Systempartition vergrößern mit GParted

Häufig treffen wir bei unseren Kunden auf die Anforderung virtuelle Systempartitionen zu vergrößern. Durch das einspielen von Service Packs und Security Patches erreicht man schnell, den Punkt über den man vor einem Jahr noch nicht nachdenken brauchte – Speicherplatz! Genügend Speicher im SAN vorrausgesetzt ist die Umstellung mit dem unter der GNU General Public License stehenden Tool “GParted” kein Problem.

Der entscheidene Vorteil von GParted ist, dass es sich um eine, auf das wesentliche beschränkte, Linux Live-Distribution handelt und es so schnell und einfach innerhalb der VMs eingebunden und gestartet werden kann.

GParted basiert auf GNU parted und kann bei vorhandenen ntfstools, die in der Live-CD bereits integriert sind, auch die Größe von NTFS-Partitionen ändern.

Nachstehend eine kleine Anleitung dazu:

1. Backup:

Für den Fall der Fälle empfiehlt es sich immer, vorher ein Image, in unserem Fall einen Snapshot der vorhandenen Systempartition zu erstellen.

2. Vorbereitung:

Das GParted ISO herunterladen und in VMware als CD-Laufwerk mounten.



Für physikalische Systeme einfach das ISO-File brennen, oder z.B. mit Unetbootin einen bootfähigen USB-Stick erstellen.

Die Größe der virtuellen Festplatte entsprechend in VMWare erweitern.



3. Boot

Beim Boot der Live-CD die “Default” Option wählen und Tastaturlayout „Select keymap from arch list“ -> „qwertz“ wählen. Anschließend noch Sprache einstellen (10 für Deutsch) und “X” starten.

4. Größenänderung

Die GUI erleichtert den Überblick über die Volumes und ermöglicht nach Auswahl des zu vergrößernden Laufwerks und anschließenden Klick auf Größe Ändern/Verschieben die Größenanpassung. Anschließend genügt ein Klick auf “Apply”.



Je nach Datenträgergröße kann dieser Vorgang schon einmal etwas länger dauern.

Die Entwickler empfehlen im FAQ aus Sicherheitsgründen immer nur eine Operation nacheinander an NTFS durchzuführen.

Bei exotischeren Dateisystemen schadet ein Blick in die Featureliste von GParted nicht.

5. Neustart

Hierbei sollte Windows automatisch CHKDSK ausführen. Ansonsten empfiehlt es sich, dieses zum Integritätscheck manuell anzustoßen.

GParted kann zudem Partitionen und Dateisysteme ändern, erstellen, löschen aber auch Partitionen überprüfen und kopieren.

Weitere Informationen zu GParted bietet das Ubuntu Wiki

Gastbeitrag von Thomas Knevels

…nach der Vergrößerung des LUNs auf dem iSCSI-Storage

Des öfteren kommt es vor, dass die vorab dimensionierten Größen der LUNs auf dem bereitgestellten Storage nicht mehr ausreichen. In diesem Fall ist es zwingend notwendig, das LUN zu vergrößern. In der Regel stellt dies auch kein größeres Problem dar.

Um seinem XenServer dieses auch begreiflich zu machen, müssen jedoch folgende Schritte durchgeführt werden:

Step 1: Virtuelle Maschinen herunterfahren

Step 2: Identifizieren des Universally Unique Identifier (UUID) des Storage Repository (SR):
# xe sr-list

Step 3: Identifizieren des “Physical Block Device” (PBD), welches mit der UUID verknüpft ist:
# xe sr-param-list uuid=<UUID>|grep PBD

Step 4: Abhängen des PBD, welches mit dem SR verknüpft ist:
# xe pbd-unplug uuid=<PBD UUID>

Step 5: Anhängen des PBD, welches mit dem SR verknüpft ist:
# xe pbd-plug uuid=<PBD UUID>

Step 6: Virtuelle Maschinen hochfahren – jetzt wird die neue größe des LUNs angezeigt

Links:
http://support.citrix.com/article/CTX120865

Thomas Gronenwald

Mahlzeit!

