ADMIN

2022

01

2022-01-01T12:00:00

Rechenzentrum und Netze verwalten

PRAXIS

056

Tipps, Tricks und Tools

Tipps

Tricks

Tools

Tipps, Tricks und Tools

für den IT-Administrator

Redaktion IT-Administrator

Veröffentlicht in Ausgabe 01/2022 - PRAXIS

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Durch das Entfernen von Benutzern und Anpassungen am Firmennetzwerk sammeln sich im Laufe der Zeit Active-Directory-Gruppen ohne Mitglieder an. Gibt es eine Möglichkeit, leere AD-Gruppen übersichtlich aufzulisten?
Die Zahl an Benutzerkonten, Gruppen und Objekten im AD geht je nach Firmengröße schnell in die Tausende. Leere AD-Gruppen zählen zu den typischen Altlasten, die sich bei der Verwaltung einer solchen Menge an Objekten ergeben. Im Extremfall können sich diese negativ auf die Performance auswirken, vor allem aber schaden sie der Übersicht. Leere Gruppen, die Sie nicht mehr benötigen, sollten Sie daher – ähnlich inaktiven Benutzerkonten – regelmäßig im Rahmen eines AD-Frühjahrsputzes entfernen. Um die entsprechenden Gruppen ausfindig zu machen, eignet sich ein PowerShell-Skript, das alle AD-Gruppen ohne Mitglieder auflistet.
Dazu bietet sich das Cmdlet "Get-ADGroup" an. Um zunächst alle Gruppen abzurufen, stellen wir den Parameter "-Filter" auf den Platzhalter "*". Da der Befehl standardmäßig keine Informationen über Gruppenmitglieder abruft, ergänzen wir dazu noch den Parameter "-Properties Members" und filtern anschließend alle Gruppen heraus, bei denen die Variable Members keinen Wert hat. Das vollständige Skript könnte dann wie folgt aussehen:
Durch das Entfernen von Benutzern und Anpassungen am Firmennetzwerk sammeln sich im Laufe der Zeit Active-Directory-Gruppen ohne Mitglieder an. Gibt es eine Möglichkeit, leere AD-Gruppen übersichtlich aufzulisten?
Die Zahl an Benutzerkonten, Gruppen und Objekten im AD geht je nach Firmengröße schnell in die Tausende. Leere AD-Gruppen zählen zu den typischen Altlasten, die sich bei der Verwaltung einer solchen Menge an Objekten ergeben. Im Extremfall können sich diese negativ auf die Performance auswirken, vor allem aber schaden sie der Übersicht. Leere Gruppen, die Sie nicht mehr benötigen, sollten Sie daher – ähnlich inaktiven Benutzerkonten – regelmäßig im Rahmen eines AD-Frühjahrsputzes entfernen. Um die entsprechenden Gruppen ausfindig zu machen, eignet sich ein PowerShell-Skript, das alle AD-Gruppen ohne Mitglieder auflistet.
Dazu bietet sich das Cmdlet "Get-ADGroup" an. Um zunächst alle Gruppen abzurufen, stellen wir den Parameter "-Filter" auf den Platzhalter "*". Da der Befehl standardmäßig keine Informationen über Gruppenmitglieder abruft, ergänzen wir dazu noch den Parameter "-Properties Members" und filtern anschließend alle Gruppen heraus, bei denen die Variable Members keinen Wert hat. Das vollständige Skript könnte dann wie folgt aussehen:
Get-ADGroup -Filter * -Properties Members | where { -not $_.Members} | select Name, GroupCategory, GroupScope
Der Befehl liefert also für alle leeren AD-Gruppen den Namen, die Kategorie sowie den Typ der Gruppe ("universal", "global" beziehungsweise "domain local"). Anhand dieser Liste können Sie nun die einzelnen Gruppen überprüfen und über den Befehl Remove-ADGroup löschen. Um langfristig für Übersicht im Active Directory und auf dem Fileserver zu sorgen, empfiehlt sich eine automatisierte Lösung für Benutzer und Zugriffsrechte, die die AD-Gruppenstruktur selbstständig verwaltet.
(tenfold/ln)
Weitere Tipps zum Thema Active Directory finden Sie im IAM-Blog von tenfold unter https://tenfold-security.com/ratgeber/
Wir überwachen unsere Hardwarelandschaft mit PRTG Network Monitor. Unter anderem monitoren wir hier auch recht detaillierte Statusinformationen unserer Drucker und Kopiergeräte. Leider sind die rückgemeldeten Objektdaten bei einigen Geräten sehr dürftig. So zeigt der Papiersensor der Drucker lediglich "0" an, wenn das Fach leer ist. Gibt es Möglichkeiten, derlei Daten in einer leichter lesbaren Form auf den Screen zu bringen?
