Windows Server mit 2 Netzwerkkarten

Die Tage hab ich mich echt wie ein Kack N00b gefühlt. Die Idee war, dass wir zwei Netze teilweise miteinander verbinden, damit im FW-Netz ein PRTG Remote Probe installiert werden kann. Diese Remote Probe sollte dann explizit mit dem PRTG Core Server Verbindung aufnehmen können. Soweit so gut. Es musste eigentlich nur eine Verbindung zum PRTG Server auf Port 23560 geöffnet werden.
Wir hatten nun im Feuerwehr Netz bereits einen Server, welcher 4 Netzwerkkarten hat.
Davon war bisher explizit nur eine Karte im Betrieb. Die welche ins Feuerwehr Netz (192.x.x.x) zeigt. Standardmäßig legt man auf diese Karte ja auch immer einen Gateway an. Damit der Server weiß wohin er die Anfragen außerhalb des eigenen Netzes senden kann.
Die Verbindung zum PRTG Server haben wir mit einer RED Box von Sophos gelöst. Auf der Sophos UTM Firewall, welche im Hauptnetz (10.x.x.x) steht, wurde dazu explizit noch der Port 23560 zum PRTG Server freigeschaltet und die RED Box macht dann via Internet eine ständige VPN Verbindung zur Sophos UTM Firewall und vergibt auch automatisch eine IP Adresse via DHCP an die Clients. Im Testaufbau hat alles wie gewünscht funktioniert. Die RED Box verbindet sich via freiem Internet zur Sophos UTM Firewall und vergibt eine IP Adresse an den angeschlossenen Client. Ich kann darüber auch den PRTG Server anpingen und auch der Port 23560 ist auf. Alle anderen Ports sind zu.

Nun hab ich die RED Box ins Feuerwehr Netz angestöpselt. Internet Verbindung über den WAN Port der RED Box hergestellt und eine weitere Netzwerkkarte des Feuerwehr Servers an einen LAN Port der RED Box angesteckt. Soweit so gut. Zuerst konnte ich mal den PRTG Server pingen, später wieder nicht mehr. Der Port 23560 war dann auch mal offen, später wieder nicht mehr.
Ich hab dann gegoogelt und wollte die Routing Funktion am Server einschalten. Hat aber dann auch nichts geholfen. Dann ging nämlich gar nichts. Dann hatte ich gedacht, dass ich die RED Box einfach an die Firewall im Feuerwehr Netz dran hänge und dann darüber die Verbindung aufmache, hat aber auch nicht getan. Außerdem wollte ich sowieso das Feuerwehr Netz weiter vom Hauptnetz separieren.

Nach mehreren Versuchen war die Lösung (wenn man mal 2 Minuten länger drüber nachdenkt) so einfach wie logisch. Da der Feuerwehr Server aktuell 2 Netzwerkkarten hat, gibt es auch zwei Standard Gateways. Daher weiß der Server auch nie so richtig, wohin er die Pakete in fremde Netze schicken muss. Ein Routing war in diesem Fall auch nicht notwendig, da ich keine Verbindung von einem Client (192.x.x.x) ins Hauptnetz haben wollte. Also hab ich einfach bei der Netzwerkkarte mit 192.x.x.x den Gateway ausgeschaltet und leite den Traffic, der unbekannt ist immer über die zweite Netzwerkkarte (10.x.x.x) weiter.
So kann ich ohne große Probleme die Pakete zum PRTG Server über die zweite Netzwerkkarte (10.x.x.x) leiten und der normale Internet Traffic wird dann intelligentem Split Tunneling von der RED Box vorher über die normale Internet Verbindung geleitet. Da sich das normale Feuerwehr Netz und die RED Box denselben Internetanschluss teilen entsteht hier kein Performance Verlust.

Wenn ihr also mal so ein Thema habt: Nicht kompliziert denken, sondern immer zuerst schauen welcher Anschluss wirklich den Gateway braucht. Und dann bei einer der Karten den Gateway Eintrag entfernen.

Um einen Port per Powershell zu prüfen gibt es noch folgenden Tipp:
1..65335 | % -ThrottleLimit 500 -Parallel {write-host ((new-object Net.Sockets.TcpClient).Connect("192.168.1.5",$_)) "Port $_ is open!"} 2>$null

Ihr müsst nur die IP und vorne die Port Range anpassen. In meinem Fall hab ich halt statt 1..65335 gleich 23560 eingegeben.

Exchange Online: Abwesenheitsbenachrichtigung bei freigegeben Postfächern

Die "Out of Office" Benachrichtigungen sind eigentlich immer eine gute Sache. So weiß der Absender der E-Mail, dass die Bearbeitung vielleicht aktuell etwas länger dauert. Bei normalen Postfächern ist das auch nie ein Problem. Aber bei freigegebenen Postfächern ist das gar nicht so einfach. Im Outlook Kontext scheint das gar nicht wirklich vorgesehen zu sein. Wie gut, dass es dann auch noch die Web App von Outlook gibt. Damit kann man dann plötzlich doch die Abwesenheitsbenachrichtigung einrichten. Schade, dass es so umständlich ist. Aber immerhin gibt es nun eine Möglichkeit dies zu machen.

