FAQ Übersicht

Anwendungen

Windows 10: Ungefragte Installation von Store-Apps

Eines der unmöglicheren Verhalten von Windows 10 ist die ungefragte Installation von Apps aus dem Store. Um diesem Treiben ein Ende zu setzen muss in der Registry des Benutzers ein Schlüssel gelöscht werden.

Es handelt sich zwar um eine der brachialeren Methoden, ist aber wirkungsvoll. Bereits installierte Apps erhalten nach wie vor ihre Updates. Allerdings wird auch der "Windows-Blickpunkt" durch die Deaktivierung lahmgelegt, es handelt sich um den Bezug wechselnder Hintergrundbilder für den Sperrbildschirm.

Deaktivieren der automatischen Installation:

  1. Registry-Editor starten.
  2. Zum Schlüssel HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ContentDeliveryManager navigieren.
  3. Den Schlüssel ContentDeliveryManager mit der rechten Maustaste markieren und löschen.

Verfasser: Jürgen Mainka
Letzte Änderung: 03.01.2018 14:16


Anwendungen » Microsoft Office

Office 2016: Ständige Aufforderung zur Aktivierung der Office 2016-Installation

Nach einer Installation von Microsoft Office 2016 wird nach erfolgreicher Aktivierung eine erneute Aufforderung angezeigt. Selbst ein Neustart verschafft keine Besserung

Dieses Verhalten tritt meist nach einer vorherigen Installation eines OEM-Produktes auf, welches meist von PC-Herstellern vorinstalliert ist. Abhilfe schafft eine Änderung in der Registry des betroffenen PC:

  1. Aktivierungsfenster schließen
  2. Im Startmenü im Suchfeld regedit eingeben und den erscheinenden Eintrag Als Administrator ausführen.
  3. Im Registrierungseditor nach
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Office\16.0\Common\OEM
    navigieren und den Zweig per Rechtsklick exportieren (Sicherung).
  4. Anschließend den Zweig "OEM" löschen.
  5. Das gleiche mit folgendem Zweig wiederholen:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Office\16.0\Common\OEM
  6. Registrierungseditor beenden.

Verfasser: Jürgen Mainka
Letzte Änderung: 12.09.2016 18:17


Betriebssysteme » Windows

Windows: Hinzufügen von Benutzerprinzipalnamen-Suffixen

Besonders beim Einsatz eines Microsoft Exchange Servers sind die Suffixe für die Benutzerprinzipalnamen (User Principal Name, UPN) ein nützliches Feature. Sie erlauben eine Anmeldung á "max.mustermann@external-domain.de", was für die Nutzung der Autodiscover-Funktion nützlich ist. Doch wo wird dieses Suffix (der Domainteil) eingestellt?

Dazu muss am Domain-Controller die Konsole Active Directory-Domänen und -Vertrauensstellungen unter Verwaltung geöffnet werden. Dort markiert man den obersten Knoten Active Directory- Domänen und -Vertrauensstellungen mit der rechten Maustaste und wähle die Eigenschaften.

Nun innerhalb der Registerkarte Benutzerprinzipalnamen-Suffixe können weitere alternative Suffixe für die Gesamtstruktur hinzugefügt werden, also z.B. meine-firma.de.

Nach Abschluss kann bei den Active Directory Benutzer und Computer den Benutzern im Register Konto das Suffix eingestellt werden.

Verfasser: Jürgen Mainka
Letzte Änderung: 13.09.2016 17:07


Windows 10: Cortana vollständig deaktivieren

Cortana, das neugierige Assistenzsystem in Windows 10, lässt sich wie folgt abschalten.

Die im Anhang befindliche ZIP-Datei entpacken und die .reg-Datei als Administrator ausführen. Nach dem Import in die Registry, muss der PC neu gestartet werden. Um zu prüfen, ob Cortana wirkliche deaktiviert ist, muss in der Taskleiste statt "Frag mich was", "Windows durchsuchen" stehen.

Verfasser: Jürgen Mainka
Letzte Änderung: 24.02.2017 11:20


Windows XP: Patch für Security Bulletin MS17-010 auch für Windows XP SP3 erhältlich

Microsoft hat im Zuge der zahlreichen Infektionen durch den Kryptotrojaner WannaCry auch für Windows XP einen Sicherheitspatch veröffentlicht.

In einem Blogeintrag erläutert der Konzern seine Entscheidung zur Veröffentlichung und stellt dort direkte Download-Links für Windows XP-Versionen zur Verfügung. Hinweis: Die Seite ist in englischer Sprache. Für den lokalisierten Download des Patches sind die untersten Links geeignet.

Blogeintrag auf Microsoft Technet

Verfasser: Jürgen Mainka
Letzte Änderung: 15.05.2017 19:41


Windows: Windows Update Dienst wird nicht ausgeführt.

Bei der Installation von Windows-Updates erscheint folgende Fehlermeldung:
Mit Windows Update kann derzeit nicht nach Updates gesicht werden, da der Dienst nicht ausgeführt werden. Möglicherweise müssen Sie den Computer neu starten.

Der Fehler kann auch nach einem Recovery auftreten. Der Windows-Update-Dienst besitzt allerdings den Status "gestartet", dennoch verweigert Windows-Update seinen Dienst.

