Boxcryptor konfig.
  • Keepass konf.
  • Zertifikate für E-Mail und VPN überspielen
  • VPN einrichten
  • "Nicht stören" nachts einrichten
  • Auto koppeln

Links und Tools:

  • MyPhoneExplorer (Freeware) - Voll-Backup / Datenübertragung, mit Dateibrowser, Telefonbuch, Kalender, SMS/MMS-Viewer, Mail Datenabgleich mit vielen Programmen, Backup aller Apps als APK
  • Titanium Backup (Light/Pay)- vollständigste Suite, benötigt Root-Rechte
  • Helium Backup (Light/Pay) - umfangreiche Suite ohne Root

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-02-03 11:04


Android EngineerMode (Doogee S96)

EngineerMode CSSID: *#*#3646633##

TestMode CSSID: *#*#4636##

Calenar Info CSSID: *#*#225##

FCM Diagnostics CSSID: *#*#426##

IMEI CSSID: *#*#06#*#*

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-09-18 21:50


Anrufweiterleitung

• Rufweiterleitung per Rufnummer beim Provider
  Regeln: ständig, bei besetzt, zeitversetzt
  Rufnummer des Anrufers wird beim Weiterleitungsziel angezeigt, wenn der Anbieter/ Tarif "Clip no screening" unterstützt.
  Nachteil: nur 1 Anrufziel definierbar
  Telekom Company Pro: Weiterleitung 5..60 sek. einstellbar, KEIN clip-no-screening

• Rufweiterleitung per Rufnummer an TK-Anlage/Router (Fritzbox, Lancom..)
  Regeln: ständig, bei besetzt, zeitversetzt
  mehrere Anrufziele gleichzeitig möglich
  Nachteil: am Ziel wird nur die weiterleitende Rufnummer angezeigt

• Rufweiterleitung per SIP (Fritzbox, Lancom..) 
  Regeln: ständig, bei besetzt, zeitversetzt
  mehrere Anrufziele gleichzeitig möglich
  mehrere Weiterleitungen in Kaskade möglich (Provider -> Fritzbox(SIP-Client+Server) -> LancomRouter (SIP-Client+Server) -> SIP-Client als Telefonnebenstelle
  Rufnummer des Anrufers wird beim Weiterleitungsziel angezeigt
Achtung: Lancom unterstützt keine externen SIP-Clients ohne VPN. AVM geht.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-02-03 13:47


IoT / DIY / Haustechnik

Max! Heizungsteuerung (intern)

Max! Cube LAN Gateway
Funkfrequenz: 868,3 MHz
typ. Funk-Freifeldreichweite: 100m
IP: 192.168.24.220
Versorgungsspannung: 5 V, 550 mA
Cube SnNr.: LEQ1147173

3x Max! Heizkörperthermostat Basic
Funkfrequenz: 868,3 MHz
typ. Funk-Freifeldreichweite: >100m
Versorgungsspannung: 2x 1.5V LR6/AA (typ. 2 Jahre)

 

Heizkörper Neubau: Brötje mit Thermostatkopf Danfoss RA Klemmsystem mit 4 Kerben (20 oder 23 mm)
 Messingadapter bei https://www.meinhausshop.de/Adapter-messing-fuer-Danfoss-Ventile-RA
Handtuchheizkörper Bad: Thermostat M30x1.5

 

Apps (Windows):

Die Software läßt sich nur aus dem Internet per PDA-App oder Portal steuern, wenn die Max! Software nicht auf einem PC im LAN läuft.

 

Apps (Android):
Max! Remote /Johannes Utzig - komfortable direkte Steuerung des Max! Cube im LAN/WLAN ohne Internetportal mit Soll- und Ist-Temperatur. Hinweis: So lange die Max Cube Software läuft, akzeptiert der Cube keine weiteren Verbindungen. Software vorher beenden. (Kann komplett beendet werden.)

 

Produktlinien:

- ELV / eQ-3 Low-Cost: Max!
- bessere Linie mit vielen Sensoren, Aktoren usw: Homematic
- RWE Smart Home ist vom gleichen Anbieter.
Alle 3 Serien sind nicht zueinander kompatibel! (nur über FHEM o.ä.)
- Digitalstrom - simple Installation, hohe Flexibilität. Teuer.
- Homee, deutsches Startup - benutzerfreundlich und flexibel
- Apple Homematic - gut, teuer, Schnittstellen und Peripherie muß verschlüsseln und von Apple zertifiziert werden.
- Google (NEST) ...

 

Links:
http://www.techwriter.de/thema/hausauto.htm - privat, techn. Infos zu Homematic

 

Nutzungsideen:

- Zirkulationspumpe nur ein schalten, wenn jemand im Haus ist. (Bewegungs-/Türsensor, Schaltsteckdose)

 

Anleitung Thermostat (nicht Basic): Auf Ventile vom Typ RAV ist vor der Montage die Stößelverlängerung (F) auf den Ventilstift aufzusetzen. (ich habe RA!?)


MEQ1333544 Thermostat Globus
(Küche = zu heiss)
(26.1. zu Paul. Reset.)

MEQ1446190 Thermostat Globus
(Ben = zu heiss)
(26.1. zu Paul. 7.4.: Raum zu heiss, Thermostat schliesst nicht. M3 Mutter unter gelegt.)

MEQ1447098 Thermostat ELV
(Paul= OK. Manchmal keine Temp.Rückmeldung)
(26.1. zu Ben. Reset. 28.1.: Raum zu heiss, Thermostat schliesst nicht. 1.3.: M3 Mutter unter gelegt.)
(6/2016: Fehler F3 (Stellbereich zu klein) mehrfach.)

Gästezimmer neu: IEQ0186493
KiZi Paul: MEQ1331216
 

  • RESET mit Batterie raus/rein bei allen 3 Tasten gleichzeitig (!) ist ein Fingerbrecher
  • ANLERNEN: BOOST länger als 3 sek. drücken, dann hat man 30sek. Zeit


ioBroker:
Max! Cobe Adapter funktioniert gut!

FHEM:
define SCHIEBEN MAXLAN 192.168.24.220 ondemand

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-11-05 11:43


SPS Siemens Logo

Variablenspeicher (VM)
Übergabeschnittstelle für andere Komponenten

  • Parameter: Adressen 0 - 850  (frei nutzbar)
  • System: Adressen 984 - 1002  (Read Only)
  • Ein-/Ausgänge Adressen 1024 - 1469

Webeditor

Übergabe-Variablen
• SoftComfort unter Extras -> Parameter-VM-Zuordnung definieren.
 SoftComfort: Block - Parameter - Typ (Word) - Adresse (2)
• LWE: Tagtabelle anlegen, dann kann die Variable über den sprechenden Variablennamen gewählt werden.
 LWE: Variablentyp (VW) - Block Nummer (2)

I1 - I24 (Eingang, schreibgeschützt)
Q1 - Q20 (Ausgang)
V - Bit  (0.0 ... 850.7)
VB - Byte  (0 ... 850)  (1 Byte)
VW - Word  (0 ... 849)  (2 Byte)
VD - DWord  (0 ... 847)  (4 Byte)
Merker müssen nicht als Übergabevariablen definiert werden.
M1 - M64 (Merker)
AM1 - AM64 (Analog Merker)

Variablen Blockformat "Signed" - nur positive Werte, für Minus-Temperaturen: "Unsigned".
Änderungen bei Variablen: Webseite Cache löschen!

Meldetexte -> Meldeziel: Webserver anhaken, dann wird das Display im Standard Webserver angezeigt.

Eigene Bilder hinzufügen: LWE als Admin starten, Bild(er) in "My Graph" hochladen (liegt nicht in Klartext af der HD).

Netzwerkprojekt
- Firmware aktualisieren
- S7-Zugriff aktivieren
- Projekte in Netzwerk-Fenster schieben -> Netzwerkprojekt
- Arbeitsfläche teilen, Projekte li + re anordnen
- Verbindungen von einem Fenster in das andere ziehen -> erstellt Netzwerkeingang und -ausgang

Cursor-Tasten
- Bedienen mit [ESC] + [Cursortaste]
- geht nur bei aktivem Meldetext

Meldetext
Zeichensatz 1/2 schaltet zwischen zwei verschiedenen Meldetexten um.
 Merker M27 schaltet die Zeichensätze um.
Priorität der Meldetexte bestimmt, welcher Meldetext welchen übersteuert.
Ticker können zeichenweise oder seitenweise "laufen".
 Dazu schreibt man den Text rechts weiter und aktiviert die Zeile im Ticker.
 Die Geschwindigkeit kann zentral eingestellt werden.

UDF - User Defined Function
- UDF konfigurieren: Ordner hinzu fügen
- keine Ein- und Ausgänge (absolute Zuweisung) in UDF
- UDF-Eigenschaften: Namen für Ein- und Ausgänge festlegen
- UDF-Eigenschaften: Parameter der Bausteine können aus der UDF geführt werden
- UDF-Eigenschaften: Anmerkung wird bei Einfügen der UDF angezeigt
- UDF bearbeiten geht nur in der Bibliothek
- UDF mit Ausrufezeichen wurde verändert -> aktualisieren

Versionen
6ED1052-XXXXX-0BA8 FS1-FS03 = Hardwardtype 0BA8.Standard (LOGO!8.0).
6ED1052-XXXXX-0BA8 FS4-FS06 = Hardwardtype LOGO!8.FS4 (LOGO!8.1).
6ED1052-XXX08-0BA0 FS1-FS02 = Hardwardtype LOGO!8.FS4 (LOGO!8.2) (FW: 1.82.04)
6ED1052-XXX08-0BA1 = Hardwardtype LOGO!8. (LOGO!8.3) (FW: 1.83.01)

logo!-soft-comfort-upgrade-v8.4 (12/2023)

Verfasser: U.Kernchen
Letzte Änderung: 2024-05-08 10:40


Fronius Wechselrichter

Admin - Passwort kann im Solarweb Portal unter Einstellungen -> Komponenten -> Datenquellen -> Aktionen -> „PIN/Customer Passwort zurücksetzen“ neu gesetzt werden.

Service - Passwort kann nur über Fronius Partner zurück gesetzt werden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-01-20 01:41


DIY: Shelly Verknüpfung mit Alexa

Shelly Geräte sind preiswert und vielseitig.

Erstinstallation:

  • Shelly (neues oder restettetes Gerät) baut eigenes WLAN auf
  • im Shelly-WLAN anmelden, per Browser Gerät einrichten

Man kann per Shelly Skin (bulg.Cloud) mit Alexa (US-Cloud) viele Shelly-Aktoren steuern.
Umgekehrt (als Sensor über die Cloud) ist es leider stark eingeschränkt.
Man kann mit Shelly max. 3 Aktionen bei Alexa auslösen.

Stand 08/2022 unterstützt Shelly maximal 3(!) "Notifications" mit einem Alexa-Konto.
Hat man beispielsweise den Shelly Plus i4, so kann man mit diesem 4-fach Schalter nur eine Aktion "Schalter1-AN" und eine Aktion "Schalter1-Aus" per Shelly-Cloud an Alexa konfigurieren, insgesamt also 1,5 von 4 Schaltern.
Im Taster-Mode könnte man wenigstens noch 3 Tasten nutzen, wenn man auf die erweiterten Funktionen wie langer Druck oder Doppeldruck verzichtet.
Die Einschränkung betrifft den gesamten Shelly-Account, nicht ein einzelnes Gerät.

Shelly funktioniert mit der original Firmware auch lokal mit ioBroker (Shelly Adapter).
Damit entfallen die Cloud-Restriktionen von oben.

Anders lösen das die geflashten Geräte mit Tasmota-Firmware.
Sie werden ohne Skill direkt von Alexa gefunden und reagieren schneller und sicherer.
Die Verbindung als Sensoren zu Alexa konnte ich hier bisher nicht lösen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-01-19 19:16


Tasmota Firmware (Sonoff Schalter, ZigBee Smart Hub)

Sonoff-Geräte lassen sich mit Tasmota-Firmware direkt ohne (chinesische) Sonoff-Cloud nutzen.
Als WLAN-Schalter (Sensor und Aktor) lassen sie sich direkt betreiben oder mit MQTT Hausautomatisation verbinden.
Auch die Kopplung mit Alexa als Aktor funktioniert simpel ohne Skill (Alexa, schalte Sonoff:Lampe-1 an...).
Zur Steuerung über Alexa oder Google Home einfach unter Configuration -> Configure Other -> Emulation: "Hue Bridge multi device" anhaken.
Kopplung mit ioBroker über MQTT.
Neuerdings auch für Zigbee.

Tasmota Smart Switch einrichten:

  • min. 230V an die Schraubklemmen L und N anschliessen
  • die offizielle Sonoff eWeLink-App funktioniert mit Tasmota nicht!
  • Taster am Sonoff Schalter 4 mal kurz drücken (startet den internen WLAN Access Point)
  • WLAN fähiges Endgerät mit Internetbrowser mit dem Access Point des Sonoff Gerätes verbinden (SSID "Sonoff-xxxx")
  • Browser IP Adresse "192.168.4.1" aufrufen öffnet die Konfigurationsoberfläche des Sonoff Schalters
  • WLAN-Netzwerk suchen und auswählen
  • Im Feld "Hostname" kann ein Name für den WLAN Client eingegeben werden (hilft diesen Client im (W)LAN zu finden)
  • Sonstige Konfiguration: Passwort setzen! (User= admin)
  • wenn keine Hausautomatisierungs-Software genutzt wird, MQTT deaktivieren! (schneller)
  • einfache Alexa-Kopplung mit WeMo und Hue-Emulation (testen: Belkin WeMo)
  • "Speichern" speichert die Einstellungen und startet das Sonoff Gerät mit den gespeicherten Einstellungen neu

Tasmota ZigBee Smart Hub eWeLink ZB-GW03-V1.2 einrichten:

  • Stromversorgung über USB-C
  • ESP32 CPU 240 MHz
  • WiFi 802.11 b/g/n 2,4 GHz
  • ZigBee 802.15.4 (3.0), max. 120 Devices
  • Ethernet 10/100 Mb/s Wired Gateway
  • Gerät im LAN / WLAN suchen
  • Browser IP "192.168.4.1" aufrufen öffnet die Konfigurationsoberfläche
  • WLAN konfigurieren
  • Hostname konfigurieren
  • Sonstige Konfiguration: Passwort setzen! (User= admin)
  • MQTT aktivieren, MQTT User+PW, Host= IOBroker-IP
  • IoBroker: Zigbee2MQTT-Instanz einrichten (... in Arbeit ...)
  • tcp://tasmota-gateway-C25584-5508.local:80  (tasmota-gateway-c25584-5508-eth.intern)
  • Tasmota 12.5.0, Zigbee: EZSP v6.7.9.0

Sonoff mit Tasmota:

  • Geräte reagieren schneller
  • einfache Weboberfläche zum konfigurieren, Firmwareupdate, Statusanzeige
  • arbeiten nicht mit Amazon S3 Cloud
  • arbeitet nicht mit Sonoff-Cloud
  • folglich höherer Durchsatz und sicherer
  • MQTT-Standardprotokoll implementiert, kompatibel zu zahlreichen Hausautomatisierungssystemen, lokal (ioBroker, openHAB, FHEM, NodeRed, Home Assistant, Domoticz)
  • kompatibel zu Amazon Alexa ohne extra Skill
  • auch Tuya Geräte können Tasmota
  • SONOFF DUAL R3 kann mit Tasmota schalten UND Leistung messen (nicht ODER)

Quellen und Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-11-19 08:44


Split-Klimagerät an Smart-Home anbinden

Dimstal / Midea Split Klimagerät
mit WLAN-Stick Nethome Plus EU-OSK103

  • Klimagerät in AP-Mode versetzen
  • Gerät in Nethome Plus App einbinden
  • Nethome Plus App mit Amazon Alexa, Google Home oder IFTTT verbinden
  • Alexa App: neues Gerät hinzu fügen (Klimagerät wird erkannt)
  • Alexa App: neue Szene erstellen, Ereignis (Bsp: Solarstrom) Aktion: Schalte (Klima-Splitgerät) ein/aus/Mode/Temperatur...

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-09-18 14:01


ioBroker

Installation:

  • OS: Ubuntu 22 inst.
  • IP konfigurieren
  • CURL installieren: sudo apt install curl
  • NodeJS inst: curl -sLf https://deb.nodesource.com/setup_16.x | sudo -E bash -
    sudo apt-get install -y nodejs (nicht mehr erforderlich, danke für den Hinweis)
  • IOBroker mit Curl installieren: curl -sLf https://iobroker.net/install.sh | bash -
  • IOBroker starten mit http://[ip-adresse]:8081
  • Auge: Discovery Adapter, Netzwerkscan

Aktualisieren:

  • sudo apt-get update && sudo apt-get dist-upgrade
  • iobroker update
  • iobroker upgrade
  • iobroker stop && iobroker fix -   -> ioBroker Installationsfixer
  • iob nodejs-update - Node.js Update

ioBroker CLI Kommandos: https://iobroker.readthedocs.io/de/latest/basics/cli.html?highlight=json

Backup bzw. Programm umziehen mit Backitup
• Backitup Adapter auf alter und neuer Installation installieren
• History Datenpfad konfigurieren: /opt/iobroker/iobroker-data/history
• je nach Installation min. ioBroker und History Backup auswählen und auf altem und neuem PC einmal ausführen
• /opt/iobroker/backups/ - aktuellstes Backup auf neuen PC an gleiche Stelle übertragen
• auf neuem PC Backup (lokal) wiederherstellen (dauert eine Weile)
• im Idealfall gleiche IP wie Quellgerät nutzen
• alle Instanzen starten
Der Umzug ist fertig.
• Backup: NAS oder Cloud konfigurieren

Grundsätzliches

  • Variablen sind temporär im Speicher. Sie lassen sich nur im selben Script nutzen.
  • Datenpunkte liegen im Objektbaum und können übergreifend genutzt werden. Sie bleiben auch beim ioBroker-Neustart erhalten.
    Eigene User-Datenpunkte liegen in bzw. unter "0_userdata/0/".
    Zu Datenpunkten lassen sich Einheit, Min., Max und Steps definieren.
  • Werte werden vom Programm im Normalfall ohne Bestätigung (bestaetigt=false) gesetzt. (rot)
    Das Gerät erkennt am unbestätigten Wert, dass es eine Aktion ausführen soll
    Nach der Aktion bestätigt das Gerät den Wert. (grün)
    Blockly:
    * Adapter steuern: "steuere ID..." (setzt Ack=fasle)
    * Datenpunkt aktualisieren: "aktualisiere ID.."
  • Datenpunkt JSON: hifreich ist JSON Online-Viewer

VIS Objekte in andere Views kopieren
• funktioniert nicht über das GUI-Menue, dann werden die Objekte immer in der Quell-View eingefügt
• mit Strg-C / Strg-V funktioniert es korrekt

Berechnungen mit Bindings in VIS
HTML-Widget: Datenpunkt einer Variable zuweisen, dann rechnen.
(Der Editor zeigt die Ergebnisse nicht an, erst der View.)
{var1:fronius.1.meter.2.PowerReal_P_Sum;var1/1000} kW

math.Runden mit (2) Nachkommastellen:
{wert:Eigene.0.Timer;parseInt(wert).toFixed(2)}

Wenn-Dann Abfrage:
{wert:Eigene.0.Binding; wert > 5 ? "der Wert ist größer als 5":""}

Gesetzt oder leer - Abfrage:
{wert:Eigene.0.Binding; wert ? "gesetzt" : "leer"}

Wahr-Falsch Abfrage:
{wert:Eigene.0.Binding; wert === "true" ? "wahr" : "falsch"}

If-When-Else Abfrage:
{wert:Eigene.0.Binding; wert > 5 ? "der Wert ist größer als 5" : "der Wert ist kleiner als 5"}

If-AND-If ELSE Abfrage
{wert:Eigene.0.Binding; wert > 5 && wert < 10 ? "der Wert ist größer als 5 oder kleiner als 10":"der Wert liegt nicht im definierten Bereich"}

Farben (rot/grün) bedingungsabhängig setzen
(Bedingung in das Color-Attribut des Widgets setzen)
{wert:Eigene.0.Binding; wert > 5 ? "#ff0000" : "#00ff00"}

Ausgabe Teilstring (Start, Anzahl)
{wert:Eigene.0.Binding; wert.substring(0,4)}

Vollständige Liste: https://github.com/ioBroker/ioBroker.vis#bindings-of-objects
Quellen: https://www.machs-smart.de/iobroker-bindings-farben-berechnungen-abfragen/

Arbeiten mit Blockly:

  • Scripte werden sofort 1x beim Script-Start ausgeführt -> Start über Trigger
  • Funktionen können Logikblöcke zusammen fassen
  • steuere schreibt den neuen Wert mit Bestätigt: false
  • aktualisiere schreibt den neuen Wert mit Bestätigt: true
    1. Ein neuer Workflow wird angestoßen, indem ein Datenpunkt mit Bestätigt = false geschrieben wird
    2. Diese Änderung registriert dann ein Adapter, welcher diesen Datenpunkt “überwacht” (subscribe)
    3. Der Adapter macht daraufhin seine Arbeit und
    4. schreibt danach den Datenpunkt erneut(!!!) / bestätigt den Wert mit einem Update Bestätigt: true
  • "anerkannt ist" meint dieses "Bestätigt"-Flag:

  • Trigger mehrfach aufrufen startet ihn auch mehrfach! Stop Trigger in Schleifen nicht vergessen.
  • Adapter reagieren nur auf unbestätigte Änderungen und bestätigen diese.
    Bestätigte Reaktion des Adapters abfragen: Objekt= wurde aktualisiert, anerkannt ist= Update
  • Nicht überwachte eigene Datenpunkte (ohne Adapter) müssen per "Bestätigter Änderung" gesetzt werden.
    Eigene Datenpunkte per Script bestätigen:
    TRIGGER falls Objekt= wurde geändert, anerkannt ist= Befehl, Aktion= Aktualisiere Objekt mit "Wert" mit Verzögerung 1sek.
    Quelle: https://haus-automatisierung.com/software/iobroker/2021/02/02/iobroker-steuere-aktualisiere-bestaetigt.html

ALEXA Routine steuert ioBroker
1. Routine in Alexa anlegen, Bedingung: gewünschter Steuer-Text, Aktion benutzerdefiniert: Sprachausgabe "stopp"
2. ioBroker/Blockly Script fragt Datenpunkt "alexa/history/summary" ab (Text der Alexa-Routine) und ggf. noch "alexa/hiostory/name" (Echo Device Name)
Quelle: (statisches) Alexa Kommando ohne Cloud (iobroker.net)


meine Adapter:

  • Visualisation  (Community Lizenz kostenlos, wird online geprüft)
  • Javascript / Blockly - Scripting
  • History - Historie-Daten (JSON-basiert, Speicherdauer (1 Jahr), Verzeichnis festlegen)
    oder SQL-Protokollierung - (SQL-DB: MySQL, PostgreSQL, MS-SQL oder SQLite3)
    für beliebige Datenpunkte im Objektbaum aktivierbar
  • Flot - zur grafischen Auswertung der History-Daten
  • Fronius Inverter (fronius.0, fronius.1) - Solar Wechselrichter + SmartMeter
  • Maxx! Cube (maxcube.0) - Heizkörperthermostate
  • Midea und Carrier- Dimstal, Nethome klimageräte
  • Tuya - WLAN Thermometer, Gosund Steckdosen
  • Shelly - Shelly Adapter
  • Alexa 2 - Sprachsteuerung
  • OpenWeatherMap - Wetterpunkte im Objektbaum, lassen sich prima scripten, mit Windstärke und Richtung
  • auch cool: https://www.wetteronline.de/wetter-widget konfigurieren, iFrame Code in manuellen Datenpunkt (Wert) einfügen und per Widget String(unescaped) fertig einbinden

    Liste aller Adapter: http://download.iobroker.net/list.html

    Nach meinem Empfinden Mist:
  • XTerm - Shell-Befehle auf dem ioBroker Host (sinnlos: kein iobroker stop o.ä.)


"Datum-Objekt" - gibt Datum + Zeit im UNIX Timestamp-Format in ms aus.
Man kann direkt damit rechnen und vergleichen.
1 Sekunde = 1.000 ms
1 Minute = 60.000 ms
1 Stunde (60 Minuten) = 3.600.000 ms
1 Tag = 86.400.000 ms

Quellen:

Tests:

  • Dimstal Midea Klimageräte: Adapter: Homebridge Zubehör Manager
  • danach erscheint links im Menue ein neuer Menuepunkt "Homebridge" und Objekte: ham/
  • Homebridge -> midea-air  (https://github.com/hillaliy/homebridge-midea-air)
  • besser geht es über Alexa / Smart-Home-Devices

Test2:
Bei der Siemens Logo8 (S7-Adapter) brauchst du nur bei DB was eintragen.
Du kannst Netzwerk Eingänge und Ausgänge in dein Logo-Programm hinzufügen. Die Adresse die du da einstellst musst du bei den DB eintragen
z.b. Netzwerk Eingang 0.0 --> DB0.0 Typ: bool
usw.

Du kannst auch Ausgänge lesen
Q0 --> db1065.0
Q1 --> db1065.1
Typ: bool

Eingänge
E0 --> db1025.0
E1 --> db1025.1
Typ: bool

Analogwerte schreiben und lesen geht auch.

Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-05 12:27


Meine Haustechnik

Meine Heizungssteuerung im Zeitstrahl, Erfahrungsbericht und Ergebnisse

2023
Änderungen und Verbrauchszahlen.
  • Der Heizölverbrauch konnte 2022 und nochmal 2023 deutlich gesenkt werden (intelligente Kesselsteuerung, E-Heizstab (Warmwasser + Pufferspeicher), Klimagerät, Absenkung der Puffertemperatur).
    Die Heizölkosten sind trotzdem auf Vorjahresniveau (gestiegene Ölpreise).
  • Der Stromeinkauf ist bis 2023 konstant. Mit dem Stromspeicher ab Mai 2023 sinkt der Stromeinkauf um >30%.
  • Den Strom-Eigenverbrauch aus Solarüberschuß konnte ich erheblich steigern. 2022 kamen die stufenlose Heizstab-Steuerung und 2 Klimageräte bei Solarüberschuß hinzu, 2023 der Akku und Warmwasser E-Durchlauferhitzer (siehe unten).
  • 2023 war wegen des extrem hohen Strompreises (54 ct/kWh) Heizen mit "Wärmepumpe" teurer als mit Heizöl (siehe 2022-08). Deshalb regelte ich 2023 die Klimageräte und Heizstäbe nur nach Solarüberschuß und nutze ansonsten Öl + Solarthermie. 2024 ist die "Wärmepumpe" auch ohne Solarüberschuß wieder meine günstigste Heizvariante.

Energieverbrauch Übersicht

Jahr 2017-2020
(p.m.)
2021 (3)
(p.m.)
2022
(p.m.)
2023
(p.m.)
2024
(p.m.) 
Heizöl (l/Monat)
Heizöl (EUR/Monat) 150,-
163,-
167,-
174,-
 
Stromeinkauf (kWh/Monat)
Stromeinkauf Kosten (EUR/Monat) (-) 91,- € (-) 82,- € (-) 117,- € (-) 70,75 €  
Stromverkauf (kWh/Monat)
Stromverkauf Gewinn (EUR/Monat) (+) 67,- € (+) 66,- € (+) 71,- € (+) 58,- €  
Stromverbrauch Haus (2) (kWh/Monat) 476 kWh 534 kWh 738 kWh 709 kWh  
Solar Eigenverbrauchsquote (1): 23% 29% 42% 52%  
Solar Autarkiequote (1): 40% 41% 58% 70%  
Energiekosten gesamt (EUR/Monat)
Stromeinkauf + Stromverkauf + Heizöl
174,- € 179,- € 213,- €  186,- €
 
Einkaufspreis:
Heizöl Kosten pro Liter
0,60 €
0,64 €
0,81 €
0,97 € 0,98 €
Einkaufspreis:
Stromkosten pro kWh
0,25 € 0,28 € 0,29 € (0,54 €)
0,40 € (5)
0,30 €
Energiebezug gesamt (kWh/Monat)
Stromeinkauf + Heizöl (4)
2.967 kWh 3.147 kWh 2.347 kWh 1.949 kWh
 

(1) Rechenweg Autarkie / Eigenverbrauch: siehe Solargrundlagen
(2) Stromverbrauch = Stromeinkauf + Solarerzeugung - Stromverkauf
(3) Corona, Familie monatelang zu Hause
(4) 1l Heizöl entspricht 9.8 kWh
(5) Strompreisbremse

2023-09
Warmwasser Elektro-Durchlauferhitzer installiert

Die komplette Wärmeversorgung über den 1.500l Brauchwasser-Pufferspeicher hat den Nachteil, dass dieses große Puffer-Volumen ganzjährig auf 50-60°C für die Warmwasser-Versorgung gehalten werden muß. Für die Heizung wäre oft eine viel geringere Temperatur ausreichend.
Deshalb wurde nun ein 3 kW Elektro-Durchlauferhitzer + Zweiwegemischer zur direkten Beheizung vor den 200l Warmwasserspeicher installiert.
Damit konnte die Brauchwasserspeicher-Mindesttemperatur wie folgt gesenkt werden:

  • Absenkung der Puffer-Mindesttemperatur im Sommer auf 37°C (Nacht) - 41°C (Tag), ausreichend für Fussbodenheizung
  • Absenkung der Puffer-Mindesttemperatur im Winter auf 45°C (Nacht) - 49°C (Tag), (automat. Außentemp.-Regelung geplant (*)) - jeweils mit einer Hysterese von 10°C, siehe "Ölkessel"
  • a) Pufferspeicher beheizt Warmwasserspeicher, wenn Puffertemp. > Warmwassertemp.
  • b) E-Durchlauferhitzer beheizt Warmwasserspeicher, wenn a) nicht erfüllt und Photovoltaik-Überschuss vorhanden
  • c) nach max. 72 Stunden wird das Warmwasser auf >60°C Legionellentemperatur erwärmt durch a) oder b) oder Ölbrenner

Ziel dieser Maßnahmen:

  • Ölofen: kein Betrieb von Mai - Sept. 2023, weniger Betrieb in den restlichen Monaten
  • Solarthermie springt durch niedrigere Puffertemperatur eher an und liefert mehr
  • wesentlich höheres Wärmevolumen kann durch Solarthermie im Puffer gespeichert werden (seltener Überhitzung)
  • maximale Nutzung des Photovoltaik-Überschusses

*) Nach 5 Monaten Test: Puffertemperatur 02/2024 umgestellt auf automatische Steuerung nach Außentemperatur.
  Mindesttemperatur (Nacht) bei Außentemp= -20°C -> 50°C ...bis... +40°C -> 30°C (linear)
  Formel: Puffertemperatur = Aussentemperatur * (-1) / 3 + 43K
  Mindesttemperatur (Tag) = Mindesttemperatur (Nacht) + 5K

2023-05
Stromspeicher installiert

Stromspeicher Li-Fe-Akku BYD HVS 7.7 kWh am Fronius Wechselrichter installiert.
Damit läßt sich (Stand Sommer 2023) der Strombezug vom Netz nahezu auf 0 senken.
Durch unsere Ost+Süd+West-Ausrichtung der PV-Anlage ist unsere Solar-Stromerzeugung (im Sommer) von 6 - 21 Uhr ausreichend.

Der Akku entlädt sich nachts durchschnittlich auf ca. 30% (Mai 2023).
Stand August 2023: selbst im Sommer ist der Akku aber gelegentlich nachts leer. Die 7.7 kWh sind also eher knapp.

Einen Tag ging im Mai die Kapazität nach einem schlechten Sonnentag bis auf 6% zurück und wir hatten nennenswerten Netzbezug.
Ab September kam das natürlich öfter vor.
Das Problem ist weniger die ungenügende Akku-Kapazität, sondern die Sonne reicht nicht für die Ladung.

2023-03
Warmwasser-Zirkulation per Bewegungserkennung
Einen erheblichen Anteil der Warmwasser-Kosten verursacht (u.a. laut Akkudokter A.Schmitz) die WW-Zirkulation.
Meine bisherige "lernende" Zirkulationssteuerng aktiviert(e) die Pumpe entsprechend den Entnahmezeiten vom Vortag.
Das funktionierte bei unseren wechselnden Verbrauchszeiten eher schlecht und führte zu Pumpenlaufzeiten von ca. 600 Minuten pro Tag.
03/2023: Umbau auf Bewegungserkennung. Bei Bewegung im langen Flur vor dem Bad wird die Zirkulationspumpe für 3 min. aktiviert. Nach max. 5 min. Zirkulation wird die Pumpe für 5 min. deaktiviert, weil die Leitungen dann schon warm sind. Daraus resultiert bei spürbar gestiegenem Komfort aktuell selbst am Wochende eine Zirkulationszeit von unter 150 Minuten pro Tag.
2022-11
Der E-Heizstab wird jetzt stufenlos geregelt.

Zwischenbilanz: Der E-Heizstab mit 4.5 kW ist im 1500l Pufferspeicher wenig effektiv.
Wegen der deutlich gestiegenen Energiepreise möchte ich trotzdem möglichst jeden Solar-Überschuß selbst verbrauchen.
Einspeisung macht wenig Sinn.
Da der Heizstab bisher nur in 2 Stufen zugeschaltet wurde, blieb viel Solarüberschuß ungenutzt (im linken Bild grau).
Im Winter fürchte ich, dass der Überschuß oft nicht zum Einschalten der 1.Schaltstufe genügt.

