Archiv der Kategorie: Server

Medienserver Zeitsynchronisierung

Kommentar verfassen

Wir setzen an unserer Schule einen Medienserver für grosse Multimediadateien wie Filme ein. Dieser wird über ein Startskript mit “net use…” bei der Anmeldung als Netzlaufwerk verbunden. Seit kurzem hat dies nicht mehr funktioniert. Eine kurze Überprüfung ergab dann, dass die Uhrzeit nicht synchronisiert wurde.

image

Da es sich ja um keine Windowsmaschine handelt, die die Zeit automatisch mit dem Domändencontroller abgleicht, muss man das manuell selber machen, was ich bei der Installation übersehen habe.

Dazu muss man in der Systemsteuerung in die “Regionale Optionen”.

image

Hier kann man nun einen NTP Server angeben, mit dem die Zeit synchronisiert wird. Da ich auf der Firewall nur dem primären Domänencontroller erlaubt habe, die Zeit mit dem Internet zu synchronisieren, habe ich die IP Adresse von diesem eingetragen.

image

tar unter Linux

Kommentar verfassen

Unser Webserver läuft auf Typo3 unter Linux. Ich sichere die MySQL Datenbanken und die Verzeichnisstruktur. Heute musste ich einen Teil der Verzeichnisstruktur wiederherstellen. Einfach, damit ich es für ein anderes Mal nicht vergesse:

Mit dem folgenden Befehl wird das Backupverzeichnis entpackt
sudo tar –vxf backup.tar

Mit diesem Befehl kann man vorher schauen, was entpackt wird.
sudo tar –vtf backup.tar

Und wenn man, wie in meinem Fall, nicht das Ganze entpacken möchte, kann man das durch Angabe eines Unterordners erreichen.
sudo tar –vxf backup.tar var/www/Ordner/Unterordner/

So wird der Inhalt in den Ordner entpackt, in dem man den Befehl ausführt. Danach kann man die gewünschten Ordner/Dateien an die richtige Stelle verschieben. Alternativ dazu könnte man den Befehl schon im richtigen Ordner ausführen, dann werden aber vorhandene Dateien ohne Rückfrage überschrieben.

Probleme mit Demo bei Netop Vision Pro

2 Antworten

Mit unseren neuen Computern funktioniert bei Netop Vision Pro der Demomodus nicht. Wenn man eine Demo starten möchte, kommt auf den Clients nur ein kleines Fenster mit einem Countdown und dem Hinweis “Demo startet”:

image

Es stellte sich heraus, dass es bei diesen Computer notwendig ist, den Hardware-Beschleunigungsmodus zu aktivieren:

image

Eine Überprüfung mit dem Process Monitor von Sysinternals ergab, dass es sich um den folgenden Registry Key handelt.

HKCU\Software\Netop\Vision\6\Configuration\Demo

image

Wahrscheinlich schaue ich einmal, ob ich diesen verteilen kann. Besser wäre es, wenn Netop eine Möglichkeit bieten würde, solche Einstellungen direkt bei der Erstellung des MSI’s vorzunehmen.

 

Nachtrag

Gemäss Netop Support müsste die Demo auch funktionieren, ohne dass man die Hardware-Beschleunigung aktiviert. Ich habe dann gemäss Anleitung im Gerätemanager den “Netop Mirror Driver” gelöscht, den Computer neu gestartet und manuell als lokaler Administrator die Datei meddmrrinst.exe im Ordner C:\Program Files (x86)\Netop\Vision\amd64 (bei 32bit Installationen liege die Datei im Ordner TSEngine statt AMD64) ausgeführt.

image

Nun funktioniert die Demo auch ohne Hardwarebeschleunigung. Wenn ich dann das Informatikzimmer mal wieder neu aufsetze, werde ich versuchen, das Programm direkt aus dem Batch (siehe Vision Pro ersetzt Netop School) aufzurufen.

