Windows – slacc

Windows DHCP Server Warnlevel einstellen

Geschrieben am 12. September 2023 Von slacc

Irgendwann ist man an dem Punkt, wo man jede Stunde zwei Warnungen im Windows Server Ereignis Log erhält und diese Warnungen dann auch Alerts im Monitoring triggern:

Server Event 1020 Warnung Microsoft-Windows-DHCP-Server System 12.09.2023 14:21:04
Der Bereich „192.168.1.0“ ist zu 83 Prozent ausgelastet. Es stehen nur noch 19 IP-Adressen zur Verfügung.

Server Event 1376 Warnung Microsoft-Windows-DHCP-Server System 12.09.2023 14:21:04
Der IP-Adressbereich des Bereichs „192.168.1.0“ ist zu 83 Prozent voll, und es sind nur noch 19 IP-Adressen verfügbar.

Nun kann man anfangen den IP-Bereich zu vergrößern, die Lease-Time zu verkürzen oder bei genügend freien IP-Adressen diese Warnung (vorerst) zu ignorieren. Den Prozentwert für die Schwelle der Warnung kann man mit einem Registry-Eintrag via regedit.exe setzen:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Dhcpserver\Parameters\
einen REG_DWORD (32 Bit) Wert erstellen mit der Bezeichnung DhcpAlertPercentage und den Dezimalwert auf den gewünschten Prozentwert der Warnschwelle einstellen, z.B. 85 oder 90. Alternativ kann man wohl auch 101 eintragen um die Meldungen komplett zu deaktivieren.

Anschließend den DHCP-Server Dienst neu starten.

Windows 10 / 11 Installation ohne Internet mit lokalem Konto

Geschrieben am 4. Mai 2023 Von slacc

Bei der Installation von Windows 10 und auch bei Windows 11 wurde der Punkt „Ich habe kein Internet“ entfernt und man wird quasi gezwungen per LAN/WLAN online zu gehen und ein Microsoft-Konto anzulegen um die Installation fortführen zu können.

Man kann an diesem Punkt allerdings Umschalt/Shift + F10 drücken um die Eingabeaufforderung zu öffnen und dann folgenden Befehl eingeben:

oobe\bypassnro

Danach erscheint der Punkt „Ich habe kein Internet“ wieder und man kann die Einrichtung mit einem lokalem Benutzerkonto abschließen.

Alternativ soll es wohl auch funktionieren Strg + F4 zu drücken oder online zu gehen und dann bei der Anmeldung eines bestehenden Windows Kontos auf Anmeldeoptionen klicken oder bei der Anmeldung ungültige Nutzerdaten einzutragen – dann erscheint ggf. auch ein Menü-Punkt mit lokalem Benutzerkonto/Offlinekonto fortfahren.

checkmk Monitoring: Windows Server Dienste überwachen

Geschrieben am 1. Juni 2022 Von slacc

Das nächste Thema wo ich eine ganze Weil recherchieren musste, ist das überwachen von Windows Server Diensten mit checkmk 2.0 Raw (CRE). Im Gegensatz zu den Windows Ereignislogs, werden die Dienste nicht automatisch von checkmk discovered.

Erst hatte ich aufgrund Jahre alter checkmk Foren Threads versucht die Übermittlung der Dienste in der checkmk Agent Konfiguration zu aktivieren – aber bei den checkmk 2.0 Agents ist dies bereits aktiviert – aber warum tauchen die Dienste dann nicht auf?!

Man muss dazu eine Windows Service Discovery Rule erstellen:

Bei Setup in der Suchleiste Windows service eingeben und dann Windows service discovery öffnen.

Neue Regel erstellen mit Create rule in folder

Bei Description eine Bezeichnung für die Regel eingeben, Haken setzen bei Create check if service is in start mode und im Dropdown Automatic auswählen (zum Überwachen automatisch startender Dienste) und dann bei Explicit hosts einen oder mehrere Hosts wählen, wo ihr die Dienste überwachen wollt (oder frei lassen für alle Hosts).

Änderungen aktivieren.

Beim Host die Service configuration öffnen.

Jetzt werden alle auf dem Host automatisch startenden Dienste angezeigt (wenn nicht: Full Service Scan ausführen).
Mit einem klick auf das grüne + bei den einzelnen Diensten kann man diese dem Monitoring hinzufügen.

Alternativ können mit einem Klick auf Monitor undecided services oder Fix all alle Dienste auf einmal in das Monitoring übernommen werden – aber wollt ihr wirklich von jedem dieser Dienste benachrichtigt werden? :)

Mit einem Klick bei Actions auf Disable undecided services werden alle Dienste deaktiviert, die nicht hinzugefügt wurden.

