FAQ Übersicht

Siehe auch Windows Update funktioniert nicht

• Windows Updates per Powershell verteilen:
  https://www.powershellgallery.com/packages/PSWindowsUpdate/

"Updatepause für 7 Tage" läßt sich bis zu 5x drücken und erreicht max. 35 Tage.

WSUS-Client UsoClient (Win10/Server2019):

Microsoft hat WUAUCLT still gelegt und dafür UsoClient eingeführt.
USO ist die Abkürzung für „Update Orchestrator Service“ und ist der Dienst UsoSVC (Update Orchestrator Service) zum Verwalten der Windows Updates.

usoclient StartScan
usoclient StartDownload - startet den Download
usoclient StartInstall - startet Installation
usoclient RestartDevice - PC Neustart

Der Befehl „usoclient StartScan“ hat noch den Nebeneffekt, dass er einen evtl. vorhandenen WSUS Server über den aktuellen Patchstand der Windows Updates informiert und dieser dann gleich die korrekte Zahl anzeigt. Dies wurde vor Windows 10 mit dem Befehl „wuauclt /detectnow“ oder „wuauclt /resetauthorization /detectnow“ eingeleitet.

Update deinstallieren per CMD oder Powershell, falls die GUI scheitert:
wusa /uninstall /kb:4565503 /log:%homepath%\downdate.evtx
(Deinstalliert Update mit genannter KB)

Liste aller installierten Pakete inclusive Updates, Sprachpakete und einige Systemkomponenten:
dism /online /get-packages
Zeigt abgelöste Pakete mit Status "Abgelöst".

Beim Boot von Fremdsystem/WinPE:
dism /image:c:\ /get-packages /scratchdir:c:\
(c: ist das zu untersuchende Offline-Systemlaufwerk)

WSUS geht nicht für Windows 10:

https://www.windows-faq.de/2016/08/19/windows-10-anniversary-update-1607-ueber-wsus-korrekt-verteilen/

https://www.windows-faq.de/2016/08/24/windows-10-feature-updates-mit-wsus-verteilen-application-octet-stream/

http://www.zdnet.de/88283945/wsus-updates-fuer-windows-10-optimal-verteilen/?referrer=nl_de_zdnet&t=00b74d57daa296d52bfa609fe3616d1a1822199

WSUS-Client WUAUCLT (alt):

wuauclt /detectnow: Windows Update prüft sofort, ob neue Updates vorliegen, ohne sich auf seinen Zwischenspeicher zu verlassen.
wuauclt /resetauthorization: Nur in Kombination mit einem Update-Server im lokalen Netz interessant. Bewirkt, dass die für die Auto-Updates zuständige Wuauclt.EXE die in einem Cookie gespeicherten Infos (z.Bsp. Gruppenmitgliedschaft) zurücksetzt und das Update erzwingt.
wuauclt /demoui: Testet, ob die Benachrichtigung über neue Downloads mit Hilfe des Symbols im Systray funktioniert.
wuauclt /ShowSettingsDialog: zeigt den Einstellungs-Dialog 'Automatische Updates' an.
wuauclt /reportnow - sendet Statusbericht an den WSUS.

Neue Clients: gpupdate /force und dann Wuauclt /reportnow /detectnow

WSUS Server auf SSL umstellen:

• AD: Computerzertifikat erstellen und auf alle Clients ausrollen (siehe R&S Firewall und AD Zertifikate).
• IIS-Manager / WSUS-Site / Bindungen bearbeiten: HTTPS konfigurieren, Port, Zertifikat auswählen
  
• Gruppenrichtlinie: WSUS auf https: umstellen, Port 8531.
• ggf. SSL erzwingen: IIS-Manager / WSUS-Site / virtuelle Verzeichnisse (APIremoting30, ClientWebService, DSSAuthWebService, ServerSyncWebService, SimpleAuthWebService) wählen / SSL-Einstellungen: "SSL erforderlich" anhaken, Zertifikat ignorieren.
• CMD:
  cd %ProgramFiles%\Update Services\Tools\
  wsusutil.exe configuressl [FQDN-des-Servers]
• Serverneustart, Test im Browser: https://[FQDN-des-Servers]:8531/selfupdate/wuident.cab, bei Erfolg wird Download der CAB angeboten.
  

Quelle: https://www.windowspro.de/wolfgang-sommergut/wsus-fuer-ssl-verbindung-konfigurieren

WSUS Import vom MS Update Katalog schlägt fehl (Server 2012R2 - 2019)
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\.NETFramework\v4.0.30319 /V SchUseStrongCrypto /T REG_DWORD /D 1
Danach Reboot.
Quelle: https://community.spiceworks.com/topic/2144162-import-to-wsus-fails-direct-import-from-ms-update-catalog?page=3

WSUS kann mit "Interne Windows-Datenbank" WID (C:\Windows\WID\Data\SUSDB.mdf) oder SQL-DB arbeiten.
Verbindung mit SQL Management Studio auf WSD: "\\.\pipe\MICROSOFT##WID\tsql\query".

WSUS Konfig steht in "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Update Services\Server\Setup

Fehler: Updates lassen sich nicht freigeben
  Nach Genehmigung der Updates erfolgt Fehlermeldung.
Lösung: Im ROOT-Verzeichnis des WSUS-Content- Laufwerkes und in /TEMP muß JEDER=Vollzugriff haben!

Dienste:
* WUASERV - Windows Update Service
* W3SVC - WWW-Publishingdienst

Links:

http://www.wintotal.de/updates-und-upgrades-unter-windows-10-im-griff/

PDF24 Creator - PDF-Drucker, Erstellen von PDF Dateien aus allen Anwendungen, Umsortieren, Zusammenfügen, Editieren, Spalten, Passwortschutz. Freeware.

CutePDF Writer - PDF-Drucker für alle Windows Versionen, Free for personal, commercial, gov or edu use.

Free eXPert PDF Reader -schlanker ressourcensparender Reader, Editierfunktionen, Freeware.

PDF-XChanger Editor -PDF-Reader mit guten Editierfunktionen, Freeware. Prof. ca. 35 EUR.

PDF Factory -PDF-Drucker, PDF zusammen setzen, Pro-Version auch PDF editieren, ca. 50-100 EUR.

Oracle Java JRE:

Offline Download Java8: http://www.java.com/de/download/manual.jsp
http://www.oracle.com/technetwork/java/javase/downloads/index.html

http://www.oracle.com/technetwork/java/javase/downloads/index.html

Installation: jre-8u121-windows-i586.exe /s 
  -vorher iexplore.exe und jp2launcher.exe beenden
  - danach Java-Cache in allen Profilen löschen. (for /D %%i in (C:\Users\*) do rmdir "%%i\AppData\LocalLow\Sun\Java\" /S /Q)

Deinstallation: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F32180131F0} /quiet (Versionsnummer -131- anpassen!)
Info steht in Java "UninstallString" (Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4EA42A62D9304AC4784BF2238110140F\InstallProperties)

Hilfe: http://www.java.com/de/download/help/silent_install.xml (drauf achten dass x86 / x64 stimmt)

MSI extrahieren: http://www.java.com/de/download/help/msi_install.xml

-------------------------------------------------
Adobe Reader: https://ictschule.com/2012/11/09/adobe-reader-11-verteilen/ (mit diesem Tutorial easy zu machen)
Download:

https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html
FTP (alt): ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/
https://get.adobe.com/de/reader/enterprise

Steps to extract the Adobe Reader MSI installation files from the compressed executable:
1. Obtain Adobe Reader from adobe.com: http://get.adobe.com/reader/ and save the file to your desktop.
2. Choose Start > Run.
3. In the Open text box, type: "%UserProfile%\Desktop\AdbeRdr80_en_US.exe" -nos_ne
4. Click OK.
5. When the Adobe Reader Setup screen clears, choose Start >  Run.
6. In the Open text box, type: %temp%
7. Drag the Adobe Reader folder to your desktop.
This folder contains AcroRead.msi and Data1.cab files needed for installation.

------------------------------------------------- 

Allgemeine Infos zu MSI: http://www.itninja.com/

Allgemeine Lösung zur Deinstallation:
1. Java Uninstall-Schlüssel in Registry suchen:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer

2. UninstallString (Registry: Werte=uninstall) suchen.
  Bsp. Java 1.8.0.45 deinst.: MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218045F0} /quiet

Deinstallation aller Versionen per VB-Script: http://www.itninja.com/question/silent-uninstall-java-all-versions

HiCrypt Dateiverschlüsselung (Passwort, 2-FA)
  - Deutsche Software
  - Cloud Security Produkt des Jahres 2013
  - Netzwerkfähig, multiuserfähig, mehrere gleichzeitige Zugriffe möglich
  - Verschlüsselung mit Passwort, optional 2-Faktor-Auth. mit USB Smartcard Token oder Smartcard
  - Integrierte Benutzerverwaltung unabhängig von Domänenbenutzern.
  - keine Abhängigkeit von Domäne und Windows Userverwaltung (PKI)
  - Wiederherstellungsschlüssel für Disaster Recovery
  - nur Dateiinhalte werden verschlüsselt, Ordner- und Dateinamen bleiben erhalten
  - differentielle Backups und Replikation sind möglich
  - Zugriff erfolgt über spezielle Client-Software, keine Serverkomponenten

Veracrypt Festplatten- oder Containerverschlüsselung (Passwort)
  - kompatibel und potentieller Nachfolger von Truecrypt.
  - Frankreich, Open Source
  - Verschlüsselung mit Passwort
  - bei Containern keine differentiellen Backups möglich
  - kann komplette Windows-Partitions im UEFI-Mode verschlüsseln. (eingeschränkt bei Secure Boot)
   https://veracrypt.codeplex.com/

- Boxcryptor - bis auf Grundfunktionen kostenpflichtig (Passwort)
  - deutscher Hersteller
  - dateiweise Verschlüsselung, Einbindung als entschlüsseltes Laufwerk
  - Clients für Windows, Mac, Android, iOS, Windows Phone, WindowsRT, Blackberry.
  - für Cloud und PC geeignet

- 7-Zip - Packer (Passwort)
  - Open Source
  - Verschlüsselung mit Passwort
  - dateiweise oder ordnerweise Verschlüsselung
  - keine direkte Bearbeitung im Archiv möglich
  - Tip: AES-256 auswählen

Bitlocker - MS Bitlocker Festplattenverschlüsselung
  - Verschlüsselung per TPM-Modul, AD, USB-Stick oder Passwort
  - Hersteller: Microsoft, USA
  - bei Defekt dieser Umgebung ist die Festplatte per Notfallschlüssel lesbar.
  - Lizenz ist in Windows 7 Ultimate oder Enterprise, Windows 8.1/10 ab Prof. und  Windows Server ab 2012 enthalten.
  - Bitlocker To Go ist geeignet für USB-Verschlüsselung unter Windows.
  - Bitlocker läßt sich für Reboots suspendieren und ermöglicht so Wartung und Updates (des Bootloaders)
siehe: Bitlocker

MS EFS Dateiverschlüsselung (Zertifikat)
  - Hersteller: Microsoft, USA
  - Dateien und Ordner verschlüsseln mit Benutzerzertifikat
  - einfache Bedienung, im System integriert
  - Freigabe für mehrere Personen möglich, muß vom Nutzer selbst konfiguriert werden
  - Datei- und Ordnernamen bleiben im Klartext erhalten
  - differentielle Backups und Replikation sind möglich
  - Datenverlust bei Verlust des Personenzertifikates (Userprofil defekt, Passwort-Reset, ActiveDirectory defekt)
  - Sicherung des Userzertifikates und Domänenwiederherstellungs-Agenten möglich
  - Lizenz ist in allen Windows Prof. Versionen enthalten.
Die Lösung ist geeignet für Server im ActiveDirectory, weil hier die Nutzerdatenbank aufwändiger gesichert wird.
Auf lokalen PCs oder Notebooks ist die Gefahr von Datenverlust zu hoch.

- CryptSync - quelloffen von Stefan Küng
  - Open Source
  - praktische Oberfläche zum synchronisieren mit 7-Zip in die Cloud
  - Dateien können automat. mit CryptSync oder manuell mit 7-Zip entschlüsselt werden.

- Diskcryptor - schnell, geeignet für Festplatten (auch Systemlaufwerke), CD, USB.
  - keine Containerfunktion. Für Portable nicht tauglich. Treiber muß installiert werden.
  - letzte Version von 2014.

- Truecrypt - Freeware, altbewährt und sicher
  - Projekt wurde 2014 von der NSA angegriffen und von den Entwicklern eingestellt.
  -> zukünftige Betriebssysteme funktionieren ggf. nicht.
  - Verschlüsselung in einer Containerdatei, die als Laufwerk eingebunden werden kann.
  - Clients für Windows
  = für Cloud ungeeignet. Für Windows, CD, USB vorläufig gut.
Update 09/2015: eine gefährliche Sicherheitslücke wird im Windows-Treiber gefunden, mit deren Hilfe jeder Systemrechte erlangen kann. Der Hersteller patcht nicht mehr. Damit disqualifiziert sich Truecrypt für den weiteren Einsatz.

Gute JS-Doku's:

https://developer.mozilla.org/en-US/docs/Web/JavaScript

http://wiht.link/javascript-resources

Der NCP-Client für Android wird nicht weiter entwickelt.
Aktuelle Android-Versionen bieten ihn nicht mehr zur Installation an.
Hat man den NCP-Client bereits, läßt er sich auch auf Android 10 (mit Warnung) installieren und nutzen.

Android 12 unterstützt meist kein IPSec IKE v.1 mehr.
Android 10 unterstützt meist noch kein IPSec IKE v.2.
VPN IKE v.2 geht bei den meisten Geräten ab Android 11 mit dem integrierten Client.
Bei Android-VPN empfiehlt sich die App: VPN Shortcut.
Ältere Android-Versionen: NCP-Client.
Alternative: StrongSwan (IKE v.2 zertifikatsbasiert).

VPN IKE v.2 mit Android v.2-fähigem VPN
https://docplayer.org/191793538-Manuelle-einrichtung-einer-ikev2-client-to-site-vpn-verbindung-ipv4-zwischen-lancom-routern-und-android-endgeraeten.html

VPN IKE v.1 mit Android v.1-fähigem VPN
https://www.it-beratung-koch.de/kb/ipsec-vpn-verbindung-zwischen-lancom-router-und-android/  (PDF-Kopie als Anlage)
DEFAULT-Eintrag in Verbindungsliste ist wichtig für alle Geräte, deren IP der Router nicht kennt (Mobilfunk, dyn. IP)!
DEFAULT-Werte wechseln mit den LCOS-Versionen.
- VPN IKE1 Defaults: "IKE_PRESH_KEY" ggf. durch "WIZ-IKE-PRESH-KEY"
- VPN IKE1 Default IPSec Prosposal Liste (alt):

- VPN IKE1 Default IPSec Prosposal Liste (Stand FW.10.50):

Android 10 (ff.) Konfiguration Systemfunktion IKE v1
Android-Gerät:
- IPSec XAUTH PSK
- IPSec-ID: (ipsec-id)
- vorinstallierter IPSec-Schlüssel: (ipsec-key)
- Nutzername: (nutzer-name)
- beim Verbinden: (nutzer-name) + (passwort)

Router:
- Verbindungsparameter: PFS=2, IKE-Gruppe=2, IKE-Presh-Key
- IKE-Schlüssel: lokale/entfernte Identitäts-Typ: Key-ID, Identität: (ipsec-id), Preshare= (ipsec-key)
- IPSec-Prosposals: TN-AES256-SHA, TN-AES128-SHA
- kein dynam. VPN, Aggressive Mode, IKE-CFG= Server, XAUTH= Server, Regel= manuell, IPv4-Regel: Wiz-Any-To-Any (o.a.)
- kein AH, feste RAS-IP konf. (IPv4-Routing-Tabelle)
- Kommunikation/PPP-Liste: Gegenstelle: (nutzer-name), Passwort= passwort

Android Konfiguration NCP/IKE v1
Android-Gerät:
- XAUTH: nicht gesetzt
- IKE ID Type: FQUN
- IKE: lokale Identität (FQUN)
- Aggresive Mode IKE v1
- PFS: DH-Group 2 (1024bit)
- IKE DH Group: none
- IKE Policy, IPSec Policy: automatic

Router:
- IP-Adressen: automatisch, Config-Mode
- PFS-Group manuell setzen
- IPSec HTTPS ein

Advanced VPN-Client für Windows (Android-veraltet)
IPSec VPN-Client von NCP für Windows, MacOS und Android.
Lancom, Bintec, Juniper u.a. kaufen dieses Produkt und passen es an.

ab Version 9.3: IKE V2 inklusive Mobility Extensions (MOBIKE), Mobile Broadband, neue Firewall-Features, Seamless Roaming

ab Version 3.10: Ab dieser Version ist für alle Major-Versionen eine Aktivierung bzw. Update-Installation mit altem Lizenzschlüssel nicht mehr möglich. Bitte beachten Sie folglich, ab Version 3.10 für die Aktivierung zwingend einen Lizenzschlüssel der gleichen Version (3) verwenden zu müssen.

ab Version 3: Unterstützung von Windows 10.
Update auf Version 3: Deinstallation der Vorversion erforderlich! (Vorher Profil sichern!)

ab Version 2.32 Build218: Kopieren der Lizenz bei Neuinstallation nicht mehr möglich!
- neue Funktion zum Deaktiveren der Lizenz im Programm nutzen.
Es werden die aktuellen Lizenzdaten angezeigt und per Mail zugesendet. Die sind für die Neuaktivierung erforderlich.

vor Version 2.32: Übernahme auf neuen PC: Verzeichnis Programme/Lancom sichern, ncp.db (Lizenzdatei) in neue Installation kopieren. Danach kommt Meldung: "Hardware geändert, neu aktivieren" . Das geht problemlos. Geht erst ab V2.2 unter Windows 7!

Versionen Kompatibilitätsliste (Win, macOS): https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=37457108
Aktuelle Versionen: bei NCP.

Updates zu Servicereleases sind kostenlos, Major Releases kostenpflichtig.
Neue Major Releases bis Version 10.1x wurden durch Änderung der ersten Nachkommastelle gekennzeichnet, z.B. 10.00 auf 10.10.
Ab Version 11 werden Major Releases durch Änderungen ganzer Zahlen gekennzeichnet, z.B. 11.x auf 12.x.

-------------------------------------------------------------------
Übernahme Telefonbuch: ncpphone.cfg
Profil sichern: ncpphone.sav im Installationsverzeichnis des Clients.

Übernahme Android über Export / Import.
Die Bedienung ist alles andere als intuitiv, funktioniert aber. (Haken anwählen, dann bestätigen mit ZURÜCK-Button)

Alternative VPN-Clients

Lancom myVPN für MacOS - veraltet, nur IKE v1, funktioniert nicht mit aktuellen iOS.
Besser manuell konfigurieren (IPSec over HTTPS aus, Firewallregel nicht vergessen).
(https://support.lancom-systems.com/knowledge/display/KB/IKEv2+VPN-Verbindung+zwischen+LANCOM+Router+und+Apple+iPhone-+oder+iPad-Client)

Shrew Client - IKE v1 und v2 Client für Windows, Standard Edition ist free for commercial.
Leider Stand 2013, und bei jeder neuen LCOS-Version mit neuen Problemen.
Anleitung: https://alexanderschimpf.de/shrew-soft-vpn-client-lancom-vpn-router

Windows 10 - OS-Client kann eingeschränkt IKE v2.
Win10 unterstützt kein IKEv2 mit PSK sondern hier nur EAP mit MsCHAPv2 oder mit Zertifikaten.
Im LANCOM darf nicht PSK als Server und Client Identität genommen werden und für die Remote-Auth muss RSA gewählt werden (Authentifizierung mit Client-Zertifikaten).
Quellen:
https://administrator.de/wissen/ipsec-vpn-mobile-benutzer-pfsense-firewall-einrichten-337198.html#toc-10

VPN IPSec zertifikatsbasiert zu Android
https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1393

Windows Explorer: GUI. Das dümmste aller Kopier-Tools.
 - bricht bei Fehler ab.
 - ist extrem langsam.
 - Ordnernamen bekommen das neue Datum.

XCopy: CMD. Boardmittel. Praktisch und schnell.
 + kann Berechtigungen und Dateidatum kopieren.
 - Ordnernamen bekommen das neue Datum.

Robocopy: CMD. seit Windows 7 Boardmittel. Sehr leistungsstark.
 + Copy, Move, Sync
 - Ordnernamen mit Original-Datum kopieren: ab Robocopy 26 mit /DCOPY:T
  Bsp: robocopy \\Servername\e$\it\ e:\it\ /E /COPYALL /DCOPY:DAT

Fastcopy: CMD/GUI. Schnell und sehr leistungsstark. 32-/64-bit, Portable-Version
 + kann Timestamps korrekt setzen.
 + Copy (+Compare), Move, Sync
 + kopiert ACLs, Junktions und Symlinks nach Benutzerwunsch.

Macrium Reflect Free: IMAGE Copy, Empfehlung von CHIP.
- Disk Cloning, VSS, UEFI, GPT-Support
- incl. Rescue Media Builder
- Virtualisieren von Macrium Backup Images
Free Edition ohne:
- Delta Backups
- Server OS Backup
- Backup/Restore Files & Folders
30-Day Trial Editions, Jahresversion in CT-Notfall Windows

Hasleo Backup Suite (free)
- System-Backup, Klonen, Partitionen sichern mit bootfähigem WinPE
- Klonen/Wiederherstellen von MBR nach GPT oder Klonen/Wiederherstellen von GPT nach MBR
- PC und Server-OS
siehe:
https://www.deskmodder.de/blog/2021/12/09/hasleo-backup-suite-system-backup-klonen-daten-sichern-mit-bootfaehigem-winpe-und-das-kostenlos/

DriveImage: kann keine GPT-Partition (Stand 9/2016)

Syncthing - quelloffene Synchronisation
- synchronisiert in beide oder in eine Richtung
- geeignet für LAN oder WAN
- intgerierte Versionsverwaltung
- verfügbar für viele Plattformen, Windows, Linux, Android, MacOS, Raspi4, u.a. auch für NAS von QNAP und Synology
- per Browser auf Port 8384 konfigurierbar
P-2-P Prinzip (kein direkter Zugriff) und Versionsverwaltung schützen vor EMOTET und Co.

Siehe auch System-Backup, Harddisk wechseln, Backup Betriebssystem

- automatische Erzeugung von List-Gruppen:
Listrechte müssen in der Konfigurationsoberfläche für jeden Fileserver einmal aktiviert werden.
Um Listrechte zu aktivieren, gehen Sie bitte in der Konfigurationsoberfläche zu „Scans“.
Dort wählen Sie den gewünschten Fileserver aus und aktivieren im letzten Satz den Assistenten für Listrechte.
8MAN Group Wizard verwenden, damit Listrechte automatisch gesetzt werden.

- Ablaufdatum für Berechtigungen setzen:
In der Active Directory-Ansicht suchen Sie z. B. einen Benutzer oder eine Gruppe die aus, die Sie gerne mit einem Ablaufdatum versehen möchten.
Machen Sie einen Rechtsklick auf das Objekt, wählen - > „Ändern der Gruppenmitgliedschaften“ und wählen in der Mitgliederliste das Objekt aus, welches Sie mit einem Ablaufdatum versehen möchten.
Nun wieder Rechtsklick auf den Benutzer oder die Gruppe und „Ablaufdatum setzen“ wählen.
Jetzt können Sie ein Ablaufdatum setzen.

 Helpdesk: http://help.8man.com/de/index.html

Links:
http://www.aikux.com/videos/8man-enterprise/

- InfraRecorder Portable - schnell und einfach. (Data, Audio, Video, Image, Copy)
  http://infrarecorder.org/

• Powershell 5 - alte original MS Powershell (in Windows Desktop und Server, im Startmenue oder Aufruf "powershell")
• Powershell 7.1 - aktuelle quelloffene Powershell Core, muß nachgeladen werden im MS Store oder bei Github, Aufruf mit "pwsh".
                          basiert auf (quelloffener) .NET Plattform
                          läuft unter MacOS, Linux und Windows
                          als Script-Editor/Debugger dient MS Visual Studio Code

Powershell (5) ISE als Admin starten! (aus der Powershell heraus: "ise")
- Script-Ausführung dauerhaft aktivieren: Set-ExecutionPolicy RemoteSigned
 (nur noch PS1 aus dem Internet oder ohne vertraute Signatur werden geblockt)
  Mehr Infos mit help about_Execution_Policies (Bypass / Restricted)
- Script remote ausführen: Enable-PSRemoting

- $PSVersionTable - Version
- update-help -> zuerst ausführen! (aktualisiert die Hilfe, dauert Minuten)
- get-help -> Hilfe allgemein
- help Befehl -> Hilfe zum Befehl
- help Befehl -detailed -> detaillierte Hilfe zum Befehl
- help about_* -> Hilfe zum PS-Konzept

- get-command -> Liste aller Befehle
- # - Kommentarzeile
- <# ... #> - Kommentarblock, auch mehrzeilig

- get-(befehl) -example -> zeigt Beispiele


In der Powershell lassen sich alle externen .exe-Kommandos wie robocopy oder bcdedit, netsh, notepad usw. aufrufen.
Die meisten CMD-Befehle wie cd, md, dir, del funktionieren auch.

Viele weitere PS-Module in der MS PowerShell Gallery.

Ausgabebefehle:
- Write-Host - (auch farbig oder mit formatierten Arrays möglich)
- Write-Output (echo) - einfache Ausgabe
- Write-Error - gibt Fehlermeldungen aus

Add-On Menue / Webseite mit AddOns öffnen: praktische AddOns!
  - MS Script Browser: durchsucht Poswershell Scripte nach Stichworten

Beispiele
Get-Prozess - Liste aller Prozesse. (Parameter "*edge" schränkt auf Edge-Prozesse ein)
Get-Member - liefert Bestandteile eines vorher genannten Objektes.
Get-Prozess firefox | Get-Member - liefert alle verfügbaren Attribute
Format-List oder Format-Table - liefert formatierte Felder des vorher genannten Objektes
Get-Process firefox | Format-List Name, WorkingSet - liefert Speicherverbrauch aller Firefox-Instanzen
Get-Process firefox | Measure WorkingSet -Sum - liefert die Summe des Speicherverbrauch aller Firefox-Instanzen

Get-Service (gsv) - Liste aller installierten Services. (mit Status)
Where - Filter, kann mit "?" abgekürzt werden
-eq prüft auf Gleichheit (ne - ungleich, -gt - größer als, -lt - kleiner als, -ge -größer/gleich, -le - kleiner/gleich)
Get-Service | Where Status -eq Running - alle laufenden Dienste
Get-Service veeam* | Stop-Service  - stoppt alle Dienste, die mit Veeam beginnen

Sort-Objekt (sort) - sortiert das übergebene Objekt
dir | sort Length -descending

Get-Date - Datum mit allen Objekten (Tag, Monat, Stunde, Tag des Jahres, Tag der Woche...)
New-Timespan - zum Berechnen von Tagesdifferenzen

Variablen müssen nicht definiert werden.
Groß- und Kleinbuchstaben werden nicht unterschieden.
Jedes PS-Fenster hat seine eigenen Variablen, die beim Schließen des Fensters gelöscht werden.
$antwort = 5 * 3

$1woche = (Get-Date) - (New-TimeSpan -Days 7)
$kannweg = dir *.log | WHERE LastWriteTime -lt $1woche
Liefert Liste aller Log-Dateien > 1 Woche

Die Variable kann wieder in eine Filter-Pipeline übergeben werden.
$platz = $kannweg | measure Length -Sum

Berechnung mit der Eigenschaft "Sum" des Objektes "$platz".
$MByte = $platz.Sum / (1024*1024)

Mit dieser Methode kann auf alle Objekte zugegriffen werden.
$Jahr = (Get-Date).Year

Remove-Item (del) - löscht Datei
$kannweg | Remove-Item - löscht die oben definierte Liste in $kannweg

ForEach.Object (foreach oder %) - Schleife
$kannweg | % { move $_ e:\temp\test } - verschiebt Dateien aus "$kannweg" nach e:\temp\test
{} - umschließt Script-Block
Ruft nacheinander für jeden Eintrag von "$kannweg" den Script-Block auf.
Zuvor speichert es den aktuellen Eintrag von $kannweg in die Variable "$_", die als Platzhalter genutzt werden kann.

Auch WHERE nimmt Script-Block entgegen.
Get-Process | where {$_.Company -match 'Microsoft'} oder
Get-Process | where {$_.Company -match 'Microsoft' -and $_.WS -ge 10*1024*1024} - liefert Prozesse vom MS > 10MB

Die Powershell bildet REG-Schlüssel, Zertifikatsspeicher, Umgebungsvariablen als PSDrives ab.
Get-PSDrive - Liste aller PSDrives.
cd "HKCU:\Control Panel\Desktop\" - wechselt in den REG-Schlüssel, Anzeige mit "dir"

Get-Item-Property (gp) - liest Eigenschaften des angegebenen Objektes
gp . WallPaper - liefert Dateinamen des Bildschirmschoners.
Set-Item-Property (sp) - schreibt Eigenschaften des angegebenen Objektes
Remove-Item-Property (rp) - löscht Eigenschaften des angegebenen Objektes
help Registry - liefert Liste aller zur REG-Bearbeitung interessanten Befehle

get-childitem -path hklm:\software - Softwareliste
(get-childitem -path hklm:\software).Property - Softwareliste gefiltert

cd "Env:" - wechselt in Umgebungsvariablen. Hier geht wieder dir, gp, sp, rp...
$env:path - Inhalt von Umgebungsvariable %PATH%
$env:temp - Inhalt von Umgebungsvariable %TEMP%

Kontrollstrukturen:
(While, Do-While, Do-Until, For, Foreach)
if (Bedingung)
 { Befehle }
elseif (Bedingung)
 { Befehle }
else
 { Befehle }
IF (Test-Path "$env:TEMP\error.log") ... - prüft die Existenz eines Datei- oder Ordnernamens

Funktionen:
function NAME
{ bla, bla }

Aufruf einfach mit "NAME".
Funktionen können Parameter übergeben bekommen, für die man Defaults setzen kann.
Rückgabewerte per "return WERT" - beendet Schleife und Funktion sofort

function LogsLöschen($Ordner = ".", $Alter = 7)
{
 $datum = (Get-Date) - (New-TimeSpan -Days $Alter)
 dir "$Ordner\*.log" | ? LastWriteTime -lt $datum | Remove-Item
}

Aufruf ist möglich mit oder ohne Parameter, auch nur Parameter2 (Bsp. 4):

LogsLoeschen
LogsLoeschen Temp
LogsLoeschen Temp 30
LogsLoeschen -Alter 14

Beispielfunktion mit Array/Liste und Return, formatiert Zahlen übersichtlich und mit Einheit.
- return "{0:f2} - erstes Argument (0) wird als Gleitkommazahl mit 2 Nachkommastellen ausgegeben
- -f $Wert, $units[$unit] - formatierte Ausgabe

function BinFormat($Wert)
{
 $units = "", "Kilo", "Mega", "Giga", "Tera", "Peta", "Exa", "Zetta", "Yotta"
 $unit = 0
 while($Wert -ge 1024 -and $unit -lt $units.Length - 1)
 {
  $Wert = $Wert / 1024
  $unit++
 }
 return "{0:f2} {1}" -f $Wert, $units[$unit]
}

Externe PS-Scripts lassen sich einbinden mit ". MeineFunktionen.ps1".

Alle beim PS-Start per Default ausgeführtenScripts erfährt man mit:

$profile | fl * -Force

Dabei gibt es Scripts für AllUser und CurrentUser, die entsprechend ergänzt werden können.
"CurrentHost" ist nur die aktuelle PS-Sitzung.

Beispielscript mit .NET Framework Einbindung.
Wenn der aktuelle User ein Admin ist, färbe Fenster rot.

function BinIchAdmin() {
 $identity = [System.Security.Principal.WindowsIdentity]::GetCurrent()
 $princ = New-Object System.Security.Principal.WindowsPrincipal($identity)
 return $princ.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
} & {
 $ui = (Get-Host).UI.RawUI
 if(BinIchAdmin) {
  $ui.BackgroundColor = "DarkRed"
  Clear-Host
 }
}

Reguläre Ausdrücke
Bsp.: Liest Datei test.log und gibt nur Zeilen aus, in denen "Error" steht.

Select-String test.log 'Error'

Bsp2: Suchmuster "Error" oder "Warning". (Pipe steht für ODER)

Select-String test.log 'Error|Warning'

Bsp3: Aufruf geht auch mit Wildcards (*.log) und liest dann alle betroffenen Dateien.

Der Vergleichsoperator -match dient zum filtern.
Beispiel:
- "DIR" landet über die Pipe bei WHERE
- "-match" liefert nur WAHR, wenn der folgende Ausdruck passt
- "." (Punkt) steht normalerweise für ein beliebiges Zeichen, ähnlich Fragezeichen in Dateimasken (soll er hier aber nicht)
- "\" Escape-Zeichen sorgt dafür, dass das folgende Zeichen (Punkt) für sich selbst steht
- abschließendes "$" pinnt den Such-String an das Ende des durchsuchten Textes.
  (beginnt der RegEx mit "^", wird die Zeichenfolge am Anfang des Textes gesucht)
Das Beispiel sucht also Dateinamen, die mit ".txt" enden.

dir | Where Name -match '\.txt$'

RegEx Syntax kennt auch Zeichenklassen:
'[0-9]' - beliebige Ziffer
'[a-z]' - beliebigen Buchstaben (KEINE Umlaute!)
'[a-z0-9_]' - alle Ziffern, Buchstaben und der Tiefstrich
'h[aiu]t' - findet "hat", "hit" und "hut", aber nicht "haut"
'[^a-z]' - alle Zeichen ausser a-z
'\d' - Dezimalziffern
'\w' - Wortzeichen, also Zahlen, Umlaute und Buchstaben
'\s' - Wortzwischenräume (Leerzeichen, Tab, Umbruch)
Großschreibung kehrt Bedeutung um, also '\D' - alles ausser Ziffern
'.' - beliebige Zeichen
Weitere Syntax und Beispiele in CT 08/2018 S. 172ff.

Paketmanagement
- zuerst Modul (als Admin) aktualisieren:

Install-Module PackageManagement -Force
Install-PackageProvider NuGet -Force
Install-PackageProvider PowerShellGet -Force

- Übersicht aller Funktionen:
  (gcm) Get-Command -Module PowerShellGet
- gewünschtes Modul installieren: Install-Module ...  (-Scope CurrentUser installiert in Userprofil)
- GUI zur Modulsuche und Auswahl:

Find-Module -Tag Utilities | Out-Gridview -PassThru | Install-Module -Scope CurrentUser

 Beispiel: eigenen Host, IP, Username ermitteln
- Comutername über Enviroment-Variable: "$env:computername" oder "get-childitem -path env:computername"
- IP ermitteln: hier
- Username: $Env:USERNAME

Computerinfo ermitteln:
(ausführlich Windows, Sprache, 32/64-bit, WoL, BIOS, Hardware)
Powershell: get-computerinfo
einschränken auf Windows Versionsinformation:
Powershell: get-computerinfo | select windows*  (oder OsVersion)

Quellen: CT 2/2018 S.166 ff, CT 6/2018 S.168 ff, CT 8/2018 S.172 ff, CT 12/2018 S. 174 ff, CT 25/2021 S. 178 ff.

Powershell Leitfaden für Anfänger: https://docs.microsoft.com/de-de/powershell/scripting/learn/ps101/01-getting-started?view=powershell-7

Automatisation Studio:
Variablen in geschweifte Klammern setzen. {%ProgramFiles%}

Benutzermenue einrichten:
PING: ping {Client] -t
BMA Log: notepad.exe "{BMAPath}\bma.log"
Explorer LW C: explorer.exe \\{Client}\c$RDP: mstsc.exe /v:{Client}
Windows RemoteHilfe: C:\Windows\System32\msra.exe /offerra {Client}  (Feature "Remoteunterstützung" muß installiert sein)
RDP: mstsc.exe /f /v:{Client}

Shutdown-Job (interaktiv) schlägt ggf. fehl, wenn er mit InstallUser und nicht mit LocalSystem gestartet wird. Damit wird ggf, auch die automatische Anmeldung vermieden.

Server Side Scripts: \\Server\bms$\Scripts\ServerSide\
Client Scripts: C:\DIP\Scripts\BDS

Firewall für WoL: Baramundi Relay: Port 7777 UDP, Baramundi Server: Port 10088 TCP eingehend.

Programmeinstellung korrigieren:
 - Konfig / Server / Grundeinstellungen / Kommunikation / bma-Installationsart= Push Transfer (über BMS)
 - Verbindungsmodus= Standard-Namensauflösung
 - Domäne / Installationsuser mit user@domain angeben!

