ADMIN

2022

04

2022-03-31T12:00:00

Automatisierung

PRAXIS

056

Tipps, Tricks und Tools

für den IT-Administrator

Redaktion IT-Administrator

Veröffentlicht in Ausgabe 04/2022 - PRAXIS

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Beim Einsatz von 10/25-GBit/s-Broadcom-Netzwerkkarten kommt es unter FreeBSD 11.x/12.x sowie OPNsense 21.7 bei aktivierten VLANs zu Übertragungsproblemen. Wir haben hier keinen Bugfix gefunden, gibt es vielleicht einen Workaround?
Das von Ihnen geschilderte Problem bei der Datenübertragung liegt vermutlich am verwendeten bnxt-Treiber. Als dauerhafte Lösung sollte ein Patch des Treibers Abhilfe schaffen. Dieser war jedoch zum Redaktionsschluss noch nicht erhältlich. Bis dahin hilft als Workaround, den Promiscuous Mode zu aktivieren. Zum Testen können Sie dies zunächst einmal temporär tun. Verbinden Sie sich dazu per SSH zur OPNsense-Firewall und wechseln Sie mit Eingabe der "8" zur Shell. Im Anschluss setzen Sie dann das folgende Kommando ab:
ifconfig bnxt0 promisc
Eine dauerhafte Aktivierung des Promi­scuous Modes erreichen Sie über das OPNsense-Webinterface. Wir zeigen Ihnen dies hier beispielhaft an einer Intel-i210-Netzwerkschnittstelle (Device igb1). Melden Sie sich zunächst bei der OPN­sense-Firewall am Webinterface an und wählen Sie dann den Menüpunkt "Interfaces", woraufhin ein vergrößertes Menü erscheint. Klicken Sie nun auf das entsprechende Interface – in unserem Beispiel die LAN-Schnittstelle –, erscheint die Konfigurationsseite für das LAN-Interface. Im Abschnitt "Generic configuration" finden Sie die Zeile "Promiscuous Mode". Setzen Sie zum Aktivieren dieses Modus den Haken daneben. Scrollen Sie nach unten und klicken Sie auf den Button "Save". Bestätigen Sie die Konfigurationsänderung mit einem Klick auf "Apply changes". Der Promiscuous Mode ist nun für dieses Interface aktiviert. Dadurch wird in der OPNsense-Konfigurationsdatei die Zeile "<promisc>1</promisc>" bei dem entsprechenden Interface ergänzt und somit sichergestellt, dass die Einstellung auch bei einem Neustart erhalten bleibt.
Beim Einsatz von 10/25-GBit/s-Broadcom-Netzwerkkarten kommt es unter FreeBSD 11.x/12.x sowie OPNsense 21.7 bei aktivierten VLANs zu Übertragungsproblemen. Wir haben hier keinen Bugfix gefunden, gibt es vielleicht einen Workaround?
Das von Ihnen geschilderte Problem bei der Datenübertragung liegt vermutlich am verwendeten bnxt-Treiber. Als dauerhafte Lösung sollte ein Patch des Treibers Abhilfe schaffen. Dieser war jedoch zum Redaktionsschluss noch nicht erhältlich. Bis dahin hilft als Workaround, den Promiscuous Mode zu aktivieren. Zum Testen können Sie dies zunächst einmal temporär tun. Verbinden Sie sich dazu per SSH zur OPNsense-Firewall und wechseln Sie mit Eingabe der "8" zur Shell. Im Anschluss setzen Sie dann das folgende Kommando ab:
ifconfig bnxt0 promisc
Eine dauerhafte Aktivierung des Promi­scuous Modes erreichen Sie über das OPNsense-Webinterface. Wir zeigen Ihnen dies hier beispielhaft an einer Intel-i210-Netzwerkschnittstelle (Device igb1). Melden Sie sich zunächst bei der OPN­sense-Firewall am Webinterface an und wählen Sie dann den Menüpunkt "Interfaces", woraufhin ein vergrößertes Menü erscheint. Klicken Sie nun auf das entsprechende Interface – in unserem Beispiel die LAN-Schnittstelle –, erscheint die Konfigurationsseite für das LAN-Interface. Im Abschnitt "Generic configuration" finden Sie die Zeile "Promiscuous Mode". Setzen Sie zum Aktivieren dieses Modus den Haken daneben. Scrollen Sie nach unten und klicken Sie auf den Button "Save". Bestätigen Sie die Konfigurationsänderung mit einem Klick auf "Apply changes". Der Promiscuous Mode ist nun für dieses Interface aktiviert. Dadurch wird in der OPNsense-Konfigurationsdatei die Zeile "<promisc>1</promisc>" bei dem entsprechenden Interface ergänzt und somit sichergestellt, dass die Einstellung auch bei einem Neustart erhalten bleibt.
