Archiv der Kategorie: Anleitungen

Anleitungen bzw. Beschreibungen zum beheben von Problemen oder zum Umsetzen von bestimmten Projekten.

HowTo: System Center Virtual Machine Manager – Self Service Portal

In diesem Artikel beschreibe ich die folgenden drei Aktionen:

  1. Modifizieren des IIS damit dieser das Self Service Portal als einzige Seite bereit stellt
  2. Aktivieren des SSL gesicherten Zugang zum Portal
  3. Aktivieren der Windowsintegrierten Authentifizierung

IIS modifizieren

Bei der Installation des Self Service Portals für den SCVMM erhält man auf einem System welches Bereits einen vorinstallierten IIS am laufen hat die Fehlermeldung “Web site Default Web Site has the same address binding as the specified port. (ID: 337)…)

VMM_self_service_portal_iis

Die Lösung des Problems ist recht einfach. Man startet dazu den Internet Information Service (IIS) Manager (Start und dann den Namen in die Suchbox eintragen). In dem sich öffnenden Fenster erweitert man den Baum auf der linken Seite und entfernt einfach die Default Site.

SSL Zugang aktivieren

In der Standardkonfiguration liefert der IIS / das SCVMM Self Service Portal die Zugangsseite nur in klartext aus (http). Um die Datenübertragung zu verschlüsseln sind nur einige wenige Schritte notwendig. Sie brauchen dafür wieder den IIS Manager.

Klicken Sie im linken Baum auf den Namen Ihres Webservers und wählen Sie dann auf der rechten Seite “Server Certificates” aus.

VMM_self_service_portal_iis_ssl_01

Auf der folgenden Seite haben Sie nun die Möglichkeit festzulegen was für ein Zertifikat Sie für die SSL Übertragung beantragen wollen. Gibt es in Ihrer Infrastruktur bereits eine Unternehmnes-CA oder beziehen Sie Ihre Zertifikate von einer externen CA so können Sie ganz einfach einen Certificate Request (CR) erstellen und dort einreichen. Besitzen Sie noch keine CA so können sie ein selbst signiertes Zertifikat erstellen (die ersten beiden Varianten sind aber zu bevorzugen).

VMM_self_service_portal_iis_ssl_02

Ich erstelle hier mal ein selbst signiertes Zertifikat (geht am schnellsten 😉 )

VMM_self_service_portal_iis_ssl_03

Nachdem das Zertifikat erfolgreich ausgestellt wurde kann man es für die “Site” aktivieren. Dazu klickt man im Baum auf der linken Siete mit der rechten Maustaste auf die Site “Microsoft System Center Virtual Machine Manager…” und wählt dort “Edit Binding”.

VMM_self_service_portal_iis_ssl_04

In dem sich öffnenden Fenster sieht man, dass derzeit nur eine Bindung zu http besteht. Wir wählen also “Add”.

VMM_self_service_portal_iis_ssl_05

Im letzen Schritt wählen wir als Type “https” und unter “SSL certificate” das soeben ausgestellte Zertifikat.

VMM_self_service_portal_iis_ssl_06

Nachdem alle Fenster mit OK bestätigt wurden sollten das SCVMM – Self Service Portal auch SSL verschlüssel geöffnet werden können. Will man sicher gehen, dass die Benutzer die Seite nur via https ansurfen (ist zu empfehlen), so öffnet man wieder die Bindingeigenschaften der Site und entfernt “http”.

Windowsintegrierte Authentifizierung

Leider läßt auch der Standard für die Authentifizierung bei den meisten IIS Installation ein paar Wünsche offen (man muß sich jedes mal mit Benutzername und Passwort anmelden). Um das zu ändern ist es notwendig die IIS Funktion (Role Service) “Windows Authentication” zu installieren. Ist dies noch nicht der Fall öffnet man einfach den Server Manager und wählt die Funktion durch einen Klick auf “Add Role Service” hinzu (an der Stelle müssen Sie ggf. den IIS neu starten).

VMM_self_service_portal_iis_auth_01

Klicken Sie nun in der Baumstruktur auf der rechten Seite wieder auf die Portal Site und wählen Sie “Authentication”.

VMM_self_service_portal_iis_auth_02

In der sich öffnenden Übersicht sollen Sie alle Authentifizierungsmöglichkeiten mit Ausnahme von “Windows Authentification” deaktivieren.

