Veeam Backup mit wechselnden USB-Festplatten einrichten

Veröffentlicht am Veröffentlicht in Computer

Man kann in „Veeam Backup & Replication“ problemlos eine USB-Festplatte (sowohl lokal am Backup-Server als auch an einem Netzwerk-Client) als Backupziel („Repository“) einrichten. Da man üblicherweise mehrere USB-Festplatten verwendet und diese regelmäßig tauscht, muß man um Veeam-Fehlermeldungen zu vermeiden in den „Advanced“ Einstellungen des Repositorys die Option „This repository is backed by rotated hard drives“ aktivieren.

Das funktioniert dann auch erst mal, allerdings wird nach einigen Tauschzyklen die USB-Festplatte voll sein und das Backup entsprechend abbrechen. Das liegt daran dass Veeam – wenn es erkennt dass die USB-Festplatte getauscht wurde – mit einem FullBackup einen neuen Backupzyklus beginnt ohne die vorhandenen alten Backupdateien von der USB-Festplatte zu löschen. Die „alten“ Restore Points werden in Veeam nicht angezeigt, obwohl die dazugehörigen Dateien auf der USB-Festplatte vorhanden sind. Sie werden auch nicht im Lauf der Zeit durch die „Retention policy“ („Restore points to keep on disk“) gelöscht. Es bleibt einem also erst mal nichts anderes übrig als nach jedem USB-Festplattentausch die alten Veeam Backupdateien manuell zu löschen damit die USB-Festplatte nicht „volläuft“.

Dies gilt zumindest für normale „Backup Jobs“. Bei „Backup Copy Jobs“ verhält sich Veeam so wie man es eigentlich immer erwarten würde: Beim ersten Lauf nach einem USB-Festplattentausch werden in diesem Fall nur die geänderten Daten kopiert, um den aktuellen Stand wieder auf der USB-Festplatte zu haben.

In dem Knowledgebase Artikel KB1154 beschreibt Veeam einen Registry Key, der einem hilft dieses Problem zu umgehen: Wenn dieser Key existiert und einen der in dem Artikel beschriebenen Werte hat (sinnvollerweise ein DWORD mit dem Wert „3“), dann löscht Veeam auf einer als getauscht erkannten USB-Festplatte alle vorhandenen Backups bevor es mit einem FullBackup einen neuen Backupzyklus beginnt.

HKLM\Software\Veeam\Veeam Backup and Replication\ForceDeleteBackupFiles

Damit kann man ohne manuellen Eingriff einfach die USB-Festplatten tauschen. Allerdings verliert man so die Möglichkeit nach einem USB-Festplattentausch noch auf die alten Backups zugreifen zu können, worin ich aber kein Problem sehe.

Festplatte/USB-Stick per Command Line löschen

Veröffentlicht am Veröffentlicht in Computer

Manchmal läßt sich eine Festplatte einfach nicht mit dem dafür vorgesehen Programm („Festplattendienstprogramm“ unter macOS oder „Datenträgerverwaltung“ unter Windows) löschen/formatieren. Meistens treten solche Probleme mit den dazugehörigen nichtssagenden Fehlermeldungen auf, wenn man versucht das Format (NTFS/FAT32 ↔ Mac OS Extended) oder das Schema (MBR ↔ GUID) zu ändern oder wenn spezielle Partitionen (z.B. Recovery-Partitionen) auf der Festplatte vorhanden sind.

In diesen Fällen hilft es immer die Festplatte/den USB-Stick per Command Line zu löschen:

Unter macOS geht man dazu ins Terminal und läßt sich zuerst mit „diskutil list“ die vorhandenen Festplatten auflisten. Dann löscht man mit „diskutil erasedisk …“ die gewünschte Festplatte

diskutil list
diskutil eraseDisk JHFS+ The_Disk_Name /dev/disk2

Unter Windows öffnet man eine Eingabeaufforderung („cmd“), startet darin „diskpart“, läßt sich mit „list disk“ die vorhandenen Festplatten auflisten und wählt mit „select disk ..“ die gewünschte Festplatte aus. Dann löscht man mit „clean“ die gerade gewählte Festplatte.

diskpart
list disk
select disk 1
clean

Normalerweise ist die Festplatte danach in dem Zustand den man haben möchte. Falls man doch noch Änderungen an der Festplatte vornehmen möchte (z.B. von MBR auf GUID umstellen) kann man das jetzt problemlos mit dem dafür vorgesehenen Programm erledigen.

Lösung für Event 10009 (DistributedCOM)

Veröffentlicht am Veröffentlicht in Computer

Auf einem DomainController wird im Eventlog alle 1/2 Stunde der Event 10009 (DistributedCOM) mit folgendem Text angezeigt:

DCOM konnte mit dem Computer "xxxx" unter Verwendung eines beliebigen, konfigurierten Protokolls
   keine Daten austauschen.

