Vonadmin

Wartungsarbeiten für alle Webhosting und Reseller Kunden am Donnerstag den 27.09.2018

Ausfallzeit ca: 20 – 45min

 

Vonadmin

Installation von Remote Desktop Session Host ohne Remote Desktop Connection Broker unter Windows Server 2012

Diese Konfiguration sollte nur verwendet werden, wenn es die einzige Möglichkeit ist, um den Zugriff auf die komplette Funktionalität mit „Remote Desktop Services“ bereitzustellen. Wenn ein Domain Controller auf einem separaten Server installiert ist, empfiehlt es sich, den Standard-Remote Desktop Services-Bereitstellungsassistenten zu verwenden. Diese Konfiguration ist sinnvoll, wenn es nur einen Server im Netzwerk gibt. Dieser Server kann Teil einer Arbeitsgruppe sein oder kann als Domain Controller konfiguriert werden.

Konfiguration

  1. Falls das System als Domain Controller konfiguriert werden soll, installieren Sie die Rolle „Active Directory Domain Service (AD DS)“ und konfigurieren sie einen Domain Controller.[1]
  2. Installieren Sie die Rollen „Remote Desktop Licensing“ und „Remote Desktop Session Host“ wie folgt:
    • Öffnen Sie den „Server-Manager“
    • Klicken Sie auf „Manage/Verwalten“ und auf „Rollen und Features hinzufügen“
    • Wählen Sie „Rollen-basierend“ oder Feature-basierend“
    • Unter „Remote Desktop Services“ wählen und installieren Sie die Rollen „Remote Desktop Licensing“ und „Remote Desktop Session Host“
  3. Fügen Sie den Lizenz-Server zur „Terminal Server License Server-Gruppe“ hinzu und starten Sie den „Remote Desktop Service“ neu.
    • Sie können den Server zur „Terminal Server License Server-Gruppe“ hinzufügen, indem Sie die „licmgr.exe“ ausführen
    • Sie können ebenso den Server manuell zur „Terminal Server License Server-Gruppe“ hinzufügen
  4. Automatisches Aktivieren des Lizenz-Servers vom License Server UI (licmgr.exe).[2]
  5. Installation der entsprechenden RDSCALs.[3]
  6. Falls das System als Domain Controller ausgeführt wird, fügen Sie die „Domain Users-Group“ zur lokalen „Allow logon through Remote Desktop Services“ Gruppenrichtlinie. So können Sie die lokalen Gruppenrichtlinien konfigurieren:
    1. Öffnen Sie „GPEDIT.MSC“
    2. Computer Configuration → Windows Settings → Security Settings → Local Policies → User Rights Assignment
    3. Doppelklick auf „Allow log on through Remote Desktop Services“ und klicken Sie dann auf „Add User or Group“
    4. Wählen Sie den User-Account und klicken Sie dann zweimal auf „OK“
    5. Schließen Sie nun den Gruppenrichtlinien-Editor
  7. Fügen Sie nun die gewünschten User hinzu, welche eine Verbindung mit der „Remote Desktop Users group“ aufbauen dürfen.
  8. Konfiguration der „Remote Desktop Session Host role“ mithilfe des „Remote Desktop Licensing“-Servers:
    1. Öffnen Sie die„Windows PowerShell“
    2. Tippen Sie folgendes in die Kommandozeile und drücken Sie Enter:
      $obj = gwmi -namespace „Root/CIMV2/TerminalServices“ Win32_TerminalServiceSetting
    3. Führen Sie folgendes Komando aus, um den Lizensierungsmodus zu verändern: Hinweis: Value = 2 für jedes Gerät; Value = 4 für jeden User
      $obj.ChangeMode(value)
    4. Führen Sie folgendes Kommando aus, um den Maschinennamen durch den Lizenz-Server zu ersetzen:
      $obj.SetSpecifiedLicenseServerList(„LicServer“)
    5. Führen Sie folgendes Kommando aus, um die Einstellungen, welche mit den oben genannten Schritten, zu überprüfen:
      $obj.GetSpecifiedLicenseServerList()
    6. Nun sollte der Server-Name angezeigt werden
Vonadmin

