Archiv der Kategorie: ICT

Archivbit, Linux und differentielles Backup

Kommentar verfassen

Früher haben wir immer ein vollständiges Backup auf Band durchgeführt. Aber mit der zunehmenden Datenflut ist das nicht mehr möglich. Eine Vollsicherung dauert im Moment ungefähr 11 Stunden, würde also den laufenden Betrieb stören. Nun gibt es die Möglichkeit, unter der Woche differentielle oder inkrementelle Backups zu erstellen, wobei ich mich entschieden habe, differentielle Sicherungen einzusetzen.

Um herauszufinden, ob eine Datei gesichert werden muss, verwendet unsere Backuplösung das sogenannte Archivbit. Windows setzt bei allen neuen oder geänderten Dateien ein solches Archivbit. Bei einer Vollsicherung am Wochenende wird dieses Archivbit von der Backupsoftware zurückgesetzt. Diese Dateien werden dann unter der Woche vom differentiellen Backup nicht mehr gesichert. Bei allen Dateien, die aber seit dem Wochenende neu angelegt oder geändert wurden, setzt Windows wieder das Archivbit. Diese so gekennzeichneten Dateien werden nun beim differentiellen Backup gesichert, das Archivbit aber nicht zurückgesetzt. Damit werden sie (im Gegensatz zum inkrementellen Backup, bei dem das Archivbit zurückgesetzt wird) jeden Tag unter der Woche erneut gesichert, auch wenn sie bereits am Montag erstellt wurden (bis bei der nächsten Vollsicherung wieder alle Archivbits zurückgesetzt werden). 

image

Unter Linux ist das in Windows verwendete Archivbit nicht implementiert. Um Dateien von einem Linuxserver auch in die Bandsicherung aufzunehmen, erstellt der Linuxserver eine Sicherung auf eine Sambafreigabe. Von dort werden sie über ein Skript mit Robocopy auf einen Windowsserver kopiert, damit sie in der Nacht auf Band gesichert werden können. Da aber Linux das Archivbit nicht kennt, werden diese Dateien beim differentiellen Backup ausgelassen, obwohl sie jeden Abend neu kopiert werden…

Aber wie heisst es so schön? Das sind keine Probleme, sondern nur Herausforderungen 😉
Robocopy bietet die Möglichkeit, das Archivbit beim Kopieren zu setzen mit der Option /A+:A, was soviel bedeutet wie: setze Attribut (/A+) Archivbit (:A).

image

Lehreroffice – neues Formular

Kommentar verfassen

Letztes Jahr konnten wir das Übertrittsformular aus der Primar in die Oberstufe noch nicht automatisch erstellen lassen. Nun habe ich die Formeln angepasst, damit nun die Promotionsnoten aus dem 2. Semester der 5. Klasse und aus dem 1. Semester der 6. Klasse automatisch eingetragen werden (unabhängig davon, in welchem Semester man das Formular ausdruckt).

Hier der entsprechende Auszug aus dem zweiseitigen Formular:image

Dieses und die anderen Formulare kann man herunterladen und für seine Schulgemeinde anpassen.

E-Mails mit gefälschtem Absender

Kommentar verfassen

Heute wurde ich auf ein Mail aufmerksam gemacht, das scheinbar schon einige unserer Lehrpersonen erhalten haben. Gesendet von einem bekannten Absender (in dem Fall einem Schüler), mit Betreff “amazing!” und als einzigem Inhalt einem Link “Click here to see the attached photos”

image

Man kann immer wieder beobachten, das Spammails scheinbar von Absendern kommen, die man kennt. Die Absenderadresse kann sehr einfach gefälscht werden. Wenn ein Computer von einem Virus oder Trojaner infiziert ist, kann sein Adressbuch ausgelesen werden. Die Chance, dass sich die Personen aus diesem Adressbuch kennen, ist relativ hoch. Ebenso wie die Chance erhöht ist, dass Personen auf einen Link aus einem Mail mit bekanntem Absender klicken. Weitere Informationen zu gefälschten Absenderadressen finden sich hier.

Was passiert, wenn man auf den Link klickt?

In diesem Beispiel kann man schön sehen, dass in dem Link die Adresse der angeschriebenen Person steckt.

image

Wenn man also nun auf den Link klickt, bestätigt man, dass diese E-Mailadresse benutzt wird. Listen mit solchen E-Mailadressen werden unter Spammern gehandelt, sind also bares Geld wert.

Noch schlimmer kann es kommen, wenn diese Seite mit Malware verseucht ist und man sich auf diesem Weg einen Virus, Trojaner… einfängt. Dazu werden Sicherheitslücken in verschiedenen Produkten wie Internetbrowser oder Plugins wie Adobe Flash etc. ausgenutzt.

