Kategorie: Server

Kostenlosen Sharepoint 2013 Foundation als OneNote Speicher

Der Artikel ist noch in der Erstellung …

Wichtig: Der Sharepoint ist seit 10.4.2018 EOL, es gibt jedoch noch Sicherheitsfixes bis 11.4.2023 (Enhanced Maintenance).

Hinweis zu iOS und Android Apps: Mittlerweile kann man nicht mehr auf eigene OneNote-Dateien auf einem Sharepoint zugreifen. Hier geht nur noch lediglich der Zugriff über die Webapp oder Terminalserver – wobei dann die Stiftnutzung entfällt. Soll weiterhin ein Stift genutzt werden mit OneNote Dateien auf einem Sharepoint, so ist ein Windows Gerät zu nutzen (z.B. das Surface Go ab 429€).

Hinweis zur Windows 10 (UWP) Version bzw. Nachfolger von Office 2013/2016: Nur die Versionen OneNote 2013/2013/2016 können zu einem Sharepoint verbinden. Im Office 2019 ist kein OneNote mehr enthalten – es soll statt dessen die Windows 10 Version genutzt werden. Doch diese kann sich nicht mehr zu einem eigenen Sharepoint Server verbinden, sie unterstützt nur OneDrive oder OneDrive Business.

Nun zum eigentlichen Artikel.

Da ich meine OneNote Notizen nicht in der Cloud speichern darf (enthalten persönliche Daten) und lokal halten möchte, bleibt mir nichts anderes üblich als einen Sharepoint Server als Speicherziel einzusetzen.

Die letzte kostenlose Version ist der Sharepoint 2013 Foundation, alle anderen danach sind kostenpflichtig.

Alternativ könnte man auch einen Hosted Sharepoint verwenden und die User mit dem AD Syconisieren – dann wäre jedoch auch wieder die Daten in der Cloud, was ich nicht möchte.

Als erstes erstelle ich eine VM welche auf Windows Server 2012 R2 basiert. Diese bekommt 4 vCPUs, 8 GB Ram und 300 GB Festplatte.

Vorbereitungen:

  • Windows 2012 R2 installieren
  • VMWare Tools installieren
  • Namen festlegen
  • IP festlegen
  • Ans AD anbinden
  • Windowsupdates ausführen
  • Prüfen das Dot Net 4.5 installiert ist (bei 4.6 oder 4.7 schlägt die Installation fehl)!
  • Webserver- und Anwendungserverrolle installieren.
  • DotNet Framework 3.5 installieren (z.B.
    DISM /online /enable-feature /featurename:NetFx3 /all /Source:<CD Laufwerk>:\Sources\SxS /LimitAccess )

Als Domänenadministrator anmelden.

Anschließend Chrome installieren und Sharepoint 2013 SP1 Foundation runterladen.

Im ersten durchlauf werden Softwarevoraussetzungen installieren.

Dies läufen bei mir mehrmals durch und versuchen folgende Voraussetzungen zu installieren:

• Microsoft .NET Framework 4.5
• Windows Management Framework 3.0
• Anwendungsserverrolle, Webserverrolle (IIS)
• Systemeigener Client von Microsoft SQL Server 2008 R2 SP1
• Windows Identity Foundation (KB974405)
• Microsoft Sync Framework Runtime v1.0 SP1 (x64)
• Windows Server AppFabric
• Microsoft Identity-Erweiterungen
• Microsoft Information Protection and Control-Client
• Microsoft WCF Data Services 5.0
• Microsoft WCF Data Services 5.6
• Kumulatives Updatepaket 1 für Microsoft AppFabric 1.1 für Windows Server (KB2671763)

Installiert nun das Sync Framework (alle Dateien entzippen und nach und nach installieren), WFC 5.0 und 5.6., sowie die Identity Foundation und die Extionsion.

Windows App Fabric muss ebenfalls installiert sein, jedoch benötigt, das auch noch eine Konfiguration – ladet das Softwarepacket hier und das Update hier runter. Entpackt mit einem Tool wie z.B. 7Zip nach z.B. c:\Pre – und kopiert die beiden Dateien dorthin. Wechselt mit CMD (als Administrator ausführen) und führt den folgenden Befehl aus:

preprequisiteinstaller.exe /appFabric:C:\Pre\WindowsServerAppFabricSetup_x64.exe

Nun solltet ihr euer Zertifikat einpflegen (günstige einfache Zertifikate gibt es bei ssls.com – ich nutze selber ein Wildcard von dort.

