Author Archives: Peter Leibling

Sophos: Voip/SIP mit Telekom DeutschlandLAN

Bei einem DeutschlandLAN Anschluß wird SIP/VOIP über die bestehenden Internetleitung realisiert. In dem Beispiel habe ich einen DSL Anschluß welcher über eine Sophos UTM 9.5 realisiert wird und eine Avaya IP Office Anlage mit mehreren Telefongeräten. Die Telefonanlage hängt im lokalen Netz – man könnte auch die Telefonie trennen und auf ein eigenes Interface der Sophos legen oder ein eigenes VLAN verwenden, das war jedoch hier nicht gewünscht.

An der TAE Dose (kein NTBA oder Splitter dazwischen) hängt ein Telekom Speedport Entry 2 welcher ADSL und VDSL beherscht.

An dem Port LAN1 hängt ein LAN Kabel welches auf einen Netzwerk-Port der Sophos geht. Die PPPoE Einwahl läuft erfolgreich über diesen Port. Internet wird über diesen Anschluß realisiert.

Die Zugangsdaten wurden wie folgt eingerichtet:

Username: <Anschlusskennung><Onlinekennung><Mitbenutzer>@t-online.de
Kennwort: <Kennwort>

Bei VDSL bitte darauf achten, das bei der Sophos VDSL bei der PPPoE Einwahl erfolgt und auch VLAN7 getaggt ist. Sollte ein VDSL Modem mit integriert sein, bitte auch schauen ob diese ein VLAN Tagging benötigt.

Die DNS Server waren zuvor auf externe von Google eingestellt, diese habe ich jedoch auf die externen DNS Server welche bei der PPPoE Einwahl bereitgestellt werden (falls nicht automatisch, dann fest einstellen – Adressen können in dem PPPoE Log eingesehen werden). Dies wird benötigt, da die Services über DNS (z.B. _sip._regs.sip-trunk.telekom.de) aufgelöst werden müssen. Bei der Avaya IP Office kann man für die SIP Verbindung gar eigene DNS Server angeben – somit würde diese Anpassung nicht benötigt.

Eine Besonderheit, die ich habe in meinem Fall ist, das ich nicht über die ADSL Leitung rausgehe, sondern Parallel über eine weitere SDSL Leitung, damit jedoch die Telefonanlage auch die Leitung nutzt auf der das Voip läuft, habe ich eine neue Richtlinienroute erstellt (Schnittstellen & Routing > Statisches Routing > Richtlinien Routing > Neue Richtlinie) wie folgt:

Ob diese Regel funktioniert, testet man am besten an einem PC – wenn man die Seite wieistmeineip.de aufruft und die Regel aktiviert muss sich die IP über die man rausgeht ändern auf die Adresse der DeutschlandLAN Leitung.

Je nach Bandbreite sollte man auch noch ein QoS für SIP erstellen.

Dazu dann unter Schnittstellen & Routing > Status die Ports aktivieren und die richtigen Bandbreiten einstellen (in MBit). Dann unter Verkehrskennzeichner einen neuen Eintrag erstellen wie folgt (Adresse der Telefonanlage):

Und anschließend noch unter Bandbreiten Pools noch einen entsprechenden Bandbreitenpool anlegen wie folgt:

Wenn man dann in der Telefonanlage sieht, das sich die Anlage registriert die Rufnummer 0800 55 10033 anrufen, danach beginnt dann die Portierung.

Wird später komplett auf diese Leitung umgestellt sind weitere Anpassungen erforderlich:

  • Im Kundencenter feste IP aktivieren (evtl. übernehmen).
  • DNS Eintrag anpassen.
  • Ist DNS eingerichtet kann man nach kurzer Zeit auch im Kundencenter den DNS-Reverseeintrag einrichten.
  • Kontrollieren ob Name auch auf eventuelle Zeritifikat passt (z.B. bei Exchange Server).
  • Evtl. vorhandene Einträge im SPF für DNS Eintragen (siehe https://www.leibling.de/email-spf-erstellen/).
  • NAT und Firewallregeln anpassen.
  • Schnittstellenrouting entfernen.
  • QoS anpassen sofern eingerichtet.

