Ausblick und kleinere Updates

Ich habe einige Artikel aktualisiert und zusätzliche Links eingearbeitet. Die Planungen für meine neue Hyper-V Testumgebung acme.local sind abgeschlossen. Mit der Domain und den passenden Anleitungen möchte ich für unsere Azubis eine Anlaufstelle aufbauen und auch mein Eigenes wissen vertiefen bzw. auffrischen.

Ein einfaches Schema wie die Umgebung aussehen soll könnt ihr hier sehen.

 

acme.local
acme.local

 

Zur Netztrennung zwischen meiner Arbeitsgruppe und der domain acme.local werde ich eine pfsense einsetzen. Diese wird nur für eine Netztrennung sorgen. Alle Server von acme.local werden mit Server 2016 und den jeweils passenden Exchange bzw. SQL-Server installiert. Die Clients werde ich mit Windows 10 / 8.1 und Windows 7 installieren.

Gelpante Themen sind bisher:

  • Konfigurationen der einzelnen Server und Anwendungen aufzeigen
  • Gruppenrichtlinien Verteilen mit WMI-Filter
  • Ausrollen von Anwendungen per msi-Installer
  • Anwendungskonfigurationen

Tool Time – Rainbow CSV Addon für Visual Studio Code

Aktuell unterstütze ich einen guten Freund bei einer Umstellung und habe leider keine Zeit für meinen Blog. Das gute wir sind fast Fertig.

Bei meiner Arbeit in den letzten Wochen habe ich viel mit Microsoft Visual Studio Code gearbeitet, ergab sich aus der Situation. Dabei musste ich mit CSV-Dateien hantieren. Dabei ist mir ein tolles Plugin über den Weg gelaufen, Rainbow CSV. Ich möchte euch das Plugin nicht vorenthalten. Das Plugin ist Simpel aber sehr praktisch und hat mir gute Dienste erwiesen. Ein Bild sagt mehr als tausend Worte:

 

Microsoft Visual Studio Code Rainbow CSV
Rainbow CSV Addon

Hatte keine passende CSV zur Hand, man sieht hier schon die Hervorhebung der einzelnen Felder. Gerade bei größeren CSV-Dateien eine echte Erleichterung wenn man den Fehlerhaften Datensatz sucht.

Wer ein ähnliches Plugin für Notepad++ kennt möge sich melden.

 

Account Reset Tool

Active Directory Benutzerpasswörter zurücksetzen

Das zurücksetzen von Benutzerpasswörtern gehört zu einer eher ungeliebten Tätigkeiten im Tagesgeschäft eines Administrators. Diese Aufgabe delegiere ich gerne weiter, zum Azubi oder einem Key-User der über die entsprechende Berechtigung verfügt. Im Active Directory lässt sich das mit der Konfiguration entsprechender Rechte lösen.

Hier zeige ich die Umsetzung in einer Active Directory Domain (Server 2016) in Kombination mit dem Account Reset Tool von cjwdev. Der Vorteil in dem Tool liegt an der einfachen Handhabung.

Vorbereitungen:

Ich habe eine Sicherheitsgruppe ITSupport erstellt. Über diese Gruppe wird die Berechtigung delegiert. weiterlesen

ADMX Sammlung

Da ich seit Wochen meine Bookmarksammlung bereinige habe ich weitere Links hierhin ausgelagert. Hier stellt ich Links zu ADMX-Templates bereit die ich angesammelt habe.

Microsoft Windows

Microsoft Office

Toolsammlung

Weiterführende Links:

Interessante Webseite in dem Zusammenhang: getadmx.com und Group Policy Search. Wer weitere Seiten in dem Zusammenhang beisteuern kann gerne per Kommentar!

Central Store für Administrative Vorlagen

Die ADMX-Vorlagen werden im Central Store bereitgestellt.

 

OpenVPN Server mit OPNsense

Vor kurzem habe ich eine OPNsense als Firewall in Betrieb genommen. Hier habe ich ein kleines Howto zur Konfiguration des OpenVPN Server gemacht. Ziel der Anleitung ist es einen Windows Client anzubinden. Ich nutze den VPN-Client von Securepoint, dieser ist schlicht und einfach zu bedienen. In meinem Beispiel Konfiguriere ich eine „Any“ Regel in der Firewall. In einer Produktivumgebung sollte dies detaillierter Konfiguriert werden.

Meine OPNsense mit der das Tutorial erstellt wurde läuft mit Version OPNsense 17.7.11

 

Vorbereitungen:

  • Konfigurierete OPNsense Firewall (LAN/WAN)
  • statische IP oder dyndns Alias

CA Zertifikat

Zuerst müssen wir ein CA Zertifikat erstellen der Punk findet ihr unter System: Trust: Authorities. Dort die Konfiguration mit „Add or import CA“ starten

OPNsense CA System : Trust : Autorities
OPNsense CA Zertifikat erstellen
  • Die Felder entsprechend der Beschreibung ausfüllen. Achtet auf Aussagekräftige Benennungen
  • Bei Method „Create Internal Certificate Authority“ auswählen
  • Die Standard „Lifetime“ habe ich hochgesetzt auf 5 Jahre
OPNsense CA System : Trust : Autorities
OPNsense CA Zertifikat erstellen

weiterlesen

LAN Messenger 1.2.37

Tool Time – LAN Messenger

Vor kurzem wurde ich gefragt ob wir bei einem Kunden Message Bob in die neue Systemumgebung migrieren können. Zuerst war ich verwundert das es noch jemand gibt der das einsetzt… Nach kurzer Prüfung stellte ich fest das es die Software bzw. den Hersteller wohl seit Jahren nicht mehr gibt.