NOCH UPZUDATEN!!!

Solltet ihr noch keins haben, dann geht bitte wie hier beschrieben vor (LINK NOCH EINFÜGEN!).

Alternative Namen angeben.

Webserver veröffentlichen (z.B. Portforwarder oder Sophos WAF).

Emailanbindung erstellen

Root bei Bedarf für alle freigeben (z.B. wenn Extranet mit öfffentlichen Informationen sein soll).

Als letzten noch Windowsupdates ausführen. Ich erstelle Sicherheitshalber noch einen Snapshot vorher nach so massiven Änderungen – welchen ich natürlich nach erfolgreichen Updates wieder lösche.

Solltet ihr einen Virenschutz auf dem Server haben, denkt auch bitte daran die Ausnahmen zu definieren.

Auch solltet ihr nicht vergessen, die Datensicherung einzurichten. Löscht auch alles was ihr nicht mehr benötigt (z.B. Snapshots, Downloads und das Pre-Verzeichnis).

Nutzung:

Öffnen und erstellen in Windows 10 UWP App nicht möglich.

Öffnen und erstellen in iOS / Android nicht mehr möglich.

Öffnen und erstellen in OneNote 2013/2016

Links:

Prüfen welche Dot Net Version installiert ist: https://docs.microsoft.com/de-de/dotnet/framework/migration-guide/how-to-determine-which-versions-are-installed#net_b

Voraussetzungen manuell installieren: https://blogs.technet.microsoft.com/meamcs/2012/12/26/install-and-download-sharepoint-2013-prerequisites-offline-manually/

Sharepoint mit HTTPS veröffentlichen: https://blogs.msdn.microsoft.com/fabdulwahab/2013/01/20/configure-ssl-for-sharepoint-2013/

Erstellen OneNote Library: https://www.microsoft.com/en-us/microsoft-365/blog/2012/07/26/onenote-on-sharepoint-a-quick-guide-for-site-admins/

Sharepoint Maintenance: https://support.microsoft.com/en-us/lifecycle/search?alpha=sharepoint%202013

OneNote Datei auf eigenem Sharepoint erstellen: https://blogs.technet.microsoft.com/office_integration__sharepoint/2014/03/20/no-options-to-sync-a-onenote-notebook-to-an-on-premises-sharepoint-server/

OneNote aktivieren in Sharepoint: https://support.office.com/de-de/article/aktivieren-von-features-f%C3%BCr-websites-787f3ba1-9df6-480a-ab4c-9f4525490cb9


Veeam Agent for Linux aktualisieren (auf Debian oder Ubuntu Server)

Veeam Agent for Linux ist eine kostenlose Datensicherungssoftware für Linux und aktuell in der Version 3 Verfügbar.

Sollten Sie eine Vorversion installiert haben, dann können Sie diese einfach aktualisieren.

Dokumentieren Sie jedoch alle Jobs vorher.

Greifen Sie mit root rechten (oder als User, dann jedoch den Aktionen ein „sudo“ vorstellen).

Gehen Sie auf Veeam.com und laden Sie die entsprechende Version herunter (z.B. veeam-release-deb_1.0.5_amd64.deb) und bringen Sie diese auf den Server (z.B. mit wget oder SCP).

Aktualisieren sie das Paket:

 dpkg -i veeam-release-deb_1.0.5_amd64.deb 

Aktualisieren Sie die Pakete:

 apt-get update

Installieren Sie nun Veeam Backup Agent for Linux neu (es wird aktualisiert):

 apt-get install veeam

Sollte eine Rückfrage kommen, ob die Veeam.ini aktualisiert werden sollte, würde ich dies annehmen (mit Y), damit auch alle neuen Möglichkeiten Verfügbar sind.


Sophos: SSL Netzanbindung mit Raspberry Pi

Sollte die Anbindung an einem Netz erforderlich sein, kann man zum einen ein gesamtes Netz mit einer RED oder einer Firewall realisieren. Selbst eine Anbindung mit einer Fritzbox ist möglich (Achtung: Dies ist jedoch nicht von Sophos supported!).

