Vor der Installation des SP1 sollte man eine evtl. am Server angeschlossene USV (Unterbrechungsfreie Stromversorgung) vom Server abstöpseln. Der Grund: Das SP1 versucht bei der Installation alle angeschlossenen Geräte zu erkennen. Im Falle von seriell angeschlossenen USVs schlägt dies bisweilen fehl und führt zu Abstürzen.

Ob diese Einschränkung in der endgültigen Fassung des SP1 noch gelten wird, ist derzeit unklar.

Verwandte Beiträge:

1. Windows 7 Beta: Sicherheitsprobleme mit UAC (Update: Lösung in Sicht!)
   Eine der wesentlichen Änderungen in Windows 7 gegenüber Windows Vista...
2. Webcast: “Windows 7 und Windows Server 2008 R2: Reif fürs Unternehmen?”
   Am 20. Oktober werde ich einen Webcast zu Windows 7...
3. Exchange 2007 SP2 und Windows Server 2008 R2
   Es besteht jetzt die Möglichkeit, Exchange 2007 SP2 auf Windows Server...

Microsoft hat sich mit Hyper-V 2.0 als dritter Anbieter für ernst zu nehmende Server-Virtualisierung neben VMware und Citrix XenServer etabliert. Doch obwohl außen "Windows" draufsteht, braucht die Lösung einige Sorgfalt, damit sie die Anforderungen der Anwender erfüllt und Angriffen widersteht.

Der Workshop beleuchtet Fragen der Sicherheit in der Einrichtung und dem Betrieb virtueller Umgebungen mit Windows Server 2008 R2, gibt Hinweise für das Projektdesign zur Einführung von Virtualisierung und vermittelt Praxiserfahrungen im Umgang mit Hyper-V 2.0.

Die Termine:

• 15. September 2010, Hamburg
• 29. September 2010, Köln
• 06. Oktober 2010, Stuttgart

Folgende Agenda plane ich für den Workshop ein:

• Hyper-V und Sicherheit: Was viele übersehen
  • Innen, außen und irgendwo dazwischen: VMs und Netzwerke
  • Sandboxes sind keine Spielplätze: Sicherheit erfordert Disziplin
  • Klone und Zombies: „Bad Guys“ selbst gemacht
• Prüfen und planen: Damit das Projekt gelingt
  • Warum virtualisieren wir eigentlich?
  • Mythen und Irrtümer erkennen
  • Der virtuelle Server: Neu oder gebraucht?
  • Hinter der Fassade: Komplexe IT
• Sizing und Setup: Darf’s etwas mehr sein?
  • Hyper-V-Sizing: Grundlagen
  • Speicher und Netzwerk passend ausbauen
  • Clustering: Im Dutzend billiger
  • Werkzeugkoffer: Den Betrieb im Griff

Nähere Daten und die Anmeldung finden sich bei der iX:

[iX-Konferenz: Hyper-V sicher und sauber]
http://www.ix-konferenz.de/konf.php?konferenzid=106

Verwandte Beiträge:

1. Mini-Roadshow: Hyper-V in der Praxis
   Microsoft, NetApp und das hannoversche Systemhaus WITcom laden im Februar...
2. Vorträge auf der CeBIT
   Auf der diesjährigen CeBIT, die schon in der nächsten Woche...
3. Hyper-V, das SP1 und Dynamic Memory
   Das Service Pack 1 für Windows Server 2008 R2 ist...

Tatsächlich scheint es so zu sein, dass das Update die Exchange-Dienste nicht nur beendet, sondern gleich deaktiviert. In manchen Situationen bricht das Update dann ab, bevor es die Dienste wieder einschaltet. Meistens hilft es hier, die Dienste manuell wieder zu aktivieren und zu starten.

Einige Kunden berichten, dass ein erneuter, manueller Installationsversuch des Update Rollup 4 erfolgreich verlief. Ein weiteres Problem: In einzelnen Fällen bietet Windows Update bzw. WSUS nach der erfolgreichen Installation des Update Rollup 4 plötzlich das Update Rollup 3 wieder zur Installation an.