Eigenverbrauch (gelb) mit Heizstab über Relais Eigenverbrauch (gelb) mit Heizstab stufenlos über Thyristorsteller

 

Deshalb habe ich nun die 2x Relais gegen einen 3phasigen Thyristorsteller getauscht und regele stufenlos (0-10V).

Die Klimageräte behalten aber Priorität gegenüber dem Heizstab, denn sie sind (2022) viel effizienter.
Dafür läßt sich der Heizstab flinker dem Solarüberschuß nachregeln.

2022-08
Wärmepumpe für "Arme"

Recherche Nachrüstung Luft-Wasser-Wärmepumpe zum Anschluß an den vorhandenen Heizungskreis: ca. 35.000 EUR -> wirtschaftlich Unsinn.

Die Ideen von Andreas Schmitz inspirieren mich: Split-Klimageräte haben das gleiche Wirkprinzip wie große Wärmepumpen und sind durch den fehlenden Wasser-Wärmetauscher oft noch effektiver.
>>Hier meine Erfahrungen mit Split-Klimageräten<<.

2022-08: Inbetriebnahme erstes Split-Klimagerät 12.000 BTU, 3.5kW Wärmeleistung
2022-09: Inbetriebnahme zweites Split-Klimagerät 12.000 BTU, 3.5kW Wärmeleistung
Preis: ca. 550 EUR zuzügl. Einbau pro Gerät.
Die elektrische Leistungsaufnahme liegt bei 200W bis 1300W je nach angeforderter Heizleistung.
Nebenbei kühlen die Geräte im Sommer.

Die Klimageräte sollen je nach Preisentwicklung vorrangig als Solarüberschuß-Heizung genutzt werden.
Ich arbeite tags viel zu Hause und kann alle Zimmer "vorheizen".
Abends soll vorläufig die Ölheizung (mit Unterstützung durch Solarthermie und E-Heizstab) mit genutzt werden.
Die folgende Tabelle zeigt, dass die günstigere Variante je nach Tagespreis erheblich schwankt.
Unbestritten am Günstigsten ist immer das Heizen (tagsüber) mit Solar-Überschuß.

aktuelle Kosten mein Preis
(2022)
Kosten kWh (2022) mein Preis
(2023)
Kosten kWh
(2023)
Preis
(2024)
Kosten kWh
(2024)
Heizöl
(1l ≙ 10kWh Wärme)
81 ct / l 8,1 ct/kWh 97 ct / l
9,7 ct / kWh
98 ct / l 9,8 ct / kWh
Klimagerät
(1kW Strom ≙ 4kW Wärme)
28.39 ct / kWh 7,1 ct/kWh 54 ct / kWh 13,5 ct / kWh 30 ct / kWh 7,5 ct / kWh
Klimagerät
bei Solarüberschuss
Einspeisung:
12 ct/kWh
3 ct/kWh
Einspeisung:
12 ct/kWh
3 ct/kWh
  3 ct/kWh

Die Wärmepumpe reagiert träge und häufige Schaltvorgänge schaden der Lebensdauer des Gerätes.
Deshalb sind die Wärempumpen nicht geeignet für genaue Solarübschuß-Steuerung.

Meine Solarüberschuß-Steuerung für das Klimagerät war anfangs noch sehr krude und ging über 4 Geräte und 2 Clouds.
Das war zu der Zeit noch kein Problem, weil das Klimagerät da auch bei gekauftem Strom die günstigste Heizung war. Das heißt, ich muß das Klimagerät eigentlich nicht bei fehlender Sonne herab regeln.
2023 steuert ioBroker die Geräte direkt über den Fronius Adapter (Smartmeter-Werte) und den Dimstal Adapter (Steuerung Klimagerät).
2024 nutze ich die Klimageräte wieder ganztägig nach Bedarf.
Die Raumluft wird in wenigen Minuten warm, das ist sehr angenehm.

2022-03
Ukraine-Krieg + Russland-Embargo + Atomausstieg.
Öl- und Strompreise steigen zeitweise um ca. 100%.

Damit ändern sich alle Preiskalkulationen im Energiebereich deutlich.

2022-02
E-Heizstab (3x 1.5kW Dreieckschaltung) in Betrieb genommen.

Der Ölkessel ist erstmalig 4 Monate aus geblieben (Mai-August 2022),
die Warmwassererzeugung erfolgt nur über Thermie und E-Heizstab (bei Solar-Überschuß) im Pufferspeicher.

  • Fronius Smartmeter erfasst Energiebilanz am Zähler
  • SPS (Siemens Logo) erfasst Solarüberschuss über 3 Kontakte am Wechselrichter
  • SPS schaltet den E-Heizstab in 2 Stufen per Schütz
    (je nach Puffertemperatur, Uhrzeit, Solarthermie bei genügend Stromüberschuß)
2021-12
Der Ölkessel ist mir zu doof.
Der Brenner startet in kurzen Abständen und läuft nur kurz, selbst wenn die Thermie läuft.
  • Brenneransteuerung vom Ölkessel aufgetrennt und per SPS (Siemens Logo) geschaltet
  • neue Sensoren für SPS an Solarthermie, Pufferspeicher und Brenner
  • Brenner geht nur noch in Betrieb, wenn:
    - Puffertemperatur auf 43°C (Sommerbetrieb) abgesenkt.
    - Hysterese von 10 Grad eingerichtet. Der Kessel startete vorher deutlich zu oft.
    - kein Brennerstart (je nach Uhrzeit und Puffertemperatur), wenn die Solarthermie läuft
    - Legionellenschutz: nach spätestens 24 Std. fordert der Kessel einmalig 60°C.

Unser Ölverbrauch lag 2021 höher als im langjährigen Durchschnitt (Corona, siehe oben).
Einsparungen 2022 sind teilweise auch mit dem Pandemie-Ende verbunden.

2020-12
Die Ausgangssituation

Energieverbrauch und Kosten (Durchschnitt 2017-2020) siehe Tabelle oben.


Heizung-System
:

  • Ölheizung Vissmann, 21kW
  • Solarthermie, 10x VISSMANN SV2A Flachkollektoren, 25 qm
    mit VIESSMANN Vitosolic 100 Elektron. Temperatur-Differenz-Regelung (Puffer <-> Dach)
  • Pufferpeicher Cosmo CPU 1500l (Brauchwasser), wird befüllt von Ölheizung und Solarthermie
  • 1 Heizkreis Altbau mit direktem Pufferanschluß
  • 1 Heizkreis Neubau + 2x Fußbodenheizung Bad mit 3-Wege-Mischer
  • 1 Warmasser-Speicher 200l mit Pufferanschluß
    selbstlernende Zirkulationspumpe (rund um die Uhr)

Photovoltaik:

  • Ost: 5 kWp Heckert Solar 245/250 Wp
  • West 5 kWp Heckert Solar 245/250 Wp
  • Wechselrichter 8.2 kW Fronius Symo 8.2-3-M

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-21 15:22


Erfahrungen mit Split-Klimageräten

Seit Sommer 2022 nutze ich 2 Klima-Splitgeräte mit je 12.000 BTU und ca. 3.5kW Wärmeleistung zum Heizen und Kühlen. Klima-Splitgeräte sind "Wärmepumpen für Arme". Die Idee kommt von Wissenschaftler und Doktor der Ingenieurswissenschaften Andreas Schmitz.

  • Wirkungsgrad: sehr gut. 
    Split-Klimageräte arbeiten wie Wärmepumpen, je nach Gerätequalität und Außentemperatur mit SCOP-Faktor von 3 bis 5. Meine beiden Klimageräte erzeugen jeweils 3.5 kW Wärmeleistung bei einer Leistungsaufnahme bis ca. 1 kW.
    Durch die aktive Luftzirkulation und den hier nicht erforderlichen Warmwasser-Wärmetauscher einer zentralen Wärmepumpe ist das Split-Klimagerät eher effektiver als eine "große" Wärmepumpe.
  • Geräusche:
    Das Innengerät rauscht und vibriert leicht, aber das empfinde ich nicht als störend im Büro. Auch in der Stube wird es von der Familie akzeptiert. Im Schlafzimmer möchte ich das nicht.
    Das Außengerät höre ich durch mehrere Wände, wenn es startet. Es vibriert deutlich, gute Befestigung ist wichtig.
  • Verbrauch:
    Je nach Strom- und Ölpreis ist das Klimagerät preisgünstiger im Verbrauch als die Ölheizung. Im Photovoltaik-Betrieb sowieso.
    (siehe Meine Haustechnik)
  • Anschaffungskosten:
    Mit ca. 500 EUR pro Gerät + 200 EUR Klimatechniker sind die Anschaffungskosten gering im Vergleich zur "großen" Wärmepumpe. Außerdem sind die Geräte kurzfristig lieferbar und der Einbau ist vergleichsweise unkompliziert.
  • Steuerung / IoT:
    Die Geräte lassen sich per Infrarot-Fernbedienung und WLAN App steuern.
    Die App kann komfortabel per Alexa oder IoT (ioBroker) gesteuert werden. Eine Direktsteuerung ohne Hersteller-Cloud über WLAN ist mir bisher nur bei einem der beiden Geräte gelungen. Infrarot-Sender ist mir zu unpraktisch.
  • Laufverhalten:
    Die Inverter-Geräte schalten sich je nach Heizbedarf selbständig ein/aus und regeln ihre Leistung etwa zwischen 100W und 1000W.
    Der Raum ist sehr schnell erwärmt. Natürlich dauert es länger, bis die Wände warm sind. Das träge "Denken" eines Heizkörpers oder gar einer Fußbodenheizung ist nicht nötig. Beim Betreten des Büros schalte ich ein, beim Verlassen aus. Das (tags ungenutzte) Wohnzimmer heize ich bei Solarüberschuß automatisch per IoT vor, abends manuell.
  • Solarsteuerung:
    Für Steuerung (ein/aus) über Schaltkontakt der Stromversorgung sind die Geräte nicht geeignet. Außerdem altern die Geräte durch häufige Schaltzyklen.
    Ich schalte per ioBroker und WLAN je nach Solarüberschuß die Ziel-Temperatur zwischen 18 und 23 Grad bzw. Gerät ein/aus. Die Geräte reagieren sehr träge, mit ca. 2 min. Reaktionszeit muß man rechnen, bis sich der Stromverbrauch spürbar ändert. Ein flinkes Folgen von Solarspitzen ist damit nicht möglich. Aber die grobe Nutzung der Solarkurve ca. im 5-Minuten-Raster geht gut.
  • Kondenswasser:
    Innengerät (Kühlbetrieb) und Außengerät (Heizbetrieb) benötigen je eine Kondenswasserleitung mit Gefälle.
    Die Wassermenge ist nicht unerheblich, eine Schüssel genügt nicht. Ich nutze für ein Gerät in der Garage eine Wanne, die mir der Hund zum Glück regelmäßig aussäuft. Bei Entwässerung in Abwasserleitung Syphon nicht vergessen.
  • Winter:
    * Das Außengerät kühlt die Umgebung deutlich(!) ab. Meine riesige Garage/Scheune mit 10m x 10m über 3 Etagen hat ein Volumen von >1000qm. Sonst lagerten hier im Winter die Blumen, jetzt gefriert das Wasser. Das sollte man auch bei Warmwasser-Wärmepumpen im Abstellraum nicht unterschätzen.
    * Die Kondenswasserleitung darf im Außenbereich nicht zu lang bzw. dünn sein, weil sonst das Wasser darin einfriert.
    * Wärempumpen und Klima-Splitgeräte arbeiten nur bis zu einer min. Außentemperatur je nach Gerät von -10°C bis -20°C!
  • Installation:
    Die Verschraubungen am Innengerät sollen nicht im Gebäude sein, das ist bei ca. 30cm Rohrlänge am Innengerät und deutscher Wandstärke kaum möglich. Mein Klimatechniker hat die inneren Quick-Verschraubungen deshalb raus geschnitten und die Rohre verlötet. Man installiert dann das Innengerät mitsamt der Rohre von innen her. Die Wandmontage der Innengeräte finde ich für den Wohnbereich recht unausgegoren. Das Gerät läßt sich nicht beim Renovieren abmontieren wie ein Heizkörper. Ich schraube eine Holzplatte (mit Loch für die Leitungsführung) auf die Wand und montiere das Innengerät darauf. Das erleichtert zumindest das spätere Tapezieren etwas.
  • Fazit:
    Der E-Heizstab arbeitete flinker bei schwankendem Solarüberschuß als das Klimagerät, ist aber vom Wirkungsgrad blanke Energieverschwendung im Vergleich zum Split Klimagerät.
    Die Nutzung des Klimagerätes ist eine Umstellung, man heizt dezentral-punktuell und ohne Zeitverzug. Der Aufenthalt im Luftstrom ist unangenehm. Nach bisherigen Erfahrungen überzeugt mich die Technik. Die Ölheizung für die Grundlast in allen Räumen und auch eine Fußbodenheizung im Bad möchte ich trotzdem nicht missen. Die Doppel-Strategie macht unabhängiger.
    » Mehr zu meiner Haustechnik hier «

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-03-26 01:12


Solaranlage Grundlagen

  • Solar-Eigenverbrauch (kWh) = Solarerzeugung - Solarverkauf
  • Eigenverbrauchsquote (%) = Solar-Eigenverbrauch / Solarerzeugung * 100
  • Autarkiequote (%) = Solar-Eigenverbrauch / Gesamt Hausverbrauch * 100

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-11-28 15:52


DiY: Tuya Geräte

Tuya-Geräte sind ESP8266MOD WiFi/Zigbee- Smart-Geräte von Shenzhen Xenon.
WLAN geht nur im 2.4 GHz Netz, Zigbee ist aktuelle Version 3.0.
RESET-Taste auf der Geräteunterseite.

Der Tuya-Adapter in ioBroker arbeitet nicht lokal mit batteriebetriebenen Geräten.
https://www.npmjs.com/package/iobroker.tuya
Diese Geräte gehen nur mit Tuya IoT Platform MQTT.

Tuya-Adapter einrichten über SmartLife Cloud funktioniert. (Reset -> rote LED blinkt -> App Gerät hinzu fügen über WLAN)
(Einrichtung über Tuya-App funktioniert auch, aber es kommen keine Geräte im ioBroker.)
Steuerung mit SmartLive App ist besser, arbeitet mit Alexa oder Google Assist und ioBroker.

ioBroker: Tuya-Adapter über Smartlife-Cloud, Adapter neu starten liest neue Geräte ein)
SmartLife App kompatible Geräte: https://smart-leuchten.de/smart-life-app-kompatible-geraete/

Tuya Zigbee-Geräte funktionieren weitgehend auch über Phoscon USB-Stick cloudfrei.
Mit WLAN-Geräten geht der USB-Stick systembedingt nicht.

Geräte:

  • Zigbee-Gateway
    - Tuya Wired Gateway (DMD2CC): Gateway-IP ist sofort sichtbar, hat aber kein Webserver
    - Einbindung über SmartLife App geht problemlos
    - alle Geräte werden in Smartlife direkt und als Untergerät des Gateways angezeigt
    - als Gateway-Untergerät erscheinen Historiekurven und Programmierpläne
  • Tuya-Thermometer - WiFi Geräte haben Batterielaufzeiten von < 1 Jahr! Zigbee ist deutlich überlegen.
  • Tuya-Heizkörperthermostat
    - komfortabler Wochenplan über das Gateway
    - im Unterschied zu anderen Thermostaten werden die Ist-Werte lückenlos an Smarthome übertragen
  • Gosund Steckdosen
  • Zigbee Rauchmelder

siehe auch:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-06 21:09


Home Assistant (hass.io)

  • mit eigenem OS-Unterbau "Home Assistent OS" (sehr robust, Docker containerbasierend), auch als VM oder Docker für alle gängigen OS  (https://www.home-assistant.io/installation/)
  • Produktsprache englisch, Open Source
  • Konfiguration teilweise nur mit YAML und Config-Files
  • aktuell größte Geräteunterstützung
  • mit extra Energie-Dashboard

Tips:

  • feste IP konfigurieren (Aufruf: IP-Adresse:8123)
  • Profil: "Erweiteren Modus" aktivieren
  • Backup einrichten (Einstellungen -> System -> Backups)
  • HA Core neu starten: Entwicklerwerkzeuge: Konfiguration erst prüfen, erst dann neu starten
  • HA gesamten Host neu starten: Einstellungen -> System -> Hardware -> re.oben System neu starten

Grundlagen:

  • Dashboards per Default automatisch, besser manuell (es werden dann keine neuen Entitäten mehr automatisch hinzu gefügt)
  • Karten - Entitäten des Dashboards
  • Bereiche - Räume
  • Gerät - phys. Gerät, können mehrere Entitäten haben, kann durch mehrere Integrationen erkannt werden
  • Entität - ein Datenpunkt oder Dienst eines Gerätes, kann ggf. mehrere Attribute enthalten
  • Integrationen - offizell und HACS (Community)
  • Entwicklerwerkzeuge / Zustände - zeigt alle Entitäten + mögliche Zustände (mit Suche eingrenzen)
  • Automatisierung (Einstellungen -> Automatisierungen) - manuell oder per Vorlage

Add-Ons:

  • SSH & Web Terminal (in Seitenleiste anzeigen) - Fernzugriff auf hass.io im Fehlerfall (-> SSH-Passwort muss konfiguriert werden!)
  • Samba Share - Freigabe von Backup und Konfig
  • File Editor (in Seitenleiste anzeigen) - zum Bearbeiten u.a. der YAML-Dateien
  • ESP Home - managed alle ESP8266/ESP32 devices
  • Zigbee2MQTT - Homekit Integration

Integration:

  • OpenWheatherMap (free account)

 

Quellen:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-01-19 21:45


Software » Backup

Backup: Veeam Backup

Zum 1. Juli 2022 stellt Veeam den Verkauf von unbefristeten sockelbasierten Lizenzen für alle Editionen der Veeam Availability Suite™, von Veeam Backup & Replication™, Veeam Backup Essentials™ und Veeam ONE™ an Neu- und Bestandskunden ein und bietet Veeam Universal License (VUL) Mietlizenzen an.
https://uwe-kernchen.de/netdesign/veeam-stellt-vollstaendig-auf-mietlizenzen-um

Zum 1. Januar 2021 stellte Veeam den Verkauf der Standard und Enterprise Edition sockelbasierter (Dauer-)Lizenzen ein.
Auch der Standardsupport für Veeam Backup & Replication™- und Veeam Availability Suite™-Produkte für Neukunden und Bestandskunden ohne sockelbasierte Lizenzen wird nicht weitergeführt.
Neukunden können sockelbasierte Lizenzen künftig ausschließlich für die Enterprise Plus Edition dieser Produkte erwerben, die 24x7x365 Production‑Support beinhaltet.
Bestandskunden mit sockelbasierten Lizenzen sind von dieser Änderung nicht betroffen. Sie können ihre Produkte in der bisherigen Edition und mit ihrem aktuellen Supportvertrag weiter nutzen und auch verlängern.
Sockellizenzen für Veeam Backup Essentials™ und Management Pack bleiben für alle Kunden von der Änderung ausgenommen.

Veeam Agent for Microsoft Windows (6.0) (2023)

  • Veeam Agent v.6 läuft nicht mit Veeam B&R v.11!

Veeam Backup & Replication 12 (05/2023)
siehe: Upgrade Checklist - User Guide for VMware vSphere (veeam.com)

  • "Transform Backup Chains" in Reverse Backups werden nicht unterstützt
  • VMWare ESX und vCenter min. V.6.0
  • Are you using File to Tape jobs? They have been reengineered for scalability and are no longer free with Veeam Backup & Replication 12. You will have a grace period of 3 months following the upgrade to Veeam Backup & Replication 12 during which your existing jobs will not consume a license.
  • Veeam Backup & Replication 12 supports protecting NAS backups with Backup to Tape jobs
  • Veeam Backup Essentials heisst jetzt Veeam Data Platform Essentials

Veeam Backup & Replication 11a (10/2021)

  • Support für MS Server 2022 und MS Windows 10 Fkt. 21H1
  • MS Windows 11 ready (basierend auf Pre-Releases)
  • Microsoft Azure Stack HCI version 21H2 Support
  • RHEL/CentOS 8.4, Ubuntu 21.04, Debian 11, SLES 15 SP3, OpenSUSE Leap 15.3, Fedora 34 Support
  • VMware Cloud Director 10.3 Support
  • VMware VMC 15 support
  • VMware vSphere 7.0 U3 readiness based on the pre-release build
  • cloudbasierte Unterstützung für AWS, Microsoft Azure und Google Cloud Platform
  • Continuous Data Protection (CDP)

Veeam Data Platform Essentials (vor V.12: Veeam Backup Essentials)

  • enthält alle Features von Veeam Backup & Replication
  • enthält alle Monitoring-, Reporting- und Kapazitätsplanungs-Tools von Veeam ONE
    Erhältlich sind unbefristete Lizenzen für 2 - 6 CPU-Sockel und ein- bis fünfjährige Abonnementlizenzen (Lizenzierung pro VM in 5-VM-Bundles) für bis zu 50 VMs. Die Essentials Lizenz ist limitiert auf 6 Sockel pro Firma.
  • Vertrieb als "Veeam Backup Essentials Universal License" (max 50 Workloads) oder "Veeam Backup Essentials Socket License" (max. 6 CPUs).

Veeam Backup Community Edition

- kostenlos für privat und kommerzielle Nutzung
- bis zu 10 "Workloads" pro Instanz: beliebigen Kombination aus VMs, Cloud-Instanzen, physischen Servern oder Workstations
- 1 Server
- 1 Backup-Job
- Sicherung auf NAS, Tape, Bandbibliotheken
https://www.veeam.com/de/virtual-machine-backup-solution-free.html

Aufrüstung auf Starter-Edition: bis zu 20 Workstations.
Zum 1. Oktober 2020 stellt Veeam den Vertrieb der Starter-Edition ein.
Die bestehenden Lizenzen werden bis Version 11 weiter unsterstützt.

Veeam Agent for Microsoft Windows (5.0) (2022)

- sichert physische Maschinen, einzelne Laufwerke, Verzeichnisse oder Dateien ab Windows 7 / 2008R2 bis Windows 10 / Server 2019 auf Wechseldatenträger, Laufwerke, NAS oder Veeam Backup Repository, mit lizenziertem Agent auch auf MS OneDrive.
- mit bootfähiger Wiederherstellungs-ISO, Bare Metal Recovery, Zuwachssicherung, Verschlüsselung
- Aufbewahrung nach Anzahl der Tage, Serverversion nach Anzahl der Widerherstellungspunkte
Veeam Agent für MS Windows gibt es als Free-, Workstation- und Serverversion.
Die Free-Edition sichert nicht in die Cloud und eingeschränkt in MS OneDrive.
Außerdem erlaubt sie nur einen Backup-Job sowie keine synthetischen Vollbackups.
Nur die Server-Version kann wöchentliche oder monatliche Backup-Pläne.
Mit der kostenpflichtigen Agent-Version läßt sich das Backup nicht nur vom Client, sondern in Verbindung mit Veeam B&R auch zentral steuern.
Das Backup eines physischen Servers mit der kostenlosen B&R Community-Edition ist ohne Agent-Lizenz möglich.
Die Oberfläche ist englisch.
Versionsübersicht: https://www.veeam.com/de/products-edition-comparison.html
Die älteste Version (Endpoint Backup 1.0) unterstützt Windows ab Win7 SP1.

Tips:

Veeam One Free - no restrictions on the number of hosts, management servers and Failover Clusters you can monitor and report
http://www.veeam.com/virtual-server-management-one-free.html


Veeam Backup Dateitypen:

-.vbk Vollbackup.
-.vib Incrementelle Sicherungen nach dem Vollbackup, die sich auf die vorherige .VBK Sicherung beziehen.
-.vrb Incrementelle Sicherungen vor dem Vollbackup, die sich auf die nachfolgende .VBK Sicherung beziehen.
-.vbm enthält Backup Metadaten und beschleunigt viele Operationen (z.Bsp. Import of backup files). Dateien sind nicht erforderlich für ein Restore.

Veeam B&R Server ist nur für Windows verfügbar.
Es lassen sich aber alle von VMWare/Hyper-V/Nutanix/KVM unterstützen OS sichern.

Hinweis: Nach Instant Recovery "Migrate to Production" nicht vergessen!

Veeam Backup Job - für Zweit-Backup, WAN-Backup, setzt nach Unterbrechung fort.

Alle Veeam-Dienste beenden mit Powershell: Get-Service veeam* | Stop-Service

Notfall - Wiederherstellung
Praxis Tips

  • Veeam B&R läßt sich problemlos ohne Lizenz als Community Edition auf beliebigen Windows PC installieren (Installationszeit: ca. 50 min!)
  • Backup-PC / Windows vorbereiten: keine Updates (kein Internet), kein Energiesparen während Restore
  • die Rücksicherung funktioniert auch als Communtiy Edition auf einen Host aus einem vCenter-Verbund
  • Restore von Tape (Library) geht mit der Community Edition nicht (Lizenz erforderlich, Tape-Server muß ggf. eingebunden werden)
  • VMWare Host (Zielserver) muß mindestens die ESX VM-Version der Quell-VM haben
  • die Wiederherstellung von 2 TB dauert (je nach Hardware und Anbindung) ca. 24 Stunden
  • vorhandene Backups (Backup Repository) werden vom NAS relativ schnell ohne vorhandene Datenbank neu eingelesen, auf die Veeam SQL-Datenbank kann dazu verzichtet werden
  • Tapes oder Librarys wieder einlesen: https://helpcenter.veeam.com/docs/backup/vsphere/cataloging_tapes.html

Veeam SQL Express DB verkleinern / 10GB voll:
(C:\Program Files\Microsoft SQL Server\MSSQL13.VEEAMSQL2016\MSSQL\DATA\VeeamBackup.mdf und VeeamBackup_log.ldf)
- Veeam History (Default: 52 Wochen) kürzen
- SQL Management Studio:
  * Datenbank schrumpfen: Shrink Datenbank + Files (Veeam Dienste stoppen)
  * alte Sessions löschen: VeeamBackup / Programmability / Stored Procedures / DropStoppedOldJobSessions -> Execute Stored Procedure, Value: Tage (Bsp. 10) eintragen
  * größte Dateien suchen: VeeamBackup / Reports / Standard Reports / Disk Usage by Top Tables
  * wenn gar nichts mehr frei ist: SQL: TRUNCATE TABLE [VeeamBackup].[dbo].[Tombstones.Backups]
  * Clear Old Job Sessions KB1995: Veeam Backup & Replication console slow or unresponsive
- Removing Tapes from Catalog Removing Tapes from Catalog - User Guide for VMware vSphere (veeam.com)
  (File-to-Tape Jobs belegen sehr großen Katalog)
- ganzen Katalog verwerfen: Restore Backup-Datenbank, Katalog nicht auswählen

Patche und Updates:
http://www.veeam.com/patches.html


Versionshistorie

Veeam Backup & Replication 11 (02/2021)

  • Verwendung der Backup Konsole ohne lokale Admin-Rechte
  • individuelle Filter und Ansichten für die Backup Konsole
  • gehärtete Linux Backup Repositorys zum Schutz vor Malware (Schutz gegen Löschen oder Überschreiben)

VBR 11 fordert per Default Verschlüsselung des Configuration Backups.

Veeam Backup & Replication 10a (07/2020)

  • Support für Windows 10 Build 2004 als Gast, Hypervisor oder Server
  • Microsoft Exchange 2019 MetaCacheDatabase (MCDB) configurations support
  • ReFS integration als Default Backup Repository

Veeam Backup & Replication 10 (02/2020)

Leistungsstarkes, zuverlässiges Backup-Programm besonders für virtuelle Umgebungen.
- Kompression und Deduplizierung
- Backup, Restore, Replikation, Copy-Jobs
- Verfügbar als Kauf- oder Mietversion

  • Sockel-Preis bis 50% höher (Dauerlizenz)
  • VUL-Preis bis 33% niedriger (Subscription, Abo)
  • Pro-Sockel-Kunden erhalten 1 VUL-Lizenz pro Sockel (bis zu 6) dauerhaft kostenfrei
  • VUL haben generell Enterprise-Funktionsumfang
  • Essentials-Version: Preis gilt für 1 Sockel, Mindestverkauf 2 Sockel
  • gemietete Software ist inclusive Wartung und stellt 1 Monat nach Vertragsablauf die Funktion ein

Über 100 neue Funktionen wie:

  • Objekt-Storage kann richtlinienbasiert ältere Daten auf andere Storages auslagern (S3-kompatibel)
  • neues leistungsstarkes NAS-Backup auf kurzfristig / langfristig / sekundär Speicher
  • Backup Kopie Spiegelung
  • Instant Recovery auch von physischen Servern in VMWare

Veeam B&R 9.5 U4 (01/2019)

  • Plug-ins für SAP HANA und Oracle RMAN
  • Veeam Cloud Tier: (Eine weitere Storage-Option im Rahmen des Scale-out-Repository, nutzt Amazon S3, Azure Blob Storage oder S3-kompatible Services für die Langezeit­archivierung)
  • Veeam DataLabs: (Nachfolger für Virtual Labs zum Einrichten einer Testumgebung. Neue Funktionen für Workflow (Löschscripte für DS-Compilance) und Malware-Scanner in der abgeschotteten Rücksicherung gegen schlafende Ransomware.
  • Veeam Cloud Mobility: (Erweiterung von Direct Restore to Microsoft Azure, unterstützt nun auch AWS und Azure Stack als Ziele, um Workloads wieder­herzustellen)
  • Änderungen in der Lizenzierung:
    - statt Free Edition nun Community Edition
      -> FreeEdition hatte kein Limit der VMs, dafür war die Funktion eingeschränkt.
      -> Community Edition ist nahezu eine Standard-Edition mit Begrenzung auf 10 VMs.
  • Backup for Office 365 mit neuen Funktionen und Free Edition
    - Möglichkeit, Sicherungen von Sharepoint und OneDrive for Business zu erstellen
    - FreeEdition: kann Exchange- und OneDrive-Backups für bis zu 10 User kostenfrei erstellen, sowie von SharePoint bis zu 1 TB

siehe auch: veeam-backup-95-u4a

Veeam Backup & Replication V.9.5 Update 3a (07/2018)

- Unterstützung für VMWare 6.7
- Unterstützung für Win10 1803 Clients

Veeam Backup & Restore Free (V.9.5)
- gratis, auch kommerziell
- Backup von vSphere und Hyper-V -VMs, auch auf Tape
- VM backup, granular recovery, clone, copy, export...
Einschränkungen: kein Scheduler, kein Repository, immer Vollbackup
http://www.veeam.com/virtual-machine-backup-solution-free.html
(kein Key erforderlich, Version arbeitet 30 Tage als Vollversion, dann im "CommunityMode" mit o.g. Einschränkungen)

Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-19 09:19


Backup: Lupinho Hardlink Backup

Geniales, einfaches incrementelles Backup auf Basis von Hardlinks nach einer Idee von ct/Heise.
Jeder Backupsatz enthält alle Daten (bzw. einen Hardlink darauf).
Es wird kein spezielles Programm zum Restore benötigt. Nicht geeignet für System-Backups, aber für Daten-Backups eine Empfehlung.

Mirror-oder Move-Mode erlaubt kopieren/verschieben von Ordnern und Dateien mit dem Originaldatum.

Achtung! Wenn Dateien nachträglich manuell in einem Archiv gelöscht werden, muß die Index-Datei „index.hbi“ gelöscht werden, damit HardlinkBackup die Dateien erneut scannt und die Index-Datei neu erzeugt.

Backups auf anderen Datenträger verschieben: -> mit Luphino Hardlink Backup.
 (Mirror Modus, Innere Links behalten).

Link: http://lupinho.net/hardlinkbackup/

Tip:  Sysinternals Tools Hardlink: Anzeigen, setzen und löschen von Hardlinks.

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-03-29 14:17


Volumen Shadow Copy

Volume Shadow Copy (VSC, Volumeschattenkopie oder VSS) ist eine Microsoft Windows Technologie zum Erstellen von Snapshoots auf Volumenbasis.
VSC ist in allen gängigen Windows Versionen inclusive der Server-Funktionen verfügbar.
Es ist ein sinnvoller erweiterter Papierkorb, auch im Netzwerk. Es ersetzt natürlich kein Backup.

VSC aktivieren: Systemeigenschaften / Computerschutz / Schutz aktivieren und Speicherplatz zuweisen

VSC erstellen: manuell unter Computerschutz oder automatisch per Aufgabenplaner. Im Server kann der Zeitplan direkt unter Computerschutz konfiguriert werden.
Aufgabenplaner:
  Programm: WMIC
  Argumente: shadowcopy call create Volume=C:\
Dienst Volumenschattenkopie muß laufen.