DIP konfigurieren/wechseln:
- IP Netzwerkverwaltung, IP-Netzwerke, DIPs (in der bMC)
- Pfad + Freigabe (in baraDIP Config)

Für Autologon muss ggf. Registry-Schreibschutz vom Antivirus (eScan!) deaktiviert werden.

Remote Desktop frei schalten: Remote Desktop und Remoteunterstützung zentral frei schalten

Remote Unterstützung frei schalten: Remoteunterstützung

Remote Standort:
- nur Management Center installieren
- Dienste baraDIP, baraDIPhttpd und Management Agent müssen laufen.

Freier Open Source Passwortmanager

Empfehlung:

- Firefox Passworte mit "PassItFox", "Firefox Passwort Importer" o.ä. in KeePass übernehmen.
- alle Passworte im Firefox löschen
- Passwortmanager im Firefox deaktivieren

Meine Strategie:

• Verschlüsselung mit sicherem Passwort ist flexibel und mobil nutzbar.
• Bindung an Key-File macht das Ganze noch sicherer.
• Bindung an Benutzerkonto ist unflexibel (kein Multiuser oder Mobil, Probleme bei Passwortwechsel oder Verlust des Benutzerkontos).

Haupt-PC:

• Original-DB liegt lokal am PC. Sie wird bei Programmstart und bei jeder Änderung per Trigger (aktive DB mit einer URL/Datei synchronisieren) mit dem Dropbox-Client in die Cloud synchronisiert und beim Beenden per PlugIn als Backup gesichert. (Bsp. 5 Kopien)

Sonstige Windows-Geräte:

• Drop-Box: DB-Ordner freigeben oder KeeAnywhere Plugin verwenden.
• KeePass2: Open URL  https://www.dropbox.com/xxxxxxx/xyz.kdbx?dl=0

Wichtige Plugins:

• Favicon Downloader - sieht schön aus und macht alles übersichtlicher.
• DataBaseBackup (DataBaseBackup-2.0.8.6) - lokales Backup.
• Firefox-Integration (Kee, bzw. KeeFox), damit man nicht von Hand Zugangsdaten für Internetseiten kopieren muss.
  KeeFox wird über die Firefox Add-Ons installiert und kopiert selbständig die PLGX-Datei in das KeePass-Verzeichnis.
  Kee benötigt KeePassRPC, welches manuell nach “C:\Program Files (x86)\KeePass Password Safe 2\Plugins\KeePassRPC.plgx” kopiert wird.
• Cloud-Zugriff: KeeAnywhere bindet Dropbox, Google Drive oder OneDrive in den Öffnen-Dialog ein.
• Cloud-Synchronisation, hier über Dropbox, damit man auf allen Geräten die gleichen Zugangsdaten verfügbar hat.
• Android-App (KeePass2Android), damit es auch mit dem Handy klappt.

Sprachpaket: German.lngx in Keepass-Programmverzeichnis kopieren.

Konfiguration wird in KeePass.config.xml im Programmverzeichnis abgelegt.
 Feste, unveränderliche Teile der Konfiguration: in KeePass.config.enforced.xml

<Application>
		<LanguageFile>German.lngx</LanguageFile>
		<Start>
			<CheckForUpdate>false</CheckForUpdate>
			<CheckForUpdateConfigured>true</CheckForUpdateConfigured>
		</Start>
</Application>

Weitere Tips unter http://keepass.info/help/base/configuration.html

Trigger: Synchronisiere lokale DB am Haupt-PC mit Cloud

Ereignis: speichern einer Änderung

Bedingung: keine.

Aktion: speichern in das Verzeichnis des Dropbox-Clients

RDP: Um automatisch mittels "Open URL" RDP Sessions aus KeePass starten zu können muss RDP unter URL Overrides eingetragen werden.

cmd://cmd /c "cmdkey /generic:TERMSRV/{T-REPLACE-RX:/{BASE:RMVSCM}/(:\d{3,4}\z)//} /user:{USERNAME} /pass:{T-REPLACE-RX:!{PASSWORD}!\&!^&!} && mstsc /v:{URL:RMVSCM}  && timeout /t 5 /nobreak && cmdkey /delete:TERMSRV/{T-REPLACE-RX:/{BASE:RMVSCM}/(:\d{3,4}\z)//}"

Diese Version funktioniert auch bei einem & im Passwort und bei Angabe eines Ports in der URL, der Host wird mittels T-REPLACE-RX ermittelt.

Der Aufruf aus KeePass (URL Eintrag) erfolgt dann mittels folgender URL: rdp:IP (z.B.: rdp:192.168.0.2)

Putty: Die Standard URL Einstellung für Putty haben aus Sicherheitsgründen kein Passwort konfiguriert, außerdem kann nicht auf gespeicherte Profile zugegriffen werden. Wer seine Puttyprofile also abgespeichert hat und diese automatisch anmelden möchte kann dies durch Hinzufügen der folgenden URL Override umsetzen:

cmd://putty.exe -load {URL:RMVSCM} -l {USERNAME} -pw {PASSWORD}

im nächsten Screenshot eine gespeicherte Putty Session:

der Zugriff aus KeePass erfolgt so: putty://atest

UNC: 

Um auf die Freigabe eines Server zuzugreifen, kann z.B. eine URL-Überschreibung mit folgendem Inhalt erstellt werden:

cmd://cmd /c "net use {URL:RMVSCM} /user:{USERNAME} {PASSWORD} && explorer {URL:RMVSCM}"

der Aufruf über einen Eintrag geht dann so:

Quelle: http://www.libe.net/index.php/KeePass

11/2015: Die Android-Version läuft (immer noch) nicht unter aktuellem Android 6.
Der Anbieter antwortet arrogant und reagiert sehr langsam. Es hat mehrere Jahre gedauert, bis überhaupt eine Android-Lösung kam. Wer eine funktionierende Lösung sucht, braucht einen Anbieter der am Produkt bleibt.
Ich bin deshalb zu KeePass 2 gewechselt.

Version 8 für Windows

- Windows 10 kompatibel
- Cloud: Dropbox + Google Drive
- Ordner der Datenbankablage kann per Klick im Explorer geöffnet werden.

Version 1 für Android (nicht Android 6)

100% daten-kompatibel zur Windows-Version 8.

Datenbank Version 7 ist nicht kompatibel!
- .OPW wird beim ersten Öffnen in .OP7 geändert. (Version 7)
- Version 8 erhält Endung .1PW.

Die kVASyStarter.msi nimmt für eine Batch-gesteuerte Installation folgende Parameter entgegen:
1. KVASYLAUNCHER_PROPERTIES_URL="<URL>" URL zur Starter-Konfigurationsdatei in der Form "file:////R:/ApplicationOrganizer/InhouseTest/kvasylauncher.properties". Benutze "/" anstatt "\". Als Protokoll kann auch das "http://"-Protokoll eingesetzt werden. Es muss sich hier um eine gültige URL handeln. Im Zweifelsfall kann diese im Browser getestet werden.
2. PROFILES_PATH="<Path>" Pfad zum kVASy5-Profilverzeichnis in der Form "D:\k5profiles". Default-Wert ist "#LOCALAPPDATA#\SIV.AG\kVASy\profiles". Netzwerkpfade sind möglich. Der User muß Schreibzugriff haben. Der Pfad darf auch Umgebungsvariablen enthalten, die erst zur Laufzeit vom Launcher aufgelöst werden. Diese müssen in Hashmarks (#) eingeschlossen sein. Beispiel: #USERPROFILE#\kvasy\profiles , D:\kVASy\profiles
3. WORKSPACES_PATH="<Path>" Pfad zum kVASy5-Workspace-Verzeichnis in der Form "H:\k5workspaces". Default-Wert ist "#USERPROFILE#\.sivag\kvasy\ao". Auch hier sind in Hashmarks eingeschlossene Umgebungsvariablen erlaubt.
4. CONFIGURATION_PATH="<Path>" Pfad, in dem der Starter interne Konfigurationsdateien ablegt. Es kann ein relativer Pfad (ausgehend vom Installationsverzeichnis) oder ein absoluter Pfad angegeben werden. Netzwerkpfade sind möglich. Schreibzugriff ist erforderlich. Hier sind keine Umgebungsvariablen erlaubt. ( D:\kVASy\configuration )
5. INSTALLDIR=<Pfad> Das Installationsverzeichnis. (Installation erfolgt als Administrator) ( C:\Programme\kVASyStarter )
6. /L*v <Log-Datei> Schaltet das Logging ein und kann zur Fehlersuche während der Installation verwendet werden.
7. /qn Silent-Mode - dieser Parameter muss immer der letzte sein.

Die Installation kann nur dann erfolgreich durchgeführt werden, wenn kein kVASy® Starter auf dem Installationsrechner noch ausgeführt wird. Es ist also vorher zu prüfen und sicherzustellen, dass keine launcher.exe noch ausgeführt wird.
Der Starter kann über folgenden Kommandozeilenaufruf deinstalliert werden:
msiexec /x kVASyStarter.msi 

• MS Office 2016 Download Links: https://www.heidoc.net/joomla/technology-science/microsoft/8-office-2016-direct-download-links

• Microsoft Windows and Office ISO Download Tool (Windows 7 / 8,1 / 10 / Office 2007 / 2010 / 2011 / 2013 / 2016)
Homepage (Phnom Penh, Cambodia): heidoc.net
Download Mirror: Windows ISO Downloader.exe
 ( Version: 5.10, Release Date: 10 August 2017 )

• MS Download Seite: https://www.microsoft.com/de-de/software-download/home

• Alternative TechBench Download-Seite: https://tb.rg-adguard.net

• Win10 Installation: https://uwe-kernchen.de/phpmyfaq/index.php?action=artikel&cat=14&id=243&artlang=de

Windows Shadowing (mstsc.exe): https://administrator.de/contentid/500133
Windows RemoteUnterstützung (msra.exe): https://administrator.de/wissen/einrichtung-fernwartung-bordmitteln-vista-111579.html

• Real VNC - Klassiker, teuer
• TightVNC - free, auch kommerziell. Java-basiert, auch als Dienst, alle Plattformen. kompatibel mit anderer VNC-Software
• UltraVNC - Open Source, nur für Windows (alle Versionen), TCP Port 5900 (änderbar), kompatibel mir RealVNC, TightVNC u.a.
      (auch als Dienst, mit Dateitransfer, Verschlüsselung mit PlugIn, Remote-Bildschirm skalieren, Zwischenablage)
• ThinVNC - über HTML5/AJAX mit aktuellen Webbrowsern (unverschlüsselt)

Royal Applications
  Universal Client für RDP, VNC, SSH based terminals, S/FTP or web-based interfaces.

ASG Remote Desktop
  Universal Client für RDP, VNC, SSH based terminals, S/FTP or web-based interfaces.

Infra Recorder, auch portable http://infrarecorder.org/

Einfaches Tool zum CD brennen, erstellt auch ISO aus CD.

(Seit 2012 nicht mehr weiter entwickelt. Bis Windows 7 super)

Es ist kaum zu glauben, aber auch im Jahr 2017 gibt es bei Windows noch keinen Papierkorb für Dateien, die auf einem Netzwerk-Laufwerk gelöscht wurden.
Der Papierkorb greift nur lokal.
Windows Server speichern nur Dateien im Papierkorb, die an der Serverkonsole selbst gelöscht wurden.

Eine sehr praktische Software ist der Undelete Server von Condusive, der diese Lücke schließt und noch deutlich mehr bietet.
Jeder Druck auf den "Speichern"-Button am Client erzeugt eine Kopie im Undelete-Papierkorb auf dem Fileserver.
Der Papierkorb hat also eine Versionsverwaltung.
Man kann eine fehlerhafte Datei minutiös zurück rollen bis zum letzten fehlerfreien Stand.
Diesen Komfort bietet so kein Snapshot und kein Backup, und das macht die Software für mich zum unverzichtbaren Geheimtip.

Leider liegt die Priorität des Herstellers auf anderen Dingen und die Lizenzpolitik ist undurchsichtig.

Die aktuell auf der Herstellerseite und als Update angebotene Version 10 Build 7.0.202.26 ist von 2012 und unterstützt Windows 10 und Server 2016 nicht bzw. fehlerhaft.
Der Hersteller bietet aber eine Version 10 Build 7.0.205.0 von 2013 an (u.a. als Testversion), die die neuen Betriebssysteme fehlerfrei unterstützt. Beim Neuerwerb bekommt man auch diese Version. Offensichtlich wird es aber kein Update von Build 7.0.202.26 auf 7.0.205.0 geben.

Eine vergleichbare Software gibt es auch hier: https://www.1securitycenter.com/network_recycle_bin.html (veraltete Webseite ohne Impressum).

Mit regelmäßigen Volumenschattenkopien erreicht man ähnliche Sicherheit mit Bordmitteln.

Pimphony läßt sich im Benutzer nicht konfigurieren,
Fehlermeldung: Run-time-error '3204' Database already exists.

Behebung: Im Userprofil Verzeichnis: AppData/Roaming/Alcatel Pimphony/ löschen.

Bild

Der Presurfer ist ein Tool zur Lizenzüberwachung der Bentley GIS -Lizenzen.

- auf dem GIS-Server läuft das eigentliche Programm.
- alle Zugriffe werden in einer SQL-Datenbank geloggt.
  - hängengebliebene Sitzungen suchen in Datenbank dbo.AquiredLicenses mit "where StopTime is NULL"

- auf jedem zu überwachenden Client läuft ein PreserverService.

- auf Server und allen Clients liegt unter ProgramData/Corporate Montage/Runner/ eine LOG-Datei für jeden Tag.
- wenn der Server nichts loggt, läuft der Dienst auf dem Client nicht
- LOG auf dem Client ist sehr informativ.

Der Adobe Reader wird auf dem Terminalserver nicht sauber beendet und belegt vor allem nach dem Druck so viel Speicher, dass er den Server nach einigen Ausdrucken zu 100% CPU auslastet.

Abhilfe:  "geschützten Mode" deaktivieren. (In AR11 unter Sicherheit -erweitert)

oder für alle User per Registry:

Find Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown

Create new DWORD32 Value:

          Value Name:  bProtectedMode

          Value Data:  0

• Host testen und IP zum Name ermitteln:

$ip = (Test-Connection 'A039N015' -Count 1).IPV4Address.IPAddressToString
Write-Host "Die IP-Adresse ist $ip"

• nur IP zu Name aus DNS ermitteln (ohne Test):

[System.Net.Dns]::Resolve('A039N015').AddressList.IPAddressToString

• ausführliches Beispiel:

<#
   Name
   Get-IPv4
   Beschreibung
   Ermittelt die IPv4, zugehörige MAC-Adresse sowie den Adapternamen
   Benötigt
   PowerShell 3.0 (Windows6.1-KB2506143-x64)
   Version, Datum, Beschreibung, Autor 
   1.0 | 23.01.2017 | Initiale Version | Stefan Rehwald
   1.1 | 11.07.2017 | Clear-Variable hinzugefügt | Stefan Rehwald
#>

function Get-IPv4 ()
{
    $IPRaw = ipconfig /all
    $i=0
    Foreach($Row in $IPRaw)
    {
        #Get IPv4 (all), MAC and Adaptername
        If($Row -like "*IPv4*")
        {
            #MAC
            $j=$i
            do
            {            
                $j--
            }while ($IPRaw[$j] -notlike "*Phy*")
            $v4_MAC = $IPRaw[$j].Trim()

            #Adaptername
            $j=$i
            do
            {            
                $j--
            }while ($IPRaw[$j] -notlike "")
            $v4_Adaptername = $IPRaw[$j-1]

            #Data
            $v4_IPv4 = $Row.Split(":")[1].trim()
            $v4_MAC =  $v4_MAC.Split(":")[1].trim()
            $v4_Adaptername = $v4_Adaptername.Replace(":","")
            $IPData =@($v4_IPv4,$v4_MAC,$v4_Adaptername)
            
            #LOG
            Write-Host "$($v4_IPv4);$($v4_MAC);$($v4_Adaptername)" -F Green
          
            #Clearing
            Clear-Variable v4_*
        }
        $j=0
        $i++

    }
}

Get-Ipv4

<# Ausgabe #>

# 172.29.0.241(Bevorzugt);E4-B3-18-E6-B1-58;Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung
# 192.168.1.1(Bevorzugt);C8-5B-76-2B-28-7C;Ethernet-Adapter LAN-Verbindung

Einfache Ausgabe der IP, ermittelt aus dem Hostname:

$IPClient = Test-Connection $env:COMPUTERNAME -Count 1

#IPv4
$IPClient.IPV4Address.IPAddressToString

#IPv6
$IPClient.IPV6Address.IPAddressToString
<# Ausgabe #>
#IPv4
# 192.168.1.1 
#IPv6
# fe80::e6:bfe9:cc2c:7e1d%13

Quelle: https://blog.stefanrehwald.de/2017/01/31/powershell-14-ipv4v6-und-mac-ermitteln-ohne-zusaetzliche-cmdlets/

So gehts auch:

Get-Wmiobject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=true" | select Description,IPAddress

Audacity

Audacity ist ein freier Audioeditor und -rekorder bzw. eine Digital Audio Workstation.
Auf beliebig vielen Spuren können Audiodateien gemischt und bearbeitet werden.
Deutsch, VST-kompatibel.

https://www.audacity.de/
CT 14/2019 S. 134ff.

Tip: mit FFmpeg Bibliothekt kann das Programm MP4 lesen, WMA, AAC u.a. importieren und exportieren.

Bandlab Cakewalk

Professionelle Musik-Produktions-Software (ähnlich Steinberg Cubase)

- Sequenzer für beliebig viele MIDI- und Audio-Spuren

- üppig ausgestattetes virtuelles Mischpult
- alle gängigen Audio- und MIDI-Treiber werdewn unterstützt, alternativ: ASIO4All-Treiber
- VST 2/3-Schnittstelle für Effekte

Achtung: Anbieter lässt sich freie Vermaktung aller Daten in den AGB abnicken!
Programm läuft aber auch offline ohne Datenübertragung.

Herstellerseite: www.bandlab.com

Beschreibung: CT 11/2018 S. 62ff
Link zu guten kostenlosen VST-Plugins: ct.de/y3um

No 23 Recorder

Freeware zum Audiomitschnitt von der Soundkarte

Aktivitätenverwaltung
Dokumentiert Schulungen, Beratung, Berichte, Vor-Ort-Termine usw. und definiert (gerade für ext. DSB) vor Ort Standardentfernungen und -reisezeiten für einfache Abrechnungsgrundlagen.

Anfragen Betroffener
Anfragen können durchsucht und gefiltert werden.
Abgeschlossene Anfragen können in ein Archiv verlagert werden.
Anfragen lassen sich (auf Wunsch) über einen privaten Link auch von nicht angemeldeten Usern erstellen.

Auftragsverarbeitung
- Vorlagen können für den eigenen Mandanten und für untergeordnete Einheiten freigeben werden.
- Eigene Vertragsgrundlagen können in den Vorlagentextbausteinen definiert werden. Neben AV-Vertrag gem. Art. 28 DS-GVO, EU-Standardvertragsklauseln, etc. können damit alle für Sie relevanten Vertragsarten abgebildet und Einträge danach gefiltert werden.
- "AV-Export" - exportiert das gesamte Verzeichnis als CSV.
- "Internes Verzeichnis" (Langform) und Behördliches Verzeichnis" - gibt die mit den Auftragsverarbeitungen verknüpften Verfahren aus.

Benutzer vs. Mitarbeiter
Benutzer melden sich im audatis an und haben einen eigenen Login + Benutzerrolle.
audatis lizenziert die Anzahl der Benutzer.
Mitarbeiter können beliebig viele erstellt werden und zu Organisationsstrukturen hinzu gefügt werden.
Benutzer können zukünftig der Dokumentations- und Nachweisverwaltung zugeordnet werden.

Online-AV-Verträge
können als elektronische Verträge direkt aus dem Programm generiert werden (kostenpflichtig).
Vertäge sind auch möglich für "Vereinbarungen für gemeinsam Verantwortliche", welche ein 1:1 Verhältnis innehaben.
Inhaltlich sind die Vereinbarungen identisch nutzbar, jedoch sprachlich etwas abgewandelt. Sie landen dann automatisch in der Übersicht der Gemeinsam Verantwortlichen und nicht in der Auftragsverarbeitung.

Berichtsverwaltung
Mächtiges Ausgabewerkzeug über fast alle Module.
* Bereiche: Internetseiten, Gemeinsam Verantwortliche, Datenschutz- und Sicherheitsvorfälle, Anfragen Betroffener, Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungen, TOM lassen sich ausgeben
* je nach Bereich Ausgabe als Liste, Tortendiagramm oder Bericht möglich
* Gruppierung nach Unterpunkten möglich

Dateiablage
Zentrale Dateiablage besitz pro Ordner eigenständige Berechtigungen an Rollen oder einzelnen Benutzern.
"Shared-Ordner" lassen sich in der Group-Version über Mandanten hinweg benutzen.

Datenschutz-Vorfälle
können (auf Wunsch) über einen privaten Link auch von nicht angemeldeten Usern erstellt werden.
In Datenschutzvorfällen (Vorlagen) können Sofortmaßnahmen hinterlegt werden.

Fragebogenmanager

• Check-In Fragebogen
  Fragebogenverwaltung -> Check-In Fragebogen verwalten:
  -> Fragebogen wählen und Mandanten zuweisen
  - Fragebogen muß beim CheckIn ausgefüllt werden und läßt sich nur von Administratoren übergehen
  - erst nach Bearbeitung des Fragebogens kommt man wieder in den Mandant (!)
  - der fertig ausgefüllte Fragebogen liegt unveränderbar mit Abschlussdatum in der Fragebogenverwaltung -> Check-In Fragebogen verwalten.
  
  
• Audit Fragebogen
  - Modul Audit -> Audit erstellen: Benutzer und Fragebogen zuweisen
  - der ausgefüllte Fragebogen bleibt im Modul Audit. (Im Moment fehlt leider noch ein Ablagedatum)
  
  
• AV Selbstauskunft (nur Auftragnehmer-AN)
  - Auftragsverarbeitung -> Selbstauskunft -> Fragebogen wählen, Link generieren
  - Fragebogen kann extern ausgefüllt werden
  - Selbstauskunft wird komplett als Historie in der betr. Auftragsverarbeitung gespeichert.

Protokollverwaltung
Erstellen einfacher Gesprächsprotokolle, um diese mit Tagesordnungspunkten (TOP) zu versehen.
Jedem TOP können dabei Aufgaben oder Maßnahmen für Benutzer zugeordnet werden.
Damit lässt sich direkt bei der Protokollerstellung auch die weitere Überwachung der Abarbeitung und Verteilung von Aufgaben erledigen. (Dieses Modul muss zunächst in der Benutzerverwaltung aktiviert werden).

TOM
- Vorlagen können für den eigenen Mandanten und für untergeordnete Einheiten freigeben werden.

Vorlagenbausteine
Vorlagentextbausteine können direkt mehreren / allen Mandanten zugewiesen werden (Group-Version).

Zusammenarbeit mit Aufsichtsbehörden
Modul ist ähnlich aufgebaut wie Anfragen Betroffener.
Der Fokus liegt hier aber auf einer übersichtlichen Dokumentation aller Anfragen an und Anliegen von der Aufsichtsbehörde.
Hier können Beschwerden, Anfragen, Konsultationen in Zusammenhang mit der DSFA sowie Prüfungen durch die Aufsichtsbehörde dokumentiert und mit Fristen versehen zur Abarbeitung eingestellt werden.

Neuen Benutzer registrieren

Sofern Sie eine Einladung zur Registrierung als neuer Benutzer erhalten haben, können Sie über den entsprechenden Link einen neuen Benutzer festlegen.

1. Zunächst müssen Sie Angaben zu Ihrer Person (Name, Vorname, E-Mail-Adresse) machen und einen Benutzernamen definieren.

Die verwendete E-Mail-Adresse muss identisch zu der in der Einladungsmail angegebenen E-Mail-Adresse sein.
Das zu vergebene Passwort muss ausreichend komplex und sicher sein und ein weiteres Mal bestätigt werden.

Sie erhalten Hinweise welche Zeichen Sie verwenden dürfen und wie lang Benutzername und Passwort sein müssen!

2. Nun müssen Sie noch Ihren Freischaltcode eingeben, um die Registrierung zu verifizieren. Diesen erhalten Sie ebenfalls in der Einladungsmail.

3. Sie erhalten nun eine E-Mail mit einem Aktivierungslink, den Sie zunächst anklicken müssen, um die Registrierung abzuschließen. Anschließend können Sie sich mit Ihren Benutzerdaten anmelden.

4. Den Link zur Anmeldung finden Sie immer ganz oben rechts in der Kopfzeile.

Quelle: audatis FAQ

License Crawler von Martin Kliensmann - läuft auf Windows- 95 bis 10 und Server, findet viele Keys.

Magical Jelly Bean Keyfinder - findet Windows Key, manchmal auch mehr. (CT Notfall Windows 2022)

ShowKeyPlus
Liest installierten Windows Key aus sowie ggf. den in der Hardware hinterlegten OEM-Key oder den Original-Key vor einem Gratis-Win10-Update.

MS Office Key per Eingabeaufforderung ändern:

• cd C:\Program Files\Microsoft Office\Office16 (o.ä.)
• cscript OSPP.VBS /dstatus - vorhandenen Key auslesen
• cscript OSPP.VBS /unpkey:KEY (nur letzten 5-er Block)
• cscript OSPP.VBS /inpkey:KEY-KEY-KEY-KEY-KEY - neuen Key installieren
• cscript OSPP.VBS /act  - Key aktivieren

Siehe auch Server Lizenz Aktivierung.

Software zur Datenschutz-Folgenabschätzung (PIA-Tool) des BayLfD
https://www.datenschutz-bayern.de/technik/pia-tool.html

Audatis Datenschutz-Manager
https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1280

Windows 10: lokales Passwort zurück setzen mit Bordmitteln

Windows Login Unlocker, setzt Windows Passwort zurück, sogar bei Microsoft-Account (u.a. CT Notfall-Windows), Quelle: russisches Forum

CHNTPW - setzt Windows Passwort zurück (kann keine MS Konten), OpenSource für Windows und Linux (u.a. in Kali Linux, CT Notfall Windows)

Router und Webseiten auslesen(IE): RouterPassView von Nirsoft
Browserpassworte, Netzwerkshares, Windows, Mailaccounts, PST-Dateien, RDP-Connection, VNC u.a. bei Nirsoft
John the Ripper - Passwortgeschützte ZIP-Dateien, PDF, Office, Keepass (Win, Linux, MacOS), u.a. bei Kali Linux (CT: ct.de/y41x)

EFS-verschlüsselte Dateien sind systembedingt nach einem PW-Reset nicht mehr lesbar.

Mit entsprechenden Tools ist es möglich, das Handy als "Webcam" für Videokonferenzen am PC zu nutzen.

Android: DroidCam verwandelt das Android-Handy in eine WLAN/USB-Webcam mit der man über Skype, Zoom, Teams, JitsiMeet und andere Programme chatten kann. DroidCam kann auch netzwerkübergreifend als IP-Kamera mittels Webbrowser genutzt werden.
Das Gleiche gibt es auf der Webseite des Entwicklers für IOS, die entsprechenden Treiber für Windows und Linux.

Das Mobiltelefon läßt sich über WLAN oder USB (Debug- und Entwicklermode ON) an den PC anbinden.
Eine leichte Latenz ist spürbar.
Neben dem Bild läßt sich auch das Mikrophon des Handys nutzen. Das vermeidet Synchronisationsfehler von Ton und Bild und das Handy optimiert die Echounterdrückung.
Der Einsatz von Kopfhörern zur Echounterdrückung ist aber empfehlenswert.

Bei ernsthaftem Einsatz ist eine Handyhalterung etwa in Gesichtshöhe empfehlenswert.

Weitere Tools und Praxistips in CT 14/2020 S.92ff.

GIS verteilte Versionsverwaltung (lokal, zentral, verteilt)
GITHUB ist ein Anbieter von GIT.

GIT Bash Konfiguration:
- git config --list - listet aktuelle Config
- git config --global user.name "Git-Username"
- git config --global user.email "mail@server.de"
- cd ... zum lokalen Datenverzeichnis
- git init - erstellt (leeres) Repository

Quelle: HPI

GIT Bash Daten hinzu fügen:
- git add *.php - Datei der Staging Area hinzu fügen und für Repository auswählen
- git commit - Änderungen im Repository speichern. Ggf mit Kommentar: git commit -m "Kommentar"
- git commit --ammend - ersetzt den letzten Commit mit dem Neuen (Fehlerkorrektur im Kommentar o.ä.)
- git remove - Datei wieder aus Repository und Index entfernen
- git status - zeigt Staging Cache und Repository

Online Repository
- git remote - verwaltet alle verfolgten Repositorys
- git remote add <alias><url> - synchronisiert lokalen Alias in Online-Repository
- git remote remove <alias> - entfernt Repository online
- git clone <url><alias> - clont vorhandenes Online-Repository in lokalen Alias

Lokale Änderungen online übertragen
- git push orgin/<branch>
- git push -u orgin master

Online Änderungen lokal übertragen
- git fetch origin
- git merge origin/<branch>
- git pull (=fetch+merge)

Master-Branche ist immer der aktuelle Branch.
- git branch <branchname> neuen Branch erstellen
- git checkout <branchname> Branch wechseln
- git checkeou -b <branchname> neuen Branch erstellen und gleich hin wechseln
- git merge <branchname> Merged aktuellen Branch mit <branchname>

- git log zeigt Versionshistorie des Repositorys

• Windows Media Player
  - CD auswählen
  - CD kopieren (vorher Kopiereinstellungen)

Webnavigator 7.5:
  - Verknüpfung aus Programme/Siemens../ ziehen
  - Konfiguration wird per Default in Users/..../AppData/LocalLow/WinCCViewerRT.xml gespeichert.

Versionsübersicht:  Quelle: https://de.wikipedia.org/wiki/WinCC

1. Uninstall-Schlüssel in Registry suchen:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstaller

2. UninstallString (Registry: Werte=uninstall) suchen.

3. in Kommandozeile ausführen.

Bsp. Java 1.8.0.45 deinst.:
MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218045F0} /quiet

Bsp.: Symantec Endpoint Protection 14 deinst.:
MsiExec.exe /I{4DF3B441-9145-4D02-970E-F18CA893EA11} /quiet
oder: Norton Removal Tool

/quiet - Hintergrundmodus ohne Benutzeraktion
/passive - unbeaufsichtigt, nur Statusleiste

Weitere Infos

GFA DOS-Version

Interpreter: 92 EUR 8mit lizenzfreiem Run-Only-Interpreter)
Compiler: 46 EUR (erzeugt EXE -Files, die GFABASIC.OVL benötigen)
Kombipaket: 128 EUR

kostenlose Trialversion: max. 333 Zeilen, voller Funktionsumfang

2005 stellt GFA-Software die Entwicklung ein, eine Entwicklergemeinde baut weiter.
Kostenlose Community Freeware: (https://gfabasic32.blogspot.com/p/download.html).
(Interpreter, Compiler und Formulareditor)

Befehle und Beispiele komplett
http://freddo.chez.com/GfaBasic/GFABASIC.TXT
Mirror: hier

Bericht und Quellen: CT 2020 Retro-Ausgabe, S. 108ff.

Webseiten zu GFA-BASIC
===============================================================================

- www.gfawhelp.gfa.net - Dale Bryants Website "GFA-Help ist eine Riesenseite mit 

   Tonnen von Downloads zu GFA-BASIC für Win 16 und 32 (nicht für DOS!) -
   Tools für Entwickler, Windows-Hilfedateien für GFA-BASIC, Beispielprogramme

- www.ilmiositoweb.it/gfa-basic/ - GFA-BASIC Dokumentation und Befehlsreferenz

   von Chris Fanucci

- www.heise.de/kiosk/archiv/ct/ - Der Kiosk für alte Zeitschriftenartikel der

    Computerzeitschrift c't mit einigen sehr interessanten Artikeln über

    GFA-BASIC, die man für ein paar Cent käuflich erwerben kann.

- http://www.rowalt.de/pc/gfabasic/linksd.htm - GFA Basic Links

Neue Webseiten, Stand Nov. 2020

- www.heise.de/s/5elw - Übersicht der Versionen von GFA-BASIC für Atari

- http://gfabasic.net - Unofficial Home of GFA-BASIC

- http://ebook.pixas.de/ - Viele E-Books zu GFA-BASIC für den PC und den
    Atari-ST vom Autor Uwe Litzkendorf kostenlos, z.B. "Das große GFA-BASIC-3.0-Buch"
    von Data Becker, Das große GFA-Basic 3.5 Buch usw.

- www.heise.de/s/D6ko - Download von X11-BASIC für Atari, Linux, Android (!),
    Paspi, macOS und 32-Bit-Windows; mit Handbuch und Beispielprogrammen

- https://www.heise.de/hintergrund/Unvergessene-Programmiersprache-GFA-BASIC-als-Meilenstein-und-Evergreen-4943373.html

Aufuf: [IP-Adresse]:5000
Passwort wird bei der Erstinstallation gesetzt

Download-Zentrum (OS, Tools, Pakete):
http://download.synology.com

Firebird besitzt eine ALIASES.CONF.
- Datei steht üblicherweise in %Programms%/../Database/Server/
- Datei beinhaltet Alias und Pfad + DB-Datei

Firebird-Dienst beenden

FDB Datenbankdatei aus ALIASES.CONF auf neuen Server verschieben

Dienste auf neuem Server starten

- Bild auf Fenstermodus verkleinern
- Bild zwischen die Bildschirme schieben, also auf beide Monitore
- auf Vollbild schalten

• Datenpartition mit /CAPAZW -Verzeichnis mit festem Laufwerksbuchstaben mappen
• Verknüpfung der Datei /CAPAZW/EXE/CAPAZW.EXE auf den Desktop erstellen
• Verknüpfungsziel mit entspr. USERx erweitern (z.B. Ziel: Z:/CAPAZW/EXE/CAPAZW.EXE USER1) - jeder User nur einmal
• Firewall-Anfrage beim erstmaligen Zugriff auf CAPAZW zulassen
• Lockmanager ( LMW ) manuell einbinden, nicht über LMWSetup
• Lockmanager muß laufen, bevor die Clients gestartet werden können
• Firewall-Anfrage beim erstmaligen Zugriff auf LMW zulassen
• in jedem User-Verzeichnis liegt eine CAPAZW.INI mit DBLOGMGR = IP-Adresse des Lockmanagers

- diverse Schnittstellen zu anderen Programmen
  https://www.capaz.de/capaz-zasoftware-hardware

- Sicherungsprogramm im Standardlieferumfang

Verzeichnisstruktur von \CAPAZW
\CAPAZW\DBD Datenbank Patienten Stammdaten, Leistungen etc...
\CAPAZW\EXE Programmdateien
\CAPAZW\USERxx Usereinstellungen (bezogen auf Workstation)
\CAPAZW\CAM Intraorale Bilder
\CAPAZW\STA Stammdaten, Einstellungen
\CAPAZW\TEXT Schreibmaschinentexte
\CAPAZW\BAS diverse Textdateien
\CAPAZW\HELP Hilfesystem HTML-basierend

• vorher Snapshot erstellen, danach wieder löschen
• Taskplaner: DATEV - Jobs deaktivieren und hinterher wieder aktivieren
• Update liegt auf L:/Datev/ -> Setup starten
• DATEV Installationsmanager
• prüfen auf neueste Version
• Server-Komponenten zuerst am DATEV-Server (DC)
• Programmkomponenten dann auch an TS, (Kommunikationsserver), (Clients)
• Benutzerdefiniert Installation
• nicht Aktualisierung im Netz,
  nur Aktualisierung am Arbeitsplatz (alle Plätze einzeln)
• Assistent -> Datenanpassung

Wegen Chipknappheit muß Canon jetzt selbst Toner ohne ihren ach so sinnvollen "Kopierschutz" herstellen und informierte Kunden kurzzeitig, wie sie diesen umgehen können. Die Informationen sind inzwischen von den offiziellen Webseiten verschwunden.
Quelle: https://www.borncity.com/blog/2022/01/10/canon-liefert-toner-ohne-herstellerchips-aus-und-gibt-hinweise-zur-nutzung/

Betroffen sind laut Canon folgende Modelle:

imageRUNNER 1435i/1435iF
imageRUNNER 2625i/2630i/2645i
imageRUNNER ADVANCE 4525i/4535i/4545i/4551i, II und III
imageRUNNER ADVANCE C250i/350i/C351iF
imageRUNNER ADVANCE C255i/C355i/C355iF/C256i/356i
imageRUNNER ADVANCE C256i/356i II und III
imageRUNNER ADVANCE C3320i/3325i/3330i
imageRUNNER ADVANCE C3520i/3525i/3530i, II und III
imageRUNNER ADVANCE C5535i/5540i/5550i/5560i, II und III
imageRUNNER ADVANCE DX 4725i/4735i/4745i/4751i
imageRUNNER ADVANCE DX 6000i
imageRUNNER ADVANCE DX C257i/C357i
imageRUNNER ADVANCE DX C3720i/3725i/3730i
imageRUNNER ADVANCE DX C3822i/3826i/3830i/3835i
imageRUNNER ADVANCE DX C5735i/5740i/5750i/5760i
imageRUNNER C1325iF/1335iF
imageRUNNER C3025i
imageRUNNER C3125i
imageRUNNER C3226i

Befolgen Sie bei den folgenden Modellen die nachstehenden Anweisungen, wenn nach dem Einsetzen des Toners eine Fehlermeldung angezeigt wird:

imageRUNNER 2625i/2630i/2645i
imageRUNNER ADVANCE 4525i/4535i/4545i/4551i, II und III
imageRUNNER ADVANCE DX 4725i/4735i/4745i/4751i
imageRUNNER ADVANCE DX 6000i
imageRUNNER ADVANCE C255i/C355i/C355iF/C256i/356i
imageRUNNER ADVANCE C256i/356i II und III
imageRUNNER ADVANCE DX C257i/C357i
imageRUNNER C3125i
imageRUNNER C3226i
imageRUNNER ADVANCE C3520i/3525i/3530i, II und III
imageRUNNER ADVANCE DX C3720i/3725i/3730i
imageRUNNER ADVANCE DX C3822i/3826i/3830i/3835i
imageRUNNER ADVANCE C5535i/5540i/5550i/5560i, II und III
imageRUNNER ADVANCE DX C5735i/5740i/5750i/5760i

Der folgende Bildschirm kann angezeigt werden, wenn Toner verwendet wird, der keine elektrischen Komponenten enthält.
Drücken Sie auf [Close] [Schließen], um den Druckvorgang fortzusetzen.