Tatsächliche Problemlösungen sind hierzu bislang nicht bekannt. Allerdings bringt Exchange ein PowerShell-Skript mit, das die Konfiguration der Dienste wiederherstellt: "servicecontrol.ps1 afterpatch". Das Skript befindet sich im Ordner \scripts des Exchange-Programmverzeichnisses.*

Es gibt im Internet einige Hinweise auf Abhilfe im Detail; hier ein interessanter (aus den Kommentaren zu http://msexchangeteam.com/archive/2010/06/17/455191.aspx):

Steen Kirkby said:

In my case OWA also got broken and it left all services disabled.
Solved it with:
Change all "Microsoft Exchange…." services back to Automatic Startup
(Microsoft Exchange POP3, IMAP4, Monitoring and Server Extension for Windows Server Backup are set to manual by default – you might want to keep them that way)
Change the following (non-"Microsoft Exchange") services back to Automatic Startup:
- IIS Admin Service
- Microsoft Search  (Exchange)
- Remote Registry
- Windows Management Instrumentation
- World Wide Web Publishing Service
That got me up and running with UM, mail flow and Outlook clients connected, but OWA was still broken with the following symptoms:
When simply applying the Update Rollup 4 for Exchange 2010, you might end up with a blank logon screen at your CAS servers when you want to reach OWA.
When opening up the details of the error message, the following text is shown:
Message: Syntax error
Line: 1
Char: 1
Code: 0
URI: https://localhost/owa/14.0.702.0/scripts/premium/flogon.js
How to solve it?
Stop all "Microsoft Exchange…"
(In my case also: Backup Exec and Symantec Mail Security for Exchange)
Start an Administrative Exchange Management Shell
Type ii Exchange2010-KB982639-x64-en.msp
Close the Exchange Management Shell and finish the patch.

* Danke für den Hinweis an Wolfgang Sauer!

Verwandte Beiträge:

1. Exchange 2007: Dienste starten nicht nach Rollup Update 5
   Mit dem Rollup Update 5 für den Exchange Server 2007...
2. Exchange 2010 ohne Backup und dennoch sicher?
   Exchange-MVP Walter Steinsdorfer hat einen lesenswerten Artikel zu der Marketingaussage...
3. Exchange 2010: Fehlende Systemmailboxen für Approval-Workflows
   Heute wollte ich einen Approval-Workflow erstellen und wurde von der...

[faq-o-matic.net » IT-Sicherheit, der physische Layer und warum man auch Banken nicht trauen kann]
http://www.faq-o-matic.net/2010/08/07/it-sicherheit-der-physische-layer-und-warum-man-auch-banken-nicht-trauen-kann/

Wenige Tage später bekam ich nun einen Brief dazu von der Sparkasse Hannover, der mich positiv überraschte.

Ich zitiere die wesentlichen Passagen aus dem Original:

Durch Ihren Beitrag “IT-Sicherheit, der physische Layer und warum man auch Banken nicht trauen kann” bei faq-o-matic.net haben Sie uns auf eine Sicherheitslücke bei den SB-Geräten unserer provisorischen Filiale […] aufmerksam gemacht.

[…] Unser Sicherheitskonzept sieht selbstverständlich vor, dass Netzwerkschnittstellen in den Foyers unzugänglich verbaut werden. Dies ist hier nicht geschehen. Grundsätzlich sind die von Ihnen angesprochenen Penetrationsmöglichkeiten denkbar. Diverse weiterführende Sicherheitsmaßnahmen minimieren jedoch Sicherheitsrisiken im Netzwerk der Sparkasse Hannover.

Durch Ihren Hinweis konnten wir sofort reagieren und den Bereich am Montag zunächst provisorisch umschließen. Mittlerweile sind die Anschlussdosen […] unzugänglich gemacht worden.

Sie haben uns geholfen, besser zu werden. Danke!

Das nenne ich eine positive Reaktion in mehrfacher Hinsicht!

Verwandte Beiträge:

1. IT-Sicherheit, der physische Layer und warum man auch Banken nicht trauen kann
   Heute muss ich ein Bekenntnis loswerden: Seit Jahrhunderten bin ich...
2. Kompromisse zwischen Sicherheit und Bequemlichkeit? Das Beispiel UAC
   Wer sich mit IT-Sicherheit beschäftigt, kennt die Einsicht, dass Maßnahmen,...
3. Special Event Windows 7: Die Folien
   Mehr als 130 Besucherinnen und Besucher haben sich auf Einladung...

