Monat: September 2020

Office 365 – Aktivieren von DKIM für Custom Domains

Aktivieren von DKIM

Wenn man unter Exchange Center -> Schutz -> DKIM für seine benutzerdefinierte Domain DKIM nicht aktivieren kann, weil der Button hierfür fehlt, dann hilft in der Regel ein kleiner Powershell-Befehl:
New-DkimSigningConfig -DomainName BeispielDomain -Enabled $true
Wenn bei der Ausführung dieses Befehls die beiden DKIM-DNS-Records schon korrekt existieren, ist DKIM für diese Domain anschließend aktiv. Ansonsten wird jetzt der zuvor fehlende “Aktivieren” Link angezeigt.

Dieser Link zeigt übrigens (wenn die DKIM-DNS-Records noch nicht korrekt existieren) nach Klick in einer warn-Meldung den erwarteten Inhalt der etwas komplexen Records an.

 

Office 365 – Cloud-Umzug von DE zu EU oder COM

Office 365 – Cloud-Umzug

Ein Cloudumzug ist mit entsprechenden Werkzeugen eigentlich kein Problem, aber kann sehr zeitintensiv sein. Ab einer bestimmten Userzahl kommt man strenggenommen nicht um kostenpflichtige Migrationstools drumherum.

Wenn ich etwas mehr Zeit habe, dann verfasse ich hierfür mal einen ausführlichen Bericht. Bis es soweit ist mache ich für den Umzug nur Stichpunkte.

Backups

Aus meiner Sicht kann man bei kleinerer Userzahl „Veeam Backup Office 365“ nutzen.

    • in beiden Clouds muss eine App registriert werden, worüber letztlich die Veeam-Anwendung Backups von Postfächern, OneDrive, SharePoints etc. machen kann
    • Postfächer können auch in andere Tenants zurück gesichert werden, dies half beim Überspeilen der alten Mails der User in die neuen Postfächer auf der neuen Cloud

Einstellungen

    • neuen Tenant buchen und mit Testlizenzen den Tenant konfigurieren, Mailrules einrichten, DIK aktivieren etc.
    • neue User mit entsprechender Lizenz anlegen oder bei Verwendung lokalem Domaincontroller „AD Connect“ nutzen.
    • alle User-Postfächer auf die richtige Sprache und Zeitzone stellen (SharePoint-Befehl) 
      Get-Mailbox -ResultSize unlimited | ? {$_.RecipientTypeDetails -eq "UserMailbox"} | Set-MailboxRegionalConfiguration -Language "de-DE" -DateFormat "dd.MM.yyyy" -TimeFormat "HH:mm" -TimeZone "W. Europe Standard Time" -LocalizeDefaultFolderName
    • Freigegebene Postfächer, Ressourcen- oder Gerätepostfächer erstellen und auch hier die korrekte Sprache einstellen (PowerShell)
    • Die Spracheinstellung ist wichtig für die Rücksicherung der Postfächer, damit es keine Vermischung von „item“ und „Posteingang“ etc. kommt.
    • im alten Tenant alle Bezüge zur abzulösenden Domain trennen.
      Aliases, App-Links, Gruppen-EMails etc.
      In der Regel umstellen auf seine *.xxx.onmicrosoft.de Adresse
    • Domain aus Tenant ablösen
    • Mailrule für das Ablehnen von Mails mit Ablehnungsrund „Wir ziehen um) erstellen
    • DNS-Einstellungen von DE auf EU/COM ändern
    • Backup vom alten Tenant durchführen
    • Domain in neuem Tenant einbinden und diese als Standard definieren
    • User-Stammname/ Login-Name auf [user]@dieneueDomain.de umstellen
    • Backup in neuen Tenant wiederherstellen
    • Kalenderberechtigungen per PowerShell wieder herstellen, wie es im alten Tenant war. Dies gilt ebenso für Stellvertretungen.
    • im neuen Tenant benötigte SharePoint-Seiten neu nachbauen, eine Wiederherstellung inkl. Rechtevergabe geht hier nicht. Im Backup werden nur Daten gesichert.

Allgemeines Windows 10

Windows aktiviert ja/ nein?

Startet CMD und gebt folgenden Befehl ein:

SLMGR /xpr

Alternativ geht es über die Systemsteuerung:

Im Bereich „System“ oder über den Windows Explorer lässt sich der Status der Windows Aktivierung ablesen. Windows Explorer starten, mit der rechten Maustaste auf „Computer“ klicken und anschließend „Einstellungen“ wählen.

Windows 10 – install.esd zu install.wim konvertieren

install.esd zu install.wim konvertieren

Es gibt Situationen in dem man die install.wim benötigt, aber nunmehr in den neueren ISO-Images nur als install.esd zu finden ist. Daher konvertieren wir heute eine install.esd zu install.wim

Benötigt werden eine ISO von Windows 10, einen Win10-PC mit PowerShell.

