In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
Wir setzen die Monitoringsoftware Paessler PRTG ein, um den Zustand unseres Firmennetzwerks und der IT-Komponenten im Blick zu behalten. Stehen aufgrund eines Ausfalls Arbeiten an, erledigen wir diese auf Zuruf beziehungsweise werden aktiv, wenn ein Sensor in den Alarmzustand wechselt. Nun habe ich in der Software den Menüpunkt "Tickets" entdeckt. Bietet das Programm auch eine Ticketverwaltung?
In Paessler PRTG ist in der Tat ein einfaches Ticketsystem integriert. Vom Umfang her ist es nicht vergleichbar mit einem komplexen Helpdesksystem, aber es erleichtert Administratoren die Organisation anstehender Aufgaben. Sie können beispielsweise auf Sensorebene manuell ein Ticket erstellen. Nehmen wir an, PRTG informiert Sie über eine defekte Festplatte. Öffnen Sie den mit der Festplatte verknüpften Sensor und erzeugen Sie ein Ticket für den verantwortlichen Bearbeiter. Alternativ lässt sich die Ticketerstellung in den Benachrichtigungseinstellungen automatisieren. So wie Sie beispielsweise per E-Mail oder Push-Nachricht über einen Sensoralarm informiert werden, kann die Software auch ein Ticket für Sie generieren. Zusätzlich erzeugt PRTG systemseitig sogenannte To-do-Tickets, etwa dann, wenn ein Softwareupdate verfügbar ist oder für einen PRTG-Administrator Handlungsbedarf besteht. Für einen schnellen Überblick über die Möglichkeiten der Ticketfunktion gibt es auf der Hersteller-Webseite ein Tutorialvideo [Link-Code: https://www.paessler.com/support/videos-and-webinars/videos/ticketing-system].
(Paessler/ln)
Monitoring
Wir setzen die Monitoringsoftware Paessler PRTG ein, um den Zustand unseres Firmennetzwerks und der IT-Komponenten im Blick zu behalten. Stehen aufgrund eines Ausfalls Arbeiten an, erledigen wir diese auf Zuruf beziehungsweise werden aktiv, wenn ein Sensor in den Alarmzustand wechselt. Nun habe ich in der Software den Menüpunkt "Tickets" entdeckt. Bietet das Programm auch eine Ticketverwaltung?
In Paessler PRTG ist in der Tat ein einfaches Ticketsystem integriert. Vom Umfang her ist es nicht vergleichbar mit einem komplexen Helpdesksystem, aber es erleichtert Administratoren die Organisation anstehender Aufgaben. Sie können beispielsweise auf Sensorebene manuell ein Ticket erstellen. Nehmen wir an, PRTG informiert Sie über eine defekte Festplatte. Öffnen Sie den mit der Festplatte verknüpften Sensor und erzeugen Sie ein Ticket für den verantwortlichen Bearbeiter. Alternativ lässt sich die Ticketerstellung in den Benachrichtigungseinstellungen automatisieren. So wie Sie beispielsweise per E-Mail oder Push-Nachricht über einen Sensoralarm informiert werden, kann die Software auch ein Ticket für Sie generieren. Zusätzlich erzeugt PRTG systemseitig sogenannte To-do-Tickets, etwa dann, wenn ein Softwareupdate verfügbar ist oder für einen PRTG-Administrator Handlungsbedarf besteht. Für einen schnellen Überblick über die Möglichkeiten der Ticketfunktion gibt es auf der Hersteller-Webseite ein Tutorialvideo [Link-Code: https://www.paessler.com/support/videos-and-webinars/videos/ticketing-system].
Über Microsoft 365 teilen Kollegen Dokumente mit anderen Abteilungen und externen Benutzern, achten jedoch nicht immer darauf, diese Zugänge wieder zu schließen. Wo kann ich mir einen Überblick über geteilte Daten in Microsoft 365 verschaffen?