Der auf Ihrem Gerät angezeigte Tonerstand ist möglicherweise nicht korrekt, und der verbleibende Tonerstand kann plötzlich von 100 % auf 0 % wechseln.

Wenn 0 % angezeigt wird, setzen Sie einen neuen Tonerbehälter ein.

 

---

Befolgen Sie bei den folgenden Modellen die nachstehenden Anweisungen, wenn nach dem Einsetzen des Toners eine Fehlermeldung angezeigt wird:

imageRUNNER C1325iF/1335iF
imageRUNNER C3025i
imageRUNNER ADVANCE C250i/350i/C351iF
imageRUNNER ADVANCE C3320i/3325i/3330i

Der folgende Bildschirm kann angezeigt werden, wenn Toner verwendet wird, der keine elektrischen Komponenten enthält.
Drücken Sie auf [I Agree] [Ich stimme zu], um mit dem Drucken fortzufahren.

Bitte drücken Sie nicht auf [Cancel] [Abbrechen]. Sollten Sie bereits darauf gedrückt haben, führen Sie die folgenden Schritte aus:

1. Nehmen Sie den Toner aus dem Gerät.
2. Setzen Sie den Toner wieder in das Gerät ein.
3. Drücken Sie auf [I Agree] [Ich stimme zu], um den Druckvorgang fortzusetzen.

Der auf Ihrem Gerät angezeigte Tonerstand ist möglicherweise nicht korrekt, und der verbleibende Tonerstand kann plötzlich von „OK“ zu „Empty“ („Leer“) wechseln.
Wenn „Empty“ („Leer“) angezeigt wird, setzen Sie einen neuen Tonerbehälter ein.

 

---

Befolgen Sie bei den folgenden Modellen die nachstehenden Anweisungen, wenn nach dem Einsetzen des Toners eine Fehlermeldung angezeigt wird:

imageRUNNER 1435i/1435iF

Der folgende Bildschirm kann angezeigt werden, wenn Toner verwendet wird, der keine elektrischen Komponenten enthält.
Drücken Sie auf [OK], um den Druckvorgang fortzusetzen.

Bitte drücken Sie nicht auf [Stop] [Stopp]. Sollten Sie bereits darauf gedrückt haben, führen Sie die folgenden Schritte aus:

1. Nehmen Sie den Toner aus dem Gerät.
2. Setzen Sie den Toner wieder in das Gerät ein.
3. Drücken Sie auf [OK], um den Druckvorgang fortzusetzen.

Der auf Ihrem Gerät angezeigte Tonerstand ist möglicherweise nicht korrekt, und der verbleibende Tonerstand kann plötzlich von „OK“ auf „None“ („Keine“) wechseln.
Wenn „None“ („Keine“) angezeigt wird, setzen Sie einen neuen Tonerbehälter ein.

Passend dazu: Golem.de - Der endgültige Beweis, dass DRM weg kann

Lizenz aktivieren

• Hilfe -> Lizenzinfo und Aktivierung
• Online aktivieren
• Lizenzkey und Seriennummer eingeben
• Onlineaktivierung
• Erfolgreiche Aktivierung abwarten -> Fertigstellen

Lizenz auf neues Gerät übertragen

• Hilfe -> Client deaktivieren
• Assistent zur Deaktivierung ausfüllen
• Daten an Deaktivierungsserver übertragen
• E-Mail mit neuem Lizenzschlüssel

SNMP OIDs des Lancom Router ermitteln
- WebConfig -> Extras -> SNMP-Geräte-MIB abrufen (enthält alle OIDs)
- SSH/Putty:
  * zu gewünschtem Eintrag navigieren
  * "dir -a" -gibt OIDs des Eintrages mit aus

Beispiel:
* Status / WAN / Byte-Transport / VDSL-1 Traffic: SNMP (Benutzerdefinierte Tabelle) "1.3.6.1.4.1.2356.11.1.4.1"

Open Source Editor mit
Debugger mit Haltepunkten, Variablenlisten und "Call Stack".
- Start mit "CODE", ist in PATH registriert

1. Erweiterungen nachinstallieren (File -> Preferences -> Extensions)
   wichtig: German Language Pack, PowerShell (MS), CodeRunner, HTML CSS Support, PHP Debug+Intellisense
2. Einstellungen: Tab Size=2, Word Wrap= on

Lizenzierung nach Anzahl der Sensoren, 100 Sensoren dauerhaft free.
Sensoren oberhalb der Lizenzierungsgrenze werden auf PAUSE gesetzt.

Map Designer
• eigene Bilder einfügen: c:\Program Files (x86)\PRTG Network Monitor\webroot\mapicons\iconset(...) Bilder rein kopieren
• Status-Icons: "Name und Status, transparent" zu Bild hinzu fügen

Lancom Router per SMTP monitoren: Client Traffic Auswertung mit Lancom SNMP und PRTG – Andys Blog (etscheid.biz)

Such-Operatoren:

• "Gesuchter Satz" - Suchbegriffe in Anführungszeichen werden als gesamte Phrase gesucht
• -Ausschluss - "Minus" schließt Begriff aus der Suche aus (Bsp: computer chips -intel)
• allintext:china kohle kosten - gibt nur Ergebisse aus, in denen ALLE Suchbegriffe vorkommen
• site:webseite - sucht nur auf der angegebenen Webseite (Bsp: FC Bayern site:sueddeutsche.de)
• inurl:wasser - Sucht nur in URLs, in denen das Wort (wasser) vorkommt
• filetype:pdf - zeigt nur Suchergebnisse mit dem gewünschten Filetype

Alternative Suchmaschinen:

• BING - Microsoft
• QWANDT - franz., eigener Suchindex
• STARTPAGE - niederländ., leitet Suchanfragen anonymisiert an Google weiter
• DuckDuckGo - sammelt keine Personendaten, sucht in 400 Quellen wie Wikipedia, Bing, Yahoo, Yandex (kein Google)
• ECOSIA - Suchergebnisse von BING, verbindet Suche mit dem Anliegen der Aufforstung

Archiv - Suche:

• Wyback - Internet-Archiv

• unformatierte Langform (lokal):
Get-CimInstance -ClassName Win32_ComputerSystem -Property UserName
Get-CimInstance -ClassName Win32_ComputerSystem -Property UserName | Format-Table -Property UserName

• Kurzform (lokal)
Benutzername ohne Domain: $env:UserName

• Lokal und Remote:
qwinsta /server:remotePC

PowerShell Remoting
https://docs.microsoft.com/de-de/powershell/scripting/learn/remoting/running-remote-commands?view=powershell-7

Windows Remoteverwaltung konfigurieren:
WINRM QUICKCONFIG  - Firewall: Port 5985, Dienststart...

MySQL Connector/NET für Windows (ggf. Oracle Anmeldung)
https://dev.mysql.com/downloads/connector/net/

alternativ: Install-Module MySQLCmdlets

- bordeigenen Zuverlässigkeitsprüfung! im Suchfenster "Zuverlässigkeit"...

- listet Fehler und Warnungen des Ereignisprotokolls tageweise sehr übersichtlich ein.

Windows 8-10

Startmenue All Users: C:\ProgramData\Microsoft\Windows\Start Menu
Desktop All Users: C:\Users\Public\Desktop (Öffentlich/Öffentlicher Desktop)
  -> Tip: "dir /ad" löst die Links in den jeweiligen Verzeichnissen auf.
Startmenue [User]: Users/[User]/AppData/Roaming/Microsoft/Windows/Start Menu
Desktop [User]: Users/[User]/Desktop
Persönl.angeheftetes Startmenue: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
Persönl. Taskleise: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar   -> siehe unten!

SendTo: Users/[Benutzer]/AppData/Roaming/Microsoft/Windows/SendTo

-> direkter Sprung in den Ordner "Autostart All-Users": ausführen: "shell:startup"

Standardprofile: \\%systemroot%\Users\Default
Das Profil wird durch Hineinkopieren eines lokalen Profils angelegt. (keine Drucker!)
(ausgeblendete +geschützte Systemdateien sichtbar, JEDER=lesen, Kopieren alles ausser ntuser.dat, ntuser.dat.log, ntuser.ini)
Domänen Default Profil: //[Servername]/Netlogon/Default User.v2 / v4-Win7 / v5 -Win10
Domänen User Profil: muß in "AD Benutzer und Computer" definiert werden. Änderung für einzelnen PC im lokalen Profilmanager möglich.
//[Servername]/Profile/%username% (PROFILE muß eine Freigabe mit Vollzugriff sein)

Howto: http://www.dertechblog.de/2011/10/howto-angepasstes-windows-default-profile-bereitstellen/
Verbindliches Profil kann vom Benutzer nicht geändert werden. Änderungen werden beim Abmelden verworfen.
-> USER.DAT in USER.MAN umbenennen. Funktioniert für Userprofile und kann sogar im Default Profil definiert werden.

Standardprofile werden in Domänen zuerst unter \\\netlogon\Default User gesucht, danach lokal in \\%systemroot%\Dokumente..\Default User.

• Default Profil in Windows 10 erstellen: http://www.tenforums.com/tutorials/2110-default-user-profile-customize-windows-10-a.html
(erscheint plausibel. ich habe es noch nicht getestet)

Um Programme an die Taskleise zu pinnen genügt es nicht, eine Verknüpfung im o.g. Ordner "Persönliche Taskleiste" anzulegen. Die Info wird außerdem verschlüsselt unter HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband abgelegt. Lösbar ist das mit VB. (Beispiel kopiert Paint-Verknüpfung in die Taskbar.)

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Set objShell = CreateObject("Shell.Application")
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Accessories")
Set objFolderItem = objFolder.ParseName("Paint.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
    If Replace(objVerb.name, "&", "") = "An Taskleiste anheften" Then objVerb.DoIt
Next

Das geht genauso umgekehrt mit "Von Taskleiste lösen". 

betrifft: Win2008, Win2012, Win2016, WinVista, Win7, Win8, Win10

Wenn User-Ordner auf Netzfreigaben verschoben werden, zeigt Windows diese als "Eigene Dokumente" und nicht mit ihrem wirklichen Namen.
Abhilfe: für desktop.ini - Berechtigungen lesen verbieten.
http://support.microsoft.com/kb/947222/en-us

WBAdmin (Win Vista - Win 10, auch Server, lässt sich super scripten):
Erforderliche Dienste: "Blockebenen-Sicherungsmodul" (WBEngine) und "Volumenschattenkopie" (VSS) - sollten auf MANUELL stehen und sich starten lassen.
* Backup aus der DOS-Box:
  "WBADMIN start systemstatebackup -backupTarget:e:"
  oder "WBADMIN start backup -backupTarget:E: -include:C: -allcritical -quiet"
* GUI: Systemsteuerung -> Sichern und Wiederherstellen (Win7)

* BareMetall-Restore:
Installations-CD/Stick oder Recovery-Partition: ( „Computerreparaturoptionen“ > „Problembehandlung“ > „Erweiterte Optionen“ > „Systemimage-Wiederherstellung“)
* Restore einzelner Files: VMDX-Datei in Datenträgerverwaltung mounten
* Restore aus dem System (CMD):
 - Backup-Versionen suchen in CMD: "WBADMIN get versions –backup target:E:" 
  Das Repository liegt in %windir%\system32\wbem\repository.
 - Volume GUID-based path suchen: "mountvol"
 - "WBADMIN start recovery" liefert den nötigen Syntax

Befehlsübersicht: https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/wbadmin

Windows 8.1: DISM - Aufruf aus Wiederherstellungskonsole (CD, Stick), legt komprimierte WIM-Datei mit gesamtem Inhalt von LW: C: (ausser Wiederherstellungspunkte, Auslagerungsdateien, Papierkorb und OfflineCache) an.
Backup: dism /capture-image /imagefile:[Ziellaufwerk]:image.wim /capturedir:c: /scratchdir:[Ziel-/Templaufwerk]: /name:"Mein Image"
Restore: dism /apply-image /applydir:[Ziellaufwerk]: /imagefile:[Backuplaufwerk]:\image.wim /scratchdir:[Ziel-/Templaufwerk]: /index:1
Ausführliche Anleitung mit Exclusion-List in ct 17/2014 S.76ff.

Veeam Backup (auch free, auch BIOS auf UEFI) siehe Backup: Veeam Backup

Systemimage als VHDx sichern:
Sysinternals Tool: DISK2VHD, sichert beliebige Volumes als VHD(x)-Datei.
Die Datei kann in Windows als Laufwerk gemountet werden oder in Hyper-V (Neuer Virtueller Computer / Vorhandene Festplatte) gestartet werden.

Siehe System-Backup.
Siehe auch allgemeine Backup-Betrachtung.

Mit der Tastenkombination <Shift>-<F10> kann während einer Reparaturinstallation eine WinPE Eingabeaufforderung (CMD.EXE) geöffnet werden.

Win 10, Server 2019:

Bootrecord reparieren:
- Erste aktive Partition ermitteln. Normalerweise "System-reserviert" oder "EFI-Systempartition", LW E:

bcdboot c:\windows /s e: /l de-de

Systemdateien überprüfen und automatisch vervollständigen: (online:)

sfc /scannow

(offline aus einer Win-PE Kommandozeile)

sfc /scannow /offbootdir=e:\ /offwindir=c:\windows

Möglichkeiten zum Aufruf des erweiteren Starts -> giga.de

Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /RestoreHealth

Bei Fehlermeldungen bei o.g. Befehl:
Mount Windows Server 2016 ISO as a drive (E: im Beispiel)
Run dism /online /cleanup-image /restorehealth /source:WIM:E:\sources\install.wim:1 /limitaccess

DISM offline aus WinPC Kommandozeile, wenn das System nicht mehr läuft:
Dism /Image:e:\ /Cleanup-Image /RestoreHealth /source:esd:C:\install.esd:1

Mehr Infos zu DISM

Windows 8:

Wiederherstellungskonsole kann:

- Windows in Auslieferungszustand zurück versetzen.
- Windows auf Systemwiederherstellungspunkt setzen.
- Eingabeaufforderung mit
  diskpart (Partitionierer),
  dism(Imager, ->Backup Betriebssystem),
  wpeinit (startet Netzwerk, danach Mappen mit NET USE)...

Unter Windows 8.1 kann man auch einfach einen Wiederherstellungs-Stick erstellen. ( Windows 8.1 Wiederherstellungslaufwerk erstellen)

Windows 7:

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

Systemdateien überprüfen:

sfc /scannow

Hilfe:
Microsoft Community

- Windows identifiziert das Netzwerk anhand der MAC-Adresse des Standardgateways.
- beim Ändern des Defaultgateway -Gerätes (MAC-Adresse) ändert sich (meist) das Netzwerk.
- PCs ohne gültiges Standardgateway landen im "Öffentlichen Netzwerk"! (Firewall dicht)
  Abhilfe: Standardgateway auf beliebiges Gerät im LAN definieren (Drucker, NAS, PC), dann kann das "unbekannte Netzwerk" einer Kategorie zugeordnet werden.
- Heimnetzwerke sind nur von PCs sichtbar, deren LAN als "Heimnetzwerk" eingestuft wurde.

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\<Deine Profilnummer>
• Category Werte:
  • Öffentlich = 0
  • Privat = 1
  • Arbeitsplatz = 2

Netzwerkkategorie mit Powershell auf Domänennetzwerk ändern:

set-netconnectionprofile -interfaceindex <NR> -networkcategory DomainAuthenticated

oder -networkcategory Private / Public

• DEFT "Digital Evidence & Forensics Toolkit" Linux-Boot-CD, auch als VM verfügbar, voller Forensik Tools.
Browserverlauf, Lesezeichen und Cache auslesen, MailView (Outlook Express, Windows Mail, Thunderbird), u.a. WLAN-, Acces-, PST-, VNC- Passworte auslesen, Windows Passworte neu setzen, Photorec (gelöschte Dateien), JumpListView (geöffnete Dokumente, besuchte FTP-Links über viele Monate), WinLogonView (Windows Anmeldevorgänge), LastActivityView, CrowdInspect (holt für alle Prozesse automatisch Bewertungen von VirusTotal u.a.), Netzwerktools.
Siehe ct 20/2014 S.96.
Download: deftlinux.net

• DART "Digital Advanced Response Toolkit" beinhaltet nur die Windows-Tools von DEFT (oben).
Ausführliche Anleitungen in ct 20/2014 S.90ff.

• Prefetch-Dateien werden für jedes gestartete Programm erstellt. Der Zeitstempel liefert die Information, wann das Programm zuletzt gestartet wurde.
(Windows XP, Win7, Win8. Ab Windows 7 bei System auf SSD standardmäßig deaktiviert.)
Siehe ct 20/2014 S.92.

• Most Recently Used Listen, 10 Dateien für jede Dateiendung: [HKU\%user%\Software\Microsoft\CurrentVersion\Explorer\RecentDocs]
• Gruppenrichtlinien VORHER einrichten:
- Audit Policy aktivieren: Computerkonfig.\Windows Settings\Sicherheit\Local Policies\Überwachungsrichtlinie\
-- Anmeldeereignisse = überwachen
-- Kontenverwaltung = überwachen
-- Verzeichnisdienstzugriff = überwachen
-- Objektzugriffsversuche = überwachen
-- Richtlinienänderungen = überwachen
-- Systemereignisse = überwachen

• Systemüberprüfung ausführen und alle Systemfiles checken. (dism, sfc... )

Siehe Windows Systemreparatur
Siehe Windows Update-Service Tips

Manchmal hilft diese Lösung:

- NET STOP wuauserv (ggf. Systemdienste "Automatische Updates" und "Intelligenter Hintergrundübertragungsdienst" (wuaserv, cryptSync, bits, msiserver))
- windows/SoftwareDistribution/Datastore/datastore.edb weg kopieren
  oder:  rd c:\windows\SoftwareDistribution /s /q  (enthält alle Updates + Statusinfos)
- NET START wuauserv

Unter Server 2016 hilft gelegentlich statt der GUI
das Kommandozeilentool SCONFIG. (Server 2012/2016/2019)
Updates konfigurieren und installieren

Oder Update manuell vom Software Catalog installieren:
https://www.catalog.update.microsoft.com/Search.aspx?q=Server+2016

„Windows Update PowerShell Module“ von Technet (gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc) herunter laden. Archiv öffnen und Ordner „PSWindowsUpdate“ in  Verzeichnis „%Windir%\System32\WindowsPowerShell\v1.0\Modules“ entpacken.

Suchen (Windows+Q) nach „PowerShell“, Suchtreffer „Windows PowerShell“ mit Rechtsklick als Administrator öffnen.

Zuerst Ausführen des Skripts mit dem Befehl erlauben:

Set-ExecutionPolicy RemoteSigned

Sicherheitsabfrage mit "Ja" bestätigen.

Zwei weitere Befehle importieren das Modul und starten die Installation der Updates:

Import-Module PSWindowsUpdate

Get-WUInstall

Nach der Eingabe von Get-WUInstall dauert es einige Zeit, dann erscheint ein Update-Dialog.

• oder PSWindowsUpdate:
https://www.powershellgallery.com/packages/PSWindowsUpdate/

Fehlerhafte Updates von der Kommandozeile deinstallieren: wusa /uninstall /kb:xxxx

Windows Update neu registrieren:

net stop wuauserv
net stop bits
net stop cryptsvc
ren %systemroot%System32Catroot2 old catrood2
net start cryptsvc
ren %systemroot%SoftwareDistribution Software Distribution.old
regsvr32 wuapi.dll
regsvr32 wuaueng.dll
regsvr32 wucltux.dll
regsvr32 wups2.dll
regsvr32 wups.dll
regsvr32 wuwebv.dll
net start bits
net start wuauserv


Verwalten der Intelligenten Hintergrund-Dateiübertragung: (Win7-10)
BITS kann Uploads und Downloads. Windows nutzt BITS intensiv (Update, Nachrichten, Live-Dienste). Aber auch andere Programme oder Malware kann BITS nutzen.
bitsadmin /list /allusers   - Liste aller laufenden oder anstehenden Aufträge

bitsadmin /monitor /referesh 2  - zeigt im Intervall (2 sek.) vorhandene Jobs

Klassischer Hardwareassistent, der auch Treiber ohne Hardwareerkennung installiert:
"hdwwiz" im Suchfeld eingeben und "Als Administrator ausführen"

Physische Sicht:
Allgemeine Reg.-Daten:
- HKLM\SAM [Benutzer, Rechte] -> /windows/system32/config/SAM
- HKLM\BCD00000000 [Bootkonfiguration] -> [UEFI-Partition] /EFI/Microsoft/Boot/BCD
- HKLM\SAM [Anmeldenamen, Kennwort-Hashes] -> /windows/system32/config/SAM
- HKLM\SECURITY [Benutzer, Rechte, Sicherheitsrichtlinien] -> /windows/system32/config/SECURITY
- HKLM\SOFTWARE [allgemeine Softwareeinstellungen] -> /windows/system32/config/SOFTWARE
- HKLM\SYSTEM [Gerätetreiber, Dienste] -> /windows/system32/config/SYSTEM
- HKU\DEFAULT [Standard-Profil von LOKAL SYSTEM] -> /windows/system32/config/DEFAULT
Benutzerspezifische Reg.-Daten:
- HKCU\ [persönl. Nutzerprofil] -> /Users/[user]/NTUSER.DAT
- USRCLASS.DAT [benutzerspez. Softwareeinstellungen] -> /USERS/[user]/AppData/Local/Microsoft/Windows/
Kopie der Registry: befindet sich in /windows/repair/
Wiederherstellungspunkte: in /SystemVolumeInformation/_restore{GUID}/RP{x}/Snapshot/
(RP{x} steht für die einzelnen Wiederherstellungspunkte)

Logische Sicht (in REGEDIT):
- HKEY_CLASSES_ROOT (HKCR) - Zuweisung von Dateitypen und Dateiendungen zu Anwendungen, COM-Klassen
  (Summe von HKLM\Software\Classes und HKCU\Software\Classes, wobei HKCU Vorrang hat)
- HKEY_CURRENT_USER (HKCU) - (Link auf aktuellen User in HKU)
- HKEY_LOCAL_MACHINE (HKLM) - Treiber, Dienste, globale Anwendungs- und Systemeinstellungen
- HKEY_USERS (HKU) - alle Userkonten inclusive HKCU und Systemuser (siehe unten)
- HKEY_CURRENT_CONFIG (HKCC) - aktuelle Hardwarekonfiguration (Link auf HKLM\System\CurrentControlSet\Hardware Profiles\Current)

HKCU eines anderen Benutzers laden / editieren:
Registry: HKU/ markieren, Datei -> Struktur laden, ntuser.dat aus dem betreffenden Userprofils laden.
Mit "Struktur entfernen" werden die Änderungen gespeichert.
Prinzip funktioniert bei Offline-Windows mit allen REG-Zweigen.

 ID des angemeldeten Users ermitteln (HKCU): Dosbox: whoami /logonid

In HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList User-ID auswählen, in ProfileImagePath steht das jeweilige Userverzeichnis.

Systemkonten:
(S-1-5-18) - System
(S-1-5-19)  - Lokaler Dienst
(S-1-5-20) - Netzwerkdienst

Abkürzung:
HKLM\System\CurrentControlSet (gibt es nur lokal) = HKLM\System\Select verrät, welches ControlSet das aktuelle ist.
HKEY_CLASSES_ROOT = HKLM\SOFTWARE\Classes

* ganzen Schlüssel mit Unterschlüsseln löschen: [-Hkey_Local_Machine\Testschlüssel]
* einzelnen Wert löschen: [Hkey_Local_Machine\Testschlüssel] "Testwert"=-

Siehe auch -> Kopierprogramme.

Windows 10

MiniTool Partition Wizard (auch für ältere Windows Versionen)
Partiongröße verändern, Partition oder Disk clonen, Partition Recovery.
Als Windows-Installation oder Boot-CD (nicht free) Download verfügbar, Jahresversion in CT Notfall Windows.
Einschränkung der Free-Version: nicht kommerziell, keine Server, keine dynam. HD, GPT-Partition, kopiert keine Systempartition!, keine Boot-CD.

Macrium Reflect Free (Disk Cloning, VSS, UEFI, GPT-Support) (siehe Kopierprogramme)

AOMEI Backupper (free) - Windows Backup-Software für Betriebssystem, Daten und Anwendungen mithilfe der Sicherungs-, Wiederherstellungs- oder Klonfunktion.
Installieren und HD klonen möglich, Server nicht möglich mit kostenloser Edition.
Erstellt ein bootfähiges WinPE- oder Linux-Laufwerk für Bare-Bones oder nicht bootfähige Computer.

Drive Snapshot (1-Jahres-Version in CT Notfall-Windows 2022)
- Image Kopie

Windows 8.1

Boardmittel DISM.... Beschreibung unter  Backup Betriebssystem

Win XP - Win 8

xcopy [Quelle] [Ziel] /c /h /e /k /r /o /x .
Wie bei Win9x, außerdem werden aber auch Besitzer und ACLs mit kopiert. System per CD/Reparatur wiederherstellen. (ggf. Rettungsdisk anlegen!)

Einfacher: Acronis True Image Home (11): HD klonen.

WinNT - 2003

Neue HD parallel mit einbauen, im Festplattenmanager Plattenspiegelung aktivieren, nach erfolgter Spiegelung wieder deaktivieren.
Besser: spezielle Tools wie Acronis DiskImage.

Windows 9x:

Neue HD parallel mit einbauen, Daten im Windows (DOS-Box) kopieren mit xcopy c:\*.* [neue HD:] /c /h /e /k /r .
Anschließend neue HD als Master anklemmen, mit FDISK Partition aktivieren, von Bootdisk SYS C: ausführen, fertig !
Selbst Laufwerks-Freigaben und Papierkorbinhalt stimmen noch.

MS Windows File Recovery
für Win10 ab Update 2004, Command Line Applikation

HDD RAW Copy (u.a. CT Notfall-Windows)
1:1 Kopie des Datenträgers

Unstoppable Copier (u.a. CT Notfall-Windows)
1:1 Kopie, besonders bei defekten Sektoren o.ä. (Kopierschutz, defekte CD)

CONVAR File Recovery -Datenrettungsprogramm, unterstützt FAT 12/16/32 und NTFS.
(voll funktionsfähige Freeware)

Recuva (u.a. CT Notfall-Windows)
Suche im Verzeichnis nach gelöschten Dateieinträgen.

Testdisk (u.a. CT Notfall-Windows)
Suche auf der Disk nach gelöschten Dateieinträgen.

PhotoRec / QPhotoRec - (u.a. CT Notfall Windows, letzteres mit GUI)
ggf. Letzte Rettung. Durchkämmt Datenträger und sucht nach Dateianfängen.

ShadowCopyView  (u.a. CT Notfall Windows)
versucht Daten aus Schattenkopien zu retten

Server2016, Win10 (Stand 2020):
Reg-Eintrag (unten) ist nicht mehr vorhanden oder funktioniert nicht mehr, aber per CMD geht es.

CMD: control userpasswords2

Haken entfernen "Benutzer müssen Benutzernamen und Kennwort eingeben".

Weitere Methoden für Win10-20H2, Windows Hello u.v.a.m.
https://www.deskmodder.de/wiki/index.php?title=Windows_10_automatisch_anmelden_ohne_Passworteingabe

Getestet unter WinXP, Vista, Win2008, Win7, Win2012R2, Win10 (1909):

Eintrag in Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon :

ValueTypWert AutoAdminLogon REG_SZ 0x0 oder 0x1. Bei 0x1 erfolgt automat. Anmeldung.
DefaultPassword REG_SZ Kennwort
DefaultUserName REG_SZ Username

Das klappt nur, wenn man wirklich alle 3 Parameter angibt.

Diverse alternative Methoden beschreibt Deskmodder.

Win 2000 Prof:

Einfach in Systemsteuerung\Benutzer u. Kennwörter Häkchen bei "Benutzer müssen .. Benutzernamen eingeben.." bzw. "Vor Anmeldung CTRL-ALT-DEL.." raus.
Geht nicht bei der Serverversion.

1. Registry: HKLM
2. Registry: HKCU
3. autoexec.bat
4. Anmeldescript

für alle gängigen Systeme (DOS, LINUX, OS/2, WinXXXX, Win-Server..) gibt es bei bootdisk.de

DOS Boot-Stick mit RUFUS erstellen.

Diese Tools gehören bei mir auf jeden PC:

• Classic Shell - ohne ist Windows 8, Server 2008, 2012 praktisch unbedienbar. http://www.classicshell.net/
• NetSpeedMonitor, zeigt Upload-/Download Traffic in Echtzeit in der Taskleiste an. (Windows 7, 8, bei Win10 im Kompatibilitätsmode installieren) http://winfuture.de/downloadvorschalt,3351.html
• Lanlights alternativ für die nicht so technik-affinen. Zeigt den Net-Speed als Blinkern im Netzwerksysmbol wie bei Win98. (Windows XP, 7, 8) http://www.paulmather.net/lanlight.asp
• BGInfo aus  Sysinternals Tools gehört auf jeden Server oder jede VM.
• F.Lux - passt Farbtemperatur und Helligkeit des Bildschirmes der Tageszeit an

Systemstart optimieren mit msconfig.
Verschafft Überblick über system.ini, win.ini, boot.ini incl. aller Parameter, laufend Dienste bzw. Nicht-MS-Dienste und Systemstart.
Tool ist nicht in Win2000 enthalten, läuft aber auch dort.

Systeminfo.exe  Sehr leistungsfähiges Tool, listet OS Version, Installationsdatum, Startzeit, Startvolume, Hotfixe u.a.
In Win7/8/10 enthalten.

sysinternals.com
Tools, Sourcen und Infos zu Windows
Die Tools sind so mächtig, dass ich ihnen einen eigenen Artikel gebe:  Sysinternals Tools

support.microsoft.com/fixit/
Microsoft Fix-It Supportcenter

Windirstat.info
Gutes Disknutzung- und Bereinigungs-Tool, free. Nur lokale Laufwerke.
Bei Speziiellen Anforderungen wie "Wo liegen die großen ZIP-Dateien" ist Treesize gefragt.

MS ICACLS
• alle ACLs von XXX sichern (kann im Texteditor bearbeitet werden):
icacls C:\XXX /save C:\Temp\ACL-XXX-Sicherung /t /c /l /q
• Vollzugriff für Admin setzen:
icacls C:\XXX /grant WindowsDomäne\Adminnutzername:(F) /t /c /l /q
• gesicherte Berechtigungen auf Verzeichnis anwenden:
icacls C:\ /restore C:\Temp\ACL-XXX-Sicherung-angepasst /t /c /l /q

AllDup
Sucht doppelte Dateien, je nach Einstellung gleiche Dateinamen (schnell), ähnliche Dateinamen, ähnliche Bildinhalte, gleicher Dateiinhalt (entsprächend langsamer).

Treesize Professional
Geniales Disknutzung-Tool, kostenpflichtig

mythicsoft.com
"Agent Ransack" - Windows-Dateisuche, die auch funktioniert. Sehr schnell, auch im Netzwerk.

netzwerktotal.de
aktuelle Infos zum Thema Internet, Windows, Computer, Smartphone und Co.

Forum und Downloads

MiniTool Partition Wizard

Partiongröße verändern, Partition oder Disk clonen, Partition reparieren.
Als Boot-CD oder Windows-Installation.

eventid.net

MS Event-ID Suchmaschine, schneller und mehr Ergebnisse als nur MS KnowledgeBase

WinFaq.de

Tools und Infos zu Windows 9x .. 8

Nirsoft

Tools (Passwort, Netzwerk, Outlook....)

Klingt einfach, ist es aber leider nicht.

Feature nachinstallieren schlägt fehl.

Lösung beim Server (2012 -): alternativen Datenpfad angeben: CD:\sources\sxs\

Lösung bei Windows 10: Download oder DISM

oder (Source-Verzeichnis zur CD entsprechend anpassen):

dism /online /enable-feature /featurename:netfx3 /all /source:d:\x64\sources\sxs /limitaccess

Bei Win10 Version 1903 funktioniert die Installation aus dem Source-Verzeichnis nicht.
Abhilfe: 1809-CD.

Windows Server 2008, Server 2012: ISO muß lokal liegen, nur dann geht es.

Das Problem hat Windows 8 übrigens auch.

Bei Windows 10 geht auch das Mounten von ISOs im Netzwerk.

Windows 7 kann keine ISO mounten. Abhilfe: WinCDEmu, bei WinXP, Win7, Win2008,.... sogar als Portable.

- es kann (betriebsrat-konform) der Bildschirm des entfernten Users gezeigt oder gesteuert werden.
- man arbeitet im Berechtigungskontext des entfernten Users. "Als Administrator ausführen" geht nicht.

 
Ab Server 2008 bzw. Windows XP:
C:\Windows\System32\msra.exe /offerRA {Client}

Server: Feature "Remoteunterstützung" muß installiert sein.

Firewall:
Eingehende Regel: Remoteunterstützung aktivieren!
Portausnahme:
 135:TCP:192.168.128.0/21:enabled:Port 135
Programmausnahme:
 %systemroot%\System32\raserver.exe:192.168.128.0/21:enabled:Remoteassistance
 %systemroot%\System32\msra.exe:192.168.128.0/21:enabled:Remoteassistance anbieten

Gruppenrichtlinie:
Remoteunterstützung (Einladung per Mail) aktivieren:
Richtlinie -> Computerkonfiguration\Administratve Vorlagen\(Windows-Komponenten)\System\Remoteunterstützung\Angeforderte Remoteunterstützung: aktiviert (und dann konfigurieren)
Remoteunterstützung (Helfer kann Steuerung anbieten) aktivieren:
Computerkonfiguration/Administrative Vorlagen/System/Remoteunterstützung
Remoteunterstützung anbieten = Aktiviert
Remoteüberwachung dieses Computers zulassen: Helfer dürfen den Computer remote steuern
Helfer:
RU-Helper

Microsoft Download-Seite nach Eingabe der Seriennummer:
https://www.microsoft.com/de-de/software-download/home

Microsoft stellt die Win8 ISO (alle Sprachen, 32-bit/64-bit/Standard/N/Prof.) zum freien Download bereit für USB, DVD oder Onlineinstallation.

http://windows.microsoft.com/en-us/windows-8/create-reset-refresh-media

Siehe auch MS Software ISO Downloads (Windows, Office)

Standardmäßig blendet der Gerätemanager alle Geräte aus, die nicht mehr vorhanden oder angeschlossen sind. Zum Anzeigen folgende Variablen setzen:

 -> Systemsteuerung -> System, Tabreiter "Erweitert" -> "Umgebungsvariablen".