    • Image mounten und den Inhalt von source\x64 oder sources\x86 auf lokalen PC kopieren
    • dism /Get-WimInfo /WimFile:C:\path\to\folder\sources\install.esd
    • Es werden alle möglichen Images aus der esd angezeigt. Man merke sich die Indexzahl seines gewünschten Images. 

    • dism /Export-Image /SourceImageFile:C:\path\to\folder\sources\install.esd /SourceIndex:5 /DestinationImageFile:C:\path\to\folder\sources\install.wim /Compress:Max /CheckIntegrity
    • Fertig

 

Sonicwall TZ600 / TZ350 / TZ100 / NSA250 / NSA2650

Start – Konfiguration

Im Default haben die meisten Sonicwall auf X0 192.168.168.168 als IP hinterlegt.

Einige Sonic’s haben eine „MGMT“-Netzwerk-Schnittstelle, die auf 192.168.1.254 eingerichtet ist.

Zum Einrichten empfehle ich die „MGMT“-Schnittstelle und vergebe entsprechend der Vorgaben eine passende IP auf meinem PC (z.B. 192.168.1.100)

Danach kann man im Prinzip mit dem Assistenzen die Sonic vorkonfigurieren lassen. Ich empfehle dies auch zu tun und das Regelwerk und alle Einstellungen manuell neu zu setzten. Das Importieren von Konfigurationen von Vorgängermodellen ist nicht immer Zielführend und kann Probleme verursachen, die man sich nicht erklären kann!

Die Default Zugangsdaten sind:

User: admin
Password: password

SafeMode

Wer eine Sonic über ein Upgrade erworben hat, wo die alte Sonic auch im Account durch die neue ersetzt wird, der hat das Problem, dass er die Lizenzen aktivieren muss und die Restlaufzeit der alten Sonic mit auf die neue übertragen wird. Hierbei fällt der lizenzierte Schutz der alten Sonic weg und sollte man Probleme mit der neuen Konfiguration und der neuen Sonic haben, dann kann man zwar die alte Sonic wieder hernehmen, aber die lizenzierten Services wie Gateway Antivirus etc. laufen dann nicht mehr.

Sprich die Firewall macht nur nach NAT und Firewallregelwerk.

Man kann beim Upgrade zwar auch sagen jetzt noch nicht die Lizenzen übertragen, hat aber eine zeitliche Frist in dem die Lizenzen übertragen werden müssen, bzw. automatisch übertragen werden.

Daher rate ich dazu die neue Firewall in aller Ruhe einzurichten und das mit neuster Firmware beginnend. Wenn jedoch die Sonic noch nicht registriert wurde, kann man auch im Default keine andere Firmware installieren.

Um dies bewerkstelligt zu bekommen, muss die Sonic im SafeMode starten. Hierbei pickst man mit einer aufgebogenen Büroklammer in das Reset-Loch für ca. 20 Sekunden. Die Sonic startet neu und der SafeMode  ist aktiviert. Die LED neben dem Schraubenschlüssel leuchtet gelb. Jetzt kann man sich (nur) über die „MGMT“-Schnittstelle auf die Sonic verbinden und sieht eine andere Übersicht als sonst. Hier ist es aber möglich die neuste Firmware einzuspielen.

QNAP – keinen Zugriff auf netlogon / sysvol vom Netzwerk aus

Kein Zugriff auf netlogon

Nachdem ein Qnap als DC eingerichtet wurde und die Clients sich mit der Domain verbinden können, habe ich festgestellt, dass die Clients unter Windows 10 nicht auf netlogon kommen.

Die Berichtigungen auf der Qnap waren alle korrekt und auch die Zugangsdaten waren zweifellos richtig.

Es erscheint ständig die Zugangsabfrage und die Anmeldungen schlagen immer fehl.

Lösung:

Auf dem Client der der Domain angehört muss über gpedit.msc die gehärteten UNC-Pfade aktiviert werden.

    • CMD als Admin öffnen
    • gpedit.msc eingeben und mit Enter bestätigen
    • zu „Computer –> Administrative Vorlagen –> Netzwerk –> Netzwerkanbieter –> Gehärtete UNC-Pfade“ wechseln und aktivieren und im linken Bereich auf den Button „Anzeigen“ klicken
    • Im Feld „Wertname“ muss der DC als Computername oder iP-Eingetragen eingetragen werden (\\meinDCServer oder \\192.168.1.100)
    • Im Feld „Wert“ wird folgenden eingegeben:
      RequireMutualAuthentication=0,RequireIntegrity=0,RequirePrivacy=0
    • Alles bestätigen und gpedit beenden

Diese Lösung funktioniert auch mit Clients die nicht der Domain angehören, aber dennoch Zugriff auf das Domain-Netzwerk haben.