Tag Archives: server

WGET Alternative für VMWare ESX 3.5 – lwp-download

Posted on by

Nach kurzer Suche bin ich auf diesen Beitrag gestoßen. Eigentlich könnte man auch selbst darauf kommen. In der ESX Serviceconsole ist standardmäßig das Paket “perl-libwww-perl” installiert. Dieses Perl-Modul erlaubt den Umgang mit gängigen Web-Protokollen wie z.B. HTTP oder FTP. Im RPM ist das script “lwp-download” enthalten. Hiermit können Dateien problemlos heruntergeladen werden. Zusätzlich müssen vor dem Download vorrübergehend ausgehende Verbindungen von der Servicekonsole zugelassen werden. Dies erledigt der Befehl  “esxcfg-firewall –allowOutgoing”. Geschlossen wird die Firewall nach dem Download wieder mit “esxcfg-firewall –blockOutgoing”. Das ganze hier nun noch einmal in der Zusammenfassung:

# Firewall für ausgehende Verbindungen öffnen
[admin@esx]#esxcfg-firewall --allowOutgoing
# Download via LWP-Download ausführen
[admin@esx]#lwp-download http://ftp.tu-chemnitz.de/pub/linux/opensuse/distribution/11.1/iso/openSUSE-11.1-NET-x86_64.iso
Saving to 'openSUSE-11.1-NET-x86_64.iso'...
3% of 117 MB (at 251.6 KB/sec, 9 minutes remaining)
# Firewall wiederherstellen
[admin@esx]#esxcfg-firewall --blockOutgoing

Frohes Herunterladen ;-)

Seltsame Dinge bei google

Posted on by

Scheinbar hat google im Moment etwas Probleme mit seinen Safebrowsing Filtern. Diese sollen normalerweise den Anwender vor schädlichen Webseiten schützen. Erst dachte ich an ein Problem im Firefox, im Internet Explorer passieren aber ähnliche Dinge. Jeder Treffer einer jeden Suche meldet “Diese Website kann Ihren Computer beschädigen.” Sucht man zb. nach Heise erhält man folgende Treffer: Treffer Sobald man nun auf einen dieser Treffer klickt, erscheint diese Warnung “etwas” deutlicher. Normalerweise sollte diese Meldung nur bei infizierten Seiten erscheinen:  WARNUNG

Folge man nun dem Link zur Überprüfung des Filters oder auch “Diagnoseseite zum sicheren Durchsuchen von Google”, verabschiedet sich der Safebrowsing Dienst komplett mit einem “Internal Server Error”.Server Error

Mal sehen wann es wieder funktioniert. Aber etwas peinlich finde ich die ganze Sache schon. Gerade bei einem Giganten wie google.

Weiterbildung der IHK IT-Systemadministrator

Posted on by

Wie in einem früherem Beitrag geschrieben, habe ich ja diese Weiterbildung angefangen. Ich möchte einmal einen kurzen Überblick über die Kurse und deren Inhalte geben. Die Kurse finden im Schulungsraum der IHK statt und werden in der Regel von freien Dozenten geführt. Die Koordination erfolgt über eine externe Firma im auftrag der IHK. Während der 14Tägig stattfindenden Kurse wurden bisher folgende Themen behandelt:

  • Grundlagen Windows Server 2003 (4 Tage)
    Manuelle/Automatische Installation des Betriebssystems, Installation von Active Directory, Grundlagen DNS, AD-Replikation, Gruppenrichtlinien, Netzwerkfreigaben, Berechtigungen (NTFS, Share, AD), AD-Verwaltungsstrukturen, Systemsicherheit und Netzwerkgrundlagen.
  • Grundlagen Anwendungsserver (2 Tage)
    WSUS, Dateireplikation, Softwareverteilung, Remoteinstallation, InternetInformation Services, Gruppenrichtlinien, Serverrollen und Remoteverwaltung.
  • Grundlagen U*IX/Linux (4 Tage)
    Entstehungsgeschichte, Dateirechte, Systemdesign, Dateitypen, Dateisysteme, Kernel-Schnitstellen, Installation SuSE Linux, Paketmanagement, INIT-Konzepte und Steuerung, Shellscripting, Benutzer-/Gruppenverwaltung und Systemsicherheit/Updates
  • Telekommunikation (2 Tage)
    Grundlagen Netzwerke, Entstehung der Vermittlingstechnik, Analoge-/Digitale Übertragungstechniken, Netztopologien und Grundlagen der Elektrotechnik.
  • Internetprogrammierung (2 Tage)
    Grundlagen Internetprotokolle, InternetServiceProvider, Rechtliche/Sicherheitstechnische Probleme bei Webanwendungen, Einstieg PHP, Einstieg CSS1, HTML-Editoren (WASIWAG, Text), Webseitenoptimierung, Suchmachinen und diverse Programmieraufgaben (Counter, Gästebuch, Forum, Chat)

Es folgt nun noch der Kurs Datenbanken und ein weiteres Wochenende zur Prüfungsvorbereitung. Dazu werde ich später mehr schreiben.

