FAQ Übersicht

PDF24 Creator - PDF-Drucker, Erstellen von PDF Dateien aus allen Anwendungen, Umsortieren, Zusammenfügen, Editieren, Spalten, Passwortschutz. Freeware.

CutePDF Writer - PDF-Drucker für alle Windows Versionen, Free for personal, commercial, gov or edu use.

Free eXPert PDF Reader -schlanker ressourcensparender Reader, Editierfunktionen, Freeware.

PDF-XChanger Editor -PDF-Reader mit guten Editierfunktionen, Freeware. Prof. ca. 35 EUR.

PDF Factory -PDF-Drucker, PDF zusammen setzen, Pro-Version auch PDF editieren, ca. 50-100 EUR.

Windows

• Shell: XCOPY, ROBOCOPY
• PC+Server: Veeam Endpoint Backup f. Win
• PC+Server: Synology Active Backup for Business
• PC+Server: Haselo Backup
• PC+Server Files: Duplicati (unten)

Linux

• Shell: SYNC
• PC: Synology Active Backup for Business (kein Debian 13)
• Dulicati (siehe unten)

Virtualisierung

• Proxmox VE: Proxmox PBS, Veeam B&R
• VMWare: Veeam B&R

Windows Explorer: GUI. Das dümmste aller Kopier-Tools.
 - bricht bei Fehler ab.
 - ist extrem langsam.
 - Ordnernamen bekommen das neue Datum.

XCopy: CMD. Boardmittel. Praktisch und schnell.
 + kann Berechtigungen und Dateidatum kopieren.
 - Ordnernamen bekommen das neue Datum.

Robocopy: CMD. seit Windows 7 Boardmittel. Sehr leistungsstark.
 + Copy, Move, Sync
 - Ordnernamen mit Original-Datum kopieren: ab Robocopy 26 mit /DCOPY:T
  Bsp: robocopy \\Servername\e$\it\ e:\it\ /E /COPYALL /DCOPY:DAT

Fastcopy: CMD/GUI. Schnell und sehr leistungsstark. 32-/64-bit, Portable-Version
 + kann Timestamps korrekt setzen.
 + Copy (+Compare), Move, Sync
 + kopiert ACLs, Junktions und Symlinks nach Benutzerwunsch.

• Hasleo Backup Suite (Win, komplett free)
- System-Backup (Disks, Partitions, Files), Klonen/Partition ändern, Partitionen sichern mit bootfähigem WinPE
- Klonen/Wiederherstellen/Konvertieren von MBR -> GPT oder GPT -> MBR
- PC und Server-OS
- volle UEFI-Unterstützung
- auch USB-Laufwerke
siehe:
https://www.deskmodder.de/blog/2021/12/09/hasleo-backup-suite-system-backup-klonen-daten-sichern-mit-bootfaehigem-winpe-und-das-kostenlos/

• Macrium Reflect Free: IMAGE Copy, Empfehlung von CHIP.
- Disk Cloning (Free Edition ohne Partitionänderung), VSS, UEFI, GPT-Support
- incl. Rescue Media Builder
- Virtualisieren von Macrium Backup Images
Free Edition ohne:
- Delta Backups
- Server OS Backup
- USB-Copy
- Backup/Restore Files & Folders
30-Day Trial Editions, Jahresversion in CT-Notfall Windows
Free-Version ist eingestellt

• DriveImage R-Drive: - 30 Tage Testversion
  - Backup, Partition Manager, Cloning (Umzug auf größere HD, Umzug HD-> SSD)
  - auch NVMe, SD-Cards
  - Plattformen: Windows, Linux, Mac
• R-Linux: kostenlose Widerherstellungstools für Linux

• Synology Drive Server
- Sync Tool von PC zu NAS
• Synology Active Backup for Business
- Backup von PC, Server, VM oder NAS zu NAS
- alle OS (noch kein Debian 13)

• Clonezilla für Debian oder Ubuntu
  mit bootbarem Live-System

• Duplicati ist eine freie, quellofffene Software
- erweiterte Funktionen wie zentrales Cloud-Monitoring und Verwaltung, Single-Sign-In, MFA, Mandantenfähigkeit, Backup-Inhaltsprüfung in kostenpfl. Pro- od. Enterpriseversion
- läuft im Hintergrund als Server mit browserbasiertem Frontend (lokal oder remote), Multilanguage (auch DE), unterstützt VSS, intuitive Bedienung 
- dateibasiertes Backup (keine DBs, Images oder VMs), verschlüsselte, komprimierte, inkrementelle Datensicherungen (Backups)
- sehr umfangreiche Speicherziele, ca. 30 Dienste: Netzlaufwerke, integrierte oder externe USB-Festplatten oder Onlinespeicher, diverse Übertragungsprotokolle wie WebDAV, SSH, FTP, Amazon S3, Dropbox, MS OneDrive oder Google Drive, OpenStack, CephFS, NFS
- Zeitplan, max. Backup Anzahl oder Größe einstellbar, E-Mail Benachrichtigung, Backup-Prüfung (nur Metadaten)
- Plattform: Windows, MacOS, Linux, Docker

• ISO aus CD erstellen, CD-Recording
  mit InfraRecorder (Windows)

• Ubuntu auf neues System umziehen: https://wiki.ubuntuusers.de/Ubuntu_umziehen/

• Syncthing - quelloffene Synchronisation
- synchronisiert (TLS verschlüsselt) in beide oder in eine Richtung
- geeignet für LAN oder WAN
- intgerierte Versionsverwaltung
- verfügbar für viele Plattformen (Windows, Linux, Android, MacOS, Raspi4, u.a. auch für NAS von QNAP und Synology)
- per Browser auf Port 8384 konfigurierbar
P-2-P Prinzip (kein direkter Zugriff) und Versionsverwaltung schützen vor EMOTET und Co.

• Allgemeine Backup Betrachtung
• System-Backup, Harddisk wechseln
• Backup Betriebssystem
• Veeam Backup
• Lupinho Hardlink Backup

- automatische Erzeugung von List-Gruppen:
Listrechte müssen in der Konfigurationsoberfläche für jeden Fileserver einmal aktiviert werden.
Um Listrechte zu aktivieren, gehen Sie bitte in der Konfigurationsoberfläche zu „Scans“.
Dort wählen Sie den gewünschten Fileserver aus und aktivieren im letzten Satz den Assistenten für Listrechte.
8MAN Group Wizard verwenden, damit Listrechte automatisch gesetzt werden.

- Ablaufdatum für Berechtigungen setzen:
In der Active Directory-Ansicht suchen Sie z. B. einen Benutzer oder eine Gruppe die aus, die Sie gerne mit einem Ablaufdatum versehen möchten.
Machen Sie einen Rechtsklick auf das Objekt, wählen - > „Ändern der Gruppenmitgliedschaften“ und wählen in der Mitgliederliste das Objekt aus, welches Sie mit einem Ablaufdatum versehen möchten.
Nun wieder Rechtsklick auf den Benutzer oder die Gruppe und „Ablaufdatum setzen“ wählen.
Jetzt können Sie ein Ablaufdatum setzen.

 Helpdesk: http://help.8man.com/de/index.html

Links:
http://www.aikux.com/videos/8man-enterprise/

- InfraRecorder Portable - schnell und einfach. (Data, Audio, Video, Image, Copy)
  http://infrarecorder.org/

• Powershell 5 - alte original MS Powershell (in Windows Desktop und Server, im Startmenue oder Aufruf "powershell")
• Powershell 7.1 - aktuelle quelloffene Powershell Core, muß nachgeladen werden im MS Store oder bei Github, Aufruf mit "pwsh".
                          basiert auf (quelloffener) .NET Plattform
                          läuft unter MacOS, Linux und Windows
                          als Script-Editor/Debugger dient MS Visual Studio Code

Powershell (5) ISE als Admin starten! (aus der Powershell heraus: "ise")
- Script-Ausführung dauerhaft aktivieren: Set-ExecutionPolicy RemoteSigned
 (nur noch PS1 aus dem Internet oder ohne vertraute Signatur werden geblockt)
  Mehr Infos mit help about_Execution_Policies (Bypass / Restricted)
- Script remote ausführen: Enable-PSRemoting

- $PSVersionTable - Version
- update-help -> zuerst ausführen! (aktualisiert die Hilfe, dauert Minuten)
- get-help -> Hilfe allgemein
- help Befehl -> Hilfe zum Befehl
- help Befehl -detailed -> detaillierte Hilfe zum Befehl
- help about_* -> Hilfe zum PS-Konzept

- get-command -> Liste aller Befehle
- # - Kommentarzeile
- <# ... #> - Kommentarblock, auch mehrzeilig

- get-(befehl) -example -> zeigt Beispiele
- Get-Module -listavailable  - zeigt alle installierten Module


In der Powershell lassen sich alle externen .exe-Kommandos wie robocopy oder bcdedit, netsh, notepad usw. aufrufen.
Die meisten CMD-Befehle wie cd, md, dir, del funktionieren auch.

Viele weitere PS-Module in der MS PowerShell Gallery.

Ausgabebefehle:
- Write-Host - (auch farbig oder mit formatierten Arrays möglich)
- Write-Output (echo) - einfache Ausgabe
- Write-Error - gibt Fehlermeldungen aus

Add-On Menue / Webseite mit AddOns öffnen: praktische AddOns!
  - MS Script Browser: durchsucht Poswershell Scripte nach Stichworten

Beispiele:

• Get-Prozess - Liste aller Prozesse. (Parameter "*edge" schränkt auf Edge-Prozesse ein)
• Get-Member - liefert Bestandteile eines vorher genannten Objektes.
• Get-Prozess firefox | Get-Member - liefert alle verfügbaren Attribute
  Format-List oder Format-Table - liefert formatierte Felder des vorher genannten Objektes
• Get-Process firefox | Format-List Name, WorkingSet - liefert Speicherverbrauch aller Firefox-Instanzen
• Get-Process firefox | Measure WorkingSet -Sum - liefert die Summe des Speicherverbrauch aller Firefox-Instanzen
• Get-Service (gsv) - Liste aller installierten Services. (mit Status)
  Where - Filter, kann mit "?" abgekürzt werden
  -eq prüft auf Gleichheit (ne - ungleich, -gt - größer als, -lt - kleiner als, -ge -größer/gleich, -le - kleiner/gleich)
• Get-Service | Where Status -eq Running - alle laufenden Dienste
• Get-Service veeam* | Stop-Service  - stoppt alle Dienste, die mit Veeam beginnen
  Sort-Objekt (sort) - sortiert das übergebene Objekt
  dir | sort Length -descending
• Get-Date - Datum mit allen Objekten (Tag, Monat, Stunde, Tag des Jahres, Tag der Woche...)
  New-Timespan - zum Berechnen von Tagesdifferenzen
• Get-AD... Feature installieren
  • Get-WindowsCapability -Name RSAT.ActiveDirectory* -Online | Add-WindowsCapability -Online
  • Install-WindowsFeature -Name “RSAT-AD-PowerShell” -IncludeAllSubFeature
• Get-Aduser -Filter * -Properties Name, PasswordNeverExpires | Where-Object {$_.PasswordNeverExpires -like "True"} | Format-Table  - liste aller AD-User, deren Kennworte nie ablaufen
• Get-Aduser -Filter * -Properties LastLogonDate | Where-Object {$_.LastLogonDate -ne $null -and $_.LastLogonDate -lt (Get-Date).AddDays(-180)} | Sort-Object LastLogonDate  - listet AD-User, die länger als 180 Tage nicht angemeldet waren
• Get-VM ... HyperV Modul installieren
  • Install-WindowsFeature -Name Hyper-V-PowerShell

Variablen müssen nicht definiert werden.
Groß- und Kleinbuchstaben werden nicht unterschieden.
Jedes PS-Fenster hat seine eigenen Variablen, die beim Schließen des Fensters gelöscht werden.
$antwort = 5 * 3

$1woche = (Get-Date) - (New-TimeSpan -Days 7)
$kannweg = dir *.log | WHERE LastWriteTime -lt $1woche
Liefert Liste aller Log-Dateien > 1 Woche

Die Variable kann wieder in eine Filter-Pipeline übergeben werden.
$platz = $kannweg | measure Length -Sum

Berechnung mit der Eigenschaft "Sum" des Objektes "$platz".
$MByte = $platz.Sum / (1024*1024)

Mit dieser Methode kann auf alle Objekte zugegriffen werden.
$Jahr = (Get-Date).Year

Remove-Item (del) - löscht Datei
$kannweg | Remove-Item - löscht die oben definierte Liste in $kannweg

ForEach.Object (foreach oder %) - Schleife
$kannweg | % { move $_ e:\temp\test } - verschiebt Dateien aus "$kannweg" nach e:\temp\test
{} - umschließt Script-Block
Ruft nacheinander für jeden Eintrag von "$kannweg" den Script-Block auf.
Zuvor speichert es den aktuellen Eintrag von $kannweg in die Variable "$_", die als Platzhalter genutzt werden kann.

Auch WHERE nimmt Script-Block entgegen.
Get-Process | where {$_.Company -match 'Microsoft'} oder
Get-Process | where {$_.Company -match 'Microsoft' -and $_.WS -ge 10*1024*1024} - liefert Prozesse vom MS > 10MB

Die Powershell bildet REG-Schlüssel, Zertifikatsspeicher, Umgebungsvariablen als PSDrives ab.
Get-PSDrive - Liste aller PSDrives.
cd "HKCU:\Control Panel\Desktop\" - wechselt in den REG-Schlüssel, Anzeige mit "dir"

Get-Item-Property (gp) - liest Eigenschaften des angegebenen Objektes
gp . WallPaper - liefert Dateinamen des Bildschirmschoners.
Set-Item-Property (sp) - schreibt Eigenschaften des angegebenen Objektes
Remove-Item-Property (rp) - löscht Eigenschaften des angegebenen Objektes
help Registry - liefert Liste aller zur REG-Bearbeitung interessanten Befehle

get-childitem -path hklm:\software - Softwareliste
(get-childitem -path hklm:\software).Property - Softwareliste gefiltert

cd "Env:" - wechselt in Umgebungsvariablen. Hier geht wieder dir, gp, sp, rp...
$env:path - Inhalt von Umgebungsvariable %PATH%
$env:temp - Inhalt von Umgebungsvariable %TEMP%

Kontrollstrukturen:
(While, Do-While, Do-Until, For, Foreach)
if (Bedingung)
 { Befehle }
elseif (Bedingung)
 { Befehle }
else
 { Befehle }
IF (Test-Path "$env:TEMP\error.log") ... - prüft die Existenz eines Datei- oder Ordnernamens

Funktionen:
function NAME
{ bla, bla }

Aufruf einfach mit "NAME".
Funktionen können Parameter übergeben bekommen, für die man Defaults setzen kann.
Rückgabewerte per "return WERT" - beendet Schleife und Funktion sofort

function LogsLöschen($Ordner = ".", $Alter = 7)
{
 $datum = (Get-Date) - (New-TimeSpan -Days $Alter)
 dir "$Ordner\*.log" | ? LastWriteTime -lt $datum | Remove-Item
}

Aufruf ist möglich mit oder ohne Parameter, auch nur Parameter2 (Bsp. 4):

LogsLoeschen
LogsLoeschen Temp
LogsLoeschen Temp 30
LogsLoeschen -Alter 14

Beispielfunktion mit Array/Liste und Return, formatiert Zahlen übersichtlich und mit Einheit.
- return "{0:f2} - erstes Argument (0) wird als Gleitkommazahl mit 2 Nachkommastellen ausgegeben
- -f $Wert, $units[$unit] - formatierte Ausgabe

function BinFormat($Wert)
{
 $units = "", "Kilo", "Mega", "Giga", "Tera", "Peta", "Exa", "Zetta", "Yotta"
 $unit = 0
 while($Wert -ge 1024 -and $unit -lt $units.Length - 1)
 {
  $Wert = $Wert / 1024
  $unit++
 }
 return "{0:f2} {1}" -f $Wert, $units[$unit]
}

Externe PS-Scripts lassen sich einbinden mit ". MeineFunktionen.ps1".

Alle beim PS-Start per Default ausgeführtenScripts erfährt man mit:

$profile | fl * -Force

Dabei gibt es Scripts für AllUser und CurrentUser, die entsprechend ergänzt werden können.
"CurrentHost" ist nur die aktuelle PS-Sitzung.

Beispielscript mit .NET Framework Einbindung.
Wenn der aktuelle User ein Admin ist, färbe Fenster rot.

function BinIchAdmin() {
 $identity = [System.Security.Principal.WindowsIdentity]::GetCurrent()
 $princ = New-Object System.Security.Principal.WindowsPrincipal($identity)
 return $princ.IsInRole([System.Security.Principal.WindowsBuiltInRole]::Administrator)
} & {
 $ui = (Get-Host).UI.RawUI
 if(BinIchAdmin) {
  $ui.BackgroundColor = "DarkRed"
  Clear-Host
 }
}

Reguläre Ausdrücke
Bsp.: Liest Datei test.log und gibt nur Zeilen aus, in denen "Error" steht.

Select-String test.log 'Error'

Bsp2: Suchmuster "Error" oder "Warning". (Pipe steht für ODER)

Select-String test.log 'Error|Warning'

Bsp3: Aufruf geht auch mit Wildcards (*.log) und liest dann alle betroffenen Dateien.

Der Vergleichsoperator -match dient zum filtern.
Beispiel:
- "DIR" landet über die Pipe bei WHERE
- "-match" liefert nur WAHR, wenn der folgende Ausdruck passt
- "." (Punkt) steht normalerweise für ein beliebiges Zeichen, ähnlich Fragezeichen in Dateimasken (soll er hier aber nicht)
- "\" Escape-Zeichen sorgt dafür, dass das folgende Zeichen (Punkt) für sich selbst steht
- abschließendes "$" pinnt den Such-String an das Ende des durchsuchten Textes.
  (beginnt der RegEx mit "^", wird die Zeichenfolge am Anfang des Textes gesucht)
Das Beispiel sucht also Dateinamen, die mit ".txt" enden.

dir | Where Name -match '\.txt$'

RegEx Syntax kennt auch Zeichenklassen:
'[0-9]' - beliebige Ziffer
'[a-z]' - beliebigen Buchstaben (KEINE Umlaute!)
'[a-z0-9_]' - alle Ziffern, Buchstaben und der Tiefstrich
'h[aiu]t' - findet "hat", "hit" und "hut", aber nicht "haut"
'[^a-z]' - alle Zeichen ausser a-z
'\d' - Dezimalziffern
'\w' - Wortzeichen, also Zahlen, Umlaute und Buchstaben
'\s' - Wortzwischenräume (Leerzeichen, Tab, Umbruch)
Großschreibung kehrt Bedeutung um, also '\D' - alles ausser Ziffern
'.' - beliebige Zeichen
Weitere Syntax und Beispiele in CT 08/2018 S. 172ff.

Paketmanagement
- zuerst Modul (als Admin) aktualisieren:

Install-Module PackageManagement -Force
Install-PackageProvider NuGet -Force
Install-PackageProvider PowerShellGet -Force

- Übersicht aller Funktionen:
  (gcm) Get-Command -Module PowerShellGet
- gewünschtes Modul installieren: Install-Module ...  (-Scope CurrentUser installiert in Userprofil)
- GUI zur Modulsuche und Auswahl:

Find-Module -Tag Utilities | Out-Gridview -PassThru | Install-Module -Scope CurrentUser

 Beispiel: eigenen Host, IP, Username ermitteln
- Comutername über Enviroment-Variable: "$env:computername" oder "get-childitem -path env:computername"
- IP ermitteln: hier
- Username: $Env:USERNAME

Computerinfo ermitteln:
(ausführlich Windows, Sprache, 32/64-bit, WoL, BIOS, Hardware)
Powershell: get-computerinfo
einschränken auf Windows Versionsinformation:
Powershell: get-computerinfo | select windows*  (oder OsVersion)

Quellen und Links:

• administrator.de : Links und Leitfäden
• CT 2/2018 S.166 ff, CT 6/2018 S.168 ff, CT 8/2018 S.172 ff, CT 12/2018 S. 174 ff, CT 25/2021 S. 178 ff.
• Powershell Leitfaden für Anfänger: https://docs.microsoft.com/de-de/powershell/scripting/learn/ps101/01-getting-started?view=powershell-7

Die kVASyStarter.msi nimmt für eine Batch-gesteuerte Installation folgende Parameter entgegen:
1. KVASYLAUNCHER_PROPERTIES_URL="<URL>" URL zur Starter-Konfigurationsdatei in der Form "file:////R:/ApplicationOrganizer/InhouseTest/kvasylauncher.properties". Benutze "/" anstatt "\". Als Protokoll kann auch das "http://"-Protokoll eingesetzt werden. Es muss sich hier um eine gültige URL handeln. Im Zweifelsfall kann diese im Browser getestet werden.
2. PROFILES_PATH="<Path>" Pfad zum kVASy5-Profilverzeichnis in der Form "D:\k5profiles". Default-Wert ist "#LOCALAPPDATA#\SIV.AG\kVASy\profiles". Netzwerkpfade sind möglich. Der User muß Schreibzugriff haben. Der Pfad darf auch Umgebungsvariablen enthalten, die erst zur Laufzeit vom Launcher aufgelöst werden. Diese müssen in Hashmarks (#) eingeschlossen sein. Beispiel: #USERPROFILE#\kvasy\profiles , D:\kVASy\profiles
3. WORKSPACES_PATH="<Path>" Pfad zum kVASy5-Workspace-Verzeichnis in der Form "H:\k5workspaces". Default-Wert ist "#USERPROFILE#\.sivag\kvasy\ao". Auch hier sind in Hashmarks eingeschlossene Umgebungsvariablen erlaubt.
4. CONFIGURATION_PATH="<Path>" Pfad, in dem der Starter interne Konfigurationsdateien ablegt. Es kann ein relativer Pfad (ausgehend vom Installationsverzeichnis) oder ein absoluter Pfad angegeben werden. Netzwerkpfade sind möglich. Schreibzugriff ist erforderlich. Hier sind keine Umgebungsvariablen erlaubt. ( D:\kVASy\configuration )
5. INSTALLDIR=<Pfad> Das Installationsverzeichnis. (Installation erfolgt als Administrator) ( C:\Programme\kVASyStarter )
6. /L*v <Log-Datei> Schaltet das Logging ein und kann zur Fehlersuche während der Installation verwendet werden.
7. /qn Silent-Mode - dieser Parameter muss immer der letzte sein.

Die Installation kann nur dann erfolgreich durchgeführt werden, wenn kein kVASy® Starter auf dem Installationsrechner noch ausgeführt wird. Es ist also vorher zu prüfen und sicherzustellen, dass keine launcher.exe noch ausgeführt wird.
Der Starter kann über folgenden Kommandozeilenaufruf deinstalliert werden:
msiexec /x kVASyStarter.msi 

Infra Recorder, auch portable http://infrarecorder.org/

Einfaches Tool zum CD brennen, erstellt auch ISO aus CD.

(Seit 2012 nicht mehr weiter entwickelt. Bis Windows 7 super)

Es ist kaum zu glauben, aber auch im Jahr 2017 gibt es bei Windows noch keinen Papierkorb für Dateien, die auf einem Netzwerk-Laufwerk gelöscht wurden.
Der Papierkorb greift nur lokal.
Windows Server speichern nur Dateien im Papierkorb, die an der Serverkonsole selbst gelöscht wurden.

Eine sehr praktische Software ist der Undelete Server von Condusive, der diese Lücke schließt und noch deutlich mehr bietet.
Jeder Druck auf den "Speichern"-Button am Client erzeugt eine Kopie im Undelete-Papierkorb auf dem Fileserver.
Der Papierkorb hat also eine Versionsverwaltung.
Man kann eine fehlerhafte Datei minutiös zurück rollen bis zum letzten fehlerfreien Stand.
Diesen Komfort bietet so kein Snapshot und kein Backup, und das macht die Software für mich zum unverzichtbaren Geheimtip.

Leider liegt die Priorität des Herstellers auf anderen Dingen und die Lizenzpolitik ist undurchsichtig.

Die aktuell auf der Herstellerseite und als Update angebotene Version 10 Build 7.0.202.26 ist von 2012 und unterstützt Windows 10 und Server 2016 nicht bzw. fehlerhaft.
Der Hersteller bietet aber eine Version 10 Build 7.0.205.0 von 2013 an (u.a. als Testversion), die die neuen Betriebssysteme fehlerfrei unterstützt. Beim Neuerwerb bekommt man auch diese Version. Offensichtlich wird es aber kein Update von Build 7.0.202.26 auf 7.0.205.0 geben.

Eine vergleichbare Software gibt es auch hier: https://www.1securitycenter.com/network_recycle_bin.html (veraltete Webseite ohne Impressum).

Mit regelmäßigen Volumenschattenkopien erreicht man ähnliche Sicherheit mit Bordmitteln.

Pimphony läßt sich im Benutzer nicht konfigurieren,
Fehlermeldung: Run-time-error '3204' Database already exists.

Behebung: Im Userprofil Verzeichnis: AppData/Roaming/Alcatel Pimphony/ löschen.

Bild

Der Presurfer ist ein Tool zur Lizenzüberwachung der Bentley GIS -Lizenzen.

- auf dem GIS-Server läuft das eigentliche Programm.
- alle Zugriffe werden in einer SQL-Datenbank geloggt.
  - hängengebliebene Sitzungen suchen in Datenbank dbo.AquiredLicenses mit "where StopTime is NULL"

- auf jedem zu überwachenden Client läuft ein PreserverService.

- auf Server und allen Clients liegt unter ProgramData/Corporate Montage/Runner/ eine LOG-Datei für jeden Tag.
- wenn der Server nichts loggt, läuft der Dienst auf dem Client nicht
- LOG auf dem Client ist sehr informativ.

Der Adobe Reader wird auf dem Terminalserver nicht sauber beendet und belegt vor allem nach dem Druck so viel Speicher, dass er den Server nach einigen Ausdrucken zu 100% CPU auslastet.

Abhilfe:  "geschützten Mode" deaktivieren. (In AR11 unter Sicherheit -erweitert)

oder für alle User per Registry:

Find Key: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Adobe\Acrobat Reader\DC\FeatureLockDown

Create new DWORD32 Value:

          Value Name:  bProtectedMode

          Value Data:  0

Alternative:
PDF XChange Editor free (Terminalserver-tauglich): https://www.pdf-xchange.de/DL/pdf-xchange-editor.htm

Powershell ISE starten, ggf. Script-Ausführung aktivieren.

• Host testen und IP zum Name ermitteln:

$ip = (Test-Connection 'A039N015' -Count 1).IPV4Address.IPAddressToString
Write-Host "Die IP-Adresse ist $ip"

• nur IP zu Name aus DNS ermitteln (ohne Test):

[System.Net.Dns]::Resolve('A039N015').AddressList.IPAddressToString

• ausführliches Beispiel:

<#
   Name
   Get-IPv4
   Beschreibung
   Ermittelt die IPv4, zugehörige MAC-Adresse sowie den Adapternamen
   Benötigt
   PowerShell 3.0 (Windows6.1-KB2506143-x64)
   Version, Datum, Beschreibung, Autor 
   1.0 | 23.01.2017 | Initiale Version | Stefan Rehwald
   1.1 | 11.07.2017 | Clear-Variable hinzugefügt | Stefan Rehwald
#>

function Get-IPv4 ()
{
    $IPRaw = ipconfig /all
    $i=0
    Foreach($Row in $IPRaw)
    {
        #Get IPv4 (all), MAC and Adaptername
        If($Row -like "*IPv4*")
        {
            #MAC
            $j=$i
            do
            {            
                $j--
            }while ($IPRaw[$j] -notlike "*Phy*")
            $v4_MAC = $IPRaw[$j].Trim()

            #Adaptername
            $j=$i
            do
            {            
                $j--
            }while ($IPRaw[$j] -notlike "")
            $v4_Adaptername = $IPRaw[$j-1]

            #Data
            $v4_IPv4 = $Row.Split(":")[1].trim()
            $v4_MAC =  $v4_MAC.Split(":")[1].trim()
            $v4_Adaptername = $v4_Adaptername.Replace(":","")
            $IPData =@($v4_IPv4,$v4_MAC,$v4_Adaptername)
            
            #LOG
            Write-Host "$($v4_IPv4);$($v4_MAC);$($v4_Adaptername)" -F Green
          
            #Clearing
            Clear-Variable v4_*
        }
        $j=0
        $i++

    }
}

Get-Ipv4

<# Ausgabe #>

# 172.29.0.241(Bevorzugt);E4-B3-18-E6-B1-58;Drahtlos-LAN-Adapter Drahtlosnetzwerkverbindung
# 192.168.1.1(Bevorzugt);C8-5B-76-2B-28-7C;Ethernet-Adapter LAN-Verbindung

Einfache Ausgabe der IP, ermittelt aus dem Hostname:

$IPClient = Test-Connection $env:COMPUTERNAME -Count 1

#IPv4
$IPClient.IPV4Address.IPAddressToString

#IPv6
$IPClient.IPV6Address.IPAddressToString
<# Ausgabe #>
#IPv4
# 192.168.1.1 
#IPv6
# fe80::e6:bfe9:cc2c:7e1d%13

Quelle: https://blog.stefanrehwald.de/2017/01/31/powershell-14-ipv4v6-und-mac-ermitteln-ohne-zusaetzliche-cmdlets/

So gehts auch:

Get-Wmiobject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=true" | select Description,IPAddress

Audacity

Audacity ist ein freier Audioeditor und -rekorder bzw. eine Digital Audio Workstation.
Auf beliebig vielen Spuren können Audiodateien gemischt und bearbeitet werden.
Deutsch, VST-kompatibel.

https://www.audacity.de/
CT 14/2019 S. 134ff.

Tip: mit FFmpeg Bibliothekt kann das Programm MP4 lesen, WMA, AAC u.a. importieren und exportieren.

Bandlab Cakewalk

Professionelle Musik-Produktions-Software (ähnlich Steinberg Cubase)

- Sequenzer für beliebig viele MIDI- und Audio-Spuren

- üppig ausgestattetes virtuelles Mischpult
- alle gängigen Audio- und MIDI-Treiber werdewn unterstützt, alternativ: ASIO4All-Treiber
- VST 2/3-Schnittstelle für Effekte

Achtung: Anbieter lässt sich freie Vermaktung aller Daten in den AGB abnicken!
Programm läuft aber auch offline ohne Datenübertragung.

Herstellerseite: www.bandlab.com

Beschreibung: CT 11/2018 S. 62ff
Link zu guten kostenlosen VST-Plugins: ct.de/y3um

No 23 Recorder

Freeware zum Audiomitschnitt von der Soundkarte

Aktivitätenverwaltung
Dokumentiert Schulungen, Beratung, Berichte, Vor-Ort-Termine usw. und definiert (gerade für ext. DSB) vor Ort Standardentfernungen und -reisezeiten für einfache Abrechnungsgrundlagen.

Anfragen Betroffener
Anfragen können durchsucht und gefiltert werden.
Abgeschlossene Anfragen können in ein Archiv verlagert werden.
Anfragen lassen sich (auf Wunsch) über einen privaten Link auch von nicht angemeldeten Usern erstellen.

Auftragsverarbeitung
- Vorlagen können für den eigenen Mandanten und für untergeordnete Einheiten freigeben werden.
- Eigene Vertragsgrundlagen können in den Vorlagentextbausteinen definiert werden. Neben AV-Vertrag gem. Art. 28 DS-GVO, EU-Standardvertragsklauseln, etc. können damit alle für Sie relevanten Vertragsarten abgebildet und Einträge danach gefiltert werden.
- "AV-Export" - exportiert das gesamte Verzeichnis als CSV.
- "Internes Verzeichnis" (Langform) und Behördliches Verzeichnis" - gibt die mit den Auftragsverarbeitungen verknüpften Verfahren aus.

Benutzer vs. Mitarbeiter
Benutzer melden sich im audatis an und haben einen eigenen Login + Benutzerrolle.
audatis lizenziert die Anzahl der Benutzer.
Mitarbeiter können beliebig viele erstellt werden und zu Organisationsstrukturen hinzu gefügt werden.
Benutzer können zukünftig der Dokumentations- und Nachweisverwaltung zugeordnet werden.

Online-AV-Verträge
können als elektronische Verträge direkt aus dem Programm generiert werden (kostenpflichtig).
Vertäge sind auch möglich für "Vereinbarungen für gemeinsam Verantwortliche", welche ein 1:1 Verhältnis innehaben.
Inhaltlich sind die Vereinbarungen identisch nutzbar, jedoch sprachlich etwas abgewandelt. Sie landen dann automatisch in der Übersicht der Gemeinsam Verantwortlichen und nicht in der Auftragsverarbeitung.

Berichtsverwaltung
Mächtiges Ausgabewerkzeug über fast alle Module.
* Bereiche: Internetseiten, Gemeinsam Verantwortliche, Datenschutz- und Sicherheitsvorfälle, Anfragen Betroffener, Verzeichnis der Verarbeitungstätigkeiten, Auftragsverarbeitungen, TOM lassen sich ausgeben
* je nach Bereich Ausgabe als Liste, Tortendiagramm oder Bericht möglich
* Gruppierung nach Unterpunkten möglich

Dateiablage
Zentrale Dateiablage besitz pro Ordner eigenständige Berechtigungen an Rollen oder einzelnen Benutzern.
"Shared-Ordner" lassen sich in der Group-Version über Mandanten hinweg benutzen.

Datenschutz-Vorfälle
können (auf Wunsch) über einen privaten Link auch von nicht angemeldeten Usern erstellt werden.
In Datenschutzvorfällen (Vorlagen) können Sofortmaßnahmen hinterlegt werden.

Fragebogenmanager

• Check-In Fragebogen
  Fragebogenverwaltung -> Check-In Fragebogen verwalten:
  -> Fragebogen wählen und Mandanten zuweisen
  - Fragebogen muß beim CheckIn ausgefüllt werden und läßt sich nur von Administratoren übergehen
  - erst nach Bearbeitung des Fragebogens kommt man wieder in den Mandant (!)
  - der fertig ausgefüllte Fragebogen liegt unveränderbar mit Abschlussdatum in der Fragebogenverwaltung -> Check-In Fragebogen verwalten.
  
  
• Audit Fragebogen
  - Modul Audit -> Audit erstellen: Benutzer und Fragebogen zuweisen
  - der ausgefüllte Fragebogen bleibt im Modul Audit. (Im Moment fehlt leider noch ein Ablagedatum)
  
  
• AV Selbstauskunft (nur Auftragnehmer-AN)
  - Auftragsverarbeitung -> Selbstauskunft -> Fragebogen wählen, Link generieren
  - Fragebogen kann extern ausgefüllt werden
  - Selbstauskunft wird komplett als Historie in der betr. Auftragsverarbeitung gespeichert.

Protokollverwaltung
Erstellen einfacher Gesprächsprotokolle, um diese mit Tagesordnungspunkten (TOP) zu versehen.
Jedem TOP können dabei Aufgaben oder Maßnahmen für Benutzer zugeordnet werden.
Damit lässt sich direkt bei der Protokollerstellung auch die weitere Überwachung der Abarbeitung und Verteilung von Aufgaben erledigen. (Dieses Modul muss zunächst in der Benutzerverwaltung aktiviert werden).

TOM
- Vorlagen können für den eigenen Mandanten und für untergeordnete Einheiten freigeben werden.

Vorlagenbausteine
Vorlagentextbausteine können direkt mehreren / allen Mandanten zugewiesen werden (Group-Version).

