Kategorie: Diverse

Windows Installer Problem Error 1325 Documents is not a valid short file name

Bei einem Benutzer, der sein Homelaufwerk auf einem Netzlaufwerk hatte und die Dokumentenpfade angepasst hatte auf diese Ordner per GPO hatte das Problem, das er keine Software installieren konnte – die Installation brach immer mit dem Fehler Error 1325 Documents is not a valid short file name ab.

Ich habe die Rechte vom Rootordner geprüft und der User hatte keine Leserechte des Rootordners. Nachdem ich den User (bzw. Gruppe Domänen-Benutzer) Leserechte gab auf dem Ordner (Achtung: Bitte Vererbung beachten!)  und der User sich neu anmeldete, war das Problem behoben und der Installer lief ohne Probleme durch.

Laut Recherche lag die Vermutung nahe, das der Installer versucht zu lesen, wieviel Platz auf dem Laufwerk ist – was jedoch fehl schlug, da er keine Leserechte auf den Rootordner hatte.


Kostenlose Software für den Server- bzw. Netzwerkbereich

Viele Softwareprodukte, die ich einsetze sind entweder kostenlos oder zumindest für den Privateinsatz kostenlos.

Diese Software stelle ich hier vor:

Sophos UTM:
Professionelle Firewall welche Web- und Emailfilter bietet sowie VPN und alles dies mit einem Umfangreichen Reporting. Die Homeversion ist bis zu 50 IP Adressen frei.

VMWare ESXI Server:
Host zum virtualisieren von Servern, mittlerweile mit einer Webgui zur Administration.

VMWare vSphere Converter:
Tool zum convertieren von Physichen oder virtuellen Servern in eine ESXI Umgebung.

Veeam Windows Agent:
Kostenlose Software um Physische Windowsserver zu sichern. Unterstützt werden Zeitgesteuerte Inkrementielle- sowie Vollsicherungen und Emailnotifications. Gesichert werden kann auf Netzlaufwerken, USB Platten und auch Veeam Backup Repositories. Es gibt auch eine kostenlose Version für Linux und virtuelle Umgebungen.

PRTG Monitoring:
Monitoring und Alarminglösung, monitort über SNMP oder Native (Powershell, Webrequest usw.). Es können auch grafische Visualisierungen eingerichtet werden (siehe mein Monitoring). Es gibt eine Webversion und Apps welche gar die Apple Watch unterstützen. 100 Sensoren sind frei, womit man schon sehr weit kommt.

Docusnap:
Inventarisierungssoftware, welche Netzwerke inventarisiert und Dokumentiert. Es können auch Pläne und Reports erstellt werden (sogar Zeitbasiert). Bis zu 20 Rechnern kann die Software kostenlos genutzt werden.


VCSA Appliance direkt einrichten (ohne ClientintegrationPlugin)

Ich wollte auf einem Host die VMWare VCenter Server Appliance einrichten – jedoch machten die ClientintegrationPlugins Probleme und ließen sich nicht installieren.

Da ich mich nicht lange mit der Problematik herumschlagen wollte, habe ich mich dazu entschlossen die VM direkt einzurichten.

Dazu habe ich auf einem Windowsrechner das ISO runtergeladen und gemountet. Anschließend habe ich den VSphere Client geöffnet und habe dann unter File > Deploy OVF Template die VM Datei geöffnet (CD Laufwerk:\VSCA > Alle Dateien anzeigen > vmware-vcsa auswählen).

Diese Datei dann einrichten aber noch nicht starten.

Nachdem der Assistent durch ist, in die Eigentschaften der VM und kontrollieren ob die LAN Zuordnung richtig ist.

Am besten dann auch schon mal wenn benötigt direkt den Autostart einrichten.

Vor dem starten der VM kurz einen DHCP einrichten wenn noch keiner eingerichtet sein sollte (ich habe dazu in der Firewall kurz einen DHCP erstellt und gestartet, sobald der nicht mehr benötigt ist, dann wieder deaktiviert – sollte kein anderer DHCP vorhanden sein, richte ich ein das direkt die richtige Adresse verwendet wird).

Wenn dann die VM gestartet wird, sieht man nach kurzer Zeit die IP Adresse, die die VM bezogen hat. Wenn man dann in der Console sieht, das die VM durchgestartet ist, können Sie in der Console ein Root Kennwort vergeben und anschließend mit dem Webbrowser fortfahren und die VCSA weiter einrichten (https://IP:5480).

Hinweis: Sollte „nur“ die Installation  des ClientIntegration-Plugins fehlgeschlagen sein, versuchen Sie die aktuellere Version unter http://vsphereclient.vmware.com/vsphereclient/VMware-ClientIntegrationPlugin-6.5.0.exe zu verwenden).