Plesk Datenbanken Reparieren

Wenn Sie alle Datenbanken auf Ihrem Server mit Plesk Reparieren und Optimieren möchten können können Sie das mit einen Befehl.
Je nach Datenbanke und Menge kann es ein wenig dauern

mysqlcheck -r -uadmin -p´cat /etc/psa/.psa.shadow´ -A
Vonadmin

Profileinstellungen von Outlook 2007/2010 sichern

Die Einstellungen der Profile, also E-Mail-Konten, die Anmeldung und die Anzeige der Favoritenordner, speichert Outlook nicht in der Outlook-Datendatei. Das bedeutet, dass Sie bei jeder neuen Installation von Outlook die E-Mail-Konten und Profile neu einrichten und die Favoritenordner neu erstellen müssen.

Lösung: Es gibt es einen einfachen Weg diese Sicherung über die Registry durchzuführen, da Outlook 2010 alle Informationen zu den Profilen in der Registry speichert. Zur Wiederherstellung müssen Sie dann anschließend nur auf die exportierte Registrydatei doppelklicken und alle E-Mail-Einstellungen sind wieder da. Gehen Sie dazu folgendermaßen vor:

1. Öffnen Sie den Registry-Editor, indem Sie regedit im Suchfeld des Startmenüs eingeben und bestätigen.

2. Navigieren Sie zu HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles.

3. Sie sehen unterhalb des Schlüssels Profiles jedes Profil als eigenen Schlüssel. Klicken Sie mit der rechten Maustaste auf das Profil das Sie exportieren wollen und wählen Sie aus dem Menü Exportieren aus.

4. Suchen Sie einen Speicherplatz für die *.reg-Datei und klicken Sie auf Speichern.

5. Wollen Sie nach einer Neuinstallation Outlook 2010 die Profile wiederherstellen, reicht ein Doppelklick auf diese *.reg-Datei. Eine Mühsame Neueinrichtung können Sie sich sparen. Achten Sie aber darauf, dass die Einstellungen in der Registrydatei alle vorhandenen Einstellungen in Outlook löschen. Sichern Sie zusätzlich noch die *.pst-Dateien, müssen Sie nach einer erneuten Installation von Outlook nur die *.pst-Dateien an den ursprünglichen Ort kopieren, die *.reg-Datei importieren lassen und Outlook ist wieder ordnungsgemäß

eingestellt. Produkte: Dieser Tipp funktioniert mit Outlook 2007 und 2010.

Vonadmin

Server Uhrzeit und Locales einstellen

Viele fragen mich wie man am besten die Serverzeit unter Linux (Debian Lenny) einstellt.
Das ist relative einfach und innerhalb 1 Minute erledigt

Geben Sie in der Konsole (SSH) folgendes Befehl ein.

# dpkg-reconfigure tzdata

Für Deutsche Uhrzeit bitte folgendes auswählen.
Europe – Berlin

Wenn Sie weitere Zeichensätze auf den Virtuellserver oder Rootserver einstellen möchten geben Sie folgendes ein

# dpkg-reconfigure locales

Mit der Leertaste können Sie mehrere Zeichensätze auswähle

Vonadmin

Monitoring mit SNMP (Debian Squeeze, Debian Wheezy)

Dieses Howto ist eine kleiner Start in das Monitoring (z.B. Nagios, Cacti) Protokoll SNMP, mit dem Dienst SNMP können Sie Systeminformationen abfragen.

SNMP ist innerhalb wenigen Minuten Installiert und einsatzbereit.
Nun fangen wir mit der Installation des SNMP Dienstes an.

apt-get install snmp snmpd

Wer auch zukünftig seine OID’s auflösen möchte, muss sich nun neu im Non-Free Repository bedienen. Dort steht das entsprechende Paket “snmp-mibs-downloader” bereit

apt-get install snmp-mibs-downloader

Je nachdem wie bei euch die Sourcelist aussieht /etc/apt/source.list müsste man noch das hier hinzufügen bevor man die mibs Installieren kann

deb http://ftp.fr.debian.org/debian/ wheezy main contrib non-free Für Debian Wheezy
deb http://ftp.fr.debian.org/debian/ squeeze main contrib non-free Für Debian Squeeze

Nun könnt Ihr eure Server per SNMP abfragen

Vonadmin

Was ist IMAP?