Sollte es jedoch absolut nicht klappen, kann man einen Raspberry Pi als Router umfunktionieren und diesen per OpenVPN verbinden. Über die Fritzbox verteilt man dann die Route zu dem entfernten Netz und versteckt das Netz per NAT hinter dem Raspberry. Somit kann das gesamte lokale Netz auf das Netz hinter der Sophos zugreifen (Achtung: Da dies keine Site-to-Site Anbindung ist, kann man nicht aus dem Netz hinter der Sophos auf das entfernte Netz zugreifen).

Ich nutze hier einen aktuellen Raspberry Pi in der Version 3B (dieser hat genug Power und ein Gigabit LAN Interface). Dieser kostet um die 35€, komplette Sets gibt es bei Amazon und vielen anderen für ca. 60€ inkl. Raspberry Pi, Netzteil, Gehäuse, SD Karte mit Adapter, HDMI Kabel und Anleitung.

SSL VPN Benutzer einrichten auf der Firewall

Aktivieren und richten Sie den SSL Fernzugriff ein auf der Sophos. Gehen Sie dazu auf Remote Access > SSL > New Remote Access Profile … und erstellen ein Profil wie folgt:

Erstellen Sie nun auf der Sophos einen User wie folgt (natürlich mit echten Daten):

Diesen User nun einer Gruppe hinzufügen die SSL VPN Rechte hat oder direkt in dem SSL Fernzugriff Profil hinzufügen.

Laden Sie nun die entsprechende ovpn Datei herunter (aus der Zip-Datei extrahieren).

Tipp: SSL-Konfigurationsdatei als Admin runterladen!

Installation Linux auf dem Raspberry

Als Basis setze ich ein aktuelles Raspberian Stretch Lite ein (Download).

Wie in der Anleitung beschrieben, entpacke ich die Datei nach dem Download und überspiele die entpackte ISO Datei mit dem Tool Etcher auf die SD Karte.

Anschließend kommt die Karte in dem Raspberry Pi und das Gerät wird gestartet.

Wenn das System gestartet ist, als User pi mit dem Passwort raspberry einloggen (beachtet bitte, das das Default Keyboardlayout US ist und somit das z statt dem y zu verwenden ist) und das System updaten wie folgt:

sudo apt-get update
sudo apt-get dist-upgrade

Als nächstes dann den Raspberry Pi einrichten mit dem folgenden Befehl:

sudo raspi-config

Stellt bitte nun ein neues Passwort ein, die IP Adresse und das Keyboard Layout auf DE. Ich aktiviere auch SSH, damit ich bequem per SSH und Copy&Paste von einem Rechner mit Internetanschluß die Konfiguration abarbeiten kann. Wenn Sie SSH nicht mehr benötigen, können Sie es wieder über raspi-config deaktivieren.

Ich habe die folgenden Einstellungen gewählt (Basis für mein ISO zur Verteilung):

  • Kennwort: RasRou!2019
  • Hostname: pi-gateway
  • Locales: de_DE ISO-8859-1, Default: de_DE
  • Timezone: Europe/Berlin
  • Keyboard Layout: Generic 105-Key (Intl) PC, Other: German, German, Default Key, No compose Key
  • Interface Options: SSH Enabled

Nach einem Neustart deaktivieren Sie noch WLAN und Bluetooth laut dieser Anleitung wie folgt:

sudo nano /boot/config.txt
 # turn wifi and bluetooth off  
 dtoverlay=pi3-disable-wifi  
 dtoverlay=pi3-disable-bt  

Anschließend noch den hciuart Dienst deaktivieren und neustarten:

sudo systemctl disable hciuart  
sudo reboot  

Einrichten VPN Client

Ich gehe hier grundsätzlich nach dieser Anleitung vor, habe jedoch ein paar kleine Änderungen.

Als erstes den VPN Client installieren mit:

sudo apt-get install openvpn

Diese eben kopierte VPN-Konfigurationsdatei bitte nach remote.conf umbennen und nach /etc/openvpn kopieren (z.B. mittels wget oder FTP auf dem Rechner kopieren).

Hinweis: Wenn die Datei anders heißen soll, bitte unten bei Systemctl diese Datei entsprechend anpassen. Die Endung sollte jedoch .conf sein – nicht .ovpn, da sonst Systemctl nicht den Dienst starten kann – es wird kein kompletter Dateiname angegeben und .conf automatisch angehangen!

