Die Sonosplayer bieten einige Informationen über das Sonos Netzwerk.
Diese Informationen kann man aufrufen über die folgenden Adressen:
http://<IP SONOS DEVICE>:1400/status
http://<IP SONOS DEVICE>:1400/support/review
http://<IP SONOS DEVICE>:1400/status/scanresults
Weitere Informationen: https://technikblog.ch/2015/08/sonos-web-interface-erweiterte-einrichtung-fuer-sonos-lautsprecher/
Dieser Tip funktioniert zwar grundsätzlich, ist aber weit entfernt davon als stabil zu gelten – womöglich kann er dazu dienen eine kurze Zeit als Notlösung zu fungieren.
Stellen Sie auf dem Rechner im BIOS/UEFI ein, das der Rechner immer an bleibt und nach einem Stromausfall wieder hochfährt.
Stellen Sie im Windows in den Energieoptionen ein, das der Rechner nicht ausschaltet (Festplatte und Monitor können jedoch ausgehen). Es muss niemand am Rechner angemeldet sein, nachdem alles eingerichtet wurde! Es reicht wenn er hochfährt.
Melden Sie sich an Windows mit Adminrechten an und geben Sie dem Rechner eine Feste IP, sowie alle benötigten weiteren Parameter wie DNS und Gateway.
Installieren Sie den aktuellsten Open VPN oder Sophos VPN Client und richten Sie die SSL Verbindung ein (am besten mit rechter Maustaste und „Als Administrator ausführen“) und testen Sie die Verbindung.
Sollte diese funktionieren, gehen Sie bitte in das Config Verzeichnis des VPN Clients (z.B. C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config) und erstellen sie eine Datei mit dem Namen password.txt, tragen sie in der ersten Zeile den Benutzernamen und in der zweiten Zeile das Kennwort ein.
Öffnen Sie die entsprechende Config-Datei und tragen Sie nach auth-user-pass ein Leerzeichen und dann password.txt ein:
auth-user-pass password.txt
Prüfen Sie nun ob Sie die Verbindung ohne Zugangsdaten aufbauen können.
Klicken Sie nun auf Start und tippen Sie services.msc und machen ein Doppelklick auf OpenVPN Service und stellen Sie die Startart auf Automatisch.
Wenn Sie den Rechner neustarten und sich anmelden, sollten sie nach ein paar Sekunden Adressen aus dem entfernten VPN anpingen können (ohne das der VPN Client eine Verbindung anzeigt). Es sollte jedoch die Netzwerkschnittstelle des VPN Clients im Netzwerk- und Freigabecenter aktiv sein (kein rotes X).
Sollte nun soweit alles funktionieren, gehen Sie bitte mit der rechten Maustaste auf die Verbindung in die Eigenschaften auf dem Tab Freigabe (sollte der nicht vorhanden sein, deinstallieren Sie bitte den alten VPN Client und installieren eine aktuelle Version mit Adminrechten).
Windows wird nun eine Meldung ausgeben, das von der Netzwerkschnittstelle die IP Adresse verändert wird auf 192.168.137.1 – stellen Sie die Netzwerkeinstellungen wieder zurück auf die richtigen Werte. Nach ein paar Sekunden sollten wieder entferne Ressourcen anzupingen sein.
Damit nun die anderen Rechner auch das entsprechende Netz finden, müssen Sie eine Route erstellen auf das entfernte Netz, damit sie das nicht an jedem Rechner machen müssen, machen Sie das am besten auf den vorhandenen Router, der die Internetverbindung herstellt – z.B. bei einer Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:
Bekannte Probleme:
Nach einem Neustart funktioniert die Verbindung zwar an dem Rechner wo das VPN Installiert ist, jedoch nicht mehr bei den anderen Geräten im Netzwerk:
Hier muss einmal wieder der Hacken bei „Internetverbindung freigeben“ bei der VPN Netzwerkschnittstelle entfernt werden – da dabei Windows auch die IP bei der LAN Verbindung zurücksetzt auf 192.168.137.1, muss hier wieder alles die zuvor konfigurierte Adresse zurückgesetzt werden. Nach ein paar Sekunden ist die Verbindung durch den VPN Dienst wieder neugestartet und sollte wieder funktionieren.
Alle Geräte im Netzwerk können auf das Remotenetzwerk zugreifen, jedoch das Remotenetzwerk nicht auf die lokalen Geräte:
Dies wird auch leider nicht funktionieren, da alle Geräte hinter der Adresse des einzelnen VPN Rechners per NAT (Network Adress Translation) versteckt sind und nicht erreichbar sind. Hier würde eine Lösung benötigt, die das gesamte Netz anbindet (z.B. ein Hardwarerouter auf Raspi-Basis). Evtl. kommt hierzu noch ein entsprechender Beitrag.
Alte Officedokumentenformate (doc, dot, xls, xlt, ppt) sowie auch neue Officeformate mit der Endung *m (docxm, dotxm, xlsm, xltm) können Macros enthalten, welche Schadensroutinen beinhalten.
Diese Dokumente werden per Email versendet und infizieren Computer und versuchen z.B. Dateien zu verschlüsseln und Lösegeld zu erpressen.