Zusammenarbeit mit Aufsichtsbehörden
Modul ist ähnlich aufgebaut wie Anfragen Betroffener.
Der Fokus liegt hier aber auf einer übersichtlichen Dokumentation aller Anfragen an und Anliegen von der Aufsichtsbehörde.
Hier können Beschwerden, Anfragen, Konsultationen in Zusammenhang mit der DSFA sowie Prüfungen durch die Aufsichtsbehörde dokumentiert und mit Fristen versehen zur Abarbeitung eingestellt werden.

Neuen Benutzer registrieren

Sofern Sie eine Einladung zur Registrierung als neuer Benutzer erhalten haben, können Sie über den entsprechenden Link einen neuen Benutzer festlegen.

1. Zunächst müssen Sie Angaben zu Ihrer Person (Name, Vorname, E-Mail-Adresse) machen und einen Benutzernamen definieren.

Die verwendete E-Mail-Adresse muss identisch zu der in der Einladungsmail angegebenen E-Mail-Adresse sein.
Das zu vergebene Passwort muss ausreichend komplex und sicher sein und ein weiteres Mal bestätigt werden.

Sie erhalten Hinweise welche Zeichen Sie verwenden dürfen und wie lang Benutzername und Passwort sein müssen!

2. Nun müssen Sie noch Ihren Freischaltcode eingeben, um die Registrierung zu verifizieren. Diesen erhalten Sie ebenfalls in der Einladungsmail.

3. Sie erhalten nun eine E-Mail mit einem Aktivierungslink, den Sie zunächst anklicken müssen, um die Registrierung abzuschließen. Anschließend können Sie sich mit Ihren Benutzerdaten anmelden.

4. Den Link zur Anmeldung finden Sie immer ganz oben rechts in der Kopfzeile.

Quelle: audatis FAQ

Software zur Datenschutz-Folgenabschätzung (PIA-Tool) des BayLfD
https://www.datenschutz-bayern.de/technik/pia-tool.html

Audatis Datenschutz-Manager
https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1280

Windows 10: lokales Passwort zurück setzen mit Bordmitteln

Windows Login Unlocker, setzt Windows Passwort zurück, sogar bei Microsoft-Account (u.a. CT Notfall-Windows), Quelle: russisches Forum

CHNTPW - setzt Windows Passwort zurück (kann keine MS Konten), OpenSource für Windows und Linux (u.a. in Kali Linux, CT Notfall Windows)

Router und Webseiten auslesen(IE): RouterPassView von Nirsoft
Browserpassworte, Netzwerkshares, Windows, Mailaccounts, PST-Dateien, RDP-Connection, VNC u.a. bei Nirsoft
John the Ripper - Passwortgeschützte ZIP-Dateien, PDF, Office, Keepass (Win, Linux, MacOS), u.a. bei Kali Linux (CT: ct.de/y41x)

EFS-verschlüsselte Dateien sind systembedingt nach einem PW-Reset nicht mehr lesbar.

Mit entsprechenden Tools ist es möglich, das Handy als "Webcam" für Videokonferenzen am PC zu nutzen.

Android: DroidCam verwandelt das Android-Handy in eine WLAN/USB-Webcam mit der man über Skype, Zoom, Teams, JitsiMeet und andere Programme chatten kann. DroidCam kann auch netzwerkübergreifend als IP-Kamera mittels Webbrowser genutzt werden.
Das Gleiche gibt es auf der Webseite des Entwicklers für IOS, die entsprechenden Treiber für Windows und Linux.

Das Mobiltelefon läßt sich über WLAN oder USB (Debug- und Entwicklermode ON) an den PC anbinden.
Eine leichte Latenz ist spürbar.
Neben dem Bild läßt sich auch das Mikrophon des Handys nutzen. Das vermeidet Synchronisationsfehler von Ton und Bild und das Handy optimiert die Echounterdrückung.
Der Einsatz von Kopfhörern zur Echounterdrückung ist aber empfehlenswert.

Bei ernsthaftem Einsatz ist eine Handyhalterung etwa in Gesichtshöhe empfehlenswert.

Weitere Tools und Praxistips in CT 14/2020 S.92ff.

GIS verteilte Versionsverwaltung (lokal, zentral, verteilt)
GITHUB ist ein Anbieter von GIT.

GIT Bash Konfiguration:
- git config --list - listet aktuelle Config
- git config --global user.name "Git-Username"
- git config --global user.email "mail@server.de"
- cd ... zum lokalen Datenverzeichnis
- git init - erstellt (leeres) Repository

Quelle: HPI

GIT Bash Daten hinzu fügen:
- git add *.php - Datei der Staging Area hinzu fügen und für Repository auswählen
- git commit - Änderungen im Repository speichern. Ggf mit Kommentar: git commit -m "Kommentar"
- git commit --ammend - ersetzt den letzten Commit mit dem Neuen (Fehlerkorrektur im Kommentar o.ä.)
- git remove - Datei wieder aus Repository und Index entfernen
- git status - zeigt Staging Cache und Repository

Online Repository
- git remote - verwaltet alle verfolgten Repositorys
- git remote add <alias><url> - synchronisiert lokalen Alias in Online-Repository
- git remote remove <alias> - entfernt Repository online
- git clone <url><alias> - clont vorhandenes Online-Repository in lokalen Alias

Lokale Änderungen online übertragen
- git push orgin/<branch>
- git push -u orgin master

Online Änderungen lokal übertragen
- git fetch origin
- git merge origin/<branch>
- git pull (=fetch+merge)

Master-Branche ist immer der aktuelle Branch.
- git branch <branchname> neuen Branch erstellen
- git checkout <branchname> Branch wechseln
- git checkeou -b <branchname> neuen Branch erstellen und gleich hin wechseln
- git merge <branchname> Merged aktuellen Branch mit <branchname>

- git log zeigt Versionshistorie des Repositorys

• Windows Media Player
  - CD auswählen
  - CD kopieren (vorher Kopiereinstellungen)

WinCC Client in MS Edge ausführen:

• URL zu "Seiten im Internet Explorer-Modus" hinzu fügen
• URL zu "Ausnahmen von Tracking-Verhinderung" hinzu fügen
• erste Webseite geht
• "webnavigatorclient.exe" herunter laden und als Admin ausführen
• Installation in MS Edge vervollständigen
• ggf. sehr schmale Navigation auf der linken Seite beachten!
• Start im Browser oder im Client (C:/Programme (x86)/Siemens/WinCC/Webnavigator/Client/bin/WinCCViewerRT)

Webnavigator 7.5:
  - Verknüpfung aus Programme/Siemens../ ziehen
  - Konfiguration wird per Default in Users/..../AppData/LocalLow/WinCCViewerRT.xml gespeichert.

SQL-Server für WinCC optimieren: https://support.industry.siemens.com/cs/document/109812306/wie-k%C3%B6nnen-sie-im-pcs-7-umfeld-die-verarbeitung-von-tasks-im-sql-server-optimieren-

Versionsübersicht:  Quelle: https://de.wikipedia.org/wiki/WinCC

1. Uninstall-Schlüssel in Registry suchen:

Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstaller

2. UninstallString (Registry: Werte=uninstall) suchen.

3. in Kommandozeile ausführen.

Bsp. Java 1.8.0.45 deinst.:
MsiExec.exe /X{26A24AE4-039D-4CA4-87B4-2F83218045F0} /quiet

Bsp.: Symantec Endpoint Protection 14 deinst.:
MsiExec.exe /I{4DF3B441-9145-4D02-970E-F18CA893EA11} /quiet
oder: Norton Removal Tool

/quiet - Hintergrundmodus ohne Benutzeraktion
/passive - unbeaufsichtigt, nur Statusleiste

• Module installieren: pip install (Modul)
• Welche Module sind installiert? pip list

Interne Module importieren:

• winsound (Beep Sound, WAV-Dateien)

Externe Module der Python Community:

• PyPI · Der Python Package Index

Aufuf: [IP-Adresse]:5000
Passwort wird bei der Erstinstallation gesetzt

Download-Zentrum (OS, Tools, Pakete):
http://download.synology.com

DIWA 5 auf neuem PC installieren

Fehler: kann Wartungen als ZIP-Datei nicht importieren
DiWa5 benötigt für den Import den Microsoft XML-Basisdienst in der Version 4.x. Fehlermeldung „Klasse nicht registriert …“
(https://docs.microsoft.com/en-us/previous-versions/windows/desktop/ms754671(v=vs.85)) ----> Msxml2.SAXXMLReader.4.0 fehlt
Lösung: Sie können die Setup-Datei für den "Microsoft XML-Basisdienst" u.a. hier herunterladen (MSI von 2016):  https://www.diwa5.de/download/direct/msxml.msi

Firebird / DIWA auf anderen Server verschieben

Firebird besitzt eine ALIASES.CONF.
- Datei steht üblicherweise in %Programms%/../Database/Server/
- Datei beinhaltet Alias und Pfad + DB-Datei

• Firebird-Dienst beenden
• FDB Datenbankdatei aus ALIASES.CONF auf neuen Server verschieben
• Dienste auf neuem Server starten

Diwa5 Neue Datenbank

C:\Program Files\DiWa5\Database\Server\aliases.conf
Datei enthält alle Aliases + Pfad zur .FDB Datendatei.

• leere Datei nehmen oder vorhanden kopieren und dort eintragen.

- Bild auf Fenstermodus verkleinern
- Bild zwischen die Bildschirme schieben, also auf beide Monitore
- auf Vollbild schalten

• Datenpartition mit /CAPAZW -Verzeichnis mit festem Laufwerksbuchstaben mappen
• Verknüpfung der Datei /CAPAZW/EXE/CAPAZW.EXE auf den Desktop erstellen
• Verknüpfungsziel mit entspr. USERx erweitern (z.B. Ziel: Z:/CAPAZW/EXE/CAPAZW.EXE USER1) - jeder User nur einmal
• Firewall-Anfrage beim erstmaligen Zugriff auf CAPAZW zulassen
• Lockmanager ( LMW ) manuell einbinden, nicht über LMWSetup
• Lockmanager muß laufen, bevor die Clients gestartet werden können
• Lizenzmanager lmw.exe startet am Terminalserver mit dem ersten Aufruf, in Folgesitzungen startet er nicht nochmal
• Firewall-Anfrage beim erstmaligen Zugriff auf LMW zulassen
• in jedem User-Verzeichnis liegt eine CAPAZW.INI mit DBLOGMGR = IP-Adresse des Lockmanagers

- diverse Schnittstellen zu anderen Programmen
  https://www.capaz.de/capaz-zasoftware-hardware

- Sicherungsprogramm im Standardlieferumfang

Verzeichnisstruktur von \CAPAZW
\CAPAZW\DBD Datenbank Patienten Stammdaten, Leistungen etc...
\CAPAZW\EXE Programmdateien
\CAPAZW\USERxx Usereinstellungen (bezogen auf Workstation)
\CAPAZW\CAM Intraorale Bilder
\CAPAZW\STA Stammdaten, Einstellungen
\CAPAZW\TEXT Schreibmaschinentexte
\CAPAZW\BAS diverse Textdateien
\CAPAZW\HELP Hilfesystem HTML-basierend

Firewall Ports für Lizenzmanager lmw.exe:
* 1523 TCP
* 50789 TCP
* 49789-49799 TCP

• vorher Snapshot erstellen, danach wieder löschen
• Taskplaner: DATEV - Jobs deaktivieren und hinterher wieder aktivieren
• Update liegt auf L:/Datev/ -> Setup starten
• DATEV Installationsmanager
• prüfen auf neueste Version
• Server-Komponenten zuerst am DATEV-Server (DC)
• Programmkomponenten dann auch an TS, (Kommunikationsserver), (Clients)
• Benutzerdefiniert Installation
• nicht Aktualisierung im Netz,
  nur Aktualisierung am Arbeitsplatz (alle Plätze einzeln)
• Assistent -> Datenanpassung

Lizenz aktivieren

• Hilfe -> Lizenzinfo und Aktivierung
• Online aktivieren
• Lizenzkey und Seriennummer eingeben
• Onlineaktivierung
• Erfolgreiche Aktivierung abwarten -> Fertigstellen

Lizenz auf neues Gerät übertragen

• Hilfe -> Client deaktivieren
• Assistent zur Deaktivierung ausfüllen
• Daten an Deaktivierungsserver übertragen
• E-Mail mit neuem Lizenzschlüssel

SNMP: Simple Network Management Protokol, Port 161 oder 162
  Scan nach SMTP-Geräten mit einfachem Portscanner möglich.

• ESXi - SNMP konfigurieren per SSH/Shell:
  esxcli system snmp set --communities public
  esxcli system snmp set --enable true
  esxcli network firewall ruleset set --ruleset-id snmp --allowed-all true
  esxcli network firewall ruleset set --ruleset-id snmp --enabled true
  # SNMP-Dienst neu starten
  /etc/init.d/snmpd restart
  # prüfe SNMP-Einstellungen
  esxcli system snmp get
• vCenter - SNMP konfigurieren per SSH
  # prüfe SNMP-Einstellungen
  snmp.get
  # setze Communiti(s)
  snmp.set --communities MySnmpCommunity
  # Allow a device to access the SNMP agent (192.168.10.10 = monitoring server)
  snmp.set --targets 192.168.10.10@161/MySnmpCommunity,localhost@161/MySnmpCommunity
  # Enable the SNMP Agent
  snmp.enable
  # Verify the SNMP Settings configured
  snmp.get
  # Test the working
  snmp.test

SNMP OIDs des Lancom Router ermitteln
- WebConfig -> Extras -> SNMP-Geräte-MIB abrufen (enthält alle OIDs)
- SSH/Putty:
  * zu gewünschtem Eintrag navigieren
  * "dir -a" -gibt OIDs des Eintrages mit aus

Beispiel: * Status / WAN / Byte-Transport / VDSL-1 Traffic: SNMP (Benutzerdefinierte Tabelle) "1.3.6.1.4.1.2356.11.1.4.1"

SNMP Debug Tool von PRTG: https://www.paessler.com/de/tools/snmptester

• SNMP testen unter Linux: sudo apt install snmp
  snmpset / snmpget
• ioBroker: EXEC-Block: snmpset -v1 -c private 172.16.100.2 .1.3.6.1.4.1.19865.1.2.2.1.0 i 0

Open Source Editor mit
Debugger mit Haltepunkten, Variablenlisten und "Call Stack".
- Start mit "CODE", ist in PATH registriert

1. Erweiterungen nachinstallieren (File -> Preferences -> Extensions)
   wichtig: German Language Pack, PowerShell (MS), CodeRunner, HTML CSS Support, PHP Debug+Intellisense
2. Einstellungen: Tab Size=2, Word Wrap= on

Nicht zu verwechseln mit Visual Studio, trotz Namensähnlichkeit ist das ein gänzlich anderes Produkt.

Such-Operatoren:

• "Gesuchter Satz" - Suchbegriffe in Anführungszeichen werden als gesamte Phrase gesucht
• -Ausschluss - "Minus" schließt Begriff aus der Suche aus (Bsp: computer chips -intel)
• allintext:china kohle kosten - gibt nur Ergebisse aus, in denen ALLE Suchbegriffe vorkommen
• site:webseite - sucht nur auf der angegebenen Webseite (Bsp: FC Bayern site:sueddeutsche.de)
• inurl:wasser - Sucht nur in URLs, in denen das Wort (wasser) vorkommt
• filetype:pdf - zeigt nur Suchergebnisse mit dem gewünschten Filetype

Alternative Suchmaschinen:

• BING - Microsoft
• QWANDT - franz., eigener Suchindex
• STARTPAGE - niederländ., leitet Suchanfragen anonymisiert an Google weiter
• DuckDuckGo - sammelt keine Personendaten, sucht in 400 Quellen wie Wikipedia, Bing, Yahoo, Yandex (kein Google)
• ECOSIA - Suchergebnisse von BING, verbindet Suche mit dem Anliegen der Aufforstung

Archiv - Suche:

• Wyback - Internet-Archiv

Powershell ISE starten, ggf. Script-Ausführung aktivieren.

Benutzer ermitteln:

• unformatierte Langform (lokal):
Get-CimInstance -ClassName Win32_ComputerSystem -Property UserName
Get-CimInstance -ClassName Win32_ComputerSystem -Property UserName | Format-Table -Property UserName

• Kurzform (lokal)
Benutzername ohne Domain: $env:UserName

• Lokal und Remote:
qwinsta /server:remotePC

AD Gruppen auslesen:

get-adgroup

Check ob User in einer Gruppe ist:

$user = $env:username
$group = "DeineSoftwaregruppe"  
$members = Get-ADGroupMember -Identity $group -Recursive | Select -ExpandProperty Name
If ($members -contains $user) {
      Softwareinstallation, weil User ist in Gruppe
      Am Ende: Remove-ADGroupMember -Identity DeineSoftwaregruppe -Members $user
 } Else {
       User ist nicht in Gruppe, tue XY
}

User zu Gruppe hinzu fügen:

PS: Add-ADGroupMember -Identity Gruppenname -Members Username

CMD:

net localgroup /add administrators Domain\adminuser
net localgroup /add administratoren Domain\adminuser

Gruppe entfernen:

Remove-ADGroupMember

Letzte angemeldete User auslesen:

get-eventlog -newest 10 -logname security | Format-List

Support-Admin Konto auktivieren, Remotesitzung, anschließend Konto deaktivieren:
- mittels PS-Script: GenerateRandomPassword.ps1
- lokalen Admin anlegen, Konto deaktivieren
- per Script Konto aktivieren, Zufallspasswort setzen, RDP anmelden, Konto wieder deaktivieren
Quelle: https://administrator.de/tutorial/sicherer-umgang-mit-supportkonten-262066.html

@echo off
set /p target=Auf welchen PC willst Du?: %=%
for /f %%a in ('powershell \\server\share\GenerateRandomPassword.ps1') do net user admin%target% %%a /domain /active /workstations:%computername%,%target% & cmdkey /add:TERMSRV/%target% /user:netbiosdomainname\admin%target% /pass:%%a
start /wait mstsc /v:%target%
pause
net user admin%target% /active:no /domain

PowerShell Remoting
https://docs.microsoft.com/de-de/powershell/scripting/learn/remoting/running-remote-commands?view=powershell-7

Windows Remoteverwaltung konfigurieren:
WINRM QUICKCONFIG  - Firewall: Port 5985, Dienststart...

Inaktive Benutzerkonten per Powershell finden.
Bsp: Nutzer haben sich > 90 Tage nicht angemeldet

Search-ADAccount -AccountInactive -UsersOnly -TimeSpan 90.00:00:00 |
Where {$_.Enabled -eq “True”} |
Sort -property LastLogonDate -desc |
ft UserPrincipalName, LastLogonDate -autosize

MySQL Connector/NET für Windows (ggf. Oracle Anmeldung)
https://dev.mysql.com/downloads/connector/net/

alternativ: Install-Module MySQLCmdlets

Deutschland LAN / CompanyConnect SDSL 
Hotline 0800/5231323

Bsp:

IP: 61.158.25.122-126
Gateway: 61.158.25.121
Subnet: 255.255.248
(Lancom: Kommunikation/Protokolle/IP-Parameter:)
IP: 61.158.25.121 Telekom-Router (Mask: 255.255.255.248)
    61.158.25.122 Lancom-Router
DNS: 194.25.0.52 (Leipzig)
     194.25.0.60 (Hannover)
     194.25.0.68 (FFM)

Ablage im Netzwerk, flexible Nutzung von mehreren Arbeitsplätzen
(Mitarbeiter A muß Postfach schließen, dann kann Mitarbeiter B sich anmelden)

• Installation des Communicators auf allen betreffenden Clients
• Konfigurationsassistent nur am ersten PC und Userprofil notwendig
• Konfig-Datei "govello20.properties" in jedes betr. Benutzerprofil kopieren

M.O.P Technisches Objektmanagement

• Client-Verzeichnis einfach vom Server kopieren
• Servername in \TOM\Client\Einstellungen\SUW_Lokal.xml anpassen

Administrative Gruppenmitgliedschaft sollte automatisiert zugewiesen und wieder entfernt werden.
Lösung per PowerShell mit "Invoke":

Invoke-Command -ComputerName <Computername>
-scriptBlock{Add-LocalGroupMember -Group "Administrators" -Member <Benutzername>}

Download:
https://www.adobe.com/devnet-docs/acrobatetk/tools/ReleaseNotesDC/index.html
FTP (alt): ftp://ftp.adobe.com/pub/adobe/reader/win/AcrobatDC/
https://get.adobe.com/de/reader/enterprise

Problem: Adobe Reader zeigt Schriften nicht korrekt an

• AR unter Datei / Eigenschaften / Schriften - sieht man die im Dokument eingebetteten Schriften
• AR unter Bearbeiten / Einstellungen / Seitenanzeige: Test Seitencache verwenden, lokale Schriften verwenden sollte AN sein (Testweise AUS kann sinnvoll sein), Rendern/Text glätten sollte AN sein
• Windows unter Dienste: Windows-Dienst für Schriftartencache sollte automatisch starten, ggf. manuell aus/ein

Adobe Reader verteilen: https://ictschule.com/2012/11/09/adobe-reader-11-verteilen/

Steps to extract the Adobe Reader MSI installation files from the compressed executable:
1. Obtain Adobe Reader from adobe.com: http://get.adobe.com/reader/ and save the file to your desktop.
2. Choose Start > Run.
3. In the Open text box, type: "%UserProfile%\Desktop\AdbeRdr80_en_US.exe" -nos_ne
4. Click OK.
5. When the Adobe Reader Setup screen clears, choose Start >  Run.
6. In the Open text box, type: %temp%
7. Drag the Adobe Reader folder to your desktop.
This folder contains AcroRead.msi and Data1.cab files needed for installation.

Alternative:
PDF XChange Editor free (auch kommerziell nutzbar): https://www.pdf-xchange.de/DL/pdf-xchange-editor.htm

Fehler beim Update und bei der Benutzer-Anmeldung.

Fehlermeldung: Es konnte keine Verbindung zu MeinElster aufgebaut werden. Bitte prüfen Sie Ihre HTTP-Proxy-Konfiguration.

Abhilfe (lt. Elster):

1. Dem ausführenden Benutzerkonto werden Schreibrechte im Installationsverzeichnis des ElsterAuthenticators eingeräumt
   (wir empfehlen dies dringend)
   
   
2. Der ElsterAuthenticator wird einmalig mit dem Benutzerkonto ausgeführt, das die Installation durchgeführt hat.
   Wählen Sie anschließend im Konfigurationsmenü im Registerreiter "Erweitert" die Schaltfläche "Prüfe auf neue Version" an. Hierdurch wird die benötigte Datei heruntergeladen und mit den Schreibrechten dieses Benutzerkontos installiert.

Verzeichnis bei All-User-Installation:
C:\Programme\ElsterAuthentificator\

Windows

• [Strg] + [C]  - Inhalt in Zwischenablage kopieren
  
  
• [Strg] + [X]  - Inhalt in Zwischenablage verschieben (ausschneiden)
  
  
• [Strg] + [V]  - Inhalt der Zwischenablage einfügen
  
  
• [Windows] + [V]  - Zwischenablage-Verlauf (Clipboard Historie) aufrufen (max. 25 Einträge)
  
  
• [Klick auf Auswahl aus der Liste] - fügt Eintrag als Nur-Text ein
  
  
• [Shift] + [Klick auf Auswahl aus der Liste] - fügt Eintrag formatiert ein
  
  
• Einschalten des Zwischenablage-Verlaufs unter Einstellungen -> SYSTEM -> Zwischenablage
• Nutzer eines Microsoft-Kontos können die Zwischenablage zwischen PCs synchronisieren (Sicherheitsrisiko!!).
• Einträge können im Eintragsmenue gelöscht oder angepinnt werden (dann bleiben sie auch beim PC-Neustart erhalten).
• Zwischenablage enthält auch Screenshots. Textformatierungen gehen teilweise verloren.

Ubuntu

• [Ctrl] + [Shift] + [C] oder [Ctrl] + [Insert] - Inhalt in Zwischenablage kopieren
  
  
• [Ctrl] + [Shift] + [V] oder [Shift] + [Insert] - to paste

VMWare

• per Default deaktiviert (Sicherheitspolicy)
  
  
• Aktivierung in den Einstellungen der AUS geschalteten VM oder auf Host-Ebene
  https://kb.vmware.com/s/article/57122

Standard-Schrift in allen Office-Anwendungen (Windows, Word, PowerPoint, Outlook...)

• Aptos (original: Bierstadt) serifenlos, Klein-/Großbuchstaben deutlich unterscheidbar, ab 2024 Standard auch in Office/Microsoft 365 Online Apps "in der Cloud" (für Monitore mit höherer Auflösung)
• Calibri (Standard in Office usw. seit 2007)
• Segoe UI (Standardschrift in Windows)
• Times New Roman (optisch veraltet)

• Fork von Observium (2013 abgespalten), vollständig kostenfrei
• Github Community und Ressourcen: https://github.com/librenms/
• VM App: Ubuntu 22, Username: librenms, Password: CDne3fwdfds, Netzwerk= Bridge to LAN
• WEB-GUI (http): Username: librenms, Password: D32fwefwef
• MySQL/MariaDB Login: mysql -u librenms -p  (D42nf23rewD)
• Update LibreNMS manuell:
  cd /opt/librenms
  git pull
  ./scripts/composer_wrapper.php install --no-dev
  php includes/sql-schema/update.php
  ./validate.php
• Update LibreNMS automatisch:
  ./daily.sh
  Konfiguration im WebGUI: Global-Settings -> System -> Updates
• Konfiguration: /opt/librenms/config.php
  $config['nets'] - eigene Netze konfigurieren
• /opt/librenms/validate.php - listet alle Komponenten auf (PHP, SQL, SNMP..)
• Sendmail konfigurieren:
  - MSMTP einrichten: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1446
  - Sendmail-Pfad korrigieren: /usr/bin/msmtp

https://www.youtube.com/watch?v=RmQBZH72TKg

Kompatibilitätscheck mit "MS PC Health Check" (Integritätsprüfung) oder "WyNotWin11".

Systemvoraussetzungen:

• CPU: 64-bit Prozessor, min. 2 Kerne, 1 GHz Takt - erforderlich
• HD min. 64 GB frei - erforderlich
• CPU: Intel-Prozessoren ab 8.Generation ab Mitte 2017 - umgehen mit RUFUS, Ventoy oder Registry
• CPU: AMD-Prozessoren ab Ryzen 2.Generation (Zen+) ab 2018
• Secure Boot - umgehen mit RUFUS oder Ventoy
• UEFI-Firmware
• 4GB RAM (sinnvoll!) - umgehen mit RUFUS
• TPM 2.0 - umgehen mit RUFUS oder Registry
• Grafikkarte mit min. DirectX 12
• Internetverbindung (Home Version zwingend)
• Microsoft-Konto - umgehen mit Domäne oder RUFUS

• Prüfung der Systemvoraussetzungen beim Inplace-Upgrade deaktivieren:
- Windows 10 starten
- Windows 11 - ISO mounten
- DOS-Box (in Win11-Laufwerk): setup /product server

• Registry-Hack zum Ignorieren der Systemvoraussetzungen:
- REGEDIT: Computer\HKEY_LOCAL_MACHINE\SYSTEM\Setup\MoSetup - DWORD-Wert (32-Bit): AllowUpgradesWithUnsupportedTPMOrCPU = 1 (hex)
- Windows neu starten, Upgrade installieren (Warnhinweis)

• Internetzwang + Online-Konto bei der Installation umgehen:
 - Installation starten, bis Windows die Netzwerkverbindung anfordert
 - [Shift]-[F10] - öffenet DOS-Box
 - c:\Windows/System32/oobe/BypassNRO.cmd
 - Neustart mit neuem Menuepunkt "Ich habe kein Internet"
 - lokales Konto erstellen
https://answers.microsoft.com/de-de/windows/forum/all/windows-11-ohne-netzwerkzugang-installieren/6bb8b5ac-f0ae-402c-b108-a69ec32bb563

Ein unter Umgehung der Systemanforderungen installiertes Windows 11 berechtigt nach bisherigen Erfahrungen nicht zum automatischen Erhalt von zukünftigen Funktions-Updates. Das muss dann (mit Glück) wieder mit den hier genannten Tricks installiert werden.
Mit Update 24H2 scheinen die Systemanforderungen noch einmal verschärft worden zu sein.

• lokaler Speicherort geht nicht auf Netzwerkfreigaben (Linux, Windows)
• Konfigurationsdatei in Linux: /bin/dropbox  (DROPBOX_DIST_PATH)
  /bin/dropbox.py -> PARENT_DIR=/mnt/daten3/Dropbox

Powershell:

Disable-WindowsOptionalFeature -Online -FeatureName AzureArcSetup

TigerVNC erlaubt Zugriff auf die Linux GUI incl. Gnome und XFCE.
Im Unterschied zu Windows nutzt VNC einen separaten Nutzer und einen separaten Desktop.

• Default: VNC-Zugriff nur auf Localhost
• Remote Zugriff über verschlüsselten SSL-Tunnel
  SSH-Tunnel:
  - ssh -L 5901:127.0.0.1:5901 -N -f -l [user] -t [server_ip]
  VNC zu Localhost:
  - VNC Verbindung über den Tunnel auf localhost:1
• alternativ: VNC auf IP 0.0.0.0 einrichten ($localhost = "no";)
  - Port muß von außen im Portscan sichtbar sein

Installation:

• Debian 12 Installation
  - User ohne root anlegen
  - SSH-Server aktivieren (immer gut)
• Cinnamon GUI installieren (Geschmacksache)
  su
  sudo apt install task-cinnamon-desktop  
• sudo apt-get install dbus-x11 tigervnc-standalone-server tigervnc-xorg-extension tigervnc-viewer  - VNC installieren
• separaten VNC-User einrichten (User kann sich wegen Wechsel der Shell nicht lokal anmelden)
  - sudo adduser vncuser
• sudo nano /etc/tigervnc/vncserver.users  - VNC-User und Display einrichten  (VNC nutzt per Default Display 1)
  :1=vncusername
• su vncuser  (in VNC-User Kontext wechseln)
• vncserver  - Server anstarten, VNC-Passwort festlegen
• nano ~/.vnc/xstartup  - Startup des VNC-Users anpassen (VNV-GUI ist unabhängig von der Konsole!)
  -- XFC GUI:
  #!/bin/bash
  xrdb $HOME/.Xresources
  startxfce4 &
  -- Cinnamon GUI:  (dieser Nutzte kann sich dann nicht an der Konsole anmelden!)
  #!/bin/sh
  unset SESSION_MANAGER
  unset DBUS_SESSION_BUS_ADDRESS
  /usr/bin/cinnamon-session
• Datei ausführbar machen
  sudo chmod u+x ~/.vnc/xstartup
  sudo chmod 777 ~/.vnc/xstartup
• sudo nano /etc/tigervnc/vncserver-config-defaults - V
  - $depth=24;  - Farbtiefe
  - $localhost = "no";  falls VNC-zugriff ohne SSH-Tunnel gewünscht
• Dienst auf Display 1 installieren:
  sudo systemctl start tigervncserver@:1.service
  sudo systemctl enable tigervncserver@:1.service
• Portscan: Port 5901 muß offen sein
• VNC Zugang testen

Befehle:

• sudo apt show tigervnc-standalone-server  - läuft der Server?
• sudo apt install tigervnc-standalone-server -y  - installiere VNC-Server
• vncpasswd - setze VNC-Passwort (min. 6 Zeichen)
• tigervncserver -localhost no -geometry 1920x1080  - startet VNC-Server manuell
• tigervncserver -xstartup /usr/bin/xterm  - startet VNC-Server manuell
• vncserver -list  - Zeige laufende Instanzen und Port(s)
• vncserver -kill :1  - killt die Instanz auf Desktop 1
• echo $DISPLAY  - zeigt das aktuelle Display

Quellen:

• How to Install TigerVNC on Debian 12
• Install and Configure TigerVNC VNC on Debian 12/11/10
• Installing TigerVNC server on Linux Mint 21 and creating a systemd user service

- bordeigenen Zuverlässigkeitsprüfung! im Suchfenster "Zuverlässigkeit"...

- listet Fehler und Warnungen des Ereignisprotokolls tageweise sehr übersichtlich ein.

Grundprinzipien:

• Der Gruppe "Jeder" wird die Berechtigung "Vollzugriff zulassen" für den Stamm jedes NTFS-Laufwerks erteilt.
• Das Verweigern von Berechtigungen hat immer Vorrang vor dem Zulassen von Berechtigungen.
• Explizite Berechtigungen haben Vorrang vor geerbten Berechtigungen.
• Wenn NTFS-Berechtigungen miteinander in Konflikt stehen oder z. B. Gruppen- und Benutzerberechtigungen widersprüchlich sind, treten die großzügigsten Berechtigungen in Kraft.
• Berechtigungen sind kumulativ.
• Die ursprünglichen Berechtigungen des Objekts werden am neuen Speicherort zu den vererbbaren Berechtigungen hinzugefügt.

Verschieben und Kopieren:

1. Wenn Sie ein Objekt auf ein anderes NTFS-Volume kopieren oder verschieben, erbt das Objekt die Berechtigungen seines neuen Ordners.
2. Beim Verschieben innerhalb eines NTFS-Volumens behält das Objekt seine Berechtigungen bei.

Ändern des Standardverhaltens:

1. Beim Kopieren/Verschieben auf ein anderes Volume sollen die ursprünglichen Objekt-Berechtigungen erhalten bleiben:
   Reg: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
   Wertname: ForceCopyAclwithFile
   Werttyp: DWORD
   Wert: 1
2. Beim Verschieben auf dem selben Laufwerk sollen die Berechtigungen vom übergeordneten Ordner geerbt werden:
   (Benutzer muß das Recht "Berechtigung ändern" besitzen)
   Reg: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer
   Wertname: MoveSecurityAttributes
   Werttyp: DWORD
   Wert: 0

Hinweis:

• REG-Key muß offenbar auf Client und Fileserver installiert sein.
• Workaround 2 funktioniert nur, wenn der User auf dem Share (nicht dem Verzeichnis) Vollzugriff hat (Verzeichnis: Berechtigung ändern)!
• Workaround zum Workaround 2: Verzeichnisberechtigungen regelmäßig automatisch für alle Dateien und Unterordner zurück setzen:
  icacls [ORDNER] /reset /t /c /q

Quellen:

• https://learn.microsoft.com/de-de/troubleshoot/windows-client/windows-security/permissions-on-copying-moving-files
• Hotfix für Win7/Server 2008: https://support.microsoft.com/de-de/topic/der-registrierungseintrag-movesecurityattributes-funktioniert-nicht-unter-windows-7-in-windows-vista-in-windows-server-2008-oder-in-windows-server-2008-r2-c4d5b411-c035-e2b9-d78c-da161b279d8e
• MS ICACLS: https://learn.microsoft.com/en-us/windows-server/administration/windows-commands/icacls

Windows 8-10

Startmenue All Users: C:\ProgramData\Microsoft\Windows\Start Menu
Desktop All Users: C:\Users\Public\Desktop (Öffentlich/Öffentlicher Desktop)
  -> Tip: "dir /ad" löst die Links in den jeweiligen Verzeichnissen auf.
Startmenue [User]: Users/[User]/AppData/Roaming/Microsoft/Windows/Start Menu
Desktop [User]: Users/[User]/Desktop
Persönl.angeheftetes Startmenue: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\StartMenu
Persönl. Taskleise: %APPDATA%\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar   -> siehe unten!