Dann eine Datei mit dem Namen login mit Zugangsdaten erstellen (in der erste Zeile ist der Username und in der zweiten Zeile das Passwort):

sudo nano /etc/openvpn/login

Dann an der Datei die Rechte anpassen, das nur root sie einsehen kann:

sudo chmod 600 /etc/openvpn/login

Editieren Sie die ovpn-Datei, das hinter auth-user-pass noch der Dateinamen Login steht und speichern diese:

auth-user-pass /etc/openvpn/login

Mit dem folgenden Befehl können Sie sehen, ob die Einwahl erfolgreich war (diese müsste dann in der Sophos unter Fernzugriff angezeigt werden):

sudo openvpn --config /etc/openvpn/remote.conf

Nun wird das VPN so eingestellt, das es direkt nach dem Boot läuft (Achtung: Der Dateiname OHNE .ovpn):

sudo systemctl enable openvpn@remote

Den Raspberry zum Router umfunktionieren

Nun muss noch IP Forwarding aktiviert werden:

echo -e '\n#Enable IP Routing\nnet.ipv4.ip_forward = 1' | sudo tee -a /etc/sysctl.conf
sudo sysctl -p

Anschließend noch NAT aktivieren:

sudo iptables -t nat -A POSTROUTING -o tun0 -j MASQUERADE
sudo iptables -A FORWARD -i tun0 -o eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo iptables -A FORWARD -i eth0 -o tun0 -j ACCEPT

Die Regeln speichern:

sudo apt-get install iptables-persistent

Anpassungen am vorhandenem Internetrouter

Weiterhin müssen sie der Raspberry stets die selbe Adresse zuordnen, dies können sie über die Fritzbox einstellen (sofern diese den DHCP Server stellt). Gehen Sie dazu unter Heimnetz > Netzwerk > Rapberry auswählen und auf das Stiftsymbol klicken. Kontrollieren sie Namen und IP Adresse und machen Sie einen Hacken bei Diesem Netzwerkgerät immer die gleiche IPv4-Adresse zuweisen.

Damit auch die anderen Rechner im LAN das VPN Netz finden, muss auf dem Internetrouter noch eine Route bekanntgegeben werden – hier anhand einer Fritzbox, gehen Sie unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:

Masterimage

Falls sie möchten, können Sie ein fertiges Image runterladen und dieses nur noch anpassen. Das Image hat folgende Konfiguration:

  • Username: pi
  • Passwort: RasRou!2019
  • IP: DHCP
  • SSH: Aktiviert

Das Image können Sie hier herunterladen. Es wurde gezippt, damit es weniger Platz und Bandbreite spart. Entzippt es (z.B. mit 7-Zip) und kopiert es dann mit einem Imagetool (z.B. mit Win32Diskimager) auf eine neue SD Karte und startet damit euren Raspberry. Mit den Tools könnt ihr euch auch selber jederzeit ein Backup erstellen (z.B. Sicherungskopie wenn alles funktioniert).

Wenn Sie das Image einsetzen, sollten Sie unbedingt das Kennwort ändern und gegebenenfalls die IP anpassen! Um das VPN nutzen zu können, müssen Sie natürlich eine OpenVPN Konfigurationsdatei einspielen. Wenn Sie SSH nicht benötigen, deaktivieren Sie es. Beachten Sie, das nun alle Rechner im Netzwerk (auch im WLAN) Zugriff auf das entfernte VPN Netz haben – auch eventuell Virenverseuchte Rechner!

Weitere Möglichkeiten

Site-to-Site statt Einzelanbindung: https://www.foxplex.com/sites/sophos-utm-site-to-site-vpn-mit-openvpn/

Raspberry als VPN Server verwenden: http://www.pivpn.io/

WLAN Hotspot bereitstellen über Raspberry:
https://www.datenreise.de/raspberry-pi-3-wlan-verbindung-herstellen/

Bekannte Probleme

  • Feste IP zuordnen klappt noch nicht. Lösung über Fritzbox eingerichtet.
  • Wenn die Verbindung mehrfach neu aufgebaut wurde, funtkoonierte zeitweise Ping nicht stabil – entfernte Dienste konnten jedoch ohne Problem genutzt werden.

Achtung

Ich übernehme keine Haftung, weder für die Dokumentation noch für das fertige Masterimage!!!

Stand 23.01.2019


Gefahrenpotenzial durch Macroviren minimieren

Alte Officedokumentenformate (doc, dot, xls, xlt, ppt) sowie auch neue Officeformate mit der Endung *m (docxm, dotxm, xlsm, xltm) können Macros enthalten, welche Schadensroutinen beinhalten.

