Kürzlich durfte ich im Auftrag des IT-Administrators einen Produkttest für die UTM Gatewaylösung “Clavister SG4310″ durchführen. Der Fokus lag dabei auf VPN-Funktionalität-sodann habe ich auch ein Beispiel aus der Praxis dargestellt.
Hier könnt Ihr den Artikel runterladen:
IT-Administrator_-_Clavister-Test-SG4310.PDF (405.7 KiB, 122 hits)
Viel Spaß beim lesen!
Florian Thiessenhusen
Wie ich bereits vor ein paar Tagen im Artikel Internet Explorer 8: So klappt’s mit dem Rollout! erwähnte, möchte ich euch heute das Excelsheet zur Prüfung der Version des Internet Explorers vorstellen. Dieses kann die Version des Internet Explorers remote prüfen und setzt lediglich Excel 2000/XP/2003/2007 auf einem administrativen Client voraus, da es auf VBA basiert.
Das Makro fragt im ersten Schritt die Erreichbarkeit eines Systems ab. Konnte das System kontaktiert werden, so wird die Version des Internet Explorers über WMI geprüft. Hierfür sind natürlich lokale Adminrechte notwendig, da sonst der Zugriff auf die Systeme nicht möglich ist.
Check IE-Version 1.0 (1.1 MiB, 120 hits)
blog – port 389: Check IE-Version 1.0
Sascha Giebelhausen
Des öfteren kommt es vor, dass die vorab dimensionierten Größen der LUNs auf dem bereitgestellten Storage nicht mehr ausreichen. In diesem Fall ist es zwingend notwendig, das LUN zu vergrößern. In der Regel stellt dies auch kein größeres Problem dar.
Um seinem XenServer dieses auch begreiflich zu machen, müssen jedoch folgende Schritte durchgeführt werden:
Step 1: Virtuelle Maschinen herunterfahren
Step 2: Identifizieren des Universally Unique Identifier (UUID) des Storage Repository (SR):
# xe sr-list
Step 3: Identifizieren des “Physical Block Device” (PBD), welches mit der UUID verknüpft ist:
# xe sr-param-list uuid=<UUID>|grep PBD
Step 4: Abhängen des PBD, welches mit dem SR verknüpft ist:
# xe pbd-unplug uuid=<PBD UUID>
Step 5: Anhängen des PBD, welches mit dem SR verknüpft ist:
# xe pbd-plug uuid=<PBD UUID>
Step 6: Virtuelle Maschinen hochfahren – jetzt wird die neue größe des LUNs angezeigt
Links:
http://support.citrix.com/article/CTX120865
Thomas Gronenwald
Es kommt leider erschreckend oft vor, dass wir in Kundenumgebungen, die unterschiedlichsten Browserversionen feststellen. Vom guten “alten” Internet Explorer 5 über die Version 6 und 7 ist eigentlich alles vertreten. Manchmal findet sich aber auch ein IE8 – in den meisten fällen ist dies dann aber ein Notebook, mit erhöhten Berechtigungen (lokaler Administrator – schlecht! ), welches ohne Angst auf Verluste sämtliche Softwarekomponenten, einschließlich Windows Updates (gut!) installiert.
Für all diejenigen, die es bisher nicht geschaft haben oder noch in der Testphase stecken, haben wir in diesem Artikel, einen Lösungsweg von vielen, einmal genauer Untersucht und beschrieben. Unserer Meinung nach ist dies ein Weg, den man durchaus so weiterempfehlen kann. Mit einer vernünftigen Testphase, sind so fast keine Überraschungen zu erwarten. In einer Kundenumgebung mit mehr als 300 Workstations traten hierbei keine nennenswerten Fehler auf. Zudem verlief die Umstellung für die Benutzer nahezu unsichtbar – wie von Geisterhand. Im Fall des IE 8 kann mit dem so genannten IEAK 8 das Rollout hervoragend vorbereitet und durchgeführt werden.