Verwandte Beiträge:

1. \\ice:2007: Windows Server 2008: Weniger ist mehr (Folien)
   Die Folien zu meiner Session "Windows Server 2008: Weniger ist...
2. ice:2009: AD-Recovery – die Folien
   Hier die Folien zu meiner Session “Active Directory Disaster Recovery:...
3. \\ice:2008: Active Directory als Datenspeicher? Die Folien
   Wie eben gerade im Vortrag versprochen – hier sind die...

Live von der ice:2010 berichten viele Blogger – und die ice:wall, eine Twitterwall (Hashtag: #icelingen).

http://www.faq-o-matic.net/icewall/

Verwandte Beiträge:

1. \\ice:2010: Die ice:wall
   Am 14. August ist wieder ice-Zeit: Die ice:2010 in Lingen,...
2. Mit dem Canon-Scanner in die gute alte Zeit …
   Privat nutze ich einen kleinen Canon-Scanner. Zwar hatte ich mein...
3. ice:2010: Ausblick auf die Agenda
   Soeben hat Nicki Wruck einen Ausblick auf die Vorträge sowie...

Das Problem: Bei der VM handelte es sich um den SCVMM-Server …

Der Hintergrund war eine schlecht geplante Aktion. Ein Admin hatte versucht, genau diese VM mit der “Speichermigration” auf ein anderes Clustervolume zu verschieben. Diese Speichermigration ist aber keine Live-Migration: Die VM setzt dabei für mehrere Minuten aus. Das wiederum führte natürlich dazu, dass der SCVMM-Dienst nicht mehr erreichbar war. Im Effekt schlug der Verschiebevorgang fehl.

Der VM selbst machte das nichts: Da der Vorgang eine Transaktion darstellt, war die VM hinterher noch an ihrem alten Platz und lief anstandslos weiter. Nur innerhalb der SCVMM-Datenbank war vermerkt, dass der letzte Vorgang fehlgeschlagen war. Die Konfigurationsdaten standen nun aber falsch in der Datenbank, denn sie zeigten auf den “neuen” Speicherort, an den die VM aber gar nicht verschoben worden war.

Hier war guter Rat etwas teurer. Die VM aus dem SCVMM zu löschen, funktionierte  nicht: Zum einen löscht SCVMM dabei auch die VHD-Dateien von den Platten des Hosts. Zum anderen bricht der Vorgang natürlich ab, weil SCVMM die virtuelle Maschine beendet und in diesem Fall wieder den Kontakt zu seinem eigenen Dienst verliert …

Abhilfe schaffte der folgende KB-Artikel:

[You cannot delete a missing VM in SCVMM 2008 or in SCVMM 2008 R2]
http://support.microsoft.com/kb/983839/en-us

Dort steht ein anderes Szenario im Hintergrund: In dem Artikel sollen VMs mit dem Status “Missing” aus der Datenbank entfernt werden, welcher durch andere fehlerhafte Vorgänge entstehen kann. Dazu ist ein SQL-Skript notwendig, das direkt in der VMM-Datenbank die zugehörigen Einträge löscht. Operation am offenen Herzen also …

Ein Blick auf das SQL-Skript nährte die Hoffnung, dass es auch in diesem Fall einsetzbar ist. Es löscht alle VMs aus der Datenbank, die den Status “220” haben (Missing). In meinem Fall war der Status “107”, wie ich durch einen Blick in die Tabelle “tbl_WLC_VObject” der VMM-Datenbank herausfand.

Ich stoppte also den VMM-Dienst auf dem SCVMM-Server, kopierte das Skript in den SQL-Manager und änderte in der vierten Zeile den Wert “220” in “107”. Das Skript brauchte nur wenige Sekunden. Nach Neustart des VMM-Dienstes war die fehlerhafte VM aus der Anzeige verschwunden.

Um die VM nun wieder in den VMM einzubinden, öffnete ich die Eigenschaften des Hosts, auf dem die VM lief. Unter “VMs” klickte ich auf “Durchsuchen”§ und wählte den tatsächlichen Speicherpfad der VM-Dateien aus. Danach war es erforderlich, den Host per Rechtsklick im VMM zu aktualisieren. Danach war die VM wieder korrekt eingebunden und verwaltbar.

Achtung: Dieses Verfahren ist nur auf eigene Gefahr einzusetzen! Ich übernehme keinerlei Verantwortung oder Support dafür!