Thomas-Krenn/ln
Viele weitere Tipps und Tricks zum Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter http://www.thomas-krenn.com/de/wiki/Hauptseite.
Beim Dateizugriff auf den Fileserver kommt es immer wieder zu Problemen durch die unterbrochene Vererbung von Berechtigungen. Gibt es eine Möglichkeit, alle Verzeichnisse mit deaktivierter Vererbung ausfindig zu machen?
Die aufgebrochene Vererbung von Berechtigungen sorgt in vielen Organisationen für Schwierigkeiten. Meist entsteht das Problem, wenn Admins als kurzfristige Lösung abweichende Berechtigungen für einen bestimmten Ordner definieren. Wenn später weitere Unterordner und Verzeichnisse hinzukommen, verhalten sich diese aufgrund der unterbrochenen Vererbung nicht wie erwartet und verweigern den Zugriff. Zur Vermeidung solcher Spätfolgen sollten Sie die Vererbung also generell aufrechterhalten. Um alle Verzeichnisse aufzulisten, bei denen die Vererbung von Berechtigungen deaktiviert ist, bietet sich das PowerShell-Cmdlet "Get-Acl" an, mit dem Sie für alle Verzeichnisse den Wert der Variablen "Access.IsInherited" überprüfen. In unserem Beispielskript definieren wir außerdem eine Variable für das Startverzeichnis der Suche, von dem aus sämtliche Unterverzeichnisse überprüft werden:
$folder = '\\srv-fs100\db_projects'
dir $folder -directory -recurse | get-acl | where {$_.Access.IsInherited -eq $false} | select Path
Als Ergebnis liefert das Skript eine Liste aller Verzeichnisse mit deaktivierter Vererbung. Ob es sich dabei um einen Fehler oder eine bewusste Einschränkung handelt, kann allerdings nur eine nähere Überprüfung klären. Falls Berechtigungen trotz aktiver Vererbung nicht korrekt übertragen werden, ist es möglich, dass die Zugriffsregeln eines Ordners vor der Vererbung geschützt sind. Dies lässt sich mit dem Befehl AreAccessRulesProtected überprüfen. Der einfachste Weg, um sicherzustellen, dass alle Zugriffsrechte zu jeder Zeit korrekt konfiguriert sind, ist der Einsatz eines automatisierten Werkzeugs für die Benutzer- und Berechtigungsverwaltung, das derartige Probleme selbstständig erkennt und löst.
(tenfold/ln)
Weitere Tipps zum Thema Active Directory finden Sie im IAM-Blog von tenfold unter https://tenfold-security.com/ratgeber/
Wir nutzen PRTG Network Monitor von Paessler und monitoren damit neben unserer Industrieumgebung in der Produktion auch unsere klassische IT-Hardware. Darunter befindet sich ein E-Mail-Server, den wir bei uns im Haus betreiben. Jetzt haben wir uns gefragt, ob Paessler PRTG eine Möglichkeit bietet, den kompletten End-to-End-Zustellungsprozess einer E-Mail zu überprüfen. Hätten Sie da einen Tipp für uns?
PRTG bietet verschiedene Sensoren für das Monitoring von E-Mail-Servern. Während die standardmäßigen SMTP-, POP3- und IMAP-Sensoren in erster Linie prüfen, ob die jeweiligen Mailserver verfügbar sind, stehen Ihnen noch zwei eigene Sensoren für das E-Mail-Round-Trip-Monitoring zur Verfügung. Dieses zeigt Ihnen, ob Ihr Mailserver E-Mails mittels SNMP empfängt, ob sich E-Mails von externen Servern empfangen lassen, ob Ihre E-Mail-Filtereinstellungen funktionieren und vieles mehr. Alles, was Sie dazu benötigen, ist ein dediziertes E-Mail-Konto auf Ihrem Mailserver und ein externes E-Mail-Konto, das die E-Mails dann zurücksendet. In PRTG fügen Sie erst Ihren Mailserver hinzu und richten dann einen der E-Mail-Round-Trip-Sensoren ein. An dieser Stelle haben Sie die Wahl zwischen dem Sensor "SMTP& IMAP-Übermittlung" und dem Sensor "SMTP&POP3-Übermittlung". Wie das genau funktioniert und welche Einstellungen Sie während der Einrichtung treffen können, zeigt Ihnen ein How-To [Link-Code: m4pe1] auf der Paessler-Webseite.
(Paessler/ln)
Für viele weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps/] auch einen Youtube-Kanal mit Tutorials an.
