In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.
In unserem Unternehmen betreiben wir Kubernetes-Cluster. Dabei nutzen wir bereits Verwaltungstools, jedoch liegt der Betrieb, die Wartung und die Sicherheit der Infrastruktur in unserem Aufgabenbereich. Das ist recht aufwendig und kostenintensiv. Wie können wir hier für Entlastung und Optimierung sorgen?
Mit AWS Fargate können Unternehmen ihre Kubernetes-Cluster kosteneffizient und hochverfügbar betreiben, ohne dass sie über tiefgreifende Kubernetes- oder Container-Verwaltungskenntnisse verfügen müssen. Die manuelle Bereitstellung und Administration ihrer Instanzen für EKS-Cluster entfallen und sie müssen sich nicht mehr um Patches, Skalierung oder Sicherungsaufgaben kümmern, da AWS die zugrundeliegende Infrastruktur verwaltet. Mit dem Fargate-Profil können Entwickler und IT-Verantwortliche grundlegende Einstellungen definieren: Welche Kubernetes-Pods sollen auf Fargate laufen? In welchen Subnetzen sollen die Pods bereitgestellt werden? Und welche IAM-Rolle soll dem Kubernetes-Agenten zugewiesen werden? Auf diese Art und Weise lassen sich zum Beispiel Container-Images auf den Pod herunterladen und auch andere Aktionen durchführen. Zudem können Sie mithilfe von Fargate Ressourcen auf Pod-Ebene definieren und bezahlen. Dadurch wird es in der Regel einfacher, die Auslastung der Ressourcen für jede Anwendung zu bestimmen – die Kosten für jeden Pod sind transparent erkennbar.
Als Beispiel erstellen wir zu Übungszwecken zunächst manuell ein Fargate-Profil. Gehen Sie dazu zur Amazon-EKS-Konsole und wählen Sie dort den Cluster "demo-newsblog" aus. In den Details klicken Sie auf "Add Fargate profile". Als Name geben Sie "demo-default" ein. Deaktivieren Sie nun die beiden öffentlichen Subnets. Das ist essenziell, denn in diesem Abschnitt sind standardmäßig alle Subnets in der Virtual Private Cloud Ihres Clusters ausgewählt. Klicken Sie auf "Next", um das nächste Fenster für "Pod Selectors" zu öffnen. Geben Sie einen Namespace ein und fügen Sie "default" hinzu. Damit führen Sie alle Pods in Fargate aus, die im Default-Kubernetes-Namespace erstellt werden. Wichtig: Sie müssen Ihre Kubernetes-Anwendung nicht ändern, sondern benötigen lediglich ein Fargate-Profil. Wird ein Pod in Ihrer Kubernetes-Anwendung mit dem angegebenen Namespace erstellt, läuft er automatisch auf Fargate. Schließen Sie die Erzeugung durch einen Klick auf "Next" und danach "Create" ab. Es dauert etwa eine Minute, bis alles soweit fertig und das Profil aktiviert ist. Mit dem CLI-Tool "eksctl" und dem folgenden Befehl
Cloud
In unserem Unternehmen betreiben wir Kubernetes-Cluster. Dabei nutzen wir bereits Verwaltungstools, jedoch liegt der Betrieb, die Wartung und die Sicherheit der Infrastruktur in unserem Aufgabenbereich. Das ist recht aufwendig und kostenintensiv. Wie können wir hier für Entlastung und Optimierung sorgen?
