Integrierte Windowsauthentifizierung mit Firefox

27 Okt 2016
27. Oktober 2016

Unser internes Intranet nutzt zur Nutzerauthentifizierung den Windowslogon. Um diesen bei Firefox durchzureichen muss man der URL Zeile

about:config

aufrufen und im Suchfeld (nach Bestätigung des Sicherheitshinweises) nach

trusted-uris

suchen.
Bei den ermittelten Suchergebnissen trägt man dann jeweils die freizuschaltende URL ein (per Doppelklick den Dialog öffnen). Mehrere Seiten werden per Komma getrennt aneinander gereiht.

ffox_ntlm-auth

 

MySQL Autostart Probleme unter Ubuntu

27 Okt 2016
27. Oktober 2016

Auf einem Ubuntu 14.04 Server startet MySQL nicht automatisch obwohl per

sudo update-rc.d mysql defaults

der Autostart aktiviert wurde. Grund ist die Datei

/etc/init/mysql.override

Diese Datei löschen, dann klappt der Autostart.

Microsoft .NET Framework 3.5 auf Server 2012 R2 installieren

20 Okt 2016
20. Oktober 2016

Man benötigt den Installationsdatenträger von Windows Server 2012 R2. Von diesem läßt sich das .NET Framework 3.5 nachinstallieren wenn die Installation per Gui (Hinzufügen von Rollen und Features) fehlschlägt.

dism /online /enable-feature /featurename:NetFX3 /all /Source:d:\sources\sxs /LimitAccess

Windows 10 – Massenaktivierung

30 Jun 2016
30. Juni 2016

Das Zeitfenster für das kostenlose Upgrade von Windows 7/8 auf Windows 10 endet bekannterweise am 29.7.2016.

Da ich im Unternehmen nicht mal schnell hop hop die Rechner auf Windows 10 upgraden möchte/kann, mir aber die Option für ein späteres (kostenloses) Upgrade wahren möchte, kam mir die Idee die Windows 10 Aktivierung der Rechner schon im Vorfeld durchzuführen. Hintergrund ist die Vorgehensweise zur Aktivierung von Windows 10 aus einem installierten aktiviertem Windows 7/8 ohne dabei das Setup zu bemühen.

Wie auf zahlreichen Seiten beschrieben (Bsp. heise.de) läßt sich mit dem Programm gatherosstate.exe aus dem Installationsdatenträger von Windows 10 eine sog GenuineTicket.xml erzeugen. Mit dieser Datei läßt sich eine frische Windows 10 Installation auf diesem Rechner aktivieren (Nach der Installation einfügen in C:\ProgramData\Microsoft\Windows\ClipSVC\GenuineTicket, Neustart, Onlinezwang!).

Die Idee ist nun also, einfach gatherosstate.exe auf jedem Rechner im Netz auszuführen der für ein evtl. Windows 10 Upgrade in Frage kommt. Um das ganze zu automatisieren, habe ich ein kurzes AutoIt Script geschrieben welches ich in kompilierter Fassung (als Win10UpdPrep.exe Datei) zusammen mit gatherosstate.exe per OCS Client Management auf alle betreffenden Rechner im Netz verteile. Das Script ruft gatherosstate.exe auf, wartet bis es fertig ist, prüft ob die XML Datei vorhanden ist, benennt diese um (Computernamen voranstellen) und mailt diese Datei dann an ein IT Postfach. Somit sammle ich die XML Files von allen Rechnern ein. Eine lokale Kopie lasse ich auch noch auf dem jeweiligen Rechner liegen.

Das AutoIt Script stelle ich HIER zur Verfügung.

Bleibt jetzt noch die Frage, ob die Aktivierung auf diesem Wege auch noch nach dem 29.7.2016 funktioniert.

Ich werds berichten.

[UPDATE 04.08.2016]

Wie beinah zu erwarten war, funktioniert die Aktivierung in dieser Form jetzt nicht mehr.

Welche vsphere Funktionen in welchen Editionen (v6.0)

09 Dez 2015
9. Dezember 2015

Musste einige Zeit googeln um etwas über mögliche Einschränkungen der Vmware vsphere Essentials Plus Kit Edition herauszufinden.

