Windows 10 – Suche ohne Cortana

Um das mal kurz vorauszuschicken: Ich möchte hier kein Windows-10-Bashing lostreten. Auch als eingefleischter Windows-7 Fan liebe ich mein Tablet mit Windows 10.  Viele der Funktionen wirken durchdacht und sind komfortabel. Nach dem Desaster von Windows 8 und 8.1 (habe ich beide übersprungen) wirkt Windows 10 ausgereift – besonders nach dem Anniversary-Update. Hier ist aber noch ein kleiner Haken versteckt. Seit diesem Anniversary Update kann man die Assistentin Cortana nicht mehr in den Systemeinstellungen deaktivieren. Sie ist fest in die Suche integriert.

Persönliche Assistenten wie Siri, Cortana, Hey-Google, oder sonstige mögen sinnvolle Begleiter für einige Anwender sein.  Ich möchte sie aber bei Bedarf hinzuziehen und wieder abschalten, wenn ich sie nicht brauche. Auf Aspekte des Datenschutzes möchte ich an dieser Stelle erst gar nicht eingehen. „Windows 10 – Suche ohne Cortana“ weiterlesen

SNMP Agent auf ESXi aktivieren

In einem der letzten Beiträge habe ich über die freie Monitoring Lösung Netdisco berichtet. Neben den Informationen der Hardware-Switches wäre es doch praktisch, auch Informationen zu den virtuellen Switches der ESX Server zu erhalten. Hierfür muss der SNMP Agent auf dem ESX Server aktiviert, und eine Community definiert werden. Die Konfiguration erfolgt entweder über vSphereCLI, oder SSH.

„SNMP Agent auf ESXi aktivieren“ weiterlesen

Switch Monitoring mit Netdisco

Netzwerk-Infrastrukturen sind komplex und es bedarf strenger Disziplin, dabei den Überblick zu behalten.

  • Welche Geräte habe ich im LAN und wieviele davon?
  • Welches Device ist mit welchem Nachbarn verbunden?
  • Wie ist der Status der Firmware?
  • Wo gibt es Probleme?

Natürlich kann man jedes Gerät zyklisch prüfen, indem man sich auf der CLI oder WebGUI einloggt, aber das ist mühsam, zeitintensiv und fehleranfällig. Denn leicht vergisst man ein Gerät. Wie gut, dass mit dem Simple Network Management Protokoll (SNMP) eine Fernabfrage möglich ist. Die Möglichkeit der Abfrage allein genüngt natürlich nicht, man braucht auch Werkzeuge, die diese Daten vernünftig visualisieren.

Es gibt eine recht große Produktpalette auf diesem Gebiet. Darunter kommerzielle und freie Produkte. Einige davon sind sehr einfach, andere mächtig und komplex.

Ich möchte heute ein Produkt vorstellen, welches recht einfach und übersichtlich in der Handhabung ist, aber dennoch sehr funktional ist. Es heisst Netdisco und wird unter der BSD-Licencse verbreitet. Netdisco eignet sich für kleinere und große Infrastrukturen, wie z.B. universitäre Netze. Es arbeitert auf SNMP Basis, indem es ARP- und MAC-Tabellen von Layer2-Switches und Routern ausliest, diese in Verbindung setzt und lokal in einer Postgres Datenbank ablegt. Die Darstellung erfolgt über den integrierten Webserver.

„Switch Monitoring mit Netdisco“ weiterlesen

Backup & Restore VCSA 6.0 embedded Postgres Database

Wenn die Datenbank einer vCenter Server Appliance (VCSA) wiederhergestellt oder auf einen älteren Stand zurückgesetzt werden muss, sollte man ein Backup zur Hand haben. VMware bietet Hilfsmittel, um die integrierte Postgres DB zu sichern und wieder herzustellen.

Backup

Login in VCSA als root user.