Ursache sind Fehler im Verzeichnis "SoftwareDistribution" innerhalb des Windows-Installationsverzeichnisses. Zur Behebung wie folgt vorgehen:

  1. Eingabeaufforderung mit administrativen Rechten starten ("Als Administrator ausführen").
  2. net stop wuauserv
  3. rd /s /q %windir%\SoftwareDistribution
  4. net start quaserv

Der Windows-Update-Dienst ist nun wieder in einem definiertem Zustand und eine Suche nach Updates kann nun erfolgen.

Verfasser: Jürgen Mainka
Letzte Änderung: 05.07.2018 10:25


Hardware » PC und Workstations

Intel NUC: Kein Start mehr möglich - Gerät wird eingeschaltet, kein Bild, kein Ton, Gerät schaltet wieder ab

Der Intel NUC wird eingeschaltet, es erscheint aber kein Bild und kein Ton, nach kurzer Zeit (ca. 3-4 Sekunden) schaltet er sich wieder ab.

Grund für dieses Verhalten ist kein Hardware-Defekt wie zuerst zu vermuten scheint, sondern das BIOS ist in einem undefiniertem Zustand. Als Lösung kann ein Trennen der CMOS-Batterie in Betracht kommen. Leider ist die Batterie beim Intel NUC an einer ungünstigen Stelle montiert.

  1. Den NUC öffnen, dazu die 4 Schrauben am Gehäuseboden öffnen.
  2. Festplatten-Kabel (SATA und Stromversorgung) vorsichtig lösen.
  3. Die Hauptplatine ist meist mit zwei kleinen Schrauben fixiert, diese entfernen.
  4. Nun vorsichtig die Platine von der Vorderseite des Gehäuses leicht weghebeln und gleichzeitig nach oben ziehen. Ist ein WLAN-Modul angeschlossen ist zusätzliche Vorsicht angebracht. Ggf. können auch die Antennenkabel gelöst werden (hier ist besondere Vorsicht angebracht, da die Anschlüsse sehr leicht kaputt gehen können).
  5. Auf der Rückseite neben dem CPU-Lüfter ist die CMOS-Batterie, deren Kabel lösen und einige Minuten abwarten.
  6. Das Kabel wieder befestigen und den NUC in umgekehrter Reihenfolge wieder zusammenbauen. Achtung: Auch hier beim Einsetzen der Hauptplatine auf die Antennenkabel achten und auch auf die Schutzpolster der hinteren Anschlüsse. Letztere können leicht vor den Anschluss gelangen und diesen versperren.
  7. NUC einschalten und er müsste wieder normal starten. Ggf. die Einstellungen im BIOS überprüfen.

Verfasser: Jürgen Mainka
Letzte Änderung: 16.09.2016 15:57


Anwendungen » DATEV

DATEV: Fehler bei der Kommunikation mit der Vollmachtsdatenbank

Möchte ein Anwender die Vollmachtsdatenbank per DATEV-Smartcard nutzen, so tritt in seltenen Fällen der Fehler "Fehler bei der Kommunikation mit der Vollmachtsdatenbank" auf, nummeriert mit #SDD500500209.

Grund ist die Blockade eines lokalen Ports mit der Nummer 58455. Um den Fehler zu beheben auf einer Eingabeaufforderung netstat -a -b ausführen, um den Prozess zu finden, welcher diesen Port belegt. Ein Beenden des Prozesses löst obiges Problem.

Die DATEV benutzt den lokalen Port 58455 für die Kommunikation mit dem Rechenzentrum respektive der Vollmachtsdatenbank.

Siehe auch den Eintrag zu #RZK77009 in der DATEV-Infodatenbank.

Verfasser: Jürgen Mainka
Letzte Änderung: 27.06.2018 10:43


Server » Microsoft Exchange

EXCH2013/2016: Exchange verschickt RTF-E-Mails nicht im HTML-Format - Anhänge sind als winmail.dat verschickt.

Bei verschiedenen Empfängern kommen Anhänge in einer E-Mail als winmail.dat an. Der Empfänger kann diese nicht öffnen. Hat der Empfänger Microsoft Outlook, ist er davon nicht betroffen.

Dieses Relikt stammt noch aus älteren Versionen des Microsoft Exchange-Servers. Das Verhalten kann innerhalb von Outlook umgestellt werden, ist jedoch bei größeren Organisationen relativ aufwändig. Um größtmögliche Kompatibilität zu Dritt-Systemen zu gewährleisten, sollte die Einstellung direkt am Exchange-Server vorgenommen werden. Leider bietet die Administrationskonsole ab Version 2013 keine Option mehr für das Verhalten bei der Nutzung von den im RTF-Format verwendeten E-Mails. Ein Griff zur Powershell-Management-Konsole für den Exchange ist unabdingbar.

Zuerst wird überprüft, ob bei Remote-Domains das TNEFEnabled-Flag gesetzt ist:

Get-RemoteDomain | Where {$_.TNEFEnabled -ne $false}

Wird mindestens eine Remote-Domain (meist die Standard Domain) aufgelistet, wird das TNEFEnabled-Flag nun für die Standard-Remote-Domains gesetzt:

Set-RemoteDomains -Identity Default -TNEFEnabled $false

Anschließend muss der Microsoft Exchange Transport-Dienst in der Dienste-Verwaltung neu gestartet werden.