Nachdem die Anforderungen geklärt waren und ich etwas zu dem Thema recherchiert hatte, haben wir uns für das Open Source Projekt LAN Messenger entschieden. Hier ein paar der Features:

  • Serverlose Architektur
  • Nachrichten werden AES verschlüsselt übertragen
  • Nachrichten zu einem oder allen Usern im Netzwerk
  • Kontaktgruppen
  • Multilanguage User interface
  • Cross-Platform-Support (Windows/Linux/MAC)
  • Alle Features stehen in allen Plattformen zur Verfügung
LAN Messenger 1.2.37
LAN Messenger Konfiguration

Sollte es noch jemand geben der eine Alternative zur Message Bob sucht sollte er sich einmal LAN Messenger anschauen.

Antivirus Ausnahmen

Hier meine gesammelten Links zu Antivirus Ausnahmen (Anti-Virus Exclusions). Je nach eingesetztem Antivirus System ist es zwingend notwendig die Ausnahmen entsprechend korrekt zu setzen.

Microsoft Exchange

Microsoft Hyper-V

Microsoft Windows Server

Microsoft SQL

Drittanbieter

Sollte jemand sich an der Liste Beteiligen wollen ich nehme gerne weitere Produkte oder Links entgegen.

PowerShell Cookbook

Habt ihr auch eine Textdatei mit diversen PowerShell befehlen die man mit der Zeit gesammelt hat? Hier kommt meine Sammlung 😛 Die Befehle sind lose zusammengestellt. Ich versuche Sie mit der Zeit etwas thematisch zu trennen.

 

 

Allgemein

Powershell Version anzeigen

Powershell Module anzeigen

PowerShell Module Importieren

Netzwerkprofil Anzeigen

Netzwerkprofil in Privat ändern

Netzwerkprofil in Privat ändern

 

weiterlesen

OPNsense Konfiguration Wizard

Neue Firewall OPNsense

Aufgrund eines Hardwaredefekts musste ich mich von meiner Endian Firewall trennen. Im Zug der Neuinstallation wollte ich auf ein anderes System umsteigen. Hier ist mir OPNsense ins Auge gefallen. Der Fork von pfsense bietet eine Aufgeräumte Oberfläche und ist bei der Handhabung ähnlich wie pfsense. Das sich OPNsense hinter kommerziellen Produkten nicht verstecken muss zeigt schon die Featureliste:

Als Killer Feature empfinde ich die Suchfunktion mit der sich Konfigurationsmenüs direkt aufrufen lassen. Gerade als Neuling sehr praktisch.

OPNsense Konfiguration Wizard
Das Killer Feature für mich, der Suchen Dialog

Die Installation auf meiner Intel Atom Plattform verlief Problemlos. Nach der Installation führt ein Assistent durch die Grundkonfiguration.
Da ich vor der OPNsense eine FRITZ!Box verwende muss die Firewall angepasst werden. weiterlesen

Move-ADDirectoryServerOperationMasterRole

FSMO-Rollen Übertragen per Ntdsutil oder PowerShell

Hier löse ich in einer meiner Testumgebungen (acme.local) den primären Domain Controller ab. Aktuell befinden sich die Flexible Single Master Operations-Rollen (FSMO) auf einem Windows Server 2008 R2, dieser wird durch einen Server 2016 abgelöst.

In freier Wildbahn verfahre ich nach dem gleichen Schema. Für die Schritte sollte entsprechend Zeit eingeplant werden. Es muss sichergestellt sein das die Replikationen zwischen den Domain Controllern vollständig und fehlerfrei funktioniert hat.

  • Windows Server incl. aller Updates installieren
  • Server in Domain aufnehmen
  • Server zum Domain Controller hochstufen
  • Replikation prüfen
  • FSMO-Rollen übertragen
  • Replikation prüfen
  • FSMO-Rollen abfragen
  • DNS am neuen DC korrigieren
  • alten DC herunterstufen
  • alten DC aus der Domain entfernen
  • Domänenfunktionsebene und Gesamtstrukturfunktionsebene  anheben

Zum Übertragen der FSMO-Rollen wird ein Benutzer benötigt der Mitglied der Gruppen Domänen-, Schema- bzw. Organisations-Admins ist. Ich verschiebe die FSMO-Rollen per (Power) Shell. Dies geht bequemer als die einzelnen Management Konsolen zu verwenden.

Der letzte Punkt kann nur ausgeführt werden wenn alle Domain Controller die neuen Funktionsebenen Unterstützen und es keine Ausschlüsse für das Anheben der Funktionsebenen gibt z.B. durch Dritthersteller-Software.

In diesem Artikel beschränke ich mich auf das Umziehen der FSMO-Rollen. Alle Schritte finden auf unserem neuen Server statt.

Betriebsmasterrollen mit ntdsutil übertragen

Replikation überprüfen

Zuerst stellen wir sicher der die Replikation zwischen den beiden Domain Controllern Fehlerfrei und Vollständig ist. Hier ist der passende Artikel dazu

Repadmin /replsummary
Abfrage der Replikation

FSMO-Rollen abfragen

Wir fragen die FSMO-Rollen in der Shell mit Netdom Query Fsmo ab. Das Ergebnis zeigt uns wer aktuell die FSMO-Rollen besitzt. In größeren Domainstrukturen können das Unterschiedliche Server sein, mir ist dies bisher nicht untergekommen.

netdom query fsmo
Abfrage wer die Betriebsmasterrollen besitzt

weiterlesen