Ninite - Mehrere Tools auf einmal installieren

Wenn man Windows installiert, gibt es doch meistens einige Tools, die man immer auf dem Rechner haben will.
7-Zip oder auch den Irfanview beispielsweise. Früher waren die Codecs auch noch ein Thema.
Es gibt mit Ninite ein Tool, welches Dir diese Aufgabe abnimmt. Es erstellt ein Setup welches alles auf einmal herunterlädt und dann installiert. Falls Du das noch nicht kanntest ist es vielleicht ein guter Tipp für dich.

Basic Auth wird in Exchange Online ab Oktober 2022 deaktiviert

Microsoft hatte schon im Herbst 2020 vor, die Standardauthentifizierung für Exchange Online zu deaktivieren. Das ist besonders für Nutzer von älteren Mandanten (vor 2017) interessant. Damals war Basic Auth nämlich noch standardmäßig aktiv und die Modern Auth wurde nicht standardmäßig aktiviert.
Im Prinzip ist die Umstellung kein Hexenwerk und Microsoft führt dies schließlich auch ein, damit die Authentifizierung endlich sicherer wird. Zwar wird von den allermeisten Outlook Usern schon immer HTTPS zur Kommunikation mit Exchange Online verwendet, aber eben auch mit Basic Auth Benutzername und Kennwort im Klartext übermittelt. Erst mit Modern Auth wird die OAuth Technologie verwendet. Sprich, die Anwendung muss sich einmalig identifizieren und bekommt dann zukünftig einen Token. Hier ist es nochmal schön beschrieben.
- Wenn man im Unternehmen nur Outlook ab 2016 aufwärts verwendet, ist das zu 99 % eh schon alles erledigt. Die Modern Auth wird ab Outlook 2016 standardmäßig verwendet. Ihr seht dies schon bei der Abfrage vom Kennwort in Outlook.
- Wenn ihr aber ein MDM System verwendet, kann es immer noch sein, dass ihr nicht die Modern Auth verwendet. Das solltet ihr auf jeden Fall prüfen.
- Außerdem kann es vorkommen, dass irgendwo noch IMAP oder SMTP mit Basic Auth verwendet wird. Wenn dies der Fall ist, solltet ihr dies abschalten. Es gibt zwar offiziell auch OAuth für IMAP, aber ob gerade euer Programm dies eingebaut hat, ist eher ein Glücksspiel.

Falls ihr Unterstützung bei der Umsetzung benötigt, schreibt doch gerne mal eine Anfrage rein. Ich schaue es mir dann gerne an.

Exchange Online Verbindung per Powershell mit MFA

Wenn man in Office 365 MFA aktiviert hat, funktioniert leider die alte Verbindung zu Exchange Online per Powershell nicht mehr. Aber um das neue EXOModule zu installieren ist leider auch etwas Magie notwendig.
Zuerst muss Powershell-Get installiert werden.
Also eine Powershell mit Adminrechten aufmachen und folgenden Befehl abfeuern: Install-PackageProvider -Name NuGet -Force Damit wird NuGet für Powershell installiert und man sich nun Pakete für Powershell herunterladen und installieren. Unter anderem das vielfach geforderte Install-Module -Name ExchangeOnlineManagement
Danach kann man plötzlich mit Connect-ExchangeOnline -UserPrincipalName deine@mailadresse.de wieder eine Verbindung zur Exchange Online Shell aufbauen. Weil Windows dann vermutlich schon irgendwo deine Logindaten zum Beispiel von Teams hat und damit die Authentifizierung bist Du dann schon automatisch mit der Exchange Online Shell verbunden. Mehr Infos dazu hier.

Und das alles nur um mal DKIM für meine Domain einzurichten.
Dazu hab ich eben New-DkimSigningConfig -DomainName aichele-it-consulting.de -KeySize 2048 -Enabled $true eingegeben und habe damit schon die Schlüssel erstellt. Danach muss natürlich noch der CNAME Eintrag erstellen.
Dieser heißt immer gleich selector1._domainkey und selector2._domainkey als Name und als Wert immer das was diese Abfrage hier ausspuckkt: Get-DkimSigningConfig -Identity aichele-it-consulting.de | Format-List Selector1CNAME, Selector2CNAME Statt aichele-it-consulting.de eben deine eigene Domain eingeben. Hier in dieser Anleitung ist es auch ausführlich beschrieben. Über die GUI kann man nach Veröffentlichen der CNAME Einträge auch eine Aktivierung versuchen. Alternativ über die Powershell mal diese Ausgabe ausprobieren. Wenn bei Get-DkimSigningConfig -Identity aichele-it-consulting.de | Format-List nun bei Enabled ein True dahinter steht ist DKIM aktiviert. Wenn ihr noch ein Gmail Konto habt und eine E-Mail Adresse von eurer gerade mit DKIM aktivierten Office 365 E-Mail eine E-Mail dorthin schickt, könnt ihr auch schön prüfen ob DKIM funktioniert.

Und um DMARC dann auch noch einzurichten ist tatsächlich nicht mehr viel Magie notwendig. Nur ein TXT Eintrag auf der Domain wie hier beschrieben.
Er hört auf _dmarc und hat als Wert beispielsweise sowas: v=DMARC1; p=quarantine;

Und schon hat man auf mxtoolbox auch endlich wieder grünes Licht. Was macht man nicht alles um einen kleinen Beitrag zu leisten und keinen Spam zu verschicken.

Und weil ich das irgendwann sicherlich wieder brauche und mich gerade einen Wolf gesucht habe gibt es diesen Tipp hier mal zum Nachlesen.