Äh, hab da zufällig 'rauf geklickt ...
https://www.heise.de/newsticke…-Zertifikaten-137817.html
Let's Encrypt überprüft ja auch nix, oder?
(DV eben)
Der Artikel ist aus 2005.
DV = Domain Validierung, z.B. ACME
Gab es damals aber noch nicht. Der Nachweis die Kontrolle über die Domain zu haben ist heute mit Let's encrypt deutlich solider umgesetzt
Die These, dass Du mit dem SSH-Zugriff in einer chroot-Umgebung landest hast Du ja schon Beitrag nebenan erhalten.
Hast Du das schon geprüft?
Würde man z.B. ein "cat /proc/1/mountinfo" ausführen. Wenn das nichts liefert würde ich auf chroot tippen.
Beide Antworten sind halb-richtig 
Spamassassin fügt jedenfalls wenn die Mail als SPAM getagged wird seinen Header hinzu.
Mails die den "Tag-Level" NICHT erreichen bleiben gänzlich ungetagged.
Es gibt also sehr wohl Mails mit Spamassassin-Header, die nicht als SPAM getagged sind.
Der Wert um das zu ändern lautet "$sa_tag_level_deflt", wenn man den auf -9999 stellt erhalten alle Mails jedenfalls einen Header, unabhängig vom Score.
Sorry to ask again: What is a "Windows License in my VMWare image"?
If you mean you configured a Product-Key (e.g. a MAK-Key): You have to reactivate it on the new VM, even if the UUID is identical. This is because of different Hardware (CPU Change triggers need for ReActivation).
I cannot see any advantage of configuring the same UUID in this Scenario. You would need to migrate the VM and keep the hardware-hash almost unchanged, but changing HyperVisor (VMWare to KVM) and CPU for sure triggers Reactivation.
QuoteSMBIOS UUID for Windows VM licensing
May I ask you, what you like to achieve?
You like to set a UUID of your choice - OK. But why? Don't you think netcup's generated UUIDs arent unique?
If you think your Windows-License is tied to this Identifyer: Are you using IOT-Licenses, or what type of license is it you think is tied to the UUID?
Ob das "nach einem RasPi Projekt schreit" hängt davon ab, was es derzeit schon vor Ort gibt.
Da es das Ziel des Backups (eventuell ein NAS oder USB-Disk?) ja offenkundig schon geben dürfte braucht es vielleicht ja nicht einmal einen RasPi.
Ganz grundsätzlich stelle ich mir aber die Frage, warum man dieses Vorhaben mit CloneZilla realisieren möchte. Wenn es um Backups geht würde ich eher auf eine vollständig (im Live-Betrieb) automatisierbare Lösung wie z.B. Veeam (auch als Free Edition ausreichend) setzen. Das beherrscht auch Bare-Metal-Restore (Windows und Linux) und sichert automatisiert im laufenden Betrieb zu konfigurierbaren Zeitplänen.
Schließe mich der Meinung von H6G und KB19 an. Zusätzlich wäre es aber vielleicht interessant zu wissen, wo Du denn die Images ablegen wirst? Du schreibst, dass du diese nicht am vServer ablegst. Wenn Du sie auf lokalen Platten (z.B. USB) ablegst werfe ich die Frage in den Raum, warum Du davon nicht auch gleich bootest. Wenn du sie auf einem lokalen Server ablegst detto - warum nicht den als PXE-Server nutzen?
KB19 Danke für den Erfahrungsbericht, ist mir in dieser Form bislang noch nicht zugetragen worden.
Der Microsoft postfach-spezifische Spam-Filter erzeugt keine Rückweisung oder Black-Hole, sondern legt den Spam in den Junk-E-Mail Ordner.
Wenn es Zustell-Probleme gibt, dann betreffen diese meiner Erfahrung nach die Mailserver-IP und sind postfach-unabhängig auch mit Test-Postfächern nachvollziehbar gewesen.
Deine Einwände haben sicherlich ihre Berechtigung. Aber ohne periodisch eine Zustellung zu validieren wüsste ich auch keinen Mechanismus um dies zuverlässig zu prüfen. Die von Microsoft bereitgestellten Möglichkeiten (Link zu SNDS) um zu prüfen ob die eigene Mailserver-IP auf deren Blacklist steht lieferte mir seit Jahren noch nie einen Treffer, ist also wertlos.
Meine 2ct zur Microsoft hotmail/live.de/outlook.com Mail-Problematik:
Wenn der Microsoft-Server die Mails nicht annehmen oder dem Microsoft-Empfänger zustellen will, dann hilft nur ein Ticket hier einzuwerfen:
http://go.microsoft.com/fwlink/?LinkID=614866
Nach 1-3 Stunden kommt dann in der Regel eine automatisierte Antwort, und meist klappt es dann auch schon wieder. Wenn nicht nochmals auf die erhaltene Mail antworten, nach weiteren 1-3 Mails landet man dann bei einem tatsächlichen Menschen. Kostet freilich in Summe ein paar Stunden Zeit bis man wieder Mails an das Microsoft-Universum senden kann.
