Alle Artikel über "Netzwerk"

SQL-Server: Fehler beim Warten auf das Wiederherstellungshandle des Datenbankmoduls

- - IT, Snippets

Nicht immer läuft die Installation des Microsoft SQL Servers  problemlos ab. Wer die Meldung „Fehler beim Warten auf das Wiederherstellungshandle des Datenbankmoduls“ bzw. den Code 0x851A001A als Fehler bei der Installation erhält – so wirds einfach und schnell gelöst!

Der Fehler tritt insbesondere bei der Installation von SQL Server Express (z.B. für PROFFIX) auf – kann aber auch bei anderen SQL Server Versionen auftreten.

Lösung

Bereinigung

Zuerst einmal muss die mit dem Fehler installierte SQL – Instanz deinstalliert werden. Es ist nicht nötig, den ganzen SQL-Server zu deinstallieren(!)

Dazu wechselt man zu den Programmen, wählt den SQL – Server aus (z.B. SQL Server Express 2014) und klickt auf Deinstallieren.

MS SQL Server deinstallieren

(Hinweis:Die Funktion Reparieren hilft bei diesem Problem nicht).

Anschliessend klickt man sich durch den Assistenten und entfernt das Datenbankmodul (und nur das!) der entsprechenden Instanz.

Modifizierte Installation

Anschliessend ist alles bereit für eine neue, leicht modifizierte Installation des SQL-Servers. Ein Neustart ist nicht nötig aber empfohlen.

Bei der Installation der „neuen Instanz“ folgt man wiederum dem Assistenten, bis man zur Eingabemaske Serverkonfiguration kommt.

Hier ändert man den Kontonamen des SQL Server-Datenbankmoduls manuell (d.h. Eingeben oder Copy & Paste) wie folgt ab:

NT AUTHORITY\NETWORK SERVICE

SQL Server Dienst anpassen

Anschliessend kann die Installation abgeschlossen werden; es  sollten keine weiteren Fehlermeldungen auftreten – und auch der SQL – Server Dienst sollte problemlos gestartet werden.

 

Mobiles Internet und Fernzugriff

- - IT, Tutorials

Das mobile Internet hat auch den Fernzugriff verändert. Wo früher noch ein erheblicher Aufwand für eine Verkabelung betrieben werden musste, reicht heute ein simples LTE-Modem. Wirklich?

Den einfachsten Fall erleben wir selbst tagtäglich. Surfen wir etwa mit dem Mobiltelefon im Netz per 3G / 4G oder LTE so sind wir nicht „direkt im Netz“ sondern erreichen dieses via das Interne Netzwerk des Providers, der zu diesem Zweck auch eine eigene Firewall bereitstellt.

Der normale Benutzer bemerkt davon aber nichts – es funktioniert ja alles.

LTE Modem Internetzugriff

Zugriff vom LTE-Modem ins Web; Alles funktioniert.

Kehrt man das Ganze aber um und möchte das Mobiltelefon bzw. das LTE-Modem von extern erreichen (z.B. für Fernsteuerung von Geräten, Fritz Smart Home) wird das in den wenigsten Fällen auf Anhieb funktionieren. Der Grund dafür; die unterschiedlichen Netzwerke („Internet“ vs. „Internes Netzwerk d. Providers“) die durch die Providerfirewall getrennt sind.

LTE Modem Fernzugriff

Zugriff vom Web aufs LTE-Modem ins Web; Firewall des Providers blockiert.

Gründe?

Die Gründe, wieso nicht jedes Mobiltelefon mit einer öffentlich ansprechbaren IP-Adresse unterwegs ist sind vor allem bei den Kosten und der Sicherheit zu suchen.

Zum einen braucht der Provider wesentlich weniger öffentliche IP-Adressen (Sind nicht gratis…) was im Zuge der heutigen Mobilisierung oftmals auch gar nicht mehr möglich wäre (d.h.; zu wenige IP-Adressen).

Zum anderen ist es auch eine Sicherheitsfrage. Wenn jedes Mobiltelefon mit einer öffentlichen IP-Adresse direkt ansprechbar wäre, gäbe es über kurz oder lang ein Chaos apokalyptischen Ausmasses. Jedes verpasste Update auf dem Smartphone würde eine potenzielle Sicherheitslücke darstellen, die per Web direkt angesprochen und ausgenutzt werden könnte.

 

Lösung

Nun gibt es aber Fälle, wo das LTE-Modem (z.B. eine Fritzbox) über eine öffentliche IP-Adresse verfügen muss. Denn selbst Dienste wie dyndns.org, noip.com oder myfritz.net benötigen zur korrekten Weiterleitung eine solche Adresse.