Update: Sollten Sie die VCSA 6.0 U3 installieren und das Problem haben, das sich die ClientIntegration-Services nicht installieren lassen sollten – laden Sie bitte statt der VCSA 6.0 U3 die Version U2 herunter und installieren diese – später können Sie diese dann aktualisieren.


Sophos: Voip/SIP mit Telekom DeutschlandLAN

Bei einem DeutschlandLAN Anschluß wird SIP/VOIP über die bestehenden Internetleitung realisiert. In dem Beispiel habe ich einen DSL Anschluß welcher über eine Sophos UTM 9.5 realisiert wird und eine Avaya IP Office Anlage mit mehreren Telefongeräten. Die Telefonanlage hängt im lokalen Netz – man könnte auch die Telefonie trennen und auf ein eigenes Interface der Sophos legen oder ein eigenes VLAN verwenden, das war jedoch hier nicht gewünscht.

An der TAE Dose (kein NTBA oder Splitter dazwischen) hängt ein Telekom Speedport Entry 2 welcher ADSL und VDSL beherscht.

An dem Port LAN1 hängt ein LAN Kabel welches auf einen Netzwerk-Port der Sophos geht. Die PPPoE Einwahl läuft erfolgreich über diesen Port. Internet wird über diesen Anschluß realisiert.

Die Zugangsdaten wurden wie folgt eingerichtet:

Username: <Anschlusskennung><Onlinekennung><Mitbenutzer>@t-online.de
Kennwort: <Kennwort>

Bei VDSL bitte darauf achten, das bei der Sophos VDSL bei der PPPoE Einwahl erfolgt und auch VLAN7 getaggt ist. Sollte ein VDSL Modem mit integriert sein, bitte auch schauen ob diese ein VLAN Tagging benötigt.

Die DNS Server waren zuvor auf externe von Google eingestellt, diese habe ich jedoch auf die externen DNS Server welche bei der PPPoE Einwahl bereitgestellt werden (falls nicht automatisch, dann fest einstellen – Adressen können in dem PPPoE Log eingesehen werden). Dies wird benötigt, da die Services über DNS (z.B. _sip._regs.sip-trunk.telekom.de) aufgelöst werden müssen. Bei der Avaya IP Office kann man für die SIP Verbindung gar eigene DNS Server angeben – somit würde diese Anpassung nicht benötigt.

Eine Besonderheit, die ich habe in meinem Fall ist, das ich nicht über die ADSL Leitung rausgehe, sondern Parallel über eine weitere SDSL Leitung, damit jedoch die Telefonanlage auch die Leitung nutzt auf der das Voip läuft, habe ich eine neue Richtlinienroute erstellt (Schnittstellen & Routing > Statisches Routing > Richtlinien Routing > Neue Richtlinie) wie folgt:

Ob diese Regel funktioniert, testet man am besten an einem PC – wenn man die Seite wieistmeineip.de aufruft und die Regel aktiviert muss sich die IP über die man rausgeht ändern auf die Adresse der DeutschlandLAN Leitung.

Je nach Bandbreite sollte man auch noch ein QoS für SIP erstellen.

Dazu dann unter Schnittstellen & Routing > Status die Ports aktivieren und die richtigen Bandbreiten einstellen (in MBit). Dann unter Verkehrskennzeichner einen neuen Eintrag erstellen wie folgt (Adresse der Telefonanlage):

Und anschließend noch unter Bandbreiten Pools noch einen entsprechenden Bandbreitenpool anlegen wie folgt:

Wenn man dann in der Telefonanlage sieht, das sich die Anlage registriert die Rufnummer 0800 55 10033 anrufen, danach beginnt dann die Portierung.

Wird später komplett auf diese Leitung umgestellt sind weitere Anpassungen erforderlich:

  • Im Kundencenter feste IP aktivieren (evtl. übernehmen).
  • DNS Eintrag anpassen.
  • Ist DNS eingerichtet kann man nach kurzer Zeit auch im Kundencenter den DNS-Reverseeintrag einrichten.
  • Kontrollieren ob Name auch auf eventuelle Zeritifikat passt (z.B. bei Exchange Server).
  • Evtl. vorhandene Einträge im SPF für DNS Eintragen (siehe https://www.leibling.de/email-spf-erstellen/).
  • NAT und Firewallregeln anpassen.
  • Schnittstellenrouting entfernen.
  • QoS anpassen sofern eingerichtet.

Update:

In einem bestimmten Falle wurde die Leitung auch direkt von ADSL auf VDSL umgestellt. Es ist ein Speedport Entry 2 vor Ort eingesetzt – mit dem aktuellsten Firmwareupdate (zu finden unter https://www.telekom.de/hilfe/geraete-zubehoer/router/speedport-entry-2/firmware-zum-speedport-entry-2?samChecked=true) war dieses auch VDSL Kompatibel und konnte auf LAN2 im Modem Betrieb den Status ausgeben (http://169.254.2.1). Dort kann man dann die Verbindung einsehen:


Exchange: TLS Testen

Ein Exchangeserver verwendet wenn möglich TLS (muss auf dem Sende- und Empfangsconnector eingerichtet sein).