Natürlich gibt es die offizielle Vergleichsseite beim VMware

https://www.vmware.com/de/products/vsphere/compare

Aber diese Übersicht ist auch sehr hilfreich.

http://www.virten.net/2015/04/which-vsphere-6-0-features-are-available-in-editions/

Kein Sound im Internet Explorer

23 Nov 2015
23. November 2015

Kategorie: da muss man erstmal drauf kommen

Wenn der Sound an einem Windows-PC funktioniert und nur der IE sich weigert den Sound auszugeben (bspw. youtube Videos ö.ä.) dann kann das an einer Einstellung des IE liegen. Der Haken  „Sound in Webseiten wiedergeben“ muss gesetzt sein, damit man was hört.

ie_sound.

Wohl ein Resultat des deinstallierten Flashplayers auf betroffenem PC.

Interessant ist noch, daß in der Gruppenrichtlinie die den Browser konfiguriert diese Einstellung für den IE 8 u 9 per default aktiviert ist, bei der IE 10 Policy per default deaktiviert.

Flashplayer – eigener interner Update Service

03 Nov 2015
3. November 2015

flash-logoDie Anzahl gefährlicher Sicherheitsücken im Flashplayer zwingt Hersteller Adobe immer wieder, selbst zwischen den festgelegten Patchdays, Korrekturen für den Flashplayer zu veröffentlichen. Um diese schnellstmöglichst weitgehend automatisiert auszurollen, nutz(t)e ich für die Updates auf den Rechnern im Unternehmen die Funktion des Flashplayers, einen internen Webserver ansprechen zu können. In diversen Anleitungen und Dokus seitens Adobe wird dieses Szenario mehr oder weniger (eigentlich eher weniger) ausführlich beschrieben. Darum bereite ich das hier mal etwas auf.

Konfiguration des Flashplayers:

Der Flashplayer läßt sich mittels einer lokalen Konfigurationsdatei namens mms.cfg konfigurieren. Diese Datei befindet sich, je nach Ausführung des Flashplayers und der Windowsversion, ob 32 oder 64 bit , im Verzeichnis C:\Windows\SysWOW64\Macromed\Flash\mms.cfg (32 bit Flashplayer auf 64 bit Windows) oder C:\Windows\System32\Macromed\Flash\mms.cfg (64 bit Flashplayer oder 32 bit Flashplayer auf 32 bit Windows). Ist sie nicht vorhanden, kann man sie mittels Texteditor erstellen.

Folgende Parameter gehören in die Datei:

AutoUpdateDisable=0
SilentAutoUpdateEnable=1
SilentAutoUpdateServerDomain=Updateservername

AutoUpdateDisable setzt man auf 0 und aktiviert somit AutoUpdate. SilentAutoUpdateEnable bedeutet dem Updatedienst, seine Dienste unauffällig im Hintergrund zu erledigen, SilentAutoUpdateServerDomain betitelt schließlich den Server, auf welchem der Updatedienst nach Updates suchen soll. Dieser letzte Eintrag ist wichtig im Hinblick auf die folgende Beschreibung des Webservices.

Ein vorhandener Webserver stellt in einem fest von Adobe vorgegebenen Pfad die Dateien für das Update des Flashplayers zur Verfügung. Der Client spricht zwingend per https mit dem Webserver was bei der Einrichtung etwas mehr Aufwand wg. einem vertrauenswürdigen Zertifikat mit sich bringt (Sofern keine eigene CA im Einsatz, ggf. selbst signiert und über AD auf die Clients verteilt, es darf beim Aufruf der Serveradressen KEIN ssl Fehler auftreten).