SendTo: Users/[Benutzer]/AppData/Roaming/Microsoft/Windows/SendTo

-> direkter Sprung in den Ordner "Autostart All-Users": ausführen: "shell:startup"

Standardprofile: \\%systemroot%\Users\Default
Das Profil wird durch Hineinkopieren eines lokalen Profils angelegt. (keine Drucker!)
(ausgeblendete +geschützte Systemdateien sichtbar, JEDER=lesen, Kopieren alles ausser ntuser.dat, ntuser.dat.log, ntuser.ini)
Domänen Default Profil: //[Servername]/Netlogon/Default User.v2 / v4-Win7 / v5 -Win10
Domänen User Profil: muß in "AD Benutzer und Computer" definiert werden. Änderung für einzelnen PC im lokalen Profilmanager möglich.
//[Servername]/Profile/%username% (PROFILE muß eine Freigabe mit Vollzugriff sein)

Howto: http://www.dertechblog.de/2011/10/howto-angepasstes-windows-default-profile-bereitstellen/
Verbindliches Profil kann vom Benutzer nicht geändert werden. Änderungen werden beim Abmelden verworfen.
-> USER.DAT in USER.MAN umbenennen. Funktioniert für Userprofile und kann sogar im Default Profil definiert werden.

Standardprofile werden in Domänen zuerst unter \\\netlogon\Default User gesucht, danach lokal in \\%systemroot%\Dokumente..\Default User.

• Default Profil in Windows 10 erstellen: http://www.tenforums.com/tutorials/2110-default-user-profile-customize-windows-10-a.html
(erscheint plausibel. ich habe es noch nicht getestet)

Um Programme an die Taskleise zu pinnen genügt es nicht, eine Verknüpfung im o.g. Ordner "Persönliche Taskleiste" anzulegen. Die Info wird außerdem verschlüsselt unter HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Taskband abgelegt. Lösbar ist das mit VB. (Beispiel kopiert Paint-Verknüpfung in die Taskbar.)

Const CSIDL_COMMON_PROGRAMS = &H17
Const CSIDL_PROGRAMS = &H2
Set objShell = CreateObject("Shell.Application")
Set objAllUsersProgramsFolder = objShell.NameSpace(CSIDL_COMMON_PROGRAMS)
strAllUsersProgramsPath = objAllUsersProgramsFolder.Self.Path
Set objFolder = objShell.Namespace(strAllUsersProgramsPath & "\Accessories")
Set objFolderItem = objFolder.ParseName("Paint.lnk")
Set colVerbs = objFolderItem.Verbs
For Each objVerb in colVerbs
    If Replace(objVerb.name, "&", "") = "An Taskleiste anheften" Then objVerb.DoIt
Next

Das geht genauso umgekehrt mit "Von Taskleiste lösen". 

betrifft: Win2008, Win2012, Win2016, WinVista, Win7, Win8, Win10

Wenn User-Ordner auf Netzfreigaben verschoben werden, zeigt Windows diese als "Eigene Dokumente" und nicht mit ihrem wirklichen Namen.
Abhilfe: für desktop.ini - Berechtigungen lesen verbieten.
http://support.microsoft.com/kb/947222/en-us

WBAdmin (Win Vista - Win 11, auch Server, lässt sich super scripten):
Erforderliche Dienste: "Blockebenen-Sicherungsmodul" (WBEngine) und "Volumenschattenkopie" (VSS) - sollten auf MANUELL stehen und sich starten lassen.
* Backup aus der DOS-Box:
  "WBADMIN start systemstatebackup -backupTarget:e:"
  oder "WBADMIN start backup -backupTarget:E: -include:C: -allcritical -quiet"
* GUI: Systemsteuerung -> Sichern und Wiederherstellen (Win7)

* BareMetall-Restore:
Installations-CD/Stick oder Recovery-Partition: ( „Computerreparaturoptionen“ > „Problembehandlung“ > „Erweiterte Optionen“ > „Systemimage-Wiederherstellung“)
* Restore einzelner Files: VMDX-Datei in Datenträgerverwaltung mounten
* Restore aus dem System (CMD):
 - Backup-Versionen suchen in CMD: "WBADMIN get versions –backup target:E:" 
  Das Repository liegt in %windir%\system32\wbem\repository.
 - Volume GUID-based path suchen: "mountvol"
 - "WBADMIN start recovery" liefert den nötigen Syntax

• Befehlsübersicht: https://docs.microsoft.com/de-de/windows-server/administration/windows-commands/wbadmin
• DC-Backup und Restore mit WBAdmin: https://www.msxfaq.de/windows/dc_backuprestore.htm

Veeam Backup (auch free, auch BIOS auf UEFI) siehe Backup: Veeam Backup

Systemimage als VHDx sichern:
Sysinternals Tool: DISK2VHD, sichert beliebige Volumes als VHD(x)-Datei.
Die Datei kann in Windows als Laufwerk gemountet werden oder in Hyper-V (Neuer Virtueller Computer / Vorhandene Festplatte) gestartet werden.

Windows 8.1: DISM
- Aufruf aus Wiederherstellungskonsole (CD, Stick), legt komprimierte WIM-Datei mit gesamtem Inhalt von LW: C: (ausser Wiederherstellungspunkte, Auslagerungsdateien, Papierkorb und OfflineCache) an.
Backup: dism /capture-image /imagefile:[Ziellaufwerk]:image.wim /capturedir:c: /scratchdir:[Ziel-/Templaufwerk]: /name:"Mein Image"
Restore: dism /apply-image /applydir:[Ziellaufwerk]: /imagefile:[Backuplaufwerk]:\image.wim /scratchdir:[Ziel-/Templaufwerk]: /index:1
Ausführliche Anleitung mit Exclusion-List in ct 17/2014 S.76ff.

Siehe auch:

• System-Backup
• allgemeine Backup-Betrachtung

Mit der Tastenkombination <Shift>-<F10> kann während einer Reparaturinstallation eine WinPE Eingabeaufforderung (CMD.EXE) geöffnet werden.

Win 10, Server 2019:

Bootrecord reparieren:
- Erste aktive Partition ermitteln. Normalerweise "System-reserviert" oder "EFI-Systempartition", LW E:

bcdboot c:\windows /s e: /l de-de

Systemdateien überprüfen und automatisch vervollständigen: (online:)

sfc /scannow

(offline aus einer Win-PE Kommandozeile)

sfc /scannow /offbootdir=e:\ /offwindir=c:\windows

Möglichkeiten zum Aufruf des erweiteren Starts -> giga.de

Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /RestoreHealth

Bei Fehlermeldungen bei o.g. Befehl:
Mount Windows Server 2016 ISO as a drive (E: im Beispiel)
Run dism /online /cleanup-image /restorehealth /source:WIM:E:\sources\install.wim:1 /limitaccess

DISM offline aus WinPC Kommandozeile, wenn das System nicht mehr läuft:
Dism /Image:e:\ /Cleanup-Image /RestoreHealth /source:esd:C:\install.esd:1

Mehr Infos zu DISM

Windows 8:

Wiederherstellungskonsole kann:

- Windows in Auslieferungszustand zurück versetzen.
- Windows auf Systemwiederherstellungspunkt setzen.
- Eingabeaufforderung mit
  diskpart (Partitionierer),
  dism(Imager, ->Backup Betriebssystem),
  wpeinit (startet Netzwerk, danach Mappen mit NET USE)...

Unter Windows 8.1 kann man auch einfach einen Wiederherstellungs-Stick erstellen. ( Windows 8.1 Wiederherstellungslaufwerk erstellen)

Windows 7:

bootrec /fixmbr
bootrec /fixboot
bootrec /rebuildbcd

Systemdateien überprüfen:

sfc /scannow

Hilfe:
Microsoft Community

• DEFT "Digital Evidence & Forensics Toolkit" Linux-Boot-CD, auch als VM verfügbar, voller Forensik Tools.
Browserverlauf, Lesezeichen und Cache auslesen, MailView (Outlook Express, Windows Mail, Thunderbird), u.a. WLAN-, Acces-, PST-, VNC- Passworte auslesen, Windows Passworte neu setzen, Photorec (gelöschte Dateien), JumpListView (geöffnete Dokumente, besuchte FTP-Links über viele Monate), WinLogonView (Windows Anmeldevorgänge), LastActivityView, CrowdInspect (holt für alle Prozesse automatisch Bewertungen von VirusTotal u.a.), Netzwerktools.
Siehe ct 20/2014 S.96.
Download: deftlinux.net

• DART "Digital Advanced Response Toolkit" beinhaltet nur die Windows-Tools von DEFT (oben).
Ausführliche Anleitungen in ct 20/2014 S.90ff.

• Prefetch-Dateien werden für jedes gestartete Programm erstellt. Der Zeitstempel liefert die Information, wann das Programm zuletzt gestartet wurde.
(Windows XP, Win7, Win8. Ab Windows 7 bei System auf SSD standardmäßig deaktiviert.)
Siehe ct 20/2014 S.92.

• Most Recently Used Listen, 10 Dateien für jede Dateiendung: [HKU\%user%\Software\Microsoft\CurrentVersion\Explorer\RecentDocs]

• Überwachungsrichtlinien
  Achtung! Jeder DC hat ein eigenes Protokoll und muss separat überprüft werden!
  
• Gruppenrichtlinien VORHER einrichten (per GPO Default DomainControllers Policy: Computer/Windows-Einstellungen/Sicherheitseinstellungen/Lokale Richtlinien/Überwachungsrichtlinie):
  - Anmeldeereignisse = überwachen
  - Kontenverwaltung = überwachen 
  - Verzeichnisdienstzugriff = überwachen 
  - Objektzugriffsversuche = überwachen 
  - Richtlinienänderungen = überwachen 
  - Systemereignisse = überwachen
  Wichtige zu überwachende Events:
  * ID 4625 = Anmeldefehler
  * ID 4698 = erstellen einer neuen Aufgabe
  * ID 4720 = neues Nutzerkonto wurde erstellt
  * ID 4723 = versuchte Passwort-Änderung
  * ID 4424 = versuchtes Zurücksetzen eines Kennwortes
  * ID 4728 = ein Mitglied wurde zu einer Sicherheitsgruppe hinzu gefügt
• Windows Protokoll "Sicherheit" Eventlog von 128MB auf min. 1GB vergrößern (per GPO: Computer/Admin.Vorlagen/Windows Komponenten/Ereignisprotokolldienst/Sicherheit: max. Protokolldateigröße)
• aktuelle Überwachungsrichtlinien anzeigen:  auditpol /get /category:*

siehe auch:

• zu überwachende Ereignisse: https://learn.microsoft.com/en-us/windows-server/identity/ad-ds/plan/appendix-l--events-to-monitor
• Forensik mit NTUSER.DAT https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1420

• Systemüberprüfung ausführen und alle Systemfiles checken. (dism, sfc... )

Siehe Windows Systemreparatur
Siehe Windows Update-Service Tips

Manchmal hilft diese Lösung:

- NET STOP wuauserv (ggf. Systemdienste "Automatische Updates" und "Intelligenter Hintergrundübertragungsdienst" (wuaserv, cryptSync, bits, msiserver))
- windows/SoftwareDistribution/Datastore/datastore.edb weg kopieren
- windows/SoftwareDistribution/Data/ leer machen leeren (Download-Cache)
  oder:  rd c:\windows\SoftwareDistribution /s /q  (enthält alle Updates + Statusinfos)
- NET START wuauserv

Unter Server 2012/2016 hilft gelegentlich statt der GUI
das Kommandozeilentool SCONFIG. (Server 2012/2016/2019)
Updates konfigurieren und installieren

Oder Update manuell vom Software Catalog installieren:
https://www.catalog.update.microsoft.com/Search.aspx?q=Server+2016

„Windows Update PowerShell Module“ von Technet (gallery.technet.microsoft.com/scriptcenter/2d191bcd-3308-4edd-9de2-88dff796b0bc) herunter laden. Archiv öffnen und Ordner „PSWindowsUpdate“ in  Verzeichnis „%Windir%\System32\WindowsPowerShell\v1.0\Modules“ entpacken.

Suchen (Windows+Q) nach „PowerShell“, Suchtreffer „Windows PowerShell“ mit Rechtsklick als Administrator öffnen.

Zuerst Ausführen des Skripts mit dem Befehl erlauben:

Set-ExecutionPolicy RemoteSigned

Sicherheitsabfrage mit "Ja" bestätigen.

Zwei weitere Befehle importieren das Modul und starten die Installation der Updates:

Import-Module PSWindowsUpdate

Get-WUInstall

Nach der Eingabe von Get-WUInstall dauert es einige Zeit, dann erscheint ein Update-Dialog.

• oder PSWindowsUpdate:
https://www.powershellgallery.com/packages/PSWindowsUpdate/

Fehlerhafte Updates von der Kommandozeile deinstallieren: wusa /uninstall /kb:xxxx

Windows Update neu registrieren:

net stop wuauserv
net stop bits
net stop cryptsvc
ren %systemroot%System32Catroot2 old catrood2
net start cryptsvc
ren %systemroot%SoftwareDistribution Software Distribution.old
regsvr32 wuapi.dll
regsvr32 wuaueng.dll
regsvr32 wucltux.dll
regsvr32 wups2.dll
regsvr32 wups.dll
regsvr32 wuwebv.dll
net start bits
net start wuauserv


Verwalten der Intelligenten Hintergrund-Dateiübertragung: (Win7-10)
BITS kann Uploads und Downloads. Windows nutzt BITS intensiv (Update, Nachrichten, Live-Dienste). Aber auch andere Programme oder Malware kann BITS nutzen.
bitsadmin /list /allusers   - Liste aller laufenden oder anstehenden Aufträge

bitsadmin /monitor /refresh 2  - zeigt im Intervall (2 sek.) vorhandene Jobs

Klassischer Hardwareassistent, der auch Treiber ohne Hardwareerkennung installiert:
"hdwwiz" im Suchfeld eingeben und "Als Administrator ausführen"

siehe auch:
Windows: Treiber übernehmen auf anderen PC

Physische Sicht:
Allgemeine Reg.-Daten:
- HKLM\SAM [Benutzer, Rechte] -> /windows/system32/config/SAM
- HKLM\BCD00000000 [Bootkonfiguration] -> [UEFI-Partition] /EFI/Microsoft/Boot/BCD
- HKLM\SAM [Anmeldenamen, Kennwort-Hashes] -> /windows/system32/config/SAM
- HKLM\SECURITY [Benutzer, Rechte, Sicherheitsrichtlinien] -> /windows/system32/config/SECURITY
- HKLM\SOFTWARE [allgemeine Softwareeinstellungen] -> /windows/system32/config/SOFTWARE
- HKLM\SYSTEM [Gerätetreiber, Dienste] -> /windows/system32/config/SYSTEM
- HKU\DEFAULT [Standard-Profil von LOKAL SYSTEM] -> /windows/system32/config/DEFAULT
Benutzerspezifische Reg.-Daten:
- HKCU\ [persönl. Nutzerprofil] -> /Users/[user]/NTUSER.DAT (-> Forenisk)
- USRCLASS.DAT [benutzerspez. Softwareeinstellungen] -> /USERS/[user]/AppData/Local/Microsoft/Windows/
Kopie der Registry: befindet sich in /windows/repair/
Wiederherstellungspunkte: in /SystemVolumeInformation/_restore{GUID}/RP{x}/Snapshot/
(RP{x} steht für die einzelnen Wiederherstellungspunkte)

Logische Sicht (in REGEDIT):
- HKEY_CLASSES_ROOT (HKCR) - Zuweisung von Dateitypen und Dateiendungen zu Anwendungen, COM-Klassen
  (Summe von HKLM\Software\Classes und HKCU\Software\Classes, wobei HKCU Vorrang hat)
- HKEY_CURRENT_USER (HKCU) - (Link auf aktuellen User in HKU)
- HKEY_LOCAL_MACHINE (HKLM) - Treiber, Dienste, globale Anwendungs- und Systemeinstellungen
- HKEY_USERS (HKU) - alle Userkonten inclusive HKCU und Systemuser (siehe unten)
- HKEY_CURRENT_CONFIG (HKCC) - aktuelle Hardwarekonfiguration (Link auf HKLM\System\CurrentControlSet\Hardware Profiles\Current)

HKCU eines anderen Benutzers laden / editieren:
Registry: HKU/ markieren, Datei -> Struktur laden, ntuser.dat aus dem betreffenden Userprofils laden.
Mit "Struktur entfernen" werden die Änderungen gespeichert.
Prinzip funktioniert bei Offline-Windows mit allen REG-Zweigen.

 ID des angemeldeten Users ermitteln (HKCU): Dosbox: whoami /logonid

• in HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList User-ID auswählen, in ProfileImagePath steht das jeweilige Userverzeichnis
• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Run - Autostart des lokal Users
• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\RunOnce - Einmalstart lokal User

SID eines beliebigen anderen Users (username) ermitteln:
wmic useraccount where name='username' get sid

Systemkonten:
(S-1-5-18) - System
(S-1-5-19)  - Lokaler Dienst
(S-1-5-20) - Netzwerkdienst

Abkürzung:
HKLM\System\CurrentControlSet (gibt es nur lokal) = HKLM\System\Select verrät, welches ControlSet das aktuelle ist.
HKEY_CLASSES_ROOT = HKLM\SOFTWARE\Classes

Registry per Script bearbeiten:

• reg add <keyname> [/v valuename | /ve] [/t datatype] [/s separator] [/d data] [/f] [/reg:32 | /reg:64]
• reg add "HKEY_CURRENT_USER\Control Panel\Cursors" /ve /d "Windows Inverted" /f  - setzt den Standardwert von Cursors
• reg add "HKEY_CURRENT_USER\Control Panel\Cursors" /v AppStarting /t REG_EXPAND_SZ /d "%SystemRoot%\cursors\wait_i.cur" /f - setzt AppStarting = %SystemRoot%\cursors\wait_i.cur

* ganzen Schlüssel mit Unterschlüsseln löschen: [-Hkey_Local_Machine\Testschlüssel]
* einzelnen Wert löschen: [Hkey_Local_Machine\Testschlüssel] "Testwert"=-

Siehe auch -> Kopierprogramme

Synology Active Backup for Business (Taiwan)
- Backup von PCs, Servern und VMs
- unterstützt Windows, Linux, Mac, VMWare, Hyper-V u.a.
- erstellt PE-Wiederherstellungsmedium 32-bit/64-bit mit integriertem Wiederherstellungsassistent für Bare-Metal Wiederherstellung
- Voraussetzung: x86-NAS mit DSM 6.2 und Btfrs formatiert
- Aktivierung über Synology Konto erforderlich (danach kein Onlinekontakt erforderlich)
- Benachrichtigung per E-Mail oder App/Push-Nachricht

O&O DiskImage Server Edition (DE)
- Backup von physischen PC und Servern
- speichert Backup u.a. direkt als VHDX
- Recovery-Partition oder Rettungsmedium
- Sicherungsaufgaben (Laufwerkssicherung, Datensicherung, Klonen) mit E-Mail Notification
- bezahlbar, unbegrenzte Dauerlizenz
- Oberfläche etwas hakelig, Testsicherung langsam

Haselo Backup (kompett free, China) (Disk Cloning, VSS, UEFI, GPT-Support) (siehe Kopierprogramme)
- für Windows PC und Server free, x86 und ARM CPU
- erstellt PE Recovery Bootmedium, Universal Restore
- inkremental, differential, Vollbackup
- Scheduler mit Interval, Sicherungsmethode, Kompression, E-Mail Notification....
- schnell und intuitiv
- inclusive Disk Clone (Anpassung Größe, konvertiert MBR <> GPT)

AOMEI Backupper (PC free, China) - Windows Backup-Software für Betriebssystem, Daten und Anwendungen mithilfe der Sicherungs-, Wiederherstellungs- oder Klonfunktion.
Installieren und HD klonen möglich, Server nicht möglich mit kostenloser Edition.
Erstellt ein bootfähiges WinPE- oder Linux-Laufwerk für Bare-Bones oder nicht bootfähige Computer (auch Freeversion)
Free-Version: kein Systemklon, Partitionanpassung, dynam. Datenträger klonen, Universalrestore
Server-Edition und Dauerlizenz bezahlbar

MiniTool Partition Wizard (auch für ältere Windows Versionen)
Partiongröße verändern, Partition oder Disk clonen, Partition Recovery, MBR->GPT, GPT->MBR (auch free).
Als Windows-Installation oder Boot-CD (nicht free) Download verfügbar, Jahresversion in CT Notfall Windows.
Einschränkung der Free-Version: nicht kommerziell, keine Server, keine dynam. HD, GPT-Partition, kopiert keine Systempartition(?), keine Boot-CD.

Drive Snapshot (1-Jahres-Version in CT Notfall-Windows 2022)
- Image Kopie

Manuelles Ändern der Partitiongröße, um das WinRE Update (Bereich wurde in Update 22H2 auf 500MB vergrößert) zu installieren
-> Microsoft KB 5028997

Duplicati
• Datensicherung für Windows, Linux, MacOS, Synology u.a.
• Web based GUI
• erstellt verschlüsselte, komprimierte, incrementelle Backups
• sichert geöffnete Dateien und Schattenkopien per VSS
• nicht geeignet für Systembackup

Windows 8.1

Boardmittel DISM.... Beschreibung unter  Backup Betriebssystem

Win XP - Win 8

xcopy [Quelle] [Ziel] /c /h /e /k /r /o /x .
Wie bei Win9x, außerdem werden aber auch Besitzer und ACLs mit kopiert. System per CD/Reparatur wiederherstellen. (ggf. Rettungsdisk anlegen!)
Fehler beim Kopieren "Nicht genügend Arbeitsspeicher" bedeutet: Pfad ist zu lang

WinNT - 2003

Neue HD parallel mit einbauen, im Festplattenmanager Plattenspiegelung aktivieren, nach erfolgter Spiegelung wieder deaktivieren.
Besser: spezielle Tools wie Acronis DiskImage.

Windows 9x:

Neue HD parallel mit einbauen, Daten im Windows (DOS-Box) kopieren mit xcopy c:\*.* [neue HD:] /c /h /e /k /r .
Anschließend neue HD als Master anklemmen, mit FDISK Partition aktivieren, von Bootdisk SYS C: ausführen, fertig !
Selbst Laufwerks-Freigaben und Papierkorbinhalt stimmen noch.

MS Windows File Recovery
für Win10 ab Update 2004, Command Line Applikation

HDD RAW Copy (u.a. CT Notfall-Windows)
1:1 Kopie des Datenträgers

Unstoppable Copier (u.a. CT Notfall-Windows)
1:1 Kopie, besonders bei defekten Sektoren o.ä. (Kopierschutz, defekte CD)

CONVAR File Recovery -Datenrettungsprogramm, unterstützt FAT 12/16/32 und NTFS.
(voll funktionsfähige Freeware)

Recuva (u.a. CT Notfall-Windows)
Suche im Verzeichnis nach gelöschten Dateieinträgen.

Testdisk (u.a. CT Notfall-Windows)
Suche auf der Disk nach gelöschten Dateieinträgen.

PhotoRec / QPhotoRec - freie Software (letzteres mit GUI)
ggf. Letzte Rettung. Durchkämmt Datenträger und sucht nach Dateianfängen.

ShadowCopyView  (u.a. CT Notfall Windows)
versucht Daten aus Schattenkopien zu retten

Server2016, Win10 (Stand 2020):
Reg-Eintrag (unten) ist nicht mehr vorhanden oder funktioniert nicht mehr, aber per CMD geht es.

CMD: control userpasswords2

Haken entfernen "Benutzer müssen Benutzernamen und Kennwort eingeben".

Weitere Methoden für Win10-20H2, Windows Hello u.v.a.m.
https://www.deskmodder.de/wiki/index.php?title=Windows_10_automatisch_anmelden_ohne_Passworteingabe

Getestet unter WinXP, Vista, Win2008, Win7, Win2012R2, Win10 (21H1):

Eintrag in Registry unter HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon :

ValueTypWert AutoAdminLogon REG_SZ 0x0 oder 0x1. Bei 0x1 erfolgt automat. Anmeldung.
DefaultPassword REG_SZ Kennwort
DefaultUserName REG_SZ Username

Das klappt nur, wenn man wirklich alle 3 Parameter angibt.

Diverse alternative Methoden beschreibt Deskmodder.

Win 2000 Prof:

Einfach in Systemsteuerung\Benutzer u. Kennwörter Häkchen bei "Benutzer müssen .. Benutzernamen eingeben.." bzw. "Vor Anmeldung CTRL-ALT-DEL.." raus.
Geht nicht bei der Serverversion.

1. Registry: HKLM
2. Registry: HKCU
3. autoexec.bat
4. Anmeldescript

für alle gängigen Systeme (DOS, LINUX, OS/2, WinXXXX, Win-Server..) gibt es bei bootdisk.de

DOS Boot-Stick mit RUFUS erstellen.

Klingt einfach, ist es aber leider nicht.

Feature nachinstallieren schlägt fehl.

Lösung beim Server (2012 -): alternativen Datenpfad angeben: CD:\sources\sxs\

Lösung bei Windows 10: Download oder DISM

oder (Source-Verzeichnis zur CD entsprechend anpassen):

dism /online /enable-feature /featurename:netfx3 /all /source:d:\x64\sources\sxs /limitaccess

Bei Win10 Version 1903 funktioniert die Installation aus dem Source-Verzeichnis nicht.
Abhilfe: 1809-CD.

Windows Server 2008, Server 2012: ISO muß lokal liegen, nur dann geht es.

Das Problem hat Windows 8 übrigens auch.

Bei Windows 10 geht auch das Mounten von ISOs im Netzwerk.

Windows 7 kann keine ISO mounten. Abhilfe: WinCDEmu, bei WinXP, Win7, Win2008,.... sogar als Portable.

- es kann (betriebsrat-konform) der Bildschirm des entfernten Users gezeigt oder gesteuert werden.
- man arbeitet im Berechtigungskontext des entfernten Users. "Als Administrator ausführen" geht nicht.

 
Ab Server 2008 bzw. Windows XP:
C:\Windows\System32\msra.exe /offerRA {Client}

Server: Feature "Remoteunterstützung" muß installiert sein.

Firewall:
Eingehende Regel: Remoteunterstützung aktivieren!
Portausnahme:
 135:TCP:192.168.128.0/21:enabled:Port 135
Programmausnahme:
 %systemroot%\System32\raserver.exe:192.168.128.0/21:enabled:Remoteassistance
 %systemroot%\System32\msra.exe:192.168.128.0/21:enabled:Remoteassistance anbieten

Gruppenrichtlinie:
Remoteunterstützung (Einladung per Mail) aktivieren:
Richtlinie -> Computerkonfiguration\Administratve Vorlagen\(Windows-Komponenten)\System\Remoteunterstützung\Angeforderte Remoteunterstützung: aktiviert (und dann konfigurieren)
Remoteunterstützung (Helfer kann Steuerung anbieten) aktivieren:
Computerkonfiguration/Administrative Vorlagen/System/Remoteunterstützung
Remoteunterstützung anbieten = Aktiviert
Remoteüberwachung dieses Computers zulassen: Helfer dürfen den Computer remote steuern
Helfer:
RU-Helper

Standardmäßig blendet der Gerätemanager alle Geräte aus, die nicht mehr vorhanden oder angeschlossen sind. Zum Anzeigen folgende Variablen setzen:

 -> Systemsteuerung -> System, Tabreiter "Erweitert" -> "Umgebungsvariablen".

Systemvariablen hinzu fügen:

Das Gleiche geht auch über die Registry unter
HKEY_LOCAL_MACHINE\ System\ CurrentControlSet\ Control\ Session Manager\ Environment

oder kurz und schmerzlos aus der DOS-Box mit SET.

set devmgr_show_details=1
set devmgr_show_nonpresent_devices=1
start devmgmt.msc

Die Windows Dateisuche (wie auch die Kopierfunktion des Explorers) war schon immer grottig und das wird sich wohl auch nicht ändern.

Es gibt eine Menge Alternativen, die es besser können.

Gute, (nichtkommerziell!) kostenlose Alternative: FileLocator Lite bzw. Agent Ransack von https://mythicsoft.com/
Klein, schnell, erfolgreich, auch in Netzlaufwerken und UNC-Pfaden. Durchsucht PDF und Office-Files. Ideal auch für Portable.

Leistungsstark: FindIt.
Shareware, 30 Tage Test, dann 29 EUR. Durchsucht Office, PDF, Powerpoint, HTML, PHP, E-Mail EML, DBF und mehr. Ohne Index, auch Netzlaufwerke.

Kostenlose Alternative: NeoSearch
Das Programm indiziert alle Ziele, auch Netzlaufwerke. Dynamische Ergebnisse ab Tippen des ersten Buchstaben. Keine PDF- und Office-Suche.

Everything - schnelle NTFS-Suche
indexbasiert (eigene DB), ressourcensparend, für alle Windows Versionen (schnell bei NTFS, ReFS)

echo  Timestamp ermitteln ..
if "%date:~2,1%" == "." goto :Kurzform

:Langform
set ukdate=%date:~9,4%-%date:~6,2%-%date:~3,2%
goto :weiter

:Kurzform
set ukdate=%date:~6,4%-%date:~3,2%-%date:~0,2%

:weiter

per GPO:

* Netzwerkverbindungen –> Windows Firewall –> Domänenprofile: "Windows Firewall: Eingehende Remotedesktopausnahmen zulassen”

* Computerkonfiguration –> Richtlinien –>  Administrative Vorlagen –> Windows-Komponenten –> Remotedesktopdienste –> Remotedesktopsitzungs-Host –> Verbindungen: “Remoteverbindungen für Benutzer mithilfe der Remotedesktopdienste zulassen." = aktivieren.

* Computerkonfiguration –> Richtlinien –> Administrative Vorlagen –> Windows-Komponenten –> Terminaldienste – Remoteverbindungen für Benutzer mithilfe der Terminaldienste zulasssen” aktivieren.
 

Andere Methode per WMI:

* wmic /node:<IP-Adresse> RDToggle get AllowTSConnections - gibt Status der RDP-Verbindung aus. (1= erlaubt, 0= verboten)

* wmic /node:<Name-des-PCs> RDToggle where ServerName="<Name-des-PCs>" call SetAllowTSConnections 1, 1 - setzt RDP-Freigabe (Die erste 1 erlaubt RDP, 0 würde verbieten. Die zweite 1 passt Firewallregel an.)

Java-Cache in allen Profilen löschen:

for /D %%i in (C:\Users\*) do rmdir "%%i\AppData\LocalLow\Sun\Java\" /S /Q

(Im CMD-Fenster nur ein "%" setzen!)

Diese Orte durchsucht Windows nach Autostart-Einträgen:

o  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServicesOnce

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

o  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

o  HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal

o  HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components

o  HKLM\System\CurrentControlSet\Control\Terminal Server

o  HKLM\SOFTWARE\Wow6432Node\Classes\*\ShellEx\ContextMenuHandlers                      

o  HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

o  HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\
Explorer\Browser Helper Objects                                      

o  HKLM\System\CurrentControlSet\Services

o  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o  HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce

Einträge über MS-Config:
o  HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg

SLEEP.CMD anlegen.

ping 127.0.0.1 -n %1 -w 1000>NUL

Aufrufen mit "call sleep 5" wartet 5 Sekunden.

Natürlich geht auch der Direktaufruf von
ping 127.0.0.1 -n 5 -w 1000>NUL

Meine Grundeinstellung:

• Installation und Download
• ggf. Treiber übernehmen auf neuen PC
• WoL aktivieren (BIOS und Windows Netzwerkkarte)
• Bitlocker aktivieren
• Remote Desktop frei schalten Remote Desktop frei schalten.
• Remote Unterstützung erlauben Remoteunterstützung.
• Explorer Ordneroptionen / Allgemein: Explorer öffnen für "Dieser PC"
• Energiesparoptionen (je nach Gerät und Firmenrichtlinie) ein-/abschalten.
• Windows 10/11: Schnellstart (Hybridmodus) deaktivieren
• Windows 10: ggf. Startkacheln anpassen
• Werbung ausschalten / störende Apps/Bloatware entfernen
• Windows 10/11: OneDrive deinstallieren
• Windows 10: ggf. Windows Store deaktivieren, Apps anpassen
• Windows 10: Cortana deaktivieren
• Windows 10/11: Suche nur lokal
• Server2016: ggf. Defender deinstallieren
• Windows 8/10/11: Telemetrie/Datenschutz/Übermittelte Daten einschränken
• Windows 10: Numlock dauerhaft aktivieren. REGEDIT -> HKU\.Default\Control Panel\Keyboard -> InitialKeyboardIndicators = 2147483650 (Numlock aus= 2147483648)
• Windows: "Computerschutz" aktivieren, ggf. automatische VSS-Kopien einrichten
• Windows 10: ggf. Windows Sicherheit -> Virenschutz -> Ransomware-Schutz: Überwachter Ordnerzugriff = an und konfigurieren
• Windows 10/11 Grundschutz
• Windows 10: ggf. Windows 11 automatische Update-Installation unterbinden
• Windows 11: Oberfläche einrichten
• Windows 10/11: Explorer mit gewohnten Ansicht + Funktionen konf.
• Desktop-Symbole des Installationsbenutzers in ALL-USER verschieben.
• Windows 10: Userprofil des Installationsbenutzers in DEFAULT kopieren. (AppData/Roaming/Firefox/ bereinigen)
• Windows 10/11: Standard-Programme zuweisen (PDF, Web, Mail...)
• Desktop Rechtsklick -> Anpassen -> Farben -> Akzentfarben anklicken + Haken "Titelleisten und Fensterrahmen" setzen

• Windows Home siehe Windows Home / Windows S
• Windows 8: Windows 8: Charms Bar deaktivieren

Microsoft SmartScreen ist ein Phishing- und Malware Filter und ist implementiert in verschiedenen Microsoft Produkten wie Internet Explorer, Microsoft Edge, Outlook.com und Windows Operating System.
Und SmartScreen wird auch an diesen unterschiedlichen Stellen einzeln verwaltet.

Alle Links werden vor dem Öffnen mit einer Datenbank bei MS verglichen und ggf. geblockt. Das ist natürlich nicht fehlerfrei und blockt gelegentlich auch erwünschte Anwendungen.

Windows 10: Unter Datenschutz / Allgemein kann man SmartScreen für Apps aus dem Microsoft Store ein/ausschalten.

Für IE7 aufwärts oder Edge wird es im jeweiligen Browser unter "Sicherheit" eingestellt.

Unter Windows 8 geht man in die „Systemsteuerung“ -> „System und Sicherheit“ -> „Wartungscenter“ ->  „Windows SmartScreen-Einstellungen ändern".

