ADMIN

2023

09

2023-08-30T12:00:00

Hochverfügbarkeit und Monitoring

PRAXIS

062

Tipps, Tricks und Tools

Tipps

Tricks

Tools

Tipps, Tricks und Tools

für den IT-Administrator

Redaktion IT-Administrator

Veröffentlicht in Ausgabe 09/2023 - PRAXIS

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Unsere Anwendungen laufen in mehreren AWS-Regionen und über verschiedene Konten hinweg, um Resilienz und niedrige Latenzzeiten zu garantieren. Dabei müssen unsere Admin-Teams stets den Überblick über sämtliche Aktivitäten behalten. Die global verteilten Ressourcen erschweren dies allerdings, und Monitoring sowie Fehlerbehebung benötigen deutlich mehr Zeit. Wie können wir den Betrieb optimieren?
Immer mehr Unternehmen setzen die Empfehlung um, Anwendungen über mehrere Konten oder über verschiedene Regionen in der AWS-Cloud bereitzustellen. Neben der Latenz zählen auch Sicherheit, Abrechnung, Ausfallsicherheit und die Trennung in Dev- und Prod-Konto zu den Gründen. Um eine zentrale Sicht auf Ressourcen und Metriken über Accounts und Regionen hinweg zu behalten, können Sie Amazon CloudWatch-Dashboards auf hoher Ebene erstellen. Auf diese Weise lassen sich mit bereits einem Klick Drilldowns zu spezifischen Dashboards in verschiedenen Konten nutzen, ohne sich bei verschiedenen Accounts an- und abmelden oder die Region wechseln zu müssen. Praktisch ist ferner die Möglichkeit, Performance- und Betriebsdaten bei verschiedenen Konten und Regionen zu visualisieren, zu aggregieren und zusammenzufassen.
Kontoübergreifende Dashboards benötigen für die erste Konfiguration nur wenige Klicks, und sie bieten sogar die Möglichkeit, AWS Organizations zu integrieren. Damit lassen sich mehrere AWS-Accounts direkt über die CloudWatch-Konsole verwalten und steuern. Erstellen Sie dazu als Erstes in Amazon CloudWatch ein Dashboard zum Monitoring. Es wird Ihnen in Zukunft als Überwachungskonto dienen. Sie können mehrere solcher Dashboards einrichten. Aktivieren Sie dann "Cross-Account Cross-Region", um eine Service Linked Role automatisch zu erstellen. Dies ist wichtig, damit CloudWatch jedem Account eine bestimmte Rolle zuweisen kann. Wählen Sie nun auf der Startseite der CloudWatch-Konsole im linken Navigationsbereich "Settings" für das Überwachungskonto und klicken Sie auf "Configure". Aktivieren Sie den "AWS Organization Account Selector", indem Sie dem Hauptaccount eine zusätzliche Rolle zuweisen. Dadurch kann es auf Ihre Kontoliste zugreifen. Die CloudWatch-Konsole hilft Ihnen hierbei und führt Sie durch den Prozess. Melden Sie sich dann von Ihrem Überwachungskonto ab. Identifizieren 1Sie jetzt die Accounts, die Sie monitoren wollen, und melden sich bei jedem davon an. Navigieren Sie zur CloudWatch-Konsole und klicken Sie erneut auf "Settings" und dann auf "Configure" unter "Cross-Account Cross-Region". Klicken Sie abschließend auf "Share Data" und geben Sie die IDs der Überwachungskonten ein, mit denen Sie Daten austauschen möchten. Legen Sie zudem den Umfang fest und starten Sie dann den CloudFormation-Stack mit dem vordefinierten Template, um den Prozess abzuschließen.
Cloud
Unsere Anwendungen laufen in mehreren AWS-Regionen und über verschiedene Konten hinweg, um Resilienz und niedrige Latenzzeiten zu garantieren. Dabei müssen unsere Admin-Teams stets den Überblick über sämtliche Aktivitäten behalten. Die global verteilten Ressourcen erschweren dies allerdings, und Monitoring sowie Fehlerbehebung benötigen deutlich mehr Zeit. Wie können wir den Betrieb optimieren?