Zum Schluss wieder die Änderungen aktivieren.

checkmk Monitoring: Windows Server Log Handling und Einträge ignorieren

Geschrieben am 1. Juni 2022 Von slacc

Vor einigen Wochen habe ich ein Monitoring auf Basis von checkmk 2.0 Raw (CRE) auf einer alten Workstation mit Debian aufgesetzt und bin echt begeistert, wie viel Features schon direkt im Standard abgedeckt werden, indem man nur den Agent auf den Servern installiert und die Hosts in checkmk hinzufügt – ohne erst in config-Dateien basteln zu müssen, was überhaupt im Detail überwacht werden soll.

Aber ein Punkt der mir ein paar Fragezeichen beschert hat: wie geht man korrekt mit Windows Ereignisprotokollen in checkmk um?! In den ganzen Tutorials ist nach Installation des checkmk Agents und hinzufügen des Hosts Schluss. Wie man mit den Windows Logs umgehen soll, bleibt offen.

Ich hatte erst gedacht, man kann bei den Logs auch einfach auf den Service klicken und die einzelne Ereignis Meldung damit aknowledgen – aber damit acknowledged man das Gesamte ausgewählte Log – neue/andere (kritische) Logeinträge werden dann nicht mehr angezeigt/benachrichtigt!

Man muss auf die 3 Striche und dann auf Open Log klicken um die Ereignisse anzuzeigen.

Dort sieht man auch weitere Log-Einträge der Stufe CRIT und WARN – checkmk zeigt im Dashboard immer nur die neueste Meldung der höchsten Warnstufe an („Last worst“).
Wenn man sich sicher ist, dass man die Ursache der Meldung behoben hat oder ignorieren kann :), klickt man auf Clear log um diese Log-Einträge aus checkmk zu löschen. Es kann einige Sekunden dauern, bis die Nachricht aus dem Dashboard verschwindet

Neue Ereignisse, die nach dem leeren des Logs auftreten, werden wieder entsprechend im Dashboard als Kritisch/Warnung angezeigt.

Wenn man dies ein paar Tage gemacht und auch ein paar kleinigkeiten am Windows Server umgestellt oder behoben hat, damit die entsprechenden Meldungen nicht mehr jeden Tag nerven, wird man feststellen, dass es ein paar Meldungen gibt, die man getrost ignorieren kann – wie zum Beispiel DCOM oder perflib Meldungen.

Aber wie ignoriert man einzelne Logeinträge in checkmk?!

Dazu gibt man bei Setup in der Suchleiste logfile ein und klickt dann auf Logfile patterns.

Dort klickt man auf Create rule in folder und schon kann man eine Ignore Regel erstellen:

Bei Description eine Kurzbeschreibung eintragen, dann auf Add pattern klicken, State auf IGNORE setzen und bei Pattern (Regex) einen Teil der Meldung reinkopieren, die ihr ignorieren wollt. In meinem Fall: 10016 DCOM Anwendungsspezifisch Lokal Aktivierung
Da dies ein Regex Feld ist: aufpassen mit Sonderzeichen aus der Meldung, teilweise greift die Regel dann nicht. Am besten gleich Regex konform eintragen (ToDo für später :)). Bei Explicit hosts könnte man die Regel noch auf einzelne Hosts eingrenzen (Haken setzen und auswählen).
Dann die Regel mit Save abspeichern.

Oben rechts im Fenster auf die Meldung klicken.

Mit Activate on selected sites wird die Änderung (die neue Regel) dann in checkmk übernommen und bei neuen Meldungen angewendet. Bereits in checkmk vorhandene Meldungen werden dadurch nicht verworfen.

SAP Business One Apple iOS App / Integration Framework mit selbstsigniertem Zertifikat

Geschrieben am 20. April 2022 Von slacc

Auch nach Update auf SAP Business One 10 und Installation des aktuellen Integration Frameworks, generiert dieser wieder Zertifikate die von Apple iOS Geräten (iPhone/iPad) nicht akzeptiert werden. Sie lassen sich zwar installieren, aber weder Safari noch die SAP Business One App, stufen diese Verbindung als sicher ein.

Seit iOS 13 werden nur noch Zertifikate akzeptiert die als alternative Namen (alternate_names) den Servernamen/IP beinhalten.