Bitlocker kann verschlüsselt werden durch:
- TPM-Modul (transparent)
- TPM + PIN oder enhancced PIN
- USB-Key
- Kennwort
- RecoveryKey

Beim Aktivieren von Bitlocker den Recovery-Key unbedingt dauerhaft sichern!
Bitlocker wird teilweise (Windows 11 ab 24H2) automatisch aktiviert.
Speicherorte und workarounds:

• wenn der PC noch zugreifbar und Bitlocker ist aktiv, dann SOFORT Recovery-Key sichern!
• bei MS Onlinekonten: Key befindet sich (meist) im MS-Account
• Azure/Entera-ID Konto gewinnt offenbar vor persönlichem MS-Konto
• falls ein BIOS-Update den BL-Key verlangt und dieser nicht bekannt ist: BIOS-Update zurück rollen

Per Default verschlüsselt Bitlocker nur mit AES-128.
Per GPO kann man AES CBC 256 aktivieren. (Performance)
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung
–> «Verschlüsselungsmethode und Stärke wählen» - aktivieren
–> «Verschlüsselungsmethode für Wechsellaufwerke wählen» - AES CBC 256-Bit

Bitlocker per GPO aktivieren:
Computerkonfiguration -> Administrative Vorlagen -> Windows Komponenten -> Bitlocker-Laufwerksverschlüsselung -> Betriebssystemlaufwerke
–> «Konfigurieren von TPM-Systemstart-PIN» und «Require Start-PIN Bei TPM» wählen

Status abfragen: CMD-Befehl

manage-bde -status

Preboot-PIN-Abfrage aktivieren:

manage-bde -protectors -add c: -TPMandPIN

PIN ändern:

manage-bde -changepin c:

PIN-Abfrage wieder deaktivieren:

manage-bde -protectors -add c: -TPM

Bitlocker suspendieren für HD-Wartung, Bios-Updates u.ä. (Bsp. LW X):
- per GUI in Bitlocker Verwaltung: Schutz anhalten / fortsetzen
- per PowerShell: Suspend-BitLocker -MountPoint "X:"
- per PS, nur System-LW, für 1-9 Neustarts, 0= ewig: Suspend-BitLocker -MountPoint "<drive letter>:" -RebootCount <restarts>
- per CMD: manage-bde -protectors -disable X:
  oder manange-bde -protectors -disable X: -rc 5 (pausiert für 5 Neustarts)

Siehe auch: Verschlüsselung

Ext. Links:
• Administrator.de Wissenssammlung Bitlocker ,
• dateibasierter Bitlockerprotektor zu Recovery- und Supportzwecken

siehe auch:
• Server Lizenz Aktivierung

Update von Win7/8 auf Win10: Der Key aus Windows 7 oder 8 wird in einen Windows-10-Schlüssel umgewandelt und zusammen mit einer Hardware-ID auf Microsoft-Servern gespeichert. Für Neuinstallation nutzt man wieder den Win7/8 Key.
Seit 2024 kann man kein Windows 10/11 mehr mit Windows 7/8 -Keys lizenzieren, wenn die nicht vorher schon in Win10-Keys umgewandelt wurden.

Tools zum Keys auslesen:
• "Windows Product Key Viewer" - (free) liest nur Windows Keys aus
• "The Ultimate PID Checker"
• "Magical JellyBean Keyfinder" - (free) liest Windows-, Office- Produktkeys usw. aus (CT Notfall Windows 2022)
• "Recover Keys" (ab 29 USD), unterstützt 3000+ Programme, u.a. Photoshop CS 2-6, Windows BIOS-Keys...

BIOS-Keys kann man für eine VM nutzen, wenn man den Host nicht mit der Lizenz betreibt.
BIOS-Keys auslesen:

• Windows: ct Keyfinder (auch Win11 24H2)
• Windows: wmic path softwarelicensingservice get OA3xOriginalProductKey
  (ab Win11 / 24H2 ist wmic deaktiviert und dieser Befehl funktioniert nicht.)
  https://www.deskmodder.de/blog/2024/01/27/wmci-unter-windows-11-weiterhin-nutzen-aktuell-dev-version/
  
• Linux/Proxmox: strings /sys/firmware/acpi/tables/MSDM

Windows 7 Key per Registry auslesen:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\"
Suchen nach "ProductID", dort steht (u.a.) der Product-Key von Windows 7.

License Crawler von Martin Kliensmann - läuft auf Windows- 95 bis 10 und Server, findet viele Keys.

Magical Jelly Bean Keyfinder - findet Windows Key, manchmal auch mehr. (CT Notfall Windows 2022)

ShowKeyPlus
Liest installierten Windows Key aus sowie ggf. den in der Hardware hinterlegten OEM-Key oder den Original-Key vor einem Gratis-Win10-Update.
Außerdem zeigt es nach Eingabe eines Key die Windows-Edition.

MS Office Key per Eingabeaufforderung ändern:

• cd C:\Program Files\Microsoft Office\Office16 (o.ä.)
• cscript OSPP.VBS /dstatus - vorhandenen Key auslesen
• cscript OSPP.VBS /unpkey:KEY (nur letzten 5-er Block)
• cscript OSPP.VBS /inpkey:KEY-KEY-KEY-KEY-KEY - neuen Key installieren
• cscript OSPP.VBS /act  - Key aktivieren

Temporäres Benutzerprofil verschwindet beim Beenden der Usersitzung.

Es gibt viele dokumentierte Lösungsansätze, aber vielleicht hilft auch dieser Tip:

-> der verwendete User ist nur Domänengast.
Damit wird nachvollziehbar kein (dauerhaftes) lokales Profil angelegt.
Hinzufügen des Users als Domänenmember beendet das Problem.

- jede PE-Version kann abwärtskompatibel alle vorherigen Windows-Versionen bearbeiten

- Aufruf der PE-Eingabeaufforderung mit [SHIFT - F10]

- unter PE besitzt man SYSTEM-Rechte

- Powershell und NET Framework fehlt

- ausführbare Programme in x:\windows\system32\

- GUI für Kopieren / Umbenennen / Löschen bietet "Öffnen"-Dialog von notepad.exe

- 32-bit PE startet nur 32-bit Programme, 64-bit PE nur 64-bit Programme

- Netzwerk initialisieren:

wpeutil initializenetwork

- Firewall aus / ein schalten:

wpeutil disablefirewall / enablefirewall

- Treiber laden:

drvload e:\Treiber\treiber.inf

- Bitlocker Laufwerk entsperren:

manage-bde -unlock c: -pw

Wenn Windows die Zugangsdaten für eine Freigabe (NAS, PC..) gespeichert hat, kann man zukünftig ohne Passworteingabe auf diese Freigabe zugreifen. Das unterwandert aber häufig das Sicherheitskonzept.

Abfrage aller im Windows hinterlegten Zugangsdaten:

cmdkey /list

Löschen von hinerlegten Zugangsdaten:

cmdkey /delete:<Ziel>

SA - Software Assecurance

Windows Desktop-Versionen und Servicelaufzeiten

LTSB und LTSC Versionen besitzen keinen Microsoft Store und keine Apps.
AppStore nachinstallieren nach dieser Anleitung: https://www.youtube.com/watch?v=NcvRut5SPZ8

Windows Version und installierte Features abfragen mit DISM: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1334

Windows Version mit Powershell abfragen: get-computerinfo

Programme auf Netzlaufwerken lassen sich in Windows 7 - 10 nicht an die Taskleiste anheften.

Einzige mir bekannte Lösung:
- Programmdatei lokal auf den PC kopieren
- Verknüpfung in Taskleiste anlegen
- Verknüpfung editieren auf Ziel im Netzwerk
- lokale Kopie wieder löschen

• Windows Protokollierung von Hoch- und Herunterfahren.
Ereignisprotokoll: Anwendungs- und Dienstprotokolle / Microsoft / Diagnostics-Performance / Betriebsbereit
  ID 100er - Hochfahren
  ID 101 - Anwendung hat den Start verzögert
  ID 102 - Treiber hat den Start verzögert
  ID 103 - Dienst hat den Start verzögert
  ID 106 - Windows Hintergrundoptimierung
  ID 107 - GPO Computer
  ID 108 - GPO User
  ID 109 - Hardware-Initialisierung
  ID 200er - Herunterfahren, 201 - 209 wie oben.

• Sysinternals ProcessMonitor
- Auflisten aller Prozesse, die länger als z.Bsp. 1 sek. dauern.
  Filter: Duration ... is more than ... 1 sek
- Anzeige .. Spalte "Duration" einblenden, hilfreich ist "Image Path" und "Command Line".

Symbolische Links (symlink)
- werden mit MKLINK erstellt
- benötigen Admin-Rechte zum Erstellen
- Auflösung von symbol. Links auf Remote-Maschinen erfolgt auf dem Client
- nicht alle Anwendungen können mit symlinks umgehen

Symbolische Verzeichnisverknüpfung (junctions) (ab Win 2000)
- werden mit MKLINK erstellt
- benötigen keine Admin-Rechte zum Erstellen
- Windows unterstützt keine junktions auf Remote Shares
- (Auflösung von Verzeichnisverknüpfungen auf Remote-Maschinen erfolgt auf dem Server?)
- Verzeichnisverknüpfungen sind komplikationsfreier

RemoteDesktopService-User können so konfiguriert werden, dass jedes Userprofil in einer eigenen virtuellen Disk liegt und als Junction unter &users% eingebunden ist.
https://woshub.com/user-profile-disks-in-windows-server-2012-r2-rds/

Bsp: "C:\Dokumente und Einstellungen" -> "C:\Users"
Der direkte Inhalt ist für den Zugriff gesperrt, damit Programme den Inhalt des verknüpften Ordners nicht zweimal zählen.
Der Zugriff auf Inhalte wie "C:\Dokumente und Einstellungen\[Benutzername]\" funktioniert.
• Anzeigen mit "Junctions" von Sysinternals oder CMD, Powershell.
• Bearbeiten mit CMD: mklink.

Bessere Ergebnisse als der Explorer zeigt CMD.
dir /as

Vollständigen Ordnerinhalt anzeigen geht am Besten mit der Powershell.
dir -force

Hardlinks
Ein Hardlink ist ein Verzeichniseintrag für eine Datei. Jede Datei weist mindestens einen Hardlink auf.
Auf NTFS-Datenträgern kann jede Datei mehrere Hardlinks besitzen, und daher kann eine Datei in mehreren Verzeichnissen (oder im selben Verzeichnis mit verschiedenen Namen) angezeigt werden.
Da alle diese Verbindungen auf dieselbe Datei verweisen, können Programme einen beliebigen Hardlink öffnen und die Datei ändern.
Eine Datei wird nur dann aus dem Dateisystem gelöscht, wenn alle Hardlinks zu dieser Datei gelöscht wurden.
Alle Hardlinks auf eine Datei teilen sich die gleichen Zugriffsberechtigungen.
Um einen Hardlink zu erzeugen, benötigt der Benutzer das Recht zum Schreiben von Attributen auf dem jeweiligen Ordner-Zweig sowie auf dem Share, falls es sich nicht um ein lokales Laufwerk sondern um eine Freigabe handelt.
Existiert mehr als ein Hardlink für eine Datei, so wird lediglich einmal Plattenplatz für diese Datei belegt, egal wie viele Hardlinks existieren.
Hardlinks anzeigen: TreeSize, Optionen: Hardlinks bei einem Scan berücksichtigen, um genauere Werte für den belegten Speicherplatz zu erhalten

Data Deduplication
Win Server ab 2012 bieten eine Funktion zum automatischen deduplizieren von Daten. Die NTFS-Deduplikation bündelt Dateien mit annähernd gleichen Inhalten in sogenannten "Chunks".
Chunks werden in den Unterordner "Systeme Volume Information\Dedup\ChunkStore\" auf der entsprechenden NTFS-Partition verschoben.
Nachdem die Deduplikation von Windows ausgeführt wurde, werden die Originaldateien durch Verknüpfungen mit den korrespondierenden Chunks im ChunkStore Ordner ersetzt.
Zwei identische Dateien benötigen anders als zuvor, nach der Deduplikation nur noch die Hälfte des Speicherbedarfs. Da die Originaldateien nun lediglich noch eine Verknüpfung statt der Daten enthalten, liefert Windows für diese einen wesentlich kleineren Speicherplatz zurück als zuvor (Für zwei identische Dateien wird der benötigte Speicherplatz mit "0 Byte" angegeben).
Um sich von TreeSize die Originaldatei- und -ordnergrößen anzeigen zu lassen, müssen Sie einfach den Anzeigemodus von "Belegter Speicher" zu "Größe" umstellen. Der "Belegte Speicher", der von TreeSize angezeigt wird, ist der Speicherplatz, den Sie durch Löschung der entsprechenden Datei erhalten würden.

Ist die aktuelle Umgebung "Als Administrator" gestartet?

@echo off
whoami /groups | find "S-1-16-12288" > nul
if not errorlevel 1 {
color 47
}

• Abfrage der möglichen Farben (Hintergrund+Schrift): color /?
• "If not errorlevel 1" prüft, ob der Wert gleich oder größer ist. Abfrage "if errorlevel 0" wäre also sinnlos.
• SID oben bedeutet "Hohe Verbindlichkeitsstufe", d.h. Start "als Administrator".

Liste aller bekannten Gruppen- und Systemuser- SIDs:
https://support.microsoft.com/de-de/help/243330/well-known-security-identifiers-in-windows-operating-systems

Hier findet man alle Dienste:
Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\

Dienste können hier bearbeitet/umbenannt oder gelöscht werden.

Startart in Wert "Start":
0 = Boot
1 = System
2 = Automatic
3 = Manual
4 = Disabled

Wenn man mit einem Tablet einen PC fernsteuert, wird manchmal beim Klick in ein Eingabefeld keine Bildschirmtastatur eingeblendet.

Abhilfe: Bildschirmtastatur mit [WINDOWS-Strg-O] oder [osk.exe] starten.

Im Tablet-Modus (aktivierbar unten rechts im Infocenter) wird die Bildschirmtastatur rechts im Infobereich der Taskleiste angezeigt.

Kommandozeilentool (Eingabeaufforderung und Powershell) zum Bearbeiten von Images, seit Windows 7, Funktionsumfang wurde in jeder Version weiter entwickelt.

Tip: 7-Zip kann WIM-Dateien öffnen.

Informationen über den Inhalt eines Images (Indexnummer, Beschreibung):

DISM /Get-Info /Imagefile:D:\Sources\Install.esd

Informationen über den Inhalt der Datei mit Index=5 aus dem Image (Beschreibung, Größe, Architektur, Sprache...):

DISM /Get-Info /Imagefile:D:\Sources\Install.esd /Index:5

Fehler in Systemdateien suchen und beseitigen:

Dism /Online /Cleanup-Image /ScanHealth
Dism /Online /Cleanup-Image /CheckHealth
DISM /Online /Cleanup-Image /RestoreHealth

Bei Fehlermeldungen bei o.g. Befehl:
Mount Windows Server 2016 ISO as a drive (E: im Beispiel)
Run dism /online /cleanup-image /restorehealth /source:WIM:E:\sources\install.wim:1 /limitaccess

DISM offline aus WinPE Kommandozeile, wenn das System nicht mehr läuft:
(siehe auch deskmodder.de)

Dism /Image:e:\ /Cleanup-Image /RestoreHealth /source:esd:C:\install.esd:1 

Richtige Version im Offline Image suchen:
(mehr dazu: https://www.computerbase.de/forum/threads/wie-dism-offline-korrekt-anwenden.2122965/)

Dism /Get-WimInfo /Wimfile:"L:\sources\install.wim"
(geht auch bei install.esd)

Image (Index 5) auspacken. ESD-Dateien lassen sich nicht bearbeiten.
ESD in WIM konvertieren:

DISM /Export-Image /SourceImageFile:E:\Sources\Install.esd /SourceIndex:5 /DestinationImageFile:E:\Sources\Install.wim /Compress:max

WIM entpacken, Mounten:

DISM /Mount-Image /Image-File:E:\Sources\Install.wim /Index:1 /MountDir:G:\Mount

Das entpackte Image kann im Explorer bearbeitet werden (Default Profil, Treiber, Hintergrundbild, Programme, Apps.. hinzufügen/löschen)

Überblick über alle eingebundenen Images:

DISM /Get-MountedWimInfo

Falls hier nicht mehr gültige Images angezeigt werden:

DISM / Cleanup-MountPoints
DISM / Cleanup-Wim

WIM packen, Dismounten:

DISM /Unmount-Image /MountDir:G:\Mount /Commit

/Discard statt /Commit verwirft die Änderungen.

Apps auflisten/deinstallieren

Das funktioniert am aktiven Windows oder bei einem Image.
1. Image einbinden (/Mount-Image..) z.Bsp. nach G:\Mount
2. Überblick über Apps verschaffen (Ausgabe in Datei)
DISM /Get-ProvisionedAppxPackages /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-ProvisionedAppxPackages /Online
3. betreffende App suchen, bsp. "Microsoft.MicrosoftSolitaireCollection"
4. App löschen, bsp.
DISM /Remove-ProvisionedAppxPackage /Image:G:\Mount /PackageName:Microsoft.MicrosoftSolitaireCollection_4.4.8204.0_neutral_-_8wekyb3d8bbwe
Wenn App aus der Online-Version gelöscht werden soll, "/Image:..." durch "/online" ersetzen.
5. Image mit /Commit dismounten

Windows Version ermitteln
Abbildversion (Bsp: 10.0.19043.1766) und aktuelle Edition (Bsp: Professional)

dism /online /get-currentedition

Treiber auflisten/deinstallieren

Ablauf wie bei Apps, nur statt /Get-ProvisionedAppxPackages
DISM /Get-Drivers /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-Driver /Online

Treiber löschen
DISM /Remove-Driver

Treiber hinzufügen
DISM /Add-Driver

Windows "Fähigkeiten" auflisten/deinstallieren

Ablauf wie bei Apps, nur
DISM /Get-Capabilities /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-Capabilities /Online

Windows Updates auflisten/deinstallieren

Ablauf wie bei Apps, nur
DISM /Get-Packages /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Get-Packages /Online

Windows Features auflisten/deinstallieren

Ablauf wie bei Apps, nur
DISM /Get-Features /Image:G:\Mount %UserProfiles%\Documents\Dismtmp.txt
oder online:
DISM /Online /Get-Features /Format:Table

DISM in der Powershell: https://docs.microsoft.com/de-de/windows-hardware/manufacture/desktop/use-dism-in-windows-powershell-s14?view=windows-11

Move Mouse aus MS AppStore
https://www.microsoft.com/de-de/p/move-mouse/9nq4ql59xlbf#activetab=pivot:overviewtab

WINSERV von Sw4me (free, open-source, funktioniert gut)
Installiert Programm als Dienst mit Name, Beschreibung, Parametern.
http://www.sw4me.com/wiki/Winserv

Zertifikate: certmgr.msc (lokaler Computer!)
  (ggf. mmc.exe aufrufen, Zertifikate -> lokaler Computer hinzufügen)
Zertifikatserver: certsrv.msc
Zertifikatsvorlagen: certtmpl.msc
Zertifikat manuell erneuern: certutil -pulse
DC Zertifikate prüfen: certutil -DCinfo

Zertifikatsvorlage anpassen: Zertifikat duplizieren,
  Kompatibilität anpassen, Name sinnvoll setzen, Gültigkeitsdauer

Neues Zertifikat anfordern: von Ihnen konfiguriert, Zertifikatregistrierung: Status: Nicht verfügbar: Antragsteller korrigieren, besonders E-Mail raus

AD Zertifikat als PEM exportieren: Unter Windows wird die Verschlüsselung von PEM-Zertifikaten als Base-64-codiertes X.509 (.CER) bezeichnet. 

Zertifikatstelle sichern:

• CA-Server certsrv.msc aufrufen, CA -> Alle Tasks -> CA sichern
• Backup AD CertServer RegistryKey: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\CertSvc
  (enthält Konfiguration der CA, darunter die CRL- und AIA-Speicherorte)

Zertifikatsstellen-Webregistrierung
Hier kann man das aktuelle Zertifikatstellenzertifikat und die Zertifikatskette downloaden.

http://localhost/certsrv

Anleitung AD Zertifikatsdienst: https://sid-500.com/2017/03/31/active-directory-zertifikatsdienste-teil-1-installation-einer-enterprise-root-ca/

Eigene AD Zertifikatsvorlage erstellen: https://sid-500.com/2017/04/01/active-directory-zertifikatsdienste-teil-3-eigene-zertifikatsvorlagen-erstellen/

AD Zertifikatserver auf neuen Server migrieren: https://www.windowspro.de/brandon-lee/active-directory-zertifikatdienste-einen-neuen-server-migrieren

AD Zertifikatsvorlage erstellen und aktivieren
https://www.tecchannel.de/a/active-directory-client-zertifikate-teil-1-zertifikatvorlagen,1739816,5

AD Zertifikate anfordern
https://www.tecchannel.de/a/active-directory-client-zertifikate-teil-2-anfordern-von-zertifikaten,1740097

Das war für mich hilfreich:
https://www.faq-o-matic.net/2017/09/13/windows-pki-computerzertifikat-manuell-anfordern/

Zertifikate über AD, Subjekt Alternative Name Zertifikate für mehrere Server
https://www.windowspro.de/wolfgang-sommergut/san-zertifikate-ausstellen-ueber-active-directory-ca

OpenSSL Selfsign Zertifikate (Bsp. für Apache)
https://wiki.manitu.de/index.php/Server:Selbst-signiertes_SSL-Zertifikat_erstellen/erzeugen

Eigene AD Zertifikatsvorlage erstellen: https://sid-500.com/2017/04/01/active-directory-zertifikatsdienste-teil-3-eigene-zertifikatsvorlagen-erstellen/

• Windows-integrierte SQL-Datenbank
  wird u.a. genutzt von:
  • Active Directory-Rechteverwaltungsdienste (Active Directory Rights Management Services, AD RMS)
  • Windows Server Update Services (WID oder SQL)
  • Windows-Systemressourcen-Manager
• Verwaltung u.a. über MS SQL Management Studio
  Connect:
  • Windows Server 2016/2019: \\.\pipe\MICROSOFT##WID\tsql\query
  • Windows Server 2012 (R2): \\.\pipe\MICROSOFT##WID\tsql\query

Powershell ISE starten, ggf. Script-Ausführung aktivieren.

• Get-WindowsUpdate - auf Updates prüfen
• Install-WindowsUpdate - Updates installieren
  Install-WindowsUpdate -AcceptAll -AutoReboot

Modul PSWindowsUpdate

• Import-Module PSWindowsUpdate - PowerShell Modul installieren
• Get-Command –Module PSWindowsUpdate - listet alle Kommandos
• Get-WUInstall - Update des PC's mit evtl. Bestätigung einer Eingabe
• Get-WUInstall -MicrosoftUpdate -IgnoreUserInput -WhatIf -Verbose - Update des PC's ohne weitere Nutzereingabe
• Get-WUList - Liste aller installierten Patche
• Get-WUHistory - Liste aller installierten Updates, sogar über Funktionsupdates hinaus (dauert)

Die NTUSER.DAT befindet sich als versteckte Systemdatei im Ordner des jeweiligen Benutzers unter C:\Benutzer\<benutzer>\NTUSER.DAT
Ausserdem gibt es eine gleichnamige .log1 und log2 als Zwischenspeicher, bevor die Änderungen final in der NTUSER.DAT landen.
Diese sollten in die Analyse einbezogen werden.
Da jeder Benutzer eine eigene NTUSER.DAT besitzt, können gefundene Spuren exakt einem Benutzerkonto zugewiesen werden.

Im Live-Betrieb mit REGEDIT unter Computer\HKEY_CURRENT_USER\ (andere User unter HKU).
ID des angemeldeten Users ermitteln (HKCU): Dosbox: whoami /logonid

HKCU eines anderen Benutzers laden / editieren:
Registry: HKU/ markieren, Datei -> Struktur laden, ntuser.dat aus dem betreffenden Userprofils laden.

Offline Tool: Registry Explorer

MS Office

• legt die zuletzt aufgerufenen Dateien und Speicherorte ab
• nicht vertrauenswürdige Speicherorte (default: alles außer lokale Festplatte) werden gesondert gespeichert
• Schlüssel in NTUSER.DAT\Software\Microsoft\Office\
• ...\Word\User MRU\ listet die letzten 50 Word-Dokumente auf
• ...\Word\Place MRU\ listet die letzten 50 Word Speicherorte auf

Dateien und Ordner

• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RecentDocs - speichert die letzten 150 zugegriffenen Dateien ab
  - besitzt für jeden Dateityp einen Subschlüssel
  - Datei MRUListEx speichert jeweils die Reihenfolge, in der die Dateien geöffnet wurden
• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSavePidlMRU - speichert Dateien, die mit „Öffnen“ oder „Speichern unter“ Dialoges geöffnet bzw. geschlossen wurden
  - je Dateityp gibt es einen Subschlüssel und eine MRUListEx wie oben
• NTUSER.DAT\Software\Microsoft\Windows\CurrentVersion\Explorer\RunMRU - speichert Programm im Ausführen-Dialog

Fernzugriff

• NTUSER.DAT\SOFTWARE\Microsoft\Terminal Server Client\Servers - enthält Ziele (IP + Anmeldename) der RDP-Verbindungen

siehe auch:

• Windows Registry: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1069
• Forensik: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1045

Taskplaner startet beliebigen Job bei Verbinden eines Netzwerkes.

Nutzung für GPO-Aktualisierung nach Login, Laufwerks-Mapping nach VPN-Login u.v.a.m.

Bsp: powershell.exe -windowstyle hidden -command "gpupdate /force"

Im BIOS befinden sich im Allgemeinen 2 Zertifikate (für Windows und "Andere") für UEFI Secure Boot.
Beide Zertifikate sind von Microsoft und laufen 2026 aus.

Microsoft plant, das Zertifikat zu widerrufen, mit dem alle UEFI Secure Bootlader für Windows signiert sind.
Das betrifft alle Windows Bootlader ab 2012 sämtlicher Versionen ab Windows 8 / Server 2012 in allen Editionen, Plattformen und Architekturen.
Es ist egal, ob der Bootloader auf einem internen Datenträger ist oder extern (CD/DVD, USB, ISO, VHD, Backups, Setup- und Rettungsmedien).
Es ist also unbedingt zuerst ein neuer Bootlader erforderlich, der das neue Zertifikat kennt.
Auch PCIe-Erweiterungskarten, die vom BIOS initialisiert werden, müssen aktuelle Zertifikate haben! (oder Secure Boot abschalten)
Außerdem muß dieses neue Zertifikat im BIOS hinterlegt werden.

Windows 11 fordert die Existenz UEFI Secure Boot, es muß aber nicht aktiviert sein.

msinfo.exe kann den aktuellen Zustand von Secure Boot erkennen
Sicherer Startzustand:
Ein - Secure Boot aktiv
Aus - Secure Boot aus
Nicht unterstützt - kein Secure Boot vorhanden oder PC läuft im Legacy CSM Mode
BIOS-Modus:
UEFI - UEFI
Vorgängerversion - CSM ist aktiv

Linux (Debian)

• min. 2 Jahre supported, Upgrade meist problemlos
• keine Aktivierung, lokale Konten, kein Onlinezwang
• regelmäßige Sicherheitsupdates werden angeboten, Nutzer entscheidet
• geringe Hardware-Voraussetzungen, weitgehend automatische Geräteerkennung
• schnell, stabil, zuverlässig
• gutes Desktop-Betriebssystem für alle Aufgaben
• Probleme:
  - magere Drucker-Unterstützung (sehr einfach)
  - keine Scanner
  - Windows-Applikationen nur mit Virtualisierung

MS Windows Server 2022

• 10 Jahre Support (bis Okt. 2031)
• Aktivierung online oder telefonisch, lokale Konten, kein Onlinezwang
• regelmäßige Sicherheitsupdates werden angeboten, Nutzer entscheidet
• moderate Hardware-Voraussetzungen, Geräteinstallation teilweise komplex (nichts für Laien), läuft virtualisiert problemlos
• stabil, zuverlässig
• gutes Desktop-Betriebssystem für Leitwarten o.ä.
  - Windows 10/11 look & feel
  - nahezu jede Windows Software läuft
• Probleme:
  - Geräteerkennung komplex
  - keine TWAIN/WIA Scanner - Scan nur über SMB-Freigabe

MS Windows 11

• ca. 2 Jahre Support, Funktionsupdates stellen teils neue Hardware-Anforderungen
• Online-Aktivierung, kaum noch umgehbarer Online-Konten-Zwang
• regelmäßige Funktions- und Sicherheitsupdates werden installiert, Nutzer hat (fast) keine Einflussmöglichkeit auf Zeitpunkt und Umfang
• unsinnig hohe Hardware-Voraussetzungen, weitgehend automatische Geräteerkennung
• zunehmender und intransparenter Online-Datenabfluss
  (Copilot, Cloud-Zwischenablage, Passwortspeicherung im Cloudkonto, Onedrive als Standard-Speicherort, MS Recall ...)
• schnell, ständig veränderte Funktionen und Oberfläche
• unsichere Geräteverfügbarkeit wegen unplanbarer Updates und Funktionsänderungen und abnehmender Softwarequalität
• unsichere politische Abhängigkeit (Sperrung von Konten)
• Desktop (virtualisiert) für TWAIN-Scanner + Abby Finereader OCR

MS Windows (alle Versionen seit Win 3.1) hat eine Längenbeschränkung (MAX_PATH) DEFAULT = 260 Zeichen für Dateipfade inclusive Dateiname.
Davon sind bereits "C:\" 3 Zeichen.

Windows 11 CU 2025-10 schafft per Default diese Grenze ab.

Bei Überschreitung kann Windows nicht mehr auf die Datei zugreifen.
Fatal: oft lässt sich die Datei noch speichern, aber nicht mehr lesen.

Abhilfe:

1. Pfad kürzen.
   Unterhalb der 256 Zeichen kann man alle Pfade so lange kürzen, bis die Gesamtlänge unter 260 liegt.
   
   
2. Freigaben in tiefer gelegenen Ebenen anlegen.
   Bsp: F:\Daten-von-Mutti/Tolle-Bilder/Urlaube mit Mama/Bilder/Urlaubsfotos/2025/img20250612-122343-schönes Bild.jpg
   Freigabe Ordner /2025/ als X:
   ergibt X:/img20250612-122343-schönes Bild.jpg
   
   
3. Pfadeinschränkungen aufheben.
   Seit Windows 10 kann man die Gesamtpfadlänge auf max. 32.767 Zeichen erweitern.
   GPO: Computer/Administrative Vorlagen/System/Dateisystem, "Lange Win32-Pfade aktivieren" = Aktivieren.
   Reg: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\FileSystem , 32-bit DWORD: LongPathsEnabled = 1
   Powershell:

   New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\FileSystem" 
   -Name "LongPathsEnabled" -Value 1 -PropertyType DWORD -Force

   
   Hinweis: Nicht alle Programme können diese Pfadlängen verarbeiten.

Volumes können bis 4 GB groß sein.

Die max. Dateigröße ist 2 GB.

Domänen werden nicht unterstützt.

Windows 7/8 unterstützt FAT, kann aber nur auf NTFS installiert werden.

FAT in NTFS konvertieren:

Umwandeln ohne Neuformatierung oder Datenverlust:
CONVERT <LAUFWERK>: /FS:NTFS

Volumes von 512 MB bis 2 TB.

Die max. Dateigröße ist 4 GB.

Windows XP kann nur FAT32-Volumes bis 32 GB formatieren.

Domänen werden nicht unterstützt.

PCs im UEFI-Modus booten nur von Fat32.

SSD halten ihre Daten ohne Stromversorgung maximal 2 Jahre.
Das sollte man beim Speichern auf externe SSD beachten.

MBR:
 1.Partition: BOOT, 350MB (Bootdateien und Wiederherstellungssystem)
 2.Partition: Windows-NTFS

UEFI:
 1.Partition: SYSTEM, 350MB, FAT32 (Wiederherstellungssystem)
 2.Partition: ESP, 100MB (EFI System Partition, Boot-Dateien)
 3.Partition: MSP, 120MB (MS reserviert)
 4.Partition: Windows-NTFS

Aufzeichnungsverfahren:

• SMR - Shingled Magnetic Recording
  - speichert die Daten sehr dicht auf überlappenden Bahnen
  - verringerte Geschwindigkeit beim Ändern gespeicherter Daten teils erheblich
    (ungeeignet für häufig wechselnde Inhalte)
  - wird für preisgünstige Modelle eingesetzt
• CMR - Conventional Magnetic Recording
  - teurer, schneller

2014: Neue Festplatten mit 4kB-Sektoren werden nicht von Windows vor Version 8.1 oder Server 2012R2 als Bootlaufwerke unterstützt, ebenso nicht von MacOS.
Sie laufen nicht mit Intel RST-Treiber iastor.sys, etlichen SAS-Controllern und diverser systemnaher Software.

Win2000 und XP können in der ersten Auslieferungsversion nicht mehr als 128 GB pro Festplatte adressieren! Für größere Platten muß bei Windows 2000 mindestens das SP3 installiert sein (SP3 aktualisiert die ATAPI.SYS). Bei Windows XP muss man entweder die Registrierung editieren oder das min. SP1 installieren.

Außerdem ist das gewählte Datenträgerformat entscheidend:

► Windows Partitionen:
MBR: 4 Partitionen
GPT: 128 Partitionen

► Maximale Partition- und Fesplattengröße:
MBR: 2 TByte
GPT: 18 ExaByte

Windows ME /Win98: maximal 128 GB pro Festplatte.

gängige BIOS-Beeps, POST Codes u.a. : www.bioscentral.com

BIOS Kompendium: www.bios-info.de

SIPP die ollen 8-bit Dinger mit Beinchen
SIMM (PS/2) (Single In-line Memory Modul) - eine Kontaktreihe. Zugriffszeit: 60 .. 70 ns.
72-polig -> 32-Bit (im 64-bit Pentium paarweise!).
30-polig -> 8-Bit (alt: 4x gleiche Mudule für 32-bit CPU).
- FPM (FastPage) -schneller als DRAM
- EDO (Extended-Data Output DRAM) -schneller als FPM.
DIMM (Dual In-Line Memory Modul) - 64-Bit, 168-polig (2x84), 2 Kerben (nach Pin 10 und 40), zwei Kontaktreihen. Zugriffszeit typisch 8..12 ns
- EDO (alt und lahm) oder SDRAM- Bestückung
- SO-DIMM (Small Outline DIMM) - für Notebooks. 72-polig (32-bit) oder 144- polig (64-bit)
Gängig: PC-66, PC-100, PC-133 für 66, 100 und 133 MHz Bustakt.
DDRAM (Double Data RAM) - 184-polig (2x92), 2.5V / 2.6V, 1 Kerbe, doppelte Datenrate gegenüber SDRAM
Gängig: DDR200, 266, 333[PC2700] (2.5V+/-0.2V), DDR400[PC3200] (2.6V+/-0.1V).
RDRAM (RIMM) (Rambus Dynamic RAM) - 1 Kerbe (nach Pin46), Metallkappe, schneller als DDRAM, teuere Insellösung. Gängig: PC600, PC711, PC800, PC1066, PC1200, PC1333. Jeder freie Slot muß terminiert sein.
DDR2, 1.8V, 1 Kerbe, 240-Pin, doppelte ext.Bandbreite, geringerer Energieverbrauch gegenüber DDR, leere Slots müssen ggf. terminiert sein.
Gängig: DDR2-400[PC2-3200], DDR2-533[PC2-4200], DDR2-667[PC2-5300], DDR2-800[PC2-6400]. Auch als ECC oder S0 (200 Pin) für Notebook.
DDR3, 1.5V, 1 Kerbe (andere Pos. als DDR2), 240-Pin
Gängig: DDR3-1066MHz, DDR3-1333MHz, DDR3-1600MHz. Auch als ECC oder S0 (204 Pin) für Notebook.

Weiter Infos: Kingston

AGP funktioniert erst ab Win95C mit USB-Unterstützung und DirectX ab V.5!