Verfasser: Jürgen Mainka
Letzte Änderung: 05.10.2016 09:22


EXCH2013: Es werden keine E-Mails größer als 10 MB übertragen

Bei der Konfiguration für die Größe der E-Mails lauert beim Exchange ein weiterer Fallstrick, obwohl bei allen Sende- und Empfangsconnectoren bereits das Maximum eingestellt ist.

Denn nicht nur die Connectoren können die Nachrichtengröße beschränken, sondern es existiert auch eine weitere Einstellung, welche die Größe innerhalb der Organisation regelt. Dies kann sich auch auf externe Mails auswirken.

Ein Hinweis auf eine nicht ausreichende Nachrichtengröße für die Organisation gibt die Rückmeldung, die der Absender erhält:

550 5.2.12 RESOLVER.RST.SendSizeLimit.Org; message too large for this organization

Um die Einstellung für die Organisation zu ändern, wie folgt vorgehen:

  1. Über die EAC (Exchange Administration Console) auf Nachrichtenfluss --> Empfangsconnectors klicken.
  2. In der Symbolleiste "..." auswählen und auf Einstellungen für Organisationstransport klicken.
  3. Im Register Grenzwerte die Werte für die maximalen Größen anpassen (2047 MB) für 2GB.
  4. Speichern klicken, um die Eingaben zu sichern.

Verfasser: Jürgen Mainka
Letzte Änderung: 11.10.2016 13:30


Betriebssysteme » pfSense

Nach Update auf Version 2.4.1 keine Internetverbindung per PPPoE mehr möglich

Wird die pfSense auf Version 2.4.1 aktualisiert, kann es unter Umständen dazu kommen, dass eine WAN- bzw. Internetverbindung per PPPoE nicht mehr möglich ist. Dies tritt meist bei VDSL-Anschlüssen auf, die mit VLANs eingerichtet sind.

Der Fehler ist bereits beim pfSense-Team auf der ToDo-Liste und wird voraussichtlich zur Version 2.4.2 beseitigt sein. Um die pfSense auch mit der 2.4.1 wieder zur Mitarbeit zu bewegen, sind einige kurze Eingriffe in die Datei /conf/config.xml notwendig. Ein aufwändiges Zurückgehen auf die 2.4.0 bleibt somit erspart.

Um die Internetverbindung wieder zum Laufen zu bringen, wie folgt vorgehen:

  1. Mit dem Webbrowser an der pfSense anmelden.
  2. Im Menü auf Diagnostics→Edit File gehen.
  3. Mittels Browse die Datei /conf/config.xml zur Bearbeitung auswählen.
  4. Nun in der Datei nach dem VLAN-Interface für die PPPoE-Verbindung suchen, z.B. "em0.7" (VLAN 7 gilt für Telekom-Anschlüsse).
    Dies findet sich jeweils im Abschnitt ppps/ppp und vlans/vlan der XML-Konfigurationsdatei.
  5. Alle Angaben zu dem VLAN-Interface müssen nun so umbenannt werden, dass aus dem Punkt ein Unterstrich wird, also z.B. aus "em0.7" wird "em0_7".
  6. Die Datei config.xml nach den Änderungen speichern und pfSense neu starten.

Sind weitere VLANs, wie z.B. für Entertain der Telekom eingerichtet, so bleibt dieses VLAN unangetastet!

Die Probleme mit dem VLAN treten laut Nutzermeldungen nur bei VLANs in Verbindung mit der PPPoE-Verbindung auf!

Links

Verfasser: Jürgen Mainka
Letzte Änderung: 01.11.2017 14:26


pfSense: Telekom-Anschluss BNG und EntertainTV

Die Telekom stellen zurzeit nach und nach sämtliche VDSL-Anschlüsse auf BNG (Broadband Network Gateway). Wird als Router eine pfSense-Firewall benutzt, kann es bei der Nutzung von EntertainTV zu Problemen kommen.

Bei einem BNG-Anschluss haben sich im Vergleich zum herkömmlichen VDSL-Anschluss einige Änderungen ergeben:

  • Wegfall des VLAN 8 für Entertain.
  • EasyLogin zur anschlussbasierten Anmeldung.
  • pfSense 2.3.x ist nicht mehr geeignet für den Betrieb mit Entertain.

Zur Netzumschaltung für den eigenen Anschluss hält die Telekom einige Informationen bereit. Zudem kann der Umschalttermin online abgefragt werden.

Voraussetzungen

Damit die pfSense vollständig mit dem BNG-Anschluss kooperiert, sollte sie auf mindestens Version 2.4.0 aktualisiert oder neu installiert werden. Erst diese Version bringt ein kompatibles igmpproxy-Modul mit, welches für einen Betrieb mit EntertainTV (ursprünglich Entertain) notwendig ist.

Einrichtung der pfSense

Im Folgenden wird die Einrichtung der pfSense an einem BNG-Anschluss erläutert.

VLANs

 Obwohl bei BNG das VLAN 8 für den Entertain-Bereich entfernt wurde, wird noch immer das VLAN-Tagging für den Internetzugang benötigt, also das altbekannte VLAN 7:

  1. Dazu in der pfSense Interfaces→Assignments→VLANs aufrufen.
  2. Neues VLAN erstellen:
    1. Als Interface jenes angeben, an welchem das VDSL-Modem hängt.
    2. VLAN-Tag erhält 7.
    3. Als Beschreibung z.B. "Telekom VLAN 7 Internet" eintragen.
    4. Rest bleibt standardmäßig.
  3. Ist bereits ein VLAN 8 vorhanden, so kann dieses entfernt werden, da bei BNG dieses nicht mehr genutzt wird.