Eine Gefahr ist, das Virenscanner oft nicht vor den Dateien warnen, da das Dokument beim Versand noch kein Virus enthält, sondern erst das Macro diesen lädt. Oft warnt auch dann nicht der Virenscanner, da dieser die Festplatte überwacht – die Anwendung wird jedoch nicht gespeichert, sondern direkt aus dem Speicher ausgeführt.
Das größte Probleme dabei ist, das diese mails mittlerweile täuschend echt aussehen, auf echten Dokumenten beruhen, perfektes Deutsch verwendet wird oder gar vorgeben vom Kollegen zu stammen.
Der sicherste Schutz ist, die oben genannten Dateien direkt auf dem Mailgateway zu blockieren.
Weiterhin kann man auch den Windows Scripting Host deaktivieren. Erstellen sie dazu eine GPO mit der folgenden Einstellung:
Computerkonfiguration > Richtlinien > Windows Einstellungen > Registrierung Zeichenfolge (DWORD) Enabled = 0 für den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings
Eine weitere Sicherheitsmassnahme ist es Powershell zu deaktivieren. Erstellen Sie dazu eine GPO mit den folgenden Einstellungen:
Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > AppLocker > Ausführbare Regeln > Neue Deny Regel für jeder auf den Pfad %SYSTEM32%\Windows\PowerShell*
Diese beiden GPO Ordnen Sie der OU zu, wo Workstations und Laptops enthalten sind – nicht den Servern
Dazu kann man noch GPOs für die entsprechende Officeversionen einführen, welche Macros verbieten oder deaktivieren. Mehr infos hier: https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/
Sollte die Anbindung an einem Netz erforderlich sein, kann man zum einen ein gesamtes Netz mit einer RED oder einer Firewall realisieren. Selbst eine Anbindung mit einer Fritzbox ist möglich (Achtung: Dies ist jedoch nicht von Sophos supported!).
Sollte es jedoch absolut nicht klappen, kann man einen Raspberry Pi als Router umfunktionieren und diesen per OpenVPN verbinden. Über die Fritzbox verteilt man dann die Route zu dem entfernten Netz und versteckt das Netz per NAT hinter dem Raspberry. Somit kann das gesamte lokale Netz auf das Netz hinter der Sophos zugreifen (Achtung: Da dies keine Site-to-Site Anbindung ist, kann man nicht aus dem Netz hinter der Sophos auf das entfernte Netz zugreifen).
Ich nutze hier einen aktuellen Raspberry Pi in der Version 3B (dieser hat genug Power und ein Gigabit LAN Interface). Dieser kostet um die 35€, komplette Sets gibt es bei Amazon und vielen anderen für ca. 60€ inkl. Raspberry Pi, Netzteil, Gehäuse, SD Karte mit Adapter, HDMI Kabel und Anleitung.
Aktivieren und richten Sie den SSL Fernzugriff ein auf der Sophos. Gehen Sie dazu auf Remote Access > SSL > New Remote Access Profile … und erstellen ein Profil wie folgt:
Erstellen Sie nun auf der Sophos einen User wie folgt (natürlich mit echten Daten):
Diesen User nun einer Gruppe hinzufügen die SSL VPN Rechte hat oder direkt in dem SSL Fernzugriff Profil hinzufügen.
Laden Sie nun die entsprechende ovpn Datei herunter (aus der Zip-Datei extrahieren).
Tipp: SSL-Konfigurationsdatei als Admin runterladen!
Als Basis setze ich ein aktuelles Raspberian Stretch Lite ein (Download).
Wie in der Anleitung beschrieben, entpacke ich die Datei nach dem Download und überspiele die entpackte ISO Datei mit dem Tool Etcher auf die SD Karte.
Anschließend kommt die Karte in dem Raspberry Pi und das Gerät wird gestartet.
Wenn das System gestartet ist, als User pi mit dem Passwort raspberry einloggen (beachtet bitte, das das Default Keyboardlayout US ist und somit das z statt dem y zu verwenden ist) und das System updaten wie folgt:
sudo apt-get update
sudo apt-get dist-upgradeAls nächstes dann den Raspberry Pi einrichten mit dem folgenden Befehl:
sudo raspi-configStellt bitte nun ein neues Passwort ein, die IP Adresse und das Keyboard Layout auf DE. Ich aktiviere auch SSH, damit ich bequem per SSH und Copy&Paste von einem Rechner mit Internetanschluß die Konfiguration abarbeiten kann. Wenn Sie SSH nicht mehr benötigen, können Sie es wieder über raspi-config deaktivieren.
Ich habe die folgenden Einstellungen gewählt (Basis für mein ISO zur Verteilung):
Nach einem Neustart deaktivieren Sie noch WLAN und Bluetooth laut dieser Anleitung wie folgt:
sudo nano /boot/config.txt # turn wifi and bluetooth off
dtoverlay=pi3-disable-wifi
dtoverlay=pi3-disable-bt Anschließend noch den hciuart Dienst deaktivieren und neustarten:
sudo systemctl disable hciuart
sudo reboot Ich gehe hier grundsätzlich nach dieser Anleitung vor, habe jedoch ein paar kleine Änderungen.