Während der gesamten Weiterbildung muss ein betriebliches Projekt abgearbeitet und dokumentiert werden. Diese Dokumentation lehnt sich sehr stark an ITIL Richtlinien an. Es müssen die Themen Security-, Fault-, Change-management, Benutzereinweisung/Organisation und Datensicherung in durchschnittlich 10 Punkten erfüllt und Dokumentiert werden. Dazu müssen praktische Fälle und Herangehensweisen bestimmter Einzelprozesse zum jeweiligem Thema Dokumentiert werden. Zusätzlich müssen 4 Reflexionsgespräche, in denen der Status des Projektes besprochen wird, abgehalten werden. Dazu muss jeweils ein Protokoll geschrieben werden.

Zusätzlich zu diesen Arbeiten müssen die Online-Kurse “Projektmanagement” und “Securitymanagement” erfolgreich belegt werden. Dazu müssen nach jedem Kapitel des Online-Kurses mehrere Fragen beantwortet werden.

Gegen Ende der Weiterbildung muss noch eine Art Verteidigung und eine Dokumentation des Projektes vor einer Prüfunkskommision abgehalten werden. Weitere Details dazu werde ich später schreiben.

Rechtschreibfehler dürft ihr behalten :-)

Datensicherung mit BackupExec 12 – Fehlerhafte Funktionen, massive Probleme und schlechter Support

Posted on by

Das Produkt enthält ziemlich viele Features, allerdings, so kommt es mir zumindest vor, enthält jedes Feature mindestens 2 Fehler die zum Abbruch der Sicherung führen können. So stellt man bereits bei der Installation fest, das BE12 anscheinend NetBIOS over TCP/IP benötigt, was eigentlich in den meisten größeren Netzwerken nicht mehr verwendet wird. Zumindest meldet der Umgebungstest bereits eine Warnung, sollte NetBIOS over TCP/IP auf dem Server deaktiviert sein. Ebenfalls schon im Vorfeld meldet die Prüfung, das die Firewall des Servers doch bitte deaktiviert werden solle. Ist die Vorabprüfung überstanden, beginnt die eigentliche Installation. Setup fragt nach einem Account mit Administrativen Rechten auf dem Lokalem Server, unter dem die BE12 Dienste ausgeführt werden sollen. Eine Option zur Verwendung des Kontos „lokaler Dienst“ oder „Netzwerkdienst“ ist nicht vorgesehen. Erstellt man vorher einen dezidierten Backup-User, so muss dieser ebenfalls über Administratorrechte auf dem Server verfügen. Hat man zähneknirschend einen passenden Benutzer angegeben, fragt Setup im nächstem Schritt nach einem passendem Datenbankserver. Gibt man nun einen bestehenden SQL-Server (Microsoft SQL-Server 2005) im Netzwerk an, erscheint eine Meldung, das die Instanz des SQL-Servers unter dem Backup-Exec Benutzer ausgeführt werden muss um fortzufahren. Bestätigt man diese Meldung mit Ja, ändert Setup die Anmeldeinformationen des SQL-Server Dienstes auf den BE12 Benutzer OHNE vorher zu prüfen, ob nicht noch andere Datenbanken auf dem Server laufen. Dies hat zur folge, wenn der BE Benutzer nicht auch auf dem SQL-Server über Admin-Rechte verfügt, der Dienst aufgrund fehlender Berechtigungen im Datenbankordner nicht mehr startet. Entweder konfiguriert man nach der Installation den SQL-Server wieder „richtig“, oder man muss zähneknirschend eine lokale SQL-Instanz auf dem BackupExec Server installieren. Letzteres ist übrigens auch die Empfehlung des Herstellers. Hat man es bis hier her geschafft, fragt BE12 ob man S*mantec-Treiber für Alle Geräte, Geräte ohne Treiber oder gar keine Geräte verwenden möchte. Gibt man hier an, man möchte die Treiber nur für Geräte, die über noch keine Treiber verfügen, verwenden, kommt es mit Geräten, die die Windows-eigenen Treiber verwenden zu Problemen. So hat BE12 eine HP MSL6000 und das LTO-Laufwerk einzeln erkannt (beim versuch zu Sichern sollte man doch bitte ein Medium in das LTO Laufwerk einlegen, beim versuch auf der Library zu sichern, erscheint die Meldung „Es stehen keine nicht aktiven Geräte zur Verfügung“. Am besten gleich die Symantec-eigenen Treiber verwenden, und die Library sollte korrekt erkannt werden. Nach Abschluss der Installation startet das System neu und LiveUpdate versucht die aktuellen Updates herunterzuladen. Das herunterladen war auch nicht das Problem, die Installation scheiterte allerdings. Nach mehreren Neustarts und diversen Versuchen wurden die Updates manuell auf der Website heruntergeladen und installiert. LiveUpdate funktionierte auch nach einspielen der Updates nicht (scheiterte nach wie vor an der Installation).