Ein vergleichbares Problem mit einem ähnlichen Lösungsansatz beschreibt Michel Lüscher hier:

[Error “The cluster group could not be found” in Virtual Machine Manager | Server Talk]
http://www.server-talk.eu/2010/08/14/error-the-cluster-group-could-not-be-found-in-virtual-machine-manager/

Verwandte Beiträge:

1. CSV als Datenbank: Unterschiede zwischen Vista und XP
   Zugegeben, es ist ein etwas exotischer Fall. Trotzdem wird der...
2. MS SQL 2005: Transaction Log von der Datenbank trennen
   Mit dem "MS SQL Server Management Studio" ist es nicht...
3. Virtuelle DCs: Zeitprobleme vermeiden
   Wer Domänencontroller als virtuelle Maschinen betreibt, sollte besonderes Augenmerk auf...

Die Exchange Management Shell (vulgo “PowerShell”) enthält einige Cmdlets, die den granularen Zugriff auf Postfachberechtigungen zulassen:

• Get-MailboxFolderPermission
• Add-MailboxFolderPermission
• Remove-MailboxFolderPermisssion

Vorausgesetzt, man hat auf das Mailbox-Objekt ausreichende administrative Rechte, kann man mit Hilfe dieser Kommandos Zugriffsrechte auf einzelne Ordner innerhalb der Mailbox vergeben. Das betrifft nicht nur den Kalender, sondern auch andere Ordner. Die wichtigste Hürde dabei: Man muss wissen, wie der jeweilige Ordner heißt. Zwar gibt es auch ein Cmdlet namens “Get-MailboxFolder”, mit dem man sich die Ordner eines Postfachs anzeigen lässt, aber das setzt voraus, dass man für die Mailbox Owner-Rechte hat.

Um der Gruppe “Terminplanung” Lese- und Schreibrechte auf den Kalender von Ute zu erteilen, eignet sich folgendes Kommando:

Add-MailboxFolderPermission Ute:\Kalender -User Terminplanung -AccessRights Author

Man beachte die etwas eigenartige Syntax für den Ordnernamen. Die obige Angabe trifft auf eine deutschsprachige Mailbox zu – ein englisches Postfach hätte die Bezeichnung “Ute:\Calendar”.

Die aktuellen Berechtigungen für Utes Kalender gibt dieses Kommando zurück:

Get-MailboxFolderPermission Ute:\Kalender

Verwandte Beiträge:

1. Exchange 2010: Getrennte Mailboxen auflisten
   Anders als in der Onlinehilfe beschrieben, tauchen getrennte Mailboxen oft...
2. Exchange 2007/2010: Besprechungsraum-Kalender einsehbar machen
   Mit Exchange 2007 ist der vormals separate “Auto-Accept Agent” Teil...
3. Exchange: Zentrale Vergabe von Mailboxrechten
   Exchange lässt es nicht zu, Berechtigungen innerhalb von Mailboxen zentral...

Was ist geschehen? Nichts weiter als dass ich heute vormittag etwas Geld und die aktuellen Kontoauszüge aus den Automaten holen wollte. Ich ging daher zur nächstgelegenen Filiale der Sparkasse Hannover an der Hildesheimer Straße in Hannover. Hupps, dort wird umgebaut. Aber vor dem Gebäude steht ein Container, der die Automaten beherbergt. Prima, also rein dort und die Geschäfte verrichtet.

Also ich dort so stand und darauf wartete, dass meine Auszüge fertig wurden, schwoff mein Blick etwas umher. Neben dem Automaten wurde ich dann doch etwas stutzig … seht selbst:

Völlig ungeschützt sind dort nicht nur die Strom-, sondern auch die Netzwerkanschlüsse zugänglich. Dabei lernt man in jedem IT-Sicherheits-Grundkurs, dass der physische Schutz die erste Verteidigungsebene darstellt. Ist hier keine ausreichende Absicherung vorhanden, kann man alle weiteren Ebenen gleich von vornherein weitgehend vergessen.

