In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
Seit einiger Zeit verlagern wir unsere Server Stück für Stück als virtuelle Maschinen in die Microsoft-Azure-Cloud. Als die Geräte noch physisch bei uns im Serverraum standen, haben wir die Infrastruktur mit PRTG Network Monitor überwacht. Wir möchten nach der Virtualisierung der Server auch das Monitoring aus einer Hand haben. Gibt es bei PRTG die Möglichkeit, den Zustand von Maschinen in Microsoft Azure zu überwachen?
PRTG Network Monitor bietet mit verschiedenen eingebauten Sensoren in der Tat die Option, Microsoft-Azure-Umgebungen zu monitoren. Ein wesentlicher Sensor hierfür ist der Microsoft Azure Virtual Machine Sensor [Link-Code https://www.paessler.com/manuals/prtg/microsoft_azure_virtual_machine_sensor/]. Dieser überwacht den Status einer virtuellen Maschine innerhalb der Microsoft-Azure-Subskription. Er liefert unter anderem Informationen über die CPU-Auslastung, die verbrauchten und verfügbaren CPU-Credits und weitere Details der virtuellen Maschine. Ein weiterer sehr hilfreicher Sensor, den wir bei unserer Recherche finden konnten, ist der Microsoft Azure Subscription Cost Sensor [Link-Code https://www.paessler.com/manuals/prtg/microsoft_azure_subscription_cost_sensor/]. Damit behalten Sie die Kosten Ihres Azure-Abonnements jederzeit im Blick. Der Sensor zeigt Ihnen die Kosten der aktuellen und vorhergehenden Abrechnungsperiode an und liefert Informationen zum bereits konsumierten Budget. Außerdem berechnet er die voraussichtlichen Gesamtkosten der Abrechnungsperiode. Wir haben zudem einen Blick auf die öffentliche Roadmap von PRTG [Link-Code https://www.paessler.com/prtg/roadmap/] geworfen. Der Anbieter listet dort noch einige weitere Sensoren zum Monitoring von Azure-Infrastrukturen auf, die in Kürze zur Verfügung stehen sollen.
(Paessler/ln)
Seit einiger Zeit verlagern wir unsere Server Stück für Stück als virtuelle Maschinen in die Microsoft-Azure-Cloud. Als die Geräte noch physisch bei uns im Serverraum standen, haben wir die Infrastruktur mit PRTG Network Monitor überwacht. Wir möchten nach der Virtualisierung der Server auch das Monitoring aus einer Hand haben. Gibt es bei PRTG die Möglichkeit, den Zustand von Maschinen in Microsoft Azure zu überwachen?
PRTG Network Monitor bietet mit verschiedenen eingebauten Sensoren in der Tat die Option, Microsoft-Azure-Umgebungen zu monitoren. Ein wesentlicher Sensor hierfür ist der Microsoft Azure Virtual Machine Sensor [Link-Code https://www.paessler.com/manuals/prtg/microsoft_azure_virtual_machine_sensor/]. Dieser überwacht den Status einer virtuellen Maschine innerhalb der Microsoft-Azure-Subskription. Er liefert unter anderem Informationen über die CPU-Auslastung, die verbrauchten und verfügbaren CPU-Credits und weitere Details der virtuellen Maschine. Ein weiterer sehr hilfreicher Sensor, den wir bei unserer Recherche finden konnten, ist der Microsoft Azure Subscription Cost Sensor [Link-Code https://www.paessler.com/manuals/prtg/microsoft_azure_subscription_cost_sensor/]. Damit behalten Sie die Kosten Ihres Azure-Abonnements jederzeit im Blick. Der Sensor zeigt Ihnen die Kosten der aktuellen und vorhergehenden Abrechnungsperiode an und liefert Informationen zum bereits konsumierten Budget. Außerdem berechnet er die voraussichtlichen Gesamtkosten der Abrechnungsperiode. Wir haben zudem einen Blick auf die öffentliche Roadmap von PRTG [Link-Code https://www.paessler.com/prtg/roadmap/] geworfen. Der Anbieter listet dort noch einige weitere Sensoren zum Monitoring von Azure-Infrastrukturen auf, die in Kürze zur Verfügung stehen sollen.