Immer mehr Unternehmen setzen die Empfehlung um, Anwendungen über mehrere Konten oder über verschiedene Regionen in der AWS-Cloud bereitzustellen. Neben der Latenz zählen auch Sicherheit, Abrechnung, Ausfallsicherheit und die Trennung in Dev- und Prod-Konto zu den Gründen. Um eine zentrale Sicht auf Ressourcen und Metriken über Accounts und Regionen hinweg zu behalten, können Sie Amazon CloudWatch-Dashboards auf hoher Ebene erstellen. Auf diese Weise lassen sich mit bereits einem Klick Drilldowns zu spezifischen Dashboards in verschiedenen Konten nutzen, ohne sich bei verschiedenen Accounts an- und abmelden oder die Region wechseln zu müssen. Praktisch ist ferner die Möglichkeit, Performance- und Betriebsdaten bei verschiedenen Konten und Regionen zu visualisieren, zu aggregieren und zusammenzufassen.
Kontoübergreifende Dashboards benötigen für die erste Konfiguration nur wenige Klicks, und sie bieten sogar die Möglichkeit, AWS Organizations zu integrieren. Damit lassen sich mehrere AWS-Accounts direkt über die CloudWatch-Konsole verwalten und steuern. Erstellen Sie dazu als Erstes in Amazon CloudWatch ein Dashboard zum Monitoring. Es wird Ihnen in Zukunft als Überwachungskonto dienen. Sie können mehrere solcher Dashboards einrichten. Aktivieren Sie dann "Cross-Account Cross-Region", um eine Service Linked Role automatisch zu erstellen. Dies ist wichtig, damit CloudWatch jedem Account eine bestimmte Rolle zuweisen kann. Wählen Sie nun auf der Startseite der CloudWatch-Konsole im linken Navigationsbereich "Settings" für das Überwachungskonto und klicken Sie auf "Configure". Aktivieren Sie den "AWS Organization Account Selector", indem Sie dem Hauptaccount eine zusätzliche Rolle zuweisen. Dadurch kann es auf Ihre Kontoliste zugreifen. Die CloudWatch-Konsole hilft Ihnen hierbei und führt Sie durch den Prozess. Melden Sie sich dann von Ihrem Überwachungskonto ab. Identifizieren 1Sie jetzt die Accounts, die Sie monitoren wollen, und melden sich bei jedem davon an. Navigieren Sie zur CloudWatch-Konsole und klicken Sie erneut auf "Settings" und dann auf "Configure" unter "Cross-Account Cross-Region". Klicken Sie abschließend auf "Share Data" und geben Sie die IDs der Überwachungskonten ein, mit denen Sie Daten austauschen möchten. Legen Sie zudem den Umfang fest und starten Sie dann den CloudFormation-Stack mit dem vordefinierten Template, um den Prozess abzuschließen.
Mit den richtigen Einstellungen bei "cross-account cross-region" lassen sich CloudWatch-Daten über mehrere AWS-Konten hinweg anzeigen.
(AWS/ln)
Um Benutzer und Gruppen aus unserem lokalen AD nach Azure AD zu synchronisieren, verwenden wir Azure AD Connect. Microsoft hat angekündigt, dass der Dienst mittelfristig durch Azure AD Connect Cloud Sync ersetzt werden soll. Wie genau unterscheidet sich denn das neue Tool?
Cloud Sync erfüllt dieselbe Funktion wie das bisherige Connect, nutzt für die Synchronisierung von Objekten jedoch den Provisioning-Agenten von Azure anstelle einer On-Premises-Anwendung. Dadurch soll die Installation erleichtert sowie der lokale Ressourcenverbrauch gesenkt werden. Zudem unterstützt Cloud Sync Szenarien wie das Synchronisieren mehrerer getrennter Forests zu einem Tenant. Diese Option bietet sich etwa für Organisationen an, die aus historischen Gründen getrennte AD-Forests betreiben.