VSC nutzen: im Explorer über "Vorgängerversionen wiederherstellen"
Hilfreiches Tool: Shadow Explorer, ermöglicht auch in den Home-Versionen die Nutzung von VSC.
Windows Server 2012 / 2016 / 2019: siehe hier
Windows 8/10: über Dateiversionsverlauf
Windows 7: über Sichern und Wiederherstellen
Windows Vista: nur rudimentär enthalten

Verfasser: Superadmin
Letzte Änderung: 2020-12-29 12:26


Betriebssysteme » Windows 7 - 8

Windows 8(.1) installieren

Die generischen Keys für Windows 8.1:
Windows 8.1 (Core): 334NH-RXG76-64THK-C7CKG-D3VPT
Windows 8.1 Pro: XHQ8N-C3MCJ-RQXB6-WCHYG-C9WKB

Damit kann Windows installiert werden, Key kann aber nicht aktiviert werden.
Windows 8.1 Setup akzeptiert keine Win 8.0-Keys! -> Gen.Key
Nach dem Setup akzeptiert Windows 8.1 den Key von Win 8.0.
Installations-Stick:
Im Verzeichnis Sources eine neue Datei "ei.cfg" erstellen;
[EditionID]

[Channel]
Retail
[VL]
0

(Setup fragt nun nicht mehr am Anfang nach Produktkey)
Individuelle Win-Installation erstellen:
1. in VM Player Win 8.1 VM anlegen
2. Boot from CD einstellen
3. Setup ausführen bis zur Eingabe Produktkey.
4. Generischen Key (oben) eingeben.
5. Nach Neustart weiter bis "Anpassen" Dialog
6. keinen Namen eingeben, sondern Strg + Umschalt + F3.
7. Windows startet neu und meldet automatisch „Administrator“ an.
8. auf Desktop ist das Systemvorbereitungsprogramm bereits geöffnet. So lassen.
9. Musterinstallation nach Wunsch einrichten. Systemsteuerung und Computerverwaltung anpassen, Updates einspielen, Anwendungen installieren...

wenn Updates nicht installieren, siehe -> Windows Update funktioniert nicht
10. zweite HD einrichten für den WIM-Export.
11. im Systemvorbereitungsprogramm „Outof-Box-Experience“ wählen und „Verallgemeinern“ + "Herunterfahren" anhaken.
Windows will Installation fortsetzen. Jetzt nur Herunterfahren!
12. VM nochmal von Windows-CD booten (press key..)
13. Wenn Setup erscheint, mit Tastenkombination Umschalt + F10 in Eingabeaufforderung.
14. Image-Datei erstellen: c:\windows\system32\dism.exe /capture-image /imagefile:d:\install.wim /capturedir:c: /name:"Mein 8.1" /compress:maximum
Setup-Medium zusammenstellen:
15. original Win-CD in Verzeichnis (/Win81x64) kopieren.
16. neue WIMDatei aus der VM holen. VM starten und fertig installieren. Dann VMTools installieren und WIM-Datei per Copy&Paste, USB oder Netzwerholen.
17. Install.wim in /Win81x64/Sources durch die neuen Datei ersetzen.
18. mit ImageBurn: „Create image file from files/folders“. Menue Input: "Advanced" wählen. Auf "Source" klicken. Kompletten Inhalt von "Win81x64" auswählen. Editor beenden. In "Advanced" "Bootable Disc" auf "Make Disk bootable" klicken. Bei „Boot Image“ auf das Ordnersymbol klicken. In /Win81x64/boot/ "etfsboot.com" auswählen. „Sectors To Load“ = 8 ändern. „Destination“ angeben. Starten. Erste Frage mit „Yes“ und die zweite mit „Okay“ bestätigen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:20


Windows 8 inst. von USB

USB-Stick mit max. 32 GB (4 GB je OS)
- diskpart
- list disk -Stick identifizieren
- select disk 4 (Beispiel USB-Stick)
- detail disk überprüfen
- clean
- create partition primary
- active
- assign .. LW zuweisen
- Format als FAT32 (max. 32GB)
- CD-Inhalt komplett auf Stick kopieren.
Tip: Umsch+F10 öffnet Eingabeaufforderung.

 

...oder viel simpler Rufus: Bootfähigen USB-Stick erstellen

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-10-21 15:36


Windows 7: Bedientips

- [Windows]+[Pfeil oben] - maximiert aktuelles Fenster.
- [Windows]+[Pfeil unten] - verkleinert aktuelles Fenster.
- 2x [Windows]+[Pfeil unten] - klappt aktuelles Fenster herunter.
- [Windows]+[Pfeil links/rechts] - zeigt aktuelles Fenster in voller Höhe auf linker bzw. rechter Seite.
- "Aero Shake" (Fenster festhalten und schütteln oder: [Windows]+[Pos1]) - minimiert alle anderen Fenster.

- "Desktop anzeigen" (ganz rechts unten in der Taskleiste!) - klappt alle Fenster herunter.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:19


Desktop Icons verschwinden

Problem: Windows 7 löscht vorhandene Verknüpfungen vom Desktop.
Ursache: Windows 7 führt wöchentlich eine Aufräum-Aktion durch, die unbenutze oder fehlerhafte Verknüpfungen löscht. Diese Funktion ist übereifrig und löscht auch temporär nicht verfügbare Verknüpfungen. (fehlende Netzverbindung, Passworteingabe erforderlich...)
Abhilfe: Problembehandlung komplett deaktiveren oder in den PS1-Scripts Desktopbereinigung deaktivieren.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:19


Gadgets

1. GADGET.XML -Datei zur Beschreibung des Gadgets.

Element Bedeutung
name Bezeichnung des Gadgets, frei wählbar
version Versionsnummer des Gadgets, ebenfalls frei wählbar
author Name des Entwickler bzw. des Unternehmens.
info url Webadresse von Entwickler/Unternehmen
info text Beliebiger Text für den Verweis auf die Website (s. o.)
logo src Verweis auf ein Logobilddatei des Unternehmens, falls vorhanden, sonst weglassen
copyright Urheberrechtshinweis nach Bedarf
description Kurze Beschreibung des Gadgets
icon src Verweis auf eine Bilddatei mit einem Symbol des Gadgets, soweit vorhanden, sonst weglassen
base src Verweis auf die HTML-Datei mit dem Inhalt des Gadgets

2. HTML-Datei mit dem eigentlichen Gadget.
3. Dateien als ZIP packen und als .gadget umbenennen.
Windows speichert installierte User-Gadgets unter C:\Users\[Benutzername]\AppData\Local\Microsoft\Windows Sidebar\Gadgets
Systemweite Gadgets liegen in C:\Program Files\Windows Sidebar\Gadgets\

 

Zum Ausführen von Gadgets muss C:\Program Files\Windows Sidebar\sidebar.exe

und Windows Feature "Desktop Gadget Plattform" laufen.

 

Systemweite Gadgets liegen in C:\Program Files\Windows Sidebar\Gadgets\
User-Gadgets liegen in C:\Users\Born\AppData\Local\Microsoft\Windows Sidebar\Gadgets\
%ProgramFiles%\Windows Sidebar\sidebar.exe /showGadgets  -zeigt alle Minianwendungen

Literatur:
Gadgets bauen
http://www.gieseke-buch.de/windows-7/windows-gadgets-selbsterstellen
http://robofan.de/SidebarGadget.html
http://technet.microsoft.com/de-de/library/ff731022.aspx

betrifft: Windows Vista, Windows 7

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-03-18 16:41


USB Stick bootfähig machen

Dosbox (Win7!): -> DISKPART.
-> LIST DISK. (zeigt die Nummer des USB LW)
-> SELECT DISK [Nr]
-> CLEAN
-> CREATE PARTITION PRIMARY
-> SELECT PARTITION 1
-> ACTIVE
-> FORMAT FS=NTFS
-> ASSIGN
-> EXIT.
DOSBox nicht schließen.
5. Insert your Windows DVD and note down the drive letter of the optical drive and USB media. Here I use “D” as my optical (DVD) drive letter and “G” as my USB drive letter.
6. Go back to command prompt and execute the following commands:
-> d: (DVD-Rom)
-> cd d:\boot
6.2. Use bootsect to set the USB as a bootable NTFS drive prepared for a Vista/7 image. I’m assuming that your USB flash drive has been labeled disk G:\ by the computer:
-> bootsect /nt60 g:
7. Copy Windows DVD contents to USB.
You are done with your bootable USB. You can now use this bootable USB as bootable DVD on any computer that comes with USB boot feature.
This guide will NOT work if you are trying to make a bootable USB on XP computer.

Mehr Infos: http://bootdisk.com/pendrive.htm
FAT32 mit DOS:
http://www.biosflash.com/bios-boot-usb-stick.htm

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:19


Windows 8.1 Wiederherstellungslaufwerk erstellen

- auf Win8.1-PC im Suchfenster "Wiederherstellungslaufwerk" eingeben.

Das erstellt einen bootfähigen Stick (je nach Version: 32/64-bit) mit Windows RE. (Recovery Environment)

Funktionen siehe Systemreparatur, Wiederherstellungskonsole

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-10-06 15:50


Zubehör wird im Startmenü nicht mehr angezeigt

Der Ordner liegt noch in C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories, wird aber im Startmenü nicht angezeigt.

Lösung: Persönlichen Zubehör-Ordner (C:\Users\[USER]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories) löschen!
Windows 7 zeigt beide Ordner nicht mehr an, wenn in beiden ein identischer Eintrag ist.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:19


Windows 8: Bibliotheken im Explorer ausblenden

Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace folgende Schlüssel löschen:

{1CF1260C-.... Musik
{374DE290-123F-4565-9164-39C4925E467B} Downloads
{3ADD1653- Bilder
{A0953C92-50DC-43bf-BE83-3742FED03C9C} Videos
{A8CDFF1C-4878-43be-B5FD-F8091C1C60D0} Dokumente
{B4BFCC3A- Desktop

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:20


Windows 8: Charms Bar deaktivieren

Klicke mit der rechten Maustaste auf eine freie Stelle der Taskleiste und auf Eigenschaften.
Im sich öffnenden Fenster auf die Registerkarte Navigation wechseln.
Häkchen vor "Beim Zeigen auf die obere rechte Ecke die Charms anzeigen" entfernen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-08-18 13:13


Ein erforderlicher CD-/DVD-Laufwerkgerätetreiber fehlt

Dieses Problem tritt beim Installieren von CD oder USB auf, wenn der Gerätetreiber für USB 3 oder SATA/SCSI nicht im Windows(7) vorhanden ist. Das Hinzufügen von Treibern ist nicht möglich, weil die entsprechenden Geräte nicht erkannt werden.

 

Lösung:
WinPE  starten (idealerweise von Win10), CMD-Konsole -> diskpart.

• Korrekte HD wählen und leer machen (list disk -> select disk -> clean)

• 2 neue Partitionen einrichten. (create partition primary [size=n] )

  1. Partition zum Reservieren des Platzes für die Systempartition (ca. 3/4 der Platte)
  2. danach eine Partition mit ca. 10 GB für die temporären Installationsdaten

Die 2. Partition wird NTFS formatiert, Laufwerksbuchstaben x: (format fs=ntfs label="INSTDISK" quick -> assign letter=x)

Nun kopiert man die Treiber und das gesamte Installationsmedium auf LW X:.

Nochmal diskpart starten und Partition 1 löschen, damit Setup genügend Platz hat, die System-Partition mit dem Bootlader anzulegen. (select disk -> select part -> delete part ..)

Nun SETUP aus dem PE heraus auf der HD starten x:setup.exe.

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-10-27 09:28


Windows 8(.1) installieren

Die generischen Keys für Windows 8.1:
Windows 8.1 (Core): 334NH-RXG76-64THK-C7CKG-D3VPT
Windows 8.1 Pro: XHQ8N-C3MCJ-RQXB6-WCHYG-C9WKB

Damit kann Windows installiert werden, Key kann aber nicht aktiviert werden.
Windows 8.1 Setup akzeptiert keine Win 8.0-Keys! -> Gen.Key
Nach dem Setup akzeptiert Windows 8.1 den Key von Win 8.0.
Installations-Stick:
Im Verzeichnis Sources eine neue Datei "ei.cfg" erstellen;
[EditionID]

[Channel]
Retail
[VL]
0

(Setup fragt nun nicht mehr am Anfang nach Produktkey)
Individuelle Win-Installation erstellen:
1. in VM Player Win 8.1 VM anlegen
2. Boot from CD einstellen
3. Setup ausführen bis zur Eingabe Produktkey.
4. Generischen Key (oben) eingeben.
5. Nach Neustart weiter bis "Anpassen" Dialog
6. keinen Namen eingeben, sondern Strg + Umschalt + F3.
7. Windows startet neu und meldet automatisch „Administrator“ an.
8. auf Desktop ist das Systemvorbereitungsprogramm bereits geöffnet. So lassen.
9. Musterinstallation nach Wunsch einrichten. Systemsteuerung und Computerverwaltung anpassen, Updates einspielen, Anwendungen installieren...

wenn Updates nicht installieren, siehe -> Windows Update funktioniert nicht
10. zweite HD einrichten für den WIM-Export.
11. im Systemvorbereitungsprogramm „Outof-Box-Experience“ wählen und „Verallgemeinern“ + "Herunterfahren" anhaken.
Windows will Installation fortsetzen. Jetzt nur Herunterfahren!
12. VM nochmal von Windows-CD booten (press key..)
13. Wenn Setup erscheint, mit Tastenkombination Umschalt + F10 in Eingabeaufforderung.
14. Image-Datei erstellen: c:\windows\system32\dism.exe /capture-image /imagefile:d:\install.wim /capturedir:c: /name:"Mein 8.1" /compress:maximum
Setup-Medium zusammenstellen:
15. original Win-CD in Verzeichnis (/Win81x64) kopieren.
16. neue WIMDatei aus der VM holen. VM starten und fertig installieren. Dann VMTools installieren und WIM-Datei per Copy&Paste, USB oder Netzwerholen.
17. Install.wim in /Win81x64/Sources durch die neuen Datei ersetzen.
18. mit ImageBurn: „Create image file from files/folders“. Menue Input: "Advanced" wählen. Auf "Source" klicken. Kompletten Inhalt von "Win81x64" auswählen. Editor beenden. In "Advanced" "Bootable Disc" auf "Make Disk bootable" klicken. Bei „Boot Image“ auf das Ordnersymbol klicken. In /Win81x64/boot/ "etfsboot.com" auswählen. „Sectors To Load“ = 8 ändern. „Destination“ angeben. Starten. Erste Frage mit „Yes“ und die zweite mit „Okay“ bestätigen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:20


Windows 8(.1) installieren

Die generischen Keys für Windows 8.1:
Windows 8.1 (Core): 334NH-RXG76-64THK-C7CKG-D3VPT
Windows 8.1 Pro: XHQ8N-C3MCJ-RQXB6-WCHYG-C9WKB

Damit kann Windows installiert werden, Key kann aber nicht aktiviert werden.
Windows 8.1 Setup akzeptiert keine Win 8.0-Keys! -> Gen.Key
Nach dem Setup akzeptiert Windows 8.1 den Key von Win 8.0.
Installations-Stick:
Im Verzeichnis Sources eine neue Datei "ei.cfg" erstellen;
[EditionID]

[Channel]
Retail
[VL]
0

(Setup fragt nun nicht mehr am Anfang nach Produktkey)
Individuelle Win-Installation erstellen:
1. in VM Player Win 8.1 VM anlegen
2. Boot from CD einstellen
3. Setup ausführen bis zur Eingabe Produktkey.
4. Generischen Key (oben) eingeben.
5. Nach Neustart weiter bis "Anpassen" Dialog
6. keinen Namen eingeben, sondern Strg + Umschalt + F3.
7. Windows startet neu und meldet automatisch „Administrator“ an.
8. auf Desktop ist das Systemvorbereitungsprogramm bereits geöffnet. So lassen.
9. Musterinstallation nach Wunsch einrichten. Systemsteuerung und Computerverwaltung anpassen, Updates einspielen, Anwendungen installieren...

wenn Updates nicht installieren, siehe -> Windows Update funktioniert nicht
10. zweite HD einrichten für den WIM-Export.
11. im Systemvorbereitungsprogramm „Outof-Box-Experience“ wählen und „Verallgemeinern“ + "Herunterfahren" anhaken.
Windows will Installation fortsetzen. Jetzt nur Herunterfahren!
12. VM nochmal von Windows-CD booten (press key..)
13. Wenn Setup erscheint, mit Tastenkombination Umschalt + F10 in Eingabeaufforderung.
14. Image-Datei erstellen: c:\windows\system32\dism.exe /capture-image /imagefile:d:\install.wim /capturedir:c: /name:"Mein 8.1" /compress:maximum
Setup-Medium zusammenstellen:
15. original Win-CD in Verzeichnis (/Win81x64) kopieren.
16. neue WIMDatei aus der VM holen. VM starten und fertig installieren. Dann VMTools installieren und WIM-Datei per Copy&Paste, USB oder Netzwerholen.
17. Install.wim in /Win81x64/Sources durch die neuen Datei ersetzen.
18. mit ImageBurn: „Create image file from files/folders“. Menue Input: "Advanced" wählen. Auf "Source" klicken. Kompletten Inhalt von "Win81x64" auswählen. Editor beenden. In "Advanced" "Bootable Disc" auf "Make Disk bootable" klicken. Bei „Boot Image“ auf das Ordnersymbol klicken. In /Win81x64/boot/ "etfsboot.com" auswählen. „Sectors To Load“ = 8 ändern. „Destination“ angeben. Starten. Erste Frage mit „Yes“ und die zweite mit „Okay“ bestätigen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:20


Windows 8(.1) installieren

Die generischen Keys für Windows 8.1:
Windows 8.1 (Core): 334NH-RXG76-64THK-C7CKG-D3VPT
Windows 8.1 Pro: XHQ8N-C3MCJ-RQXB6-WCHYG-C9WKB

Damit kann Windows installiert werden, Key kann aber nicht aktiviert werden.
Windows 8.1 Setup akzeptiert keine Win 8.0-Keys! -> Gen.Key
Nach dem Setup akzeptiert Windows 8.1 den Key von Win 8.0.
Installations-Stick:
Im Verzeichnis Sources eine neue Datei "ei.cfg" erstellen;
[EditionID]

[Channel]
Retail
[VL]
0

(Setup fragt nun nicht mehr am Anfang nach Produktkey)
Individuelle Win-Installation erstellen:
1. in VM Player Win 8.1 VM anlegen
2. Boot from CD einstellen
3. Setup ausführen bis zur Eingabe Produktkey.
4. Generischen Key (oben) eingeben.
5. Nach Neustart weiter bis "Anpassen" Dialog
6. keinen Namen eingeben, sondern Strg + Umschalt + F3.
7. Windows startet neu und meldet automatisch „Administrator“ an.
8. auf Desktop ist das Systemvorbereitungsprogramm bereits geöffnet. So lassen.
9. Musterinstallation nach Wunsch einrichten. Systemsteuerung und Computerverwaltung anpassen, Updates einspielen, Anwendungen installieren...

wenn Updates nicht installieren, siehe -> Windows Update funktioniert nicht
10. zweite HD einrichten für den WIM-Export.
11. im Systemvorbereitungsprogramm „Outof-Box-Experience“ wählen und „Verallgemeinern“ + "Herunterfahren" anhaken.
Windows will Installation fortsetzen. Jetzt nur Herunterfahren!
12. VM nochmal von Windows-CD booten (press key..)
13. Wenn Setup erscheint, mit Tastenkombination Umschalt + F10 in Eingabeaufforderung.
14. Image-Datei erstellen: c:\windows\system32\dism.exe /capture-image /imagefile:d:\install.wim /capturedir:c: /name:"Mein 8.1" /compress:maximum
Setup-Medium zusammenstellen:
15. original Win-CD in Verzeichnis (/Win81x64) kopieren.
16. neue WIMDatei aus der VM holen. VM starten und fertig installieren. Dann VMTools installieren und WIM-Datei per Copy&Paste, USB oder Netzwerholen.
17. Install.wim in /Win81x64/Sources durch die neuen Datei ersetzen.
18. mit ImageBurn: „Create image file from files/folders“. Menue Input: "Advanced" wählen. Auf "Source" klicken. Kompletten Inhalt von "Win81x64" auswählen. Editor beenden. In "Advanced" "Bootable Disc" auf "Make Disk bootable" klicken. Bei „Boot Image“ auf das Ordnersymbol klicken. In /Win81x64/boot/ "etfsboot.com" auswählen. „Sectors To Load“ = 8 ändern. „Destination“ angeben. Starten. Erste Frage mit „Yes“ und die zweite mit „Okay“ bestätigen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:20


Windows 8 inst. von USB

USB-Stick mit max. 32 GB (4 GB je OS)
- diskpart
- list disk -Stick identifizieren
- select disk 4 (Beispiel USB-Stick)
- detail disk überprüfen
- clean
- create partition primary
- active
- assign .. LW zuweisen
- Format als FAT32 (max. 32GB)
- CD-Inhalt komplett auf Stick kopieren.
Tip: Umsch+F10 öffnet Eingabeaufforderung.

 

...oder viel simpler Rufus: Bootfähigen USB-Stick erstellen

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-10-21 15:36


Windows 8 inst. von USB

USB-Stick mit max. 32 GB (4 GB je OS)
- diskpart
- list disk -Stick identifizieren
- select disk 4 (Beispiel USB-Stick)
- detail disk überprüfen
- clean
- create partition primary
- active
- assign .. LW zuweisen
- Format als FAT32 (max. 32GB)
- CD-Inhalt komplett auf Stick kopieren.
Tip: Umsch+F10 öffnet Eingabeaufforderung.

 

...oder viel simpler Rufus: Bootfähigen USB-Stick erstellen

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-10-21 15:36


Windows 8.1 Wiederherstellungslaufwerk erstellen

- auf Win8.1-PC im Suchfenster "Wiederherstellungslaufwerk" eingeben.

Das erstellt einen bootfähigen Stick (je nach Version: 32/64-bit) mit Windows RE. (Recovery Environment)

Funktionen siehe Systemreparatur, Wiederherstellungskonsole

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:20


Windows 8: Bibliotheken im Explorer ausblenden

Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace folgende Schlüssel löschen:

{1CF1260C-.... Musik
{374DE290-123F-4565-9164-39C4925E467B} Downloads
{3ADD1653- Bilder
{A0953C92-50DC-43bf-BE83-3742FED03C9C} Videos
{A8CDFF1C-4878-43be-B5FD-F8091C1C60D0} Dokumente
{B4BFCC3A- Desktop

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:20


Windows 8: Charms Bar deaktivieren

Klicke mit der rechten Maustaste auf eine freie Stelle der Taskleiste und auf Eigenschaften.
Im sich öffnenden Fenster auf die Registerkarte Navigation wechseln.
Häkchen vor "Beim Zeigen auf die obere rechte Ecke die Charms anzeigen" entfernen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-08-18 13:13


Software » E-Mail

Thunderbird mit Google synchronisieren

Kalender synchronisieren

* Thunderbird 115 (09/2023)
  - Add On "Provider for Google Calendar"
https://support.mozilla.org/de/kb/mit-lightning-auf-google-kalender-zugreifen

* Thunderbird vor 115:
Google Sync Einstellungen: https://calendar.google.com/calendar/syncselect

  • neuer Kalender - Netzwerk - CalDav wählen
  • URL= https://www.google.com/calendar/dav/<Kalender-ID>/events
  • URL NEU: https://apidata.googleusercontent.com/caldav/v2/<calid>/events
  • Kalender-ID (alt) steht auf der Eigenschaftsseite des Kalenders unter "Einstellungen und Freigabe", neben den Xml, Ical, Html-Links.
    Für den Hauptkalender ist die Kalendar-ID die Email-Adresse, für alle anderen Kalender ist es <kryptische-Zeichenfolge>@group.calendar.google.com.
  • Cal-ID (neu) steht in der Adresszeile (URL) in den Kalender-Einstellungen
  • Öffentliche Adresse im iCAL-Format (Kalender / Einstellungen) geht (mit Einschränkungen) auch
  • Link: https://calendar.google.com/calendar/ical/<Mailadresse>/public/basic.ics
  • alle gewünschten Kalender auswählen

Adressbuch synchronisieren

  • neues CardDAV Adressbuch wählen
  • URL: https://www.googleapis.com/carddav/v1/principals/<Mailadresse>/lists/default/
  • Anmeldung bestätigen

Es werden keine Add-Ons mehr benötigt.

Quellen und Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-12-10 12:10


Thunderbird optimieren

Thunderbird: Extras/Einstellungen/Erweitert/Konfig. bearbeiten

* mail.compose.wrap_to_window_width = true -> Zitat-Text ohne Umbrüche wird beim Antworten am rechten Fensterrand umgebrochen.
* mailnews.use_received_date = true -> Sortierkriterium ist das Empfangs-, nicht das Sendedatum.
* mailnews.reply_header_type = 3 -> formatiert Zitatantwort
* mailnews.reply_header_ondate = "am: %s" -> formatiert Zitatantwort
* in prefs.js hinzufügen: user_pref("mailnews.localizedRe", "AW,Aw,Antwort,FW,Fw");

HTML-Mail Quelltext bearbeiten: [Strg]+[U]

Add-ons
- Quicktext - Textbausteine
- ThunderHTMLedit
- Provider für CalDAV & CardDAV + TbSync
- (Provider für Google Kalender / gContactSync)
- (MailMindr - Wiedervorlage)

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-04-25 11:21


Mailstore Mailarchiv

Mailstore ist eine deutsche, günstige, universelle und leistungsstarke Software zur E-Mail-Archivierung.
Das Mailarchiv ist verschlüsselt und wird dedupliziert.
Der Zugriff erfolgt über einen eigenen Client oder per WEB-Browser.
Neben Schnittstellen zu Exchange, G-Mail, Kerio, MDeamon, IceWarp beherrscht das Programm den POP3/IMAP-Abruf und hat für hartnäckige Fälle einen Mail-Proxy dabei.
Außerdem erlaubt es den direkten Zugriff auf die Postfächer der gängigsten Mailclients wie Outlook, Thunderbird, SeaMonkey, Windows Mail oder LiveMail.
Der Zugriff auf einzelne EML-, PST oder MBOX-Dateien ist ebenso möglich.
Mailarchiv kann nicht nur importieren, sondern exportiert die Nachrichten bei Bedarf auch wieder in allen genannten Formaten.
Damit ist das Programm auch als leistungsfähiger Konverter zwischen den gängigen Formaten einsetzbar. (Tip: kostenlose Version "Mailstore Home")

Die Benutzer des Mailarchiv können frei erstellt oder über diverse Schnittstellen eingelesen werden. (AD, LDAP, Office, MDeamon Userlist...)
Die Lizenzierung erfolgt pro aktiven Benutzern.

Unterschiede von Mailstore Home:

  • Freeware Version
  • kein Herstellersupport
  • auch als Portable-Version
  • max. 6 Accounts, max 3 mit gleichem Protokoll

Version 13 (08/2020)
- Anpassung der Cloud-Kompatibilität zu MS-365 und Google G-Suite
- Support von OAuth2 und OpenID Connect für Public Cloud
- keine unverschlüsselsten Verbindungen werden mehr unterstützt, auch nicht lokal zum Client

Version 10.1 (02/2020) archiviert bis 20% schneller
- hat verbessertes Outlook AddIn
- abgesicherter Mode, keine Jobs oder Profile, keine Useranmeldung (nur Admins)
- unterstützt kein MS Vista, Server 2008 und SmallBusiness 2008 mehr und damit auch kein Windows Mail.
- "Gateway" ersetzt den bisherigen Proxy, kostenloses und unabhängig von Mailstore nutzbar
- Compiliance: individuelle Aufbewahrungsregeln nach Betreff, Mailadresse u.a. definerbar,
die "Aufbewahrungsdetails" sind an jeder Mail sichtbar.
- neu: "Letzte Ergebnisse" auf einen Blick.

Ab Version 10.0 gibt es einen Wiederherstellungsschlüssel.
- notwendig zum Rücksichern auf andere Hardware
- Verschlüsselung der gesamten Datenbank
- per Default ist das der Produktschlüssel.

Das Gateway ersetzt den bisherigen Mailstore Proxy und bietet ein Sammelpostfach (Journaling) für Office365, G-Suite u.a.
Gateway arbeitet als SMTP- und POP3 -Proxy.
Es unterstützt eigene Zertifikate oder Lets Encrypt (Port 80!) für SSL.

(VERALTET) Das Proxy-Übergabeverzeichnis enthält .EML-Dateien (die eigentlichen Mails) und .MPR-Dateien. Letztere enthalten die Header-Informationen für die korrekte Zuordnung in ein Archivpostfach.
Achtung! Bei Catch-All wird hier eingehend nur der POP3-Recipient, also die zentrale Abrufadresse übergeben! (Stand Version 10.1.4.12522, 09/2017) Die Proxy-Variante ist also mit Catch-All nicht nutzbar bzw. kann die Mails nicht Usern zuweisen.
Bei ausgehenden Mails erfolgt die SMTP-Proxy-Zuordnung korrekt.
Bei der in den nächsten Jahren zu erwartenden Zunahme von Ende-zu-Ende verschlüsselten E-Mails ist die Proxy-Variante nicht mehr nutzbar und wird deshalb nicht mehr weiter entwickelt.

Für Tobit David ist die Archivierung über die IMAP-Schnittstelle geeignet.
Per IMAP-Sammelpostfach läßt sich beispielsweise das DUPLOG abgreifen und über die Mailadressen den ursprünglichen Benutzern im Archiv wieder zuordnen.
Interne Kommunikation wird dabei mit erfasst.
Anleitung: https://help.mailstore.com/de/server/E-Mail-Archivierung_von_Tobit_David.fx

Das kostenlose Mailstore Home ist auf 2 Exchange-Postfächer beschränkt.
Es besitzt keine Benutzerverwaltung, keine Rechteverwaltung und kein Logging.
Außerdem läuft es nicht als Dienst und ist damit keine lückenlose, DSGVO-compliancegerechte Archivierung.

Mailstore arbeitet auch ohne aktuelle Maintenance.
Allerdings gibt es dann keinen Support und keine Updates mehr. Auch Lizenzerweiterungen sind nur mit aktueller Maintenance möglich.

 

Tips:
- Verwaltung: SMTP konfigurieren
- Jobs anlegen: Statusbericht senden, DB-Wartung, Integrität, defekte Indexe rep., Backup erstellen
- Suchindizes: PDF-Suche aktivieren! Office +  PDF-Filterpack laden.
- Compilance/Archiv-Zugriff/ freigeben-blockieren (Archiv-Zugriffe für Administrator ist per Default blockiert)

- Compilance/Aufbewahrungsrichtlinien (mehrschichtig, nach beliebigen Suchkriterien in den Nachrichten)
- Richtlinien werden von oben nach unten abgearbeitet
- kürzere Fristen nach oben, längere nach unten

- Neuinstallation mit Testlizenz durchführen. (30 Tage, 500 Benutzer!)
Mit der Testlizenz lassen sich alle vorhandenen User archivieren, anschließend braucht man nur Volllizenzen für die aktiven User.
- 1 Userlizenz ist für öffentliche Ordner erforderlich, wenn mehrere User in das Archiv sehen können sollen.
(ansonsten kann man den Ordner auch einem User zuordnen)
- ausgeschiedene Mitarbeiter werden im Mailstore gelöscht. Damit wird die Lizenz wieder frei. Das Archiv bleibt bestehen und kann einem anderen Mitarbeiter zugewiesen werden.
- User "admin" kostet keine Lizenz
- Mailadressen (Gruppenmails) können in mehreren Benutzern eingetragen werden, dann werden diese Mails bei allen archivert.
- selbstsigniertes Zertifikat: öffentlichen Key als Base-64 exportieren, in Domäne als "Vertrauenswürdige Stammzertifizierungsstelle" ausrollen

MS Exchange:
Postfach - DB - Journalempfänger aktivieren,
neues Postfach anlegen und auswählen.

Technische Hinweise:
• Protokolle liegen in c:\ProgramData\Mailstore\Debug.log (Fehlersuche nach "EXCEPTION")
• Antivirus: MS-Proxy und Datenbank von Echtzeit-Scan ausnehmen!
• leistungsfähige API für Wartung und Reparatur
- alle vorhandenen Indexe neu aufbauen:
1. SelectAllStoreIndexesForRebuild
2. RebuildSelectedStoreIndexes
• Firebird DB (.fdb)
• Webserver integriert, basiert nicht auf IIS
• Mailadressen im AD einpflegen! ADSI-Editor: proxy.Adresses
• AES-Verschlüsselung basiert auf KEY. Widerherstellungs-Key erstellen und sichern!

 

Rechtliches:
- Aufbewahrungsfristen gehen über Löschfristen.
- private E-Mails dürfen nicht in Firmenaccounts archiviert werden.
-> Verbot der Privatnutzung
-> explizierter Abtritt des Fernmeldegeheimnisses (Problem: Widerruf, Zustimmung der Gegenseite)

Links:

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-12-03 12:02


MS Exchange Online Plan

- Azure AD-Synchronisation ist ungeeignet, wenn man keinen lokalen Exchange-Server betreibt!
  Konten und Eigenschaften können nur lokal bearbeitet werden und es existieren keine Tools zur Bearbeitung.
  Für kleinere Installationen ist es günstiger, die User separat in der Cloud zu pflegen.

 

Servername

Port

Verschlüsselungsmethode

POP3

Outlook.office365.com

995

TLS

IMAP4

Outlook.office365.com

993

TLS

SMTP

Smtp.office365.com

587

TLS

 

- Mailstore sichert auch Exchange Online (Server: Outlook.office365.com, Home-Version max. 2 Postfächer).

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-11-10 06:42


Verschlüsselung / Signatur von E-Mail

Bei der E-Mail Verschlüsselung und Signatur unterscheidet man Client-basierende und Server-basierende Verschlüsselung.
Klassische Lösungen arbeiten Client-basiert. Das ist für Unternehmen zu unhandlich.