(Paessler/ln)
Viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG finden Sie in der Paessler Knowledge Base unter https://kb.paessler.com/.
Microsoft Teams gehört derzeit zu den am meisten verwendeten Diensten in Microsoft 365. Auch hierfür gibt es ja verschiedene Benutzerrollen. Könnten Sie die wichtigsten Gruppen für die Verwaltung und Delegierung von Microsoft Teams kurz nennen und erklären?
Das sind die wichtigsten Benutzerrollen zur Administration von Teams:
- Skype-for-Business-Administrator: Mitglieder dieser Rolle haben vollen Zugriff auf alle Skype-for-Business-Funktionen in Microsoft 365 sowie auf die Verwaltungsfunktionen in Microsoft Teams.
- Teams-Dienstadministrator: Rollenmitglieder haben umfassende Admin-Rechte für Microsoft Teams, auch für Telefonie im Skype Admin Center. Ebenso lassen sich Microsoft-365-Gruppen durch die Mitgliedschaft in der Gruppe verwalten.
- Teams-Kommunikationsadministrator: Diese Benutzer dürfen Sprach- und Telefoniefunktionen in Teams und Skype verwalten, Telefonnummern zuweisen und Richtlinien erstellen.
- Teams-Kommunikationssupportspezialist: User mit dieser Rolle haben Zugriff auf Tools zur Behandlung von Kommunikationsproblemen und können Informationen zu den Anrufern von Anwendern anzeigen.
- Teams-Kommunikationstechniker: Sie haben ähnliche Rechte wie Teams-Kommunikationssupportspezialisten, dürfen aber sämtliche Anrufaufzeichnungen aller Teilnehmer anhören. Sie verwalten Teams im Microsoft Teams Admin Center, das Sie über die URL "https://admin.teams.microsoft.com" erreichen. Anwender rufen Teams über "https://teams.microsoft.com" auf.
Die Mitgliedschaft in der Rolle "Teams-Dienstadministrator" lässt sich auch über die PowerShell steuern. Dafür benötigen Sie das Azure-AD-Modul, das Sie mit Install-Module -<Name> AzureAD aufspielen. Die Anmeldung erfolgt mit dem Cmdlet "Connect-MsolService". Danach weisen Sie eine Rolle zu. Um hier Anpassungen vorzunehmen, muss der Benutzer, der mit der PowerShell arbeitet, als "Globaler Administrator" im Azure AD hinterlegt sein. Dazu rufen Sie über "https://portal.azure.com" zunächst das Azure-Portal auf. Nach der Anmeldung aktivieren Sie hier beim Punkt "Zugewiesene Rollen" die genannte Rolle für den Benutzer. Wollen Sie nun zum Beispiel den Benutzer "Thomas Joos" der Gruppe "Teams-Dienstadministrator" hinzufügen, kommt folgendes Cmdlet zum Einsatz:
Add-MsolRoleMember -RoleMemberEmailAddress "thomas@joos-test.de" -RoleName "Teams Service Administrator"
Alle Rollen bringen Sie mit Get-MsolRole auf den Schirm. Beim Zuweisen der Rollen müssen Sie mit den englischen Bezeichnungen arbeiten. Die Rechte lassen sich aber natürlich genauso in der grafischen Oberfläche setzen. Unabhängig von den Rechten für die Verwaltung von Rollen in Office 365 können Sie Rechte auch für einzelne Dienste in Office 365 vergeben. Im Microsoft Teams Admin Center gibt es für Teams die beiden Rollen "Besitzer" und "Mitglied". Wer ein Team erstellt, ist natürlich der Besitzer des Teams. Mitglieder können zu Besitzern werden, wenn das der Besitzer entsprechend konfiguriert. Um hier als Admin Änderungen vorzunehmen, klicken Sie im Teams Admin Center das Team an und ändern bei den Mitgliedern die Einstellung für den Benutzer von "Mitglied" zu "Besitzer" oder umgekehrt.
