„Single Click Select All“ in Firefox abschalten

Posted Veröffentlicht in Computer

Heute habe ich endlich drangedacht mich um die Lösung eines kleinen, aber für mich sehr störenden Problems zu kümmern: Als Firefox-User nervt mich seit langem das „Feature“, das die Adresszeile komplett markiert wird, wenn ich mit der Maus auf die angezeigte Adresse klicke. Ich will das nicht! Wenn ich auf die Adresse klicke, dann mache ich das, weil ich an der Adresse eine Änderung vornehmen möchte (z.B. IP-Adresse, Port oder ganz simpel Tippfehler). Wenn ich die Adresse nicht bearbeiten sondern komplett überschreiben will, dann drücke ich Ctrl (Cmd) + L und klicke nicht auf die Adresse.

Die (zu erwartende) Lösung habe ich einem Blog-Beitrag gefunden: Es gibt ein Firefox-Setting, mit dem man dieses Verhalten beeinflussen kann: Einfach about:config aufrufen, die Warnung bestätigen, nach „browser.urlbar.clickSelectsAll“ suchen und durch Doppelklick auf „false“ umstellen. Fertig!

Synology und TimeMachine unter macOS Sierra: „Datensicherung fehlgeschlagen“

Posted Veröffentlicht in Computer

Vor kurzem habe ich auf einem MacBook unter macOS Sierra TimeMachine für die Sicherung auf eine neue Synology NAS eingerichtet. Dabei habe ich mich an die Empfehlungen in der Synology Knowledgebase (getrennter Benutzer und getrennte Freigabe für TimeMachine) gehalten. Das erste Backup lief ohne Probleme durch.

Nach einigen Tagen wurde dann auf dem MacBook die Meldung „Datensicherung fehlgeschlagen. Das Backup auf …. wird bereits verwendet“ angezeigt und entsprechend auch keine Sicherung mehr durchgeführt. Die Lösung habe ich in einem Blog-Posting gefunden: Das beschriebene Problem wird durch den Ruhezustand des MacBooks z.B. durch Zuklappen des Displays ausgelöst und kann vermieden werden, indem man im Webinterface der Synology NAS unter „Systemsteuerung → Dateidienste → SMB/AFP/NFS → AFP → Erweiterte Einstellungen“ die Option „Ressourcen sofort nach der Trennung freigeben“ aktiviert.

Let’s Encrypt Zertifikate mit Host Europe WebPacks verwenden

Posted Veröffentlicht in Computer

In nächster Zukunft werden unverschlüsselte Websites (zuerst wohl von Google Chrome) generell als „nicht sicher“ markiert und auch in den Google Suchergebnissen abgewertet werden. Man sollte also dringend dafür sorgen, dass die eigene Website verschlüsselt, also per https ausgeliefert wird. Dafür ist ein Zertifikat erforderlich, das man von Certification Authorities (CA) wie Comodo oder Thawte für eine jährliche Gebühr kaufen kann und das man dann auf seinem Webserver installieren muß.

Seit einiger Zeit gibt es auch die Möglichkeit, sich von Let’s Encrypt ein (technisch einfaches aber funktionierendes) kostenfreies Zertifikat ausstellen zu lassen. Ein Problem dieser vollautomatisch erzeugten Zertifikate ist die geringe Gültigkeit von nur 3 Monaten. Dies ist kein Problem wenn die Zertifikate wie von Let’s Encrypt vorgesehen automatisch aktualisiert werden. Wenn man einen eigenen Webserver oder einen mit Plesk verwalteten virtuellen Server betreibt (dafür gibt es die sehr gute Let’s Encrypt Plesk Extension) ist so eine automatische Aktualisierung auch ohne weiteres möglich. Host Europe unterstützt bei den normalen WebPacks immerhin die Installation von eigenen Zertifikaten, aber keine automatische Aktualisierung. Hier muß man also im Moment noch regelmäßig das Zertifikat manuell aktualisieren.