Mit AWS Fargate können Unternehmen ihre Kubernetes-Cluster kosteneffizient und hochverfügbar betreiben, ohne dass sie über tiefgreifende Kubernetes- oder Container-Verwaltungskenntnisse verfügen müssen. Die manuelle Bereitstellung und Administration ihrer Instanzen für EKS-Cluster entfallen und sie müssen sich nicht mehr um Patches, Skalierung oder Sicherungsaufgaben kümmern, da AWS die zugrundeliegende Infrastruktur verwaltet. Mit dem Fargate-Profil können Entwickler und IT-Verantwortliche grundlegende Einstellungen definieren: Welche Kubernetes-Pods sollen auf Fargate laufen? In welchen Subnetzen sollen die Pods bereitgestellt werden? Und welche IAM-Rolle soll dem Kubernetes-Agenten zugewiesen werden? Auf diese Art und Weise lassen sich zum Beispiel Container-Images auf den Pod herunterladen und auch andere Aktionen durchführen. Zudem können Sie mithilfe von Fargate Ressourcen auf Pod-Ebene definieren und bezahlen. Dadurch wird es in der Regel einfacher, die Auslastung der Ressourcen für jede Anwendung zu bestimmen – die Kosten für jeden Pod sind transparent erkennbar.
Als Beispiel erstellen wir zu Übungszwecken zunächst manuell ein Fargate-Profil. Gehen Sie dazu zur Amazon-EKS-Konsole und wählen Sie dort den Cluster "demo-newsblog" aus. In den Details klicken Sie auf "Add Fargate profile". Als Name geben Sie "demo-default" ein. Deaktivieren Sie nun die beiden öffentlichen Subnets. Das ist essenziell, denn in diesem Abschnitt sind standardmäßig alle Subnets in der Virtual Private Cloud Ihres Clusters ausgewählt. Klicken Sie auf "Next", um das nächste Fenster für "Pod Selectors" zu öffnen. Geben Sie einen Namespace ein und fügen Sie "default" hinzu. Damit führen Sie alle Pods in Fargate aus, die im Default-Kubernetes-Namespace erstellt werden. Wichtig: Sie müssen Ihre Kubernetes-Anwendung nicht ändern, sondern benötigen lediglich ein Fargate-Profil. Wird ein Pod in Ihrer Kubernetes-Anwendung mit dem angegebenen Namespace erstellt, läuft er automatisch auf Fargate. Schließen Sie die Erzeugung durch einen Klick auf "Next" und danach "Create" ab. Es dauert etwa eine Minute, bis alles soweit fertig und das Profil aktiviert ist. Mit dem CLI-Tool "eksctl" und dem folgenden Befehl
können Sie die Schritte in Zukunft vereinfachen und automatisch ein Fargate-Profil schaffen.
(AWS/ln)
Bei der Anwendung von Gruppenrichtlinien kommt es bei einzelnen Geräten immer wieder zu Problemen und Konflikten. Wie lässt sich die korrekte Anwendung von GPOs überprüfen?
Das Kommando gpresult zeigt Informationen zu den aktiven Richtlinien (Resultant Set of Policy, RSoP) für einen angegebenen Computer über den Parameter "/s" und für einen Benutzer über den Schalter "/u" innerhalb der Domäne an. Mit dem entsprechenden Zugang können Sie so remote überprüfen, welche GPOs aktiv sind und welche zum Beispiel aufgrund von deaktivierter Vererbung sowie WMI- oder Sicherheitsgruppenfiltern keine Anwendung finden werden. Sollte gpresult nicht ausreichen, um den Fehler zu finden, bietet der Policy Analyzer aus dem Compliance-Toolkit die Möglichkeit, GPOs auf Konflikte zu untersuchen. Zudem lässt sich die Anwendung von Gruppenrichtlinien durch das Windows Event Logging aufzeichnen und anschließend mittels PowerShell auswerten. Ein möglicher Befehl zur Auflistung aller Fehler wäre beispielsweise:
Get-WinEvent -ProviderName Microsoft -Group-Policy | $_.LevelDisplayName -eq "Fehler" | fl
Um die korrekte Verarbeitung von GPOs zu gewährleisten, spielt die AD-Struktur und eine logische Verschachtelung von Organisationseinheiten eine wesentliche Rolle. Zu guter Letzt müssen Benutzer und Geräte aber auch den richtigen OUs zugeordnet sein, damit Gruppenrichtlinien wie vorgesehen auf sie angewendet werden. Die Steuerung von Benutzerund Computerobjekten im AD lässt sich über eine automatische Identity und Access Management Plattform erheblich vereinfachen.
