Bei Ihrem Vorhaben hilft Ihnen der Sensor "EXE/Script Advanced" in Paessler PRTG weiter. Er hat die Aufgabe, Skripte aller Art auszuführen. In der Paessler Knowledge Base finden Sie dafür ein fertig vorbereitetes Skript. Es ermöglicht Ihnen, das Active Directory abzufragen und Benutzer zu finden, die gesperrt oder deaktiviert sind. Die gefundenen User werden dann im Benachrichtigungsfeld des Sensors angezeigt, um Ihnen mitzuteilen, bei welchen Konten es Probleme gibt. Das Skript ist unter [Link-Code: n2pe1] zum Download erhältlich. Damit Sie es in den Einstellungen des Sensors "EXE/Script Advanced" auswählen können, legen Sie es im Unterordner "\Custom Sensors\EXE" im Programmverzeichnis von PRTG ab. Der verlinkte Knowledge-Base-Eintrag liefert Ihnen außerdem noch Tipps zur Erweiterung des Skripts und Unterstützung bei der Fehlersuche, falls die Ausführung in Ihrer Installation nicht gleich auf Anhieb klappen sollte.

Für weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps] auch einen Youtube-Kanal mit Tutorials an.

Die Bandbreite im Netzwerk zwischen dem Backupspeicher und den Virtualisierungshosts liegt heutzutage in der Regel bei 10 beziehungsweise 25 GBit/s oder höher. Die Preise für Hardware mit dieser Bandbreite sind in den letzten Jahren immer weiter gefallen, Sie bekommen für unter 400 Euro mittlerweile eine Dual- Port-25-GBit/s-NIC (Mellanox ConnectX- 4 lx). Karten mit 25 GBit/s pro Port können Sie problemlos auf 10 GBit/s setzen, dies ermöglicht den Betrieb auch in einem Netzwerk mit 10-GBit/s-Switches. Wollen Sie zukünftig die Netzwerkinfrastruktur auf 25 oder sogar 100 GBit/s erhöhen, lassen sich die bereits gekauften Karten weiterverwenden und werden nicht automatisch zum langsamsten Glied in der Kette.

Mit dem Sprung von 1 auf 10/25 GBit/s ist es möglich, Daten zwischen Hypervisor und Backupspeicher deutlich schneller zu kopieren. Dies wirkt sich positiv aus auf die Zeit, die die Sicherung benötigt, auf die Belastung der VMs während des Vorgangs und auf die Dauer einer Wiederherstellung von Daten im Fehlerfall. Kommt nur ein Hardwareserver zum Einsatz, wäre sogar eine direkte Verbindung zum Backupspeicher möglich. In diesem Szenario würden Sie sich die Kosten für den Switch sparen, wären allerdings auch begrenzt auf diese direkte Verbindung. Sobald ein drittes Gerät hinzukommt, ist ein Netzwerkverteiler in Form eines Switches zwingend notwendig, damit alle Geräte direkt miteinander kommunizieren können.

Berechtigungs- oder Kompatibilitätsfehler können beispielsweise auftreten, wenn Sie versuchen, eine auf Server 2022 exportierte VM auf einem Hyper-V-Host auf der Basis von Server 2016 einzulesen. In einem solchen Fall bleibt Ihnen nichts anderes übrig, als lediglich die virtuellen Festplatten zu übernehmen und die VM in der älteren, zum Host kompatiblen Konfigurationsversion neu anzulegen. Ein weiteres, häufig auftretendes Phänomen betrifft die eindeutigen VM-IDs. Der Import-Assistent bietet Ihnen hier drei Möglichkeiten:

- VM direkt registrieren (Dateien liegen bereits am richtigen Speicherort, ID wird wiederverwendet).

- VM wiederherstellen (Dateien sollen vom Importpfad an die richtigen Speicherorte kopiert, die Maschinen-ID jedoch beibehalten werden).

- VM kopieren (die importierte VM bekommt eine neue eindeutige ID).

Falls Sie versuchen, eine VM unter Beibehaltung der ID zu importieren, sich jedoch bereits eine VM mit dieser ID im Inventar des Hosts oder des Clusters befindet, erhalten Sie eine Fehlermeldung. Leider fehlt in dieser die Information darüber, welche der vorhandenen VMs die kollidierende ID aufweist. Diese Information lässt sich auch nicht einfach aus den Exportdateien herauslesen, da die Konfigurationsdateien von Hyper-V-VMs ein binäres Format haben. Das diagnostische PowerShell-Cmdlet "Compare-VM" ist keine große Hilfe, da dieses ebenfalls einen Import versucht, der wegen kollidierender IDs scheitert.