In einem MSDN Blog-Posting habe ich einen Hinweis für die Fehlersuche gefunden: Der Domain Controller muß den PC nicht nur anpingen, sondern auch per Telnet auf Port 135 erreichen können.

Und das hat hier nicht funktioniert. Es hat sich herausgestellt, dass auf dem PC neben der Windows Firewall auch noch eine „McAfee Firewall“ aktiv war, die (ungewollt) zusammen mit der „McAfee Endpoint Protection“ (Nachfolger von „McAfee VirusScan“) installiert worden ist. Kaum hatte ich diese unnötige zusätzliche Firewall deinstalliert (und die Windows Firewall aktiviert), war der Zugriff vom Domain Controller über Telnet Port 135 möglich und der Event 10009 tauchte nicht mehr auf.

„Single Click Select All“ in Firefox abschalten

Veröffentlicht am Veröffentlicht in Computer

Heute habe ich endlich drangedacht mich um die Lösung eines kleinen, aber für mich sehr störenden Problems zu kümmern: Als Firefox-User nervt mich seit langem das „Feature“, das die Adresszeile komplett markiert wird, wenn ich mit der Maus auf die angezeigte Adresse klicke. Ich will das nicht! Wenn ich auf die Adresse klicke, dann mache ich das, weil ich an der Adresse eine Änderung vornehmen möchte (z.B. IP-Adresse, Port oder ganz simpel Tippfehler). Wenn ich die Adresse nicht bearbeiten sondern komplett überschreiben will, dann drücke ich Ctrl (Cmd) + L und klicke nicht auf die Adresse.

Die (zu erwartende) Lösung habe ich einem Blog-Beitrag gefunden: Es gibt ein Firefox-Setting, mit dem man dieses Verhalten beeinflussen kann: Einfach about:config aufrufen, die Warnung bestätigen, nach „browser.urlbar.clickSelectsAll“ suchen und durch Doppelklick auf „false“ umstellen. Fertig!

Synology und TimeMachine unter macOS Sierra: „Datensicherung fehlgeschlagen“

Veröffentlicht am Veröffentlicht in Computer

Vor kurzem habe ich auf einem MacBook unter macOS Sierra TimeMachine für die Sicherung auf eine neue Synology NAS eingerichtet. Dabei habe ich mich an die Empfehlungen in der Synology Knowledgebase (getrennter Benutzer und getrennte Freigabe für TimeMachine) gehalten. Das erste Backup lief ohne Probleme durch.

Nach einigen Tagen wurde dann auf dem MacBook die Meldung „Datensicherung fehlgeschlagen. Das Backup auf …. wird bereits verwendet“ angezeigt und entsprechend auch keine Sicherung mehr durchgeführt. Die Lösung habe ich in einem Blog-Posting gefunden: Das beschriebene Problem wird durch den Ruhezustand des MacBooks z.B. durch Zuklappen des Displays ausgelöst und kann vermieden werden, indem man im Webinterface der Synology NAS unter „Systemsteuerung → Dateidienste → SMB/AFP/NFS → AFP → Erweiterte Einstellungen“ die Option „Ressourcen sofort nach der Trennung freigeben“ aktiviert.

Let’s Encrypt Zertifikate mit Host Europe WebPacks verwenden

Veröffentlicht am Veröffentlicht in Computer

In nächster Zukunft werden unverschlüsselte Websites (zuerst wohl von Google Chrome) generell als „nicht sicher“ markiert und auch in den Google Suchergebnissen abgewertet werden. Man sollte also dringend dafür sorgen, dass die eigene Website verschlüsselt, also per https ausgeliefert wird. Dafür ist ein Zertifikat erforderlich, das man von Certification Authorities (CA) wie Comodo oder Thawte für eine jährliche Gebühr kaufen kann und das man dann auf seinem Webserver installieren muß.

Seit einiger Zeit gibt es auch die Möglichkeit, sich von Let’s Encrypt ein (technisch einfaches aber funktionierendes) kostenfreies Zertifikat ausstellen zu lassen. Ein Problem dieser vollautomatisch erzeugten Zertifikate ist die geringe Gültigkeit von nur 3 Monaten. Dies ist kein Problem wenn die Zertifikate wie von Let’s Encrypt vorgesehen automatisch aktualisiert werden. Wenn man einen eigenen Webserver oder einen mit Plesk verwalteten virtuellen Server betreibt (dafür gibt es die sehr gute Let’s Encrypt Plesk Extension) ist so eine automatische Aktualisierung auch ohne weiteres möglich. Host Europe unterstützt bei den normalen WebPacks immerhin die Installation von eigenen Zertifikaten, aber keine automatische Aktualisierung. Hier muß man also im Moment noch regelmäßig das Zertifikat manuell aktualisieren.

