Schon seit längerem war deutlich zu spüren, das dieser Blog nicht mehr der Schnellste ist. Tipps und Tricks gibt es eine Menge, was man tun kann, geholfen haben in diesem Fall zwei Maßnahmen.

Zugegeben, auf Performance war’s hier nie optimiert. Zweifelsohne kann man einiges mit z.B.

• Dedicated Server
• QuickCache, Proxy usw.

anstellen. Ein Klassiker möglicher Flaschenhälse ist das PHP Memory Limit, dies war bereits in der Vergangenheit einer der Gründe, warum ein Providerwechsel nötig wurde. Aktuell belegt diese Installation aber gerade mal 59.84 MB von max. 256 MB. Da kann man nicht meckern.

Schon längere Zeit hatte ich im Hinterkopf weniger Werbung und folglich damit weniger externe Inhalte (Die erstmal geladen werden müssen!) im Blog zu schalten, zumal da ohnehin so gut wie nichts mehr bei rum kommt. Vor längerer Zeit verschwand deswegen bereits das Skyscraper-Banner in der Sidebar.

So blieb nur noch das Banner zwischen Titelzeile und Beitragsinhalt, dies war aber nur sichtbar wenn

• ein Beitrag aufgerufen wurde oder
• kein AdBlocker eingesetzt wird.

Ersteres dürfte sich somit nicht auf die Startseite auswirken und letzteres gehört sich (imho) heute nicht mehr. So oder so und weil’s eben schon länger angedacht war, wurde das Plugin “Ad Injection”, was für das Banner in den Beiträgen verantwortlich war, deaktiviert.

Das brachte (gefühlsmässig) schon mal was, wenn man einen Beitrag öffnet. Was aber mit der Startseite machen?! Eine schnelle Recherche führte zu

6 Tipps: So wirst du dein langsames WordPress Admin Dashboard los

und in Folge zu

Datenbank optimieren mit phpMyAdmin

Also kurzerhand im Backend des Providers angemeldet, phpMyAdmin angeworfen und mal schnell die Datenbank optimiert und siehe da, es rennt.

Laut Pagespeed.de sank die Ladezeit von über 10 Sekunden auf 1,4 Sekunden. Damit kann man leben.

Ein Lenovo ThinkPad T410 das bislang tadellos lief, erkannte nach einem Ruhezustand keine WLAN-Netze mehr. Eine Fehlermeldung, sei es direkt noch über die Windows-Ereignisprotokolle war nicht zu finden. Im Geräte-Manager wurde das WLAN-Modul (Intel Centrino Advanced-N 6200 AGN) angezeigt und als Betriebsbereit angezeigt.

Neustart des Rechners, als auch längere Zeit ohne Strom (Netzteil als auch Akku) änderten nichts an diesem Zustand. Der Wahlschalter ob Funknetze aktiv sind, stand auf An, mehrfaches Umschalten änderte ebenfalls nichts. Das verbaute WWAN-Modul (Qalcomm Gobi 200) funktionierte einwandfrei.

Die Lösung bestand darin, den WLAN-Treiber im Geräte-Manager zu deintsallieren, anschließend nach neuer Hardware zu suchen, das WLAN-Modul wird automatisch wieder erkannt und der Treiber installiert. Danach funktioniert das Funknetzwerk wieder. Leider entfernt Windows die zum WLAN-Modul zugehörigen bereits angelegten WLAN-Profile, so das diese wieder eingepflegt werden müssen (sofern man diese nicht ggf. zuvor gesichert hat).

Bei einem Kunden verweigerte ein Sony Xperia Tablet nach der Installation des aktuellen Android-Updates eine erfolgreiche Verbindung via WLAN.

Internet via Mobilfunk funktionierte, neu angelegte WLAN-Netze ebenso. Nur das bestehende WLAN-Netz beim Kunden zu Hause wollte nicht mehr so recht. Das Tablet verband sich zwar erfolgreich und war anpingbar, aber je nach verwendeten Browser konnte keine Internetseite geöffnet werden oder am Beispiel von Firefox erhielt man die Meldung, das der Proxy-Server (es wird keiner verwendet) die Verbindung verweigert.

Sucht man in den Einstellungen nach der Proxy-Konfiguration, so wird man enttäuscht, denn es ist keine vorhanden. Lediglich beim Anlegen neuer WLAN-Netze wird unter “Erweitert” die Proxy-Konfiguration abgefragt. Ein nachträgliches ändern scheint (aktuell) nicht vorgesehen zu sein.

Die Lösung bestand nun darin, das WLAN-Netz zu löschen und neu anzulegen. Danach klappt die Verbindung wieder wie sie soll.

Scheinbar beeinflusst das Update die vorhandene Konfiguration.

Bei einem Neukunden sollte auf einem Bestands-Server mit Window Server 2008 R2 Standard von einem Software-RAID auf Intel-Basis auf ein hardware-basiertes RAID mit einem Adaptec 6405-Controller umgestellt werden.

Empfehlung: Bevor das System überhaupt angefasst wird, eine vollständige Datensicherung erstellen!

Verwendet werden zwei Festplatte im RAID1-Verbund. Zur Datensicherung verwenden wir Drive Snapshot. Parall dazu die Treiber des RAID-Controller auf einem USB-Stick vorhalten.