Können Sie kurz erklären, wie wir InfluxDB und Grafana konfigurieren müssen, damit wir die Daten aus unserem Proxmox-VE-System an InfluxDB senden und via Grafana ansprechend visualisieren können?
Für die von Ihnen gewünschte Visualisierung bedarf es mehrerer Schritte: der Anlage eines API Tokens in InfluxDB2, der Konfiguration einer Datasource in Grafana und der richtigen Settings in Proxmox VE selbst. Als Ergebnis wird dann ein Dashboard importiert und die Daten aus dem Proxmox VE System werden visualisiert. Erstellen Sie also zuerst über die InfluxDB2-Web-UI ein API-Token, damit Proxmox VE die Daten an InfluxDB schicken kann. Kopieren Sie unbedingt Ihr API-Token, da dieses danach nie wieder einsehbar ist. Achtung: Manchmal funktioniert der Copy-To-Clipboard-Button nicht – kopieren Sie das API-Token also besser von Hand und überprüfen Sie die Zwischenablage. Damit Grafana die Daten von InfluxDB abgreifen kann, müssen Sie diese als Source in den Grafana-Quellen hinzufügen. Hierzu gehen Sie auf "http://<Ihre IP-Adresse>:8007/connections/datasources/influxdb" oder "Home / Connections / Add new connection / InfluxDB" und füllen nach dem Drücken auf "Add new data source" die entsprechenden Felder aus. Wichtig ist, im Bereich "Auth" den Regler "Skip TLS Verify" zu aktivieren. Hat alles funktioniert, sollten Sie mit der Meldung "datasource is working. 1 buckets found" eine Bestätigung erhalten. Nun müssen Sie Proxmox VE noch mitteilen, dass es Daten an die InfluxDB2 senden soll. Hierzu gehen Sie auf "Datacenter / Permissions / Groups" und legen zuerst eine Gruppe mit dem Recht "pveauditor" an. Danach folgt die Berechtigung der Gruppe, das Anlegen eines Users mit Gruppenzugehörigkeit, das Erstellen eines API-Tokens und die anschließende Anbindung von Proxmox VE an den Metrik-Server (InfluxDB2). Ob es geklappt hat, sehen Sie, indem Sie sich in der GUI von InfluxDB2 das Bucket anschauen und überprüfen, ob es Daten erhalten hat. In Grafana können Sie nun ein bereits vorgefertigtes Dashboard importieren. Dazu loggen Sie sich ein und gehen zum Punkt "Dashboard / New". Hierzu wir das Dashboard aus dem Grafana Hub verwendet. Es hat die ID 19119, die jeweils beim Import anzugeben ist. Die einzelnen Schritte und Einstellungen können Sie im Detail noch einmal im Thomas-Krenn-Wiki [Link-Code: https://www.thomas-krenn.com/de/wiki/InfluxDB2_%2B_Grafana_Konfiguration_eines_Metric-Servers_f%C3%BCr_Proxmox_VE] nachlesen.
Wir wollen in unserem IT-Support das On- und Offboarding der Mitarbeiter rationalisieren. Dazu möchten wir gerne alle Benutzer in unserem Unternehmen über ein einziges System-Repository synchronisieren. Ist das in LogMeIn Rescue möglich?
Ja, dazu müssen Sie nur Ihre Rescue-Techniker-Gruppe mit Ihren AD-Benutzergruppen synchronisieren. Dafür ist es wiederum erforderlich, im Admin-Center ein Service-Token und ein Standardpasswort für neue Benutzer anzulegen. Wählen Sie dazu die Registerkarte "Globale Einstellungen" aus und klicken Sie unter "Active Directory-Synchronisierung" auf "Generieren und Kopieren", um das Service-Token aufzusetzen. Das Token wird direkt in Ihrer Zwischenablage gespeichert.
