ADMIN

2021

02

2021-02-01T12:00:00

Sichere Virtualisierung

PRAXIS

058

Tipps, Tricks und Tools

Tipps

Tricks

Tools

Tipps, Tricks und Tools

für den IT-Administrator

Redaktion IT-Administrator

Veröffentlicht in Ausgabe 02/2021 - PRAXIS

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Welche Auswirkungen haben die kürzlich neu eingeführten Apple-ARM-Prozessoren (Apple Silcon) eigentlich auf die Vewaltung von Apple-Endgeräten?
Apples neueste Schöpfung erinnert an den Wechsel von PowerPC auf Intel-Prozessoren im Jahr 2006. Der M1-Prozessor ist in seiner Architektur den Prozessoren in mobilen Geräten wie dem iPhone und dem iPad wesentlich ähnlicher als den bisher verwendeten Intel-Chips. Tiefgreifende Änderungen in der Systemarchitektur bedeuten üblicherweise viel Arbeit für die Entwickler, die ihre Produkte an die neuen Gegebenheiten anpassen müssen, und auch für IT-Administratoren, die bewährten Abläufe in Frage stellen und sich neu orientieren müssen. Dem Wechsel zur ARM-Technologie stehen die meisten aber eher positiv gegenüber, da die Anpassung von bereits existierenden iOS- und iPad­OS-Apps an die Mac-Plattform schneller und effizienter vonstattengeht. Für Admins stellen sich andere Herausforderungen, die aber schnell zu überwinden sind: Apps, die bereits auf die neue Prozessorarchitektur angepasst wurden, laufen nativ und lassen sich problemlos verteilen und in vollem Umfang nutzen. Anwendungen, die noch nicht kompatibel sind, lassen sich über das Framework Rosetta 2 auf den Silicon-Macs emulieren. Die Leistungsfähigkeit ist Berichten zufolge überzeugend. Rosetta 2 ist standardmäßig nicht auf den Systemen installiert, Sie können es aber per Kommandozeilenbefehl direkt oder per MDM installieren.
Muss ein Mac-Rechner zurückgesetzt werden, stehen Ihnen verschiedene Wiederherstellungsmodi zur Verfügung. Die einfache macOS-Wiederherstellung ist auf den Silicon-Macs beim Einschaltvorgang durch Drücken und Halten des Power-Buttons zu erreichen. Bei Intel-Macs bleibt es bei der Tastenkombination CMD + R. Sollte die Partition zur macOS-Wiederherstellung beschädigt sein, findet automatisch die Systemwiederherstellung Verwendung, bei der zusätzlich zum Betriebssystem eine neue macOS-Wiederherstellungspartition angelegt wird. Sollte es auch mit der Systemwiederherstellung zu Problemen kommen, wäre üblicherweise die Wiederherstellung über das Internet der nächste Schritt. Dies ist mit den neuen Macs allerdings nicht mehr möglich. Apple hat aber Alternativen bereitgestellt. Zum einen können Sie eine Neuinstallation extern per USB-Speichermedium durchführen. Die Möglichkeit, von einem externen Medium zu booten, ist auf den neuen Macs standardmäßig aktiviert. Zum anderen lässt sich der Apple Configurator 2 zur Wiederherstellung nutzen, was dem Wiederherstellungsprozess von iPhones, iPads und Apple TV sehr ähnelt. Um die Wiederherstellung mit dem Apple Configurator 2 durchzuführen, benötigen Sie zwangsläufig einen weiteren Mac und entsprechende USB-C-Verkabelung.
Welche Auswirkungen haben die kürzlich neu eingeführten Apple-ARM-Prozessoren (Apple Silcon) eigentlich auf die Vewaltung von Apple-Endgeräten?
