Skip to content

0900-Service bei GMX wegen AVM Fritz-Box

Internet Nun bin ich ja schon fast so lange Kunde bei GMX wie es den Laden gibt. Damals fingen die mit der für diese Zeit recht frischen Idee an E-Mail über ein Webinterface mit kostenloser Registrierung auf der Website anzubieten. Seitdem haben etliche VHS- und andere Weiterbildungs-Kurse sich mit mir zusammen dort eine E-Mail-Adresse zugelegt.
Seit etwas mehr als einem Jahr habe ich dort auch VoIP - also telefonieren übers Internet. Mein Telefonanbieter EWE-Tel hatte noch keine Deutschland-Flatrate im Angebot und so musste ich darauf ausweichen. Das war auch ganz praktisch, mit VoIP muss man sich ja auch heutzutage auskennen, so konnte ich damit auch gleich etwas herumspielen.
Dazu gabs für kleines Geld einen AVM-Fritz-Box-Router, Modell 5012 übrigens, falls das jemanden interessieren sollte. Eines Tages nun funktionierte hier nun nichts mehr - kein Problem, der Fehler war schnell gefunden, der DSL-Modem-Teil der Fritz-Box war wohl nicht mehr in Ordnung. Der schnell vom Dachboden geholte DSL-Modem-Klotz des Providers tats nämlich sofort.
Also mal eben beim Lierferanten nachfragen wo ich die Fritz-Box einschicken kann. Und nun gings erst richtig los, Antwort von GMX:
... die Feststellung des Defektes der Hardware erfolgt durch unseren technischen Support. Diese Vorgehensweise begründet sich darin, dass auch die relevanten Einstellungen des Computers überprüft werden müssen. Bitte wenden Sie sich, zwecks eines eventuell notwendigen Hardwaretausches, an unsere technische Hotline. Diese ist täglich von 08:00 - 22:00 Uhr unter 0900 / 1000 877 (99 Ct./Min. aus dem dt. Festnetz) zu erreichen.

Welchen Computer meinen die eigentlich? Ich hoffe ja wohl mal deren eigenen. Ich weiss ja nicht was einer von meinen mit dem Router zu tun haben soll. Und dann soll ich auch noch einen Euro die Minute zahlen um mit einem Callcenter zu sprechen. Immerhin hat GMX kulanterweise eingeräumt, mir die Telefonkosten gegen Nachweis zu erstatten. Aber auch nur wenns dann wirklich an der Fritz-Box lag. Das war mir dann doch zu blöd.
Wo ich eh grad in regelmäßig in Berlin-Moabit bin hab ich Firma AVM den Router einfach mal zur Überprüfung vorbei gebracht. Sehr freundlicher Service da! Dazu war der Austausch-Router im Paket schneller wieder in Oldenburg an als ich. Bei mir wird sich demächst wohl die E-Mail-Adresse ändern. Hoffentlich läuft das Fax zur Entgegennahme der Kündigungen bei GMX nicht auch auf einer 0900-Nummer ...

Sicherheitsvorlage für Dateiserver erstellen

MCSE Beispiel: Für die Dateiserver soll eine Sicherheitsvorlage erstellt werden, die den Dienstanweisungen genügt. Dies soll hier beispielhaft mal mit einigen Einstellungen vorgemacht werden.

Zunächst einmal wird die neue Sicherheitsvorlage in der Microsoft Management Console mit dem Snap-In Sicherheitsvorlagen erstellt:


Alle erfolgreichen Anmeldeversuche und Anmelde-Ereignisse, also sowohl an diesem Server als auch an einem Mitgliedsserver in der Domäne sollen im Sicherheitsprotokoll notiert werden:


Unsere Dienstanweisung sieht ein 10 MB grosses Logfile vor das automatisch überschrieben wird wenn diese Größe erreicht wird:


Zu Wartungszwecken sollen sich an einem Dateiserver nur Administratoren und Hilfsgruppenmitglieder direkt lokal anmelden können:

IPSec-Verbindung mit IP-Sicherheitsrichtlinie

MCSE Eine IPSec-Verbindung kann man einfach über IP-Sicherheitsrichtlinien einrichten. Hier soll die Verbindung zu einem anderen Host ausschließlich über IPSec erfolgen.

Da beide Rechner nicht in der selben Domain sind, kann für den Schlüsseltausch kein Kerberos verwendet werden, sondern es wird auf einen Pre-Shared-Key zurückgegriffen (ähnlich wie bei WPA, hier "12345", sollte natürlich deutlich komplexer sein).


Der Assistent für die Standard-Verbindung kann so durchgeklickt werden. Wichtig ist die spezielle Verbindung zu dem gewünschten Host:


Dazu muss eine Filterregel eingerichtet werden. Solche Regeln kann man für alles definieren, spezielle Ports, Ziel-IPs oder Protokolle:


Danach muss die GPO nur noch zugewiesen und die Gruppenrichtlinien aktualisiert werden. Man kann sich dann mit einem Ping davon überzeugen, dass erst die IP-Sicherheit verhandelt wird bevor Daten übertragen werden.


Im vorgestellten Fall wäre eine lokale Konfiguration einfacher. Der hier vorgestellte Weg verwendet eine GPO, auf diesem Weg kann man am einfachsten die Kommunikation einer ganzen OU auf IPSec umstellen.

Ausgestellte Zertifikate sperren und Sperrliste veröffentlichen

MCSE Ausgestellte Zertifikate können in der Verwaltung der Zertifizierungsstelle gesperrt werden. Ein Grund kann dazu angegeben werden um den Vorgang besser nachvollziehbar zu halten.


Um die Zertifikatssperrliste umgehend zu aktualisieren muss die Sperrliste veröffentlicht werden. Dies kann entweder inkrementell (Deltasperrliste) oder komplett (neue Sperrliste) erfolgen. In kleineren Public-Key-Infrastrukturen sollte sicherheitshalber eine neue Sperrliste erzeugt werden:

Smartcard-Zertifikate mit Zertifizierungsstelle ausstellen

MCSE Die Zertifizierungsstelle enthält auch eine Vorlage für die Ausstellung von Smartcard-Zertifikaten, die man zunächst einmal hinzufügen muss, dort sind auch Codesignatur oder Exchange-Benutzer wählbar.


Dann kann auf der lokalen Webseite des Zertifizierungsstelle das gewünschte Smartcard-Zertifikat angefordert werden:


Für die Zertifizierungsstelle kann außerdem eingestellt werden, wer alles Zertifikate zum Active Directory hinzufügen dürfen soll. An dieser Stelle kann man sich als Administrator übrigens auch selbst aussperren, dies ist nur mit einer Neuinstallation der Zertifizierungsstelle zu beheben. Daher wählen wir hier als Beispiel den Administrator als den einzigen mit dieser Autorität:
tweetbackcheck