Schonmal versucht, eine Liste von Computern und IP-Listen (zum Beispiel aus dem Active Directory?) zur Verwendung für Firewallregeln in die Firewall zu importieren? Im Management Tool des alten 8.x Core’s (FineTune) gab es da die wunderbare, aber umständliche und fehleranfällige Art, die Firewall im Textmode zu editieren. Erfüllte seinen Zweck, aber war nicht immer praktikabel.

Ab Version 9.00 gibt es die wunderbare neue Scripting-Schnittstelle mit der ich Befehle absetzen oder ganze Scripts ausführen kann. Wir beschäftigen uns hier mal mit folgender Anforderung:

• Import einer Liste mit Computern und zugeordneten IP’s
• Import einer Liste mit generierten Benutzern (für VPN oder ContentFilter-Authentifizierung)

Vorbereitungen

Wir benötigen SSH Zugriff auf die Firewall. Dies am einfachsten im Web-Interface unter “System” -> “Remote Management” eine neue Entität SSH anlegen. Nicht vergessen, das eigene Netz als berechtigt zu konfigurieren ! Wichtiger Hinweis an dieser Stelle: Wenn es eine SAT Regel gibt, welche auf dem Anfragenden Interface (Inside) SSH (Port 22 TCP) auf einen anderen Server weiterleitet, dann wird diese Konfiguration danach nicht mehr aktiv sein, denn standardmäßig überschreibt diese “Remote Management” Konfiguration (es sei denn, man deaktiviert in den “Advanced Settings” das Häkchen bei “SSH Before Rules:”.

Los geht’s!

Als erstes brauchen wir eine Liste mit Rechnernamen und zugeordneten IP’s, die wir in Excel importieren, damit diese in zwei nebeneinander stehenden Zellen stehen (nehmen wir mal an, es ist A1 (“Computer 1″) und B1 (“192.168.14.1″). In Zelle C1 geben wir folgendes ein:

="add Address IP4Address "&A1&" "&B1

Daraus ergibt sich jetzt folgendes:

add Address IP4Address Computer1 192.168.14.1

Dieser Befehl wird solange nach unten ausgefüllt, bis eben keine Computer mehr in den Zellen links zu finden sind . In Spalte C steht nun eine lange Liste an Befehlen, die wir so in das Notepad kopieren (einfach untereinander, bestimmte Syntax oder Zeilenenden müssen nicht berücksichtigt werden). Dieses wiederrum speichern wir unter c:\temp\ mit dem Namen “import.sgs” ab.

Diese Datei wird nun auf die Clavister kopiert. Dies geschieht mit SCP. SCP ist ein Protokoll womit man über SSH Daten verschlüsselt kopieren kann. Normalerweise würde man jetzt WINSCP (eine grafische Benutzeroberfläche) nehmen, aber das geht bei der vorliegenden Firewall nicht…Gott weiß warum.

Also bedienen wir uns dem Tool PSCP, ein kommandozeilenbasiertes Tool zur Dateiübertragung. Mit folgenden Parametern gestartet, wird die Datei (nach Passwortabfrage der Firewall) hochgeladen:

pscp c:\temp\import.sgs admin@[IP der Firewall]:script/

Anmerkung: Das Script mus zwingend im Unterornder “script” der Firewall landen.

Im SSH Client Putty, mit dem wir uns zur Firewall konnektiert und authentifiziert haben, führen wir nun einfach folgenden Befehl aus:

script -execute -name=import.sgs

Das war’s schon! Nun noch schnell ein “activate” und “commit” hinterherschicken, und die Adressobjekte sind da.

Ähnlich verfahren wir auch mit den Benutzern. Wir gehen davon aus, dass eine Liste mit “Benutzername”, “Password” und “Gruppe” besteht.

