DCS WWII: Europe 1944

Wie vielleicht einigen Flugsimulatorfans bekannt ist, steht die DCS-Serie für Qualität.  Egal ob DCS Blackshark, A10, Flaming Cliffs 3, oder P51-Mustang, alle diese “Simulatoren” sind bis in das kleinste Detail liebevollst dem Original nachempfunden.

Nun wurde vor Kurzem bekannt, dass DCS an einem WW2-Flugsimulator arbeitet. Das Projekt wird über Spenden (Kickstarter) finanziert. In einem Monat sollen so mindestens $100.000 zusammen kommen.

dcsww2

Zur Homepage

Wenn ihr Flugsimulatoren mögt, dann werdet ihr alles von DCS lieben. Vielleicht spendet ihr ja auch, damit das Projekt Realität werden kann.

Abgelegt unter: Spiele von Daniel
Noch keine Kommentare »

Virtualisierung und Backuplösungen

Ich beschäftige mich in den letzten Wochen verstärkt mit Virtualisierung. Aufgrund von entsprechenden Anforderungen liegt “Hyper-V von Windows Server 2012″ im Zentrum meines Interesses.

Der neue “Hyper-V” bringt einige sehr interessante neue Features mit und kann -meiner Meinung nach- durchaus mit anderen Virtualisierungslösungen mithalten.

Kommt man nun aber zum Thema: “Wie sichere ich eigentlich am Besten meine virtuellen Maschinen?” – gibt es ad hoc normalerweise keine Antwort, sofern man nicht permanent mit dem Thema Virtualisierung zutun hat.

Mein erster Gedanke war die Windows Server Sicherung (unter Server 2003 und früher eventuell noch als NTBackup bekannt), welche bei Windows Server 2012 und auch Windows Server 2008  mit an Bord ist  (sie muss nur über den Assistenten zum Hinzufügen von Rollen  und Features hinzugefügt werden).

Bei beiden Serverversionen kann man damit virtuelle Maschinen sichern. Bei Windows Server 2008 musste man allerdings einige manuelle Handgriffe durchführen, damit die Sicherung auch wirklich funktioniert.

Bei Server 2012 ist das nicht mehr der Fall! Die Möglichkeit Hyper-V Gäste zu sichern, ist bereits inkludiert.

WindowsBackup

Schöne Sache, muss ich sagen! Hat man also nicht nur Hyper-V gleich mit an Board von Server 2012, sondern auch gleich ein Backup für die “virtuellen Kisten”. (Ich habe diese Backupvariante noch nicht getestet).

Dann kam “Veeam Replication & Backup”

Durch ein Gespräch in einem Forum wurde ich schließlich auf Veeam Replication & Backup hingewiesen. Laut Meinung vieler User das Nonplusultra in Sachen “Sicherung von VM” + im Verhältnis zum Leistungsumfang dieses Produktes verhältnismäßig “günstig”.

Um mich nun selbst davon zu überzeugen, habe ich mich auf der Veeam-Page registriert, um mir die 30-Tage Testversion (die übrigens der Enterprise-Variante entspricht) herunterzuladen. Vorweg muss ich sagen, dass man gut daran tut, wenn man das Backup  and Evaluationguide, das in der Registrierungsemail enthalten ist, liest. (Auch wenn es mich anfangs etwas verwirrt hat, da ich kaum Berührungspunkte mit einer derartigen Software hatte).

Im Nachhinein muss ich sagen, dass dieser Guide sehr gut aufgebaut ist und durch die enthaltenen “Übungen” sehr schnell klar wird, wie Veeam arbeitet.

Kurz zusammengefasst:

  • Veaam R&B z.B. auf dem Hyper-V Host installieren
  • das Programm starten
  • einen Hyper-V Server hinzufügen
  • einen Backup Proxy hinzufügen (kann auch der Hyper-V Host sein, könnte aber je nach Auslastung des Hosts und dessen Leistungsfähigkeit die Maschine “umbiegen”, sofern auch noch die VM unter Last laufen)
  • ein Backup-Repository hinzufügen (ich habe zb. auf eine per ISCSI eingebundene Synology Disk Station gesichert)
  • Backup Job definieren
  • und Backup Job starten

Bei der Definition des Backup Jobs gibt es natürlich -je nach Typ der VM- ein paar Optionen die es zu aktivieren bzw. nicht zu aktivieren gilt. (Alles wird aber exakt im Guide erklärt!).

Backup im Raketentempo, bei geringer Datenträgerbelegung und ohne dass die VM heruntergefahren werden muss

Die Backupläufe sind durch die Komprimierung und Datendeduplizierung in einem Affenzahn erledigt (im Verhältnis zur Größe der VM).

Die Sicherung einer virtuellen Testinstallation von Windows Server 2012 (Datenträger bei laufendem Betrieb des Gastes: 10GB belegt) belegte als “Backupfile” schließlich nur 3,9GB!