Lüfterlose Astaro Firewall im Selbstbau

Nachdem ich nun eine neue Wohnung in Deutschland habe stand ich auch wieder vor dem Problem, dass ich meinen Internetzugang neu “regeln” musste (die Router in UK basieren auf Annex A und Deutschland hat Annex B). Nach ausgiebigen Produktvergleichen waren zwei SoHo Router (mit Firewall) in meiner Endauswahl. Beide Modelle hätten jeweils etwas mehr als 300 € gekostet. Leider hätte ich selbst bei den 300 € Routern noch Abstriche im Funktionsumfang hinnehmen müssen. Daher habe ich mich auf die Suche nach einer bezahlbaren Alternative gemacht – und bin fündig geworden.

Astaro Firewalls (die Software) ist für Privatanwender für bis zu 50 IP’s frei (sollte reichen). Da mir das Produkt sowieso gut gefällt (hab ich schon in meinem Testlab im Einsatz) blieb nun also nur noch das Problem der Hardware. Die Firewall soll 24 / 7 laufen und somit möglichst wenig Strom brauchen – zudem wäre es nicht schlecht, wenn das Gerät möglichst leise / unhörbar ist.

Nach ausgiebigem Preisvergleichen habe ich mir folgende Teile (bei Atelco) bestellt:

  • MSI IM-945GSE (lüfterloses Mainboard mit zwei NIC’s)
  • 2GB Kingston SO-Dimm PC5300/667
  • Samsung HM251JI (geht auch kleiner, war aber die günstigste von Samsung – und ich mag Samsung 😉 )
  • JCP Mini-ITX Gehäuse, 60W ext. PSU, schwarz

Das ganze hat zusammen 321 Euro gekostet:

image_thumb1-8949150

Die Installation der Software war in wenigen Minuten erledigt – da mir das Webinterface schon bekannt ist, war auch die Konfiguration kurz darauf abgeschlossen (auch Astaro Anfänger sollten das in sehr kurzer Zeit hin bekommen).

Das Beste ist, die Box braucht bei mir im normalen Betrieb nicht mal 20 W – und das obwohl ich hier nun eine absolut vollwertige Firewall stehen habe, die einem alles bietet was man so brauchen kann 😀  – hören tut man von der Box natürlich auch nichts (hat ja keine Lüfter).

P. S. (1) Ich hatte zuhause noch eine Riser Card und NIC – die steuern jetzt meine DMZ an

P. S. (2) Zur Installation der Astaro muss zwingend ein CD Laufwerk angeschlossen werden – das sollte man also noch zuhause herum liegen haben.

HowTo: Windows 7 direkt in VHD installieren

Mit Windows 7 hat Microsoft die Funktion eingeführt, dass man Systeme direkt in VHD’s booten kann. Ich habe die Funktion zwischenzeitlich echt lieben gelernt (hab eigene VHD’s zum arbeiten, programmieren, spielen etc). Da ich meine Workstation (nach meinem Umzug) nun von Vista auf Win7 umstellen wollte, wollte ich darauf keine “native” Installation mehr vornehmen. Nach etwas stöbern im Internet konnte ich mir die dafür notwendigen Schritte zusammen suchen.

Hier nun die Zusammenfassung:

  1. Windows 7 vom Installationsmedium (USB od. DVD) booten
  2. Die Frage nach der Sprache beantworten
  3. NICHT installieren – sondern die Reparaturoptionen wählen (im unteren Teil des Bildschrims)
  4. Command Promt öffnen
  5. diskpart
  6. list disk (um herauszufinden welches die richtige HD ist)
  7. select disk 0 (wenn das Listing oben eine andere Nummer ergeben hat, dann entsprechend ersetzen)
  8. clean (macht alles leer!)
  9. crate partition (erstellt eine Partition)
  10. active
  11. format fs=ntfs
  12. assign
  13. create vdisk file=c:\win7_01.vhd maximum=150000 (erstellt eine vhd auf c mit 150 GB)
  14. attach vdisk (hängt die vhd ins system ein)
  15. exit
  16. x: (wechselt zurück auf das Installationsmedium)
  17. setup.exe (startet das “normale” windows 7 Setup)

Bei der Auswahl der VHD als Installationmedium erhält man eine Fehlermeldung. Diese kann man aber einfach ignorieren – die Installation läuft ohne Probleme durch.

