für den IT-Administrator

Redaktion IT-Administrator

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an tipps@it-administrator.de.

Monitoring

Wir betreiben in unserem Unternehmen eine heterogene Netz- werkinfrastruktur mit Switches verschiedener Hersteller an mehreren Stand- orten. Die manuelle Dokumentation von Switch-Ports, VLANs und Firmwareversionen kostet uns viel Zeit und ist oft veraltet. Gibt es eine Möglichkeit, diese Informationen mit Paessler PRTG Network Monitor automatisch zu erfassen und für unsere IT-Dokumentation nutzbar zu machen?

PRTG bietet mehrere Wege, um Netzwerkhardware automatisch zu inventarisieren und die Daten strukturiert bereitzustellen. Der effizienteste Ansatz nutzt SNMP-basierte Sensoren, die kontinuierlich Informationen von Ihren Switches abrufen. Für eine grundlegende Inventarisierung eignet sich der "SNMP Library Sensor". Er arbeitet mit MIB-Dateien (Management Information Base), die herstellerspezifische Informationen wie Modellbezeichnungen, Seriennummern und Firmwareversionen auslesen. Nach dem Import der Hersteller-MIB generiert der SNMP-Library-Sensor automatisch Kanäle für alle sinnvollen, verfügbaren OIDs. Die tatsächliche Tiefe der auslesbaren Daten hängt von der Qualität und dem Umfang der MIB-Datei ab.

Für detaillierte Port- und VLAN-Informationen kommt der "SNMP Custom Table Sensor" zum Einsatz. Mit ihm können Sie gezielt SNMP-Tabellen abfragen – etwa die Interface-Tabelle (ifTable), die Informationen zu jedem Switch-Port liefert: Portstatus, Geschwindigkeit, Duplex-Modus und zugewiesene VLANs. Der Sensor erzeugt für jede Tabellenzeile ein eigenes Sensorobjekt mit mehreren Kanälen. Dadurch lässt sich jeder Port oder jede Tabelle separat überwachen und dokumentieren.

Die Auto-Discovery-Funktion von PRTG erkennt beim initialen Scan automatisch alle SNMP-fähigen Geräte in Ihrem Netzwerk und legt passende Sensoren an. So entsteht ohne manuellen Aufwand eine aktuelle Bestandsaufnahme Ihrer Switch-Infrastruktur. Besonders hilfreich: Über das PRTG-API lassen sich alle relevanten Geräte-, Sensor- und Channel-Daten abrufen. Die aufbereiteten Inventardaten können Sie anschließend in externe Dokumentationssysteme übernehmen. Alternativ nutzen Sie die integrierten Reportfunktionen, um automatisch PDF- oder HTML-Berichte mit dem aktuellen Inventarstatus zu generieren.

Zusätzliche Informationen zur Nutzung von SNMP-Sensoren für die Netz- werkdokumentation finden Sie im PRTG-Handbuch, wenn Sie dem Link it-a.eu/q6pe1 folgen.

Für weitere Tipps und Tricks rund um das Thema Monitoring mit PRTG bietet Paessler unter [Link-Code: https://www.youtube.com/c/PRTGNetworkMonitorByPAESSLER?utm_source=itadministrator&utm_medium=referral&utm_campaign=tipps] auch einen YouTube-Kanal mit Tutorials an.

Sicherheit

Die Verwaltung der Endpoint- Security an unseren verteilten Standorten gestaltet sich sehr aufwendig, wenn jedes Gerät manuell konfiguriert werden muss. Mal ganz abgesehen davon, dass inkonsistente Scaneinstellungen, USB-Richtlinien und Firewallregeln potenzielle Sicherheitslücken öffnen. Wie lässt sich eine einheitliche Endpoint-Protection-Richtlinie in LogMeIn Resolve effizient über alle Geräte hinweg ausrollen?

LogMeIn Resolve verfügt über eine integrierte Endpoint-Protection-Funktion, die auf Bitdefender basiert und eine zentrale Verwaltung von Sicherheitsrichtlinien ermöglicht. Über das Policysystem sind Administratoren in der Lage, einheitliche Schutzeinstellungen für beliebig viele Geräte gleichzeitig zu definieren und auszurollen. Eine solche Richtlinie kann dabei verschiedene Sicherheitsbereiche abdecken. Neben Quick- und Full-Scans lassen sich auch USB-Richtlinien festlegen sowie Dateien und Prozesse von Scans ausschließen. Zusätzlich bietet die Firewallfunktion Schutz vor Port-Scan-Angriffen und ermöglicht die Kontrolle über die Netzwerk-Druckfreigabe sowie die gemeinsame Internetverbindung.