Zu den Unterschieden zwischen Transportverschlüsselung (TLS/SSL) und Inhaltsverschlüsselung (S/MIME, PGP..) siehe diesen Beitrag.

Die Inhalts-Verschlüsselung kann durch Key (Zertifikate) oder Passwort erfolgen.
Passwort-Verschlüsselung ist eine Notlösung, die keine Zertifikatsinfrastruktur erfordert und mit jedem Empfänger funktioniert.
Das ist lösbar mit automatischen Portallösungen oder ganz einfach mit verschlüsselten Anlagen im .ZIP oder .PDF-Format.

S/MIME

E-Mails werden mit dem öffentlichen Zertifikat des Empfängers verschlüsselt oder signiert.
Nur er hat den privaten Key und kann die E-Mails entschlüsseln.
Bei S/MIME werden die X.509-Zertifikate (SSL-Zertifikate) durch eine zentrale Zertifikatsstelle geprüft, signiert und verwaltet.
Zertifikate haben eine begrenzte Laufzeit. Alte Zertifikate sollten unbedingt aufbewahrt bzw. im System installiert bleiben, weil sonst alte verschlüsselte E-Mails nicht mehr geöffnet werden können.

Bei E-Mail-Signaturen benötigt jeder User ein User-Zertifikat nach dem Schema: user@domain.tld.
Gateway-Zertifikate bzw. Domain-Zertifikate sind gültig für alle E-Mail-Adressen unterhalb einer E-Mail-Domäne (@unternehmen.de).
Team-Zertifikate stellt man für Mailadressen aus, die nicht von einzelnen Personen verwaltet werden, wie z. B. info@unternehmen.de oder bewerbung@unternehmen.de.

Dateinamen und Content-Typen:
smime.p7m (signierte oder verschlüsselte Daten), smime.p7c (Zertifikat), smime.p7s (Signatur)

Formate:

    PFX/P12/PKCS#12 (Personal Information Exchange Standard)
  • PKCS#12 oder PFX/P12 stellt ein binäres Format für die Aufbewahrung des Zertifikats (samt seinem Intermediate) mit dem privaten Schlüssel dar. Die Zertifikate und der private Schlüssel sind in der PFX-Datei mit einem Passwort geschützt. PFX war der Vorgänger von PKCS#12.
  • Die meistgenutzte Endung des Formates ist .pfx und .p12.
  • PKCS#12 wird oft auf den Windows-Geräten für das Import und Export der Zertifikate zusammen mit dem privaten Schlüssel genutzt.
  • Die in PFX gespeicherten Zertifikate dienen auch zum Signieren in Microsoft Authenticode.
    Format P7B/PKCS#7
  • Das Format PKKS#7 oder P7B repräsentiert ein oder mehrere Zertifikate im Base64 ASCII-Format, das in einer Datei mit der Endung .p7b oder .p7c gespeichert ist.
  • Die Datei P7B enthält das Zertifikat und seine Kette (die Intermediate-Zertifikate), aber der private Schlüssel ist in ihr nicht vorhanden.
  • Am häufigsten werden die P7B Dateien unter Windows und auf der Plattform Java Tomcat eingesetzt.
    .DER-Binärformat (KEIN Textformat) zum Import in Anwendungen (Mail, Broser..)
  • In DER können alle Zertifikatstypen und der private Schlüssel gespeichert sein.
  • Die Endung der DER-Zertifikate ist meistens .cer oder .der.
  • Private Schlüssel oder der Zertifizierungspfad können mit diesem Format nicht gespeichert werden.
  • Das DER-Format wird auf den Java Plattformen genutzt.
    .PEM - ASCII-Format
  • ein in Base64 codiertes Format mit ASCII-Zeichen.
  • Es kann neben dem reinen Zertifikat auch Intermediate-Zertifikate, Root-CAs und private Schlüssel beinhalten.
  • Die Dateierweiterung .pem kommt meist zum Einsatz, wenn sowohl Zertifikate und der Privatschlüssel in einer Datei gespeichert werden.
  • Für PEM- Zertifikate werden auch die Endungen .cer, .cert, .crt oder .key (für den privaten Schlüssel) genutzt.
  • Von diesem Format gehen Apache und alle Server auf Unix/Linux OS aus.
    CSR
  • Ein Certificate Signing Request (deutsch: Zertifikatsignierungsanforderung) ist ein standardisiertes Format (PKCS#10) zum Anfordern eines digitalen Zertifikats.
  • CSR enthält den öffentlichen Schlüssel und weiteren Angaben über den Antragsteller des Zertifikats.
  • Die Zertifizierungsanfrage kann anschließend von einer Zertifizierungsstelle (CA) signiert werden und man erhält ein digitales Zertifikat zurück.

Zertifikatstypen: https://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file

Zertifikate konvertieren:

Mit Hilfe von OpenSSL lassen sich viele Formate schnell und einfach in ein anderes Format konvertieren.

.p7b-Dateien können einfach in .spc umbenannt werden.

LetsEncrypt Wildcard-Zertifikate müssen zwingend per DNS validiert werden.

Tobit David kann S/MIME Zertifikate zentral im Server oder lokal im Client verwalten.

PGP

Auch PGP arbeitet mit unsymmetrischer Verschlüsselung, also mit einem öffentlichen und einem privaten Schlüssel.
Im Gegensatz zu S/MIME gibt es keine zentrale Zertifikatsinstanz,- jeder Nutzer sammelt also die öffentichen Zertifikate der Gegenseite selbst ein.
Damit ist das Verfahren nicht über die Zertifikatsstelle zu kompromittieren.
Das Einsammeln und Verwalten der öffentlichen Schlüssel ist aber entsprechend mühsam.

 

Mail-Gateway OpenSource: Ciphermail.
Hardware Appliance made in germany: Zertificon
Secure E-Mail Gateway: SeppMail
Nutzung von OpenSSL, Zertifikats-Formate: https://www.msxfaq.de/signcrypt/openssl.htm

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-06-23 15:32


Thunderbird umziehen

- Profilordner komplett auf neuen Standort kopieren.
Der Profilordner speichert alle Informationen über Ihre E-Mails, einschließlich der lokal gespeicherten Nachrichten und Anhänge, Adressbücher, Konten-Einstellungen, Thunderbird-Einstellungen, gespeicherten Passwörter, Aufgaben, Kalenderdaten, Zertifikate und Daten der Funktionen von Add-ons.
Ordner-Laufwerk im Netzwerk o.ä. ist möglich.

- Thunderbird mit "thunderbird.exe -p" im Profilmanager öffnen.

  • Neues Profil erstellen, Ordner auswählen, fertig.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-12-30 17:39


Ciphermail email encryption gateway

 

  • Eine zentrale Gatewaylösung
  • Verschlüsselung mit Hilfe von S/MIME, OpenPGP und PDF
  • Automatische Ver- und Entschlüsselung von ein- und ausgehenden Emails
  • Optionale Verschlüsselung auf Grund eines Triggers in der Betreff-Zeile
  • Automatischer Import von Schlüsseln
  • Basiert auf Java (Spring)
  • Virtuelle Maschinen für VMware and Hyper-V verfügbar
  • Installationspackete für Ubuntu, Debian, RedHat/CentOS
  • Lizenziert nach AGPLv3, somit keine Lizenzkosten
  • Open Source aus Amsterdam / EU

 

Ciphermail-4.1.2-1-Ubuntu-16.04.zip laden und als VM installieren (min. 2GB, empfohlen: 4 GB RAM, 1 vCPU, 2 vCPUs recommended)
• SSH-Anmeldung: sa / sa

Links:
CipherMail Hersteller: https://www.ciphermail.com/
CipherMail dt.: https://www.ciphermail.info/
Cipher Installationsanleitung: https://www.net-cry.de/unix/automatische-e-mail-ver-und-entschluesselung-mit-djigzo

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-11-13 11:55


E-Mail Daten-Formate

Abruf-Formate

  • POP3 - E-Mail wird vom Server herunter geladen und (je nach Einstellung) vom Server gelöscht.
      - Daten liegen lokal und nicht beim Provider.
  • IMAP - Online-Postfach wird lokal angezeigt.
      - Daten liegen beim Provider.
  • Exchange Active Sync (EAS) - proprietäres MS-Format. ActiveSync Schnittstelle ist lizenzpflichtig. XML-basiertes Protokoll über HTTP/HTTPS, um E-Mails, Kontakte, Kalendereinträge, Aufgaben und Notizen von einem Nachrichten-Server mit einem mobilen Endgerät zu synchronisieren. Es können damit auch Geräte-Policies sowie Geräteeigenschaften bearbeitet werden. Der einzige Mail-Client auf einem Desktop-PC mit EAS-Unterstützung ist die Mail-App von Windows 10.
  • Exchange MAPI (HTTP bzw. RPC) - Protokoll für Exchange-kompatible E-Mail-Programme unter Windows oder MacOS. MS Outlook spricht kein EAS, sondern Exchange MAPI/RPC.

Datei-Formate

Format Beschreibung Programme
EML Daten im Textformat incl. Header, Formatangaben und HTML-Code unverschlüsselt lesbar. Anhänge werden als Base64 eingebettet.
Im Unterschied zu MBOX enthält jede EML-Datei genau eine Nachricht.
Datenformat u.a. von Thunderbird.
Outlook Express (nicht Outlook), Tobit David u.v.a.m. unterstützen das Datenformat.
Mailstore kann EML exportieren und importieren.
MBOX Daten im Textformat unverschlüsselt lesbar. Anhänge werden als Base64 eingebettet.
Kann im Unterschied zu EML komplette Ordnerstrukturen mit allen Nachrichten speichern.
Die Flexibilität macht MBOX zum sinnvollsten Backup- und Archivformat für E-Mail.
Nahezu alle E-Mail Programme außer Outlook können MBOX inclusive Anhänge importieren. Viele UNIX Mailserver verwenden MBOX. Thunderbird nutzt MBOX, läßt aber die Dateiendung weg.
Thunderbird kann mit AddOn "ImportExportTools NG" MBOX exportieren und importieren.
Apple Mail exportiert und importiert MBOX.
Mailstore kann MBOX exportieren und importieren.
MSG Proprietäres Outlook-Gegenstück zu EML. Binärformat, läßt sich aber im Texteditor lesen. MS Outlook per Drag&Drop oder "Datei speichern".
Mailstore kann MSG exportieren und importieren.
PST Lokaler Datenspeicher incl. Dateianhänge, Termine, Aufgaben, Kontakte.
Binäres, proprietäres Format von MS Outlook.
Sehr gut geeignet für Backup/Import/Export.
Outlook bei lokalen Konten, neue Versionen nur bei POP3-Abruf oder Backup, Export und Import.
Andere EMail-Clients wie Thunderbird können PST mit AddOns exportieren und importieren.
Mailstore kann PST exportieren und importieren.
OST Offline-Cache, wird vom Programm selbst verwaltet.
Binäres, proprietäres Format von MS Outlook.
Nicht für Backup/Export/Import geeignet.
Outlook ab 2016 beim Einsatz mit IMAP oder Exchange-Konten.

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-12-27 16:20


MDaemon Mailserver

Konfig-Backup: per Default täglich automatisch nach MDaemon/Backup/ in Originalstruktur.
Installationsdateien können einzeln per Drag & Drop zurück gespielt werden.

Webmailer: [IP-Adresse]:1000,3000

Outlook Connector wird auf dem jeweiligen Outlook-Client installiert.
(Zugriff auf den persönlichen und bei Bedarf auch auf den öffentlichen Bereich – jeweils bestehend aus E-Mails, Kalendern, Kontakten, Aufgaben und Notizen)

Aktivierung und Lizenzierung von ActiveSync-Schnittstelle und Outlook-Connector erfolgt pro User.
(MDaemon Connector in der GUI unter "Einstellungen" → "MDaemon Connector" aktivieren, im Fenster unter "Benutzerkonten" auswählen, welche MDaemon Benutzer zugriff auf den MDaemon Connector erhalten dürfen)
Der Betrieb des Outlook-Connectors im Terminalserver ist möglich.
Es können mehrere Mobilgeräte an ein Mailkonto mit einer ActiveSync-Lizenz angebunden werden.

Active Sync Connector (EAS): separate Lizenz erforderlich, Abgleich von E-Mail, Kontakten, Aufgaben, Kalender, Notitzen, öffentliche Ordner, öffentliche Kontakte, freigegebene Ordner anderer User (E-Mail, Kalender, Kontakte, Aufgaben).
Port: 80 oder 443
Test: https://hostname_des_servers.de/Microsoft-Server-ActiveSync
Zugriff mit Outlook ab Version 2013 (manuelle Konfiguration!)

IMAP: keine Connector-Lizenz erforderlich, synchronisiert E-Mails, aber keine Kontakte und Kalender.
Neben den Standardordnern des Benutzers werden auch öffentliche und freigegebene Ordner anderer Benutzer synchronisiert.

Mailadressen und Passworte auslesen:
- Benutzerkonten -> Export -> kommagetrennt (Benutzerrollen->Administratorkonten: globaler MDaemon-Administrator)
- ./MDaemon/App/accounts.csv

Firewall muß manuell angepasst werden (Webmailer: 443, Remoteverwaltung: 444, E-Mail).

Anleitung, Makros für Signaturen u.a.: http://help.altn.com/mdaemon/de/default-signatures_client.html

Supportforum: https://www.altn.com/Support/CommunityForums/

POP Vs. IMAP Vs. ActiveSync: https://blog.zensoftware.co.uk/2013/07/10/connecting-outlook-2013-to-mdaemon-pop-vs-imap-vs-activesync/

Verfasser: U.Kernchen
Letzte Änderung: 2021-11-04 13:43


Ubuntu Mail

Der Artikel wird zur Zeit überarbeitet und kann leider nicht angezeigt werden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-11-27 15:45


Ubuntu Sendmail

  • MUA: um Mails geordnet zu lesen, braucht man den Mail User Agent (MUA) (Konsole: mutt, GUI: Thunderbird)

  • MDA: Mail Delivery Agent (MDA) /CLI zum Versenden ist meist "mail", Name: "/usr/bin/mail" -> Symlink auf "/usr/bin/bsd-mailx"
  • komfortabler MDA für POP/IMAP ist "procmail"

  • MTA: Mail Transport Agent (MTA) nimmt Empfangsaufträge entgegen und versendet die Sendeaufträge
    Klassiker: sendmail, heute: posix, exim (die Großen) oder msmtp (per Script oder Terminal)
    Name: "/usr/sbin/sendmail" -> Symlink auf "/usr/sbin/exim4"
  • Mailempfang mit MTA erfolgt im Verzeichnis "/var/spool/mail" -> Symlink auf "/var/mail"
  • In einer Standard-Installation in "/var/mail" Verzeichnisse für die Nutzer angelegt, die Mails empfangen dürfen.
    ("/etc/aliases")
  • falls man Systemmails der daemons (bzw. crons) lokal als user "meinuser" lesen will, benötigt man den Eintrag
    "root: meinuser" in /etc/aliases
    (falls Du ihn hinzufügst nachher noch das Programm "newaliases" ausführen) und mutt als "meinuser" aufrufen.

msmtp

  • zum Senden über Internet muss in der Conf ein Relayhost eingetragen werden (Mailserver, Anmeldename, Passwort)
  • Sendmail compatible interface (command line options and exit codes)
  • Support for multiple accounts
  • TLS/SSL support including client certificates
  • MSMTP installieren: Linux: Einfach E-Mails versenden mit msmtp » DecaTec
  • Systemkonf: sudo nano /etc/msmtprc
  • Userkonf: nano ~/.msmtprc
  • Beispielkonfiguration: https://marlam.de/msmtp/msmtprc.txt
    + tls_certcheck off
  • Test: msmtp --serverinfo --host=mail.arcor.com --tls=on --tls-certcheck=off  (Host muss vorher konfiguriert werden!)
  • Sendetest: printf "Subject: MySubject\r\n\r\nTestmail." | msmtp --tls-certcheck=off -a default emailadresse@domain.de
  • MTA für Sendmail zuweisen:
    nano /etc/mail.rc
    set sendmail = "/usr/bin/msmtp -t --tls-certcheck=off"
    set sendmail = "/usr/bin/msmtp"
  • Aliase zuweisen: nano /etc/aliases
    root: email@domain.de
    meinuser:
    email@domain.de
    default: email@domain.de
  • Test mit MAIL: echo "Inhalt der E-Mail" | mail -s "Betreff" test@mail.de

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-11-28 12:55


Software » Grafik

Photoshop Plugins

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-05-13 09:24


Adobe Photoshop CS2 frei gegeben

Adobe hat die Aktivierungsserver für Photoshop CS2 abgeschaltet
und möchte allen Kunden weiterhin die Möglichkeit zur Aktivierung geben.
Aus diesem Grund hat Adobe die Downloads frei gegeben und generische Seriennummern veröffentlicht.
Die Nutzung ist nur für ehemalige Lizenznehmer gedacht.
Photoshop CS2 läuft auch noch unter Windows 10 und ist nach wie vor ein mächtiges Grafikwerkzeug.

Zur Aktivierung der Software müssen Sie die von Adobe bereitgestellte Seriennummer eingeben: 1045-1412-5685-1654-6343-1431

Die Freigabe betrifft neben Photoshop CS2 auch Acrobat Pro 7, Acrobat Pro 8, Indesign CS2, Illustrator CS2 und Adobe Premiere Pro 2.0
http://web.archive.org/web/20130108114753/http:/www.adobe.com/de/downloads/cs2_downloads/index.html

Presseberichte:
http://www.downloads.focus.de/downloads/vollversion-photoshop-cs2
http://winfuture.de/downloadvorschalt,3166.html

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-05-13 17:35


Video Bearbeitung, Präsentation, Konverter

OpenShot
- OpenSource
- nichtlineare Video-Bearbeitungs-Software für die Betriebssysteme Windows, macOS und Linux
- Videoschnitt, Titel, Effekte, 3D-Animationen, Zeitlupe/Zeitraffer
- unbegrenzt viele Spuren
- Blender 3.3 kompatibel

Avidemux
* Konvertieren zwischen WMV, AVI, MP4..
* Film schneiden
* Audio normalisieren

Shotcut
Videschnitt, free, Open Source
Schneiden, Konvertieren, Grafiken einfügen, Zoom, Zeitraffer/Geschwindigkeit, Audio Kompressor/Normalisieren/ein-ausblenden
https://shotcut.org/
Anleitungen: https://informatikkeller.de/
- Video öffnen und nach unten in Zeitachse ziehen
- an Abspielposition trennen, Bereiche entfernen, ein-/ausblenden
- Logo, Schrift, Pfeil o.ä. einfügen:
  1. neue Videospur oben erstellen,
  2. Grafik per Drag&Drop in neue Spur an gewünschter Position einfügen und Wiedergabezeit konfigurieren
  3. Filter "Größe, Position, Drehung" auf Grafik anwenden
- Zoom in Video:
  1. Clipbereich schneiden
  2. Filter "Größe, Position, Drehung" auf Video anwenden
- Zeitraffer:
  1. Clipbereich schneiden
  2. Eigenschaften: Geschwindigkeit ändern (Tonhöhe ändert sich natürlich mit)
  3. Lücke nach nun kürzerem Videobereich entfernen
- Standbild:
  1. Clipposition schneiden
  2. Frame als Bild exportieren
  3. Video ab Schnitt nach hinten schieben
  4. Frame an Position einfügen
- Audio Limiter:
  1. Clips oder Spur markieren
  2. Begrenzen auf Wunschpegel (0 dB)
  3. Verstärkung max. hoch
  4. Ergebnis exportieren
- SPEICHERN speichert das Projekt.
- EXPORTIEREN erzeugt gewünschtes Ergebnis.

OBS Studio
Erstellen von Videopräsentationen und Lernvideos, Open Source
- Quelle(n) mit "+" wählen
- Szenen enthalten vordefinierte Quellen und Positionen (Intro, Desktop, Werbung...)
- Ausgabe: Aufnahme-Format MKV lassen und als MP4 exportieren
- Aufnahme wird sofort gespeichert
- mehrere Audio- oder Videoquellen gleichzeitig möglich
- Text im Bild, Bild im Bild
Einstellungen: Ausgabemodus: Erweitert, Aufnahme Encoder: NVIDIA, Verzeichnis einstellen, Video:skalierte Auflösung
* Erstellt Bildschirmvideos / Screencasts in hoher Auflösung
https://obsproject.com/
Anleitungen: https://informatikkeller.de/

PenAttention
Betont den Mauspfeil mit einem farbigen Kreis für Video-Präsentationen.
Auch als Portable ZIP ohne Installation.

LosslessCut
Verlustfreier Videoschnitt, Frontend von FFmpeg
Open Source für Windows, macOS, Linux
Video wird nicht neu codiert, sondern an Keyframes verlustfrei geschnitten
Änderung des Containerformates ohne Qualitätsverlust,
Import/Export in vielen Formaten (MP4, MOV, MKV, AVCHD..)
Zusammenfügen von Videoschnipseln

WinX HD Video Konverter
Schlimme Oberfläche, aber funktionial leistungsstark, 4K, MP3, MP4...
Preisgünstig, in der Testversion ist das Video auf 5 Min begrenzt.
https://winxdvd.com

Kdenlive
Open Source Videoschnitt unter Linux und Windows
vielseitig und zuverlässig
vorgestellt in CT 2021, Heft 16, S.156ff.

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-13 18:41


Grafik Bearbeitung und Viewer

  • GIMP - extrem leistungsstarke freie Grafikbearbeitung für Windows, Linux und macOS
    - open source

  • Inkscape - freies vectorbasiertes Grafikprogramm für Windows, Mac OS X und Linux
    - Kompatibel mit vielen Dateitypen, u.a. standardisiertes SVG-Datenformat
    - Einbindung von Pixelgrafiken
    - umfangreiche Textbearbeitung
    - Bézier-Kurven und Spiralen
    - Exportformate: PNG, OpenDocument Drawing, DXF, sk1, PDF, EPS und PostScript uvm.

  • digiKam - freies Bildverwaltungsprogramm für Windows, Linux und macOS
    - open source
    - incl. Bildanzeige/bearbeitung "ShowFoto"
    - unterstützt alle gängigen Rastergrafikformate wie JFIF, JPEG 2000, TIFF, PNG, PGF und über DCRaw auch RAW-Daten und DNG
    - erstellt SQLite - Datenbank für Bewertung, Stichworte, Kategorien

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-13 18:23


Betriebssysteme » Windows 10 - 11

lokales Windows-Passwort zurück setzen

- Windows 10 von Installations-CD booten.

- "Computerreparaturoptionen" -> "Problembehandlung" -> "Erweiterte Optionen" -> "Eingabeaufforderung" öffnet CMD-Box.

- Laufwerk der Windows-Installation suchen.

- nach \Windows\System32\ hangeln.

  ("Erleichterte Bedienung" im Anmeldebildschirm steckt hier in "Utilman.exe")

- "RENAME utilman.exe" und "COPY cmd.exe utilman.exe" ersetzt utilman.exe mit cmd.exe.

- Live-Windows neu starten.

- Klick auf "Erleichterte Bedienung" im Anmeldebildschirm öffnet jetzt CMD-Box als "nt-autorität\system" !

- "net user [Username] [Passwort]" weist dem User ein neues Passwort zu.

...fertig!

Das ist kein besonderes Sicherheitsleck und nur ein Weg von vielen.
Wer lokal vor einem unverschlüsselten Windows-PC sitzt, kommt auch hinein bzw. an die Daten.
-> HD verschlüsseln!

getestet bis Win10 v1903

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-12-31 12:55


OneDrive deinstallieren

Windows 11:
-> Bloatynosy

Windows 10:
• Run:

C:\Windows\SysWOW64\OneDriveSetup.exe /uninstall (64 bit) or
C:\Windows\System32\OneDriveSetup.exe /uninstall (32 bit)

• OneDrive-Symbol in Windows 10 aus dem Explorer zu entfernen: Regedit: HKEY_CLASSES_ROOT\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6} System.IsPinnedToNameSpaceTree von 1 auf 0 setzen.

Auf 64-bit Windows zusätzlich Vorgang wiederholen: HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}

• Gruppenrichtlinie: Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, OneDrive  Verwendung von OneDrive für die Datenspeicherung verhindern = aktiviert.

Mehr dazu bei Microsoft.

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-18 14:42


Abgesicherter Modus bei Windows 10

• beim Booten: Strg-F8 wie üblich. Meist ist der PC aber zu schnell.

• beim Login: STRG-ALT-ENT drücken, bei gedrückter SHIFT-Taste Neustart anklicken.

• aus Windows heraus: bei gedrückter SHIFT-Taste Neustart anklicken.

• mit MSCONFIG: Reiter Start(Boot) anklicken, Haken bei "Abgesichert" und "Netzwerk" setzen. (hinterher wieder zurück setzen!)

• per Script: shutdown.exe /r /o /f /t 00

• von Boot-CD/USB: im Fenster "Jetzt installieren" auf "Computerreparatur klicken.

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-07-27 18:28


Cortana deaktivieren

Cortana heißt die Windows 10 Spracheingabe und Suchassistent. Cortana arbeitet zwingend mit Bing und Edge zusammen und hätte am liebsten die Anmeldung über ein MS-Konto.

- in Built 1803 schaltet Cortana wie unten ab, aber trotz Anpassung von 1709 (GPO oder Registry) werden Suchbegriffe an Bing übertragen.
Abhilfe Registry: Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Search\
- DWORD(32) Wert: Bing-SearchEnabled = 0
- DWORD(32) Wert: CortanaConsent = 0

- Cortana sucht nur noch lokal: Reg-Key (getestet mit Built 1703-1709):
für aktuellen User: Computer\HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Windows Search  DWORD32: AllowCortana = 0
Systemweit: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search  DWORD32: AllowCortana = 0
Nun ist Cortana weg und läßt sich auch nicht mehr einblenden, und die Suche geht nicht mehr ins WEB.

 - Cortana per GPO deaktivieren (ab 1608 nur Pro und Enterprise Edt.): Computerkonfig > Admin.Vorlagen > Windows Komponenten > Suche: Cortana = deaktiveren.

- Cortana deaktivieren geht ab Built 1607 nicht mehr per Button.

- Rechtsklick in leere Stelle der Taskleiste -> Cortana -> Ausblenden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2019-03-01 13:47


Windows 10 "vergisst" den Standarddrucker

Dieses Verhalten ist von MS gewollt.
Windows 10 setzt immer den zuletzt benutzen Drucker als Standarddrucker.

Abstellen unter Geräte / Drucker & Scanner / Einstellungen: "Standarddrucker von Windows verwalten" -deaktivieren.

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-10-20 14:03


Tools, Infos, Hilfe

W10 Privacy

Universaltool für diverse Datenschutz-/Update-Systemeinstellungen

in Windows 10.

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-07-17 13:36


alte Fotoanzeige aktivieren

Fotoviewer unter Windows 10 oder Server 2016 weiter nutzen:

- Registry: "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Photo Viewer\Capabilities\FileAssociations"

- neue Zeichenfolge: ".jpg" anlegen (bzw. auch für PNG, JPEG, GIF oder BMP)

- Wert = "PhotoViewer.FileAssoc.Tiff"

- beliebiges Bild öffnen und neuen Standardviewer "Windows Fotoanzeige" auswählen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-02-18 06:14


Windows findet kein deutsches Sprachpaket nach Upgrade 1703

- Sprachpaket von MS laden

- "LPKSetup" ausführen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2017-05-03 18:00


Windows 10/11 Installation und Update

Das Update gelingt meist problemlos und Windows 10/11 läßt sich verlustfrei auch über Windows 7 / 8 / 10 installieren. Alle Daten und Einstellungen bleiben auf Wunsch erhalten, die meisten Programme laufen wie gewohnt.
Trotzdem sichert man natürlich wichtige Daten vor dem Update!

  • 32-bit kann nur auf 32-bit und 64-bit nur auf 64-bit ugraden ohne Neuformatieren
  • Windows 11 unterstützt kein 32-bit mehr
  • Antivirus möglichst vor dem Update deinstallieren. Zumindest aber aktualisieren. Hinterher Funktion überprüfen bzw. neu installieren.
  • einige Programme (AutoCAD!) müssen ggf. neu lizenziert werden.
  • normale (auch ältere) Anwendungen laufen wie unter Windows 7/8/10.

Nutzer von Windows 7 oder Windows 8 / Windows 10 konnte lange Zeit kostenlos auf Windows 10/11 umzusteigen.
Dieser Umstieg war bis Oktober 2023 immer noch möglich, funktioniert danach aber nicht mehr.
Das Update von Windows 10 auf Windows 11 ist weiterhin kostenlos.

Windows 11 Systemanforderungen checken / erfüllen

Windows 11 MediaCreationTool oder ISO-Image direkt von MS laden:
https://www.microsoft.com/en-us/software-download/windows11

Windows 10 MediaCreationTool direkt von MS laden:
https://www.microsoft.com/en-us/software-download/windows10

Vollständige ISO-Files:
https://www.computerbase.de/downloads/systemtools/windows-10/

Bootfähigen USB-Stick erstellen:
https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1211

Wenn es bei Win10 knallt, hilft vielleicht das:
https://www.borncity.com/blog/2015/07/30/windows-10-upgrade-troubleshooting-faq-teil-1/

Windows Lizenzfragen und generische Keys

Wichtig! Datenschutz-Einstellungen nicht auf Expresseinstellungen belassen!
Es muß praktisch jeder Schalter entgegengesetzt eingestellt werden, um keine private Abhöranlage zu installieren.
Praktisches Tool, auch für CommandLine Installation: https://www.winprivacy.de/
oder ShutUp von O6O Software: https://www.oo-software.com/de/shutup10

Nach Installation und Test mit Datenträgerbereinigung vorhergehende Windows-Installation (Windows.old) löschen. Das sind einige GB. Danach ist aber kein Rollback mehr möglich!

Beim Upgrade entstehen 2 ziemlich große Ordner auf dem PC:
$Windows.~WS (4,5 GB) - der Download-Ordner mit den Upgrade-Dateien
$windows.~BT (650 MB) - der Ordner, der durch das Media Creation Tool erstellt wird.
Die Ordner sollten nach erfolgreichem Update verschwunden sein bzw. können gelöscht werden.

Die Update-Verteilung in Windows 10 funktioniert nach dem P2P-Filesharing Prinzip und erfolgt nicht zwingend von den MS-Servern.
PCs im LAN und auch im Internet, die das Update schon geladen haben, stellen es automatisch für andere Anwender bereit.
Eine feine Sache, wenn man mehrere PCs hat. Schlecht, wenn man ein Volumenkontigent hat.
Die Funktion ist standardmäßig aktiviert. Die Einstellung befindet sich unter Update und Sicherheit --> Windows Update --> Erweiterte Optionen --> Übermittlung von Updates.

Überprüfen der aktuellen Installation auf Retail- oder OEM-Lizenz: In administrativer CMD: slmgr.vbs /dli 

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-09 22:04


Win10/11: Werbung ausschalten

Windows 10:

- Einblenden von Werbekacheln unterbinden
- automatische Installation von Spielen und Apps unterbinden
- "Blickpunkt" mit tägliche neuen Hintergrundbildern im Sperrbildschirm deaktivieren

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ContentDeliveryManager - Schlüssel "ContentDeliveryManager" mit allen Unterschlüsseln löschen.

Startmenue von Bloatware bereinigen: C:\Users\Default\AppData\Local\Microsoft\Windows\Shell\DefaultLayouts.xml - leer machen 

Powershell: Get-AppxPackage|Remove-AppxPackage  - deinstalliert alle Apps inclusive AppStore! (einziger Verlust: Taschenrechner)


Windows 10 / 11:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-09 15:35


Start-Kacheln anpassen

- Kacheln auf einem Referenz-Computer einrichten.

- Export der Kacheln des aktuellen Benutzers per PowerShell:

export-startlayout -path c:\temp\start.xml

Problem: bei Desktop-Apps wird hier nur der Link auf eine Verknüpfung gespeichert (DesktopApplicationLinkPath).
Sinnvoller wäre hier die "Desktop-ApplicationID".
Die Liste aller Programme mit ID bekommt man per PS:

get-startapps | fl

Das sieht für eine Remotedesktop-Verknüpfung (ganz oben links) so aus:

<start:DesktopApplicationTile
DesktopApplicationID= "Microsoft.Windows.RemoteDesktop"
Size="2x2"
Row="0"
Column="2"/>

Damit kann die Kachel vom Anwender nicht geändert werden.
Soll man sie ändern können, ist folgende Ergänzung im Tag <DefaultLayoutOverride> nötig:

<DefaultLayoutOverride LayoutCustomizationRestrictionType= "OnlySpecifiedGroups">

- fertige XML-Datei ins Netz kopieren und per GPO verteilen:
Computerkonfiguration / Richtlinien / Administrative Vorlagen / Startmenü und Taskleiste / Startlayout
Vorlage aktivieren, Pfad zur XML-Datei hinterlegen

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-06-08 17:59


Windows Store deaktivieren, Standard-Apps anpassen

Windows Store deaktivieren geht seit Built 1511 nur noch ab Enterprise Edition über die Gruppenrichtlinie.

Man kann sich aber mit der PowerShell weiter helfen.