Microsoft bietet grundsätzlich zwei Wege, um die Dateifreigabe in der Cloud nachzuvollziehen. Doch so viel vorweg: Leider stellt keine dieser Optionen eine für Admins vernünftig nutzbare Übersicht bereit, da dabei eine Flut an Daten nach relevanten Informationen zu durchsuchen ist. Die erste Möglichkeit liegt in der Audit-Funktion von SharePoint. Mit der Einführung von Microsoft Purview wurde diese aus den SharePoint-Einstellungen in das Purview-Compliance-Portal verschoben. Über die Suchfunktion lassen sich Events wie das Anpassen von Berechtigungen und die Verwendung von Dateilinks erheben. Die zugehörigen Daten lagern standardmäßig 90 Tage lang, nur in der Premium-Version des Audits reicht die Historie länger zurück. Neben der hohen Zahl an Events, die im Normalbetrieb einer M365-Instanz entstehen, macht es auch der Fokus auf Veränderungen schwierig, über die Audit-Funktion ein Bild der aktuellen Lage zu gewinnen. Die Suche zeigt zum Beispiel an, wenn ein neuer Nutzer die Einladung zu einem geteilten Dokument annimmt, aber nicht, welche Konten schon davor Zugriff hatten.
Einen Bericht über bestehende Freigaben können Sie nur auf Ebene einzelner Sites beziehungsweise Benutzer erstellen. In SharePoint liegt diese Funktion unter "Einstellungen / Websitenutzung". In OneDrive ist sie unter "Weitere Einstellungen / Freigabebericht" zu finden, kann jedoch nur vom jeweiligen User abgerufen werden. Das Generieren von Reporten durch Admins ist standardmäßig nicht vorgesehen. Ohnehin erlaubt die so erzeugte CSV-Datei keine angemessene Auswertung, da für jeden Benutzer hunderte Zeilen an Information zu filtern sind. Ein sinnvoller Überblick geteilter Daten lässt sich also meist nur mit externen Tools für das Microsoft-365-Reporting gewinnen. Beispielsweise bietet tenfold eine zentrale Übersicht geteilter Dokumente mit Selektionsmöglichkeiten für Teams, SharePoint und OneDrive sowie interne beziehungsweise externe Freigaben.
Auf manchen unserer Low-Energy-Server von Thomas-Krenn, etwa den Systemen LES plus v3 oder LES v4, tritt folgendes Problem auf: Die auf FreeBSD basierende freie Firewall-Distribution OPNsense startet nicht, wenn kein Monitor angeschlossen ist. Was können wir hier tun?
Die Ursache des Problems ist, dass es einen Fehler in FreeBSD 13 gab, der die seriellen EFI-Konsolen nicht mehr behandelte. Dies wurde in OPNsense 22.1.2 behoben, aber generell erfordert FreeBSD 13, dass das BIOS die Legacy-UART-Emulation deaktiviert. Um dieses Problem zu beheben, führen Sie eine der folgenden Lösungsmöglichkeiten durch:
- COM-Port im BIOS deaktivieren
- Tunable "hw.uart.console" ergänzen
- Serial Console als Primärkonsole setzen
Die erste Lösung ist die einfachste – wenn Sie alle COM-Ports im BIOS deaktivieren, bootet das System auch ohne angeschlossenen Monitor. Ist das nicht möglich, setzen Sie das Tunable "hw.uart.console" und starten Sie das System anschließend neu. Klicken Sie dazu unter "System / Settings / Tunable" auf das "+"-Symbol (Add) und ergänzen Sie das Tuneable "hw.uart.console" mit dem Wert "default". Klicken Sie anschließend auf "Apply Changes". Mit diesem Tunable zeigt die dmesg-Ausgabe beim anschließenden Neustart zusätzlich eine Zeile mit "uart0: console (115200,n,8,1)" – ein Startvorgang ohne angeschlossenen Monitor funktioniert damit:
uart0: <16550 or compatible> port 0x3f8-0x3ff irq 4 flags 0x10 on acpi0
uart0: console (115200,n,8,1)
root@fw-test-opnsense-22-7:~ #
Der dritte Weg ist das Setzen der seriellen Konsole als Primary Console. Standardmäßig ist jedoch die VGA-Konsole als Primary Console konfiguriert. Diese Einstellungen sind unter "System / Settings / Administration" im Bereich "Console" einseh- und änderbar. Setzen Sie die Einstellungen folgendermaßen fest:
- Primary Console: Serial Console
- Secondary Console: VGA Console
Auch dann sollte das System ohne angeschlossenen Monitor zuverlässig starten.