Mit dem IEAK 8 kann so gut wie jede Einstellung des Internet Explorers automatisch bei der Installation konfiguriert werden. Folgende Einstellungen müssen so nicht mehr händisch festgelegt werden:
Hierbei ist jedoch zu beachten, dass lt. Microsoft für folgende Betriebssysteme unterschiedliche Installationspakete erstellt werden müssen. Dies gilt auch für die eingesetzte Sprache des Betriebssystems.
Um euch von den Vorteilen des IEAK 8 zu überzeugen, habe ich euch einmal die Erstellung einen MSI-Paketes für den Internet Explorer 8 mit Screenshots dokumentiert.
1. Auswahl der Betriebssystemplattform
2. Auswahl der Sprache
3. Aussuchen der Bereitstellungsmethode
4. Festlegen der Installationoptionen
5. Anpassung der Benutzeroberfläche
6. Eingrenzung der Suchanbieter
7. Festlegung der Homepage
8. Anpassung der Favoriten und Feeds
9. Optionen zur Verwaltung vorhandener Objekte
10. Einstellung der einmaligen “Willkommen Seite” nach der Installation
11. Anpassung der Proxyeinstellungen
12. Sicherheits- und Datenschutzeinstellungen
13. Erstellung des MSI-Paketes
Für die automatische Installation empfiehlt sich der Gebrauch von Gruppenrichtlinien. Da diese in den Server-Betriebssystemen von Microsoft enthalten sind, muss hierfür nicht extra eine Lösung zur Softwareverteilung implementiert werden und die Kunden sparen dann auch noch Geld. Mit diesen GPO’s kann die Installation des vorab erstellten MSI-Paketes schnell und ohne großen Aufwand durchgeführt werden. Dafür muss nur eine neue Computerrichtline für die Softwareinstallation erstellt werden. Diese muss die Software dem jeweiligen System zuweisen.
Je nach Installations-Methode kann die Auswirkung für den Anwender verschwindend gering gehalten werden. Hierbei ist jedoch zu beachten, dass das System unbedingt nach der Installation des Internet Explorer 8 neugestartet werden sollte.
1. Anwendungsinstallation
2. Erste für den Anwender erkennbare Veränderung
3. Erste Ausführung des Internet Explorer 8
Sollte es innerhalb der vorgefundenen Umgebungen keine Inventarisierungs-Lösung geben, so gibt es auch die Möglichkeit, den Status via WMI zu überwachen. Dabei können jedoch nur eingeschaltete und domänenintegrierte Systeme geprüft werden. Ich werde euch in den kommenden Tagen wieder ein Excelsheet für Administratoren bereitstellen, mit welchem ihr den Status abfragen könnt.
Microsoft: Internet Explorer 8 Deployment Guide
Microsoft: Internet Explorer Administration Kit 8
Microsoft: Gruppenrichtlinien für die Remoteinstallation
Sascha Giebelhausen
\n”; strHtml += ”
\n”; strHtml += ”
\n”; strHtml += ”
\n”; strHtml += ”
\n”; strHtml += ”
“; var strDiagArgs = “height=360px, width=630px, status=no, toolbar=no, scrollbars=yes, resizable=yes “; var expWin = window.open(“”, “expWin”, strDiagArgs); expWin.document.write(“”); expWin.document.close(); expWin.document.write(strHtml); expWin.document.close(); expWin.focus(); //cancels navigation for IE. if(navigator.userAgent.indexOf(“MSIE”) > 0) { window.event.returnValue = false; } return false; } // –>
| SOFTWARE_-_Internet_Explorer_8 | |
| Daten ermittelt am: 17.05.2010 13:06:22 | |
| Domäne | local.xyz |
| Besitzer | LOCAL\Domänen-Admins |
| Erstellt | 15.03.2010 12:37:24 |
| Verändert | 17.05.2010 13:06:18 |
| Benutzerrevisionen | 0 (AD), 0 (sysvol) |
| Computerrevisionen | 9 (AD), 9 (sysvol) |
| Eindeutige Kennung | {19FB4CDB-5B98-4218-8AC6-4C1062A02550} |
| Status | Aktiviert |
| Speicherort | Erzwungen | Verknüpfungsstatus | Pfad |
|---|---|---|---|
| Clients | Nein | Aktiviert | local.xyz/Clients |
Die Liste enthält Verknüpfungen zur Domäne des Gruppenrichtlinienobjekts.