Eine Beschreibung wie man ein Zertifikat bei Let’s Encrypt erzeugt und dann bei Host Europe einbindet, habe ich in einem Blogposting gefunden. Die Website ZeroSSL führt einen in wenigen Schritten durch den Prozess.
Auf der ersten Seite trägt man links seine E-Mailadresse und recht mit Leerzeichen getrennt die Domains und Subdomains ein, für die das Zertifikat gelten soll. Als nächstes werden daraus ein Let’s Encrypt Key (wird zusammen mit der eingegebenen E-Mailadresse für eine spätere Erneuerung des Zertifikats benötigt) und ein CSR erzeugt, die man beide sichern sollte.
Auf der zweiten Seite wird dann (wenn man HTTP Verification gewählt hat) pro angeforderter Domain/Subdomain der Inhalt und der Name einer Textdatei angegeben, die man erzeugen und an die angegebenen Stellen auf der Website kopieren muß um zu beweisen, dass man Zugriff auf den Webserver hat.
Auf der dritten und letzten Seite wird dann bereits das fertig erzeugte Zertifikat und der Key angezeigt, die man beide ebenfalls sichern sollte. Damit ist die Erzeugung des Zertifikats abgeschlossen.
Dieses Zertifikat kann man jetzt auf der Host Europe Website unter Produktverwaltung → Webhosting → Konfigurieren → Sicherheit & SSL → SSL administrieren → Global → Zuweisen/Ersetzen seiner Website zuordnen. Dazu müssen die beiden im letzten Schritt auf der ZeroSSL-Website erzeugten Dateien (Zertifikat und Key) angegeben werden. Die Felder für Passwort und CA können leer bleiben. Das Zertifikat ist entgegen der angezeigten Meldung normalerweise innerhalb kürzester Zeit verfügbar.

Schließlich sollte man noch in der Datei .htaccess mit

RewriteCond %{HTTPS} off
RewriteRule ^(.*)$ https://%{HTTP_HOST}/$1 [R=301,L]

eine dauerhafte Weiterleitung von http auf https einrichten, damit die Website immer verschlüsselt ausgeliefert wird.

[Update] Die Vorgehensweise bei der manuellen Aktualiserung des Zertifikats entspricht weitestgehend der oben beschriebenen Neuerstellung des Zertifikats.
Im ersten Schritt auf der ZeroSSL Website fügt man links E-Mail Adresse und den bei der Ersterstellung gesicherten Let’s Encrypt Key ein. Auf der rechten Seite dann den ebenfalls bei der Ersterstellung gesicherten CSR. Im zweiten Schritt folgt dann wie bei der Ersterstellung die HTTP Verification aller im CSR enthaltenen (Sub-)Domains und im dritten Schritt erhält man dann das Zertifikat, das man natürlich sichern sollte. Der Domain Key wird nicht erneut angeboten, da sich dieser seit der Ersterstellung nicht geändert hat.
Schließlich ersetzt man das alte Zertifikat an der gleichen Stelle auf der Host Europe Website („Global“) durch das neue Zertifikat. Dafür ist auch der (unveränderte) Domain Key erforderlich.

Site to Site VPN zwischen zwei Standorten mit „gleichen“ Subnetzen erstellen

Posted Veröffentlicht in Computer

Einen Site to Site VPN-Tunnel (IPSec) zwischen zwei Standorten zu erstellen ist mit etwas Erfahrung keine große Kunst, vor allem wenn man die Firewalls an beiden Enden selbst konfigurieren kann und diese idealerweise vom gleichen Hersteller sind. Etwas komplizierter wird es, wenn an beiden Standorten die „gleichen“ Subnetze (häufig 192.168.1.0/24) verwendet werden. Dann muß auf beiden Seiten per NAT jeweils ein „Transfernetz“ eingeführt werden.