HowTo: Windows 7 von USB Stick installieren

Hi,

da ich immer wieder danach gefragt werde wie ich mir meinen Win7 USB Stick erstellt habe, hier ein kurzes HowTo.

Zutaten:

  • Win7 CD (oder gemountetes Image)
  • USB Stick mit min 2 4 GB Speicherplatz

Der USB Stick muß eine ganz normale fat32 Partition haben – die meisten USB Sticks besitzen das schon. Ist dies nicht der Fall ist es notwendige folgende Befehle in einer CMD auszuführen:

diskpart
list disk

diskpart_list_disk-300x82-9794428

Aus der Liste der Geräte sucht man sich nun seinen USB Stick aus – In meinem Fall brauche ich die Nr 3.

select disk 3
clean
create partition primary
select partition 1
active
format fs=fat32
assign
exit

Anschließend muss der Inhalt der Windows 7 DVD auf den USB – Stick kopiert werden – dies erledigt man am einfachsten mit xcopy (so werden alle Dateien kopiert):

xcopy F:\*.* /s/e/f H:\

Thats it! Jetzt muss der USB Stick nur noch an den Zielrechner angeschlossen werden und starten (Bootreihenfolge im Bios beachten!).

Backtrack 4 persistent changes & NESSUS

Auf vielfachen Wunsch erweitere ich mein HowTo zur Erstellung eines Backtrack 4 (pre final) USB-Sticks.

Was brauchen wir

  • Ein USB Stick mit min. 4 GB Speicherplatz
  • Das ISO-Image von Backtrack 4
  • VMware Workstation oder eine Backtrack (anderes Linux geht auch) Live CD
  • Nessus (client und server) Packete für Ubuntu (32 bit)

Wenn alle diese Zutaten vorhanden sind kann es los gehen. Ich werde in meinem Beispiel VMware Workstation verwenden – Benutzer einer Live CD müssen an den entsprechenden Stellen ihr Live Linux booten.

Partitionieren des USB Sticks

Der erste Schritt ist das Partitionieren des USB Sticks. Hierzu booten wir unser Linux (in VMWare einfach die Backtrack CD als Image auswählen und durch booten) und schließen nach erfolreichem booten den USB Stick an den Rechner an. Über nachfolgenden Befehl sollten wir den Namen des USB Sticks in Erfahrung bringen können:

dmesg | egrep hd.\|sd.

backtrack_dmsg_thumb-6607060

Unser USB Stick soll nun zwei Partitionen bekommen wobei die erste min. 1,5 GB groß sein sollte (ich werde 2 GB verwenden). Auf dieser vfat Partition (es geht auch fat32) wird backtrack abgelegt. Auf der zweiten Partition (ext3 oder ext2) werden alle Änderungen gespeichert. Angelegt werden die Partitionen mit fdisk.

WICHTIG: fdisk bearbeitet die Partitionstabelle – erwischt man damit versehentlich seine normale Festplatte (kann bei VMWare nicht passieren) dann sind die Daten darauf erst mal weg und Windows bootet nicht mehr… In meinem nachfolgenden Beispiel hat mein USB Stick die Bezeichnung sdb. Alle Befehle die ich eingebe sind in Fettschrift.

fdisk /dev/sdb
# Erstellen einer leeren Partitionstabelle
Command (m for help): o
# Erstellen der ersten Partition (vfat)
Command (m for help): n
Command action
e extended
p primary partition (1-4)
p
Partition number (1-4): 1
First cylinder (1-489, default 1): <enter>
Using default value 1
Last cylinder, +cylinders or +size({K,M,G} (1-489, default 1): +2000M
# Erstellen der zweiten Partition (ext3)
Command (m for help): n
Command action
e extended
p primary partition (1-4)
p
Partition number (1-4): 2
First cylinder (257-489, default 257): <enter>
Using default value 257
Last cylinder, +cylinders or +size({K,M,G} (257-489, default 489): <enter>
using default value 489
# Setzen des Partitionstyps der ersten Partition (vfat)
Command (m for help): t
Partition number(1-4): 1
Hex code (type L to list codes): b
Changed system type of partition 1 to b (W95 FAT32)
# Setzen des Partitionstyps der zweiten Partition (ext3)
Command (m for help): t
Partition number(1-4): 2
Hex code (type L to list codes): 83
# Die erste Partition als aktive Partition markieren
Command (m for help): a
Partition number(1-4): 1
# Schreiben der Änderungen
Command (m for help): w