Der zu generierende und auszufüllende Befehl lautet:

add User [Benutzername] Password=[Password] groups=[Group]

Jedoch gibt es eine Besonderheit. Bevor dieser Befehl ausgeführt werden kann, muss folgender Befehl ausgeführt werden (der in dem Script dann am besten ganz oben stehen sollte):

cc LocalUserDatabase [Usergroup]

Anmerkung: [Usergroup] steht für die Benutzerdatenbank, in der die Benutzer landen müssen. Das hat nichts mit der Gruppe “Group” zu tun.

Das war es schon. Einfach oder? Im übrigen kann man mit der Scripting-Schnittstelle auch automatisiert Backups von der Clavister ziehen. Wie das geht? Vielleicht schreibe ich dazu mal einen Artikel .

So long,

Florian Thiessenhusen

Quizfrage: Angenommen, ihr habt einen (wahlweise einen auf Microsoft IIS basierenden) SMTP-Relayserver und wollt überwachen, ob sich Mails/Dateien in den Ordnern “Queue”, “BadMail” oder “Dropmail” befinden, die älter als…sagen wir vier Stunden sind. Wie würdet ihr das lösen (ohne einen Praktikanten oder Azubi damit zu beauftragen, jede Stunde manuell zu kontrollieren)? Wenn die Antwort “Nagios” war, dürft ihr jetzt weiterlesen!

Und zwar hatte ein Kunde kürzlich exakt dieses Problem. Wir haben daraufhin kurzerhand ein vorhandes Plugin umgeschrieben/erweitert und das entwickelt.

Darüberhinaus kann dieses Tool auch folgendes:

- Dateialter von spezifischen Dateien (basierend auf MIME-Typ) checken und Alarm geben, wenn ein Schwellwert überschritten worden ist (fileage.vbs)
- Dateialter von allen Dateien checken, die in einem Ordner sind. Älter als X Tage (in diesem Fall sieben)  gibt einen Alarm aus (youngestfile.vbs)

So sieht’s dann aus (klick):

Wie man es einbindet, hat der “Ur-Entwickler” in seinem Beitrag recht gut erklärt.

Dieses Tool ist aber nicht nur für o. g. Anwendungsfall zu empfehlen. Es lassen sich generell alle Ordner überwachen, in denen automatisiert Dateien kopiert werden und man auf Aktualität angewiesen ist.

Auch hier gilt mein besonderer Dank Christopher Sack.

Florian Thiessenhusen

Enumeration von SMB-Anfragen mithilfe von Capture- und Display filters unter Wireshark

Ich hatte vor geraumer Zeit einen Blog-Eintrag geschrieben wie man seine Freigaben und Berechtigungen von einem bestehenden Fileserver (Windows 2000, 2003, 2008 und 2008 R2 Server) über einen Registry-Export sichert und auf einem anderen System wiederherstellt – soweit, so gut.

Gibt es nicht? – gibt es nicht!

Nun kann es jedoch sein, dass ein Dateiserver ausfällt, die Systemstatussicherung einen Fehler hat und die 250 Freigaben auf dem Server nicht dokumentiert sind – gibt es nicht? – gibt es nicht!

250 Freigaben von Hand setzen?

Also bleibt einem gar nichts anderes übrig, als das Hostsystem neu zu installieren (gleicher Hostname, gleiche IP-Adresse) die Daten und die zugehörigen NTFS-Berechtigungen zurückzuspielen und alle Freigaben mit Berechtigungen von Hand zu setzen! – stimmt nicht!

Es gibt eine “tolle Möglichkeit” (toll wäre ein funktionierendes Backup) über eine Netzwerkanalyse mit Wireshark genau diese Freigaben wieder zu enumerieren und halbautomatisiert mit Excel und VBA (Visual Basic for Applications) freizugeben.