Im Webrootverzeichnis muss folgender Ordnerpfad angelegt werden:

/pub/flashplayer/update/current/sau

Ein Aufruf mittels Browser sollte keine Fehlermeldung (auch keinen SSL-Fehler) produzieren:

https://Updateservername/pub/flashplayer/update/current/sau

In diesen Ordner muss nun ein Updatepaket von Adobe entpackt werden. Adobe verteilt es über die Seite https://www.adobe.com/de/products/flashplayer/distribution3.html und nennt das Paket dort „Ressourcen für Updates im Hintergrund herunterladen“. Gemeint ist das .cab Archiv fp_background_update.cab. Diese Datei lädt man also herunter, entpackt sie und lädt die entpackten Daten dann samt Unterordnerstruktur in o.g. Pfad. Die Pfadstruktur sieht dann in etwa so aus (Stand Nov. 2015, Versionen variieren):

https://Updateservername/pub/flashplayer/update/current/sau/currentmajor.xml
https://Updateservername/pub/flashplayer/update/current/sau/11/install/install_all_mac_pl_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/11/install/install_all_win_ax_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/11/install/install_all_win_pl_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/11/xml/version.xml
https://Updateservername/pub/flashplayer/update/current/sau/18/install/install_all_win_ax_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/18/install/install_all_win_pl_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/18/xml/version.xml
https://Updateservername/pub/flashplayer/update/current/sau/19/install/install_all_win_ax_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/19/install/install_all_win_pl_sgn.z
https://Updateservername/pub/flashplayer/update/current/sau/19/xml/version.xml

Der Webserver läuft bei mir auf einer vorhandenen Ubuntu VM mit. Ein Shellscript prüft jede Nacht ob eine neue Updatedatei (fp_background_update.cab) bei Adobe zum Download bereit liegt. Das erledigt das Tools wget mit der Option –spider welche Dateien nicht herunterlädt sondern nur deren Existenz überprüft. Das Ergebnis wird nach dem String „Last-Modified“ geparst und eigentlich wird nicht das Datum sondern nur der Ergebnisstring verglichen. Das reicht aber aus um festzustellen, daß sich etwas an der Datei geändert hat. Ist dies der Fall, wird diese heruntergeladen, entpackt und ersetzt die alten Dateien auf dem Webserver.

Mein Script downloadflash.sh welches jede Nacht ausgeführt wird:

#!/bin/bash
#
# Update der Adobe Flashkomponenten fuer internen Update Service
# Die Fortschrittsanzeige beim Download, für Testzwecke , stammt von:
# http://fitnr.com/showing-file-download-progress-using-wget.html
#
# 02.11.2015, kw
#

#aktuelles Datum
currentDate= date
#Logfile
log=/flashupdate/update.log

#Downloadfunktion zeigt einen prozentualen Downloadfortschritt an
download()
{
 local url=$1
 local targ=$2
 echo -n " "
 wget --progress=dot $url -O $targ 2>&1 | grep --line-buffered "%" | \
 sed -u -e "s,\.,,g" | awk '{printf("\b\b\b\b%4s", $2)}'
 echo -ne "\b\b\b\b"
 echo " DONE"
}
#Pruefung aktueller Status der Updatedatei und Bindung an Variable $adobecabdate -> Suche (grep) nach "Last Modified" -> xargs entfernt ggf. Leerzeichen/Tabs vor und nach String
adobecabdate=$(wget --server-response --spider http://download.macromedia.com/pub/flashplayer/current/licensing/win/fp_background_update.cab 2>&1 |grep Last-Modified | xargs)


#Prüfung aktueller Status der Updatedatei auf dem lokalen Server und Bindung an Variable $localcabdate
localcabdate=$(wget --server-response --spider http://localhost/pub/flashplayer/update/current/sau/fp_background_update.cab 2>&1 |grep Last-Modified | xargs)