Update:

In einem bestimmten Falle wurde die Leitung auch direkt von ADSL auf VDSL umgestellt. Es ist ein Speedport Entry 2 vor Ort eingesetzt – mit dem aktuellsten Firmwareupdate (zu finden unter https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-entry-2/firmware-zum-speedport-entry-2?samChecked=true) war dieses auch VDSL Kompatibel und konnte auf LAN2 im Modem Betrieb den Status ausgeben (http://169.254.2.1). Dort kann man dann die Verbindung einsehen:


Exchange: TLS Testen

Ein Exchangeserver verwendet wenn möglich TLS (muss auf dem Sende- und Empfangsconnector eingerichtet sein).

Möchte man gerne die Verbindungen kontrollieren, dann kann man OpenSSL installieren und mit dem folgenden Befehl die Verbindung kontrollieren:

openssl s_client -connect remote.leibling.de:25 -starttls smtp

Windows Server 2008: Sicherung auf NAS (SMB Netzwerkfreigabe)

Windows Server 2008 wird leider noch bei einigen Kunden eingesetzt obwohl er EOL (End of Life) ist.

Dieser bietet zwar die Windows Sicherung an, kann jedoch mit der GUI nicht auf einem Netzlaufwerk (NAS / SMB).

Mit der GUI kann man auf USB, Firewire oder iSCSI Laufwerke sichern.

Die GUI kann im Servermanager als Feature installiert werden.

Wenn die Sicherung auf einem NAS benötigt wird, dann kann man dies nicht mit der GUI, jedoch mit den Befehlszeilen Tools realisieren – diese können ebenfalls als Feature installiert werden.

Es kann ein Sicherungsskript erstellt werden welches mit dem Aufgabenplaner entsprechend ausgeführt wird:

@ECHO OFF
REM zuerst Backup Verzeichnis der NAS mappen und alte Verzeichnisse löschen
REM Anzahl = Anzahl der Verzeichnisse, die nicht gelöscht werden
REM fuer Aktivierung ECHO entfernen, ansonsten nur Anzeige
NET USE X: \\IP-NAS\FREIGABE /user:USER PASS
set Loesch=X:\
set Anzahl=5
for /f "skip=%Anzahl%" %%i in ('dir /AD /B /O-D %Loesch%') do echo rd /s /q "%Loesch%\%%i"

REM neues Backupverzeichnis nach Datum erstellen
set jahr=%date:~-4%
set monat=%date:~-7,2%
set tag=%date:~-10,2%

set newfolder=%jahr%-%monat%-%tag%
mkdir X:\%newfolder%

REM Backup durchführen
REM wbadmin Befehlszeile einfügen, z.B
wbadmin start backup -allCritical -include:C: -backupTarget:\\IP-NAS\FREIGABE\%newfolder% -vssfull -quiet

REM Variablen loeschen
net use X: /delete /yes > NUL
set Loesch=
set Anzahl=
set jahr=
set monat=
set tag=
set newfolder=
EXIT

Quelle: https://www.mcseboard.de/topic/193805-sbs2011-skript-backup-auf-nas/?do=findComment&comment=1200963

Weiterführende Informationen zu WBAdmin: https://www.it-zeugs.de/wbadmin.html


HP iLO 4: Hostnamen ändern

Melden sie sich im iLO Webinterface an und gehen Sie zu Network > iLO Dedicated Network Port bzw. Shared Network Port (je nachdem was sie verwenden) > General und geben Sie den Hostnamen ein.

Sollten Sie DHCP verwenden, können Sie hier keinen Domainnamen eingeben. Verwenden sie eine feste IPv4 Adresse, achten Sie bitte auch darauf das kein IPv6 DHCP verwendet, sonst ist dieser Punkt Domain Name ausgegraut und kann nicht geändert werden.

Starten Sie anschließend das iLO neu unter Information > Diagnostics > Reset iLO .

Laut HP Dokumentation sollte das Zertifikat neu erstellt werden, was bei mir jedoch nicht funktionierte.

Dies kann man kontrollieren unter Security > SSL Certificate, dort wurden noch  die alten Einstellungen angezeigt.

Ich habe mir dann ein neues Zertifikat erstellt wie hier angegeben:

Replace HP iLO security certificates

Dieses konnte ich dann verwenden.


ESXI 6.5: Hostname ändern und neues Zertifikat generieren

Der Hostname kann einfach über die Webgui geändert werden unter Admingui > Netzwerk > TCP/IP Stack > Standard TCP/IP Stack > Bearbeiten.

