Kategorie: Diverse

ESXI: Shutdown mit USV mit kostenlosem ESXI

Kategorie: Diverse , ESXI , Server , Support

Eine interessante Lösung wie man mit der kostenlosen ESXI Version die VMs und einen Host herunterfahren kann, habe ich auf der Seite Struband.net gefunden.

Hier der Link: https://struband.net/esxi-durch-usv-herunterfahren-lassen/

Sollte die Seite nicht mehr Online sein, so könnt ihr auch hier alternativ die PDF herunterladen.

Bevorzugt jedoch bitte die Onlineversion, da ihr sicherlich noch weitere Interessante Themen auf der Seite findet.

Danke.


Programme im abgesicherten Modus deinstallieren

Im abgesicherten Modus ist normalerweise keine (De-)Installation möglich. Beim versuch den Windows Installier Dienst zu starten kommt der Hinweis, das dies im abgesicherten Modus nicht möglich ist.

Um den Dienst auch im abgesicherten Modus zu ermöglichen, bedarf es eines Registry-Eintrags.

  • Gehen Sie auf Start > Ausführen > Regedit > Enter
  • Gehen Sie nach HKLM\System\CurrentControllSet\Control\SafeBoot\Minimal
  • Erstellen Sie einen Schlüssel mit dem Namen MSIServer
  • Denn Eintrag Standard auf der rechten Seite fügen Sie den Wert Service zu
  • Starten Sie nun den Windows Installer Service (Start > Ausführen > Services.msc)
  • Nun können Sie Software de-(installieren)

 


HP DL 380 Gen 9 startet Windows vor Server 2012 nicht (Rote Stop Meldung)

Nach einer erfolgreichen recovery auf neuer Hardware startete der neue HP Server nicht mehr mit Windows 2008R2 bzw. Small Business Server 2011 nicht mit einer Stop Meldung in Roter Schrift nach dem Bios (RIP Address out of Range).

Nach einer kurzen Recherche im Web, war das Problem schnell gefunden.

Im Bios (bzw. UEFI) musste nur der UEFI Optimized Boot auf disabled gestellt werden.

Danach startetet der Server auch ohne Probleme.


ESXI 6.5 (Free) mit öffentlichen Zertifikat ausstatten

Da der ESXI nun mit einem Webinterface ausgestattet ist, welches mittlerweile gut unter OSX funktioniert, möchte ich gerne komfortabler und sicherer auf das Webinterface zugreifen.

Dazu möchte ich gerne den Server mit einem gültigen öffentlichen 3 Jahres Zertifikat von Comodo ausstatten, welches ich auf meinem Exchange Server verwende. Dieses habe ich für ca. 15€ für insgesamt 3 Jahre über https://www.ssls.com bezogen.

Das ganze gestaltete sich jedoch schwieriger als ich dachte und ich war froh darüber, das ich Support vom VMWare-Forum bekommen hatte – hier besonderen Dank an ~thc, irix und mbreidenbach.

Vorbereitend benutzte ich einen Windowsrechner, wo ich OpenSSL 32 Bit installierte und mir dort einen Key und ein CSR erstellte, welches ich zertifizieren ließ und anschließend auf dem ESXI Host an die entsprechende Stelle brachte.

Dazu ging ich wie folgt auf dem Windowsrechner vor:

  • In das Verzeichnis C:\OpenSSL\bin wechseln
  • Die openssl.cfg weg sichern und den Inhalt ersetzen wie hier (Rot durch eigene Werte ersetzen):
[ req ]
default_bits = 2048
default_keyfile = rui.key
distinguished_name = req_distinguished_name
encrypt_key = no
prompt = no
string_mask = nombstr
req_extensions = v3_req

[ v3_req ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment, dataEncipherment
extendedKeyUsage = serverAuth, clientAuth
subjectAltName = DNS:esxi, IP:192.168.99.1, DNS:esxi.leibling.de

