All posts by Gregor Reimling

Schiessen und Lernen

Da ich mich vor den zu erfüllenden Leistungen in diesem Jahr noch ein wenig gedrückt habe bzw. auch die Zeit einfach nicht gefunden habe, stand heute Schiessen ganz oben auf dem Programm. Schliesslich muss man ja sicher bleiben 🙂

So sollte es um 09:00 Uhr losgehen, allerdings fiel der Bus aus und so dauerte es doch 2 stunden länger, ehe wir auf der Schiessanlage ankamen. Da die Zeit auch nicht mehr so lang war, blieb die Zeit nur zum dreimaligen ansetzen mit der P8. Beim dritten Mal klappte es dann auch die Übung in Gold zu erfüllen. Schön, schön und so ging es nach diesem erfolgreichen Teil wieder zurück ins Büro.

Heut Abend war Lernen angesagt, Mathe ist ja noch nicht mein Lieblingsfach geworden, obwohl ich es eigentlich sehr Interessant finde, aber leider will das alles noch nicht logisch aufgehen. Da ich wieder so viel Glück mit dem Timing hatte, startete ich pünktlich zur Rushhor nach Etienne und brauchte so auch nur 2 Stunden für 30 km. Was für eine traumhafte Zeit. Leider kamen wir heut noch nicht soweit und hoffen nun auf die morgige Vorlesung.

Start

So, hier ist nun auch mal mein Blog, den ich eigentlich schon lange anlegen wollte. Hier werde ich einfach meine Erlebnisse bei der Arbeit, meine Fortbildungen und über mein Studium berichten. Bei Interesse einfach reinschauen 🙂

Migration Nagios Server nach Ubuntu LTS 10.04. mit check_mk

Da der Server mit Nagios schon seid einiger Zeit nur rudimentär eingerichtet war und die Konfiguration dringend einer Überarbeitung bedürfte, habe ich mich entschieden. Nagios auf einem Ubuntu LTS 10.04. neu aufzusetzen.

Während ich mich über die Neuigkeiten von Nagios informiert habe, bin ich über das Tool check_mk von Matthias Kettner gestossen. Das Tool habe ich direkt mit in meine Neuinstallation aufgenommen. Um Nagios nun auch vernünftig zu konfigurieren, habe ich dazu die beiden HowTo`s vom Blog von Stefan Daniel Schwarz und von BenV ein wenig im Mix verwendet.
Warum im Mix? Nun ja, einige Pfade haben sich bei den neueren Versionen geändert und man möchte ja auch noch ein wenig eigenen Anteil an der Installation und Konfiguration haben.

Auf jeden Fall lässt sich sagen, dass das neue check_mk einem die Installation und insbesondere die Konfiguration von Nagios sehr deutlich vereinfacht. Meiner Meinung nach, mit eines ders besten Tools welche die letzten Jahre (der doch sehr langsamen Entwicklung von Nagios) erschienen sind.

Die Plugins NSClient++ habe ich sogleich von den zu überwachenden Servern entfernt und durch check_mk ersetzt. Danach Dienst starten und ein check_mk -I tcp auf dem Nagios Server, ein check_mk -U und ein check_mk -R und schon waren die Server in der Nagios Webseite vorhanden und die Überwachung der Dienste setzte sich nahtlos fort. Einzige Frage die noch bleibt, wie kann ich die bisherigen, gesammelten Daten vom Altsystem importieren.

 Hier mal ein Screenshot von der neuen Oberfläche:

<img class=””size-medium” title=””check_mk” src=”http://multiblog.f1nalbyte.de/server/files/2010/10/check_mk-Ansicht1-1024×601.jpg” alt=”
check_mk Ansicht

WSUS 3.0 Event ID 12052, 12042, 12032, 12022, 12012, 12002

Aus dem nichts tauchten bei mir in der Ereignisanzeige die angegebenen Fehler auf, die aussagten, dass alle Webdienste nicht funktionieren. Nach diversen Recherchen, waren unterschiedliche Lösungsvorschläge. Überprüfen der ASP. Net Berechtigung, Neuinstallation des SelfupdateonPort80 (allerdings fragte ich mich, wass das mit dem Fehler zu tun haben sollte) usw.

Letztendlich habe ich den Fehler auf fehlende Berechtigung von .NET auf das Windows Temp- Verzeichnis eingrenzen können. Dort hatte cih letzte Woche was in Zusammenhang mit Sharepoint verstellt. Nachdem ich zunächst die Gruppe “Jeder” berechtigt habe, erzeugte der erneute aufruf von “wsusutil.exe checkhealth” wieder Informationen und keine Fehler. Danach habe ich die Berechtigung weiter eingeschränkt auf die Gruppe “IIS_IUSRS”. Ein erneuter Aufruf blieb weiterhin ohne Fehler.

