Tag Archives: windows

HP ProLiant Microserver als RODC für kleine Standorte

Posted on by

Mit dem NL37 MicroServer bietet HP einen sehr kompakten und dennoch gut Ausgestatteten Server. Das System kann mit bit zu 8 GB ECC-Ram ausgestattet werden, verfügt über 4 SATA II Einschübe und einen DualCore AMD Athlon II NEO Prozessor mit 1.3 Ghz. Die Leistung reicht problemlos für einen Windows Server 208R2 um die Rollen RODC, Dateiserver, Druckserver und BrancheCache für kleine Standorte bis 20 Personen anzubieten.

Zum Gehäuse:
Das sehr gut gelungene massive Gehäuse ist sehr schnell zu öffnen. Die 4 HDD Einschübe befinden sich hinter einer abschließbaren Fronttür, das passende Werkzeug zum Einbau der Festplatten in die Rahmen fehlt leider genau wie die nötigen Schrauben zum befestigen der Festplatten. Standard Sekkopf-Kreuzschlitzschrauben für Festplatten passen glücklicherweise in die vorgesehenen Bohrungen. Um den Speicher zu erweitern muss das Mainboard aus dem Gehäuse herausgenommen werden. Das unter den Festplatteneinschüben liegende Board befindet sich auf einem Schlitten. Zum Herausziehen sind lediglich 2 Schrauben und einige Stecker zu lösen. Nicht gerade der Komfort eines DL380, aber bei diesen Gehäuseabmessungen immer noch relativ komfortabel gelöst. Das System kommt ohne optisches Laufwerk. Über den Festplatten und der Frontklappe befindet sich ein 5 1/4″ Laufwerksschacht mit vorbereiteter S-ATA Verkabelung.Ein Band oder optisches Laufwerk ist hier durch öffnen der oberen Abdeckung schnell eingebaut. Um unerwünschtes Öffnen dieser Abdeckung zu verhindern, kann ein Schloss an der Rückseite angebracht werden. Ausgestattet mit 2x 2TB Enterprise HDD´s wiegt der Server ohne optisches Laufwerk knapp 5 Kg.

Leistung unter Windows Server 2008R2
Direkt nach der Installation können alle Komponenten mit Standardtreibern angesprochen werden. Es empfiehlt sich aber unbedingt den Grafik-/ Netzwerk-karten Treiber zu installieren. Um Datenredundanz zu schaffen sollte auf Windows Bordmittel zurückgegriffen werden. Der interne Controller realisiert das RAID auch nur über die CPU, allerdings ohne Wissen des Betriebssystems. Bei solchen “Soft-RAID” Treibern sollte immer auf die Betriebssystem Funktionen zurückgegriffen werden. Nach Abschluss der Erstsynchronisierung schreibt das System durchschnittlich 80MB/s auf die Datenträger. Das integrierte Gigabit LAN kann damit zwar nicht gesättigt aber immerhin sehr gut Ausgelastet werden.

Serverrollen/Konfiguration
Um einen Server an einem unsicherem Standort aufzustellen, sollte in jedem Fall ein getrenntes Subnet der Größe /24 oder /25 in einer neuen ActiveDirectory Site angelegt werden. Alle Kommunikation von und zu diesem Standort sollten dann IPSec verschlüsselt werden. Um den Standort an den Firmensitz anzubinden, empfiehlt sich ein getrennter L2 VPN-Router. Damit wird eine 2-Faktor Verbindungsverschlüsselung erreicht. Über diese Verbindung dürfen dann ausschließlich IKE und ESP Pakete der IPSec Verbindungen zugelassen werden. Um die Inhalte der Festplatten zu schützen sollte unbedingt EFS aktiviert werden. Somit sind alle nicht Domänenmitglieder aus dem Netzwerk und dem Dateizugriff ausgeschlossen. Der Server selbst wird als RODC konfiguriert. Ein lokaler DNS Server sowie globaler Katalog stellen die Anmeldefunktionen bei fehlender Netzwerkverbindung sicher. Allerdings sollten auf gar keinen Fall Kennwörter Administrativer Konten an den Standort repliziert werden. Eine Anmeldung am Server mit Administrativen Rechten ist so nur möglich wenn die IPSec Verbindung zum Hauptsitz steht. Um Druckfunktionen zur Verfügung zu stellen, empfiehlt sich zusätzlich die Rolle “Druck und Dokumentendienste”. Auch die Rolle “DHCP-Server” ist nützlich. Zum sichern und abgleichen der Daten kann eine DFS-Replikationsgruppe eingerichtet werden. Somit sind immer alle Daten an mindestens 2 Standorten verfügbar.