Diese Dokumente werden per Email versendet und infizieren Computer und versuchen z.B. Dateien zu verschlüsseln und Lösegeld zu erpressen.

Eine Gefahr ist, das Virenscanner oft nicht vor den Dateien warnen, da das Dokument beim Versand noch kein Virus enthält, sondern erst das Macro diesen lädt. Oft warnt auch dann nicht der Virenscanner, da dieser die Festplatte überwacht – die Anwendung wird jedoch nicht gespeichert, sondern direkt aus dem Speicher ausgeführt.

Das größte Probleme dabei ist, das diese mails mittlerweile täuschend echt aussehen, auf echten Dokumenten beruhen, perfektes Deutsch verwendet wird oder gar vorgeben vom Kollegen zu stammen.

Der sicherste Schutz ist, die oben genannten Dateien direkt auf dem Mailgateway zu blockieren.

Weiterhin kann man auch den Windows Scripting Host deaktivieren. Erstellen sie dazu eine GPO mit der folgenden Einstellung:

Computerkonfiguration > Richtlinien > Windows Einstellungen > Registrierung Zeichenfolge (DWORD) Enabled = 0 für den Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows Script Host\Settings

Eine weitere Sicherheitsmassnahme ist es Powershell zu deaktivieren. Erstellen Sie dazu eine GPO mit den folgenden Einstellungen:

Computerkonfiguration > Richtlinien > Windows Einstellungen > Sicherheitseinstellungen > Anwendungssteuerungsrichtlinien > AppLocker > Ausführbare Regeln > Neue Deny Regel für jeder auf den Pfad %SYSTEM32%\Windows\PowerShell*

Diese beiden GPO Ordnen Sie der OU zu, wo Workstations und Laptops enthalten sind – nicht den Servern

Dazu kann man noch GPOs für die entsprechende Officeversionen einführen, welche Macros verbieten oder deaktivieren. Mehr infos hier: https://www.frankysweb.de/clients-vor-infektion-mit-ransomware-schuetzen-locky-cryptolocker/


OpenVPN / Sophos SSL VPN Client: Windows Rechner als Softwarerouter verwenden

Achtung: Seit dem 23.1.2019 habe ich auch einen Artikel der erklärt, wie man einen Raspberry Pi verwenden kann. Diese Lösung wäre zu bevorzugen!

Dieser Tip funktioniert zwar grundsätzlich, ist aber weit entfernt davon als stabil zu gelten – womöglich kann er dazu dienen eine kurze Zeit als Notlösung zu fungieren.

Stellen Sie auf dem Rechner im BIOS/UEFI ein, das der Rechner immer an bleibt und nach einem Stromausfall wieder hochfährt.

Stellen Sie im Windows in den Energieoptionen ein, das der Rechner nicht ausschaltet (Festplatte und Monitor können jedoch ausgehen). Es muss niemand am Rechner angemeldet sein, nachdem alles eingerichtet wurde! Es reicht wenn er hochfährt.

Melden Sie sich an Windows mit Adminrechten an und geben Sie dem Rechner eine Feste IP, sowie alle benötigten weiteren Parameter wie DNS und Gateway.

Installieren Sie den aktuellsten Open VPN oder Sophos VPN Client und richten Sie die SSL Verbindung ein (am besten mit rechter Maustaste und „Als Administrator ausführen“) und testen Sie die Verbindung.

Sollte diese funktionieren, gehen Sie bitte in das Config Verzeichnis des VPN Clients (z.B. C:\Program Files (x86)\Sophos\Sophos SSL VPN Client\config) und erstellen sie eine Datei mit dem Namen password.txt, tragen sie in der ersten Zeile den Benutzernamen und in der zweiten Zeile das Kennwort ein.

Öffnen Sie die entsprechende Config-Datei und tragen Sie nach auth-user-pass ein Leerzeichen und dann password.txt ein:

auth-user-pass password.txt

Prüfen Sie nun ob Sie die Verbindung ohne Zugangsdaten aufbauen können.

Klicken Sie nun auf Start und tippen Sie services.msc und machen ein Doppelklick auf OpenVPN Service und stellen Sie die Startart auf Automatisch.