Falls Ihnen ein anderer Hyper-V-Host zur Verfügung steht, können Sie die VM dort registrieren und mit dem Get-VMCmdlet ihre ID ablesen. Anschließend erhalten Sie auf dem Ziel-Host, ebenfalls mit Get-VM, Informationen darüber, um welche VM es sich handelt. Oder Sie nutzen einfach die Kopieroption und lassen Hyper-V eine neue eindeutige ID erstellen. Doch hier ist Vorsicht geboten: Bei VMs mit identischen IDs kann es sich tatsächlich um Kopien ein und derselben VM handeln. Gleiche Namen und IPAdressen, vielleicht sogar gleiche MACAdressen – und ein daraus resultierender Abbruch der Netzwerkkommunikation wäre die Folge. Achten Sie beim Import darauf, dass die dafür benötigten Berechtigungen im Quell- und Zielverzeichnis vorhanden sind. Wie immer bei Hyper- V gilt auch hier: Der importierende Host (und im Fall eines Failoverclusters auch der Cluster-Account) muss Schreibrechte auf den Zielpfad und Leserechte auf den Quellpfad haben. Das Administratorkonto, das die Operation auslöst, braucht hingegen keine Rechte auf diesen Pfaden.

Durch das Einrichten von Überwachungsrichtlinien beziehungsweise Audit Policies lassen sich Probleme und Anzeichen möglicher Angriffe rechtzeitig erkennen, vorausgesetzt die Ergebnisse werden laufend ausgewertet. Da eine einzelne Veränderung mehrere Events auslösen kann, ist es wichtig, hier die richtige Balance zu finden, um keine Flut an Daten zu produzieren. Zur Überwachung von Systemereignissen müssen Sie zunächst ein entsprechendes Gruppenrichtlinienobjekt anlegen oder anpassen. Die genauen Einstellungen sind im Editor unter "Richtlinien für Lokaler Computer / Computerkonfiguration / Windows-Einstellungen / Sicherheitseinstellungen / Lokale Richtlinien" beziehungsweise "Erweiterte Überwachungsrichtlinien" zu finden. Nach einer Änderung der Policies lässt sich über die Befehlszeile mit der Eingabe von auditpol. exe /get /category:* überprüfen, welche Events aktuell überwacht werden. Events, für die Sie das laufende Auditing unbedingt aktivieren sollten, sind unter anderem

- Erfolgreiche sowie fehlgeschlagene Anmeldungen

- Anpassungen an Benutzerkonten und Objekten

- Anpassungen an Sicherheitsgruppen oder Gruppenrichtlinien

- Änderungen der Überwachungsrichtlinien oder -protokolle

Zur sicheren Speicherung und zentralen Auswertung müssen Sie darüber hinaus die Windows-Event-Weiterleitung entsprechend konfigurieren. Protokolle analysieren Sie anschließend mit dem Event Viewer, wobei sich das Festlegen benutzerdefinierter Filter (Ansichten) empfiehlt. Noch einfacher gelingt die Auswertung über automatisierte Software, die Probleme im Active Directory im Idealfall von selbst erkennt.

Viele weitere Tipps zum Thema Active Directory finden Sie im IAM-Blog von tenfold unter https://tenfold-security.com/ratgeber/

Am einfachsten sehen Sie diese Information in Ihrer Veeam-Applikation im Einstellungsmenü unter "License" ein. Die Support-ID finden Sie dann unter den Lizenzinformationen. Außerdem könnenSie einen Blick in Ihr License-File mit der Endung .lic werfen. Öffnen Sie es einfach mit einem Textverarbeitungsprogramm. Das enstprechende Feld ist mit "Support ID=" gekennzeichnet. Alternativ ist es außerdem möglich, sich im Kundenportal bei Veeam einzuloggen. Dort ist die Support- ID unter den Produkten gelistet.

Viele weitere Tipps und Tricks zum Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter http://www.thomas-krenn.com/de/wiki/Hauptseite/

Azure Stack bildet inzwischen eine ganze Familie von Produkten. Die Elemente sollen in Hybrid-Cloud-Szenarien helfen, Dienste und Anwendungen im Unternehmen zu betreiben. Bei Azure Stack Edge, vormals als Azure Databox Edge bezeichnet, handelt es sich um eine Appliance zum geografisch verteilten Einsatz. Microsoft hat damit Anwendungsfälle aus den Bereichen Machine Learning und IoT im Fokus. Die Appliance erlaubt es, VMs oder Container vor Ort auszuführen und trotzdem in die Managementprozesse von Azure zu integrieren. Eine Nummer größer ausgelegt ist die Azure Hyper-Converged Infrastructure (HCI), die Compute-, Storageund Netzwerkinfrastruktur in eine skalierbare Umgebung bestehend aus zwei bis 16 Knoten packt. Auch hier realisiert Microsoft das Management mit den aus Azure bekannten Methoden. Die Hardware liefern von Microsoft zertifizierte Drittanbieter. Komplettiert wird das Angebot vom ausgewachsenen Azure Stack Hub, mit dem Microsoft vor allem große Unternehmen und Kunden aus dem Öffentlichen Sektor anspricht, die Dienste und Anwendungen abgeschottet vom Internet im eigenen Rechenzentrum betreiben möchten. Simpel ausgedrückt füllt der Azure Stack Hub einen oder mehrere Racks mit passender Hardware und einer eingeschränkten Auswahl an Azure-Diensten zum Betrieb lokal vor Ort.