Apples neueste Schöpfung erinnert an den Wechsel von PowerPC auf Intel-Prozessoren im Jahr 2006. Der M1-Prozessor ist in seiner Architektur den Prozessoren in mobilen Geräten wie dem iPhone und dem iPad wesentlich ähnlicher als den bisher verwendeten Intel-Chips. Tiefgreifende Änderungen in der Systemarchitektur bedeuten üblicherweise viel Arbeit für die Entwickler, die ihre Produkte an die neuen Gegebenheiten anpassen müssen, und auch für IT-Administratoren, die bewährten Abläufe in Frage stellen und sich neu orientieren müssen. Dem Wechsel zur ARM-Technologie stehen die meisten aber eher positiv gegenüber, da die Anpassung von bereits existierenden iOS- und iPad­OS-Apps an die Mac-Plattform schneller und effizienter vonstattengeht. Für Admins stellen sich andere Herausforderungen, die aber schnell zu überwinden sind: Apps, die bereits auf die neue Prozessorarchitektur angepasst wurden, laufen nativ und lassen sich problemlos verteilen und in vollem Umfang nutzen. Anwendungen, die noch nicht kompatibel sind, lassen sich über das Framework Rosetta 2 auf den Silicon-Macs emulieren. Die Leistungsfähigkeit ist Berichten zufolge überzeugend. Rosetta 2 ist standardmäßig nicht auf den Systemen installiert, Sie können es aber per Kommandozeilenbefehl direkt oder per MDM installieren.
Muss ein Mac-Rechner zurückgesetzt werden, stehen Ihnen verschiedene Wiederherstellungsmodi zur Verfügung. Die einfache macOS-Wiederherstellung ist auf den Silicon-Macs beim Einschaltvorgang durch Drücken und Halten des Power-Buttons zu erreichen. Bei Intel-Macs bleibt es bei der Tastenkombination CMD + R. Sollte die Partition zur macOS-Wiederherstellung beschädigt sein, findet automatisch die Systemwiederherstellung Verwendung, bei der zusätzlich zum Betriebssystem eine neue macOS-Wiederherstellungspartition angelegt wird. Sollte es auch mit der Systemwiederherstellung zu Problemen kommen, wäre üblicherweise die Wiederherstellung über das Internet der nächste Schritt. Dies ist mit den neuen Macs allerdings nicht mehr möglich. Apple hat aber Alternativen bereitgestellt. Zum einen können Sie eine Neuinstallation extern per USB-Speichermedium durchführen. Die Möglichkeit, von einem externen Medium zu booten, ist auf den neuen Macs standardmäßig aktiviert. Zum anderen lässt sich der Apple Configurator 2 zur Wiederherstellung nutzen, was dem Wiederherstellungsprozess von iPhones, iPads und Apple TV sehr ähnelt. Um die Wiederherstellung mit dem Apple Configurator 2 durchzuführen, benötigen Sie zwangsläufig einen weiteren Mac und entsprechende USB-C-Verkabelung.
(Jamf/ln)
Proxmox bietet für seinen Backup Server im produktiven Einsatz ja Subskriptionen an, mit denen getestete Updates sowie Support erhältlich sind. Für bestimmte Testsysteme wollen wir aber keine Subskription kaufen. Immer wenn wir jedoch ein No-Subscription-Repository nutzen, tritt ein Fehler auf. Was können wir hier tun?
Die von Ihnen beschriebene Fehlermeldung erscheint immer dann, wenn Sie nach der Default-Installation des Proxmox Backup Server (PBS) via
apt update && apt dist-ugprade
ein Upgrade des PBS starten möchten. Der Fehler besagt sinngemäß, dass der Zugriff nicht autorisiert ist und das entsprechende Repository nicht signiert ist. Um erfolgreich auf das Repository "pbs-no-subscription" wechseln zu können, müssen Sie die Repository-Datei editieren:
nano /etc/apt/sources.list.d/pbs-enterprise.list
Kopieren Sie folgenden Inhalt in die Datei beziehungsweise nehmen Sie die folgenden Änderungen vor. Dadurch wird das Enterprise-Repository auskommentiert und d as No-Subscription-Repository hinzugefügt. Achten sie dabei auf das einfache HTTP-Protokoll – beim No-Subscription- kommt im Gegensatz zum Enterprise-Repository kein HTTPS zum Einsatz:
# deb https://enterprise.proxmox.com/ debian/pbs buster pbs-enterprise
deb http://download.proxmox.com/debian/pbs buster pbs-no-subscription