# Zugriff Logfile
touch $log

# Vergleich letzter Status gg. aktueller Status. Wenn gleich, Scriptende. Wenn nicht gleich, Download.
if [ "$adobecabdate" = "$localcabdate" ]
 then
 echo $currentDate >>$log 2>1
 echo "Aktueller Wert Adobe: " $adobecabdate " - Letzer Wert lokal: " $localcabdate >>$log 2>1
 echo "Keine neue Version." >>$log 2>&1
 exit 1
 else
 # Zielordner bereinigen
 echo $currentDate >>$log 2>1
 echo "Aktueller Wert Adobe: " $adobecabdate " - Letzer Wert lokal: " $localcabdate >>$log 2>1
 echo "Neue Version Adobe: " $adobecabdate >>$log 2>&1
 echo "Zielordner bereinigen" >>$log 2>&1
 rm -rf /var/www/html/pub/flashplayer/update/current/sau/* >>$log 2>&1

 download http://download.macromedia.com/pub/flashplayer/current/licensing/win/fp_background_update.cab /var/www/html/pub/flashplayer/update/current/sau/fp_background_update.cab
fi


# Datei entpacken (-d = Zielverzeichnis)
cabextract -d /var/www/html/pub/flashplayer/update/current/sau/ /var/www/html/pub/flashplayer/update/current/sau/fp_background_update.cab >>$log 2>1

Und damit wars das auch schon mit der Konfiguration. Ein simpler https erreichbarer Webspace genügt um dem Flashplayer mittels einer Konfigdatei das leise Updaten über einen internen Server zu vermitteln. Das macht dann Sinn, wenn die Clients nicht ungezügelt externe Updatedienste im Internet kontaktieren sollen oder dürfen.

Stolpersteine:

Es gibt für dieses Szenario ein paar kleine Hürden.

Wie konfiguriere ich den Webserver bzw. die Clients für den fehlerfreien https Zugriff .

Eine hilfreiche Anleitung, wie man selbstsignierte Zertifikate erstellt und auch verteilt bietet dieser Artikel von Mark Heidbrink auf faq-o-matic.net. Wichtig hierbei ist, daß der gewählte Common Name (CN) für das Zertifikat dem Wert von SilentAutoUpdateServerDomain aus der mms.cfg entspricht. Erstellt man ein Zertifikat mittels selfcert, gehört dieses auf jedem PC in den Speicher für Vertrauenswürdige Stammzertifizierungsstellen. Darum bietet sich ein Rollout per Gruppenrichtlinie an.

Wie bekomme ich die Datei mms.cfg auf die Clients

Die mms.cfg kann man manuell, per Loginscript oder bspw. Clientmanagement, in meinem Fall OCS Inventory, auf die Clients kopieren.

Wie zwinge ich den Flashplayer JETZT ein Update zu suchen.

Zum Update des Flashplayers wird zusammen mit diesem ein Dienst namens „Adobe Flash Player Update Service“ installiert. Dieser steht auf Startart Manuell und ist beendet. Startet man ihn von Hand, beendet er sich augenblicklich wieder. Dieser Dienst startet standardmäßig jede Stunde. Dabei prüft er aber nicht, ob ein Update vorliegt sondern er prüft nur ob es mal wieder an der Zeit ist, nach neuen Updates zu suchen. Ich meine irgendwo gelesen zu haben, daß er erst nach mind 24 Std. seit dem letzten Update erneut nach Updates sucht. Daher verbraucht der Dienst sehr wenig Resourcen. Er prüft lediglich anhand eines Zeitstempels in der Registry ob die Zeit für eine neue Updatesuche gekommen ist.

Um nun nach der Einrichtung oder bei einer evtl. Fehlersuche den Flashplayer Update Service zum Update zu zwingen, genügt es, den Wert des Registrykeys

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Macromedia\FlashPlayerSAU\LastUpdateCheck

zu löschen (32 bit Flashplayer auf 64 bit Win). Wenn man anschließend den Update Service einmal von Hand startet, lößt dieser eine echte Updatesuche aus.

Flashplayer silent deinstallieren

29 Okt 2015
29. Oktober 2015

Trotz dem netzwerkinternen Flashupdateservice, der das Patchen des Flashplayers nebenher automatisch erledigt, ist es an der Zeit sich von diesem Stück Software zu trennen. Auf allen Unternehmensrechnern fliegt der Flashplayer runter. Wie nur automatisieren?

Auf dieser Adobe Website findet sich ein passender Uninstaller. Der läßt sich mittels Parameter aufrufen, sodaß der Flashplayer unbemerkt im Hintergrund vom Rechner geräumt wird.

uninstall_flash_player.exe -uninstall

lautet die schlichte Syntax. Sehr effektiv.

