Server 2008/2012: PKI installieren (Teil 1)

Eine Zertifizierungsstelle ist unter Windows Server schnell installiert. Im wesentlichen wird die Rolle „Zertifizierungsstelle“ hinzugefügt, ein paar mal auf „Weiter“ geklickt und schon hat man eine CA die alle möglichen Zertifikate ausstellen kann. Somit hat man eine PKI, Funktioniert zwar, ist aber schlecht. Eine PKI und deren CAs müssen gut geplant werden, dabei gilt es rechtliche, organisatorische und administrative Dinge zu berücksichtigen. Mal eben schnell eine CA installieren und Zertifikate für alle möglichen Zwecke auszustellen, ohne sich vorher Gedanken über Mehr »

Windows: Zugriff auf VSS-Snapshots

Ab und an kann es ganz hilfreich sein, wenn man auf Snapshots von Laufwerken zugreifen kann, sei es um schnell eine Datei wiederherzustellen oder den Inhalt von 2 Dateien zu vergleichen. Einen VSS-Snapshot kann man grundsätzlich zugänglich machen, ohne den Snapshot wiederherstellen zu müssen. Es gibt aber zwei verschiedene Wege, die abhängig von den Attributen den VSS-Snapshots sind. In diesem Beispiel gibt es zwei VSS-Snapshots. Der erste hat unter anderem das Attribut „Client_accessible“, der zweite hat dieses Attribut nicht: Snapshots Mehr »

Windows Server: IP-Adresse nach fehlgeschlagenen Logins blocken (Quick & Dirty)

Wer Exchange Server und ihre Webschnittstellen direkt via Portforward im Internet veröffentlicht kennt vieleicht das Problem: Jemand versucht die Benutzer und Passwörter zu erraten oder probiert per Brute-Force an die Mail Konten zu kommen. Leider bieten weder die Windows Bordmittel noch Exchange Server die Möglichkeit nach ein paar fehlgeschlagenen Anmeldeversuchen die IP-Adresse zu blocken. Hier also wieder ein Script aus dem Bereich Quick and Dirty: Mittels Windows Ereignis Anzeige bekommen man die IP-Adresse herraus, von der ein fehlerhaftes Login ausgegangen Mehr »

Quick & Dirty: Server zu einer bestimmten Uhrzeit neustarten und per Mail benachrichtigen

Hier mal wieder ein kleines Script aus der Reihe “Quick & Dirty”.  Das Script kann einen Server neustarten und schickt eine Mail mit dem Status: #Server neustart $servername = „SERVER01“ $to = “frank@frankysweb.de” $from = “rebooter@frankysweb.de” $smtpserver = „smtp.frankysweb.local“ Send-MailMessage -To $to -From $from -SmtpServer $smtpserver -Subject „Neustart für Server $servername“ -body „Der Server $servername wird jetzt neugestartet“ Restart-Computer -ComputerName $servername -Force do {$ping = Test-Connection $servername -Count 1 -Quiet} while ($ping -match „True“) Send-MailMessage -To $to -From $from -SmtpServer Mehr »

Alte IIS-Logs löschen

Leider bietet der IIS-Webserver keine Möglichkeit, ältere Logfiles automatisch zu löschen, entweder man schreibt kontinuierlich Logfiles auf die Platte, oder nur ein einziges mit einer wählbaren Größe. Ich habe daher ein kleines Script erstellt, welches die Logfiles nach einem wählbaren Zeitraum löscht. Das Script steht zum Download bereit: Mittels einer geplanten Aufgabe lässt sich das Script beispielweise jede Woche ausführen, damit alle Logs die älter als 7 Tage sind gelöscht werden. Gerade bei Exchange Client Access Servern macht es Sinn Mehr »

VSS Snapshots auf Servern ermitteln

Ich hatte immer mal wieder das Problem, das VSS Snapshots auf Servern nicht bereinigt wurden. Irgendwann läuft dann die Festplatte voll, weil die Betriebssysteme zig Snapshots hatten, die nie bereinigt wurden. Ich habe daher ein kleines Script erstellt, welches die Anzahl der aktiven Snapshots, sowie das Datum des ersten und des letzten Snapshots ermittelt. $serverlist  = @(„SRV01″,“SRV02″,“SRV03″,“SRV04″,“USW“) $vssresults =@() foreach ($server in $serverlist) { $vsslist = Get-WmiObject Win32_ShadowCopy -ComputerName $server $vsscount = $vsslist.count if ($vsscount -gt 0) { $oldestvss = Mehr »

Interne Zertifizierungsstelle: Zertifikate mit einer Gültigkeit von mehr als 2 Jahren ausstellen

Wer meine Howtos (Server 2008R2-Exchange 2010 und Server 2012-Exchange 2013) für eine Interne Zertifizierungsstelle und SAN-Zertifikaten gefolgt ist, möchte ggf. auch Zertifikate mit einer Gültigkeit von mehr als 2 Jahren ausstellen. Zwar kann in der Zertifikatsvorlage schon eine Gültigkeit von mehr als 2 Jahren angegeben werden. Die Zertifikate sind nach dem Beantragen aber trotzdem nur 2 Jahre gültig. Grund für die 2 Jahre Gültigkeitsdauer ist eine Einstellung der CA, hier ist als maximales Zertifikatsalter 2 Jahre voreingestellt. Der aktuelle Wert Mehr »

Powershell: Überlange Dateipfade auflisten

Überlange Dateipfade können bei Migrationen und Backup/Restore Prozessen zum Problem werden. Ein Dateipfad darf normalerweise nicht länger als 260 Zeichen sein. Es kommt allerdings vor das diese Grenze überschritten wird. Um solche langen Pfade zu identifizieren lässt sich dieses kleine Powershell Script verwenden: #Zu prüfendes Verzeichnis oder Volume: $Verzeichnis = „D:\Freigaben“ #Pfad zur CSV-Datei für den Export: $CSV = „d:\export.csv“ #Warnstufe für Pfade über XX Zeichen Laenge in CSV schreiben $Warninglevel = „250“ #———————————————– „Pfad;Laenge“ | set-content „$CSV“ $dirlist = Mehr »

Active Directory: DNS Alias für Dienste konfigurieren

Dieses Thema hat nicht direkt etwas mit dem Active Directory zu tun, allerdings scheint es oft wenig Beachtung zu finden. Viele Unternehmen konfigurieren keine DNS Aliase für Dienste, wie Freigaben, Drucker, Webserver oder irgendwelche anderen Dienste. Das stellt normalerweise auch kein Problem dar, führt unter Umständen aber zu Frust und Überstunden bei den Administratoren (und nicht nur bei den Admins). Man stelle sich folgende fiktive Situation vor: Der Admin installiert und konfiguriert einen neuen FileServer. Von dem neuen Server verspricht Mehr »

Server 2008 (R2): SID-Filter deaktivieren

Wer den SID-Filter auf einem deutschsprachigem Windows 2008 oder 2008 R2 Server deaktivieren will muss folgenden Befehl nutzen: Netdom trust <Vertrauende Domäne> /domain:<Vertraute Domäne> /quarantine:Nein /userD:<DomainAdminUser> /passwordD:<Passwort> Zu beachten ist hier „/quarantine:Nein“, bei Windows 2003, sowie auf englischen Windows Server 2008 (R2) heißt dieser Parameter „/quarantine:No“. Server 2008 gibt zudem noch den Hinweis aus, dass der Befehl erfolgreich ausgeführt wurde und der SID-Filter auf dem System deaktiviert sei. Dies ist jedoch nicht der Fall. Lässt man die Angabe „Nein“ weg, Mehr »