In der Konsole von LogMeIn Resolve wählen Sie zunächst unter "Devices" die Registerkarte "Antivirus" aus. Über "Manage Endpoint Protection Policy" und "Add new policy" legen Sie dann eine neue Richtlinie an. Nach der Auswahl des Policytyps "Resolve Endpoint Protection" konfigurieren Sie schrittweise die gewünschten Einstellungen für Schutzstrategie, Scans, USB-Verhalten, Content Control und Firewall. Anschließend lassen sich die Zielgeräte oder Gerätegruppen bestimmen. Nach der Vergabe eines Namens und einer Beschreibung aktivieren Sie die Policy über "Activate policy". Geräte, die zum Zeitpunkt der Aktivierung offline sind, erhalten die Richtlinie automatisch beim nächsten Verbindungsaufbau.

Bei der Konfiguration einer Policy stehen drei Schutzstrategien zur Wahl: "Allowing" bietet maximalen Schutz gegen Malware, "Normal" sorgt für eine ausgewogene Balance zwischen Sicherheit und Performance, während "Strict" die Systemleistung priorisiert. Für Scans lässt sich ein Zeitplan hinterlegen, und in dem Bereich "Cleaning Behaviour" legen Sie fest, ob Sie erkannte Bedrohungen automatisch löschen oder zunächst nur in Quarantäne verschieben wollen. Darüber hinaus können Sie ein Passwort festsetzen, das Endanwender benötigen, um die Endpoint-Protection zu deinstallieren.

Mit dem Policy-System von LogMeIn Resolve lässt sich die Endpoint-Security auch in komplexen, verteilten Infrastrukturen zentral und konsistent verwalten. Einmal konfiguriert, sorgt eine aktive Richtlinie dafür, dass alle Geräte denselben Sicherheitsstandard einhalten. Das reduziert den manuellen Verwaltungsaufwand und schließt gleichzeitig Sicherheitslücken.

Weitere Tipps rund um das Thema IT-Management finden Sie im Blog "Products in Practice" von GoTo unter http://www.goto.com/de/blog/products

Wir betreiben OPNsense als zentrale Firewall und möchten aktuelle Bedrohungsdaten automatisch einbinden. Was ist Q-Feeds und wie richten wir Lizenzen sowie den API-Key für die Integration ein?

Q-Feeds ist ein Threat-Intelligence- Dienst, der aktuelle Informationen zu schädlichen IP-Adressen, Domains und weiteren Indicators of Compromise (IoCs) bereitstellt. In Verbindung mit OPNsense lässt sich dieser Dienst über ein Plug-in nutzen, um dynamische Blocklisten zu pflegen. Die Firewall aktualisiert damit automatisch ihre Filterregeln und kann bekannte Angriffsziele proaktiv blockieren.

Für die Nutzung benötigen Sie eine gültige Lizenz sowie einen API-Key, über den sich Ihre OPNsense-Instanz mit der Q-Feeds-Cloud verbindet. Die Erstellung erfolgt zentral im Webinterface und bildet die Grundlage für die spätere Anbindung der Firewall. Gehen Sie dazu wie folgt vor:

1. Konto und Lizenz aktivieren: Regis- trieren Sie sich im Q-Feeds-Webinterface und hinterlegen Sie Ihre Lizenz. Erst danach lassen sich API-Keys mit den entsprechenden Berechtigungen erzeugen.

2. API-Key erstellen und Lizenz zuweisen: Legen Sie im Bereich zur API-Verwaltung einen neuen Schlüssel an. Vergeben Sie eine Beschreibung für das Zielsystem (zum Beispiel Ihre OPNsense-Firewall) und wählen Sie unter Assign License die passende Lizenz aus. Der API-Key wird erst beim Speichern generiert und übernimmt automatisch die Berechtigungen sowie Laufzeit der gewählten Lizenz.