Möchte man gerne die Verbindungen kontrollieren, dann kann man OpenSSL installieren und mit dem folgenden Befehl die Verbindung kontrollieren:

openssl s_client -connect remote.leibling.de:25 -starttls smtp

Windows Server 2008: Sicherung auf NAS (SMB Netzwerkfreigabe)

Windows Server 2008 wird leider noch bei einigen Kunden eingesetzt obwohl er EOL (End of Life) ist.

Dieser bietet zwar die Windows Sicherung an, kann jedoch mit der GUI nicht auf einem Netzlaufwerk (NAS / SMB).

Mit der GUI kann man auf USB, Firewire oder iSCSI Laufwerke sichern.

Die GUI kann im Servermanager als Feature installiert werden.

Wenn die Sicherung auf einem NAS benötigt wird, dann kann man dies nicht mit der GUI, jedoch mit den Befehlszeilen Tools realisieren – diese können ebenfalls als Feature installiert werden.

Es kann ein Sicherungsskript erstellt werden welches mit dem Aufgabenplaner entsprechend ausgeführt wird:

@ECHO OFF
REM zuerst Backup Verzeichnis der NAS mappen und alte Verzeichnisse löschen
REM Anzahl = Anzahl der Verzeichnisse, die nicht gelöscht werden
REM fuer Aktivierung ECHO entfernen, ansonsten nur Anzeige
NET USE X: \\IP-NAS\FREIGABE /user:USER PASS
set Loesch=X:\
set Anzahl=5
for /f "skip=%Anzahl%" %%i in ('dir /AD /B /O-D %Loesch%') do echo rd /s /q "%Loesch%\%%i"

REM neues Backupverzeichnis nach Datum erstellen
set jahr=%date:~-4%
set monat=%date:~-7,2%
set tag=%date:~-10,2%

set newfolder=%jahr%-%monat%-%tag%
mkdir X:\%newfolder%

REM Backup durchführen
REM wbadmin Befehlszeile einfügen, z.B
wbadmin start backup -allCritical -include:C: -backupTarget:\\IP-NAS\FREIGABE\%newfolder% -vssfull -quiet

REM Variablen loeschen
net use X: /delete /yes > NUL
set Loesch=
set Anzahl=
set jahr=
set monat=
set tag=
set newfolder=
EXIT

Quelle: https://www.mcseboard.de/topic/193805-sbs2011-skript-backup-auf-nas/?do=findComment&comment=1200963

Weiterführende Informationen zu WBAdmin: https://www.it-zeugs.de/wbadmin.html


HP iLO 4: Hostnamen ändern

Melden sie sich im iLO Webinterface an und gehen Sie zu Network > iLO Dedicated Network Port bzw. Shared Network Port (je nachdem was sie verwenden) > General und geben Sie den Hostnamen ein.

Sollten Sie DHCP verwenden, können Sie hier keinen Domainnamen eingeben. Verwenden sie eine feste IPv4 Adresse, achten Sie bitte auch darauf das kein IPv6 DHCP verwendet, sonst ist dieser Punkt Domain Name ausgegraut und kann nicht geändert werden.

Starten Sie anschließend das iLO neu unter Information > Diagnostics > Reset iLO .

Laut HP Dokumentation sollte das Zertifikat neu erstellt werden, was bei mir jedoch nicht funktionierte.

Dies kann man kontrollieren unter Security > SSL Certificate, dort wurden noch  die alten Einstellungen angezeigt.

Ich habe mir dann ein neues Zertifikat erstellt wie hier angegeben:

Replace HP iLO security certificates

Dieses konnte ich dann verwenden.


Outlook mit öffentlichen Ordner starten

Wenn man Outlook in einem bestimmten lokalen Ordner wie Kalender usw. starten möchte, dann kann man dies in den Optionen einstellen. Leider werden hier jedoch nicht die öffentlichen Ordner angezeigt.

Erstellen Sie dazu eine Verknüpfung zur Outlook.exe Datei und öffnen dann die Eigenschaften.

Sie haben nun den Pfad wie z.B.

"C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE"

Erweitern sie nun wie folgt:

/select "outlook://Öffentliche Ordner - ihre@emailadresse.de\Alle Öffentlichen Ordner\Ordnername"

Ersetzen Sie ihre@emailadresse.de natürlich mit ihrer eigenen und Ordnername mit dem Namen des Ordners (bzw. gesamten Pfades) wie in Outlook angegeben – wobei wichtig ist, das die Pfade genauso geschrieben sind wie im Outlook angegeben.