| Name |
|---|
| NT-AUTORITÄT\Authentifizierte Benutzer |
| Name des WMI-Filters | Kein |
| Beschreibung | Nicht anwendbar |
| Name | Erlaubte Berechtigungen | Geerbt |
|---|---|---|
| LOCAL\Domänen-Admins | Einstellungen bearbeiten / Löschen / Sicherheit verändern | Nein |
| LOCAL\Organisations-Admins | Einstellungen bearbeiten / Löschen / Sicherheit verändern | Nein |
| NT-AUTORITÄT\Authentifizierte Benutzer | Lesen (durch Sicherheitsfilterung) | Nein |
| NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION | Lesen | Nein |
| NT-AUTORITÄT\SYSTEM | Einstellungen bearbeiten / Löschen / Sicherheit verändern | Nein |
| Name | Internet Explorer 8.0 |
| Version | 8.0 |
| Sprache | Englisch (USA) |
| Plattform | Intel |
| Aktuelle URL |
| Allgemein | Einstellung |
|---|---|
| Bereitstellungsart | Zugewiesen |
| Bereitstellungsquelle | \\Srvdevdc\NETLOGON\IE8-Rollout\IE8-Setup-Full.msi |
| Anwendung deinstallieren, wenn sie außerhalb des Verwaltungsbereichs liegt | Deaktiviert |
| Erweiterte Bereitstellungsoptionen | Einstellung |
|---|---|
| Sprache beim Bereitstellen dieses Pakets ignorieren | Deaktiviert |
| Diese 32-Bit-X86-Anwendung für Win64-Computer bereitstellen | Aktiviert |
| OLE-Klasse und Produktinformationen einbeziehen. | Aktiviert |
| Diagnoseinformationen | Einstellung |
|---|---|
| Produktcode | {137cc520-b776-4d87-bcb1-165533e92762} |
| Bereitstellungsanzahl | 0 |
| Typ | Name | Berechtigung | Geerbt |
|---|---|---|---|
| Zulassen | LOCAL\Domänen-Admins | Vollzugriff | Nein |
| Zulassen | NT-AUTORITÄT\SYSTEM | Vollzugriff | Nein |
| Zulassen | NT-AUTORITÄT\Authentifizierte Benutzer | Lesen | Nein |
| Zulassen | LOCAL\Domänen-Admins | Lesen, Schreiben | Ja |
| Zulassen | LOCAL\Organisations-Admins | Lesen, Schreiben | Ja |
| Zulassen | ERSTELLER-BESITZER | Lesen, Schreiben | Ja |
| Zulassen | NT-AUTORITÄT\SYSTEM | Lesen, Schreiben | Ja |
| Zulassen | NT-AUTORITÄT\Authentifizierte Benutzer | Lesen | Ja |
| Zulassen | NT-AUTORITÄT\DOMÄNENCONTROLLER DER ORGANISATION | Lesen | Ja |
| Berechtigungen übergeordneter Objekte, sofern vererbbar, über alle untergeordneten Objekte verbreiten. | Aktiviert |
| Updates | Einstellung | ||||
|---|---|---|---|---|---|
| Vorhandene Pakete aktualisieren | Aktiviert | ||||
|
|||||
| Pakete des aktuellen Gruppenrichtlinienobjekts, durch die dieses Paket aktualisiert wird | Kein | ||||
| Kategorien |
|---|
| Kein |
| Transform |
|---|
| Kein |
Es nervt einfach nur: In regelmäßigen Abständen “stürzt” die Weboberfläche des Fujitsu Fibrecat SX80i (Firmware J210P04) ab. Kein Zugriff mehr möglich. Der Brosser berichtet einen Fehler.