Bislang fehlen in Cloud Sync allerdings noch einige Funktionen des alten Connect, etwa die Unterstützung von Geräteobjekten, Azure AD Domain Services und LDAP-Verzeichnissen, das Filtern nach AD-Attributen, das Rückschreiben von Gruppen sowie das Synchronisieren sehr großer Gruppen mit mehr als 50.000 Mitgliedern. Nach Angaben von Microsoft soll Cloud Sync das lokale Connect ersetzen, sobald es dessen vollen Funktionsumfang abdeckt.
Die Synchronisierung von Benutzern und Gruppen ist eine wichtige Erleichterung bei der gemeinsamen Nutzung von On-Premises-Systemen und Azure AD. Trotzdem sind Organisationen darauf angewiesen, Einstellungen und Zugriffsrechte in beiden Diensten separat zu steuern. Um lokale und Cloudsysteme einheitlich zu verwalten, empfiehlt sich die Nutzung einer Identity und Access Management Software.
(tenfold/ln)
Weitere Tipps zur effizienten Verwaltung von Microsoft 365 finden Sie im IAMBlog von tenfold unter https://tenfold-security.com/ratgeber/
Hardware
Unser Fernsupport muss hohe Compliance-Regeln erfüllen. Wie können wir ihn mit dem von uns dazu genutzten Tool GoTo Rescue so sicher wie möglich gestalten?
Neben der Einhaltung der Datenschutzbestimmungen sollten Sie eine Supportsoftware in Erwägung ziehen, die zusätzliche Security-Layer wie granulare, auf Berechtigungen basierende Zugriffsmöglichkeiten bietet. Derartige Supporttools ermöglichen es den Endbenutzern, genau zu steuern, welche Aktionen der Helpdesk durchführen oder welche Informationen er einsehen kann, wenn er auf das Gerät eines Kunden zugreift. Damit lassen sich selbst strenge Vorschriften einhalten und das Risiko einer versehentlichen Datenpreisgabe minimieren.
Besonders nützlich für IT-Teams ist es, jeden administrativen Vorgang beim Fernzugriff durch die Abteilungen oder den Kunden je nach Situation genehmigen zu lassen. Wenn gewünscht, kann der Benutzer die Fernsteuerung für den Desktop oder das Mobilgerät per Default deaktivieren. Für eine detaillierte Kontrolle können Nutzer auf technischer Ebene unterbinden, dass Techniker Screenshots oder Recordings aufnehmen, wenn Ihre Kunden dies nicht erlauben. So können ITSupportmitarbeiter diese zwar auf dem Gerät sehen, aber nicht außerhalb der Supportsitzung weitergeben.
Ähnlich verhält es sich mit der Synchronisierung der Zwischenablage oder gemeinsamen Nutzung der Dateiübertragung, die Technikern im Alltag hilft, Zeit zu sparen und Fehler zu vermeiden. Geht es jedoch um sensible Kundendaten, ist die Deaktivierung dieser Funktion ebenfalls ratsam. Ebenfalls kann es sinnvoll sein, den unbeaufsichtigten Zugriff zu deaktivieren. Das mindert die Sorge des Anwenders, dass versehentliche Unterbrechungen auftreten und sich Änderungen ergeben, die sie nicht selbst sehen können. So sind die Nutzer stets sicher, dass alle Systeme funktionieren und nicht ohne ihr Wissen aktualisiert werden.
Um die granularen Berechtigungen zu bearbeiten, gehen Sie in GoTo Rescue im Seitenmenü auf der linken Seite im Administration Center unter "Technicians" und wählen Sie die Sub-Rubrik "Technician Group" aus. Dort entscheiden Sie sich für die betreffende Technikergruppe im Drop-Down-Menü ("Assigned Label"). Erstellen Sie gegebenenfalls neue Gruppen. Anschließend wählen Sie die Zugriffsfunktionen aus der "Permission"-Liste aus. Setzen Sie ein Häkchen bei den Funktionen, die Sie für die ausgewählte Techniker-Gruppe zulassen wollen.