Terminalserver aller Art sind für Angreifer, die auf das Einsammeln von Anmeldedaten aus sind, ein sehr lukratives Ziel. Durch den Multiuser-Charakter von Terminalservern sind mit einem Schlag zahlreiche Identitäten gefährdet. Wie sorgen wir hier für mehr Sicherheit?
Sie sollten beim Umgang mit Terminalservern genau so viel, wenn nicht sogar mehr Sorgfalt hinsichtlich der Credentials walten lassen wie bei Workstations oder Anwendungsservern:
- Terminalserver in Bezug auf die IT-Sicherheit sind wie Workstations zu behandeln. Globale administrative Konten dürfen sich dort nicht anmelden.
- Da Terminalserver und VDI-Maschinen normalerweise "in der Nähe" der Domaincontroller platziert sind, sollten dort "Cached Credentials" per Gruppenrichtlinie deaktiviert sein.
- Auch Benutzerprofile bergen das Risiko, gespeicherte Anmeldedaten dem unbemerkten Auslesen auszusetzen. Regeln Sie die Berechtigungen für Profil- und UPD-Freigaben möglichst restriktiv. Falls Sie klassische servergespeicherte Profile einsetzen, sollten Sie die Einstellung "Lokale Kopie des Benutzerprofils bei Abmelden löschen" verwenden. Das funktioniert aus Benutzersicht nur dann zufriedenstellend, wenn Sie zuvor große Teile des Benutzerprofils per Ordnerumleitung aus dem servergespeicherten Profil ausschließen.
- Booten Sie Ihre Terminalserver und VDI-Maschinen häufig. Citrix macht das seit vielen Jahren vor. Bei den nativen Remote Desktop Services müssen Sie die Orchestrierung der Worker-Reboots in Eigenregie vornehmen.
- Halten Sie Prozesse und Skripte bereit, um einen Terminalserver bei Verdacht auf Kompromittierung aus einer entsprechenden Vorlage neu erstellen zu können. Auch hier haben native RDS-Bordmittel gegenüber Citrix oder VMware das Nachsehen. Die Automatisierung einer Terminalserver-Neuerstellung ist aber mit den vorhandenen PowerShell-Cmdlets problemlos machbar.
(Evgenij Smirnov/ln)
Cloud
Wir nutzen DNS-Server, um die Anwendungen in unserer Virtual Private Cloud mit der AWS-Cloud zu verbinden. Die Server dafür hosten wir in der eigenen internen Infrastruktur. Wartung und Skalierung der Arbeitslasten sind in diesem Umfeld aber überaus zeitaufwändig und kostspielig. Wie lassen sich die Workloads unserer häufig komplexen und verteilten Anwendungen einfacher verwalten?
Immer mehr Unternehmen nutzen für ihre Applikationen eine Hybrid-Cloud-Umgebung mit lokalen Ressourcen und externen Clouddiensten. Um den Datenverkehr in einer solchen IT-Architektur effizienter und einfacher zu gestalten, empfiehlt sich der Einsatz des Amazon Route 53 Resolver. Unternehmen können damit die verwalteten DNS-Services von AWS bei ihren internen Workloads anwenden und profitieren dadurch von einer besseren Skalierbarkeit, Zuverlässigkeit und Leistung. Gleichzeitig behalten sie die volle Kontrolle über ihre eigene DNS-Infrastruktur vor Ort. Der Route 53 Resolver kann nicht nur die Performance und Stabilität von Anwendungen und Services verbessern. Er optimiert in der Regel auch den DNS-Datenverkehr zwischen dem lokalen Netzwerk und der AWS-Cloud. Die Domänen, die in der lokalen DNS-Infrastruktur gehostet sind, werden als Weiterleitungsregeln im Amazon Route 53 Resolver konfiguriert. Dabei ist eine private Verbindung über AWS Direct Connect oder VPN erforderlich. Die Kombination dieser Verbindungsarten ermöglicht eine rekursive DNS-Suche für hybride Work-loads. Und das verringert den Aufwand für die Verwaltung und die Wartung einer zusätzlichen DNS-Infrastruktur beim Betrieb beider Umgebungen.