Die einzige Lösung (das sagt auch Fujitsu offiziell!) ist der Neustart der Management Controller. Wichtig hierbei ist, dass dies keine Auswirkung auf den laufenden Betrieb hat (ich weiß das, schon mehrfach probiert 
). Da aber die Weboberfläche nicht mehr da ist, kann diese nur per Telnet funktionieren:
Die Befehle dafür lauten:
restart mc a restart mc b restart mc both
“a” und “b” stehen für die entsprechenden Managementcontroller. Normalerweise hat man nur einen (“a”) drin. Aber in manchen Konstellationen gibt es auch zwei. Um sich Aufwand zu sparen, können alle beiden hintereinander neugestartet werden (“both”). Danach geht für circa 30 Sekunden die Konnektivität des jeweiligen Controllers weg, das SAN aber läuft weiter.
Florian Thiessenhusen
Kürzlich (okay, es ist mehr als ein Monat her) kam die neue Firmware-Version für das über iScsi ansteuerbare Storagesystem, Fibrecat SX80i aus dem Hause Fujitsu, raus.
Die neue Version trägt die Versionsnummer J210P22 (Auslieferungszustand der SX80i ist J210P04). Einziger Migrationspfad zur neuen Firmware ist nur von Version J210P04 unterstützt.
Es gibt keine wesentlichen Änderungen, wobei ich trotzdem empfehle es zu installieren. Soll die Stablität des Geräts entscheident erhöhen. Leider ist auch diesmal nicht das leidige Thema des langsamen Webinterface gelöst worden.
Die Releasenotes finden sich hier oder bei Fujitsu.
Florian Thiessenhusen
Nach der erfolgreichen Eroberung der deutschen TV-Bildschirme strebt Marcel D’ Avis nun weitere Dimensionen an. In der letzten Woche habe ich durch Zufall eine passende Schlagzeile dazu in einer “remonmierten Zeitung” (?) gesehen:
Thomas Gronenwald
Mahlzeit!
Schonmal versucht, eine Liste von Computern und IP-Listen (zum Beispiel aus dem Active Directory?) zur Verwendung für Firewallregeln in die Firewall zu importieren? Im Management Tool des alten 8.x Core’s (FineTune) gab es da die wunderbare, aber umständliche und fehleranfällige Art, die Firewall im Textmode zu editieren. Erfüllte seinen Zweck, aber war nicht immer praktikabel.
Ab Version 9.00 gibt es die wunderbare neue Scripting-Schnittstelle mit der ich Befehle absetzen oder ganze Scripts ausführen kann. Wir beschäftigen uns hier mal mit folgender Anforderung:
Vorbereitungen
Wir benötigen SSH Zugriff auf die Firewall. Dies am einfachsten im Web-Interface unter “System” -> “Remote Management” eine neue Entität SSH anlegen. Nicht vergessen, das eigene Netz als berechtigt zu konfigurieren ! Wichtiger Hinweis an dieser Stelle: Wenn es eine SAT Regel gibt, welche auf dem Anfragenden Interface (Inside) SSH (Port 22 TCP) auf einen anderen Server weiterleitet, dann wird diese Konfiguration danach nicht mehr aktiv sein, denn standardmäßig überschreibt diese “Remote Management” Konfiguration (es sei denn, man deaktiviert in den “Advanced Settings” das Häkchen bei “SSH Before Rules:”.
Los geht’s!
Als erstes brauchen wir eine Liste mit Rechnernamen und zugeordneten IP’s, die wir in Excel importieren, damit diese in zwei nebeneinander stehenden Zellen stehen (nehmen wir mal an, es ist A1 (“Computer 1″) und B1 (“192.168.14.1″). In Zelle C1 geben wir folgendes ein:
="add Address IP4Address "&A1&" "&B1
Daraus ergibt sich jetzt folgendes:
add Address IP4Address Computer1 192.168.14.1
Dieser Befehl wird solange nach unten ausgefüllt, bis eben keine Computer mehr in den Zellen links zu finden sind . In Spalte C steht nun eine lange Liste an Befehlen, die wir so in das Notepad kopieren (einfach untereinander, bestimmte Syntax oder Zeilenenden müssen nicht berücksichtigt werden). Dieses wiederrum speichern wir unter c:\temp\ mit dem Namen “import.sgs” ab.