In der Schweiz bekommt man Sie für die entsprechenden Geräte jeweils nur auf Anfrage beim Provider:

  • Sunrise; kurze Anfrage bei der Support-Hotline
  • Swisscom; spezieller Zugang (Corporate Application Access) nötig

AGFEO TAPI per Gruppenrichtlinien verteilen

- - IT, Snippets

TAPI Treiber korrekt zu installieren bzw. zu konfigurieren kann mühsam sein – insbesondere wenn mehrere Benutzer eingerichtet werden müssen. Das folgende Beispiel mit einer AGFEO Telefonanlage soll zeigen, dass mittels Gruppenrichtlinien auch dann die einzelnen Parameter individuell eingestellt werden können, wenn der Hersteller eine „einfache Netzwerkinstallation“ eigentlich gar nicht vorgesehen hat…

Ausgangslage

Im folgenden Beispiel war die Ausgangslage recht unkompliziert. Lediglich der AGFEO – Server (Bindeglied zwischen Telefonanlage und TAPI – Bereitstellung) wurde migriert. Manuell müsste nun aber auf jeder einzelnen Arbeitsstation die Konfiguration angepasst werden – etwas mühsam…

Speditiver Lösungsweg

Ein etwas speditiverer Lösungweg führt über die Gruppenrichtlinienverwaltung der Domäne. Da dabei auch Registry – Einträge der einzelnen Arbeitsstationen angepasst / erstellt werden können, kann praktisch jede Software beliebig „massenangepasst“ werden.

Einzige Bedingung dafür ist, dass der Aufbau bzw. Lageort der entsprechenden Einträge im Voraus bekannt ist. In folgendem Fall konnte nach einer manuellen Anpassung der Software und anschliessender Auslesung der Registry (Tipp: den zu ändernden Begriff mit einem Platzhalter z.B. PLATZHALTER833 ersetzen, anschliessend die Registry mit F3 nach diesem Wort durchsuchen) die nötigen Infos gefunden werden:

Beispiel AGFEO TAPI Driver:

Der Pfad in der Registry lautet:

HKEY_LOCAL_MACHINE\SOFTWARE\AGFEO\TSP7\7.0\Net

 

Dabei sind folgende Einträge von Bedeutung:

"Pwd"="PASSWORD"
"Host"="HOST"
"Usr"="USERNAME
"Port"=dword:000013d9

 

Hinweis: Der Eintrag Port wird als DWORD gespeichert, was nichts anderes als der hexadezimale Wert des Ports ist (5081). Eine schnelle Umrechnung Hex <–> Dec ermöglicht z.B. der Hex to Decimal Converter

Individuelle Anpassung TAPI Treiber

Die so ermittelten Parameter können anschliessend über die Gruppenrichtlinienverwaltung individuell, schnell und zielgerichtet im Netzwerk verteilt werden. Dabei kann auch hier wieder mit Parametern gearbeitet werden (z.B. für Benutzernamen des TAPI – Treibers automatisch den Windowslogin verwenden –> %username%).

Wenn die Richtlinie einmal erstellt wurde, sind zukünftige Anpassungen oder aber auch automatische Neuzuweisungen (bei Benutzer/Arbeitsplatzwechsel) mit relativ wenig Aufwand verbunden.

VMWare: Fehler beim Konsolidieren der Festplatten: msg.fileio.lock.

- - IT, Snippets

Probleme beim Konsolidieren von Snapshots? Meldung „msg.fileio.lock“? So behebt man das Problem…

Die Mitteilung in VMware vCenter „Die Festplatten der virtuellen Maschine müssen konsolidiert werden“ können normalerweise per Rechtsklick auf die jeweilige Maschine >> Snapshots >> Konsolidieren beseitigt werden.

Leider kommt es aber ab und zu vor, dass dann die Meldung „Fehler beim Konsolidieren der Festplatten: msg.fileio.lock.“ erscheint.

Meist liegt die Ursache an einem der mittlerweile so zahlreich vorhandenen Backuplösungen, die noch in irgendeiner Form auf die VMs zugreift oder z.B. durch einen Systemausfall „hängengeblieben“ ist. Ein Reboot des Backuplösung löst das Problem daher meistens.

Offline Domänenbeitritt

- - IT, Snippets

Um einen Client einer Domäne hinzuzufügen muss man eine Reihe von Anforderungen erfüllten. Selbes Netzwerk, die richtigen DNS-Einstellungen,etc. Wie man dasselbe offline erledigen kann – hier die korrekten Schritte.

Vorgehen

Das Vorgehen ist schnell erklärt. Auf dem Domänencontroller führt man ein kleines Skript aus und generiert ein Textdokument. Dieses kann dann (z.B. per Mail) an den Client gesendet werden der sich damit dann offline an die Domäne anbinden kann.

 

Schritte auf dem Server / Domänencontroller

Eingabeaufforderung (CMD) öffnen und folgende Befehle eingeben:

djoin /provision /domain “DOMÄNE” /machine “NAME” /savefile c:/djoin.txt

 

Anschliessend „taucht“ der Client auch bereits im ActiveDirectory auf.

Offline Domänenbeitritt

 

Hinweis: DOMÄNE = Name der Domäne, NAME = Computername

 

Das generierte Textfile djoin.txt befindet sich unter C:\.

Das File kopieren und auf den Client verschieben (z.B. per E-Mail, USB-Stick…)

 

Schritte auf dem Client

Das oben generierte Textfile djoin.txt in C: kopieren.

Anschliessend Eingabeaufforderung ausführen (als lokaler Admin!) und folgende Befehle eingeben:

cd c:\

djoin /requestODJ /loadfile djoin.txt /windowspath %systemroot% /localos

 

Fertig – Der Client wurde der Domäne hinzugefügt!