Ein fdisk –l /dev/sdb sollte nun folgende Ausgabe zurück geben:

backtrack_fdiskl_thumb-5797586

Formatieren des USB Sticks

Nachdem die Partitionen für den USB Stick eingerichtet wurden müssen diese noch mit einem Dateisystem versehen werden. Dies erledigen die nachfolgenden zwei Befehle:

mkfs.vfat /dev/sdb1
mkfs.ext3 -b 4096 -L casper-rw /dev/sdb2

Die Schreibweise insbesondere das Label im zweiten Befehl sind wichtig! Das in BT4 verwendete casper-FS (persistent changes) benötigt genau dieses Label um die Partition für die Änderungen zu finden. Vorteil: Man muß kein Laufwerk mehr Hardcoden…

Kopieren der Backtrack Dateien

Um den USB Stick betanken zu können müssen wir diesen mounten:

mkdir /mnt/sdb1 && mount /dev/sdb1 /mnt/sdb1

Nun können wir die Backtrack Dateien auf unseren USB Stick kopieren.

cd /mnt/sdb1/ && rsync -r /media/cdrom0/* .

… jetzt ist ein guter Zeitpunkt eine Cola zu trinken 🙂

USB Stick bootbar machen

Als Bootmanager kommt heute Grub zum Einsatz. Diesen laden wir mit nachfolgendem Befehl in den den MBR des USB-Sticks

grub-install --no-floppy --root-directory=/mnt/sdb1 /dev/sdb

Persistent Changes

Um die Änderungen permanent auf die zweite Partition schreiben zu lassen müssen nur wenige Zeilen im Bootloader geändert werden. Öffnen Sie daher die menu.list mit vi und nehmen sie folgende Anpassungen vor:

vi /mnt/sdb1/boot/grub/menu.list
  1. Ändern Sie den Eintrag default auf 4 ab (damit wird per default in den persistent-mode gebootet)
  2. Löschen Sie die Zeile “splashimage=/boot/grub/bt4.xpm.gz” (löschen einer ganzen Zeile in vi durch zweimaliges drücken von “d”)
  3. Fügen Sie dem Booteintrag mit dem Titel “Start Persistent Live CD” in der Zeile Kernel folgende Zeichenkette hinzu: vga=0×317

Booten in das neue System

Nun können wir zum ersten mal in des neue System booten. Starten Sie dafür den Rechner neu und wählen Sie als Bootmedium den USB-Stick aus (i. d. R. erreicht man das durch drücken von F12 beim Booten). Stellen Sie sicher, dass der persistent mode gebootet wird.

Updaten des Systems

Als ersten Schritt würde ich nun den neuen USB-Stick mit updates versorgen. Da BT4 auf Ubuntu basiert geht das recht einfach mit nachfolgendem Befehl:

apt-get update && apt-get upgrade

Um den Befehl ausführen zu können ist natürlich eine Netzwerk / Internetverbindung notwendig! Sie können ein Interface ggf. mit nachfolgendem Befehl starten (per default sind alle Interfaces down!):

ifup eth0

Installieren von NESSUS

Um Nessus Installieren zu können müssen wir zuerst die entsprechenden Packete von nessus.org downloaden. Wir benötigen sowohl die client wie auch die Server Komponenten jeweils für “Ubuntu 8.10 and 9.04 (32 bits)”. Als Ergebnis sollten wir nun zwei .deb Dateien auf unserem USB stick liegen haben welche wir mit nachfolgenden Befehlen installieren können:

dpkg -i Nessus-4.0.1-ubuntu810_i386.deb
dpkb -i NessusClient-4.0.1-ubuntu810_i386.deb

Als nächsten Schritt ist es notwendig einen Registrierungscode für Nessus zu bekommen. Für Privatpersonen ist dieser kostenlos für Firmen fallen Lizenzkosten pro Installation an. Man erhält den Code ebenfalls auf der Webseite von Nessus. Nach erhalt aktiviert man seine Kopie von Nessus mit folgendem Befehl (es werden auch direkt die Plugins auf den neusten Stand gebracht):

/opt/nessus/bin/nessus-fetch -register 0000-0000-0000-0000

Thats it! Der Nessus Server startet nun bei jedem booten automatisch und den client findet man im Programmenü der grafischen Oberfläche. Happy scanning!