Windows Server NAT (RRAS) umgeht die Windows Firewall?

Veröffentlicht am von Keine Kommentare ↓

Ab und an betreibt noch jemand Windows Server mit der „Routing und RAS“ Rolle als Router mit NAT. Obwohl Microsoft’s Implementierung der IPv6 NAT grundsätzlich einige Limitierungen mitbringt, schätzen manche Admins die Stabilität und Zuverlässigkeit der integrierten Lösung.

Aus gegebenem Anlass sei hiermit darauf hingewiesen, dass die NAT-Implementierung unter Windows Server 2003-2025 (und vermutlich folgende) die Windows-Firewall vollständig ignoriert. Regeln auf der ein- wie ausgehenden gehenden Seite werden nicht angewendet, Pakete werden nicht abgelehnt.

Warum ist das so?

Ein Bekannter hatte wegen irritierender Effekte in einer solchen Kombination ein Ticket bei Microsoft geöffnet. Es kam diese offizielle Auskunft zurück:

This behavior is a known limitation in Windows Server NAT configurations. The NAT service, especially when configured via RRAS (Routing and Remote Access Service), can bypass Windows Firewall rules under certain conditions. This is because NAT operates at a lower level in the networking stack and may use legacy interfaces that do not fully integrate with the Windows Filtering Platform (WFP), which the firewall relies on.

Selbstverständlich ist das sonst nirgends dokumentiert und kommt auch in den „learn“ Artikeln zu RRAS, NAT und Windows-Firewall nicht vor.

Windows 11 nervige „Erinnerung“ zum Microsoft-Konto abschalten

Veröffentlicht am von Keine Kommentare ↓

Nach gefühlt jedem Update und bei jeder passenden und unpassenden Gelegenheit nervt Windows mit der „Erinnerung“ doch endlich ein Microsoft-Konto einzurichten und den Konzern über die Anmeldung am eigenen Gerät bestimmen zu lassen. Bekanntlich will das niemand und die ständige Nachfragerei ist schon fast ärgerlicher als Werbung auf Youtube.

Lösung: Abschalten der Hinweise und Erinnerungen

Glücklicherweise ist das Abschalten dieser Eigenarten schnell erledigt:

Einstellungen-App > System > Benachrichtigungen (oder ms-settings:notifications)
Unten die Kategorie „Zusätzliche Einstellungen“ erweitern, alle Kästchen deaktivieren.

Je nach Windows-Version (hier 24h2) gibt es mehr oder weniger Auswahlmöglichkeiten.

Mehr Details

Wenn Windows „Sie „in drei Tagen“ erneut fragen möchte, kann man das direkt in der Aufgabenplanung deaktivieren. In der Aufgabenplanungsbibliothek gibt es dann eine Aufgabe, die (aktuell) „PostponeDeviceSetupToast [..]“ heißt. Der Trigger dieser Aufgabe ist (überraschend) auf alle drei Tage eingestellt. Wenn man diese Aufgabe löscht, gibt es die Erinnerung auch nicht mehr.

ZPL Etikettendruck „Developer Station“

Veröffentlicht am von Keine Kommentare ↓

Diese Woche bei einem (großartigen) Kunden gesehen: Eine „redneck ZPL Dev Station“.

ZPL ist die native Sprache der „Zebra“ Etikettendrucker. Die Geräte sind gut, ZPL ist zum Ansteuern auch ganz okay. Das Ding kann (zum Beispiel) Barcodes oder QR-Codes direkt drucken, wenn man das Feld mit dem Wert nur korrekt auszeichnet. Man muss nichts mehr rastern, einfach ZPL als Plaintext an den LPD übergeben, fertig.

Leider gibt es keinen ZPL Viewer oder eine Vorschau von dem, was man da programmiert.

Lösung: Man stelle den Etikettendrucker in den Serverraum (weil der fiese Geräusche machen kann) und drucke einfach. Damit die Entwickler das Ergebnis betrachten können, stelle man einfach eine Webcam davor. Bonus: der Ergebnisstream ist Multiuserfähig. Unter den Etikettenstrom stelle man einen Papierkorb, fertig.

Alle Admins bei ugg.li sind stolz auf euch ♥️

Typo3 (Symfony) E-Mail Versand mit Exchange Online via Microsoft 365 Entra Application (OAuth2)

Veröffentlicht am von Keine Kommentare ↓

Wegen zahlreicher Nachfragen, hier ein Beitrag zur Einrichtung einer Microsoft 365 Entra Application für den E-Mail Versand via Symfony (XOAUTH2Authenticator-Klasse), also XOAuth2Authenticator. Also eigentlich ein „wie versendet man E-Mails auf Typo3 via Microsoft 365 [Exchange Online]“ wenn OAuth2 im Einsatz ist.

Viele Web-Agenturen haben leider offenbar immer noch nicht mitbekommen, dass eine SMTP-Authentication mit Username/Kennwort keine gute Idee ist und daher von praktisch allen großen Providern abgekündigt wurde. Dazu gehören T-Online, Google, Microsoft, web.de, GMX, Cleanmail und viele weitere. Zugegeben, OAuth2 ist nicht so einfach wie „Name und Kennwort“, aber Lichtjahre sicherer.

Typo3 nutzt Symphony für den Mailversand. Selbiges hat eine XAuth-Klasse, die auch OAuth2 unterstützt. Diese Anleitung soll die Einrichtung einer solchen „Registrierten Anwendung“ („App“) erleichtern.

Typo3 und Microsoft 365

  1. Öffnen von Microsoft Entra (https://entra.microsoft.com/), dann den Punkt „App-Registrierungen“ auswählen:

    2. Öffnen von „+ Neue Registrierung“. Hier nur den (Anzeige-)Namen eingeben und „Nur Konten in diesem Organisationsverzeichnis“ auswählen. Dann mit „Registrieren“ die App einrichten:

    3. Dann zur App ein „Secret“ (Geheimnis) hinzufügen. Das ist das Authentifizierungs-Token für den Symphony-Mailer. Dort einen „Neuen geheimen Clientschlüssel“ erstellen, idealerweise mit maximaler Laufzeit. Mit „Hinzufügen“ bestätigen.

    4. Das neu erstellte Secret am besten schnell an einen sicheren Ort kopieren. Wenn diese Seite geschlossen ist, gibt es keine Möglichkeit mehr, das Secret erneut anzuzeigen.

    5. API-Berechtigungen für den Mailversand hinzufügen. Benötigt werden die Berechtigungen:

    Mail.Send
User.Read
User.ReadBasicAll

    Das geht unter „API Permissions“ (API Berechtigungen) und „Hinzufügen“.

    Die Berechtigungen sind in „Microsoft Graph“ enthalten.

    Für diese BErechtigungen muss der „Administrator Consent“, also die „Administratoreinwilligung“ gesetzt sein.

    In Symphony wird diese Konfiguration nun übernommen, also einfach in die Config eingetragen oder ins GUI kopiert. Dieser Screenshot ist O. Krömer geklaut. Die Variablen sind perfekt benannt.