Author Archives: Peter Leibling

Sophos: SSH Befehle für HA Verwaltung

Auszug aus der Sophos Doku:

<p“>Overview

If you are using High Availability you have different Shellprompts depending on the type of your node:

<M>: Node is master
<S>: Node is slave

<W>: Node is worker

High Availability command line tools

ha_daemon -c help : help

ha_daemon -c status : status information, like fifo output

ha_daemon -c takeover : start manual takeover

ha_daemon -c up2date VERSION : start up2date to VERSION

ha_daemon -c build : print running ha_daemon build info

ha_daemon build : print ha_daemon build info

ha_daemon build verbose : print verbose ha_daemon build info sethacfg: shows current HA/Cluster config

sethacfg -help: shows help

sethacfg -m off: disables ha/cluster

ha_utils status: Show HA/Cluster status overview

ha_utils debug ipsec on/off: Enable/Disable IPSec HA debug

ha_utils ssh: Connect to slave/workers

ha_utils verbose cluster on/off: Enable/Disable verbose messages

</p“>

 

Quelle: https://community.sophos.com/kb/en-us/115616


ESXI: Shutdown mit USV mit kostenlosem ESXI

Kategorie: Diverse , ESXI , Server , Support

Eine interessante Lösung wie man mit der kostenlosen ESXI Version die VMs und einen Host herunterfahren kann, habe ich auf der Seite Struband.net gefunden.

Hier der Link: https://struband.net/esxi-durch-usv-herunterfahren-lassen/

Sollte die Seite nicht mehr Online sein, so könnt ihr auch hier alternativ die PDF herunterladen.

Bevorzugt jedoch bitte die Onlineversion, da ihr sicherlich noch weitere Interessante Themen auf der Seite findet.

Danke.


Programme im abgesicherten Modus deinstallieren

Im abgesicherten Modus ist normalerweise keine (De-)Installation möglich. Beim versuch den Windows Installier Dienst zu starten kommt der Hinweis, das dies im abgesicherten Modus nicht möglich ist.

Um den Dienst auch im abgesicherten Modus zu ermöglichen, bedarf es eines Registry-Eintrags.

  • Gehen Sie auf Start > Ausführen > Regedit > Enter
  • Gehen Sie nach HKLM\System\CurrentControllSet\Control\SafeBoot\Minimal
  • Erstellen Sie einen Schlüssel mit dem Namen MSIServer
  • Denn Eintrag Standard auf der rechten Seite fügen Sie den Wert Service zu
  • Starten Sie nun den Windows Installer Service (Start > Ausführen > Services.msc)
  • Nun können Sie Software de-(installieren)

 


HP DL 380 Gen 9 startet Windows vor Server 2012 nicht (Rote Stop Meldung)

Nach einer erfolgreichen recovery auf neuer Hardware startete der neue HP Server nicht mehr mit Windows 2008R2 bzw. Small Business Server 2011 nicht mit einer Stop Meldung in Roter Schrift nach dem Bios (RIP Address out of Range).

Nach einer kurzen Recherche im Web, war das Problem schnell gefunden.

Im Bios (bzw. UEFI) musste nur der UEFI Optimized Boot auf disabled gestellt werden.

Danach startetet der Server auch ohne Probleme.


ESXI 6.5 (Free) – Neuen Admin anlegen

  • Im ESXI WebUI anmelden.
  • Unter Verwalten > Sicherheit und Benutzer > Benutzer einen neuen Benutzer anlegen.
  • Dann unter Host > Aktionen > Berechtigungen diesen User mit entsprechender Rolle anlegen.

ESXI 6.5 (Free) mit öffentlichen Zertifikat ausstatten

Da der ESXI nun mit einem Webinterface ausgestattet ist, welches mittlerweile gut unter OSX funktioniert, möchte ich gerne komfortabler und sicherer auf das Webinterface zugreifen.

Dazu möchte ich gerne den Server mit einem gültigen öffentlichen 3 Jahres Zertifikat von Comodo ausstatten, welches ich auf meinem Exchange Server verwende. Dieses habe ich für ca. 15€ für insgesamt 3 Jahre über https://www.ssls.com bezogen.

Das ganze gestaltete sich jedoch schwieriger als ich dachte und ich war froh darüber, das ich Support vom VMWare-Forum bekommen hatte – hier besonderen Dank an ~thc, irix und mbreidenbach.

Vorbereitend benutzte ich einen Windowsrechner, wo ich OpenSSL 32 Bit installierte und mir dort einen Key und ein CSR erstellte, welches ich zertifizieren ließ und anschließend auf dem ESXI Host an die entsprechende Stelle brachte.