Als erstes den VPN Client installieren mit:
sudo apt-get install openvpn
Diese eben kopierte VPN-Konfigurationsdatei bitte nach remote.conf umbennen und nach /etc/openvpn kopieren (z.B. mittels wget oder FTP auf dem Rechner kopieren).
Hinweis: Wenn die Datei anders heißen soll, bitte unten bei Systemctl diese Datei entsprechend anpassen. Die Endung sollte jedoch .conf sein – nicht .ovpn, da sonst Systemctl nicht den Dienst starten kann – es wird kein kompletter Dateiname angegeben und .conf automatisch angehangen!
Dann eine Datei mit dem Namen login mit Zugangsdaten erstellen (in der erste Zeile ist der Username und in der zweiten Zeile das Passwort):
sudo nano /etc/openvpn/login
Dann an der Datei die Rechte anpassen, das nur root sie einsehen kann:
sudo chmod 600 /etc/openvpn/loginEditieren Sie die ovpn-Datei, das hinter auth-user-pass noch der Dateinamen Login steht und speichern diese:
auth-user-pass /etc/openvpn/login
Mit dem folgenden Befehl können Sie sehen, ob die Einwahl erfolgreich war (diese müsste dann in der Sophos unter Fernzugriff angezeigt werden):
sudo openvpn --config /etc/openvpn/remote.confNun wird das VPN so eingestellt, das es direkt nach dem Boot läuft (Achtung: Der Dateiname OHNE .ovpn):
sudo systemctl enable openvpn@remoteNun muss noch IP Forwarding aktiviert werden:
echo -e '\n#Enable IP Routing\nnet.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -pAnschließend noch NAT aktivieren:
sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPTDie Regeln speichern:
sudo apt-get install iptables-persistentWeiterhin müssen sie der Raspberry stets die selbe Adresse zuordnen, dies können sie über die Fritzbox einstellen (sofern diese den DHCP Server stellt). Gehen Sie dazu unter Heimnetz > Netzwerk > Rapberry auswählen und auf das Stiftsymbol klicken. Kontrollieren sie Namen und IP Adresse und machen Sie einen Hacken bei Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.
Damit auch die anderen Rechner im LAN das VPN Netz finden, muss auf dem Internetrouter noch eine Route bekanntgegeben werden – hier anhand einer Fritzbox, gehen Sie unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:
Falls sie möchten, können Sie ein fertiges Image runterladen und dieses nur noch anpassen. Das Image hat folgende Konfiguration:
Das Image können Sie hier herunterladen. Es wurde gezippt, damit es weniger Platz und Bandbreite spart. Entzippt es (z.B. mit 7-Zip) und kopiert es dann mit einem Imagetool (z.B. mit Win32Diskimager) auf eine neue SD Karte und startet damit euren Raspberry. Mit den Tools könnt ihr euch auch selber jederzeit ein Backup erstellen (z.B. Sicherungskopie wenn alles funktioniert).
Wenn Sie das Image einsetzen, sollten Sie unbedingt das Kennwort ändern und gegebenenfalls die IP anpassen! Um das VPN nutzen zu können, müssen Sie natürlich eine OpenVPN Konfigurationsdatei einspielen. Wenn Sie SSH nicht benötigen, deaktivieren Sie es. Beachten Sie, das nun alle Rechner im Netzwerk (auch im WLAN) Zugriff auf das entfernte VPN Netz haben – auch eventuell Virenverseuchte Rechner!
Site-to-Site statt Einzelanbindung: https://www.foxplex.com/sites/sophos-utm-site-to-site-vpn-mit-openvpn/
Raspberry als VPN Server verwenden: http://www.pivpn.io/
WLAN Hotspot bereitstellen über Raspberry:
https://www.datenreise.de/raspberry-pi-3-wlan-verbindung-herstellen/
Ich übernehme keine Haftung, weder für die Dokumentation noch für das fertige Masterimage!!!
Stand 23.01.2019
Der Artikel ist noch in der Erstellung …
Wichtig: Der Sharepoint ist seit 10.4.2018 EOL, es gibt jedoch noch Sicherheitsfixes bis 11.4.2023 (Enhanced Maintenance).
Hinweis zu iOS und Android Apps: Mittlerweile kann man nicht mehr auf eigene OneNote-Dateien auf einem Sharepoint zugreifen. Hier geht nur noch lediglich der Zugriff über die Webapp oder Terminalserver – wobei dann die Stiftnutzung entfällt. Soll weiterhin ein Stift genutzt werden mit OneNote Dateien auf einem Sharepoint, so ist ein Windows Gerät zu nutzen (z.B. das Surface Go ab 429€).
Hinweis zur Windows 10 (UWP) Version bzw. Nachfolger von Office 2013/2016: Nur die Versionen OneNote 2013/2013/2016 können zu einem Sharepoint verbinden. Im Office 2019 ist kein OneNote mehr enthalten – es soll statt dessen die Windows 10 Version genutzt werden. Doch diese kann sich nicht mehr zu einem eigenen Sharepoint Server verbinden, sie unterstützt nur OneDrive oder OneDrive Business.
Nun zum eigentlichen Artikel.