F1 - Setup
F12 - BootMenue

Lifecycle Controller-Update

FTP-Server: Adresse: ftp.dell.com. Keine Anmeldeinformationen. Ggf. Dateipfad: catalog. VERALTET
HTTP/S-Server: Adresse: downloads.dell.com. Ggf. Dateipfad: catalog.
USB: muß Fat32 sein.

Download startfähiger ISO-Dateien zum Aktualisieren für PowerEdge Server

iDrac Standardzugang: root / calvin

- Anmeldung im IE schlägt öfter fehl. Manchmal läuft der IE aber dann besser.
- Link im IE zur vertrauenswürdigen Zone hinzu fügen!

iDRAC neu starten, wenn sie hängt: auf dem Server anmelden, CMD-Fenster öffnen und dort den Befehl: „racadm racreset“ absetzen.

- Firefox: Zertifikat "DELL iDrac" löschen! Alle Server haben das gleiche Zertifikat, das blockt FF ab.

* You must disable the Enhanced Security Mode in Internet Explorer for the
  Java-based virtual console and virtual media plug-in to function properly.
  Else, specify the ActiveX plug-in in the iDRAC6 configuration instead of Java.
  In addition, you must add the iDRAC6 Web URL to the Intranet security
  zone only. Also, this zone settings must be Medium-Low or lesser, for the
  control to function properly.
* To successfully launch Virtual Media, make sure that you have installed
  a 64-bit JRE version on a 64-bit operating system with 64-bit browser or a
  32-bit JRE version on a 32-bit operating system with 32-bit browser. iDRAC6
  does not support 64-bit ActiveX versions. Also, make sure that for Linux,
  the compat-libstdc++-33-3.2.3-61 related package is installed for launching
  Virtual Media. On Windows, the package may be included in the .NET framework
  package.
* When the SSL encryption strength is set to "168-bit or higher" or "256-bit or
  higher" and a downgrade is performed to firmware version 1.97 or lower, the
  encryption strength  defaults to Auto-negotiate. After this if you upgrade
  the firmware to version 1.98, the encryption strength is set to the previously
  set "168-bit or higher" or "256-bit or higher" value. 

• Gute FAQ: https://faq.hosteurope.de/?cpid=11831
• Dell Anleitung zum Remoteupdate einzelner Firmware über die iDRAC
• Dell PowerEdge: Anleitung zum Firmwareupdate über eine HTTPS-Verbindung zum iDRAC
• Dell Repository Manager (DRM) zum erstellen eigener Repositories Ihrer Systeme

Bildschirm optimal einstellen: www.werbefoto.at

HDD (rotierende Festplatten) können im Fehlerfall ggf. leichter rekonstruiert werden.
Außerdem verkraften sie mehr Schreib-/Lesezyklen als SSD.
Sie sind preiswert pro Datenvolumen und erreichen etwa die Transferrate des Gigabit-LAN.
Die Lebensdauer der Daten beträgt in Gebrauch 2-10 Jahre, bei Lagerung 10-30 Jahre.

SSD sind inzwischen langlebiger, robuster, erwärmen sich weniger und sind energiesparender als HDDs.
Die höhere Datenrate kann nur lokal (SATA-2) oder ab 5 Gb/s Netzwerk ausgenutzt werden.
Neben der Datenrate sind auch die durchschnittlichen Zugriffszeiten deutlich höher als bei HDDs.
Die Haltbarkeit beträgt 5-10 Jahre, aber stark abhängig von der Anzahl der (max. 1.000 .. 100.000) Schreib-/Lesezugriffe.

NVMe lassen sich über SATA nicht sinnvoll anbinden.
Die sehr hohe Datenrate kann nur lokal (PCIe-Bus) oder ab 25 Gb/s Netzwerk ausgenutzt werden.
Die Lebensdauer ist mit 75.000 ... 400.000 Schreib-/Lesezyklen deutlich höher als bei SSD.

Telefonnummer: 069 / 979-22064

http://www.dell.com/learn/us/en/04/campaigns/regional-contacts-us?c=us&l=en&s=bsd&redirect=1

Stecker

Einfacher Test für lokale Laufwerke in der DOS-Box.

Alle Tests (LW C):
winsat disk -drive c


Lesegeschwindigkeit LW C:
winsat disk -seq -read -drive c

Schreibgeschwindigkeit LWC:
winsat disk -seq -write -drive c

Übliche Geschwindigkeitswerte
Festplatten (seq. lesen) > 110 MB/s (SATA) ... 550 (SAS RAID) ... 5.000 MB/s (VM)
Festplatten (seq. schreiben) > 130 MB/s (SATA) ... 430 MB/s (SAS RAID) ... 1.500 MB/s (VM)
SSDs (seq. lesen) > 400 MB/s ... 500 MB/s
SSDs (seq. schreiben) > 200 MB/s ... 500 MB/s

Erfolgreich getestet in: Windows 7 - 8.1 - 10 Pro, Server 2016.

Geht nicht in Server 2008R2 - 2012 - 2012R2.
Bei diesen System einfach WinSAT.exe und WinSATAPI.dll von C:\Windows\System32 eines o.g. Systems holen, ggf. "regsvr32 C:\Windows\System32\WinSATAPI.dll" ausführen.

Default IP: 192.168.1.1
(bei Dreammachine, DM Pro, Security Gateway, SG Pro)

Default IP: 192.168.1.8
(bei Cloudkey, Cloudkey Pro)

Für Ersteinrichtung per Bluetooth (Handy-App) oder LAN (Browser) ist ein Ubiquiti-Account erforderlich!
Ubiquiti Username darf nur aus Kleinbuchstaben bestehen.
Nach der Einrichtung kann man die Online-Konfig durch den Ubiquiti-Account wieder deaktivieren.

Default SSH PW für Geräte, die noch nicht administriert wurden: ubnt / ubnt oder root / ubnt.

Abhängigkeiten:

Ports:

• TCP/8443: Web GUI
• TCP/8080: Device/Controller Communication
• TCP/8880: HTTP Portal Redirection
• TCP/8843: HTTPS Portal Redirection
• TCP/6789: UniFi Mobile Speed Test
• UDP/3478: STUN (optional, für UniFi VoIP Telefone)
• UDP/10001: Device Discovery
• UDP/1900: Layer 2 Network Discovery
• UDP/5514: Remote Syslog Capture (optional)

PoE:

Alle AP lassen sich per PoE speisen, aber mit verschiedenen Standards!
Teilweise wird sogar PoE passiv und teils aktiv genutzt.
Bei den 5-er Packs liegt kein PoE-Injektor bei, bei den Einzelgeräten schon.
Nicht alle PoE-Injektoren unterstützen 1GB Datendurchsatz.

Unifi WLAN Accesspoints:

• keine eigene Weboberfläche,- Konfiguration nur über kostenlose Controller-Software, Hardware-Controller oder App.
• arbeiten als Layer-2 Bridge, IP + DHCP kommt vom vorherigen LAN
• per Default mit dynamischer IP. Besser statisch setzen.
• bis 4 SSIDs je AP
• Ländereinstellungen bestimmen auch WLAN-Sendeleistung!
  In Deutschland ist die Sendeleistung auf 100 mW (20 dBm) begrenzt, während in den USA bis zu 1000 mW (also dem 10-fachen) erlaubt sind.
• Sendeleistung kann zentral über die Ländereinstellungen (Auto-Mode) oder für jeden AP manuell in Custom konfiguriert werden.

SSH Device (AP) Reset + neu in Controller einbinden:

- Run "sudo syswrapper.sh restore-default"
- Wait until the device reboots
  (Werkseinstellung mit Default Passwort)
- SSH into the device again and 
- Run: "set-inform http://ip-of-controller:8080/inform"

Unifi Controller

• kostenlose Software für Windows, Linux und macOS zum Konfigurieren von Unifi-Komponenten wie Switch, Routing, Firewall, WLAN
• als Hardware in verschiedenen Ausführungen verfügbar, sinnvoll für Dauerbetrieb, Monitoring und Statistik (Clod-Key, Dreammachine)
• UNIFI-AccessPoints und Managed Switche haben keine WEB-Oberfläche und werden nur über den Controller administriert.
• Controller muss nicht dauerhaft laufen, Abhängigkeiten siehe oben.

• Controller lässt sich immer über Port 8443 erreichen. (https://IP-DES-CONTROLLER:8443/)
• Controllerwechsel über Backup bei gleicher FW-Version.
Schlägt das fehl, dann per SSH (set-inform http://IP-DES-NEUEN-CONTROLLER:8080/inform) Hardware neu bekannt machen.

UniFi Dream Machine Pro

• 8-Port Switch, Full Managed, mit 1x SFP+
• Unifi Controller
• Security Gateway (Firewall, Thread Management, Geolocation, detaillierte Traffic-Protokollierung..) mit 1x SFP+
• Protect Videorecording, Gesichtserkennung, VMotion

Konfiguration per Bluetooth-App oder per Browser (über LAN-Port per DHCP-Adresse oder Default IP=192.168.1.1).

SSH Login (SSH in GUI aktivieren, SSH Username= root):

$ ssh unifi
# mca-cli  - startet CLI
$ set-inform http://[IP]:8080/inform  - liest Hardware neu ein

SSH Live-LOG, aktualisiert sich:

tail -f /var/log/messages

Ubiquiti UniFi AC PRO
Art. UAP-AC-PRO

günstige 3-er Pack und 5-er Pack, ohne PoE-Injektor
Einzelverpackung mit PoE Gigabit Adapter 48V, 0.5A
Unterstützt PoE: 802.3af PoE / 802.3at PoE+ (aktiv), Leistungsaufnahme max. 9W

Backup in der GUI konfigurierbar.
CloudKey: SD-Karte

Netzwerke
- vorhandenes LAN als Management-LAN belassen, Änderungen führen ggf. zu Fehlern.
- eigenes LAN neu hinzu fügen.
- Switchports können LANs zugewiesen werden mit VLAN, DHCP.
- einzelnen Ports kann eine feste IP aus dem DHCP-Bereich zugewiesen (reserviert) werden.
- Geräte können Name (Alias) und Symbolbild bekommen (Falsches Symbolbild melden, Bild aus Liste wählen).

WLAN
Band-Steering: "5 GHz bevorzugen" oder "Ausbalanciert" (für jeden AP einstellen).

Gästeportal
- Logo als PNG, 400 x 400 pix, transparent

VLAN
Unifi arbeitet bei den Port-Profilen mit TAGGED VLANs und bei Netzwerken mit UNTAGGED VLANs.
Man kann auf einem Port über Switch-Profile mehrere VLANs taggen und max. 1 VLAN untagged konfigurieren.
Profil "All" entspricht UNTAGGED und VLAN1. Sinnvoll für Uplinks bzw. unkonfiguriert.
Das Native Netzwerk ist das UNTAGGED Netzwerk des Ports (entspricht PVID bei Netgear) und wird nicht nach außen übertragen.
Jeder Port hat (bei Unifi) nur ein UNTAGGED Netzwerk.

Bsp.1: Switch aufteilen
- gewünschte Ports in separates (natives, ungetaggtes) VLAN

Bsp.2: Switch aufteilen, ein Port erreicht aber mehrere VLANs
- gewünschte Ports in Portgruppe, die alle gewünschten VLANs (TAGGED) enthält.

UDM Firewall:
- Regeln werden von kleinen zu grossen Indexnummern abgearbeitet.
https://ubiquiti-networks-forum.de/wiki/entry/46-firewall-regeln-basis-wissen-ej/
https://help.ui.com/hc/en-us/articles/115010254227-UniFi-USG-Firewall-How-to-Disable-InterVLAN-Routing

Übersicht der UniFi - Produktlinien:
https://help.ui.com/hc/en-us/articles/360050130353-UniFi-UniFi-Overview

Übersicht der Switche und AccessPoints, Kameras usw. sowie deren PoE-Standards:
https://help.ui.com/hc/en-us/articles/115000263008-UniFi-Supported-PoE-Output-and-Input-Modes

UniFi Controller Passwort zurück setzen
(ggf. erforderlich nach Backup und Restore, das zerschiesst gerne alle Benutzer)
https://gist.github.com/AmazingTurtle/e8a68a0cbe501bae15343aacbf42a1d8

APC USVs kennen 2 unterschiedliche Modulslots!
Passende Größe beachten (12.1 x 3.8 mm oder 2.5 x 4.7 mm).

• APC UPS mit SNMP-Modul können Powerchute Network Shutdown (kostenlos) nutzen
• APC Smart-UPS können Powerchute Business (kostenlos) nutzen
• APC Back-UPS können nur Powerchute Personal Edition, nicht für Server

APC Back-UPS erlauben teilweise keinen Akku-Tausch mehr!
(Akkuwechsel nur in der Fachwerkstatt, Wechselakku kostet ungefähr das Gleiche wie das ganze Gerät)

8-Stunden-Strommessung an einem Büro-Arbeitsplatz

Intel Core-i5-8400
mit TFT-Bildschirm 20"

Mittlere Stromaufnahme in Betrieb: 55 Watt
PC aus (WoL aktiv), Monitor in Standby: 14 Watt

CPU-Z - aktuelle Prozessorwerte, Stresstest  (u.a. in CT Notfall Windows)

Prime92 - Prozessortests, Stresstest, auch für einzelne Kerne (u.a. in CT Notfall Windows)

Windows Speicherdiagnose - startet Windows neu und testet RAM (Suchen: Speicherdiagnose, u.a. in CT Notfall Windows)

Speccy - allg. Hardware-Info, SSD Überblick über Hardware und Laufwerke (u.a. in CT Notfall Windows)

SSD-Z - SSD Lesebenchmark  (u.a. in CT Notfall Windows)

HD-Tune - liest SMART-Diagnosedaten von Festplatten aus, wichtig: "Reallocated Sector Count", simpler Benchmark und Oberflächentest (u.a. in CT Notfall Windows)

HDSentinel - analysiert Festplatten (u.a. in CT Notfall Windows)

HDTestw - prüft Integrität von Speichermedien (USB-Sticks)  (u.a. in CT Notfall Windows)

SAN Storage mit
• 24x 2,5" Laufwerke
• 2x Controller
• bis 4x FC-Ports je Controller

Problem: WEB-GUI startet nicht, Ladebalken bleibt bei 0%

Lösung:
• anderen Controller (zweite IP) versuchen
• SSH-CLI: "#restart mc a" (bzw. b)

Problem: Initiator läßt sich keinem Host zuordnen
Hosts / Alle Initiatoren: ausgewählten Initiator zu vorhandenem Host hinzufügen schägt fehl

Lösung: Das schlägt fehl, weil dem Initiator nicht die Volumes identisch zum ersten Initiator zugeordnet sind.
Aktuell können die Volumes dem Initiator nur über CLI zugeordnet werden.
SSH: Zuordnung anzeigen
# show initiators
Nickname       Discovered Mapped Profile  Host Type  ID
-----------------------------------------------------------------------
initiator0001  Yes        No     Standard SAS        54cd98f05a2fb900
initiator0002  Yes        Yes    Standard SAS        54cd98f05a2fb901
-----------------------------------------------------------------------
Success: Command completed successfully.

SSH: Zuordnung aller Volumes zum Initiator erstellen
# map volume access read-write initiator initiator0001 lun 1 VOL1
# map volume access read-write initiator initiator0001 lun 2 VOL2
usw.

Danach läßt sich der Initiator einem vorhandenen Host in der WEB-GUI zuordnen.

DELL CLI Referenz: https://www.dell.com/support/manuals/de-de/powervault-me5024/me5_series_cli/fc-port

CMD:

powercfg /batteryreport

erstellt ausführlichen Batterie-Report bei Notebooks
in c:\windows\system32\batterie-report.html

DELL PC

• F2 - Setup
• F12 - One-time Bootmenue (neue Systeme mit Diagnostics, Bios Update, SupportAssist OS Recovery / BiosConnect / Reset - online Recovery)

DELL PowerEdge Server

• F2 - Setup
• F10 - Live Cycle Controller
• F11 - Bootreihenfolge
• F12 - PXE-Boot

Lenovo

• F1 - Setup
• F12 - Bootmenue

Intel NUC

• F2 - BIOS
• F10 - Bootreihenfolge
• F11 - PXE Boot

• USB-Stick für Windows, macOS, Linux
• Cloudfrei, direkte Anbindung an gängige Homeautomatisierungen
• (bald) Matter und Thread kompatibel, Thread Border Gateway
• ZigBee 3.0, ZigBee Green Power, Bluetooth Low Energy (BLE)
• Chip: EFR32MG21 von Silicon Labs
• ZigBee Reichweite bis 30m (Freifeld: 200m)
• max. 512 Teilnehmer
• Geräte Kompatibilitätsliste: https://phoscon.de/de/conbee3/compatible
• Stick installieren: https://phoscon.de/de/conbee3/install
• USB-Sticks abfragen: ls -lha /dev/serial/by-id
• USB-Stick ist über die IP des Wirts-PCs erreichbar
• Ubuntu-User muß angemeldet sein (Automatische Anmeldung!), damit die Phoscon App und das Gateway arbeitet
• ioBroker: Phoscon Adapter
• ioBroker: Zigbee-Adapter: Baudrate auf 38.400 stellen!

Sensoren:

• Tuya Zigbee Thermometer+Hygrometer -> als Multi-Sensor erkannt (Temperatur + Luftfeuchtigkeit, kein Batteriestand)
• Tuya Zigbee Smart Switch Modul MS-104BZ (2x Schalter In, 2x Relais Out) -> als Zwischenstecker erkannt (2x Lights Schalter In/Out)
• Tuya Zigbee Smart Switch Modul MS-104Z (1x Schalter In, 1x Relais Out) -> als Zwischenstecker erkannt (1x Lights Schalter In/Out)
• Tuya Zigbee MiniSwitch XYZ02-16A-W-1PC (ZN-01 6) (1x Schalter In, 1x Relais Out) -> als Licht erkannt (1x Schalter)
• WLAN-Sensoren sind prinzipbedingt nicht einbindbar

SNMP-Karte DN-170100-1
SNMP 1/2/3, Modebus TCP, HTTP
RJ45 10/100 Mb/s
IP per DHCP oder SNMP-Tool
meldet Hersteller: Mega System Technologies, Inc.
Login: admin / admin
LED Power (gelb) - Power
LED Status (rot) - Störung, Normal = aus
LED Betriebsanzeige (grün) blinkt in Normalbetrieb

Software, Firmware, Doku Download: http://download.ksdatacloud.com/

Default Zugangsdaten

DELL (Optiplex 3000 / Wyse 5070)

administrator
WFR5 product default Password is Wyse#123
WFR6 product (3290 thin client) default password is DellCCCvdi

user
WFR5 product default Password is Wyse#123
WFR6 product (3290 thin client) default password is DellCCCvdi

UltraVNC
WFR5 product default Password is WYSE
WFR6 product (3290 thin client) default password is DELL / DELL

BIOS
Fireport

HP (T500/600)

administrator
Administrator - deaktiviert
Admin / Admin

user
User / User

Wyse

Wyse Enh. Suse Linux
  Admin: admin / admin
  User: thinuser / thinuser
MS Windows Embedded 7 / 8:
  administrator / Wyse#123
  User: user / Wyse#123
BIOS PW: Fireport

Windows 10 IoT Enterprise hat das Feature "Universal Write Filter" (UWF)
(siehe Windows IoT)

• Windows identifiziert das Netzwerk anhand der MAC-Adresse des Standardgateways
• beim Ändern des Defaultgateway -Gerätes (MAC-Adresse) ändert sich (meist) das Netzwerk
• PCs ohne gültiges Standardgateway landen im "Öffentlichen Netzwerk"! (Firewall dicht)
  Abhilfe: Standardgateway auf beliebiges Gerät im LAN definieren (Drucker, NAS, PC), dann kann das "unbekannte Netzwerk" einer Kategorie zugeordnet werden.
• Heimnetzwerke sind nur von PCs sichtbar, deren LAN als "Heimnetzwerk" eingestuft wurde.

Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\NetworkList\Profiles\
Profilname: Netzwerk identifizieren
Category Werte:

• • Öffentlich = 0
  • Privat = 1
  • Arbeitsplatz = 2

GPO Windows 7-10 Prof/Ultimate: Netzwerkstandort dauerhaft erzwingen
- Gruppenrichtlinieneditor "gpedit.msc" oder Lokale Sicherheitsrichtlinie "secpol.msc" starten
- Computerkonfiguration –> Windows Einstellungen –> Sicherheitseinstellungen –> Netzwerklisten-Manager-Richtlinien
- Alle Netzwerke, Nicht identifizierte Netzwerke: einstellen

Powershell:
- get-netconnectionprofile  (NetworkCategory: Public = öffentl. Netzwerk)
- set-netconnectionprofile -InterfaceIndex 16 -NetworkCategory Private (InterfaceIndex von oben nehmen) - setzt priv. Netzwerk

Netzwerkkategorie mit Powershell auf Domänennetzwerk ändern:

set-netconnectionprofile -interfaceindex <NR> -networkcategory DomainAuthenticate
oder -networkcategory Private / Public

WEB-Tools
Security, Schwachstellen, Malware
Spezial - Suchmaschinen

Liste aller registrierten Ports (POP,Telnet,FTP,HTTP...) bei IONOS oder bei Wikipedia.

Offene Ports prüfen:

• nmap (Linux)
• Advanced Port Scanner (Windows, Portliste erweitern)
• Telnet [host] [port] - (Linux/Windows) kann alle TCP-Ports anfragen  (Bsp: telnet gmail-smtp-in.l.google.com 25)
• Windows Powershell: Test-NetConnection <address> -p <port_number>
• Linux NMAP: nmap -sU -v <address>  - UDP-Scan (dauert lange)
• TCPing oder TCPing - Kommandozeilen Tool

siehe auch:

• https://phoenixnap.com/kb/ping-specific-port
• UDP-Scan: https://nmap.org/book/scan-methods-udp-scan.html

siehe: Wikipedia, reservierte Adressklassen

IP v6 Adressformat

Die 128-bit IP6-Adresse besteht aus 3 Teilen.
Zuerst unterteilt sie sich in 64-bit Netzanteil und 64-bit Hostanteil bzw. Interface Identifier (IID).
Der Netzanteil wird unterteilt in den Provider-Anteil (üblich: 48-56 bit) und die Subnetze (meist 8-16 bit).
Mit den Subnetzen wird bei IP6 die Infrastruktur des Netzes abgebildet. (Security-Zonen wie Aktive Komponenten, Server, Büro, Prozessnetz, Fernarbeitsplätze sowie Standort-Topologie wie Etage, Gebäude)

Ein fester Provider-Anteil (Präfix) entspricht einer festen IP4-Adresse.

Der Präfix ist providerabhängig und wechselt bei Providerwechsel zwangsläufig. (Ausnahme: Provider Idependent Adressraum IPv6-PI für Multihoming)

Bei IP v6 dürfen mehrere Router als Default Gateway eingetragen werden. Damit ist einfaches Load Balancing möglich.

IP v6 Adressklassen

IPv6 Multicast Rundruf an alle aktiven Geräte: ping -6 ff02::1

Internet Verbindungstest über PING an US-Provider Sprint: ping 2000::1
PING an CT: ping -6 ct.de

IPv6 Host-ID dynamisch über Zufallszahl oder statisch über MAC
netsh interface ipv6 set global randomizeidentifiers=disabled

IP-Scans erfolgen üblicherweise über den Neightbor Cache statt.
Linux: ip -6 -r neightbor show

Ausführliche Infos über IP v6 Adressvergabe, Provisionierung usw: CT 10/2016
Redundante Internetzugänge mit IPv6: CT 12/2016 S.172ff.

Router verwenden logische (IP-) Adressen auf OSI Layer 3 zur Datenübertragung.
Ein Router kann mehrere Gegenstellen und unterschiedliche Topologien und Protokolle verbinden.
Die zu übertragenden Protokolle müssen allerdings routingfähig sein und vom Router unterstützt werden.

Hubs sind nicht mehr am Markt und sollten aus dem Netzwerk entfernt werden.
Sie bremsen den Datenverkehr auf ca. 30 MBit/s und arbeiten nur Halbduplex.

Signalregenerator auf OSI Layer 1, trennt nicht die Collision Domains.
dient zum Vergrößern der Netzwerkausdehnung,
sehr schnell, keine Datenmodifizierung
klassischer Multiport-Repeater ist der Hub.
Repeater-Regel:
Maximal 4 Repeater (10MBit/s) oder 2 Class2-Repeater (FastEthernet) dürfen zwischen 2 Stationen sein, sofern sie nicht durch Bridges, Switches oder Router getrennt sind.

Bridges erweitert das Netzwerk über die Ethernet-Begrenzung hinaus durch Trennung der Collision Domains, verwendet zur Adressierung nur physische (MAC-) Adressen auf OSI Layer 2 (Adresstabelle selbstlernend).
Eine Bridge verbindet genau zwei Netzwerke miteinander und arbeitet protokoll-unabhängig.
Klassische Multiport-Bridge ist der (Layer2-) Switch.
Bridges lesen (i.Allg.) das gesamte Datenpaket und sind langsamer als Repeater.
Sie übertragen aber nur die benötigten Datenpakete in das andere Segment, filtern defekte Pakete und erhöhen so die Datensicherheit, den Durchsatz und vermeiden Collisionen.
Bis zu 7 Bridges dürfen zwischen 2 Stationen liegen.

VLANs trennen Netzwerke auf Layer-2.

Access Control Lists (ACL) - Freigabe oder Sperrung von speziellen MAC-Adressen, IP-Adressbereichen o.a. pro Port.

RADIUS Authentifizierung (IEE 802.1x): Host muß sich am Switch authentifizieren.

Link-Aggregation fasst bei Bedarf zwei oder mehr physische Leitungen zu einer logischen Leitung zusammen (Durchsatz).

Spanning Tree Protokoll (STP) ermöglicht redundante Verbindungen zwischen Switchen oder Routern (Ausfallsicherheit).
Bei Verbindungsausfall schaltet STP automatisch auf eine Reserveverbindung.
Weiterentwicklung RSTP und MSTP ermöglichen individuelle Pfade für verschiedene VLANs.

Loop-Protection schaltet automatisch Ports ab, die zu Netzwerkschleifen führen. (Standardausstattung bei Managed Switch)

Lancom Router hinter Fremdrouter:
 - TFTP 69 bzw. TCP 443 forwarden (Zum Verwalten des Lancom von extern + ggfs. SSL VPN)
  Die Konfigurationsports (HTTPS, HTTP, SSH, TFTP) können im LC WebConfig geändert werden.

IPSec forwarden:
 - UDP 500 IKE (IPSec)
 - UDP 4500 NAT Traversal 
 - (TCP 10.000)
 - AH Protocol 50 – IPSEC phase 2 protocol (AH)
 - ESP Protokoll 51 (IP Protokoll Nummer 51, nicht TCP oder UDP 50 !)
   (sollte ESP sich nicht forwarden lassen -> udp 4500)
 - bei Verwendung von Dynamic VPN muss der UDP-Port 87 freigeschaltet werden.

UDP (OpenVPN, Wireguard) über Lancom Router:
- unter IP-Router / Maskierung: UDP Timeout größer (120s) stellen

Windows IPSec/PPTP Funktionalität:
- PPTP Verhandlung = TCP 1723 (GRE wird mit diesem Eintrag automatisch weitergeleitet)
- IKE Verhandlung = UDP 500
- GRE General Routing Encapsulation (Protokoll 47)
- ESP Encapsulating Security Payload (Protokoll 50)

Bei Zugang des VPN-Clients über Router muß "VPN Passthrough für IPsec (IKE,ESP)" im Router aktiviert sein. (= NAT Traversal)

Weitere Netze über VPN-Tunnel routen (Lancom):

Bsp.: Lan-A - LAN-B --VPN-- LAN-C
- Routing einrichten
- Lan C muß wissen, dass LAN A über LAN B erreichbar ist.
- LAN A muß wissen, dass es LAN C über LAN B erreicht.

Firewall-Regel auf VPN-Router LAN B:
- "Regel wird zur Erzeugung von VPN-Regeln heran gezogen".
- Aktion = "Accept".
- Verbindung von Station: LAN A
- Verbindung zu Station: VPN-Gegenstelle

T-Mobile: User: tm (egal), PW: tm, DNS: 193.254.160.1, Einwahlnr.: *99#, APN: internet.telekom, internet.t-mobile
  • aktuelles Datenvolumen abfragen (auch bei Congstar & Co): https://pass.telekom.de/

Vodafone: User: - (egal), PW: -, DNS: 139.7.30.125 u. .126, Einwahlnr.: *99#, APN: web.vodafone.de

O2: User: - (egal), PW: -, DNS: 195.182.096.028 u. .061, Einwahlnr.: *99#, APN: internet (pinternet.interkom.de)

E-Plus: APN: internet.eplus.de

• VDSL Deutschland LAN IP Voice/Data: wie Call&Surf installieren.

• T-Online PPP-Anmeldung per DFÜ-Netzwerk:
Rufnr.= 0191011 (ohne Vorwahl!), Benutzername= Anschlußkennung Teilnehmernr. "#" Mitbenutzernr.; Kennwort= Kennwort
( Doppelkreuz nur, wenn Teilnehmernummer weniger als 12 Stellen hat. )
• E-Mail Einstellungen:
  Postausgang: SMTP Host: mailto.t-online.de / alt: mailto.btx.dtag.de
  Posteingang: POP3 Host: pop.t-online.de / alt: pop.btx.dtag.de
Nur bei Einwahl über den T-Online-Zugang erreichbar!

Nirsoft WakeMeOnLan: http://blog.nirsoft.net/2011/08/18/new-utility-that-turns-on-computers-on-your-network-with-wake-on-lan-packet/
Mini WoL: https://www.tweaking4all.com/home-theatre/miniwol2/
WOL-Tool: http://www.oette.info/ (Netzwerk-Scan,automatisch MAC-Adresse ermitteln, Scheduler)
Wake On Lan: https://sourceforge.net/projects/aquilawol/

Android: Wol Wake on Lan Wan: https://play.google.com/store/apps/details?id=com.benfinnigan.wol

WOL-Script: http://masterbootrecord.de/docs/wakeup.php oder http://www.gammadyne.com/cmdline.htm#wol

WoL im Windows aktivieren: Geräte-Manager -> Netzwerkadapter -> Eigenschaften -> Erweitert.
- „Aktivierung durch Magic Packet“ oder „Wake Up Capabilities“ o.ä. aktivieren bzw. "Magic Packet“.
- Registerkarte „Energieverwaltung“, Haken setzen „Gerät kann den Computer aus dem Standbymodus aktivieren“ und „Nur Magic Packet kann Computer aus dem Ruhezustand aktivieren“.

BIOS anpassen:
• Wake-Up-Event by: BIOS
• „Power ➞ APM Configuration“, Option „Power On By PCIE Device“ (Onboard-Netzwerkchip oder PCI-Express-Netzwerkkarte) setzen oder
• „Power On By PCI Device“ (PCI-Netzwerkkarte) auf „Enabled“
• je nach BIOS: ErP deaktivieren

WoL über VPN: Portforwarding und Firewall-Regel im Ziel-Router für Port 7, 9, 30000 (o.a.) auf die Broadcast-Adresse des internen Zielnetzes.
Lancom (Lan x.x.x.0):
• Portforwarding Port 7 -> x.x.x.255
• Firewall auf für VPN zu Verbindungsziel x.x.x.255

WOL beherrschen auch diverse Router. (Lancom: wakeup per Telnet oder SSH, oder per TFTP)
Fritzbox: Heimnetz -> Compter ...bearbeiten -> Computer starten

Oft genügt der Windows-Netzwerktreiber nicht. Bei Intel sollten unbedingt die Hersteller-Treiber installiert sein.

Bei Windows 8/8.1/10 funktioniert WoL oft erst, wenn der "Schnellstart" (Hybridboot) in den Energieoptionen abgeschaltet wird.

Twistet Pair Kupferkabel, sternförmige Verkabelung

Bandbreite:
10Base-T - Ethernet 10MB/s,
100Base-T - Fast Ethernet 100MB/s,
1000Base-T - Gigabit Ethernet 1000 MB/s
  max. Segmentlänge: 100 m bis zum Repeater (Hub)
NBase-T - MultiGigabit
  auf Cat5e-Kabel bis ca. 50 m mit max. 10 GBit/s
  bei längeren Kabelstrecken fällt es automatisch auf 5 GBis/s oder 2.5 GBit/s zurück

Gerät ist baugleich Bintec-Elmeg be.IP.

Default: 192.168.2.1  (admin/admin)

"Pass Through": Neue Bridge über Ethernetport (en1-4) und DSL-Port bilden.

  ADSL: ethoa35-5 (Ethernet over ATM)
  VDSL: efm35-60 (Ethernet First Mile)
Port LAN 1-4 (en1-0): Konfigurationsports auf Default IP
Port LAN-5    (en1-4): an internen Router. Der übernimmt die Einwahl.

Firmware und Handbuch: https://www.telekom.de/hilfe/geraete-zubehoer/router/weitere-router/digitalisierungsbox/digitalisierungsbox-standard?samChecked=true

Anleitung: https://www.telekom.de/hilfe/downloads/konfigurationsanleitung-digitalisierungsbox-standard-vdsl.pdf

• 6 GHz hat keine Störquellen, sehr hohe Bandbreite oder hohe Teilnehmerzahl
• 6 GHz hat eine hohe Dämpfung und kann nahezu nur im selben Raum genutzt werden
• 5 GHz Band hat mehr Bandbreite, aber einige Störquellen, spez. Zulassungen wie DFS / Radar / Wetterradar
• 2.4 GHz Band hat max. 3 überlappungsfreie Kanäle und ist zulassungsfrei

WPA(2) Personal (WPA-PSK)

• nutzt ein gemeinsames Passwort (Preshared Key)
• alle Geräte nutzen das selbe Passwort und müssen es kennen
• WLAN-Passwort wird üblicherweise auf den Clients gespeichert
• Passwortänderung muß händisch an allen Clients erfolgen, Änderungen sind deshalb aufwändig
• unter Android ist das Passwort im Klartext auslesbar und als QR-Code teilbar
  (funktioniert sogar bei gemanagten Smartphones)
• unter Windows ist das WLAN Passwort mit Adminrechten im Klartext auslesbar (Link)
• WPA Personal ist keineswegs sicher und sollte im Firmenumfeld nur in einer DMZ laufen

WPA Enterprise (WPA-802.1x, RADIUS)

• jeder Nutzer hat ein eigenes Passwort
• Clients melden sich mit Nutzername + Passwort am WLAN an, das bei jeder Verbindung eingegeben werden muß.
  (SSO per Domäne ist möglich)
• Clients sehen niemals den unverschlüsselten Verbindungs-Key, er ist nicht auslesbar
• User-Credentials werden meist zentral im RADIUS-Server gespeichert
• pro User können Eigenschaften wie WLAN-Bandbreite, VLAN, Gateway definiert werden
• Authentisierung unterstützt außerdem Zertifikate, die Verwaltung ist aufwändig
• IoT- Geräte, Drucker usw. funktionieren nur mit Zertifikaten oder gar nicht mit WPA Enterprise.
  Hierfür wird üblicherweise ein getrenntes WPA-PSK WLAN verwendet.

Die Telekom setzt seit einiger Zeit SMTP-Filter zur Vermeidung von Spamversand ein.

Wenn der Mailversand nicht klappt, fehlt der entsprechende Mailserver in der Whitelist des Routers.