An dieser Stelle kann jeder (!):

• Die Kabel abziehen und so innerhalb von Sekundenbruchteilen praktisch ohne Aufwand einen prima DoS-Angriff durchführen
• Die Kabel abziehen und wieder anstöpseln und schauen, wie das Gerät darauf reagiert
• Nach Belieben Geräte zwischen Dose und Gerätestecker einschleifen und den Datenverkehr abgreifen – sicher nicht uninteressant
• Direkt auf den Netzwerkanschluss der Geräte zugreifen und schauen, was man da so anstellen kann
• oder – oder – oder …

Wer nun einwendet: So schlimm sei das schon alles nicht, ein Finanzinstitut sorge schließlich für Verschlüsselung der Daten …

• … hat das Konzept der Layered Security noch nicht verstanden
• … stellt sich nicht ausreichend die Frage, ob eine Bank nicht etwas mehr für das Vertrauen der Kunden tun sollte
• … wird vielleicht durch folgende Geschichte nachdenklich: Vor einiger Zeit beschwerte ich mich bei der Sparkasse, dass das Online-Banking nur maximal fünf Zeichen lange Kennwörter zulässt. Alle Sicherheitsexperten warnen vor zu einfachen Kennwörtern, und nur fünf Zeichen gelten schon seit Jahren als grob fahrlässig. Die Antwort der Sparkassen-IT: Das sei schon okay so. Schließlich seien die tatsächlichen Transaktionen ja jeweils zusätzlich über TANs geschützt und daher bestehe praktisch keine Gefahr. Dass man ohne TAN aber bereits erhebliche Mengen hoch sensibler Daten abgreifen kann, ist den IT-Spezialisten der Bank offenbar nicht in den Sinn gekommen. Übrigens lässt das System auch 2010 noch keine längeren Kennwörter zu …

Update 15. August 2010: Die Sparkasse Hannover hat schnell reagiert und die von uns kritisierten Punkte verbessert. Siehe unseren Artikel: http://www.faq-o-matic.net/2010/08/16/sparkassen-sicherheit-eine-reaktion/

Verwandte Beiträge:

1. Sparkassen-Sicherheit: Eine Reaktion
   Vor einigen Tagen berichtete ich über ein IT-Sicherheitsproblem, das mir...
2. Jahr-2000-Vorkehrung
   Ich erinnere mich an den 1.1.2000, wo ich bei einer...
3. Warum ein Software-Patch kein Flicken ist
   Gerade erhalte ich vom Microsoft-Presseservice eine Mitteilung, die ich inhaltlich...

Zum Mitlesen, Mitmachen und Dabeisein. Topaktuell und aus Spaß an der Freude.

Was ist die ice:wall?

Die ice:wall ist eine so genannte “Twitterwall”. Sie zeigt live alle Tweets an, die zum Thema “icelingen” über den virtuellen Äther gehen.

Wo finde ich die ice:wall?

Natürlich auf der ice:2010 in Lingen. Die ice:wall wird auf der Konferenz live projiziert und ist stets aktuell sichtbar.

Für alle, die nicht dabei sein können oder die jederzeit auf dem Laufenden sein wollen, bieten wir die ice:wall auf folgender Seite an. Sie sollte mit allen gängigen Browsern funktionieren.

[\\ice:wall (von faq-o-matic.net)]
http://www.faq-o-matic.net/icewall/

Momentan noch im Betatest (wie sich das fürs Web 2.0 gehört), in Kürze als finale Fassung.

Wie mache ich mit?

Du nutzt Twitter? Dann kannst du ab sofort mitmachen. Du nutzt es nicht? Dann solltest du überlegen, es zu tun.

Die Teilnahme ist ganz einfach: Veröffentliche Tweets, die irgendwie mit der ice:2010 zu tun haben, und nutze dabei das Hashtag #icelingen.

Wie funktioniert die ice:wall?

Die ice:wall beruht auf dem freien Skript “monitter.com”. Das ist ein kleiner Satz von JavaScripts, die die Twitter-Suche nach bestimmten Stichwörtern abfragen und die Ergebnisse live anzeigen. monitter.com läuft lokal im Browser.

Die ice:wall ist ein wenig angepasst. Es gibt sie in drei Varianten – genauer gesagt in drei Größen, die du über die Links am oberen rechten Rand auswählen kannst. (Wer ein iPhone nutzt, muss dieses drehen. ATE Stephan Walcher gibt gern Auskunft dazu. )

Verwandte Beiträge:

1. Es ist ice-Zeit!
   Vor gut zwei Stunden hat die Community-Konferenz ice:2010 in Lingen...
2. Wir zwitschern nun mit!
   Gute Güte, sind wir modern! faq-o-matic.net hat sich dem Hype...
3. Gadget: Countdown zur ice:2010
   Am 14. August 2010 ist es wieder einmal soweit: Die...