Für diese Problemstellung stehen in PRTG Network Monitor sogenannte Look­ups zur Verfügung. Sie zeigen Objektdaten in leichter lesbarer Form an, da sie Statuswerte, die ein überwachtes Objekt zurückgibt, statt in Ganzzahlen in sprechenden Namen angeben. Lookups definieren Sie in Lookup-Dateien, die das XML-Format verwenden und mit ".OVL" enden. Sie finden alle vordefinierten Look­up-Dateien im Unterordner "\lookups" des PRTG Programmverzeichnisses.
Es gibt verschiedene Arten von Look­ups. Sie können nur einen Typ pro Look­up-Datei verwenden. Lookups vom Typ "SingleInt" oder "Range" erscheinen als eine Art Tachometer, Lookups vom Typ "Boolean" als Schalter und solche vom Typ "Bitfield" als Signallampen. Sie können Lookups nur für Sensoren mit benutzerdefinierten Kanälen einrichten. Um die Kanaleinstellungen zu ändern, gehen Sie zur Registerkarte "Übersicht" eines Sensors und klicken auf das Zahnrad unter der Anzeige des Kanals, den Sie bearbeiten möchten. Klicken Sie unter "Look­ups" und "Grenzwerte" auf die Option "Alarmierung basierend auf Lookups einschalten". Wählen Sie hier eine geeignete Lookup-Datei aus der Dropdown-Liste unter "Lookups" aus.
Eine Liste aller vordefinierten Lookup-Dateien und der Sensoren, für die sie gelten, finden Sie im PRTG-Benutzerhandbuch. Sie können auch Standard-Lookup-Dateien modifizieren, um bestehende Definitionen zu ändern oder neue aufzunehmen. Weitere Details und eine bebilderte Vorgehensweise, wie Sie mit Lookups in PRTG arbeiten, erfahren Sie in einem How-to Guide [Link-Code: https://www.paessler.com/de/support/how-to/lookups-in-prtg/]. Dort ist außerdem exakt der hier angesprochene Anwendungsfall beschrieben, die Statusmeldung eines Druckers bei fehlendem Papier besser zu visualisieren.
Lookups in PRTG Network Monitor zum Druckermonitoring: Links ein Kanal mit Grenzwerten, rechts ein Beispiel mit Lookups.
(Paessler/ln)
Für viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: m1pe2] auch einen Youtube-Kanal mit Tutorials an.
Wir nutzen für unsere Desktopzugänge den Azure Identity Provider über SAML. Nun arbeiten dauerhaft mehr Kollegen remote und der Zugriff soll auch dazu via SAML-Single-Sign-on erfolgen. Können wir dies in unseren Parallels Remote Application Server integrieren?
Ja, Sie können die Single-Sign-on-Authentifizierung (SSO) zur Benutzerauthentifizierung ohne gemeinsame Nutzung der lokalen Identitätsdatenbank im Büro, also auch remote, einsetzen. Dazu kommuniziert der im Parallels Remote Application Server (RAS) integrierte Enrollment Server als Teil des SAML-SSO-Prozesses mit der Microsoft Certificate Authority, um digitale Zertifikate im Namen des Benutzers anzufordern, zu registrieren und zu verwalten und die Authentifizierung abzuschließen.
Zur Konfiguration von Azure gehen Sie wie folgt vor: Zunächst installieren Sie den Parallels RAS Enrollment Server Agent. Anschließend klicken Sie in der Parallels-RAS-Konsole auf "Enrollment Server" und danach auf das "+"-Symbol, um einen neuen Agenten hinzuzufügen. Im Falle einer manuellen Enrollment-Server-Einrichtung (ES) über "RASInstaller.msi / Custom" ist es notwendig, den ES-Host-Registrierungsschlüssel in das Verzeichnis "%installation_path%\ Parallels\Application­Server\x64" zu verschieben. Um den Registrierungsschlüssel zu exportieren, öffnen Sie die Parallels-RAS-Konsole unter "ES", dann "Tasks" und "Registrierungsschlüssel exportieren", um den Registrierungsschlüssel "registration.crt" zu erhalten. Anschließend wechseln Sie zur Registerkarte "AD-Integration" und klicken auf "AD-Integrationseinstellungen validieren". Stellen Sie sicher, dass alle Prüfungen bestanden sind.