• Den Server herunterfahren und den RAID-Controller einbauen. Die Festplatten nicht umstecken!
• Den Server starten und die Treiber als auch Management Software des RAID-Controllers installieren.
• Eine vollstände Sicherung des Servers auf eine USB-Festplatte erstellen.
• Den Server herunterfahren und die Festplatten vom Mainboard zum RAID-Controller verbinden.
• Den Server starten und in die Konfiguration des RAID-Controllers wechseln. Die Festplatten initialisieren und anschließend ein RAID1 erstellen.
• Den Server von der Windows Server-Installtions-DVD starten und bis zur Auswahl des Installationsziels fortfahren. In diesem Fall befindet sich kein Treiber für diesen RAID-Controller auf der Windows-DVD, so das dieser vom USB-Stick nachgeladen werden muss (Schaltfläche “Treiber laden”). Am Beispiel des Adaptec 6405 kommt es zu dem Phänomen, das man den Treiber zweimal laden muss, damit das Array angezeigt wird.
• Mit der Tastenkombination “Shift + F10″ eine Eingabeaufforderung öffnen. Mittels “diskpart” den Laufwerksbuchstaben des USB-Sticks ermitteln:

diskpart
lis vol
exit

• Zum USB-Stick wechseln und von dort “snapshot64.exe” ausführen.
• Die Partitionsstruktur als auch den Inhalt der Partitionen wiederherstellen.
• Nach erfolgreicher Wiederherstellung den Server neustarten.

Da Windows den RAID-Controller bereits kennt, klappt der Bootvorgang ohne BSOD 0x7b. da Windows sich allerdings nun auf einem anderen Laufwerk befindet, verlangt es nochmals einen Neustart.

Troublehsooting oder was nicht funktioniert hat

Wir haben uns bewusst für diesen Weg entschiedene, da er (imho) die wenigstens Hürden bereitet. In einem Test auf einem alten Server mit gleichem RAID-Controller mussten wir leider feststellen, das wenn man den Schritt auslässt den Treiber des RAID-Controllers im Vorfeld zu installieren, Windows in den BSOD 0x7b reinläuft

Mittels Drive Snapshot konnten wir zwar den Treiber offline “reinpatchen”, allerdings startete dann Windows nur einmal und lief dann erneut in besagten BSOD. Ein weiterer Versuch, nach diesem einmaligen erfolgreichen Start den Treiber gleich zu installieren quittierte Windows mit der Fehlermeldung, das in einen temporären Schlüssel nicht geschrieben werden können. Der Test mittels Drive Snapshot den Treiber erneut offline zu patchen änderte am BSOD nichts.

Aus Zeitmangel ungetestet blieben Skripte, Tools und Möglichkeiten wie z.B. Windows: Offline Driver Setup Script (ODSS).

Bei einem Kunden musste die Festplatte aufgrund eines Defekts ausgetauscht werden. Rein von den technischen Daten und der Kapazität wurde eine identische Festplatte, allerdings von einem anderen Hersteller, verbaut. Die Daten wurden mittels Drive Snapshot gesichert und auf der neuen Festplatte wiederhergestellt.

Beim anschließenden Versuch, Windows Updates auszuführen erschien die Meldung, das der Dienst nicht laufen würde. Ein Blick in die Diensteverwaltung offenbarte, das zwar der “Intelligente Hintergrundübertragunsdienst” als auch “Windows Updates” liefen, aber “Windows-Suche” nicht. Ein Blick ins Ereignisprotokoll “System” zeigte, das die Windows-Suche ständig abstürzt:

Protokollname: System
Quelle:        Service Control Manager
Datum:         23.04.2015 18:33:40
Ereignis-ID:   7024
Aufgabenkategorie:Keine
Ebene:         Fehler
Schlüsselwörter:Klassisch
Benutzer:      Nicht zutreffend
Computer:      PC
Beschreibung:
Der Dienst "Windows Search" wurde mit folgendem dienstspezifischem Fehler beendet: %%-2147217025.

Parallel zu dieser Meldung fanden sich weitere Absturzmeldungen dieses Dienstes (Event ID 7034). Bei der anschließenden Recherche nach der dienstspezifischen Fehler-Nr. fand sich schnell die Info, das es am Intel-Controller-Treiber liegt. Ältere Versionen würden keine Festplatten mit einer Kapazität über 500 GB unterstützen. Man tauschte zwar hier eine 500 GB Festplatte durch eine andere, dies sind aber nur Brutto-Angaben. Das Problem lies sich tatsächlich durch ein Treiber-Update beheben.

Tools als auch Tipps und Tricks ein CD/DVD-Laufwerk zu öffnen gibt es unter Windows zu genüge, beim umgekehrten Weg sieht’s allerdings etwas anders aus.

Dieser Beitrag wurde durch die Situation inspiriert, als bei einer abendlichen Fernwartung bei einer virtuellen Maschine auf Basis von Hyper-V 2012 R2 eine DVD ausgeworfen wurde. Auswerfen ist dabei nahezu wörtlich zu nehmen, den das CD/DVD-Laufwerk des Servers wurde dabei geöffnet. Da allerdings die Daten dieser DVD noch anderweitig benötigt wurden und allem voran nicht auf unbestimmte Zeit das Laufwerk offen bleiben sollte, musste eine Lösung gefunden werden.