Und so funktioniert’s:

• Installation von Wireshark auf dem Fileserver
• Capture Filter auf Port 445 (SMB) einstellen

• Display Filter auf “smb.cmd == 0×75″ aktivieren

Nun erhält man alle SMB Tree Connect andx Requests und Responses. Sowohl diese die erfolgreich angefragt wurden, als auch die fehlerhaften (Anfragen von Clients an Freigaben, die aber noch nicht freigegeben sind) anfragen.

Innerhalb des Requestes kann man nun die angefragten Shares einsehen (Path: \\NT02\IP).

Wenn man jetzt über einen längeren Zeitraum den Netzwerkverkehr mitschneidet, erhält man eine nahezu komplette Liste über alle benötigten Freigaben. Dann müssen nur noch alle Freigaben in eine *.csv-Datei exportiert und mittels einer Excel-VBS-Kombination wieder halbautomatisch einspielt werden.

Im zweiten Teil wird mein Kollege Sascha Giebelhausen die weiteren Schritte für ein erfolgreiches “Desaster  Recovery” beschreiben.

Thomas Gronenwald

Links:
Wireshark SMB-Referenz

Wie ändere ich den Bonding-Mode in XenServer 5.5?

Standardmäßig nutzt XenServer 5.5 ein “source-based ARP load balancing” (balance-slb) für die erstellten Bonds. In unserem Fall, wollen wir uns jedoch am IEEE-Standard 802.3ad  / LACP (Link Aggregation Control Protocol ) orientieren.

Im generellen, bietet XenServer 5.5 folgende unterstützte Bonding-Typen an:

• balance-rr
• active-backup
• balance-xor
• broadcast
• 802.3ad
• balance-tlb
• balance-alb
• balance-slb

Um nun den gewünschten Modus zu aktivieren, muss innerhalb der /opt/xensource/libexec/interface-reconfigure der Bond-Mode in Zeile 863 angepasst werden.

Das geht schnell und einfach mit:

vi /opt/xensource/libexec/interface-reconfigure

Hinweis: Um Schnell in die richtige Zeile zu kommen einfach “863G” in VIM eingeben. Mit “i” in den Insert-Modus wechseln, Änderungen vornehmen und mit “:wq” speichern und beenden.

Um zu überprüfen ob der Bond funktioniert kann man folgenden Befehl nutzen:

cat /proc/net/bonding/bond<bondnumber>

Vorher:

Nachher:

Die dazu benötigte Bondnummer erhält man mit dem Befehl:

ifconfig

Es empfiehlt sich die Netzwerkkarten danach nocheinmal zu deaktivieren und wieder zu aktivieren, damit die Änderungen angenommen werden können:

/etc/init.d/networking restart

Thomas Gronenwald

Gesunder Herzschlag

In diesem Monat ist die Fortsetzung meiner Artikelserie “SAN-Hochverfügbarkeit mit Openfiler und DRBD-Cluster” in der Fachzeitschrift “IT-Administrator” erschienen. Unter dem Motto “Gesunder Herzschlag” – erläutere ich diesmal die Konfiguration von Heartbeat, die Erstellung der LUNs und die Einbindung in Xen Server.

Die aktuelle Ausgabe kann auch unter folgendem Link erwoben werden.

IT-Administrator als Einzelheft online erwerben

Thomas Gronenwald

Heureka: Wir haben ein Plugin gefunden, welches die Version der Signatur von “Symantec Endpoint Protection” in Nagios abfragen kann:

http://exchange.nagios.org/directory/Plugins/Anti%252DVirus/Symantec/check_sym_antivirus_dtupdate/details

Und da der geschätzte Entwickler (oder dessen Kunde) scheinbar weder der deutschen noch englischen Sprache mächtig ist, haben wir uns dran gemacht, dieses Modul ins deutsche zu übersetzen.

Das Eregbnis könnt Ihr hier runterladen. Wie das Modul in Nagios eingebunden werden kann, erfahrt ihr hier.