Die ersten Schritte mit dem Route 53 Resolver sehen folgendermaßen aus: Legen Sie zunächst die Region fest, in der Sie Ihre hybriden Arbeitslasten konfigurieren wollen. Entscheiden Sie sich dann für eine Query Direction: outbound, inbound oder beides. Für das folgende Beispiel gehen wir von eingehendem und ausgehendem Datenverkehr beim Workload aus. Konfigurieren Sie nun die eingehende Abfrage. Geben Sie einen Namen ein und wählen Sie eine Virtual Private Cloud (VPC). Weisen Sie dabei ein oder mehrere Subnetze innerhalb der VPC zu. Für dieses Beispiel wählen wir zwei bei der Verfügbarkeit. Aus diesen Subnetzen weisen Sie bestimmte IP-Adressen zu, die Sie als Endpunkte verwenden wollen. Alternativ lassen Sie den Amazon Route 53 Resolver automatisch zuweisen. Erstellen Sie eine Regel für Ihre lokale Domain, damit Workloads innerhalb der VPC-DNS-Anfragen an Ihre DNS-Infrastruktur weiterleiten können. Hierfür geben Sie eine oder mehrere IP-Adressen für Ihre lokalen DNS-Server ein und erstellen Ihre Regel.
Damit haben Sie alles konfiguriert und die VPC mit ein- und ausgehenden Regeln verknüpft. Das Routing des Datenverkehrs kann nun beginnen. Bedingte Weiterleitungsregeln lassen sich mit dem AWS Resource Access Manager für mehrere Konten freigeben.
(AWS/ln)
Tools
IT-Verantwortliche benötigen aus zahlreichen Gründen IT-Testumgebungen: Für den Test eines neuen Betriebssystemupdates, einer neuen Anwendung oder auch als Home Lab für die persönliche Weiterbildung. Mit der Virtualisierung wurde es bereits deutlich einfacher und schneller, solche Infrastrukturen hochzuziehen. Das freie Multipass von Canonical setzt noch ein Sahnehäubchen obendrauf und erzeugt virtuelle Maschinen einfacher als jedes andere Tool, und sogar ein Kubernetes-Cluster ist nur einen Befehl entfernt.
Für den Aufbau von Testumgebungen mit Cloudanwendungen, mehreren Instanzen eines Anwendungsservers, einem Kubernetes-Cluster oder einer Docker-Umgebung bringt Multipass eine deutliche Zeitersparnis. Die Basisfunktion von Canonicals kleinem Helferlein ist im Grunde simpel: Multipass erstellt virtuelle Maschinen mit Ubuntu als Betriebssystem. Für die Virtualisierung sorgt im Hintergrund VirtualBox oder auch das Windows-eigene Hyper-V.
Das Tool legt VMs standardmäßig ohne grafischen Desktop an – schließlich geht es um Server. Das eigentliche Ergebnis dieser Basisfunktion, also ein Headless-Ubuntu-Host, ließe sich natürlich auch mit VirtualBox direkt anlegen, allerdings mit einigen Mühen. Schneller funktioniert das in der Regel mit Containern, wo unter Docker ein Einzeiler genügt, um einen Server aufzusetzen. Mit Multipass geht das aber noch simpler, schon der kurze Befehl multipass launch erzeugt eine vorkonfigurierte VM, die mit der aktuellen Ubuntu-LTS-Version versehen ist. So erstellt das Werkzeug also VMs so einfach, wie es bislang eher Containern vorbehalten war. Die weitere Grundkonfiguration ist sogar noch simpler: Sind bei Containern für Netzwerkzugriffe noch Ports zu veröffentlichen, lassen sich die Multipass-VMs zum Beispiel direkt ins normale LAN setzen, wo sie automatisch IP-Adressen über den nächsten DHCP-Server beziehen. Auch das Ausführen von Befehlen innerhalb der VMs oder das Mounten von Ordnern des Hosts erinnert sehr an die Arbeit mit Containern, allerdings mit denkbar einfacher Syntax.
Um aus einer Testumgebung den größtmöglichen Nutzen zu ziehen, ist ein Monitoring hilfreich. Entsprechende Anwendungen finden sich unter Linux bekanntermaßen wie Sand am Meer, doch oft sind diese viel zu komplex für eine Testumgebung oder nur für Einzelrechner geeignet. Die Open-Source-Software Glances liefert schnell die wichtigsten Informationen zum Systemzustand und eignet sich besonders, um das Geschehen in Containern im Augen zu behalten.