Diese Datei wird nun auf die Clavister kopiert. Dies geschieht mit SCP. SCP ist ein Protokoll womit man über SSH Daten verschlüsselt kopieren kann. Normalerweise würde man jetzt WINSCP (eine grafische Benutzeroberfläche) nehmen, aber das geht bei der vorliegenden Firewall nicht…Gott weiß warum.
Also bedienen wir uns dem Tool PSCP, ein kommandozeilenbasiertes Tool zur Dateiübertragung. Mit folgenden Parametern gestartet, wird die Datei (nach Passwortabfrage der Firewall) hochgeladen:
pscp c:\temp\import.sgs admin@[IP der Firewall]:script/
Anmerkung: Das Script mus zwingend im Unterornder “script” der Firewall landen.
Im SSH Client Putty, mit dem wir uns zur Firewall konnektiert und authentifiziert haben, führen wir nun einfach folgenden Befehl aus:
script -execute -name=import.sgs
Das war’s schon! Nun noch schnell ein “activate” und “commit” hinterherschicken, und die Adressobjekte sind da.
Ähnlich verfahren wir auch mit den Benutzern. Wir gehen davon aus, dass eine Liste mit “Benutzername”, “Password” und “Gruppe” besteht.
Der zu generierende und auszufüllende Befehl lautet:
add User [Benutzername] Password=[Password] groups=[Group]
Jedoch gibt es eine Besonderheit. Bevor dieser Befehl ausgeführt werden kann, muss folgender Befehl ausgeführt werden (der in dem Script dann am besten ganz oben stehen sollte):
cc LocalUserDatabase [Usergroup]
Anmerkung: [Usergroup] steht für die Benutzerdatenbank, in der die Benutzer landen müssen. Das hat nichts mit der Gruppe “Group” zu tun.
Das war es schon. Einfach oder? Im übrigen kann man mit der Scripting-Schnittstelle auch automatisiert Backups von der Clavister ziehen. Wie das geht? Vielleicht schreibe ich dazu mal einen Artikel 
.
So long,
Florian Thiessenhusen
| add Address IP4Address test ip |
Eine der wichtigsten Basisdienste in einem Netzwerk, ganz gleich wie groß oder klein, ist das NTP (Network Time Protocol). (Synchrone) Zeiten sind nicht nur wichtig, damit die gesamte Firma gleichzeitig Feierabend macht oder das Mittagsbuffet stürmt, sondern auch folgende Dinge stabil laufen:
- (Windows) Authentifizierung
- Clusterdienste (Windows wie auch OpenSource (u)Carp)
- EMail
- Billingsysteme
- Verschlüsselung/Hashes
- Replikationen
- …
So ziemlich jeder Dienst im Netzwerk benötigt eine Konstante, die in den meisten Fällen die Uhrzeit ist. Unterschiede, selbst im Millisekundenbereich, können fatale Auswirkungen haben. Zum Beispiel lief bei einem Kunden kürzlich die Interstandort Replikation zweier Windows Domänencontroller nicht mehr, weil die Uhrzeit 30 Sekunden auseinandergelaufen ist. Wie kann sowas passieren? In dem Moment, wo ein System keine zuverlässige Zeitquelle nutzt, versucht es, die Zeit selber zu “generieren”. Da dies verschiedenste Abhängigkeiten hat (Bios, Systemtaktung, Schaltzeiten, ..) können dort, teilweise enorme, Differenzen entstehen.
Um das zu vermeiden, sollte man seiner eigenen NTP Struktur immer ein wenig mehr Aufmerksamkeit widmen, als man es tut. Denn leider wird diese allzu oft unterschätzt.
Es spielt dabei keine Rolle, ob es sich dabei um ein Windows- oder Unixsystem handelt, die Grundlagen sind immer gleich.
Woher sollte man sich die Uhrzeit holen?