Special thanks to:
Jose Schiavo – Entwickler des Orginals
Christopher Sack – Übersetzer und “Neukompilierer”

Florian Thiessenhusen

Eine zentrale Monitoringlösung wie Nagios kann erst dann wirklich gegen kommerzielle Lösungen wie “What’s Up Gold” anstinken, wenn ein Grossteil der eigenen Infrastruktur darin abgebildet werden kann um sich so die verschiedensten Konsolen der eingesetzten Applikationen und Dienste zu sparen.

Dies gilt auch für AntiVirus. Nicht erst seit Conficker sollte man darauf achten, dass die Signaturen der Herteller schnell und zeitnah an die Clients verteilt werden. Und wenn man eine so, sorry Symantec, benutzerunfreundliche Managementkonsole wie den “Symantec Endpoint Protection Manager” täglich nutzen muss, freut man sich über funktionierende Alternativen. Hier zeige ich nun einen Weg auf, um die Signaturversion von “Symantec Endpoint Protection” mit Nagios auszulesen.

Was wir dafür brauchen:

• Nagios
• NSClient++
• Nagiosql
• sym_check

Im folgenden wird erklärt, wie das Modul integriert wird.

Auf dem Client:

1. Installation NSClient++ auf zu überwachendem System
2. Kopieren von check_sym_antivirus_dtupdate.exe in das “modules”-Verzeichnis
3. Anpassung nsc.ini:

[NRPE Handlers]
command[check_sep]=C:\Programme\NSClient++\modules\check_sym_antivirus_dtupdate.exe

Um zu testen, ob das Plugin funktioniert, kann auf dem Nagiossystem nun folgender Befehl ausgeführt werden:

Scheint zu funktionieren. Jetzt muss der Check nur noch in Nagios eingebunden werden.

Florian Thiessenhusen

Es begnetet mir nahezu jeden Tag. Ein Kunde möchte Systeme ausfallsicher aufbauen, möchte seine jährliche Verfügbarkeit steigern. Eine Lösungsoption dafür ist Clustering. Also die Bereitstellung eines Dienstes auf mehreren System (sog. “Nodes”) verteilt. So können Downtimes von verfügbaren Nodes abgefangen werden.

Unter Windows brauch man dafür folgendes:

• ein SAN oder Speicher, welcher von beiden Systemen erreichbar ist (für Quorum und Shared Files)
• ein Backbone Switch (um auf das SAN zuzugreifen, als FibreChannel oder GBit LAN (iScsi))
• min. zwei Systeme
• min. zwei Windows Server, Enterprise Lizenz ($$$$$$!)

Zugegeben, die eigentliche Einrichtung ist dafür denkbar einfach (weil Assistengesteuert).

Es gibt da aber auch was, was nichts kostet und aus Hardwaretechnischer Sicht nicht so aufwändig ist: UCARP. Als kostenlose Alternative zu VRRP (Cisco Patent!) und OpenSource, also beliebig veränderbar. UCARP macht eigentlich nichts anderes, als ein Node (z. B. per PING) zu überwachen, und wenn dieser nicht mehr da sein sollte, alle seine Dienste zu übernehmen (also Dienste mit vorhandenen (vorher synchronisierten) Konfigurationsparametern zu starten). Natürlich wird noch eine virtuelle IP Adresse “übernommen” und per ARP Publish auf die Switche/Router verteilt. Ein “Clusterschwenk” dauert circa 4-7 Sekunden, abhängig von den ganzen zu startenden Diensten (es ist ein Irrglaube, das MS-Cluster es schneller schaffen). Da UCARP keine besondere Schnittstelle bietet, ist eigentliche jede Software komptibel-eine besondere “Clusterfähigkeit” wird also nicht vorraussgesetzt (ich habe es mit XORP, NTPD und MySQL getestet-ich bin begeistert).

Tolle Konfigurationsbeispiele und den Download findet ihr auf http://www.ucarp.org/project/ucarp und natürlich bei mir.

Florian Thiessenhusen