Das Ergebnis würde also so aussehen:

"C:\Program Files\Microsoft Office\root\Office16\OUTLOOK.EXE" /select "outlook://Öffentliche Ordner - ihre@emailadresse.de\Alle Öffentlichen Ordner\Ordnername"

Windows: vssadmin delete shadows /all meldet Fehler

Sollte man nicht benötigte Snapshots wegräumen und bekommt den folgenden Fehler:

Fehler: Die gefundenen Snapshots befinden sich außerhalb des für Sie zulässigen Kontexts. Entfernen Sie sie mithilfe der Sicherungsanwendung, von der sie erstellt wurden.

Kann man wie folgt vorgehen:

CMD (als Administrator ausführen)

diskshadow

delete shodows all

Windows 10 System richtig einrichten

Windows 10 ist mittlerweile schon sehr komfortabel geworden – jedoch sollten so einige Dinge noch nachgestellt bzw. nachinstalliert werden.

Sicherheitseinstellungen:

Bitlocker Festplatte verschlüsseln:
Da ich auf meinem Laptop einige Daten habe, welche ich nicht in andere Hände wissen möchte, habe ich die Bitlocker Festplattenverschlüsselung aktiviert. Dazu einfach unten in der Adresszeile Bitlocker eingeben und Bitlocker entsprechend einrichten. Achten sie bitte unbedingt darauf, das sie den Schlüssel zur Entschlüsselung sichern und nicht auf dem Gerät lassen – alternativ können Sie diesen auch im Microsoft Account hinterlegen. Sollten Sie dies machen, sollten Sie entsprechend Hoch die Sicherheit des Accountes halten – ich nutze z.B. die 2 Faktor Authentifizierung, diese wird mit einer kostenlosen App auf dem Smartphone sichergestellt.

Computerschutz:
In Windows 7/8/8.1 war direkt der Computerschutz aktiv, welcher vor Updates usw. immer vorher eine Snapshot (VSS Schattenkopie) erstellte – welcher mir schon so einige geholfen hatte. Leider ist in einer frischen Windows 10 Installation diese Funktion deaktiviert. Zum aktivieren gehen Sie bitte mit der rechten Maustaste auf Dieser PC > rechte Maustaste > Eigenschaften > Computerschutz und aktivieren Sie dort den Computerschutz. 5% sollte ein guter Wert sein.

Defender Schutz vor Verschlüsselung:
Im Creators Update ist ein interessantes Feature hinzugekommen – dies schützt vor Verschlüsselungstrojanern. Um dies zu aktivieren öffnen Sie das Defender Security Center und gehen dort auf VIren und Bedrohungsschutz > Einstellungen für Viren und Bedrohungsschutz > Aktivieren sie nun den Punkt Überwachter Ordnerzugriff.

Jedoch, wo Licht ist – ist auch Schatten, es wird einigen Programmen der Zugriff auf die eigenen Dateien verboten und diese müssen nach und nach Freigeben werden. Weiterhin sollte man auch bedenken, das meistens Office der Zugriff auf die eigenen Dateien erlaubt ist – sollte man sich nun einen Verschlüsselungstrojaner aus einem Officedokument einfangen, hat dieses weiterhin Zugriff auf die Dokumente und kann diese verschlüsseln.

Der wichtigste Schutz ist immer noch die Datensicherung – ich selber nutze Acronis True Image 2018. Oft bekommt man Updateangebote für ca. 40€ für 3 Lizenzen. Acronis hat ebenfalls einen Schutz vor Verschlüsselung und sichert auch die Daten. Ein interessantes Feature ist der Try adn Decade Modus – hier kann man Einstellungen und Software testen ohne diese direkt in das System zu integrieren – bedeutet das wenn der Schutz an ist, man Software installieren und einrichten kann. Ist die Software in Ordnung, kann man den aktuellen Stand sichern oder eben verwerfen wenn diese nicht in Ordnung ist.

UAC auf sehr Hoch stellen:
Die UAC ist ein guter Schutz, jedoch richtig sicher ist sie nur in der Einstellung Hoher Schutz.

Zusatzanwendungen:

Windows hat zwar schon jede Menge Programme an Board, jedoch installiere ich noch die folgenden um meine Ausstattung zu komplettieren (bitte achten Sie darauf, das nur die benötigte Software installiert wird – einige Programme versuchen weitere Software mitzuinstallieren, entfernen Sie die entsprechenden Hacken):

Da ich noch entsprechende Abos habe noch:

Dazu stelle ich noch folgende Programme als Standardprogramme ein:

  • Email: Outlook
  • Internet: Chrome
  • PDF: Acrobat Reader
Hinweis: Diese Empfehlungen basieren auf meinen Erfahrungen, diese Links werden nicht gesponsert oder in irgend einer Form vergütet. Sollten Sie bessere Programme kennen, dann würde ich mich über entsprechendes Feedback freuen.