Als zweiter Testkandidat wurde Debian Wheezy in Hyper-V installiert und danach mittles Veeam gesichert. (Einige Optionen müssen hier vor dem Start des Backups (bei der Definition des Jobs) beachtet werden. Unter Storage -> auf Advanced Klicken -> Reiter Hyper-V -> Guestquiescene beide Haken setzen.

Restore

Als vorerst letzten Versuch, löschte ich dann die zuvor erstellte Debian-VM mittels Hyper-V-Manager komplett. (Alle Dateien) und startete ein Restore der kompletten VM und aktivierte die Option, dass die VM startet, sobald die Wiederherstellung fertig ist. Wenige Klicks später war die zuvor gelöschte VM (ohne weiteres zutun) wieder im Hyper-V-Manager und wurde automatisch gestartet.

Probleme: 0

Grenzenlose Begeisterung!

 

 

Abgelegt unter: Virtualisierung, Windows von Daniel
Noch keine Kommentare »

Wieso eigentlich MS-Exchange

Immer wieder versuche ich mich in der Installation / den Betrieb von Opensource Groupware Lösungen. Einige Zeit hatte ich E-Groupware im Einsatz, wurde damit aber nie so richtig warm. Schließlich bin ich mehr oder weniger durch Zufall (genau genommen durch ein Synology NAS) auf Zarafa gestoßen.

“Naja, eine weitere Groupware, die vermutlich bei der Outlookanbindung schwächelt, oder die kein ActiveSync beherrscht” dachte ich…

Die Installation auf einem Debiansystem ist auf server-wissen.de recht gut erklärt.

Sobald Zarafa läuft

…und das dauert in der Regel nicht lange – loggt man sich per Webaccess auf das System ein, setzt ein entsprechendes Passwort für den Admin und legt erste User an. Somit steht bereits die Terminplanerfunktionalität zur Verfügung. Um auch das Emailsystem in die Gänge zu bekommen, muss Postfix eingerichtet werden.

Bestehende POP3 Konten können bequem per Fetchmail abgeholt und in die jeweilige Usermailbox einsortiert werden. ACHTUNG: Werden Emails x-fach vom POP3 Server abgeholt, hilft oft das setzen des Paramenters uidl. Diesen Eintrag muss man in der /etc/fetchmailrc vornehmen. Er MUSS vor allen andren Parametern des Users stehen, sonst kann Fetchmail nicht starten.

Outlook oder auch ein anderer Mailclient kann ab hier an Zarafa angebunden werden.

Anmerkung: Wenn der Server produktiv eingesetzt werden soll, ist darauf zu achten, dass z.B. Postfix korrekt (möglichst sicher) konfiguriert wird! (Kein Openrelay!)

Und was ist mit meinem Smartphone?

Durch die Installation von Z-PUSH wird der Zarafa-Server ActiveSync fähig. Durch Z-PUSH kann das Smartphone mit dem Zarafa Server “sprechen” und Daten austauschen. So funktioniert der Abgleich des Kalenders und auch das Synchronisieren anderer Daten perfekt.

Ja, aber ich will nicht alles zu Fuß konfigurieren!

Ist natürlich ein Argument. Auch hier kann einem geholfen werden. Abhilfe schafft der Collax Groupware Server. Die Software bietet eine grafische Oberfläche zur Konfiguration und macht somit alles sehr viel einfacher. Wer nun meint, dass dafür nur wenige Konfigurationsmöglichkeiten offen bleiben, der irrt. Die Konfigurationsoptionen sind vielfältig, können sogar selbst per Shell editiert werden (meiner Meinung nach nicht nötig!).  Sollte man dennoch per Texteditor eigenhändig die Configfiles anpassen, muss man im Hinterkopf behalten, dass die Scripts der GUI-Konfiguration  die eigenhändigen Änderungen überschreiben.

Der Collax Groupwareserver ist auch im kommerziellen Bereich für maximal 5 User kostenlos. Da diese Groupware auf Zarafa basiert, sind in der kostenfreien Version 3 Outlook-Connectoren enthalten. Sollten mehr User und somit eventuell auch Outlook-Connectoren notwendig werden, muss eine kostenpflichtige Aufrüstung erfolgen.

Fazit

Meiner persönlichen Meinung nach sind Zarafa bzw. Collax wirklich ernstzunehmende Alternativen zu MS Exchange. Natürlich können sie mit der Funktionsvielfalt eines Exchange Servers nicht mithalten, aber -mal ehrlich- wer nutzt ein Exchange im KMU Bereich vollständig aus?

Geht es nicht hauptsächlich um Kalender, Gruppenkalender, Kontakte, Email und die möglichst einfache Anbindung diverser Clients?

All das ist mit den beiden genannten Groupwarelösungen möglich!

 

 

Abgelegt unter: Linux von Daniel
Noch keine Kommentare »

Banking Trojaner – Warnung

Folgende Info habe ich heute erhalten:

Aktuell werden durch Schadsoftware (Trojaner) im Internet-Banking der österreichischen Banken gefälschte Meldungen über angeblich notwendige Software-Installationen am Mobiltelefon verbreitet.

Wenn beim Login eine Meldung auf Ihrem PC erscheint, dass aus Sicherheitsgründen eine bestimmte Software auf Ihrem Mobiltelefon zu installieren wäre, so befindet sich eine Schadsoftware auf Ihrem Computer!

Bitte folgen Sie keinesfalls den Anweisungen und klicken Sie nicht auf den Link, denn damit würde eine Schadsoftware auf Ihrem PC installiert.

Der Trojaner versucht Sie zu veranlassen, Ihre Telefonnummer einzugeben. Danach erhalten Sie eine SMS mit einem Link. Wenn Sie diesem folgen, wird auch auf Ihrem Mobiltelefon eine Schadsoftware installiert!

 

Abgelegt unter: Internet von Daniel
Noch keine Kommentare »

Blu Ray Wiedergabe Linux / Windows – VLC

Heute hab ich meinen alten DVD Brenner gegen einen Blu Ray Brenner ausgetauscht. Natürlich habe ich mir noch einen Film mit dazu erworben (City Cobra). Nachdem ich mich eigenltich bislang nicht wirklich mit dem Thema auseinander gesetzt hatte, dachte ich:

“Werfen wir halt VLC unter Debian an und genießen…”

Aus der Aktion wurde dann:

“Werfen wir VLC unter Debian an und staunen darüber, dass die BD nicht wiedergegeben werden kann. VLC meckert von einem fehlenden “aacs”?!

Also wurde erstmal nix aus dem  Vorhaben, einfach mal die Disc einzuwerfen und den Film zu schauen. Wider erwarten “eiere” ich auf google rum. Die Recherche ergibt, dass VLC zwar BD wiedergeben kann, aber eben KEINE kopiergeschützten BD unterstützt. (Also die Original BD).

Amüsantes

Bei meinem Laufwerk war ja das Programm PowerDVD dabei. Nundenn,  was blieb mir anders übrig, als die ganze Power-DVD-Suite zu installieren, damit ich endlich meinen Film schauen kann. Ich klicke auf Play… und patsch! Wieder eine  Meldung. Diesmal von PowerDVD.

Die BD kann nicht wiedergegeben werden, denn mein TFT ist per analogem Anschluss mit meinem PC verbunden. HDMI hat er noch keins… Somit: “Computer says noooooooooo”.

Natürlich könnte ich per HDMI von der Grafikkarte (sie hat auch so einen Anschluß) auf meinem Ferseher “fahren”, das hatte ich aber heute nicht mehr vor… Ich will das am PC sehen, schließlich hab ich die BD legal erworben!!!

Lösung

Auf diesem Blog wird genau erklärt, wie man die Wiedergabe von geschützten BD auch unter VLC (Linux und Windows) zum Laufen bringt.

Unter Windows 7 x64 MUSS man offenbar die 64 Bit Version von VLC installiert haben, damit es funktioniert.

Unter Linux (Linux Mint Debian 14) konnte ich zwar die Wiedergabe zum Laufen bringen. Selbige blieb aber immer am selben Punkt (ca. 20 Minuten) hängen und VLC stürzte ab.

 

 

Abgelegt unter: Linux, Windows von Daniel
Noch keine Kommentare »

Guten Rutsch ins Jahr 2013

WÜNSCHE ALLEN EINEN GUTEN RUTSCH in das JAHR 2013.

Bleibt gesund…

…und genießt das Leben! ;-)

Abgelegt unter: Off-Topic von Daniel
Noch keine Kommentare »

Battlefield 3 – Disconnect from Server timeout

Nach langer Zeit wollte ich heute wieder einmal ein paar Runden Battlefield 3 spielen. Was ich noch dazu sagen muss ist, dass ich einen anderen Internetzugang wie noch vor ein paar Tagen nutze. Bei diesem Zugang wird ein Thompson TG585 verwendet.

Frohen Mutes starte ich BF3 und fange an online zu zocken… läuft ja gar nicht schlecht…

Nach ca. 30 Minuten aber, fliege ich aus BF3 und lande wieder im Battlelog.

Fehlermeldung Disconnected from Server – Timeout. Was will mir diese Meldung nun sagen? Der Ping zum Server war/ist gut, Internet läuft, auch sonst keine Fehler… Ich starte Google und suche ein wenig umher. Einige Tips beziehen sich auf die Neuinstallation von Punkbuster. Obwohl mir das komisch vorkommt, denn das ist ja keine typische Punkbustermeldung, teste ich eine Neuinstallation. Ich spiele wieder rund 30 Minuten – zack … selber Fehler, selbe Meldung… verdammt!

Ich weiß nicht, wie ich dann weiter gegoogelt habe. Egal!

Die Lösung des Problemes habe ich mit Hilfe eines Youtube Video gefunden!

Man muss im Thompson Gateway (den man normal mit 10.0.0.138 erreicht) UPNP ausschalten. Diese Einstellung erreicht man über das Menü links -> Weitere Funktionen -> Gemeinsame Nutzung von Spielen und Anwendungen -> dann rechts oben auf konfigurieren klicken.

Schließlich das Häkchen bie UPNP verwenden rausnehmen.

Viel Spaß beim unterbrechungsfreien Spielen! ;-)

PS: Die Problematik ist offenbar schon länger bekannt. Siehe http://www.dieschmids.at/9-xbox-ps3-und-co/40142-thomson-gateway-585-v7-probleme-mit-upnp

Abgelegt unter: Spiele von Daniel
Noch keine Kommentare »

Exception 3550

Einleitung

…aufgeschreckt durch das schrille – elektronisch erzeugte – Geklingel seines “ferngesteuerten” Smartphoneimplantats, springt Bit auf.  Das darf ja nicht wahr sein, flucht er! Hatte er sich doch erst vor wenigen Stunden hinlegen dürfen, um seinem ausgelauten Körper etwas Ruhe zu gönnen.

Ruhe in Form eines chemisch herbeigeführten “Ruhemodus”, der natürlich jederzeit unterbrochen werden kann. Natürlich nicht von Bit “gesteuert”, sondern -wie soll es anders sein – kontrolliert von seinem Brötchengeber.

Normalen Schlaf, wie man ihn aus vergangenen Jahrhunderten  durch Überlieferungen kennt, gibt es nicht mehr. Zu massiv ist der alles durchdringende Elektrosmog, der es den verbliebenen Lebewesen unmöglich macht, einen  normalen Tag/Nacht Rhythmus zu “erleben”.  Als ob das noch nicht genug wäre, lebt man aufgrund der vernichteten Atmosphäre in viel zu engen – gewächshausähnlichen – Konstrukten, die in Form einer Stadt miteinander verbunden sind.

Eine Verbindung zwischen den einzelnen Städten gibt es nicht – zu hoch der Aufwand, zu gering die noch vorhandenen Resourcen.

In den wenigen Minuten, in denen Bit darüber nachdenken darf, wie schön es damals gewesen sein musste, als man sich noch frei bewegen konnte, relativ saubere Luft atmete und die “Herrschaft über sich selbst” inne hatte, stellt er auch fest, dass er nicht verstehen kann, wie es soweit kommen konnte.

Freilich bleibt für solche Ausflüge in die Vergangenheit kaum Zeit, was ihm just in diesem Moment sonnenklar wird. Der “Reminder” in Form eines, für angemessen gehaltenen, elektrischen Impulses erinnert ihn daran, dass er doch bitte in die Gänge kommen soll.

Schließlich gilt es das alles beherrschende und unverzichtbare Kommunikationsnetzwerk, das die einzige Verbindung zwischen den Städten ist,  aufrecht zu erhalten.  Für Fehler ist kein Spielraum!

…to be continued…
…Fortsetzung folgt…

Abgelegt unter: Science Fiction von Daniel
Noch keine Kommentare »

Windows 8 Launch

Morgen ist es soweit. Windows 8 wird zum Verkauf angeboten. Seit der ersten Developer-Preview ist einige Zeit vergangen. Der “Wirbel” rund um die neue Oberfläche “Modern UI” ist noch lange nicht abgeflaut. Viele meinen, dass der Drang von MS, jedem das Kacheldesign aufs Auge zu drücken, nicht nachvollziehbar ist. Auch ich muss gestehen, dass ich es nicht verstehe, warum man es nicht dem User überlässt, ob er Kacheln, oder den Standarddesktop auf seinem Bildschirm sehen will.

Fakt ist: Standard UI ist das Kacheldesign. Es gibt keine Bordmittel, um diesen Umstand anpassen / modifizieren zu  können.

Auf Sourceforge findet sich jedoch mit Classic Shell die Möglichkeit, das Startmenü wieder her zu zaubern.

Das wiederum wirft jedoch die Frage auf, ob es Sinn macht, Windows 8 in alte Gewohnheiten zu drängen. Was, wenn man Windows 8 im Unternehmen ausrollt, auf die Classicshell baut, damit die User nicht “ausflippen” und plötzlich (zb nach einem Windows Update) die Classic Shell ihren Dienst versagt?

Ich versuche mir das gerade bildlich vorzustellen… es lässt mir meine -ohnehin schon sehr spärlich vorhandenen- Haare zu Berge stehen…

Wobei ein Ausrollen einer neuen Windows Version im Unternehmensumfeld kurz nach dem Release nie eine gute Idee ist.  Selbst wenn man zuvor eingehend getestet hat, sollte man meiner Meinung nach nicht unbedingt “Erster” sein…

Mein Ansatz / Überlegungen / bisherige Erfahrungen

Sollte man wirklich bereits jetzt auf Windows 8 setzen, dürfte es das Beste sein, sich auf das neue UI einzulassen. Anwendern mit Gnome 3 Erfahrung wird einiges sehr bekannt vorkommen (wir tippen mal die Anfangsbuchstaben der Anwendung, die wir starten wollen ein, während “Modern UI” am Desktop angezeigt wird.)

Das hin und her Geswitche zwischen den Kacheln und dem Desktop (wenn ein Programm gestartet wurde -> Desktop, sonst Modern UI) finde ich mühsam. (Natürlich könnte man sich Links auf dem Desktop platzieren, aber das ist ja an sich auch nicht im Sinne des Erfinders).

Ich setze noch Office 2003 ein -> das mag auch nicht mehr so wirklich mit “8″. (Alternative Libre Office, Office 2010 etc.)

Was machen die Druckertreiber, der Virenkiller und nicht zuletzt, die Games, die ich ab und an zur Zerstreuung spiele?

Windows 7 ist gut, getestet und gewohnt. Der Support läuft noch bis 2020…

Die Frage: “Warum Windows 8?” drängt sich nahezu auf…

 

 

Abgelegt unter: Windows von Daniel
1 Kommentar »

Anleitung – Local Update Publisher (LUP) Softwaredeployment

Jeder Admin (unter Windows) kennt wahrscheinlich das Problem: Windows und die gesamte Microsoft-Software-Schiene bekommt die Updates automatisiert via kostenlosem WSUS (Windows Server Update Services), aber was ist mit Software von anderen Anbietern? Spätestens wenn man an  das Java Runtime Environment, den Adobe Flashplayer, oder auch den Adobe Acrobat Reader denkt, vergrößern sich die -ohnehin schon vorhandenen- Sorgenfalten um ein Vielfaches.

Für große Umgebungen gibt es -wie soll es auch anders sein-  natürlich entsprechende Programme, um das gesamte System aktuell zu halten. Gerade aber im Bereich der kleineren und mittleren Umgebungen ist soetwas zu teuer.

Die Lösung

…lautet Local Update Publisher (kurz LUP). Obwohl es dieses tolle Tool schon länger gibt, bin ich erst vor ein paar Tagen darüber gestolpert. Damit LUP eingesetzt werden kann, muss ein WSUS Server im Netzwerk aktiv sein und korrekt funktionieren.

LUP kommuniziert mit dem WSUS  Server und “checkt” Pakete in das WSUS-Software-Repository ein, abgesehen davon können mit dem LUP während der Paketerstellung Regeln definiert werden:

a.) Kriterien, ob das Paket auf den Clients schon installiert ist
b.) Auf welchen Rechnern das Paket überhaupt installiert werden soll (z.b. nur auf Clients mit Windows 7, oder nur Clients mit XP Pro SP3)

Signierung

Damit  Pakete in den WSUS eingecheckt werden können bzw. die Clients die von uns über den LUP erstellten Pakete überhaupt akzeptieren, müssen die Pakete signiert werden. Dies wiederum setzt voraus, dass ein entsprechendes Zertifikat vorhanden ist.

Auch hier gibt es nun 2 Varianten, wie man dieses Zertifikat erstellen kann:

  1. Man erstellt eine Kopie des -auf einem Windows Server vorhandenen – Zertifikates für “Code Signing” (siehe bitte: http://infrablog.escde.net/2011/03/18/deployment-von-msp-updates-uber-wsus-teil-1-konfiguration/) -> Hierfür benötigt man aber die Enterprise Edition der Windows Server!
  2. Man verwendet das Zertifikat, welches beim Erststart vom LUP automatisch erstellt wird (für Umgebungen mit zb Windows Server STANDARD meiner Meinung nach die empfohlene Methode!)

Ich setze in diesem “How-To” auf Variante b. -> also auf die Verwendung des “LUP-Zertifikates”.

 

Installation

Folgende Grundvoraussetzungen sind vor der Installation des LUP zu prüfen:

  • WSUS Server 3.0 SP2 vorhanden + einwandfreie Funktion?
  • .NET Framework in Version min. 3.5 installiert?
  • auf dem Client auf dem man LUP installiert -> WSUS Konsole vorhanden? Hier gibt es dann noch etwas, auf das man unbedingt achten muss. Im August 2012 wurde durch ein Update von MS der WSUS gehärtet (http://support.microsoft.com/kb/2720211). Hat man dieses Update auf dem Server eingespielt, muss man es auch auf dem Client einspielen, von dem aus man den WSUS administriert. (Also dort, wo die WSUS Konsole installiert ist).
  1. Zuerst müssen wir uns den LUP herunter laden: http://sourceforge.net/projects/localupdatepubl/files/ (hier bitte das MSI File nehmen)
  2. Dann starten wir die Installation auf einem beliebigen Windows Client (bevorzugt mittlerweile Windows 7!)
  3. Hierbei kann man die angebotenen Standardwerte einfach übernehmen

Der erste Start des LUP

LUP muss als Administrator (Domänen-Admin) ausgeführt werden.

Im darauffolgenden Fenster muss der Name (Netbiosname) des WSUS Server eingegeben werden. Standard ist ohne SSL. Habt ihr eine sichere Verbindung zum WSUS müsst ihr SSL aktivieren. (Anmerkung: Da LUP mehrere Sprachen beherrscht, kann man ihn – wie man unten sieht- auch auf Deutsch umstellen. Da die deutsche Übersetzung aber teilweise etwas unglücklich ist, rate ich dazu die Einstellung auf Englisch zu belassen bzw. auf Englisch umzustellen).

Habt ihr alles korrekt eingegeben sollte die Verbindung mit dem WSUS Server zustande kommen. Jetzt geht es dann langsam ans Eingemachte. Der LUP versucht nun ein Zertifikat vom WSUS herunter zu laden. Gelingt das nicht, schlägt LUP vor ein eigenes Zertifikat zu erstellen (self signed).

Wir lassen den LUP nun das Zertifikat entsprechend erstellen. Daraufhin öffnet LUP ein Fenster in dem euch das Zertifikat angezeigt wird.Ist das nicht der Fall gehen wir im LUP auf  Menü Tools -> Certificate Information.

Unten links in dem nun erscheinenden Fenster klicken wir auf “Export Certificate” und speichern das Zertifikat unter einem aussagekräftigen Namen ab.

Anmerkung: Wie der Autor von LUP auf seiner Website erwähnt, ist das soeben exportierte Zertifikat in der Standardeinstellung für “all purposes” –> also für ALLE ZWECKE verwendbar. Dies sollten wir auf  “Signature only” –> also auf “nur signieren” bzw. in der deutschen Version “Codesignatur” umstellen.

Umstellen des Zertifikates auf “Codesignatur”

  • Unter Windows 7 starten wird die MMC (mit Adminrechten!)
  • Wir fügen das Snap-in “Zertifkate” hinzu (wählen hier dann Computerkonto -> Lokaler Computer -> Fertigstellen -> Ok)
  • Wir navigieren in der Zertifikate MMC  zu Vertrauenswürdige Herausgeber -> Zertifkate
  • Rechtsklick auf Zertifikate -> Alle Aufgaben -> Importieren
  • Wir wählen das zuvor exportierte Zertifkat zum Import aus und bestätigen alles mit OK
  • Unter Vertrauenswürdige Herausgeber -> Zertifikate sollte nun ein “WSUS Publisher Self signed” Zertifikat aufscheinen
  • Rechtsklick auf das Zertifikat -> Eigenschaften
  • Unter Zertifikatszwecke -> Nur für folgende Zwecke aktivieren -> Codesignatur
  • Mit Ok bestätigen
  • Rechtsklick auf das Zertifikat -> Alle Aufgaben -> Exportieren
  • Zertifikat unter einem eindeutigen Namen speichern
  • In der Zertifikats MMC das Zertifikat löschen

Das Fenster in der wir auf Codesignatur umstellen (Eigenschaften des Zertifikates) sieht so aus:

Wir verwenden ab hier nur noch das soeben exportierte Zertifikat!

Das Zertifikat auf die Clients bringen

Nachdem ich davon ausgehe, dass in einer Windows Domäne gearbeitet wird, ist der simpelste Weg, das Zertifikat auf die Clients auszubringen, die Verwendung der Gruppenrichtlinien. Wenn man noch Server 2003 bzw. Windows XP Clients einsetzt, müssen die folgenden Schritte von einer Windows 7 Maschine, die sich optimalerweise ebenso in der Domäne befindet, getätigt werden.

Vorarbeiten auf dem Windows 7 Client bzw. WSUS

  • RSAT auf Win7 Client installieren (http://www.microsoft.com/en-us/download/details.aspx?id=7887)
  • Per Wsus prüfen, dass die CSE (Client Side Extetnsions) auf den Windows XP Clients installiert sind.  (KB943729)
  • Auf dem Windows 7 Client -> Windows-Funktionen aktivieren deaktivieren -> Tools für die Gruppenrichtlinienverwaltung  (unter Remote-Serververwaltungstools -> Featureverwaltungstools) aktivieren -> OK

Eine Gruppenrichtlinie erstellen

Wir starten auf dem Windows 7 Client die MMC (als Domänen-Admin!) und fügen das Snap in “Gruppenrichtlinienverwaltung” hinzu. Ihr solltet dann soetwas sehen (je nach Komplexität der Domänenstruktur):

In unserem Beispiel, nehmen wir an, dass alle Computer, die über den WSUS versorgt werden in der OU (Gruppenrichtlinie_Computer) enthalten sind. Deshalb passen wir nun diese Richtlinie an:

  • Bei Klick auf den Pfeil links neben der Richtlinie klappt dieser Eintrag “auf” und man sieht die damit Verknüpften Richtlinien.
  • Wir klicken die gewünschte Richtlinie mit der rechten Maustaste an an und wählen “Bearbeiten”

Danach sollten wir in etwa soetwas angezeigt bekommen:

Bei Computerkonfiguration klappen wir folgende Menüs aus:

  • Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinie für öffentliche Schlüssel -> Vertrauenswürdige Herausgeber
  • Importieren
  • Hier wählen wir dann das zuletzt exportierte Zertifkat (weiter oben nachzulesen)
  • Nach dem Importvorgang, klicken wir das Zertifikat mit der rechten Maustaste an und wählen “Eigenschaften”
  • Hier prüfen wir nochmals, ob das Zertifikat auf  Zweck -> Codesignatur eingestellt ist. Wenn nicht auf Codesignatur umstellen
  • Die exakt gleichen Schritte machen wir nochmals für : Windows Einstellungen -> Sicherheitseinstellungen -> Richtlinie für öffentliche Schlüssel -> Vertrauenswürdige Stammzertifizierungsstellen
  • Unter Computerkonfiguration -> Richtlinien -> Adminstrative Vorlagen -> Windows Komponenten -> Windows Update -> stellen wir “Signierte Updates aus einem Intranetspeicherort für Microsoft Updatedienste zulassen” -> AKTIVIERT

Somit haben wir nun also die wichtigen Einstellungen für die Clients erledigt.

Auf dem WSUS Server habe ich die folgenden Schritte manuell erledigt:

  • MMC öffnen -> Zertifikate wählen
  • Computerkonto
  • Lokaler Computer
  • Schließen / OK
  • Vertrauenswürdige Stammzertifizierungsstellen -> Zertifikate -> Import -> Hier wieder das zuletzt erstelle LUP Zertifikat importieren
  • Vertraute Herausgeber -> Zertifikate -> Import -> Abermals das zuletzt erstellte LUP Zertifikat importieren
  • Snap in hinzufügen -> Gruppenrichtlinien Objekt Editor -> lokaler Computer
  • Einstellen:
  • Computerkonfiguration -> administrative Vorlagen -> Windows Komponenten -> Windows Update -> “Signierte Inhalte aus internem Speicherort für Microsoft-Updatedienste zulassen” aktivieren

 Was sollte  jetzt funktionieren / geprüft werden

Wir haben in den vergangenen Schritten LUP installiert, alle Anforderungen überprüft und ggf. angepasst, ein Zertifikat erstellen lassen, eine GPO erstellt, die das notwendige Zertifikat für die entsprechende Computer – OU in der Domäne verteilen soll und schließlich auch auf dem Server einige Anpassungen vorgenommen.

Nun gilt es zu prüfen, ob die per GPO verteilten Zertifikate auch den Weg auf die Clients finden, die in der entsprechenden OU abgelegt sind.

Dies lässt sich leicht prüfen, in dem man auf einem beliebigen Client die Zertifikate MMC öffnet und nachschaut, ob unter den vertrauten Herausgebern bzw. auch unter den vertrauenswürdigen Stammzertifizierungsstellen unser Zertifikat auftaucht.

Es muss auf jeden Fall auf den Clients sein, bevor wir weiter machen können.

Anmerkung: Die Gruppenrichtlinien können auf einem Client per Befehl: gpupdate /force zur sofortigen Umsetzung angestoßen werden. Ein gpresult /r liefert u.a. Infos, welche Richtlinien umgesetzt wurden.

LUP starten und Updatepaket erstellen

Ich schicke gleich voraus, dass ich bislang nur mit EXE Paketen gearbeitet habe. Grundsätzlich funktioniert das Deployment mittles LUP so:

  1. Paket wählen
  2. Regel definieren, die prüft, ob das Paket auf dem Client schon installiert ist (am besten ging es bis jetzt mit Registrywert DisplayVersion unter Uninstall (genauere Info folgt unten))
  3. Regel definieren, die festlegt welche Anforderungen an den Client gestellt sind, damit das Paket überhaupt zur Installation angeboten wird (zb. Version von Windows größer oder gleich Win XP SP3)
  4. Paket für die entsprechende WSUS Gruppe (per LUP Console!!) freigeben (approved)
  5. Hoffen, dass alles klappt ;-)

Detailiertere Vorgangsweise

  • LUP starten (als Domänen-Admin!)
  • Tools -> Create Update
  • Installationsdatei wählen (Zb. Adobe Reader, oder Flashplugin etc.)
  • Next
  • Ganz wichtig: Unter Command Line können / müssen Parameter eingegeben werden, damit die Installation Silent durchgeführt wird. Dieser Parameter ist bei jedem Programm anders. Bei Flash ist es -install:

  • Im nächsten Fenster müssen die Installed Rules angegeben werden. Dies sind die Bedingungen, die festlegen, ob ein Paket auf einem Client bereits vorhanden sind. Es bietet sich an, hier den Regkey (64-Bit Windows!) wobei das HKEY_LOCAL_MACHINE vorgegeben ist:
  • SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player ActiveX
  • Reg SZ Wert: DisplayVersion
  • Equal to
  • 11.4.402.287 (natürlich bei neueren Flashplayern anders! bitte Key selbst prüfen!)

zu verwenden.

Wichtig: Für 32-Bit Betriebssyteme muss noch eine zusätzliche Regel definiert werden! Diese sieht sehr ähnlich aus:

  • Im nächsten Fenster müssen die Installed Rules angegeben werden. Dies sind die Bedingungen, die festlegen, ob ein Paket auf einem Client bereits vorhanden sind. Es bietet sich an, hier den Regkey (32-Bit Windows!) wobei das HKEY_LOCAL_MACHINE vorgegeben ist:
  • SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adobe Flash Player ActiveX
  • Reg SZ Wert: DisplayVersion
  • Equal to
  • 11.4.402.287 (natürlich bei neueren Flashplayern anders! bitte Key selbst prüfen!)

Hat man beide Regeln definiert, markiert man beide Regeln (STRG gedrückt halten) , danach klickt man auf Group und wählt “OR”. (Also eine ODER Regel, damit beide Varianten 32 und 64 Bit abgedeckt sind)

Zuletzt muss noch ein weiterer Regelsatz erstellt werden -> “Installable Rules”:

  • Hier kann man zb folgendes festlegen:
  • Rule Type: Windows Version
  • Comparision: Greater than or equal to Windows 7
  • Save Rule

Hier würden also nur Windows 7 Clients das Update bekommen.

Ab hier muss man dann eigentlich nichts mehr definieren, sondern kann sich mittels “NEXT” durchklicken, bis das Paket erstellt wird.

Im LUP klickt man das Paket, welches man “Freigeben” will mit rechts an und klickt auf “approve”.  Schließlich wählt man noch aus, für welche Gruppe von Computern (WSUS Gruppe) das Update freigegeben werden soll und die Sache sollte laufen.

Anmerkung zum Schluss: Die LUP Updates scheinen NICHT im WSUS auf,  sondern nur im LUP. Es macht also keinen Sinn, die selbst erstellten Updates im WSUS zu suchen. :-)

Tips

32 Bit Registry

Bei aktiviertem “32 Bit Registry” bei den installed rules wurde mir das Update immer wieder angeboten. Lösung: Häkchen nicht setzten

Falls ihr dennoch das Update immer wieder angeboten bekommt, schaut auch eure definierte “Installed rule” nochmals an. Oft hat man hier einen Schreibfehler (z.b. ein Leerzeichen, wo keines hingehört)

Acrobat Reader

Dem Exe-Installer werden folgende Parameter mitgegeben, damit dieser “silent” installiert bzw. das EULA automatisch auf “akzeptiert” gestellt wird:

  • /msi EULA_ACCEPT=YES /qn

Adobe Flashplugin ActiveX

Dem Exe-Installer wird folgender Parameter mitgegeben, damit die Installation “silent” erfolgt:

  • -install

Java Runtime Environment

Hier bedienen wir uns folgender Parameter:

  • /s /L C:\setup.log

…wobei an sich der Parameter /s hier reicht.

Windows 8

Nachdem ja mit morgigem Tag (26.10.2012) Windows 8 erscheint, habe ich bereits mit der Windows 8 Evalversion getestet. Bevor Ihr von einem WSUS 3.0 SP2 Updates in Richtung Win8 ausbringen könnt, müsst ihr KB2734608 auf dem WSUS Client Rechner (WSUS Konsole) und auf dem WSUS Server installieren. Nachdem das erledigt ist, müssen alle Packages im LUP “resigned” werden.

Achtung: Das Self signed Serverzertifikat muss eine Schlüssellänge von mindestens 1024Bit haben! (prüfen!).

Bitte achtet darauf, dass ihr genügend Testläufe durchführt, bevor ihr eure Updates in das Produktivnetz ausrollt. Mit wenigen Clients zu testen, die verschiedene Versionen des OS installiert haben, macht hier am meisten Sinn.

Natürlich kann ich keine Verantwortung für eventuelle Probleme/Schäden etc. übernehmen.

 

Abgelegt unter: Windows von Daniel
5 Kommentare »