Was (leider) nicht funktioniert

Ein Test mittels NirSoft’s NirCmd verlief ohne Erfolg.

Ungetestet

Bei Administrator.de findet sich Quellcode für ein AutoIt-Skript. Bei Gelegenheit ist das bestimmt einen Versuch wert.

Die Lösung

Das Tool LoadMedia von Uwe Sieber löst die Aufgabe tadellos:

loadmedia.exe D:

Im Erfolgsfall erscheint folgende Ausgabe:

LoadMedia V1.3 (x64) - loads a media into a drive or brings a volume online
Freeware by Uwe Sieber - www.uwe-sieber.de
Loading media into D:\ (TSSTcorp DVD-ROM SH-118AB SATA Device)... OK
success

Den Erfolg kann man jenseits der Ausgabe und des Errorlevel von LoadMedia z.B. mit diskpart prüfen:

diskpart
lis vol

Das Ergebnis sind z.B. so aus:

Volume ###  Bst  Bezeichnung  DS     Typ         Größe    Status     Info
----------  ---  -----------  -----  ----------  -------  ---------  --------
Volume 0     D   DVDNAME   UDF    DVD-ROM     6697 MB  Fehlerfre
...

Bei einem Kunden sollte auf der Bestandshardware, ein 2011er Black Dwarf und eine RC100 von 2014, die Securepoint-Firmware durch pfSense ersetzt werden. Hintergrund der Massnahme war der Wunsch kosten zu sparen.

Im vorliegenden Szenario ging es lediglich darum die Firewall-Regeln als auch die VPN-Konfiguration zu übernehmen. Andere Teile der Securepoint UTMs wurden nur rudementär verwendet.

Vorbereitung ist alles

Das Vorhaben ist nichts für mal auf die Schnelle und Zwischendurch. Wir hatten zwischen der Ankündigung des Kunden die Lizenzen nicht verlängern zu wollen und dem Ablaufdatum nur acht Tage, inkl. Wochenende, Zeit. Theoretisch genug Zeit, aber man hat ja noch andere Projekte und Termine, von Überraschungen ganz zu schweigen.

Zur Vorbereitung sollte man, sofern nicht vorhanden, den aktuellen IST-Zustand in Sachen Firewall-Regeln, Benutzer, Zertifikate usw. dokumentieren. Die meiste Konfiguration muss im Rahmen von Fleißarbeit manuell übertragen werden. Soll heißen: Firewall-Regeln als auch Benutzer müssen von Hand angelegt werden, Zertifikate werden mittels Export aus der Securepoint UTM ausgegeben und dann via copy & paste über einen Text-Editor in pfSense eingefügt.

Um unnötige Ausfallzeit zu vermeiden, stellten wir dem Kunden Leihsysteme, die bereits mit pfSense vorinstalliert und mit der vorbereiteten Konfiguration bestückt waren bereit. So musste am Tage der Umstellung “nur” jeweils kurz die Kabel umgesteckt werden und im Anschluss konnte die Securepoint-Hardware uminstalliert werden.

Hardware

Wie eingangs erwähnt, wurde beim Kunden sowohl ein Black Dwarf als auch eine RC100 uminstalliert. Mittels Vorbereiteten USB-Stick war das keine große Sache. Lediglich im BIOS der Geräte musste die Bootreihenfolge der Festplatten (der Stick wurde als USB-Festplatte erkannt) geändert werden.

Nicht wundern darf man sich darüber, das die Installation bei 38% einige Zeit “hängt”. Im Falle des “Zwergs” wird auf eine 1 GB CompactFlash-Karte installiert, das dauert ca. 15 Minuten. Bei der RC100 immerhin auf eine 120 GB SSD, dort dauerte es ebenfalls mehrere Minuten.

Apropos 1 GB Festspeicher: Das Setup von pfSense merkt an, das 1 GB recht knapp ist und im Falle eines Crash etc. nicht allzuviel (zwischen)gespeichert werden kann. 1 GB ist zugleich die Mindestanforderung und reicht für den Betrieb zunächst aus.

Das Bootverhalten zwischen Securepoint OS und pfSense ist höchst unterschiedlich. Zugegebenerweise startet das Lüneburger Linux (Securepoint) wesentlich schneller gegenüber pfSense, andererseits wie oft muss man einen Router schon neu starten?!

Firewall

Ein Hauch vom Securepoint-Handling lässt sich übrigens mittels der Aliase realisieren, wenngleich nicht so umfangreich und folglich, sofern ordentlich gepflegt, so übersichtlich.

Auf jeden Fall sollte man jede Regel mit einer Bemerkung versehen, damit man später noch nachvollziehen kann, wozu sie dient! Alle Regeln müssen neu angelegt werden.