 PPPoE einrichten

  1. Menüpunkt Interfaces→Assignments→PPPs wählen.
  2. Neues pppoe0-Interface erstellen:
    1. Link Type auf PPPoE stellen.
    2. Bei Link Interface(s) das soeben erstellte VLAN 7 wählen.
    3. Bei Username nun den Telekom-Benutzernamen eintragen. Er ist wie folgt aufgebaut:
      AAAAAAAAAAAATTTTTTTTTTT#MMMM@t-online.de
      (A = 12-stellige Anschlusskennung, T = T-Online-Nummer, M = Mitbenutzernummer)
      Ist die Anschlusskennung und/oder die T-Online-Nummer kürzer als jeweils 12 Stellen, so muss vor der Mitbenutzernummer eine Raute eingetragen werden. Ist die Anschlusskennung inkl. T-Online-Nummer 24 Stellen lang, so kann die Raute entfallen.
    4. Bei Password wird das persönliche Kundenkennwort eingetragen.
    5. In das Feld Service name kann irgendetwas eingetragen werden, z.B. "Telekom_Entertain".

Prüfen der Interfaces

  1. Menüpunkt Interfaces→Assignments wählen.
  2. Dem Interface WAN muss das PPPOE0-Interface zugewiesen sein.
  3. Dem Interface LAN die Schnittstelle, an dem das LAN-Kabel für das lokale Netzwerk angeschlossen ist.

IGMP-Proxy einrichten

Bei der Konfiguration des IGMP-Proxy hat sich etwas im Gegensatz zu den vorherigen Versionen. Zudem sind auch einige IP-Adressen für den Multicast anders.

  1. Im Menü Services→IGMP Proxy auswählen.
  2. Mittels Add ein Upstream-Netz hinzufügen.
    1. Als Interface WAN auswählen.
    2. Beschreibung erhält eine eindeutige Beschreibung zur Identifikation, z.B. "Entertain Upstream".
    3. Als Type wird Upstream Interface gewählt.
    4. Treshold bleibt leer.
    5. Nun die Netzwerk hinzufügen:
      • 87.141.0.0 / 15
      • 224.0.0.0 / 4
      • 193.158.0.0 / 15
    6. Zuordnung speichern.
  3. Nun mittels Add ein Downstream-Netz hinzufügen:
    1. Als Interface LAN wählen.
    2. Eine Beschreibung eintragen, z.B. "Lokales Netz".
    3. Als Type wird Downstream Interface gewählt.
    4. Treshold bleibt leer.
    5. Nun ein Netzwerk hinzufügen:
      • Es wird die IP-Adresse des LAN-Interfaces eingetragen, also z.B. "192.168.1.1 / 24".
    6. Zuordnung speichern.

 Firewall-Regeln

Im Vergleich zu früheren Konfigurationen müssen hier explizit Firewall-Regeln für den Multicast-Datenverkehr angelegt werden.

  1. Regel für IGMP anlegen:
    • Action: Pass
    • Interface: WAN
    • Address Family: IPv4
    • Protocoll: IGMP
    • Source: Any
    • Destination: Network → 224.0.0.0 / 4
    • Description: z.B. IPTV
    • Advanced Options: Allow IP Options muss aktiviert sein.
  2. Regel für UDP anlegen:
    • Action: Pass
    • Interface: WAN
    • Address Family: IPv4
    • Protocol: UDP
    • Source: Any
    • Destination: Network → 224.0.0.0 / 4
    • Description: z.B. IPTV

Nun dürfte der Internetzugang inklusive EntertainTV wie erwartet funktionieren. 

Verfasser: Jürgen Mainka
Letzte Änderung: 19.11.2017 10:21


Betriebssysteme » vSphere/VMware

VSPHERE: Installation des vSphere Client 5.5 auf einem Domänen-Controller

Aus bislang unerklärlichen Gründen kann der vSphere-Client nicht auf einem Windows Domänen-Controller installiert werden.

Wird trotzdem versucht eine solche Installation durchzuführen, so wird diese mit der Fehlermeldung

vSphere Client requires Windows XP SP2 or later.
vSphere Client cannot be installed on a Domain Controller.

quittiert.

Die Installation des vSphere-Client kann per Kommandozeile oder per Start→Ausühren mittels Angabe des Parameters /VSKIP_OS_CHECKS="1" gezwungen werden, auch auf einem Domänen-Controller zu funktionieren. Der komplette Befehl lautet:

VMware-viclient-all-5.5.0-1281650.exe /VSKIP_OS_CHECKS="1"

Nun läuft die Installation wie erwartet durch.

Verfasser: Jürgen Mainka
Letzte Änderung: 18.10.2016 14:14


vSphere: vMA Tastaturbelegung ändern

Leider ist bei dem vSphere Management Assistant (vmA) nur die amerikanische Tastatur aktiv. Auch bei der Einrichtung lässt sich das Tastatur-Layout nicht auswählen respektive verändern.

Um das Layout einzustellen, kommt man um einen Shell-Zugriff nicht umher.