Wenn Ihr Rechner Schwachstellen hat, reicht es also aus, eine solche Internetseite zu besuchen, um sich einen Schädling einzufangen. Weil der Nutzer davon nichts bemerkt und auch gar nichts weiter dazu beitragen muss – etwa auf eine Datei klicken -, nennt man diesen Infektionsweg Drive-by-Download (also im "Vorbeifahren").

Weitere Informationen zu solcher Malware und deren Verbreitung finden sich hier.

Was kann man tun?

Wichtig ist, die Systeme laufend aktuell zu halten, also alle Updates einzuspielen. (Betriebssystem, Browser, Plugins, Virenschutz…..). Trotzdem bleibt eine Restgefahr. Diese Updates können nämlich nur vor dem schützen, was sie bereits kennen. Es gibt aber Sicherheitslücken, die ausgenutzt werden, bevor es einen Patch vom Hersteller dafür gibt. Man spricht dann von einem sogenannten “zero-day-exploit”, also einer Möglichkeit, Malware zu verbreiten, für die es noch kein “Gegengift” gibt. Gegen “zero-day-exploits” hilft nur, nicht überall draufzuklicken, wo man könnte.

Problem mit Backup Exec und UEFI

Kommentar verfassen

Bei einer neuen Backup Exec Installation hatte ich folgende Fehlermeldung bei einem Backup mit ausgewältem “Systemstatus”: “VSS-Snapshotwarnung. Datei %BeBootDrive%\bootmgr ist im Snapshot nicht vorhanden.”

image

Auf der Supportseite von Symantec fand ich dann eine Beschreibung meines Problems mit der passenden Lösung.

image

Gemäss dieser Anleitung kann man im Registrierungseditor unter “HKEY_LOCAL_MACHINE\SOFTWARE\Symantec\Backup Exec for Windows\Backup Exec \Engine\Shadow Copy Components\” einen neuen Schlüssel “Additional Not Authorized Writers” erstellen.

image          image

Nun kann man bei diesem Schlüssel eine neue Zeichenfolge mit dem Namen “ASR” und dem Wert “{BE000CBE-11FE-4426-9C58-531AA6355FC4}” erstellen.

image

Damit der “Systemstatus” korrekt gesichert werden kann, muss man jetzt noch den Auftrag aktualisieren. Gemäss Supportseite kann man dazu den Auftrag löschen und erneut erstellen oder den Systemstatus ausschliessen und anschliessend wieder hinzufügen.

image

Forefront Richtlinien

Kommentar verfassen

Mit Forefront kann man für verschiedene Clients verschiedene Richtlinien mit entsprechenden Ausschlüssen erstellen.

image

Nachdem man eine neue Richtlinie ausgewählt und einen Namen vergeben hat, kann man eine entsprechende Vorlage auswählen.

image

image

Um eine Richtlinie für einen Server zu erstellen, der Domänencontroller, DNS-Server und DHCP-Server ist, habe ich einfach die drei Richtlinienvorlagen genommen und die Ausschlüsse in einer Richtlinie zusammengefasst.

Nun muss man diese Richtlinie nur noch der entsprechend vorbereiteten Sammlung zuweisen.

image

Ab der nächsten Synchronisierung der Richtlinie werden diese Ausschlüsse bei Forefront berücksichtigt.

Domänencontroller ersetzen

Kommentar verfassen

Das Netzwerk von unserem Sekretariat ist vollständig vom Schulnetzwerk getrennt, wie das der Kanton auch fordert. An diesem Standort steht ein einzelner Server, der die wenigen Arbeitsplätze versorgt. Nun musste ich diesen Server mit einem neuen ersetzen.

Als erstes habe ich den Server installiert (Server 2008R2 SP1), ihm eine fixe IP Adresse gegeben und ihn in die Domäne aufgenommen.

Nun kann man ihn zum Domänencontroller heraufstufen. Dazu kann man das Befehlszeilentool “dcpromo” verwenden oder die Rolle “Active Directory-Domänendienste” als Rolle im Servermanager hinzufügen.

image

image

Nun kann man direkt aus dem Assistenten weiter machen.

image

image   image   image   image

image   image   image   image

image   image

Danach muss man den Server neu starten.

Als nächstes zügelt man die FSMO (Flexible Single Master Operations) Rollen. Eigentlich müssten die Rollen automatisch zügeln, wenn man den alten Server von einem Domänencontroller zu einem normalen Server herabstuft, aber sicher ist sicher. Welcher Server welche Rolle innehat, kann man mit “netdom query fsmo” überprüfen.

image

Wenn  man über “Start” “ntdsutil” eintippt und mit Enter bestätigt, öffnet sich ein Fenster mit einer Eingabeaufforderung.  Sobald man roles eintippt, steht “fsmo maintenance:”

image

Durch Eingabe von ? findet man in der Hilfe heraus, dass die gewünschten Befehle wie folgt lauten:

Transfer infrastructure master
Transfer naming master
Transfer PDC
Transfer RID master
Transfer schema master

Zuerst muss man sich aber über “connections” und “connect to server servername” mit dem Server verbinden, dem man die Rollen neu zuweisen möchte.

image

Nun kann man die Rollen zuweisen mit den oben genannten “Transfer….” Befehlen.