Ausfall WLAN nach Windows Update

Kommentar verfassen

Wenn man WLAN zuhause einsetzt, verwendet man meistens einen Schlüssel, den man beim Laptop und dem Accesspoint (häufig auch ein Router mit eingebautem Accesspoint) eintragen muss. Dies heisst dann z.B. WPA2-PSK, wobei das WPA2 für die Art der Verschlüsselung und das PSK für “PreShared Key” steht. In einem Firmen- oder eben Schulumfeld macht dies aus diversen Gründen nicht so viel Sinn. Dieser Schlüssel lässt sich nicht ohne weiteres auf die Clients verteilen und ihn auf allen Clients manuell einzutragen kann auch nicht die Lösung sein.

Besser verwendet man einen Radius-Server, der die Clients authentifiziert. Wenn sich jetzt ein Client mit einem Accesspoint verbinden will, wird die Anfrage an diesen Server weitergegeben. Microsoft Server bieten das von Haus aus unter “Netzwerkrichtlinien- und Zugriffsdienste” an.

image

Man kann auf diesem Radiusserver angeben, wie die Clients authentifiziert werden sollen. Eine Möglichkeit ist eine Benutzernamen/Passwort Kombination. Dann kann dieser Benutzer aber mit jedem Gerät ins interne Netzwerk, was sicherheitstechnisch nicht sinnvoll ist. Ausserdem sollte der Client schon vorher über WLAN verbunden sein, damit die Gruppenrichtlinien vom Server schon beim Computerstart übernommen werden.

Dies kann man z.B. mit Zertifikaten erreichen. Dazu benötigt man eine sogenannte PKI (public-key infrastructure). Auch das bieten die Microsoft Server von Haus aus.

image

Mit so einer Microsoft CA (Certificate Authority) kann man Zertifikate ausstellen lassen, denen innerhalb einer Domäne vertraut wird und die sich über Gruppenrichtlinien auf die einzelnen Clients verteilen lassen. Mit folgender Einstellung werden die Zertifikate automatisch ausgestellt und erneuert, wenn sie ablaufen.

image

Vereinfacht sieht der Ablauf dann so aus:
Der Client hat ein Zertifikat installiert, und verbindet sich mit dem Accesspoint. Dieser reicht das Zertifikat an den Netzwerkrichtlinienserver weiter. Dieser überprüft das Zertifikat und erlaubt dem Accesspoint, den Client ins Netzwerk zu verbinden. Die Zertifikate werden automatisch von der CA herausgegeben und erneuert.

image

 

Nun zum Problem

Plötzlich konnten sich alle Clients nicht mehr verbinden. Zertifikate und Netzwerkrichtlinienserver schienen aber in Ordnung zu sein. Trotzdem wurde alles nochmals überprüft und diverse Möglichkeiten getestet. Der Ausfall schien zeitnah mit der Installation von Windowsupdates begonnen zu haben. Im Systemlog fand ich dann folgenden Hinweis: Ereignis-ID: 36885, Quelle Schannel.

image

Scheinbar hatte der Server eine zu lange Liste mit vertrauenswürdigen Zertifizierungsstellen, so dass bei der Übermittlung an den Client ein Teil davon abgeschnitten wurde. Dummerweise darunter auch das unser eigenen CA.

Bei den letzten Updates wurden auch die Stammzertifikate ergänzt (und damit die Liste zu gross).

image

Gemäss Kollege Google kann man einfach die nicht benötigten Zertifikate aus den “Vertrauenswürdigen Stammzertifizierungsstellen” löschen. Dabei muss man mindestens die eigene CA und die im Knowledgebase Artikel 293781 aufgeführten, von Windows benötigten, drin lassen. Zur Sicherheit habe ich zuerst alle exportiert.

image

Nun verbinden sich die Clients wieder wie gewünscht…

WMI Problem

11 Antworten

Probleme mit WMI können dazu führen, dass sich der Startvorgang lange verzögert. Nach dem Zurücksetzen des WMI-Repository starten die Computer wieder deutlich schneller (wie hier beschrieben).  SCCM kommuniziert stark über WMI und scheint in unserem Fall auch der Grund für das Problem zu sein.