Systemvariablen hinzu fügen:

Das Gleiche geht auch über die Registry unter
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ Session Manager\ Environment

oder kurz und schmerzlos aus der DOS-Box mit SET.

set devmgr_show_details=1
set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Die Windows Dateisuche (wie auch die Kopierfunktion des Explorers) war schon immer grottig und das wird sich wohl auch nicht ändern.

Es gibt eine Menge Alternativen, die es besser können.

Gute, (nichtkommerziell!) kostenlose Alternative: FileLocator Lite bzw. Agent Ransack von https://mythicsoft.com/
Klein, schnell, erfolgreich, auch in Netzlaufwerken und UNC-Pfaden. Durchsucht PDF und Office-Files. Ideal auch für Portable.

Leistungsstark: FindIt.
Shareware, 30 Tage Test, dann 29 EUR. Durchsucht Office, PDF, Powerpoint, HTML, PHP, E-Mail EML, DBF und mehr. Ohne Index, auch Netzlaufwerke.

Kostenlose Alternative: NeoSearch
Das Programm indiziert alle Ziele, auch Netzlaufwerke. Dynamische Ergebnisse ab Tippen des ersten Buchstaben. Keine PDF- und Office-Suche.

Everything - schnelle NTFS-Suche
indexbasiert (eigene DB), ressourcensparend, für alle Windows Versionen (schnell bei NTFS, ReFS)

echo  Timestamp ermitteln ..
if "%date:~2,1%" == "." goto :Kurzform

:Langform
set ukdate=%date:~9,4%-%date:~6,2%-%date:~3,2%
goto :weiter

:Kurzform
set ukdate=%date:~6,4%-%date:~3,2%-%date:~0,2%

:weiter

per GPO:

* Netzwerkverbindungen –> Windows Firewall –> Domänenprofile: "Windows Firewall: Eingehende Remotedesktopausnahmen zulassen”

* Computerkonfiguration –> Richtlinien –>  Administrative Vorlagen –> Windows-Komponenten –> Remotedesktopdienste –> Remotedesktopsitzungs-Host –> Verbindungen: “Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen." = aktivieren.

* Computerkonfiguration –> Richtlinien –> Administrative Vorlagen –> Windows-Komponenten –> Terminaldienste – Remoteverbindungen für Benutzer mithilfe der Terminaldienste zulasssen” aktivieren.
 

Andere Methode per WMI:

* wmic /node:<IP-Adresse> RDToggle get AllowTSConnections - gibt Status der RDP-Verbindung aus. (1= erlaubt, 0= verboten)

* wmic /node:<Name-des-PCs> RDToggle where ServerName="<Name-des-PCs>" call SetAllowTSConnections 1, 1 - setzt RDP-Freigabe (Die erste 1 erlaubt RDP, 0 würde verbieten. Die zweite 1 passt Firewallregel an.)

Java-Cache in allen Profilen löschen:

for /D %%i in (C:\Users\*) do rmdir "%%i\AppData\LocalLow\Sun\Java\" /S /Q

(Im CMD-Fenster nur ein "%" setzen!)

Diese Orte durchsucht Windows nach Autostart-Einträgen:

o  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

o  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

o  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal

o  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

o  HKLM\System\CurrentControlSet\Control\Terminal Server

o  HKLM\SOFTWARE\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers                      

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

o  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects                                      

o  HKLM\System\CurrentControlSet\Services

o  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Einträge über MS-Config:
o  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

Sehr cool: die aktuelle Online-Version läßt sich direkt auf dem PC mappen:
net use * http://live.sysinternals.com
oder direkt über den Link: http://live.sysinternals.com

• AccessEnum
Zeigt für wählbaren Ordner und Unterordner Nutzer und Gruppenberechtigungen.
Auch für die Registry.

• Autoruns (autoruns.exe)
Problem: Autostart-Prozesse identifizieren.
Lösung: "Autoruns" starten, File: "Run-as-Administrator", auch hier lassen sich alle Prozesse auf Viren prüfen mit "Scan Options: Check VirusTotal".

• BGInfo - der universelle, informative Dektophintergrund.
(Bginfo64.exe server.bgi /timer:0 /silent /nolicprompt)

• Prozess Monitor (procmon.exe)
Problem: REG-Einstellung für spezielles Problem finden.
Lösung: "Prozessmonitor" starten, mit "Lupe" Aufzeichnung stoppen, mit "Radiergummi" alles löschen, "Fadenkreuz" auf zu überwachenden Prozess klicken, alle Kategorien außer REGISTRY im Schnellfilter deaktivieren.
Nun mit "Lupe" Aufzeichnung starten, schnell die zu überwachende Aktion ausführen, Aufzeichnung stoppen.
Operation "RegSetValue" suchen, mit Rechtsklick "Highlighten" oder besser alle anderen Operationen "Excluden".
Rechtsklick auf das Ergebnis, "Jump to" springt direkt in die Registry auf den gewünschten Wert.

Problem: Bootprobleme identifizieren.
Lösung: "Prozessmonitor". Options: "Enable Boot Logging". "Profiling-Einträge" auswählen, wenn man Timingprobleme sucht.
Windows neu starten (Ruhezustand reicht NICHT). Procmon umgehend neu starten (sonst protokolliert es weiter), Ereinisse speichern und auswerten.

• Prozess Explorer (procexp.exe)
Problem: Unbekanntes Programm bringt Fehlermeldung.
Lösung: "Prozess Explorer" starten, Menue: Fadenkreuz-Symbol starten, Fadenkreuz mit gedrückter linker Maustaste auf die Fehlermeldung ziehen, Prozess Explorer meldet den zugehörigen Prozess.

Problem: Prozesse auf Viren prüfen.
Lösung: "Prozess Explorer" starten, File: "Show Details for all Processes" (startet als Admin), Options: VirusTotal.com="Check VirusTotal.com", prüft alle laufenden Prozesse bei Virustotal.

• SYSMON
Problem: Malware erkennen.
Lösung: Sysinternals "SYSMON". Installiert einen Dienst, loggt u.a. jeden Prozessstart mit kompletter Befehlszeile + Vaterprozess, Netzwerkaktivitäten usw.

• Disk2vhd
Das Programm erstellt virtuelle .vhd oder .vhdx -Festplatten von physischen Festplatten
und eignet sich damit zum Virtualisieren physischer PCs für HyperV, VMWare Workstation oder Virtual Box.
Images bootfähig machen siehe CT 06/2020 S.158 ff.

• TCPView bzw. Kommandozeilenversion TCPVCON.EXE
Überwacht Netzwerkaktivitäten mit Angabe von auf Anfrage wartenden Prozessen, Protokoll, lokale und remote IP mit Hostname und WHOIS, Prozess-ID, Datenvolumen, Pfad und Dateiname des Prozesses.

• PsExec führt Befehle auf anderen Rechnern im Netzwerk aus

SLEEP.CMD anlegen.

ping 127.0.0.1 -n %1 -w 1000>NUL

Aufrufen mit "call sleep 5" wartet 5 Sekunden.

Natürlich geht auch der Direktaufruf von
ping 127.0.0.1 -n 5 -w 1000>NUL

Meine Grundeinstellung:

• Windows Installation und Download
• WoL aktivieren (BIOS und Windows Netzwerkkarte).
• Windows Home siehe Windows Home / Windows S
• Remote Desktop frei schalten Remote Desktop frei schalten.
• Remote Unterstützung erlauben Remoteunterstützung.
• Explorer Ordneroptionen / Ansicht: Erweiterung von Dateitypen anzeigen, vollständigen Pfad zeigen, Ordner/Navigation erweitern.
• Explorer Ordneroptionen / Allgemein: Explorer öffnen für "Dieser PC"
• Windows 8: Windows 8: Charms Bar deaktivieren
• Energiesparoptionen (je nach Firmenrichtlinie) ein-/abschalten.
• Windows 10: Schnellstart (Hybridmodus) deaktivieren
• Windows 10: ggf. Startkacheln anpassen
• Windows 10: Werbung ausschalten
• Windows 10: Onedrive deinstallieren OneDrive deinstallieren
• Windows 10: ggf. Windows Store deaktivieren, Apps anpassen
• Windows 10: Cortana deaktivieren
• Windows 10/11: Suche nur lokal
• Server2016: ggf. Defender deinstallieren
• Windows 8/10/11: Telemetrie/Datenschutz/Übermittelte Daten einschränken
• Windows 10: Numlock dauerhaft aktivieren. REGEDIT -> HKU\.Default\Control Panel\Keyboard -> InitialKeyboardIndicators = 2147483650 (Numlock aus= 2147483648)
• "Computerschutz" aktivieren, ggf. automatische VSS-Kopien einrichten
• Windows 10: ggf. Windows Sicherheit -> Virenschutz -> Ransomware-Schutz: Überwachter Ordnerzugriff = an und konfigurieren
• Windows 11: Oberfläche einrichten.
• Desktop-Symbole des Installationsbenutzers in ALL-USER verschieben.
• Userprofil des Installationsbenutzers in DEFAULT kopieren. (AppData/Roaming/Firefox/ bereinigen)
• Startmenue von Bloatware bereinigen: C:\Users\Default\AppData\Local\Microsoft\Windows\Shell\DefaultLayouts.xml - leer machen
• Desktop Rechtsklick -> Anpassen -> Farben -> Akzentfarben anklicken + Haken "Titelleisten und Fensterrahmen" setzen

Neu 2020: Ventoy

ISO-Datei (ISO/WIM/IMG/VHD(x)/EFI) auf Stick schieben und Ventoy packt sie selbständig beim booten aus.

Multibootfähig, mehrere ISOs auf einem Stick. UEFI und MBR.
Bootet Knoppix und beliebige andere ISO-Cds.
Dateisystem exFAT unterstützt ISOs > 4GB

Einfach und genial: Rufus

Partitionschema und Dateisystem wählen, ISO-Datei auswählen (Windows, Linux, DOS),
Boot-Stick erstellen. Einfach und gut.

RUFUS erreicht DualBoot UEFI/BIOS durch das Laden eines eigenen NTFS-Treibers.
Der Treiber ist nicht digital signiert und funktioniert nur bei deaktiviertem SecureBoot.

Multiboot-USB-Stick unter Windows erstellen:

YUMI – Multiboot USB Creator

(Anleitung in CT 2013/3 S. 154 f.)

DOS USB-BootStick erstellen

-> Rufus, DOS-Lader ist bereits in RUFUS integriert
Startart: FreeDOS
Partitionschema: MBR
Zielsystem: BIOS (bzw.UEFI-CSM)
Dateisystem: FAT32
Beim Booten Version ohne UEFI auswählen

siehe hier: https://www.thomas-krenn.com/de/wiki/Bootf%C3%A4higen_DOS_USB-Stick_erstellen

Windows 7-8:
USB-Stick bootfähig machen

ISO-Image bearbeiten:
kostenlos mit WinISO 5.3 (bis 700 MB!!)
oder mit ISO Workshop (privat free)

Dateien aus Windows Install.WIM entfernen oder hinzufügen:
kostenlos mit NLite free

( Anleitung: Wintotal )

Setup-Stick erstellen mit Install.wim > 4 GB: siehe CT 15/2020 S.160 ff.

Microsoft SmartScreen ist ein Phishing- und Malware Filter und ist implementiert in verschiedenen Microsoft Produkten wie Internet Explorer, Microsoft Edge, Outlook.com und Windows Operating System.
Und SmartScreen wird auch an diesen unterschiedlichen Stellen einzeln verwaltet.

Alle Links werden vor dem Öffnen mit einer Datenbank bei MS verglichen und ggf. geblockt. Das ist natürlich nicht fehlerfrei und blockt gelegentlich auch erwünschte Anwendungen.

Windows 10: Unter Datenschutz / Allgemein kann man SmartScreen für Apps aus dem Microsoft Store ein/ausschalten.

Für IE7 aufwärts oder Edge wird es im jeweiligen Browser unter "Sicherheit" eingestellt.

Unter Windows 8 geht man in die „Systemsteuerung“ -> „System und Sicherheit“ -> „Wartungscenter“ ->  „Windows SmartScreen-Einstellungen ändern".

Mehrschirmbetrieb ist keine besondere Herausforderung,
Doch die Tücken liegen im Detail.

Rechner mit wechselnder Monitorkonfiguration
Verschieben von  Fenstern von aktuell nicht verfügbaren Bildschirmen oder Bereichen:

ALT + Leertaste, V, Pfeiltaste

(Edge: ALT+Leertaste, "V", ENTER, Pfeiltaste)

Unter VMWare ESXi 6 kann man jeder VM bis zu 4 Anzeigen mit der benötigten Auflösung und Speichermenge konfigurieren.
Bei entsprechender Grafik-Hardware im Host geht auch mehr.
Unter VMWare ESXi 7 kann man jeder VM bis zu 10 Anzeigen mit der benötigten Auflösung und Speichermenge konfigurieren.

Windows 10 Professional unterstützt Mehrschirmbetrieb per RDP (Haken: Alle Monitore für Remotesitzung verwenden).

Windows 7 Professional unterstützt keinen Zweischirmbetrieb per RDP!
Diese Funktion ist der Ultimate- und Enterprise-Edition bzw. Windows 7 Embedded vorbehalten.
Der Versionswechsel geht per "Anytime Upgrade" ohne Datenträger in wenigen Minuten (Internetverbindung).

Windows Server 2008R2 ff. unterstützen RDP im Zweischirmbetrieb.

Teamviewer (15) erkennt keine virtuellen Bildschirme und zeigt nur mehrere Monitore, wenn die auch physisch am Gerät hängen.

Siehe hier unter Multiple-Monitor Support:
https://blogs.technet.microsoft.com/enterprisemobility/2009/07/01/using-multiple-monitors-in-remote-desktop-session/
https://schneidr.de/2012/02/remote-desktop-mit-mehreren-monitoren/

VMWare Workstation 11 arbeitet problemlos mit Zweischirmbetrieb.
Verschiebe ich aber die VM auf einen ESXi-Host (6), geht das (auch bei Bedienung aus der VM Workstation) nicht mehr.

getestet:
• VNC (aktueller Client, Server v.4) zeigt auf 1 Bildschirm beide virtuelle BS an
• VNC Client läßt sich 2x parallel starten, 2 Server nebeneinander oder in 2 Client-Bildschirmen

Bitlocker kann verschlüsselt werden durch:
- TPM-Modul (transparent)
- TPM + PIN oder enhancced PIN
- USB-Key
- Kennwort
- RecoveryKey

Per Default verschlüsselt Bitlocker nur mit AES-128.
Per GPO kann man AES CBC 256 aktivieren. (Performance)
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung
–> «Verschlüsselungsmethode und Stärke wählen» - aktivieren
–> «Verschlüsselungsmethode für Wechsellaufwerke wählen» - AES CBC 256-Bit

Bitlocker per GPO aktivieren:
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke
–> «Konfigurieren von TPM-Systemstart-PIN» und «Require Start-PIN Bei TPM» wählen

Status abfragen: CMD-Befehl

manage-bde -status

Preboot-PIN-Abfrage aktivieren:

manage-bde -protectors -add c: -TPMandPIN

PIN ändern:

manage-bde -changepin c:

PIN-Abfrage wieder deaktivieren:

manage-bde -protectors -add c: -TPM

Bitlocker suspendieren für HD-Wartung, Bios-Updates u.ä. (Bsp. LW X):
- per GUI in Bitlocker Verwaltung: Schutz anhalten / fortsetzen
- per PowerShell: Suspend-BitLocker -MountPoint "X:"
- per PS, nur System-LW, für 1-9 Neustarts, 0= ewig: Suspend-BitLocker -MountPoint "<drive letter>:" -RebootCount <restarts>
- per CMD: manage-bde -protectors -disable X:
  oder manange-bde -protectors -disable X: -rc 5 (pausiert für 5 Neustarts)

Siehe auch: Verschlüsselung

Ext. Links:
• Administrator.de Wissenssammlung Bitlocker ,
• dateibasierter Bitlockerprotektor zu Recovery- und Supportzwecken

Update von Win7/8 auf Win10: Der Key aus Windows 7 oder 8 wird in einen Windows-10-Schlüssel umgewandelt und zusammen mit einer Hardware-ID auf Microsoft-Servern gespeichert. Für Neuinstallation nutzt man wieder den Win7/8 Key.

Keys auslesen:
• "Windows Product Key Viewer" - (free) liest nur Windows Keys aus
• "The Ultimate PID Checker"
• "Magical JellyBean Keyfinder" - (free) liest Windows-, Office- Produktkeys usw. aus (CT Notfall Windows 2022)
• "Recover Keys" (ab 29 USD), unterstützt 3000+ Programme, u.a. Photoshop CS 2-6, Windows BIOS-Keys...

Temporäres Benutzerprofil verschwindet beim Beenden der Usersitzung.

Es gibt viele dokumentierte Lösungsansätze, aber vielleicht hilft auch dieser Tip:

-> der verwendete User ist nur Domänengast.
Damit wird nachvollziehbar kein (dauerhaftes) lokales Profil angelegt.
Hinzufügen des Users als Domänenmember beendet das Problem.

- jede PE-Version kann abwärtskompatibel alle vorherigen Windows-Versionen bearbeiten

- Aufruf der PE-Eingabeaufforderung mit [SHIFT - F10]

- unter PE besitzt man SYSTEM-Rechte

- Powershell und NET Framework fehlt

- ausführbare Programme in x:\windows\system32\

- GUI für Kopieren / Umbenennen / Löschen bietet "Öffnen"-Dialog von notepad.exe

- 32-bit PE startet nur 32-bit Programme, 64-bit PE nur 64-bit Programme

- Netzwerk initialisieren:

wpeutil initializenetwork

- Firewall aus / ein schalten:

wpeutil disablefirewall / enablefirewall

- Treiber laden:

drvload e:\Treiber\treiber.inf

- Bitlocker Laufwerk entsperren:

manage-bde -unlock c: -pw

Wenn Windows die Zugangsdaten für eine Freigabe (NAS, PC..) gespeichert hat, kann man zukünftig ohne Passworteingabe auf diese Freigabe zugreifen. Das unterwandert aber häufig das Sicherheitskonzept.

Abfrage aller im Windows hinterlegten Zugangsdaten:

cmdkey /list

Löschen von hinerlegten Zugangsdaten:

cmdkey /delete:<Ziel>

SA - Software Assecurance

Windows Desktop-Versionen und Servicelaufzeiten

LTSB und LTSC Versionen besitzen keinen Microsoft Store und keine Apps.
AppStore nachinstallieren nach dieser Anleitung: https://www.youtube.com/watch?v=NcvRut5SPZ8

Windows Version und installierte Features abfragen mit DISM: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1334

Windows Version mit Powershell abfragen: get-computerinfo

Programme auf Netzlaufwerken lassen sich in Windows 7 - 10 nicht an die Taskleiste anheften.

Einzige mir bekannte Lösung:
- Programmdatei lokal auf den PC kopieren
- Verknüpfung in Taskleiste anlegen
- Verknüpfung editieren auf Ziel im Netzwerk
- lokale Kopie wieder löschen

• Windows Protokollierung von Hoch- und Herunterfahren.
Ereignisprotokoll: Anwendungs- und Dienstprotokolle / Microsoft / Diagnostics-Performance / Betriebsbereit
  ID 100er - Hochfahren
  ID 101 - Anwendung hat den Start verzögert
  ID 102 - Treiber hat den Start verzögert
  ID 103 - Dienst hat den Start verzögert
  ID 106 - Windows Hintergrundoptimierung
  ID 107 - GPO Computer
  ID 108 - GPO User
  ID 109 - Hardware-Initialisierung
  ID 200er - Herunterfahren, 201 - 209 wie oben.

• Sysinternals ProcessMonitor
- Auflisten aller Prozesse, die länger als z.Bsp. 1 sek. dauern.
  Filter: Duration ... is more than ... 1 sek
- Anzeige .. Spalte "Duration" einblenden, hilfreich ist "Image Path" und "Command Line".

Junktions (symbolische Verknüpfungen)
Bsp: "C:\Dokumente und Einstellungen" -> "C:\Users"
Der direkte Inhalt ist für den Zugriff gesperrt, damit Programme den Inhalt des verknüpften Ordners nicht zweimal zählen.
Der Zugriff auf Inhalte wie "C:\Dokumente und Einstellungen\[Benutzername]\" funktioniert.
• Anzeigen mit "Junctions" von Sysinternals oder CMD, Powershell.
• Bearbeiten mit CMD: mklink.

Bessere Ergebnisse als der Explorer zeigt CMD.
dir /as

Vollständigen Ordnerinhalt anzeigen geht am Besten mit der Powershell.
dir -force

Ist die aktuelle Umgebung "Als Administrator" gestartet?

@echo off
whoami /groups | find "S-1-16-12288" > nul
if not errorlevel 1 {
color 47
}

• Abfrage der möglichen Farben (Hintergrund+Schrift): color /?
• "If not errorlevel 1" prüft, ob der Wert gleich oder größer ist. Abfrage "if errorlevel 0" wäre also sinnlos.
• SID oben bedeutet "Hohe Verbindlichkeitsstufe", d.h. Start "als Administrator".

Liste aller bekannten Gruppen- und Systemuser- SIDs:
https://support.microsoft.com/de-de/help/243330/well-known-security-identifiers-in-windows-operating-systems

Hier findet man alle Dienste:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Dienste können hier bearbeitet/umbenannt oder gelöscht werden.

Startart in Wert "Start":
0 = Boot
1 = System
2 = Automatic
3 = Manual
4 = Disabled

Wenn man mit einem Tablet einen PC fernsteuert, wird manchmal beim Klick in ein Eingabefeld keine Bildschirmtastatur eingeblendet.

Abhilfe: Bildschirmtastatur mit [WINDOWS-Strg-O] oder [osk.exe] starten.

Im Tablet-Modus (aktivierbar unten rechts im Infocenter) wird die Bildschirmtastatur rechts im Infobereich der Taskleiste angezeigt.

Kommandozeilentool (Eingabeaufforderung und Powershell) zum Bearbeiten von Images, seit Windows 7, Funktionsumfang wurde in jeder Version weiter entwickelt.

Tip: 7-Zip kann WIM-Dateien öffnen.

Informationen über den Inhalt eines Images (Indexnummer, Beschreibung):

DISM /Get-Info /Imagefile:D:\Sources\Install.esd

Informationen über den Inhalt der Datei mit Index=5 aus dem Image (Beschreibung, Größe, Architektur, Sprache...):

DISM /Get-Info /Imagefile:D:\Sources\Install.esd /Index:5

Fehler in Systemdateien suchen und beseitigen:

Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /RestoreHealth

Bei Fehlermeldungen bei o.g. Befehl:
Mount Windows Server 2016 ISO as a drive (E: im Beispiel)
Run dism /online /cleanup-image /restorehealth /source:WIM:E:\sources\install.wim:1 /limitaccess

DISM offline aus WinPC Kommandozeile, wenn das System nicht mehr läuft:
(siehe auch deskmodder.de)

Dism /Image:e:\ /Cleanup-Image /RestoreHealth /source:esd:C:\install.esd:1 

Image (Index 5) auspacken. ESD-Dateien lassen sich nicht bearbeiten.
ESD in WIM konvertieren:

DISM /Export-Image /SourceImageFile:E:\Sources\Install.esd /SourceIndex:5 /DestinationImageFile:E:\Sources\Install.wim /Compress:max

WIM entpacken, Mounten:

DISM /Mount-Image /Image-File:E:\Sources\Install.wim /Index:1 /MountDir:G:\Mount

Das entpackte Image kann im Explorer bearbeitet werden (Default Profil, Treiber, Hintergrundbild, Programme, Apps.. hinzufügen/löschen)

Überblick über alle eingebundenen Images:

DISM /Get-MountedWimInfo

Falls hier nicht mehr gültige Images angezeigt werden:

DISM / Cleanup-MountPoints
DISM / Cleanup-Wim

WIM packen, Dismounten:

DISM /Unmount-Image /MountDir:G:\Mount /Commit

/Discard statt /Commit verwirft die Änderungen.

Apps auflisten/deinstallieren

Das funktioniert am aktiven Windows oder bei einem Image.
1. Image einbinden (/Mount-Image..) z.Bsp. nach G:\Mount
2. Überblick über Apps verschaffen (Ausgabe in Datei)
DISM /Get-ProvisionedAppxPackages /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-ProvisionedAppxPackages /Online
3. betreffende App suchen, bsp. "Microsoft.MicrosoftSolitaireCollection"
4. App löschen, bsp.
DISM /Remove-ProvisionedAppxPackage /Image:G:\Mount /PackageName:Microsoft.MicrosoftSolitaireCollection_4.4.8204.0_neutral_-_8wekyb3d8bbwe
Wenn App aus der Online-Version gelöscht werden soll, "/Image:..." durch "/online" ersetzen.
5. Image mit /Commit dismounten

Windows Version ermitteln
Abbildversion (Bsp: 10.0.19043.1766) und aktuelle Edition (Bsp: Professional)

dism /online /get-currentedition

Treiber auflisten/deinstallieren

Ablauf wie bei Apps, nur statt /Get-ProvisionedAppxPackages
DISM /Get-Drivers /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-Driver /Online

Treiber löschen
DISM /Remove-Driver

Treiber hinzufügen
DISM /Add-Driver

Windows "Fähigkeiten" auflisten/deinstallieren

Ablauf wie bei Apps, nur
DISM /Get-Capabilities /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-Capabilities /Online

Windows Updates auflisten/deinstallieren

Ablauf wie bei Apps, nur
DISM /Get-Packages /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-Packages /Online

Windows Features auflisten/deinstallieren

Ablauf wie bei Apps, nur
DISM /Get-Features /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Online /Get-Features /Format:Table

DISM in der Powershell: https://docs.microsoft.com/de-de/windows-hardware/manufacture/desktop/use-dism-in-windows-powershell-s14?view=windows-11

Move Mouse aus MS AppStore
https://www.microsoft.com/de-de/p/move-mouse/9nq4ql59xlbf#activetab=pivot:overviewtab

WINSERV von Sw4me (free, open-source, funktioniert gut)
Installiert Programm als Dienst mit Name, Beschreibung, Parametern.
http://www.sw4me.com/wiki/Winserv

Zertifikate: certmgr.msc (lokaler Computer!)
  (ggf. mmc.exe aufrufen, Zertifikate -> lokaler Computer hinzufügen)
Zertifikatserver: certsrv.msc
Zertifikatsvorlagen: certtmpl.msc
Zertifikat manuell erneuern: certutil -pulse
DC Zertifikate prüfen: certutil -DCinfo

Zertifikatsvorlage anpassen: Zertifikat duplizieren,
  Kompatibilität anpassen, Name sinnvoll setzen, Gültigkeitsdauer

Neues Zertifikat anfordern: von Ihnen konfiguriert, Zertifikatregistrierung: Status: Nicht verfügbar: Antragsteller korrigieren, besonders E-Mail raus

AD Zertifikat als PEM exportieren: Unter Windows wird die Verschlüsselung von PEM-Zertifikaten als Base-64-codiertes X.509 (.CER) bezeichnet. 

Zertifikatstelle sichern:

• CA-Server certsrv.msc aufrufen, CA -> Alle Tasks -> CA sichern
• Backup AD CertServer RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc
  (enthält Konfiguration der CA, darunter die CRL- und AIA-Speicherorte)

Zertifikatsstellen-Webregistrierung
Hier kann man das aktuelle Zertifikatstellenzertifikat und die Zertifikatskette downloaden.

http://localhost/certsrv

Anleitung AD Zertifikatsdienst: https://sid-500.com/2017/03/31/active-directory-zertifikatsdienste-teil-1-installation-einer-enterprise-root-ca/

Eigene AD Zertifikatsvorlage erstellen: https://sid-500.com/2017/04/01/active-directory-zertifikatsdienste-teil-3-eigene-zertifikatsvorlagen-erstellen/

AD Zertifikatserver auf neuen Server migrieren: https://www.windowspro.de/brandon-lee/active-directory-zertifikatdienste-einen-neuen-server-migrieren

AD Zertifikatsvorlage erstellen und aktivieren
https://www.tecchannel.de/a/active-directory-client-zertifikate-teil-1-zertifikatvorlagen,1739816,5

AD Zertifikate anfordern
https://www.tecchannel.de/a/active-directory-client-zertifikate-teil-2-anfordern-von-zertifikaten,1740097

Das war für mich hilfreich:
https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/

Zertifikate über AD, Subjekt Alternative Name Zertifikate für mehrere Server
https://www.windowspro.de/wolfgang-sommergut/san-zertifikate-ausstellen-ueber-active-directory-ca

OpenSSL Selfsign Zertifikate (Bsp. für Apache)
https://wiki.manitu.de/index.php/Server:Selbst-signiertes_SSL-Zertifikat_erstellen/erzeugen

Eigene AD Zertifikatsvorlage erstellen: https://sid-500.com/2017/04/01/active-directory-zertifikatsdienste-teil-3-eigene-zertifikatsvorlagen-erstellen/

Volumes können bis 4 GB groß sein.

Die max. Dateigröße ist 2 GB.

Domänen werden nicht unterstützt.

Windows 7/8 unterstützt FAT, kann aber nur auf NTFS installiert werden.

FAT in NTFS konvertieren:

Umwandeln ohne Neuformatierung oder Datenverlust:
CONVERT <LAUFWERK>: /FS:NTFS

Volumes von 512 MB bis 2 TB.

Die max. Dateigröße ist 4 GB.

Windows XP kann nur FAT32-Volumes bis 32 GB formatieren.

Domänen werden nicht unterstützt.

PCs im UEFI-Modus booten nur von Fat32.

Volumes größer als 2 Terabyte sind möglich.

Die Dateigröße wird lediglich durch die Größe des Volumes begrenzt.

Kann nicht auf Disketten verwendet werden.

Domänen + Berechtigungen werden unterstützt.

ab Windows NT

SSD halten ihre Daten ohne Stromversorgung maximal 2 Jahre.
Das sollte man beim Speichern auf externe SSD beachten.

MBR:
 1.Partition: BOOT, 350MB (Bootdateien und Wiederherstellungssystem)
 2.Partition: Windows-NTFS

UEFI:
 1.Partition: SYSTEM, 350MB, FAT32 (Wiederherstellungssystem)
 2.Partition: ESP, 100MB (EFI System Partition, Boot-Dateien)
 3.Partition: MSP, 120MB (MS reserviert)
 4.Partition: Windows-NTFS

Aufzeichnungsverfahren:

• SMR - Shingled Magnetic Recording
  - speichert die Daten sehr dicht auf überlappenden Bahnen
  - verringerte Geschwindigkeit beim Ändern gespeicherter Daten teils erheblich
    (ungeeignet für häufig wechselnde Inhalte)
  - wird für preisgünstige Modelle eingesetzt
• CMR - Conventional Magnetic Recording
  - teurer, schneller

2014: Neue Festplatten mit 4kB-Sektoren werden nicht von Windows vor Version 8.1 oder Server 2012R2 als Bootlaufwerke unterstützt, ebenso nicht von MacOS.
Sie laufen nicht mit Intel RST-Treiber iastor.sys, etlichen SAS-Controllern und diverser systemnaher Software.

Win2000 und XP können in der ersten Auslieferungsversion nicht mehr als 128 GB pro Festplatte adressieren! Für größere Platten muß bei Windows 2000 mindestens das SP3 installiert sein (SP3 aktualisiert die ATAPI.SYS). Bei Windows XP muss man entweder die Registrierung editieren oder das min. SP1 installieren.

Außerdem ist das gewählte Datenträgerformat entscheidend:

► Windows Partitionen:
MBR: 4 Partitionen
GPT: 128 Partitionen

► Maximale Partition- und Fesplattengröße:
MBR: 2 TByte
GPT: 18 ExaByte

Windows ME /Win98: maximal 128 GB pro Festplatte.

gängige BIOS-Beeps, POST Codes u.a. : www.bioscentral.com

BIOS Kompendium: www.bios-info.de

SIPP die ollen 8-bit Dinger mit Beinchen
SIMM (PS/2) (Single In-line Memory Modul) - eine Kontaktreihe. Zugriffszeit: 60 .. 70 ns.
72-polig -> 32-Bit (im 64-bit Pentium paarweise!).
30-polig -> 8-Bit (alt: 4x gleiche Mudule für 32-bit CPU).
- FPM (FastPage) -schneller als DRAM
- EDO (Extended-Data Output DRAM) -schneller als FPM.
DIMM (Dual In-Line Memory Modul) - 64-Bit, 168-polig (2x84), 2 Kerben (nach Pin 10 und 40), zwei Kontaktreihen. Zugriffszeit typisch 8..12 ns
- EDO (alt und lahm) oder SDRAM- Bestückung
- SO-DIMM (Small Outline DIMM) - für Notebooks. 72-polig (32-bit) oder 144- polig (64-bit)
Gängig: PC-66, PC-100, PC-133 für 66, 100 und 133 MHz Bustakt.
DDRAM (Double Data RAM) - 184-polig (2x92), 2.5V / 2.6V, 1 Kerbe, doppelte Datenrate gegenüber SDRAM
Gängig: DDR200, 266, 333[PC2700] (2.5V+/-0.2V), DDR400[PC3200] (2.6V+/-0.1V).
RDRAM (RIMM) (Rambus Dynamic RAM) - 1 Kerbe (nach Pin46), Metallkappe, schneller als DDRAM, teuere Insellösung. Gängig: PC600, PC711, PC800, PC1066, PC1200, PC1333. Jeder freie Slot muß terminiert sein.
DDR2, 1.8V, 1 Kerbe, 240-Pin, doppelte ext.Bandbreite, geringerer Energieverbrauch gegenüber DDR, leere Slots müssen ggf. terminiert sein.
Gängig: DDR2-400[PC2-3200], DDR2-533[PC2-4200], DDR2-667[PC2-5300], DDR2-800[PC2-6400]. Auch als ECC oder S0 (200 Pin) für Notebook.
DDR3, 1.5V, 1 Kerbe (andere Pos. als DDR2), 240-Pin
Gängig: DDR3-1066MHz, DDR3-1333MHz, DDR3-1600MHz. Auch als ECC oder S0 (204 Pin) für Notebook.

Weiter Infos: Kingston

AGP funktioniert erst ab Win95C mit USB-Unterstützung und DirectX ab V.5!

Intel AMT ist ein Bestandteil der vPro-Plattform und nur in Q-Chipsätzen verfügbar.

Remote KVM geht nur mit Q57- (Desktop-PCs) oder QM57-Chipsatz (Notebooks) mit vPro-tauglichem Doppelkernprozessor mit integrierter Grafik.

Über LAN geht der Zugriff auch im Soft-Off (S5) oder Standby (S1, S3, S4). (im WLAN nicht)

Webzugriff: AMT lauscht auf TCP Port 16992 (http://192.168.x.x:16992).

User= admin

KVM Zugriff mit RealVNC Viewer oder TightVNC. (TCP-Port 5900 unverschlüsselt sowie „Redirected Ports“ 16994 (unverschlüsselt) und 16995 (TLS Zertifikat verschlüsselt), Connection Mode= „Intel AMT KVM“.

Lifecycle Controller-Update

FTP-Server: Adresse: ftp.dell.com. Keine Anmeldeinformationen. Ggf. Dateipfad: catalog. VERALTET
HTTP/S-Server: Adresse: downloads.dell.com. Ggf. Dateipfad: catalog.
USB: muß Fat32 sein.

Download startfähiger ISO-Dateien zum Aktualisieren für PowerEdge Server

iDrac Standardzugang: root / calvin

- Anmeldung im IE schlägt öfter fehl. Manchmal läuft der IE aber dann besser.
- Link im IE zur vertrauenswürdigen Zone hinzu fügen!

iDRAC neu starten, wenn sie hängt: auf dem Server anmelden, CMD-Fenster öffnen und dort den Befehl: „racadm racreset“ absetzen.

- Firefox: Zertifikat "DELL iDrac" löschen! Alle Server haben das gleiche Zertifikat, das blockt FF ab.

* You must disable the Enhanced Security Mode in Internet Explorer for the
  Java-based virtual console and virtual media plug-in to function properly.
  Else, specify the ActiveX plug-in in the iDRAC6 configuration instead of Java.
  In addition, you must add the iDRAC6 Web URL to the Intranet security
  zone only. Also, this zone settings must be Medium-Low or lesser, for the
  control to function properly.
* To successfully launch Virtual Media, make sure that you have installed
  a 64-bit JRE version on a 64-bit operating system with 64-bit browser or a
  32-bit JRE version on a 32-bit operating system with 32-bit browser. iDRAC6
  does not support 64-bit ActiveX versions. Also, make sure that for Linux,
  the compat-libstdc++-33-3.2.3-61 related package is installed for launching
  Virtual Media. On Windows, the package may be included in the .NET framework
  package.
* When the SSL encryption strength is set to "168-bit or higher" or "256-bit or
  higher" and a downgrade is performed to firmware version 1.97 or lower, the
  encryption strength  defaults to Auto-negotiate. After this if you upgrade
  the firmware to version 1.98, the encryption strength is set to the previously
  set "168-bit or higher" or "256-bit or higher" value. 