Site-to-site-VPN

Beim Kunden besteht einen Standortvernetzung auf Basis von OpenVPN. Übergangsweise wurde die Kombination Securepoint/pfSense verwendet. Nachdem beide Seiten auf pfSense migriert waren, gab es ein Problem mit dem Routing. Aus welchem Grund auch immer, wurde auf dem Client die Route nicht gesetzt oder selbst wenn Sie manuell gesetzt wurde, nicht verwendet. Statt langwieriger Fehlersuche wurde die Standortvernetzung kurzerhand “abgerissen” und gemäss der Empfehlung in der pfSense-Dokumentation neu aufgebaut. Die bereits konfigurierten Firewall-Regeln bleiben dabei erhalten.

Roadwarrior-VPN

Damit nicht alle Roadwarrior kontaktiert und bei diesen die VPN-Konfiguration geändert werden sollte, bestand eine Vorgab darin, entsprechend das VPN unter pfSense zu gestalten.

Zunächst exportiert man alle Zertifikate inkl. dem CA-Zertifikat aus der Securepoint UTM. Anschließend öffnet man diese mit einem Texteditor, wir verwendeten dazu Notepad++. Zuletzt wurde Zertifikat für Zertifikat mittels copy & paste in pfSense übertragen.

An dieser Stelle der Hinweis, das man nach dem Hinzufügen des CA-Zertifikats die “Serial for next certificate” der Ordnung halber setzen sollte. Dazu das CA-Zertifikat editieren und das entsprechende Feld ausfüllen.

Nachdem die Zertifikate migriert waren, wurden alle Benutzer angelegt und jeweils das Zertifikat zugewiesen. Im nächsten Schritt wird der OpenVPN-Server angelegt, das kann man über den Assistenten oder per Hand tun. Wird der Assistent nicht verwendet, so muss beachtet werden, das eine Firewall-Regeln auf der WAN-Schnittstelle für OpenVPN angelegt werden muss!

Wichtig für die Kompatibilität zu Securepoint sind folgende Einstellungen:

• Den Haken bei “TLS Authentication” entfernen.
• Ggf. bei “Peer Certificate Authority” das CA-Zertifikat auswählen.
• Bei “Encryption algorithm” “BF-CBC (128-bit)” auswählen.
• Im Feld “IPv4 Tunnel Network” das Transfer-Netz in CIDR-Notation, z.B. 10.0.0.0/24, eintragen.
• Im Feld “IPv4 Local Network/s” das entfernte Netzwerk in CIDR-Notation, z.B. 192.168.2.0/24, eintragen.

Den VPN-Benutzern jeweils eine feste IP-Adresse zuordnen

Da nicht jeder Benutzer auf alles im Netzwerk zugreifen können soll, ist es notwendig, jedem VPN-Zugang eine IP-Adresse zuzuordnen. Mit entsprechenden Firewall-Regeln lässt sich folglich reglementieren, ob man z.B. nur auf den Terminalserver via tcp/3389 (msrdp) zugreifen kann.

Damit die Vergabe identisch zu der bei Securepoint bleibt muss zunächst die Option

Allocate only one IP per client (topology subnet), rather than an isolated subnet per client (topology net30).

in der Roadwarrior-OpenVPN-Server-Konfiguration gesetzt sein.

Da in diesem Fall die Kombination aus Zertifikat und Benutzername/Kennwort zur Authentifizierung herangezogen wird, muss bei den “Client Specific Overrides” statt des “Common name” des jeweiligen Benutzerzertifikats der Benutzername angegeben werden:

Aus der Feld-Beschreibung geht das leider nicht hervor und führt einen ggf. zunächst in die Irre. Entspricht der Benutzername dem CN, ist an dieser Stelle nichts zu beachten. Bei dieser Migration musste allerdings darauf explizit geachtet werden, da es Unterschiede gab.

Der konkrete “Advanced”-Eintrag lautet:

ifconfig-push <IP-Adresse> <Subnetz>;

 Beispiel: ifconfig-push 10.0.0.2 255.0.0.0;

Roadwarrior-Konfiguration exportieren leicht gemacht

Damit man den Komfort weiterhin hat, einfach die Konfiguration für einen Roadwarrior exportieren zu können, empfiehlt sich die Installtion des OpenVPN Client Export Package.

Securepoint OpenVPN-Client

Den OpenVPN-Client von Securepoint kann man im übrigen unverändert weiter verwenden. Kommen weitere bzw. neue Roadwarrior hinzu, kann der Client ebenfalls verwendet werden. Man importiert einfach die Konfiguration, die man von pfSense exportiert hat. Kosmetische Unterschiede bestehen darin, das man z.B. in den Feldern “Remote:” oder “Remote Port:” nichts angezeigt wird. Die Einstellungen sind dennoch vorhanden und werden verwendet. Da es allerdings Formatierungsunterschiede in den *.ovpn-Dateien zwischen pfSense und Securepoint gibt und der VPN-Client darauf schlicht keine Rücksicht nimmt, kommt es zu diesen leeren Feldern.

Quellen

fastinetserver – pfSense openVPN static ip for clients (Man beachte die Komentare!)

Wird pfSense als Router verwendet und man möchte von extern auf das Web-Interface zugreifen, so ist das bei einer festen öffentlichen IP-Adresse und ggf. einem damit verbundenen Hostname kein Problem. Wird allerdings DDNS wie z.B. DynDNS, No-IP, SPDNS und co. verwendet, so wird eine Anmeldung mit der Meldung “Potential DNS Rebind Attack Detected” verweigert.