[ req_distinguished_name ]
countryName = DE
stateOrProvinceName = Northrhine-Westfalia
localityName = Koeln
0.organizationName = Familie Leibling
organizationalUnitName = EDV
commonName = esxi.leibling.de
  • Den folgenden Befehl starten: openssl req -nodes -new -newkey rsa:4096 -sha512 -keyout rui.key -out rui.csr -config openssl.cfg
  • Die rui.key benötigen wir später, aus dem rui.csr erstellen wir beim Zertifizieren einen Zertifikatsantrag.
  • Wenig später sollte das fertige Zertifikat per Email zugesendet werden.
  • Die Zipdatei Entpacken wir und wechseln auf der Befehlszeile in das Verzeichnis und geben dort folgenden Befehl ein (alles in einer Zeile, sollte euer Browser hier mehrere Zeilen erstellen, bitte diese zusammenführen): cat esxi_domain_de.crt COMODORSADomainValidationSecureServerCA.crt
    COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > combined.crt
  • Bei mir war nun das Problem, das dieses Zertifikat im PKCS7-Format war und nicht wie benötigt im pem-Format (konnte man in der ersten Zeile erkennen wenn man die Datei in einem Texteditor öffnete) – die Lösung hier sollte sein, das man die combined.crt in das Verzeichnis C:\OpenSSL\bin kopiert und den folgenden Befehl eingibt – sollte die Datei schon im pem-Format gewesen sein, muss sie nur noch in rui.crt umbenannt werden. Der Befehl für die Konvertierung lautet: openssl pkcs7 -in combined.crt -print_certs -out rui.crt
  • Nun schalten Sie auf dem ESXI SSH ein und erstellen Sie in einem Datastore einen Ordner ZERTIFIKATE. Laden Sie nun die Datei rui.crt und rui.key in den Ordner.
  • Gehen Sie mit SSH auf den ESXI (z.B. unter Windows mit Putty oder unter OSX direkt im Terminal mit ssh ipadresse -lroot und verbinden sich zum ESXI.
  • Gehen Sie in das Verzeichnis /etc/vmware/ssl und benennen Sie die Datei rui.crt und key.key um (z.B. mv rui.crt rui.crt.save und mv rui.key rui.key.save).
  • Kopieren sie nun die neuen Dateien an den Ort (cp /vmfs/Volumes/datastorename/ZERTIFIKATE/rui.* ./ – beachten Sie bitte, das Linux Groß- und Kleinschreibung unterscheidet).
  • Starten Sie den Webdienst neu (/etc/init.d/rhttpproxy restart).

Achtung: Sollten Sie eine Fehlermeldung erhalten, welche anzeigt das die Seite nicht geöffnet werden kann – sollten Sie unbedingt wieder die neuen Dateien umbenennen in z.B. rui.crt.new bzw. rui.key.new und die gesicherten *.save Dateien wieder zurück nennen und starten Sie den Dienst neu.

Ich hatte dies im ersten Durchgang nicht so getan und musste dummerweise den gesamten ESXI auf Werkseinstellungen zurücksetzen – zwar bleiben die VM’s dabei erhalten, jedoch war einer der Datastore der unter ESXI 6.0 erstellt war nicht mehr im Zugriff (diesen konnte ich auch nicht mit der Webgui wieder bekannt machen, sondern musste auf den VMWare Client zurückgreifen) und alle andern Informationen wie Netze, Autostartkonfigurationen, Lizenzen usw. waren weg. Zusätzlich waren keine VMs mehr registriert.

Übrigen läßt sich mit einem iPad wunderbar die Webgui bedienen – inklusive der VMs 😉 :

Links:


Windowsupdate Probleme beheben

Bei vielen System kommt es nach einiger Zeit zu dem Problem, das Windowsupdate nicht mehr richtig zu funktionieren scheint und Mittunter mehrere Stunden oder manchmal gar Tage bis es anfängt upzudaten.

Dies kann auch bei frisch installierten Systemen passieren.

Grund ist wie mittlerweile Windowsupdate funktioniert, das System wird genau geprüft was genötigt wird und dann so umgebaut, das es sich für Windowsupdates vorbereitet.

Dies läßt sich jedoch auch schneller bewerkstelligen.

Dazu kann man einfach den letzten „Servicing Stack“ downloaden und danach dann das letzte „Rollup“.

Diese Dateien finden Sie im Microsoft Update Catalog unter https://www.catalog.update.micrsoft.com.

Die Dateien sind wie folgt:

Windows 7:
Servicing Stack: KB 3177467
Juli 2016 Rollup: KB3172605

Windows 8:
Auf Windows 8.1 updaten!

Windows 8.1:
Servicing Stack: KB3173424
Juli 2016 Rollup: KB3172614

Windows 10:
Installieren sie das letzte Build!

Sollten Probleme mit Windows 10 bestehen, kann es sein das man die Updates neu aufbauen muss:

net stop wuauserv
net stop bits
ren %systemroot%\SoftwareDistribution %systemroot%\SoftwareDistribution.bak
net start bits
net start wuauserv

Sollte das auch nicht helfen, dann kann man noch den MS Troubleshooter testen (latestwu.diag-cab).

– Dieser Artikel beruht auf Informationen aus der CT 03/2017 –


Windows: Eigenes RDP Zertifikat verwenden

Tags :

Kategorie: Allgemein , Diverse , Server , Support

Wenn man ein eigens Zertifikat hat, wie z.B. eins für Exchange/OWA, dann kann man dieses ebenfalls dem RDP Dienst zuordnen – so erhält man keine Ferhlermeldung beim Remotezugriff per RDP.

Unter Windows Server 2008 (R2) ging es noch einfach mit der GUI, aber Server 2012 jedoch nicht mehr, dies kann man jedoch mit der Powershell anpassen.

Dazu eine MMC erstellen mit dem SnapIn Zertifikate (Computerkonto) und dort dann das bestehende Exchangezertifikat in die Kategorie Remotedesktop kopieren.