Mit granularen Berechtigungen lässt sich das Sicherheitsniveau beim Supportzugriff via GoTo Rescue deutlich steigern.
(GoTo/ln)
Weitere Tipps rund um das Thema IT-Management finden Sie im Blog "Products in Practice" von GoTo unter http://www.goto.com/de/blog/products
Virtualisierung
Wir haben zu Jahresbeginn unsere Endgeräte auf Chromebooks umgestellt. Allerdings beschweren sich viele unserer Mitarbeiter über die schlechtere Nutzererfahrung bei Windows-Anwendungen, vor allem bei den Office-Programmen. Wie können wir diese nahtlos nutzen?
Jedes Gerät, das einen Browser oder App-Store hat, kann Office in der einen oder anderen Form benutzen. Das bedeutet jedoch nicht, dass die Nutzererfahrung und die Funktionen überall gleich sind. Chromebook-Nutzer haben zwei Möglichkeiten: Sie können entweder die Office-Apps aus dem Play Store für Android installieren. Das Problem dabei: Diese Apps sind für Mobilgeräte wie Smartphones und Tablets optimiert. Auf einem Laptop wie einem Chromebook hingegen sind diese nicht immer die ideale Lösung, da sie funktional nicht die vollwertigen Desktopanwendungen der Office-Suite ersetzen. Gerade für die Bearbeitung von komplexen Dokumenten wie Excel-Tabellen mit Makros oder umfangreichen Pivot-Tabellen sind die Mobilversionen von Excel nicht ausgelegt.
Die zweite Option ist deshalb, online über Microsoft 365 auf die Apps zuzugreifen. Die Anwendungen benötigen jedoch eine stabile Internetverbindung. Diese ist gerade remote nicht immer gegeben. Eine bessere Lösung kann eine für ChromeOS optimierte Virtualisierungssoftware sein wie etwa Parallels Desktop für ChromeOS. Damit ist es möglich, Windows in einer virtuellen Maschine mitsamt aller wichtigen Windows-Anwendungen zu nutzen – auch ohne eine Internetverbindung. Das bedeutet, keine Einschränkungen bei den Funktionen und der Kompatibilität mit Excel auf den neuen Geräten und Ihre Mitarbeiter profitieren von der ursprünglichen Nutzerfreundlichkeit. Außerdem lassen sich Dateien ganz einfach in den Chrome-Ordnern speichern. Anwender müssen dazu in einer Windows-Anwendung nur auf "Datei / Speichern unter" klicken und im folgenden Dialogfeld den Chrome-OS-Ordner auswählen, in dem Sie die Datei ablegen möchten
(Parallels/ln)
Monitoring
Wir nutzen eine betriebskritische Applikation, die auf eine Datenbank zugreift. Die Datenbank wird über eine Cluster-Installation bereitgestellt. Manchmal passiert es, dass beim Verschieben der Datenbank von einem Cluster-Node zum anderen die Verbindung abreißt. Wie könnten wir das am besten mit unserer Monitoringsoftware Paessler PRTG Network Monitor überwachen? Und gibt es gar eine Möglichkeit, automatisiert die Verbindung wiederherzustellen?