Phasen bei IPSec IKEv1 und IKEv2 (Quelle: Cisco):

Der VPN-Tunnelaufbau beim Einsatz von IKEv2/IPSec erfolgt mit 4 IKE-Telegramme.
- 2 Telegramme sind für die Aushandlung der Verschlüsselung (des Steuerkanals IKE) => IKE_SA_INIT-REQUEST + IKE_SA_INIT-RESPONSE.
- 2 Telegramme sind für die Authentifizierung der beiden VPN-Endpunkte => IKE_AUTH-REQUEST + IKE_AUTH-RESPONSE.

Zuerst erfolgt der Austausch der IKE_SA_INIT-Telegramme, danach kommen die IKE_AUTH-Telegramme.
Die IKE_SA_INIT-Telegramme werden unverschlüsselt übertragen.
Die IKE_AUTH-Telegramme sind bereits verschlüsselt.
Die REQUEST-Telegramme kommen immer vom Initiator (Client) des VPN-Tunnels.
Die RESPONSE-Telegramme werden immer vom Responder (Server) versendet.

Main Mode - setzt feste IP auf beiden Seiten voraus
Aggressive Mode - erforderlich für dynam. IP

IP wird automatisch zugewisen (IKE-CFG, bsp. Lancom Adv.VPN-Client) oder fest:
ike1: Routing-Tabelle: VPN-Verbindung in "Router" auswählen, feste IP-Adresse (Mask 255.255.255.255)
ike2: Lanconfig: VPN -> IKEv2 -> IPv4-Adressen: IP-Pool festlegen, VPN -> IKEv2 -> Verbindungsliste: IPv4-Adress-Pool auswählen (es darf kein fester IP-Eintrag in der Routing-Tabelle sein)

Local ID - Peer ID
Muss auf beiden Seiten gleich (gedreht natürlich) sein.
Als ID kommt Feste-IP oder FQDN in Frage. Der FQDN muss kein gültiger Domainname sein. Lange Zeichenkette ist besser.

PSK Preshared Key - möglichst 20-30 Zeichen lang, (bei Fritzbox und Lucom keine Sonderzeichen)

phase2localid - phase2remoteid
Proxy-IDs, definieren den Subnetbereich, von und zu dem das VPN getunnelt wird. (Bsp.: 192.168.110.0/24)

PPP-Liste: Gegenstelle eintragen mit (Benutzer) + Passwort.

IPv4-Regeln:
RAS-WITH-NETWORK-SELECTION | 0.0.0.0/0 - 0.0.0.0/0  -> alle IPv4-Adressen (Default-Route) - bei Router-Router
RAS-WITH-CONFIG-PAYLOAD | 0.0.0.0/0 - 0.0.0.0/32 -> nur IPv4-Adresse des VPN-Clients - bei Clientverbindungen

Aktuelle und empfohlene Parameter:
- DH-Gruppe 14
- AES-256
- SHA-256
- Lifetime = 8 Std.

DEFAULT-Einträge nicht löschen!
• VPN IKE2 Verbindungsliste:
Bei fehlendem DEFAULT-Eintrag in /Setup/VPN/IKEv2/Gegenstellen/ verarbeitet das VPN-Modul des LANCOM-Router nur einkommende IKE_SA_INIT-REQUEST's, deren Absender-IP-Adresse in /Setup/VPN/IKEv2/Gegenstellen/Entferntes-Gateway eingetragen sind (=> statische IP-Adressen) ODER für welche die Absender-IP-Adresse einer in /Setup/VPN/IKEv2/Gegenstellen/Entferntes-Gateway eingetragen DNS-Adresse entspricht (=> dynamische IP-Adresse). Vom LANCOM-Router nicht akzeptierte IKE_SA_INIT-REQUEST's werden mit Fehlermeldung (Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 632 bytes) unverarbeitet verworfen.

DEFAULT-Eintrag in Verbindungsliste ist wichtig für alle Geräte, deren IP der Router nicht kennt (Mobilfunk, dyn. IP)!
Es werden Verschlüsselungen zugewiesen und PSK oder Zertifikat entschieden.
Der Default-Eintrag darf keinen Eintrag in IPv4-CFG-Pool und IPv4-Regeln aufweisen.

Ab LCOS Fw 10.50 änder sich das Verhalten der Actionstabellen bei IP v6.
Ein "gerne" gemachter Fehler dabei ist, daß das IPv6-Modul eingeschaltet ist, obwohl es nicht genutzt wird.

Konfiguration einer Fritzbox (entsprechend langsam und ohne detaillierte Filter) in CT 2017/15 S.160ff.
Die Fritzbox kann nur IPSec (IKE v.1) + neuerdings Wireguard, kein PPTP oder SSL.

Für zertifikatsbasierte VPN sollte der Router mit der festen IP einen gültigen FQDN besitzen.
Alternativ: X509v3 Subjekt Alternative Name: IP-Adresse oder DNS
Kontrolle der Zertifikate in SSH-Konsole mittels "show vpn cert" und "show vpn ca".

VPN siehe auch:
• VPN zu Android: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1120
• VPN Zertifikate erstellen: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1393
• Adv.VPN Client für Windows lizenzieren: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1376
• VPN über Router hinweg: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1111
• Lancom Router: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1159
• IPSec erklärt: https://administrator.de/tutorial/ipsec-protokoll-einsatz-aufbau-benoetigte-ports-und-begriffserlaeuterungen-73117.html

Lokale Sonderanwendungen von TLDs

• TCPView aus Sysinternals überwacht Netzwerktraffic
  
• NetworkTrafficView von Niersoft- überwacht Netzwerktraffic, Verbindungen und ausgehende Prozesse
• Totusoft LAN Speed Test, Installer und Portable, Lese- / Schreibtest für beliebige Netzwerkfreigabe (brauchbare kostenlose Lite-Version)
• NMap - Network Mapper, spürt Rechner, Drucker, NAS, Router und darauf laufende Dienste auf, Portscanner (u.a. in Kali Linux)
• IoT Device Default Password Lookup: https://www.defpass.com/
• Shodan Computer-Suchmaschine (sucht Dienste, SCADA-Systeme): https://www.shodan.io/
• E-Mail Server auf Blacklists und Konfiguration testen: mxtoolbox.com

Downloads Hacker-Tools und Infos: ct.de/ygg5

Kali Linux enthält viele nützliche Hacking Tools,
USB-Stick erstellen - Anleitung in CT 2021/23 S.30 ff.
Download: ct.de/ypk1

Die Zugangsdaten von Vodafone sind unzureichend und Lancom-KB und Router-Assistent nicht zielführend.

SIP-Domäne/Realm: vorwahl.sip.arcor.de
Registrar: leer
SIP-ID/Benutzer: VorwahlRufnummer (normal ohne Land, mit führender Null)
Display-Name: wie SIP-ID/Benutzer

Der VoIP-Assistent für "andere Anbieter" erstellt fehlerhafte CALL-Routen.
Tip vom Lancom-Support: Im Assistent immer "Telekom" konfigurieren und hinterher die SIP-Zugangsdaten manuell korrigieren.

Siehe auch:
Lancom Call-Manager
https://www.johnlose.de/2019/06/lancom-systems-voice-callmanager-sbc-zusammen-mit-vodafone_de-red-dsl-konfigurieren/

Liste aller WLAN-Profile auslesen
Powershell: netsh wlan show profile

WLAN Passwort auslesen
Powershell: netsh wlan show profile [WLAN-Name] key=clear

Über die Windows Oberfläche:
- "Netzwerkverbindungen anzeigen" suchen und öffnen
- WLAN Verbindung ->Rechtsklick
-> "Status"
-> "Drahloseigenschaften"
-> "Sicherheit" - Zeichen anzeigen

Multimode - eher für kürzere Strecken geeignet
  Kabelbezeichnung: OM.., meist schwarzer Bügel
Singlemode/Monomode - Langstreckenübertragung 10 km bis >100 Kilometer
  Kabelbezeichnung: OS.., meist blauer Bügel

SFP-Module sind HotPlug-/HotSwap-fähig.

Multimode SFP-Module
SFP - max. 1 Gb/s
    (SX, BiDi)
SFP+ - max. 10 Gb/s
    (SR, LRM)

übliche Multimode: SX-Modul mit 850nm, Duplex (2 Fasern), max. 550m
geringfügig teurer: SX-Modul mit 1310nm, Duplex (2 Fasern), max. 2km
teurer: SX-Modul mit 1310/1550nm, Bidirektional (1 Faser), max. 550m

Kabeltypen Multimode
OM1 - Standard von 1989, 100 Mb/s bis 2000m, 1 Gb/s bis 275m, 10 Gb/s bis max. 33m
OM2 - Standard von 1998, 100 Mb/s bis 2000m, 1 Gb/s bis 550m, 10 Gb/s bis max. 82m
OM3 - Standard von 2002, Bandbreite: 2500 MHz, 100 Mb/s bis 2000m, 1 Gb/s bis 550m, 10 Gb/s bis 300m, 40 Gb/s und 100 Gb/s bis 100m
OM4 - Standard von 2009, Bandbreite: 4700 MHz, weit verbreitet, 100 Mb/s bis 2000m, 1 Gb/s bis 1000m, 10 Gb/s bis 550m, 40 Gb/s und 100 Gb/s bis 150m
OM5 - Standard von 2014, wenig üblich, optimiert für Wellenmultiplex

Steckertypen
LC-Stecker - passen in SFP- und SFP+ -Tranceiver, weit verbreitet, hohe Portdichte
SC-Stecker - passen meist in LWL-Patchfelder, hervorragende optische Leistung
MPO/MTP-Stecker - Mehrfaser-Stecker

• WeTransfer - kostenlos, max. 2 GB, speichert für 14 Tage (Stand 07/2021)
  keine Anmeldung, keine Verschlüsselung, nur E-Mail Adresse mit Verifikationsmail
  kostenloser Account mit Werbung
• MS OneDrive - kostenlos zu jedem MS Konto 5 GB Speicherplatz (Stand 07/2021)
  kostenpflichtig mehr.

Funktion testen mit KLIST.

In der Domäne kommen hier bei Clients und Servern eine Liste von Tickets.
Bei Fehlern oder bei Einzel-PCs kommen 0 Tickets.

VLAN (Virtual Local Area Networks)
Logische Netzwerktrennung auf Layer 2

Vorteile:

• logische Trennung der Netzwerke bei einheitlicher physischer Netzstruktur (Sicherheit, Abgrenzung von IoT, VoIP, iSCSI/Backup usw.)
• jedes VLAN bildet eine eigene Broadcast-Domain (Traffic wird reduziert und kann in VLANs priorisiert werden)
• Übertragen mehrerer logisch getrennter VLAN-Netze ist über ein Kabel möglich (Trunking)
• ein Switch wird mit VLAN in mehrere virtuelle Switche geteilt, auch Switch-übergreifend

Grundlagen:

• max. 4096 VLANs
• VLAN-1 ist immer das Default-VLAN im Auslieferungszustand. Geräte ohne VLAN-Tag kommen per Default in VLAN-1.
• VLAN-7 nutzt die Telekom für VDSL und sollte frei gehalten werden
• VLAN-fähig sind Layer3-Switche, Router, Linux, VMWare, Windows je nach Netzwerkkarte, diverse Geräte wie NAS, WLAN-AccessPoints usw.
• jeder Port und jedes Gerät kann Teil nur eines VLANs sein, aber es können ihm mehrere VLANs zugeordnet werden (Trunk)
• VLAN-Trunks müssen alle VLAN-IDs hinterlegt haben, die sie übertragen sollen. Oder sie sind so konfiguriert, dass sie alle VLANs weiter leiten.
  Dynamische, selbstlernende VLAN-Trunks sind heute Standard.
• Das PVID-VLAN liegt auch am Trunk immer Untagged an.
• VLAN-Tags werden vom Ziel-Switch entfernt, wenn der Empfänger-Switchport UNTAGGED ist. Ansonsten gehen die TAGGED Pakete bis zum VLAN-taggingfähigen Zielgerät.
• Verbinden verschiedener VLANs ist durch gezieltes Routing (Layer 3) möglich
• VLAN hat per se nichts mit IP-Adressen zu tun
• Verschiedene VLANs können identische Netzwerkadressen haben, dann ist aber kein Routing möglich.
• - "Admit ALL" meint "T" - Trunk Port
  - "Admit only UNtagged or PrioTagged" - meint "U" - Access Port für untagged Endgeräte

Verfahren:

- Switch wird pro Port genau einem VLAN zugewiesen (VLAN-ID)
- jeder Port kann Member von mehreren VLANs sein und deren Pakete übertragen (PVID)
- innerhalb eines Switches erfolgt die Kommunikation meist portbasierend, zwischen den Switchen paketbasierend.

1. (U) Port-basierend (untagged)
   - statische Netzstruktur, unterteilt einen physischen Switch in mehrere logische Switche
   - am Port liegen alle Daten des jeweiligen VLAN an, es werden aber keine VLAN-Informationen nach außen weiter gereicht
   
   
2. (T) TAG-basierend (paketbasiert, framebasiert, tagged)
   - Datenpakete werden mit VLAN-TAG an das nächste Gerät weiter geleitet (Gegenseite muss auch getagged sein)
   - die Kommunikation verschiedener VLANs kann über ein Kabel erfolgen
   - VLAN-TAG wird in IEEE 802.1q festgelegt, Cisco, 3Com u.a. haben teilweise abweichende Standards
   - Anwendung: Uplinks zwischen Switchen, AccessPoints, Hyper-V- und ESX-Servern, VoIP-Telefonen...

Umsetzung:
VLANS werden üblicherweise zwischen Switchen und Routern konfiguriert, Endgeräte haben einen ungetaggten Port mit der passenden VLAN-ID.

• VLAN tagged
  Tagged Port eingehend: Die VLAN-Markierung wird überprüft aber nicht verändert
  Tagged Port ausgehend: Die VLAN-Markierung wird überprüft aber nicht verändert
• VLAN untagged - pro Port gibt es max. 1 untagged VLAN
  Untagged Port eingehend: Die VLAN-Markierung wird laut PVID (häufig identlichen mit der untagged VLAN ID) intern im Switch hinzugefügt
  Untagged Port ausgehend: Die VLAN-Markierung wird überprüft und beim Versenden entfernt
• PVID (Port VLAN ID) - je nach Hersteller, typisch: Netgear, MikroTik, TP-Link
  - bestimmt das VLAN, in das untagged Frames geforwardet werden die an dem Port reinkommen.
  - heisst bei anderen Herstellern native Vlan oder dual Mode VLAN.
  - Jedem Port muss eine PVID zugewiesen werden (standardmäßig PVID 1).
  - Um die Standard-PVID eines Ports zu ändern, muss zunächst ein VLAN erstellt werden, dass den Port als Mitglied enthält.
  This is a term used for non-Cisco switches.
• Auto-PVID - bei vielen Herstellern ist die PVID automatisch = VLAN-ID
  
  
  
  VLAN-Portdefinition im Lancom Router:
  

* VLAN am PC:
- Intel oder Realtek Netzwerkkarten unterstützen VLAN
- bei Realtek ist das Realtek Diagnostics Programm erforderlich
1. Original LAN-Karte wird deaktiviert (keine IP)
2. je VLAN wird eine virt. Netzwerkkarte angelegt

* VLAN in VM-Workstation:
1. VLANs über die physische Netzwerkkarte definieren (siehe oben)
2. entsprechende virtuelle Netzwerkkarte mit VLAN der gewünschten VM zuweisen

Dynamische VLANs
Zuordnung zu einem VLAN anhand von MAC-Adresse, IP-Adresse, Protokolltyp oder Anwendungsebene/Portnummer.
Damit kann beispielsweise VoIP priorisiert werden oder ein Mobilgerät unabhängig von seinem Port einem VLAN zugeordnet werden.

Private VLANs
Endgeräte an isolierten Ports können mit dem Internet, aber nicht untereinander kommunizieren.
siehe: https://www.fs.com/de/blog/was-ist-ein-privates-vlan-und-wie-funktioniert-es-16229.html

Quellen:

• gute FAQ: https://administrator.de/knowledge/vlan-installation-routing-pfsense-mikrotik-dd-wrt-cisco-rv-routern-110259.html
• siehe auch: Lancom VLAN

Aktuelle Störungsmeldungen,
Echtzeit-Problem- und -Störungsüberwachung
https://downdetector.com/

oder deutsch:
https://allestörungen.de/

Das Windows-Passwort ändert man mit der Tastenkombination "STRG + ALT + ENTF".
In der Remote-Sitzung klappt das allerdings nicht, weil diese Tastenkombination auf dem Steuerrechner ausgeführt wird und nicht in der Remote-Sitzung.

Lösung:
In der RDP-Sitzung "STRG + ALT + ENDE" nutzen.
Es öffnet sich der gewohnte Bildschirm.

Hinweis:
Läuft das Passwort ab, gibt es über RDP keine Möglichkeit, das Kennwort selbst zu ändern!
Also Passwort nach o.g. Anleitung rechtzeitig vor dem Ablauf ändern.
Sonst kann nur der Admin helfen.

In VMWare Sitzung: "STRG + ALT + INSERT" nutzen.

• Portforwarding: UDP-Port (51820) zum WG-Router (LAN-IP)
• Routing-Tabelle: WG-Transfernetz (192.168.200.0/24) zum WG-Router (LAN-IP), Maskierung aus
• Firewall: UDP-Zielport (51820) frei geben
• Firewall: Verbindungsquelle Wireguard-Router (LAN-IP) Internet erlauben
• Firewall: Verbindungsziel WG-Transfernetz (192.168.200.0/24) erlauben
  (Bintec: "vollständige IP v4-Filterung" deaktivieren ->siehe Bintec)

Wireguard-Client (Windows, Android)
- exportiert 'wireguard-export.zip' (die enthält für jede Verbindung eine '[verbindung].conf'
- importiert wahlweise einzelne 'verbindung.conf' oder 'wirguard-export.zip' mit allen Verbindungen
- vorhandene Verbindungen bleiben bei einem weiteren Import erhalten

Wireguard-Client (Ubuntu)
- GUI: Wireguird
- GUI: https://snapcraft.io/install/wireguard-gui/ubuntu#install

Anleitung: https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wireguard-660620.html
  MikroTik: siehe MikroTik Wireguard-Artikel
  GL.iNet LTE: siehe GL.iNet Wireguard mit OpenVPN

Public Key und Private Key können auch unabhängig vom jeweiligen Gerät konfiguriert werden,
um eine .conf Datei für ein beliebiges Endgerät zu erstellen.

umask 077
wg genkey | tee server_private.key | wg pubkey > server_public.key
wg genkey | tee peer1_private.key | wg pubkey > peer1_public.key

Weitere VPN Client (Peer) Schlüssel generiert man dann nur noch mit wg genkey | tee peer2_private.key | wg pubkey > peer2_public.key usw.

Beispiel der .conf Datei für den Peer1:

[Interface]
# Name = wireguard-server2.example
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254

[Peer]
# Name = Client-peer1
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.188.0/24
# PersistentkeepAlive = 25

• Die importierte Verbindung heisst wie die .conf-Datei.
• #Name - Comment-Feld, nur informativ
• Address = Client: Client Adresse (192.168.200.3/32), Server: ganzes Subnetz (192.168.200.0/24), auch mehrere Subnets möglich
• PrivateKey = der jeweils eigene private.key, im Endgerät wird dann der Public-Key angezeigt
• ListenPort = UDP Port, auf den der Server hört
• Table = ggf. Routing Table
• PublicKey = gegenüberliegender public.key
• AllowedIPs = die Adressen die der Wireguard Server in den Tunnel routet. Wireguard nennt dies "Cryptokey Routing" was bewirkt das der Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernimmt.
  AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.
• Endpoint = [öffentl.Serveradresse]:Port  (nur beim Client, Port nicht vergessen!)
• PersistentkeepAlive = hält die Verbiundung offen, nur bei Clients hinter NAT

Site-to-Site VPN-Verbindung

• beide Seiten routen im Wireguard in das jeweils gegenüberliegende LAN mit einem Eintrag "AllowedIPs"
• ist der Wireguard-Router nicht das Standardgateway, muß das Standardgateway (oder der PC) ein Routing zum Zielnetz besitzen

Wireguard Server komfortabel unter Linux: -> Wireguard Easy
• WG-Server und Simple Use WEB-UI
• list, create, edit, delete, enable & disable Clients, Statistik (QR-Code oder Config-File)
• erfordert Docker

Wireguard Online Config Generator:

• Tool erstellt komplette .conf-Datei: https://www.wireguardconfig.com/
• Tool erstellt Schlüsselpaare: https://wg.orz.tools/

CheckMK

• 30 Tage Vollversion, 25 Hosts kostenlos, Abrechnung nach Services (3.000 Services= 780,- EUR p.a.)
• deutsch, sehr gute dt. Online-Dokumentation
• viele Plugins für Betriebssysteme, Datenbanken u.v.a.m
• SNMP-Monitoring

Observium

• siehe Artikel Observium

Zabbix

• Open Source Enterprise Monitoring
• Server für alle gängigen Linux OS
• auch als fertige Appliance für alle gängigen Virtualisierer oder als Docker Container

openITCockpit

• mandantenfäig, PHP-basierend, deutschsprachig
• leicht bedienbare Weboberfläche zum Monitoring von Nagios, Naemon, Prometheus, CheckMK
• eigene Clients für alle OS zum Überwachen von Hosts und Services
• viele APIs für SAP

PRTG

• 30 Tage Test (Vollversion), 100 Sensoren kostenlos
• Abrechnung nach Sensoren (500/1000/...) (2.500 Sensoren = 5199,- EUR, Wartung jährlich 1000,- EUR)
• seit 07/2024 nur noch Mietlizenzen, exorbitante Preise
  
  Map Designer
  - eigene Bilder einfügen: c:\Program Files (x86)\PRTG Network Monitor\webroot\mapicons\iconset(...) Bilder rein kopieren
  - Status-Icons: "Name und Status, transparent" zu Bild hinzu fügen
  
  Lancom Router per SMTP monitoren: Client Traffic Auswertung mit Lancom SNMP und PRTG – Andys Blog (etscheid.biz)

DHCP-Server, die nicht laufen, können per GUI nicht aus der DHCP-Autorisierung entfernt werden.

Lösung:

• ADSIEDIT.msc starten
• Verbinden mit: Namenskontext -> Konfiguration
• CN=Services
• CN=NetServices
• fehlerhafte Einträge löschen

Sollten Einträge von älteren Windows-Versionen hier nicht auftauchen:
• CN=DhcpRoot im gleichen Zweig Services / NetServices öffnen
• Einträge in dhcpServers manuell bereinigen

Um (zertifikatsbasierende) VPN-Verbindungen herzustellen, benötigt man VPN-Zertifikate für alle Geräte, die von derselben VPN-Zertifizierungsstelle (CA) signiert wurden.
Es empfiehlt sich, die VPN-CA und die VPN-Zertifikate an einem Standort zu verwalten und die VPN-Zertifikate von dort an alle weiteren Standorte/Geräte zu exportieren. Die VPN-CA muß nicht öffentlich vertrauenswürdig sein, sondern stellt nur das Vertrauen für die beteiligten VPN-Gegenstellen dar.

Zum Erstellen der CA + Zertifikate empfiehlt sich das grafische OpenSSL-Tool XCA.
Anleitung siehe:
• https://docs.insys-icom.de/pages/de_m3_creating_certificates_xca.html
• https://support.lancom-systems.com/knowledge/display/KB/Erstellen+von+X.509-Zertifikaten+mit+der+Anwendung+XCA

Lancom:
Zertifikatsinstallation überprüfen:
show vpn cert
show vpn ca


Danke an Dr.Einstein: https://www.lancom-forum.de/viewtopic.php?p=110121#p110121

Quellen und Links:

• SSL-Zertifikate (SSH - RSA-Schlüssel) nach Firmware-Aktualisierung neu erstellen
  Ab LCOS 10.20 wurde die minimale Schlüssellänge (Min-Hostkey-Length) auf 2048 Bit angehoben und veraltete Verschlüsselungs- und Signatur-Algorithmen werden im Standard nicht mehr angeboten. (Default: AES256, SHA256, DH14)
  https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=36458346
• SSL VPN-Zertifikate auf R&S Firewall erstellen: https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=42108821
• zertifikatsbasierte VPN-Verbindung zwischen 2 Lancom Routern
  https://support.lancom-systems.com/knowledge/display/KB/Konfiguration+einer+zertifikatsbasierten+IKEv2+VPN-Verbindung+zwischen+zwei+LANCOM+Routern
• Konfiguration einer Active Directory Anbindung mit IKEv2-EAP (RADIUS) und einem LANCOM Router
  https://support.lancom-systems.com/knowledge/display/KB/Konfiguration+einer+Active+Directory+Anbindung+mit+IKEv2-EAP+und+einem+LANCOM+Router
• allg. Zertifikatstypen: https://serverfault.com/questions/9708/what-is-a-pem-file-and-how-does-it-differ-from-other-openssl-generated-key-file

Tip:
• VPN/Allgemein/Flexiber Identitätsvergleich aktivieren
• VPN IKEv1 Default-Parameter: alle 3 Defaults von Gruppe 2 (1024) auf Gruppe 14 (2048) stellen

Quellen und Links:

• VPN mit NCP-VPN-Client ohne Zertifikat: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1120
• zertifikatsbasierte VPN-Verbindung IKEv.2 mit Lancom Adv.VPN-Client
  https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=32983599
• VPN StrongSwan mit Zertifikaten: https://www.lancom-forum.de/aktuelle-lancom-router-serie-f41/1781vaw-vpn-verbindung-klappt-nicht-t16074.html#p90462
• Linkliste Lancom VPN zu Android: https://www.lancom-forum.de/fragen-zum-thema-vpn-f14/vpn-via-android-client-t17229.html#p97795
• Strongswan Connection Parameter: https://wiki.strongswan.org/projects/strongswan/wiki/ConnSection

Modebus testen mit Modebus Master- oder Slave-Simulator
https://www.modbustools.com/download.html

etwas aktueller: https://sourceforge.net/projects/modbus-tool/

Linux Command Line Tool: Modepoll https://github.com/gavinying/modpoll

Ein VPN-Tunnel kann eine Netzwerkverbindung auf Layer 2 (Bridge) oder Layer 3 (Route) aufbauen.
• Bridge: VPN- Clients und LAN sind im selben Netzsegment. Jeder Paketmüll wird auf VPN übertragen.
• Route/Tunneling: virtueller LAN-Adapter legt ein Transfer-Netz an, VPN über Routing-Regeln, Traffic kann auf lokal / VPN aufgetailt werden.

Portforwarding/Routing
Steht der VPN-Router hinter einem anderen Router, so müssen die entsprechenden VPN-Ports auf den VPN-Router geforwarded werden.
Außerdem ist ein Routing im DSL-Router auf das interne Transfernetz des VPN-Routers erforderlich!

Übertragungs-/Verschlüsselungsverfahren

• IPSec - seit 1993
  - proprietäre Software, Lizenz pro Client erforderlich
  - Mainmode (berücksichtigt WAN-IP der Gegenseite, sicherer) und AggresiveMode (kann dynam. IP)
  - Verschlüsselung mit PreShare oder Zertifikaten
  - NAT-Probleme können umgangen werden mit IPsec-Passthrough oder IPsec mit NAT-Traversal
  - Breite Geräteunterstützung: Lancom, Lucom, Vigor, Fritzbox (nur IKE v1)
  - Windows OS: NCP-Client (Bintec, Lancom..), native Unterstützung mit Zertifikaten
  - Android OS: native Unterstützung je nach Version und Gerät, teils nur IKE v.1, mit Zertifikat
  - kein einheitlicher, geräteübergreifender Standard zum Austausch der Konfiguration
  
  
• Wireguard - seit 2015
  - Open Source / GPLv2-Lizenz
  - Client kostenlos und für alle Betriebssysteme verfügbar, seit 2020 direkt im Linuxkernel integriert (also auch embedded Devices)
  - modern, stabil, einfach konfigurierbar, roamingfähig, schlank und schnell (höhere Übertragungsgeschwindigkeit, geringere Latenz)
  - jede Verbindung hat eigene Public- und Private Key und funktioniert ähnlich wie SSH-Keys
  - jeder Public Key wird mit Liste erlaubter Netze verknüpft (Wildcard 0.0.0.0/0 bedeutet: alle Netze gehen durch Tunnel)
    In Versandrichtung verhält sich diese Liste wie eine Routing Tabelle.
    In Empfangsrichtung dient sie als Access Control List.
  - keine Zertifikate erforderlich, Key-Paar kann vom Router oder offline erzeugt werden
  - Server erstellt (je nach Gerät) fertige Conf-Datei oder QR-Code, der einfach am Client eingebunden wird
  - Clients bekommen statische IPs und der Access läßt sich individuell pro Gerät steuern
  - Default Port: 51820 (UDP), frei änderbar, problemlos über NAT
  - energieeffizient, kaum Daten im Leerlauf, geeignet für Mobilgeräte
  - viele Softwarelösungen: pfSense, OpenSense, OpenWRT
  - bisher wenig Geräte: Fritzbox ab FW 7.50, Vigor, GL.iNet, MikroTik (ab RouterOS 7)
  
  
• OpenVPN - seit 2002
  - Open Source Software, Client kostenlos und für alle Betriebssysteme verfügbar
  - Verschlüsselung mit OpenSSL oder embedTLS, (Zertifikat und Preshare)
  - Transport flexibel, wahlweise per UDP oder TCP
  - Default Port: 1194 (UDP)
  - NAT ist kein Problem, weil OpenVPN weder IP-Adresse noch Portnummer authentifiziert
  - einfach konfigurierbar, langsam gegenüber IPSec oder Wireguard
  - erlaubt, dass sich mehrere Clients gleichzeitig mit demselben Zertifikat anmelden. Dann können aber Clients nicht einzeln deaktiviert werden.
  - .ovpn ist ein fast einheitlicher Standard zum Übertragen der Konfiguration auf Clients (enthält die notwendigen "ca.crt", "client01.crt" und "client01.key").
  - verfügbar für alle Betriebssysteme (Debian, Ubuntu, MS Windows, macOS, Android und iOS)
  - Konfiguration lässt sich inclusive Zertifikate exportieren und auf der Gegenstelle importieren (Datei oder QR-Code, geräteabhängig)
  - breite Geräteunterstützung (Lucom, Lancom R&S Firewall, Fritzbox, Vigor, MikroTik, GL.iNet, OpenWRT, DD-WRT)
  Anleitung: https://blog.hartinger.net/openvpn-einrichten-bei-einer-lancom-unified-firewall/
  
  
• SSL
  - Verschlüsselung mit TLS und SSL, gute Verschlüsselungsstärke
  - nutzt nur Port 443 und funktioniert praktisch überall, kompatibel zu NAT
  - geringer Konfigurations- und Wartungsaufwand
  - kein Tunneling, ausschließlich für RemoteAccessVPN geeignet
  - normaler Browser dient üblicherweise als VPN-Client (Anwendung muß browserbasierend sein), über PlugIns auch Weiterleitung/Gateway auf andere Dienste möglich
  Geräte: Vigor, Lancom R&S Firewall
  
  
• L2TP over IPSec
  - funktioniert auf allen OS mit Boardmitteln
  - funktioniert ohne Zertifikate und ist einfach konfigurierbar
  - die Kombination von L2TP und IPsec hebt die Schwächen beider Protokolle gegenseitig auf
  Geräte: MikroTik, Vigor
  
  
• PPTP (veraltet)
  - unsichere oder keine Verschlüsselung
  - stabil, einfach, früher weit verbreitet

ZigBee

• eigener Funkstandard, lizenzfreie Frequenz 868 MHz (Europa) und 2.4 GHz LR-WPAN Kanal 11-25 (weltweit, wie WLAN)
• erst Zigbee 3.0 ist ein einheitlicher Standard für alle großen Hersteller
• Stand 2022/23: weit verbreitet im Bereich Steuerung und Statusmeldung (SmartHome, M2M, Industrie 4.0, IoT und Gebäudeautomation)
• energiesparender als Bluetooth oder WLAN, geeignet für batteriebetriebene Geräte (Heizkörperthermostate, Thermometer, Türkontakte..)
• Reichweite (je nach Router und Frequenz 10 bis 50m +Mesh), geringere Datenrate als WLAN od. Bluetooth (max. 250 kb/s)
• spannt autark ein Mesh-Netzwerk über alle Geräte auf (Akku-Geräte sind meist im Standby und keine Mesh-Partner)
• ZigBee Geräte haben keine IP-Adresse und kommunizieren proprietär nur mit dem passenden Gateway. Nur das (LAN-)Gateway hat eine IP-Adresse.
  Ist das Gerät nicht (mehr) am Gateway angelernt, erreicht man es nur durch Tastendruck am Gerät + neu anlernen.
• in der Regel wird eine Bridge, ein Hub oder Router (Steckdosengerät!) benötigt. (Koordinator)
  - Amazon Echo Plus (einige Modelle)
  - Google Assistant
  - Sonoff, Tuya, Phoscon usw. Zigbee Bridge
• Tuya Gateway arbeitet nur per Cloud, besser ist Tasmota, Phoscon (proprietär) oder Thread
  
  Eigene Erfahrungen mit ZigBee:
• Reichweite geringer als WLAN (Tuya-Bridge), trotzdem kaum Grenzen im Wohnhaus durch Mesh
• Inbetriebnahme absolut komplikationslos
• deutlich langsame Reaktion bei direkter Kommunikation mit den Geräten (spürbar geringe Bandbreite)
• Schalter reagieren schnell und verzögerungsfrei
• ohne Internet keine Funktion (Tuya Cloud!)
• sind App oder Gateway oder WLAN (WLAN ändern bedeutet App-Reset) defekt, müssen alle Geräte per Knopfdruck neu angelernt werden (also nicht zu fest einbauen)
• SmartLife App funktioniert besser als Tuya App
• in Alexa oder Google Assistant: SmartLife Skill laden, verbinden und die Geräte sind per Sprache steuerbar

WLAN

• Funkstandard, 2.4 GHz und 5 GHz weltweit (IoT meist nur 2.4GHz)
• hohe Bandbreite (Kameras, TV, Audio möglich)
• hoher Energieverbrauch, nicht für batteriebetriebene Geräte geeignet
• kein Mesh, reine Punktverbindung zwischen IoT-Gerät und WLAN-Router
• jedes Gerät hat eine IP-Adresse, eine WEB-GUI und arbeitet ohne spezielles Gateway
• Steuerung über jede gängige Home Automatisierung direkt möglich, kein Cloudzwang
• Phoscon USB Zigbee-Gateway kann systembedingt keine WLAN-Geräte

Die Zukunft

• Matter (Cloud-unabhängig) bzw. Thread (Matter + Anbieterunabhängig)
  Matter ist ein Kommunikationsprotokoll, Thread ein Funkstandard (wie ZigBee), meist mit Matter
  
  
• Matter basiert auf drei Technologien:
  • Bluetooth LE für das Setup
  • Wi-Fi oder LAN für die Benutzung mit hohen Bandbreiten
  • Thread (mit Border Router) für geringe Bandbreiten
  • andere Funkstandards wie ZigBee werden durch Matter-kompatible Bridges angebunden
  Oberflächen von Apps für die Automatisierungen arbeiten wie bisher, nur unter der Haube soll alles kompatibel werden.
  Die Matter-Spezifikation enthält eine Funktion namens „Multi-Admin“, mit der ein einzelnes Matter-Gerät von mehreren Smart-Home-Systemen gleichzeitig gesteuert werden kann. Das bedeutet, dass Kunden nicht mehr ein einziges System wählen müssen, um Smart-Home-Geräte in ihrem Haus direkt zu steuern.
  Matter arbeitet lokal, Cloud-Zusatzfunktionern und Diadnosedaten sind erlaubt.
  