Da ich meine OneNote Notizen nicht in der Cloud speichern darf (enthalten persönliche Daten) und lokal halten möchte, bleibt mir nichts anderes üblich als einen Sharepoint Server als Speicherziel einzusetzen.
Die letzte kostenlose Version ist der Sharepoint 2013 Foundation, alle anderen danach sind kostenpflichtig.
Alternativ könnte man auch einen Hosted Sharepoint verwenden und die User mit dem AD Syconisieren – dann wäre jedoch auch wieder die Daten in der Cloud, was ich nicht möchte.
Als erstes erstelle ich eine VM welche auf Windows Server 2012 R2 basiert. Diese bekommt 4 vCPUs, 8 GB Ram und 300 GB Festplatte.
Vorbereitungen:
Als Domänenadministrator anmelden.
Anschließend Chrome installieren und Sharepoint 2013 SP1 Foundation runterladen.
Im ersten durchlauf werden Softwarevoraussetzungen installieren.
Dies läufen bei mir mehrmals durch und versuchen folgende Voraussetzungen zu installieren:
• Microsoft .NET Framework 4.5
• Windows Management Framework 3.0
• Anwendungsserverrolle, Webserverrolle (IIS)
• Systemeigener Client von Microsoft SQL Server 2008 R2 SP1
• Windows Identity Foundation (KB974405)
• Microsoft Sync Framework Runtime v1.0 SP1 (x64)
• Windows Server AppFabric
• Microsoft Identity-Erweiterungen
• Microsoft Information Protection and Control-Client
• Microsoft WCF Data Services 5.0
• Microsoft WCF Data Services 5.6
• Kumulatives Updatepaket 1 für Microsoft AppFabric 1.1 für Windows Server (KB2671763)
Installiert nun das Sync Framework (alle Dateien entzippen und nach und nach installieren), WFC 5.0 und 5.6., sowie die Identity Foundation und die Extionsion.
Windows App Fabric muss ebenfalls installiert sein, jedoch benötigt, das auch noch eine Konfiguration – ladet das Softwarepacket hier und das Update hier runter. Entpackt mit einem Tool wie z.B. 7Zip nach z.B. c:\Pre – und kopiert die beiden Dateien dorthin. Wechselt mit CMD (als Administrator ausführen) und führt den folgenden Befehl aus:
preprequisiteinstaller.exe /appFabric:C:\Pre\WindowsServerAppFabricSetup_x64.exe
Nun solltet ihr euer Zertifikat einpflegen (günstige einfache Zertifikate gibt es bei ssls.com – ich nutze selber ein Wildcard von dort.
NOCH UPZUDATEN!!!
Solltet ihr noch keins haben, dann geht bitte wie hier beschrieben vor (LINK NOCH EINFÜGEN!).
Alternative Namen angeben.
Webserver veröffentlichen (z.B. Portforwarder oder Sophos WAF).
Emailanbindung erstellen
Root bei Bedarf für alle freigeben (z.B. wenn Extranet mit öfffentlichen Informationen sein soll).
Als letzten noch Windowsupdates ausführen. Ich erstelle Sicherheitshalber noch einen Snapshot vorher nach so massiven Änderungen – welchen ich natürlich nach erfolgreichen Updates wieder lösche.
Solltet ihr einen Virenschutz auf dem Server haben, denkt auch bitte daran die Ausnahmen zu definieren.
Auch solltet ihr nicht vergessen, die Datensicherung einzurichten. Löscht auch alles was ihr nicht mehr benötigt (z.B. Snapshots, Downloads und das Pre-Verzeichnis).
Nutzung:
Öffnen und erstellen in Windows 10 UWP App nicht möglich.
Öffnen und erstellen in iOS / Android nicht mehr möglich.
Öffnen und erstellen in OneNote 2013/2016
Links:
Prüfen welche Dot Net Version installiert ist: https://docs.microsoft.com/de-de/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed#net_b
Voraussetzungen manuell installieren: https://blogs.technet.microsoft.com/meamcs/2012/12/26/install-and-download-sharepoint-2013-prerequisites-offline-manually/
Sharepoint mit HTTPS veröffentlichen: https://blogs.msdn.microsoft.com/fabdulwahab/2013/01/20/configure-ssl-for-sharepoint-2013/
Erstellen OneNote Library: https://www.microsoft.com/en-us/microsoft-365/blog/2012/07/26/onenote-on-sharepoint-a-quick-guide-for-site-admins/
Sharepoint Maintenance: https://support.microsoft.com/en-us/lifecycle/search?alpha=sharepoint%202013
OneNote Datei auf eigenem Sharepoint erstellen: https://blogs.technet.microsoft.com/office_integration__sharepoint/2014/03/20/no-options-to-sync-a-onenote-notebook-to-an-on-premises-sharepoint-server/
OneNote aktivieren in Sharepoint: https://support.office.com/de-de/article/aktivieren-von-features-f%C3%BCr-websites-787f3ba1-9df6-480a-ab4c-9f4525490cb9
Diese Lösung ist nur für Problemfälle mit einem lokalen bzw. on-Premise Exchange Server – NICHT für Office 365 Exchange Systeme.
Um als erstes ein Problem mit den Anmeldedaten auszuschließen, melden Sie sich an OWA (Outlook Web Access) an und prüfen Sie ob diese richtig sind.