Nach der Installation des Servers muss ein Anmeldekonto für Sicherungen an Remotesystemen festgelegt werden. Normaerweise sollten die Rechte eines „Sicherungs-Operators“ ja ausreichen um Daten von Servern sichern zu können. Anschließend sollten die Agents auf dem zu sichernden Systemen installiert werden. Der Assistent lief problemlos durch und installierte den Agent. Anschließend war der Server allerdings mit einem gelben Ausrufezeichen in der Auswahl zu sehen, und es konnten nur Freigaben gesichert werden. Nach einigen Recherchen in der Support-Datenbank, musste auf dem zu sicherndem Server in den Eigenschaften des Agents der Medienserver eingetragen werden. Eigentlich sollte das die Push-Installation ja erledigen, was aber auf unbekannten Gründen fehlschlug. Nun sollte eine Testsicherung des Servers durchgeführt werden. Bei dem Server handelte es sich um einen virtualisierten (ESX-Server) ActiveDirectory Domänencontroller (Windows Server 2003 R2 SP2) mit aktuellen Hotfixes (stand 04/2008). Die Auswahl ist sehr übersichtlich und einfach gehalten. Die Testsicherung sollte den SystemState und die lokalen Festplatten sowie einen DFS Replizierten Ordner sichern. Also, den vollständigen Server (der Server selbst war teil des Test-Netzes). Also, das Häkchen auf den vollständigen Server in der Quellauswahl gesetzt, unter Optionen noch den Typ kopieren ausgewählt und als Ziel die Library angegeben. Ausführung Sofort und los geht’s. Die Sicherung startete, die Library wurde korrekt angesprochen und ein neues Medium in den Default-Pool „unbegrenzt aufbewahren“ aufgenommen, formatiert und in das Laufwerk eingelegt. Anschließend startete der kopiervorgang der lokalen Festplatten. Als der kopiervorgang fertig war, und BE12 unter verwendung von Schattenkopien den Systemstatus sichern sollte, brach die Sicherung allerdings mit dem Fehler „Verbindung zu Quellhost verloren“ ab. Sicherung fehlgeschlagen. Der quellhost war nun auch nicht mehr in der Sicherungsauswahl zu sehen. Ein blick auf das Eventlog des Quellservers zeigte eine unerfreuliche Meldung von DrWatson, das der Agent mit einem internem Fehler abgestürzt sei.

Es wurden mehrere Versuche gestartet (auch auf anderen Servern), das Problem in den griff zu bekommen, doch leider half nichts. Auch nicht die erneute Installation des BE12 Servers oder des darunterliegenden Betriebssystems. Immer der gleiche Fehler. Im Moment sind wir im engen Kontakt mit dem Symantec Email-Support, bisher sollten wir aber nur protokolle sinnloser Sicherungen, Windows-Eventlogs und andere Daten übermitteln. Eine Problemlösung ist im Moment nicht in Sicht.

Was ich während der Problemlösung auch noch feststellen musste, hat man Backup2Disk Ordner angelegt, und der Speicherplatz auf der Festplatte ist erschöpft, bricht der Sicherungsjob nicht etwa ab, sondern verlangt das einlegen eines neuen Mediums. Bei einer B2D Sicherung könnte man doch mindestens verlangen, das man Limits für die maximale Größe des Ordners angeben kann, das ist aber leider nicht der Fall. BE sichert bis die Platte voll ist und wartet anschließend unendlich lang auf das einlegen eines neuen Datenträgers. Nicht ganz das was ich mir vorgestellt habe.