Fazit:
Der kleine Server bietet neue Möglichkeiten um kleine Firmenstandorte, Baustellen oder ähnliches mit Servern auszustatten. In Verbindung mit einem L2 VPN-Router (z.B. Cisco oder Astaro) lässt sich der komplette Netzwerkverkehr so absichern, dass selbst ein Sniffer an einem Monitor-Port kein Risiko darstellt. Dank RODC und EFS sind auch die Daten und Benutzerkonten relativ sicher. Der Nutzen eines solchen Servers übersteigt auf jeden Fall das Restrisiko. Alternativ müssten alle Anwender ihre Daten lokal verwalten, fällt eine Festplatte aus ist alles weg. Truecrypt usw. bringen auch nicht viel wenn die Daten per SMB Freigabe zwischen den Systemen kopiert werden. Dank des Server kann die Kommunikation mit IPSec und Kerberos abgesichert werden und Mitarbeitern an Remote Standorten eine sichere Zusammenarbeit im Netzwerk ermöglicht werden.

Mehr zum Server auf der HP Produktwebsite.

Lustiger Bluescreen im Sketch bei Granaten wie wir

Posted on by

Bluescreen mal anders. In einem Sketch bei Granaten wie wir versucht Dieter Bohlen Gotschalk Strike zu spielen als der PC im Sketch mit einem Bluescreen abstürzt. Die Meldung des Bluescreens lautet:

Ein Problem ist mit ihrem Computer aufgetreten und Windows fährt
herunter um Schäden zu vermeiden.
Sehen Sie diesen Bildschirm zum ersten mal? Glückwunsch: Ihr
Computer gibt jetzt mal so richtig den Geist auf.
Starten Sie den Computer neu und drücken Sie
Alt + £4 + esc + delete + backspace um die Welt zu zerstören.
.
Technische Informationen dieser Version:
Writers: Marc Löb / Stefan Pächer / Marcus Schafitel...|
Actor: Max Giermann...|
Graphics&Animation: Hacki Grünewald...|
Editors: Markus Kirchner / Lisa Währer...|
.
*** STOP: H1 M0m ( 0xCBLABLABLA007BUMM, WINDOWS, SEINISCHSO)
...>|Überprüfen Sie ihr BIOS nach möglichen Updates|<...
...>|Wünschen euch viel Spaß bei den Promi Desktops|<...
*** STOP: W456347 (0xHIERISTNIXTOLLES, HALLO?, RECALL=NO)
Hast du wirklich alles gelesen?
Normalerweise ist der Rechner aus bevor man unten ankommt....
.
CHECK T9!!! ---> 45825986724 38 4278 336 2633 43562258

Und hier das Original :-)