Gute FAQ: https://faq.hosteurope.de/?cpid=11831

Bildschirm optimal einstellen: www.werbefoto.at

Telefonnummer: 069 / 979-22064

http://www.dell.com/learn/us/en/04/campaigns/regional-contacts-us?c=us&l=en&s=bsd&redirect=1

Stecker

Einfacher Test für lokale Laufwerke in der DOS-Box.

Alle Tests (LW C):
winsat disk -drive c


Lesegeschwindigkeit LW C:
winsat disk -seq -read -drive c

Schreibgeschwindigkeit LWC:
winsat disk -seq -write -drive c

Übliche Geschwindigkeitswerte
Festplatten (seq. lesen) > 110 MB/s (SATA) ... 550 (SAS RAID) ... 5.000 MB/s (VM)
Festplatten (seq. schreiben) > 130 MB/s (SATA) ... 430 MB/s (SAS RAID) ... 1.500 MB/s (VM)
SSDs (seq. lesen) > 400 MB/s ... 500 MB/s
SSDs (seq. schreiben) > 200 MB/s ... 500 MB/s

Erfolgreich getestet in: Windows 7 - 8.1 - 10 Pro, Server 2016.

Geht nicht in Server 2008R2 - 2012 - 2012R2.
Bei diesen System einfach WinSAT.exe und WinSATAPI.dll von C:\Windows\System32 eines o.g. Systems holen, ggf. "regsvr32 C:\Windows\System32\WinSATAPI.dll" ausführen.

Default IP bzw "Notfall-IP" 169.254.1.1 geht immer!
Auch wenn das Gerät auf eine ander IP konfiguriert wurde.

Das Default-PW der Box steht auf der Geräteunterseite.

Auf Werkseinstellung können die Geräte nur über die GUI oder per Telefon gesetzt werden.
Geben Sie am Telefon #991*15901590* ein.
An WEB-GUI: Kennwort vergessen, Werkseinstellung.

Fritzbox als Modem im Bridgemode
(ein LAN-Interface steuert direkt das Modem, ohne NAT)
* Menue Bridgemode einblenden über Sicherungsdatei:
https://www.youtube.com/watch?v=yYzLLYQOGMA

https://emil.network/netzwerk/fritzbox-als-modem-nutzen/

Im Bridgemode ist Telefonie, WLAN, DECT der Fritzbox nicht nutzbar!

So soll auch die Telefonie der Fritzbox (als Modem) funktionieren:
https://www.ip-phone-forum.de/threads/fritzbox-als-dsl-modem-und-gleichzeitig-telefonie-klappt-bei-7490-warum-nicht-bei-7590.306556/

Plan-B:
Fritzbox als "Exposed Host" routet alle Ports an den innenliegenden Router weiter.
Doppel-NAT!

• VPN Fritzbox zu Lancom Router:
  *https://support.lancom-systems.com/knowledge/display/KB/Konfiguration+einer+VPN-Verbindung+%28IKEv1%29+zwischen+einem+LANCOM+Router+und+einer+FRITZ%21Box
  *https://www.benjaminluebbe.de/pages/it-hilfethemen/netzwerk/vpn/lancom-und-fritzbox.php
• VPN Fritzbox mit NCP/Lancom Client: https://www.flatbox.org/vpn-mit-einer-fritzbox-einrichten/
• VPN Fritzbox zu Mikrotik: https://administrator.de/content/detail.php?id=635735&token=354#comment-1502505
• VPN Fritzbox zu Windows mit ShrewSoft Client: https://avm.de/service/vpn/tipps-tricks/vpn-verbindung-zur-fritzbox-mit-shrew-soft-vpn-client-einrichten/
• VPN Fritzbox zu Windows mit AVM Fernzugang:
  *https://avm.de/service/vpn/praxis-tipps/vpn-verbindung-zur-fritzbox-unter-windows-einrichten-fritzfernzugang/
  *https://ekiwi-blog.de/7936/fritzbox-vpn-in-windows-einrichten/

FritzBox Tools
- Checksum der Konfig berechnen / nach Änderungen aktualisieren
- Entschlüsseln der Konfig
- Kennwörter überschreiben...
https://www.mengelke.de/Projekte/FritzBox-JSTool

Default IP: 192.168.1.1
(bei Dreammachine, DM Pro, Security Gateway, SG Pro)

Default IP: 192.168.1.8
(bei Cloudkey, Cloudkey Pro)

Für Ersteinrichtung per Bluetooth (Handy-App) oder LAN (Browser) ist ein Ubiquiti-Account erforderlich!
Ubiquiti Username darf nur aus Kleinbuchstaben bestehen.
Nach der Einrichtung kann man die Online-Konfig durch den Ubiquiti-Account wieder deaktivieren.

Default SSH PW für Geräte, die noch nicht administriert wurden: ubnt / ubnt oder root / ubnt.

Abhängigkeiten:

PoE

Alle AP lassen sich per PoE speisen, aber mit verschiedenen Standards!
Teilweise wird sogar PoE passiv und teils aktiv genutzt.
Bei den 5-er Packs liegt kein PoE-Injektor bei, bei den Einzelgeräten schon.
Nicht alle PoE-Injektoren unterstützen 1GB Datendurchsatz.

Unifi WLAN Accesspoints

• Preisgünstig und leistungsstark
• keine eigene Weboberfläche,- Konfiguration nur über kostenlose Controller-Software, Hardware-Controller oder App.
• arbeiten als Layer-2 Bridge, IP + DHCP kommt vom vorherigen LAN
• per Default mit dynamischer IP. Besser statisch setzen.
• bis 4 SSIDs je AP
• Ländereinstellungen bestimmen auch WLAN-Sendeleistung!
  In Deutschland ist die Sendeleistung auf 100 mW (20 dBm) begrenzt, während in den USA bis zu 1000 mW (also dem 10-fachen) erlaubt sind.
• Sendeleistung kann zentral über die Ländereinstellungen (Auto-Mode) oder für jeden AP manuell in Custom konfiguriert werden.

SSH Device (AP) Reset + neu in Controller einbinden:

- Run "sudo syswrapper.sh restore-default"
- Wait until the device reboots
  (Werkseinstellung mit Default Passwort)
- SSH into the device again and 
- Run: "set-inform http://ip-of-controller:8080/inform"

Unifi Controller

• kostenlose Software für Windows, Linux und macOS zum Konfigurieren von Unifi-Komponenten wie Switch, Routing, Firewall, WLAN
• als Hardware in verschiedenen Ausführungen verfügbar, sinnvoll für Dauerbetrieb, Monitoring und Statistik (Clod-Key, Dreammachine)
• AccessPoints und Managed Switche haben keine WEB-Oberfläche und werden nur über den Controller administriert.
• Controller muss laufen für Hotspot/Gästenetzwerk, sonst nicht.

• Controller lässt sich immer über Port 8443 erreichen. (https://IP-DES-CONTROLLER:8443/)
• Controller wechsel über Backup bei gleicher FW-Version.
Schlägt das fehl, dann per SSH (set-inform http://IP-DES-NEUEN-CONTROLLER:8080/inform) Hardware neu bekannt machen.

UniFi Dream Machine Pro

• 8-Port Switch, Full Managed, mit 1x SFP+
• Unifi Controller
• Security Gateway (Firewall, Thread Management, Geolocation, detaillierte Traffic-Protokollierung..) mit 1x SFP+
• Protect Videorecording, Gesichtserkennung, VMotion

Konfiguration per Bluetooth-App oder per Browser (über LAN-Port per DHCP-Adresse oder Default IP=192.168.1.1).

SSH Login (SSH in GUI aktivieren, SSH Username= root):

$ ssh unifi
# mca-cli  - startet CLI
$ set-inform http://[IP]:8080/inform  - liest Hardware neu ein

SSH Live-LOG, aktualisiert sich:

tail -f /var/log/messages

Ubiquiti UniFi AC PRO
Art. UAP-AC-PRO

günstige 3-er Pack und 5-er Pack, ohne PoE-Injektor
Einzelverpackung mit PoE Gigabit Adapter 48V, 0.5A
Unterstützt PoE: 802.3af PoE / 802.3at PoE+ (aktiv), Leistungsaufnahme max. 9W

Backup in der GUI konfigurierbar.
CloudKey: SD-Karte

Netzwerke
- vorhandenes LAN als Management-LAN belassen, Änderungen führen ggf. zu Fehlern.
- eigenes LAN neu hinzu fügen.
- Switchports können LANs zugewiesen werden mit VLAN, DHCP.
- einzelnen Ports kann eine feste IP aus dem DHCP-Bereich zugewiesen (reserviert) werden.
- Geräte können Name (Alias) und Symbolbild bekommen (Falsches Symbolbild melden, Bild aus Liste wählen).

WLAN
Band-Steering: "5 GHz bevorzugen" oder "Ausbalanciert" (für jeden AP einstellen).

Gästeportal
- Logo als PNG, 400 x 400 pix, transparent

VLAN
Unifi arbeitet bei den Port Profilen mit TAGGED VLANs und bei Netzwerken mit UNTAGGED VLANs.
Man kann auf einem Port über Switch-Profile mehrere VLANs taggen und max. 1 VLAN untagged konfigurieren.
Profil "All" entspricht UNTAGGED und VLAN1. Sinnvoll für Uplinks bzw. unkonfiguriert.
Das Native Netzwerk ist das UNTAGGED Netzwerk des Ports (entspricht PVID bei Netgear) und wird nicht nach außen übertragen.
Jeder Port hat (bei Unifi) nur ein UNTAGGED Netzwerk.

Bsp.1: Switch aufteilen
- gewünschte Ports in separates (natives, ungetaggtes) VLAN

Bsp.2: Switch aufteilen, ein Port erreicht aber mehrere VLANs
- gewünschte Ports in Portgruppe, die alle gewünschten VLANs (TAGGED) enthält.

UDM Firewall:
- Regeln werden von kleinen zu grossen Indexnummern abgearbeitet.
https://ubiquiti-networks-forum.de/wiki/entry/46-firewall-regeln-basis-wissen-ej/
https://help.ui.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall-How-to-Disable-InterVLAN-Routing

Übersicht der UniFi - Produktlinien:
https://help.ui.com/hc/en-us/articles/360050130353-UniFi-UniFi-Overview

Übersicht der Switche und AccessPoints, Kameras usw. sowie deren PoE-Standards:
https://help.ui.com/hc/en-us/articles/115000263008-UniFi-Supported-PoE-Output-and-Input-Modes

UniFi Controller Passwort zurück setzen
(ggf. erforderlich nach Backup und Restore, das zerschiesst gerne alle Benutzer)
https://gist.github.com/AmazingTurtle/e8a68a0cbe501bae15343aacbf42a1d8

APC Back-UPS erlauben keinen Akku-Tausch mehr!
Nur mit Vorsicht kaufen.

APC Back-UPS BX - BX500CI - Akkuwechsel nur in der Fachwerkstatt, Wechselakkus sind aber bei Battery-Direct verfügbar. Der Akku kostet ungefähr das Gleiche wie das ganze Gerät.

8-Stunden-Strommessung an einem Büro-Arbeitsplatz

Intel Core-i5-8400
mit TFT-Bildschirm 20"

Mittlere Stromaufnahme in Betrieb: 55 Watt
PC aus (WoL aktiv), Monitor in Standby: 14 Watt

CPU-Z - aktuelle Prozessorwerte, Stresstest  (u.a. in CT Notfall Windows)

Prime92 - Prozessortests, Stresstest, auch für einzelne Kerne (u.a. in CT Notfall Windows)

Windows Speicherdiagnose - startet Windows neu und testet RAM (Suchen: Speicherdiagnose, u.a. in CT Notfall Windows)

Speccy - allg. Hardware-Info, SSD Überblick über Hardware und Laufwerke (u.a. in CT Notfall Windows)

SSD-Z - SSD Lesebenchmark  (u.a. in CT Notfall Windows)

HD-Tune - liest SMART-Diagnosedaten von Festplatten aus, wichtig: "Reallocated Sector Count", simpler Benchmark und Oberflächentest (u.a. in CT Notfall Windows)

HDSentinel - analysiert Festplatten (u.a. in CT Notfall Windows)

HDTestw - prüft Integrität von Speichermedien (USB-Sticks)  (u.a. in CT Notfall Windows)

• VPN Preshared Key darf keine Sonderzeichen enthalten
• während der Konfiguration: Debug-Mode der IPSec-Verbindung auf "control-more" stellen
• Mobilfunk verbunden: in "Mobile WAN" steht unter Connection Log: "(1st SIM card) Connection successfully established."
• VPN verbunden: im System-Log steht "establishing CHILD_SA ipsec2-1"
• Network -> tun0: OpenVPN -Tunnel Schnittstelle
• Network -> usb0: Mobile Netzwerk-Verbindung
• Zertifikate und private Schlüssel müssen im Format PEM sein. Zertifikate müssen Start- und Stop-Tags besitzen.

E2M / IEC104 Energy-Steuerung Pholtaikanlagen

• Open VPN
• Port 2404 muß vom VPN-Router zum IEC-Server erreichbar sein
• VPN-Server: m2m.e2m.energy
• Encryption algorithm: AES-256-CBC (256 bit)
• DH Parameter Leght: 2048 bit
• Auth Digest Algorithm: SHA1 (160bit)
• E2M Network: 192.168.210.0 / 24

Router-Konfiguration:

• Interface-Typ: TUN
• USER-PASS.TXT in Lucom Startup-Script kopieren
• OpenVPN Eintrag erstellen:
• Protocol: UDP
• UDP Port: • 1194 für VPN010009xxxxxx, • 1195 für VPN010008xxxxxx 
• Remote IP: m2m.e2m.energy (80.64.177.239)
• Remote Subnet: 192.168.210.0
• Remote Subnet Mask: 255.255.255.0
• Redirect GW: no
• Ping Interval: 120 sek
• Ping Timeout: 30 sek
• Compression: LZO
• NAT Rules: applied
• Auth Mode: X.509 cert (multicert)
• Preshares Secret: TLSAuth.KEY hinein kopieren (2048 bit OpenVPN static key)
• CA Certificate: ca.cert
• Local Certifikate: VPNxxxx.crt
• Local Private Key: VPNxxx.key
• Extra Options: " o   --cipher AES-256-CBC --auth SHA1 --lport 0 --verify-x509-name hluvkwb02.energy2market.de name --auth-user-pass /tmp/user-pass.txt "
• speichern, Privat Key-PW eingeben

Der Router baut nun automatisch den VPN Kanal auf. Wenn der Kanal aufgebaut ist wird unter „Status – Network“ ein „tunX“ Netzwerk (x= Nummer der VPN Konfiguration) angezeigt. Sollte dieses nicht erfolgen sollte über „Status – System LOG“ geprüft werden, welcher Fehler vorliegt.
• Test mit PING auf Tunnel Client IP

Links:

• IPSec PSK Lan-Lan: https://help.lucom.de/doku.php?id=lucom:router:vpn-lcm-fortinet-ipsec
• IPSec PSK zu Lancom: https://help.lucom.de/doku.php?id=lucom:router:lancom_router_als_ipsec_server
• Konfigurationshandbuch: https://www.lucom.de/industrierouter/xr5i-v2e-lan-to-lan-vpn-router-25602-bb-xr2l000011.html?file=files/inhalte/downloads/router/config-v2-router-de.pdf

IP v4 - to - v6 Tunneladapter über Microsoft ausschalten!

Sonst hat der PC ein unkontrolliertes VPN direkt zu Microsoft.
(standardmässig in der Domain aus, sonst selbst bei abgeschaltetem IP V6 an)
netsh interface teredo set state disabled
netsh interface isatap set state disabled
- UDP Port 3544 (Teredo) in Firewall schließen!

• Shodan Suchmaschine, IP eingeben, listet offene Ports, Services mit Version, bekannte Schwachstellen. shodan.io
• Breitbandmessung der Bundesnetzagentur (Ergebnisse gehen in den Breitbandatlas ein) breitbandmessung.de
• SpeedOfMe- Speedtest ohne Flash und Java!  speedof.me
• Speedtest (DSL/UMTS/LTE), Ping, IP V4 und V6: wieistmeineip.de
• Speedtest, Ping, IP: Speedmeter.de (Flash-basiert).
• Speedtest, Ping, IP, Provider: Speedtest.net (Flash-basiert).
• Abfrage beliebiger Server im Internet (Whois, DNS Records, SpamBlacklist, Mailserver..) : network-tools.com
• dns recon & research, find & lookup dns records: dnsdumpster.com

Liste aller registrierten Ports (POP,Telnet,FTP,HTTP...) bei www.tcp-ip-info.de
oder bei Wikipedia.

IP v6 Adressformat

Die 128-bit IP6-Adresse besteht aus 3 Teilen.
Zuerst unterteilt sie sich in 64-bit Netzanteil und 64-bit Hostanteil bzw. Interface Identifier (IID).
Der Netzanteil wird unterteilt in den Provider-Anteil (üblich: 48-56 bit) und die Subnetze (meist 8-16 bit).
Mit den Subnetzen wird bei IP6 die Infrastruktur des Netzes abgebildet. (Security-Zonen wie Aktive Komponenten, Server, Büro, Prozessnetz, Fernarbeitsplätze sowie Standort-Topologie wie Etage, Gebäude)

Ein fester Provider-Anteil (Präfix) entspricht einer festen IP4-Adresse.

Der Präfix ist providerabhängig und wechselt bei Providerwechsel zwangsläufig. (Ausnahme: Provider Idependent Adressraum IPv6-PI für Multihoming)

Bei IP v6 dürfen mehrere Router als Default Gateway eingetragen werden. Damit ist einfaches Load Balancing möglich.

IP v6 Adressklassen

IPv6 Multicast Rundruf an alle aktiven Geräte: ping -6 ff02::1

Internet Verbindungstest über PING an US-Provider Sprint: ping 2000::1
PING an CT: ping -6 ct.de

IPv6 Host-ID dynamisch über Zufallszahl oder statisch über MAC
netsh interface ipv6 set global randomizeidentifiers=disabled

IP-Scans erfolgen üblicherweise über den Neightbor Cache statt.
Linux: ip -6 -r neightbor show

Ausführliche Infos über IP v6 Adressvergabe, Provisionierung usw: CT 10/2016
Redundante Internetzugänge mit IPv6: CT 12/2016 S.172ff.

Router verwenden logische (IP-) Adressen auf OSI Layer 3 zur Datenübertragung.
Ein Router kann mehrere Gegenstellen und unterschiedliche Topologien und Protokolle verbinden.
Die zu übertragenden Protokolle müssen allerdings routingfähig sein und vom Router unterstützt werden.

Hubs sind nicht mehr am Markt und sollten aus dem Netzwerk entfernt werden.
Sie bremsen den Datenverkehr auf ca. 30 MBit/s und arbeiten nur Halbduplex.

Signalregenerator auf OSI Layer 1, trennt nicht die Collision Domains.
dient zum Vergrößern der Netzwerkausdehnung,
sehr schnell, keine Datenmodifizierung
klassischer Multiport-Repeater ist der Hub.
Repeater-Regel:
Maximal 4 Repeater (10MBit/s) oder 2 Class2-Repeater (FastEthernet) dürfen zwischen 2 Stationen sein, sofern sie nicht durch Bridges, Switches oder Router getrennt sind.

Bridges erweitert das Netzwerk über die Ethernet-Begrenzung hinaus durch Trennung der Collision Domains, verwendet zur Adressierung nur physische (MAC-) Adressen auf OSI Layer 2 (Adresstabelle selbstlernend).
Eine Bridge verbindet genau zwei Netzwerke miteinander und arbeitet protokoll-unabhängig.
Klassische Multiport-Bridge ist der (Layer2-) Switch.
Bridges lesen (i.Allg.) das gesamte Datenpaket und sind langsamer als Repeater.
Sie übertragen aber nur die benötigten Datenpakete in das andere Segment, filtern defekte Pakete und erhöhen so die Datensicherheit, den Durchsatz und vermeiden Collisionen.
Bis zu 7 Bridges dürfen zwischen 2 Stationen liegen.

VLANs trennen Netzwerke auf Layer-2.

Access Control Lists (ACL) - Freigabe oder Sperrung von speziellen MAC-Adressen, IP-Adressbereichen o.a. pro Port.

RADIUS Authentifizierung (IEE 802.1x): Host muß sich am Switch authentifizieren.

Link-Aggregation fasst bei Bedarf zwei oder mehr physische Leitungen zu einer logischen Leitung zusammen (Durchsatz).

Spanning Tree Protokoll (STP) ermöglicht redundante Verbindungen zwischen Switchen oder Routern (Ausfallsicherheit).
Bei Verbindungsausfall schaltet STP automatisch auf eine Reserveverbindung.
Weiterentwicklung RSTP und MSTP ermöglichen individuelle Pfade für verschiedene VLANs.

Loop-Protection schaltet automatisch Ports ab, die zu Netzwerkschleifen führen. (Standardausstattung bei Managed Switch)

Lancom Router hinter Fremdrouter:
 - TFTP 69 bzw. TCP 443 forwarden (Zum Verwalten des Lancom von extern + ggfs. SSL VPN)
  Die Konfigurationsports (HTTPS, HTTP, SSH, TFTP) können im LC WebConfig geändert werden.

IPSec forwarden:
 - UDP 500 IKE (IPSec)
 - UDP 4500 NAT Traversal 
 - AH Protocol 50 – IPSEC phase 2 protocol (AH)
 - ESP Protokoll 51 (IP Protokoll Nummer 51, Achtung nicht TCP oder UDP 50 !)
  (sollte ESP sich nicht forwarden lassen -> udp 4500)
 - bei Verwendung von Dynamic VPN muss der UDP-Port 87 freigeschaltet werden.

Windows IPSec/PPTP Funktionalität:
  - PPTP Verhandlung = TCP 1723 (GRE wird mit diesem Eintrag automatisch weitergeleitet)
 - IKE Verhandlung = UDP 500

 - GRE General Routing Encapsulation (Protokoll 47)
 - ESP Encapsulating Security Payload (Protokoll 50)

Bei Zugang des VPN-Clients über Router muß "VPN Passthrough für IPsec (IKE,ESP)" im Router aktiviert sein. (= NAT Traversal)

Weitere Netze über VPN-Tunnel routen:

Bsp.: Lan-A - LAN-B --VPN-- LAN-C
- Routing einrichten (logisch).
- Lan C muß wissen, dass LAN A über LAN B erreichbar ist.
- LAN A muß wissen, dass es LAN C über LAN B erreicht.

Firewall-Regel auf VPN-Router LAN B:
- "Regel wird zur Erzeugung von VPN-Regeln heran gezogen".
- Aktion = "Accept".
- Verbindung von Station: LAN A
- Verbindung zu Station: VPN-Gegenstelle

T-Mobile: User: tm (egal), PW: tm, DNS: 193.254.160.1, Einwahlnr.: *99#, APN: internet.telekom, internet.t-mobile

Vodafone: User: - (egal), PW: -, DNS: 139.7.30.125 u. .126, Einwahlnr.: *99#, APN: web.vodafone.de

O2: User: - (egal), PW: -, DNS: 195.182.096.028 u. .061, Einwahlnr.: *99#, APN: internet (pinternet.interkom.de)

E-Plus: APN: internet.eplus.de

• VDSL Deutschland LAN IP Voice/Data: wie Call&Surf installieren.

• T-Online PPP-Anmeldung per DFÜ-Netzwerk:
Rufnr.= 0191011 (ohne Vorwahl!), Benutzername= Anschlußkennung Teilnehmernr. "#" Mitbenutzernr.; Kennwort= Kennwort
( Doppelkreuz nur, wenn Teilnehmernummer weniger als 12 Stellen hat. )
• E-Mail Einstellungen:
  Postausgang: SMTP Host: mailto.t-online.de / alt: mailto.btx.dtag.de
  Posteingang: POP3 Host: pop.t-online.de / alt: pop.btx.dtag.de
Nur bei Einwahl über den T-Online-Zugang erreichbar!

WOL-Tool: http://www.oette.info/ (Netzwerk-Scan,automatisch MAC-Adresse ermitteln, Scheduler)
Wake On Lan: https://sourceforge.net/projects/aquilawol/

Android: Wol Wake on Lan Wan: https://play.google.com/store/apps/details?id=com.benfinnigan.wol

WOL-Script: http://masterbootrecord.de/docs/wakeup.php oder http://www.gammadyne.com/cmdline.htm#wol

WoL im Windows aktivieren: Geräte-Manager -> Netzwerkadapter -> Eigenschaften -> Erweitert.
- „Aktivierung durch Magic Packet“ oder „Wake Up Capabilities“ o.ä. aktivieren bzw. "Magic Packet“.
- Registerkarte „Energieverwaltung“, Haken setzen „Gerät kann den Computer aus dem Standbymodus aktivieren“ und „Nur Magic Packet kann Computer aus dem Ruhezustand aktivieren“.

BIOS anpassen:
• Wake-Up-Event by: BIOS
• „Power ➞ APM Configuration“, Option „Power On By PCIE Device“ (Onboard-Netzwerkchip oder PCI-Express-Netzwerkkarte) setzen oder
• „Power On By PCI Device“ (PCI-Netzwerkkarte) auf „Enabled“
• je nach BIOS: ErP deaktivieren

WoL über VPN: Portforwarding und Firewall-Regel im Ziel-Router für Port 7 (o.a.) auf die Broadcast-Adresse des internen Zielnetzes.

WOL beherrschen auch diverse Router. (Lancom: wakeup per Telnet oder SSH, oder per TFTP)
Fritzbox: Heimnetz -> Compter ...bearbeiten -> Computer starten

Oft genügt der Windows-Netzwerktreiber nicht. Bei Intel sollten unbedingt die Hersteller-Treiber installiert sein.

Bei Windows 8/8.1/10 funktioniert WoL oft erst, wenn der "Schnellstart" (Hybridboot) in den Energieoptionen abgeschaltet wird.

Twistet Pair Kupferkabel, sternförmige Verkabelung

Bandbreite:
10Base-T - Ethernet 10MB/s,
100Base-T - Fast Ethernet 100MB/s,
1000Base-T - Gigabit Ethernet 1000 MB/s
  max. Segmentlänge: 100 m bis zum Repeater (Hub)
NBase-T - MultiGigabit
  auf Cat5e-Kabel bis ca. 50 m mit max. 10 GBit/s
  bei längeren Kabelstrecken fällt es automatisch auf 5 GBis/s oder 2.5 GBit/s zurück

Automat. Neustart per Cron-Job

do /Other/Cold-Boot - Neustart (Kaltstart) des Routers

do /Other/Boot-System - Neustart (Warmstart) des Routers

do /o/m/d T-DSLBIZ - Neustart der DSL-Verbindung

Felder Wochentage, Monatstage und Monate leer lassen, wenn dieser Befehl immer ausgeführt werden soll.
Nur Echtzeit + Abweichung + Minuten + Stunden eintragen.

DEFAULT-Parameter nicht löschen!
siehe unten VPN IPSec Lancom Tips

DNS-Auflösung und Domänenanbindung für Außenstellen über VPN-Tunnel:

- am Serverstandort:
- DNS-Server und -Weiterleitung im Router aktivieren.
- eigene Domäne eintragen,
- Weiterleitung: *.[Domäne] -> als Gegenstelle IP-Adressen der DNS-Server.

- am Außenstandort:
- DNS-Server und -Weiterleitung im Router aktivieren.
- keine eigene Domäne eintragen,
- Weiterleitung: *.[Domäne] -> VPN-Gegenstelle.

Telnet/Putty/SSH
PING vom entfernten Router senden: PING [IP-Adresse] -c 10  (-r = Traceroute-Mode) (-a a.b.c.d = setzte Absendeadresse des PING)

Events: Status->Config->Event-Log
Fehler / IDs lassen sich direkt über ID erreichen, führende 1 weg lassen (1.2.19.36.3.1.2 -> cd \2\19\36\3\1\2)
default -r setzt aktuelle Ebene und alle Unterebenen auf Defaultwerte. Bei Aufruf in der Hauptebene entspricht das beinahe einem Werksreset.
ls st/voice/call-counter - listet aktuell laufende Anrufe
ls /st/acc/curr - listet aktuelle User
dir status/vdsl/connection - zeigt DSL Verbindungsfehler

VPN Fehlersuche per SSH-Konsole:
show vpn cert - listet die vorhandenen Zertifikate
trace # vpn status  (mit "Cursor-hoch" -> "ENTER" kann man on/off umschalten)
trace + vpn packet

Mail-Benachrichtigung
In Telnet testen
- "trace + smtp" - SMTP-Trace einschalten
- "testmail <ABSENDER> <EMPFÄNGER> <AbsenderName> <Betreffzeile> <Haupttext>" - Testmail senden
* Verbindungsfehler: Kommunikation -> Aktionstabelle
mailto:mail@domain.net?subject=BETREFFZEILE_DER_MAIL(Abbruch DSL um %t)?body=INHALT_DER_MAIL DSL Verbindung gestört um %t.
  Verbindungsereignis= Ereignis Abbruch mit Fehler.
  Gegenstelle= entsprechende Gegenstelle.
* Firewall -> IDS / DoS -> E-Mail Nachricht senden

Mail hängt beim Test: Puffer löschen mit  do /Status/Mail/Clear-Buffer

Konfiguration Router hinter Router:
1. WEB-Konfiguration des ersten Routers öffnen
2. HTTP-Tunnel von diesem Gerät zu anderem Gerät im Zielnetz aufbauen

Lancom hinter anderem Router:
- Port 161 TCP+UDP forwarden für Lancom Monitor
- Port 443 TCP forwarden für Management (ggf. anpassen: Management -> Admin -> Einstellungen)

SIP von Fritzbox o.ä. über Lancom Router frei geben: Sonstige Dienste -> Dienste -> SIP-ALG aktivieren
Damit arbeitet der Router als SIP-Proxy. Der Call-Manager muß nicht aktiviert sein.

SNMP: LanMonitor nimmt AES256 mit SHA256, Benutzername root

Kapitelstruktur der LCOS-Menüreferenz
https://www.lancom-systems.de/docs/LCOS/menuereferenz/

Aktuelles Referenzmanual 10.40
https://www.lancom-systems.de/docs/LCOS/reference-manual-addendum/

Lancom FTP mit Beta, RC, Archive usw.
ftp://ftp.lancom.de/

Fernschalten von Router-Funktionen per SSH Remote von Android-Geräten:
http://firesource.de/apps/ssh-remote/
Hinterlegen der Router-Zugangsdaten, User kann definierte Aktion auslösen ohne Admin-Passworte zu kennen.
(Hotspot-Voucher anlegen, Firewall auf/zu, Rufweiterleitung... )

VPN
Lancom Router können IPSec IKE v.1 und v.2, L2TP und PPTP.
R&S Firewalls können IPSec IKE v.1 und v.2, SSL-VPN (Open-VPN)
siehe auch:
• VPN IPSec Lancom Tips: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1238
• VPN zu Android: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1120
• VPN mit Zertifikaten: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1393
• Adv.VPN Client für Windows lizenzieren: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1376
• VPN über Router hinweg: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1111

Gerät ist baugleich Bintec-Elmeg be.IP.

Default: 192.168.2.1  (admin/admin)

"Pass Through": Neue Bridge über Ethernetport (en1-4) und DSL-Port bilden.

  ADSL: ethoa35-5 (Ethernet over ATM)
  VDSL: efm35-60 (Ethernet First Mile)
Port LAN 1-4 (en1-0): Konfigurationsports auf Default IP
Port LAN-5    (en1-4): an internen Router. Der übernimmt die Einwahl.

Firmware und Handbuch: https://www.telekom.de/hilfe/geraete-zubehoer/router/weitere-router/digitalisierungsbox/digitalisierungsbox-standard?samChecked=true

Anleitung: https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-digitalisierungsbox-standard-vdsl.pdf

Der Soft-Accesspoint (AP) hat unter Windows keine GUI, ist aber mit Boardmitteln zu implementieren.

Shell-Befehl liefert umfangreiche Infos über das WLAN-Modul:

netsh wlan show wirelesscap

Wichtig ist, dass die Optionen "Wi-Fi Direct-Gerät" und "Softwarezugriffspunkt" unterstützt werden.

SSID und Passwort festlegen (Einstellung bleibt permanent erhalten):

netsh wlan set hostednetwork mode=allow ssid=[SSID] key=[Passwort]

Soft-AP ein/aus schalten (ist nach jedem Windows Neustart wieder aus):

netsh wlan start hostednetwork


Jetzt existiert eine neue Netzwerkverbindung im Netzwerk- u. Freigabecenter.

Zur Freigabe der Internetverbindung über das WLAN:
- Netzwerkkarte mit Internetzugang anklicken -> Eigenschaften -> Freigabe aktivieren.

Die Telekom setzt seit einiger Zeit SMTP-Filter zur Vermeidung von Spamversand ein.

Wenn der Mailversand nicht klappt, fehlt der entsprechende Mailserver in der Whitelist des Routers.

Main Mode - setzt feste IP auf beiden Seiten voraus
Aggressive Mode - erforderlich für dynam. IP

IP wird automatisch zugewisen (IKE-CFG, bsp. Lancom Adv.VPN-Client) oder fest:
Routing-Tabelle: VPN-Verbindung in "Router" auswählen, feste IP-Adresse (Mask 255.255.255.255)

Local ID - Peer ID
Muss auf beiden Seiten gleich (gedreht natürlich) sein.
Als ID kommt Feste-IP oder FQDN in Frage. Der FQDN muss kein gültiger Domainname sein. Lange Zeichenkette ist besser.

PSK Preshared Key - möglichst 20-30 Zeichen lang, (bei Fritzbox und Lucom keine Sonderzeichen)

phase2localid - phase2remoteid
Proxy-IDs, definieren den Subnetbereich, von und zu dem das VPN getunnelt wird. (Bsp.: 192.168.110.0/24)

PPP-Liste: Gegenstelle eintragen mit (Benutzer) + Passwort.

Aktuelle und empfohlene Parameter:
- DH-Gruppe 14
- AES-256
- SHA-256
- Lifetime = 8 Std.

DEFAULT-Einträge nicht löschen!
• VPN IKE2 Verbindungsliste:
Bei fehlendem DEFAULT-Eintrag in /Setup/VPN/IKEv2/Gegenstellen/ verarbeitet das VPN-Modul des LANCOM-Router nur einkommende IKE_SA_INIT-REQUEST's, deren Absender-IP-Adresse in /Setup/VPN/IKEv2/Gegenstellen/Entferntes-Gateway eingetragen sind (=> statische IP-Adressen) ODER für welche die Absender-IP-Adresse einer in /Setup/VPN/IKEv2/Gegenstellen/Entferntes-Gateway eingetragen DNS-Adresse entspricht (=> dynamische IP-Adresse). Vom LANCOM-Router nicht akzeptierte IKE_SA_INIT-REQUEST's werden mit der oben stehenden Fehlermeldung unverarbeitet verworfen.

DEFAULT-Eintrag in Verbindungsliste ist wichtig für alle Geräte, deren IP der Router nicht kennt (Mobilfunk, dyn. IP)!
Es werden Verschlüsselungen zugewiesen und PSK oder Zertifikat entschieden.

Konfiguration einer Fritzbox (entsprechend langsam und ohne detaillierte Filter) in CT 2017/15 S.160ff.
Die Fritzbox kann nur IPSec (IKE v.1) + neuerdings Wireguard, aber kein PPTP oder SSL.

Für zertifikatsbasierte VPN muß der Router einen gültigen FQDN besitzen.
Kontrolle der Zertifikate in SSH-Konsole mittels "show vpn cert" und "show vpn ca".