Für diesen Anwendungsfall bietet sich der WMI Event Log Sensor in Paessler PRTG an. Sie könnten das folgendermaßen umsetzen: Richten Sie einen WMI Event Log Sensor in PRTG ein, der die Event-Logeinträge des Datenbankdiensts überwacht. Sobald der Dienst nicht mehr in der Lage ist, auf die Datenbank zuzugreifen, wird dies im Event-Log aufgezeichnet und von PRTG über den WMI Event Log Sensor erkannt. Sofern der Verbindungsabriss mit einem nicht mehr laufenden Dienst zusammenhängt, führen Sie unter Zuhilfenahme eines Benachrichtigungs-Triggers in PRTG ein Skript aus, das einen Neustart des Datenbankdienstes durchführt. Der Dienst stellt danach seine Verbindung zur Datenbank wieder her und das Problem ist ohne manuellen Eingriff gelöst. Statt mit einem Skript könnten Sie für diesen Anwendungsfall auch direkt den WMI Service Sensor einsetzen. Dieser Sensor bietet eine Option in den Einstellungen, Dienste neu zu starten. Eine detaillierte Beschreibung der Vorgehensweise finden Sie unter [Link-Code: https://kb.paessler.com/en/topic/40713-can-i-automatically-restart-a-windows-service-with-prtg] in der Knowledge Base des Herstellers.
(Paessler/ln)
Für weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps] auch einen YouTube-Kanal mit Tutorials an.
Tools
Verwaltete Dienstkonten (MSA) sind bestimmte Benutzerkonten im Active Directory, die zur Berechtigung lokaler Dienste dienen. Richtig eingesetzt, können sich Administratoren damit Abläufe deutlich erleichtern. Denn dabei kümmern sich nicht die Admins um die Kennwörter dieser Konten, sondern das Active Directory übernimmt diese Tätigkeit automatisch. In der Praxis finden sich aufgrund dieser Vorteile zunehmend mehr solcher Konten, in manchen Unternehmen hunderte davon. Diese steuern Datenbanken oder Applikationen und können leicht vom Radar der IT-Verantwortlichen verschwinden, schließlich kümmert sich ja das AD darum. Gleichzeitig haben diese Accounts oft weitreichende Berechtigungen und sollten ebenso gepflegt und bei Sicherheitsüberlegungen berücksichtigt werden wie jedes andere Konto. Doch nicht selten tun sich IT-Organisationen schwer, nicht mehr benötigte verwaltete Dienstkonten zu löschen, schlicht weil die Einsicht fehlt, wer diese zu welchem Zweck angelegt hat. So laufen oft zahlreiche dieser Berechtigungen unnötig mit.
Das kostenlose "Delinea Service Account Discovery Tool for Windows" untersucht alle verwalteten Dienstkonten im AD und zeigt IT-Verantwortlichen die risikoreichsten an. Dabei ermittelt die Software veraltete MSA mit Passwörtern, die nicht länger benötigt werden, oder solche, die zu lange nicht geändert wurden. Auch MSA, die für mehrere Dienste zum Einsatz kommen, listet das Tool auf und auch dieses Sicherheitsrisiko sollten Admins eliminieren.
Das Discovery-Tool ist nach einer Registrierung beim Hersteller für 32- und 64-Bit-Windows verfügbar. Nach einem Durchlauf stellt es eine ausführliche Liste der möglichen MSA-Probleme und -Auffälligkeiten bereit. Dabei versichert der Hersteller, keinerlei Zugriff auf die so gewonnenen Credential-Informationen zu haben.
Viel einfacher kann ein Dateitransfer kaum sein: Warp öffnen, Daten auswählen und "Senden" klicken.
(jp)
Link-Code: https://delinea.com/resources/service-account-discovery-tool
Das Übertragen von wichtigen Dateien zu einem Kollegen oder externen Dienstleiter hat im Zeitalter von Home Office und digitalen Nomaden große Bedeutung gewonnen. Dabei gibt es mittlerweile zahlreiche freie wie lizenzpflichtige Werkzeuge, die dies sicher und komfortabel erledigen. Doch nur wenige beherrschen den Spezialfall, dies zwischen den Betriebssystemen Windows und Linux klaglos zu erledigen. Hier kommt Warp ins Spiel.