(ln/Thomas Joos)
Nicht immer sind Anwenderfragen kriegsentscheidend. Trotzdem hören wir diese Frage im Support recht häufig: Wie lässt sich der traditionelle Gong-Startton des Macs in macOS Big Sur aktivieren?
Administratoren dürfte schon längere Zeit aufgefallen sein, dass der Mac-Startton nicht immer ertönt. Das liegt vor allem daran, dass Apple im Jahre 2016 entschieden hat, diesen für neuere Hardware (außer MacBook Air 2017) per Default zu deaktivieren. Allerdings ist das Audiosignal auch ein Indikator für IT-Techniker, dass keine Hardwareprobleme bestehen. Denn der Gong ertönt nur, wenn der Rechner den sogenannten POST (Power On Self Test) erfolgreich bestanden hat. Seit 2016 ließ sich der Ton nur via Befehlszeile (siehe unten) wieder aktivieren. In der aktuellsten Version von macOS Big Sur haben Benutzer nun aber selbst wieder die Möglichkeit zu entscheiden, ob der Startgong ertönt oder nicht. Hierfür müssen sie lediglich den Haken unter "Systemeinstellungen / Ton / Toneffekte / Beim Starten Ton abspielen" setzen. Aber Vorsicht: Hat der Anwender die Systemlautstärke vollständig herabgesetzt, wird auch der Startton nicht wiedergegeben. Haben Sie eine ganze Flotte an Macs zu verwalten, bietet sich eine entsprechende Geräteverwaltungslösung an, die Sie dabei unterstützt, Richtlinien beziehungsweise Konfigurationen auf die gesamte Armada zu verteilen. Im besten Fall greifen Sie hierbei zu einem Werkzeug, das das Verteilen von Skripten unterstützt. Denn mit den folgenden Kommandos können Sie den Gong genauso steuern: Das Auslesen der NVRAM-Parameter erfolgt mit nvram -p, das Aktivieren des Starttons mit sudo nvram StartupMute=%00 und das Deaktivieren des Gongs ist mit sudo nvram StartupMute=%01 erledigt.
(Jamf/ln)
Wir würden gerne wiederkehrende Aufgaben für Ressourcen in der AWS-Cloud über den AWS Systems Manager automatisieren. Wie sollten wir hier am besten vorgehen?
AWS hat seinem Systems Manager neue Automatisierungsfunktionen hinzugefügt, um Administratoren bei wiederkehrenden Aufgaben zu entlasten, Arbeitsschritte weiter zu vereinheitlichen und so das Fehlerpotenzial zu senken. Beispielsweise können Sie Volume-Snapshots je nach Tagging oder Instanzstatus anlegen oder die Erstellung teamübergreifender Golden Images automatisieren und verteilen.
Um mit dem Systems Manager Automation Instanzen und andere AWS-Ressourcen automatisch zu konfigurieren und zu verwalten, finden Sie Beispiele im Navigationsmenü unter dem Punkt "Automation". Dort wählen Sie die Option "Execute Automation". Hier können Sie von AWS verwaltete Skripte nutzen oder eigene erstellen. Ein Klick auf die Schaltfläche "Create Document" führt zu einem neuen Bildschirm, in dem Sie den Namen des Dokuments festlegen. Als Nächstes lassen sich die Automatisierungsschritte entweder in YAML definieren oder mithilfe des "Builder"-Tools erstellen.