  
• Thread-Geräte sind (wie WLAN) Netzwerkgeräte mit eigener IP und per mDNS auffindbar.
  Thread arbeitet im 2.4GHz Bereich als 6LoWPAN nach IEEE 802.15.4 als Mesh-Netz. Im Vergleich zu WLAN ist die Reichweite höher, bis 100m.
  Geräte werden einfach über einen QR-Code eingebunden.
  Die Steuerung erfolgt herstellerunabhängig mit beliebiger Thread-App.
  Der Standard ist stromsparend ausgelegt und (anders als WLAN) für Batteriegeräte geeignet.
  Gerätetypen:
  • Endgeräte (Sensoren, Aktoren)
  • Thread-Router (jedes nicht batteriebetriebene Thread Mesh-Gerät ersetzt den WLAN-Repeater)
  • Thread Border-Router (verbinden Thread mit dem LAN/WAN)

WiFi, ZigBee und Tread arbeiten im selben 2.4 GHz Frequenzband.
WiFi ist für batteriebetriebene Geräte ungeeignet (Laufzeiten < 1 Jahr).
ZigBee ist für fest verbaute Geräte ungeeignet, weil man die Geräte ohne Gateway (Defekt, Fehler) nicht erreicht.
Jedes ZigBee und Thread Netzwerk hat eine eindeutige PAN-ID (personal area network identifier), vergleichbar mit der WLAN-SSID.
Zigbee und Thread sollten auf dem gleichen Kanal betrieben werden, wenn das gleiche Interface/der gleiche Adapter für beides genutzt wird (Multi PAN). In größeren Netzen sollte man beide trennen.
Wichtig ist, dass die Geräte oder zumindest ihre Gateways Matter unterstützen.

Siehe:

• ZigBee-Matter-Thread Stick ConBee III
• Sonoff Schalter, ZigBee Smart Hub mit TASMOTA
• ZigBee Tuya Geräte

• VPN-Verbindung LAN-LAN mit Assistent erstellen (IKEv2, Router als Responder)
• IPv4 Routing-Tabelle: Route zum Dst.LAN erstellen
• Firewall: keine Einträge
• VPN IKEv2 Verbindungsliste:
   
• Verschlüsselung: DH-Gruppen: DH14, PFS: nein,
  IKE-SA: AES-CBC-256, Hash-Liste: SHA-256, SHA1,
  Child-SA: AES-CBC-256, AES-GCM-256, Hash-Liste: SHA-256, SHA1
• Authentifizierung: FQUN, Identität + Passwort
• Verbindungsparameter: DPD: 30 sek., Encapsulation: keine
• Gültigkeitsdauer: IKE SA: 108.000 sek, 0 kBytes, Child SA: 28.800 sek, 2.000.000 kBytes
• IPv4-Regel: Zieladressen einschränken

• IP -> IPSec -> Profiles
  neues Profil anlegen, Parameter passend zu Gegenseite
  
• IP -> IPSec -> Peers
  neues Peer anlegen, [Gateway-Adresse/32], Profil wie oben, IKE2, Send INITIAL_CONTACT
• IP -> IPSec -> Identities
  neuer Eintrag, Preshare Key, ID Type (beide Seiten): user fqdn, Match By: remote id
• IP -> IPSec -> Prosposals
  neuer Eintrag, IKEv2-Prosposals setzen
  
• IP -> IPSec -> Policies
  neuer Eintrag, Peer: wie oben, Tunnel anhaken, Src.Netzwerk/24 und Dst.Netzwerk/24, Protocol: 255(all), Action: encrypt, Level: require, IPSec Protocols: esp, Prosposal: wie oben
• Test - Ergebnis/Verbindung ok:
  IP -> IPSec -> Policies, PH2 State = established
  IP -> IPSec -> Active Peers, State = established, Local- und Remote IP, TX/RX Bytes
  
  
• IP -> Firewall -> NAT darf für VPN-Verbindung nicht maskiert sein! (srcnat für VPN-Quell- und VPN-Zielnetz, action= accept)
• IP -> Firewall ->Rules: forward-accept für Src.LAN und Dst.LAN
• Routingtabelle: nicht erforderlich

• Voraussetzung (siehe oben): Internetverbindung (ausgehend) und offener UDP-Port (eingehend)
• Wireguard -> Wireguard -> neu: Wireguard-Interface/Servername, MTU (1420), Listen Port: 51820 -frei festlegbar (UDP 49152-65535)
  * pro UDP-Port kann nur ein Wireguard-Server angelegt werden
  * pro Router genügt ein Wireguard-Server, wenn man nicht verschiedene Ports nutzen möchte
• beim Aktivieren wird automatisch ein (unsichtbarer) Private Key und ein (kopierbarer) Public Key erstellt
• IP -> Addresses: neues WG-Tunnel LAN anlegen: Address(Server): 192.168.200.1/24, (Network: 192.168.200.0), Interface: WG-Servername von oben
• IP -> Firewall (UDP-Port erlauben): Input - Protocol:UDP - Dst.Port:51820 - In.Interface (WAN) wählen, Accept
• IP -> Firewall (LAN, Host oder ALL erlauben): Forward -
  Src.Addr: WG-Endgerät (192.168.200.10), Dst.Addr.: LAN-Ziel (Host od. Subnet),
  In.Interface: Wireguard-Server, Out.Interface: LAN/Bridge, Accept
• NAT muß für die Wireguard-Verbindung aus sein (IP -> Firewall -> NAT), (srcnat für VPN-Quell- und VPN-Zielnetz, action= accept)
• IP -> Routes: Neue Route zum Wireguard-LAN, Gateway: %wireguard-server, Dst.Address: 192.168.200.0/24  (legt Router automatisch an)
• neu: Router erstellt QR-Code der Verbindung (Client Daten in Peer eintragen)
  

• Wiregard -> Peers -> neu:
• Interface: Servername von oben,
• Public Key: PK der Gegenseite,
  (Alternativ: Wireguard-Tool (unten) oder Wireguard-Client erzeugt Schlüsselpaar)
• Endpoint: öffentl. DNS/IP der Gegenstelle (bei LAN-to-Client: leer lassen)
• Endpoint Port: UDP-Port vom Server der Gegenseite,
• Allowed Addresses: 192.168.200.10/32 (statische Adresse des Clients im Wireguard-LAN)
  Bei LAN-LAN müssen hier alle erlaubten Netze rein, die über den Tunnel erreichbar sein sollen, kann auch 0.0.0.0/0 (alle) sein. (Firewall+Route!)
• Keepalive: (25s)
  
  nur für QR-Code erforderlich:
• Client Address: 192.168.200.10/32 (statische Adresse des Clients im Wireguard-LAN)
• Client DNS: DNS-Server
• Client Endpoint: öffentl. WAN IP oder DNS-Name
• Client Listen Port: UDP-Port vom Server
• Test: bei erfolgreicher Verbindung mit Client laufen Verbindungs-Bytes (Rx und Tx) im WG-Peer und im Client hoch

• Wireguard-Client laden
• neue Verbindung - manuell erstellen
• beliebiger Verbindungsname
• Privater Schlüssel (wird automatisch erstellt)
• Öffentl. Schlüssel: Key in Router -> Wireguard Peer -> Public Key kopieren
• Adressen: Client Adresse (192.168.200.10/32) (wie Allowed Address vom Wireguard Peer)
• Nameserver: ggf. Wireguard-Server/Router (192.168.200.1)
• Öffentl. Schlüssel: PK des Routers aus Wireguard -> Wireguard
• Erlaubte IPs: 0.0.0.0/0 schicke gesamten Traffic (auch Internet!) in den Tunnel
  sinnvoller ist konkrete Angabe (Transfernet + Zielnetz(e), siehe .conf unten)
• Endpunkt: Einwahlpunkt IP oder Domain der Gegenseite +Doppelpunkt:Port!  1.2.3.4:51820 (wie oben)
  
  

• Router1: Wireguard-Server einrichten wie oben
• Router2: Wireguard-Server einrichten wie oben
  Anmerkung: pro Router genügt ein Wireguard-Server, falls nicht unterschiedliche Ports erforderlich sind
• IP-Adresse zu virtuellem Wireguard-Interface hinzu fügen (->IP / Addresses)
  - Router 1: Address: 192.168.200.1/24, Network: 192.168.200.0
  - Router 2: Address: 192.168.200.2/24, Network: 192.168.200.0
  Anmerkung: pro Wireguard-Server sind mehrere Transfer-Netze möglich. Die Auswahl erfolgt über die Route unten.
• Router1: Wireguard-Peer einrichten,
  - Pub-Key von Router2,
  - Endpoint-IP: DSL2, Endpoint-Port: UDP-Port wie oben
  - Allowed Address: 192.168.200.2/32 (Tunnel-Ende), 192.168.20.0/24 (Ziel-LAN)
• Router2: Wireguard-Peer sinngemäß gleich einrichten
• Route auf Router1: Route Dest. 192.168.20.0/24 (Ziel-LAN) über Gateway 192.168.200.2 (WG-Transfer)
• Route auf Router2: Route Dest. 192.168.10.0/24 (Ziel-LAN) über Gateway 192.168.200.1 (WG-Transfer)

Wenn der Wireguard-Router hinter dem Default Router sitzt (wie oben gezeichnet):

• Default-Router1: Portforwarding UDP (51820) zum Wireguard-Router (192.168.10.15)
• Default-Router1: Statische Route zu Wireguard-LAN (192.168.200.0/24) über Wireguard-Router (192.168.10.15)
• Default-Router1: Statische Route zu entferntem LAN (192.168.20.0/24) über Wireguard-IP (192.168.200.2/32)
• für Router2 sinngemäß gleich

Beispiel der .conf -Datei des Clients (IP: 3):

[Interface]
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254

[Peer]
# Name = VPN-zu-Oma
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.40.0/24
# PersistentkeepAlive = 25

• Address: VPN-Adresse des Clients
• PrivateKey: Privat-Key des jeweiligen Clients (im Client sieht man dann den Public-Key)
• DNS falls gewünscht
• PublicKey: Public-Key des WG-Servers
• Endpoint: öffentliche Adresse des VPN-Servers mit Port
• AllowedIPs: alle Adressen, die der Wireguard Server in den Tunnel routet. (also zumindest Wireguard-Server und Serverside-LAN)
  Dieses "Cryptokey Routing" bewirkt, dass Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernehmen.
  AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.

Wireguard Online Config Generator:

• Tool erstellt komplette .conf-Datei: https://www.wireguardconfig.com/
• Tool erstellt Schlüsselpaare: https://wg.orz.tools/

Quellen und Links:

• MikroTik Router: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1424
• Wireguard VPN einrichten: [TUT] MikroTik - WireGuard VPN einrichten - YouTube

Verwendete Abkürzungen:
• WG - Wireguard
• GW - Gateway

Software Defined Network (SDN) und zentrale Geräteverwaltung aller LAncom Router, Switche, Accesspoints, Firewalls
Zentrales Deployment und Rollout, Firmwareupdates
Zentrales Monitoring
Je nach Gerät sind Lizenzen der Kategorie A bis D erforderlich. -> Lizenzkategorien

Funktionen (u.a.)

• WLAN Controller (kein Hardware-WLC erforderlich)
• HotSpot mit Voucher-Anmeldung
• Active Radio Control (ARC 2.0)
  selbstlernende Automatisierung optimiert das WLAN (Kanäle, Bandbreite, Sendeleistung..)
  alle AP müssen in der LMC sein (erfasst auch Fremdgeräte, kann sie aber nicht steuern)
  Scan ca. 5 min., in dieser Zeit gehen keine WLANs
  ohne Zusatzkosten
  alle APs ab LX 6.10 bzw. LCOS 10.72

mehr Funktionen: https://my.lancom-systems.de/produkte/netzwerk-management/management-cloud/entwicklung/

• Portforwarding: UDP-Port (Bsp: 51820) zum WG-Router (LAN-IP)
• Routing-Tabelle: WG-Transfernetz (Bsp: 192.168.200.0/24) zum WG-Router (LAN-IP), Maskierung aus
• Firewall: UDP-Zielport (51820) frei geben
• Firewall: Verbindungsquelle Wireguard-Router (LAN-IP) Internet erlauben
• Firewall: Verbindungsziel WG-Transfernetz (192.168.200.0/24) erlauben

• Voraussetzung (siehe oben): Internetverbindung (ausgehend) und offener UDP-Port (eingehend)
• Netzwerk -> Interfaces -> WireGuard-Interfaces: "+" Interface wg0 (ff.) erstellen, MTU (1420), Interface AKTIVIEREN
• VPN -> WireGuard: "+" WG-Verbindung erstellen, Interface AKTIVIEREN
  - Name: Verbindungsname
  - Interface: wg0 (Bsp) Interface von oben auswählen
  - Adresse: WG Transfernetz Adresse des Servers (bisher nicht verwendetes Netz, Bsp: 192.168.200.1/32)
  - Port: UDP-Port (51820) der WG-Verbindung -frei festlegbar (UDP 49152-65535)
  * pro UDP-Port kann nur ein Wireguard-Interface angelegt werden
  * pro Router genügt ein Wireguard-Server, wenn man nicht verschiedene Ports nutzen möchte
  
  
• Desktop -> Dienste -> Benutzerdef.Dienste: "+" Dienst "WireGuard" anlegen
  - Port: 51820
  - Protocol: UDP
• Netzwerk -> Netzwerk-Verbindungen: "+" Verbindung hinzufügen
  - Name: WireGuard
  - Interface: WG-Interface (wg01)
  - Netzwerk Adressen: In Feld klicken und oben konfigurierte erlaubte IP-Adressen auswählen. (192.168.200.0/24)
• Firewallobjekt: Host hinzu fügen (keinen VPN-Host), WireGuard-Server
  - Host: Wireguard-Server (192.168.200.1)
• Firewall Verbindung (WireGuard-Server <-> WAN) erstellen
  - benutzerdef. Dienst "Wireguard" (von oben) zufügen
  - Verbindungsrichtung drehen (von außen nach innen), Serverspezif.Einstellung, NAT =aus, DMZ/Port-Weiterleitung aktivieren
    (Portforwarding UDP-Port zum WG-Server)

• VPN -> WireGuard: WG-Verbindung von oben auswählen
• Authentifizierung: Schlüsselpaar erzeugen, kann auch importiert werden (Private-Key bleibt im Router, Public-Key bekommt die Gegenseite)
• Peers: "+" neuen Peer erzeugen
  - Name: Peer-Name
  - Remote Adresse: Optionale öffentl. erreichbare Adresse oder DNS-Name der Gegenstelle. Nur nütig für Initiator der Verbindung. Die Angabe wird benötigt, wenn ein Remote-Port angegeben ist. 
  - Remote Port: Port wie Gegenseite (Bsp: 51820)
  - Public-Key: Key des Peers  (WG-Tool (unten) oder Wireguard-Peer erzeugt Schlüsselpaar)
  - Keep-Alive: Haltezeit (25s). Wert ist nur verfügbar, wenn eine Remote Adresse eingegeben wurde
  - Routen erstellen: Wenn aktiviert, werden alle IP-Adressen unter Erlaubte IP-Adressen automatisch in die Routing-Tabelle 201 eingetragen. Sonst müssen die Routen manuell erstellt werden.
  - Erlaubte IP-Adressen: IP-Adressen oder Netze mit Subnetzmaske (CIDR-Schreibweise), die über die WG-Verbindung erreichbar sein sollen
    Bei LAN-LAN müssen hier alle erlaubten Netze rein, die über den Tunnel erreichbar sein sollen, kann auch 0.0.0.0/0 (alle) sein.
    ACHTUNG, Bug!?  Trägt man hier das eigene LAN ein, ist der Router über LAN nicht mehr erreichbar.

• Wireguard-Client laden
• neue Verbindung - manuell erstellen
• beliebiger Verbindungsname
• Privater Schlüssel (wird automatisch erstellt)
• Öffentl. Schlüssel: Key in Router -> Wireguard Peer -> Public Key kopieren
• Adressen: Client Adresse (192.168.200.10/32) (wie Allowed Address vom Wireguard Peer)
• Nameserver: ggf. Wireguard-Server/Router (192.168.200.1)
• Öffentl. Schlüssel: PK des Routers aus Wireguard -> Wireguard
• Erlaubte IPs: 0.0.0.0/0 schicke gesamten Traffic (auch Internet!) in den Tunnel
  sinnvoller ist konkrete Angabe (Transfernet + Zielnetz(e), siehe .conf unten)
• Endpunkt: Einwahlpunkt IP oder Domain der Gegenseite +Doppelpunkt:Port!  1.2.3.4:51820 (wie oben)

Beispiel der .conf -Datei des Clients (IP: 3):

[Interface]
Address = 192.168.200.3/32
PrivateKey = OMjSCv6e/iXECZwq0ZVL5Ywf/KzZvdsGpYKv1512345=
# DNS = 172.16.7.254

[Peer]
# Name = VPN-zu-Oma
PublicKey = cA+mynt84tVH1gPaUN66E8K0nfzvpsQMohrEbz54321=
Endpoint = router.myfritz.de:51820
AllowedIPs = 192.168.200.0/24, 192.168.40.0/24
# PersistentkeepAlive = 25

• Address: VPN-Adresse des Clients
• PrivateKey: Privat-Key des jeweiligen Clients (im Client sieht man dann den Public-Key)
• DNS falls gewünscht
• PublicKey: Public-Key des WG-Servers
• Endpoint: öffentliche Adresse des VPN-Servers mit Port
• AllowedIPs: alle Adressen, die der Wireguard Server in den Tunnel routet. (also zumindest Wireguard-Server und Serverside-LAN)
  Dieses "Cryptokey Routing" bewirkt, dass Wireguard Server und Client das Routing für die jeweils remoten IP Netze automatisch in die Routing Tabelle übernehmen.
  AllowedIPs = 0.0.0.0/0 bewirkt, dass der gesamte Traffic durch den Tunnel geht.

Wireguard Online Config Generator:

• Tool erstellt komplette .conf-Datei: https://www.wireguardconfig.com/
• Tool erstellt Schlüsselpaare: https://wg.orz.tools/

Quellen und Links:

• https://support.lancom-systems.com/knowledge/pages/viewpage.action?pageId=141459491

Verwendete Abkürzungen:
• WG - Wireguard
• GW - Gateway

Default IP: 192.168.1.1
Default PW: admin / admin

• Konfiguration muss mit SAFE gesichert werden!
• einige Geräte haben separaten LAN Management-Port
• viele Geräte haben seriellen Management Port

VLAN:

• Portmode= Trunk (alle VLANs können None oder Tagged sein, PVID ist Untagged)
• Portmode= Hybrid (alle VLANs können None, Tagged oder Untagged sein, PVID ist Untagged)
• Portmode= Access (Port arbeitet im PVID -VLAN)

• Default LAN-IP: 192.168.8.1 (ggf. kein https)
• Default WAN-IP 192.168.9.1 (DHCP: 100-249)
• Reset-Button: 4sek: Repair Network, 10sek: Factory Reset
• Gerätestart ist sehr langsam, ca. 1 min (auf LEDs warten)
• SIM-CARD (full size) PIN deaktivieren/setzen mit AT-Kommando: (Deaktivieren: PIN leer)
  

  AT+CLCK="SC",0,"<PIN>"

• FirmwareUpdate OpenWRT Router GL.iNet GL-X300B-GPS: http://download.gl-inet.com/firmware/x300b/release/ oder ONLINE
  aktuell: FW 4.5.19, OpenWrt 22.03.4 (08/2024)
• OpenWrt Modul/Plug-In "Luci" für Backup/Restore (online) installieren, Login mit Root User, system → backup/flash firmware → Generate archive
• OpenWrt Modul/Plug-In "WatchCat" und "Luci-App-Watchcat" - Ping Reboot, Periodic Reboot, Restart Interface (configured trough UCI /etc/config/system)
• (Firewall: Wireguard UDP-Port zum Router öffnen)
• bei LTE-Verbindung: VPN / Internet Killswitch aktivieren  (in FW 4.x nicht mehr vorhanden)
• VPN-Verbindung im WEB-GUI: gelb: versuche Aufbau, grün: Verbindung OK (Upload+Download wird angezeigt)
• LEDs: (keine LED für VPN, lässt sich aber per Luci programmieren)
  PWR - Power
  4G - LTE-Verbindung
  WiFi - WLAN ON
  WAN - WAN Netzwerkverbindung
• SMB - Buchse für ext. Antenne
• Luci/System/LED-Configuration: WAN- oder WiFi-LED (je nach Nutzung) auf Device "wg0" (Wireguard-Verbindung) konfigurieren
• VPN-Einstellungen:
  VPN: LAN-Einwahl von außen erlauben (Einwahl von außen auf das LAN hinter dem LTE-Router ermöglichen)
  VPN: NAT (IP-Masquerading) deaktivieren
  VPN: Globaler Proxy = alles geht durch den VPN-Tunnel
• GoodCloud ist die chinesische Router Managed Cloud für Gl.Inet
  https://www.youtube.com/watch?v=WagHArGmghs

VPN siehe:
• Wireguard installieren, Client kann per .zip, .tar, .gz, .conf, .txt importiert werden
• OpenVPN: Client kann per .zip, .tar, .gz, .conf, .txt, .ovpn importiert werden

Default IP: 192.168.0.100
 selten auch: 192.168.0.254

Default Gateway: 192.168.0.254
admin / admin

ab 2024 Änderung bei Neugeräten oder Firmware-Update:  admin / sw[+letzte 6 Ziffern der MAC]

Einige Switche haben einen separaten Management-Port (VLAN 1).
Die Switche booten sehr lange (> 30 sek.).

BIOS + Manual Downloads: https://www.planet.com.tw/en/support/downloads

Industrie-Switche (DIN-Rail and Wall Mount Kit)

IGS-10020MT

• Managed Gigabit Switch, IP30 Aluminium Gehäuse
• fanless
• 8-port 10/100/1000T + 2-port 100M/1G/2.5G SFP
• LEDs: Power1, Power2, Fault Alarm, Netzwerk Ring, Ring.Owner
  per Port: Link, Speed
• WEB-GUI, SNMP 1-3
• Reset Button: <5 sek.: System Reboot, >5 sek.: Factory Reset
• Removable 6-Pin Terminal Block for Power Input
  Pin1/2 = Power1, Pin3/4 = Fault Alarm, Pin 5/6 = Power2
• Redundant Power System,  12 - 48V DC (1.25A) oder 24V AC (0.7A)
  Netzteil nicht im Lieferumfang!
• Alarm Relay: 24V DC / 1A
• Bootdauer ca. 35 sek. (alle LEDs an)

IGS-5225-4P2S  (PoE)

• L2+ Managed Gigabit Switch, IP40 Aluminium Gehäuse
• fanless
• 4-port 10/100/1000T 802.3at/af PoE+ bis 36W + 2-port 100/1000MB SFP
• 1 x RJ45-to-RS232 serial Management Port (115200, 8, N, 1)
• LEDs: Power1, Power2, Fault Alarm (rot), Netzwerk Ring, Ring.Owner
  per TCP-Port: PoE, Link
  per SFP-Port: Link / Speed
• WEB-GUI, SNMP 1-3
• Reset Button: <5 sek.: System Reboot, >5 sek.: Factory Reset
• Redundant Power System, Dual 48~56V DC (>51V DC for PoE+ output recommended), 6 - 152W
  Netzteil nicht im Lieferumfang!
• PoE mit PoE Usage Monitor, PoE Scheduler
• supported Modbus TCP/IP protocol

19" Switche

GS-4210-8T2S

• Managed Edge Switch with Advanced L2/L4 Switching
• fanless
• 8x 10/100/1000BASE-T RJ45 Auto-MDI/MDI-X ports
• 2x 100/1000BASE-X SFP interfaces (dual mode and DDM)
• 1x RS-232-to-RJ45 serial Management Port (115200, 8, N, 1)
• LEDs: Power, Sys
  per Port: Link/Akt
• WEB-GUI, SNMP 1-3
• Reset Button: <5 sek.: System Reboot, >5 sek.: Factory Reset
• Dual Firmware Images

GS-4210-24T4S

• Managed Switch with Advanced L2/L4 Switching
• fanless
• 24x 10/100/1000BASE-T RJ45 Auto-MDI/MDI-X ports
• 4x 100/1000BASE-X SFP interfaces (dual mode and DDM)
• 1x RS-232-to-RJ45 serial Management Port (115200, 8, N, 1)
• LEDs: Power
  per TCP-Port: 1000 LNK/ACT (Green), 10/100 LNK/ACT (Orange)
  per SFP-Port: 1000 LNK/ACT (Green), 100 LNK/ACT (Orange)
• WEB-GUI, SNMP 1-3
• Reset Button: <5 sek.: System Reboot, >5 sek.: Factory Reset

• SSH - Zugriff auf ein Gerät:
  ssh [IP oder DNS]
  
  
• SSH-Tunnel mit lokalem Portforwarding
  ssh -L 8786:192.168.110.60:80 sshadmin@<SSH-Server_IP>
  (Aufruf im Broser: localhost:8786 zeigt remote Seite von Port 80)
  
  
• SSH-Tunnel mit remote Portforwarding
  ssh -R 8786:localhost:80 sshadmin@<SSH-Server_IP>
  (Aufruf im Broser: localhost:80 zeigt remote Seite (SSH-Server_IP) von Port 8786)

- Firewall für remote Port nicht vergessen
- SSH-Server erlaubt per Default nur lokale Forwardings
  Für Remote Forwarding: in /etc/ssh/sshd_config: GatewayPorts yes

Gute Apps:

• Nine: Mailclient inclusive eigenem Kalender + Aufgaben, kann Exchange, POP3, IMAP, Besonderheit: Exchange Kalender Marker-Tags werden auf Mobilgerät angezeigt
• Stratum 2FA-TOTP App, Free Software, mit Kategorien, Passwortschutz/Biometrie, Backup auch auf Cloudspeicher, automat. Backup nicht auf Cloudspeicher
• Zoiper SIP Voip Softphone CSipSimple: gut funktionierender, universeller Voip-Client (kostenpflichtig!)
• WiFi File Transfer: FTP-Freigabe des Handy über WLAN, funktioniert gut, bei Sony Xperia nur für SD-Card
• Deutsche Tastatur von Stefan Richter (äöü, Cursortasten, freie Tastengröße...)
• OpenSignal (Info über Mobilfunkmasten, Richtung, Stärke...)
• Bubble UPnP (UPnp/DNA-Server und Renderer, spielt Bilder, Videos und Musik vom Handy oder von anderen Geräten auf dem TV.
  Demoversion, dann einmalig Kosten= 3,49 )
• Android App selbst erstellen: MIT AppInvestor
  Apps mit einfacher Bloggly-Sprache erstellen
  Test mit MIT AI2 App (Upload per QR-Code)
  dann Erzeugen von Android APK oder AppBundle AAB

Nicht selbst getestet:

- Cloudii (Client für Google Drive, Dropbox, Skydrive, Box.com, OwnCloud, SugarSync, WebDAV, FTP/SFTP, Copy, Yandex)

• Snom (deutscher Anbieter)
• Yealink (gute Telefone, Yealink DECT Basis kann kein Google Adressbuch synchronisieren)
• FritzBox: universelle IP DECT-Basis mit Google Adressbuch (u.v.a.m.), SIP-Client, SIP-Server

Teamviewer 9 QS for Android kann einige ausgewählte Smartphones direkt fernsteuern.

Achtung! Die Lizenz ist NICHT in der kommerziellen Version enthalten! Mit der unlizenzierten (USB-)Version9 läuft es aber.

Stand 8/2014:

- Lenovo Tablet S6000 und Lenovo A7600-F mit AddIn unterstützt! Das geht geil.

- Google Nexus 5 nicht unterstützt.

Karten Funkversorgung:
• Telekom
• Vodafone
• O2
• E-Plus
• Bundesnetzagentur  (Funkmasten, Abstrahlrichtungen)
• LTE-Vergleich (Abdeckung, Tarife, alle Anbieter)

Stand 1/2018 lassen Telekom und Vodafone LTE durch ihre Serviceprovider nicht zu!
Das betrifft auch eigene Töchter wie Congstar oder Fyve.
Es gibt bei Congstar Ausnahmen in älteren Verträgen, die aber kein zugesicherter Vertragsbestandteil sind.

Die Datei .nomedia versteckt Ordner vor der Google-Foto App und ähnlichen Apps wie QuickPic.

Damit lassen sich gezielt Ordner ein- und ausblenden.

- .APK-Datei (Android) herunter laden.

  Whatsapp: http://www.whatsapp.com/android/

  Chip: http://beste-apps.chip.de/android/app/whatsapp-messenger-apk-android-app,cxo.58151052/

- Apps von unbekannten Quellen (temporär!) erlauben.

- APK-Datei ausführen.

- statt Mobilfunknummer Festnetznummer (+49 ..) eingeben.

- nach Wartezeit von 5 Minuten ohne SMS Option "Code telefonisch übermitteln" wählen.

- WhatsApp läßt sich pro Rufnummer nur auf einem Gerät verwenden.

WhatsApp auf einem zweiten Gerät betreiben:
Tablet Manager - Interface für WhatsApp Web

WhatsApp sicherer machen:
Quelle: https://www.kuketz-blog.de/whatsapp-wie-sich-datenschutz-privatsphaere-verbessern-laesst-teil1/

• möglichst keine Facebook-App auf gleichem Gerät / nicht anmelden
• Chat -> Chat-Backup -> Ende-zu-Ende-verschlüsseltes Backup = EIN (nachträglich klappt das bei mir nicht)
• Einstellungen -> Datenschutz -> Check starten
• ggf. Kontakte und Sichtbarkeit einschränken
• Anrufe von Unbekannt = stummschalten
• Mache dein Konto sicherer -> Fingerabdruck-Sperre -ggf aktivieren
• Mache dein Konto sicherer -> Verifizierung in zwei Schritten -unbedingt aktivieren (die PIN wird unregelmäßig beim Programmstart abgefragt)
• Einstellungen -> Datenschutz -> Live Standort (!!)

WhatsApp Backup funktioniert nicht

• freier Speicher in der Cloud ausreichend? (seit 2024 wird WhatsApp Backup beim GoogleDrive Speicherplatz (15GB) mit gerechnet)
• WhatsApp stoppen, Cache leeren, Handy neu starten
• mehr Tips: https://www.imobie.com/de/android-recovery/whatsapp-google-drive-backup-geht-nicht.htm

Apps einmal für alle kaufen?

Auch bei mehreren Google-Konten auf dem Handy nutzt der Playstore immer das erste Hauptkonto.

Lösung:
- neuen Benutzer auf dem Handy erstellen.
- Familienkonto angeben.
- App kaufen und installieren.
Die App ist für alle Benutzer auf dem Gerät verfügbar.

* mehrere SIP-Leitungen als Einzelaccounts
Problem: Bei ausgehenden Rufen wird immer die Hauptrufnummer übermittelt.
Lösung 1 ( Zuweisung pro Rufnummer):
Gerufene Nummer: #
Ziel-Nummer: #
Ziel-Leitung: SIP-LEITUNG FÜR 1234
Rufende Nummer (Filter): 1234
Das Gleiche für jede SIP-Leitung. Mit dieser Callroute wird jeder abgehende Ruf von intern Nummer 1234 über die SIP-LEITUNG für 1234 geleitet. Der Angerufene sieht die entsprechende Nummer in seinem Display.

Lösung 2 (Zuweisung über Vorwahl):
Gerufene Nummer: *1#
Ziel-Nummer: #
Ziel-Leitung: SIP-LEITUNG1
Immer wenn an einem Telefon die „*1“ vorgewählt wird, geht der Ruf über diese Leitung1.

* Wird ein Eintrag in der Call Routing Tabelle gefunden mit der Ziel-Leitung "RESTART", dann beginnt mit der neuen, umgesetzten Called Party ID wieder der komplette Durchlauf. Dabei wird die Angabe der Quell-Leitung (Calling Line) für den nächsten Durchlauf gelöscht.

* SIP-Leitungen: Displayname sollte möglichst frei bleiben und kann zu Fehlern führen.
Manche Provider fordern dein Eintrag aber.

* Meldung "Der Eintrag '#' existiert bereits in der Tabelle" beim Speichern der Call-Route
Identische Mehrfacheinträge mit Eintrag bei "Rufende Nr. (raus)" führen zu dieser Fehlermeldung. Mehrfacheinträge bei "Rufende Nr. (rein)" funktionieren.

Zielleitungen:
- ISDN
- alle definierten SIP Leitungen
- REJECT markiert eine gesperrte Rufnummer oder verbietet SIP-Steuerzeichen.
- USER leitet den Ruf an lokale SIP- bzw. ISDN-Teilnehmer weiter.
- RESTART beginnt mit der zuvor gebildeten Ziel-Nummer einen neuen Durchlauf in der Call-Routing-Tabelle.
  Dabei wird zuvor Quell-Leitung gelöscht.

CALL Routingtabelle im LCOS Benutzerhandbuch

Siehe auch: Arcor/Vodafone SIP-Zugang an Lancom Router

Lösungen: lokales Faxgerät, eigenes Faxgateway (Fritzbox..) oder Cloudlösung.

Cloudanbieter Simple-Fax:
https://simple-fax.de/faxdrucker-fuer-windows

- Faxversand über einen Faxdrucker im Windows oder per E-Mail
- Faxempfang über eine spezielle Rufnummer, die man bei der ersten Aufladung vom Anbieter bekommt
- Faxversand 7 ct. pro Seite

Die Telekom bietet für ihre Kunden ein PC-Fax Service an.
https://www.telekom.de/hilfe/festnetz-internet-tv/produkte/pc-fax/wie-melde-ich-mich-fuer-pc-fax-der-telekom-an

Die Faxnummer (Vorwahl 032) wird von der Telekom zugewiesen.
Versand und Empfang erfolgen als PDF-Datei über das Portal.