Wenn Sie den Rechner neustarten und sich anmelden, sollten sie nach ein paar Sekunden Adressen aus dem entfernten VPN anpingen können (ohne das der VPN Client eine Verbindung anzeigt). Es sollte jedoch die Netzwerkschnittstelle des VPN Clients im Netzwerk- und Freigabecenter aktiv sein (kein rotes X).

Sollte nun soweit alles funktionieren, gehen Sie bitte mit der rechten Maustaste auf die Verbindung in die Eigenschaften auf dem Tab Freigabe (sollte der nicht vorhanden sein, deinstallieren Sie bitte den alten VPN Client und installieren eine aktuelle Version mit Adminrechten).

Windows wird nun eine Meldung ausgeben, das von der Netzwerkschnittstelle die IP Adresse verändert wird auf 192.168.137.1 – stellen Sie die Netzwerkeinstellungen wieder zurück auf die richtigen Werte. Nach ein paar Sekunden sollten wieder entferne Ressourcen anzupingen sein.

Damit nun die anderen Rechner auch das entsprechende Netz finden, müssen Sie eine Route erstellen auf das entfernte Netz, damit sie das nicht an jedem Rechner machen müssen, machen Sie das am besten auf den vorhandenen Router, der die Internetverbindung herstellt – z.B. bei einer Fritzbox unter Heimnetz > Netzwerk > Netzwerkeinstellungen > IPv4 Routen:

Bekannte Probleme:

Nach einem Neustart funktioniert die Verbindung zwar an dem Rechner wo das VPN Installiert ist, jedoch nicht mehr bei den anderen Geräten im Netzwerk:

Hier muss einmal wieder der Hacken bei „Internetverbindung freigeben“ bei der VPN Netzwerkschnittstelle entfernt werden – da dabei Windows auch die IP bei der LAN Verbindung zurücksetzt auf 192.168.137.1, muss hier wieder alles die zuvor konfigurierte Adresse zurückgesetzt werden. Nach ein paar Sekunden ist die Verbindung durch den VPN Dienst wieder neugestartet und sollte wieder funktionieren.

Alle Geräte im Netzwerk können auf das Remotenetzwerk zugreifen, jedoch das Remotenetzwerk nicht auf die lokalen Geräte:

Dies wird auch leider nicht funktionieren, da alle Geräte hinter der Adresse des einzelnen VPN Rechners per NAT (Network Adress Translation) versteckt sind und nicht erreichbar sind. Hier würde eine Lösung benötigt, die das gesamte Netz anbindet (z.B. ein Hardwarerouter auf Raspi-Basis). Evtl. kommt hierzu noch ein entsprechender Beitrag.


Apache: SSL höhere Verschlüsselungssicherheit

Wer die Verschlüsselungssicherheit erhöhren möchte und dabei auf Kompatibilität mit alten Anwendungen verzichten möchte, der kann die folgende Konfiguration vornehmen:

Aktivieren des Apache2 Moduls Headers mit (in einer Shell mit root-rechten oder mit sudo):

sudo a2enmod headers 

Danach die ssl.conf (z.B. unter Debian unter /etc/apache2/mods-aviable) anpassen um die folgenden Zeilen bzw. existierende entsprechend anpassen:

SSLCipherSuite  TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256:EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLHonorCipherOrder On
Header always set Strict-Transport-Security "max-age=63072000; includeSubDomains; preload"
Header always set X-Frame-Options DENY
Header always set X-Content-Type-Options nosniff
SSLCompression off
SSLUseStapling on
SSLStaplingCache "shmcb:logs/stapling-cache(150000)"
SSLSessionTickets Off

Anschließend mit root-rechten die Konfiguration prüfen:

apachectl -t

Und dann Apache neustarten:

apachectl restart

Anschließend könnt ihr mit SSL Testingsites (z.b. https://www.ssllabs.com/ssltest/) die Konfiguration prüfen.

Weitere Links:

Tipp: Mit dem Editor Nano können sie über eine SSH Shell Copy & Paste nuzten.

Windows Server könnt ihr mit dem Tool IISCrypto.exe sichern – zu finden hier: https://www.nartac.com/Products/IISCrypto


Veeam: Replikation schlägt fehl (von VMWare 6.7 Host auf VMWare 6.0 Host)

Ein Kunde hatte einen neuen Host basierend auf HP DL 380 Gen 9 bekommen und dort das aktuelle HP Custom Build ISO mit VMWare 6.7 eingesetzt.