Wenn Sie Letzteres wählen, können Sie eine Beschreibung im Markdown-Format spezifizieren. Optional haben Sie die Möglichkeit, für das Dokument Parameter zu definieren und Standardwerte festzulegen. Wenn Sie das Skript ausführen, können Sie Werte für diese Parameter übergeben, die die vorher gesetzten Standardwerte überschreiben. Nachdem das Dokument eingerichtet ist, definieren Sie die ersten Schritte. Komplexere Abläufe mit mehreren Schritten und Verzweigungen sind möglich. Als einfaches Beispiel können Sie mit dem Aktionstyp "Run a Script" eine Routine in Python oder der PowerShell ausführen, ohne dass Sie dafür Infrastruktur provisionieren müssen. Die Skripte laufen nicht auf einer Ihrer EC2-Instanzen, sondern in einer verwalteten Compute-Umgebung. Auf der Einstellungsseite können Sie eine Amazon CloudWatch Log Group konfigurieren, an die die Ausgaben des Automatisierungsdokuments gesendet werden. Auf der AWS-Webseite finden Sie mehr zu diesem Thema. Dort sehen Sie auch eine kleine Übung, anhand derer Sie die notwendigen Schritte einfach nachvollziehen können [Link-Code https://aws.amazon.com/de/blogs/aws/new-automation-features-in-aws-systems-manager/].
(AWS/ln)
Wir verwalten die Benutzerprofile auf all unseren Unternehmensservern über FSLogix Profile Container. Für das Arbeiten von zuhause haben wir nun aber auch Parallels Remote Application Server implementiert. Gibt es eine Möglichkeit, die Profile mit wenig Aufwand zu verknüpfen?
Ja, die gibt es. Parallels Remote Application Server (RAS) vereinfacht Verwaltungsaufgaben bei der Verwaltung von FSLogix-Profilcontainern über RDSH-, VDI- und Windows-Virtual-Desktop-Arbeitslasten. Die Bereitstellung des FSLogix-Agenten und seine Konfiguration sind vollständig in die RAS-Konsole integriert, wodurch sich manuelle Installationen, die Bearbeitung von Registrierungseinstellungen oder die Konfiguration von Active Directory-Gruppenrichtlinien vermeiden lassen. Navigieren Sie für die Umstellung in Ihrer Parallels-RAS-Konsole zu "Farm / Site / RD-Sitzungshosts". Wählen Sie den Server aus und bearbeiten Sie die Eigenschaften wie folgt:
Klicken Sie auf "FSLogix" aus der Dropdown-Liste "Technologie" unter der Registerkarte "Benutzerprofil" und entscheiden Sie sich bei "Standorttyp" für "SMB-Standort" oder "Cloud-Cache". Geben Sie dann einen Netzwerkfreigabepfad ein, um die Benutzerprofil-Datenträger zuzuweisen. Wählen Sie schließlich noch das Benutzerprofil-Datenträgerformat (VHD oder VHDX), den Zuweisungstyp (dynamisch oder voll) und die Standardgröße für den Profildatenträger aus. Wenn Sie auf die Schaltfläche "Zusätzliche Einstellungen" klicken, können Sie die Benutzer und Gruppen auswählen, auf die Sie diese Konfiguration anwenden möchten. Dazu müssen Sie nur den Benutzerprofil-Ordner auswählen, den Sie speichern möchten, sowie bestimmte erwei- terte Einstellungen konfigurieren. Das ermöglicht Ihnen sogar die Angabe der FSLogix-Konfiguration für eine Gruppe oder sogar für alle Server in Ihrem Unternehmensnetzwerk.
(Parallels/ln)
Tools
In VDI-Umgebungen wie VMware Horizon kommt in der Regel ein Golden Image zum Einsatz. Dieses stellt der Administrator nach internen Vorgaben und Anforderungen zusammen und der VDI-Host liefert es an die Anwender aus, die schließlich damit arbeiten. Doch für den optimalen Betrieb einer VDI-Umgebung reicht es manchmal nicht, das Golden Image mit den erforderlichen Anwendungen zu bestücken. Vielmehr gilt es, durch Abschalten von unnötigen Diensten oder das Entfernen unerwünschter Anwendungen, die mit Windows 10 ausgeliefert werden, für mehr Performance zu sorgen.