Dies lässt sich in der openssl.cfg des Integration Frameworks konfigurieren, die openssl.cfg befindet sich unter (als Admin mit Editor/Notepad öffnen):

C:\Program Files\sap\SAP Business One Integration\IntegrationServer\Tomcat\webapps\B1iXcellerator\openssl\bin\

Unter [ v3_ca ] fügt man folgende neue Zeile hinzu:

subjectAltName      = @alternate_names

unten am Ende der openssl.cfg fügt man folgende Definition hinzu (entsprechend euren Servernamen/IP eintragen):

[ alternate_names ]

DNS.1        = servername
IP.1        = 192.168.1.23

Speichern und dann kann im Integration Framework das neue Zertifikat generiert werden.

Dazu https://servername:8443/ im Browser aufrufen, einloggen und dann unter Tools -> Certificate Tool bei Domain Name nochmal den Servernamen eintragen und auf Create Certificate klicken.

Solltet ihr bereits versucht haben ein Zertifikat zu generieren, muss vorher einmal Reset Certificate angeklickt werden, um das bereits vorhandene Zertifikat zu löschen.

Anschließend auf dem Server den Dienst SAP Business One Integration Service neu starten.

Das neu generierte Zertifikat myCA.cer befindet sich im Ordner:

C:\Program Files\sap\SAP Business One Integration\IntegrationServer\Tomcat\webapps\B1iXcellerator\B1iCert\

Diese myCA.cer muss entweder per E-Mail an das iPhone/iPad gesendet werden oder über Safari herunter geladen werden. Ich habe die Datei per FTP auf meinen Webspace geladen und per Safari die URL zum Zertifikat aufgerufen (Firefox funktioniert nicht).

Anschließend muss das Zertifikat bzw Konfigurationsprofil unter Einstellungen -> Allgemein -> VPN & Geräteverwaltung installiert und unter Einstellungen -> Allgemein -> Info -> Zertifikatvertrauenseinstellungen zusätzlich aktiviert werden.

Jetzt sollte der Aufruf von https://servername:8443/ im Safari und somit auch die Verbindung der App ohne Zertifikat-Fehlermeldung funktionieren.

Ggf. noch in der xcellerator.cfg die Optionen xcl.safemode und xcl.http.localOnly von true auf false ändern.

Virtualbox: Windows 11 kann auf diesem PC nicht ausgeführt werden

Geschrieben am 29. November 2021 Von slacc

Als ich gerade eine Windows 11 Test Installation durchführen wollte, kam mir vor der Installation folgende Meldung entgegen:

Dieser PC erfüllt nicht die Mindestsystemanforderungen zum Installieren dieser Windows-Version.
Weitere Informationen finden Sie unter https://aka.ms/WindowsSysReq

Diese Prüfung kann man umgehen, indem man im Setup einen Schritt zurück geht und dann mit Shift + F10 die Eingabeaufforderung öffnet und mit dem Befehl regedit die Registry öffnet:

Unter Computer\HKEY_LOCAL_MACHINE\SYSTEM\Setup legt ihr einen neuen Schlüssel mit Rechtsklick an: LabConfig

Jetzt die folgenden drei DWORD-Werte anlegen und den Hexadezimal-Wert jeweils auf 1 setzen:

BypassTPMCheck
BypassRAMCheck
BypassSecureBootCheck

Anschließend die Registry und Eingabeaufforderung wieder schließen, im Setup auf Weiter klicken und die Installation sollte jetzt sauber durch laufen.

Auf diese Weise müsste sich Windows 11 auch auf offiziell nicht unterstützte Computer installieren lassen – habe ich bisher aber noch nicht getestet.

EAN13 Prüfziffer mit Excel berechnen

Geschrieben am 17. November 2021 Von slacc

Für eine Liste von 150 selbst vergegebenen EAN-Nummern (12 Ziffern) sollte die Prüfziffer (13. Ziffer) berechnet werden. Um nicht jeden Barcode einzeln bei GS1 zu copy & pasten, habe ich nach einer Excel Formel gesucht und bin hier (letzter Beitrag ganz unten) fündig geworden.

In meinem Beispiel steht die 12-stellige EAN-Nummer in A2 (entsprechend in der Formel auf eure Zelle anpassen) und den folgenden Code füge ich in B2 ein:

=REST(MMULT(-TEIL(A2;SPALTE(A:L);1);3^REST(ZEILE($2:$13);2));10)

Um die 12-stellige EAN-Nummer und die soeben errechnete Prüfziffer zusammen zu setzen, benutze ich VERKETTEN in Zelle C2:

=VERKETTEN(B2;C2)

Für weitere EAN-Nummern die Formeln einfach nach unten ziehen.