Legen Sie anschließend das Standardkennwort fest, das Ihre neuen Techniker bei der ersten Anmeldung verwenden sollen. Klicken Sie unten auf der Seite auf "Speichern", laden Sie die Serveranwendung herunter und extrahieren Sie sie. Klicken Sie anschließend im Rescue Administration Center unter "Active Directory-Synchronisierung" auf "Download", um das Installationsprogramm des Dienstes als ZIP-Datei herunterzuladen. Danach führen Sie die Serveranwendung aus und konfigurieren das Synchronisationsverhalten. Dazu benötigen Sie Berechtigungen, um die Anwendung als Systemdienst auszuführen. Der Computer, auf dem die Anwendung läuft, muss mit dem AD verbunden sein und über ausreichende Berechtigungen verfügen, um auf alle AD-Gruppen und -Benutzer zugreifen und diese abfragen zu können. Wählen Sie dazu den zu verwendenden AD-Dienst aus und geben Rettungs-Anmeldeinformationen des Master-Kontoinhabers sowie das Dienst-Token ein, das Sie zuvor auf der Registerkarte "Globale Einstellungen" des Admin Centers erstellt haben.
Hinweis: Wenn Sie den Modus "Trockenlauf" aktivieren, können Sie eine Vorschau der Änderungen sehen, die der Dienst in Ihrer Rescue-Hierarchie vornehmen wird. Klicken Sie anschließend auf "Weiter", geben Sie die AD-Domäne ein und bestätigen Sie diese mit "ja".
Nun können Sie die Gruppeneinstellungen für die Technikergruppen festlegen. Wählen Sie die Admin- und Master-Admin-Gruppen aus, die Sie mit Ihren Azure-Gruppen synchronisieren möchten. Bestätigen Sie die Auswahl mit "Ja" und geben Sie an, ob AdSync als Service oder Windows-Terminalanwendung ausgeführt werden soll. Soll es als Windows-Terminalanwendung laufen, schließen Sie das Terminal-Windows nicht. Ist die Installation beendet, können Sie auf "beenden" klicken und den Installer schließen. Sollte der Synchronisierungsdienst fehlschlagen, rufen Sie am besten das Fehlerprotokoll ab, indem Sie unten im Abschnitt "Active Directory-Synchronisierung" auf der Registerkarte "Globale Einstellungen" des Admin Centers auf "Active Directory Logger" klicken.
Wir sind Mitte des Jahres von einer lokal installierten Version von Paessler PRTG Network Monitor auf die cloudbasierte Option PRTG Hosted Monitor umgestiegen. Nachdem wir nun alle für uns erforderlichen Sensoren eingerichtet und abgestimmt haben, möchten wir gerne eine Möglichkeit des Single Sign-on realisieren. Am liebsten würden wir dazu die Benutzeranmeldedaten unseres firmeneigenen Active Directory verwenden. Lässt sich das mit PRTG Hosted Monitor realisieren?
Wenn Sie in Ihrem Unternehmen ein eigenes Active Directory haben, bietet es sich an, PRTG Hosted Monitor mit diesem zu verbinden. Mithilfe von Microsoft Entra ID (ehemals Azure AD) können Sie sich mit Ihren Windows-Anmeldedaten bei PRTG anmelden. Die Benutzerverwaltung wird einfacher und die Benutzer müssen sich ein Passwort weniger merken. Bevor Sie Single Sign-On mit Entra ID verwenden können, müssen Sie einige Dinge vorbereiten. Die Einrichtung ist im Wesentlichen in vier Schritte unterteilt. Zuerst gilt es, Ihre Anwendung in Entra ID zu registrieren. Danach erstellen Sie ein Client-Secret in den Einstellungen. Im dritten Schritt verbinden Sie Ihre PRTG-Hosted-Monitor-Instanz mit Entra ID. Abschließend können Sie andere Benutzer einladen, ihren Zugang via SSO zu konfigurieren. Die initiale Konfiguration der Einstellungen in Microsoft Entra ID ist durchaus umfangreich. Damit Sie trotzdem zügig durch den Konfigurationsprozess kommen, stellt der Anbieter Paessler eine ausführlich bebilderte Schritt-für-Schritt-Anleitung der Einrichtung [Link-Code: https://kb.paessler.com/en/topic/91634] in seiner Know ledge Base bereit.