Der Zugriff wird aus Sicherheitsgründen verweigert, da der DDNS-Hostname dem Router schlichtweg nicht bekannt ist. Um dennoch Erfolg zu haben muss lediglich ein oder mehrere alternative Hostnames eingetragen werden:

System - Advanced - Registerkarte "Admin Access" - Abschnitt "webConfigurator" - Feld "Alternate Hostnames"

Quelle

pfSense – DNS Rebinding Protections (Abschnitt “Web interface protection”)

Installiert man pfSense unter Hyper-V so sollte entsprechend den Angaben des Projekts die Mindestgröße der virtuellen Festplatte bei 1 GB liegen. Größer als 30 GB sollte sie aber auch nicht sein, da es sonst bei der Installation zu einer Fehlermeldung kommt.

Bei der Vorbereitung eines Projekts bin ich über diesen Umstand gestolpert. Beim schnellen durchklicken des Assistenten zum erstellen eines neuen virtuellen Computers wird per Standard eine Größe von 127 GB für die VHD(X) verwendet. Versucht man anschließend pfSense zu installieren, so Endet dieses Vorhaben mit folgender Meldung:

Execution of the command
/sbin/fdisk -v -f /tmp/format.fidsk ada0
FAILED with a return code of 1.

Im Gegensatz zur Quelle (siehe unten) wurde in diesem Fall unter Hyper-V Server 2012 R2 auf Basis von Windows Server 2012 R2 Standard installiert.

Der Fehler lässt sich vermeiden, in dem die VHD(X) max. 30 GB groß ist.

Quelle

pfSense Forum – PFsense 2.0.1 HyperV 2008R2 fdisk issue

pfSense-Konfigurationen lassen mittels der integrierten Backup & Restore-Funktion bequem auf abweichende Hardware übertragen.

Das Backup besteht lediglich aus einer XML-Datei, in der die Konfiguration als auch Zertifikate enthalten sind. Darüber hinaus ist das Backup hardwareunabhängig, es bestehen keine Bindungen zu MAC-Adressen o.ä.. Einzig die Interfaces (LAN, WAN, …) sind mit Namen hinterlegt.

Werden auf der neuen bzw. anderen Hardware z.B. Netzwerkkarten von einem anderen Hersteller verwendet, so erscheint beim Wiederherstellen der Konfiguration aus dem Backup entweder im Web-Interface bereits eine Abfrage, wenn die Interfaces sich unterscheiden

oder spätestens beim Neustart von pfSense, mitunter sogar an beiden Stellen. Ein Zugriff auf die lokale Konsole sollte vorsichtshalber vorbereitet sein (VGA oder RS232).

Bei Einwahlverbindungen wie z.B. PPPoE muss zusätzlich die Bindung an das physikalische Interface beachtet werden. Diese kann unter

Interfaces - Assign - Registerkarte "PPPs"

geändert werden.

Was ist mit installierten Paketen?

In der Backup-XML-Datei existiert eine Referenz zu ggf. installierten Paketen. Sobald die Konfiguration wiederhergestellt und ein Neustart durchgeführt wurde, bietet das Web-Interface an, alle Pakete neu zu installieren:

Bei einem Geschäftskunden stürzte nach dem Wechsel des Routers im Rahmen einer Anschlussumstellung von ADSL auf VDSL der Dienst “G Data AntiVirus Proxy”, der im Business AntiVirus enthalten ist, ständig ab.

Dies wirkte sich unter anderem negativ auf das Laden von Internetseiten als auch den Abruf von E-Mails auf. Unserer Beobachtung nach stürzte der Dienst bei jedem Aufruf einer Internetseite ab. Er startete zwar sofort wieder, aber dennoch war das Surfverhalten beeinträchtigt.

Vermutlich kam das Problem dadurch zustande, das ein Speedport W700V durch einen Speedport W724V ausgetauscht wurde, als der Anschluss von ADSL mit einer Bandbreite von 6.000 kbps auf VDSL mit 50.000 kbps umgestellt wurde. Wir spekulierten darauf, das es mit IPv6 zusammenhängen könnte, da der alte Router dieses Protokoll nicht unterstützt hat und sich zwischenzeitlich sonst nichts anderes im Netzwerk geändert hatte.

Wir fragten beim G Data Business-Support nach und erhielten kurze Zeit später eine E-Mail mit Anweisungen die Datei “avkhttp.dll” auf allen Systemen auszutauschen und die Computer neu zu starten.

Im c’t-Sonderheft Windows – Das Reparierhandbuch ist im Rahmen des c’t Notfall-Windows erneut eine einjährige Drive Snapshot-Lizenz enthalten.

Danke an “der Maier” für den Hinweis.

(Bild: heise.de / Screenshot by andysblog.de)

Im Gegensatz zu Tools wie z.B. WinCDEmu bietet der KernSafe TotalMounter nicht nur das reine Lesen von ISO-Dateien, sondern auch das Schreiben eben solcher. Da dem Betriebssystem ein CD/DVD-Brenner “vorgespielt” wird, ist der Vorgang für Anwendungen, die zwingend einen Brenner voraussetzen oder ansprechen wollen transparent.