Wenn ja, dann kann es sein, das Outlook versucht ihre Daten mit Office 365 Server abzugleichen – obwohl Sie einen eigenen Exchange Server haben. Da dann ihre Zugangsdaten nicht akzeptiert werden vom Office 365 Server kommt immer wieder die Anmeldemaske bzw. kann die Outlook-konfiguration nicht abgeschlossen werden.
Dies sehen Sie daran, das wenn Sie ihre Emailatokonfiguration prüfen (Outlook öffnen, STRG Taste gedrückt halten und mit der rechten Maustaste auf das Outlook Icon, dann sehen Sie dort den Eintrag) und dann Verbindungsversuche kommen nach outlook.office365.com .
Um dies Outlook abzugewöhnen, können Sie einen folgenden Registryeintrag erstellen (entweder von Hand oder über GPO) unter:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Office\16.0\Outlook\AutoDiscover
Sollte das immer noch nicht klappen, so kann man noch eine weitere Lösung zu rate ziehen:
Erstellen sie in ihrem DNS eine Zone für outlook.office365.com mit einem Hosteintrag auf die IP ihres Exchange Servers (z.B. CAS Server). Warten Sie ab, bis die Einstellung im DNS repliziert ist, leeren sie den Cache des DNS Servers bzw. des Clients (ipconfig /flushdns).
Clients die mobil arbeiten könnte man die Hostsdatei anpassen.
Prüfen Sie dann erneut ob alles funktioniert.
Ich habe Unmengen an Dokumente, welche ungeordnet vorhanden sind – Beispielsweise Briefe, Verträge mit Versicherungen, Schreiben die ich mit Office erstellt habe, Rechnungen für das Auto die ich per Email erhalten habe usw.
Jedesmal wenn ich ein Dokument benötige, muss ich erst überlegen in welcher Form es kam und durchsuche entweder Ordner, Dateien auf dem Fileserver oder das Emailarchiv.
Auch wird es schwer Inhalte zu vergleichen.
Deswegen habe ich mir überlegt, alles meine Dokumente zu archivieren und in der originalen Form zu löschen (bis auf solche, die aufzubewahren sind – z.B. Versicherungspolicen usw.).
Alles andere jedoch, soll zentral an einer Stelle zusammengeführt werden und strukturiert abgelegt werden.
Dafür möchte ich mir eine Art Dokumenten Management System (fortfolgend DMS genannt) aufbauen – da es für mich privat ist, gelten keine rechtlichen Richtlinien (z.B. Aufbewahrungsdauer, nicht veränderbar usw.).
Meine Wünsche wären:
Dazu möchte ich mir gerne die folgenden Lösungen anschauen:
Nextcloud mit OCR Tesseract:
Eigentlich kein DMS, eher eine private Cloud. Jedoch mit App Anbindung, Webinterface, Open Source Scanengine (OCR), Volltextsuche, Benutzer und Rechteverwaltung.
Dazu habe ich auf dem Fileserver einen Ordner DMS eingerichtet und freigegeben. In diesem Ordner lege ich manuell alle Dateien ab und diese werden per Tesseract gescannt und indiziert.
Mit der flexiblen Suche Elasticsearch kann man dann alle Dateien über ihren Inhalt finden.
Hier hat man den Vorteil, das die Dateien normal im Dateisystem liegen und einfach gesichert werden können.
Leider sind die Ergebnisse mit Tesseract nicht so gut gewesen, so das ich eine kommerzielle Lösung für das OCR dazwischengeschaltet habe.
Dazu habe ich mir Nuance Omnipage 19 Ultimate angeschafft, welches gute Ergebnisse liefert. Leider hatte ich Probleme bei der Einrichtung des Workflows und wollte den Support in Anspruch nehmen (immer sind für mich als Privatperson eine Investition von 200€ eine Menge Geld und ich würde gerne VOR dem Kauf wissen, ob das Produkt meinen Vorstellungen entspricht) – aber leider bekam ich nur vom Support Antworten wie „Lesen Sie das Handbuch“ und „Wir kennen unsere Produkte auch nicht in der Tiefe“, was mich leider nicht zufriedenstellte – jedoch wurden bei Rückfrage einfach die Tickets geschlossen. Kein guter Support! Zu erwähnen wäre noch, das es derzeit noch eine Aktion gibt für 139€ – diese läuft zwar nur noch kurz, aber vielleicht kommt diese noch mal wieder.
Idee für später: Ich möchte Dateien vorsortieren – wenn diese schon durchsuchbar sind (z.B. Officedokumente, duchsuchbare PDF) sollen diese direkt ins Archiv in einem Unterordner mit Datum im Namen – sind diese nicht durchsuchbar (z.B. Bilder, Bild-PDF) sollen diese verschoben werden in einen Hot Folder, welcher von der OCR Software überwacht wird. Dies könnte man mit einem Ordner realisieren, welcher Aktionen ausführen kann und per VBA Dateinamen und -attribute auswertet.