Sicheres Gästenetzwerk mit DD-WRT

- - IT, Tutorials

Es gibt viele Gründe ein Gäste-WLAN einzurichten. Im einfachsten Fall möchte man tatsächlich Gästen oder Besuchern eine Internetverbindung zur Verfügung stellen. Vielleicht möchte man aber auch einfach ein getrenntes WLAN-Netz um z.B. Haustechnik oder Solaranlagen anzuschliessen. Wie man das Ganze so einrichtet, dass Besucher nicht plötzlich im internen Netz landen – in diesem Artikel.

Gästenetzwerk vs. Sicheres Gästenetzwerk

Ein unsicheres Gästenetzwerk aufzubauen ist einfach – viele WLAN-Router haben diese Funktion heute bereits eingebaut.
Der Haken daran: Es ist nicht sicher und ermöglicht „Gästen“ praktisch auf das gesamte interne Netzwerk zuzugreifen. Die Ursache liegt aber weniger an der Software sondern vielmehr  an der „Standardverkabelung“.

Die Problematik; Hersteller vs. Provider

Aktuelle WLAN-Router haben meist auch einen WAN – Anschluss, d.h. sie sind darauf ausgelegt direkt ans „Internet“ angeschlossen zu werden. Vom Provider erhält man heute zu 99,9 % aber ebenfalls einen Router (eine Modem / Router Kombination…)

Man hat damit also folgende zwei Anschlussmöglichkeiten:

Variante 1: Der Router des Providers (z.B. von Swisscom) wird komplett aus der Installation entfernt und durch den WLAN-Router ersetzt. Der WLAN-Router stellt sowohl das Interne WLAN wie auch das Gästenetzwerk.

WAN / WLAN Direkt

Abb. 1: Vom Hersteller vorgesehene Konfiguration („Theorie“…)

Variante 2: Ein zusätzlicher WLAN-Router wird an das bestehend bleibende Modem/Router des Providers angeschlossen. Der WLAN-Router stellt ebenfalls sowohl Internes WLAN wie auch das Gästenetzwerk.

WAN / WLAN Indirekt

Abb. 2: Häufiger anzutreffende Konfiguration („Praxis“…)

Bei beiden Varianten wird „der Internetzugang“ funktionieren – denn der/die Router machen was sie sollen und vermitteln „jeden mit jedem“. Dementsprechend hat aber bspw. auch ein Gast vollständigen Zugriff auf sämtliche Komponenten des Netzwerks. Das ist nicht im Sinne des Erfinders, oder?

Eine saubere Lösung mit DD-WRT

Um das Gästenetzwerk wirklich sauber einzurichten braucht man wesentlich mehr Kontrolle über den WLAN-Router, als standardmässig vorgegeben. Gerade für kleinere Netzwerke empfiehlt sich deswegen die alternative Routerfirmware DD-WRT.

DD-WRT ersetzt dabei die beschränkte Standardfirmware des Herstellers und ermöglicht wesentlich mehr Features und Feineinstellungen (mehr Infos zu geeigneten Routern bzw. die Installation von DD-WRT findet man hier)

Das endgültige Ergebnis sieht dann in etwa so aus:

Sicheres Gästenetzwerk mit DD-WRT

Abb.3: Sicheres Gästenetzwerk mit DD-WRT

Anders als bei den vorhergehenden Beispielen (Abb. 1 und 2) erfolgt hier eine vollständige Trennung von Internem und Gästenetzwerk – und zwar bereits auf demWLAN- Router. Gleichzeitig wird hier auch ein direkter Zugriff vom Gästenetz auf alle Router unterbunden – einzig und allein ein „kontrollierter Internetzugang“ wird erlaubt.

Schritt 1: Virtuelles Gästenetz erstellen

Virtuelles Interface erstellen

Virtuelles Interface erstellen (in DD-WRT)

Zuerst wird in DD-WRT ein neues, virtuelles Interface für den WLAN – Zugang erstellt. Dieses wird ausschliesslich für den Gästenzugang genutzt (z.B. WLAN_Gast).

Vorgehen: Unter Wireless >> Basic Settings den Button „Add“ klicken


Schritt 2: WLAN verschlüsseln / mit Passwort schützen

WLAN absichern

WLAN Intern/Gästenetz absichern

Anschliessend sollte man die grundlegenden Sicherheitseinstellungen für beide WLAN-Zugänge konfigurieren. Das Gästenetzwerk offen (d.h. ohne Verschlüsselung) zu lassen, empfiehlt sich in den meisten Fällen nicht.

Vorgehen: Unter Wireless >> Wireless Security die Verschlüsselung für beide Interfaces konfigurieren.


Schritt 3: Bridge erstellen

Neue Bridge erstellen

Neue Bridge br1 für das virtuelle Interface erstellen

Nun muss eine Bridge für das in Schritt 1 erstellte virtuelle Interface erstellt werden. Wichtig! Die bereits bestehende Bridge br0 nicht ändern, löschen oder überschreiben!

Vorgehen: Unter Setup >> Networking >> Create Bridge „Add“ klicken und die IP-Einstellungen für das Gästennetzwerk definieren. Anschliessend unter dem Punkt „Assign to Bridge“ das virtuelle Interface der neu erstellten Bridge zuweisen.