Dazu ging ich wie folgt auf dem Windowsrechner vor:

  • In das Verzeichnis C:\OpenSSL\bin wechseln
  • Die openssl.cfg weg sichern und den Inhalt ersetzen wie hier (Rot durch eigene Werte ersetzen):
[ req ]
default_bits = 2048
default_keyfile = rui.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS:esxi, IP:192.168.99.1, DNS:esxi.leibling.de

[ req_distinguished_name ]
countryName = DE
stateOrProvinceName = Northrhine-Westfalia
localityName = Koeln
0.organizationName = Familie Leibling
organizationalUnitName = EDV
commonName = esxi.leibling.de
  • Den folgenden Befehl starten: openssl req -nodes -new -newkey rsa:4096 -sha512 -keyout rui.key -out rui.csr -config openssl.cfg
  • Die rui.key benötigen wir später, aus dem rui.csr erstellen wir beim Zertifizieren einen Zertifikatsantrag.
  • Wenig später sollte das fertige Zertifikat per Email zugesendet werden.
  • Die Zipdatei Entpacken wir und wechseln auf der Befehlszeile in das Verzeichnis und geben dort folgenden Befehl ein (alles in einer Zeile, sollte euer Browser hier mehrere Zeilen erstellen, bitte diese zusammenführen): cat esxi_domain_de.crt COMODORSADomainValidationSecureServerCA.crt
    COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > combined.crt
  • Bei mir war nun das Problem, das dieses Zertifikat im PKCS7-Format war und nicht wie benötigt im pem-Format (konnte man in der ersten Zeile erkennen wenn man die Datei in einem Texteditor öffnete) – die Lösung hier sollte sein, das man die combined.crt in das Verzeichnis C:\OpenSSL\bin kopiert und den folgenden Befehl eingibt – sollte die Datei schon im pem-Format gewesen sein, muss sie nur noch in rui.crt umbenannt werden. Der Befehl für die Konvertierung lautet: openssl pkcs7 -in combined.crt -print_certs -out rui.crt
  • Nun schalten Sie auf dem ESXI SSH ein und erstellen Sie in einem Datastore einen Ordner ZERTIFIKATE. Laden Sie nun die Datei rui.crt und rui.key in den Ordner.
  • Gehen Sie mit SSH auf den ESXI (z.B. unter Windows mit Putty oder unter OSX direkt im Terminal mit ssh ipadresse -lroot und verbinden sich zum ESXI.
  • Gehen Sie in das Verzeichnis /etc/vmware/ssl und benennen Sie die Datei rui.crt und key.key um (z.B. mv rui.crt rui.crt.save und mv rui.key rui.key.save).
  • Kopieren sie nun die neuen Dateien an den Ort (cp /vmfs/Volumes/datastorename/ZERTIFIKATE/rui.* ./ – beachten Sie bitte, das Linux Groß- und Kleinschreibung unterscheidet).
  • Starten Sie den Webdienst neu (/etc/init.d/rhttpproxy restart).

Achtung: Sollten Sie eine Fehlermeldung erhalten, welche anzeigt das die Seite nicht geöffnet werden kann – sollten Sie unbedingt wieder die neuen Dateien umbenennen in z.B. rui.crt.new bzw. rui.key.new und die gesicherten *.save Dateien wieder zurück nennen und starten Sie den Dienst neu.

Ich hatte dies im ersten Durchgang nicht so getan und musste dummerweise den gesamten ESXI auf Werkseinstellungen zurücksetzen – zwar bleiben die VM’s dabei erhalten, jedoch war einer der Datastore der unter ESXI 6.0 erstellt war nicht mehr im Zugriff (diesen konnte ich auch nicht mit der Webgui wieder bekannt machen, sondern musste auf den VMWare Client zurückgreifen) und alle andern Informationen wie Netze, Autostartkonfigurationen, Lizenzen usw. waren weg. Zusätzlich waren keine VMs mehr registriert.

Übrigen läßt sich mit einem iPad wunderbar die Webgui bedienen – inklusive der VMs 😉 :

Links:


Alexa erobert unser Heim (mit Automatisierungsbeispielen)

Eigentlich wollte ich die Sprachsteuerung mit Siri realisieren – doch leider scheiterte das an den strengen Vorgaben von Apple. Es funktioniert leider nur sehr wenig Hardware und die Lösung über die sogenannte HA-Bridge funktionierte leider nur sehr instabil bei mir.

So macht das keinen Sinn.

Deswegen freute ich mich, als ich von Alexa hörte und noch mehr als ich davon hörte, das Alexa auch noch mit Sonos direkt verbunden werden sollte (was jedoch noch nicht erfolgt ist).

Mittlerweile ist auch der Skill (so heißen die Brücken zwischen den Softwarelösungen und Alexa) von meiner Hausautomationslösung Symcon offiziell verfügbar.

Über Symcon habe ich ca. 40 „Geräte“ angelegt, wie z.B.