Computerkonten im AD und SMS 2003 löschen

Nachdem wir vor einigen Wochen eine Regeneration hatten, sind nahezu 80% der Clients ausgetauscht worden. Diese Clients besitzen ja nun noch Computerkonten in der AD und im SMS 2003.
Wie sollte es auch anders sein, kam natürlich vor kurzem eine Lizenzabfrage, der aktuellen Clients, so müssen wir nun adhoc die Computerkonten im AD und SMS bereinigen.

Active Directory
Im AD lässt sich dies relativ einfach realisieren (Vorraussetzungen: min. Windows Server 2003). Mit dem Tool dsquery lassen sich die inaktiven Computerkonten der vorgegebenen Wochen anzeigen. Die Ausgabe lässt sich auch zugleich als Eingabe für eine Löschung nutzen.
Beispiel: dsquery computer ou=Clients,DC=Test,DC=Domain -inactive 3 -limit 0 -s domaincontroller01 | dsrm -s domaincontroller01 -c
Im Beispiel werden alle Computerobjekte, die in den letzten 3 Wochen (-inactive 3) inaktiv waren, auf dem Domaincontroller01, aus der OU=Clients entfernt. Das Entfernen geschieht nach der Pipe (|) mit dsrm, der Parameter -c gibt an, dass auch bei Fehlern, der Vorgang fortgesetzt wird.
Zu beachten ist, dass die AD Computerobjekte als Tree ansieht, wenn an den entsprechenden Computerobjekten ein Drucker frei gegeben wurde. Hier muss der Parameter -subtree angehängt werden.

SMS 2003
Für den SMS 2003 bin ich über einen Interesannten Blogeintrag gestolpert:
http://blog.wisefaq.com/2010/03/31/deleting-computers-from-sms-2003-and-perhaps-sccm-2007-with-a-script/
Das Script steht zum Download zur Verfügung und funktioniert einwandfrei.

Mit diesen beiden Tools konnte ich unsere Umgebung relativ schnell auf einen sauberen Stand bringen und wir waren in der Lage die Lizenzabfrage relativ schnell zu beantworten.

IIS 7 / 7.5 Hosting mehrere SSL-Seiten auf einer IP

Mit dem Webservern kann man auf Port 80 mehrere Domänen auf einer IP-Adresse, anhand des Hostnamen, hosten. Dies ist allerdings bei HTTPS-Verbindungen schwierig, da der Hostname ja durch das Zertifikat bereits ausgestellt wird und mehrere Hostnamen nicht zusammen mit einem Port und einer IP laufen können.
Es gibt allerdings einen Weg, wie man mehrere SSL-Verbindungen mit einem Webserver und einer IP realisieren kann.

Vorraussetzungen:

  • Ein Wildcard-Zertifikat (*.domain.de)
  • IP-Adresse für das Hosting mehrere Webseiten
  • Min. 2 Webseiten auf Port 80 mit Hostnamen (SSL-Hostname wird nachgetragen)

Um das ganze nun zu realisieren:

  • Eine Commando-Zeile mit administrativen Rechten aufrufen
  • Ins Verzeichnis C:WindowsSystem32inetsrv wechseln
  • Folgendes Kommando eingeben (ersetzen von {Sitename}, {IP} und {Hostheader} mit den gewünschten Werten)
    • appcmd set site /site.name:{SITENAME} /+bindings [protocol='https',bindingInformation='{IP}:443:{HOSTHEADER}']
    • appcmd set site /site.name:IIS Seitenname /+bindings.[protocol=’https’,bindingInformation=’*:80:www.domain.de’]
  • Zertifikat im IIS Manager prüfen, kann geändert werden, allerdings kann der Hostheader nicht angepasst werden

Mit diesem wenigen Handgriffen könnt ihr nun mehrere Webseiten, über HTTPS, auf einem Webserver zugänglich machen.