Wenn man nicht seine eigene Atomuhr betreiben möchte, hat man als Netzwerkbetreiber im Grunde nur drei Möglichkeiten:
“Produziert” wird die Uhrzeit jedoch hauptsächlich nur in den GPS Satelliten (für Peilung wird eine exakte Uhrzeit benötigt und da “oben” herschen optimale Vorraussetzungen (Schwerelosigkeit)) oder von der PTB (Physikalisch-Technische Bundesanstalt) (Atomuhr) welches dann via Langwellensender ausgestrahlt wird und für entsprechende Empfänger (Funkuhren oder andere DCF77-.Empfänger) immer empfangsbereit ist. Für beide Dienste gibt es für PCs/Server spezielle Erweiterungskarten die diese Zeiten empfangen können (mit anschliessbaren Antennen).
Die Angabe “Stratum”
Mit “Stratum” wird die Vererbungshistorie der zeit angegeben. Um so niedriger, um so besser. DCF77 und GPS wird als “Stratum 0″, also Quelle, bezeichnet. Ein Server, der von dort die Zeit synchronisiert, ist in einer NTP-Struktur “Stratum 1″. So geht es dann immer weiter:
In einer mittelgroßen Umgebung kann es dann bis Stratum 3/4 gehen. Das Ziel ist, den Stratum bis zum Client gering zu halten. Man geht davon aus, dass jede zusätzliche Synchronisierungstelle Zeit “kostet” (durch Laufzeiten etc.). So wird die Zeit “hinten raus” immer ungenauer (immernoch im Millisekundenbereich).
Als negatives Beispiel sei folgendes genannt:
Als Zeitquelle wird eine Internetquelle genutzt. Die Internetquelle ist im optimalen Fall “Stratum 1″, jedoch ist die nicht immer gewährleistet (die Internetquelle müsste in dem Fall einen GPS- bzw. DCF77-Empfänger angeschlossen haben.
Desweiteren baut man sich damit zu viele Abhängigkeiten auf (z. B. Firewall oder eine genaue Uhrzeit vom Zeitanbieter), was in mittleren bis großen Netzwerken nicht tolerierbar ist.
Fazit
Das Ziel sollte sein, seinen eigenen “Stratum 1″-Server aufzubauen. Es gibt wenig Abhängigkeiten und volle Kontrolle. Nachteil: DCF- bzw GPS-Hardware ist immernoch vergleichsweise teuer und für Unix-Systeme kommen nur Komponenten in Frage, die auch kompatibel sind und mit den gängigen NTP-Servern (z. B. ntpd).
Florian Thiessenhusen
Quizfrage: Angenommen, ihr habt einen (wahlweise einen auf Microsoft IIS basierenden) SMTP-Relayserver und wollt überwachen, ob sich Mails/Dateien in den Ordnern “Queue”, “BadMail” oder “Dropmail” befinden, die älter als…sagen wir vier Stunden sind. Wie würdet ihr das lösen (ohne einen Praktikanten oder Azubi damit zu beauftragen, jede Stunde manuell zu kontrollieren)? Wenn die Antwort “Nagios” war, dürft ihr jetzt weiterlesen!
Und zwar hatte ein Kunde kürzlich exakt dieses Problem. Wir haben daraufhin kurzerhand ein vorhandes Plugin umgeschrieben/erweitert und das entwickelt.
Darüberhinaus kann dieses Tool auch folgendes:
- Dateialter von spezifischen Dateien (basierend auf MIME-Typ) checken und Alarm geben, wenn ein Schwellwert überschritten worden ist (fileage.vbs)
- Dateialter von allen Dateien checken, die in einem Ordner sind. Älter als X Tage (in diesem Fall sieben) gibt einen Alarm aus (youngestfile.vbs)
So sieht’s dann aus (klick):
Wie man es einbindet, hat der “Ur-Entwickler” in seinem Beitrag recht gut erklärt.
Dieses Tool ist aber nicht nur für o. g. Anwendungsfall zu empfehlen. Es lassen sich generell alle Ordner überwachen, in denen automatisiert Dateien kopiert werden und man auf Aktualität angewiesen ist.
Auch hier gilt mein besonderer Dank Christopher Sack.
Florian Thiessenhusen