Schritt 4: Neue DHCP Instanz erstellen

Neue DHCP Instanz erstellen

Der Bridge br1 eine neue DHCP Instanz zuweisen

Da Gäste automatisch eine IP-Adresse zugewiesen bekommen sollen, muss eine neue DHCP – Instanz erstellt werden.

Vorgehen: Unter Setup >> Networking >> Multiple DHCP Server mittels des Buttons „Add“ der neu erstellten Bridge eine DHCP – Instanz zuweisen.


Schritt 5: Zusätzliche DNSMasq Optionen konfigurieren

Zusätzliche DNSMasq Optionen

Zusätzliche DNSMasq Optionen setzen

Damit DHCP schlussendlich funktioniert müssen noch folgende Optionen unter „Additional DNSMasq Settings“ ergänzt werden.

# Aktiviert DHCP auf br1
interface=br1
# Setzt das Standard Gateway für Clients von br1
dhcp-option=br1,3,192.168.5.1
# Setzt den DHCP Bereich und Default Lease Time für br1
dhcp-range=br1,192.168.5.100,192.168.5.150,255.255.255.0,24h

Schritt 6:  IPTables konfigurieren

IPTables Konfiguration DD-WRT

IPTables Konfiguration einfügen und „Save Firewall“ klicken

Zu guter Letzt müssen noch die Firewallregeln des Routers konfiguriert werden. Bis zu diesem Punkt hat das Gastnetzwerk auch noch keinen Internetzugang (das eigentliche Ziel dieser Übung…)

Firewallregeln kann man in DD-WRT mithilfe von IPTables konfigurieren. Man findet die entsprechende Eingabemaske unter Administration >> Commands.  Dort sollen folgende Konfigurationseinstellungen eingefügt und mittels „Save Firewall“ gespeichert werden:

#br1 (Gaestewlan) Internetzugriff erlauben
iptables -I FORWARD -i br1 -m state --state NEW -j ACCEPT
iptables -I FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
#Zugriff zwischen Intern und Gaeste blockieren
iptables -I FORWARD -i br0 -o br1 -m state --state NEW -j DROP
iptables -I FORWARD -i br1 -d `nvram get lan_ipaddr`/`nvram get lan_netmask` -m state --state NEW -j DROP
#NAT erlaubt Internetverbindung
iptables -t nat -I POSTROUTING -o br0 -j SNAT --to `nvram get lan_ipaddr`
#Torrent und P2P Netzwerke blockieren
iptables -I FORWARD -p tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 50 -j DROP
iptables -I FORWARD -p ! tcp -s 192.168.5.0/24 -m connlimit --connlimit-above 25 -j DROP
#Direktzugriff auf Router aus Gaestenetzwerk verweigern
iptables -I INPUT -i br1 -p tcp --dport telnet -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport ssh -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport www -j REJECT --reject-with tcp-reset
iptables -I INPUT -i br1 -p tcp --dport https -j REJECT --reject-with tcp-reset

Schritt 7: DD-WRT in Netzwerk einbinden

DD-WRT einbinden

DD-WRT ins bestehende Netzwerk einbinden

Zum Schluss muss der Router mit DD-WRT noch ins bestehende Netzwerk eingebunden werden. Da die Internetverbindung in dieser Konfiguration durch einen anderen Router / Modem (vergl. Abb. 3) hergestellt wird, brauchen wir das WAN nicht. Es sollte deshalb deaktiviert werden (unter „Setup“). Anschliessend sollte man dem Router noch eine plausible IP-Adresse vergeben (z.B. 192.168.1.2), sowie die Subnetmask und den DNS-Server ergänzen.

Den DHCP Server sollte man auf „Disable“ stellen – fürs interne Netzwerk brauchen wir ihn nicht und fürs Gästenetzwerk haben wir ihn bereits manuell konfiguriert.

Erst nachdem diese Einstellungen ergänzt wurden auf „Apply Settings“ klicken.

Um die Konfiguration abzuschliessen sollte man den Router anschliessend neu starten.

Cloud um jeden Preis?

- - Allgemein, IT, Web

Egal in welcher Branche man sich heute umhört – der Begriff „Cloud“ und „Daten auslagern“ ist allgegenwärtig. Es scheint die Lösung für alle Probleme zu sein – ohne Rücksicht auf Konsequenzen. Aber ist das wirklich so?

Die Nutzung einer Cloud ist selbstverständlich geworden. Egal ob Google, Dropbox, Microsoft oder wie sie sonst noch heissen – fast jeder lagert bei einem dieser grossen Anbieter einen Teil seiner Daten.

Cloud um jeden Preis?Der Grund dafür? Nun – Daten in der Cloud zu lagern ist einfach ungemein praktisch. Weder muss man sich um ein Backup kümmern, noch müssen die Daten in irgendeiner Form mit sich geführt werden. Selbst unterwegs hat man vollen Zugriff auf wichtige Informationen und kann diese nach Belieben mit allen teilen.

Hinzu  kommen die verhältnismässig geringen Kosten die bei den grossen Cloudanbietern teilweise sogar ganz entfallen.