Eine Beschreibung wie man ein Zertifikat bei Let’s Encrypt erzeugt und dann bei Host Europe einbindet, habe ich in einem Blogposting gefunden. Die Website ZeroSSL führt einen in wenigen Schritten durch den Prozess.
Auf der ersten Seite trägt man links seine E-Mailadresse und recht mit Leerzeichen getrennt die Domains und Subdomains ein, für die das Zertifikat gelten soll. Als nächstes werden daraus ein Let’s Encrypt Key (wird zusammen mit der eingegebenen E-Mailadresse für eine spätere Erneuerung des Zertifikats benötigt) und ein CSR erzeugt, die man beide sichern sollte.
Auf der zweiten Seite wird dann (wenn man HTTP Verification gewählt hat) pro angeforderter Domain/Subdomain der Inhalt und der Name einer Textdatei angegeben, die man erzeugen und an die angegebenen Stellen auf der Website kopieren muß um zu beweisen, dass man Zugriff auf den Webserver hat.
Auf der dritten und letzten Seite wird dann bereits das fertig erzeugte Zertifikat und der Key angezeigt, die man beide ebenfalls sichern sollte. Damit ist die Erzeugung des Zertifikats abgeschlossen.
Dieses Zertifikat kann man jetzt auf der Host Europe Website unter Produktverwaltung → Webhosting → Konfigurieren → Sicherheit & SSL → SSL administrieren → Global → Zuweisen/Ersetzen seiner Website zuordnen. Dazu müssen die beiden im letzten Schritt auf der ZeroSSL-Website erzeugten Dateien (Zertifikat und Key) angegeben werden. Die Felder für Passwort und CA können leer bleiben. Das Zertifikat ist entgegen der angezeigten Meldung normalerweise innerhalb kürzester Zeit verfügbar.

Schließlich sollte man noch in der Datei .htaccess mit

RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

eine dauerhafte Weiterleitung von http auf https einrichten, damit die Website immer verschlüsselt ausgeliefert wird.

Site to Site VPN zwischen zwei Standorten mit „gleichen“ Subnetzen erstellen

Veröffentlicht am Veröffentlicht in Computer

Einen Site to Site VPN-Tunnel (IPSec) zwischen zwei Standorten zu erstellen ist mit etwas Erfahrung keine große Kunst, vor allem wenn man die Firewalls an beiden Enden selbst konfigurieren kann und diese idealerweise vom gleichen Hersteller sind. Etwas komplizierter wird es, wenn an beiden Standorten die „gleichen“ Subnetze (häufig 192.168.1.0/24) verwendet werden. Dann muß auf beiden Seiten per NAT jeweils ein „Transfernetz“ eingeführt werden.

In der Knowledge Base unseres bevorzugten Firewall-Herstellers SonicWALL wird in einem Artikel ausführlich beschrieben, wie dieses Szenario implementiert werden kann.

WSUS und das Windows 10 Anniversary Update

Veröffentlicht am Veröffentlicht in Computer

Im Zusammenhang mit dem Anniversary Update 1607 und WSUS gab es gleich mehrere Probleme, die mich einige ganze Tage Fehlersuche gekostet haben:

Mit dem Anniversary Update 1607 hat Microsoft begonnen, die Updates an den WSUS verschlüsselt auszuliefern. Damit das funktioniert, muß der WSUS natürlich von dieser Verschlüsselung wissen. Dafür gab es mit KB3159706 ein Update für den WSUS. Dummerweise ist dieses WSUS-Update aber erst ein paar Tage nach der Veröffentlichung des Anniversary Updates erschienen. Wenn man jetzt in diesen paar Tagen das Anniversary Update im WSUS genehmigt und damit heruntergeladen hat, hatte man ein Problem:
Der ungepatchte WSUS hat das Anniversary Update verschlüsselt wie es war den Clients zur Verfügung gestellt. Diese habe das Update gesehen, heruntergeladen und versucht zu installieren. Diese Installation am Cient ist aber sofort mit dem Fehler 0xC1800118 abgebrochen. Microsoft hat mehrere Wochen (!) gebraucht um eine Lösung zu finden, wie man die WSUS-Datenbank wieder soweit bereinigen kann, das sich der jetzt gepatchte WSUS die Updates neu herunterlädt und dann sauber entschlüsselt. Die mit viel Handarbeit (PowerShell und SQL) verbundene Lösung wird in KB3194588 beschrieben.