Um die Azure-Applikation für die Zusammenarbeit mit Parallels RAS zu konfigurieren, öffnen Sie im Azure-Portal das SAML-Applikations-Blade und wechseln zum Bereich "Single Sign-on" und "SAML". Dann kopieren Sie in Abschnitt 3 "SAML Signing Certificate" die App "Federation Metadata URL". Nun können Sie in der RAS-Konsole unter "Verbindung" "Registerkarten SAML" öffnen und per "Hinzufügen" die Identitätsprovider-Metadaten aus der Datei oder via URL importieren. Dann müssen Sie nur noch ein HTML5-Thema auswählen und die Zertifikate sowie An-/Abmelde-URLs angeben, um die Verknüpfung fertigzustellen. Klicken Sie mit der rechten Maustaste auf den soeben erstellten Identitätsprovider, dann auf "Eigenschaften" und auf die Registerkarte "SP". Stellen Sie sicher, dass im Feld "Hosts" ein externer FQDN oder eine öffentliche IP-Adresse angegeben ist. Notieren Sie sich diese Informationen und geben Sie die Werte zurück in der SAML-Anwendung in Abschnitt 1 "Grundlegende SAML-Konfiguration" entsprechend der Registerkarte "SP" in der RAS-Konsole an. Dann können Sie die Identitätsprovider-Benutzer mit AD-Usern abgleichen.
(Parallels/ln)
Auch die im Vergleich zu HDDs robusteren SSDs können ja Defekte erleiden oder komplett den Dienst verweigern – nicht zuletzt da Flash-Speicher begrenzte Lese- und Schreibzyklen hat. Haben Sie ein paar einfache Tipps, mit denen sich der aktuelle Zustand einer SSD überprüfen und ihre Lebensdauer verlängern lässt?
Microsoft-Nutzer können eine SSD mit der PowerShell auf Lese- und Schreibfehler, Abnutzungsgrad, Speicherplatz in Prozent, Temperatur und andere wichtige Details hin überprüfen. Öffnen Sie dazu als Administrator die PowerShell und tippen Sie den Befehl Get-PhysicalDisk ein. Um sich die SSD-Werte als Liste formatiert anzeigen zu lassen, greifen Sie auf folgende gepipeten Befehle zurück:
Get-PhysicalDisk | Get-StorageReliabilityCounter | Format-List
Benötigen Sie nur ganz bestimmte Informationen, etwa "ReadErrorsTotal" (Lesefehler insgesamt) und "Wear" (Verschleiß/Abnutzung), fügen Sie Select hinzu, um nur bestimmte Eigenschaften eines Objekts auswählen, also etwa so:
Get-PhysicalDisk | Get-StorageReliabilityCounter | Select ReadErrorsTotal, Wear
Achtung: Wenn für den Wert "ReadErrorsTotal" etwas anderes als "0" angezeigt wird, sollten Sie die SSD aufgrund von Fehlern baldmöglichst austauschen. Ist in einem Rechner mehr als eine SSD verbaut, bringen Sie mit der folgenden Befehlskette für jede SSD nacheinander die spezifischen Informationen auf den Screen:
Get-PhysicalDisk | Foreach { $_ | Get-StorageReliabilityCounter | FORMAT-LIST }
Der Vorgang ist erst dann vollständig beendet, wenn das letzte Objekt aufgerufen wurde.
Mit zunehmender Anzahl der Lese- und Schreibvorgänge auf einer SSD nutzen sich die Flash-Speicherzellen langsam ab. Um die optimale Leistung aufrechtzuerhalten, gibt es TRIM. Es informiert das Betriebssystem darüber, welche Datenblöcke auf einer Festplatte keinen Zweck mehr erfüllen und sicher gelöscht werden können. Beachten Sie, dass eine Datenwiederherstellung von einer TRIM-aktivierten SSD in der Regel nicht möglich ist, da die Informationen dauerhaft gelöscht und überschrieben werden. Windows erkennt SSDs bei der Installation. Apple hingegen unterstützt TRIM bei den meisten SSDs von Drittanbietern nicht und es ist standardmäßig deaktiviert. Wenn Sie unter Windows überprüfen wollen, ob bei Ihrem Gerät TRIM aktiviert ist, führen Sie in der PowerShell den Befehl fsutil behavior query DisableDeleteNotify aus. Lautet das Ergebnis "0", ist TRIM nicht aktiviert. Um es zu aktivieren, führen Sie das folgende Kommando aus:
fsutil behavior set DisableDeleteNotify 1