Alfreso Community Edition:
Die Alfresco Community Edition ist ein komplettes DMS. Sie ist komfortabel, flexibel und ist sehr übersichtlich gehalten. Es gibt eine Weboberfläche und eine App. Sie gefällt mir sehr gut, leider jedoch legt sie die Dateien nach einem eigenen Schema ab als BIN Dateien und das zuordnen wird somit unmöglich. Da ich gerne die Dateien als normale Dateien abgelegt habe möchte, kommt Alfreso nicht in Frage. Dies war der einzige Punkt der mich störte – mir gefiel besonders, das die Community Version genauso aktuell ist wie die kommerzielle Version.
Update: Auf Alfresco kann man die Ordner als WEBDAV Laufwerk freigeben (benötigt zwingend HTTPS und bringt auch leider einige weitere Probleme mit sich). Auch wie Agorum Core kann man bei Alfresco jedoch auch die Ordner per SMB freigeben – jedoch wird auch hier die Java Implementierung mit CIFS benutzt und muss die von Windows ersetzen – was nicht ganz trivial ist. Danach kann man jedoch die Ordner direkt nutzen und dort direkt Dateien ablegen bzw. nutzen (z.B. für OCR importe).
Die Schritte sind in Stichworten wie folgt:
Weitere Informationen: https://community.alfresco.com/docs/DOC-4804-file-server-configuration#w_runningsmb2fcifsfromanormaluseraccount
Agorum Core Open:
Diese Software bietet eine kostenlose Version (Open) und kann jederzeit in eine kostenpflichtige Lösung (Pro) upgegradet werden. Auch hier gibt es eine Weboberfläche und eine App. Ebenfalls wie Alfreso ist die kostenlose als auch die Pro Version die selbe – der Unterschied ist das automatismen (KI) und OCR fehlen (wie auch bei allen anderen, da hier kostenpflichtige Tools eingesetzt werden – hier z.B. I.R.I.S.).
Interessant erscheint mir, das das DMS Laufwerk als Netzwerkfreigabe bereitgestellt wird und somit die auf die Dateien zugegriffen und weiterverarbeitet werden können.
Update: Habe eben schon mal mit dem Support Kontakt gehabt. Er war freundlich und hilfsbereit. Auch habe ich den Tipp bekommen, das schon in der Open Source Version Tesseract getestet wird und vielleicht mit hineinkommt – dann wäre das ein DMS das OCR in der „Startversion“ bietet.
Hinweis:
Die Installation ist ein wenig komplexer, beachtet bitte unbedingt die folgenden Links:
Nuxeo:
Nuxeo habe ich mir noch nicht angeschaut, ist aber geplant.
Bitfarm DMS:
Das Bitfarm DMS gibt es in einer kostenlosen und in einer kommerziellen Version. Leider ist die kostenlose Version (4.x) älter als die kommerzielle Version (6.x) und kann auch somit nicht auf die Apps usw. zurückgreifen, so das ich dieses Produkt nicht weiter verfolgt habe.
Dieser Artikel befindet sich noch in der Erstellung und wird fortlaufend erweitert.
Vorbereitung:
Zur Vorbereitung habe ich eine VM (auf VMware) erstellt mit den folgenden Werten:
In dieser habe ich Windows installiert, alle Updates durchgeführt, einen festen Namen sowie IP zugeordnet und diese ans AD angebunden.
Download:
Die derzeit aktuelle Version finden Sie hier.
Installation
Veröffentlichen
Anpassungen Webdav
Email einrichten:
Ändern Sie in der Datei C:\alfresco-community\tomcat\shared\classes\alfresco-global.properties den Eintrag:
###E-mail site invitation setting
notification.email.siteinvite=false
wie folgt ab:
###E-mail site invitation setting
notification.email.siteinvite=true
### Outbound Email Configuration
mail.host=IP des Mailservers oder Relay
mail.port=25
mail.username=anonymous
mail.password=
mail.encoding=UTF-8
mail.from.default=emailadresse@domain.de
mail.smtp.auth=false
Starten Sie anschließend über das Alfresco Community Manager Tool den Alfresco- und Tomcat-Dienst neu.
Benutzer einrichten
OCR anbinden
App einrichten
Foto mit App erstellen und per OCR ablegen
Hier erläutere ich euch, wie ich vorgehe um ein System manuell zu inventarisieren:
Server:
Client:
Auf dem Client habe ich die oben genannte EXE Datei in den Ordner C:\INSTALL kopiert und eine Verknüpfung dazu erstellt mit (docusnapscript.exe -O C:\INSTALL). Beim Aufruf wird im Hinergrund eine XML Datei erstellt, welche in den Reports Ordner kopiert werden kann. Diese Anwendung benötigt nur Userrechte – kann somit sogar vom Anwender selber durchgeführt werden und die XML eingeschickt werden (bitte vorher Zippen – wenn ich mich recht entsinne sperrt Outlook XML Dateien).
Weitere Infos:
https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Skriptbasierte-Inventarisierung_DE.pdf
Wenn ihr ein System nicht über den Agent inventarisieren könnte, prüft bitte folgendes:
Stellt sicher, das ihr den UPN (benutzer@domain.local) statt dem Prä-Win 2000 Logon (DOMAIN\Benutzer) verwendet.