Damit konnten Clients dann ohne Probleme das Anniversary Update 1607 installieren. Beim Versuch nachfolgende Einzelupdates zu installieren, bleibt Windows-Update aber bei „0% herunterladen“ hängen. Ein Blick in das (tiefrote) Ereignisprotokoll zeigt, dass jede Menge Dienste (darunter der „Intelligente Hintergrundübertragungsdienst“ und „Windows Update“) so oft unerwartet beendet wurden, dass sie auf manuellen Start umgestellt wurden und nicht liefen. Nach langem Suchen hat sich herausgestellt, dass man das jeweils aktuellste „Cumulative update for Windows 10 Version 1607“ (zur Zeit ist das KB3197356) mit dem Internet Explorer aus dem Microsoft Update Catalog herunterladen und manuell auf dem Client installieren muß. Nach dem obligatorischen Neustart fängt Windows Update sofort an ohne Probleme die fehlenden weiteren Updates vom WSUS zu laden und zu installieren. Die vorher unerwartet beendeten Dienste laufen jetzt normal.

„Authentifizierung auf Netzwerkebene“ Fehler trotz installierten Updates

Veröffentlicht am Veröffentlicht in Computer

Von einem sauber aktualisiertem Windows 7 Client soll per Remotedesktopverbindung auf einen Windows 2008 Server zugegriffen werden. Per Gruppenrichtlinie wird in der Domäne die Authentifizierung auf Netzwerkebene erzwungen. Trotz der installierten Updates klappt die Verbindung nicht und es wird die Fehlermeldung „Der Remotecomputer erfordert die Authentifizierung auf Netzwerkebene. Diese Funktion wird von Ihrem Computer nicht unterstützt. Wenden Sie sich an den Systemadministrator oder den technischen Support, wenn Sie Hilfe benötigen.“ angezeigt.

Der Menübefehl „Info“ (Rechtsklick auf die Titelzeile des Remotedesktopverbindungs-Fensters) zeigt aber korrekt sowohl „Authentifizierung auf Netzwerkebene wird unterstützt“ als auch „Das Remotedesktopprotokoll 8.1 wird unterstützt“ an.

Die einfache Lösung für dieses Problem habe ich in diesem Posting gefunden: Einfach die beiden versteckten Dateien „Default.rdp“ und „Default.bak“ in den „Dokumenten“ löschen (werden automatisch neu angelegt), danach klappt die Verbindung auf Anhieb!

Windows Updates auf Windows 7 ohne ewige Wartezeiten installieren

Veröffentlicht am Veröffentlicht in Computer

Seit vielen Monaten ist es kaum mehr möglich auf einem frisch installiertem Windows 7 die üblichen 100+ Windows Updates ohne ewige Wartezeiten (wenn überhaupt) zu installieren.

Ich habe es vor ein paar Tagen noch einmal probiert: Auf einem nagelneuem PC (SSD, VDSL-Anschluß) hat die Suche nach Windows Updates 14 Stunden gedauert. Nach Klick auf „Installieren“ wurde dann für weitere 12 Stunden „Installation wird vorbereitet“ angezeigt, worauf ich den Vorgang dann abgebrochen habe. Das ging immerhin ohne Probleme innerhalb weniger Sekunden.

Ich habe sehr viele Beiträge zu diesem Thema gefunden. Die Grundproblematik liegt wohl darin, dass der Windows Update Dienst selbst im Lauf der Zeit mehrfach aktualisiert wurde und die ursprüngliche Version – die auf einem neu installierten System vorhanden ist – nicht mehr funktioniert. Wie in Blogpostings wie diesem beschrieben wird, ändert sich das Problem mit dem Erscheinen neuer Updates immer wieder, aber im Moment läßt sich Windows Update durch die Installation vom „Juli 2016 Update Rollup (KB3172605)“ wieder reaktivieren. Dieses Update enthält wohl die aktuellste Fassung des Windows Update Dienstes. Bei mir war es nicht nötig, aber scheinbar meldet dieses Update bei der Installation häufig, dass es nicht für diesen PC geeignet wäre. In diesem Fall muß vorher KB3020369 installiert werden.

Um dieses (oder diese) Updates installieren zu können, muß man den passenden Standalone-Installer von der Microsoft-Website herunterladen, in der Systemsteuerung Windows Update auf „Nie nach Updates suchen (nicht empfohlen)“ umstellen und den PC neu starten. Dann den heruntergeladenen Updater laufen lassen, der ohne Probleme durchlaufen sollte. Dann den PC wieder neu starten und die Einstellung in der Systemsteuerung Windows Updates auf den ursprünglichen Wert zurückstellen. Es wird dann automatisch nach Windows Updates gesucht, was jetzt in normaler Zeit (in meinem Fall ca. 10 Minuten) funktionieren sollte.