3. Plug-in in OPNsense installieren: Installieren Sie auf Ihrer Firewall das Plug-in "os-q-feeds-connector" über die Paketverwaltung.

4. API-Key in OPNsense hinterlegen: Tragen Sie den generierten Schlüssel in der Q-Feeds-Konfiguration der Firewall ein und aktivieren Sie die gewünschten Feeds.

5. Feeds prüfen: Nach erfolgreicher Verbindung lädt OPNsense die konfigurierten Daten automatisch und nutzt sie beispielsweise für Alias- oder DNS-Blocklisten.

Beachten Sie, dass Umfang und Aktualisierungsfrequenz der Feeds von der eingesetzten Lizenz abhängen. Passen Sie die Auswahl daher an Ihre Sicherheitsanforderungen an.

Viele weitere Tipps und Tricks zu Servermanagement, Virtualisierung und Linux finden Sie im Thomas-Krenn-Wiki unter http://www.thomas-krenn.com/de/wiki/Hauptseite.

Cloud

In unserem Unternehmen betreiben wir mehrere große Anwendungen, die auf Angular 16 basieren. Eine Migration auf eine aktuellere Version ist überfällig, doch der manuelle Aufwand für die Umstellung bindet erhebliche Entwicklerkapazitäten. Die Anpassung von Komponenten, State-Management und Routing-Logik kostet wertvolle Zeit, die andernorts fehlt. Wie können wir eine Framework-Migration effizient, konsistent und mit minimalem manuellem Aufwand über mehrere Verzeichnisse hinweg durchführen?

Für solche Szenarien bietet AWS einen KI-gestützten Ansatz, der den manuellen Aufwand von Framework-Migrationen reduzieren soll: "AWS Transform Custom". Der intelligente Agent soll Codemodernisierungen in großem Maßstab erlauben. Dabei kombiniert er vorgefertigte Transformationen für gängige Upgrades mit der Möglichkeit, auch eigene Transformationsmuster zu definieren. Entwickler können repetitive Modernisierungsaufgaben auf diese Weise weitgehend vermeiden.

Bei Framework-Migrationen wie dem Wechsel von Angular 16 auf eine neuere Version erkennt AWS Transform Custom die spezifischen Muster der Komponentenübersetzung, der State-Management-Konvertierung sowie der Routinglogik. Der Service empfiehlt dabei automatisch Zwischenschritte, um die Migration schrittweise und fehlerfrei durchzuführen. Jede Phase wird durch integrierte Test- und Verifikationsstufen abgesichert, bevor die nächste beginnt. Die nötigen Schritte hierzu sehen wie folgt aus:

1. Transformationen auswählen oder erstellen: Über das CLI von AWS Transform Custom lassen sich alle vorhandenen Transformationsdefinitionen auflisten. Gibt es keine passende, erzeugen Sie über die interaktive CLI-Oberfläche in natürlicher Sprache eine neue und veröffentlichen sie im Team-Registry.

2. Transformationsplan prüfen und ausführen: AWS Transform Custom generiert automatisch einen detaillierten, schrittweisen Migrationsplan. Diesen können Sie vor der Ausführung prüfen und anpassen. Nach Freigabe des Plans wird die Migration automatisch auf das Ziel-Repository angewendet. Der Fortschritt ist im CLI oder über das Webinterface nachverfolgbar.

3. Ergebnisse prüfen und publizieren: Die transformierten Änderungen landen in einem separaten Branch. Nach erfolgreichem Review veröffentlichen Sie die Transformation im Team-Registry, um sie wiederzuverwenden.

Mithilfe der Kombination aus intelligenter Automatisierung und lernfähigen Transformationsmustern werden zeitaufwendige Migrationen mit AWS Transform Custom zu einem skalierbaren, wiederholbaren Prozess. Mehr Informationen zum Agenten erhalten Sie unter dem Link it-a.eu/q6pe2.