Bei einigen Computern in unserem Netzwerk tritt das Problem aber nach einiger Zeit wieder auf. Das Zurücksetzen des WMI-Repository scheint nicht die Wurzel des Problems zu lösen. Dieser Beitrag aus dem “System Center Configuration Manager Team Blog” geht auf andere Möglichkeiten zur Eingrenzung des Problems ein.

Eine Möglichkeit, dem Fehler auf den Grund zu gehen ist “WMI Diagnosis Utility” von Microsoft. Dieses VB-Skript überprüft WMI und erstellt eine ausführliche Logdatei und einen kürzeren Report im Ordner %temp%. Im Download ist auch eine Dokumentation enthalten, die den Gebrauch genauer beschreibt. Man kann das Skript auch automatisch ohne Benutzereingriff laufen lassen oder die Logdateien auf eine Serverfreigabe umleiten.

Bei meinen Nachforschungen zu diesem Problem bin ich dann auch noch auf einen Hotfix von Microsoft mit der KB Nummer 2617858 und dem Titel “Unexpectedly slow startup or logon process in Windows Server 2008 R2 or in Windows 7” gestossen. Die Beschreibung passt ziemlich: lange Startzeit und WMI Repository.

image

Ein betroffener Testcomputer startete nach der Installation des Hotfix deutlich schneller.

Um den Hotfix automatisch zu verteilen, kann man wusa.exe mit den Parametern /quiet und /norestart aufrufen.

image

Nun bleibt zu hoffen, dass das Problem mit den langsamen Computerstarts nicht doch wieder auftritt…

Nachtrag

Es gibt den Hotfix in verschiedenen Sprachen und in Versionen für x86, x64 und ia64. Es wird einem der passende Hotfix für das System angeboten, mit dem man die Seite aufgerufen hat. Falls man einen Hotfix für ein anderes System benötigt, kann man auf “Hotfixes für alle Plattformen und Sprachen anzeigen (3)” klicken und die gewünschte Version herunterladen.

image

Nachtrag 2
Nun kann man den Hotfix extrahieren und ausführen.

image

image

image

Updates in Grundimage für OSD einspielen

Kommentar verfassen

Früher habe ich vollständige Computerimages über WDS (noch früher über RIS) verteilt. WDS steht für Windows Deployment Services und ist eine Technik, um Computerimages übers Netzwerk auszuliefern, die Bestandteil des Windows Servers ist. Der Aufwand, die verschiedenen Images mit Patches zu versorgen war mir meist zu gross, daher kamen nach einem Neuaufsetzen zuerst einmal alle Updates der letzten Monate oder Jahre.

Besser mit SCCM

SCCM arbeitet mit sogenannten Tasksequenzen, womit das ganze sehr modular aufgebaut werden kann. Beim Beispiel unten holt sich der Computer als 3. Schritt ein Abbild von Windows 7 vom Server und kopiert dieses auf den Client. Danach werden noch passende Gerätetreiber installiert und vieles mehr. Auch Updates können während dem Neuaufsetzen (in vielen Dokumentationen auch OSD = Operating System Deployment genannt) installiert werden.

image

Somit muss man nicht mehr ganze Images anpassen, wenn man neue Treiber integrieren oder eben Updates installieren möchte.

Trotzdem kann das Neuaufsetzen ziemlich verzögert werden, wenn viele Updates installiert werden müssen. Besser ist es da, die Updates bereits in dem Betriebssystemabbild (Schritt 3 im Bild oben) zu integrieren.