Doch gibt es dabei keinen Haken? Keine Hintergedanken?

Alles hat seinen Preis

Alles hat seinen Preis, auch Dinge, von denen man sich einbildet, man kriegt sie geschenkt.

Jeder weiss es, nicht immer ist man sich dessen aber bewusst. (Nur) Nichts ist gratis.
Selbstverständlich bezahlt man beispielsweise für OpenSource Produkte die man kostenlos herunterladen kann nicht mit Geld – dafür aber mit Zeit, die man braucht um sich damit vertraut zu machen.

Auch bei Demoversionen und Gratisproben bezahlen wir mit Zeit – die wir einsetzen um uns mit dem Produkt zu befassen.

Wo also liegt der Preis der Cloud?

In der Zeit? In den meisten Fällen nicht – den Cloudprodukte sind praktisch „idiotensicher“ aufgebaut. Ein paar Klicks dort, ein paar Klicks da – und komplexe Vorgänge sind  plötzlich auch für Neueinsteiger möglich.

Für viele alltägliche Probleme finden sich heute findige Cloudprovider die eine Lösung anbieten – was darunter leidet ist das Verständnis und die Möglichkeit sich selbst weiterzuentwickeln.

All dies führt zu einer starken Abhängigkeit vom jeweiligen Anbieter. Man mag argumentieren, dass gerade im IT-Bereich immer eine Abhängigkeit von Systemen oder Produkten vorhanden ist – doch in der Cloud ist diese wesentlich stärker, da die Daten nicht nur technisch sondern auch räumlich vom Benutzer abgetrennt werden.

Ein Beispiel? Bei einer Serverlösung im Büro wissen Sie, dass Ihre Daten in Griffweite liegen. Bei einer Cloudlösung hingegen wissen Sie – …nichts.
Ihre Daten könnten theoretisch überall auf der Welt verteilt liegen, das Dokument XY liegt in einem Rechenzentrum in den USA, Video Y liegt auf einem Server in Deutschland…

Kurzum – wenn Sie totale Abhängigkeit suchen, in der Cloud werden Sie fündig!

Verblendung

Die monetären Kosten eine Cloudlösung versperren uns die Sicht auf den wahren Preis.

Es beginnt bereits im kleinen.
Sätze wie „Sichern Sie sich jetzt 5 GB kostenlosen Speicherplatz“ oder „Lager Sie Ihre Daten jetzt sicher und kostenlos in der Cloud“ klingen gut und verleiten uns, dieses Angebot gleich zu nutzen – denn was kann schon passieren?

Das wir dabei nicht nur unser Benutzerverhalten sondern auch unsere persönlichen Daten offenlegen spielt kurzfristig keine Rolle – denn das Angebot  ist ja einfach „zu gut“…

Dasselbe gilt für jede andere virtuelle Dienstleistung; E-Mail, Dokumentenbearbeitung, Musik– alles bekommt man heute in der Cloud – günstiger oder kostenlos und überall verfügbar!

Das Problem dabei, ist nicht einmal die Suche nach dem „günstigsten“ (oder billigsten?) Anbieter, denn jeder hat das Recht für sich oder sein Unternehmen das günstigste Angebot zu wählen. Problematisch ist  ist die „Geiz-ist-geil“ Mentalität; Wir fahren 20 km weiter, weil die Tankstelle dort das Benzin 2 Rappen günstiger anbietet. Wir bestellen Elektronikprodukte online aus China weils 30.- Franken günstiger kommt. Wir lagern Daten in der Cloud weils günstiger oder sogar kostenlos ist. Kurz – wir ordnen sämtliche Vor- und Nachteile den monetären Kosten unter – ohne Rücksicht auf langfristige Folgen.

Wir lassen uns vom Faktor Preis (ver)blenden – auf Kosten unserer Individualität und Unabhängigkeit.

Von Vordenkern und Mitläufern

Wer eine Cloudlösung verwendet, spielt nach den Regeln seines Anbieters. Alle Prozesse und Abläufe wurden vordefiniert – es gibt wenig Platz für eigene Anpassungen. Selbstverständlich lassen sich gewisse Punkte individualisieren (Logo, Texte) – aber immer nur bis zu einem gewissen Punkt. Jemand hat für Sie vorgedacht – jetzt müssen Sie mitlaufen.

Grundsätzlich ist die Idee eines vordefinierten Systems, dass sofort produktiv eingesetzt werden kann zwar absolut in Ordnung. Problematisch ist nur die Tatsache, dass dieses System sagt, was man wie tun muss. Die Notwendigkeit sich selbst mit einem Problem zu befassen entfällt fast vollständig – damit aber auch der Lerneffekt und die Chance individuelle Abläufe zu optimieren.

Macht die Cloud dumm?

Cloud_DenkenDie Frage ist heikel, muss aber dennoch gestellt werden. Wo wären wir heute, wenn die Menschheit immer nur vordefinierten Prozessen gefolgt wäre? Nur „fixfertige“ Produkte eingekauft hätte? Grundlegende Fragen einfach übergangen worden wären, weil die Lösung ja bereits da ist?

Wohin kommen wir, wenn die Antwort auf jede Frage nur noch lautet „die Cloud“?