Damit das Zertifikat jedoch den neuen Namen aufweist, muss man sich auf der Shell vom ESXI (dazu die Dienste unter Server > Aktionen > Dienste > SSH aktivieren auswählen und per SSH Client wie z.B. Putty verbinden) einloggen und mit dem folgenden Befehl ein neues Zertifikat generieren:

/sbin/generate-certificates

Quelle: http://www.ntweekly.com/2017/02/22/how-to-change-an-esxi-6-5-hostname-using-the-web-client/

Informationen falls sie ein vorhandenes iLO anpassen könnten finden hier.


Outlook mit öffentlichen Ordner starten

Wenn man Outlook in einem bestimmten lokalen Ordner wie Kalender usw. starten möchte, dann kann man dies in den Optionen einstellen. Leider werden hier jedoch nicht die öffentlichen Ordner angezeigt.

Erstellen Sie dazu eine Verknüpfung zur Outlook.exe Datei und öffnen dann die Eigenschaften.

Sie haben nun den Pfad wie z.B.

"C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE"

Erweitern sie nun wie folgt:

/select "outlook://Öffentliche Ordner - ihre@emailadresse.de\Alle Öffentlichen Ordner\Ordnername"

Ersetzen Sie ihre@emailadresse.de natürlich mit ihrer eigenen und Ordnername mit dem Namen des Ordners (bzw. gesamten Pfades) wie in Outlook angegeben – wobei wichtig ist, das die Pfade genauso geschrieben sind wie im Outlook angegeben.

Das Ergebnis würde also so aussehen:

"C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE" /select "outlook://Öffentliche Ordner - ihre@emailadresse.de\Alle Öffentlichen Ordner\Ordnername"

Email: SPF erstellen

Kategorie: Exchange , Server , Sophos , Support

Bei einem Kunden wurden gefälschte Emails an die Buchhaltung gesendet, welche vorgaben von der Geschäftsleitung zu sein, welches das Ziel hatten die Buchhaltung zur Geldüberweisung zu bewegen.

Damit solche gefälschten Mails nicht mehr ankommen (zumindest nicht mit dem gefälschten Absender aus der eigenen Domain) habe ich dann im DNS SPF (Sender Policy Framework) eingerichtet – SPF war schon auf dem Mailgateway eingerichtet.

SPF wird im DNS in Form eine TXT Records eingerichtet – dieser sollte so aussehen:

v=spf1 include:remote.leibling.de include:mx.worldserver.net -all

Im Include sollte jeder Server stehen, der Mails im Namen der Domain versendet. Es kann auch mit ip4:1.2.3.4/24 erweitert werden.

Weitere Infos: https://de.wikipedia.org/wiki/Sender_Policy_Framework

Ein Tool um SPF Einträge zu erstellen gibt es hier: http://www.spf-record.de/generator

Ein Tool um den SPF zu prüfen gibt es hier: https://dmarcian.com/spf-survey/

 


ESXI Fehler: Arbeitsspeichergrenzwert akzeptiert nicht den negativen Wert

Der ESXI 6.5 hat nur noch ein Webinterface – so das man nicht mehr auf einem FAT Client ausweichen kann, wenn man Probleme mit der Webgui haben sollte.

Leider kommt es oft vor, das wenn man eine VM Konfiguriert einem der folgende Fehler die Konfiguration verweigert:

Arbeitsspeichergrenzwert akzeptiert nicht den negativen Wert

Ich habe dies oft wenn ich den Firefox verwende und eine VM Wiedergabe und dann über diese dann die Einstellungen öffnen möchte.

Bisher konnte ich das Problem immer lösen, wenn ich folgendes ausführte – manachmal half das direkt, manchmal muss ich jedoch auch den nächsten Schritt ausführen:

  • VM Fenster und Eigenschaften schließen, öffnen der Eigenschaften durch rechte Maustaste auf den VM Namen.
  • Aktualisieren des Browser inklusive neuanmelden – dabei jedoch achten, das man die Übersicht aufruft und nicht wieder direkt die VM.
  • Als letzten Weg hatte ich dann eben eifach einen anderen Browser zu verwenden (z.B. Chrome oder Edge).

Windows: vssadmin delete shadows /all meldet Fehler

Sollte man nicht benötigte Snapshots wegräumen und bekommt den folgenden Fehler:

Fehler: Die gefundenen Snapshots befinden sich außerhalb des für Sie zulässigen Kontexts. Entfernen Sie sie mithilfe der Sicherungsanwendung, von der sie erstellt wurden.

Kann man wie folgt vorgehen:

CMD (als Administrator ausführen)

diskshadow

delete shodows all