Die Abkürzung IMAP steht für Internet Message Access Protocol. Das IMAP-Protokoll erlaubt den Zugriff auf und die Verwaltung von empfangenen E-Mails. Im Gegensatz zum POP3-Protokoll verbleiben die Mails in der Regel auf dem Mailserver und werden nur bei Bedarf auf den Client-Rechner übertragen.

IMAP wurde mit dem Ziel entworfen, den Zugriff auf Mailboxen und Nachrichten so bereitzustellen, als wenn
diese sich auf dem lokalen Rechner befänden.

Vorteile:

– Zugriff von mehreren Rechnern (z. B. von der Arbeit, zu Hause, unterwegs)

– Zentrale Speicherung und Archivierung der E-Mails

– Gemeinsam genutzte Mailboxen für mehrere Benutzer möglich

– Manche Server-Implementationen bieten Rechtevergabe für Mailboxen (lesen, schreiben, löschen,
administrieren usw.) pro Benutzer und erlauben damit eine detaillierte Zugriffssteuerung

– Suchen und Sortieren kann serverseitig durchgeführt werden, sodass auch Klienten mit geringer
CPU-Leistung effizient große Mailboxen nutzen können

– Reduzierung des lokalen Datenvolumens, besonders wichtig für Handys u.ä.

Nachteile:

– manche Programme können ohne bestehende Internet-Verbindung nicht auf E-Mails zugreifen, da sie
den „disconnected mode“ von IMAP nicht unterstützen

– erhöhte Anforderung an die Leistungsfähigkeit des Servers im Vergleich zu POP3: IMAP ist im Gegensatz
zu POP ein sitzungsorientiertes Protokoll, mit teilweise sehr lang bestehenden TCP-Verbindungen.

Quelle: http://de.wikipedia.org/wiki/IMAP

Vonadmin

ownCloud als Netzlaufwerk verbinden

Ihr OwnCloud-Server lässt sich als Windows Netzlaufwerk verbinden und vollständig in den Windows Explorer integrieren.

Hierzu gehen Sie wie folgt vor:
1. Öffnen Sie den Windows Explorer
2. Klicken Sie auf „Netzlaufwerk verbinden“
3. Im Feld Ordner tragen Sie folgendes ein http://Server-IP/owncloud/remote.php/webdav
4. Anschließend den Hacken setzen bei „Verbindung mit anderen Anmeldeinformationen herstellen“
5. Fertig stellen

Anschließend werden Sie nach Ihrem Benutzernamen und Kennwort gefragt.
Problem:
Windows nimmt den Benutzernamen und Kennwort nicht an.

Lösung:
Öffnen Sie die Registry über

Start > Ausführen > regedit

Navigieren Sie zu
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesWebClientParameters
Ändern Sie dort den Parameter von
BasicAuthLevel = 1
auf
BasicAuthLevel = 2

Anschließend starten Sie Ihren PC neu.

Problem:
Eine SSL-Verbindung (https://) kann nicht mit dem ownCloud Server hergestellt werden, das Kennwort wird nicht akzeptiert

Lösung:
Das Zertifikat des ownCloud-Servers muss zunächst auf Ihrem PC installiert werden. Hierfür gehen Sie wie folgt vor:

1. Öffnen Sie den Internet Explorer
2. Navigieren Sie zu Ihrem ownCloud – https://Server-IP/owncloud
3. Sie erhalten eine Zertifikats-Meldung. Bestätigen Sie diese mit „Laden dieser Website fortsetzen“
4. Oben finden Sie nun die Meldung „Zertifikatsfehler“.
5. Klicken Sie dies an und anschließend wählen Sie „Zertifikate anzeigen“
6. Notieren Sie sich den Servernamen, den Sie unter „Ausgestellt für:“ finden.
7. Wählen Sie „Zertifikat installieren…“ aus
8. Klicken Sie auf „Weiter“
9. Wählen Sie „Alle Zertifikate in folgendem Speicher speichern“
10. Klicken Sie auf „Durchsuchen“
11. Anschließend wählen Sie den Ordner „Vertrauenswürdige Stammzertifizierungsstellen“ aus.
12. Mit „OK“ bestätigen
13. Klicken Sie auf „Weiter“ und „Fertig stellen“
Das Zertifikat wurde erfolgreich auf dem PC installiert.
Netzlaufwerk verbinden:

1. Öffnen Sie den Windows Explorer
2. Klicken Sie auf „Netzlaufwerk verbinden“
3. Im Feld Ordner tragen Sie folgendes ein https://servername/owncloud/remote.php/webdav
Hinweis: Den Servernamen haben Sie zuvor unter Punkt 6 notiert.
4. Anschließend den Hacken setzen bei „Verbindung mit anderen Anmeldeinformationen herstellen“
5. Fertig stellen

Vonadmin

Entdeckte Sicherheitslücken und Ihre Lösungen

Nach der NSA Affaire mit Snowden ist ein großer Wirbel entstanden, welches die Entwicklung in Sicherheit vor unerlaubten ausspionieren massive voran treibt.

Selbst die Bundesregierung ist nicht vor Angriffen Geschütz, gibt es überhaupt einen 100% Schutz?
Diese ist eine kleine Anleitung welche nicht Standard mäßig aktive ist.
Die meisten Weltweiten Webservern sind nicht bzw. nur ausreichend geschützt, wir gehen hier mal auf das Thema SSL Verschlüsselung ein welches zurzeit ein sehr wichtiges Thema ist.

Wenn Sie Ihre Webseite mit einen https ausstatten möchten ohne Lästige Warnungen vom Browser zu bekommen benötigen Sie einen SSL Zertifikat das von Zertifizierten Stellen ausgegeben wird.
Eine eigene IP Adresse ist hier auch Pflicht um ein Webseite mit einem https auszustatten.

Google bewertet Webseiten mit https höher als ohne und wenn diese auch noch Mobil fähig sind dann noch höher.

Wir sichern unsere Apache Webserver im Bereich SSL und Deaktivieren den SSLv2 und SSLv3 Support

/etc/apache2/mods-enabled/ssl.conf

SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder on
SSLCipherSuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-DSS-AES128-SHA256:DHE-DSS-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!DHE-RSA-AES128-GCM-SHA256:!DHE-RSA-AES256-GCM-SHA384:!DHE-RSA-AES128-SHA256:!DHE-RSA-AES256-SHA:!DHE-RSA-AES128-SHA:!DHE-RSA-AES256-SHA256:!DHE-RSA-CAMELLIA128-SHA:!DHE-RSA-CAMELLIA256-SHA

Neustarten von Apache

service apache2 reload

Hier könnt Ihr Prüfen ob eurer Server mit SSL abgesichert ist https://www.ssllabs.com/ssltest/index.html

Postfix Absicherung /etc/postfix/main.cf

smtpd_tls_exclude_ciphers = aNULL, eNULL, EXPORT, DES, RC4, MD5, PSK, aECDH, EDH-DSS-DES-CBC3-SHA, EDH-RSA-DES-CDC3-SHA, KRB5-DE5, CBC3-SHA

Neustarten von Postfix

postfix reload

Dovecot Absicherung

ssl_cipher_list=ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA
ssl_prefer_server_ciphers = yes (Dovecot 2.2.6 oder höher)

Neustarten von Dovcot

doveadm reload

Eure Dienste sind damit um einiges sicherer, alle unsere Server die wir betreuen Webhosting , Reseller Server usw. sind bereits abgesichert. Natürlich auch die Server wo wir einen Wartungsvertrag haben. Alle Server werden Regelmäßig auf den neusten Stand gebracht

Vonadmin

SSH Connection mit PHP (Teklab)

Dieses kleine Howto beschreibt wie man SSH Connetions per PHP aufbaut bzw. wie man
unter Tekbase SSH auf Grün bekommt, damit die Server wieder erreichbar sind.

Ich gehe hier von Debian / Ubuntu aus. Installiert per SSH bitte folgendes

aptitude install libssh2-1-dev libssh2-php

Danach startet Ihr nur noch den Apache Webserver neu mit diesem Befehl

./etc/init.d/apache2 restart

Nun sollte im Teklab die SSH leuchte grün sein.