VMware unterstützt IT-Verantwortliche, die eine VDI-Umgebung mit Horizon betreiben, bei dieser Aufgabe mit dem "OS Optimization Tool". Es hilft dabei, Windows 10 (sowie Server 2016 und 2019) für den VDI-Betrieb vorzubereiten und zu optimieren. Für Administratoren, die Windows 7, 8.1 sowie Windows Server 2012/R2 einsetzen, steht eine ältere Version (b1130) des Tools bereit. Darüber hinaus hilft das Tool auch, Windows Updates für ein Golden Image zu aktivieren und so Updates und Patches einzuspielen, falls die Update-Funktionalität im Image deaktiviert wurde.
Das OS Optimization Tool beinhaltet Vorlagen, die Windows-Dienste und -Features nach VMware Best Practices ein- beziehungsweise ausschalten. Besonders hilfreich ist dies hinsichtlich der Dienste, von denen zahlreiche unter Windows 10 per Default laufen, obwohl sie eigentlich gar nicht benötigt werden. Über einen einfachen Klick kann der Admin mit dem Tool so sein Image gegen die Best-Practice-Einstellungen des Tools abgleichen. Fallen dem IT-Verantwortlichen hier unnötige Dienste auf, öffnet ein weiterer Button der Software einen Dialog. Der erlaubt es, Dienste und Funktionen gezielt abzuschalten. Dabei zeigt sich das OS Optimization Tool insofern als sehr clever, als dass es dies mit einem Klick ermöglicht, obwohl sich in Wahrheit mehrere einzelne Einstellungen dahinter verbergen. So spart der Admin Zeit und hat die Gewissheit, nicht irgendeine exotische Einstellung übersehen zu haben. Eine dieser Einstellungen, die gewiss viele Admins begrüßen, ist im Übrigen das Entfernen von Apps, die aus dem Windows Store stammen, während andere Anwendungen unangetastet bleiben.
Viele Administratoren sind in Sachen Automatisierung per PowerShell-Skript eher zurückhaltend. Die Gründe hierfür sind vielfältig, einer der gewichtigsten dürfte jedoch das Fehler- und Schadenspotenzial eines selbstgeschriebenen Skripts sein. Denn einmal auf die Infrastruktur losgelassen, hat der IT-Verantwortliche keinen Hebel mehr, um im Skript vorhandene Fehler einzufangen. Dies hat im besten Fall nur den Abbruch des Skripts zur Folge, aber auch massive Probleme in der Zielinfrastruktur sind denkbar. Das Open-Source-Tool Pester steht seit vielen Jahren bereit, um Admins diese Bedenken zu nehmen, indem es durch die Erstellung des Skripts leitet und dieses auf mögliche Fehler testet.
Pester bezeichnet sich selbst als ein Framework, um Tests für PowerShell-Skripte zu definieren. Die Idee dahinter ist, dass der Administrator erst definiert, was ein Skript beziehungsweise eine bestimmte Funktion machen soll, bevor er die eigentliche Funktion schreibt. Pester baut automatisch ein “Skelett” für die neue Funktion und legt zusätzlich eine Datei für die notwendigen Tests
an. Die Tests lassen sich dabei fast in natürlicher Sprache schreiben, was den Einsatz sehr einfach macht und wodurch auch IT-Verantwortliche, die bislang die PowerShell gemieden haben, schnell einen Einstieg finden.
Konkret beschreibt der Admin in Pester zunächst eine Funktion, indem er festlegt, was bei einem bestimmten Input für ein Output zu erwarten ist. Auf Grund dieses Vorgehens – zuerst die Definition, dann der eigentliche Code – schlagen zunächst alle Pester-Tests fehl. Ausgehend von dieser Definition baut der Admin nun Schritt für Schritt Skript und Funktion aus, um immer mehr geplante Features zu realisieren. Auf diesem Weg laufen immer mehr Tests erfolgreich durch. Dies ermöglicht es, während der Entwicklung immer wieder zu prüfen, ob das Skript der Planung entspricht. So bietet Pester nicht nur eine einfache Möglichkeit, Code zu validieren. Es hilft zudem dabei, besser zu planen und damit von Anfang an sauberer zu programmieren.