Um eine bestehende SSL-Verbindung zu ändern:

  • appcmd set site /site.name:{SITENAME} /bindings.[protocol='https',bindingInformation='{IP}:443:{HOSTHEADER}'].bindingInformation:{NEWIP}:443:{NEWHOSTHEADER}
  • appcmd set site /site.name:”Default Web Site” /bindings.[protocol=’https’,bindingInformation=’10.0.1.100:443:web1.f1nalbyte.de’].bindingInformation:*:443:web1.f1nalbyte.de

siehe auch: http://www.sslshopper.com/article-ssl-host-headers-in-iis-7.html oder http://toastergremlin.com/?p=308

Sharepoint 2010 Installation

Vor einigen Tagen wurde die Installation des Sharepoint Servers 2010 in einer dreistüfigen Farm vorgenommen. Dabei verlief die Installation nach der Dokumentation auf technet ab und war relativ unspektakulär. Viel wichtiger ist die Vorbereitung der benötigten Dienstkonten und die Anpassung der Rechte z.B. für den Sharepoint Farmadministrator auf dem SQL-Server.
Für den großteil der Dienste wurden einige Dienstkonten im AD angelegt. Diese wurden im Sharepoint eingetragen und dort wurde auch gleich Gebrauch von der neuen Funktion “Managed Accounts” gemacht. Hierrüber lassen sich die Dienstkonten für den Sharepoint-Server zentral verwalten und zudem wird automatisch ein Passwortwechsel, basierend auf den Kennwortrichtlinien, vorgenommen.
Auf eine bebilderte Anleitung verzichte ich an dieser Stelle, da es hier zu schon genügend gibt und ich, wie bereits oben erwähnt, rein nach der TechNet Doku vorgegangen bin.

Ein nettes Feature ist auf jeden Fall die Statusanzeige der Sharepoint-Farm auf der Seite der Zentraladministration. Nach Abschluss der Installation wurden hier noch einige Warnungen (z.B. doppelt verwendete Dienstkonten, Dienstkonten in der Gruppe der lokalen Admins, usw.) angezeigt, die nach den vorhandenen Informationen, bereinigt wurden.

Zunächst wurde ein weiteres Zertifikat für die Zentraladministration beantragt. Danach wurde eine Teamwebseite angelegt, auf der ein DMS eingerichtet wird, welches die neuen Funktionen von Sharepoint 2010 nutzen soll, wie z.B. Metadaten Service und die Navigation zu Dokumenten über die vorhandenen Metadaten. Ausserdem sollen die bisher vorhandenen Daten, nach und nach, auf den Sharepoint wandern und die neu angelegten Dokumente direkt im Sharepoint erstellt werden.

Das Backup der SQL-Datenbanken ist bereits im DPM 2010 eingerichtet. Die Sicherung der Sharepoint-Farm an sich, ist ein weiterers Thema, was die nächsten Tage angegangen wird.

DPM 2010 Installation

Die Installation der RTM Version von DPM 2010 erfolgt auf dem Backupserver. Die Routine prüft, vor der Installation, ob alle erforderlichen Komponnten vorhanden sind. Bei der Installation auf einem Windows Server 2008 werden noch einige Patches benötigt, die unter den angegebenen Links herunter zu laden sind. Ein Patch befindet sich im Quellordner unter RedistKB975759.

Danach ist ein Neustart erforderlich und die Routine muss erneut aufgerufen werden.

Die Installation gestaltet sich recht simpel. Für die ersten Tests, habe ich einen SQLServer mit auf dem BackupServer installieren lassen, ob ich dies später auf den SQL-Server ändere, werde ich mir noch überlegen. Zumindest werden nun auch SQL Server 2008 untersützt.

Die Installation der Agents auf den Domänenserver war leider wieder nicht über die GUI möglich,erneut erschien der Fehler 337 Zugriff verweigert, eine Deaktivierung der Firewall ist eine Lösung. Ich habe aber ein Skript erstellt, welches die Installation vornimmt.

  1. Zunächst das Verzeichnis %Program Files%DPM2010DPMProtectionAgents Lesend freigegeben
  2. Skript für x86 und x64 erstellt
  3. Skript für x86: net use P: \backupserverdpmprotectionagents
    P:RA3.0.7696.0i386DPMAgentInstaller_x86.exe f1nalbackup1.f1nalbyte.de
  4. Danach muss der Server noch in die Verwaltungskonsole vom Backupserver eingetragen werden, dazu starten der Verwaltungsshell DPM 2010 und eingabe von: .ProductionServer.ps1 <DPM server name> <production server name> <user name> <password> <domain>.l

vSphere Virtual Machine Hardware Upgrade

Da Direct Access in meiner Umgebung derzeit immer noch nicht lauffähig ist und ich vom Gefühl her immer den Eindruck hatte, es liegt mit der virtuellen Netzwerkstruktur zusammen, habe ich die Hardware Versionen der Virtuellen Maschinen einem Upgrade unterzogen.