  1. Shell öffnen und dann den vi starten:
    sudo vi /etc/sysconfig/keyboard
  2. Die Zeile KEYTABLE="us.map.gz" durch KEYTABLE="de-latin1" ändern.
  3. Die geänderte Datei speichern und einen Reboot durchführen:
    sudo shutdown -r now

Nach diesen Maßnahmen steht das deutsche Tastatur-Layout direkt zur Verfügung.

Verfasser: Jürgen Mainka
Letzte Änderung: 22.11.2017 15:17


ESXi 6.5: USB - "Device not found error" beim Hinzufügen eines USB-Gerätes

Möchte man ein USB-Gerät einer virtuellen Maschine auf einem ESXi 6.5-Host durchschleifen, kann eine Fehlermeldung wie "Device not found error" dies verhindern.

Das ist besonders ärgerlich, wenn z.B. DATEV-SmartCard-Leser für einen DFÜ-Server oder für den Lizenz-Manager genutzt werden sollen. Damit das Durchschleifen von SmartCard-Lesern auf einem ESXi 6.5-Host funktioniert, muss zumindest das Update 1 installiert sein, da in der vorherigen Version ein Fehler seitens VMware enthalten ist. Dennoch ist auch bei späteren Versionen die USB-Funktionalität etwas eingeschränkt, die sich aber relativ einfach beheben lässt.

  1. Betroffene virtuelle Maschine herunterfahren.
  2. Virtuelle Maschine mittels WebClient bearbeiten.
    1. In den Eigenschaften der virtuellen Maschine die VM-Optionen aktivieren und den Bereich Erweitert ausklappen.
    2. Dort befindet sich ein Button Konfiguration bearbeiten, den es zu betätigen gilt.
    3. Per Parameter hinzufügen eine neue Konfigurationsoption hinzufügen:
      usb.generic.allowCCID = "TRUE"
    4. Per OK bestätigen und die Einstellungen Speichern.

Wird nun ein USB-Gerät hinzugefügt, so wird dies anstandslos akzeptiert.

Verfasser: Jürgen Mainka
Letzte Änderung: 02.12.2017 11:19


Netzwerk » E-Mail

E-MAIL: SMTP-/POP3-/IMAP-Einstellungen der wichtigsten Internet-Provider

In diesem Beitrag werden die SMTP-, POP3- und IMAP-Einstellungen der wichtigsten Internet Provider als Referenz aufgelistet.

1 & 1

Protokoll Adresse Port (Verschlüsselung)
POP3 (Posteingang) pop.1und1.de 995 (SSL)
IMAP (Posteingang) imap.1und1.de 993 (SSL)
SMTP (Postausgang) smtp.1und1.de 25/587 (TLS) / 465 (SSL)

 Strato

Protokoll Adresse Port (Verschlüsselung)
POP3 (Posteingang) pop3.strato.de 995 (SSL)
IMAP (Posteingang) imap.strato.de 993 (SSL)
SMTP (Postausgang) smtp.strato.de 25/587 (TLS) / 465 (SSL)

Freenet

Protokoll Adresse Port (Verschlüsselung)
POP3 (Posteingang) mx.freenet.de 995 (SSL)
IMAP (Posteingang) mx.freenet.de 993 (SSL)
SMTP (Postausgang) mx.freenet.de 25/587 (TLS) / 465 (SSL)

DomainFactory

Protokoll Adresse Port (Verschlüsselung)
POP3 (Posteingang) sslin.df.eu 995 (SSL)
IMAP (Posteingang) sslin.df.eu 993 (SSL)
SMTP (Postausgang) sslout.df.eu 465 (SSL)

Telekom

Protokoll Adresse Port (Verschlüsselung)
POP3 (Posteingang) securepop.t-online.de 995 (SSL)
IMAP (Posteingang) secureimap.t-online.de 993 (SSL)
SMTP (Postausgang) securesmtp.t-online.de 25/587 (TLS) / 465 (SSL)

Verfasser: Jürgen Mainka
Letzte Änderung: 02.12.2016 18:30


Betriebssysteme » Windows » Internet Information Services (IIS)

IIS: Protokolle automatisch löschen

Besonders beim Einsatz eines Exchange-Servers mit aktiviertem ActiveSync kann es dazu kommen, dass die Protokolle des Internet Information Service übermäßig viel Fesplattenplatz belegen.

Mit Hilfe eines Powershell-Skriptes kann eine automatisierte Löschung älterer Protokolldateien auf dem Server eingerichtet werden.

  1. Das beigefügte Powershell-Skript DeleteLogs.ps1 nach C:\bin\ kopieren.
  2. In der Aufgabenverwaltung eine neue Aufgabe erstellen und als Aktion "Programm starten" wählen. Hier ist es wichtig folgendes einzutragen, besonders im Feld "Argumente":
    Programm/Skript: %SystemRoot%\System32\WindowsPowerShell\v1.0\powershell.exe
    Argumente: -command "C:\bin\DeleteLogs.ps1"
  3. Die Aufgabe nach Ermessen einstellen ("ohne Anmeldung" usw.).
  4. In der Datei DeleteLogs.ps1 ggf. den Pfad in der letzten Zeile anpassen (Speicherort der Logdateien). Die Ziffer besagt den Zeitraum (7 = eine Woche).