Bash Shell freischalten

shell.set --enabled true
shell

Speicherort für Backups erstellen

mkdir ~/backups

Download der Skript Files von KB 2091961 (Seitenende) und mit WinSCP auf die vCenter Appliance übertragen. Ziel ist der zuvor erstellte Ordner „backups“.

cd ~/backups
ls -la
unzip <scriptfile>.zip

Skriptdateien ausführbar machen

chmod 700 backup_lin.py
chmod 700 restore_lin.py

Backupskript ausführen

python backup_lin.py -f backup_VCDB.bak

Das Backupfile „backup_VCDB.bak“ mittels WinSCP von der Appliance laden.

Restore

Login in VCSA als root user und ins Verzeichnis backups wechseln.

cd ~/backups

Mit WinSCP das Datenbank Backupfile in die Appliance (backups) transferieren. Überprüfen, ob das Restore Skript im ‚backups‘ Verzeichnis vorhanden ist und ob es ausführbar ist.

ls -la

Dienste beenden

Zunächst müssen der Inventory Service und der Content Library Service beendet werden.

service vmware-vpxd stop
service vmware-vcds stop

Restore Skript ausführen

python restore_lin.py -f backup_VCDB.bak

Es folgt ein längerer Restore Prozess.

Dienste starten

Die oben beendeten Dienste müssen nun wieder neu gestartet werden.

service vmware-vpxd start
service vmware-vcds start

Wer es noch etwas ausführlicher haben möchte, kann sich das Video auf YouTube ansehen.

Links

vmware KB 2091961 – Back up and restore vCenter Server Appliance/vCenter Server 6.0 vPostgres database.

 

VCSA root Passwort Reset

Es kommt leider immer wieder vor, dass wichtige Systeme in der Vergangenheit nicht, oder nur unzureichend dokumentiert wurden.  Geplante Wartungsarbeiten oder Updates drohen an einem fehlenden Login zur vCenter Server Appliance zu scheitern.

Bei einer vCenter Server Appliance 5.5 (VCSA) das root Passwort zurücksetzen ist nicht sehr kompliziert. Bei der VCSA 6.x ist jedoch der GRUB Bootloader mit einem Passwort geschützt, so dass der obige Trick nicht direkt durchführbar ist. Ich fand aber zwei unterschiedliche Ansätze, auch diesen Schutz zu umgehen. Der erste untfernt das GRUB Passwort und hat damit die Möglichkeit in eine Bash Shell zu booten. Die zweite Methode verändert die Password Shadows des root Users.

Beide Methoden setzen voraus, daß ich physischen Zugang zur Virtuellen Infrastruktur habe und in der Lage bin, von einer CD oder einem ISO zu booten.

„VCSA root Passwort Reset“ weiterlesen

DataCore widerruft Support für Emulex 16GB FibreChannel HBA

DataCore publiziert regelmäßig unter FAQ 1592 die Qualified Hardware Components. Darin werden Hardware Komponenten wie LAN Adapter, SAN-Switches, IP-Switches oder FibreChannel Host Bus Adapter (HBA) bekannter Hersteller gelistet und deren Kompatibilität mit den Unterschiedlichen DataCore Produkten. So zum Beispiel welcher Patchlevel seitens SANSymphony mindestens benötigt wird, oder welche Firmware das IO-Device haben soll.

Ich muss zugeben, ich bin keineswegs überrascht, dass in der aktuellen Oktober-Ausgabe der FAQ 1592 sämtliche 16 GBit FibreChannel HBA der Firma Emulex (Avago Technologies) als „not supported“ deklariert wurden. Dies betrifft Emulex Branded HBA, aber auch OEM Produkte von Fujitsu und HP.

Emulex LPe16000-M6, LPe16002-M6, LPe16004-M6, LPe16004-M6-EI, LPe16000B-M6, LPe16002B-M6 and LPe16202-x

Fujitsu LPe16000B-M6-F and LPe16002B-M6-F

HP All SN1100E models

All of the above HBAs are not supported. Customers that are already using the DataCore Emulex Fibre Channel driver with these HBAs in their DataCore Servers will continue to be supported.

„DataCore widerruft Support für Emulex 16GB FibreChannel HBA“ weiterlesen

Login in APC NMC nicht möglich

Gelegentlich ist der Login zum Web Frontend eineer APC Network-Management-Card (NMC) nicht möglich. Angeblich sei dort jemand eingeloggt, was aber in der Regel nicht der Fall ist.