Liste der App-Pakete (Name + Fullname) auf dem PC:

Get-AppxPackage | select-object -Property Name, PackageFullName

Pakete für den Current User lassen sich entfernen mit:

Remove-AppxPackage [PackageFullName]

Beispiel MS Store:

Remove-AppxPackage Microsoft.WindowsStore_11805.1001.42.0_x64__8wekyb3d8bbwe


Liste Apps, die ein neuer Benutzer bekommt:

Get-AppXProvisionedPackage -Online

GUI zum Entfernen von Standard-Apps:

Get-AppXProvisionedPackage -Online |
 Out-GridView -PassThru |
 Remove-AppxProvisionedPackage -Online

Zu entfernende Apps markieren und OK drücken.
Damit kann man auch den Store selbst entfernen.

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-06-22 13:32


Win10/11: Schnellstart (Hybridmodus) deaktivieren

Hybridmodus (inclusive Schnellstart) deaktivieren.
(Meine Empfehlung für alle stationären PCs)
DOS-Box:

powercfg -h off


Win10: Schnellstart deaktivieren: (Energie -> Auswählen, was beim Drücken des Netzschalters geschehen soll)

Win11: powercfg.cpl -> Aktion beim Drücken des Netzschalters konfigurieren

Schnellstart per GPO deaktivieren: Computer/Administrative Vorlagen/System/Herunterfahren -> Verwenden des Schnellstarts erforderlich=deaktivieren

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-03-22 15:55


Netzwerk kann nicht durchsucht werden (SMB1)

Microsoft deaktiviert seit Windows 10 Funktionsupdate 1709 und verstärkt mit 1803 das veraltete SMB1-Protokoll.

Im Funktionsupdate 1803 hat sich hier ein Bug eingeschlichen und es werden gelegentlich überhaupt keine Netzwerke mehr durchsucht.
MS kennt das Problem und wird möglicherweise patchen.

Bis dahin hilft es, folgende Dienste auf "Autostart" bzw. "Verzögerten Autostart" zu stellen:

  • Computer Browser (Browser)
  • Function Discovery Provider Host (FDPHost)
  • Function Discovery Resource Publication (FDResPub)
  • Network Connections (NetMan)
  • UPnP Device Host (UPnPHost)
  • Peer Name Resolution Protocol (PNRPSvc)
  • Peer Networking Grouping (P2PSvc)
  • Peer Networking Identity Manager (P2PIMSvc)

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-08-31 16:44


Windows 10: Updates ausblenden

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-10-23 17:03


Windows 10 und Server 2019 GPOs

MS Download der Administrativen Templates (.admx) for Windows 10 Mai 2020 Update (2004)
Unterstützt: Windows 10, Windows 7, Windows 8, Windows 8.1, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016, Windows Server 2019.

MS Download der Administrativen Templates (.admx) for Windows 10 October 2018 Update (1809) 
Die Templates sind wie in den letzten Jahren nicht frei von Fehlern.
Workaround: Englische Tempates in das de-DE Verzeichnis kopieren.
  Oder man nimmt die Dateien von einem installierten Windows 1809.

MS Download Excel-Tabelle mit allen GPO- Einträgen in den verschiedenen OS-Versionen.

RSAT ist ab Windows 10 1809 kein eigener Download mehr!
Installation über Apps & Features -> Optionale Features verwalten -> Feature hinzufügen.
siehte: RSAT unter Windows 10 ab 1809


Verfasser: Uwe Kernchen
Letzte Änderung: 2020-06-17 17:06


Datenschutz / Telemetriedaten deaktivieren

Datenschutz -> Allgemein:  alles aus schalten

Datenschutz -> Spracherkennung:  aus schalten

Datenschutz -> Freihand- und Eingabeanpassung:  aus schalten

Datenschutz -> Diagnose:  auf "Standard". Weniger geht leider nicht.

Datenschutz -> Diagnose -> Individ. Benutzererfahrungen: aus schalten

Datenschutz -> Diagnose -> Feedbackhäufigkeit: nie

Datenschutz -> App-Berechtigungen:  alles aus schalten
  Einstellung betrifft nur Store-Apps, keine normalen Programme.
  Wenn doch mal eine App Berechtigungen benötigt, fragt sie.

Lokales Benutzerkonto verwenden statt MS Online-Konto

Windows Suche vom WEB fern halten:
  bis 1909: REG-Eintrag -> Download
  ab 2004: Firewall -> Erweiterte Einstellungen -> Ausgehende Regeln -> Regel "Windows Search", Allgemein: Verbindungen blocken.

Übertragung der Telemetriedaten deaktivieren:

MS Edge Browser:
Registry: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Edge
DWORD (32-bit)-Wert anlegen: "Edge3PSerpTelemetryEnabled", Wert 0 = Telemetrie deaktiviert

Windows 10 Enterprise, Education oder Windows Server:
- Telemetriedaten Stufe "Sicherheit" einstellen
  GPO: Richtlinie Lokaler Computer/Computerconfig./Admin.Vorlagen/Windows Komponenten/Datensammlung und Vorabversionen/Telemetrie zulassen -> Stufe = Sicherheit
ACHTUNG! Diese Einstellung geht nur bei konfiguriertem WSUS oder SCCM, denn sie unterbindet auch MS Update.

Dienst: DiagTrack (Benutzererfahrung und Telemetrie im verbundenen Modus) ->Dienst deaktivieren funktioniert lauf CT und BSI (im Moment) gut und ohne Nebenwirkungen
Win10/11: "Benutzererfahrung und Telemetrie im verbundenen Modus"
Win8: "Diagnostics Tracking Service"

Wollen Sie Windows vollständig an der Datenübermittlung hindern, muß der PC vom Internet getrennt werden.

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-02-04 11:36


RSAT (u.a. optionale Features) unter Windows 10 ab 1809

RSAT ist ab Windows 10 1809 kein eigener Download mehr.
Installation über Apps & Features -> Optionale Features verwalten -> Feature hinzufügen.

Probleme beim Hinzufügen von Features?
- Dienst: "Windows Modules Installer" muß laufen.
- ggf: "DISM.exe /Online /Cleanup-image /Restorehealth" ausführen.

Probleme in WSUS-Umgebungen?
- im WSUS unter "Optionen -> Produkte&Klassi­fizierungen -> Windows 10 Feature on Demand" auswählen.
  Das hilft aber nicht für RSAT.
- GPO: "Computerkonfiguration => Richtlinien => Administrative Vorlagen => System": Einstellungen für die Installation von optionalen Komponenten und die Reparatur von optionalen Komponenten: "Reparieren und optionale Features nicht von WSUS, sondern direkt von MS laden"
- nach GPUPDATE geht es.
Siehe: https://www.windowspro.de/wolfgang-sommergut/optionale-features-rsat-1809-wsus-umgebungen-installieren

Verfasser: Uwe Kernchen
Letzte Änderung: 2019-02-15 11:49


Windows 1903 und Server 1903 GPOs

Verfasser: Uwe Kernchen
Letzte Änderung: 2019-05-24 12:05


Windows 10-11 Home / S Mode

Windows Home nicht mit dem Internet koppeln, bevor das lokale Nutzerkonto angelegt ist.
Windows Home zwingt sonst zur Nutzung eines MS-Kontos.

Administrator-Konto aktivieren: Adm. CMD: "Net user Administrator /active:yes"
Passwort setzen: "net user "Administrator" *"

Nutzer umbenennen, Gruppenmitgliedschaft ändern: "Control userpasswords2"

S - Modus beenden unter Updates / Aktivierung / Store aufrufen - beliebiges MS Konto erforderlich
  - Konto nur für Apps benutzen
Windows 11 Home: „System“ > „Aktivierung“ > „S-Modus“

Office-Spam in vielen Sprachen auf einmal deinstallieren siehe Deinstallationstool.

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-22 15:15


Windows Kennwort Sicherheitsfragen

Windows 10 erlaubt das Rücksetzen des lokalen Benutzerpasswortes nach Beantwortung von 3 Sicherheitsabfragen, die der Nutzer vorher definiert hat.
Das funktioniert nicht bei Geräten in der Domäne.
Gemeint ist das lokale (offline) Kennwort, nicht die Anmeldung über ein Microsoft Konto.

Die Sicherheitsabfragen lassen sich wie folgt festlegen oder ändern:

  1. Am PC oder Notebook mit dem gewünschten Nutzerkonto anmelden
  2. Windows-Einstellungen aufrufen z.Bsp. mit [WIN] + [I]
  3. -> Konten
  4. -> Anmeldeoptionen
  5. -> Kennwort
  6. -> Sicherheitsabfrage setzen/aktualisieren
  7. Nutzerkennwort bestätigen
  8. Drei Sicherheitsfragen auswählen und Antworten eingeben.

Leerzeichen bzw. Groß-/Kleinschreibung bei den Antworten beachten.

Wenn das Anmeldepasswort vergessen wurde, taucht nach Eingabe des falschen Passwortes der Link "Kennwort zurücksetzen" auf.
Nach Eingabe der drei Sicherheitsabfragen kommt man in den Dialog zum Festsetzen des neuen Passwortes.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-10-30 15:13


Windows IoT Versionen

  • Windows 11 IoT Enterprise ist keine LTSC-Version, erhält also nur 36 Monate Support

  • Windows 10 LTSC Enterprise 21H2 wird nur noch fünf Jahre Support bekommen

  • Windows 10 IoT Enterprise 21H2 wird eine LTSC-Version mit 10 Jahren Support sein

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-10-06 15:57


Windows 11 Systemvoraussetzungen

Einrichtung in VMWare Workstation

- Options -> Access Control -> Encryption aktivieren
- Options -> Advanced -> UEFI Boot
- Hardware -> Add.. -> TPM

Einrichtung in Hyper-V

- Security: Enable TPM-Modul
- Prozessor: 2 virtual CPU

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-01-15 22:35


Windows 11 optimieren

  • Taskleisteneinstellungen: ggf. Teams-Chat entfernen
  • Computerschutz (Systemschutz) aktivieren
  • Personalisierung / Start: Empfehlungen anzeigen = aus
  • Personalisierung / Taskleiste: Suchen= aus
  • Personalisierung / Taskleiste: Widgets= aus
  • Personalisierung / Taskleiste / Verhalten der Taskleiste: Links
  • Explorer / Optionen: Dateien von Office.com anzeigen = aus
  • Lokales Konto verwenden: Konto -> Ihre Infos -> "Stattdessen mit einem lokalen Konto anmelden" (geht im Moment noch sogar mit Home)
    Wenn lokales Konto nicht mehr geht: Microsoft-Konto ="Microsoft", PW beliebig. Windows meldet "Konto ist gesperrt" und bietet lokales Konto an.
  • Einstellungen / Spielen: Spielemodus deaktivieren
  • Einstellungen / System / Benachrichtigungen / Zusätzliche Einstellungen: Tips und Vorschläge = deaktivieren
  • Taskleiste: Widgets (Werbung) deaktivieren
    GPO: Computer­konfiguration => Richtlinien => Administrative Vorlagen => Windows-Komponenten => Widgets = deaktivieren

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-12 14:07


Windows 10/11 Suche nur lokal

Windows-Suche bringt keine Web-Ergebnisse und sucht nur lokal:

Systemweit:
Registry: \HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
  - Schlüssel anlegen "Explorer"
  - DWord32 anlegen: DisableSearchBoxSuggestions
  - Wert = 1

Nur für aktuellen Benutzer:
Registry: \HKEY_CURRENT_USER\...  wie oben

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-02-19 22:04


Windows 11 Installation unterbinden

  • bis 10 Tage nach dem Upgrade auf Windows 11 kann man zu Windows 10 zurück wechseln
    ( System -> Wiederherstellung -> "Zurück")
  • Upgrade auf Win11 unterbinden per Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
    - 32-Bit-DWORD (REG_DWORD) Wert "TargetReleaseVersion" anlegen, Wert= 1
    - Zeichenfolge (REG_SZ) Wert "TargetReleaseVersionInfo" anlegen, Wert= "21H1" oder "21H2" (Wert sollte höher als die vorhandene Build sein)
  • Upgrade auf Win11 unterbinden per GPO (lokal oder zentral)
    - Computerkonfiguration > Administrative Vorlagen > Windows-Komponenten > Windows Update -> Windows Update für Unternehmen
    Zielversion für Funktionsupdates:
    * Windows Produktversion: Windows 10
    * Zielversion der Funktionsupdates: 22H2

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-04-12 17:03


Windows 10/11 Grundschutz einrichten

  • MS blendet standardmäßig Dateiendungen aus, so dass man nicht wirklich eine PDF von einer EXE unterscheiden kann (spinnen die bei MS?).
    -> Explorer / Optionen / Ansicht / "Erweiterungen bei bekannten Dateitypen ausblenden" abhaken

  • Ordner erstellen für Benutzer im Root-Verzeichnis unterbinden
    -> LW C: Sicherheit / Erweitert / Erweiterte Berechtigungen:
    • (Auth)Benutzer = "Ordner erstellen/Daten anhängen" von "Diesen Ordner, Unterordner" ändern in "Nur Unterordner"
    • Für alle lokalen Laufwerke wiederholen

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-03-22 17:04


Windows: Treiber übernehmen auf anderen PC

Alter PC:
Alle Treiber exportieren (Befehl unten) und auf neuen PC kopieren.
Das läuft einige Zeit und erstellt viele Ordner + Treiberpakete.

pnputil /export-driver * d:\treiber

Neuer PC:
Bei Geräten ohne passenden Treiber "Treiber aktualisieren" wählen, "Auf meinem Computer nach Treibern suchen", o.g. Export-Verzeichnis angeben.

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-02-22 17:30


Win11 23H2: Explorer Einstellungen wieder herstellen

  • getestet unter Windows 11 Fkt.23H2
  • stellt altes Kontext-Menue wieder her (erster Eintrag)
  • stellt Ribbons wieder her
  • Einstellungen werden nur im aktuellen Benutzer gesetzt und erst nach Neustart wirksam
  • sollte die Ribbon-Leiste nicht sichtbar sein: Explorer-Einstellungen zurück setzen
  • Explorer: Abstand der Einträge auf "Compact" ändern

Einstellungen setzen
REG-Datei:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}]
@="File Explorer Context Menu" [HKEY_CURRENT_USER\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InProcServer32] @="C:\\Windows\\System32\\Windows.UI.FileExplorer.dll_" "ThreadingModel"="Apartment"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{2aa9162e-c906-4dd9-ad0b-3d24a8eef5a0}]
@="CLSID_ItemsViewAdapter" [HKEY_CURRENT_USER\Software\Classes\CLSID\{2aa9162e-c906-4dd9-ad0b-3d24a8eef5a0}\InProcServer32] @="C:\\Windows\\System32\\Windows.UI.FileExplorer.dll_" "ThreadingModel"="Apartment"
[HKEY_CURRENT_USER\Software\Classes\CLSID\{6480100b-5a83-4d1e-9f69-8ae5a88e9a33}] @="File Explorer Xaml Island View Adapter" [HKEY_CURRENT_USER\Software\Classes\CLSID\{6480100b-5a83-4d1e-9f69-8ae5a88e9a33}\InProcServer32] @="C:\\Windows\\System32\\Windows.UI.FileExplorer.dll_" "ThreadingModel"="Apartment"

 

Einstellungen wieder entfernen
REG-Datei:

Windows Registry Editor Version 5.00
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}]
@="File Explorer Context Menu"
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{86ca1aa0-34aa-4e8b-a509-50c905bae2a2}\InProcServer32]
@="C:\\Windows\\System32\\Windows.UI.FileExplorer.dll_"
"ThreadingModel"="Apartment"

[-HKEY_CURRENT_USER\Software\Classes\CLSID\{2aa9162e-c906-4dd9-ad0b-3d24a8eef5a0}] @="CLSID_ItemsViewAdapter"
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{2aa9162e-c906-4dd9-ad0b-3d24a8eef5a0}\InProcServer32] @="C:\\Windows\\System32\\Windows.UI.FileExplorer.dll_" "ThreadingModel"="Apartment"
[-HKEY_CURRENT_USER\Software\Classes\CLSID\{6480100b-5a83-4d1e-9f69-8ae5a88e9a33}] @="File Explorer Xaml Island View Adapter" [-HKEY_CURRENT_USER\Software\Classes\CLSID\{6480100b-5a83-4d1e-9f69-8ae5a88e9a33}\InProcServer32] @="C:\\Windows\\System32\\Windows.UI.FileExplorer.dll_" "ThreadingModel"="Apartment"

Windows 11 Startmenue links:

Registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
DWORD (32bit) TaskbarAl Wert 0 (letzten beiden Buchstaben sind AL nicht Ai)

Powershell:

#TaskbarAl
$taskbarAl = 0000000
$regpath = "HKCU:\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
New-ItemProperty -Path "$regpath" -Name "TaskbarAl" -Value "$taskbarAl"  -PropertyType "DWORD" -Force


Explorer: Abstand der Einträge auf "Compact" ändern
Registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
(Reg DWord) UseCompactMode = 1
0 - großer Abstand
1 - Kompakt


Quellen:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-19 13:52


Betriebssysteme » Windows Server

Access Based Enumeration

Es werden dem User nur noch Freigaben, Verzeichnisse u. Dateien angezeigt, auf die er Zugriff hat.
Verfügbar unter microsoft.com/downloads/ für x86, amd64 und ia64
Voraussetzung: Win2003 Server + SP1
In Win2008-R2 bereits eingebaut: "Freigabe- und Speicherverwaltung" -> Eigenschaften/Erweitert -> "Zugriffsbasierte Aufzaehlung aktivieren"

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:21


Domaincontroller Restore von Backup

* Alleinstehende AD-Server ohne Replikationspartner können (innerhalb der Thombstone-Zeit) problemlos vom Image o.ä. wieder hergestellt werden.
* Bei mehreren AD-Controllern in der Domain:
- Rücksicherung des defekten Servers.
- Start sofort im Verzeichnisdienstwiederherstellungsmodus (Normalstart versaut AD!)
- Regedit.exe aufrufen und kontrollieren, ob der Wert "DSA Previous Restore Count" unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NTDS\Parameters vorhanden ist.
Wenn ja, dann den Eintrag im Wert nur notieren. Wenn nein, nichts tun. Den Wert NICHT erstellen.
- Erstellen des Wertes "Database restored from backup" unter HKLM\SYSTEM\CurrentControlSet\Services\NTDS\Parameters Datentyp: REG_DWORD; Wert=1
- Domänencontroller normal starten. Prüfen, ob sich der notierte Wert (DSA Previous Restore Count) um 1 erhöht hat.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:21


Domain Serverrollen (FSMO)

Abfrage aller Single-Master Serverrollen mit "netdom query FSMO" (W200x-CD/Support-Tools)
oder "dumpfsmos [SERVER]" (W200x- Res.kit)
dsquerry -server - FSMOs mit ihren DistinguishedNames
dsquerry -server -hasfsmo pdc - findet Server mit FSMO PDC-Rolle (alle 5 möglich)
dsquerry -server -isgc - findet alle DCs, die globale Katalogserver sind

Powershell: Get-ADDomain und Get-ADForest

Name Anzahl Funktion Verwaltung
Globaler Katalogserver beliebig oft;
min. 1x je Standort empfohlen
- enthält Informationen zum Speicherort beliebiger Objekte im AD (Universelle Gruppen, UPNs);
- ist in Einzeldomäne (1 DC) nicht erforderlich
AD- Standorte und Dienste
Schemamaster 1x pro Gesamtstruktur - führt Änderungen am Schema durch; alle anderen DCs lesen Schema nur Snap-In: "AD Schema" (schmmgmt.dll aus adminpak.msi registrieren per 'regsvr32 schmmgmt.dll')
Domänenamen-Master 1x pro Gesamtstruktur - führt Änderungen an Domänenzuordnung durch;
- soll gleichzeitig globaler Katalog sein
AD Domänen- und Vertrauensstellungen
PDC - Emulator 1x pro Domäne - liefert Berechtigungen für NT4- BDCs, führt Kennwortänderungen als Erster durch;
- synchronisiert die Zeit mit allen DCs
AD Benutzer und Computer
RID - Master 1x pro Domäne - weist jedem DC Blöcke von RIDs zur Vergabe eindeutiger SIDs zu AD Benutzer und Computer
Infrastructur - Master 1x pro Domäne - verwaltet domänenübergreifende Gruppenmitgliedschaften;
- ist erst bei mehreren Domänen in einer Struktur nötig;
- gleicht alle GCs ab, darf nicht selbst globaler Katalog sein
AD Benutzer und Computer


FSMO-Übergabe (Bsp.: PDCEmulator) per Powershell:
(FSMO-Übernahme erzwingen mit -Force)

Move-ADDirectroyServerOperationMasterRole -Identity "DC02" -OperationMasterRole,PDCEmulator


Die FSMO-Rollen lassen sich ausser in den oben genannten GUIs auch per NTDSUTIL verschieben.

roles
connection
connect to server [FSMO-NEU]
quit
transfer schema master
transfer naming master
transfer RID master
transfer PDC
transfer Infrastructure Master

Hinweis: Nur der erste DC einer Domäne trägt das EFS Widerherstellungszertifikat! Export des EFS Widerherstellungsagenten nicht vergessen!


Computer offline in Domäne aufnehmen mit DJOIN (https://www.msxfaq.de/windows/djoin_offline_domain_join.htm)

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-07-15 08:57


Netzwerkerkennung läßt sich nicht einschalten

Es müssen folgende Dienste laufen:
- DNS-Client
- Funktionssuche-Ressourcenveröffentlichung
- SSDP-Suche
- UPnP-Gerätehost

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:21


WINS

- "net view" zeigt aktuelle Browserliste
- "Arbeitsstationsdienst" und "Server" müssen laufen. "Computerbrowser" für Master Browser.
- "Datei- u. Druckerfreigabe" und "Client für MS Netzwerke" müssen aktiviert sein.
- Ausnahme "Datei- u. Druckerfreigaben" in der Windows-Firewall muß aktiviert sein.
- unsichtbare PCs finden mit "net config server", beheben mit "net conf.. /hidden:no"
- Browserliste wird alle 12 min. aktualisiert oder mit "browstat" aus den XP Support Tools.("browstat fa 1 [workgroup]")
- "browstat status" verrät u.a. den aktuellen Master Browser und ggf. Backup Browser.
- zwangsweise Übernahme des Master Browsers: "browstat elect 1 [workgroup]"
- PC mit mehreren Netzwerkschnittstellen (auch virtuell!) sollten kein Master Browser sein.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:21


Gruppenrichtlinien

Reihenfolge der Abarbeitung:

  1. Lokale Richtlinie (Local Policy)
  2. (Multi Lokale Richtlinien, mit Vista eingeführt)
  3. Standortrichtlinien (Site)
  4. Domänenrichtlinien (Domain)
  5. OU-Richtlinien von der übergeordneten OU zur untergeordneten. (OU)

Der letzte Wert gewinnt.

 

* Anzeige des Gruppenrichtlinien-Ergebnisses für aktuellen Benutzer und PC mit gpresult.exe.
Komfortabler: MMC "Richtlinien-Ergenissatz".

* Aktualisierung der Gruppenrichtlinien mit gpupdate /force.
* Konto-Richtlinien (Kennwortlänge..) werden nur einmal pro Domain abgearbeitet, i.Allg. in der Default Domain Policy.

* Richtlinien abfragen mit: gpresult /scope computer /v >c:\GPO.txt 

Domain auf neue Version aktualisieren: als Schema-Admin "adprep /forestprep" und "adprep /domainprep" von der jeweiligen Server-CD ausführen.

• Ablageort lokal: C:\Windows\PolicyDefinitions
• Ablageort Domain: \\<Domainname>\SYSVOL\Policies\PolicyDefinitions
Der komplette Ordnerinhalt kann gelöscht werden.
Jede darin enthaltene Datei läßt sich aus einem laufenden System oder aus dem Internet herunter laden.
ADMX-Dateien sind austauschbare Objekte mit GPO-Einstellungen +Anzeigenamen für die Konfigurationsdatei registry.pol.

Domain-GPO überschreibt lokale GPO, außer in der lokalen Registry gibt es diesen Eintrag:

HKEY_LOKAL_MASCHINE\Software\Policies\Microsoft\Windows\Group Policy
  EnableLocalStoreOverride=1  (Reg_DWord)

Konfigurationsdatei registry.pol kann angepasst werden durch ADMX-Dateien oder MS PowerShell CMDlets (https://www.dsinternals.com/en/).
• Set-GPRegistryValue
• Remove-GPRegistryValue


Links und Quellen:

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-02-05 12:36


Domainen-Gruppen

Gruppe / ModeGeltungsbereichhat Mitgliederist Mitglied von
Universelle Gruppe (UG)
(nur einheitl. Mode)
Gesamtstruktur Benutzer (H) und beliebige Gruppen aller Domains DL und UG aller Domains
Funktion: Verschachteln von GG zum Zuweisen über mehrere Domains. Nur im einheitlichen Mode.
UG werden im globalen Katalog gespeichert.
Globale Gruppe (GG)
(im einheitl. Mode)
Gesamtstruktur H und GG der eigenen Domaine UG und DL aller Domains und von GG der eigenen Domaine
(im Mixed Mode) H der eigenen Domaine DL der eigenen Domaine
Funktion: Zum Organisieren von Benutzern (H).
DomainLokale Gruppe (DL)
(im einheitl. Mode)
nur eigene Domaine H, GG und UG aller Domains und DL der eigenen Domaine DL der eigenen Domaine
(im Mixed Mode) H und GG aller Domains --
Funktion: Zum Organisieren von Ressourcen.

Strategie: H -> GG (-> GG) (-> UG) -> DLG <- Berechtigungen (B) der Ressourcen

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:21


Domain Controller Diagnostic

- auf Domaincontroller "dcdiag" ausführen (Win2000/2003: Support Tools, später im OS)
analysiert AD, DNS, Replikation, Serverrollen usw.
- DCdiag /fix - behebt Probleme bei der Namensauflösung von Domänencontrollern

- "netdom query dc" oder "netdom query fsmo" (Win2003-2012)

- repadmin.exe /showreps - überprüft die AD-Replikation. (Win2008-2012)

- nltest /dclist:<NetBIOS-DOMÄNENNAME> - prüft DC + Standorte

- "ntdsutil": AD-Hilfsprofgamm zur Wartung und Bereinigung des AD. Komplizierte Bedienung, man sollte wissen, was man tut.


Weitere Tips:  https://www.it-administrator.de/fachartikel/92735.html

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-12-15 14:54


Windows Zeitserver einstellen

Der Befehl „net time“ wurde von Microsoft als „deprecated“ gekennzeichnet.
Bei mehreren Domain Controllern muss der Timeserver auf dem DC mit der „PDC Emulator“ FSMO-Rolle eingerichtet werden.
NTP-Server testen mit Windows Boardmitteln:
* w32tm /stripchart /computer:ptbtime1.ptb.de
* w32tm /stripchart /computer:<IP-des-NTP-Servers>

* w32tm /stripchart /computer:<Zeitserver> /samples:10 /dataonly - zeigt Offset zwischen Zeitserver und lokalem PC an, testet Erreichbarkeit des Zeitservers (Firewall, DNS..)
* reg query HKLM\SYSTEM\CurrentControlSet\Services\W32Time\Parameters
bzw. W32tm /query /configuration - Zeitserver-Konfiguration auslesen
* w32tm /config /manualpeerlist:“0.de.pool.ntp.org,0x8 1.de.pool.ntp.org,0x8 2.de.pool.ntp.org,0x8 3.de.pool.ntp.org,0x8“ /syncfromflags:manual /update - neue Zeitserver setzen  (PDC: 0x1 !)
  - ggf. ohne 0x8. Mehrere Einträge nur durch Leerzeichen trennen!
 
* w32tm /config /reliable:yes - andere Server dürfen diesen Server als Zeitquelle nehmen

* w32tm /query /status - Test der Zeitsynchronisation
* w32tm /query /source - zeigt aktuellen Zeitserver

* w32tm /resync /rediscover - erzwingt Zeit-Synchronisation
* w32tm /config /syncfromflags:domhier /update - Client soll sich normal mit dem DC synchronisieren
* net stop w32time - nach dem Konfigurieren sollte der Dienst neu gestartet werden
* net start w32time
 
NTP Synchronizes time to the time sources specified in the Parameters\NtpServer entry (autorisierender Server der Domäne).
Nt5DS Synchronizes time to the domain hierarchy.
AllSync Uses all synchronization mechanisms available

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-16 21:31


Server Lizenzierung

• Siehe auch:
 - Windows Server Versionsübersicht
 - Server Lizenz Aktivierung

• Windows Server Standard 2022
- Installation 1x physikalisch oder 2x virtuell, 2 Hyper-V Container
- Lizenzierung pro Core, ohne Limit
- Zugriffs-CALs (User, Geräte) und RDP-CALs erforderlich
- kein CPU-Limit, max. 24 TB RAM

• Windows Server Essentials 2022
- Installation 1x physikalisch oder 1x virtuell
- max. 1 CPU mit max. 10 Cores (einzige physische Beschränkung)
- keine CALs erforderlich (Limitierung auf 25 User / 50 Geräte)
- RDP-CALs erforderlich wie bei Standard/Datacenter
- muss kein DC sein, aber wenn dann Domain Root
Physisch keine Beschränkungen zu Standard, nur lizenzrechtlich.
Es fehlen keine Serverrollen.
Es gibt keine spezifischen Installationsmedien. Stattdessen wird ein Essentials Edition-Product Key verwendet, um die Standard Edition von Windows Server 2022 zu aktivieren. (DISM /online /Set-Edition:ServerStandard....)

• Windows Server Standard 2019
- Installation 1x physikalisch oder 2x virtuell
- Lizenzierung pro Core, ohne Limit
  (min. 2 CPUs, min. 8 Cores je CPU = 16 Cores)
- Zugriffs-CALs erforderlich
- RDP-CAL ggf. erforderlich
- kein CPU-Limit, max. 24 TB RAM

• Windows Server Essentials 2019
• Essentials-Dashboard und Client-Backup fällt weg
• Essentials-Rolle fällt weg
Nur eine Lizenz pro Unternehmen.
- Installation 1x physikalisch oder 1x virtuell
- Lizenzierung pro CPU
- keine CALs erforderlich (Limitierung auf 25 User / 50 Geräte) 
- max. 2 CPUs, max. 64 GB RAM
- kein RDP Sitzungshost

Windows Server 2016
- Lizenzierung pro 2 physische CPU-Kerne (vCPUs bzw. logische Prozessoren in VMs spielen keine Rolle).

  • Für jeden Prozessor ist ein Minimum von 8-Core-Lizenzen erforderlich
  • Für jeden Server ist ein Minimum von 16-Core-Lizenzen erforderlich
  • Core-Lizenzen werden in Zweier-Packs verkauft
  • Server (User)-CAL, RDS-CAL bzw. Right Management CAL sind weiterhin notwendig.
    - Standard Edition: 2 virtuelle Maschinen auf dem selben Server inclusive.

    - MS Preis und Lizenz FAQ

Windows Server 2016 Datacenter
  - max. 64 CPU-Socket, unbegrenzt Cores
  - unbegrenzt virtuelle Maschinen auf dem selben Server inclusive
  - zusätzliche Funktionen für Storage-Replikation, Erweiterungen im Netzwerk-Stack und besondere Virtualisierungs-Fähigkeiten

Server 2016 Essentials
- max. 25 Benutzer bzw. 50 Clients
- max. 64 GB RAM
+ keine User-CAL notwendig
- Lizenz: 1x physisch oder virtuell
- bei Einsatz als DC ist max. 1 Domaincontroller möglich, der muß alle FSMO-Rollen besitzen
+ als Memberserver kann Server Essentials 2016 unbeschränkt einer vorhandenen Domäne beitreten
  Der Wizard ist doof und will immer eine neue Domäne anlegen (siehe Link).
+ Einrichtung ohne Assistent (Registry: RUN löschen) und Essentials-Rollen geht auch als Memberserver
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- keine Terminalserver-Rolle
- Servername nicht änderbar, wenn Essentials-Rollen konfiguriert sind
- keine Container, Nano-Server, Deduplizierung, Storage Replica
Link: https://www.windowspro.de/wolfgang-sommergut/windows-server-2016-essentials-neuerungen-einschraenkungen-preis

Windows Server 2012
- Lizenzierung pro 2 CPU-Sockel.
- Server (User)-CAL und RDS-CAL sind für Server 2012 und 2012 R2 gleich.
- Standard Edition: 2 virtuelle Maschinen auf dem selben Server inclusive.
- Datacenter Edition: unbegrenzt virtuelle Maschinen auf dem selben Server inclusive.
- Nischenvarianten: Essentials, Foundation, Storage Server.

 

Downgrade-Recht besteht auf alle älteren Versionen mit aktuellem MS-Support.

Siehe auch:
Server Lizenzierung Wissenswertes

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-12-20 08:56


OEM Windows Server Lizenzierung - Wissenswertes

 Separat im Handel angebotene OEM Lizenzen (Systembuilder und ROK) dürfen in Deutschland ohne neue Hardware gehandelt und bereits existierender Hardware zugewiesen werden. http://www.jurpc.de/jurpc/show?id=20000220

 Über den OEM Kanal gibt es KEINE ESD Lizenzen (Key only). Eine OEM Lizenz beinhaltet immer einen Datenträger, einen COA Sticker, einen Aktivierungskey und die Lizenzbedingungen. Achtung vor Lizenz-Piraterie!