Ich habe mir folgendes gebastelt, um das Auftreten einer solchen Situation automatisiert zu detektieren:
1. ich besitze eine mein-microsoft-test-account@outlook.com Mail-Adresse. Dort habe ich auf https://outlook.com in diesem Postfach konfiguriert, dass eine eingehende Mail mit Subject "Mailserver-Testmail-*" an meine-am-netcup-server-gehostete-mailbox@hitco.at weitergeleitet und in Gelöschte Objekte verschoben werden soll.
2. auf meinem Server sende ich per Cronjob mittels Script eine Mail an mein-microsoft-test-account@outlook.com und warte dann zwei Minuten lang, ob sie korrekt zu mir in die meine-am-netcup-server-gehostete-mailbox@hitco.at Mailbox geforwarded wird. Falls ja alles OK. Falls nein schlägt das Script alarm und ich kann mir das manuell ansehen was los ist (rejected oder geblackholed, lässt sich dann leicht prüfen und als Gegenmaßnahme ein Ticket einwerfen).
Ich kenne die Möglichkeiten der kostenpflichtigen Veeam Lösungen nicht. Der kostenfreie Agent läuft lokal, ohne "Admin-Server". Als Backup Ziel braucht man freilich irgend einen mountbaren Storage.
Bare-Metal Recovery durch Boot von einem ISO-Image.
ad Bare Metal Restore: Veeam Agent, fand bislang mit der kostenfreien Edition das Auslangen.
> Azure Description
hmm... was soll das sein? Meinst Du vielleicht eine "Subscription"?
Naja, dein Azure AD läuft ja auch nur mit Azure Subscription - ist also nicht überraschend, oder?
Die Anleitung geht davon aus, dass die VM in Microsofts Azure Cloud gehostet wird direkt ans Azure AD DS virtual network angeschlossen ist. Wenn das nicht der Fall ist weil wo anders gehostet wird, ist zuvor noch ein VPN einzurichten.
Woran scheiterst Du genau?
Für mich sieht die Anleitung wie der Server gejoined wird eigentlich "ganz gewöhnlich" aus?
https://docs.microsoft.com/en-…-vm-to-the-managed-domain
Nein, das liegt nicht an Wildcard-A-Records sondern daran, dass die Zone schapitz.de am ns1.ipixel.de einen falschen SOA und zwei falsche NS Records aufweist.
Du möchtest schapitz.de also von von ns[1,2].ipixel.de resolven lassen?
Dann ist die Zone hierfür aber komplett falsch konfiguriert.
im SOA steht "ns2.schapitz.de" => Da müsste dann ns1.ipixel.de hin
und die zwei NS Records dürfen nicht auf ns[1,2].schapitz.de lauten sondern müssen auf ns[1,2].ipixel.de lauten.
und die beiden A-Records ns1.schapitz.de, ns2.schapitz.de sind obsolet.
Reverse-DNS ist nicht nötig, ich kenne keine Registry die so etwas prüft.
Deine ns1 und ns2 IP ist immer noch identisch, so funktioniert das nicht:
Wie sieht Dein SOA aus?
Hast Du die beiden Nameserver definiert?
Verwendest Du IPv4 oder IPv6-DualStack?
Hier mal als Beispiel mein autoritatives Setup, das du Dir mit einem simplen "dig soa ..." ohnehin von jeder x-beliebigen Domain (so auch von meiner) einfach so als Anschauungsbeispiel abfragen könntest:
Ein Tipp noch: Es wäre denke ich hilfreich, wenn Du uns einfach die IP nennst, dann könnte man mit einem simplen dig abfragen woran es bei Deinem Setup fehlt. Was diese Anonymisierung von IP-Adressen soll verstehe ich ehrlich gesagt nicht ganz, denn spätestens wenn Du es erfolgreich geschafft hast schapitz.de erfolgreich an den neuen Nameserver zu delegieren können wir Dein Setup ja ohnehin abfragen.
Nein.
Vielleicht hilft es Dir, wenn Du Dir die Grafik in Kapitel 2.2 in meinem Tutorial auf Sicherer E-Mail-Dienste-Anbieter (DNSSec & DANE) ansiehst.
Deine "Records" (z.B. A, AAAA, C-Name, ...) werden mit dem ZSK signiert.
Der ZSK wird mit dem KSK signiert.
Der Public-Key des KSK wird in der darüberliegenden Zone hinterlegt (DENIC).
Update der Records sind nur möglich, wenn Du im Besitz des ZSK-PrivKey bist.
Ein Update des ZSK ist autonom auf deinem Nameserver möglich, solange Du im Besitz des KSK-PrivKey bist.
Lediglich für ein Rollover des KSK benötigst Du die Mitwirkung (WebInterface, API) der darüberliegenden Zone.
Ein Rollover des ZSK hingegen kannst Du beim geschilderten Best-Practice Setup selbst durchführen.
Ein Update der o.a. Records hingegen ist in jedem Fall autark möglich.