Dazu kann man eine sogenannte “Build and Capture” Tasksequenz erstellen, bei der man einen Computer aus der ursprünglichen Installationsquelle “aufbaut” und am Schluss ein Image davon auf den SCCM Server kopiert – alles vollautomatisch.

image

Um nach einem Patch-Tuesday ein neues Grundimage zu erstellen, lösche ich einfach die Festplatte von meinem virtuellen BuildandCapture PC und erstelle eine neue leere HD.

image

Wenn ich nun den virtuellen PC starte wird er gemäss der “Build and Capture” Tasksequenz aufgesetzt. Danach werden alle Updates installiert etc. Am Schluss wird vollautomatisch ein Sysprep durchgeführt und das neue Betriebssystemimage auf den SCCM Server hochgeladen.

image

Das neue Betriebssystemimage trägt bei mir den Namen “Windows7SP1new.wim”. Das alte Image ändere ich nun auf “Windows7SP1old.wim” und das neue auf den in den Tasksequenzen referenzierten Namen “Windows7SP1.wim”.

Nachdem man nun die alte Imagedatei durch die neue ersetzt hat, muss man noch den Verteilungspunkt anpassen.

image

Wenn ein Computer nun neu aufgesetzt wird, erhält er beim dritten Schritt in meiner Tasksequenz (siehe oberstes Bild in diesem Artikel) das neue Image mit den integrierten neuesten Updates.

Updates mit SCCM

7 Antworten

SCCM bietet sehr viele Möglichkeiten, die Microsoft Updates zu prüfen und dann in verschiedenen Stufen zu installieren. In sehr grossen Umgebungen macht dies Sinn. Updates werden zuerst auf wenige Computer installiert, dann wird überprüft, ob alles in Ordnung weiterläuft. Wenn das getestet wurde, werden die Updates auf weitere Computer verteilt. Je nach Firma gibt es so vielleicht 3 Stufen, bis alle Computer die Updates erhalten haben.

Solch ein Vorgehen macht Sinn, damit nicht ein Update das Arbeiten mit der produktiven Software gefährden kann. An einer Schule und bei vielen kleineren Unternehmen stehen einfach nicht genügend Stellenprozente zur Verfügung, um Updates so ausführlich zu testen. Meistens kommt hier WSUS mit einer automatischen Genehmigung zum Einsatz. Bei SCCM 2007 lässt sich keine automatische Genehmigung von Updates erreichen, bei SCCM 2012 wurde es angekündigt.

Ich habe mir einen Weg zurechtgelegt, der möglichst wenig Zeit in Anspruch nimmt, aber natürlich nicht so sicher wie das stufenweise Verteilen ist.

Unter “Updaterepository” –> “Suchordner” habe ich einen Suchordner, der mir die Windows 7 Updates vom letzten Monat sucht.

image       image

Unter “Bereitstellungsverwaltung” und “Bereitstellungspakete” habe ich je einen Eintrag für “Windows 7 Updates 2012”

image

Im Suchordner mit den Windows 7 Updates kann man mit den im Bild markierten Spalten überprüfen, ob die Updates bereits heruntergeladen und bereitgestellt wurden.

image

Nun wählt man diese Updates aus und lädt sie in das bereits bestehende Bereitstellungspaket herunter . 

image

Nun muss man die Updates noch auf die Bereitstellungsverwaltung ziehen. Mit “Softwareupdates bereitstellen” rechts aussen, kann man nur eine neue Bereitstellung eröffnen, aber nicht an eine bestehende anhängen.

image

Nach der Verteilung holt sich der SCCM Client die Updates… Zwar ein wenig mehr Arbeit als mit WSUS, aber auch nicht so schlimm.

image

Remotedesktop – Scrollen mit der Maus

Kommentar verfassen

Wenn ich von zuhause auf unseren Remotedesktopserver zugegriffen habe, konnte ich jeweils nicht mit dem Mausrädchen scrollen. Dies ist zwar kein Weltuntergang – wenigstens kann man von zuhause aus arbeiten. Aber wenn man sich gewohnt ist, mit dem Mausrad zu scrollen, ist es doch lästig.