Danach sollte der Updatevorgang auch ohne Subskription funktionieren.
(Thomas-Krenn/ln)
Viele weitere Tipps und Tricks zum Server-Management, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter http://www.thomas-krenn.com/de/wiki/Hauptseite.
Windows
Outlook lässt sich ja nicht zuletzt zur Fehlerbehebung mit erweiterten Startoptionen aufrufen. Können Sie hier einen kurzen Überblick über die Möglichkeiten geben?
Wenn Outlook bereits beim Start abstürzt, sind die erweiterten Startoptionen eine wichtige Anlaufstelle. Diese bewegen die Groupware dazu, verschiedene Aktionen beim Öffnen auszuführen. Dies erreichen Sie, wenn Sie Outlook über das Windows-Suchfeld starten, die entsprechenden Optionen hinter einem Slash-Zeichen angehängt, etwa Outlook.exe /safe. In der Tabelle "Startparameter von Outlook" finden Sie die wichtigsten Startparameter zusammengefasst. Nicht alle Optionen sind bei allen Outlook-Versionen verfügbar – einen guten Überblick bietet [Link-Code https://www.outlook-stuff.com/tipps-tricks/outlook/275-outlook-mit-parametern-starten.html/]. Der Parameter "/safe" ist besonders hervorzuheben. Denn nicht selten kann Outlook durch ein Add-in nicht korrekt starten. Über diese Option verhindern Sie das Anlaufen sämtlicher Add-ins. Funktioniert Outlook im Anschluss, liegt das Problem also an einer angepassten Ansicht oder einer Erweiterung.
Startparameter von Outlook
/checkclient
Fragt den Standard-Manager für E-Mails, News und Kontakte ab.
/cleanautocompletecache
Entfernt alle Namen und E-Mail-Adressen aus der Autovervollständigen-Liste.
/cleancategories
Löscht sämtliche benutzerdefinierten Kategorienamen und stellt die Standardnamen der Kategorien wieder her.
/cleanclientrules
Startet Outlook und löscht serverbasierte Regeln.
/cleanfinders
Setzt alle Suchordner im Microsoft-Exchange-Postfach für das erste geöffnete Profil zurück.
/cleanfromaddresses
Entfernt alle manuell hinzugefügten Von-Einträge aus dem Profil.
/cleanmailtipcache
Entfernt alle E-Mail-Infos aus dem Cache.
/cleanreminders
Erinnerungen werden gelöscht und erneut generiert.
/cleanprofile
Löscht ungültige Profilschlüssel und erstellt die Standardregistrierungsschlüssel gegebenenfalls neu.
/cleanrules
Startet Outlook und löscht client- sowie serverbasierte Regeln.
/cleanserverrules
Startet Outlook und löscht serverbasierte Regeln.
/cleansharing
Entfernt alle RSS-, Internetkalender- und SharePoint-Abonnements aus den Kontoeinstellungen, belässt jedoch zuvor heruntergeladene Inhalte auf dem Computer.
/cleanweather
Entfernt Orte, die der Wetterleiste hinzugefügt wurden.
/cleanviews
Standardansichten werden wiederhergestellt. Sämtliche von Ihnen erstellten benutzerdefinierten Ansichten gehen verloren.
/importNK2
Importiert den Inhalt einer NK2-Datei, die die Spitznamen-Liste enthält, die von der automatischen Namensüberprüfung und dem Feature "Autovervollständigen" verwendet wird.
/nopreview
Mit dieser Option startet Outlook mit deaktiviertem Lesebereich.
/resetfolders
Fehlende Ordner werden am Standard-Nachrichtenübermittlungsort wiederhergestellt.
/resetfoldernames
Setzt Standardordnernamen (wie Posteingang oder Gesendete Elemente) auf die Standardnamen für die derzeit verwendete Sprache der Benutzeroberfläche von Office zurück.
/resetsharedfolders
Entfernt alle freigegebenen Ordner aus dem Ordnerbereich.
/rpcdiag
Outlook wird geöffnet und das Dialogfeld für den Verbindungsstatus des Remoteprozeduraufrufs (RPC) wird angezeigt.
/safe