Dieses läßt sich mittels aller möglichen Softwareverteilmechanismen ausrollen. Ein Beispeil für ein OCS Paket sieht bspw. so aus:

uninstall_flash_player.exe packen in uninstall_flash_player.zip und in ein neues Paket hochladen.

ocs_flashplayer_uninstall

Veeam Endpoint Backup FREE – jetzt mit Windows 10 Unterstützung

02 Sep 2015
2. September 2015

Ich habe hier bereits das damals neue Veeam Endpoint Backup Free vorgestellt. Ich nutze es seitdem regelmäßig und empfehle es allen Backupfaulen in meinem Bekanntenkreis. Es hat bereits mehrfach erfolgreich einen Datenverlust verhindert.

Seit dem 21.08.2015 gibt es eine aktualisierte Version, 1.1.1.212. In dieser Version wird nun auch Windows 10 unterstützt. Eine Installation unter Win 10 scheiterte bei früheren Versionen. Nun also offiziell die Unterstützung für Microsofts neues Client Betriebssystem.02.09.3

Ubuntu boot – Partition voll – Holzhammermethode

02 Sep 2015
2. September 2015

Wenn ich mit VMs hantiere und ‚mal schnell‘ eine Ubuntu VM installiere, klicke ich den Installer mit den meisten Default Einstellungen durch. Auch die Partitionierung der (virtuellen) HDD überlasse ich mangels besseren Wissens den Defaults des Setup.

Nun passierte es kürzlich, daß div. Softwareinstallationen scheiterten, weil die /boot Partition angeblich voll sei. Es stellte sich heraus, daß diese mit ca 240 MB nicht sonderlich groß war.

brd06

Ausgiebiges googeln nach Möglichkeiten der Vergrößerung ließ mich unzählige Workarounds mit fdisk und lvmgr ausprobieren. Letztlich führte nichts zum gewünschten Erfolg. Als alter Mausschubser wünschte ich mir ausserdem gern eine grafische Lösung meines Problems. Die fand ich schlussendlich in Form einer Boot CD zur Reparatur des grub2 Bootmanagers: Boot-Repair-Disk (B-R-D)

Mit der folgenden, etwas groben, Vorgehensweise konnte ich die /boot Partition vergrößern/verschieben.

  • Vergrößern der virtuellen Festplatte
  • Booten der VM mittels B-R-D
  • die nächsten Schritte mittels GParted: kopieren der /boot Partition auf den ungenutzten Speicherbereich
  • /boot-Flag auf neuer Partition setzen
  • alte /boot Partition löschen
  • GParted beenden
  • Aufruf des Tools „Boot-Reparatur“ von B-R-D
  • Anweisungen zur Reparatur von grub2 befolgen
  • Reboot, fertig.

Eine detailierte bebilderte Anleitung habe ich HIER zusammengestellt.

Es sei erwähnt, daß sich nach dem Booten mittels B-R-D ein Snapshot der VM anbietet um im Fehlerfall an den Ausgangspunkt der Aktion zurückspringen zu können.

Nachdem ich mittels o.g. Prozedur die Speicherprobleme beheben konnte, stellte sich mir die Frage, was eigentlich beim Setup per Default eingestellt ist und was es für Alternativen für die Zukunft gäbe.

Während der Ubuntu Installation lautet die Vorbelegung des Assistenten zur Partitionierung: „Geführt – gesamte Platte verwenden und LVM einrichten“.

 

brd03

Das führte zu folgender Partitionierung mit vollgelaufener /boot Partition

gefüllte /boot Partition

 

Die /boot Partition befindet sich am Anfang der HDD und kann nicht vergrößert werden

Weicht man stattdessen beim Setup auf den ersten Eintrag in der Liste aus – „Geführt – vollständige Festplatte verwenden“ …

brd04

…ergibt sich folgende Partitionierung, welche man im Bedarfsfall etwas einfacher erweitern könnte.

brd05