Aus einem Windows-Programm bedeutet Faxversand:
- drucken als PDF
- WEB-Portal öffnen, Faxversand wählen, PDF-Datei und Rufnummer anfügen

Faxempfang bedeutet bei allen Angeboten:
E-Mail mit angehängtem Fax als PDF-Datei

PDF24 Faxservice:
https://de.pdf24.org/fax-online.jsp

PDF24 ist ein guter gratis PDF-Editor.
Wenn man sich bei dem Fax-Dienst anmeldet, kann man praktisch mit einem Klick PDF erstellen und als Fax versenden.
Der Empfang erfolgt klassisch als PDF über E-Mail.
Vom Handling erscheint das sehr einfach.
Die Anmeldung ist kostenlos, Faxempfang im Paket ab 5 EUR p.m. nur sinnvoll bei intensiver Nutzung.
https://fax.pdf24.org/prices

Anklopfen (Änderungen lassen nicht alle Provider zu)
*#43# - fragt Status ab
#43# - schaltet Anklopfen aus
*43# - schaltet Anklopfen ein

Meine persönliche To-Do List
Altes Handy:

• Fotos sichern
• Android Konto in Google Cloud sichern
• WhatsApp / WhatsApp Business (lokal) in Google Cloud sichern
• Signal lokal sichern (DCIM/Signal), Backup auf PC sichern (Backup-Token!)
• VPN-Client Config sichern, Config auf PC sichern

Neues Handy:

• SIM-Card in neues Handy
• Android installieren, Handys verbinden, Daten übertragen per Kabel oder Wireless
• (Konto anmelden) - geht automatisch
• (Android 11: klassisches Menue mit Navigationsbuttons)
• Apps installieren + aktualisieren
• WhatsApp: Rufnummer registrieren, Backup wieder herstellen (Backup-PW)
• Signal: Backup auf Handy spielen, Konto übertragen von Backup (Backup-Passphrase und Signal-PIN)
• (VoIP: ZoiPer einrichten, im Hintergrund laufen erlauben)
• Mailclient (Nine) einrichten (IMAP + Exchange)
• 2FA Authentificator Daten per QR-Code vom alten Handy übertragen, (Google Authentificator synchronisiert per Cloud!)
• Dropbox + Cryptomator Boxcryptor konfig.
• Keepass konf.
• Zertifikate für E-Mail und VPN überspielen
• VPN einrichten
• "Nicht stören" nachts einrichten
• Auto koppeln

Links und Tools:

• MyPhoneExplorer (Freeware) - Voll-Backup / Datenübertragung, mit Dateibrowser, Telefonbuch, Kalender, SMS/MMS-Viewer, Mail Datenabgleich mit vielen Programmen, Backup aller Apps als APK
• Titanium Backup (Light/Pay)- vollständigste Suite, benötigt Root-Rechte
• Helium Backup (Light/Pay) - umfangreiche Suite ohne Root

EngineerMode CSSID: *#*#3646633##

TestMode CSSID: *#*#4636##

Calenar Info CSSID: *#*#225##

FCM Diagnostics CSSID: *#*#426##

IMEI CSSID: *#*#06#*#*

• Rufweiterleitung per Rufnummer beim Provider
  Regeln: ständig, bei besetzt, zeitversetzt
  Rufnummer des Anrufers wird beim Weiterleitungsziel angezeigt, wenn der Anbieter/ Tarif "Clip no screening" unterstützt.
  Nachteil: nur 1 Anrufziel definierbar
  Telekom Company Pro: Weiterleitung 5..60 sek. einstellbar, KEIN clip-no-screening

• Rufweiterleitung per Rufnummer an TK-Anlage/Router (Fritzbox, Lancom..)
  Regeln: ständig, bei besetzt, zeitversetzt
  mehrere Anrufziele gleichzeitig möglich
  Nachteil: am Ziel wird nur die weiterleitende Rufnummer angezeigt

• Rufweiterleitung per SIP (Fritzbox, Lancom..) 
  Regeln: ständig, bei besetzt, zeitversetzt
  mehrere Anrufziele gleichzeitig möglich
  mehrere Weiterleitungen in Kaskade möglich (Provider -> Fritzbox(SIP-Client+Server) -> LancomRouter (SIP-Client+Server) -> SIP-Client als Telefonnebenstelle
  Rufnummer des Anrufers wird beim Weiterleitungsziel angezeigt
Achtung: Lancom unterstützt keine externen SIP-Clients ohne VPN. AVM geht.

Max! Cube LAN Gateway
Funkfrequenz: 868,3 MHz
typ. Funk-Freifeldreichweite: 100m
IP: 192.168.24.220
Versorgungsspannung: 5 V, 550 mA
Cube SnNr.: LEQ1147173

3x Max! Heizkörperthermostat Basic
Funkfrequenz: 868,3 MHz
typ. Funk-Freifeldreichweite: >100m
Versorgungsspannung: 2x 1.5V LR6/AA (typ. 2 Jahre)

Heizkörper Neubau: Brötje mit Thermostatkopf Danfoss RA Klemmsystem mit 4 Kerben (20 oder 23 mm)
 Messingadapter bei https://www.meinhausshop.de/Adapter-messing-fuer-Danfoss-Ventile-RA
Handtuchheizkörper Bad: Thermostat M30x1.5

Apps (Windows):

Die Software läßt sich nur aus dem Internet per PDA-App oder Portal steuern, wenn die Max! Software nicht auf einem PC im LAN läuft.

Apps (Android):
Max! Remote /Johannes Utzig - komfortable direkte Steuerung des Max! Cube im LAN/WLAN ohne Internetportal mit Soll- und Ist-Temperatur. Hinweis: So lange die Max Cube Software läuft, akzeptiert der Cube keine weiteren Verbindungen. Software vorher beenden. (Kann komplett beendet werden.)

Produktlinien:

- ELV / eQ-3 Low-Cost: Max!
- bessere Linie mit vielen Sensoren, Aktoren usw: Homematic
- RWE Smart Home ist vom gleichen Anbieter.
Alle 3 Serien sind nicht zueinander kompatibel! (nur über FHEM o.ä.)
- Digitalstrom - simple Installation, hohe Flexibilität. Teuer.
- Homee, deutsches Startup - benutzerfreundlich und flexibel
- Apple Homematic - gut, teuer, Schnittstellen und Peripherie muß verschlüsseln und von Apple zertifiziert werden.
- Google (NEST) ...

Links:
http://www.techwriter.de/thema/hausauto.htm - privat, techn. Infos zu Homematic

Nutzungsideen:

- Zirkulationspumpe nur ein schalten, wenn jemand im Haus ist. (Bewegungs-/Türsensor, Schaltsteckdose)

Anleitung Thermostat (nicht Basic): Auf Ventile vom Typ RAV ist vor der Montage die Stößelverlängerung (F) auf den Ventilstift aufzusetzen. (ich habe RA!?)

MEQ1333544 Thermostat Globus
(Küche = zu heiss)
(26.1. zu Paul. Reset.)

MEQ1446190 Thermostat Globus
(Ben = zu heiss)
(26.1. zu Paul. 7.4.: Raum zu heiss, Thermostat schliesst nicht. M3 Mutter unter gelegt.)

MEQ1447098 Thermostat ELV
(Paul= OK. Manchmal keine Temp.Rückmeldung)
(26.1. zu Ben. Reset. 28.1.: Raum zu heiss, Thermostat schliesst nicht. 1.3.: M3 Mutter unter gelegt.)
(6/2016: Fehler F3 (Stellbereich zu klein) mehrfach.)

Gästezimmer neu: IEQ0186493
KiZi Paul: MEQ1331216
 

• RESET mit Batterie raus/rein bei allen 3 Tasten gleichzeitig (!) ist ein Fingerbrecher
• ANLERNEN: BOOST länger als 3 sek. drücken, dann hat man 30sek. Zeit

ioBroker:
Max! Cobe Adapter funktioniert gut!

FHEM:
define SCHIEBEN MAXLAN 192.168.24.220 ondemand

Variablenspeicher (VM)
Übergabeschnittstelle für andere Komponenten

• Parameter: Adressen 0 - 850  (frei nutzbar)
• System: Adressen 984 - 1002  (Read Only)
• Ein-/Ausgänge Adressen 1024 - 1469

Webeditor

Übergabe-Variablen
• SoftComfort unter Extras -> Parameter-VM-Zuordnung definieren.
 SoftComfort: Block - Parameter - Typ (Word) - Adresse (2)
• LWE: Tagtabelle anlegen, dann kann die Variable über den sprechenden Variablennamen gewählt werden.
 LWE: Variablentyp (VW) - Block Nummer (2)

I1 - I24 (Eingang, schreibgeschützt)
Q1 - Q20 (Ausgang)
V - Bit  (0.0 ... 850.7)
VB - Byte  (0 ... 850)  (1 Byte)
VW - Word  (0 ... 849)  (2 Byte)
VD - DWord  (0 ... 847)  (4 Byte)
Merker müssen nicht als Übergabevariablen definiert werden.
M1 - M64 (Merker)
AM1 - AM64 (Analog Merker)

Variablen Blockformat "Signed" - nur positive Werte, für Minus-Temperaturen: "Unsigned".
Änderungen bei Variablen: Webseite Cache löschen!

Meldetexte -> Meldeziel: Webserver anhaken, dann wird das Display im Standard Webserver angezeigt.

Eigene Bilder hinzufügen: LWE als Admin starten, Bild(er) in "My Graph" hochladen (liegt nicht in Klartext af der HD).

Netzwerkprojekt
- Firmware aktualisieren
- S7-Zugriff aktivieren
- Projekte in Netzwerk-Fenster schieben -> Netzwerkprojekt
- Arbeitsfläche teilen, Projekte li + re anordnen
- Verbindungen von einem Fenster in das andere ziehen -> erstellt Netzwerkeingang und -ausgang

Cursor-Tasten
- Bedienen mit [ESC] + [Cursortaste]
- geht nur bei aktivem Meldetext

Meldetext
Zeichensatz 1/2 schaltet zwischen zwei verschiedenen Meldetexten um.
 Merker M27 schaltet die Zeichensätze um.
Priorität der Meldetexte bestimmt, welcher Meldetext welchen übersteuert.
Ticker können zeichenweise oder seitenweise "laufen".
 Dazu schreibt man den Text rechts weiter und aktiviert die Zeile im Ticker.
 Die Geschwindigkeit kann zentral eingestellt werden.

UDF - User Defined Function
- UDF konfigurieren: Ordner hinzu fügen
- keine Ein- und Ausgänge (absolute Zuweisung) in UDF
- UDF-Eigenschaften: Namen für Ein- und Ausgänge festlegen
- UDF-Eigenschaften: Parameter der Bausteine können aus der UDF geführt werden
- UDF-Eigenschaften: Anmerkung wird bei Einfügen der UDF angezeigt
- UDF bearbeiten geht nur in der Bibliothek
- UDF mit Ausrufezeichen wurde verändert -> aktualisieren

Versionen
6ED1052-XXXXX-0BA8 FS1-FS03 = Hardwardtype 0BA8.Standard (LOGO!8.0).
6ED1052-XXXXX-0BA8 FS4-FS06 = Hardwardtype LOGO!8.FS4 (LOGO!8.1).
6ED1052-XXX08-0BA0 FS1-FS02 = Hardwardtype LOGO!8.FS4 (LOGO!8.2) (FW: 1.82.04)
6ED1052-XXX08-0BA1 = Hardwardtype LOGO!8. (LOGO!8.3) (FW: 1.83.01)

logo!-soft-comfort-upgrade-v8.4 (12/2023)

Admin - Passwort kann im Solarweb Portal unter Einstellungen -> Komponenten -> Datenquellen -> Aktionen -> „PIN/Customer Passwort zurücksetzen“ neu gesetzt werden.

Service - Passwort kann nur über Fronius Partner zurück gesetzt werden.

Shelly Geräte sind preiswert und vielseitig.

Erstinstallation:

• Shelly (neues oder restettetes Gerät) baut eigenes WLAN auf
• im Shelly-WLAN anmelden, per Browser Gerät einrichten

Man kann per Shelly Skin (bulg.Cloud) mit Alexa (US-Cloud) viele Shelly-Aktoren steuern.
Umgekehrt (als Sensor über die Cloud) ist es leider stark eingeschränkt.
Man kann mit Shelly max. 3 Aktionen bei Alexa auslösen.

Stand 08/2022 unterstützt Shelly maximal 3(!) "Notifications" mit einem Alexa-Konto.
Hat man beispielsweise den Shelly Plus i4, so kann man mit diesem 4-fach Schalter nur eine Aktion "Schalter1-AN" und eine Aktion "Schalter1-Aus" per Shelly-Cloud an Alexa konfigurieren, insgesamt also 1,5 von 4 Schaltern.
Im Taster-Mode könnte man wenigstens noch 3 Tasten nutzen, wenn man auf die erweiterten Funktionen wie langer Druck oder Doppeldruck verzichtet.
Die Einschränkung betrifft den gesamten Shelly-Account, nicht ein einzelnes Gerät.

Shelly funktioniert mit der original Firmware auch lokal mit ioBroker (Shelly Adapter).
Damit entfallen die Cloud-Restriktionen von oben.

Anders lösen das die geflashten Geräte mit Tasmota-Firmware.
Sie werden ohne Skill direkt von Alexa gefunden und reagieren schneller und sicherer.
Die Verbindung als Sensoren zu Alexa konnte ich hier bisher nicht lösen.

• Shelly COAP Protokoll: https://github.com/iobroker-community-adapters/ioBroker.shelly/blob/master/docs/de/protocol-coap.md
• Shelley MQTT-Protokoll: https://github.com/iobroker-community-adapters/ioBroker.shelly/blob/master/docs/de/protocol-mqtt.md

Sonoff-Geräte lassen sich mit Tasmota-Firmware direkt ohne (chinesische) Sonoff-Cloud nutzen.
Als WLAN-Schalter (Sensor und Aktor) lassen sie sich direkt betreiben oder mit MQTT Hausautomatisation verbinden.
Auch die Kopplung mit Alexa als Aktor funktioniert simpel ohne Skill (Alexa, schalte Sonoff:Lampe-1 an...).
Zur Steuerung über Alexa oder Google Home einfach unter Configuration -> Configure Other -> Emulation: "Hue Bridge multi device" anhaken.
Kopplung mit ioBroker über MQTT.
Neuerdings auch für Zigbee.

Tasmota Smart Switch einrichten:

• min. 230V an die Schraubklemmen L und N anschliessen
• die offizielle Sonoff eWeLink-App funktioniert mit Tasmota nicht!
• Taster am Sonoff Schalter 4 mal kurz drücken (startet den internen WLAN Access Point)
• WLAN fähiges Endgerät mit Internetbrowser mit dem Access Point des Sonoff Gerätes verbinden (SSID "Sonoff-xxxx")
• Browser IP Adresse "192.168.4.1" aufrufen öffnet die Konfigurationsoberfläche des Sonoff Schalters
• WLAN-Netzwerk suchen und auswählen
• Im Feld "Hostname" kann ein Name für den WLAN Client eingegeben werden (hilft diesen Client im (W)LAN zu finden)
• Sonstige Konfiguration: Passwort setzen! (User= admin)
• wenn keine Hausautomatisierungs-Software genutzt wird, MQTT deaktivieren! (schneller)
• einfache Alexa-Kopplung mit WeMo und Hue-Emulation (testen: Belkin WeMo)
• "Speichern" speichert die Einstellungen und startet das Sonoff Gerät mit den gespeicherten Einstellungen neu

Tasmota ZigBee Smart Hub eWeLink ZB-GW03-V1.2 einrichten:

• Stromversorgung über USB-C
• ESP32 CPU 240 MHz
• WiFi 802.11 b/g/n 2,4 GHz
• ZigBee 802.15.4 (3.0), max. 120 Devices
• Ethernet 10/100 Mb/s Wired Gateway
• Gerät im LAN / WLAN suchen
• Browser IP "192.168.4.1" aufrufen öffnet die Konfigurationsoberfläche
• WLAN konfigurieren
• Hostname konfigurieren
• Sonstige Konfiguration: Passwort setzen! (User= admin)
• MQTT aktivieren, MQTT User+PW, Host= IOBroker-IP
• IoBroker: Zigbee2MQTT-Instanz einrichten (... in Arbeit ...)
• tcp://tasmota-gateway-C25584-5508.local:80  (tasmota-gateway-c25584-5508-eth.intern)
• Tasmota 12.5.0, Zigbee: EZSP v6.7.9.0

Sonoff mit Tasmota:

• Geräte reagieren schneller
• einfache Weboberfläche zum konfigurieren, Firmwareupdate, Statusanzeige
• arbeiten nicht mit Amazon S3 Cloud
• arbeitet nicht mit Sonoff-Cloud
• folglich höherer Durchsatz und sicherer
• MQTT-Standardprotokoll implementiert, kompatibel zu zahlreichen Hausautomatisierungssystemen, lokal (ioBroker, openHAB, FHEM, NodeRed, Home Assistant, Domoticz)
• kompatibel zu Amazon Alexa ohne extra Skill
• auch Tuya Geräte können Tasmota
• SONOFF DUAL R3 kann mit Tasmota schalten UND Leistung messen (nicht ODER)

Quellen und Links:

• Tasmota Download und Befehlsübersicht: GitHub-arendst/Tasmota: Alternative firmware for ESP8266 with easy configuration using webUI, OTA updates, automation using timers or rules, expandability and entirely local control over MQTT, HTTP, Serial or KNX.
• Sonoff Tasmota Anleitung und Schaltbefehle: https://www.netzwolf-media.de/smart-home/tasmota-anleitung/
• Sonoff Tasmota Anleitung, Vor- und Nachteile: https://creationx.shop/ratgeber/sonoff/tasmota
• Tasmota - feste IP und Parameter programmieren ESP8266, Tasmota und PushButton für ioBroker – smarthome-tricks.de
• Tips, u.a. Sonoff-Geräte per WLAN auf Tasmota flashen: https://www.nightprogrammer.org/reviews/sonoff-tasmota-firmware-alexa-einbinden/

Dimstal / Midea Split Klimagerät
mit WLAN-Stick Nethome Plus EU-OSK103

• Klimagerät in AP-Mode versetzen
• Gerät in Nethome Plus App einbinden
• Nethome Plus App mit Amazon Alexa, Google Home oder IFTTT verbinden
• Alexa App: neues Gerät hinzu fügen (Klimagerät wird erkannt)
• Alexa App: neue Szene erstellen, Ereignis (Bsp: Solarstrom) Aktion: Schalte (Klima-Splitgerät) ein/aus/Mode/Temperatur...

• Solar-Eigenverbrauch (kWh) = Solarerzeugung - Solarverkauf
• Eigenverbrauchsquote (%) = Solar-Eigenverbrauch / Solarerzeugung * 100
• Autarkiequote (%) = Solar-Eigenverbrauch / Gesamt Hausverbrauch * 100

Tuya-Geräte sind ESP8266MOD WiFi/Zigbee- Smart-Geräte von Shenzhen Xenon.
WLAN geht nur im 2.4 GHz Netz, Zigbee ist aktuelle Version 3.0.
RESET-Taste auf der Geräteunterseite.

Der Tuya-Adapter in ioBroker arbeitet nicht lokal mit batteriebetriebenen Geräten.
https://www.npmjs.com/package/iobroker.tuya
Diese Geräte gehen nur mit Tuya IoT Platform MQTT.

Tuya-Adapter einrichten über SmartLife Cloud funktioniert. (Reset -> rote LED blinkt -> App Gerät hinzu fügen über WLAN)
(Einrichtung über Tuya-App funktioniert auch, aber es kommen keine Geräte im ioBroker.)
Steuerung mit SmartLive App ist besser, arbeitet mit Alexa oder Google Assist und ioBroker.

ioBroker: Tuya-Adapter über Smartlife-Cloud, Adapter neu starten liest neue Geräte ein)
SmartLife App kompatible Geräte: https://smart-leuchten.de/smart-life-app-kompatible-geraete/

Tuya Zigbee-Geräte funktionieren weitgehend auch über Phoscon USB-Stick cloudfrei.
Mit WLAN-Geräten geht der USB-Stick systembedingt nicht.

Geräte:

• Zigbee-Gateway
  - Tuya Wired Gateway (DMD2CC): Gateway-IP ist sofort sichtbar, hat aber kein Webserver
  - Einbindung über SmartLife App geht problemlos
  - alle Geräte werden in Smartlife direkt und als Untergerät des Gateways angezeigt
  - als Gateway-Untergerät erscheinen Historiekurven und Programmierpläne
• Tuya-Thermometer - WiFi Geräte haben Batterielaufzeiten von < 1 Jahr! Zigbee ist deutlich überlegen.
• Tuya-Heizkörperthermostat
  - komfortabler Wochenplan über das Gateway
  - im Unterschied zu anderen Thermostaten werden die Ist-Werte lückenlos an Smarthome übertragen
• Gosund Steckdosen
• Zigbee Rauchmelder

siehe auch:

• Zigbee Matter Gateway Phoscon ConBee: https://uwe-kernchen.de/phpmyfaq/index.php?solution_id=1444

• mit eigenem OS-Unterbau "Home Assistent OS" (sehr robust, Docker containerbasierend), auch als VM oder Docker für alle gängigen OS  (https://www.home-assistant.io/installation/)
• Produktsprache englisch, Open Source
• Konfiguration teilweise nur mit YAML und Config-Files
• aktuell größte Geräteunterstützung
• mit extra Energie-Dashboard

Tips:

• feste IP konfigurieren (Aufruf: IP-Adresse:8123)
• Profil: "Erweiteren Modus" aktivieren
• Backup einrichten (Einstellungen -> System -> Backups)
• HA Core neu starten: Entwicklerwerkzeuge: Konfiguration erst prüfen, erst dann neu starten
• HA gesamten Host neu starten: Einstellungen -> System -> Hardware -> re.oben System neu starten

Grundlagen:

• Dashboards per Default automatisch, besser manuell (es werden dann keine neuen Entitäten mehr automatisch hinzu gefügt)
• Karten - Entitäten des Dashboards
• Bereiche - Räume
• Gerät - phys. Gerät, können mehrere Entitäten haben, kann durch mehrere Integrationen erkannt werden
• Entität - ein Datenpunkt oder Dienst eines Gerätes, kann ggf. mehrere Attribute enthalten
• Integrationen - offizell und HACS (Community)
• Entwicklerwerkzeuge / Zustände - zeigt alle Entitäten + mögliche Zustände (mit Suche eingrenzen)
• Automatisierung (Einstellungen -> Automatisierungen) - manuell oder per Vorlage

Add-Ons:

• SSH & Web Terminal (in Seitenleiste anzeigen) - Fernzugriff auf hass.io im Fehlerfall (-> SSH-Passwort muss konfiguriert werden!)
• Samba Share - Freigabe von Backup und Konfig
• File Editor (in Seitenleiste anzeigen) - zum Bearbeiten u.a. der YAML-Dateien
• ESP Home - managed alle ESP8266/ESP32 devices
• Zigbee2MQTT - Homekit Integration

Integration:

• OpenWheatherMap (free account)

Quellen:

• Homeassist Übersicht und Vergleich: https://nachbelichtet.com/ist-home-assistant-die-beste-smarthome-software/

Kalender synchronisieren

* Thunderbird 115 (09/2023)
  - Add On "Provider for Google Calendar"
https://support.mozilla.org/de/kb/mit-lightning-auf-google-kalender-zugreifen

* Thunderbird vor 115:
Google Sync Einstellungen: https://calendar.google.com/calendar/syncselect

• neuer Kalender - Netzwerk - CalDav wählen
• URL= https://www.google.com/calendar/dav/<Kalender-ID>/events
• URL NEU: https://apidata.googleusercontent.com/caldav/v2/<calid>/events
• Kalender-ID (alt) steht auf der Eigenschaftsseite des Kalenders unter "Einstellungen und Freigabe", neben den Xml, Ical, Html-Links.
  Für den Hauptkalender ist die Kalendar-ID die Email-Adresse, für alle anderen Kalender ist es <kryptische-Zeichenfolge>@group.calendar.google.com.
• Cal-ID (neu) steht in der Adresszeile (URL) in den Kalender-Einstellungen
• Öffentliche Adresse im iCAL-Format (Kalender / Einstellungen) geht (mit Einschränkungen) auch
• Link: https://calendar.google.com/calendar/ical/<Mailadresse>/public/basic.ics
• alle gewünschten Kalender auswählen

Adressbuch synchronisieren

• neues CardDAV Adressbuch wählen
• URL: https://www.googleapis.com/carddav/v1/principals/<Mailadresse>/lists/default/
• Anmeldung bestätigen

Es werden keine Add-Ons mehr benötigt.

Quellen und Links:

• Kalender besser über CalDAV (2023): Google-Kalender in Thunderbird | heise online
• https://ekiwi-blog.de/25847/google-kalender-und-kontakte-mit-thunderbird-synchronisieren-ohne-addons/

Thunderbird: Extras/Einstellungen/Erweitert/Konfig. bearbeiten

* mail.compose.wrap_to_window_width = true -> Zitat-Text ohne Umbrüche wird beim Antworten am rechten Fensterrand umgebrochen.
* mailnews.use_received_date = true -> Sortierkriterium ist das Empfangs-, nicht das Sendedatum.
* mailnews.reply_header_type = 3 -> formatiert Zitatantwort
* mailnews.reply_header_ondate = "am: %s" -> formatiert Zitatantwort
* in prefs.js hinzufügen: user_pref("mailnews.localizedRe", "AW,Aw,Antwort,FW,Fw");

HTML-Mail Quelltext bearbeiten: [Strg]+[U]

Add-ons
- Quicktext - Textbausteine
- ThunderHTMLedit
- Provider für CalDAV & CardDAV + TbSync
- (Provider für Google Kalender / gContactSync)
- (MailMindr - Wiedervorlage)

- Azure AD-Synchronisation ist ungeeignet, wenn man keinen lokalen Exchange-Server betreibt!
  Konten und Eigenschaften können nur lokal bearbeitet werden und es existieren keine Tools zur Bearbeitung.
  Für kleinere Installationen ist es günstiger, die User separat in der Cloud zu pflegen.

- Mailstore sichert auch Exchange Online (Server: Outlook.office365.com, Home-Version max. 2 Postfächer).

- Profilordner komplett auf neuen Standort kopieren.
Der Profilordner speichert alle Informationen über Ihre E-Mails, einschließlich der lokal gespeicherten Nachrichten und Anhänge, Adressbücher, Konten-Einstellungen, Thunderbird-Einstellungen, gespeicherten Passwörter, Aufgaben, Kalenderdaten, Zertifikate und Daten der Funktionen von Add-ons.
Ordner-Laufwerk im Netzwerk o.ä. ist möglich.

- Thunderbird mit "thunderbird.exe -p" im Profilmanager öffnen.

• Neues Profil erstellen, Ordner auswählen, fertig.

• MUA: um Mails geordnet zu lesen, braucht man den Mail User Agent (MUA) (Konsole: mutt, GUI: Thunderbird)
  
  
• MDA: Mail Delivery Agent (MDA) /CLI zum Versenden ist meist "mail", Name: "/usr/bin/mail" -> Symlink auf "/usr/bin/bsd-mailx"
• komfortabler MDA für POP/IMAP ist "procmail"
  
  
• MTA: Mail Transport Agent (MTA) nimmt Empfangsaufträge entgegen und versendet die Sendeaufträge
  Klassiker: sendmail, heute: posix, exim (die Großen) oder msmtp (per Script oder Terminal)
  Name: "/usr/sbin/sendmail" -> Symlink auf "/usr/sbin/exim4"
• Mailempfang mit MTA erfolgt im Verzeichnis "/var/spool/mail" -> Symlink auf "/var/mail"
• In einer Standard-Installation in "/var/mail" Verzeichnisse für die Nutzer angelegt, die Mails empfangen dürfen.
  ("/etc/aliases")
• falls man Systemmails der daemons (bzw. crons) lokal als user "meinuser" lesen will, benötigt man den Eintrag
  "root: meinuser" in /etc/aliases
  (falls Du ihn hinzufügst nachher noch das Programm "newaliases" ausführen) und mutt als "meinuser" aufrufen.

msmtp

• zum Senden über Internet muss in der Conf ein Relayhost eingetragen werden (Mailserver, Anmeldename, Passwort)
• Sendmail compatible interface (command line options and exit codes)
• Support for multiple accounts
• TLS/SSL support including client certificates
• To use msmtp with your mail user agent (MUA), create a configuration file with your mail account(s) and tell your MUA to call msmtp instead of /usr/sbin/sendmail
• Systemkonf: /etc/mshome/user/mtprc
• Userkonf: /home/meinuser/.msmtprc
• Beispielkonfiguration: https://marlam.de/msmtp/msmtprc.txt
• Test:

• MUA: um Mails geordnet zu lesen, braucht man den Mail User Agent (MUA) (Konsole: mutt, GUI: Thunderbird)
  
  
• MDA: Mail Delivery Agent (MDA) /CLI zum Versenden ist meist "mail", Name: "/usr/bin/mail" -> Symlink auf "/usr/bin/bsd-mailx"
• komfortabler MDA für POP/IMAP ist "procmail"
  
  
• MTA: Mail Transport Agent (MTA) nimmt Empfangsaufträge entgegen und versendet die Sendeaufträge
  Klassiker: sendmail, heute: posix, exim (die Großen) oder msmtp (per Script oder Terminal)
  Name: "/usr/sbin/sendmail" -> Symlink auf "/usr/sbin/exim4"
• Mailempfang mit MTA erfolgt im Verzeichnis "/var/spool/mail" -> Symlink auf "/var/mail"
• In einer Standard-Installation in "/var/mail" Verzeichnisse für die Nutzer angelegt, die Mails empfangen dürfen.
  ("/etc/aliases")
• falls man Systemmails der daemons (bzw. crons) lokal als user "meinuser" lesen will, benötigt man den Eintrag
  "root: meinuser" in /etc/aliases
  (falls Du ihn hinzufügst nachher noch das Programm "newaliases" ausführen) und mutt als "meinuser" aufrufen.

msmtp

• zum Senden über Internet muss in der Conf ein Relayhost eingetragen werden (Mailserver, Anmeldename, Passwort)
• Sendmail compatible interface (command line options and exit codes)
• Support for multiple accounts
• TLS/SSL support including client certificates
• MSMTP installieren: Linux: Einfach E-Mails versenden mit msmtp » DecaTec
• Systemkonf: sudo nano /etc/msmtprc
• Userkonf: nano ~/.msmtprc
• Beispielkonfiguration: https://marlam.de/msmtp/msmtprc.txt
  + tls_certcheck off
• Test: msmtp --serverinfo --host=mail.arcor.com --tls=on --tls-certcheck=off  (Host muss vorher konfiguriert werden!)
• Sendetest: printf "Subject: MySubject\r\n\r\nTestmail." | msmtp --tls-certcheck=off -a default emailadresse@domain.de
• MTA für Sendmail zuweisen:
  nano /etc/mail.rc
  set sendmail = "/usr/bin/msmtp -t --tls-certcheck=off"
  set sendmail = "/usr/bin/msmtp"
• Aliase zuweisen: nano /etc/aliases
  root: email@domain.de
  meinuser: email@domain.de
  default: email@domain.de
• Test mit MAIL: echo "Inhalt der E-Mail" | mail -s "Betreff" test@mail.de

E-Mail / Groupware -Server

• MDaemon (MDaemon)
  OS: Windows
  - POP, IMAP, ActiveSync, Outlook Connector
  - Kooperation mit eM Client (rabattierte Clients)
• Kerio Connect (GFI)
  OS: alle Plattformen
  - POP, IMAP, ActiveSync, Outlook Connector
  (kein offizielles Forum mehr?)
• Grommino Groupware + Dateisynchronisation, Chats und Videokonferenzen (OpenSource)
  OS: Linux
  - Outlook verbindet native ohne Plugin, Active Sync (EAS), Exchange Web Services (EWS) und die anderen Protokolle wie IMAP, POP, CardDAV, CalDAV
  - unterstützt RPC-over-HTTP Protokoll als auch das neuere Outlook-Standardprotokoll MAPI-over-HTTP
  - Funktionen, die Microsofts API oder Protokolle nicht unterstützen, werden über separate Apps bereitgestellt, zum Beispiel Video- und Audiotelefonie (Jitsi), ein Chat-System (Mattermost) und ein Sync-Tool für den Dateiaustausch (Owncloud)
  - umfasst auch eine grundlegende Verwaltung mobiler Geräte, was dem Administrator des Servers ermöglicht, verbundene Geräte aus der Ferne zu löschen
• OpenDesk
  Office- und Kollaborations Suite für die öffentliche Verwaltung
• Icewarp (Tschechien)
  Office- und Kollaborations Suite, incl. emClient Lizenz
• Open-Xchange (DE)
• Tobit David (Server + eigener Client)
  OS: Windows

E-Mail Client

• Mozilla Thunderbird (OpenSource)
  OS: Windows, Linux
  - native Exchange Anbindung im Beta-Status
• eM Client
  OS: Windows, Mac
  - Exchange, IMAP, Client für mehrere Mailboxen, CalDAV, CardDAV, PGP und S/MIME, RSS-Feeds
  - kann kein Active Sync
  - etwas zäh
• essentialPIM (Estland)
• Mobil: K-9, aCalender, Nine

- Windows 10 von Installations-CD booten.

- "Computerreparaturoptionen" -> "Problembehandlung" -> "Erweiterte Optionen" -> "Eingabeaufforderung" öffnet CMD-Box.

- Laufwerk der Windows-Installation suchen.

- nach \Windows\System32\ hangeln.

  ("Erleichterte Bedienung" im Anmeldebildschirm steckt hier in "Utilman.exe")

- "RENAME utilman.exe" und "COPY cmd.exe utilman.exe" ersetzt utilman.exe mit cmd.exe.

- Live-Windows neu starten.

- Klick auf "Erleichterte Bedienung" im Anmeldebildschirm öffnet jetzt CMD-Box als "nt-autorität\system" !

- "net user [Username] [Passwort]" weist dem User ein neues Passwort zu.

...fertig!

Das ist kein besonderes Sicherheitsleck und nur ein Weg von vielen.
Wer lokal vor einem unverschlüsselten Windows-PC sitzt, kommt auch hinein bzw. an die Daten.
-> HD verschlüsseln!

getestet bis Win10 v1903

Windows 11:
-> Bloatynosy

Windows 10:
• Run:

C:\Windows\SysWOW64\OneDriveSetup.exe /uninstall (64 bit) or
C:\Windows\System32\OneDriveSetup.exe /uninstall (32 bit)

• OneDrive-Symbol in Windows 10 aus dem Explorer zu entfernen: Regedit: HKEY_CLASSES_ROOT\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6} System.IsPinnedToNameSpaceTree von 1 auf 0 setzen.

Auf 64-bit Windows zusätzlich Vorgang wiederholen: HKEY_CLASSES_ROOT\WOW6432Node\CLSID\{018D5C66-4533-4307-9B53-224DE2ED1FE6}

• Gruppenrichtlinie: Computerkonfiguration, Administrative Vorlagen, Windows-Komponenten, OneDrive  Verwendung von OneDrive für die Datenspeicherung verhindern = aktiviert.

Mehr dazu bei Microsoft.

• beim Booten: Strg-F8 wie üblich. Meist ist der PC aber zu schnell.

• beim Login: STRG-ALT-ENT drücken, bei gedrückter SHIFT-Taste Neustart anklicken.

• aus Windows heraus: bei gedrückter SHIFT-Taste Neustart anklicken.

• mit MSCONFIG: Reiter Start(Boot) anklicken, Haken bei "Abgesichert" und "Netzwerk" setzen. (hinterher wieder zurück setzen!)

• per Script: shutdown.exe /r /o /f /t 00

• von Boot-CD/USB: im Fenster "Jetzt installieren" auf "Computerreparatur klicken.

Cortana heißt die Windows 10 Spracheingabe und Suchassistent. Cortana arbeitet zwingend mit Bing und Edge zusammen und hätte am liebsten die Anmeldung über ein MS-Konto.

- in Built 1803 schaltet Cortana wie unten ab, aber trotz Anpassung von 1709 (GPO oder Registry) werden Suchbegriffe an Bing übertragen.
Abhilfe Registry: Computer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Search\
- DWORD(32) Wert: Bing-SearchEnabled = 0
- DWORD(32) Wert: CortanaConsent = 0

- Cortana sucht nur noch lokal: Reg-Key (getestet mit Built 1703-1709):
für aktuellen User: Computer\HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\Windows Search  DWORD32: AllowCortana = 0
Systemweit: Computer\HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Windows Search  DWORD32: AllowCortana = 0
Nun ist Cortana weg und läßt sich auch nicht mehr einblenden, und die Suche geht nicht mehr ins WEB.