Scheinbar lag es aber an meiner Installation zuhause. Bei den Eigenschaften der Maus, musste man “Erweiterte Eigenschaften” auswählen.

image

Und obwohl “Rollen-Emulation von Microsoft Office 97” nach veraltet und eingeschränkt tönt, war das die richtige Einstellung. Nun kann ich auch beim Arbeiten von zuhause aus das bequeme Mausrädchen verwenden.

image

Gruppenrichtlinien für Office 2010

Kommentar verfassen

Ich habe eine kleine Datenbank für unsere Filme auf dem Medienserver erstellt. Weil ich die Menüleiste ausblenden wollte, kommt dafür nun eine Sicherheitswarnung. Natürlich kann man einfach auf “Inhalt aktivieren” klicken, aber schön ist das ja schon nicht.

image

Für Office 2007 hatte ich noch Gruppenrichtlinien-Vorlagendateien, aber für Office 2010 hatte ich sie bisher noch nicht gebraucht.

Zuerst muss man die Gruppenrichtlinien herunterladen und entpacken. Im Ordner admx finden sich nun die Richtlinien zu Office 2010 (Version 14).

image

Diese muss man nun nun in den Central Store kopieren. Dabei handelt es sich um den Ordner PolicyDefinitions im Sysvol Ordner “\\FQDN\sysvol\FQDN\Policies”.  Um die neuen Gruppenrichtlinien-Vorlagen zu kopieren, kann man einfach die *.admx Dateien in den Central Store kopieren. Ausserdem muss man noch die *.adml Sprachdateien aus dem Ordner de-de in den gleichnamigen Unterordner kopieren. 

image

Nun hat man bei den Gruppenrichtlinien auch Einträge für Office 2010.

image

Wenn man nun den Speicherort der Accessdatei als vertrauenswürdigen Speicherort hinzufügt, kommt die Sicherheitswarnung beim Starten der Datenbank nicht mehr.

image

Archivbit, Linux und differentielles Backup

Kommentar verfassen

Früher haben wir immer ein vollständiges Backup auf Band durchgeführt. Aber mit der zunehmenden Datenflut ist das nicht mehr möglich. Eine Vollsicherung dauert im Moment ungefähr 11 Stunden, würde also den laufenden Betrieb stören. Nun gibt es die Möglichkeit, unter der Woche differentielle oder inkrementelle Backups zu erstellen, wobei ich mich entschieden habe, differentielle Sicherungen einzusetzen.

Um herauszufinden, ob eine Datei gesichert werden muss, verwendet unsere Backuplösung das sogenannte Archivbit. Windows setzt bei allen neuen oder geänderten Dateien ein solches Archivbit. Bei einer Vollsicherung am Wochenende wird dieses Archivbit von der Backupsoftware zurückgesetzt. Diese Dateien werden dann unter der Woche vom differentiellen Backup nicht mehr gesichert. Bei allen Dateien, die aber seit dem Wochenende neu angelegt oder geändert wurden, setzt Windows wieder das Archivbit. Diese so gekennzeichneten Dateien werden nun beim differentiellen Backup gesichert, das Archivbit aber nicht zurückgesetzt. Damit werden sie (im Gegensatz zum inkrementellen Backup, bei dem das Archivbit zurückgesetzt wird) jeden Tag unter der Woche erneut gesichert, auch wenn sie bereits am Montag erstellt wurden (bis bei der nächsten Vollsicherung wieder alle Archivbits zurückgesetzt werden). 

image

Unter Linux ist das in Windows verwendete Archivbit nicht implementiert. Um Dateien von einem Linuxserver auch in die Bandsicherung aufzunehmen, erstellt der Linuxserver eine Sicherung auf eine Sambafreigabe. Von dort werden sie über ein Skript mit Robocopy auf einen Windowsserver kopiert, damit sie in der Nacht auf Band gesichert werden können. Da aber Linux das Archivbit nicht kennt, werden diese Dateien beim differentiellen Backup ausgelassen, obwohl sie jeden Abend neu kopiert werden…

Aber wie heisst es so schön? Das sind keine Probleme, sondern nur Herausforderungen 😉
Robocopy bietet die Möglichkeit, das Archivbit beim Kopieren zu setzen mit der Option /A+:A, was soviel bedeutet wie: setze Attribut (/A+) Archivbit (:A).

image