Das bestehende Zertifikat abfragen mit dem folgenden Befehl:

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Get SSLCertificateSHA1Hash

Dann das Exchangezertifikat in der MMC öffnen und aus den Eigenschaften den Thumbprint kopieren.

wmic /namespace:\\root\cimv2\TerminalServices PATH Win32_TSGeneralSetting Set SSLCertificateSHA1Hash=thumbprint

Statt Thumbprint geben Sie den Thumbprint aus den Eigenschaften ein, ohne Leerzeichen.

Starten Sie die Remotedesktopdienste neu – sollten sie immer noch eine Fehlermeldung erhalten, starten Sie bitte den Server neu.

Quelle: http://www.it-training-grote.de/download/RDS-2012R2-SelfSignedCertificate.pdf


SBS 2011: Remote Web Access (RWA) Permanent ausschalten

Was dem einen ein nützliches Feature, kann dem anderen ein Dorn im Auge sein.

So habe ich von einem Kunden den Wunsch erhalten, die Remote Web Access (RWA) Funktion zu deaktivieren – jedoch Outlook Web Access (OWA) zu erhalten.

Hierzu bietet die SBS Console die Möglichkeit unter Freigegeben Ordner und Websites“ > „Websites“ den Punkt „Remote Web Access“ zu deaktivieren, jedoch ist dieser nach jedem Neustart wieder aktiviert.

Auch hier bietet wieder das Internet eine passende Lösung, welche darauf verweist, das wenn man im IIS Manager unter „SERVERNAME“ > „Anwendungspools“ > „SBS Web Workplace AppPool“ deaktiviert und in den Optionen „Anwendungspool sofort starten“ deaktiviert die Seite nicht mehr aufgerufen werden kann – es erscheint ein Fehler 403 – Seite nicht gefunden.

OWA Funktioniert wie jedoch gewünscht weiterhin.

Weitere Informationen: https://community.spiceworks.com/topic/509119-permanently-disabling-rww-remote-web-access-sbs2011


Tipp: Kostenloser DynDNS Dienst in Deutschland für die Fritzbox

Die meisten DynDNS Anbieter sind mittlerweile kostenpflichtig oder haben Regeln, das man sich innerhalb von 30 Tagen anmelden muss, da sonst der Zugang verfällt.

Aus aktuellen Anlass habe ich gerade einen Anbieter gesucht, der folgende Punkte unterstützt:

  • Unterstützung für die Fritzbox
  • Kostenlos
  • Nicht alle 30 Tage anmelden
  • Sitz in Deutschland

Und siehe da, es gibt ihn tatsächlich: DNSHome.de

Hier gibt es die Information, wie man den Dienst mit der Fritzbox verwendet: https://www.dnshome.de/einrichtung.php


Windows Server: Es sind keine Anmeldeserver verfügbar

Ich habe nun schon einige Kunden, wo irgendwann nach einem Neustart das anmelden nicht möglich ist, statt dessen erscheint die Meldung: „Es sind keine Anmeldeserver verfügbar“.

Die Server sind Windows 2008 R2 bzw. SBS 2011 und Windows 2012 (R2) Server.

Bei den meisten Fällen war es nun so, das sich (warum auch immer) der Active-Directory-Recovery Modus aktiviert hat.

Das Problem lässt sich wie folgt beheben:

  • Startet den Server.
  • Wählt euch mit dem Active Directory Restore Benutzer und Kennwort an (.\administrator und entsprechendes Kennwort).
  • Sollte die GUI nicht komplett gestartet werden, drückt STRG+ALT+ENTF und wählt Taskmanager starten. Anschließend dann auf ausführen und MSCONFIG eingeben, gefolgt von einem Enter.
  • Sollte die GUI starten, geht auf Start > Ausführen und gebt MSCONFIG ein, gefolgt von einem Enter.
  • Geht zu dem Register Start und entfernt den Hacken bei Abgesicherter Start und speichert alles mit Ok.
  • Startet den Server neu.
  • Achtet bei dem Anmelden darauf, das ihr das richtige Konto nehmt für die Anmeldung (es ist noch Administrator voreingestellt).

Outlook: Direkt öffentlichen Ordner beim Start anzeigen

Sie können Outlook über Parameter steuern, mit dem Parameter /select können Sie angeben, welcher Ordner geöffnet werden soll.

Wenn Sie nun einen bestimmten Ordner beim Start geöffnet haben möchten, können Sie sich einen Verknüpfung auf dem Desktop erstellen, die den Ordner direkt öffnet.

Erstellen Sie dazu auf dem Desktop eine neue Verknüpfung (rechte Maustaste > Neu > Verknüpfung) und geben Sie den folgenden Wert ein:

„C:\Program Files\Microsoft Office 15\root\office15\outlook“ /select „outlook:\\Öffentliche Ordner –
name@domain.de\Alle öffentlichen Ordner\Kalender“

Passen Sie nun die Emailadresse an (siehe roter Bereich) und erstellen die Veknüpfung.