Unsere ereignisgesteuerten und entkoppelten Anwendungen nutzen zum Austausch von Dateien Amazon S3. Bei neuen Ereignissen müssen wir mit der Verarbeitung der verfügbaren Dateien so schnell wie möglich beginnen. Welche zuverlässigen Methoden der zeitnahen Benachrichtigung gibt es, wenn S3-Objekte erstellt oder überschrieben werden?
Zur Entwicklung leistungsstarker und skalierbarer Anwendungen setzen mehr und mehr Unternehmen auf ereignisgesteuerte Anwendungsarchitekturen. Der serverlose Event-Bus "Amazon EventBridge" vereinfacht die Entwicklung dieser ereignisgesteuerten Anwendungen. Der Event-Bus ist in über 100 Ereignisquellen und -zielen integriert und erlaubt eine flexible Architektur Ihrer Applikation. Auch regionenübergreifende Event-Bus- und API-Ziele sind möglich. Darüber hinaus können Sie damit Ereignisse archivieren und wiedergeben, um Fehler zu beheben oder aus alten Ereignissen einen neuen Anwendungsstatus zu erstellen. Die Schema-Registry speichert die von den Anwendungen generierten Schemata. Ebenso können Sie durch Logs und Metriken in Echtzeit auf betriebliche Änderungen in Ihren Anwendungen reagieren, um Schwachstellen in der Infrastruktur zu vermeiden. Im Folgenden zeigen wir, wie Sie mit Amazon EventBridge automatisierte Benachrichtigungen für die Objekte in Ihrem S3-Bucket einrichten:
1. Aktivieren Sie die EventBridge-Benachrichtigungen für Ihren S3-Bucket. Öffnen Sie hierzu die S3-Konsole und suchen Sie den S3-Bucket. Dort öffnen Sie die "Properties" und scrollen bis zu "Amazon EventBridge". Klicken Sie an dieser Stelle auf "Edit".
2. Wählen Sie im nächsten Fenster "On" aus und klicken Sie auf "Save changes".
3. Danach erstellen Sie über die EventBridge-Konsole eine Regel. Dabei beginnen Sie mit der Eingabe eines Namens und einer Beschreibung.
4. Definieren Sie jetzt ein "Event Pattern", das mit dem Bucket und den gewünschten Events übereinstimmt. Dieses kann auch mehreren Buckets oder Ereignissen entsprechen. Um eine Übersicht zu den unterstützten Events zu erhalten, besuchen Sie die AWS-Website.
5. Nun wählen Sie den "Default Event Bus" und setzen das "Target" auf ein SNS-Thema (BucketAction), das die Nachrichten an Ihre Amazon-E-Mail-Adresse weiterleitet. Das SNS-Thema müssen Sie zuvor in der SNS-Konsole erstellen. Wählen Sie dazu als Endpunkt "E-Mail" und geben Sie Ihre E-MailAdresse ein.
6. Zurück in der EventBridge-Konsole klicken Sie "Create", womit Sie die Konfiguration erfolgreich abgeschlossen haben.
Für einen ersten Test können Sie einige Dateien in Ihren S3-Bucket hochladen und auf die Benachrichtigung warten. Falls Sie bereits das SNS-Thema mit Ihrer E-Mail-Adresse bestätigt haben, sollten Sie nun eine Nachricht erhalten, in der Sie alle interessanten und relevanten Informationen über das entsprechende Event finden. In unserem Fall handelt es sich dabei um die hochgeladenen Dateien.
 (AWS/ln)
In einer vSphere-7-Umgebung fallen zahlreiche Logdateien an, die für die Diagnose von Problemen nützlich sind. Leider haben wir etwas den Überblick verloren, in welchen Dateien welche Arten von Logdaten enthalten sind. Können Sie hier einen kurzen Überblick geben?
Jeder ESXi-Server verfügt über eine große Anzahl von Logdateien. Die wichtigsten Dateien sind:
- vmkernel.log: Meldungen zu ESXi und virtuellen Maschinen.
- vmkwarning.log: Warnungen bezüglich virtueller Maschinen.
- vmksummary.log: Informationen über die "uptime" sowie Verfügbarkeitsstatistiken des ESXi-Hosts (heartbeats).
- hostd.log: Meldungen des ESXi-Host-agenten, der für die Konfiguration des Hosts und der VMs zuständig ist.
- vpxa.log: Meldungen des vCenter-Agenten. Dieser kommuniziert mit vCenter sowie mit dem Host-Agenten. Probleme in der Kommunikation zwischen vCenter und Host lassen sich oft in der Kombination von "hostd.log" und "vpxa.log" erkennen.
- shell.log: Diese Datei beinhaltet vor allem die Kommandos, die auf der Kommandozeile eingegeben wurden.