In der Knowledge Base unseres bevorzugten Firewall-Herstellers SonicWALL wird in einem Artikel ausführlich beschrieben, wie dieses Szenario implementiert werden kann.

WSUS und das Windows 10 Anniversary Update

Posted Veröffentlicht in Computer

Im Zusammenhang mit dem Anniversary Update 1607 und WSUS gab es gleich mehrere Probleme, die mich einige ganze Tage Fehlersuche gekostet haben:

Mit dem Anniversary Update 1607 hat Microsoft begonnen, die Updates an den WSUS verschlüsselt auszuliefern. Damit das funktioniert, muß der WSUS natürlich von dieser Verschlüsselung wissen. Dafür gab es mit KB3159706 ein Update für den WSUS. Dummerweise ist dieses WSUS-Update aber erst ein paar Tage nach der Veröffentlichung des Anniversary Updates erschienen. Wenn man jetzt in diesen paar Tagen das Anniversary Update im WSUS genehmigt und damit heruntergeladen hat, hatte man ein Problem:
Der ungepatchte WSUS hat das Anniversary Update verschlüsselt wie es war den Clients zur Verfügung gestellt. Diese habe das Update gesehen, heruntergeladen und versucht zu installieren. Diese Installation am Cient ist aber sofort mit dem Fehler 0xC1800118 abgebrochen. Microsoft hat mehrere Wochen (!) gebraucht um eine Lösung zu finden, wie man die WSUS-Datenbank wieder soweit bereinigen kann, das sich der jetzt gepatchte WSUS die Updates neu herunterlädt und dann sauber entschlüsselt. Die mit viel Handarbeit (PowerShell und SQL) verbundene Lösung wird in KB3194588 beschrieben.

Damit konnten Clients dann ohne Probleme das Anniversary Update 1607 installieren. Beim Versuch nachfolgende Einzelupdates zu installieren, bleibt Windows-Update aber bei „0% herunterladen“ hängen. Ein Blick in das (tiefrote) Ereignisprotokoll zeigt, dass jede Menge Dienste (darunter der „Intelligente Hintergrundübertragungsdienst“ und „Windows Update“) so oft unerwartet beendet wurden, dass sie auf manuellen Start umgestellt wurden und nicht liefen. Nach langem Suchen hat sich herausgestellt, dass man das jeweils aktuellste „Cumulative update for Windows 10 Version 1607“ (zur Zeit ist das KB3197356) mit dem Internet Explorer aus dem Microsoft Update Catalog herunterladen und manuell auf dem Client installieren muß. Nach dem obligatorischen Neustart fängt Windows Update sofort an ohne Probleme die fehlenden weiteren Updates vom WSUS zu laden und zu installieren. Die vorher unerwartet beendeten Dienste laufen jetzt normal.

„Authentifizierung auf Netzwerkebene“ Fehler trotz installierten Updates

Posted Veröffentlicht in Computer

Von einem sauber aktualisiertem Windows 7 Client soll per Remotedesktopverbindung auf einen Windows 2008 Server zugegriffen werden. Per Gruppenrichtlinie wird in der Domäne die Authentifizierung auf Netzwerkebene erzwungen. Trotz der installierten Updates klappt die Verbindung nicht und es wird die Fehlermeldung „Der Remotecomputer erfordert die Authentifizierung auf Netzwerkebene. Diese Funktion wird von Ihrem Computer nicht unterstützt. Wenden Sie sich an den Systemadministrator oder den technischen Support, wenn Sie Hilfe benötigen.“ angezeigt.

Der Menübefehl „Info“ (Rechtsklick auf die Titelzeile des Remotedesktopverbindungs-Fensters) zeigt aber korrekt sowohl „Authentifizierung auf Netzwerkebene wird unterstützt“ als auch „Das Remotedesktopprotokoll 8.1 wird unterstützt“ an.