UMTS Verbindung über Windows RAS herstellen

Posted on by

Jeder Nutzer einer UMTS-Datenkarte sollte das Problem kennen. Karte oder Stick an den PC gesteckt, Software unter Administratorrechten installiert und sobald man versucht, mit normalen Berechtigungen eine Verbindung herzustellen, Fehlanzeige. Aber warum ist das eigentlich so? Zum Beispiel das Vodafone Dashboard. Zuerst muss wie für jede andere Hardware auch der Treiber installiert werden. Die Software selbst kommuniziert dann mit dem Modem (Stick/ Karte/Box) über AT-Befehle. Um die PIN an die SIM-Karte zu übermitteln, sendet die Software “+cpin=”1234″ oder für die Verwendung eines APN +cgdcont=1,”IP”,”APN-NAME”. Diese Befehle lassen sich auch in den Modemeigenschaften unter “weitere Initialisierungsbefehle” als Administrator konfigurieren. Leider benötigt die Eingabe der PIN etwas Zeit. Bei meinen Versuchen habe ich es unter Windows nicht geschafft eine ausreichend lange Pause zu konfigurieren (was unter Linux übrigens problemlos funktionierte). Zähneknirschend habe ich also die PIN-Abfrage der Karte deaktiviert. Interessanterweise funktioniert die PIN-Eingabe wenn man den CPIN-Befehl in den Modemeigenschaften setzt, dann wählt, ein paar Sekunden wartet, die Eigenschaften wieder ändert um den APN zu hinterlegen und ein zweites mal wählt. Ob der  Aufwand, den Gerätemanager jedes mal als Admin zu öffnen und das Modem hin und her zu konfigurieren sinnvoll ist, muss jeder selbst entscheiden.

Die eigentliche DFÜ-Verbindung kann nun unter Netzwerkverbindungen angelegt werden.

Der Assistent wird unter Netzwerkverbindungen links über die Aufgabe “neue Verbindung erstellen” gestartet. Hier klickt man zuerst “weiter”, wählt anschließend “Verbindung mit dem Internet herstellen”, klickt “Weiter”, wählt “Verbindung manuell einrichten” und klickt erneut “Weiter”. In diesem Dialogfeld wird nun das UMTS-Modem ausgewählt. Hier sollte man aufpassen, nicht aus versehen ein eventuell vorhandenes internes Moden zu erwischen.

UMTS-Modemauswahl

Sobald der richtige Haken gesetzt wurde, klickt man erneut auf Weiter. Als nächstes wird der Name der Verbindung eingegeben, zum Beispiel “Vodafone UMTS” eingetragen und mit “Weiter” bestätigt. Nun fragt der Assistent nach der Rufnummer. Für Vodafone UMTS ist an dieser Stelle “*99***1#” einzutragen. Es folgt ein die Bestätigung mit “Weiter”.

Provider-Rufnummer

Rufnummer

Nach dem Klick auf “Weiter” erscheint die Frage “Alle benutzer” oder “Eigene Verwendung”. Ohne Administratorenrechte kann hier nur “Eigene Verwendung” ausgewäht werden. Also Weiter. Nun fragt der Assistent nach “Benutzername” und “Passwort”. bei Vodafone muss hier nicht eingetragen werden. Es folgt ein klick auf “Weiter” und anschließend “Fertig stellen”. Doch es ist noch nicht überstanden. In der Standardeinstellung fragt das System bei jedem verbindungsaufbau nach Benutzername und Kennwort. Dies kann in den Eigenschaften der DFÜ-Verbindung im Reiter “Optionen” abgeschaltet werden. Hier sollte nur “Status anzeigen” ausgewählt werden.

UMTS Optionen

Optionen der UMTS-Verbindung

Die meisten Anbieter unterstützen zudem keine Verschlüssenung und nur CHAP als Anmeldeprotokoll. Wieder in den Eigenschaften der UMTS-Verbindung, diesmal im Reiter “Sicherheit” kann die unnütze Prüfung abgeschaltet werden. Als Datenverschlüsselung wird hier “Keine” und Protokolle ausschließlich das Challenge-Authentication-Protokoll “CHAP” zugelassen.

Sicherheit der RAS-Verbindung

Nun sollte die Verbindung hergestellt werden können. Zu beachten ist, manche Provider geben keine DNS-Server während des Verbindungsaufbaus an den Client. diese können aber unter dem Reiter “Netzwerk” in den Eigenschaften des Internetprotokolls “TCP/IP” konfiguriert werden. Für Vodafone ist hier “139.7.30.125″ als bevorzugter und “139.7.30.126″ als alternativer DNS-Server einzutragen.

DNS-Server

Manuelle Eingabe der DNS-Server

Betsätigt man nun alle offenen Dialogfelder mit OK sollte man die RAS-Verbindung herstellen können. Viel Spaß beim Surfen.