- syslog.log: Die Logdatei enthält allgemeine Systemmeldungen – sie entspricht der Datei "/var/log/messages" auf vielen anderen Systemen.
- esxupdate.log: Meldungen von Updates, Patches und Upgrades.
- dfwpktlogs.log: Meldungen bezüglich Regeln der Distributed Firewall, bei denen Logging eingeschaltet ist.
- nsx-syslog.log: Allgemeine Systemmeldungen bezüglich NSX, hier werden auch ermittelte VM-IP-Adressen protokolliert.
Zusätzlich zu den Logdateien der ESXi-Hosts verfügt jede virtuelle Maschine über eigene Logdateien, die sich im Arbeitsverzeichnis der VM befinden. Beim ersten Einschalten der VM entsteht eine Datei mit dem Namen "vmware.log". Bei Standardkonfiguration wird bei jedem Einschalten der virtuellen Maschine sowie bei jeder Migration mittels vMotion die vorhandene Datei in "vmware-##.log" (## steht für zwei Ziffern) umbenannt und eine neue Datei angelegt. Unter [Link-Code: https://docs.vmware.com/de/VMware-vSphere/7.0/com.vmware.vsphere.security.doc/GUID-832A2618-6B11-4A28-9672-93296DA931D0.html] finden Sie eine umfangreiche Liste der Speicherorte der Protokolldateien von ESXi.
(Torsten Mutayi/ln)
Hybride IT-Umgebungen werden immer mehr zur Norm. Monitoringtools mit einem einheitlichen Ansatz über Netzwerkgrenzen hinweg sind daher für IT-Verantwortliche von zunehmender Bedeutung – auch in KMU, die ihre IT um beispielsweise Clouddienste erweitern. Oft kommt es in solchen Infrastrukturen zum sogenannten Swivel-Chair-Management, also der Verwaltung von Computersystemen mit mehreren Tools. Dies zu ver­meiden ist vor allem deshalb wichtig, weil Systemadministratoren heutzutage alles innerhalb ihrer IT-Umgebungen im Blick haben müssen. Dort, wo das Budget nicht für eine neues, umfassendes Werkzeug reicht, hilft unter Umständen das bei Admins seit Langem beliebte WhatsUp Gold, das nunmehr in einer kostenlosen Version verfügbar ist.
Der Anbieter Progress will mit der kostenfreien Variante von WhatsUp Gold eine Monitoringsoftware für On-Premises- und Cloudökosysteme zur Verfügung stellen. Die Software umfasst Netzwerkerkennung, Mapping, Alerting, Reporting und virtuelles Monitoring von bis zu 20 Geräten gleichzeitig. Mit erweiterten Zusatzfunktionen wie der Analyse des Netzwerkverkehrs, Applikationsmonitoring und Logmanagement können Admins das Tool für maximal zehn Geräte gleichzeitig verwenden.
Im Detail stellt WhatsUp Gold zunächst die automatische Erkennung von Geräten im Netz bereit. Alle erkannten Devices speist das Tool in eine Infrastrukturlandkarte, die dem IT-Verantwortlichen dann auch Abhängigkeiten zwischen den Geräten darstellt. Weiterhin erlaubt die Anwendung, den Netzwerkverkehr zu untersuchen und die Bandbreitennutzung zu optimieren. Selbstverständlich hat WhatsUp Gold Free ebenso Funktionen an Bord, die Probleme und Fehler in Servern oder im Netzwerk aufzeigen und beim Troubleshooten unterstützen. Für die Übersichtlichkeit bringt die Anwendung schließlich noch eine ganze Reihe von Dashboards mit, die der Nutzer sich nach eigenen Vorgaben zusammenstellen kann.
Mit der kostenlosen Variante von WhatsUp Gold bauen Admins individuell angepasste Monitoringdashboards.
(jp)
Link-Code: https://www.whatsupgold.com/de/free-edition/
In Sachen Automatisierung sieht sich der IT-Verantwortliche oft mit der Frage konfrontiert, auf welche Plattform er Aktivitäten dieser Art stellen soll. Denn vielfach sind die Automatisierungswerkzeuge zu mächtig – und somit meist zu teuer – für die angedachte Aufgabe. Entscheidet er sich auf der anderen Seite für eine kleine Lösung, stellt er im Nachgang vielleicht fest, dass sich gewisse Aufgaben mit diesem Tool nicht umsetzen lassen. Die Software Automation Workshop Free verspricht, unter Windows alles automatisieren zu können – und das völlig ohne Coding-Kenntnisse seitens des Anwenders.