VPN siehe auch:
• VPN zu Android: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1120
• VPN mit Zertifikaten: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1393
• Adv.VPN Client für Windows lizenzieren: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1376
• VPN über Router hinweg: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1111
• Lancom Router: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1159

Lokale Sonderanwendungen von TLDs

• TCPView aus Sysinternals überwacht Netzwerktraffic
  
• NetworkTrafficView von Niersoft- überwacht Netzwerktraffic, Verbindungen und ausgehende Prozesse
• Totusoft LAN Speed Test, Installer und Portable, Lese- / Schreibtest für beliebige Netzwerkfreigabe (brauchbare kostenlose Lite-Version)
• NMap - Network Mapper, spürt Rechner, Drucker, NAS, Router und darauf laufende Dienste auf, Portscanner (u.a. in Kali Linux)
• IoT Device Default Password Lookup: https://www.defpass.com/
• Shodan Computer-Suchmaschine (sucht Dienste, SCADA-Systeme): https://www.shodan.io/
• E-Mail Server auf Blacklists und Konfiguration testen: mxtoolbox.com

Downloads Hacker-Tools und Infos: ct.de/ygg5

Kali Linux enthält viele nützliche Hacking Tools,
USB-Stick erstellen - Anleitung in CT 2021/23 S.30 ff.
Download: ct.de/ypk1

Hersteller: Gateprotect, Rohde & Schwarz Cybersecurity, Lancom Systems

Typen: UF-50 (1-10 User, keine UTM-Funktionen), UF-100 (5-30 User),
UF-200 (5-30 User) ... UF-900 (100-500 User)
auch als Virtual Appliances

Grundsätzliches:
* Alle (je nach Modell: 4...) Ports lassen sich beliebig als LANs oder WANs konfigurieren.
* Jede Aktion in der intuitiven Web-Oberfläche muß mit "Activate" aktiviert werden.
- Button blau ist nicht aktiviert.
* Gerät läuft im 30 Tage Testmodus mit allen Funktionen. Ohne Lizenz kann keine Konfiguration gespeichert werden, aber importiert. Nach Werksreset beginnt der Testzeitraum neu.
* Regeln des Netzwerks werden auf untergeordnete Hosts oder Bereiche vererbt, dort können aber abweichende Regeln festgelegt werden.

Grundkonfiguration:
* Konfiguration per Default über ETH1, IP= https://192.168.1.254:3438
* Zugang: admin / admin, Passwort festlegen
* 1.LAN an ETH1 konfigurieren: Network / Connections / ETH1 benennen, IP festlegen (Mask im selben Feld!)
* Internetzugang einrichten. Network / Connections / ETH0 benennen, IP (+Mask) festlegen
- WAN: Default Gateway aktivieren, IP eingeben
- Network / DNS: ggf. DNS-Server hinterlegen
- Firewall / Time Settings: NTP-Einstellungen vornehmen
* Test: unter Diagnostic / Traceroute sollte jetzt eine Internetverbindung funktionieren
* Firewall / Update: Updates installieren
* Firewall / License: Lizenz eintragen
Tip:
* alle Einträge lassen sich bequem über die Suche finden
* fertige Konfig als PDF exportieren (Desktop/Export)

Einbinden:
Nutzt man außer der Firewall noch einen DSL-Router, kann man die Firewall auf zwei Arten einbinden.
1. Reihenschaltung Router -> Firewall
Das Verfahren ist logisch und naheliegend.
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925378
2. Einschleifen in den Router (Lancom nennt das Layer-3 Schleife)
Klingt erst mal überflüssig kompliziert, hat aber einige Vorteile.
- das Standardgateway ändert sich nicht. Bekanntlich macht Windows alle Netze dicht, wenn sich dieses Gerät ändert.
- die Firewall kann bei Konfigurationsproblemen von extern umgangen oder deaktiviert werden.
- bestehende VPN-Verbindungen zum Router lassen sich zumindest übergangsweise bei Umgehung der Firewall weiter nutzen.
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32982461

Firewall-Konfiguration:
* Objekte im Schaubild rechts anlegen:
- Create Internet Objekt erstellt WAN-Objekt. Activate.
- Create Network, Host-Group und/oder Host erstellt die LAN-Objekte, Activate.
* 1. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Network) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Objekt -> Internet-Objekt) konfiguriert
- rechts erscheint die Liste der Regeln. Regel "Ping" mit "+" hinzu fügen.
Nun kann man per PING aus dem LAN das Internet erreichen.
* 2. Verbindung konfigurieren:
- gewünschtes LAN-Objekt (Bsp.: Host-Group) anklicken, Connection-Tool anklicken, WAN-Objekt anklicken
- es wird eine neue Verbindung (LAN-Hostgroup-Objekt -> Internet-Objekt) konfiguriert
- rechts erscheint die Liste der Regeln. Regel "HTTP" und "HTTPS" mit "+" hinzu fügen.
Nun kann man per Browser aus der Hostgroup im LAN das Internet erreichen.

Proxy-Konfiguration:
* UTM / Proxy: HTTP Proxy: steht auf transparent.
* UTM / Proxy: HTTPS Proxy: ist inaktiv.
Die Firewall enthält ein eigenes SSL-Zertifikat, wird aber als "Man-in-the-Middle" von allen Browsern als "unsicher" eingestuft (Zertifikat stammt nicht von der Webseite).
Das eigene Zertifikat der Firewall muß also auf alle Clients ausgerollt und im Browser als vertrauenswürdig hinterlegt werden (Eport PEM, in CRT umbenennen).

Einbinden des Proxy-Zertifikates manuell oder per GPO:
Computerkonfiguration \ Richtlinien \ Windows-Einstellungen \ Sicherheitseinstellungen \ Richtlinien öffentlicher Schlüssel \ Vertrauenswürdige Stammzertifizierungsstellen

siehe https://www2.lancom.de/kb.nsf/1275/05FA5A416AC989CBC12584550044E364?OpenDocument

Einbinden manuell in Firefox: als Zertifizierungsstelle importieren.

Der moderne "HTTP Strict Transport Security (HSTS)" Modus von Google, Wikipedia u.a. erlaubt keine HTTPS-Proxys.
Ohne Proxy greifen systembedingt keine UTM-Funktionen (URL- oder Applicationfilter, Antivirus) und keine Webstatistik.
Lancom Application Control geht auch ohne Proxy.

* Desktop-Connection wählen (Bsp.: Hostgroup-Objekt -> Internet-Objekt), HTTP-Regel editieren.

Unter Advanced: Proxy aktivieren.


* Import Zertifikate in Mobilgeräte ist problematisch.
ggf. IP-Bereich als Objekt definieren, HTTPS ohne Proxy

* E-Mail Proxy: POP3/SMTP- und seit 06/2020 auch IMAP-Proxy

UTM / Applikation Firewall:

Die R&S Application Firewall wird u.a. auch von Barracuda genutzt und ist sehr leistungsstark.
Sie kann auch verschlüsselten Traffic über Mustererkennung verarbeiten.
Tip:
* Intrusion Detection (IDS) aktivieren, Intrusion Prevention (IPS) aber erst nach Hinzufügen der Ausnahmen! (IDS-Protokoll)
* Fehler, gesperrte Aufrufe usw. im Systemlog. Type=Error, Message=IP eingrenzen

VPN Verbindung:

Die R&S Firewall erlaubt beliebig viele (!) IPSec VPN-Verbindungen IKE v1 und IKE v2.
Die Einrichtung des Advanced VPN-Client von Lancom (NCP) wird in der Lancom KB beschrieben.

Release-Update FX 10.5 (06/2020):
- IMAP-Proxy
- Content-Filter für ausgewählte Seite kann temporär deaktiviert werden
- individuelles Routing für mittels PACE2 DPI Engine erkannte Protokolle und Applikationen (über VPN, andere Internetanschlüsse, am Proxy vorbei..)

Lancom FAQ: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=34925347

Die Zugangsdaten von Vodafone sind unzureichend und Lancom-KB und Router-Assistent nicht zielführend.

SIP-Domäne/Realm: vorwahl.sip.arcor.de
Registrar: leer
SIP-ID/Benutzer: VorwahlRufnummer (normal ohne Land, mit führender Null)
Display-Name: wie SIP-ID/Benutzer

Der VoIP-Assistent für "andere Anbieter" erstellt fehlerhafte CALL-Routen.
Tip vom Lancom-Support: Im Assistent immer "Telekom" konfigurieren und hinterher die SIP-Zugangsdaten manuell korrigieren.

Siehe auch:
Lancom Call-Manager
https://www.johnlose.de/2019/06/lancom-systems-voice-callmanager-sbc-zusammen-mit-vodafone_de-red-dsl-konfigurieren/

Liste aller WLAN-Profile auslesen
Powershell: netsh wlan show profile

WLAN Passwort auslesen
Powershell: netsh wlan show profile [WLAN-Name] key=clear

Über die Windows Oberfläche:
- "Netzwerkverbindungen anzeigen" suchen und öffnen
- WLAN Verbindung ->Rechtsklick
-> "Status"
-> "Drahloseigenschaften"
-> "Sicherheit" - Zeichen anzeigen

Multimode - eher für kürzere Strecken geeignet
  Kabelbezeichnung: OM.., meist schwarzer Bügel
Singlemode/Monomode - Langstreckenübertragung 10 km bis >100 Kilometer
  Kabelbezeichnung: OS.., meist blauer Bügel

SFP-Module sind HotPlug-/HotSwap-fähig.

Multimode SFP-Module
SFP - max. 1 Gb/s
    (SX, BiDi)
SFP+ - max. 10 Gb/s
    (SR, LRM)

übliche Multimode: SX-Modul mit 850nm, Duplex (2 Fasern), max. 550m
geringfügig teurer: SX-Modul mit 1310nm, Duplex (2 Fasern), max. 2km
teurer: SX-Modul mit 1310/1550nm, Bidirektional (1 Faser), max. 550m

Kabeltypen Multimode
OM1 - Standard von 1989, 100 Mb/s bis 2000m, 1 Gb/s bis 275m, 10 Gb/s bis max. 33m
OM2 - Standard von 1998, 100 Mb/s bis 2000m, 1 Gb/s bis 550m, 10 Gb/s bis max. 82m
OM3 - Standard von 2002, Bandbreite: 2500 MHz, 100 Mb/s bis 2000m, 1 Gb/s bis 550m, 10 Gb/s bis 300m, 40 Gb/s und 100 Gb/s bis 100m
OM4 - Standard von 2009, Bandbreite: 4700 MHz, weit verbreitet, 100 Mb/s bis 2000m, 1 Gb/s bis 1000m, 10 Gb/s bis 550m, 40 Gb/s und 100 Gb/s bis 150m
OM5 - Standard von 2014, wenig üblich, optimiert für Wellenmultiplex

Steckertypen
LC-Stecker - passen in SFP- und SFP+ -Tranceiver, weit verbreitet, hohe Portdichte
SC-Stecker - passen meist in LWL-Patchfelder, hervorragende optische Leistung
MPO/MTP-Stecker - Mehrfaser-Stecker

• WeTransfer - kostenlos, max. 2 GB, speichert für 14 Tage (Stand 07/2021)
  keine Anmeldung, keine Verschlüsselung, nur E-Mail Adresse mit Verifikationsmail
  kostenloser Account mit Werbung
• MS OneDrive - kostenlos zu jedem MS Konto 5 GB Speicherplatz (Stand 07/2021)
  kostenpflichtig mehr.

Funktion testen mit KLIST.

In der Domäne kommen hier bei Clients und Servern eine Liste von Tickets.
Bei Fehlern oder bei Einzel-PCs kommen 0 Tickets.

VLAN (Virtual Local Area Networks)
Logische Netzwerktrennung auf Layer 2

Vorteile:

• logische Trennung der Netzwerke bei einheitlicher physischer Netzstruktur (Sicherheit, Abgrenzung von IoT, VoIP, iSCSI/Backup usw.)
• jedes VLAN bildet eine eigene Broadcast-Domain (Traffic wird reduziert und kann in VLANs priorisiert werden)
• Übertragen mehrerer logisch getrennter VLAN-Netze ist über ein Kabel möglich (Trunking)
• ein Switch wird mit VLAN in mehrere virtuelle Switche geteilt, auch Switch-übergreifend

Grundlagen:

• max. 4096 VLANs
• VLAN-1 ist immer das Default-VLAN im Auslieferungszustand. Geräte ohne VLAN-Tag kommen per Default in VLAN-1.
• VLAN-7 nutzt die Telekom für VDSL und sollte frei gehalten werden
• VLAN-fähig sind Managed Switche, Router, Linux, VMWare, Windows je nach Netzwerkkarte, diverse Geräte wie NAS, WLAN-AccessPoints usw.
• jeder Port und jedes Gerät kann Teil nur eines VLANs sein, aber es können ihm mehrere VLANs zugeordnet werden (Trunk)
• VLAN-Trunks müssen alle VLAN-IDs hinterlegt haben, die sie übertragen sollen. Oder sie sind so konfiguriert, dass sie alle VLANs weiter leiten.
  Dynamische, selbstlernende VLAN-Trunks sind heute Standard.
• VLAN-Tags werden vom Ziel-Switch entfernt, wenn der Empfänger-Switchport UNTAGGED ist. Ansonsten gehen die TAGGED Pakete bis zum VLAN-taggingfähigen Zielgerät.
• Verbinden verschiedener VLANs ist durch gezieltes Routing (Layer 3) möglich
• Verschiedene VLANs können identische Netzwerkadressen haben, dann ist aber kein Routing möglich.

Verfahren:

- Switch wird pro Port genau einem VLAN zugewiesen (VLAN-ID)
- jeder Port kann Member von mehreren VLANs sein und deren Pakete übertragen (PVID)
- innerhalb eines Switches erfolgt die Kommunikation meist portbasierend, zwischen den Switchen paketbasierend.

1. Port-basierend (untagged)
   - statische Netzstruktur, unterteilt einen physischen Switch in mehrere logische Switche
   - am Port liegen alle Daten des jeweiligen VLAN an, es werden aber keine VLAN-Informationen nach außen weiter gereicht
   
   
2. TAG-basierend (paketbasiert, framebasiert, tagged)
   - Datenpakete werden mit VLAN-TAG an das nächste Gerät weiter geleitet (Gegenseite muss auch getagged sein)
   - die Kommunikation verschiedener VLANs kann über ein Kabel erfolgen
   - VLAN-TAG wird in IEEE 802.1q festgelegt, Cisco, 3Com u.a. haben teilweise abweichende Standards
   - Anwendung: Uplinks zwischen Switchen, AccessPoints, Hyper-V- und ESX-Servern, VoIP-Telefonen...

Umsetzung:
VLANS werden üblicherweise zwischen Switchen und Routern konfiguriert, Endgeräte haben einen ungetaggten Port mit der passenden VLAN-ID.

* VLAN-Portdefinition im Lancom Router:

* VLAN am PC:
- Intel oder Realtek Netzwerkkarten unterstützen VLAN
- bei Realtek ist das Realtek Diagnostics Programm erforderlich
1. Original LAN-Karte wird deaktiviert (keine IP)
2. je VLAN wird eine virt. Netzwerkkarte angelegt

* VLAN in VM-Workstation:
1. VLANs über die physische Netzwerkkarte definieren (siehe oben)
2. entsprechende virtuelle Netzwerkkarte mit VLAN der gewünschten VM zuweisen

Dynamische VLANs
Zuordnung zu einem VLAN anhand von MAC-Adresse, IP-Adresse, Protokolltyp oder Anwendungsebene/Portnummer.
Damit kann beispielsweise VoIP priorisiert werden oder ein Mobilgerät unabhängig von seinem Port einem VLAN zugeordnet werden.

gute FAQ: https://administrator.de/knowledge/vlan-installation-routing-pfsense-mikrotik-dd-wrt-cisco-rv-routern-110259.html

Aktuelle Störungsmeldungen,
Echtzeit-Problem- und -Störungsüberwachung
https://downdetector.com/

oder deutsch:
https://allestörungen.de/

Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\
Profilname: Netzwerk identifizieren
Category: 0-öffentliches Netzwerk, 1-Privates Netzwerk, 2-Arbeitsplatz Netzwerk

GPO Windows 7-10 Prof/Ultimate: Netzwerkstandort dauerhaft erzwingen
- Gruppenrichtlinieneditor "gpedit.msc" oder Lokale Sicherheitsrichtlinie "secpol.msc" starten
- Computerkonfiguration –> Windows Einstellungen –> Sicherheitseinstellungen –> Netzwerklisten-Manager-Richtlinien
- Alle Netzwerke, Nicht identifizierte Netzwerke: einstellen

Powershell:
- get-netconnectionprofile  (NetworkCategory: Public = öffentl. Netzwerk)
- set-netconnectionprofile -InterfaceIndex 16 -NetworkCategory Private (InterfaceIndex von oben nehmen) - setzt priv. Netzwerk

VLANs lassen sich bei Lancom Routern nicht auf physische Ports (ETH1-4) konfigurieren, sondern nur auf logische Interface (LAN1-4), die wiederum ein oder mehrere phys. Ports beinhalten können.

Tagging-Mode für logische Interfaces:
- Access (niemals): ausgehend untagged, ankommende VLANs werden interpretiert als hätten sie kein VLAN.
- Hybrid (gemischt): Erlaubt Pakete mit und ohne Tag. Pakete ohne TAG werden dem Port-VLAN (PVID) zugewiesen.
- Trunk (immer): ausgehende Pakete bekommen immer ein TAG. Ankommende Pakete ohne TAG werden verworfen.

VLAN am Router aktivieren, ohne sich auszusperren:
- unter Schnittstellen / VLAN das VLAN Modul aktivieren
- unter Schnittstellen / VLAN / Port-Tabelle prüfen, ob alle LAN-x Ports auf Access (oder Hybrid) stehen mit PVID 1
- unter Schnittstellen / VLAN / VLAN-Tabelle prüfen, ob alle LAN-x Ports dem VLAN 1 angehören
- unter IPv4 / IP-Netzwerke dafür sorgen, dass jedes Netzwerk die VLAN-ID 1 besitzt

Beispiel:
* Lancom Router soll mit TAGGED VLAN an (TAGGED) Switchport

Lösung:

• VLAN Modul AUS lassen
• IP v4 Netzwerk erstellen, VLAN-ID vergeben
• Router ist auf dieser IP nur noch über das TAGGED VLAN ereichbar

Beispiel:
* Lancom Router mit 3 Netzen A, B, C an ETH1, ETH2 und ETH3.
* Accesspoint an ETH4 soll Netz A..C über verschiedene SIDs senden.

Lösung:

• Schnittstellen / LAN / Port-Tabelle: LAN-1 bis LAN-4 alle der selben Bridge-Gruppe zuordnen, z. B. BRG-2.
• Schnittstellen / VLAN / VLAN-Tabelle: Für jedes Netz (A, B, C) einen Eintrag anlegen, z. B.:
  VLAN= A, VLAN-ID= 10, Ports= LAN-1, LAN-4
  VLAN= B, VLAN-ID= 11, Ports= LAN-2, LAN-4
  VLAN= C, VLAN-ID= 12, Ports= LAN-3, LAN-4
• Schnittstellen / VLAN / Port-Tabelle: Port-IDs einstellen:
  LAN-1 = Port-ID 10, LAN-2 = Port-ID 11, LAN-3 = Port-ID 12
• IPv4 / Allgemein / IP-Netzwerke: VLAN-ID und Schnittstelle einstellen:
  Netzwerk= A, VLAN-ID= 10, Schnittstelle= BRG-2
  Netzwerk= B, VLAN-ID= 11, Schnittstelle= BRG-2
  Netzwerk= C, VLAN-ID= 12, Schnittstelle= BRG-2
• VLAN Modul aktivieren

Erklärung:
Ein IP-Netzwerk kann nur einem logischen Interface zugeordnet werden, deshalb wird die Verbindung über eine Bridge-Gruppe gelöst.

Wenn das VLAN-Modul deaktiviert bleibt, muss beim Netzwerk INTRANET die VLAN-ID = 0 bleiben.

In der Routing-Tabelle ist Tag 0 der Wildcard, d.h. Routen mit Tag 0 (Admin-Netz) gelten für alle Netze.
ARF-Netze mit Tag 0 sind "Supervisor"-Netze, d.h. sie sehen alle anderen Netze mit allen anderen Tags.
IP-Netze mit Tag 0 sehen alle Netze, werden aber nur von Netzen mit Tag 0 gesehen.
Netze vom Typ DMZ werden aus allen Tags gesehen.
Verschiedene VLANs lassen sich nur mit Firewallregeln erreichen (Netze gegenseitig erlaubt und auf Zielnetz umtaggen).

Lancom Switche (original: Accton!)

• Ports können Trunk (nur Tagged Frames), Hybrid (überträgt tagged und untagged) oder Access
• PVID ist die VLAN-ID, die ein Port eingehenden Datenpaketen ohne VLAN-Tag zuweist

https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/pspot_tutorial_wlc_vlan_configuration_switch.html

Beispielkonfiguration VLAN-Router (Hybrid) -> VLAN-Switch (Trunk) -> VLAN-Switch
https://support.lancom-systems.com/knowledge/display/KB/VLAN-Konfiguration+auf+LANCOM+Switches+der+GS-3xxx+Serie

VLAN-Tagging mit Beispielen
https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32986752

Das Windows-Passwort ändert man mit der Tastenkombination "STRG + ALT + ENTF".
In der Remote-Sitzung klappt das allerdings nicht, weil diese Tastenkombination auf dem Steuerrechner ausgeführt wird und nicht in der Remote-Sitzung.

Lösung:
In der RDP-Sitzung "STRG + ALT + ENDE" nutzen.
Es öffnet sich der gewohnte Bildschirm.

Hinweis:
Läuft das Passwort ab, gibt es über RDP keine Möglichkeit, das Kennwort selbst zu ändern!
Also Passwort nach o.g. Anleitung rechtzeitig vor dem Ablauf ändern.
Sonst kann nur der Admin helfen.

Problem:
Abhängigkeit von einem Gerät.
Bei Geräteverlust oder Defekt kein 2FA-Zugriff mehr möglich.

Lösung:
Es ist möglich, den QR-Code beim Einrichten von 2FA von mehreren Geräten zu scannen
und mehrere Authentifikatoren parallel zu betreiben.

(Handy + Reiner SCT Authenticator)

OTP Authentifikatoren sind auch für Windows verfügbar.
Der "zweite Faktor" sollte nicht auf dem Gerät laufen, auf dem die Anwendung läuft.

• GNU GPLv2 Open Source
• schneller als IPSec oder OpenVPN
• schlanker Code und geringe Komplexität
• verfügbar für alle gängigen OS (Android, macOS, Windows, OpenBSD, FreeBSD, NetBSD...)
• bei Linux im Kernel integriert
• Roamingfähig, keine Verbindungsabbrüche bei Netzwechsel
• robust gegen kurze Verbindungsausfälle
• Port: UDP, Default: UDP 51820
• Problem: ohne Logging nicht nutzbar, keine Anonymisierung (ohne Tricks)
• CryptoKey Verschlüsselung, Public-Key mit Liste erlaubter IPs, Wildcard (0.0.0.0/0) möglich
• Eigenschaften der Liste Allowed IPs:
  - In Versandrichtung verhält sich die Liste wie eine Routing Tabelle.
  - In Empfangsrichtung dient die Liste als Access Control List.
• Problem: keine dynamische IP
• Wireguard-Router: AVM Fritzbox (Beta), div. Hardware ab 50 EUR

DHCP-Server, die nicht laufen, können per GUI nicht aus der DHCP-Autorisierung entfernt werden.

Lösung:

• ADSIEDIT.msc starten
• Verbinden mit: Namenskontext -> Konfiguration
• CN=Services
• CN=NetServices
• fehlerhafte Einträge löschen

Sollten Einträge von älteren Windows-Versionen hier nicht auftauchen:
• CN=DhcpRoot im gleichen Zweig Services / NetServices öffnen
• Einträge in dhcpServers manuell bereinigen

Es werden drei Zertifikate benötigt:

- 1 Stammzertifikat (root certificate), welches die Maschinenzertifikate beglaubigt (nur öffentlicher Schlüssel, vpn_rootcert).
- 1 Maschinenzertifikat für den LANCOM-Router (öffentlicher und privater Schlüssel, vpn_devcert + vpn_devprivkey) .P12
- 1 Maschinenzertifikat für die Gegenstelle (öffentlicher (vpn_pksc12_int) und privater Schlüssel) .P12

Alle Zertifikate liegen unter (SSH:) cd /Status/File-System/Contents oder (Webconfig:) Extras / LCOS-Menübaum / Status/ Dateisystem
Löschen mit SSH: del vpn_cevcert oder Webconfig.

Beim Hochladen der *.p12-Datei als "VPN - Container (VPN1)" wird der p12-Container im LANCOM-Router-internen FLASH-Speicher unter:
VPN - Container (VPN1): /flash/security/vpn/vpn_pkcs12_int
abgelegt.
Danach wird der p12-Container vom LANCOM-Router-internen OpenSSL entpackt.
Die entpackten *.pem/*.key-Dateien werden dann entsprechend im LANCOM-Router-internen FLASH-Speicher abgelegt:
VPN - Root-CA-Zertifikat: /flash/security/vpn/vpn_rootcert
VPN - Geräte-Zertifikat: /flash/security/vpn/vpn_devcert
VPN - Privater-Geräte-Schlüssel: /flash/security/vpn/vpn_devprivkey
Das VPN-Modul arbeitet mit den einzelnen *.pem/*.key-Dateien aus dem LANCOM-Router-internen FLASH-Speicher.

Prinzip: https://www.lancom-systems.de/docs/LCOS/Refmanual/DE/topics/aa1120076.html

LANCOM Router und Access Points unterstützen kein PKCS#7 Format, sondern nur PKCS#12 und CER.
Daher muss das Zertifikat von PKCS#7 in das Format PKCS#12 oder CER konvertiert werden.
Ein PKS#7-Zertifikat beginnt mit "----BEGIN PKCS7-----".
• Datei-Endung der Zertifikats-Datei in p7b ändern
• Doppelklick auf das Zertifikat (Windows) öffnet certmgr - Aktuellen Benutzer
• Ordner Zertifikate: Zertifikat auswählen, öffnen, In Datei kopieren -> Base-64 X.509 (CER)
Das neue Zertifikat beginnt mit "-----BEGIN CERTIFICATE-----"

Root-CA (VPN)
(im CentralSiteGateway, WLC oder Lancom-Router nur mit VPN-25 Option)

1. Download XCA-Tool zum Erstellen der Zertifikate https://hohnstaedt.de/xca/ (alternativ: OpenSSL)
   (Lanconfig: Zertifikatsstelle aktivieren / exportieren ist stark fehlerhaft)
   Anleitung siehe: https://docs.insys-icom.de/pages/de_m3_creating_certificates_xca.html
   • https://www.lancom-systems.de/certificate-generation/
2. XCA-Tool: CA ROOT erstellen, exportieren als ca.cert
3. XCA-Tool: TLS-Server VPN-Gerätezertifikat erstellen
   exportieren als pxcs#12 Zertifikatskette (.PFX mit CA-Zertifikat)
4. WebConfig: Extras -> Dateimanagement -> Zertifikat hoch laden -> Typ: Standard-Zertifikatcontainer als PKCS#12 (vorhandene CA ersetzen)
5. SSH Test: "show vpn ca" und "show vpn cert"
   trace # vpn status  (mit "Cursor-hoch" -> "ENTER" kann man on/off umschalten)
   

siehe: https://support.lancom-systems.com/knowledge/display/KB/Erstellen+von+X.509-Zertifikaten+mit+der+Anwendung+XCA

Geräte-Zertifikat (Router)
Es werden 2 Zertifikatspaare (Server und Client) erstellt, die jeweils mit dem CA-Zertifikat beglaubigt sind.
Kein Verschlüsselungs-Passwort für den Export des *.p12 Zertifikatspaketes verwenden.

Das Maschinenzertifikat des LANCOM-Routers (VPN-Server) muss den "Common Name" ("CN=") des LANCOM-Routers ausweisen.
Das Maschinenzertifikat des VPN-Clients oder VPN-Endpunkt muss den "Common Name" ("CN=") des VPN-Clients respektive des VPN-Endpunktes ausweisen.
Die .P12-Zertifikatspakete können testweise im Windows certmgr installiert werden. Aussteller= CA, Antragsteller das Maschinenzertifikat.
Den kompletten CN-String findet man im OpenSSL in der index.txt.

Den im Router konfigurierten Common-Name (CN) sieht man im WebConfig im LCOS-Menübaum:
/Setup/VPN/IKEv2/Auth/Parameter/Local-ID CN=<CN des VPN-Servers>
/Setup/VPN/IKEv2/Auth/Parameter/Remote-ID CN=<CN des VPN-Clients oder des VPN-Endpunktes>

• Server-Zert.pem + key.key + cacert.pem in output.p12 zusammen fassen:
  openssl pkcs12 -export -in zert.pem -inkey key.key -certfile cacert.pem -out output.p12

1. VPN-Zertifikat für Router und Client erstellen (mit XCA (oben) im Lancom WebClient https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32981641)
2. bei WebClient: Router-Zertifikat in Router laden (Lanconfig/Konfigurations-Verwaltung > Zertifikat oder Datei hochladen, Typ: VPN-Container VPN(1) als PKS+12, .P12-Datei, Passphrase erforderlich)
3. bei VPN-Clienteinwahl: lokale RAS-IP muss festgelegt werden
4.  
5. Zertifikatsverteilung manuell: Lanconfig/Konfigurations-Verwaltung > Zertifikat oder Datei hochladen
   https://www.youtube.com/watch?v=X3C2doQ3X6Y

Geräte-Zertifikat (Gegenstelle)

1. Windows-Client: CA.CERT in "Stammzertifikate" importieren
2. Key.key durch key.pem ersetzen! Es muss alles im PEM-Format im p12-Container vorliegen
   Alle .PEM-Dateien dürfen kein Passwort besitzen, nur die .P12-Datei.

Zertifikatsverteilung über SCEP: (zwei Lancom-Router, Router mit Hauptzertifizierungsstelle verteilt die Zertifikate (SCAP-Client))
https://www.youtube.com/watch?v=3f6mGCQ4BeM

Zertifikatstypen: https://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file

OpenSSL (Windows)

• openssl.cnf konfigurieren: C:\Program Files\Common Files\SSL\openssl.cnf
  [CA] dir = festlegen
  [CA] default_days = 3650 Tage
• in %dir% (oben definiert):
  - Datei "index.txt" anlegen
  - Datei "serial" anlegen, Inhalt: "01"
  - Verzeichnisse "certs", "crl", "newcerts", "private" anlegen
• Erstelle RSA 2048bit CA-Zertifikat und Key
  "openssl req -new -x509 -newkey rsa:2048 -keyout cakey.pem -out cacert.pem -days 3650"
  cakey.pem - geheimer Schlüssel  (mit Passphrase)
  cacert.pem - CA-Zertifikat
  (Common Name (CN) ist hier der offizielle Name der Zertifizierungsstelle. Für die eigene CA kann ein beliebiger Name hinterlegt werden.)
• Test, Zertifikat (mit der Passphrase) öffnen:
  "openssl rsa -in cakey.pem -noout -text"
• Erstelle RSA 2048bit Server-Key (serverkey.pem) mit AES-128 verschlüsselt (einfaches PW)
  "openssl genrsa -out serverkey.pem -aes128 2048"
• Passwort wieder entfernen
  "openssl rsa -in serverkey.pem -out serverkey.pem"
• Erstelle ein CSR (Certificate Signing Request) (req.pem).
  Das muss danach von der CA signiert werden. Hier sind wieder Angaben analog zum Erstellen der CA nötig.
  "openssl req -new -key serverkey.pem -out req.pem -nodes"
  Beim Server-Zertifikat ist der Common Name von entscheidender Bedeutung.
  Hier muss der DNS-Name stehen, unter dem der Client den Server anspricht!
  Wird das Zertifikat für eine HTTPS-Verbindung zu www.hinzag.eu verwendet, so muss der Common Name genau www.hinzag.eu heißen. Anderfalls wird der Browser das Zertifikat nicht akzeptieren.
• Zertifikate müssen in oben angelegtem %dir% liegen, damit die CA zum Signieren gefunden wird
  "cakey.pem" muß in %dir%/private/ liegen
• CA signiert das Server-Zertifikat:
  "openssl ca -in req.pem -notext -out servercert.pem"
  Es entsteht "01.pem" in /newcerts/.

• Lancom Webconfig: Extras -> Dateimanagement -> Zertifikate hoch laden: cacert.pem

• SSL-Zertifikate (SSH - RSA-Schlüssel) nach Firmware-Aktualisierung neu erstellen
  Ab LCOS 10.20 wurde die minimale Schlüssellänge (Min-Hostkey-Length) auf 2048 Bit angehoben und veraltete Verschlüsselungs- und Signatur-Algorithmen werden im Standard nicht mehr angeboten.
  https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=36458346
• CA bei Routerwechsel auf einen anderen Router umziehen
  https://support.lancom-systems.com/knowledge/display/KB/Erstellung+von+VPN-Zertifikaten+nach+Umzug+der+CA+auf+einen+anderen+Router+via+SCEP-CA+Backup
• Smart Zertifikate mit Lancom Router (VPN-25!) erstellen https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32984244
• zertifikatsbasierte VPN-Verbindungzwischen 2 Lancom Routern
  https://support.lancom-systems.com/knowledge/display/KB/Konfiguration+einer+zertifikatsbasierten+IKEv2+VPN-Verbindung+zwischen+zwei+LANCOM+Routern
• zertifikatsbasierte VPN-Verbindung IKEv.2 mit Lancom Adv.VPN-Client
  https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32983599
• zertifikatsbasierte VPN-Verbindung IKEv.1 mit Android
  https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32985576
• Konfiguration einer Active Directory Anbindung mit IKEv2-EAP (RADIUS) und einem LANCOM Router
  https://support.lancom-systems.com/knowledge/display/KB/Konfiguration+einer+Active+Directory+Anbindung+mit+IKEv2-EAP+und+einem+LANCOM+Router

Quellen:
https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/windows-phone-10-per-vpn-verbinden-t15356.html#p86774
Linkliste https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795
Anleitung Zertifikat VPN https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/windows-phone-10-per-vpn-verbinden-t15356.html#p86774
hilfreich Zertifikate: https://www.lancom-forum.de/viewtopic.php?f=14&t=18184&p=103339
OpenSSL zum Erstellen von Zertifikaten: https://www.lancom-forum.de/lancom-faq-faq-bereich-f11/openssl-zum-erzeugen-von-vpn-zertifikaten-t18981.html
Strongeswan mit Zert.: https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/1781vaw-vpn-verbindung-klappt-nicht-t16074.html#p90462

Gute Apps:

- Nine: Mailclient inclusive eigenem Kalender + Aufgaben, kann Exchange, POP3, IMAP, Besonderheit: Exchange Kalender Marker-Tags werden auf Mobilgerät angezeigt

- Zoiper SIP Voip Softphone CSipSimple: gut funktionierender, universeller Voip-Client (kostenpflichtig!).

- WiFi File Transfer: FTP-Freigabe des Handy über WLAN, funktioniert gut, bei Sony Xperia nur für SD-Card

- Deutsche Tastatur von Stefan Richter (äöü, Cursortasten, freie Tastengröße...)

- OpenSignal (Info über Mobilfunkmasten, Richtung, Stärke...)

- Bubble UPnP (UPnp/DNA-Server und Renderer, spielt Bilder, Videos und Musik vom Handy oder von anderen Geräten auf dem TV. Demoversion, dann Kosten= 3,49 )

Nicht selbst getestet:

- Cloudii (Client für Google Drive, Dropbox, Skydrive, Box.com, OwnCloud, SugarSync, WebDAV, FTP/SFTP, Copy, Yandex)

- Kids Place: mit Elternpasswort, sperrt PlayStore und Hometaste, Apps können einzeln frei gegeben werden, Internetzugang pro App sperrbar

Teamviewer 9 QS for Android kann einige ausgewählte Smartphones direkt fernsteuern.

Achtung! Die Lizenz ist NICHT in der kommerziellen Version enthalten! Mit der unlizenzierten (USB-)Version9 läuft es aber.

Stand 8/2014:

- Lenovo Tablet S6000 und Lenovo A7600-F mit AddIn unterstützt! Das geht geil.

- Google Nexus 5 nicht unterstützt.

Karten Funkversorgung:
• Telekom
• Vodafone
• O2
• E-Plus
• Bundesnetzagentur  (Funkmasten, Abstrahlrichtungen)
• LTE-Vergleich (Abdeckung, Tarife, alle Anbieter)

Stand 1/2018 lassen Telekom und Vodafone LTE durch ihre Serviceprovider nicht zu!
Das betrifft auch eigene Töchter wie Congstar oder Fyve.
Es gibt bei Congstar Ausnahmen in älteren Verträgen, die aber kein zugesicherter Vertragsbestandteil sind.

Die Datei .nomedia versteckt Ordner vor der Google-Foto App und ähnlichen Apps wie QuickPic.

Damit lassen sich gezielt Ordner ein- und ausblenden.

- .APK-Datei (Android) herunter laden.

  Whatsapp: http://www.whatsapp.com/android/

  Chip: http://beste-apps.chip.de/android/app/whatsapp-messenger-apk-android-app,cxo.58151052/

- Apps von unbekannten Quellen (temporär!) erlauben.

- APK-Datei ausführen.

- statt Mobilfunknummer Festnetznummer (+49 ..) eingeben.

- nach Wartezeit von 5 Minuten ohne SMS Option "Code telefonisch übermitteln" wählen.