Wo sind meine persönlichen Finanzdaten? In der Cloud.
Wo ist mein Erspartes? In der Cloud.
Woher erfahre ich, welches Wetter morgen ist? Aus der Cloud.
Woher erfahre ich den schnellsten Weg nach Zürich? Aus der Cloud.

Selbstverständlich ist die Cloud nicht durch und durch schlecht. Im Gegenteil. In gesundem Masse kann sie tatsächlich Dinge vereinfachen und Kosten senken. Doch genau dieses Mass findet bei weitem nicht jeder – inbesondere da „die Cloud“ immer mehr zum Statussymbol avanciert und Personen ohne Cloudnutzung als altmodisch oder ängstlich abstempelt.

Die Cloud kann „dumm machen“ indem uns komplexe Vorgänge als absolut simpel verkauft werden. Wir reichen ein Problem ein und erhalten die Lösung – wo, wie und womit diese aber entstanden ist bleibt  unverständlich.  Die Cloud denkt für uns und löst unsere Probleme, nimmt uns dabei aber auch die Gelegenheit uns selbst weiterzuentwickeln und neue Lösungswege zu finden.

Macht die Cloud abhängig?

Auf jeden Fall. Je komplexer die Cloudlösung, desto komplizierter ist der Zugriff auf Rohdaten. Bei reinen Speicherlösungen wie Dropbox, Google Drive oder Backup in der Cloud ist der Zugriff und der Erhalt von Daten noch relativ problemlos möglich. Werden hingegen ganze Systeme wie Server oder virtuelle Arbeitsplätze in der Cloud hinterlegt ist ohne Zustimmung des Anbieters oftmals nur ein teilweiser Zugriff möglich. Eine schnelle Möglichkeit den Anbieter zu wechseln gibt es dann nicht mehr – selbst der Export von simplen Datensätzen kann zu einer Herkulesaufgabe werden.

Bei jeder Entscheidung für eine Erweiterung oder Ergänzung des  System muss der Anbieter miteinbezogen werden. Kann z.B. mit einer physischen Infrakstruktur, die im Büro steht recht einfach ein Benutzer oder Gerät hinzugefügt werden, fehlen Ihnen bei einer in der Cloud hinterlegten Lösung dazu meist die Berechtigungen. Sie müssen zuerst nachfragen, ob das möglich ist bzw. was das zusätzlich kostet – und sind damit wiederum abhängig vom Anbieter.

Ist die Cloud sicher?

Sicherheit wird immer wichtiger – insbesondere wenn theoretisch jeder auf die Clouddaten zugreifen kann. In diesem Punkt müssen Sie sich aber auf Ihren Cloudanbieter verlassen – Sie haben wenig Möglichkeiten die Sicherheit zu überprüfen geschweige denn zu erhöhen. Sie spielen nach den Regeln Ihres Cloudproviders und müssen sich danach richten.

Auch der gern und oft erwähnte Standortvorteil Schweiz ist kein Garant für Sicherheit. Zwar mag dadurch eine gewisse rechtliche Sicherheit gegeben sein – wie stark sich ausländische Geheimdienste aber um das Recht in der Schweiz bzw. in Europa scheren, dürfte aber hinlänglich bekannt sein. Da jede Cloudlösung auch immer einen Teil  Soft- oder Hardware „Made in USA“ beeinhaltet, lässt sich auch die Gefahr für mögliche Hintertürchen nicht vollständig ausschliessen. Kurz – es ist eine Illusion zu glauben, nur weil eine Lösung in Europa gehostet wird,  sei man gegen Datenschnüffelei vollständig geschützt.

Dass Sicherheit gerade im Web schnell zum Problem werden kann, zeigte beispielsweise die Sicherheitslücke „Heartbleed„. Zwar kann sie auch lokale Installationen betreffen, der Schwerpunkt wird aber bei Cloudlösungen liegen. Welche Schäden dadurch entstanden sind wird sich erst langfristig zeigen.

Weg ohne Wiederkehr?

Die Cloud ist nicht ohne Grund nach einer Wolke benannt. Zwar hat man jederzeit Zugriff auf seine Daten, auf welchem physischen Medium diese Daten dann schlussendlich aber lagern kann oft gar nicht oder nur schwer festgestellt werden – alles liegt im „Nebel der Cloud„.
Zugegeben – dies mag für Urlaubsbilder oder private Mails keine grosse Rolle spielen.  Sobald  aber sensible Informationen wie Passwörter, persönliche Informationen oder Geschäftsdaten gespeichert werden, ist die Frage in welchen Teilen der Welt diese Daten denn nun kursieren, sicherlich berechtigt.

Da der Weg der Daten bei Cloudlösungen nicht immer nachvollzogen werden kann, ist auch die Enfernung derselben immer mit einem gewissen Risiko behaftet. Anders ausgedrückt – was einmal in der Cloud liegt ist nur sehr schwer wieder zu entfernen.

Relativierung

Den Preis der Cloud lässt sich nicht monetär beziffern. Wir bezahlen nicht nur mit Geld sondern auch mit nur schwer messbaren Werten wie Abhängigkeit, Persönlichen Informationen und Verlust von Selbständigkeit. Gleichzeitig ist die Cloud aber auch nicht durch und durch schlecht – in vernünftigem Masse verwendet, kann sie durchaus nützlich sein und den Alltag erleichtern.