Die kostenlos verfügbare Software "Automation Workshop Free Edition" will helfen, einfache bis sehr komplexe Aufgaben unter Windows zu automatisieren. Anders als Makrorekorder oder Skriptsprachen ermöglicht das Tool die Automatisierung über eine einfach zu bedienende Oberfläche, auf der der Nutzer Trigger definiert, die bei definierbaren Schwellenwerten bestimmte Aktionen auslösen. Verfügbar ist Automation Work­shop Free für Windows-Server ab Version 2012 und -Clients ab Windows 8. Dabei spielt es keine Rolle, ob es sich um 32- oder 64-Bit-Systeme handelt.
Bei der Automatisierung kann die Software zahlreiche Trigger überwachen. Ein einfaches Beispiel ist die Beobachtung von Dateien: Findet sich in einem Ordner eine neue Datei oder wurde ein File geändert, erlaubt die Software dem Admin, darauf zu reagieren. Die dazu anlegbaren Aktionen reichen von einer E-Mail an einen Kollegen, um ihn über diese neue Datei zu informieren, bis hin zu deren automatischer Veröffentlichung auf der Firmenwebseite.
Ein komplexeres Beispiel wäre die Überwachung der Logons der Anwender und die Verknüpfung dieses Vorgangs mit bestimmten Aktionen. Wobei sich von diesen auch immer mehrere kombinieren lassen und so komplexe Abläufe in Automation Workshop Free erlauben.
Automation Workshop Free bietet Windows-Automatisierung per GUI.
(jp)
Link-Code: https://www.automationworkshop.org/
Neben dem Vermeiden repetitiver, fehleranfälliger Aufgaben gibt es einen weiteren wichtigen Bereich der Automatisierung: das Konfigurationsmanagement. Denn sicherzustellen, dass alle Geräte, Server und Clients im Netz mit den gewünschten Einstellungen in Betrieb sind, ist ebenso zeitraubend wie etwa das monatliche händische Anlegen von 100 neuen Usern. Zudem lauern im Konfigurationsmanagement natürlich potenzielle Sicherheitsbedrohungen, wenn die Geräte nicht den definierten Standards entsprechen. Dieser Aufgabe hat sich das Open-Source-Tool Rudder verschrieben.
Rudder ist ein Derivat der Automatisierungssoftware CFEngine und bietet eine Benutzeroberfläche, die speziell für Einsteiger in die Konfigurationsverwaltung geeignet ist. Während das Webfrontend mit der Sprache Scala erstellt wurde, sind die lokalen Agenten in C geschrieben. Es implementiert die Funktion "Desired State Configuration", durch die Nutzer mit PowerShell-Skripten Konfigurationsparameter von Win­dows-basierten Servern spezifizieren. Jedoch ist Rudder nicht auf Windows begrenzt, sondern unterstützt auch Linux und kann mit den führenden Virtualisierungsplattformen ebenso arbeiten wie mit den Clouddiensten von AWS und Co.
Auch auf der Seite der ansteuerbaren Geräte ist Rudder sehr vielseitig: Vom kompletten Rechnerpark mit Servern und Clients über Container-Hosts bis hin zu IoT-Geräten und industriellen Steuerungsanlagen agiert die Software als Helfer beim Konfigurieren. Die Anwendung setzt lokale Agenten ein und identifiziert Knotenmerkmale, um die Systemkonfiguration noch weiter zu
vereinfachen.
Die Grundlage für die Arbeit von Rudder bilden Baselines, die sich in der eigenen Infrastruktur definieren lassen. Diese Basis zu etablieren, will das Tool dem Admin über Node-Gruppen und dynamische Konfigurationen sehr einfach machen. Stehen diese Grenzwerte, wacht Rudder unablässig über deren Einhaltung und informiert den IT-Verantwortlichen bei Abweichungen. Tauchen solche auf, reagiert Rudder auf Wunsch automatisch. Die dazu notwendigen Informationen liefern die angesprochenen Agenten von den Endsystemen. Dabei können derlei Daten direkt zu einem zentralen Server gebracht werden oder sie laufen über Relay-Server. So will das Tool sicherstellen, dass auch bei Problemen im Netz alle relevanten Infos bereitstehen. Zudem verbraucht diese Kommunikation nur sehr wenig Netzbandbreite und ist durch Verschlüsselung abgesichert.
Rudder stellt in der Übersicht dar, wo und wie viele Geräte nicht den Vorgaben in Sachen Konfiguration entsprechen.
(jp)
Link-Code: https://www.rudder.io/