Geht es um die Zusammenarbeit in Unternehmen, setzen Collaboration-Anwendungen auf das gemeinsame Bearbeiten von Dokumenten inklusive Versionierung, geteilte Kalender oder die Integration von Chats in E-Mails. Doch wenn es um einfache Aufgaben geht, bei denen spontan Kollegen zusammenarbeiten, sind diese Suiten oft zu groß. Dreht es sich beispielsweise darum, gemeinsam das in einem Meeting Besprochene niederzuschreiben, hilft ein Werkzeug wie das freie HedgeDoc.
HedgeDoc – früher als CodiMD bekannt – ist ein kollaborativer Texteditor, mit dem Nutzer gemeinsam Notizen, Anträge, Protokolle und vieles mehr verfassen können. Die Software eignet sich besonders dann, wenn nicht nur reine Texte gemeinsam geschrieben werden, sondern auch Bilder, Formeln, Videos et cetera Teil des Dokuments sind. Die Formatierung der Texte erfolgt dabei mit Markdown, das, anders als etwa LaTex, auch für ungeübte Nutzer schnell zu ansehnlichen Dokumenten führt. HedgeDoc ist Open Source und läuft direkt im Browser, wozu das Tool auf lokalen Servern gehostet wird. Die Installation dort erfolgt auf Basis eines Docker-Containers und ist mit zwei Kommandos erledigt.
Die Zusammenarbeit erfolgt in Echtzeit und startet mit einem Nutzer, der ein sogenanntes "Pad" anlegt. Dieses erhält dann eine URL, die sich an andere Nutzer verschicken lässt und somit als Einladung zu HedgeDoc dient. Jeder, der darauf klickt, kann nunmehr an diesem Dokument mitarbeiten. Wobei das Tool an dieser Stelle verschiedene Modi unterstützt: "Anschauen", "Beides" und "Editieren" (der Beides-Modus ist nur an Desktops und Tablets zu sehen, nicht bei Mobiltelefonen). Selbsterklärend erlaubt der Anschauen-Modus nur das Betrachten des Dokuments, mit "Editieren" ist auch das Schreiben möglich. Die angesprochenen Bilder oder Videos ziehen die Nutzer einfach per Drag-and-Drop in das Pad und machen diese so zum Teil des Dokuments. Steht das Ergebnis der Zusammenarbeit, lässt es sich als HTML- oder PDF-Dokument exportieren. Der eben erwähnte Link ist im Übrigen nicht temporär und erlaubt, ein Pad an mehreren Terminen mit dem gleichen Dokument zu nutzen, indem die Anwender einfach erneut die URL aufrufen.
IT-Verantwortliche, die unter Linux viel mit PDF zu tun haben, kommen mit den Bordmitteln nicht allzu weit, wenn es um das Erstellen oder Bearbeiten dieses Dokumentenformats geht. Das kostenlose und sehr funktionsreiche Stirling PDF verbessert diese Situation dramatisch. Während zahlreiche Online-PDF-Tools existieren, die einen ähnlichen Funktionsumfang bieten, kommt Stirling PDF mit einem zentralen Vorteil: Es ist möglich, die Anwendung selbst zu hosten, sodass die Daten nicht auf einen fremden Cloudserver wandern.
Für diesen Eigenbetrieb ist lediglich ein Docker-Container auf einem NAS oder einem anderen Server erforderlich. Und mit etwas mehr Aufwand lässt sich die Software auch ohne Docker installieren. Sämtliche Installationsvarianten sind im GitHub-Verzeichnis der Software genau beschrieben.