Prüft ob ihr die entsprechenden Firewall ausnahmen eingerichtet habt (z.B. zum testen, die Firewall ausschalten – klappt dann das Inventarisieren, dann bitte entsprechend die Ausnahmen anpassen). Geht dabei wie hier beschrieben vor: https://media.docusnap.com/media/doc/howto/Docusnap_HowTo_Windows-Firewall-Ausnahmen_DE.pdf
Prüft bitte auch ob WMI funktioniert (testen könnt ihr dies vom Server aus mit wbemtest.exe in Richtung des Clients). Hier gibt es weitere Informationen: https://media.docusnap.com/media/doc/howto/DocusnapX_WMIZugriffsprobleme.pdf
In der Standardkonfiguration bietet Docusnap einen Webserver, der komfortabel alle Informationen bietet (lesend), welche Docusnap inventarisiert hat.
Jedoch ist auch in der Standardkonfiguration die Benutzerverwaltung deaktiviert.
Eine der ersten Tätigkeiten sollte sein, die Benutzerverwaltung zu aktivieren und die Benutzer einzurichten unter Docusnap > Administration > Docusnap Benutzer.
Anschließend kann man die Einstellung wie folgt für Docusnap vornehmen unter Docusnap > Optionen > Docusnap Server > Im Assistenten Tab 4. Server API (natürlich mit euren eigenen Daten):
Eine andere Alternative (auf die ich hier jedoch nicht eingehe),wäre es – die Windowsfirewall entsprechend anzupassen, das nur erlaubte Server/Rechner auf den Port zugreifen können.
Um Office 365 mit dem AD zu verbinden (um z.B. Exchange- oder Sharepoint Online zu verwenden oder einfach nur Anmeldeprobleme bei Outlook zu beheben) geht ihr bitte wie folgt vor:
Im Netzwerk mit Active Directory:
Melden Sie sich auf auf einem DC an und erstellen Sie Erstellen Sie über die Gruppenrichtlinienverwaltung eine neue Regel (z.B. WIN10-NO-BLOATWARE) und gehen Sie mit der rechten Maustaste auf Bearbeiten (unter Gruppenrichtlinenverwaltung > Gesamtstruktur AD-NAME > Domänen > AD-NAME > Gruppenrichtlinienelemente) unter Benutzerkonfiguration > Einstellungen > Windows-Einstellungen > Registrierung > Neues Registrierungselement mit den folgenden Werten:
Dann diese Regel noch der Benutzer OU zuordnen.
Einzelplatzrechner:
Sollten Sie jedoch kein Active Directory haben und die Einstellung auf einen Einzelplatzrechner haben, können Sie auch die Einstellung am Rechner selber vornehmen – leider jedoch muss diese pro Rechner vorgenommen werden, da die Einstellung leider nur pro Benutzer und nicht für den Rechner (also alle Benutzer) vorgesehen hat.
Gehen Sie dazu wie folgt vor:
Alternativ können Sie die folgende Datei herunterladen, entpacken und ausführen: Win10-ohne-Bloatware.zip
Veeam hat seine Backup and Replication Sicherungssoftware als Community Edition freigegeben – diese ist nun kostenlos zu haben und das dazu noch mit ein paar richtig Interessanten Features, die gerade in kleinen bis Home Netzwerken äußerst interessant sind:
Download:
https://www.veeam.com/de/virtual-machine-backup-solution-free.html
Ich nutze ein iPhone mit Telekom Vertrag. Da dies die Stream On Option hat (Musik und Video) habe ich natürlich alles so eingestellt, das es auch über Mobilfunk genutzt werden kann. Weiterhin ist WLAN Call aktiv.
Im Urlaub kann dies jedoch teuer werden, da bei WLAN Call jeder Anruf aus Deutschland geführt wird. Im EU Roaming sind zwar die Anrufe vom Ausland ins Ausland und nach Deutschland enthalten, jedoch nicht die Anrufe von Deutschland INS Ausland. Deswegen ausschalten.
Auch gilt zwar das Datenvolumen wie in Deutschland, jedoch greifen nicht die Stream On Optionen und Streaming wird voll vom Datenvolumen abgezogen.
Deswegen im iPhone (und natürlich auf iPad oder Apple Watch wenn diese eine eSIM haben) in die Einstellungen > Telefon > Rufnummer (bei Dual SIM) auswählen > WLAN-Anrufe > WLAN-Anrufe auf iPhone deaktivieren.
Dann in Einstellungen > Dienstname > Mobile Daten > Deaktivieren.
Meine Dienste waren:
Dann als nächstes direkt in den entsprechenden Apps schon Medien für unterwegs runterladen.
Heute bin ich über einen interessanten Artikel gestolpert bei networkguy.de. Dort wird OWA (Outlook Web Access bzw. Outlook Web App) und ECP (Exchange Control Panel) mit einer 2FA (2 Factor Authentification) bzw. OTP (One Time Password) geschützt.
Dies wird mit der Sophos UTM Firewall realisiert, da ich diese in der Homeversion einsetze stehen auch mir diese Optionen dafür offen.
Dafür wird in der Lizensiert die WAF (Web Application Firewall) benötigt.