Moeller XComfort:

  • Rollos (An, Aus und Öffnungsgrad)
  • Zwischenstecker (An und Aus) und
  • Schalter (An und Aus)

Homematic:

  • Heizungen (Temperatur) und
  • Dachfenster (Auf, Zu und Öffnungsgrad)

Sowie einige Scripte die Szenen steuern:

Schlafen gehen:

  • Es wird das Dachfenster geöffnet.
  • Für das Dachfenster wird ein Timer für eine Stunde gestellt.
  • Es wird der Sonos im Schlafzimmer eingeschaltet.
  • Der Sonos wählt die Schlaf Playliste.
  • Der Sonos wird auch 15% Lautstärke eingestellt.
  • Für den Sonos wird der Ausschalttimer auf eine Stunde gestellt.

Schlafprogramm:

  • Alle nichtbenötigten Heizungen werden auf 17° runtergeregelt.
  • Alle Rollos werden geschlossen.
  • Alle Sonos werden ausgeschaltet.
  • Alle Lichter werden ausgeschaltet.
  • Das Licht im Bad wird eingeschaltet auf 30% Helligkeit.

Sonos:

  • Steuern der Sonos Geräte (An, Aus und Lautstärke) – hierbei wird jedoch nur de entsprechende Sonos mit der letzten Wiedergabe fortgesetzt.

Da die Steuerung über den Hausautomationsskill realisiert wird, spart man sich den Befehl um in einen anderen Skill zu wechseln (z.B. „sage <skillname> …“) – hat jedoch dafür nur einen beschränkten Sprachschatz auf den man zurückgreifen kann, wie z.B.:

Schalte <Name> an

Schalte <Name> aus

Stelle <Name> auf x% (z.B. Rollos, Licht, Sonos Laufstärke)

Stelle <Name> auf x° (Heizung)

Leider hat man jedoch auch gelegentlich das Problem, das Alexa nicht versteht welches Gerät gemeint war und dann noch mal nachfragt.

Um die Alexa-Lösung zu realisieren benötigt man folgendes:

  • Natürlich einen Amazon Echo Dot (ab 60€, zum testen kann man auch die Reverb App nehmen).
  • Ein Amazon Prime Account wird laut meiner Information nicht benötigt – empfiehlt sich jedoch, da dann Alexa auch auf die Amazon Musikdatenbank zurückgreifen kann – diese Musikdatenbank nutzen wir parallel zu Spotify.
  • Symcon: Hier reicht die Basis Lizenz für 99€ aus, diese enthält einen Monat Subscription. Die Subscription wird benötigt, damit Alexa (und natürlich auch die Smartphone-Apps) mit eurer Steuerung zuhause gesichert kommunizieren kann. Solltet ihr eine eigene Verbindung einrichten (Zertifikat und DyNDS bzw. feste IP) – so könntet ihr auf den Dienst verzichten, ansonsten werden pro Jahr ca. 40€ fällig.
  • Ein Server wie z.B. ein Raspberry Pi 3 B-Version mit Zubehör wie Gehäuse, Netzteil, SD Karte (als Set zusammen ab ca. 70€).
  • Zu guter Letzt dann die Hausautomation selber, hier kann ich für den günstigen Einstieg Homematic empfehlen, da diese relativ günstig sind, eine breite Auswahl an Aktoren haben, Bi-Directional arbeiten (damit keine Funkbefehle verloren gehen) und Routingfähig sind (Leiten Befehle und Statusinformationen über andere Aktoren weiter). Entsprechende Startersets wie CCU2 (Steuereinheit) gibt es ab 92€ – Aktoren ab ca. 40€.

Parallel zu Alexa nutze ich noch:

  • Webfront (Webinterface)
  • iOS App (iPhone und Watch) und
  • IPSView (grafische Visualisierung z.B. auf meinem iPad)

Natürlich kann man die Hausautomation auch noch um etliche Dinge erweitern, so habe ich vor kurzem noch Homematic-Funk-Rauchmelder integriert welche natürlich mit in der Hausautomation integriert sind und folgenden Komfort bieten bei einem Alarm:

  • Rechtzeitige Erkennung und Alarmierung in allen Räumen, da untereinander Vernetzt.
  • Hochfahren der Rollos, damit entsprechende Fluchtmöglichkeiten bestehen.
  • Einschalten der Lichter, damit eine bessere Orientierung gegeben ist.
  • Informieren über Sonos in welchen Raum der Alarm ausgelöst wurde (das ist zur Zeit noch nicht realisiert, die Idee entstand erst gestern Abend).

SBS 2011 Exchange, AD und DNS funktionieren nicht mehr, Fehler: Zugriff verweigert

Ich hatte dass Problem bei einem Kunden, das nach einem Neustart der Exchange Server nicht mehr startete.