Tipp: Wenn Excel die EAN-Codes nicht richtig anzeigt: Spalte als Zahl mit 0 Dezimalstellen formatieren.

Linux Mint 20.2 in Virtual Box: „check your video drivers“ und Auflösung speichert nicht

Geschrieben am 17. November 2021 Von slacc

Seit Linux Mint 19 nervt mich die Meldung „check your video drivers“ bei jedem Boot in VirtualBox und heute habe ich eine neue Test-VM mit Linux Mint 20.2 erstellt: es erscheint die gleiche Fehlermeldung und zusätzlich setzt sich die Auflösung bei jedem Start auf 800×600 zurück.

Um die Fehlermeldung „check your video drivers“ zu beheben, schlägt jemand vor, man soll man statt Cinnamon die alternativen Linux Mint Desktops (Mate, XFCE) nutzen, die wohl nur 2D sein sollen – ich wollte allerdings weiterhin den Cinnamon Desktop einsetzen.

Weitere Lösungsansätze sehen das aktivieren der 3D Beschleunigung in VirtualBox (Einstellungen der VM -> Anzeige) und installieren der VirtualBox Guest Additions vor (bei laufender VM: Geräte -> Gasterweiterungen einlegen) – nach Abschluss der Installation soll man einen Neustart durchführen, der bei mir für einen VirtualBox Crash sorgt. Auch weitere Reboots bringen VirtualBox zum Absturz – nach deaktivieren der 3D Beschleunigung stürzt die VM nicht mehr ab.

Für meine Zwecke war die Performance auch ohne 3D Beschleunigung bisher immer ausreichend, also habe ich nach einem Weg gesucht, einfach nur die „check your video drivers“ Fehlermeldung zu unterdrücken:

Linux Mint Terminal öffnen und folgenden Befehl eingeben (setzt die 2D option im User Profil):

echo "export CINNAMON_2D=true" >> ~/.profile

Bleibt noch das Problem mit der Auflösung: dies soll man in VirtualBox beheben in dem man folgenden Befehl eingibt (Name der VM und Auflösung anpassen):

VBoxManage setextradata "VM-Name" "GUI/LastGuestSizeHint" "1280,800"

Bei meinem Windows 10 Host lautet der vollständige Befehl für meine VM wie folgt (in CMD/Eingabeaufforderung eingeben):

C:\Program Files\Oracle\VirtualBox\VBoxManage.exe" setextradata "Linux Mint 20" "GUI/LastGuestSizeHint" "1440,900"

UPS Worldship Updates ohne Admin Passwort

Geschrieben am 3. November 2020 Von slacc

Fast jede Woche gibt es UPS Worldship Patches, die eine Eingabe vom Administrator Kennwort im Windows UAC Dialog erfordern. Das ist bei einem PC schon nervig, jede Woche ins Lager zu rennen oder per Fernwartung den Admin Login einzugeben – richtig anstrengend wird es bei mehreren Logistik Computern, die dann zu unterschiedlichen Zeitpunkten bzw. Tage später dann Worldship starten.

Die Logistik-User zu lokalen Admins machen ist definitiv keine vernünftige Lösung, dass räumt den Benutzern viel zu viele Rechte ein.

Eine vernünftige Lösung habe ich heute gefunden: man kann eine UAC Whitelist für die runpatch.exe unter Windows 10 anlegen.

Dazu braucht man das Application Compatibility Toolkit, welches Teil vom 1 Gigabyte großen Windows Assessment and Deployment Kit (ADK) ist.

Windows ADK herunterladen und ausführen:
https://docs.microsoft.com/en-us/windows-hardware/get-started/adk-install

2. **Für die Installation auf einem separaten Computer herunterladen** auswählen.

3. In dem ADK Verzeichnis aus dem Unterordner **Installers** die **Application Compatibility Toolkit-x64_en-us.msi** installieren.

4. Über Start/Windows Logo -> **Windows Kits** -> **Compatibility Administrator (32-bit)** öffnen.

5. Rechtsklick auf **New Database (1)** und **Rename** zu **UPS**.

6. Rechtsklick auf **UPS** -> **Create New** -> **Application Fix**.

7. Programmname **runpatch.exe** , Hersteller **UPS** und den Pfad **C:\Program Files (x86)\UPS\WSTD\runpatch.exe** eintragen.