Die Konfiguration stellt sich in 3 Schritten dar:
Umstellen der Sicherheit:
Nun kommt der 2. Teil, Erstellen der WAF Regeln:
Anschließend nun der 3. Teil:
Anschließend können sich die User im Userportal dann die App einrichten und OWA bzw. ECP gesichert nutzen. Dazu im Userportel anmelden mit den Anmeldedaten, dann mit der Sophos oder Google Authentificator App den QR Code kopieren.
Dann auf Fortsetzen, beim erneuten Anmelden dann jedoch hinten an dem Passwort noch den Code aus der Authentificator App einfach anhängen (sonst landet man wieder beim QR Code).
Nun ist alles eingerichtet und erfolgreich getestet – jetzt können Sie sich am OWA oder ECP anmelden.
Weitere Links:
Hinweis: Sichern Sie vorher unbedingt ihre Server, mindestens jedoch ein Backup der Sophos runterladen und beim IIS die Metabase sichern – besser sind jedoch Vollbackups. Achten Sie auch darauf, das wenn sie 2FA oder OTP denn Zugriff zum Webadmin beschränken, in gewissen Situationen keinen Zugriff mehr haben wenn die App oder das Gerät verloren geht!!
Solltet ihr eure Daten auf einem SQL Server ablegen und bei der Konfiguration von Docusnap nicht die Zugangsdaten gespeichert werden können mit dem Hinweis, das die Zugangsdaten nicht korrekt sind – könnte das daran liegen, das der Docusnap Dienst mit einem Konto läuft (z.B. lokales System) welches keinen SQL Zugriff hat.
Dies könnt ihr lösen, in dem ihr ein berechtigtes Konto im Assistenten angibt (z.B. SA oder ein anderes SQL eigenes Konto) oder aber in dem ihr ein Konto für den Dienst verwendet, welches Zugriff auf die SQL Datenbank hat.
Leider werden hier ein paar Rechte benötigt, welche der Assistent sich nicht selber geben kann – am einfachsten ist es dann in den Diensteigenschaften (Win + R Taste > Services.msc und Enter> Docusnap Dienst Doppelklick > Account angeben) den Account von Hand zu ändern und den Dienst neuzustarten. Dann kann man auch im Assistenten den entsprechenden Account verwenden.
Die Nextcloud VM kann automatisiert mit einem Cronjob aktuell gehalten werden – jedoch sollten wir zuvor erst einmal einen aktuellen Status erstellen, bevor wir die autmation einrichten.
Bevor ihr nun loslegt, solltet ihr unbeding prüfen ob ihre eine aktuelle Sicherung habt oder einen Snapshot der VM anlegen – sicher ist sicher!
Zuerst aktuallieren wir die Pakete, meldet euch dazu auf der Shell an mit nadmin und gebt folgenden ein:
sudo apt-get update
Danach könnt ihr die Distribution aktualisieren mit:
sudo apt-get dist-upgrade
Nun noch Nextcloud aktualisieren:
sudo bash /var/scripts/update.sh
Wenn alle Updates durch sind, kann man das updaten automatisieren wie folgt:
sudo crontab -u root -e
0 5 * * 1 /var/scripts/update.sh
Danach sollte ihr sicherheithalber den Server neustarten:
sudo init 6
Prüft auch bitte ob alle Apps aktiviert und kompatibel sind. Sollte alles ok sein und ihr einen Snapshot erstellt haben, so könnt ihr diesen löschen.
Nun sollten die Updates jeden Montag um 5 Uhr ausgeführt werden.
Quelle: https://www.techandme.se/nextcloud-update-is-now-fully-automated/
Das BSI (Bundesministerium für Sicherheit in der Informationstechnik) RDP (Remotedesktop Protokoll) nicht mehr für extern freizugeben, doch nun hat sich die Lage verschlechtert – es ist eine Lücke gefunden wurden, welche eine Remotecode Execution erlaubt OHNE ANMELDUNG!
Es betrifft zwar „nur“ Systeme wie Windows 7 und Server 2008 R2 und diese Lücke wird auch schon über das Windowsupdate geschlossen – jedoch kann jederzeit wieder eine solche Lücke entdeckt werden.
Möglichkeiten zur Sicherheit wären:
Eine weitere Möglichkeit wäre jedoch auch bei Nutzung des Sophos UTM mit der Advanced Network Option (VPN Lizenz) den RDP Zugriff nur noch über das sogenannte HTML 5 VPN Portal anzubieten über das Userportal:
Dazu muss erst in der Sophos UTM unter Managemt > User Portal diese eingerichtet und aktiviert werden.
Danach kann man dann unter Remote Access > HTML 5 VPN Portal dieses aktivieren und einen Server wie folgt freigeben (Beispiel):
Weitere Informationen:
Auf dem Host die Uhrzeit einstellen (z.B. im iLO – bei iLO beachten, das Zeit immer UTC ist).
Dann auf dem ESXI unter Navigator > Host > Verwalten > Uhrzeit und Datum wie folgt einstellen
In der VM dann in einer CMD Box nach C:\Programme\VMWare\VMWare Tools und folgendes eingeben:
vmwaretoolboxcmd timesync status
Mit Enable und Disable kann man die Uhrzeitsyncronisierung mit dem Host aktivieren bzw. deaktivieren.