Der TotalMounter steht in den Lizenzarten Free und Pro zur Verfügung. Eine Tabelle auf der Homepage des Herstellers informiert über die Unterschiede. Die Free-Variante reicht für’s virtuelle Brennen völlig aus.

Nach dem Herunterladen und der Installation der Anwednung kann man direkt aus der grafischen Oberfläche heraus bestehende Abbilder einhängen oder neue erstellen. Bevor ein neues Abbild “gebrannt” werden kann, muss man wie folgt vorgehen:

• “Mount – Virtual CD/DVD-RW Drive” anklicken
• Min. Ort und Dateiname, ggf. Größe und Typ angeben

Hinweis: Statt *.img kann man *.iso angeben.

Die tatsächliche Größe des Abbilds richtet sich nach der Menge an Daten die geschrieben werden. Die Kapazität gibt die mögliche Maximalgröße an.

Ein erster Test

Der virtuelle Brenner ist wie gewohnt mit einem Laufwerksbuchstaben ansprechbar. So lässt sich z.B. unter Windows 7 der Systemreparaturdatenträger (recdisc.exe, unterstützt nur CD-Brenner), wenn man keinen CD/DVD-Brenner hat oder eben eine ISO-Datei für VirtualBox und co. benötigt wird, einfach als Abbild erstellen.

Mögliche Probleme

Kein Licht ohne Schatten kann man sagen: Leider startet InfraRecorder nicht mehr bzw. stürzt ab, solange ein virtueller Brenner vorhanden ist. Ein simples “Unmount” im TotalMounter reicht zur Fehlerbehebung aus. Dieses Problem tritt nur auf, solange ein Abbild zum Schreiben eingehängt ist, bei nur lesendem Zugriff ist alles in Ordnung.

Und noch mehr …

TotalMounter kann neben dem lesenden und schreibenden Einhängen von CD/DVD-Abbildern zusätzlich noch Festplatten-Abbilder (IMG), VHD-Dateien und iSCSI-Disks (iSCSI-Initiator), die ersten beiden sogar verschlüsselt, erstellen, lesend und schreibend einhängen.

Es müssen nicht immer die Befehle ImageX und Dism von Microsoft sein, um Windows Imaging File (WIM)-Dateien zu bearbeiten. Möchte man Dateien extrahieren, aktualisieren oder hinzufügen kann man auf den Packer 7-Zip zurückgreifen.

Die aktuelle Stable-Version 9.20 unterstützt allerdings nur das Extrahieren von Dateien, mit der Beta-Version 9.38 können sowohl über die grafische Oberfläche als auch über die Kommandozeile WIM-Abbilder bearbeitet werden. Leider gilt das nicht für die “standalone console”-Variante von 7-Zip, beim Versuch eine Datei zu einem Abbild hinzuzufügen erscheint die Meldung “Error: c:\filename.wim is not supported archive”, trotz gleicher Versionsangabe von 9.38.

Danke an “der Maier” für diesen Tipp.

Windows 7 bietet eine schnelle und einfache Möglichkeit einen Systemreparaturdatenträger zu erstellen. Über den Menüpunkt “Start – Alle Programme – Wartung – Systemreparaturdatenträger erstellen” oder über den Befehl “recdisc.exe” startet ein Assistent, der mit wenigen Klicks eine CD erstellt.

Mit wenigen Mitteln lässt sich das zugrundeliegende WIM-Abbild ändern und den eigenen Bedürfnissen anpassen. Im Rahmen diesen Beitrags wurden die Skripte der Drive Snapshot-Rettungs-CD 2.0 angepasst und eingebunden.

Die Vorteile dieser Variante sind

• keine Installation von WAIK oder ADK notwendig,
• geringe Anforderungen, es wird lediglich das Archiv (siehe weiter unten) und 7-Zip benötigt,
• sehr schnelle Erstellung,
• die Systemwiederherstellungsoptionen von Windows sind integriert.

Die Nachteile sind

• weniger flexibel, d.h. der Systemreparaturdatenträger basiert auf der installierten Windows 7-Architektur, gemeint ist 32- oder 64-bit, es kann keine Auswahl getroffen werden.

Vorbereitung

• Installiertes 7-Zip 9.38 beta oder neuer (Hintergrund siehe Mit 7-Zip WIM-Abbilder bearbeiten).
• Das Archiv ds-rescue_w7_winre_10 herunterladen und den Inhalt in einen Ordner, z.B. “C:\Temp”, entpacken.
• Das Skript “create_winre.cmd” editieren und im Abschnitt “Konfiguration” ggf. folgende Zeilen anpassen:

rem Konfiguration

 rem WorkingDir
 
  set WorkingDir=C:\Temp
  cd %WorkingDir%

 rem Pfad zur "Winre.wim"

  set Winre-Path=c:\Recovery\16e05a4a-2670-11e3-83c8-a5f9ee4f1c85

 rem Pfad zu 7-Zip und verwendete Exe-Datei

  set SevenZip=%ProgramFiles%\7-Zip\7z.exe

Auf meinem Windows 7-Notebook fand sich die “Winre.wim” in dem Pfad, der im Skript angegeben ist. Allerdings ist gut möglich, das die Datei woanders liegt. Mit folgenden Befehl kann nach ihr suchen:

dir /a /s c:\winre.wim

Wenn man im Besitz einer Drive Snapshot-Lizenz ist, so kann man die Lizenzdatei in den Ordner “Rescue\Drive Snapshot” einfügen (Windows: Drive Snapshot aktivieren ohne Einfügen der Lizenzdaten).