Wie so oft gibt es nicht nur schwarz und weiss (Cloud vs. Offline) sondern auch grau – z.B. in Form einer privaten Cloud oder einer ausgeglichenen Hybridlösung. Alternativen zur Cloud insbesondere im Geschäftsbereich gibt es zu Genüge – sofern man denn dem Cloud-Hype widerstehen kann…

NTP korrekt konfigurieren

- - IT, Tutorials

Zeit ist relativ – dem einen kann es nicht schnell genug gehen, der andere möchte sie anhalten. Für IT – Systeme hingegen sollte man sich darauf verlassen können, dass die Zeit stimmt und überall gleich ist – sonst können unangenehme Überaschungen passieren…

NTP – klein aber fein

Das Network Time Protocol ( NTP) ist ein Standard um die Zeit auf verschiedenen IT-Systemen zu synchronsieren. Computer, Server, Router, SAN, NAS – alles kann via NTP auf die gleiche Zeit abgestimmt werden.  NTP funktioniert über das Protokoll UDP und ist damit universell einsetzbar.

Wieso braucht es eine Zeitsynchronisierung?

Auf den ersten Blick mag es unerheblich scheinen, dass beispielsweise ein Router, PC oder Server kleine Zeitdifferenzen aufweisen. Und was sollen Unterschiede von 1-2 Minuten denn schon gross ausmachen…oder?

Je nach System sind es aber gerade diese Differenzen, die für kleinere Timeouts bis zum kompletten Versagen führen. Ein Hauptgrund für die Wichtigkeit der Zeit in IT – Systemen ist schlichtweg, dass praktisch alles darauf basiert. Einige Beispiele:

  • Backup (zeitgesteuert)
  • Verschlüsselung
  • DHCP (bis wann ist eine Adresse gültig?)
  • Updates
  • Sicherheitsfunktionen (z.B. zweistufige Authentifizierung)

Insbesondere der Bereich Netzwerk setzt eine Zeitsynchronität voraus – falls diese nicht  gegeben ist, wird sich das früher oder später bemerkbar machen.

NTP Server

Ein NTP Server macht nichts anderes, als dass er „die Zeit verteilt“. Er bringt verbundene Geräte auf den korrekte Zeitstand. Dabei spielt es grundsätzlich keine Rolle ob die Zeit, die er verteilt auch korrekt ist. Solange sie im System synchron (d.h. alle gleich) ist, sollte alles funktionieren. Natürlich ist es aber ein Unsinn, falsche Werte zu  synchronisieren.  Deswegen bezieht ein NTP Server die Zeit meistens von einem „Master“ NTP Server (siehe www.pool.ntp.org)

InternetzeiteinstellungenBei einzelnen Arbeitsstationen die direkt am Internet hängen, wird die Zeit standardmässig direkt mit einem Internetzeitserver konfiguriert. Dazu einfach in die Einstellungen für „Datum und Uhrzeit“ gehen und nach einem Punkt „Internetzeit“  suchen.

 

Bei Domänennetzwerken wird die Sache schon interessanter. Generell wird hier die Zeit vom ersten Domänencontroller einer Gesamtstruktur übernommen. Dieser wiederum bezieht seine Zeit von der BIOS – Systemuhr. Um nun aber die Zeit mit einem exakten, externen Zeitserver zu synchronisieren reichen einige Zeilen Powershell.  Für Server 2012 lauten diese z.B:

w32tm /config /manualpeerlist:pool.ntp.org /syncfromflags:MANUAL
Stop-Service w32time
Start-Service w32time

Im ersten Schritt wird dem DC mitgeteilt woher er seine Zeit beziehen soll (in diesem Fall von pool.ntp.org). Danach wird der Service mittels Stop / Start neu gestartet.

Hinweis: In einer virtualisierten Umgebung sollte man vorher unbedingt die Zeitsychronisierung mit dem Host deaktivieren.

Nun muss die korrekt Zeit noch mit den einzelnen Domänenclients synchronisiert werden. Dazu eignet sich bspw. DHCP.

Zeit per DHCP verteilen

Unter Server 2012 findet sich die Funktion bei „DHCP“ > „IPv4“ und/oder „IPv6“ > „Serveroptionen“. Dort den Haken bei „004 Zeitserver“ setzten und den entsprechenden NTP Server (in diesem Beispiel der DC)  angeben.

Damit wird die korrekte Zeit automatisch synchronsiert – d.h. sämtliche Geräte die per DHCP ihre IP-Adresse beziehen und in die Domäne eingebunden sind, beziehen die Zeit per sofort vom DC.

KMU und „Wake on LAN“

- - IT, Tutorials

Gerade bei KMU’s ist es häufig so, dass die Arbeitsplätze häufig stark ausgelastet sind. Die Mitarbeiter kommen am morgen, lassen den Computer den ganzen Tag an und fahren in am Abend wieder herunter. Updates und Wartungsarbeiten während der Arbeitszeit automatisch durchzuführen ist zwar möglich aber meist ungeeignet. Die optimale Lösung? Wake on LAN!