Um die Lebensdauer von SSDs weiter zu erhöhen, sollten Sie Daten außerdem nicht mit Spezialsoftware, sondern nur mit den Bordmitteln des Betriebssystems löschen. Spielen Sie ferner Updates der SSD-Firmware zeitnah ein. Diese beheben oft Fehler und technische Probleme und können zu einer Leistungsverbesserung und einer höheren Zuverlässigkeit des Laufwerks führen. Und defragmentieren Sie Daten nicht. Im Gegensatz zu HDDs ist der Speicherort der Daten bei SSDs nahezu irrelevant, da SSDs aufgrund der Flash-Technologie ohne mechanisch bewegten Abtastarm schnell auf alle Informationen zugreifen können, unabhängig davon, wo sich diese befinden.
Wichtige Daten rund um den Zustand der verbauten SSD bringen Sie mit der PowerShell zutage.
(Serverhero/ln)
Viele weitere Anleitungen, Tipps und Best Practices rund um Server, Storage und Netzwerk finden Sie auf der Wissensseite von Serverhero unter https://serverhero.de/serverhero-wissen.
Unsere Applikationen laufen bislang auf einer Mischung aus zentralen und kleinen regionalen Rechenzentren, in denen unsere Kernsysteme gehostet werden. Allerdings planen wir eine Erweiterung unseres Geschäftsbetriebs auf weitere internationale Standorte. Wie können wir die Migration erleichtern und gleichzeitig den sicheren Zugriff auf Workloads unterstützen, die einerseits bei uns in den Rechenzentren vor Ort und andererseits in den jeweiligen AWS-Regionen laufen?
Viele Unternehmen betreiben ihre Anwendungen in unterschiedlichen Rechenzentren und Serverräumen – üblicherweise über mehrere Länder hinweg. Die jeweiligen Niederlassungen benötigen dabei Zugriff auf Anwendungen in den lokalen Rechenzentren sowie auf Applikationen, die in entfernteren Rechenzentren laufen. AWS-Kunden hilft bei der Migration solcher Workloads eine Verbindung über AWS-Site-to-Site-VPN. Damit lässt sich auch die Konnektivität zwischen den einzelnen Standorten, den AWS-Regionen und den bestehenden Rechenzentren vor Ort zuverlässig und sicher aufrechterhalten. Achten Sie im Vorfeld darauf, dass Customer Gateway, Transit Gateway, Routing und Security Groups korrekt konfiguriert sind. Ist dies der Fall, sieht das
Setup für ein Site-to-Site-VPN gemäß folgendem Muster aus:
1. Wählen Sie im Navigationsbereich "Site-to-Site VPN Connections" und bestätigen Sie "Create VPN Connection".
2. Entscheiden Sie sich nun für den "Target Gateway Type": "Virtual Private Gateway" oder "Transit Gateway".
3. Markieren Sie für die "Customer Gateway ID" das zuvor erstellte "Customer Gateway".
4. Wählen Sie eine der Routing-Optionen: "Static" oder "Dynamic" (erfordert Border Gateway Protocol).
5. Bei Bedarf können Sie unter "Tunnel Inside IP Version" angeben, ob die VPN-Tunnel IPv4- oder IPv6-Datenverkehr unterstützen.
6. Als optionalen Schritt geben Sie für "Local IPv4 Network CIDR" den CIDR-Bereich auf Ihrer Seite des lokalen Gateways an, der über die VPN-Tunnel kommunizieren darf. Hierfür ist der Standardwert "0.0.0.0/0". Bei "Remote IPv4 Network CIDR" lautet der Standardwert ebenfalls "0.0.0.0/0". Falls Sie IPv6 für "Tunnel Inside IP Version" ausgewählt haben, bestimmen Sie jene CIDR-Bereiche auf dem Customer Gateway und auf AWS-Seite, die über die VPN-Tunnel kommunizieren dürfen. Der Standardwert für beide Bereiche lautet "::/0".
7. Bei den "Tunnel Options" können Sie nun weitere Informationen für jeden Tunnel angeben.
8. Klicken Sie abschließend auf "Create VPN Connection".
Damit ist AWS-Site-to-Site-VPN eingerichtet. Es kann einige Minuten dauern, bis die Verbindung steht. Die VPN-Architektur nutzt ab jetzt das globale AWS-Netzwerk für die Konnektivität zwischen Kundenstandorten in verschiedenen Ländern und sogar Kontinenten.
(AWS/ln)