Verfasser: Jürgen Mainka
Letzte Änderung: 06.01.2017 10:17


Betriebssysteme » Linux » CentOS

CENTOS: Firewalld und mehrere Interfaces in verschiedenen Zonen funktionieren nicht

Innerhalb von CentOS 7.3 ist ein kapitaler Fehler enthalten, wenn z.B. zwei Netzwerkinterfaces in verschiedene Firewall-Zonen sich befinden sollen. Nach einem Neustart bzw. Neustart der verbundenen Dienste sind die Interfaces nicht mehr in den richtigen Zonen.

Ursache dafür ist das Zusammenspiel zwischen dem NetworkManager und dem FirewallD. Innerhalb des FirewallD ist ein Fehler enthalten, der ein Interface aus der Zone ohne ersichtlichen Grund entfernt. Grundsätzlich ist es empfehlenswert die Netzwerkeinstellungen auf Servern vollständig manuell zu erstellen. Wie die Einstellungen zu erfolgen haben wird hier erläutert.

Nach einer neuen Installation direkt die net-tools installieren:

yum install net-tools

 Nun wird der NetworkManager-Dienst vollständig deaktiviert.

systemctl disable NetworkManager.service
systemctl stop NetworkManager.service

 Die Konfiguration der Netzwerk-Interfaces erfolgt manuell. Dazu müssen die Dateien /etc/sysconfig/network-scripts/ifcfg-XXXX bearbeitet werden (XXXX ist der Name des Interfaces).

Hier ein Beispiel für DHCP:

NM_CONTROLLED=no
ONBOOT=yes
PERSISTENT_DHCLIENT=1
TYPE=Ethernet
BOOTPROTO=dhcp
DEFROUTE=yes
#IPV4_FAILURE_FATAL=no
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
# Make sure here XXXXX is your NIC name in Linux, e.g. eth0  <=====================
NAME=XXXXX
# Comment out UUID, as only NetworkManager uses it. <=====================
#### UUID=6fe7887d-db7a-40ac-BLABLABLABLABLABLABLABLABLA
# Make sure this is your network card MAC address, noted instep 1 above. <===
HWADDR=00:0C:29:56:FF:FF
PEERDNS=yes
PEERROUTES=yes
ZONE=public

 Nun ein Beispiel für eine statische IP-Adresse:

NM_CONTROLLED=no
ONBOOT=yes
TYPE=Ethernet
#PERSISTENT_DHCLIENT=1
#BOOTPROTO=dhcp
BOOTPROTO=static
DEFROUTE=yes
#IPV4_FAILURE_FATAL=no
IPV4_FAILURE_FATAL=yes
IPV6INIT=no
IPV6_AUTOCONF=yes
IPV6_DEFROUTE=yes
IPV6_PEERDNS=yes
IPV6_PEERROUTES=yes
IPV6_FAILURE_FATAL=no
# Make sure here XXXXX is your NIC name in Linux, e.g. eth0  <=====================
NAME=XXXXX
# Comment out UUID, as only NetworkManager uses it. <=====================
#### UUID=6fe7887d-db7a-40ac-BLABLABLABLABLABLABLABLABLA
# Make sure this is your network card MAC address, which you noted instep 1 above. <===
HWADDR=00:0C:29:56:FF:FF
#PEERDNS=yes
#PEERROUTES=yes
IPADDR=172.16.225.150
NETMASK=255.255.255.0
ZONE=public

 Die Einstellungen für Standard-Gateway und DNS werden in /etc/sysconfig/network eingetragen:

GATEWAY=172.26.225.2
DNS1=172.26.225.2
DNS2=172.26.225.3
SEARCH="mydomain.example"

 Nun muss dem System mitgeteilt werden, dass der alte Netzwerkdienst sich um die Einstellungen kümmern soll. Der NetworkManager wurde oben bereits deaktiviert.

service network restart

Überprüfen, ob das Subsystem nach einem Neustart läuft:

chkconfig --list network

Falls bei der Ausgabe "off" steht, dann aktivieren:

chkconfig network on

Nun kann es dennoch dazu kommen, dass der FirewallD-Prozess die Konfigurationsdateien ifcfg-XXXX anfasst und verändert! Um dies zu verhindern, sollte nach Bearbeitung der Einstellungen in diesen Dateien, ein Zugriff verhindert werden:

chattr +i ifcfg-XXXX

Soll die Datei bearbeitet werden, so muss das Attribut wieder gelöscht werden:

chattr -i ifcfg-XXXX

Das System neu starten und danach überprüfen, ob alle Einstellungen funktionieren.

reboot

Quellen:

Verfasser: Jürgen Mainka
Letzte Änderung: 07.01.2017 09:53


Anwendungen » MailStore

MailStore: Wo sind meine Mails?

Nach einem frisch installiertem und eingerichtetem MailStore-Server mit Archivierung aller eingehenden und ausgehenden E-Mails ist in der Standardeinstellung die Ordnerstruktur etwas unglücklich.

Der MailStore-Server wird für die Archivierung eingehender und ausgehender E-Mails konfiguriert. Natürlich sollen auch bisher vorhandene Mails aus dem Postfach archiviert werden. Dafür wird meist direkt nach Installation und Einrichtung ein Archivierungsauftrag für alle bestehenden Postfächer eingestellt und gestartet. Dieser sorgt für eine Archivierung der bislang vorhandenen Mails aus dem Postfach. Im MailStore-Client ist nach Beendigung des Auftrages die Ordnerstruktur für manche Anwender etwas verwirrend, aber dennoch aussagekräftig. Alle eingehenden und ausgehenden E-Mails befinden sich in den Ordnern "Journal Incoming" respektive "Journal Outgoing". Die bereits im Postfach vorhandenen E-Mails, die durch den erwähnten Archivierungsauftrag archviert wurden, befinden sich unterhalb des Ordners "Exchange <Benutzername>".

