ACMP-Spezialentwicklung, Managed Services, Consulting
Systeme an ACMP anbinden. Automatisierung über den Standard hinaus.
Senior Consultant und Aagon Professional — vom Konzept bis zur Umsetzung, aus einer Hand.
CAA – Client Anti-Apocalypse
Der Client ist technisch in Ordnung. ACMP sieht ihn trotzdem nicht.
CAA erkennt das Problem – und behebt es. Ohne VPN. Ohne jemanden am Gerät.
Zwei Probleme, eine Lösung
Verlorene Clients zurückholen
Patchday und einige Clients melden sich nicht!
- Läuft der Rechner überhaupt?
- Agenten Neustart anstoßen
- Neuen Agenten mit Zertifikaten installieren
- Teamviewer-Host ausbringen, etc.
Egal von der Rechner ist – im eigenen Netz oder in Singapur
Alles über DNS. Kein VPN.
Blockierte Jobs aufdecken
Ein Job läuft. Seit Stunden. Die anderen warten – still, ohne Fehler.
- Schwellwert frei konfigurierbar
- Übersicht im Dashboard
- Eingriff direkt aus Monitor
Wie CAA funktioniert
DNS als Transportschicht
Kein VPN. Keine permanente Verbindung …
Ein PowerShell-Script läuft als Scheduled Task auf dem Client
und meldet sich regelmäßig per DNS beim CAA-Server.
DNS ist überall verfügbar.
Das Client-Script liegt vollständig im Klartext vor –
jeder kann sehen, nachvollziehen auf seinem System ausgeführt wird. Der Aufbau der DNS-Nachrichten ist dokumentiert.
Seit der Version 0.94, enthält die Nachricht keinen Hostnamen mehr, ist signiert und durch Nonce-Handling gegen Replay-Angriffe geschützt.
DNS-Nachricht im Detail
Der Raw-Query-Viewer macht jede DNS-Meldung nachvollziehbar: Feld für Feld, Bit für Bit. So sieht man exakt, welche Statuswerte, Flags, Versionen und Zähler ein Client gesendet hat.
Der Aufbau bleibt transparent und prüfbar. Kein verstecktes Protokoll, keine Blackbox, sondern Diagnose direkt aus der echten DNS-Nachricht.
Auf dem Weg zur Version 1.0
CAA ist aktuell Version 0.94, Late Beta und produktiv im Einsatz.
Transparenz ist Teil des Konzepts, deshalb zeige ich offen,
was bis zum Release von Version 1.0 umgesetzt wird:
Hostname – Anonymisierung
Keine Klartext-Rechnernamen in der DNS-Kommunikation. Clients werden ausschließlich über die anonyme Client-ID identifiziert.
Die Zuordnung zum tatsächlichen Rechner bleibt intern und ist kein Teil der externen Kommunikation.
HMAC – Signierung & Replay-Schutz
Die DNS-Nachrichten werden kryptografisch signiert – authentisch und unverändert. Der CAA-Server erkennt unautorisierte Nachrichten.
Eine fortlaufende Nonce-Kette macht jede Nachricht einmalig: Abgefangene Nachrichten lassen sich nicht erneut einspielen, und ein entwendeter Schlüssel fliegt sofort auf.
REST über HTTPS verschlüsselt
REST-Kommunikation zwischen Monitor und DNS-Logger durchgängig über HTTPS verschlüsselt.
Schützt die Übertragung von Zuordnungs- und Statusdaten zuverlässig gegen Mitlesen und Manipulation.
Geplantes Release Version 1.0: Q3/2026
CAA Praxis und Technik -Videos
Teil 1 : Dashboard und Hilferegeln
Ein Client meldet sich nicht. CAA zeigt sofort die Ursache – und bietet die passende Hilferegel an.
Zwei Fälle, zwei Eingriffe, zwei Clients zurück in ACMP.
Dazu ein Überblick über das Dashboard: Client-Status, Long-Running Jobs, Zertifikatsstatus.
Teil 2: Die Technik dahinter
Ein PowerShell-Script auf dem Client, ein DNS-Logger auf dem Server – mehr Infrastruktur braucht es nicht.
Das Video zeigt, wie Status und Hilfestellungen per DNS übertragen werden, eine solche DNS-Nachricht aufgebaut ist und wie alles eingerichtet wird.
Teil 3: Konfiguration und Deployment
Im CAA-Server-Konfigurator passen wir das Client-Script auf die eigene Umgebung an – mit Versionierung und kontrolliertem Release-Prozess.
Dazu die Execute Sources: wie vordefinierte Pakete gesichert werden. Ein dreistufiges Konzept gewährleistet, dass nur vorab festgelegte Pakete ausgeführt werden können. Und auch nur dann, wenn sie zu den Hashes passen. Diese liegen auf einem separaten System.