Mal sehen wie lange es Dauert bis die Sicherung funktioniert. Bis heute sind 8 knapp Wochen vergangen.

Fazit: Im Vergleich zu anderen Sicherungslösungen wie zb. Yosemite Backup oder des Windows-Internen NTBackup kommt mir die Lösung extrem instabil und unausgereift vor. Zusätzlich ist die Software sehr Aggressiv gegenüber anderen Programmen/Datenbanken und sollte immer auf einem Isoliertem Server ausgeführt werden. Was die Systemsicherheit angeht, werden durch das Vorraussetzen von NetBIOS und dem deaktivieren der Firewall massive Sicherheits und Datenschutz-Probleme geschaffen, die eine Software mir einer so langen Entwicklungsgeschichte eigentlich nicht mitbringen sollte. Die nicht funktionierenden LiveUpdates, eigene Treiber und die zusätzliche, lokale Datenbank erhöhen den Wartungsaufwand und das Ausfallrisiko des Medienservers und treiben die Anforderungen an Speicher und CPU unnötig in die höhe. Der etwas unfähige Support und die langen Wartezeiten bei Email-Anfragen ziehen die Problemlösung extrem in die länge.

Problem mit IP-Konfiguration nach installation des Windows-Hotfix KB941644 auf HP ProLiant DL360G4 Servern

Posted on by

Nach der Installation des HotFixes KB941644 kommt es zu Problemen mit dem HP NicTeaming Treiber. Wenn im HP NetworkTool ein Team konfiguriert wurde und das Interface mit einer statischen IP konfiguriert wurde, verwirft Windows nach dem Neustart die statische Konfiguration und versucht vergeblich eine IP-Konfiguration per DHCP. Die deaktivierung des DHCPclient Dienstes umgeht das Problem. Tatsächlich beheben lässt es sich nur, wenn das Hotfix wieder deinstalliert wird.

Problembeschreibung:
Das Problem wurde wie folgt nachgestellt:
Windows Server 2003R2 wurde auf einem DL360G4P neu installiert, anschließend das aktuelle ProLiant SupportPack im ExpressModus installiert. Nach dem anschließendem Neustart wurde Teaming für die beiden OnBoard NICs im 802.3ad Modus aktiviert, eine statische IP konfiguration erstellt und das System mit dem Netzwerk verbunden. Anschließend wurde die Netzwerkkonfiguration sowie die LACP aushandlung erfolgreich geprüft und Windows aktiviert. Nun wurden die aktuellen Hotfixes über WindowsUpdate eingespielt. Nach dem Neustart tritt das Problem auf. In den Reiter “Status” des “HP Network team” Interfaces ist keine IP-Konfiguration vorhanden (IP: 0.0.0.0) und das System versucht über DHCP eine Konfiguration zu erhalten. Wenn man allerdings Eingenschaften von TCP/IP aufruft um eine statische Konfiguration zu hinterlegen, ist diese noch vorhanden. Der Befehl ipconfig /all zeigt das selbe Ergebnis. Löst man das NetzworkTeam auf und konfiguriert eines der Interfaces statisch, wird die Konfiguration übernommen.

Ursache:
Nach der Installation des Hotfixes KB941644 werden komponenten der TCP/IP Protokolltreiber ausgetausch. Diese neuere Version funktioniert warscheinlich nicht richtig mit dem HP NicTeaming Treiber und verursacht das Problem.

Auswirkungen:
Der Server ist nicht mehr über seine statische IP erreichbar. Es scheint als ob das Interface auf DHCP konfiguriert wurde und keine IP erhält. Selbst wenn ein DHCP-Server im Netzsegment vorhanden ist, bekommt das Interface keine IP. Auch die LACP Aushandlung am Switch schlägt nach einspielen des Patches fehl.

Umgebung:
Windows Server 2003R2 ServicePack 2 inkl. aller Hotfixes bis 01.01.2008 sowie aller zusätzlichen Updates (IE7, XML Services usw.). Die aktuelle Version des ProLiant SupportPacks ist installiert. Eine neuere Version des Netzwerktreibers ist nicht verfügbar.

Lösung:
Nach der Deinstallation des HotFixes KB941644 ist das Problem vorerst behoben wurden. Allerdings ist die Sicherheitsanfälligkeit die mit diesem Hotfix behoben wurde wieder vorhanden. Der Workarround des Bulletins funktioniert und schließt die Lücke ohne die Konfiguration des Interfaces zu beschädigen.

Bulletin: Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (941644)