Windows möchte dem Benutzer einen möglichst einfachen alltäglichen Einsatz ermöglichen und ihn nur selten dazu zwingen, einen Sicherheitshinweis zu lesen und zu bestätigen. Leider führt diese als Vereinfachung gedachte Herangehensweise dazu, dass eventuell mehr Daten an Microsoft übertragen werden als gewünscht. Die meisten Daten nutzt Microsoft dazu, personalisierte Informationen anzuzeigen, die den Tagesablauf erleichtern sollen – zum Beispiel eine Stauwarnung bei einer geplanten Reise. Um diese Information liefern zu können, muss Windows –beispielsweise auf Kalendereinträge, Nachrichten oder den gegenwärtigen Standort zugreifen. Mag dies noch vergleichsweise harmlos sein, protokollieren andere Dienste Tastatureingaben, teilen WLAN-Zugangsdaten mit Facebook-Kontakten oder verbinden den Rechner ungefragt mit einem öffentlichen – und potenziell ungeschützten – Netzwerk. Die kostenlose Software O&O ShutUp10++ gibt mehr Kontrolle über derlei Datentransfers.
Mit dem Erscheinen von Windows 11 hat die Berliner Softwareschmiede ihr Tool für mehr Privatssphäre in einer neuen Version veröffentlicht, die auch Nutzer der neuesten Betriebssystemvariante unterstützt. Die Software muss nicht installiert werden, sondern ist direkt lauffähig. ShutUp10++ fasst alle wichtigen Einstellungen an einem Ort zusammen und erlaubt so das komfortable Anpassen zahlreicher Windows-Antispy- und Sicherheitseinstellungen und gibt dem Anwender darüber hinaus die Möglichkeit, selbst zu entscheiden, in welchem Umfang Daten übermittelt und Komfortfunktionen zum Einsatz kommen. Sämtliche dieser Konfigurationen bietet das Betriebssystem auch selbst an, doch um alle gewünschten Einstellungen vornehmen zu können, muss sich der Nutzer durch zahlreiche Screens hangeln. Die Programmoberfläche unterteilt dabei in die Bereiche Sicherheit, Privatsphäre, Ortungsdienste, Windows Update und mehr. Dabei lassen sich sowohl einzelne Einträge in den Bereichen ändern als auch mehrere auf einen Schlag. Kritische Einstellungen sind hierbei durch ein kleines, rotes Ausrufezeichen gekennzeichnet und warnen den Nutzer vor möglicherweise folgenreichen Fehlkonfigurationen. Dennoch rät der Hersteller, vor Änderungen mit ShutUp10++ einen Systemwiederherstellungspunkt zu setzen – was sich praktischerweise direkt aus der Software erledigen lässt.
Mit O&O ShutUp10++ regeln Anwender detailliert die Datensammlung von Windows-Clients.
(jp)
Link-Code: https://www.oo-software.com/de/shutup10/
Zur Überwachung der Eigenschaften und Sensoren der Chipsätze von Mainboard, Speicher, Grafikkarte und Festplatten gibt es gerade unter Windows zahlreiche Programme. Doch in einem heterogenen Rechnerpark fallen dabei Nicht-Windows-Maschinen unter den Tisch und es ist ein weiteres Tool notwendig, dessen Messungen unter Umständen nicht vergleichbar mit dem Windows-Werkzeug sind. Windows- und Linux-Maschinen gleichermaßen scannt das kostenfreie Tool Open Hardware Monitor.
Mit Open Hardware Monitor lassen sich Informationen wie Temperatur, Spannungen und Lüfterdrehzahlen in Echtzeit anzeigen, gleichzeitig erhält der Nutzer Informationen zu Minimal- und Maximalwerten. Open Hardware läuft unter Windows ab Vista in 32- und 64-Bit-Version sowie unter x86-basierten Linux-Distributionen. Die von der Software ermittelten Werte lassen sich auch grafisch darstellen sowie als Text-Datei abspeichern.
Eine Installation des Werkzeugs ist nicht notwendig, nach dem Herunterladen und Entpacken reicht ein Doppelklick auf die EXE-Datei. Nach dem Start liefert Open Hardware Monitor zunächst einige Werte, wie Bus- und CPU-Geschwindigkeit, Prozessorlast und Temperatur der Festplatte. In den Optionen des Tools lässt sich einstellen, ob es zusammen mit Windows starten soll. Die Werte stellt die Anwendung in den Säulen Wert, Minimum, Maximum und Limit dar. Diese lassen sich unter View ein- und ausblenden. Der Entwickler liefert auf der Homepage des Tools eine ausführliche Liste unterstützter Hardware, dazu zählen etwa Intel- und AMD-Prozessoren, Mainboards mit ITE-, Fintek-, Nuvoton- oder Winbond-Sensoren, Grafikkarten von Nvidia und AMD/ATI sowie SMART-Festplatten und SSDs.
Um zu erfahren, was in der Hardware aktuelle Sache ist, liefert Open Hardware Monitor zahlreiche Hardwaremetriken.
(jp)
Link-Code: https://openhardwaremonitor.org/