Da der alte Host basierend auf einen HP DL 380 Gen 7 noch in Ordnung war, habe ich diesen als Fallback Server für Veeam Replikate genommen (für das Replikate Ziel wird keine Lizenz benötigt). Leider ist dieser HP Server jedoch nicht für VMWare 6.7 nicht freigegeben und läuft nur mit 6.0 stabil (unter 6.5 und 6.7 hatte ich bei bestimmten Systemen einen purple Screen – da diese System nicht für das besagte OS freigegeben war, hatte VMWare und HP den Support abgelehnt.

Da mir die Idee erst im nachhinein kam, waren die VMs schon VM Version 14 und die Replikation schlug mit folgender Meldung fehl:

Operation is ot allowed in current state.

Da mit dem VSphere Converter nicht auf dem selben Host die VM Version geändert werden konnte (nur beim migrieren auf einen anderen Host), habe ich die VMX Dateien verändert, da die Hardwareversion nah beieinander sind und sich die VM Hardware nicht unterscheidete.

Dazu bin ich wie folgt vorgegangen:

  • Installation auf einem Rechner Notepad++
  • Öffnen der ESXI Verwaltungskonsole auf dem selben Client
  • Herunterfahren der VM
  • Download der VMX Datei
  • Verschieben der Original VMX Datei
  • Editieren des Eintrags virtualHW.Version=“14″ auf „11“
  • Speichern und Hochladen der Datei an die vorherige Stelle
  • Deregistrieren (nicht löschen!) der VM
  • Neu registrieren der VM (neue VMX Datei)
  • Nach dem Neustart der VM wurde dann die HW Version 11 angezeigt und ich konnte die Replikation nutzen.

Quelle: https://www.altaro.com/vmware/4-ways-to-downgrade-the-vm-hardware-version/

 



TrendMicro Officescan deinstallieren ohne Kennwort

Sollte bei einem Client, die deinstallation fehlschlagen, da das Kennwort nicht bekannt ist, kann man sich eines Hilfsmittels bedienen um dennoch erfolgreich deinstallieren zu können.

Starten Sie Regedit mit Adminrechten und navigieren sie nach:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\TrendMicro\PC-cillinNTCorp\CurrentVersion\Misc

Editieren Sie den Eintrag Allow Uninstall von 0 auf 1.

Starten Sie danach die Deinstallation erneut.

Sollte der Eintrag nicht zu ändern sein, starten Sie bitte über msconfig in den abgesicherten Modus und ändern sie dort den Eintrag.

Weitere Infos: https://www.crestline.net/uninstall-trend-micro-without-password/


Wildcard Zertifikat unter Windows erstellen und einrichten

Kategorie: Diverse , Server

Installieren Sie bitte OpenSSL (gibt es auch als Windows Version).

Öffnen Sie eine privilegierte Shell (CMD > rechte Maustaste > als Administrator ausführen) und gehen Sie nach C:\OpenSSL-Win32\bin und geben Sie folgenden Befehl ein:

openssl genrsa -out wildcard.domain.de.key 2048

Anschließend geben Sie folgenden Befehl ein:

openssl req -new -sha256 -key wildcard.domain.de.key -out wildcard.domain.de.csr

Öffnen Sie nun die Datei wildcard.domain.de.csr und kopieren Sie den Inhalt und erstellen sie damit ihr Zertifikat (z.B. bei SSLs.com).

Die anschließend erhaltenen Dateien kopieren Sie in eine Datei zusammen in folgender Reihenfolge in die Datei C:\Openssl-Win32\bin\wildcard-domain-de.pem):

  • Zertifikat (vom Anbieter erhalten)
  • Keydatei (Inhalt der Datei wildcard.domain.de.key)
  • Inhalt aus der Datei ca-bundle oder erst das Root Zertifikat sowie die weiteren Intermediate Zertifikate

Geben Sie nun den folgenden Befehl ein in der Shell und merken sie sich unbedingt das Kennwort:

openssl pkcs12 -export -out wildcard-domain-de.pfx -in wildcard-leibling-de.pem

Sie sollten nun eine PFX Datei erhalten, welche sie unter Windows einbinden können.

Starten Sie dazu mmc.exe und gehen sie auf Datei > Snap-In hinzufügen > Zertifikate > Computerkonto. Dort können sie das Zertifikat importieren.

In den Bindungen des Internetmanagers können sie in der entsprechenden Site das Zertifikat zuordnen.

Weitere Links: