Wie bereits in Teil 1 angekündigt, möchte ich hier beschreiben, wie man sich mittels Public Key an copSSH anmelden kann – man spart sich quasi die Eingabe des Passworts, was für den automatisierten Transfer manchmal unabdingbar ist. Leider sind die FAQs auf itefix.no sehr dürftig und geben allenfalls Anhaltspunkte, wie man den passswortlosen Zugriff einrichtet. Das Generieren von Keys beim Aktivieren eines User ist dafür nicht notwendig!

Wer sich WinSCP bereits heruntergeladen und installiert hat, verfügt schon über das benötigte Tool PuttyGen zum Erzeugen der RSA-Keys. Wer WinSCP nicht benutzen möchte, findet hier den direkten Download von PuttyGen als standalone Version.

… weiterlesen

Als Protokoll für die Dateiübertragung hat sich das File Transfer Protocol (FTP) als quasi-Standard positioniert. Dummerweise ist FTP völlig unverschlüsselt, es werden also alle Daten inkl. Benutzername und Kennwort im Klartext via Internet übertragen. Den Heimanwender mag das nicht stören, in gewissen geschäftlichen Szenarien ist aber eine verschlüsselte Übertragung angesagt.

Hierzu kommt immer gerne sFTP als Protokoll zum Einsatz, wobei das s im Namen in diesem Fall für sshFTP steht – nicht zu verwechseln mit SecureFTP oder SimpleFTP.

Implementiert wird diese Übertragung via OpenSSH, eine fertige Out-of-the-Box-Lösung gibt es bei itefix.no, diese nennt sich copSSH und lässt sich wunderbar z.B. auf einem Windows Server 2003 installieren. Das Transferieren von Dateien vom/zum Server erfolgt dann via Secure Copy Protocol (SCP), unter Windows können z.B. WinSCP und der FileZilla Client mit diesem Protokoll umgehen. Im Folgenden geht es um die Einrichtung des Systems.

… weiterlesen

Die neue Gruppenrichtlinienverwaltungskonsole (GPMC), die mit Windows Server 2008 und den Remote Server Administration Tools (RSAT) ausgeliefert wird, enthält ein interessantes neues Feature: Erstmals ist es nun möglich, Kommentare zu ganzen Gruppenrichtlinienobjekten (GPO) oder zu einzelnen Einstellungen zu hinterlegen. Leider sind die technischen Hintergründe dieser Funktion wenig dokumentiert, daher ist ein wenig Ausprobieren angesagt. Hier ein paar Ergebnisse meiner Nachforschungen.

… weiterlesen

Ich wünsche allen Leserinnen und Lesern von faq-o-matic.net ein schönes und erfolgreiches Jahr 2009!

Es ist keine schlechte Idee, die Kennwörter von Dienst- und Taskausführungskonten zu ändern. Vielfach sind diese nämlich mit einem, naja, Startkennwort ausgestattet, das nicht den hohen Sicherheitsanforderungen für solche Konten entspricht. Doch fast niemand traut sich ran, denn es gibt so eine tolle Ausrede: Wer weiß, wo dieses Konto überall genutzt wird, und nachher läuft da gar nichts mehr!

Aber so schwierig ist es gar nicht, so etwas sicher herauszufinden. Wie so oft, hilft auch hier eine Skriptlösung (Skript-Download findet sich am Ende des Artikels!). Betrachten wir dazu getrennt die Dienstkonten und die Konten, mit denen Geplante Tasks laufen.

… weiterlesen

Auch 2009 wird Nicki Wruck mit seinem Team aus motivierten Freiwilligen seine renommierte Community-Konferenz veranstalten: die ice:2009 in Lingen an der Ems. Am 22. August 2009 ist es so weit – die Planung hat begonnen.

Um die Wartezeit besser einzuschätzen, empfiehlt sich das Countdown-Gadget für Vista, das ihr hier herunterladen könnt:

  Vista-Gadget: Countdown zur \\ice:2009 (16,9 KiB, 2.624-mal heruntergeladen, letzte Änderung am 10. Dezember 2008)

Es passiert leicht, dass man eine Mail an einen falschen Adressaten schreibt, weil man in Outlook aus den vorgeschlagenen Adressen die falsche auswählt. Unerwünschte Einträge kann man aus der Vorschlagsliste löschen: Mit der Tastatur markieren und dann Entf drücken. Diese Technik funktioniert übrigens auch bei vielen anderen Vorschlagslisten, z.B. im Internet Explorer.