 

Verfasser: Jürgen Mainka
Letzte Änderung: 06.05.2017 09:54


Hardware » RAIDController

LSI: Festplatte per StorCLI wechseln

Nicht immer steht der vollständige MegaRAID-StorageManager einem Administrator zur Verfügung, z.B. bei reinen Linux-Servern oder vSphere-Umgebungen. Um dennoch das RAID zu verwalten stehen die leistungsfähigen StorCLI-Tools zur Verfügung.

Hier werden die wichtigsten Kommandos aufgeführt, damit eine Statusabfrage der Festplatten und ein ggf. anliegender Wechsel einer defekten Disk durchgeführt werden kann, ohne das RAID zu zerstören.

Anzeigen aller verbauten Drives am Controller

Als Parameter wird /c<ControllerNummer> mitgegeben:

./storcli /c0 show

Ausgabe:

——————————————————————————
EID:Slt DID State DG Size Intf Med SED PI SeSz Model Sp
——————————————————————————
252:0 8 Onln 0 931.0 GB SATA SSD N N 512B Samsung SSD 850 EVO 1TB U
252:1 9 Onln 0 931.0 GB SATA SSD N N 512B Samsung SSD 850 EVO 1TB U

Laufwerk identifizieren

 Zum Wechsel eines Laufwerkes unterstützt den Administrator die Identifizierungsfunktion. Nach Aktivierung blinkt am Laufwerk eine Diode, die dieses eindeutig identifiziert und somit sicher gewechselt werden kann. Allerdings muss das Breakout-Kabel des Controllers zur Backplane diese Funktion unterstützen. Im Beispiel soll die Festplatte mit der ID 1 am Bus 252 identifiziert werden:

./storcli /c0 /e252 /s1 start locate

Die Identifizierung kann respektive beendet werden:

./storcli /c0 /e252 /s1 stop locate

Laufwerk wechseln

Vor dem Wechsel muss das betreffende Laufwerk am Controller deaktiviert (OFFLINE) gesetzt werden:

./storcli /c0 /e252 /s1 set offline

Anschließend wird der Status des Laufwerks als "fehlend" (MISSING) gesetzt:

./storcli /c0 /e252 /s1 set missing

Zum Abschluss muss die defekte Festplatte mittels SPINDOWN heruntergefahren werden:

./storcli /c0 /e252 /s1 spindown

Jetzt kann die Festplatte ausgetauscht werden. Die neue Festplatte wird automatisch vom Controller erkannt und in den RAID-Verbund integriert. Ggf. kann dies einige Sekunden dauern, da dass neue Laufwerk zunächst initialisiert werden muss. Der Status des Rebuild lässt sich ebenfalls abfragen:

./storcli /c0 /eall /sall show rebuild

Ausgabe:

———————————————————-
Drive-ID Progress% Status Estimated Time Left
———————————————————-
/c0/e252/s0 – Not in progress –
/c0/e252/s1 46 In progress –

Verfasser: Jürgen Mainka
Letzte Änderung: 11.01.2017 06:23


Internetdienste » E-Mail

E-Mail: Welche Anhänge werden blockiert?

Um unsere Kunden, die unsere Mailsysteme nutzen, vor Schadsoftware zu bewahren, werden bestimmte Dateianhänge blockiert.

Dies haben wir eingeführt, damit ein zu schneller Klick auf einen Dateianhang innerhalb einer E-Mail nicht zur Katastrophe beim Kunden führt, falls es sich bei dem Anhang um einen Virus oder anderer Schadsoftware handelt. Zwar werden auf unseren Mailservern zusätzlich die Mails auf Viren untersucht, dennoch mussten wir im Zuge der Verschlüsselungstrojaner und der rasanten Verbreitungsgeschwindigkeit tätig werden. Besonders die alten Office-Formate, wie z.B. Dateien mit den Endungen .doc und .xls fallen unter diese Sperre. Diese Formate sind bereits seit 10 Jahren obsolet und gehören abgeschafft, da in diesen sich Makroviren verstecken können. Wir haben hier eine Liste der Dateitypen zusammengestellt, die von unseren Mailsystemen aus Sicherheitsgründen blockiert werden.

.ade
.adp
.asp
.bas
.bat
.chm
.cmd
.com
.cpl
.crt
.dll
.exe
.hlp
.hta
.htt
.inf
.ins
.isp
.j
.js
.jse
 .lnk
 .mdb
 .mde
 .mdt
 .mdw
 .msc
 .msi
 .msp
 .mst
 .nws
 .ops
 .pcd
.pif 
 .prf
 .reg
 .scf
.scr 
 .sct
 .shb
 .shs
 .shm
.swf 
 .vb
 .vbe
 .vbs
 .vbx
 .vxd
 .wsc
 .wsf
 .wsh
 .doc
 .dot
 .docm
 .dotm
 .docb
 .xls
 .xlt
 .xlm
 .xlsm
 .xltm
 .xlsb
 .xla
 .xlam
 .xll
 .xlw
 .ppt
 .pot
 .pps
 .pot
 .pps
 .pptm
 .potm
 .ppam
 .ppsx
 .ppsm
 .sldx
 .sldm
 
 

Absender, die einen der o.g. Dateianhänge an unsere Kunden verschicken, erhalten eine Fehlermeldung mit dem Inhalt

Dateien des Typs "$1" werden aufgrund der Sicherheitsrichtlinien nicht zugestellt.