Die einfache Lösung für dieses Problem habe ich in diesem Posting gefunden: Einfach die beiden versteckten Dateien „Default.rdp“ und „Default.bak“ in den „Dokumenten“ löschen (werden automatisch neu angelegt), danach klappt die Verbindung auf Anhieb!

Windows Updates auf Windows 7 ohne ewige Wartezeiten installieren

Posted Veröffentlicht in Computer

Seit vielen Monaten ist es kaum mehr möglich auf einem frisch installiertem Windows 7 die üblichen 100+ Windows Updates ohne ewige Wartezeiten (wenn überhaupt) zu installieren.

Ich habe es vor ein paar Tagen noch einmal probiert: Auf einem nagelneuem PC (SSD, VDSL-Anschluß) hat die Suche nach Windows Updates 14 Stunden gedauert. Nach Klick auf „Installieren“ wurde dann für weitere 12 Stunden „Installation wird vorbereitet“ angezeigt, worauf ich den Vorgang dann abgebrochen habe. Das ging immerhin ohne Probleme innerhalb weniger Sekunden.

Ich habe sehr viele Beiträge zu diesem Thema gefunden. Die Grundproblematik liegt wohl darin, dass der Windows Update Dienst selbst im Lauf der Zeit mehrfach aktualisiert wurde und die ursprüngliche Version – die auf einem neu installierten System vorhanden ist – nicht mehr funktioniert. Wie in Blogpostings wie diesem beschrieben wird, ändert sich das Problem mit dem Erscheinen neuer Updates immer wieder, aber im Moment läßt sich Windows Update durch die Installation vom „Juli 2016 Update Rollup (KB3172605)“ wieder reaktivieren. Dieses Update enthält wohl die aktuellste Fassung des Windows Update Dienstes. Bei mir war es nicht nötig, aber scheinbar meldet dieses Update bei der Installation häufig, dass es nicht für diesen PC geeignet wäre. In diesem Fall muß vorher KB3020369 installiert werden.

Um dieses (oder diese) Updates installieren zu können, muß man den passenden Standalone-Installer von der Microsoft-Website herunterladen, in der Systemsteuerung Windows Update auf „Nie nach Updates suchen (nicht empfohlen)“ umstellen und den PC neu starten. Dann den heruntergeladenen Updater laufen lassen, der ohne Probleme durchlaufen sollte. Dann den PC wieder neu starten und die Einstellung in der Systemsteuerung Windows Updates auf den ursprünglichen Wert zurückstellen. Es wird dann automatisch nach Windows Updates gesucht, was jetzt in normaler Zeit (in meinem Fall ca. 10 Minuten) funktionieren sollte.

Microsoft Updates unter Windows 7 aktivieren

Posted Veröffentlicht in Computer

Die Standardeinstellung für Windows Updates unter Windows 7 ist „Nur für Windows“. Um diese Einstellung auf „Für Windows und andere Produkte von Microsoft Update“ zu ändern, kann man in der Systemsteuerung Windows Update in der entsprechenden Zeile auf den Link „Weitere Informationen“ klicken, wodurch dann die Microsoft Updates Webseite geöffnet wird. Dort muß man dann einmalig der Änderung zustimmen und erhält ab diesem Zeitpunkt wie gewünscht zusätzliche Updates.

Auf einem neu installiertem PC habe ich zuerst die üblichen 100+ Windows Updates installiert und wollte anschließend auf Microsoft Update umstellen. Der oben beschriebene Link „Weitere Informationen“ hat hier aber nur auf eine Seite mit zwei Screenshots geführt, auf der beschrieben wird wie man unter Windows 7 die Systemsteuerung Windows Update öffnet. Nach einiger Recherche hat sich das als Problem des Internet Explorer 11 herausgestellt: Die Microsoft Update Website funktioniert im IE 11 nur, wenn man sie im Kompatibilitätsmodus aufruft!