Um die ganze Liste für Outlook zu löschen, kann man eine Datei in folgendem Ordner entfernen:
C:\Dokumente und Einstellungen\%username%\Anwendungsdaten\Microsoft\Outlook

Die Datei heißt meist „Outlook.NK2“ (vor dem .NK2 kann auch was anderes stehen). Um den Ordner zu öffnen, kopiert man am besten die obige Zeile, drückt Windows-R, fügt mit Strg-V den Text ein und drückt Return. Je nach Betriebssystem (z.B. in Vista) ist der Ordner* nämlich versteckt, sodass man über den Explorer nicht ohne Weiteres dorthin kommt. Die genannte Datei dann löschen (oder umbenennen).

* Bevor jetzt jemand meckert: Ja, in Vista gibt es den Ordner „Dokumente und Einstellungen“ gar nicht. Er ist in einer deutschen Installation aber über einen Hardlink dieses Namens erreichbar. Das ist nicht elegant, aber schnell.

Mein Tablet PC, der mit einem Vista Business OEM daherkam, muss neu installiert werden. Da ich die Bitlocker-Verschlüsselung aktivieren möchte, entschließe ich mich, die 141 US$ (inkl. Versand) auszugeben und einen Anytime Upgrade zu bestellen. Da ich in Thailand lebe, kommt dieser aus Singapur, und zwar schnell. Nach 3 Tagen liegt er bei mir auf dem Pult.

Also nichts wie installieren. Zuerst mal die Restore-CD rein. Dort zuerst mal zwei Partitionen anlegen: 60 GBytes für das System und 90 GBytes für die Daten. Und dann den System Restore des nackten Systems machen. Es handelt sich um ein Fujitsu T2010. Die Installation dauert lange, ist aber vollständig und läuft mit wenigen Interaktionen ab. Kurz angetestet, alles läuft wie erwartet. Graphiktreiber funktionieren, zweiter Monitor ist aktivierbar, Dockingstation tut, alles paletti. Dann noch mit dem SBS 2003 verbinden.

Nun zum Upgrade. Die Anytime-Upgrade-DVD einlegen (bei laufendem Vista) und uups: Da kommt eine Meldung, dass zuerst mal das SP1 installiert werden müsse, bevor ich den Upgrade machen könne. Nichts geht. Also DVD wieder raus, mit dem Internet verbinden und runterladen. Einige hundert MBytes, einige Neustarts und viele Stunden später ist es dann soweit. Vista ist auf SP1 Level. Sofort wieder die DVD rein und nochmals versuchen.

… weiterlesen

Problem: Die Synchronisation bzw. Microsoft DirectPush mit Exchange Server 2007 und einem Windows Mobile 6.1 (Samsung Omnia 900i) Gerät ist auf Grund eines ungültigen SSL-Zertifikats nicht möglich.

Fehlermeldung: „Das Sicherheitszertifikat auf dem Server ist ungültig. Wenden Sie sich an Ihren Systemadministrator oder Ihren ISP, um ein gültiges Zertifikat auf dem Server zu installieren, und versuchen Sie es erneut.
Unterstützungscode: 0x80072F0D“

Ich hatte auf dem Samsung das Exchange Cert installiert, welches auch meine OWA-Seite ausgibt. Bei früheren Installationen (auf HP iPAQ 514, Apple iPhone) hatte das gereicht, der Sync klappte einwandfrei.

Ursache hier: es handelt sich um ein „locked device“ (z.B. T-Mobile „Branding“), das nur SSL-Zertifikate bestimmter CAs kennt und Zertifikate weiterer Root Zertifizierungsstellen nicht annimmt. Das HP und Apple Gerät war ohne Provider „Branding“, darum klappte es dort auch.

Lösung: Ich habe zusätzlich auf dem Samsung das Cert der Root CA installiert. Somit war das Exchange Cert als „trusted“ eingestuft, und schon ging es.
Learnings: hier bestätigt sich wieder meine Vorliebe zu mobilen Endgeräten, die man OHNE Vertragsbindung und „Branding“ kauft.

Um eine Exchange Server Datenbank zu sichern, wird in den meisten Fällen von einem Backup Server einen Agent installiert und das Backup via Network durchgeführt. Das Problem mit der unzureichenden Security, wenn Daten unverschlüsselt im LAN übertragen werden, ist Microsoft im Zuge der „Microsoft Secure by Default-Initiative“ in Exchange Server Service Pack 1 angegangen. Diese Änderung betrifft zum Beispiel diese Technologien:

• Third-Party Software, wie Symantec Backup Exec, benötigt die Remote Streaming Backup für die Sicherung der Exchange Server Database.
• Auch Exchange Server selbst in einer Cluster Continuous Replication (CCR) Konfiguration benötigt Remote Streaming Backup für das „reseeding“. Zum Beispiel wenn das cmdlet „Update-StorageGroupCopy“ aufgerufen wird.

… weiterlesen