Trilium Notes ist in NodeJS geschrieben und versorgt den Nutzer mit einer Plattform, sein persönliches Wissen geordnet abzulegen. Es ist also kein Kollaborationstool und bietet auch keine Multibenutzer- Umgebung, dafür aber eine ganze Reihe sehr durchdachter Funktionen, die das persönliche Wissensmanagement sehr leicht zugänglich machen. So findet der Nutzer nach dem ersten Start der Software auf der linken Seite eine Baumstruktur, um Notizen in einer Hierarchie abzulegen. Hier zeigt sich die erste Besonderheit: Es existiert keine Ordnerstruktur, sondern vielmehr sind alle Einträge Notizen. Sobald eine Notiz eine Unternotiz erhält, ist die Elternnotiz automatisch eine Art Ordner. Eine solche Baumstruktur bildet immer eine Klassifizierung ab und in der täglichen Arbeit kommt der Nutzer irgendwann zu dem Punkt, an dem er eine Notiz in zwei oder mehr Äste einsortieren könnte, da diese inhaltlich in mehrere Bereiche passt. Trilium bietet für dieses Problem das sogenannte "Node cloning". So kann die Information an zwei Stellen existieren, ist aber immer dieselbe. Dabei kann jede Notiz einen bestimmten Typ annehmen, wovon zahlreiche zur Verfügung stehen und die Beziehungen abbilden. Für die IT besonders wertvoll: Quellcode lässt sich mit Syntax-Hervorhebung ablegen.

Da nur eine Person die Anwendung nutzt, spielen konkurrierende Datenbankverbindungen keine Rolle. Aus diesem Grund kommt bei Trilium eine einfache SQLite-Datenbank zum Einsatz. Dies ist nicht zuletzt hilfreich für die Backups, die das Tool automatisch erstellt. Diese erfolgen täglich, wöchentlich und monatlich und sind mit SQLite sehr einfach zu erstellen. Durch die Datenhaltung in der Datenbank lassen sich zudem Metadaten über Attribute definieren. Ebenso vorteilhaft ist auch die Option, einen Sync-Server aufzusetzen. Damit ist es möglich, mehrere Clients auf verschiedenen Rechnern zu nutzen, die sich selbständig synchronisieren.

Link-Code: https://github.com/zadam/trilium

Apache Guacamole ist ein clientloses Remotedesktop-Gateway und unterstützt Standardprotokolle wie VNC, RDP und SSH. Dank HTML5 ist nach der Installation auf einem Server lediglich ein aktueller Webbrowser notwendig, um auf andere Devices zuzugreifen. Der Browser benötigt dafür keine zusätzlichen Plug-ins.

Serverseitig arbeitet die in Java geschriebene Software auf einem Apache- Server mit Servlet-Container (Apache Tomcat) und fungiert dann als Proxy, der die grafische Ausgabe von VNC und RDP in XML übersetzt und umgekehrt. Die per RDP oder VNC erreichbaren Desktops können dabei entweder auf dem Application-Server selbst oder auf einem anderen Rechner im Netzwerk laufen. Grundlage für die Funktion von Guacamole ist das Canvas-Element in HTML5, das per JavaScript umfangreiche grafische Operationen vornehmen kann. Dazu gehört das Zeichnen von Linien, Rechtecken und Ähnlichem, aber auch die Darstellung von Farbverläufen, Transparenz, Text und vor allem das Skalieren von Grafiken der Formate PNG, JPG und GIF. Ideale Voraussetzungen also, um einen Desktop mitsamt Anwendungen im Browser darzustellen.

Link-Code: https://guacamole.apache.org/

Das kostenlose Skript empfiehlt sich vor allem durch seine recht einfache Bedienung. Vergleichbare Werkzeuge wie etwa OpenSSL kommen mit hunderten von Kommandozeilen-Optionen. Dies ist aus dem Stand kaum beherrschbar, was bei so sensiblen Checks wie in Sachen Verschlüsselung nur sehr erfahrenen Admins zu empfehlen ist. Unser Werkzeug für den SSL-Check setzt auf Einfachheit, was sich nicht zuletzt in den Ergebnissen zeigt, die in den Ampelfarben daherkommen und so leicht einzuordnen sind.

Testssl.sh hilft, den Dienst eines bestimmten Servers über einen beliebigen Port und die Kompatibilität von TLS/SSLVerschlüsselung, Protokollen oder aktiven kryptografischen Fehlern und mehr zu überprüfen. Dabei läuft die Software ohne Installation und ist kompatibel zu den meisten Linux-Distributionen sowie mac - OS. Wollen Sie sie doch installieren, steht ein entsprechendes Dockerfile zur Verfügung. Admins sind mit dem Tool in der Lage, jeden Dienst zu testen, der SSL/TLS nutzt – auch solche, die per STARTTLS erst dazu aufgefordert werden müssen. Für derartige Untersuchungen bietet testssl.sh unterschiedliche Ansätze über verschiedene Parameter, die Link-Code n2p29 ausführlich dokumentiert.

Link-Code: https://testssl.sh/