Outlook startet ohne Lesebereich und ohne Anpassungen der Symbolleiste. Systemeigene und verwaltete COM-Add-ins (Component Object Model) werden deaktiviert.
Starten Sie Outlook über die übliche Standardverknüpfung, ist es jedoch nicht möglich, Startoptionen zu nutzen. Um auf wichtige Parameter schneller zuzugreifen, ist es hilfreich, eine angepasste Verknüpfung auf dem Desktop abzulegen. Klicken Sie auf eine freie Fläche auf dem Desktop und wählen Sie "Neu / Verknüpfung". Geben Sie beim Speicherort den Pfad zur EXE-Datei von Outlook ein und fügen Sie am Ende die gewünschte Startoption hinzu:
C:\Program Files (x86)\Microsoft Office\OfficeXX\OUTLOOK.EXE /
Ersetzen Sie die Zeichen "XX" mit Ihrer entsprechenden Outlookversion: 16 für Office 365, Outlook 2019 und 2016, 15 für Outlook 2013, 14 für Outlook 2010, 12 für Outlook 2007 und 11 für Outlook 2003. Alternativ durchsuchen Sie die Festplatte nach "Outlook.exe", um den richtigen Pfad zu finden.
(ln)
Viele Unternehmen in unserer Branche sehen sich verstärkt von Phishing-Attacken bedroht. Wir wollen deshalb die Sicherheitsprotokolle in unserer Remote-Desktop-Infrastruktur weiter erhöhen. Wir nutzen Parallels Remote Application Server – was ist hier in puncto Security möglich und nötig?
Generell sollten Sie die Gefahren durch Cyberkriminelle nicht unterschätzen. Ihre Maßnahmen auszuweiten, ist deshalb eine gute Strategie – vor allem im Bereich der Remote Desktop Infrastruktur. Denn das Home Office bleibt und Sicherheitsbedrohungen werden in absehbarer Zeit nicht nachlassen. Zum Ausbau der Sicherheit bieten sich Layered-Security-Maßnahmen an. Dazu ist vor allem eine korrekte Konfiguration der Arbeitsstationen nötig, um sicherzustellen, dass Ihre Infrastruktur auch remote nicht anfällig für Angriffe ist. Die Zugriffsberechtigungen müssen auf jeden Mitarbeiter zugeschnitten sein und über ein zentrales Managementtool bereitgestellt werden. Die Implementierung von Kontrollmechanismen wie Ablaufdaten von Passwörtern und das Verbot der Verwendung alter Passwörter können sich als hilfreich erweisen. Außerdem sollten Sie die Verwendung ungesicherter Anwendungen, die nicht von der IT-Abteilung überprüft wurden, für die Benutzer einschränken. Darüber hinaus empfiehlt es sich, regelmäßigen, automatisierten Backuprichtlinien zu folgen, damit Unternehmensdaten im Falle eines Angriffs sicher sind. In Worst-Case-Szenarien können Organisationen alle Daten von den Backups wiederherstellen und zum frühestmöglichen Zeitpunkt zum normalen Betrieb zurückkehren. Achten Sie dabei darauf, auch Backups zu verschlüsseln.
Abgesehen von Firewalls sollten Sie zusätzliche Systeme zur Erkennung und Vermeidung von Hackerzugriffen einrichten. Diese versiegeln Ihre Endpunkte effektiv und neutralisieren Bedrohungen, die von Geräten ausgehen, die mit dem Netzwerk verbunden sind. Aktivitätsprotokolle und Audits sind ebenfalls hilfreich, um sicherzustellen, dass die Richtlinien zur Netzwerksicherheit wirksam sind. Für Mitarbeiter, die sich von zuhause mit dem Netzwerk verbinden, ist es unerlässlich, dass der Zugriff über ein virtuelles privates Netzwerk erfolgt. Dabei dürfen nur solche Geräte in das Netzwerk gelangen, die den Unternehmensrichtlinien entsprechen. Die Durchsetzung der Datenverschlüsselung auf Endpunkten und Speichergeräten trägt noch mehr zur Datensicherheit bei. Parallels Remote Application Server (RAS) bietet solche mehrschichtigen Sicherheitsfeatures. Endpoint-Backups, Sicherheitswartung, vollständige Einhaltung von Sicherheitsvorschriften und strikte Systemhärtung und Datenzugriffssperre sind hier enthalten und erleichtern ein sicheres Zugriffsmanagement auch bei Home Office. Zusätzliche Sicherheitstrainings für die Mitarbeiter und regelmäßige Updates und Patches sind selbstverständlich unerlässlich.