Dazu wählt man im IE 11 im „Zahnrad-Menü“ den Befehl „Einstellungen der Kompatibilitätsansicht“ und fügt im folgenden Dialog microsoft.com zu der Liste hinzu. Nach Beenden und neu Starten des IE 11 funktioniert dann die Microsoft Update Website wie erwartet.

VMware vCenter Plug-Ins werden mit SSL/TLS-Fehler nicht geladen

Posted Veröffentlicht in Computer

Bei einem Kunden mit einer etwas älteren VMware Installation ist mir aufgefallen, dass im vSphere-Client der Reiter „Hardware Status“ fehlt, in dem u.a. der Zustand der Festplatten überprüft werden kann.

Das Problem hatte ich schon einmal, daher war mir die Lösung bekannt: Einfach im Menü „Plug-ins -> Manage Plug-ins…“ aufrufen und das nicht gestartete Plug-in mit der rechten Maustaste und „enable“ aktivieren. Dies wird z.B. in diesem Posting beschrieben.

Nur war das in diesem Fall leider nicht möglich. In dem Plug-ins Fenster wurde bei jedem deaktiviertem Plug-in ein Fehler „Could not create SSL/TLS secure channel“ angezeigt. Die Lösung habe ich in einem Posting im VMware-Forum gefunden: Das Microsoft Update KB3161639 (bzw. das Update Rollup KB3161608 in dem das problematische Update enthalten ist) verändert die Sicherheitseinstellungen von Windows so, dass der vCenter nicht mehr sauber funktioniert. In dem Posting wird empfohlen folgenden Registry-Key anzulegen, der die Systemsicherheit nicht so beeinträchtigt wie es die Deinstallation des Microsoft Updates tun würde.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\
  KeyExchangeAlgorithms\Diffie-Hellman]
"ClientMinKeyBitLength"=dword:00000200

Dies hat bei mir funktioniert, seit dieser Registry-Key existiert starten die vCenter Plug-ins wieder und der „Hardware Status“ Reiter wird daher auch wieder angezeigt.

Windows Server Backup und lokaler User auf NAS

Posted Veröffentlicht in Computer

Ich habe heute auf einem Windows Server 2008 R2 eine Sicherung mit der (als Feature nachzuinstallierenden) „Windows Server-Sicherung“ eingerichtet. Der lokale Server soll auf eine Freigabe auf einer NAS (Synology) gesichert werden.

Die NAS ist nicht Mitglied der Domäre, weshalb für den Zugriff auf die Freigabe die Zugangsdaten eines lokal auf der NAS eingerichteten Users erforderlich sind. Somit hat kein Domänenbenutzer Zugriff auf die Freigabe und ein evtl. Verschlüsselungstrojaner tut sich etwas schwerer auf die gesicherten Daten zuzugereifen.

Bei der Definition der Sicherung habe ich als Sicherungsziel den „Freigegebenen Remoteordner“ angegeben und den User in der Form „NAME_DER_NAS\Lokaler_Username“ angegeben. Dies führt beim Abschluß der Sicherungs-Definition zu einer (ziemlich unspezifischen) Fehlermeldung.

Der Grund für diesen Fehler liegt in der Tatsache, dass der in der Sicherung verwendete User Mitglied der lokalen Windows-Gruppe „Sicherungs-Operatoren“ sein muß, was der lokale NAS-User natürlich nicht ist.

Die (etwas unschöne) Lösung ist sowohl auf der NAS als auch auf dem Windows Server jeweils einen lokalen User mit exakt gleichem Namen und Kennwort anzulegen und den Windows User zum Mitglied der „Sicherungs-Operatoren“ zu machen. Bei der Definition der Sicherung muß man den User dann unbedingt in der kurzen Form „Lokaler_Username“ angeben. Damit findet Windows einen Sicherungs-Operator und die NAS hat die korrekten Zugriffsdaten.

Unsauber, aber funktioniert!