8. Runter scrollen und **RunAsInvoker** auswählen.

9. In diesem Fenster **nichts ändern**, auf **Weiter** klicken.

10. Damit das ganze auch noch nach dem nächsten Update funktioniert, **müssen hier die Häkchen für die Versionsnummern rausgenommen werden**.

12. Als **UAC-Whitelist.sdb** im UPS Verzeichnis **C:\Program Files (x86)\UPS\WSTD\** abspeichern.

13. C:\Program Files (x86)\UPS\WSTD\RegAccess.exe als Administrator ausführen.

14. **cmd.exe** als Administrator ausführen und folgenden Befehl eingeben:
**sdbinst.exe „C:\Program Files (x86)\UPS\WSTD\UAC-Whitelist.sdb“**

Soll das ganze auf weiteren Clients eingerichtet werden, muss man auf jedem weiteren Client folgende Schritte durchführen:

C:\Program Files (x86)\UPS\WSTD\RegAccess.exe als Administrator ausführen

Die bereits erzeugte UAC-Whitelist.sdb jeweils in das Verzeichnis C:\Program Files (x86)\UPS\WSTD\ kopieren

cmd.exe als Administrator öffnen und sdbinst.exe „C:\Program Files (x86)\UPS\WSTD\UAC-Whitelist.sdb“ ausführen

Linux Apache SSL-Zertifikat über Windows Server 2012 R2 PKI anfordern

Geschrieben am 2. Februar 2018 Von slacc

Intranet Linux Apache Server mit SSL-Verschlüsselung die von Domänen-Client-PCs als „sicher“ eingestuft wird.

Windows Server:
servername.firma.intern als DNS Eintrag auf dem DC hinzufügen:
DNS-Manager
DNS -> DC -> Forward-Lookupzonen -> firma.intern
Rechtsklick -> Neuer Host
Name -> Servername
IP-Adresse -> IP vom Server eintragen (für diese Anleitung verwende ich im folgenden 192.168.1.23 als IP)
-> Host hinzufügen

Linux Server:

mkdir /etc/apache2/ssl
cd /etc/apache2/ssl
openssl genrsa 2048 > server.key

openssl req -new -sha256 -key ./server.key > request.csr
Country Name (2 letter code) [AU]:DE
State or Province Name (full name) [Some-State]:Bundesland
Locality Name (eg, city) []:Stadt
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Firma
Organizational Unit Name (eg, section) []:
Common Name (e.g. server FQDN or YOUR name) []:servername.firma.intern
Email Address []:email@firma.de

Please enter the following ‚extra‘ attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

cat request.csr
in die Zwischenablage kopieren

Windows Server:
Es muss die Rolle Active Directory-Zertifikatdienste aktiv sein (Zertifizierungsstelle und Zertifizierungsstellen-Webregistrierung).

Powershell (dies aktiviert SAN damit auch Chrome das Zertifikat akzeptiert):

certutil -setreg policy\EditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2
certutil -setreg ca\csp\CNGHashAlgorithm SHA256
net stop certsvc
net start certsvc

Internet Explorer als Admin starten
http://server/certsrv
-> Ein Zertifikat anfordern
-> erweiterte Zertifikatanforderung
-> Reichen Sie eine Zertifikatanforderung ein, die eine Base64-codierte CMD- oder PKCS10-Datei verwendet…

Zertifikat- oder Erneuerungsanforderung einreichen
Base-64-codierte Zertifikatsanforderung (CMC oder PKCs #10 oder PKCS #7)
-> aus Zwischenablage einfügen

Zertifikatsvorlage: Webserver

bei Attribute:

san:dns=servername.firma.intern&dns=192.168.1.23&ipaddress=192.168.1.23

-> Einsenden

Zertifikat wurde ausgestellt
-> Base-64-codiert
-> Download des Zertifikats

mit WinSCP auf den Linux Server kopieren

Linux Server:

mv /home/user/certnew.cer /etc/apache2/ssl/server.cer
chown root:root server.cer
chmod -R 600 /etc/apache2/ssl

vi /etc/apache2/sites-available/default-ssl.conf
einfügen:
SSLCertificateFile /etc/apache2/ssl/server.cer
SSLCertificateKeyFile /etc/apache2/ssl/server.key

a2enmod ssl
a2ensite default-ssl
systemctl reload apache2

Dann sollten Edge und Chrome https://servername.firma.intern/ und https://192.168.1.23/ akzeptieren.

Im Firefox muss man noch eine Einstellung setzen damit Domänen-Zertifikate funktionieren:
about:config
security.enterprise_roots.enabled von false auf true setzen (Rechtsklick -> umschalten)

Nächste Seite »