 

 OEM Windows Server Lizenzen haben das identische Downgrade-Recht wie OPEN Lizenzen, also unlimitiert. Für die Umsetzung des Downgrades benötigt der Kunde ein OEM Medium mit dazugehörigem Key, beides muss NICHT im Besitz des Kunden sein. Sofern er selbst Zugriff auf das VLSC hat, kann er sich für den eigenen Bedarf Bits und Bytes sowie Keys herunterladen.

 

 Virtuelle Instanzen dürfen auch bei OEM Lizenzierung beliebig oft und ohne zeitliche Beschränkung zwischen ausreichend lizenzierten Hosts verschoben werden. Dies gilt für das Betriebssystem, NICHT für die Serveranwendung.

 

 Windows Server CALs und RDS CALs können JEDERZEIT direkt vom OEM oder über die Distribution erworben werden und erlauben den uneingeschränkten Zugriff in JEDEM Lizenzszenario, unabhängig von Hersteller, Lizenzform oder Hardware. Seit Windows Server 2012 sind KEINERLEI CALs bei OEM Lizenzen beinhaltet. CALs können sowohl für Devices oder User erworben werden.

 

 Software Assurance kann man für OEM Lizenzen und CALs der aktuellsten Version innerhalb von 90 Tagen nach Kauf über OPEN erwerben. Während der Laufzeit wird aus der OEM Lizenz eine VL mit dem Recht auf das VLSC zuzugreifen, die Lizenz alle 90 Tage einem anderen Host zuzuweisen und auf neue Versionen upzugrgden. Nach Ablauf der SA behalten CAL und OS das Nutzungsrecht für die aktuellste Version zum Ablaufdatum der SA. Auch nach Ablauf der SA kann der Kunde das Upgrade durchführen, sollte sich aber während der Laufzeit aus dem VLSC Bits und Bytes sowie Key runterladen, da der Zugriff auf das VLSC ggf. nicht mehr zur Verfügung steht.


Eine Information des
Microsoft Windows Server Kompetenz Club
www.windows-server-kompetenz-club.de

Siehe auch:
Server Lizenzierung
Server Lizenz Aktivierung

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-02-10 10:35


Server Lizenz Aktivierung

slui 3 - Dialogfeld zur Schlüsseleingabe
slui 4 - telefonische Aktivierung
dism /online /Get-CurrentEdition - Anzeige der aktuellen Version

  • slmgr.vbs /dli - Zeigt die aktuellen Lizenzinformationen an (Edition und letzte 5 Zeichen des Key)
    (kompl. Lizenzinfo siehe hier)
  • slmgr.vbs /dlv - Zeigt noch mehr Lizenzdetails an
  • slmgr.vbs /dlv all - Zeigt detaillierte Infos für alle installierten Lizenzen an
  • slmgr.vbs /ato - Windows online aktivieren

Bei Problemen mit der klassischen Aktivierung per GUI, Core-Installation oder bei Key-Wechsel:

  • slmgr /upk - löscht vorhandenen Key
  • slmgr /ipk xxxxx-xxxxx-xxxxx-xxxxx-xxxxx - neuen Key eingeben  (Server 2008-2019)
  • slmgr /ato - aktiviert Windows Server 2019
  • slmgr -atp <Aktivierungs-ID> - bei telefonischer Aktivierung

Die Aktivierung geht auch Remote: slmgr.vbs <ServerName> <Benutzername> <Kennwort> -ato.

Aktuelle Edition wechseln (Powershell):

  • dism /online /Get-CurrentEdition - zeigt aktuelle Edition
  • dism /online /Get-TargetEditions - zeigt mögliche Editions
  • dism /online /Set-Edition:<edition ID> /ProductKey:<Seriennummer> - Änderung der Edition

Evaluation-Version in Vollversion wechseln geht nur auf diesem Weg.
Der DomainController darf bei der Umstellung nicht aktiviert sein.
(ggf: Set-Edition:ServerDatacenter, Server Essentials: als ServerStandard!)

Powershell-Kommando:

  • DISM /online /Set-Edition:ServerStandard /ProductKey:XXXXX-XXXXX-XXXXX-XXXXX-XXXXX /AcceptEula

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-09-24 22:07


MS CAL (Windows/RDS/Office)

  • Kauflizenz/Volumenlizenz oder CSP
  • CAL-Nutzung muß dokumentiert werden (ggf. Excel-Tabelle mit User oder Gerätenamen)
  • Neuzuweisung ab 90 Tagen nach der letzten Zuweisung möglich
  • Downgrade-Berechtigung, CAL erlaubt Zugriff auf frühere Instanzen
  • Remotedesktop: RDS-CAL und Windows-CAL erforderlich!
  • keine CAL-Lizenz für max. 2 Administratoren zur Verwaltung erforderlich
  • Windows 10 Pro Lizenz darf nur 1x physisch oder virtuell genutzt werden
  • Windows 10 in virtuellen Umgebungen nur über Volumenlizenz (Enterprise oder VDA =VirtualDesktopAccess) zusätzlich zur Windows (7-10) Lizenz
  • Virtual Desktop Infrastruktur (VDI) lizenzieren:
    - Win10 Pro + Enterprise Upgrade (E3, E5, A3, A5) + Software Asecurance
    - oder VDA License
  • VDI in Azure besitzt eine einzigartige Win10 Multiuser-Lizenz
  • keine Server- und RDS-CAL sind erforderlich, wenn JEDER Benutzer über eine eigene virtuelle Windows-10 Instanz verfügt
  • pro RDS Sitzungshost ist nue eine Office-Version/Typ möglich
  • jeder RDS-Benutzer oder Gerät benötigt eine Office Lizenz

Verfasser: Superadmin
Letzte Änderung: 2021-03-18 09:48


Gruppenrichtlinien

Domänenrichtlinien und Logonscripts der Domäne liegen auf den Domänencontrollern in Freigabe SYSVOL.
Nach der Umstellung von FRS auf DFSR heisst der Ordner "SYSVOL_DFSR" NUR bei den DC, die während der Migration von FRS zu DFSR aktiv waren.

Richtlinien werden von der Domänenrichtlinie durch den Baum der OUs abgearbeitet. Die speziellen Einstellungen der OU überschreiben die allgemeinen Grundeinstellungen der Domain.

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-10-20 08:00


Domain Controller Hostname ändern

  • ändern der IP-Adresse ist problemlos möglich
  • nach Adresswechsel: DNS-Cache leeren, DNS prüfen
    ipconfig /flushdns && ipconfig /registerdns

  • zweiten Hostname hinzu fügen:
    netdom computername AktuellerName.domain.local /add:NeuerName.domain.local
  • neuen Name primär machen:
    netdom computername AktuellerName.domain.local /makeprimary:NeuerName.domain.local
  • alten Namen entfernen (man kann auch zwei Namen lassen):
    netdom computername NeuerName.domain.local /remove:AlterName.domain.local

Quelle: IP-Adresse und Hostname eines Domain Controller ändern - Frankys Web

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-04-08 08:02


Betriebssysteme » Windows 2012

Es werden nur einige Server und Clients in der Netzwerkumgebung angezeigt.

Das passiert, wenn ein Windows Server 2012 (nicht R2) den Hauptsuchdienst übernimmt.

Der Bug ist bekannt, wird aber nicht automatisch behoben!

Abhilfe Hotfix anfordern:

http://support.microsoft.com/kb/2912574/EN-US

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:21


Deduplizierung

Seit Windows Server 2012 ist die Funktion Datendeduplizierung enthalten. (Rolle: Datei- und Speicherdienst / Datei- und iSCSI-Dienste) Sie ist effektiver und robuster als das frühere Single Instance Storage.

Redundante Blöcke werden durch einen Verweis ersetzt.

Deduplizierung geht auch für Speicherpools und virtuelle Festplatten.

Es werden keine System- und Startvolumes unterstützt.

Die Verwendung der Datendeduplizierung für Dateien, die mit der DFS-Replikation repliziert werden, stellt keinerlei Probleme dar. Es werden nur die Teile der Dateien aktualisiert, die seit der letzten Replikation geändert wurden.

Verwaltung im Servermanager unter "Datei-/Speicherdienste -> Volumes".

Deduplizierung setzt NTFS voraus. Sie ist nicht kompatibel mit EFS, wohl aber mit Bitlocker.
Die Dateien liegen in "System Volume Information/Dedup/ChunkStore/", das sehr groß werden kann.
Komprimierte Volumes lassen sich nicht deduplizieren.

Plattenumbau: Deduplizierte Festplatten sind nur ab Windows 2012 mit Dedup-Treiber lesbar! Andere Windows-Versionen sehen nur die nicht deduplizierten Dateien.

Deduplizierung erhöht das Risiko für Datenverluste. Wenn ein Fragment, das von 500 Dateien referenziert wird, in einem schadhaften Bereich einer Platte liegt, dann sind die Auswirkungen wesentlich gravierender als bei einem gewöhnlichen NTFS-Volume. Daher speichert die Dedup-Funktion Blöcke redundant, wenn sie in mehr als 100 Dateien vorkommen, und hält außerdem Kopien der kritischen Metadaten vor, in denen die Verweise verwaltet werden.

Nachdem ein Volume für die Deduplizierung aktiviert wurde und die Daten optimiert wurden, enthält es:

  • Nicht optimierte Dateien (d. h. ausgelassene Dateien wie z. B. Systemstatusdateien, verschlüsselte Dateien, Dateien mit erweiterten Attributen, Dateien, die kleiner als 64 KB sind, und Analysepunktdateien – zuvor optimierte Dateien, die Zeiger auf die zum Erstellen der Datei erforderlichen entsprechenden Blöcke im Blockspeicher enthalten)

  • Optimierte Dateien (gespeichert als Analysepunkte)

  • Blockspeicher (die optimierten Dateidaten)

  • Zusätzlichen freien Speicherplatz (da die optimierten Dateien und der Blockspeicher sehr viel weniger Speicherplatz belegen als vor der Optimierung)

 

Wenn die Rolle installiert ist, wird das Befehlszeilentool "ddpeval" mit installiert. (/Windows/System32/)

Das Tool bereinigt nicht, sondern zeigt nur den Status an.

Es kann auch unter Win7 / Win8 / Server 2008R2 ausgeführt werden! DDPEVAL unterstützt lokale Laufwerke oder Netzfreigaben. (ddpeval \\NAS1\Daten)

DDPEVAL kann nur für Laufwerke benutzt werden, auf denen die Deduplizierung nicht aktiviert ist.


• Deduplizierung aufheben:

1. Deaktivierung der Dedup- Funktion für das Volume im Server-Manager.
2. Powershell: Get-DedupStatus X: - Wert OptimizedFiles -> zeigt die Anzahl der aktuell deduplizierten Dateien und gesparten Speicherplatz
3. Powershell: Start-DedupJob -Volume X: -Type Unoptimization - Aufheben der Duplizierung, Kopien werden wieder einzeln gespeichert
4. Powershell: Get-DedubJob -Volume X: - zeigt den Status des Jobs. Wenn Job fertig, erfolgt Fehlermeldung.
5. Feature Deduplizierung erst nach vollständigem Durchlauf entfernen. 

Powershell - Kommandos:

  • Get-DedupVolume  -> zeigt alle Laufwerke mit aktivierter Deduplizierung und den Status
  • Start-DedupJob -Volume "e:" -Type Optimization  -> startet Deduplizierung manuell sofort
  • Start-Dedupjob -Volume X: -Type GarbageCollection  -> Chunks mit mehr als 5% unreferenzierten Daten entfernen
  • Start-DedupJob "X:" -Type GarbageCollection -full  -> Chunks und alle unreferenzierten Daten entfernen
  • Start-Dedupjob -Volume X: -Type DataScrubbing  -> Check the integrity of the remaining chunks
  • Start-DedupJob "X:" -Type Scrubbing  -> Fehler die während der Dedup auftraten reparieren
  • Start-DedupJob "X:" -Type Scrubbing -full  -> Fehler die während des Dedup auftraten reparieren und die Datenintegrität überprüfen
  • Get-DedubJob -Volume X:  (Monitoring des Jobs)

Deduplizierungs-Fehler beseitigen: https://www.escde.net/blog/datendeduplizierung-chunkstore-wird-sehr-gross

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-12-02 13:42


Betriebssysteme » Windows 2016-2022

Remote Desktop Server Bereitstellung

Die Remotedesktop-Bereitstellungen ab Windows Server 2012 R2 wird ausschließlich über den Servermanager durchgeführt.

Serverrolle(n): Remotedesktopdienste installieren mittels:
• Rollen und Features: Installationstyp: Installation von RD-Diensten (!!)
Standardbereitstellung, Sitzungsbasierte Desktopbereitstellung
Pools: RD-Sitzungshost (unbedingt), RD-Webaccess (bei Bedarf)
RD-Verbindungsbroker - wenn mehr als 1 Terminalserver vorhanden
RD-Lizenzierung - 1x pro Domäne
• Ohne Domäne: Rollenbasierte Featureinstallation -> Remotedesktopdienste inst.
Rollendienste: Remotedesktop Session Host, Remotedesktop Lizenzierung
Lizenzserver per GPO zuweisen:
- Computerkonfiguration – Administrative Einstellungen – Windows-Komponenten – Remotedesktopdienste – Remotedesktopsitzungs-Host – Lizenzierung
-> Lizenzserver IP-Adresse festlegen
-> Lizenzierungsmode festlegen
- Computerkonfiguration – Administrative Einstellungen – Windows-Komponenten – Remotedesktopdienste – Remotedesktopsitzungs-Host - Verbindungen
-> Remoteverbindungen zulassen

• Ohne Domäne funktioniert bei Server 2019 nur noch die Lizenzierung per Geräte-CAL!

Die Remotedesktop-Bereitstellung benötigen zwingend einen Verbindungsbroker.
Auch bei nur einem Terminalserver muß eine Sammlung (Collection) eingerichtet werden.
Viele Einstellungen funktionieren nur in der Domäne.
RemoteApp bereit stellen ohne Domäne mit diesem Tool oder den Tips auf dieser Seite unten.

Funktionstest mit Lizenzierungsdiagnose.

User-CAL werden 180 Tage an einen User-Account gebunden!

Lizenzschlüssel sind nicht an einzelne Server gebunden, sondern werden an aktive Sitzungen in der "Sammlung" (Session Host Farm) vergeben.

Der Lizenzserver muß die höchste in der Sammlung verwendete OS-Version besitzen und darf auch RDP-Server sein.
Bei der Installation hat man wie gehabt eine Gnadenfrist von 120 Tagen.

Installationsmode: "change user /install"
Inst.mode beenden: "change user /execute"

 

Feineinstellung (je nach Windows-Version) per GPO (oder lokal: gpedit) unter
• Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Terminaldienste -> Terminalserver
• Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Remotedesktopdienste
• Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Remotedesktopdienste -> Remotedesktopsitzung-Host
• Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Remotedesktopdienste -> Remotedesktopsitzung-Host -> Lizenzierung => Lizenzserver bekannt machen
• Computerkonfiguration\Richtlinien\Administrative Vorlagen\Windows-Komponenten\Remotedesktopdienste\Remotedesktop-Sitzungshost\Sitzungszeitlimits
(Nutzer auf x Sitzungen beschränken, Sitzung bei Leerlauf beenden)

 

Remotedesktop-Virtualisierungshost - Der Dienst wird in Hyper-V integriert, um in einem Pool virtuelle Desktops mit RemoteApp- und Desktopverbindung bereitzustellen. Ähnliche Funktionen gibt es auch in Windows Server 2008 R2.

Remotedesktop-Sitzungshost - RemoteApp-Programme oder sitzungsbasierte Desktops nutzen diesen Dienst. Hierbei handelt es sich um den Nachfolger von den Terminaldiensten.

Remotedesktop-Verbindungsbroker - Benutzer können erneut eine Verbindung mit ihren vorhandenen virtuellen Desktops, RemoteApp-Programmen und sitzungsbasierten Desktops herstellen. Die Verbindungsdaten merkt sich der Broker. Nur sinnvoll bei mehreren RD-Servern.

Web Access für Remotedesktop - Dies ermöglicht Benutzern den Zugriff auf RemoteApp- und Desktopverbindung über einen Webbrowser. Auf diesem Weg stellen Sie zum Beispiel Remotedesktops im Internet oder RemoteApps zur Verfügung.

• Die Remotedesktoplizenzierung verwaltet die Lizenzen, die für eine Verbindung mit einem Remotedesktop-Sitzungshostserver oder einem virtuellen Desktop erforderlich sind. Lizenzserver per GPO bekannt machen!

• Der Remotedesktopgateway ermöglicht es autorisierten Benutzern, von jedem Gerät eine Verbindung mit virtuellen Desktops, RemoteApp-Programmen und sitzungsbasierten Desktops in einem internen Unternehmensnetzwerk herzustellen.

 

Fehler beim Anmelden: "der angeforderte zugriff auf eine sitzung wurde verweigert"
Lösung: Die Remote User dürfen nicht /console angemeldet werden.

Gespeicherte RDP-Zugangscredentials liegen in der Windows Anmeldeinformationsverwaltung unter Windows Anmeldeinformationen.

CMD-Kommandos:

  • query session /Server:Servername  - zeigt RDP-Sitzungen + ID an, auch remote, aktiv bzw. getrennte Sitzung (query user ist besser!)
  • query user /Server:Servername  - wie query Session, zusätzlich mit Anmeldezeit, Leerlaufzeit
  • reset session <ID> /Server:Servername  - beendet Session (ID von oben)
  • query process * /Server:Servername  - zeigt alle Prozesse aller Usersitzungen (kann auf User-ID eingeschränkt werden)

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-02-06 18:49


RunServicesOnce geht nicht

Frage: Habe einen neu aufgesetzten Windows 2016 Server. Bei dem lauft nach der Installation ein PS-Skript das Anpassungen macht. Es Legt auch den Regkey RunServicesOnce an. Die Befehle werden aber nach dem Neustart nicht ausgeführt. Mit RunOnce tut alles, da muss ich mich aber extra anmelden und die will ich vermeiden. <br />
Gibt es RunServicesOnce nicht mehr?

Ich habe den Key auf dem 2016-Server unter HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce gefunden.
Allerdings häufen sich die Stimmen im Internet, die von Problemen unter verschiedenen Windows-Versionen sprechen.
Selbst getestet habe ich das nicht.

Workaround: schtasks /create /tn <TaskName> /tr <TaskRun> /sc once

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-06-08 14:16


Server2016: Defender deinstallieren

Wieder Erwarten läßt sich der Defender einfach im Servermanager als Feature deinstallieren.
Sinnvoll, falls ein anderer Virenscanner eingesetzt wird.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-06-10 16:01


Server 2022

- Installation erfordert aktives TPM

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-12-06 11:46


Betriebssysteme » Linux

Ubuntu (Linux) Basics

Terminal / Shell / Konsole öffnen mit [STRG] + [ALT] + [T]

Konsole als ROOT dauerhaft öffnen: sudo -i
ROOT-Konsole wieder verlassen: exit
Nur ein Administrator kann 'sudo' ausführen.

User "root" hat unter Ubuntu per Default kein Passwort.
Interaktive Anmeldung als root ist nicht empfohlen.

User (mit Home) erstellen: sudo useradd -m uwe
Passwort festlegen: sudo passwd uwe
User wechseln: su uwe
Falls root ein Passwort hat, zu root wechseln: su  (ohne root)
Befehl als 'root' ausführen: sudo touch /etc/test
Befehl als 'benutzer' ausführen: sudo benutzer touch /etc/test  (ergibt Fehler)

Konsolenkommandos
Systemupdate
sudo apt(-get) update
sudo apt(-get) upgrade
sudo reboot
sudo apt(-get) -y dist-upgrade

sudo apt(-get) -F install - repariert beschädigte Pakete
sudo pro config set apt_news=false  (Werbung für Ubuntu Pro deaktivieren)
sudo do-release-upgrade - Release-Upgrade


Systembereinigung
sudo apt-get autoremove - entfernt veraltete Kernel und Hilfspakete
sudo apt-get autoclean - entfernt veraltete DEB-Dateien aus der Paketquelle /var/cache/apt/archives/
sudo apt-get clean - entfernt alle DEB-Dateien aus der Paketquelle /var/cache/apt/archives/

Allgemein

ls - wie dir,
  ls -sh (zeigt Liste),
  ls -l (Langform mit Berechtigungen, Anzahl Dateien im Verzeichnis, 1=Datei, Besitzer, Gruppe, Bytes, Datum, Name),
  ls -a (zeigt auch versteckte Files)
lsb_release -a  - zeigt Ubuntu Version
man -k <Stichwort> - zeigt alle Befehle zu einem Stichwort
nano (dateiname>
- Editor (Kopieren: ALT-6, Einfügen: Strg-U)
pwd
- zeigt aktuellen Datei-Pfad
ps -edaf  -> listet laufende Prozesse mit ihrer ID
kill (ID)  -> beendet Prozess mit ID siehe ps .edaf
top - zeigt Taskmanager (CPU, Speicher, Prozesse)
whoami - zeigt aktuellen Benutzer
tail -f /var/log/*.log  - zeigt alle System-Logs
tail -f /var/log/syslog  - zeigt Syslog live
crontab -l  - listet alle Cronjobs des Benutzers auf

Netzwerk
ifconfig - (wie Windows IPCONFIG) zeigt Namen der Netzwerkkarten und IP-Parameter (apt install net-tools)
ip add
- (wie IPConfig)
hostname -I
  - zeigt nur IP (mit Boardmitteln)
ping [webseite.com]

nslookup [webseite.com]
curl -v [webseite.com] - gibt http-Inhalt und Zertifikat zurück
tcpdump -i eth0 port 443 - gibt Datendump aller Verbindungen von Netzwerkkaqrte und Port (apt install tcpdump)
tcpdump -i eth0 - zeigt allen Traffic auf eth0
sudo nano /etc/netplan/00-installer-config.yaml - IP-Adresse konfigurieren mit Netplan per Terminal
sudo nano /etc/netplan/01-netcfg.yaml (Verzeichis nicht sichtbar!)

Festplatte
df -h
  - zeigt freien Speicherplatz der Festplatte (disk free)
du -shc *  - zeigt alle Verzeichnisgrößen im aktuellen Verzeichnis incl. Summe
lsblk - listet alle Datenträger und Block Storages auf
gparted  - Partition ändern  (auch aus Live-System)
cd -L <Verzeichnis>  - Wechsel in logisches Verzeichnis (Standard)
cd -P <Verzeichnis>  - Wechsel in physisches Verzeichnis  (Bsp: cd -P /bin, cd -P /home)
cp [Optionen] Quelle Ziel - copy
mv [Optionen] Quelle Ziel - move
rm -r *  - löscht aktuelles Verzeichnis incl. Unterverzeichnisse (recursiv)
find / -iname "datei.log" - sucht Datei (groß oder klein geschrieben) in allen Verzeichnissen
Partiton vergrößern:
- physische HD vergrößern
- lsblk - listet aktuelle Struktur
- growpart /dev/sda 3  - (mit Leerzeichen) vergrößert das angegebene Vol. auf die freie Größe (growpart installieren)
- resize2fs -p /dev/sda3  - (ohne Leerzeichen) Dateisystem anpassen
siehe Linux Filesystem

Dateiberechtigungen

Ubuntu: Standardmäßig hat ein User im eigenen Home-Verzeichnis Vollzugriff und in anderen User-Verzeichnissen Lesezugriff.

Zeichen: Directory (d) oder Datei (-)
2.-4. Zeichen: rwx - User (u)
5.-7. Zeichen: rwx - Group (g)
8.-10. Zeichen: rwx - Other (o)
• rwx - read / write / execute-search
  Execute bei Ordnern bedeutet: Recht zum Ordner öffnen
• Berchtigung ändern: chmod u=rwx, g=rw, o=r testfile.txt
  oder: read=4, write=2, execute=1 -> alle Rechte= 7
  ergibt: chmod 754 testfile.txt
Benutzer + Gruppe ändern:
  chown -R www-data:www-data /var/www/wordpress
  (weist dem /wordpress -Verzeichnis recursiv(-R) den Besitzer + Gruppe "www-data" zu)

Dateimanager Nautilus mit Root-Rechten nutzen: nautilus-admin installieren
sudo apt-get install nautilus-admin
Nach Neustart gibt es "Als Systemverwalter ausführen" im Kontextmenue.

Terminal-Dateimanager MC (ähnlich Norton Commander)
apt install mc  - Aufruf mit 'mc' im Terminal

(System)festplatte verschlüsseln
1) Systemverschlüsselung mit Cryptsetup/Luks:
  - geht nur, wenn kein Multi-Boot mit anderem OS verwendet wird
  - nicht geeignet für Server, die unbeaufsichtigt starten (Passworteingabe erforderlich)
  - Systempasswort, ist für alle User gleich
• beim Installationsvorgang: Festplatte löschen und Ubuntu installieren -> Erweiterte Funktionen zur Verschlüsselung der Festplatte
• LVM verwenden
• neue Installation verschlüsseln -> "Sicherheitsschlüssel" wird bei jedem Start verlangt

2) ab Ubuntu 23.10: experimentelle TPM-Unterstützung
• beim Installationsvorgang: Festplatte löschen und Ubuntu installieren -> Erweiterte Funktionen -> Enable Hardware-Backed Full Disk Encryption
• Schlüssel wird im TPM abgelegt und muß nicht bei jedem Boot eingegeben werden (wie Bitlocker)

3) Cryptsetup installieren, HD nachträglich verschlüsseln
• im Festplattenmanager können nun beliebige Festplatten oder USB-Stick verschlüsselt neu formatiert werden
• Schlüssel kann im System-Schlüsselbund/Brieftasche gespeichert werden

SSH-Zugriff aktivieren
• ggf. feste IP einrichten
• sudo systemctl status ssh - läuft SSH?
sudo apt install openssh-server   -> SSH (Server) installieren
sudo systemctl status ssh  -> wie oben, Status überprüfen, hilfreich bei Anmeldefehlern
sudo systemctl enable ssh  -> Dienststart automatisch
sudo systemctl start ssh  -> Dienst manuell starten
sudo ufw allow ssh  -> Firewall für SSh öffnen
sudo nano /etc/ssh/sshd_config  -> sshd_config anpassen
  - (LoginGraceTime 200)
  - PermitRootLogin yes  - erlaube Root-Login
  - StrictModes yes
  - Port xyz  - ggf. eigenen Port definieren
• /etc/init.d/ssh restart  -> Dienst neu starten

SSH-Zugriff:
• ssh root@192.168.178.50  (Windows oder Linux)

Linux merkt sich die Fingerprints jeder SSH-Verbindung.
Befindet sich unter einer schon bekannten IP ein neues, unbekanntes Gerät, schlägt die SSH-Verbindung fehl!
Abhilfe: Verzeichnis .ssh enthält 'known_hosts'. In dieser Datei Eintrag mit der o.g. IP-Adresse löschen.

Ubuntu remote bedienen:
Einstellungen -> Freigabe -> Bildschirmfreigabe aktivieren, VNC-Protokoll aktivieren, Fernsteuerung erlauben
Damit die Remote Anmeldung ohne Bestätigung vom Ubuntu-Desktop funktioniert, diese Einstellung ändern.

Achtung! Ubuntu legt für die RDP-Verbindung ein eigenes Passwort fest!
Bug in Ubuntiu 20: das Kennwort ändert sich bei jeder Anmeldung.

Lösung:
XRDP installieren.

apt update
apt install xrdp
apt install xorgxrdp
sudo systemctl start xrdp // Start und Eable XRDP-Service
sudo systemctl enable xrdp
systemctl status xrdp // Check Status
sudo ufw allow from any to any port 3389 proto tcp // open Port in Firewall

Wichtig: Die RDP-Anmeldung funktioniert nur, wenn der Nutzer lokal abgemeldet ist!

Teamviewer Host in Shell installieren

Verzeichnisstruktur

  • bin  - Binärdateien, Programme
  • dev - Devices (Tastatur, Maus, Festplatte)
  • etc - Konfigurationsdateien
  • home - vergl. "Users" unter Windows
  • lib - Codebibliotheken, die sich andere Programme teilen
  • sbin - Systemdateien
  • tmp - Temporäre Dateien
  • usr - Programmtools und Bibliotheken
  • var - vom System verwendete Dateien

E-Mail / SendMail
Ubuntu hat per Default keinen Mailserver / MTA (Mail Transfer Agent) installiert.
• Unix E-Mail Postausgang Warteschlange: /var/spool/mqueue oder /var/mqueue
• Unix E-Mail Posteingang: /var/spool/mail/ (eine Datei je E-Mail)

Shortcut erstellen (Programm, Webseite o.a.)

Ubuntu / Snap Installed Pakete

  • /var/lib/snapd/desktop/applications/  - enthält die Verknüpfungen aller Snap installierten Pakete (*.desktop)
  • /usr/share/applications/  - sonstige Verknüpfungen (*.desktop)
  • copy & paste auf Desktop
  • Rechtsklick: Start erlauben
  • fertig

Ubuntu manuell

  • "Name.desktop" Datei auf User-Schreibtisch erstellen
    (nano Name.desktop)

  • Bsp: WEB-Link
    [Desktop Entry]
    Version=1.0
    Name=Testlink Google
    Type= Application
    Exec=firefox https://www.google.com/search?q=uwe-kernchen.de&ie=UTF-8
    Icon=text-html

    (oder) Icon=/snap/firefox/current/default256.png
  • Bsp: Programm
    [Desktop Entry]
    Version=x.y
    Name=ProgramName
    Comment=This is my comment
    Exec=/home/alex/Documents/exec.sh
    Icon=/home/alex/Pictures/icon.png
    Terminal=false
    Type=Application
    Categories=Utility;Application;
  • Dateieigenschaften: Ausführen als Programm  (chmod 755)
  • Rechtsklick auf Verknüpfung: "Start erlauben"
  • Wenn alles passt, wird der Link mit dem im Desktop Entry definierten Name angezeigt, nicht mit "Name.desktop".
  • Chrome kann mit "Speichere als Shortcut" selber *.desktop Datei unter "Anwendungen" erstellen

  • Lösung2 (Meta Refresh):
    - erstelle Name.html auf User-Desktop
    - Inhalt:
    <html>
        <head>
            <meta http-equiv="refresh" content="0; url=https://askubuntu.com" />
        </head>
        <body> </body>
    </html>
    

Sonstiges

Firefox neu installieren:
apt-get install --reinstall firefox firefox-locale-de

SMB-Freigabe mounten

• CIFS Dateisystem installieren:
sudo apt-get install cifs-utils
• Mount-Verzeichnis (mnt/smb-mountpoint) mit MKDIR anlegen)
• Windows CIFS-Freigabe mounten:
mount -t cifs -o user=MeinLinuxUser //192.168.1.10/Freigabe /mnt/smb-mountpoint
• Verzeichnis dauerhaft mounten:
sudo nano /MyUser/.smbcredentials  - NAS Userdaten hinterlegen

username=maxmuster
password=geheimes-Passwort
domain=workgroup

sudo nano /etc/fstab  - Mount-Zeile in fstab eintragen
//10.20.20.110/pool/smb-freigabe /mnt/smb-mountpoint cifs uid=DeinLinuxNutzername,gid=DeinLinuxNutzername,rw,user,credentials=/home/DeinLinuxNutzername/.smbcredentials 0 0
Quelle: https://homelabtopia.com/smb-share-mounten-linux/

Samba installieren für Windows Zugriff
sudo apt-get install samba

Zugriff auf Windows Freigaben im Dateimanager:
smb://[IP-Adresse]

Ubuntu Recovery

  • beim Booten SHIFT oder ESC drücken führt zum GRUB Boot-Menue, "Erweiterete Optionen" wählen
    (Systemübersicht mit HD-Nutzung, Pakete reparieren, Dateisystem prüfen, Root Shell)
  • Quellen: https://wiki.ubuntuusers.de/Recovery-Modus/

Multiboot Linux-Windows erzeugt falsche Uhrzeit
• Lösung1: Windows Zeit auf "TimeZoneIsUniversal" setzen "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\TimeZoneInformation", DWORD (32-Bit) Name „RealTimeIsUniversal“ - Wert= 1
• Lösung2: Linux Zeit auf "Lokale Zeit" setzen,
  im Terminal: sudo timedatectl set-local-rtc 1 --adjust-system-clock
  Systemzeit in Hardware-Uhr übertragen: sudo hwclock -w

Server sicher machen, wichtige Befehle: CT 13/2016 S. 124ff.