Angepassten Systemreparaturdanträger erstellen

Das Skript “create_winre.cmd” mit erhöhten Rechten (Rechtsklick – “Als Administrator ausführen”) starten. Es öffnet sich ein Fenster der Eingabeaufforderung in dem das Skript abläuft, kurze Zeit nach dem Start öffnet sich der Assistent zur Erstellung der CD:

Sofern mehrere Brenner vorhanden sind, den gewünschten Auswählen und auf die Schaltfläche “Datenträger erstellen” klicken. Sobald der Datenträger erfolgreich geschrieben wurde, erscheint folgende Meldung:

Kurze Zeit nachdem dieser Dialog bestätigt wurde, ist das Skript beendet.

Tipp 1: Die CD entpsrechend beschriften!

Tipp 2: Möchte man eine ISO-Datei statt einer CD erstellen, vor dem Ausführen des Skripts den KernSafe TotalMounter installieren und einen virtuellen CD-Brenner anlegen. Läuft das Skript bereits, kann man an dieser Stelle dennoch den TotalMounter ausführen, man startet dann parallel zum laufenden Skript nochmals den Systemreparatur-Assistenten (Startmenü oder “recdisc.exe”) und wählt den virtuellen Brenner aus. Nach Abschluss des Brennvorgangs dann auf die Schaltfläche “Abbrechen” klicken.

Screenshot

Wie man in diesem Screenshot erkennen kann, wurde das Menü um Punkt 13 erweitert, der die Systemwiederherstellungsoptionen aufruft.

Einen lesenswerten Artikel zum Thema Skype und deren AGB wie auch Datenschutz-Angaben gibt’s auf BASIC thinking. Parallel dazu ein Hinweis, wie man schnell und einfach die Werbung innerhalb von Skype blockieren kann.

Es genügt, die Adresse

rad.msn.com

zu sperren bzw. ins Nirvana umzuleiten. Unter Windows geht letzteres schnell und einfach über einen entsprechenden Eintrag in der hosts-Datei, die mit erhöhten Rechten bearbeitet werden muss. Einfach folgende Zeile hinzufügen, die Änderung speichern und Skype neu starten:

127.0.0.1        rad.msn.com

Insgesamt sieht die Datei z.B. so aus:

Wer einen „anständigen“ Firewall-Router sein eigenen nennt, kann die Domain gleich für’s gesamte Netzwerk sperren.

Interessant kann sein, sich die Netzwerkzugriffe (z.B. via SmartSniff, CurrPorts oder TcpLogView, jeweils von NirSoft) von Skype vor und nach der Änderung anzusehen. Vorher werden wesentlich mehr Server kontaktiert, was nicht weiter verwunderlich ist, da (so vermute ich) zunächst Skype von MSN eine Liste der Werbepartner abholt und diese dann direkt anspricht.

Quelle

felgi – Skype-Werbung blocken

Bei einem Kunden wurde ein neuer PC mit Windows 7 Professional in eine Domäne auf Basis von Windows Server 2003 integriert. Beim Abmelden des Benutzers erschien dabei immer die Meldung, daß das Benutzerprofil nicht vollständig synchronisiert wurde.

In den Ereignisprotokollen auf dem Server fand sich nichts außergewöhntliches, aber auf dem betroffenen Computer hingegen schon:

Die Meldung das nicht genügend Speicherplatz zur Verfügung steht ist allerdings irreführend, da es auf dem Server genug Platz gibt und keine Kontingente verwendet werden. Das Benutzerprofil hat zwar eine gewisse Größe, allerdings sind alle Ordner mit erheblichen Datenmengen von der Synchronisation ausgeschlossen (siehe dazu Windows: Ordner aus servergespeicherten Profilen ausschließen).

Da auf dem alten Computer Windows XP verwendet wurde, konnte auch nicht das alte Profil der Grund sein (Hintergrund: Ab Windows Vista verwendet Microsoft Benutzerprofile der Version zwei, zu erkennen an der Endung „USERNAME.V2″ bei servergespeicherten Profilen).

Ein zweiter Versuch mit einem weiteren neuen Benutzerprofil führte zur gleichen Meldung. Abhilfe schuf letztlich, das Profil in ein lokales Profil umzuwandeln und anschließend wieder servergespeichert zu machen:

Zwischen den einzelnen Änderungsschritten folgte jeweils eine Ab-/Anmeldung.

Mitunter geht es schneller und vor allem (erschreckend) einfacher als man denkt, das man eine Ordner-Struktur mit 255 Zeichen und mehr hat. Das kann je nach Anwendung zu unangenehmen Problemen führen.

Nicht nur Dritt-Anwendungen auch Windows bzw. Dienstprogramme davon können so ihre Probleme damit haben. So streikt zum Beispiel der Explorer beim Kopieren entsprechender Strukturen, das passiert auch wenn man aus den Schattenkopien (Vorgängerversionen wiederherstellen) Daten kopieren und wiederherstellen möchte.