(Parallels/ln)
Wir möchten isolierte Umgebungen mit kontrollierter, begrenzter Konnektivität für definierte Benutzer schaffen. Gerne würden wir dazu AWS Nitro Enclaves nutzen. Wie können wir dies testweise durchspielen?
Mit AWS Nitro Enclaves können Sie eine isolierte Umgebung für eine Instanz anlegen. Dazu werden CPU und Speicher einer übergeordneten EC2-Instanz zugeteilt und genutzt. Je EC2-Instanz ist eine Enclave möglich, für die alle Kerne – bis auf einen – und nahezu der gesamte Speicher bereitstehen. Jede Enclave führt einen unabhängigen Kernel aus und hat
exklusiven Zugriff auf Speicher- und CPU-Ressourcen. Enclaves haben keine externe Netzwerkkonnektivität, keinen dauerhaften Speicher und keinen Benutzerzugriff (selbst mit vollen IAM-Berechtigungen). Alle Daten, die in eine Enclave hinein- und aus ihr herausfließen, werden über eine lokale virtuelle Socket-Verbindung (vsock) übertragen, die auf der EC2-Instanz endet.
Bei Erstellung einer Enclave erzeugt und signiert der Nitro-Hypervisor ein individuelles Zertifikat. Darin enthalten sind Platform Configuration Register (PCR), mit denen der Bootvorgang kryptografisch verifiziert wird. Der AWS Key Management Service (KMS) überprüft dann, ob das Image, das Betriebssystem, die Anwendung, die IAM-Rolle und die Instanzen-ID zur Erstellung der Enclave Verwendung fanden. Nach erfolgreicher Verifikation führt es die gewünschte API-Aktion (Entschlüsselung, Generierung des Datenschlüssels oder Generierung eines Zufallswerts) aus, die vom Code in der Enclave angefordert wurde. Um eine Enclave zu implementieren, muss das Amazon Machine Image (AMI) ein neues Nitro CLI enthalten. Das Nitro CLI wird auf der Instanz ausgeführt, die die Enclave hostet. Starten Sie die Instanz mit folgendem Kommando
aws ec2 run-instances ... --enclave-options Enabled=true
Docker-Images können als Grundlage für Enclave-Images (*.eif) dienen, die sich mit docker build hello -t hello einbinden lassen. Anschließend erstellen Sie mit
nitro-cli build-enclave --docker-uri hello:latest --output-file hello.eif
eine EIF-Datei. Mit drei PCRs (Image, Kernel, Anwendung) überprüfen Sie, ob Image, Kernel sowie die Anwendungen wie gewünscht laufen. Dann starten Sie die Enclave mit
nitro-cli run-enclave --eif-path hello.eif --memory 512 --cpu-count 2 --debug-mode”
im Debug-Modus. Mit dem Befehl nitro-cli describe-enclaves sehen Sie die Spezifikationen. Mit diesem Schritt erhalten Sie die Enclave-ID, die nachfolgend durch den Platzhalter "ENCLAVE-ID" repräsentiert wird. In der Konsole zeigt sich die Enclave nach Eingabe von nitro-cli console --enclave-id ENCLAVE-ID. Zum Abschluss beenden Sie die Enclave mit nitro-cli terminate-enclave --enclave-id ENCLAVE-ID.
(AWS/ln)
In kleinen Virtualisierungsumgebungen unter Microsoft Hyper-V kann die Verwaltung der virtuellen Maschinen mit recht viel Aufwand verbunden sein, da der Einsatz des System Centers zur Administration einer überschaubaren Anzahl von VMs finanziell nicht zu rechtfertigen ist. Dennoch muss der IT-Verantwortliche dafür Sorge tragen, dass die Umgebung läuft wie erforderlich. Das kostenlose "Hyper-V Configuration Tool" hilft dabei und erleichtert zudem das Setzen zahlreicher Einstellungen.