- WhatsApp läßt sich pro Rufnummer nur auf einem Gerät verwenden.

WhatsApp auf einem zweiten Gerät betreiben:
Tablet Manager - Interface für WhatsApp Web

Apps einmal für alle kaufen?

Auch bei mehreren Google-Konten auf dem Handy nutzt der Playstore immer das erste Hauptkonto.

Lösung:
- neuen Benutzer auf dem Handy erstellen.
- Familienkonto angeben.
- App kaufen und installieren.
Die App ist für alle Benutzer auf dem Gerät verfügbar.

Günstige MDM-Lösung für kleine Unternehmen oder Familien mit Kindern:

M-Way Revolutions ist in der Einstiegsversion bis 10 Benutzern mit je 3 Geräten kostenfrei.

Einfachste und bereits recht effektive Schutzmöglichkeit von Firmendaten für Kleinunternehmer:
-> Trennung von Privat und Geschäftlich durch zwei Userprofile.

Das funktioniert mit aktuellem Android nicht auf allen Geräten, kostet nichts und ist einfach einzurichten.

Weitere Infos: ct 21/2016 S.117ff., 122ff., 128ff., 132ff.

* mehrere SIP-Leitungen als Einzelaccounts
Problem: Bei ausgehenden Rufen wird immer die Hauptrufnummer übermittelt.
Lösung 1 ( Zuweisung pro Rufnummer):
Gerufene Nummer: #
Ziel-Nummer: #
Ziel-Leitung: SIP-LEITUNG FÜR 1234
Rufende Nummer (Filter): 1234
Das Gleiche für jede SIP-Leitung. Mit dieser Callroute wird jeder abgehende Ruf von intern Nummer 1234 über die SIP-LEITUNG für 1234 geleitet. Der Angerufene sieht die entsprechende Nummer in seinem Display.

Lösung 2 (Zuweisung über Vorwahl):
Gerufene Nummer: *1#
Ziel-Nummer: #
Ziel-Leitung: SIP-LEITUNG1
Immer wenn an einem Telefon die „*1“ vorgewählt wird, geht der Ruf über diese Leitung1.

* Wird ein Eintrag in der Call Routing Tabelle gefunden mit der Ziel-Leitung "RESTART", dann beginnt mit der neuen, umgesetzten Called Party ID wieder der komplette Durchlauf. Dabei wird die Angabe der Quell-Leitung (Calling Line) für den nächsten Durchlauf gelöscht.

* SIP-Leitungen: Displayname sollte möglichst frei bleiben und kann zu Fehlern führen.
Manche Provider fordern dein Eintrag aber.

* Meldung "Der Eintrag '#' existiert bereits in der Tabelle" beim Speichern der Call-Route
Identische Mehrfacheinträge mit Eintrag bei "Rufende Nr. (raus)" führen zu dieser Fehlermeldung. Mehrfacheinträge bei "Rufende Nr. (rein)" funktionieren.

Zielleitungen:
- ISDN
- alle definierten SIP Leitungen
- REJECT markiert eine gesperrte Rufnummer oder verbietet SIP-Steuerzeichen.
- USER leitet den Ruf an lokale SIP- bzw. ISDN-Teilnehmer weiter.
- RESTART beginnt mit der zuvor gebildeten Ziel-Nummer einen neuen Durchlauf in der Call-Routing-Tabelle.
  Dabei wird zuvor Quell-Leitung gelöscht.

CALL Routingtabelle im LCOS Benutzerhandbuch

Siehe auch: Arcor/Vodafone SIP-Zugang an Lancom Router

Lösungen: lokales Faxgerät, eigenes Faxgateway (Fritzbox..) oder Cloudlösung.

Cloudanbieter Simple-Fax:
https://simple-fax.de/faxdrucker-fuer-windows

- Faxversand über einen Faxdrucker im Windows oder per E-Mail
- Faxempfang über eine spezielle Rufnummer, die man bei der ersten Aufladung vom Anbieter bekommt
- Faxversand 7 ct. pro Seite

Die Telekom bietet für ihre Kunden ein PC-Fax Service an.
https://www.telekom.de/hilfe/festnetz-internet-tv/produkte/pc-fax/wie-melde-ich-mich-fuer-pc-fax-der-telekom-an

Die Faxnummer (Vorwahl 032) wird von der Telekom zugewiesen.
Versand und Empfang erfolgen als PDF-Datei über das Portal.

Aus einem Windows-Programm bedeutet Faxversand:
- drucken als PDF
- WEB-Portal öffnen, Faxversand wählen, PDF-Datei und Rufnummer anfügen

Faxempfang bedeutet bei allen Angeboten:
E-Mail mit angehängtem Fax als PDF-Datei

PDF24 Faxservice:
https://de.pdf24.org/fax-online.jsp

PDF24 ist ein guter gratis PDF-Editor.
Wenn man sich bei dem Fax-Dienst anmeldet, kann man praktisch mit einem Klick PDF erstellen und als Fax versenden.
Der Empfang erfolgt klassisch als PDF über E-Mail.
Vom Handling erscheint das sehr einfach.
Die Anmeldung ist kostenlos, Faxempfang im Paket ab 5 EUR p.m. nur sinnvoll bei intensiver Nutzung.
https://fax.pdf24.org/prices

Anklopfen (Änderungen lassen nicht alle Provider zu)
*#43# - fragt Status ab
#43# - schaltet Anklopfen aus
*43# - schaltet Anklopfen ein

Meine persönliche To-Do List
Altes Handy:

• Fotos sichern
• Android Konto in Google Cloud sichern
• WhatsApp / WhatsApp Business in Google Cloud sichern
• Signal lokal sichern, Backup auf PC sichern (Backup-Token!)
• VPN-Client Config sichern, Config auf PC sichern
• Android SIP Client aktivieren, Konto einrichten

Neues Handy:

• Android 11: klassisches Menue mit Navigationsbuttons
• Apps installieren + aktualisieren
• SIM-Card in neues Handy
• WhatsApp: Rufnummer registrieren, Backup wieder herstellen (Backup-PW)
• Signal: Backup auf Handy spielen, Konto übertragen von Backup (Passphrase)
• VoIP: ZoiPer einrichten, im Hintergrund laufen erlauben
• Mailclient (Nine) einrichten (IMAP + Exchange)
• 2FA Authentificator Daten übertragen
• Covid Zertifikate einlesen
• Dropbox + Boxcryptor konfig.
• VPN einrichten

EngineerMode CSSID: *#*#3646633##

TestMode CSSID: *#*#4636##

Calenar Info CSSID: *#*#225##

FCM Diagnostics CSSID: *#*#426##

IMEI CSSID: *#*#06#*#*

• Rufweiterleitung per Rufnummer beim Provider
  Regeln: ständig, bei besetzt, zeitversetzt
  Rufnummer des Anrufers wird beim Weiterleitungsziel angezeigt, wenn der Anbieter/ Tarif "Clip no screening" unterstützt.
  Nachteil: nur 1 Anrufziel definierbar
  Telekom Company Pro: Weiterleitung 5..60 sek. einstellbar, KEIN clip-no-screening

• Rufweiterleitung per Rufnummer an TK-Anlage/Router (Fritzbox, Lancom..)
  Regeln: ständig, bei besetzt, zeitversetzt
  mehrere Anrufziele gleichzeitig möglich
  Nachteil: am Ziel wird nur die weiterleitende Rufnummer angezeigt

• Rufweiterleitung per SIP (Fritzbox, Lancom..) 
  Regeln: ständig, bei besetzt, zeitversetzt
  mehrere Anrufziele gleichzeitig möglich
  mehrere Weiterleitungen in Kaskade möglich (Provider -> Fritzbox(SIP-Client+Server) -> LancomRouter (SIP-Client+Server) -> SIP-Client als Telefonnebenstelle
  Rufnummer des Anrufers wird beim Weiterleitungsziel angezeigt
Achtung: Lancom unterstützt keine externen SIP-Clients ohne VPN. AVM geht.

Variablen (Webeditor)

V - Bit  (0.0 ... 850.7)
VB - Byte  (0 ... 850)
VW - Word  (0 ... 849)
VD - DWord  (0 ... 847) immer 4 Adressen pro Wert

Variablen Blockformat "Signed" - nur positive Werte,
  für Minus-Temperaturen: "Unsigned"

Meldetexte -> Meldeziel: Webserver anhaken, dann wird das Display im Standard Webserver angezeigt.

Netzwerkprojekt
- Firmware aktualisieren
- S7-Zugriff aktivieren

Cursor-Tasten
- Bedienen mit [ESC] + [Cursortaste]
- geht nur bei aktivem Meldetext

Meldetext
Zeichensatz 1/2 schaltet zwischen zwei verschiedenen Meldetexten um.
 Merker M27 schaltet die Zeichensätze um.
Priorität der Meldetexte bestimmt, welcher Meldetext welchen übersteuert.
Ticker können zeichenweise oder seitenweise "laufen".
 Dazu schreibt man den Text rechts weiter und aktiviert die Zeile im Ticker.
 Die Geschwindigkeit kann zentral eingestellt werden.

UDF - User Defined Function
- UDF konfigurieren: Ordner hinzu fügen
- keine Ein- und Ausgänge (absolute Zuweisung) in UDF
- UDF-Eigenschaften: Namen für Ein- und Ausgänge festlegen
- UDF-Eigenschaften: Parameter der Bausteine können aus der UDF geführt werden
- UDF-Eigenschaften: Anmerkung wird bei Einfügen der UDF angezeigt
- UDF bearbeiten geht nur in der Bibliothek
- UDF mit Ausrufezeichen wurde verändert -> aktualisieren

Versionen
6ED1052-XXXXX-0BA8 FS1-FS03 = Hardwardtype 0BA8.Standard (LOGO!8.0).
6ED1052-XXXXX-0BA8 FS4-FS06 = Hardwardtype LOGO!8.FS4 (LOGO!8.1).
6ED1052-XXX08-0BA0 FS1-FS02 = Hardwardtype LOGO!8.FS4 (LOGO!8.2) (FW: 1.82.04)
6ED1052-XXX08-0BA1 = Hardwardtype LOGO!8. (LOGO!8.3) (FW: 1.83.01)

Admin - Passwort kann im Solarweb Portal unter Einstellungen -> Komponenten -> Datenquellen -> Aktionen -> „PIN/Customer Passwort zurücksetzen“ neu gesetzt werden.

Service - Passwort kann nur über Fronius Partner zurück gesetzt werden.

Veeam Backup & Replication 11a (10/2021)

• Support für MS Server 2022 und MS Windows 10 Fkt. 21H1
• MS Windows 11 ready (basierend auf Pre-Releases)
• Microsoft Azure Stack HCI version 21H2 Support
• RHEL/CentOS 8.4, Ubuntu 21.04, Debian 11, SLES 15 SP3, OpenSUSE Leap 15.3, Fedora 34 Support
• VMware Cloud Director 10.3 Support
• VMware VMC 15 support
• VMware vSphere 7.0 U3 readiness based on the pre-release build
• cloudbasierte Unterstützung für AWS, Microsoft Azure und Google Cloud Platform
• Continuous Data Protection (CDP)

Veeam Backup & Replication 11 (02/2021)

• Verwendung der Backup Konsole ohne lokale Admin-Rechte
• individuelle Filter und Ansichten für die Backup Konsole
• gehärtete Linux Backup Repositorys zum Schutz vor Malware (Schutz gegen Löschen oder Überschreiben)

VBR 11 fordert per Default Verschlüsselung des Configuration Backups.

Zum 1. Juli 2022 stellt Veeam den Verkauf von unbefristeten sockelbasierten Lizenzen für alle Editionen der Veeam Availability Suite™, von Veeam Backup & Replication™, Veeam Backup Essentials™ und Veeam ONE™ an Neu- und Bestandskunden ein und bietet Veeam Universal License (VUL) Mietlizenzen an.

Zum 1. Januar 2021 stellte Veeam den Verkauf der Standard und Enterprise Edition sockelbasierter (Dauer-)Lizenzen ein.
Auch der Standardsupport für Veeam Backup & Replication™- und Veeam Availability Suite™-Produkte für Neukunden und Bestandskunden ohne sockelbasierte Lizenzen wird nicht weitergeführt.
Neukunden können sockelbasierte Lizenzen künftig ausschließlich für die Enterprise Plus Edition dieser Produkte erwerben, die 24x7x365 Production‑Support beinhaltet.
Bestandskunden mit sockelbasierten Lizenzen sind von dieser Änderung nicht betroffen. Sie können ihre Produkte in der bisherigen Edition und mit ihrem aktuellen Supportvertrag weiter nutzen und auch verlängern.
Sockellizenzen für Veeam Backup Essentials™ und Management Pack bleiben für alle Kunden von der Änderung ausgenommen.

Veeam Backup Essentials

• enthält alle Features von Veeam Backup & Replication
• enthält alle Monitoring-, Reporting- und Kapazitätsplanungs-Tools von Veeam ONE
  Erhältlich sind unbefristete Lizenzen für 2 - 6 CPU-Sockel und ein- bis fünfjährige Abonnementlizenzen (Lizenzierung pro VM in 5-VM-Bundles) für bis zu 50 VMs. Die Essentials Lizenz ist limitiert auf 6 Sockel pro Firma.

Veeam Backup Community Edition

- kostenlos für privat und kommerzielle Nutzung
- bis zu 10 "Workloads": beliebigen Kombination aus VMs, Cloud-Instanzen, physischen Servern oder Workstations
- 1 Server
- Sicherung auf NAS, Tape, Bandbibliotheken
https://www.veeam.com/de/virtual-machine-backup-solution-free.html

Aufrüstung auf Starter-Edition: bis zu 20 Workstations.
Zum 1. Oktober 2020 stellt Veeam den Vertrieb der Starter-Edition ein.
Die bestehenden Lizenzen werden bis Version 11 weiter unsterstützt.

Veeam Agent for Microsoft Windows (5.0)

- sichert physische Maschinen, einzelne Laufwerke, Verzeichnisse oder Dateien ab Windows 7 / 2008R2 bis Windows 10 / Server 2019 auf Wechseldatenträger, Laufwerke, NAS oder Veeam Backup Repository, mit lizenziertem Agent auch auf MS OneDrive.
- mit bootfähiger Wiederherstellungs-ISO, Bare Metal Recovery, Zuwachssicherung, Verschlüsselung
- Aufbewahrung nach Anzahl der Tage, Serverversion nach Anzahl der Widerherstellungspunkte
Veeam Agent für MS Windows gibt es als Free-, Workstation- und Serverversion.
Die Free-Edition sichert nicht in die Cloud und eingeschränkt in MS OneDrive.
Außerdem erlaubt sie nur einen Backup-Job sowie keine synthetischen Vollbackups.
Nur die Server-Version kann wöchentliche oder monatliche Backup-Pläne.
Mit der kostenpflichtigen Agent-Version läßt sich das Backup nicht nur vom Client, sondern in Verbindung mit Veeam B&R auch zentral steuern.
Das Backup eines physischen Servers mit der kostenlosen B&R Community-Edition ist ohne Agent-Lizenz möglich.
Die Oberfläche ist englisch.
Versionsübersicht: https://www.veeam.com/de/products-edition-comparison.html
Die älteste Version (Endpoint Backup 1.0) unterstützt Windows ab Win7 SP1.

Tipps:

• Der installierte Windows-Agent kann (logisch) nicht sein Bootlaufwerk wieder herstellen. Dafür ist das Baremetall Restore vom Recovery Medium erforderlich.
• Baremetal Restore vom Network Storage: beim Shared Folder muß der komplette Pfad zum Repository eingegeben werden, nicht nur die Freigabe!
• PC mit MBR/klassischem BIOS auf UEFI wieder herstellen (getestet):
  KB3156: MBR disk restore to UEFI system fails with "OS disk in backup uses MBR disk" warning (veeam.com)

Veeam One Free - no restrictions on the number of hosts, management servers and Failover Clusters you can monitor and report
http://www.veeam.com/virtual-server-management-one-free.html

Veeam Backup Dateitypen:

-.vbk Vollbackup. Die wichtigste Sicherung von allen.
-.vib Incrementelle Sicherungen nach dem Vollbackup, die sich auf die vorherige .VBK Sicherung beziehen.
-.vrb Incrementelle Sicherungen vor dem Vollbackup, die sich auf die nachfolgende .VBK Sicherung beziehen.
-.vbm enthält Backup Metadaten und beschleunigt viele Operationen (z.Bsp. Import of backup files). Dateien sind nicht erforderlich für ein Restore.

Hinweis: Nach Instant Recovery "Migrate to Production" nicht vergessen!

Veeam Backup Job - für Zweit-Backup, WAN-Backup, setzt nach Unterbrechung fort.

Alle Veeam-Dienste beenden mit Powershell: Get-Service veeam* | Stop-Service

Veeam SQL Express DB verkleinern / 10GB voll:
(C:\Program Files\Microsoft SQL Server\MSSQL13.VEEAMSQL2016\MSSQL\DATA\VeeamBackup.mdf und VeeamBackup_log.ldf)
- Veeam History (Default: 52 Wochen) kürzen
- SQL Management Studio:
  * Datenbank schrumpfen: Shrink Datenbank + Files (Veeam Dienste stoppen)
  * alte Sessions löschen: VeeamBackup / Programmability / Stored Procedures / DropStoppedOldJobSessions -> Execute Stored Procedure, Value: Tage (Bsp. 10) eintragen
  * größte Dateien suchen: VeeamBackup / Reports / Standard Reports / Disk Usage by Top Tables
  * wenn gar nichts mehr frei ist: SQL: TRUNCATE TABLE [VeeamBackup].[dbo].[Tombstones.Backups]
  * Clear Old Job Sessions KB1995: Veeam Backup & Replication console slow or unresponsive
- Removing Tapes from Catalog Removing Tapes from Catalog - User Guide for VMware vSphere (veeam.com)
  (File-to-Tape Jobs belegen sehr großen Katalog)
- ganzen Katalog verwerfen: Restore Backup-Datenbank, Katalog nicht auswählen

Patche und Updates:
http://www.veeam.com/patches.html

Versionshistorie

Veeam Backup & Replication 10a (07/2020)

• Support für Windows 10 Build 2004 als Gast, Hypervisor oder Server
• Microsoft Exchange 2019 MetaCacheDatabase (MCDB) configurations support
• ReFS integration als Default Backup Repository

Veeam Backup & Replication 10 (02/2020)

Leistungsstarkes, zuverlässiges Backup-Programm besonders für virtuelle Umgebungen.
- Kompression und Deduplizierung
- Backup, Restore, Replikation, Copy-Jobs
- Verfügbar als Kauf- oder Mietversion

• Sockel-Preis bis 50% höher (Dauerlizenz)
• VUL-Preis bis 33% niedriger (Subscription, Abo)
• Pro-Sockel-Kunden erhalten 1 VUL-Lizenz pro Sockel (bis zu 6) dauerhaft kostenfrei
• VUL haben generell Enterprise-Funktionsumfang
• Essentials-Version: Preis gilt für 1 Sockel, Mindestverkauf 2 Sockel
• gemietete Software ist inclusive Wartung und stellt 1 Monat nach Vertragsablauf die Funktion ein

Über 100 neue Funktionen wie:

• Objekt-Storage kann richtlinienbasiert ältere Daten auf andere Storages auslagern (S3-kompatibel)
• neues leistungsstarkes NAS-Backup auf kurzfristig / langfristig / sekundär Speicher
• Backup Kopie Spiegelung
• Instant Recovery auch von physischen Servern in VMWare

Veeam B&R 9.5 U4 (01/2019)

• Plug-ins für SAP HANA und Oracle RMAN
• Veeam Cloud Tier: (Eine weitere Storage-Option im Rahmen des Scale-out-Repository, nutzt Amazon S3, Azure Blob Storage oder S3-kompatible Services für die Langezeit­archivierung)
• Veeam DataLabs: (Nachfolger für Virtual Labs zum Einrichten einer Testumgebung. Neue Funktionen für Workflow (Löschscripte für DS-Compilance) und Malware-Scanner in der abgeschotteten Rücksicherung gegen schlafende Ransomware.
• Veeam Cloud Mobility: (Erweiterung von Direct Restore to Microsoft Azure, unterstützt nun auch AWS und Azure Stack als Ziele, um Workloads wieder­herzustellen)
• Änderungen in der Lizenzierung:
  - statt Free Edition nun Community Edition
    -> FreeEdition hatte kein Limit der VMs, dafür war die Funktion eingeschränkt.
    -> Community Edition ist nahezu eine Standard-Edition mit Begrenzung auf 10 VMs.
• Backup for Office 365 mit neuen Funktionen und Free Edition
  - Möglichkeit, Sicherungen von Sharepoint und OneDrive for Business zu erstellen
  - FreeEdition: kann Exchange- und OneDrive-Backups für bis zu 10 User kostenfrei erstellen, sowie von SharePoint bis zu 1 TB

siehe auch: veeam-backup-95-u4a

Veeam Backup & Replication V.9.5 Update 3a (07/2018)

- Unterstützung für VMWare 6.7
- Unterstützung für Win10 1803 Clients

Veeam Backup & Replication V.9.5 Neuerungen

• Unterstützung für VMWare 6.5  ab Veeam 9.5 Update 1 (Q1/2017)!

Veeam Backup & Restore Free (V.9.5)
- gratis, auch kommerziell
- Backup von vSphere und Hyper-V -VMs, auch auf Tape
- VM backup, granular recovery, clone, copy, export...
Einschränkungen: kein Scheduler, kein Repository, immer Vollbackup
http://www.veeam.com/virtual-machine-backup-solution-free.html
(kein Key erforderlich, Version arbeitet 30 Tage als Vollversion, dann im "CommunityMode" mit o.g. Einschränkungen)

Veeam Agent for Microsoft Windows FREE (2.2), vorher Veeam Endpoint Backup Free (V.1.5) - gratis, auch für kommerzielle Nutzung
 - neu in Version 2.0: periodische Vollbackups
 - Einschränkungen: Programm muß im Client installiert sein, keine Deduplizierung bei mehreren Sicherungen, einfachster Scheduler.
 - Einbinden in Veeam Backup & Replication möglich! Dann wird Repository mit Deduplizierung unterstützt. Rücksicherung physischer PCs auf VM möglich.

Veeam Backup & Replication V.9 (Neuerungen):
- neue Oberfläche u.v.a.m.
- Bedienkonsole kann auf beliebigen andern PCs ausgeführt werden.
- deutliche WAN-Beschleunigung, integrierte Komprimierung und Deduplizierung
- BitLooker: trotz Image-Sicherung werden gelöschte Dateiblöcke ausgeschlossen, eigene Ordnerausschlüsse sind möglich.
- Veeam Cloud Connect-Replikation und inkrementelles Backup >NEU
- Veeam Explorer für Oracle 11/12 >NEU
- unbegrenztes Scale-out Backup Repository (Backup-Storage-Pool wird vom Backup flexibel genutzt) >NEU
- Backup von Storage Snapshots (EMC NEU, HP und NetApp)
- Veeam Explorer für Storage Snapshots (EMC NEU, HP und NetApp) für Exchange-Objekte, AD, MS SQL und Sharepoint) - nur in Veeam ENTERPRISE.

Geniales, einfaches incrementelles Backup auf Basis von Hardlinks nach einer Idee von ct/Heise.
Jeder Backupsatz enthält alle Daten (bzw. einen Hardlink darauf).
Es wird kein spezielles Programm zum Restore benötigt. Nicht geeignet für System-Backups, aber für Daten-Backups eine Empfehlung.

Mirror-oder Move-Mode erlaubt kopieren/verschieben von Ordnern und Dateien mit dem Originaldatum.

Achtung! Wenn Dateien nachträglich manuell in einem Archiv gelöscht werden, muß die Index-Datei „index.hbi“ gelöscht werden, damit HardlinkBackup die Dateien erneut scannt und die Index-Datei neu erzeugt.

Backups auf anderen Datenträger verschieben: -> mit Luphino Hardlink Backup.
 (Mirror Modus, Innere Links behalten).

Link: http://lupinho.net/hardlinkbackup/

Tip:  Sysinternals Tools Hardlink: Anzeigen, setzen und löschen von Hardlinks.

Volume Shadow Copy (VSC, Volumeschattenkopie oder VSS) ist eine Microsoft Windows Technologie zum Erstellen von Snapshoots auf Volumenbasis.
VSC ist in allen gängigen Windows Versionen inclusive der Server-Funktionen verfügbar.
Es ist ein sinnvoller erweiterter Papierkorb, auch im Netzwerk. Es ersetzt natürlich kein Backup.

VSC aktivieren: Systemeigenschaften / Computerschutz / Schutz aktivieren und Speicherplatz zuweisen

VSC erstellen: manuell unter Computerschutz oder automatisch per Aufgabenplaner. Im Server kann der Zeitplan direkt unter Computerschutz konfiguriert werden.
Aufgabenplaner:
  Programm: WMIC
  Argumente: shadowcopy call create Volume=C:\
Dienst Volumenschattenkopie muß laufen.

VSC nutzen: im Explorer über "Vorgängerversionen wiederherstellen"
Hilfreiches Tool: Shadow Explorer, ermöglicht auch in den Home-Versionen die Nutzung von VSC.
Windows Server 2012 / 2016 / 2019: siehe hier
Windows 8/10: über Dateiversionsverlauf
Windows 7: über Sichern und Wiederherstellen
Windows Vista: nur rudimentär enthalten

Die generischen Keys für Windows 8.1:
Windows 8.1 (Core): 334NH-RXG76-64THK-C7CKG-D3VPT
Windows 8.1 Pro: XHQ8N-C3MCJ-RQXB6-WCHYG-C9WKB
Damit kann Windows installiert werden, Key kann aber nicht aktiviert werden.
Windows 8.1 Setup akzeptiert keine Win 8.0-Keys! -> Gen.Key
Nach dem Setup akzeptiert Windows 8.1 den Key von Win 8.0.
Installations-Stick:
Im Verzeichnis Sources eine neue Datei "ei.cfg" erstellen;
[EditionID]

[Channel]
Retail
[VL]
0
(Setup fragt nun nicht mehr am Anfang nach Produktkey)
Individuelle Win-Installation erstellen:
1. in VM Player Win 8.1 VM anlegen
2. Boot from CD einstellen
3. Setup ausführen bis zur Eingabe Produktkey.
4. Generischen Key (oben) eingeben.
5. Nach Neustart weiter bis "Anpassen" Dialog
6. keinen Namen eingeben, sondern Strg + Umschalt + F3.
7. Windows startet neu und meldet automatisch „Administrator“ an.
8. auf Desktop ist das Systemvorbereitungsprogramm bereits geöffnet. So lassen.
9. Musterinstallation nach Wunsch einrichten. Systemsteuerung und Computerverwaltung anpassen, Updates einspielen, Anwendungen installieren...

wenn Updates nicht installieren, siehe -> Windows Update funktioniert nicht
10. zweite HD einrichten für den WIM-Export.
11. im Systemvorbereitungsprogramm „Outof-Box-Experience“ wählen und „Verallgemeinern“ + "Herunterfahren" anhaken.
Windows will Installation fortsetzen. Jetzt nur Herunterfahren!
12. VM nochmal von Windows-CD booten (press key..)
13. Wenn Setup erscheint, mit Tastenkombination Umschalt + F10 in Eingabeaufforderung.
14. Image-Datei erstellen: c:\windows\system32\dism.exe /capture-image /imagefile:d:\install.wim /capturedir:c: /name:"Mein 8.1" /compress:maximum
Setup-Medium zusammenstellen:
15. original Win-CD in Verzeichnis (/Win81x64) kopieren.
16. neue WIMDatei aus der VM holen. VM starten und fertig installieren. Dann VMTools installieren und WIM-Datei per Copy&Paste, USB oder Netzwerholen.
17. Install.wim in /Win81x64/Sources durch die neuen Datei ersetzen.
18. mit ImageBurn: „Create image file from files/folders“. Menue Input: "Advanced" wählen. Auf "Source" klicken. Kompletten Inhalt von "Win81x64" auswählen. Editor beenden. In "Advanced" "Bootable Disc" auf "Make Disk bootable" klicken. Bei „Boot Image“ auf das Ordnersymbol klicken. In /Win81x64/boot/ "etfsboot.com" auswählen. „Sectors To Load“ = 8 ändern. „Destination“ angeben. Starten. Erste Frage mit „Yes“ und die zweite mit „Okay“ bestätigen.

USB-Stick mit max. 32 GB (4 GB je OS)
- diskpart
- list disk -Stick identifizieren
- select disk 4 (Beispiel USB-Stick)
- detail disk überprüfen
- clean
- create partition primary
- active
- assign .. LW zuweisen
- Format als FAT32 (max. 32GB)
- CD-Inhalt komplett auf Stick kopieren.
Tip: Umsch+F10 öffnet Eingabeaufforderung.

...oder viel simpler Rufus: Bootfähigen USB-Stick erstellen

- [Windows]+[Pfeil oben] - maximiert aktuelles Fenster.
- [Windows]+[Pfeil unten] - verkleinert aktuelles Fenster.
- 2x [Windows]+[Pfeil unten] - klappt aktuelles Fenster herunter.
- [Windows]+[Pfeil links/rechts] - zeigt aktuelles Fenster in voller Höhe auf linker bzw. rechter Seite.
- "Aero Shake" (Fenster festhalten und schütteln oder: [Windows]+[Pos1]) - minimiert alle anderen Fenster.

- "Desktop anzeigen" (ganz rechts unten in der Taskleiste!) - klappt alle Fenster herunter.

Problem: Windows 7 löscht vorhandene Verknüpfungen vom Desktop.
Ursache: Windows 7 führt wöchentlich eine Aufräum-Aktion durch, die unbenutze oder fehlerhafte Verknüpfungen löscht. Diese Funktion ist übereifrig und löscht auch temporär nicht verfügbare Verknüpfungen. (fehlende Netzverbindung, Passworteingabe erforderlich...)
Abhilfe: Problembehandlung komplett deaktiveren oder in den PS1-Scripts Desktopbereinigung deaktivieren.

1. GADGET.XML -Datei zur Beschreibung des Gadgets.

2. HTML-Datei mit dem eigentlichen Gadget.
3. Dateien als ZIP packen und als .gadget umbenennen.
Windows speichert installierte User-Gadgets unter C:\Users\[Benutzername]\AppData\Local\Microsoft\Windows Sidebar\Gadgets
Systemweite Gadgets liegen in C:\Program Files\Windows Sidebar\Gadgets\

Zum Ausführen von Gadgets muss C:\Program Files\Windows Sidebar\sidebar.exe

und Windows Feature "Desktop Gadget Plattform" laufen.

Systemweite Gadgets liegen in C:\Program Files\Windows Sidebar\Gadgets\
User-Gadgets liegen in C:\Users\Born\AppData\Local\Microsoft\Windows Sidebar\Gadgets\
%ProgramFiles%\Windows Sidebar\sidebar.exe /showGadgets  -zeigt alle Minianwendungen

Literatur:
Gadgets bauen
http://www.gieseke-buch.de/windows-7/windows-gadgets-selbsterstellen
http://robofan.de/SidebarGadget.html
http://technet.microsoft.com/de-de/library/ff731022.aspx

betrifft: Windows Vista, Windows 7

Dosbox (Win7!): -> DISKPART.
-> LIST DISK. (zeigt die Nummer des USB LW)
-> SELECT DISK [Nr]
-> CLEAN
-> CREATE PARTITION PRIMARY
-> SELECT PARTITION 1
-> ACTIVE
-> FORMAT FS=NTFS
-> ASSIGN
-> EXIT.
DOSBox nicht schließen.
5. Insert your Windows DVD and note down the drive letter of the optical drive and USB media. Here I use “D” as my optical (DVD) drive letter and “G” as my USB drive letter.
6. Go back to command prompt and execute the following commands:
-> d: (DVD-Rom)
-> cd d:\boot
6.2. Use bootsect to set the USB as a bootable NTFS drive prepared for a Vista/7 image. I’m assuming that your USB flash drive has been labeled disk G:\ by the computer:
-> bootsect /nt60 g:
7. Copy Windows DVD contents to USB.
You are done with your bootable USB. You can now use this bootable USB as bootable DVD on any computer that comes with USB boot feature.
This guide will NOT work if you are trying to make a bootable USB on XP computer.

Mehr Infos: http://bootdisk.com/pendrive.htm
FAT32 mit DOS:
http://www.biosflash.com/bios-boot-usb-stick.htm

- auf Win8.1-PC im Suchfenster "Wiederherstellungslaufwerk" eingeben.

Das erstellt einen bootfähigen Stick (je nach Version: 32/64-bit) mit Windows RE. (Recovery Environment)

Funktionen siehe Systemreparatur, Wiederherstellungskonsole

Der Ordner liegt noch in C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Accessories, wird aber im Startmenü nicht angezeigt.

Lösung: Persönlichen Zubehör-Ordner (C:\Users\[USER]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Accessories) löschen!
Windows 7 zeigt beide Ordner nicht mehr an, wenn in beiden ein identischer Eintrag ist.

Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace folgende Schlüssel löschen:

Klicke mit der rechten Maustaste auf eine freie Stelle der Taskleiste und auf Eigenschaften.
Im sich öffnenden Fenster auf die Registerkarte Navigation wechseln.
Häkchen vor "Beim Zeigen auf die obere rechte Ecke die Charms anzeigen" entfernen.

Dieses Problem tritt beim Installieren von CD oder USB auf, wenn der Gerätetreiber für USB 3 oder SATA/SCSI nicht im Windows(7) vorhanden ist. Das Hinzufügen von Treibern ist nicht möglich, weil die entsprechenden Geräte nicht erkannt werden.

Lösung:
WinPE  starten (idealerweise von Win10), CMD-Konsole -> diskpart.

• Korrekte HD wählen und leer machen (list disk -> select disk -> clean)

• 2 neue Partitionen einrichten. (create partition primary [size=n] )

1. Partition zum Reservieren des Platzes für die Systempartition (ca. 3/4 der Platte)
2. danach eine Partition mit ca. 10 GB für die temporären Installationsdaten

Die 2. Partition wird NTFS formatiert, Laufwerksbuchstaben x: (format fs=ntfs label="INSTDISK" quick -> assign letter=x)

Nun kopiert man die Treiber und das gesamte Installationsmedium auf LW X:.

Nochmal diskpart starten und Partition 1 löschen, damit Setup genügend Platz hat, die System-Partition mit dem Bootlader anzulegen. (select disk -> select part -> delete part ..)

Nun SETUP aus dem PE heraus auf der HD starten x:setup.exe.

Die generischen Keys für Windows 8.1:
Windows 8.1 (Core): 334NH-RXG76-64THK-C7CKG-D3VPT
Windows 8.1 Pro: XHQ8N-C3MCJ-RQXB6-WCHYG-C9WKB
Damit kann Windows installiert werden, Key kann aber nicht aktiviert werden.
Windows 8.1 Setup akzeptiert keine Win 8.0-Keys! -> Gen.Key
Nach dem Setup akzeptiert Windows 8.1 den Key von Win 8.0.
Installations-Stick:
Im Verzeichnis Sources eine neue Datei "ei.cfg" erstellen;
[EditionID]

[Channel]
Retail
[VL]
0
(Setup fragt nun nicht mehr am Anfang nach Produktkey)
Individuelle Win-Installation erstellen:
1. in VM Player Win 8.1 VM anlegen
2. Boot from CD einstellen
3. Setup ausführen bis zur Eingabe Produktkey.
4. Generischen Key (oben) eingeben.
5. Nach Neustart weiter bis "Anpassen" Dialog
6. keinen Namen eingeben, sondern Strg + Umschalt + F3.
7. Windows startet neu und meldet automatisch „Administrator“ an.
8. auf Desktop ist das Systemvorbereitungsprogramm bereits geöffnet. So lassen.
9. Musterinstallation nach Wunsch einrichten. Systemsteuerung und Computerverwaltung anpassen, Updates einspielen, Anwendungen installieren...

wenn Updates nicht installieren, siehe -> Windows Update funktioniert nicht
10. zweite HD einrichten für den WIM-Export.
11. im Systemvorbereitungsprogramm „Outof-Box-Experience“ wählen und „Verallgemeinern“ + "Herunterfahren" anhaken.
Windows will Installation fortsetzen. Jetzt nur Herunterfahren!
12. VM nochmal von Windows-CD booten (press key..)
13. Wenn Setup erscheint, mit Tastenkombination Umschalt + F10 in Eingabeaufforderung.
14. Image-Datei erstellen: c:\windows\system32\dism.exe /capture-image /imagefile:d:\install.wim /capturedir:c: /name:"Mein 8.1" /compress:maximum
Setup-Medium zusammenstellen:
15. original Win-CD in Verzeichnis (/Win81x64) kopieren.
16. neue WIMDatei aus der VM holen. VM starten und fertig installieren. Dann VMTools installieren und WIM-Datei per Copy&Paste, USB oder Netzwerholen.
17. Install.wim in /Win81x64/Sources durch die neuen Datei ersetzen.
18. mit ImageBurn: „Create image file from files/folders“. Menue Input: "Advanced" wählen. Auf "Source" klicken. Kompletten Inhalt von "Win81x64" auswählen. Editor beenden. In "Advanced" "Bootable Disc" auf "Make Disk bootable" klicken. Bei „Boot Image“ auf das Ordnersymbol klicken. In /Win81x64/boot/ "etfsboot.com" auswählen. „Sectors To Load“ = 8 ändern. „Destination“ angeben. Starten. Erste Frage mit „Yes“ und die zweite mit „Okay“ bestätigen.