Zunächst einmal gibt es in der Hardware Version 7 vom vSphere 4 mehrere neue Hardwarekomponenten, die für eine bessere Performance sorgen sollen.

Darunter fällt zu einem der neue Netzwerkadapter vmxnet3 (Unterstützung von JumboFrames, Hardware Offloads, fully IPv6 Support, IPv6 offloads, usw.) und der neue VMware Paravirtualized SCSI Adapter (PVSCSI), der eine bessere Performance und weniger I/O-Last erzeugen soll.

Das Upgrade habe ich in mehreren Schritten durchgeführt:

  1. Zunächst einmal sollte man schauen, ob die IP-Liste der Server noch aktuell ist
  2. Wichtig ist vorher noch ein mal zu checken, dass die VMware-Tools auf dem aktuellen Stand sind, ggf. neu installieren bzw. updaten
  3. Solltet Ihr diese upgraden, danach ein Neustart durchführen und anschliessend die Virtuelle Maschine runterfahren
  4. Bevor ihr die Hardware Version aktualisiert, solltet Ihr eine Sicherung der VM anlegen, da ein Downgrade nur umständlich möglich ist
  5. Nun könnt ihr die Hardware Version der VM upgraden, in dem ihr ein Rechtsklick auf die VM im vSphere Client tätigt und dort “Upgrade Virtual Hardware”
  6. Hinzufügen einer neuen Netzwerkkarte in den VM-Eigenschaften vom Typ VMXNET3 und Zuordnung zur selben Port-Gruppe
  7. Hinzufügen einer neuen virtuellen Festplatte (Grösse unerheblich). Wichtig, diese muss dem SCSI-Punkt 1:0 oder höher zugewiesen werden
  8. Ändern des neuen, zweiten SCSI-Controller Typ in VMware Paravirtual
  9. Starten der VM, dabei am besten die Desktopansicht des VSphere-Clients verwenden, um keinen Verbindungsabbruch beim Ändern der IP-Adresse zu haben
  10. Nachdem anmelden, vorherige Netzwerkkarte auf DHCP stellen und bei der neuen Netzwerkkarte die IP-Adresse konfigurieren
  11. Neue Systemvariable anlegen “DEVMGR_SHOW_NONPRESENT_DEVICES” Wert= “1”
  12. Nun Geräte-Manager aufrufen und unter Ansicht “Ausgeblendete Geräte anzeigen” wählen
  13. Die vorherigen Netzwerkadapter “Intel Pro E1000” entfernen
  14. Nun sollte die Migration auf die neue Hardware abgeschlossen sein.

Wichtig: Laut VMWare ist es nicht supported, den Paravirtuellen SCSI-Adapter für Boot-Devices (Systemlaufwerk) zu verwenden, dieser soll ausschliesslich für Datenträger mit Daten und Anwendungen verwendet werden, siehe: VMware Paravirtual SCSI-Adapter Support

Installation von Galleryserverpro

Nach einiger Recherche für ein Galleryalternative zu Tinywebgallery bin ich auf Galleryserverpro gestossen. Im Gegensatz zu Tinyweb basiert Galleryserverpro allerdings auf .Net und MS SQLLite / MS SQL Server und benötigt den IIS 6.0/7.0 oder höher als Webserver.

Nach dem ich mir die Demo angeschaut habe, hat mir das ganze einfach besser gefallen, als die bisherige Tinywebgallery. Ausserdem hatte ich mit den bisherigen Bildern von unserem Urlaub immer wieder Probleme. So habe ich mich entschieden heut Galleryserverpro zu installieren. Leider machte der IIS 7.5 ein wenig ärger und lies mich nur mit ein wenig Aufwand ein seperate Serviceaccount für den Application Pool angeben. So musste ich letztendlich den ehemaligen SPS Farmadmin Account verwenden, dieser scheint im System mehr Rechte zu haben. Das werde ichaber noch ändern, habe mir bereits mit “icacls” ein Auszug der Filesystemrechte gezogen und werde diese in den nächsten Tagen abgleichen.

Nachdem dieses Problem gelöst war, lief die Installation Problemlos. Bei der Insallation bin ich nach der sehr guten Dokumentation vorgegangen und hatte so auch keine Probleme. Nun haben wir eine, meiner Meinung nach, sehr professionelle Gallerie auf unseren Webspace die auch für viele Anwendungen verwendet werden kann.

Noch ein kleines Bild:

www.perupagos.de/mediathek