Veeam Repository Firewall Regeln

Veröffentlicht am von Keine Kommentare ↓

Um einen Veeam-Repository-Server mit der Veeam Infrastruktur zu verbinden, braucht man ein paar Firewall-Regeln. Die sind zum Glück auch hier ganz gut dokumentiert.

Um mir die Arbeit jedesmal aufs neue zu ersparen 🫡 hier eine schnelle Copypasty für die notwendigen Ports.

Repository-Services, Datamover und NFS-Server:

netsh advfirewall firewall add rule name="VEEAM Repository" dir=in action=allow protocol=tcp localport=2500-3300
netsh advfirewall firewall add rule name="VEEAM Datamover" dir=in action=allow protocol=tcp localport=6162
netsh advfirewall firewall add rule name="VEEAM vPower NFS" dir=in action=allow protocol=tcp localport=6161
netsh advfirewall firewall add rule name="VEEAM Backup Proxy" dir=in action=allow protocol=tcp localport=6160

# Nur wenn Veeam-Agenten auf das Repository sollen
netsh advfirewall firewall add rule name="VEEAM Backup Repository-Agents" dir=in action=allow protocol=tcp localport=10001

Daz braucht man dann nur noch 139/445 für das Deployment und Updates (für ein deutsches Windows 2019/2022). Dazu enablen wir einfach die „default“ Regeln und bauen keine zusätzlichen:

netsh advfirewall firewall set rule name="COM+-Netzwerkzugriff (DCOM-In)" new enable=yes
netsh advfirewall firewall set rule name="Datei- und Druckerfreigabe (SMB eingehend)" new enable=yes

RRAS weniger DHCP-Leases für VPN-Clients verbrauchen

Veröffentlicht am von Keine Kommentare ↓

Problem:

In einem Netz ist ein Windows Routing- und RAS-Server (RRAS) für den VPN-Zugriff konfiguriert, welcher für die IP-Adressvergabe an VPN-Clients den DHCP-Server im Netz nutzt.

Standardmäßig werden beim Start des RRAS-Dienstes dafür 10 Adressen im DHCP „reserviert“.

In kleineren Umgebungen sind das eventuell bereits zu viele und der DHCP-Bereich wird mit unnötigen Leases belastet.

Lösung:

Der RRAS holt sich DHCP-Adressen in Blöcken der „AddressPoolSize“ – Standardmäßig 10. Diese Blockgröße lässt sich mittels folgendem Registry-Eintrag auf dem RRAS-Server einfach Konfigurieren:

Pfad: HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip
Wertname: InitialAddressPoolSize (REG_DWORD)

Danach muss der Routing und RAS Dienst („RemoteAccess“) einmal neu gestartet und bereits vorhandene Leases bei bedarf manuell aus dem DHCP entfernt werden.

Die Größe der Adress-Blöcke lässt sich somit beliebig verkleinern (oder vergrößern).

Windows Server (alle Versionen) NTP-Server via W32Time konfigurieren

Veröffentlicht am von Keine Kommentare ↓

Dieser Artikel funktioniert auch weiterhin – unter Windows Server 2003 bis zu Windows Server 2022. Und bis heute hat Microsoft kein GUI dazu …

Der Windows Zeitdienst (W32Time) kann so einiges. Natürlich sind die sinnvollen und zentral wichtigen Konfigurationsoptionen dazu nicht in einem hübschen Aufgabenorientierten GUI zusammengefasst, sondern gut an der Kommandozeile versteckt. So lässt sich schnell via Batch der NTP (auch der NTP auf Domänencontrollern) prüfen.

Prinzipiell ist der PDC-Emulator immer die erste und fundamentalste Zeitquelle. An dem PDC-Emulator jeder Domain synchronisieren sich die Domänenmitglieder. Damit das klappt, muss dieser „autorisierend“ sein und konsequenterweise auch eine korrekt gehende Uhr haben. Bei einem Zeitunterschied von mehr als fünf Minuten zwischen Server und Client war es das sonst mit der (Kerberos-) Windows-Anmeldung.

PDC-Emulator finden (auf einem DC ausführen)

Mit dieser Abkürzung findet man „seinen“ PDC Zeitserver

ntdsutil roles connections "connect to server SERENITY" q "select operation target" "list roles for connected server" q q q |find/I "PDC"

Windows Zeitserver konfigurieren (auf dem PDC-Emulator ausführen)

net stop w32time
w32tm /config /syncfromflags:manual /manualpeerlist:"0.de.pool.ntp.org 1.de.pool.ntp.org 2.de.pool.ntp.org 3.de.pool.ntp.org"
w32tm /config /reliable:yes
net start w32time

Mehrere Peers werden in der Liste durch Leerzeichen getrennt, die Peerliste wird von Anführungszeichen umfasst. Ab Windows Server 2016 hat Microsoft das NTP-Verhalten angepasst um den RFC-Spezifikationen zu entsprechen und empfiehlt seitdem bei zwei Peers einen davon mit dem Flag 0x2 wie folgt niedriger zu priorisieren – oder alternativ mehr Peers zu verwenden (siehe oben).

w32tm /config /syncfromflags:manual /manualpeerlist:"de.pool.ntp.org pool.ntp.org,0x2"

Der Server muss logischerweise dafür auch NTP(UDP) mit dem Internet sprechen dürfen, sonst hagelt es W32TM-Fehler im Ereignisprotokoll. Die Synchronisation kann man schnell testen mit:
w32tm /query /status
Und nochmal die Synchronisation vom NTP anstoßen:
w32tm /resync

Testen

Der NTP (und dessen Uhrzeit) lässt sich relativ einfach an der Kommandozeile testen. Mehr dazu im Artikel Testen von NTP

Office 365 gemeinsamer Kalender („Shared Mailbox“) wird in Outlook doppelt angezeigt

Veröffentlicht am von 3 Kommentare ↓

Wenn im Outlook 365 unter „Freigegebene Kalender“ Kalender doppelt angezeigt werden, oder ein Kalender an zwei Orten gleichzeitig (zum Beispiel „Meine Kalender“ und nochmal als „Freigegebener Kalender“) auftaucht, liegt das warscheinlich an einem Refresh-Effekt im Cache Mode von Outlook.

Das Problem gibt es erst seit Office 2010 („Microsoft has confirmed this to be a Problem“), das wird sicher ganz bald gepatcht 🤦‍♂️

Lösung

Die doppelten Einträge passieren, wenn ein Benutzer Vollzugriff auf ein anderes Postfach hat.

Das Postfach wird -normalerweise- via Automount am Client eingebunden. Weil das gerne mal einen Moment dauert, wird das Postfach oft in Outlook manuell hinzugefügt oder via „Ordner eines anderen Benutzer öffnen“ angezeigt. Mit der darauf folgenden Synchronisierung des Adressbuches erscheint der doppelte Eintrag.

Ein Outlook-Start via

outlook /resetsharedFolders

behebt den Efekt sofort.