Die generischen Keys für Windows 8.1:
Windows 8.1 (Core): 334NH-RXG76-64THK-C7CKG-D3VPT
Windows 8.1 Pro: XHQ8N-C3MCJ-RQXB6-WCHYG-C9WKB
Damit kann Windows installiert werden, Key kann aber nicht aktiviert werden.
Windows 8.1 Setup akzeptiert keine Win 8.0-Keys! -> Gen.Key
Nach dem Setup akzeptiert Windows 8.1 den Key von Win 8.0.
Installations-Stick:
Im Verzeichnis Sources eine neue Datei "ei.cfg" erstellen;
[EditionID]

[Channel]
Retail
[VL]
0
(Setup fragt nun nicht mehr am Anfang nach Produktkey)
Individuelle Win-Installation erstellen:
1. in VM Player Win 8.1 VM anlegen
2. Boot from CD einstellen
3. Setup ausführen bis zur Eingabe Produktkey.
4. Generischen Key (oben) eingeben.
5. Nach Neustart weiter bis "Anpassen" Dialog
6. keinen Namen eingeben, sondern Strg + Umschalt + F3.
7. Windows startet neu und meldet automatisch „Administrator“ an.
8. auf Desktop ist das Systemvorbereitungsprogramm bereits geöffnet. So lassen.
9. Musterinstallation nach Wunsch einrichten. Systemsteuerung und Computerverwaltung anpassen, Updates einspielen, Anwendungen installieren...

wenn Updates nicht installieren, siehe -> Windows Update funktioniert nicht
10. zweite HD einrichten für den WIM-Export.
11. im Systemvorbereitungsprogramm „Outof-Box-Experience“ wählen und „Verallgemeinern“ + "Herunterfahren" anhaken.
Windows will Installation fortsetzen. Jetzt nur Herunterfahren!
12. VM nochmal von Windows-CD booten (press key..)
13. Wenn Setup erscheint, mit Tastenkombination Umschalt + F10 in Eingabeaufforderung.
14. Image-Datei erstellen: c:\windows\system32\dism.exe /capture-image /imagefile:d:\install.wim /capturedir:c: /name:"Mein 8.1" /compress:maximum
Setup-Medium zusammenstellen:
15. original Win-CD in Verzeichnis (/Win81x64) kopieren.
16. neue WIMDatei aus der VM holen. VM starten und fertig installieren. Dann VMTools installieren und WIM-Datei per Copy&Paste, USB oder Netzwerholen.
17. Install.wim in /Win81x64/Sources durch die neuen Datei ersetzen.
18. mit ImageBurn: „Create image file from files/folders“. Menue Input: "Advanced" wählen. Auf "Source" klicken. Kompletten Inhalt von "Win81x64" auswählen. Editor beenden. In "Advanced" "Bootable Disc" auf "Make Disk bootable" klicken. Bei „Boot Image“ auf das Ordnersymbol klicken. In /Win81x64/boot/ "etfsboot.com" auswählen. „Sectors To Load“ = 8 ändern. „Destination“ angeben. Starten. Erste Frage mit „Yes“ und die zweite mit „Okay“ bestätigen.

Die generischen Keys für Windows 8.1:
Windows 8.1 (Core): 334NH-RXG76-64THK-C7CKG-D3VPT
Windows 8.1 Pro: XHQ8N-C3MCJ-RQXB6-WCHYG-C9WKB
Damit kann Windows installiert werden, Key kann aber nicht aktiviert werden.
Windows 8.1 Setup akzeptiert keine Win 8.0-Keys! -> Gen.Key
Nach dem Setup akzeptiert Windows 8.1 den Key von Win 8.0.
Installations-Stick:
Im Verzeichnis Sources eine neue Datei "ei.cfg" erstellen;
[EditionID]

[Channel]
Retail
[VL]
0
(Setup fragt nun nicht mehr am Anfang nach Produktkey)
Individuelle Win-Installation erstellen:
1. in VM Player Win 8.1 VM anlegen
2. Boot from CD einstellen
3. Setup ausführen bis zur Eingabe Produktkey.
4. Generischen Key (oben) eingeben.
5. Nach Neustart weiter bis "Anpassen" Dialog
6. keinen Namen eingeben, sondern Strg + Umschalt + F3.
7. Windows startet neu und meldet automatisch „Administrator“ an.
8. auf Desktop ist das Systemvorbereitungsprogramm bereits geöffnet. So lassen.
9. Musterinstallation nach Wunsch einrichten. Systemsteuerung und Computerverwaltung anpassen, Updates einspielen, Anwendungen installieren...

wenn Updates nicht installieren, siehe -> Windows Update funktioniert nicht
10. zweite HD einrichten für den WIM-Export.
11. im Systemvorbereitungsprogramm „Outof-Box-Experience“ wählen und „Verallgemeinern“ + "Herunterfahren" anhaken.
Windows will Installation fortsetzen. Jetzt nur Herunterfahren!
12. VM nochmal von Windows-CD booten (press key..)
13. Wenn Setup erscheint, mit Tastenkombination Umschalt + F10 in Eingabeaufforderung.
14. Image-Datei erstellen: c:\windows\system32\dism.exe /capture-image /imagefile:d:\install.wim /capturedir:c: /name:"Mein 8.1" /compress:maximum
Setup-Medium zusammenstellen:
15. original Win-CD in Verzeichnis (/Win81x64) kopieren.
16. neue WIMDatei aus der VM holen. VM starten und fertig installieren. Dann VMTools installieren und WIM-Datei per Copy&Paste, USB oder Netzwerholen.
17. Install.wim in /Win81x64/Sources durch die neuen Datei ersetzen.
18. mit ImageBurn: „Create image file from files/folders“. Menue Input: "Advanced" wählen. Auf "Source" klicken. Kompletten Inhalt von "Win81x64" auswählen. Editor beenden. In "Advanced" "Bootable Disc" auf "Make Disk bootable" klicken. Bei „Boot Image“ auf das Ordnersymbol klicken. In /Win81x64/boot/ "etfsboot.com" auswählen. „Sectors To Load“ = 8 ändern. „Destination“ angeben. Starten. Erste Frage mit „Yes“ und die zweite mit „Okay“ bestätigen.

USB-Stick mit max. 32 GB (4 GB je OS)
- diskpart
- list disk -Stick identifizieren
- select disk 4 (Beispiel USB-Stick)
- detail disk überprüfen
- clean
- create partition primary
- active
- assign .. LW zuweisen
- Format als FAT32 (max. 32GB)
- CD-Inhalt komplett auf Stick kopieren.
Tip: Umsch+F10 öffnet Eingabeaufforderung.

...oder viel simpler Rufus: Bootfähigen USB-Stick erstellen

USB-Stick mit max. 32 GB (4 GB je OS)
- diskpart
- list disk -Stick identifizieren
- select disk 4 (Beispiel USB-Stick)
- detail disk überprüfen
- clean
- create partition primary
- active
- assign .. LW zuweisen
- Format als FAT32 (max. 32GB)
- CD-Inhalt komplett auf Stick kopieren.
Tip: Umsch+F10 öffnet Eingabeaufforderung.

...oder viel simpler Rufus: Bootfähigen USB-Stick erstellen

- auf Win8.1-PC im Suchfenster "Wiederherstellungslaufwerk" eingeben.

Das erstellt einen bootfähigen Stick (je nach Version: 32/64-bit) mit Windows RE. (Recovery Environment)

Funktionen siehe Systemreparatur, Wiederherstellungskonsole

Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace folgende Schlüssel löschen:

Klicke mit der rechten Maustaste auf eine freie Stelle der Taskleiste und auf Eigenschaften.
Im sich öffnenden Fenster auf die Registerkarte Navigation wechseln.
Häkchen vor "Beim Zeigen auf die obere rechte Ecke die Charms anzeigen" entfernen.

- CALDav Kalender wählen

- URL= https://www.google.com/calendar/dav/<Kalender-ID>/events

•  Kalender-ID steht auf der Eigenschaftsseite des Kalenders neben den Xml, Ical, Html-Links. Für den Hauptkalender ist die Kalendar-ID die Email-Adresse, für alle anderen Kalender ist es <kryptische-Zeichenfolge>@group.calendar.google.com.

Google Sync Einstellungen: https://calendar.google.com/calendar/syncselect

AddIn " Provider for Google Calendar" wird nicht mehr benötigt.

Thunderbird: Extras/Einstellungen/Erweitert/Konfig. bearbeiten

* mail.compose.wrap_to_window_width = true -> Zitat-Text ohne Umbrüche wird beim Antworten am rechten Fensterrand umgebrochen.
* mailnews.use_received_date = true -> Sortierkriterium ist das Empfangs-, nicht das Sendedatum.
* mailnews.reply_header_type = 3 -> formatiert Zitatantwort
* mailnews.reply_header_ondate = "am: %s" -> formatiert Zitatantwort
* in prefs.js hinzufügen: user_pref("mailnews.localizedRe", "AW,Aw,Antwort,FW,Fw");

HTML-Mail Quelltext bearbeiten: [Strg]+[U]

Add-ons
- Quicktext - Textbausteine
- ThunderHTMLedit
- Provider für CalDAV & CardDAV + TbSync
- (Provider für Google Kalender / gContactSync)
- (MailMindr - Wiedervorlage)

Mailstore ist eine deutsche, günstige, universelle und leistungsstarke Software zur E-Mail-Archivierung.
Das Mailarchiv ist verschlüsselt und wird dedupliziert.
Der Zugriff erfolgt über einen eigenen Client oder per WEB-Browser.
Neben Schnittstellen zu Exchange, G-Mail, Kerio, MDeamon, IceWarp beherrscht das Programm den POP3/IMAP-Abruf und hat für hartnäckige Fälle einen Mail-Proxy dabei.
Außerdem erlaubt es den direkten Zugriff auf die Postfächer der gängigsten Mailclients wie Outlook, Thunderbird, SeaMonkey, Windows Mail oder LiveMail.
Der Zugriff auf einzelne EML-, PST oder MBOX-Dateien ist ebenso möglich.
Mailarchiv kann nicht nur importieren, sondern exportiert die Nachrichten bei Bedarf auch wieder in allen genannten Formaten.
Damit ist das Programm auch als leistungsfähiger Konverter zwischen den gängigen Formaten einsetzbar. (Tip: kostenlose Version "Mailstore Home")

Die Benutzer des Mailarchiv können frei erstellt oder über diverse Schnittstellen eingelesen werden. (AD, LDAP, Office, MDeamon Userlist...)
Die Lizenzierung erfolgt pro aktiven Benutzern.

Version 13 (08/2020)
- Anpassung der Cloud-Kompatibilität zu MS-365 und Google G-Suite
- Support von OAuth2 und OpenID Connect für Public Cloud
- keine unverschlüsselsten Verbindungen werden mehr unterstützt, auch nicht lokal zum Client

Version 10.1 (02/2020) archiviert bis 20% schneller
- hat verbessertes Outlook AddIn
- abgesicherter Mode, keine Jobs oder Profile, keine Useranmeldung (nur Admins)
- unterstützt kein MS Vista, Server 2008 und SmallBusiness 2008 mehr und damit auch kein Windows Mail.
- "Gateway" ersetzt den bisherigen Proxy, kostenloses und unabhängig von Mailstore nutzbar
- Compiliance: individuelle Aufbewahrungsregeln nach Betreff, Mailadresse u.a. definerbar,
die "Aufbewahrungsdetails" sind an jeder Mail sichtbar.
- neu: "Letzte Ergebnisse" auf einen Blick.

Ab Version 10.0 gibt es einen Wiederherstellungsschlüssel.
- notwendig zum Rücksichern auf andere Hardware
- Verschlüsselung der gesamten Datenbank
- per Default ist das der Produktschlüssel.

Das Gateway ersetzt den bisherigen Mailstore Proxy und bietet ein Sammelpostfach (Journaling) für Office365, G-Suite u.a.
Gateway arbeitet als SMTP- und POP3 -Proxy.
Es unterstützt eigene Zertifikate oder Lets Encrypt (Port 80!) für SSL.

(VERALTET) Das Proxy-Übergabeverzeichnis enthält .EML-Dateien (die eigentlichen Mails) und .MPR-Dateien. Letztere enthalten die Header-Informationen für die korrekte Zuordnung in ein Archivpostfach.
Achtung! Bei Catch-All wird hier eingehend nur der POP3-Recipient, also die zentrale Abrufadresse übergeben! (Stand Version 10.1.4.12522, 09/2017) Die Proxy-Variante ist also mit Catch-All nicht nutzbar bzw. kann die Mails nicht Usern zuweisen.
Bei ausgehenden Mails erfolgt die SMTP-Proxy-Zuordnung korrekt.
Bei der in den nächsten Jahren zu erwartenden Zunahme von Ende-zu-Ende verschlüsselten E-Mails ist die Proxy-Variante nicht mehr nutzbar und wird deshalb nicht mehr weiter entwickelt.

Für Tobit David ist die Archivierung über die IMAP-Schnittstelle geeignet.
Per IMAP-Sammelpostfach läßt sich beispielsweise das DUPLOG abgreifen und über die Mailadressen den ursprünglichen Benutzern im Archiv wieder zuordnen.
Interne Kommunikation wird dabei mit erfasst.
Anleitung: https://help.mailstore.com/de/server/E-Mail-Archivierung_von_Tobit_David.fx

Das kostenlose Mailstore Home ist auf 2 Exchange-Postfächer beschränkt.
Es besitzt keine Benutzerverwaltung, keine Rechteverwaltung und kein Logging.
Außerdem läuft es nicht als Dienst und ist damit keine lückenlose, DSGVO-compliancegerechte Archivierung.

Mailstore arbeitet auch ohne aktuelle Maintenance.
Allerdings gibt es dann keinen Support und keine Updates mehr. Auch Lizenzerweiterungen sind nur mit aktueller Maintenance möglich.

Tips:
- Verwaltung: SMTP konfigurieren
- Jobs anlegen: Statusbericht senden, DB-Wartung, Integrität, defekte Indexe rep., Backup erstellen
- Suchindizes: PDF-Suche aktivieren! Office +  PDF-Filterpack laden.
- Compilance/Archiv-Zugriff/ freigeben-blockieren (Archiv-Zugriffe für Administrator ist per Default blockiert)

- Compilance/Aufbewahrungsrichtlinien (mehrschichtig, nach beliebigen Suchkriterien in den Nachrichten)
- Richtlinien werden von oben nach unten abgearbeitet
- kürzere Fristen nach oben, längere nach unten

- Neuinstallation mit Testlizenz durchführen. (30 Tage, 500 Benutzer!)
Mit der Testlizenz lassen sich alle vorhandenen User archivieren, anschließend braucht man nur Volllizenzen für die aktiven User.
- 1 Userlizenz ist für öffentliche Ordner erforderlich, wenn mehrere User in das Archiv sehen können sollen.
(ansonsten kann man den Ordner auch einem User zuordnen)
- ausgeschiedene Mitarbeiter werden im Mailstore gelöscht. Damit wird die Lizenz wieder frei. Das Archiv bleibt bestehen und kann einem anderen Mitarbeiter zugewiesen werden.
- User "admin" kostet keine Lizenz
- Mailadressen (Gruppenmails) können in mehreren Benutzern eingetragen werden, dann werden diese Mails bei allen archivert.
- selbstsigniertes Zertifikat: öffentlichen Key als Base-64 exportieren, in Domäne als "Vertrauenswürdige Stammzertifizierungsstelle" ausrollen

MS Exchange:
Postfach - DB - Journalempfänger aktivieren,
neues Postfach anlegen und auswählen.

Technische Hinweise:
• Protokolle liegen in c:\ProgramData\Mailstore\Debug.log (Fehlersuche nach "EXCEPTION")
• Antivirus: MS-Proxy und Datenbank von Echtzeit-Scan ausnehmen!
• leistungsfähige API für Wartung und Reparatur
- alle vorhandenen Indexe neu aufbauen:
1. SelectAllStoreIndexesForRebuild
2. RebuildSelectedStoreIndexes
• Firebird DB (.fdb)
• Webserver integriert, basiert nicht auf IIS
• Mailadressen im AD einpflegen! ADSI-Editor: proxy.Adresses
• AES-Verschlüsselung basiert auf KEY. Widerherstellungs-Key erstellen und sichern!

Rechtliches:
- Aufbewahrungsfristen gehen über Löschfristen.
- private E-Mails dürfen nicht in Firmenaccounts archiviert werden.
-> Verbot der Privatnutzung
-> explizierter Abtritt des Fernmeldegeheimnisses (Problem: Widerruf, Zustimmung der Gegenseite)

Links:
E-Mail-Archivierung von Tobit David.fx
Tobit Mail Access Server einrichten

- Azure AD-Synchronisation ist ungeeignet, wenn man keinen lokalen Exchange-Server betreibt!
  Konten und Eigenschaften können nur lokal bearbeitet werden und es existieren keine Tools zur Bearbeitung.
  Für kleinere Installationen ist es günstiger, die User separat in der Cloud zu pflegen.

- Mailstore sichert auch Exchange Online (Server: Outlook.office365.com, Home-Version max. 2 Postfächer).

Bei der E-Mail Verschlüsselung und Signatur unterscheidet man Client-basierende und Server-basierende Verschlüsselung.
Klassische Lösungen arbeiten Client-basiert. Das ist für Unternehmen zu unhandlich.

Zu den Unterschieden zwischen Transportverschlüsselung (TLS/SSL) und Inhaltsverschlüsselung (S/MIME, PGP..) siehe diesen Beitrag.

Die Inhalts-Verschlüsselung kann durch Key (Zertifikate) oder Passwort erfolgen.
Passwort-Verschlüsselung ist eine Notlösung, die keine Zertifikatsinfrastruktur erfordert und mit jedem Empfänger funktioniert.
Das ist lösbar mit automatischen Portallösungen oder ganz einfach mit verschlüsselten Anlagen im .ZIP oder .PDF-Format.

S/MIME

E-Mails werden mit dem öffentlichen Zertifikat des Empfängers verschlüsselt oder signiert.
Nur er hat den privaten Key und kann die E-Mails entschlüsseln.
Bei S/MIME werden die X.509-Zertifikate (SSL-Zertifikate) durch eine zentrale Zertifikatsstelle geprüft, signiert und verwaltet.
Zertifikate haben eine begrenzte Laufzeit. Alte Zertifikate sollten unbedingt aufbewahrt bzw. im System installiert bleiben, weil sonst alte verschlüsselte E-Mails nicht mehr geöffnet werden können.

Bei E-Mail-Signaturen benötigt jeder User ein User-Zertifikat nach dem Schema: user@domain.tld.
Gateway-Zertifikate bzw. Domain-Zertifikate sind gültig für alle E-Mail-Adressen unterhalb einer E-Mail-Domäne (@unternehmen.de).
Team-Zertifikate stellt man für Mailadressen aus, die nicht von einzelnen Personen verwaltet werden, wie z. B. info@unternehmen.de oder bewerbung@unternehmen.de.

Dateinamen und Content-Typen:
smime.p7m (signierte oder verschlüsselte Daten), smime.p7c (Zertifikat), smime.p7s (Signatur)

Formate:

PFX/P12/PKCS#12 (Personal Information Exchange Standard)
• PKCS#12 oder PFX/P12 stellt ein binäres Format für die Aufbewahrung des Zertifikats (samt seinem Intermediate) mit dem privaten Schlüssel dar. Die Zertifikate und der private Schlüssel sind in der PFX-Datei mit einem Passwort geschützt. PFX war der Vorgänger von PKCS#12.
• Die meistgenutzte Endung des Formates ist .pfx und .p12.
• PKCS#12 wird oft auf den Windows-Geräten für das Import und Export der Zertifikate zusammen mit dem privaten Schlüssel genutzt.
• Die in PFX gespeicherten Zertifikate dienen auch zum Signieren in Microsoft Authenticode.

Format P7B/PKCS#7
• Das Format PKKS#7 oder P7B repräsentiert ein oder mehrere Zertifikate im Base64 ASCII-Format, das in einer Datei mit der Endung .p7b oder .p7c gespeichert ist.
• Die Datei P7B enthält das Zertifikat und seine Kette (die Intermediate-Zertifikate), aber der private Schlüssel ist in ihr nicht vorhanden.
• Am häufigsten werden die P7B Dateien unter Windows und auf der Plattform Java Tomcat eingesetzt.

.DER-Binärformat (KEIN Textformat) zum Import in Anwendungen (Mail, Broser..)
• In DER können alle Zertifikatstypen und der private Schlüssel gespeichert sein.
• Die Endung der DER-Zertifikate ist meistens .cer oder .der.
• Private Schlüssel oder der Zertifizierungspfad können mit diesem Format nicht gespeichert werden.
• Das DER-Format wird auf den Java Plattformen genutzt.

.PEM - ASCII-Format
• ein in Base64 codiertes Format mit ASCII-Zeichen.
• Es kann neben dem reinen Zertifikat auch Intermediate-Zertifikate, Root-CAs und private Schlüssel beinhalten.
• Die Dateierweiterung .pem kommt meist zum Einsatz, wenn sowohl Zertifikate und der Privatschlüssel in einer Datei gespeichert werden.
• Für PEM- Zertifikate werden auch die Endungen .cer, .cert, .crt oder .key (für den privaten Schlüssel) genutzt.
• Von diesem Format gehen Apache und alle Server auf Unix/Linux OS aus.

CSR
• Ein Certificate Signing Request (deutsch: Zertifikatsignierungsanforderung) ist ein standardisiertes Format (PKCS#10) zum Anfordern eines digitalen Zertifikats.
• CSR enthält den öffentlichen Schlüssel und weiteren Angaben über den Antragsteller des Zertifikats.
• Die Zertifizierungsanfrage kann anschließend von einer Zertifizierungsstelle (CA) signiert werden und man erhält ein digitales Zertifikat zurück.

Zertifikatstypen: https://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file

Zertifikate konvertieren:

Mit Hilfe von OpenSSL lassen sich viele Formate schnell und einfach in ein anderes Format konvertieren.

.p7b-Dateien können einfach in .spc umbenannt werden.

LetsEncrypt Wildcard-Zertifikate müssen zwingend per DNS validiert werden.

Tobit David kann S/MIME Zertifikate zentral im Server oder lokal im Client verwalten.

PGP

Auch PGP arbeitet mit unsymmetrischer Verschlüsselung, also mit einem öffentlichen und einem privaten Schlüssel.
Im Gegensatz zu S/MIME gibt es keine zentrale Zertifikatsinstanz,- jeder Nutzer sammelt also die öffentichen Zertifikate der Gegenseite selbst ein.
Damit ist das Verfahren nicht über die Zertifikatsstelle zu kompromittieren.
Das Einsammeln und Verwalten der öffentlichen Schlüssel ist aber entsprechend mühsam.

Mail-Gateway OpenSource: Ciphermail.
Hardware Appliance made in germany: Zertificon
Secure E-Mail Gateway: SeppMail
Nutzung von OpenSSL, Zertifikats-Formate: https://www.msxfaq.de/signcrypt/openssl.htm

- Profilordner komplett auf neuen Standort kopieren.
Der Profilordner speichert alle Informationen über Ihre E-Mails, einschließlich der lokal gespeicherten Nachrichten und Anhänge, Adressbücher, Konten-Einstellungen, Thunderbird-Einstellungen, gespeicherten Passwörter, Aufgaben, Kalenderdaten, Zertifikate und Daten der Funktionen von Add-ons.
Ordner-Laufwerk im Netzwerk o.ä. ist möglich.

- Thunderbird mit "thunderbird.exe -p" im Profilmanager öffnen.

• Neues Profil erstellen, Ordner auswählen, fertig.

• Eine zentrale Gatewaylösung
• Verschlüsselung mit Hilfe von S/MIME, OpenPGP und PDF
• Automatische Ver- und Entschlüsselung von ein- und ausgehenden Emails
• Optionale Verschlüsselung auf Grund eines Triggers in der Betreff-Zeile
• Automatischer Import von Schlüsseln
• Basiert auf Java (Spring)
• Virtuelle Maschinen für VMware and Hyper-V verfügbar
• Installationspackete für Ubuntu, Debian, RedHat/CentOS
• Lizenziert nach AGPLv3, somit keine Lizenzkosten
• Open Source aus Amsterdam / EU

• Ciphermail-4.1.2-1-Ubuntu-16.04.zip laden und als VM installieren (min. 2GB, empfohlen: 4 GB RAM, 1 vCPU, 2 vCPUs recommended)
• SSH-Anmeldung: sa / sa

Links:
CipherMail Hersteller: https://www.ciphermail.com/
CipherMail dt.: https://www.ciphermail.info/
Cipher Installationsanleitung: https://www.net-cry.de/unix/automatische-e-mail-ver-und-entschluesselung-mit-djigzo

Abruf-Formate

• POP3 - E-Mail wird vom Server herunter geladen und (je nach Einstellung) vom Server gelöscht.
    - Daten liegen lokal und nicht beim Provider.
• IMAP - Online-Postfach wird lokal angezeigt.
    - Daten liegen beim Provider.
• Exchange Active Sync (EAS) - proprietäres MS-Format. ActiveSync Schnittstelle ist lizenzpflichtig. XML-basiertes Protokoll über HTTP/HTTPS, um E-Mails, Kontakte, Kalendereinträge, Aufgaben und Notizen von einem Nachrichten-Server mit einem mobilen Endgerät zu synchronisieren. Es können damit auch Geräte-Policies sowie Geräteeigenschaften bearbeitet werden. Der einzige Mail-Client auf einem Desktop-PC mit EAS-Unterstützung ist die Mail-App von Windows 10.
• Exchange MAPI (HTTP bzw. RPC) - Protokoll für Exchange-kompatible E-Mail-Programme unter Windows oder MacOS. MS Outlook spricht kein EAS, sondern Exchange MAPI/RPC.

Datei-Formate

Konfig-Backup: per Default täglich automatisch nach MDaemon/Backup/ in Originalstruktur.
Installationsdateien können einzeln per Drag & Drop zurück gespielt werden.

Webmailer: [IP-Adresse]:1000,3000

Outlook Connector wird auf dem jeweiligen Outlook-Client installiert.
(Zugriff auf den persönlichen und bei Bedarf auch auf den öffentlichen Bereich – jeweils bestehend aus E-Mails, Kalendern, Kontakten, Aufgaben und Notizen)

Aktivierung und Lizenzierung von ActiveSync-Schnittstelle und Outlook-Connector erfolgt pro User.
(MDaemon Connector in der GUI unter "Einstellungen" → "MDaemon Connector" aktivieren, im Fenster unter "Benutzerkonten" auswählen, welche MDaemon Benutzer zugriff auf den MDaemon Connector erhalten dürfen)
Der Betrieb des Outlook-Connectors im Terminalserver ist möglich.
Es können mehrere Mobilgeräte an ein Mailkonto mit einer ActiveSync-Lizenz angebunden werden.

Active Sync Connector (EAS): separate Lizenz erforderlich, Abgleich von E-Mail, Kontakten, Aufgaben, Kalender, Notitzen, öffentliche Ordner, öffentliche Kontakte, freigegebene Ordner anderer User (E-Mail, Kalender, Kontakte, Aufgaben).
Port: 80 oder 443
Test: https://hostname_des_servers.de/Microsoft-Server-ActiveSync
Zugriff mit Outlook ab Version 2013 (manuelle Konfiguration!)

IMAP: keine Connector-Lizenz erforderlich, synchronisiert E-Mails, aber keine Kontakte und Kalender.
Neben den Standardordnern des Benutzers werden auch öffentliche und freigegebene Ordner anderer Benutzer synchronisiert.

Mailadressen und Passworte auslesen:
- Benutzerkonten -> Export -> kommagetrennt (Benutzerrollen->Administratorkonten: globaler MDaemon-Administrator)
- ./MDaemon/App/accounts.csv

Firewall muß manuell angepasst werden (Webmailer: 443, Remoteverwaltung: 444, E-Mail).

Anleitung, Makros für Signaturen u.a.: http://help.altn.com/mdaemon/de/default-signatures_client.html

Supportforum: https://www.altn.com/Support/CommunityForums/

POP Vs. IMAP Vs. ActiveSync: https://blog.zensoftware.co.uk/2013/07/10/connecting-outlook-2013-to-mdaemon-pop-vs-imap-vs-activesync/

Google bietet Nik Collection jetzt kostenlos an!

Die Kollektion enthält 7 Photoshop - Plugins auf Profi-Niveau.

https://www.google.com/intl/de/nikcollection/

Adobe hat die Aktivierungsserver für Photoshop CS2 abgeschaltet
und möchte allen Kunden weiterhin die Möglichkeit zur Aktivierung geben.
Aus diesem Grund hat Adobe die Downloads frei gegeben und generische Seriennummern veröffentlicht.
Die Nutzung ist nur für ehemalige Lizenznehmer gedacht.
Photoshop CS2 läuft auch noch unter Windows 10 und ist nach wie vor ein mächtiges Grafikwerkzeug.

Zur Aktivierung der Software müssen Sie die von Adobe bereitgestellte Seriennummer eingeben: 1045-1412-5685-1654-6343-1431

Die Freigabe betrifft neben Photoshop CS2 auch Acrobat Pro 7, Acrobat Pro 8, Indesign CS2, Illustrator CS2 und Adobe Premiere Pro 2.0
http://web.archive.org/web/20130108114753/http:/www.adobe.com/de/downloads/cs2_downloads/index.html

Presseberichte:
http://www.downloads.focus.de/downloads/vollversion-photoshop-cs2
http://winfuture.de/downloadvorschalt,3166.html

Avidemux
* Konvertieren zwischen WMV, AVI, MP4..
* Film schneiden
* Audio normalisieren

Shotcut
Videschnitt, free, Open Source
Schneiden, Konvertieren, Grafiken einfügen, Zoom, Zeitraffer/Geschwindigkeit, Audio Kompressor/Normalisieren/ein-ausblenden
https://shotcut.org/
Anleitungen: https://informatikkeller.de/
- Video öffnen und nach unten in Zeitachse ziehen
- an Abspielposition trennen, Bereiche entfernen, ein-/ausblenden
- Logo, Schrift, Pfeil o.ä. einfügen:
  1. neue Videospur oben erstellen,
  2. Grafik per Drag&Drop in neue Spur an gewünschter Position einfügen und Wiedergabezeit konfigurieren
  3. Filter "Größe, Position, Drehung" auf Grafik anwenden
- Zoom in Video:
  1. Clipbereich schneiden
  2. Filter "Größe, Position, Drehung" auf Video anwenden
- Zeitraffer:
  1. Clipbereich schneiden
  2. Eigenschaften: Geschwindigkeit ändern (Tonhöhe ändert sich natürlich mit)
  3. Lücke nach nun kürzerem Videobereich entfernen
- Standbild:
  1. Clipposition schneiden
  2. Frame als Bild exportieren
  3. Video ab Schnitt nach hinten schieben
  4. Frame an Position einfügen
- Audio Limiter:
  1. Clips oder Spur markieren
  2. Begrenzen auf Wunschpegel (0 dB)
  3. Verstärkung max. hoch
  4. Ergebnis exportieren
- SPEICHERN speichert das Projekt.
- EXPORTIEREN erzeugt gewünschtes Ergebnis.

OBS Studio
Erstellen von Videopräsentationen und Lernvideos, Open Source
- Quelle(n) mit "+" wählen
- Szenen enthalten vordefinierte Quellen und Positionen (Intro, Desktop, Werbung...)
- Ausgabe: Aufnahme-Format MKV lassen und als MP4 exportieren
- Aufnahme wird sofort gespeichert
- mehrere Audio- oder Videoquellen gleichzeitig möglich
- Text im Bild, Bild im Bild
Einstellungen: Ausgabemodus: Erweitert, Aufnahme Encoder: NVIDIA, Verzeichnis einstellen, Video:skalierte Auflösung
* Erstellt Bildschirmvideos / Screencasts in hoher Auflösung
https://obsproject.com/
Anleitungen: https://informatikkeller.de/

PenAttention
Betont den Mauspfeil mit einem farbigen Kreis für Video-Präsentationen.
Auch als Portable ZIP ohne Installation.

LosslessCut
Verlustfreier Videoschnitt, Frontend von FFmpeg
Open Source für Windows, macOS, Linux
Video wird nicht neu codiert, sondern an Keyframes verlustfrei geschnitten
Änderung des Containerformates ohne Qualitätsverlust,
Import/Export in vielen Formaten (MP4, MOV, MKV, AVCHD..)
Zusammenfügen von Videoschnipseln

WinX HD Video Konverter
Schlimme Oberfläche, aber funktionial leistungsstark, 4K, MP3, MP4...
Preisgünstig, in der Testversion ist das Video auf 5 Min begrenzt.
https://winxdvd.com

Kdenlive
Open Source Videoschnitt unter Linux und Windows
vielseitig und zuverlässig
vorgestellt in CT 2021, Heft 16, S.156ff.

- Windows 10 von Installations-CD booten.

- "Computerreparaturoptionen" -> "Problembehandlung" -> "Erweiterte Optionen" -> "Eingabeaufforderung" öffnet CMD-Box.

- Laufwerk der Windows-Installation suchen.

- nach \Windows\System32\ hangeln.

  ("Erleichterte Bedienung" im Anmeldebildschirm steckt hier in "Utilman.exe")

- "RENAME utilman.exe" und "COPY cmd.exe utilman.exe" ersetzt utilman.exe mit cmd.exe.

- Live-Windows neu starten.

- Klick auf "Erleichterte Bedienung" im Anmeldebildschirm öffnet jetzt CMD-Box als "nt-autorität\system" !

- "net user [Username] [Passwort]" weist dem User ein neues Passwort zu.

...fertig!

Das ist kein besonderes Sicherheitsleck und nur ein Weg von vielen.
Wer lokal vor einem unverschlüsselten Windows-PC sitzt, kommt auch hinein.

getestet bis Win10 v1903

• Run

C:\Windows\SysWOW64\OneDriveSetup.exe /uninstall (64 bit) or
C:\Windows\System32\OneDriveSetup.exe /uninstall (32 bit)

• OneDrive-Symbol in Windows 10 aus dem Explorer zu entfernen: Regedit: HKEY_CLASSES_ROOT\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6} System.IsPinnedToNameSpaceTree von 1 auf 0 setzen.

Auf 64-bit Windows zusätzlich Vorgang wiederholen: HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}

• Gruppenrichtlinie: Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, OneDrive  Verwendung von OneDrive für die Datenspeicherung verhindern = aktiviert.

Mehr dazu bei Microsoft.

• beim Booten: Strg-F8 wie üblich. Meist ist der PC aber zu schnell.

• beim Login: STRG-ALT-ENT drücken, bei gedrückter SHIFT-Taste Neustart anklicken.

• aus Windows heraus: bei gedrückter SHIFT-Taste Neustart anklicken.

• mit MSCONFIG: Reiter Start(Boot) anklicken, Haken bei "Abgesichert" und "Netzwerk" setzen. (hinterher wieder zurück setzen!)

• per Script: shutdown.exe /r /o /f /t 00

• von Boot-CD/USB: im Fenster "Jetzt installieren" auf "Computerreparatur klicken.

Cortana heißt die Windows 10 Spracheingabe und Suchassistent. Cortana arbeitet zwingend mit Bing und Edge zusammen und hätte am liebsten die Anmeldung über ein MS-Konto.

- in Built 1803 schaltet Cortana wie unten ab, aber trotz Anpassung von 1709 (GPO oder Registry) werden Suchbegriffe an Bing übertragen.
Abhilfe Registry: Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Search\
- DWORD(32) Wert: Bing-SearchEnabled = 0
- DWORD(32) Wert: CortanaConsent = 0

- Cortana sucht nur noch lokal: Reg-Key (getestet mit Built 1703-1709):
für aktuellen User: Computer\HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Windows Search  DWORD32: AllowCortana = 0
Systemweit: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search  DWORD32: AllowCortana = 0
Nun ist Cortana weg und läßt sich auch nicht mehr einblenden, und die Suche geht nicht mehr ins WEB.