Tools

Obwohl in Zeiten von SSDs Performanceprobleme beim Booten von Endgeräten zunehmend in den Hintergrund rücken, begegnen IT-Verantwortliche doch immer wieder Anwender, die darüber klagen. Wenn sich diese Beschwerden allerdings häufen oder auf dem Rechner eines Mitglieds der Geschäftsleitung auftreten, gilt es, das subjektive Empfinden "Mein Rechner braucht ewig beim Booten" durch belastbare, objektive Messdaten zu evaluieren. Das Tool BootRacer ist speziell für diesen Zweck geschaffen und hilft, Verzögerungen, die durch neu implementierte Sicherheitsrichtlinien, fehlerhafte Treiber oder eine überladene Autostart-Konfiguration auftreten, auf die Schliche zu kommen.

BootRacer unterscheidet sich von den üblichen Wartungssuiten durch seinen messbaren, fast schon forensischen Ansatz zur Analyse des Windows-Systemstarts. Während der normale Anwender beim Hochfahren seines Rechners lediglich auf das Erscheinen seines Desktops wartet, dient dieses Tool dazu, diesen Prozess in seine Bestandteile zu zerlegen und die zeitliche Dauer jedes einzelnen Abschnitts präzise zu protokollieren. Die Kernfunktion von BootRacer besteht darin, den Zeitstempel beim Erreichen der kritischen Phasen des Betriebssystems exakt zu erfassen, angefangen beim initialen Laden des Boot-Loaders bis hin zur vollständigen Initialisierung aller Hintergrunddienste und der grafischen Benutzeroberfläche. Dabei bietet das Werkzeug einen detaillierten Einblick in das Zusammenspiel zwischen Hardwareinitialisierung durch das UEFI oder BIOS und dem anschließenden Windows-Kernelstart. Ein besonderes Feature ist dabei die Fähigkeit, Autostart-Programme in ihrer Ausführungsdauer zu isolieren, was besonders bei der Fehlersuche in komplexen Clientumgebungen hilfreich ist, um einen spezifischen Flaschenhals zu identifizieren. Im Gegensatz zu den rudimentären Angaben im Windows Task-Manager, die oft nur vage Rückschlüsse auf die "Auswirkung auf den Start" zulassen, liefert BootRacer ein nachvollziehbares Log, das sich hervorragend eignet, um die Auswirkungen von Konfigurationsänderungen oder Softwareupdates in einem Vorher-Nachher-Vergleich zu dokumentieren.

Administratoren sollten jedoch beachten, dass BootRacer ein punktuelles Diagnoseinstrument ist. Es sollte nicht als dauerhafter Systembegleiter eingesetzt werden, da sich das Werkzeug tief in den Startvorgang einklinkt, um die Messungen durchzuführen. Die Anwendung sollte ausschließlich für gezielte Analysen zum Einsatz kommen und ist danach wieder zu deinstallieren oder zu deaktivieren. Ein permanent im Hintergrund aktives Messwerkzeug würde selbst Ressourcen beanspruchen und könnte somit die Testergebnisse verfälschen. Zudem stößt das Tool an seine Grenzen, wenn es um die Ursachenforschung bei tiefgreifenden Systemfehlern geht; es identifiziert zwar zuverlässig, dass ein Prozess den Start verzögert, aber die Beantwortung der Frage nach dem "Warum?" erfordert den Wechsel in die Windows-Ereignisanzeige oder den Einsatz des Performance Toolkits.

Bei der Arbeit an Servern ist es keine Seltenheit, dass der Admin Informationen aus MS Access-Datenbank benötigt oder diese anpassen muss. Doch aus Lizenzgründen oder zur Vermeidung von Software-Wildwuchs ist es vielfach nicht möglich, auf besagter Maschine Microsoft Office oder die entsprechende Access-Runtime zu installieren. Muss der Supporter also schnell auf Datenstrukturen zugreifen, um beispielsweise verwaiste Datenbanken zu untersuchen, Konfigurationswerte in Access-basierten Legacy-Applikationen auszulesen oder einfach nur die Integrität einer Datei zu prüfen, ohne die umfangreichen Komponenten der Microsoft-Datenbank- Engine zu bemühen, greift er zu MDB Viewer Plus.