Bei der Eingabeaufforderung streikt z.B. xcopy, wenn gleich mit der irreführenden Fehlermeldung, das man nicht genug Arbeitsspeicher hätte. Ein aktuelles Fallbeispiel einer Drittanwendung kann die Backup-Funktion von deltra’s orgaMAX genannt werden. Diese meldet leider nur

Gespeicherte Dokumente:
-----------------------
Es konnten nicht alle Dokumente kopiert werden.

In diesem Abschnitt ist 1 Fehler aufgetreten

Nicht sehr aussagekräftig und man fragt sich zunächst, woran es genau hängt.

robocopy wiederum kommt mit „überlangen“ Pfade ohne weiteres klar.

Wie lassen sich zu lange Pfade ermitteln?

Um auf die Schnelle zu lange Pfade ermitteln zu können, kann z.B. die Freeware Path Scanner verwendet werden. Man muss nur den Ausgangspunkt und die maximale Länge festlegen. Dadurch kann man sich problematischen Ordnern nähern. Die Auswahl kann markiert und exportiert werden. Eine direkte Änderung über das Programm ist nicht möglich. Vorausgesetzt wird lediglich .NET Framework 2.0 oder höher.

Tipp: Wer die Anwendung nicht installieren möchte, der kann das Setup mit Universal Extractor entpacken und die „pathscan.exe“ direkt ausführen.

Auf der kommerziellen Seite und mit mehr Funktionen gibt es Jam Software’s TreeSize sowohl in der Personal als auch Professional Edition (von mir ungetestet).

Quellen

tobias-hartmann.net – IT Blog – xcopy – Nicht genügend Arbeitsspeicher vorhanden

Die Datensicherung der Bürosoftware orgaMAX lässt sich einfach automatisieren. Leider bietet das Tool keine Benachrichtigungsmöglichkeit, ob die Datensicherung erfolgreich oder fehlerhaft war.

Im Handbuch ist ab Seite 800 alles notwendige zur Automatisierung beschrieben. Letztlich reicht folgende Befehlszeile aus:

"C:\orgaMAX\mfbck.exe" A "D:\Backup orgaMAX" true true true "D:\Backup orgaMAX\Logs" true

Die Bedeutung der einzelnen Parameter ist ebenfalls im Handbuch ab Seite 806 beschrieben:

A für Automatische Datensicherung
Backup-Ziel
1. true/false für Dokumente sichern
2. true/false für Archiv sichern
3. true/false für Protkoll sichern
Pfad zur die Fehlerlogs
true/false für Zeichnungen sichern
...

Im obigen Beispiel werden alle Nutzdaten von orgaMAX gesichert.

Das Backup-Programm gibt keinen Errorlevel zurück, so das man diesen nicht auswerten kann. Ferner wird ein Log nur geschrieben, wenn ein Fehler auftritt:

Kein Log = Alles ok
Vorhandes Log = Fehler

Eine Prüfung auf Fehler kann also schlicht auf Basis des Vorhandenseins von *.log-Dateien im angegebennen Ordner erreicht werden:

if exist "D:\Backup orgaMAX\Logs"\*.log echo %date% - %time% - Fehler bei der orgaMAX-Datensicherung > "D:\Backup orgaMAX\Logs"\error.txt

Ist ein oder mehrere Logs vorhanden, dann erstelle die „error.txt“. Nun kann man mit einer Monitoring-Lösung wie z.B. Server-Eye eine Prüfung durchführen lassen, ob die „error.txt“ existiert und falls das so ist einen Alarm auslösen.

Eine weitere Möglichkeit besteht darin, eine E-Mail mittels smtpsend, blat, … etc. versenden zu lassen.

Tipp: Um das Backup-Ziel (USB-Festplatte, etc.) nicht mit alten Sicherungen volllaufen zu lassen, kann man z.B. mit DelAge32 alle x Tage aufräumen lassen:

delage32.exe "D:\Backup orgaMAX\*.*" 2 /recurse

In diesem Fall reichen zwei Tage aus, da via Drive Snapshot sowieso der Computer gesichert wird und mehrere Wochen extern gespeichert werden.

Mit den Bordmitteln der Bürosoftware orgaMAX lassen sich je nach Umfang schnell, einfach und auf Wunsch automatisiert Datensicherungen erstellen. Möchte man z.B. nur ein einzelnes Dokument aus der Datensicherung wiederherstellen oder kopieren, so geht das mit den integrierten Möglichkeiten leider nicht, da dort nur eine vollständige Wiederherstellung vorgesehen ist.

orgaMAX erstellt bei der Datensicherung Dateien mit der Endung *.mfb. Da es sich dem Anschein nach um Zip-Archive handelt, lassen sich diese Dateien z.B. mit 7-Zip ohne Probleme öffnen und Dateien wie Ordner kopieren bzw. extrahieren oder entpacken.

Benennt man die Datensicherung um oder fügt als (zusätzliche) Dateiendung „.zip“ hinzu, so lässt sich die Datei mit den Windows-Bordmitteln öffnen.

Je nach Datenmenge kann es im Gegensatz zu 7-Zip bei Windows allerdings eine Weile dauern, bis das neue Explorer-Fenster geöffnet ist und der Inhalt angezeigt wird.