CDBurnerXP – Das kostenlose Brennprogramm für Windows

Posted on by

Da ich in letzter Zeit immer wieder die Frage nach einem kostenlosen Brennprogramm für Windows höre, möchte ich euch heute den CDBurnerXP vorstellen.

XP? Etwa nur für WindowsXP? Nein, keine Angst. Das Programm läuft läuft unter Windows XP, Vista und WIndows 7. Für Vista und 7 gibt es sogar eine 64bit Edition.

Das Programm ist ein sehr übersichtliches und schnelles Brennprogramm ohne viel Schnickschnack. Wem die Betriebssystemeigene Brennfunktion zu wenig bietet (Image-Brennen, Audio-CD, MP3-CD, UDF uvm.) und die mittlerweile total überladenen Programme wie Nero oder Win-on-CD zu groß und zu teuer sind, der sollte diesem Programm auf jedem Fall eine Chance geben.
Der nur 6.5 MB große Download ist auch bei langsamer Leitung schnell erledigt, die Installation selbst dauert nur wenige Sekunden. Ein nettes Feature, das Programm installiert einen Dienst der es auch nicht-Administratoren ermöglicht zu brennen.

Mehr Informationen findet ihr auf der offiziellen Website.

Quelle: cdburnerxp.se

Mit PHP im IIS unter Windows Server via sicheres LDAP auf ActiveDirectory zugreifen

Posted on by

Wer sollte nicht schon immer mal aus PHP auf ActiveDirectory zugreifen. Und das ganze am besten noch SSL-Geschützt über LDAPS (Port 636). Und das gnaze auch noch auf einem Windows Server 2003 mit IIS … wuah … aber in bestimmten Situationen geht es nicht anders.

Wie man PHP im IIS einbindet werde ich hier nicht beschreiben. Allerdings sollte man das LDAP-Modul auch laden. Dazu entfernt man einfach den Kommentar in der Zeile “;extension=php_ldap.dll”. Aber noch nicht genug. In der Standardeinstellung versucht das LDAP-Modul bei einer Verbindung über SSL das Zertifikat zu prüfen. Dies scheitert meistens und man erhält die Fehlermeldung ” ldap_bind(): Unable to bind to server: Can’t contact LDAP server”. Unschön. Um die Zertifikatsprüfung abzuschalten, erstellt man auf Laufwerk C: des Servers den Ordner  “C:\openldap\sysconf” und legt dort eine Datei namens “ldap.conf” ab. Hier können nun Einstellungen für das OpenLDAP-Modul gesetzt werden. Um die Zertifikatsprüfung abzuschalten, reicht es hier die Zeile “TLS_REQCERT never” einzutragen. Anschließend sollte man den IIS “WWW-Publishingdienst” neustarten.

Eine Verbindung zum LDAP-Server stellt man nun mit PHP wie folgt her:


$ldap->user="user@ad.firma.de"; // Benutzername in form LOGON@DOMÄNE
$ldap->password="12345"; // Passwort des Benutzers
$ldap->server="ad.firma.de"; // LDAP-Server, bei AD-Domänen kann einfach der Domänenname angegeben werden
/* Verbindung mit dem LDAP-Server herstellen */
$ldap->conn=ldap_connect("ldaps://".$ldap->server, 636); // Verbinde mit Server über LDAPS auf Port 636
ldap_set_option($ldap->conn, LDAP_OPT_PROTOCOL_VERSION, 3); // Verwende LDAP Protokoll version 3
ldap_set_option($ldap->conn, LDAP_OPT_REFERRALS, 0); // Referenzen nicht folgen
/* Nun melden wir uns am LDAP-Server an (LDAP-BIND)*/
$ldap->bind=ldap_bind($ldap->conn,$ldap->user,$ldap->password); // Verbindung herstellen

Nun könnte man im LDAP Suchanfragen oder andere Dinge unter den Rechten des Bind-Benutzers starten. Viel Spaß.