- Prozessliste: ps ax | grep -v " \[.*\]"

- Verbindungsliste von außen: lsof -i 4 -n
- Liste aller geöffneten Dateien: lsof +L1
- System Syslog: /var/log/syslog

Siehe auch:

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-06 21:39


Linux Software für Desktop-Installation

Software, die nicht fehlen sollte:

Browser:

  • Firefox Browser und Thunderbird Mailclient
  • Chrome Browser kann ohne Zusatzsoftware URL-Verknüpfungen auf dem Desktop erstellen

Office-Suiten:

  • Libre Office - meist vorinstalliert, OpenSource, leistungsstark
  • OnlyOffice - OpenSource, sehr moderne Suite, kein Datenbank-Modul

Grafik:

  • Grafik siehe auch "Grafikprogramme" (Gimp, Inkscape)
  • GwenView oder gThumb - Bildbetrachter und Fotogalerie
    gThumb:  (sudo apt install gthumb)

Videobearbeitung:

  • OpenShot - OpenSource, nichtlineare Video-Bearbeitungs-Software für die Betriebssysteme Windows, macOS und Linux
    unbegrenzt viele Spuren, Blender 3.3 kompatibel
  • Freetube - Abspielen/Download von Youtube-Videos

Audio:

  • Audacity - universeller Audio-Editor
  • Ardor - professionelle Mehrspur Audio-/Midi-Workstation ab 1 USD
    PlugIns: AudioUnit, LV2, VST (v2 & v3) and LADSPA formats. FX plugins. Software instruments. MIDI processors. Automate any parameters.
  • Clementine - Audio-CDs rippen
  • VLC Mediaplayer
  • Kodi Mediacenter - openSource Mediacenter, viele Decoder und PlugIns

Sonstige:

  • Okular (im Softwarestore) - universeller Documentviewer, PDF, ePub, Bildformate
  • K3B - Brennen von CD-ROMs & Audio-CD's
  • Turbo-Print - kostenpflichtig, aber Druckertreiber mit großem Funktionsumfang

5 Wege zur Softwareinstallation: https://www.tutonaut.de/5-wege-zur-softwareinstallation-unter-linux/

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-13 19:10


VMWare Workstation unter Ubuntu installieren

  • VMWare nach Kernel-Update Module neu erzeugen: sudo vmware-modconfig --console --install-all
  • VMWare deinstallieren: (sudo) vmware-installer -u vmware-workstation 

 

  • System aktualisieren: (sudu) apt-get update && apt-get upgrade
  • ggf. Voraussetzungen erfüllen: (sudo) apt-get install gcc build-essential 
  • VMWare Bundle herunter laden: wget https://download3.vmware.com/software/wkst/file/VMware-Workstation-Full-16.2.3-19376536.x86_64.bundle
  • Recht zum Ausführen setzen: chmod a+x VMware-Workstation-Full-16.2.3-19376536.x86_64.bundle
  • Bundle installieren: (sudo) ./VMware-Workstation-Full-16.2.3-19376536.x86_64.bundle
  • VMWare starten: vmware

VMWare Workstation 16 unter Ubuntu 22.04:
https://www.itzgeek.com/how-tos/linux/ubuntu-how-tos/how-to-install-vmware-workstation-16-pro-on-ubuntu-22-04-ubuntu-20-04.html

Verfasser: U.Kernchen
Letzte Änderung: 2022-05-26 17:58


Linux administrieren

Verwaltung von Netzwerk/VPN/Bridge/VLAN, Firewall, Systemlog, Hardware/Storage, Upgrades, Useraccounts, Dienste, VMs und Container

WEBMIN - bekanntester Klassiker

  • erste Version 1997, heute noch aktiv
  • browserbasierend 

Cockpit - modern, intuitiv

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-29 09:23


Raspberry Pi

SD-Karte

  • MicroSD
  • Karten sind potentiell langsam und unzuverlässig und sollten gesichert werden
  • Größe: 8GB - 32GB
  • Geschwindigkeit: Class-10 oder UHS-1

BACKUP: SD-KARTE UNTER LINUX SICHERN
SD-Karten arbeiten im Raspberry Pi nicht immer zuverlässig, manchmal kommt es zu Fehlern und das System startet nicht mehr.

  • Fahren Sie den Raspberry Pi herunter, entnehmen Sie die SD-Karte und stecken Sie diese in den Kartenleser von PC oder Notebook.
  • Pfad der SD-Karte ermitteln:  lsblk -p
    („/dev/sdb1“ und dahinter „/media/[user]/[Kennung]“)
  • Einbindung in das Dateisystem lösen
    (sudo umount /dev/sd[X]?)
  • Backup erstellen:
    sudo apt-get install pv
    sudo dd if=/dev/sd[X] | pv | gzip -c > ~/Backup_Raspian.img.gz
    Das Tool pv sorgt dafür, dass eine Fortschrittsanzeige für dd erscheint.
  • Das Ergebnis ist eine komprimierte Abbilddatei der SD-Karte.
    Mit diesen zwei Befehlen
    gunzip -c ~/Backup_Raspian.img.gz | pv | sudo dd of=/dev/sd[X]
    sync
    können Sie die Sicherung später wiederherstellen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-28 18:32


Linux: Bash-Script erstellen

  • mkdir scripts  - Verzeichnis erstellen
  • Linux braucht keine Dateierweiterung, aber für Scripts ist .sh üblich

  • Test1
  • nano helloworld.sh  - erstellt Script
  • #!/bin/bash  - sagt dem System, welche Shell es zu nutzen hat (# = Kommentar, ! = Kommentar wird ignoriert)
  • echo Hello World! 
  • chmod +x helloworld.sh  - setzt Recht zum Ausführen  (helloworld.sh wird nun grün angezeigt)
  • ./helloworld.sh  - führt das Script aus

  • Test mit Variable
  • nano hallo.sh  - neues Beispiel mit Variablen
  • echo Hello $1  - Variable $1
  • chmod +x hello.sh
  • ./hello.sh Uwe  -> Ausgabe: "Hello Uwe"

  • Test mit Eingabe

    #!/bin/bash
    echo -n "Hallo, wie heisst du?"
    read vorname
    echo -n "Danke, und dein Nachname?"
    read nachname
    clear
    echo Hallo $vorname $nachname, wie gehts?

    echo -n  - Cursor bleibt in der Zeile
    read  - input

  • Test:  If-Then-Schleife
  • if [ "$vorname" == "Uwe" ]
    then echo ....
    else echo ...
    fi
  • fi  - beendet Schleife

  • Backup - Script
    (sichert /Dokumente komprimiert nach /Backups)
  • #!/bin/bash
    tar cvfz ~/backups/my-backup.tgz ~/Dokumente

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-01-28 22:19


Ubuntu Pro Werbung ausschalten

Werbung unter Linux ist ein No-Go.
Ende 2023 hat Canonical Werbung für Ubuntu-Pro im Updateprozess der LTS-Version eingebaut.
Im Februar 2024 kommt eine zweite Welle, die wieder abgeschaltet werden muß.

  • von LTS auf STS wechseln
    LTS erhält 5 Jahre Langzeitsupport, mit Ubuntu Pro bis zu 12 Jahre.
    Die Short Term Support Version bekommt die Pro-Werbung nicht.
    Die STS-Version ist immer auf dem neuesten Stand, könnte aber auch mal Fehler mitbringen.
  • Ubuntu Pro Abo abschließen
    Das Abo ist bis 5 Instanzen kostenlos.
  • Werbung in Shell (erneut) aus schalten:
    cd /etc/apt/apt.conf.d
    sudo truncate -s0 20apt-esm-hook.conf  (löscht den Inhalt der Datei)
    cat 20apt-esm-hook.conf  (Test: leer?)
    sudo apt upgrade  (Test: Meldung weg)
  • Werbung in GUI/Aktualisierungsverwaltung aus schalten:
    sudo nano /var/lib/ubuntu-advantage/apt-esm/etc/apt/sources.list.d/ubuntu-esm-apps.list
    - beide Einträge mit deb.. beginnend: mit Doppelkreuz auskommentieren

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-03-15 08:28


Linux Filesystem

  • lsblk - Auflistung aller Datenträger und Block Storages im Baumformat

  • ls -althr /dev/disk/by-id/  - listet alle HDs im System

  • lshw - class disk  - (nachinstallieren) listet physische Disks mit logischem Name, Seriennummer

  • dmesg -Tw  - zeigt präzise HD Datenstrom
  • sudo dumpe2fs -h /dev/mapper/usb-crypt - ausführliche Info über ein Dateisystem

  • sudo cryptsetup luksDump /dev/sde9- Informationen über eine verschlüsselte Partition

  • df -h  - zeigt freien Speicherplatz der Festplatte (disk free)
  • du -shc *  - zeigt alle Verzeichnisgrößen im aktuellen Verzeichnis incl. Summe

  • gparted  - Partition ändern  (auch aus Live-System)
  • cfdisk /dev/sda  - userfriendly Partitionierungstool (fdisk)
  • cd -L <Verzeichnis>  - Wechsel in logisches Verzeichnis (Standard)
  • cd -P <Verzeichnis>  - Wechsel in physisches Verzeichnis  (Bsp: cd -P /bin, cd -P /home)
  • cp [Optionen] Quelle Ziel - copy
  • mv [Optionen] Quelle Ziel - move
  • rm -r *  - löscht aktuelles Verzeichnis incl. Unterverzeichnisse (recursiv)
  • find / -iname "datei.log" - sucht Datei (groß oder klein geschrieben) in allen Verzeichnissen

  • Partiton vergrößern:
    - physische HD vergrößern
    - lsblk - listet aktuelle Struktur
    - growpart /dev/sda 3  - (mit Leerzeichen) vergrößert das angegebene Vol. auf die freie Größe (growpart installieren)
    - resize2fs -p /dev/sda3  - (ohne Leerzeichen) Dateisystem anpassen
    Verzeichissystem erklärt: https://www.linux-praxis.de/spaziergang-durchs-dateisystem

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-09 15:47


Linux Mint

  • eigenständige Distribution, aus Debian und Ubuntu hervor gegangen
  • einsteigerfreundlich, Windows-ähnliches Layout, geringe Lernkurve
  • schlank und schnell auch auf alter Hardware
  • mit Cinnamon (Mint Default), MATE oder Xfce stehen drei verschiedene Desktopumgebungen zur Verfügung
  • Cinnamon ist anpassungsfähiger als Ubuntu GNOME
  • teilweise proprietäre Betriebssystembestandteile
  • teils konservativer Systemunterbau
  • vollständige Multimedia-Unterstützung
  • Softwaremanager besser als bei Ubuntu
    Flatpak (Mint und Ubuntu) - frei, meist Community
    Snap (Ubuntu) - vor allem große Softwareanbieter
  • Installation von .DEB Dateien
  • 5 Jahre Langzeitsupport
  • Linux Mint wird von der Community entwickelt, Ubuntu von Canonical (einem kommerziellen Unternehmen)
  • Ubuntu bietet kostenpflichtigen Business-Support, Mint Community Support

Verfasser: Uwe Kernchen
Letzte Änderung: 2024-05-18 00:06


Software » E-Mail » Tobit David

DvSpam - Spamfilter für Tobit David

Nutzeranleitung:
Jeder User hat jetzt unter System ein neues Verzeichnis "SPAM".
Unter "Unverteilt" liegt direkt das "SPAM"-Verzeichnis.
In diesen Verzeichnissen landen alle Nachrichten, die vom System als Spam erkannt werden oder die auf der Blacklist stehen.

In dem SPAM-Verzeichnis gibt es ein Unterverzeichnis "persönliche Whitelist" und "persönliche Blacklist".
Hier kann jeder User selbst seinen Spamfilter anlernen.
Betroffene Nachrichten bitte einfach in das White- oder Blacklist-Verzeichnis kopieren.
Außerdem gibt es unter SERVER/DvSpam/ eine zentrale White- und Blacklist für alle User.

Ganze Domains können mit "@abc.de" aus- oder eingeschlossen werden.
• Adressbucheintrag mit der Adresse "*@domain.de" erstellen
• Adresse in die persönliche Black-/Whitelist kopieren (alternativ durch Admin in zentrale Black-/Whitelist kopieren)

Die Regel greift erst am nächsten Tag nach dem nächtlichen Reorganisationslauf.


Am Anfang ist der Filter "dumm" und macht entsprechende Fehler.
Es ist erforderlich, besonders am Anfang immer mal in dem Spamverzeichnis nachzusehen!

DvSpam erkennt alle Mailadressen als "Kein-Spam", die im eigenen oder zentralen Adressbuch stehen oder an die Nachrichten gesendet wurden (aber erst ab jetzt!) oder die in der Whitelist stehen.
Außerdem arbeitet DvSpam mit den gängigen Blacklisten im Internet und hat eine eigene Spamerkennung.
Unklare Mail (MayBeSpam) werden hellrot eingefärbt, aber zugestellt.
Spam und Blacklist wird dunkelrot eingefärbt und wie gesagt in das Unterverzeichnis ./System/Spam/ verschoben.

Spamerkennung ist subjektiv und macht Fehler.
Mit einem Rechtsklick auf die Mail kann man unter "Kommentar editieren" den Grund für die Spameinstufung sehen.

 

Unerwünschte Dateianhänge (beliebige Extensions wie *.bat|*.cmd|*.com|*.vbs|*.exe|*.zip) können als Spam-Gewichtung (Rezept 107 - Attachments) mit frei definierbarer Wertung eingesetzt werden.

 

Konfiguration:

Es besteht die Möglichkeit, über einen Kontextmenüeintrag im David Client Nachrichten in die Black- bzw. Whitelisten zu übertragen. Dazu muss dvspam.vbs + dvspam.ico nach »DAVID\CODE\SCRIPTS« kopiert und in der Benutzerkonfiguration als individ. Script eingebunden werden.
Bedienung: rechter Mausklick auf der E-Mail -> DvSpam -> persönliche Whitelist

Hinweis:

  • Lizenz muß neu angefordert werden, wenn sich die Tobit David Lizenz ändert!
  • Programm muß Lesezugriff auf /David/Code/ haben.


DvSPAMcheck

Tool in DavidClient einbinden, um die Bewertung von DvSpam nachzuvollziehen.

Datei tobit.ini um den Eintrag ergänzen:
(teilweise gibt es noch eine tobit.ini in C:\Users\...\AppData\Local\VirtualStore\Windows)

EntryCommand01=DvSPAMcheck, C:\Programme\DvSPAM\DvSPAMchecker.exe %s

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-11-03 21:39


Faxdrucker geht nicht

Fehler: Beim Druck über den Druckertreiber öffnet sich das Programm nicht.
Lösung: In der lokalen tobit.ini muß der Client-Pfad in 8+3- Konvention abgelegt werden!
ClientDirectory=C:\PROGRA~1\TOBITI~1

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-06-13 17:05


E-Mail Anlagen Postlagernd versenden

Problem: Das Verzeichnis POSTLAGERND ist standardmäßig im David FX 2011 für alle Tobit-User voll sichtbar!
Abhilfe: - Gruppe [DVG-Servername] muss zwingend Vollzugriff haben.
  - für alle Tobit-Benutzer: lesen verbieten.

Verfasser: Uwe Kernchen
Letzte Änderung: 1970-01-01 01:00


David Client ausrollen

01/2021: Tobit installiert bei Neuinstallation per Default den 64-Bit Client!

Mit dem 64-bit Client funktionieren Telefonieapplikationen wie DialIt nicht.

 

David Client manuell aktualisieren:

David\Updates: client-update.exe (32Bit), client64-update.exe (bei 64Bit)

Mit der (uralten) MSI-Version funktioniert das Client-Update nicht.


Tobit David installiert seit Rollup 247 (12/2015) einen Dienst zum automatischen Client-Update.
Seitdem ist nachfolgender Tip nur noch für Neuinstallationen relevant.

Client automatisch ausrollen:
X:\David\Clients\setup.exe dvwinhidesetup

Mit diesem Parameter wird der Client installiert bzw. ein Update durchgeführt ohne Dialoge, bzw. Abfragen.

Zuverlässig klappt das aber nur bei vorheriger Deinstallation:
C:\Windows\UNINSTIC.EXE "%ProgramFiles(x86)%\Tobit InfoCenter\Setup\UNINST.INF"

 

- MSI in DAVID/Client/ per Gruppenrichtlinie ausrollen.

Problem: MSI ist von 2008. Sie installiert den aktuellen Client, trägt sich aber in der Systemsteuerung als David 10.0 ein.

 

Infocenter Einstellungen: HKEY_CURRENT_USER\Software\Tobit\Tobit InfoCenter\Settings
Infocenter Vorlagen: HKEY_CURRENT_USER\Software\Tobit\Tobit InfoCenter\Servers\(Servername)\

Varianten zum verteilen :
- Script (\\(Servername)\David\Code\scripts) in DvAdmin / Benutzer / Benutzerdaten aktivieren.
- Batch, Logon-Script oder GPO.

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-02-05 14:49


Tobit Anbindung Mobilgeräte

Smart Client

Aufruf: https://david3.de/smart-client
Download als App für Android oder IOS oder Betrieb im Browser.
Der Smart Client greift per WEB-API auf den David Server zu.
TCP-Port 8443 (änderbar) muß von außen erreichbar sein und auf den David Server zeigen.
Einrichtung:
- am David Client anmelden
- Chains-ID erstellen (Handynummer oder Mailadresse), damit wird die Verknüpfung zum Userkonto hergestellt
- lokal am Smart-Client mit Chains ID anmelden

Active Sync PDA-Anbindung

Tobit David beherrscht seit 8/2014 Active Sync und kann mit üblichen MS Exchange Clients per EAS angebunden werden (E-Mails, Kalender und Adressen).

Einstellungen im Tobit:
- Benutzer: Recht "RemoteAccess nutzen"
- Benutzer: RemoteAccess Freigabe und Zugangsdaten für betr.Verzeichnisse (Client: Einstellungen / Zugang)
- Webbox -> Konfigurieren -> ActiveSync: ActiveSync erlauben
- Webbox muß laufen
- SSL: LetsEncrypt, (oder mit dem TLSCert Tool (david\utils\windows\tlscert\tlscert.exe) ein Eigenzertifikat erstellen), nach \david\apps\webbox\code\wbcert.pem kopieren. SSL aktivieren, für Webbox Firewall anpassen.
- Port 443, wenn der schon genutzt in \david\apps\webbox\code\webbox.ini HTTPSPORT=8443 setzen.
- Test intern: https://servername aufrufen, Remote Access User kann sich erfolgreich anmelden.

Einstellungen im Router:
- Port Forwarding Port 443 oder 80 auf den David-Server.

Einstellungen Firewall:
- je nach Konfig Port 80, 81, 443, 8443 frei geben

Einstellungen am Client (GMAIL o.ä.):
Exchange Postfach
Nutzername: (RemoteAccess User)
PW: (RemoteAccess User)
Server: DNS-Name IP des RDNS-Nameters mit Port-Forwarding
Port: 443
Sicherheit: SSL/TLS (oder Port 80, keine Verschlüsselung)
Zertifikat: je nach Installation, ggf. keine
Dann lassen sich ohne Fremdsoftware Kalender, Kontakte und E-Mails synchronisieren.
 
Einbinden und Synchronisieren von weiteren Adressbüchern:
- Adressbuch als "Gemeinsamer Adressordner" rechts oben in Adressansicht eintragen
- Haken "Von ActiveSync und CardDAV ausschließen" darf nicht gesetzt sein
Einbinden und Synchronisieren von weiteren Kalendern:
- Kalender als "Gruppenkalender" rechts oben in Kalenderansicht eintragen
- Haken "Von ActiveSync und CardDAV ausschließen" darf nicht gesetzt sein
 
Tobit David kann kein Exchange Web Services (EWS), sondern nur Exchange ActiveSync (EAS).
E-Mail-Programme für Desktop-PCs nutzen meist nicht EAS, sondern MAPI/HTTP bzw. MAPI/RPC als Exchange-Protokoll.
EAS funktioniert daher nicht mit Outlook, Apple Mail oder anderen Exchange-kompatiblen E-Mail-Programmen unter Windows oder MacOS.
Der einzige gängige Mail-Client auf Desktop-PC mit EAS-Unterstützung ist die Mail-App von Windows 10.
 
ACHTUNG! Tobit deaktiviert ActiveSync und IMAP-Server, wenn SiteCare ausläuft!
ausserdem:
- keine Produktupdates
- kein automat. Bezug von Lets Encrypt Zertifikaten
 
Itacom Mobile Client am Smartphone einrichten
Itacom Mobile für Tobit David
https://doku.itacom.de/?p=45
Itacom Mobile Controlpanel
https://doku.itacom.de/?p=70&s=501

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-08-23 15:11


Faxviewer geht nicht

David Client zeigt Fax in der Vorschau an, kann es aber nicht öffnen.

Lösung: Kopieren von DVEDIT32.EXE von einem anderen Client.

 Wenn das nicht reicht: Client vollständig deinstallieren und neu installieren.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-08-21 17:16


Tobit David: Wichtige Files und INI - Einträge

Antivirus: vom Scan zumindest ausschließen:
...\David\Import
...\David\Tld\Port
...\David\Code
...\David\Apps


Druckvorlage für Emails befindet sich in \DAVID\Clients\Windows\EMAIL.PRN
Hier kann beispielsweise die Liste der Anlagen anpassen (korrigieren).

Eingabehistorie bei Mailadressen in Registry (als MRUTo0 bis MRUTo99):
Computer\HKEY_CURRENT_USER\Software\Tobit\Tobit InfoCenter\MessageEditor\Settings

David Classic Client Einstellungen:
Computer\HKEY_CURRENT_USER\SOFTWARE\Tobit\Tobit InfoCenter\Settings
(Navigation nach links: "LayoutToRight"=dword:00000000)
(Favoriten oben/unten: Computer\HKEY_CURRENT_USER\SOFTWARE\Tobit\Tobit InfoCenter\Settings\ICBarPos sein.
 0 = Favoriten unten
 1 = Favoriten oben)

David Modern Client Einstellungen:
Computer\HKEY_CURRENT_USER\SOFTWARE\Tobit\David Client\Settings

david.ini:

Neue User sollen nicht automatisch angelegt werden:
AutoValidation = FALSE

; Default is TRUE
; If TRUE is set, a user who has not been entered as a David
; user yet, will be automatically defined as a new user when
; creating a send job. This will only be possible provided that
; the number of licensed users will not be exceeded.
Diese Einstellung gibt es inzwischen auch im DvAdmin.

 

webbox.ini im Verzeichnis: David\Apps\Webbox\Code

HttpsPort = 1245
Damit lässt sich der SSL Port ändern.
Standard ist 443

Port = 8080
Änderung des Standardports für die Webbox
Standard ist 80

Port für Externzugriff auf WebAPI (Smart Client)
Datei: \david\code\DavidRestApi\appsettings.json, Sektion: ApiOptions, Parameter: "PortExternal"

• archive.dat - Größe muß immer ein Vielfaches von 430 sein

• archive.dir - Ordnerstruktur

• ***.001 - Dokument-Inhalt

• ***.$01 - Dateianlagen

• archive.urt - alle Regeln im betreffenden Verzeichnis  (durch entsprechende Rechte können hier User am Ändern der Regeln gehindert werden)

 

Realnamen beim Anlegen von Ordnern und Gruppen erzwingen: Name{Name}
Bsp.: Papierkorb wieder herstellen: Papierkorb{trash}

Archive sortieren: #01# Name1
#02# Name2 (#01# wird nicht angezeigt)

 

Include-Dateien in \David\Apps\Faxware\Resource\Include\
• standard.inc
• standard.fax (@@BENUTZER xxx@@) passt Absendekennung für Fax an.
Userabhängige Absendekennung: nutzerxx.inc anlegen mit "@@csid Faxnummer FAX@@" und in Nutzerverwaltung vorab einbinden.

 

Das Unterbinden von Dateitypen per David\Code\VIRUSLST.TXT geht seit V.8 leider nur noch mit aktiviertem Virus Protection.

 

Alle Sendemethoden ( Postman / Datenbanken / Sendemethode) sind im Verzeichnis David\Apps\Postman\Code in der postman.dir gespeichert. Diese Datei kann man umbenennen und anlegen.

Ein- und Ausgangsprotokolle
* Speicherzeit festlegen in DvAdmin: System / Konfigurieren / Bereinigung
* \DAVID\CODE Datei DAVID.REC (Eingangsprotokoll), DAVID.LOG (Ausgangsprotokoll)

Mail Access Server: dient zum Zugriff per IMAP oder POP3 auf David, z.B. Nutzung von Outlook oder Thunderbird als David-Client.

Webbox: bietet einen Webserver für eine Internetpräsenz, zum anderen wird der Dienst für die Aufbereitung der Daten aus David benötigt um, z.B. per Web, Smartphone oder auch ActiveSync die Daten zu synchronisieren.

ActiveSync: um z.B Smartphones oder die Windows 10 Mail-App an David anzubinden.
Die Daten werden hier mit dem Gerät synchronisiert und stehen dann auch offline zur Verfügung.
Die Zugangsdaten sind die Remote Access-Daten (Benutzername und Passwort), die in den Benutzereinstellungen des David-Users hinterlegt sind.
Logfiles (temporär!) aktivieren: "Fernzugriff & Publizierung" > WebBox > ActiveSync > Eigenschaften > "Log-Datei schreiben" aktivieren. Diese wird dann im Benutzerordner abgelegt und wird ggf. ziemlich groß.

Replica: Damit kann man Offline E-Mails mit dem David-Client schreiben und sobald man online ist, diese mit dem Server synchronisieren.
Voraussetzung: Webbox+Remote Access. Mit Replica kann man auch mehrere David-Server miteinander synchronisieren.

Remote Access: Wird benötigt, um auf die Ordnerstruktur deines Benutzers zuzugreifen, z.B. per ActiveSync (mit Smartphone oder Windows 10 Mail App), Webclient oder David Client Mobile. Die Remote Access Daten im David-Admin müssen beim David Client Mobile unter Einstellungen -> Mobil -> Remote Access Parameter eingetragen werden, damit die Ordner offline synchronisiert werden können.
Quelle: https://www.david-forum.de/forum/thread/12753-fernzugriff-mail-access-server-webbox-exchange-active-sync-wann-benutzt-man-was/

Tobit DAVID kann Exchange Active Sync (EAS) für Mobilgeräte, aber kein EWS für Exchange / Outlook.
Alternative Schnittstellen: CardDAV und CalDAV, IMAP.

DAVID -WIKI von Andev : http://david-wiki.andev.de/doku.php

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-08-10 18:08


Tobit David Datenübernahme in Outlook

eMail Übernahme

Mail Access Server für IMAP Zugriff einrichten

  1. Mail Access Server muß gestartet werden
  2. David.Administrator
    System | Benutzer | <Benutzer> | Rechte: Remote Access nutzen aktivieren
    Fernzugriff & Publizierung | Mail Access Server | Konfigurieren
    Unterstützte Protokolle: POP3/IMAP4
    Login Alias: Name wählen und Ordner des Benutzers festlegen, der Login Name muss mit den Namen vom Remote Access im TIC übereinstimmen.
  3. Tobit InfoCenter
    Optionen | Einstellungen | Zugang | Remote Access aktivieren und Loginname und Passwort setzen

Variante 1:
Mail Access Server einrichten und Outlook über IMAP anmelden, Posteingang u.a. exportieren in eine .pst Datei

Variante 2:
Datensicherung über IMAP mit Mailstore und Wiederherstellung in Outlook

 

Kalender / Adressen Übernahme

Adressbuch Variante 1:
Adressbuch auswählen. Datei -> Datenexport -> Datenformat wählen (VCF) - exportiert alle Adressen in eine VCF-Datei

Kalender Variante 1:
Kalender auswählen. Datei -> Datenexport -> Datenformat wählen (ICS) - exportiert alle Adressen in eine ICS-Datei
Zeitraum wählen, verschiedene Datenformate möglich.

Variante 2:
Windows Ordner erstellen und David Kalender Einträge per Drag&Drop in den Ordner ziehen. Es werden .ics Dateien für jeden Termin erstellt. Für Kontakte (.vcf) wiederholen.

 

Outlook Import
Datei | Importieren/Exportieren | Aus anderen Programmen oder Dateien importieren
Kommagetrennte Werte (Windows)

HelloExchange
Migration von Tobit David zu Exchange/Outlook
Übernahme von Kalendereinträgen, Aufgaben, Mails, Faxe, SMS, Voice Mails, Aufgaben, Adressen

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-04-14 17:28


Tobit Fax Header

Parameter "DisableFaxHeader=x" in der "DAVID.INI" im Verzeichnis "DAVID\CODE".

Parameter "x" kann folgende Werte annehmen:

"0" = der Header wird immer erzeugt (Default);
"1" = Faxversand ohne Header, FaxBox-Dokumente werden mit Header erzeugt;
"2" = Fax-Dokumente mit Header, FaxBox-Dokumente ohne Header oder
"3" = Immer ohne Header.

Hinweis:
Sofern Fax-Aufträge ohne Kopfzeile erzeugt und versendet werden, stehen dem Empfänger alle Informationen wie Datum/Zeit, Anzahl Seiten, Absenderkennung usw. nicht zur Verfügung.

Header Einträge:

BENUTZER; SENDERNAME; ADRESSAT; SEITEN; DATUM; UHRZEIT; LOGO
Benutzer: standardmäßig in "Konfiguration=>Benutzer=>[Benutzername]=>Allgemein=>Initialen (=>Kürzel)" oder durch "@@BENUTZER". ACHTUNG! Include-Dateien in \David\Apps\Faxware\Resource\Include\ beachten! (auch standard.inc)

Sendername: standarmäßig in "Konfiguration=>System=>Faxkennung" oder "@@SENDERNAME"

Datum und Uhrzeit standardmäßig Systemzeit der Konvertierung oder "@@HEADDATE dd.mm.jj" und "@@HEADTIME hh:mm"

Logo: header.bmp in "DAVID\CODE\RESOURCE\HEADER" (Windows BMP Datei, 1-bit Farbtiefe s/w, 150*46 Pixel)

 

Individuelle Absendekennung: http://www.windows-faq.de/2010/05/06/absenderkennung-bei-david-fx-individuell-hinterlegen/

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-06-03 13:06


SQL-Server in Tobit David

Probleme mit David SQl-Suche:

Vor der David-Installation die SQL-Server Instanz DAVID im Verzeichnis ...\David\Code\Database anlegen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-09-01 16:58


externe Mail an mehrere interne Empfänger kommt mehrfach an

Problem: 
E-Mail von externen Absendern an mehrere interne Empfänger kommen bei allen Empfängern im David mehrfach an.

Lösung:
DvAdmin -> GrabbingServer -> POP3-Postfach -> Verteilung:
Auszuwertendes Adressfeld an Provider anpassen.
(bei mir: X-Original-To)

Ggf. muß man sich beim Provider ein entsprechendes Feld bereit stellen lassen.

Verfasser: Uwe Kernchen
Letzte Änderung: 2015-11-20 17:47


Tobit Editor, Vorlagen und Formulare

klassische Formatierungsleiste einblenden

  • im Editor: [Strg] + [Alt] + [Shft] + [E]
  • Serverweit umstellen im DvAdministrator unter Benutzerdaten > David Client konfigurieren > Editor > Erweitert > Klassische Formatierungs-Optionen

Vorlagen

Zentraler Ablageort: [Server]/Ressourcen/Vorlagen

Nutzer-Vorlagen: [Server]/Benutzer/[User]/System/Vorlagen

 

Vorlage erstellen:
- Neue Nachricht. Text einfügen. Betreff nicht vergessen.

- Speichern als Persönliche oder Öffentliche Vorlage.

Vorlage einbinden:

Lokal: Optionen -> Einstellungen -> Vorlagen.

Zentral: DvAdmin: System -> Benutzer -> Eigenschaften des jeweiligen Benutzers -> Benutzerdaten -> Client konfigurieren -> Vorlagen

 

Vorlage bearbeiten:

Die normale Bearbeitung ist selbsterklärend.
Bearbeitung des HTML-Quelltextes: Vorlage bearbeiten, Format= HTML wählen, Rechtsklick: Quelltext anzeigen.


Fussnoten lassen sich in Tobit zentral steuern und werden erst beim Versand hinzu gefügt.
Der Nutzer kann sie nicht beeinflussen.
Gesteuert werden Fussnoten in Benutzerverwaltung / Versand.

DFML-Formulare:

Tobit-eigene HTML-ähnliche Scriptsprache zum Senden oder Speichern von Formularinhalten.

Ablage: [Server]/Ressourcen/Formulare

DFML-Formulare werden im Format = Text-Only bearbeitet.

http://www.schneller-und-besser.de/forum/index.php?thread/172-grundlagen-f%C3%BCr-dfml-formulare/

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-01-05 09:50


Duplog (Tobit David)

Das Duplog ist eine interne Kopie des Tobit David-Servers, in dem alle ein- und ausgehende Post als Link abgebildet wird.
Diese Funktion wird beispielsweise von DvSpam genutzt und ist als Kompromiss für die Archivierung nutzbar.
Wird die Originalnachricht gelöscht, ist auch der Inhalt der Duplog-Nachricht weg.

Damit der ServiceLayer eine DupLog schreibt, sind folgende Einstellungen notwendig:
1. In der TAS (über den David Client) Verzeichnisse anlegen (z.B. "MailArchiv" mit Unterordner Ein-/Ausgang), in die der SL die
DupLog für den Ein- und Ausgang schreiben soll.
2. In die David.ini folgende Einträge einfügen (weichen je nach namen etc ab).

Zentrale Duplog-Konfiguration
DAVID/Code/david.ini

(Duplog kann mehrfach und auch auch verzeichnisweise konfiguriert werden)

Beispiele:

DupLog={RX|DocType=2}+\\srv-david\david\archive\MailArchiv\Eingang\ARCHIVE.DAT
DupLog={TX|DocType=2}+\\srv-david\david\archive\MailArchiv\Ausgang\ARCHIVE.DAT
;RX = Eingang , TX = Ausgang

; Eingangsprotokoll
DupLog={RX]\\servername\david\archive\system\david\7\ARCHIVE.DAT
; Ausgangsprotokoll
DupLog={TX]\\servername\david\archive\system\david\8\ARCHIVE.DAT

DupLog = DvSpam.dat

DUPLOG={Doctype=0|RX}FaxExport.LOG  (Fax Ausgang, .REC wäre Eingang)
; Doctype=0 - Fax
; Doctype=2 - E-Mail

Service Layer neu starten. Ab jetzt führt der SL in diesen Verzeichnissen die Duplogs.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-02-04 21:25


Vorlagen: HTML-Quelltext bearbeiten

Mit "Rechtsklick in der geöffneten Nachricht" > "Quelltext anzeigen" kann die Änderung NICHT abgespeichert werden.