Glances steht bei den gängigen Distributionen und deren Derivaten über die Software-Repositories zur Verfügung. Bei Debian, Ubuntu oder Linux Mint genügt also sudo apt install glances, um das Programm zu installieren. Darüber hinaus weist das Projekt auf seiner Webseite noch weitere Möglichkeiten aus, die in Python geschriebene Software zu beziehen. Dazu gehört neben der Installation über die Python-eigene Paketverwaltung Pip auch die Option, die Applikation aus dem Quellcode für die jeweilige Distribution zu übersetzen. Außerdem gibt es einen Glances-Container für Docker.
Glances unterstützt mehrere Betriebsmodi, für die Admins die Ncurses-Applikation mit unterschiedlichen Parametern aufrufen. Im einfachsten Fall liest das Tool die Werte von Hard- und Software über den Befehl glances und liefert weit mehr Informationen als die üblichen Programme zur Systemüberwachung. Im oberen Bereich der Anzeige finden sich Angaben zur Distribution, dem verwendeten Kernel und der IP-Adresse des Systems. Darunter sehen Sie tabellarisch aufgelistet in mehreren Spalten Angaben zur CPU, dem Arbeitsspeicher und der Swap-Partition sowie deren aktuelle Auslastungswerte. Um im LAN von beliebiger Stelle aus den Server im Heimnetz im Auge zu behalten, dient der Parameter "-w". Er aktiviert dabei den Browser-Modus, der keinen eigenen Webserver benötigt, sondern auf dem Web-Framework Bottle basiert. Zusätzlich stellt die Software einen Client-Server-Modus bereit, der ebenfalls den Aufruf des Servers von jeder beliebigen Arbeitsstation im Netz aus ermöglicht. Damit nicht Unbefugte auf den Glances-Server zugreifen, besteht zudem die Option, mit dem Parameter "--password" ein Passwort auf dem Server zu setzen.
Die meisten Linux-Distributionen erlauben mittlerweile, alles von der Installation über typische Alltagsaufgaben bis hin zur Systemadministration in einer grafischen Oberfläche zu erledigen, ohne je eine Kommandozeile zu Gesicht zu bekommen. Doch nach wie vor kann keine dieser GUIs, wenn es beispielsweise um Automatisierung geht, mit der Flexibilität eines Terminals konkurrieren. So gut wie jede Distribution bringt daher Xterm als Basis-Terminalemulator mit. Doch dieses ist durchaus in die Jahre gekommen und Werkzeuge wir Extraterm bringen frischen Wind und hilfreiche neue Funktionen in die Kommandozeile.
Extraterm ist mehr als nur ein traditioneller Terminalemulator. Es bietet eine Toolbox für die Arbeit mit Terminal- und Befehlszeilenanwendungen, mit der sich Befehlsausgaben über Terminalsitzungen hinweg erfassen und wiederverwenden lassen. Auch erlaubt das Tool, Bilder und Rich Media direkt in der Vorschau anzuzeigen und Befehlsausgaben zu bearbeiten. Es ist mit Xterm kompatibel, unterstützt Registerkarten und verschachtelte geteilte Fenster und verarbeitet heruntergeladene Dateien im Dateimanager des Betriebssystems.
Extraterm trennt die Ausgabe vom eigentlichen Kommando ab, was allerdings das gesonderte Laden der Shell-Integration [Anleitung unter Link-Code https://github.com/sedwards2009/extraterm/blob/master/docs/guide.md#shell-integration/] erfordert. Ist dies erledigt, zeigt das Terminal die Ausgaben erfolgreich abgeschlossener Kommandos mit einem blauen Rahmen an, bei Fehlern stattdessen mit einem roten Rahmen. Extraterm unterstützt mit der Bash, der Z-Shell und Fish die gängigsten Shell-Umgebungen. Zudem implementiert die Shell-Integration mit "show" und "from" zwei neue Kommandos. Mit dem ersten lassen sich zum Beispiel Bilder direkt in Extraterm betrachten, das zweite ermöglicht es, die Ausgabe eines Befehls in ein neues Kommando zu übernehmen.