Warp ist GTK4-Applikation für den Dateitransfer über Betriebssystemgrenzen hinweg, wobei natürlich auch eine Übertragung von Windows zu Windows problemlos funktioniert. Jede Dateiübertragung ist mit dem Magic-Wormhole-Protokoll verschlüsselt. Wenn möglich, verschiebt das Tool die Dateien direkt über das lokale Netzwerk. Es ist jedoch eine Internetverbindung erforderlich, um sich mit dem Rendezvous-Server zu verbinden, damit Sender und Empfänger einander finden können. Warp steht als Desktopanwendung für Linux und Windows zur Verfügung, die sich jeweils zusammen mit der Wormhole-App für Android nutzen lassen.
Die Software bietet eine sehr einfache Schnittstelle mit zwei Registerkarten: Senden und Empfangen. Der Nutzer klickt einfach auf die Schaltfläche "Datei senden" (alternativ "Ordner senden") und wählt die entsprechenden Daten. Nun versorgt ihn Warp mit einem Sendecode (ein Text oder ein QR-Bild). Auf dem entfernten Rechner, auf dem Warp ebenfalls installiert ist, gibt das Gegenüber den Code in die Registerkarte "Empfangen" ein und klickt auf die Schaltfläche "Datei empfangen", um die Datenübertragung zu starten. Das alles passiert wie angedeutet verschlüsselt. Dabei weist das Magic-Wormhole-Protokoll einige Besonderheiten in Sachen Security auf, denn es übermittelt keine möglicherweise kompromittierenden Daten wie IP-Adressen, Telefonnummern oder Host-Namen.
(jp)
Link-Code: https://flathub.org/de/apps/app.drey.Warp
Es gibt zahlreiche Szenarien, in denen sich Nutzer wünschen, den Text innerhalb eines Bildes zu extrahieren. Für Admins wäre beispielsweise gut vorstellbar, dass derartige Texte für die IT-Dokumentation wertvoll sein könnten. Aber auch zahlreiche andere Aufgaben lassen sich auf diesem Weg vereinfachen oder beschleunigen. Das wohl derzeit beste Werkzeug für solche Zwecke ist das kostenlose NormCap.
Mit NormCap, das sowohl für Linux, mac OS als auch Windows zur Verfügung steht, lassen sich einfach beliebige Bildschirminhalte auswählen und über die automatischen Schrifterkennung als Text in die Zwischenablage kopieren. Es spielt dabei keine Rolle, ob der auswählte Bereich ein Bild auf dem lokalen PC oder auf einer Internetseite ist oder ob es sich um ein Fenster einer Fehlermeldung handelt, dessen Inhalt sich meist ebenfalls nicht kopieren lässt.
NormCap setzt zur Schrifterkennung auf Tesseract, das zuerst installiert sein sollte. Wie dies in den verschiedenen OS zu erledigen ist, verrät die Homepage des Tools im Detail. Der Start von NormCap bringt den Nutzer direkt in den Capture-Mode und die Software wartet bereits darauf, dass der Nutzer einen zu kopierenden Bereich auswählt. Ist ein solcher zur automatischen Schrifterkennung markiert, erscheint rechts unten kurz eine Vorschau mit dem erkannten Inhalt – oder eine Meldung, dass der Vorgang nicht funktioniert hat. Hat alles geklappt, landet der erkannte Text automatisch in der Zwischenablage und lässt sich beispielsweise in Notepad, Word oder einer Suchmaschine einfügen. Für die Detailkonfiguration findet sich rechts oben das übliche Zahnrad. Bevor Sie jetzt aber Ihr IT-Administrator-Archiv auf diese Weise digitalisieren, probieren Sie lieber unser ePaper aus.
Das eigene Zeitungsarchiv zu digitalisieren ist nur eine der zahlreiche Einsatzmöglichkeiten des OCR-Tools NormCap.
(jp)
Link-Code: https://github.com/dynobo/normcap