Der Rechtsklick muss auf die Nachricht in der Eintragsliste erfolgen > Eigenschaften wählen > Button "Erweitert" anklicken > "HTML-Inhalt" auswählen > Bearbeiten.

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-01-17 14:36


SSL/TLS im Tobit

Transportverschlüsselung

Mit aktiviertem Sitecare kann das Zertifikat zur Transportverschlüsselung kostenfrei direkt aus dem David Admin beantragt und aktiviert werden.

Wenn alles klappt, wird es automatisch in die Webbox, den internen Mailaccess und Postman integriert.

Wenn der Download des Zertifikats fehl schlägt:

1. David Administrator öffnen
2. System -> Konfiguration
3. Domäne: Hier die Domäne eintragen, die auch von außen erreichbar ist und direkt auf Tobit forwarded, nicht die Domain für die E-Mailadressen. (Bsp. mail.domain.de)
4. TLS Zertifikat anforden, (nachdem geprüft wurde ob port 80/443 Webbox offen sind
5. Fertig.

Manuelles Aktivieren und Einbinden in Webbox/Konfig/Erweitert (Nicht nötig mit o.g. Schritten).

SSL-Zertifikat im PEM-Format einbinden, komplett incl. privatem Schlüssel. (wbcert.pem)

Man erstellt mit Notepad eine leere Datei und kopiert den Inhalt der Server Zertifikate, des Privaten Schlüssels und der Zwischenzertifikate hinein, speichert Sie als cert_bundle.pem auf dem Desktop des Server und importiert sie in o.g. Menue.

ACHTUNG! Tobit deaktiviert die Lets Encrypt automatische Verlängerung, wenn SiteCare ausläuft!

Foren-Anleitung: https://www.david-forum.de/forum/thread/14385-e-mail-und-kalender-am-smartphone/

Video-Anleitung:
https://www.youtube.com/watch?v=b3Dc4q1p86E - Lets Encrypt Zertifikat über DvAdmin einbinden
https://www.youtube.com/watch?v=8AC48Y-Dn9w - Zertifikatsanforderung mit Tobit TLSCert

TLS/SSL-Verschlüsselung kann man hier überprüfen (Vertrauenswürdigkeit, TLS-Version..): https://www.ssllabs.com/ssltest

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-01-14 01:55


Tobit David Berechtigungen richtig setzen

• bei der Installation: DAVID - Verzeichnis manuell erstellen, nur Administratoren = Vollzugriff.

• Berechtigungen später zurück setzen:
  - David- Verzeichnis Berechtigungen wie oben bereinigen
  - DvAdmin: ALT-Taste blendet Menue ein, Werkzeuge: Zugriffsrechte zurück setzen

• einzelnes Unterverzeichnis frei geben:
  - fremder Benutzerordner: nur "Attribute lesen" für "Nur diesen Ordner" für den zweiten User setzt. 
  - im gewünschten Unterordner: Leserechte inklusive Unterordner und Dateien.
  - archive.dir im Benutzerordner: Leserechte für den neuen User.

Ändern der Verteilregeln in einem Verzeichnis verbieten: Rechte in der jeweiligen archive.urt entziehen.
Verteilregeln können auch userbasierend zentral Read-Only gesetzt werden.

Bedeutung der Berechtigungen in der Benutzerkonfiguration des DvAdmin
http://club.tobit.com/showkbArticle.asp?ArticleID=9993

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-01-27 15:47


Tobit David Datenübernahme bei Serverwechsel

Bei gleichem Servernamen: DAVID-Verzeichnis kopieren, neu drüber installieren, fertig.

Export / Import von allen Nachrichten geht auch komfortabel über die Strongebox.

David.Administrator: Identifizierung, Verteilregeln bzw. Verteilvorgaben übernehmen:
- im DvAdmin jeweiligen Menuepunkt auswählen
- Titelmenue ([ALT]-Taste), Werkzeuge, Exportieren und am neuen Server importieren

Verfasser: Uwe Kernchen
Letzte Änderung: 2018-12-14 15:03


Tobit: Druck - Templates

Drucktemplates sind HTML basierte Dateien, mit denen man steuern kann, was generell beim Ausdruck erscheinen soll (Anhänge, Datum, etc.).

Eine Datei findest Du unter

david\clients\windows\EMAIL.PRN

die andere unter

david\code\template\Default.eml


Bei der einen handelt es sich um die Vorlage beim Druck über den lokalen Systemdrucker, bei der anderen um die Vorlage beim Druck über den in David.Admin gemappten Drucker.


Der Ausdruck von eMails, Kalendereinträgen und Adressen kann auf Wunsch in einer speziellen formatierten Form erfolgen. Hierzu können Vorlagen verwendet werden, bei denen es sich um Text-Dateien handelt, die über HTML-Tags und besondere Befehle das jeweilige Layout definieren. Diese Dateien befinden sich im Verzeichnis »DAVID\CODE\TEMPLATE« auf dem DvISE Server (Windows Backend). Durch die Dateinamen-Erweiterung ist festgelegt, für welches Nachrichten-Format die zugehörige Datei gilt (*.EML: eMail, *.CAL: Kalender, *.ADR: Adresse).
Um eigene Formatierungen zu realisieren, können Sie entweder die bereits vorhandenen Dateien entsprechend abändern oder komplett neue Dateien in diesem Verzeichnis erstellen. Standardmässig liegen in dem TEMPLATE Verzeichnis die Dateien DEFAULT.ADR, DEFAULT.CAL sowie die Datei DEFAULT.EML. Sie können diese nun entsprechend Ihren Wünschen individuell anpassen, oder neue Dateien anlegen (wie z.B. TEST.ADR, TEST.CAL und TEST.EML). Sobald eine Datei mit einem anderen Namen neu erstellt wurde, steht Ihnen diese Datei als Auswahl (Pull-Down-Menü) in der Druckerkonfiguration des DvISE Administrators unter »Konfiguration -> Drucker -> "Name des Druckers" -> Vorlage« Hierzu stehen Ihnen verschiedene Befehle und Variablen zur Verfügung.

Befehle für eMail-Vorlagen
Diese Befehle können innerhalb einer Vorlage-Datei zur Formatierung von eMail-Ausdrucken verwendet werden:

##ATTACHCOUNT## --> Anzahl der Attachments
##ATTACHMENTS## --> Name, Größe, Datum der Attachments
##BODYTEXT## --> Nachrichtentext (Mailbody)
##CCADDRESSES## --> Alle CC Adressen
##ERROR## --> Fehlermeldung
##FROM## --> Absenderadresse
##PRIORITY## --> Priorität
##RECIPIENT## --> Empfänger
##STATUSTIME## --> Status Zeit
##SUBJECT## --> Betreff
##TOADDRESSES## --> Alle To-Adressen

Ferner (nicht aus dem KB-Artikel):
##USER## Benutzername im Klartext


Befehle für Kalender-Vorlagen
Diese Befehle und Variablen können innerhalb einer Vorlage-Datei zur Formatierung von Kalender-Ausdrucken verwendet werden:

##SUBJECT## --> Betreff des Termins
##LOCATION## --> Ort des Termins
##SHOWAS## --> Status des Termins (Gebucht, Frei etc.)
##ATTENDEES## --> Liste der Teilnehmer (Trennzeichen: Zeilenumbruch)
##RECURRENCE## --> Bei Terminserie: Art der Wiederholung (z.B. täglich)
##COMMENT## --> Text des Termins (HTML oder reiner Text)
##STARTDATE## --> Anfangzeit des Termins
##STOPDATE## --> Endzeit des Termins

Variablen:
%a --> Abgekürzter Name des Wochentags
%A --> Ausgeschriebener Wochentagsname
%b --> Abgekürzter Monatsname
%B --> Voller Monatsname
%d --> Tag im Monat (01 - 31)
%H --> Stunde (00 - 23)
%I --> Stunde im 12h Format (01 - 12)
%j --> Tag im Jahr (001 - 366)
%m --> Monat (01 - 12)
%M --> Minute (00 - 59)
%p --> A.M./P.M. Indikator
%U --> Kalenderwoche (00 - 53)
%w --> Wochentag als Ziffer (0 - 6; Sonntag ist 0)
%W --> Kalenderwoche (00 - 53, erster Wochentag: Montag)
%x --> Datum formatiert nach lokaler Einstellung
%X --> Uhrzeit formatiert nach lokaler Einstellung
%y --> Jahreszahl ohne Jahrhundert (00-99)
%Y --> Jahreszahl inkl. Jahrhundert (ab 1970)
%z --> Name der Zeitzone (Kürzel)
%Z --> Name der Zeitzone (ausgeschrieben)

Befehle für Adress-Vorlagen
Diese Befehle können innerhalb einer Vorlage-Datei zur Formatierung von Adress-Ausdrucken verwendet werden:

##CITY## --> Ort
##COMPANY## --> Firma
##COUNTRY## --> Land
##DAYOFBIRTH## --> Geburtstag
##DISPLAYNAME## --> Angezeigter Name
##EMAILADDRESS## --> eMail-Adresse
##EMAILADDRESS2## --> 2. eMail-Adresse
##FIRSTNAME## --> Vorname
##LASTNAME## --> Nachname
##MIDDLEINITIAL## --> 2. Vorname
##NOTES## --> Kommentar
##PHONEMOBILE## --> Mobil-Telefonnummer
##PHONEOFFICE## --> geschäftliche Telefonnummer
##PHONEPRIVATE## --> Private Telefonnummer
##STATE## --> Bundesland
##STREET## --> Straße
##TITLE## --> Titel
##ZIPCODE## --> Postleitzahl (PLZ)

Quelle: https://www.david-forum.de/forum/thread/13826-wie-drucke-ich-cc-empf%C3%A4nger-mit-aus/?postID=72059#post72059

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-04-13 17:54


S/MIME Zertifikat in Tobit

E-Mail (Ende-zu-Ende) Verschlüsselung und Signatur

Wenn das Zertifikat abläuft, kommt der Hinweis zum Verängern im Client automatisch.

Wenn im David Administrator das zentrale Verwenden der S/MIME Zertifikate erlaubt ist, wird das Zertifikat samt Schlüssel in der Datei "email-adresse".dcf im David Benutzer Verzeichnis abgelegt.
Vorteil: das Benutzer-Zertifikat steht automatisch auf jedem David Client zur Verfügung, ohne dass es lokal installiert werden muß.
Im David Client unter Einstellungen / Sicherheit kann das Server-Zertifikat mit PrivateKey (.p12) oder ohne PrivateKey (.cer) exportiert werden.
Wenn es zentral gespeichert wird (als dcf im User VZ), kann man es kopieren, sollte man manuell den User umziehen.

Wenn das im David Admin Zentral nicht erlaubt ist, wird das im Zertifikatsspeicher des Windows OS abgelegt (Windows Taste drücken, Benutzerzertifikate eingeben starten, zu finden unter Eigene Zertifikate).
Das Zertifikat im Windows Zertifikatsspeicher kann samt Schlüssel exportiert und auf dem neuen Client importiert werden.

Für den Export auf das Handy benötigt man ein Zertifikat mit PrivateKey im PKCS#12 Format .PFX.

Verfasser: Uwe Kernchen
Letzte Änderung: 2022-08-26 01:33


Betriebssysteme » VMWare

VMWare Versionen

vSphere 7 Neuerungen (04/2020)

Lizenzierung nicht mehr per CPU, sondern per Core!
1 Lizenz gilt für max. physische 24 Cores (ohne HT). Dabei ist die Anzahl der physischen CPUs egal.
Vorhandene Lizenzen für VMware vSphere 6.x sind für vSphere 7 nicht gültig.
Mit aktueller Wartung lassen sich die Keys im VMWare-Portal updaten. Dabei werden die alten Keys deaktiviert.

- vSphere Lifecycle Manager vereinfacht Updates für VMware-Software und Firmware über vSphere oder REST API.
- vCenter Server wird nun auch aus vSphere Client aktualisiert.

02/2017: Still und heimlich wurde der ESXi Embedded Host Client als produktiv nutzbares Feature in ESXi 6.5 und in ESXi 6.0 U3 integriert.
Mit diesem Webclient kann man nun auf den C#-Client verzichten oder hat zumindest ein interessantes neues Werkzeug in der Hand.

vSphere 6.5 Neuerungen

- neues Filesystem VMFS6 mit neuem Snapshoot-Format.

- VM mit neuer vHardware 13 können nun bis zu 6TB RAM erhalten (4TB in V 6.0).

- Support für 512e Festplatten (Physisch 4096 Bytes, Emuliert 512 Byte). Nach wie vor KEIN Support für 4k Native!

- Der Update-Manager ist in der vCenter Server Appliance vollständig integriert. Die Windows Appliance verliert an Bedeutung.

- höhere Skalierbarkeit und Geschwindigkeit des vCenter Servers.

- Der vSphere Client WEB arbeitet wahlweise wie gewohnt mit Flash oder nativ mit HTML5 und benötigt kein PlugIn mehr.

- Der vSphere C# Client wurde nicht aktualisiert und verliert weiter an Bedeutung. Ganz ohne ihn geht es aber immer noch nicht.

- verschlüsselte VMs.

- Zum Backup mit Veeam ist Version 9.5 Update 1 (voraussichtlich Q1/2017) erforderlich.

vSphere 6 Neuerungen

NTFS 4.1 (VMWare 6):
- unterstützt Kerberos Zertifikate
- AD-Integration erforderlich!
(NFS-User im AD anlegen, User muß Vollzugriff auf Storage haben, User auf allen Hosts angeben.)

Virtual SAN (VMWare 6): - separate Lizenz!!
- min. 3 Hosts mit lokaler HD + SSD erforderlich.
- lokaler Speicher als VMotion-Speicher für alle Hosts.
- kein zentraler Storage erforderlich.

Virtual Volumes (VMWare 6):
- RAID-Level jeder VMDK individuell (virtuell) konfigurierbar.
- jede VMDK ist ein virtuelles Volume.
- arbeitet mit SAN und NAS.

Server Voraussetzungen:

- Hostmaschine mit mindestens zwei CPU-Kernen
- ESXi 6.0 unterstützt 64-Bit-x86-Prozessoren, die nach September 2006 veröffentlicht wurden.
- Für ESXi 6.0 muss das NX/XD-Bit für die CPU im BIOS aktiviert sein.
- min. 4 GB physischer Arbeitsspeicher. Es wird empfohlen, mindestens 8 GB RAM zum Ausführen virtueller Maschinen in typischen Produktionsumgebungen bereitzustellen.
- Um virtuelle 64-Bit-Maschinen zu unterstützen, muss auf x64-CPUs die Unterstützung für die Hardwarevirtualisierung (Intel VT-x oder AMD RVI) aktiviert sein.
- SATA-Festplatten werden als remote betrachtet, nicht lokal. Diese Festplatten werden nicht standardmäßig als Scratch-Partition verwendet, da sie als remote betrachtet werden.
Zur Verwendung des SATA-CD-ROM-Laufwerks muss man den IDE-Emulationsmodus einsetzen.

vSphere Essentials und Essentials Plus

- verwaltet max 3 Hosts (6 CPUs) mit einer Lizenz

- vSphere Essentials Plus erweitert die Basisfunktionen um:
  - Data Recovery
  - High Availability (HA) - Failover bei Hardware- und Systemausfall
  - vMotion - Verschieben von laufenden VMs zwischen den Hosts

vSphere 5.5 Neuerungen

- max. 320 (statt 160) physische CPU je Host
- max. 4096 (statt 2048) virtuelle CPU je Host
- max. 4 TB (statt 2 TB) RAM je Host
- max. 62TB VMDKs (statt 2TB) für VMs, SSD-Unterstützung (Flash Read Cache)
- Virtual Hardware V.10 mit:
  - mehr virtuelle CD-ROM oder Festplatten 
  - Unterstützung von GPUs von AMD (neben NVIDEA) für VMs
  - Unterstützung von Windows 2012R2 Failover Cluster als Shared Storage
  - vSphere 5.1 Client unterstützt keine V.10 Funktionen!
  Konfiguration nur mit dem lahmen, flashbasierenden WEB-Client möglich.
- vorkonfigurierte vCenter Server Appliance unterstützt 500 (statt 5) Server und 5000 (statt 50) VMs
- neue vCenter Server Appliance auf Unix+Qracle-Basis (root / vmwareappliance)

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-06-10 17:54


VMware vSphere Tips

Folgende Einstellung im WEB-Client erspart Angabe der Domäne bei jedem Login: Verwaltung (Administration) / SingleSignOn / Konfiguration (Config) / Identitätsquellen (IdentitySources): SSO-Domaine (Default: vsphere.local) wählen, ->Ball drücken (DefaultDomain, Als Standard festlegen)

ESX Konsole:
ALT-F1: Virtual Console
ALT-F2: GUI

Firewall ein/aus
ESX-Konsole
* esxcli network firewall get -> Status anzeigen
* esxcli network firewall set --enabled false  -> Firewall aus
* esxcli network firewall set --enabled true  -> Firewall ein
* esxcli network firewall ruleset –enabled false –ruleset-id [rulesetName]  -> schaltet einzelne Regel ein/aus
* esxcli network firewall ruleset list  -> zeigt alle aktiven und nicht aktiven Regeln
* esxcli network firewall ruleset allowedip list  -> zeigt alle Regeln mit den erlaubten IP-Adressen
* esxcli network firewall ruleset rule list -> listet Regeln und Ports auf

VMWare Konsole hat per Default keine Zwischenablage.
Aktivieren siehe Zwischenablage nutzen.

Assistent für "VM klonen" ist nur im vCenter verfügbar.
Lösung ohne vCenter über Veeam Backup oder Konsolentool VMKFSTOOLS.
Reines Kopieren der Dateien erstellt Thick Provisioning HD.

05/2020 - ESXi Server 7.0

02/2017: - Der ESXi Embedded Host WEB-Client wurde als produktiv nutzbares Feature in ESXi 6.5 und in ESXi 6.0 U3 integriert.
Mit diesem Webclient kann (und muss) man nun auf den C#-Client verzichten

Es gab mit VMware 6 wieder einen aktualisierten vSphere6 C# Client.
Er ersetzt nicht den WEB-Client, aber er wurde um diverse Funktionen erweitert.
Seit VMWare 6.5 wird der C# Client nicht mehr unterstützt.

- Verwaltung von HW5 - HW8-VMs im VMware 5 / 5.5 / 6 Mode.

- ReadOnly Support von HW 9 - 11.

VMware 5.5 Nutzer: Client 5.5 muß installiert bleiben.


11/2016
- vCenter Server 6.5.
- Der Update-Manager ist in der vCenter Server Appliance integriert.
- vSphere Client arbeitet wahlweise wie gewohnt mit Flash oder mit HTML5 und benötigt kein PlugIn mehr. Leider ist die HTML-Version wohl immer noch nicht komplett.

 

vCenter 6.5:
- \vcsa-ui-installer\ enthält eine Installations-GUI.

 

Die kostenfreie Version des vCenter Operations Managers (Foundation Edition) steht in vSphere 6 weiterhin zur Verfügung. Im Downloadbereich steht die in vSphere 6 supportete Version VMware vCenter Operations Manager Foundation 5.8.5 zur Verfügung und kann weiterhin für ein Basis-Performance-Monitoring der vSphere Umgebungen verwendet werden. (DSR für die Installation der App aktivieren (nur Enterprise Version!) oder besser einen Host aus dem Cluster lösen (nicht aus dem vCenter!) und App installieren. Danach läuft die vApp ohne DSR auch im Cluster.)

- VMXNet3 Netzwerkkarte ist bis 100% schneller als die Intel E1000E!
Ab VM HW-Version 7. Optimiert für virtuelle Maschienen, Treiber in den VMTools.

ESX Performance Monitor:
• ESXTop
• RVTools

Professionelle USB-Server: https://www.wut.de

Verfasser: Uwe Kernchen
Letzte Änderung: 2023-09-17 09:02


VMWare SSH-Console im vSphere Client

SSH-Console im vSphere Client aktivieren

Klicken Sie oben auf den Tab „Configuration“
- Klicken Sie unten links unter „Software“ auf dem Punkt „Security Profile“
- Klicken Sie anschließend oben rechts auf Properties
- Klicken Sie dort auf SSH und anschließend auf Options
- Starten Sie die SSH Dienste mit „Start“. Dienst kann bei Bedarf automatisch mit Host gestartet werden.

SSH in der Firewall aufmachen

Dann ist die Anmeldung per WinSCP (File Protocol = "SCP") oder Putty (SSH) auf den Host möglich.

Passwort ändern

passwd root
(ggf. Root-Berechtigung erhalten: su- )

ESXTOP - Anzeigen der Prozesse

 

Verfasser: Uwe Kernchen
Letzte Änderung: 2021-05-07 15:19


VMWare ESX/Workstation: Harddisk verkleinern

Einen virtuellen Datenträger zu verkleinern ist keine triviale Aufgabe und kann den Datenträger der VM irreparabel beschädigen. Wegen der damit verbundenen Risiken hat VMware diese Option aus dem vSphere Client entfernt und bietet sie auch nicht in den
VM-Einstellungen der Workstation.

Mit den mitgelieferten VMWare Tools kann dies realisiert werden. Im Programmordner von VMware Workstation ist das Tool “vmware-vdiskmanager” zu finden.

- virtuelle Maschine beenden.
- alle Snapshoots löschen (sonst schlägt der Vorgang fehl).
- Name der gesuchten Festplatte ermitteln.
- Administrative Kommandozeile, in den Programmordner (“cd \prog*\vm*\vm*“) hangeln.
- zum verkleinern der Festplatte folgenden Befehl ausführen:

vmware-vdiskmanager -k “D:\VM\Win XP\Win XP.vmdk”
 

Das funktioniert nur mit dynamischen Festplatten. Wurde der Speicher fest zugewiesen (preallocated), muss die Festplatte vorher konvertiert werden. Während des Vorgangs reduziert sich die Größe zugleich.

vmware-vdiskmanager -r “D:\VM\Win XP\Win XP.vmdk” -t 0 “D:\Virtual Machines\Win XP\Win XP-converted.vmdk”

Der numerische Wert hinter dem Parameter -t ist ein festgelegter Wert aus den folgenden Plattentypen:

   0 : einzelne dynamische Festplatte    1 : dynamische Festplatte zu je 2 GB gestückelt    2 : einzelne Festplatte mit fest zugewiesener Größe (preallocated)    3 : einzelne Festplatte mit fest zugewiesener Größe (preallocated) zu je 2 GB gestückelt

Nach der Konvertierung muss die alte Festplatte entfernt, die neue eingefügt werden.

-> Vor der Konvertierung Backup zu erstellen!
 

Andere Lösung: Quelle mit Imagebackup sichern, leeres Ziel mit gewünschter Größe erstellen, Image zurück sichern.

Verfasser: Uwe Kernchen
Letzte Änderung: 2020-01-24 15:49


EVC-Mode

Der EVC-Mode “Enhanced vMotion Compatibility” definiert den gemeinsamen CPU-Befehlssatz aller VMWare-Hosts in einem Cluster und ermöglicht vMotion.

Es ist kein Mischbetrieb von AMD und INTEL im Cluster möglich.

Die Anhebung der Funktionen ist bei eingeschaltete VMs möglich.
Die Änderung wird aber in jedem Fall erst nach einem Neustart wirksam.

Verfasser: Uwe Kernchen
Letzte Änderung: 2016-04-08 15:21


VMWare Converter

VMWare Converter 6.3 (01/2023)

VMWare Converter 6.2 (12/2017)

Kann auf folgenden Plattformen installiert werden:

  • Windows Vista SP2 (32-bit and 64-bit)
  • Windows Server 2008 SP2 (32-bit and 64-bit)
  • Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64-bit)
  • Windows 8 (32-bit and 64-bit)
  • Windows Server 2012 (64-bit)
  • Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 R2 (64-bit)
  • Windows 10 (32-bit and 64-bit)
  • Windows Server 2016 (64-bit)

Unterstützt folgende Quellen:

  • Windows Vista SP2 (32-bit and 64-bit)
  • Windows Server 2008 SP2 (32-bit and 64-bit)
  • Windows 7 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64-bit)
  • Windows 8 (32-bit and 64-bit)
  • Windows Server 2012 (64-bit)
  • Windows 8.1 (32-bit and 64-bit)
  • Windows Server 2012 R2 (64-bit)
  • Windows 10 (32-bit and 64-bit)
  • Windows Server 2016 (64-bit)
  • CentOS 6.x (32-bit and 64-bit)
  • CentOS 7.0, 7.1, 7.2, 7.3, 7.4, 7.5 (64-bit)
  • Red Hat Enterprise Linux 4.x (32-bit and 64-bit)
  • Red Hat Enterprise Linux 5.x (32-bit and 64-bit)
  • Red Hat Enterprise Linux 6.x (32-bit and 64-bit)
  • Red Hat Enterprise Linux 7.0, 7.1, 7.2, 7.3, 7.4, 7.5 (64-bit)
  • SUSE Linux Enterprise Server 10.x (32-bit and 64-bit)
  • SUSE Linux Enterprise Server 11.x (32-bit and 64-bit)
  • Ubuntu 12.04 LTS (32-bit and 64-bit)
  • Ubuntu 14.04 LTS (32-bit and 64-bit)
  • Ubuntu 16.04 LTS (32-bit and 64-bit)

 


VMWare Converter 5.2 (07/2014)

Kann auf folgenden Plattwormen installiert werden:

  • Windows XP Professional SP3(32-bit and 64-bit)
  • Windows Server 2003 R2 SP2 (32-bit and 64-bit)
  • Windows Vista SP2(32-bit and 64-bit)
  • Windows Server 2008 SP2 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64-bit)
  • Windows 7 (32-bit and 64-bit)
  • Windows 8 (32-bit and 64-bit)
  • Windows Server 2012 (64-bit)

Unterstützt folgende Quellsysteme:

  • Windows XP Professional SP3 (32-bit and 64-bit)
  • Windows Server 2003 R2 SP2 (32-bit and 64-bit)
  • Windows Vista SP2 (32-bit and 64-bit)
  • Windows Server 2008 SP2 (32-bit and 64-bit)
  • Windows Server 2008 R2 (64-bit)
  • Windows 7 (32-bit and 64-bit)
  • Windows 8 (32-bit and 64-bit)
  • Windows Server 2012 (64-bit)
  • Red Hat Enterprise Linux 3.x (32-bit and 64-bit)
  • Red Hat Enterprise Linux 4.x (32-bit and 64-bit)
  • Red Hat Enterprise Linux 5.x (32-bit and 64-bit)
  • Red Hat Enterprise Linux 6.x (32-bit and 64-bit)
  • SUSE Linux Enterprise Server 9.x (32-bit and 64-bit)
  • SUSE Linux Enterprise Server 10.x (32-bit and 64-bit)
  • SUSE Linux Enterprise Server 11.x (32-bit and 64-bit)
  • Ubuntu 10.04 LTS (32-bit and 64-bit)
  • Ubuntu 12.x (32-bit and 64-bit)
  • Ubuntu 13.04 (32-bit and 64-bit)
  • Ubuntu 13.10 (32-bit and 64-bit)
  • VMware Desktop products
    • Workstation 7.x, 8.x, 9.x, and 10.x
    • Fusion 3.x, 4.x, 5.x, and 6.x
    • Player 3.x, 4.x, 5.x, and 6.x
  • VMware vCenter virtual machines
    • vSphere 5.5
    • vSphere 5.1
    • vSphere 5.0
    • vSphere 4.1
    • vSphere 4.0
  • Third-party backup images and virtual machines
    • Acronis True Image Echo 9.1 and 9.5, and Acronis True Image Home 10 and 11 (.tib)
    • Symantec Backup Exec System Recovery (formerly LiveState Recovery) 6.5, 7.0, 8.0, and 8.5, and LiveState Recovery 3.0 and 6.0 (.sv2i format only)
    • Norton Ghost version 10.0, 12.0, and 14.0 (.sv2i format only)
    • Parallels Desktop 2.5, 3.0, and 4.0 (.pvs and .hdd). Compressed disks are not supported
    • Parallels Workstation 2.x (.pvs). Compressed disks are not supported. Parallels Virtuozzo Containers are not supported.
    • StorageCraft ShadowProtect Desktop, ShadowProtect Server, ShadowProtect Small Business Server (SBS), ShadowProtect IT Edition, versions 2.0, 2.5, 3.0, 3.1, and 3.2 (.spf)
    • The Microsoft VHD format for the following sources:
      • Microsoft Virtual PC 2004 and Microsoft Virtual PC 2007 (.vmc)
      • Microsoft Virtual Server 2005 and 2005 R2 (.vmc)

Je nach Quellsystem kann Converter 5 in folgende Zielsystem übertragen:

  • VMware vCenter virtual machines
    • ESX 4.0 and 4.1
    • ESXi 4.0, 4.1, 5.0, 5.1, and 5.5
    • vCenter Server 4.0, 4.1, 5.0, 5.1, and 5.5
  • VMware Desktop virtual machines
    • VMware Workstation 7.x, 8.x, 9.x, and 10.x
    • VMware Player 3.x, 4.x, 5.x, and 6.x
    • VMware Fusion 3.x, 4.x, 5.x, and 6.x

Quelle: vmware.com/support


VMWare Converter 4.3 (08/2010)

Unterstützt neu:

  • Windows 7 als Quelle
  • Server 2008 als Quelle
  • vSphere 4.1 als Quelle und Ziel

Nicht mehr unterstützt:

  • Windows 2000
  • Windows NT
  • OVF-Format

Kann auf folgenden Plattformen installiert werden:

  • Windows XP Professional (32-Bit und 64-Bit)
  • Windows Server 2003 SP2, R2 (32-Bit und 64-Bit)
  • Windows Vista (32-Bit und 64-Bit)
  • Windows Server 2008 (32-Bit und 64-Bit)
  • Windows Server 2008 R2 (64-Bit)
  • Windows 7 (32-Bit und 64-Bit)

Unterstützt folgende Quellen:

• Physische Maschinen mit folgenden Systemen:

  • Windows XP Professional (32-Bit und 64-Bit)
  • Windows Server 2003 SP2, R2 (32-Bit und 64-Bit)
  • Windows Vista SP1 (32-Bit und 64-Bit)
  • Windows Server 2008 SP2 (32-Bit und 64-Bit)
  • Windows Server 2008 R2 (64-Bit)
  • Windows 7 (32-Bit und 64-Bit)
  • Red Hat Enterprise Linux 2.1 (32-Bit)
  • Red Hat Enterprise Linux 3.0 (32-Bit und 64-Bit)
  • Red Hat Enterprise Linux 4.0 (32-Bit und 64-Bit)
  • Red Hat Enterprise Linux 5.0 (32-Bit und 64-Bit)
  • Red Hat Linux Advanced Server 2.1 (32-Bit)
  • SUSE Linux Enterprise Server 8.0
  • SuSE Linux Enterprise Server 9.0 (32-Bit und 64-Bit)
  • SuSE Linux Enterprise Server 10.0 (32-Bit und 64-Bit)
  • SuSE Linux Enterprise Server 11.0 (32-Bit und 64-Bit)
  • Ubuntu 5.x
  • Ubuntu 6.x
  • Ubuntu 7.x (32-Bit und 64-Bit)
  • Ubuntu 8.x (32-Bit und 64-Bit)
  • Ubuntu 9.x (32-Bit und 64-Bit)
  • Ubuntu 10.04 (32-Bit und 64-Bit)
  • VMware Desktop-Produkte
    • Workstation 5.x, 6.x und 7.x
    • Fusion 2.x und 3.x
    • Player 2.x und 3.x
    • Server 2.x
  • Virtuelle VMware vCenter-Maschinen
    • vSphere 4.1
    • vSphere 4.0
    • ESX 3.0
    • ESXi 3.5 Installable und Embedded
    • ESX Server 2.5.x (wenn VirtualCenter 2.5 oder höher ESX Server verwaltet)
    • vCenter Server 2.5
  • Sicherungs-Images und virtuelle Maschinen von Drittanbietern
    • Microsoft Virtual PC 2004 und Microsoft Virtual PC 2007
    • Microsoft Virtual Server 2005 und Microsoft Virtual Server 2005 R2
    • Virtuelle Hyper-V Server-Maschinen, auf denen Windows-Gastbetriebssysteme ausgeführt werden
    • Virtuelle Hyper-V Server-Maschinen, auf denen Linux-Gastbetriebssysteme ausgeführt werden
    • Acronis True Image Echo 9.1, 9.5 und Acronis True Image 10.0, 11.0 (Home-Produkt)
    • Symantec Backup Exec System Recovery (ehemals LiveState Recovery) 6.5, 7.0, 8.0 und 8.5, LiveState Recovery 3.0 und 6.0 (nur .sv2i-Dateien)
    • Norton Ghost Version 10.0, 11.0, 12.0, 13.0 und 14.0 (nur .sv2i-Dateien)
    • Parallels Desktop 2.5, 3.0 und 4.0
    • StorageCraft ShadowProtect 2.0, 2.5, 3.0, 3.1 und 3.2

Je nach ausgewählter Quelle kann Converter 4.3 in die folgenden Ziele konvertieren:

  • Virtuelle VMware vCenter-Maschine