Doch mehr noch als die Betriebsarten überzeugt der gewaltige Funktionsumfang von Stirling PDF. Dieser beginnt mit der Möglichkeit, PDFs in mehrere Dateien mit bestimmten Seitenzahlen aufzuteilen oder alle Seiten als einzelne Dateien zu extrahieren, und erlaubt zudem, mehrere PDFs zu einer einzigen Datei zusammenzuführen. Auch lassen sich die Seiten eines Dokuments in verschiedenen Reihenfolgen reorganisieren. Dann versetzt Stirling den Nutzer in die Lage, PDFs in Bilder zu konvertieren (und umgekehrt) sowie Bilder an bestimmten Stellen in das File zu integrieren. Dazu gesellen sich Sicherheitsfeatures wie das Hinzufügen und Entfernen von Passwörtern, Berechtigungen festlegen und Wasserzeichen hinzufügen. Doch wer glaubt, wir sind hier am Ende der Feature-Liste, der irrt – unser Screenshot verdeutlich noch einmal, wie viele Optionen Stirling PDF parat hält.
Traefik bietet die typischen Features eines Reverse-Proxys: Von außen ankommender Datenverkehr wird an interne Services verteilt und lässt sich auf dem Weg in verschiedener Weise behandeln. Unterstützt werden nicht nur HTTP und HTTP/2, sondern auch TCP/UDP, Websockets und gRPC. Sogar Routing-Muster wie etwa Mirroring, Loadbalancing und Canary Deployments lassen sich mit dem Werkzeug realisieren. In Sachen Security gibt es leider Abstriche der freien Version und verbreitete Verfahren für die Authentifizierung wie OAuth2, JWT, LDAP und OpenID Connect sind der kostenpflichtigen Enterprise-Version vorbehalten. Die Open-Source-Variante ist auf TLS-Unterstützung und HTTP-Basic-Auth beschränkt. Ein besonders interessantes Feature hat die quelloffene Version dennoch zu bieten, indem sie erlaubt, Let's-Encrypt-Zertifikate automatisch anfordern und erneuern zu lassen.
Traefik stellt zur Installation offizielle Docker-Images bereit. Daneben existieren Binär-Pakete für Windows, macOS, Linux und BSD. Nach der Installation ist Traefik im Prinzip sofort lauffähig, für eine Minimalkonfiguration sind nur wenige Parameter notwendig. Bei weitreichenderen Konfigurationen unterscheidet die Software zwischen statischen und dynamischen Einstellungen. Die statische Konfiguration erhält Traefik beim Start über eine Konfigurationsdatei, Kommandozeilenargumente oder Umgebungsvariablen. Die dynamische Konfiguration beschreibt die Dienste, die Traefik zugänglich macht. Sie gelangt in den meisten Fällen indirekt über die jeweiligen Backends zum Tool.
Vielen Anwendern stellen Unternehmen bereits Portale zu Verfügung, mit denen sie sich mit einem Klick das gewünschte Programm auf den eigenen Rechner holen. Die Open-Source-Software Yacht macht auch das Bereitstellen solcher Applikationen zu einem Ein-Klick-Erlebnis: IT-Verantwortliche bringen so spielend einfach auf Basis von Docker eine Software containerisiert an den Start.
Yacht ist im Prinzip ein Webinterface zur Verwaltung von Docker-Containern, das über Templates schnelle Deployments ermöglicht. Doch das ist nicht der einzige Vorteil des Tools, denn es bringt als zentrales Feature eine graphische Oberfläche zum Management von Docker-Containern mit. Denn mit der steigenden Komplexität der Container-Systeme wird auch ihre Verwaltung schwieriger und eine GUI vereinfacht das Handling der Systeme. Ebenfalls das Management vereinfachen die enthaltenen Container-Templates (kompatibel zu Portainer), die – mit den passenden Variablen bestückt – erlauben, neue Anwendungen wie erwähnt mit nur einem Mausklick bereitzustellen. Daneben bringt Yacht auch alle Features mit, die zur allgemeinen Verwaltung der Container erforderlich sind, und stellt zudem ein Dashboard bereit, das zentral Monitoringdaten der Applikationen liefert. Die Software ist derzeit noch in einer recht frühen Entwicklungsphase, sodass IT-Verantwortliche sie gründlich testen sollten, bevor es in die Produktivumgebung geht. Diese erhält auf Linux mit amd64, arm/v7 und arm64 offiziell Support. Yacht lässt sich ohne Gewähr in den meisten Fällen zudem unter Windows und macOS in Betrieb nehmen.