Someone is currently logged into the APC Management Web Server. Please try again later

Später versuchen, wie der Dialog es vorschlägt, hilft dabei nicht. Die Meldung ist ein Indiz dafür, daß der Webdienst hängt.

Es gibt zwei einfache Tricks, diese Sperre aufzuheben.

Telnet

Man öffnet eine Telnet Sitzung zur NMC (z.B. Putty) und logt sich danach direkt wieder aus. Danach geligt der Login an der Web-Konsole wieder problemlos.

Logout.htm

Falls gerade kein Telnet-Client zur Hand ist, kann man auch diesen dirty-trick verwenden:

http://myAPC-IP/logout.htm

Anstatt myAPC-IP die IP Adresse der NMC einsetzen

Danach normal einloggen. 🙂

Links

Emulex 16002 Firmware Downgrade auf DataCore Servern

Es ist prinzipiell gute Praxis, Treiber, Firmware und BIOS Images bei Servern und Infrastruktur-Komponenten auf dem aktuellsten Stand zu halten. Hier werden in der Regel Fehler behoben, Leistung optimiert, neue Funktionen hinzugefügt, oder Sicherheitslücken gestopft. Dass manchmal auch ein Rückschritt notwendig sein kann, mussten wir kürzlich bei einen DataCore Host mit SANSymphony V10 erfahren.

Der Server – eine Fujitsu Primergy RX2560 M1 – war mit aktuellsten Firmware-Updates versorgt. Darunter auch drei Emulex LPe16002 Fibrechannel HBA. Das System lief unter SANsymphony V10 PSP4 und sollte auf PSP5 aktualisiert werden. Gerade mit Emulex HBA gab es in der Vergangenheit immer wieder Probleme beim Update der DataCore Treiber. Daher ist vor einem DataCore Update das genaue Studium der Releasenotes Pflicht.

If 16G Emulex HBA are included in your configuration, confirm that the firmware for these adapters is 10.6.144.21. Newer versions of firmware are not supported

Die Emulex HBA hatten eine Firmware Version 10.6.193.22 und sind damit nicht unterstützt. Auf Anfrage teilte uns der DataCore Support mit, daß es sich nicht nur um eine ungeprüfte (und damit nicht unterstützte) Konfiguration handle, sondern dass es jenseits der Version 10.6.144.21 zu schwerwiegenden Problemen auf dem DataCore Server kommen werde. „Emulex 16002 Firmware Downgrade auf DataCore Servern“ weiterlesen

Verwendung von Wechselmedien per GPO verbieten

USB Sticks sind ein handliches Werkzeug um Daten offline zu übertragen, oder zu sichern. Dank USB 3 Standard lassen sich in kürzester Zeit mehrere Gigabyte an Daten transferieren. Und genau darin besteht das Problem für Unternehmen. Vorbei an Firewall und Packetfilter lassen sich ungeschützt Daten ins Firmen-LAN bringen, oder sensible Nutzdaten von Dort entwenden. Für  Sicherheitsbeauftragte sind tragbare Speichermedien ein Albtraum. Diese ganz zu verbieten erhöht zwar die Sicherheit, erschwert die Arbeit. Man denke beispielsweise an Personen, die Digitalbilder von einer Kamera übertragen müssen. Auch dies sind Wechselmedien.

Wieder einmal geht die Schere zwischen Komfort und Sicherheit auseinander. Maximale Sicherheit bedeutet minimalen Komfort und umgekehrt. Absolute Sicherheit wird es nicht geben. Und während man vermeintlich einen Zugang durch ein Bollwerk versperrt und so auch die Produktivität behindert, sucht sich der Angreifer einen kleinen, ungeschützten Seiteneingang.

Besser ist ein Kompromiss, bei dem zunächst global allen Nutzern der Gebrauch von Wechselmedien untersagt wird und darüber hinaus gezielt einzelne Anwender autorisiert werden. Diese Schlüsselgruppe kann zuvor über die Risiken geschult werden. „Verwendung von Wechselmedien per GPO verbieten“ weiterlesen