Das kostenlose "Hyper-V Configuration Tool" von ManageEngine unterstützt Administratoren bei Konfiguration und Monitoring von Microsoft-Hyper-V-Server-Ressourcen. Dazu fragt die Software kontinuierlich Daten zur Auslastung der virtuellen Maschinen ab, auf deren Basis sich die Ressourcenzuteilung der VMs verbessern lässt. So erlaubt die Software, die Anzahl der zugewiesenen Prozessoren und den verfügbaren Arbeitsspeicher für die VMs anzupassen und diese auch zu starten oder zu beenden beziehungsweise sie über die grafische Oberfläche in den Ruhemodus zu versetzen. Daneben liefert das Tool Informationen über die aktuelle Prozessor-, Arbeitsspeicher-, Netzwerk- und Festplattenauslastung der virtuellen Maschinen.
Gleichzeitig dient die Software der Konfiguration von virtuellen Hyper-V-Servern. Über die GUI hat der IT-Verantwortliche die Option, den Energiezustand, die Startreihenfolge sowie die Anzahl der Prozessoren und die Menge des Arbeitsspeichers anzupassen. Bei Letzterem ist es möglich, jeder VM entweder eine bestimmte Größe des verfügbaren Arbeitsspeichers zuzuweisen oder Ober- und Untergrenzen für die RAM-Größe einzustellen. In Sachen Monitoring liefert das Hyper-V Configuration Tool grafisch aufbereitete Performance-Parameter. Hier ist es möglich, zu jedem Performancewert Schwellenwerte einzustellen und damit kritischen VM-Zuständen schneller auf die Schliche zu kommen. So berichtet die Software dem Admin zur CPU-Auslastung, der Arbeitsspeichernutzung, der Festplatten-Schreibraten und dem Netzwerkverkehr (ein- und ausgehend).
Das Hyper-V Configuration Tool erlaubt die schnelle Konfiguration von Hyper-V-VMs.
(jp)
Link-Code: https://www.manageengine.de/produkte-loesungen/kostenlose-produkte-und-editionen/free-hyper-v-configuration-tool/download.html/
Der Nutzen des soeben vorgestellten Werkzeugs erschließt sich auch aus der Tatsache, dass der Windows Task-Manager auf dem Hyper-V-Host ausschließlich die Daten des Hosts und nicht die Daten der untergeordneten VMs anzeigt. Ein spezielles, kostenloses Tool, das dieses Problem umgeht, stammt aus dem Hause Veeam und hört auf den passenden Namen "Task Manager for Hyper-V".
Der Veeam Task Manager for Hyper-V liefert eine Echtzeitvisualisierung von Perfomancedaten des Hyper-V-Hosts und der einzelnen VMs, die darauf laufen. Zudem zeigt die Software auf, welche Ressourcen die übergeordnete Partition, also der Host, nutzt und liefert einen Überblick über die Rechenleistung, die die virtuellen Maschinen beanspruchen. Die Software wird in Form eines MSI-Files bereitgestellt und lässt sich mithilfe der üblichen Deployment-Tools verteilen. Als Installationsort kommen beispielsweise Workstations von Administratoren, Hyper-V-Hosts oder Remote-Management-Stationen in Betracht. Außerdem lässt sich das Tool auf portablen Speichermedien installieren, etwa einem USB-Stick. Der Systemverwalter kann dann vor Ort beziehungsweise auf jedem beliebigen Windows-Rechner die Software starten. Nach dem Start des Programms fragt es ab, zu welchem Server es eine Verbindung aufbauen soll.
Die Abfrage der Performancedaten erfolgt alle drei Sekunden. Die Anzeige der erfassen Informationen umfasst einen Zeitraum von 60 Sekunden. Zusätzlich lassen sich noch zwei weitere Intervalle vorgeben: 9 und 15 Sekunden beziehungsweise 180 und 300 Sekunden. Vor den Download hat der Anbieter eine Registrierung auf seiner Website vorgesehen.
Der Veeam Task Manager for Hyper-V kann, anders als sein Namensvetter von Microsoft, auf einem Host auch in die VMs blicken.
(jp)
Link-Code: https://www.veeam.com/de/free-task-manager-hyper-v-performance-monitoring.html/