Wake on LAN?

Selten wurde ein IT-Begriff so treffend gewählt wie Wake on LAN, auf deutsch „Wecken per Lokalem Netzwerk“. Genau das passiert nämlich: Ein ausgeschalteter Computer startet aufgrund eines Signals der Netzwerkkarte. Voraussetzung dafür ist aber:

  • Kompatible Netzwerkkarte (APM/ACPI Support)
  • Sauber strukturiertes LAN
  • Software (z.B. WOL2) oder entsprechender Router (z.B. DD-WRT)

Vereinfacht sollte eigentlich jeder Computer ab ca. 2008 über eine entsprechende Netzwerkkarte verfügen. Falls nicht bekannt, einfach kurz im BIOS überprüfen bzw. aktivieren.

Anwendungsbeispiele

Mögliche Anwendungen gibt es unzählige. Hier einige (sinnvolle) Beispiele:

  • Arbeitsstationen „präventiv“ hochfahren, d.h. falls Arbeitsbeginn um 7.30 Uhr um 7.20 sämtliche Stationen hochfahren
  • Updates über Nacht einspielen
  • Schadcodescan über Nacht
  • Als Ergänzung zur Fernwartung
  • Energiemanagement (v.a. im Zusammenhang mit Virtualisierung). Server nur bei „Bedarf“ aktivieren.

Eine „elegante“ WOL Lösung mit Kaspersky

Kaspersky bietet mit dem Administrationsclient bzw. dem Security Center eine eingebaute „Wake on LAN“ – Lösung. Damit können für einzelne Gruppen oder Arbeitsstationen wiederkehrende Aufgaben erstellt werden die dann vollkommen automatisch ausgeführt werden. Diese Lösung ist „elegant“ weil keinerlei Zusatzsoftware benötigt wird sondern vorhandene Ressourcen (besser) genutzt  werden.

Ziel der Übung

Die Arbeitsstationen sollen um 1 Uhr nachts automatisch gestartet werden, ein Schadcodescan durchgeführt und sämtliche Updates eingespielt werden. Danach sollen die Computer wieder heruntergefahren werden.

Aufgabe in Kaspersky Security Center erstellen

Wake-on-LAN Aufgabe erstellenZu Beginn erstellt man eine neue Aufgabe im Kaspersky Security Center. Was genau diese Aufgabe dann erledigen soll, kann im Verlauf des Assistenten angeben werden (Update, Virusscan, Rollback…). Idealerweise wählt man etwas, das auch durchgeführt werden soll – in diesem Beispiel ein einfacher Virusscan.

 

Wake on LAN im Kaspersky Security Center aktivieren

Wake-On-LAN KasperskySobald die Aufgabe erstellt ist, müssen die Feineinstellungen vorgenommen werden. Zu diesen gelangt man durch Rechtsklick auf die entsprechende Aufgabe und auswählen der Option „Eigenschaften„.  Unter dem Menüpunkt „Zeitplan“ befindet sich der gut versteckte Punkt „Erweitert„.

 

 

Wake-On-LAN Kaspersky aktivierenHier das Häkchen bei „Computer vor dem Aufgabenstart per Wake on LAN aktivieren“ setzten. Je nach System sollte die Verzögerung angepasst werden. 5 Minuten sollten aber in den meisten Fällen ausreichen.

 

Der grösste Teil der Konfiguration ist damit bereits erledigt. Das Security Center sendet um 00.00 Uhr ein WOL – Signal an die betreffenden Computer, wartet 5 Minuten bis diese hochgefahren sind und beginnt dann mit dem Virusscan.

Weitere Aufgaben anfügen

Nun können weitere Aufgaben hinzugefügt werden – das Vorgehen bleibt dabei  immer gleich. Um also z.B. aktuelle Updates zu installieren einfach eine Aufgabe „Windows-Updates installieren“ erstellen. Idealerweise wählt man parallel dazu den Windows eigenen Updatezeitpunkt ebenfalls im gleichen Zeitrahmen (in diesem Fall 00.00 Uhr). Doppelt hält besser 😉

Security Center Aufgabe anhaengenJede nachfolgende Aufgabe sollte Bezug auf die vorhergehende nehmen – daher beim Zeitplan immer „Nach Beenden einer anderen Aufgabe“ die vorhergehende Aufgabe angeben. Bei der letzten Aufgabe kann dann unter „Erweitert“ das Häkchen „Computer nach Beendigung der Aufgabe herunterfahren“ gesetzt werden.

 

 

Ergänzende Überlegungen

Das System funktioniert sehr gut im Zusammenhang mit WSUS. Interessant ist aber auch die Aufgabe „Programm starten“ des Security Centers. Dadurch können Updates von Drittanbietern, Skripts oder Batchfiles zeitgesteuert per WOL ausgeführt werden.

Ein kritischer Faktor ist hingegen die Zeit; Scans und Updates dauern nicht immer gleich lange und sollten deshalb grosszügig kalkuliert werden.

Schlussendlich verfügt man mit dem Kaspersky Security Center aber über eine ressourcenschonende und stark individualisierbaren Lösung – perfekt für KMU’s.