Bei der Fehlersuche fand ich heraus, das das auch kein Zugriff auf DNS Management Konsole mehr möglich war, ich bekam die Fehlermeldung „Zugriff verweigert“ und in der Ereignissanzeige fand ich mehrere Meldungen, die Anmeldeprobleme bestätigten.

Weiterhin seltsam war, das der Server nicht mehr einem „Domänennetzwerk“ zugeordnet war, sondern nur noch einem Öffentlichen Netzwerk – man konnte zwar diesen in einem „Arbeitsplatznetzwerk“ zuordnen, jedoch nicht mehr einem Domänennetzwerk.

Neustarts halfen nichts und dauerten ewig (ca. 40 Minuten bis die GUI komplett geladen war).

Recherchen zeigten, das wohl intern die „interdomain trustrelationship“ beschädigt war.

Nach einem Neustart habe ich dann den folgende Befehlt eingeben:

nltest /sc_change_pwd:domainname.local

Als Antwort erhielt ich folgende Meldung:

Kennzeichen: 0
Verbindung Status = 0 0x0 NERR_Success
Der Befehl wurde ausgeführt.

Danach habe ich denn Server neugestartet und siehe da, wie von Zauberhand war das Problem behoben.

Der Server startete wieder schneller, Exchange funktionierte, der Zugriff auf die DNS Management Konsole war ohne Probleme möglich und in den Netzwerkeinstellungen war der Server wieder einem Domänennetzwerk zugeordnet.

Quelle: https://davidatkin.com/blog/server-2008-r2-sbs2011-dns-access-denied-network-unauthenticated/


MacBook Pro 2016 Bildschirm sperren

Da ich mein Laptop im Außendienst nutze muss ich mehrfach am Tag den Bildschirm sperren.

Dazu kann man die Tastenkombination STRG + SHIFT + POWER drücken.

Leider geht das jedoch nicht mehr mit den aktuellen MacBook Pro mit der Touchbar, da der Powerknopf dafür nicht mehr herhalten kann.

Eine andere Möglichkeit wäre, oben in der Taskleiste den Benutzerumschalter zu aktivieren (Einstellungen > Benutzer & Gruppen > Anmeldeoptionen > Menü für schnellen Benutzerwechsel).

Jedoch gefällt mir diese Option nicht so, da man dort zwei mal klicken und die Mouse für nutzen muss, das dauert mit zu lange.

Eine schicke Option ist es, einfach einen Abmeldebutton in der Touchbar einzurichten. Hier kann man mit einem Klick sperren und auch wieder mit einem Klick auf TouchID wieder anmelden. Dazu einfach unter Einstellungen > Tastatur > Tastatur > Control Strip anpassen > Bildschirmsperre unten auf die Touchbar ziehen.

Einfach, genial und schnell :).

Wenn man die Apple Watch hat, kann man hier die Anmeldung deaktivieren (Einstellung > Sicherheit > Allgemein > Hacken raus bei Deiner Apple Watch das Entsperren deines Macs erlauben), da sonst auch das Gerät entsperrt wird, wenn man in der Nähe ist.

Natürlich sollte man auch bei Einstellungen >Sicherheit > Allgemein > Passwort erforderlich sofort nach Beginn des Ruhezustands oder Bildschirmschoner.


Windowsupdate Probleme beheben

Bei vielen System kommt es nach einiger Zeit zu dem Problem, das Windowsupdate nicht mehr richtig zu funktionieren scheint und Mittunter mehrere Stunden oder manchmal gar Tage bis es anfängt upzudaten.

Dies kann auch bei frisch installierten Systemen passieren.

Grund ist wie mittlerweile Windowsupdate funktioniert, das System wird genau geprüft was genötigt wird und dann so umgebaut, das es sich für Windowsupdates vorbereitet.

Dies läßt sich jedoch auch schneller bewerkstelligen.

Dazu kann man einfach den letzten „Servicing Stack“ downloaden und danach dann das letzte „Rollup“.

Diese Dateien finden Sie im Microsoft Update Catalog unter https://www.catalog.update.micrsoft.com.

Die Dateien sind wie folgt:

Windows 7:
Servicing Stack: KB 3177467
Juli 2016 Rollup: KB3172605

Windows 8:
Auf Windows 8.1 updaten!

Windows 8.1:
Servicing Stack: KB3173424
Juli 2016 Rollup: KB3172614

Windows 10:
Installieren sie das letzte Build!

Sollten Probleme mit Windows 10 bestehen, kann es sein das man die Updates neu aufbauen muss:

net stop wuauserv
net stop bits
ren %systemroot%\SoftwareDistribution %systemroot%\SoftwareDistribution.bak
net start bits
net start wuauserv

Sollte das auch nicht helfen, dann kann man noch den MS Troubleshooter testen (latestwu.diag-cab).

– Dieser Artikel beruht auf Informationen aus der CT 03/2017 –