Verfasser: Jürgen Mainka
Letzte Änderung: 18.01.2017 19:40


Anwendungen » Sonstige

NSi-Autostore 6: Lizenz für Konica Minolta entfernen

Beim Austausch eines Konica Minolta-Gerätes ist folgendes zu beachten: Die Lizensierung im Autostore erfolgt nach der Anzahl der Geräte. Das alte Gerät muss aus der Lizensierung entfernt werden. Leider ist diese Funktion etwas versteckt.

  1.  Den AutoStore Express Process Designer starten.
  2. Register Konica Minolta öffnen.
  3. Dort den Konica Minolta MFP auswählen, rechte Maustaste betätigen und Informationen auswählen.
  4. Im Fenster für die Informationen nun den Knopf License Status betätigen.
  5. Im darauffolgendem Dialog sind die registrierten und somit lizensierten Geräte aufgelistet. In der Spalte ID ist die jeweilige MAC-Adresse des Gerätes hinterlegt, unter Name die IP-Adresse.
  6. Nun die entsprechende Zeile mit dem zu entfernenden Gerät auswählen und auf den Knopf Block klicken. Dadurch wird das Gerät in die Liste blockierter Geräte aufgenommen und ein neues Gerät kann lizensiert werden. Dies passiert automatisch beim Aufruf der OpenAPI-Funktionen am Gerät.

Verfasser: Jürgen Mainka
Letzte Änderung: 14.11.2017 16:32


Verschiedenes

Unsere Zertifikate

Für einige unserer Dienste haben wir Zertifikate ausgestellt. Damit diese von Ihren System als vertrauenswürdig eingestuft werden, müssen Sie unsere Stammzertifikate installieren.

Im beigefügten ZIP-Archiv finden Sie sowohl unsere Zertifikate, als auch eine kleine Batch-Datei, die es Ihnen erlaubt die Zertifikate auf Windows-Systemen zu installieren.

Entpacken Sie das Archiv in einem temporären Ordner und rufen Sie die Datei install-certs.bat von einer mit administrativen Rechten gestartete Eingabeaufforderung aus (Rechtsklick und "Als Administrator ausführen"). Alternativ können Sie die beiden Zertifikate auch manuell mit der Zertifikat-Verwaltung installieren. Beachten Sie, dass Sie das Lokale Computerkonto verwenden.

  • ho-service CA-One Root CA 1.crt - In den Speicher der vertrauenswürdigen Stammzertifizierungsstellen importieren.
    Fingerprint:  5d 3e 6d 48 40 6b c9 4c 7d 7d e9 3c f8 e8 ef 21 42 7e 07 f8
  • ho-service Issuing CA 1.crt - In den Speicher der vertrauenswürdigen Zwischenzertifizierungsstellen importieren.
    Fingerprint: 72 cf 22 cf 2a 34 c8 b7 ac 4f 64 2c b1 3f 43 25 d1 85 29 de

Verfasser: Jürgen Mainka
Letzte Änderung: 10.05.2018 20:05


OPENVPN: Route wird nicht übernommen

Obwohl sich der OpenVPN-Client einwandfrei zu verbinden scheint, funktioniert die Route zur Gegenseite nicht korrekt. Dies tritt bei den "Roadwarrior"-Konfigurationen meist unter Windows 8 und aufwärts auf.

Der Fehler liegt in den nicht zu den neuen Windows-Versionen hundertprozentig kompatiblen TUNTAP-Adaptern. Um das Problem zu umgehen, wie folgt vorgehen:

  1. Im Bereich der Systemsteuerungen für Windows ("Netzwerk- und Freigabecenter") in den den entsprechenden TAP-Win32-Adapter auswählen und die Eigenschaften aufrufen.
  2. Auf Konfigurieren klicken und das Register Erweitert wählen. Dort unter "Media Status" Always Connected wählen. Die Konfiruation mit OK bestätigen.
  3. Nun die für die VPN-Verbindung zuständige .ovpn-Datei mit einem Editor öffnen.
  4. An das Ende die nachfolgenden Konfigurationsangaben eintragen und die Datei speichern.
  5. Die Verbindung dürfte nun ohne Probleme aufgebaut werden.

Einstellungen für die .OVPN-Datei:

route-delay 5 120
tap-sleep 5

Hinweis für neuere OpenVPN-Clients ab Version 2.4.x

Aufgrund der Nutzung neuerer OpenSSL-Bibliotheken und der Tatsache, dass MD5-Hashes als unsicher gelten, werden zum Teil ältere OpenVPN-Konfigurationsdateien nicht unterstützt und es kommt zu Fehlern.

Um die Fehler zu umgehen, bitte folgende Änderungen in den Konfigurationen durchführen:

tls-remote gateway.myserver.foo.bar

auskommentieren:

#tls-remote gateway.myserver.foo.bar

Hinzufügen von:

tls-cipher "DEFAULT:@SECLEVEL=0"

 

Verfasser: Jürgen Mainka
Letzte Änderung: 17.03.2018 09:16