Installation überprüfen

Nun sollte man überprüfen, ob die Installation richtig funktioniert.

Mit net share sollte SYSVOL und NETLOGON angezeigt werden.

image

Mit “nslookup” kann man die Namensauflösung überprüfen und am allerwichtigsten ist die Diagnose mit dcdiag.exe.

Nun muss man noch die weiteren Dinge wie DHCP, Fileserver, Printserver, Updateserver, Backup, etc. zügeln und den alten Server mit dcpromo vom Domänencontroller zum normalen Mitgliedsserver herunterstufen, bevor man ihn entgültig ausmustert.

Flash Update unter DOS

Kommentar verfassen

Auch das gibt’s noch. Bei einem neuen Server musste ich ein altes Bandlaufwerk zum Backup verwenden. Jedesmal wenn ich den Server mit der eingesteckten alten SCSI Karte von Adaptec starten wollte, ist er mir vor der Anmeldung eingefroren. 

Auf der Adaptec Supportseite des Adapters hiess es dann, dass die neue Verion des Bios ein Problem mit Intel Motherboards behebe. Nur: Das Update kann nur unter DOS eingespielt werden. Puh, das ist nun wirklich schon eine Weile her. Also von einer UBCD CD gestartet und FreeDOS ausgewählt.

image

Nur konnte ich so nicht auf den bereits beim Start eingelegten USB Stick zugreifen, aus welchen Gründen auch immer. Also habe ich mir eine DOS Startdiskette erstellt und die Flashdateien darauf kopiert, aber davon konnte ich dann auch nicht starten. Nach vielen Versuchen ist es mir dann gelungen aus dem UBCD FreeDOS aus auf das alte USB Diskettenlaufwerk zuzugreifen und das BIOS zu flashen.

image

Und das im Jahre 2011… Immerhin funktioniert der Server nun wieder korrekt.

Medienserver

Kommentar verfassen

Filme, Audiodateien und Bilder benötigen viel Speicherplatz auf dem Fileserver, der für solche Dateien auch einfach zu teuer ist. Daher haben wir uns zwei “günstigere” NAS von Synology gekauft. Im Moment sind sie erst mit 3 x 3TB Festplatten bestückt (weil auch die “günstigen” NAS schnell einmal ein Schulbudget sprengen). Im Raid-5 Verbund können aber jederzeit weitere Festplatten hinzugefügt werden und höchstwahrscheinlich werden die 3TB Platten in Zukunft ja auch eher noch günstiger.

image

Die Daten auf so einem NAS sprengen natürlich unsere Backupstrategie mit “backup to tape” bei weitem. Die Daten sind aber auch nicht so “schützenswert” wie selber hergestellte Arbeitsblätter, Prüfungen, Noten, Elternkontakte, Kontakte mit Fachstellen,…. Daher steht ein baugleiches NAS in einem anderen Schulhaus, also geografisch getrennt. Jeden Samstag wird dann ein Backup auf dieses “Backup-NAS” erstellt, das aber nur das Delta überträgt.

Synology liefert seine NAS mit dem sogenannten DSM (DiskStation Manager), mit dem sich die Verwaltungswebseite der NAS wie ein Minibetriebssystem anfühlt. Man kann Ordner öffnen und verschieben etc.

image

Das NAS lässt sich auch in ein vorhandenes AD integrieren, damit man auch die Benutzerberechtigungen auf die vorhandenen AD Benutzer und Gruppen abbilden kann.

Typo3 Update

Kommentar verfassen

Ich wollte unser Typo3 auf die neueste Version 4.6.0 updaten, aber im Gegensatz zum letzten Update ist da ziemlich was schiefgelaufen. Nun ist es mir doch noch gelungen.

Am besten macht man mit phpmyadmin eine Kopie der betroffenen Datenbank und arbeitet mit der Kopie. Ausserdem habe ich auch den ganzen Typo3 Ordner kopiert, damit ich in einer weiteren Installation testen kann ohne die aktive Installation zu “zerschiessen”.

Bei mir lag es hauptsächlich daran, dass die Datenbank nicht auf UTF-8 umgestellt war und einige Extensions nicht auf dem neuesten Stand waren.

Mit dieser Anleitung ist es mir schlussendlich gelungen, die Datenbank auf UTF-8 umzustellen und anschliessend Typo3 von 4.4 auf 4.6 upzudaten. Vielen Dank an den Ersteller.

Es zeigt sich mal wieder, dass Typo3 dem Ruf gerecht wird, kompliziert zu sein (vor allem für Nicht-Profis wie mich). Dafür bietet es auch immens viel an und man muss sich auch nicht an eine proprietäre Lösung binden. Also weiterhin empfehlenswert…

image