MDB Viewer Plus ist ein leichtgewichtiges, portables Programm, das speziell dafür entwickelt wurde, Microsoft-Access-Datenbankdateien im MDB- oder ACCDB-Format zu öffnen, anzuzeigen und rudimentär zu bearbeiten, ohne dass eine Installation von Microsoft Access auf dem Zielsystem erforderlich ist. Die Features des Tools sind auf das Wesentliche reduziert, was gerade in der schnellen Fehlerbehebung einen Vorteil darstellt. Das Werkzeug ermöglicht das Browsen durch Tabellen, das Anwenden von einfachen Filtern und das Ausführen von SQL-Abfragen, um spezifische Datensätze gezielt zu extrahieren. Besonders hilfreich ist die integrierte Suchfunktion, die es erlaubt, über mehrere Tabellen hinweg nach bestimmten Werten zu suchen – ein Szenario, das bei der Analyse defekter Datenbanken oft vorkommt.

Zusätzlich bietet das Programm Exportfunktionen, um Daten in Formate wie CSV, TXT oder XML zu überführen, was die weitere Verarbeitung in Skripten oder anderen Systemen vereinfacht. Nützlich ist auch die Option, Tabellendefinitionen einzusehen, was dem Administrator hilft, das Datenmodell zu verstehen, ohne das Risiko einzugehen, die Datenbank durch eine Schreiboperation in einer komplexen Office-Umgebung unbeabsichtigt zu beschädigen oder zu konvertieren. Durch seine Portabilität als eigenständig ausführbare Datei benötigt es keinen Installationsprozess, was es zum idealen Kandidaten für den IT-Notfall-Stick macht. Doch MDB Viewer Plus ist nicht dafür gedacht, komplexe Abfragestrukturen zu entwickeln oder umfangreiche Datenbanklogik zu verwalten. Auch stößt es bei sehr großen Datenbanken oder hochkomplexen Relationen an Performancegrenzen.

Bei der Inbetriebnahme von Hardware, beim schnellen Check von Konnektivitätsproblemen in einem fremden Segment oder bei der Suche nach IP-Konflikten ist eine ausgewachsene Suite für das IP-Adressmanagement zwar wünschenswert, steht jedoch nicht immer zur Verfügung. Vielleicht weil das Unternehmen ein derartiges Werkzeug gar nicht benötigt oder aber weil der Admin gerade in einer Außenstelle unterwegs ist. Auch belastet ein umfangreiches Scanning der IP-Umgebung das System über die Maßen. Das kostenlose IP Seizer ist in derartigen Szenarien äußerst hilfreich.

Der IP Seizer fungiert als schlanker IP-Scanner in einer Umgebung, in der die Vergabe von IP-Adressen per DHCP erfolgt. Das Werkzeug fragt den Status von IP-Adressen innerhalb eines definierten Bereichs ab. Das Programm scannt einen festgelegten IP-Adressbereich und gibt Rückmeldung darüber, ob eine Adresse "lebendig" ist – sprich, ob sie auf eine ICMP-Echo-Anfrage reagiert. Das Besondere an diesem Tool ist seine minimalistische, aber effiziente Umsetzung. Es erlaubt das direkte Scannen nach aktiven Hosts und bietet eine übersichtliche Darstellung der Antwortzeiten und des Status. Für den Administrator bedeutet das: Er kann innerhalb weniger Sekunden feststellen, ob eine IP-Adresse im Netzwerksegment bereits durch ein anderes Gerät belegt ist, bevor er diese beispielsweise einem Server oder einer Netzwerkkomponente manuell zuweist. Die Geschwindigkeit und die geringe Systemlast machen es zu einem nützlichen Werkzeug für den schnellen Einsatz. Es verzichtet auf grafische Spielereien oder komplexe Portanalysen, was es gerade in stark reglementierten oder instabilen Netzwerken zu einem robusten Werkzeug macht. Zudem erzeugt es keine unnötigen Pakete, die Sicherheitsappliances als Angriff werten könnten.

Eine wesentliche Besonderheit und gleichzeitig ein wichtiger Hinweis für den Einsatz ist der Fokus auf die reine IP-Verfügbarkeit. Da das Tool primär auf ICMP-Echo-Requests basiert, sollte der IT-Verantwortliche immer im Hinterkopf behalten, dass eine negative Rückmeldung – also eine nicht erreichbare IP-Adresse – nicht zwingend bedeutet, dass die Adresse frei ist. Moderne Endgeräte oder strikt konfigurierte Firewalls blockieren ICMP-Anfragen oft standardmäßig, weshalb keine Antwort nicht heißt, dass die Adresse verfügbar ist.