Wenn man viel mit einer Askozia PBX auf einer Embedded-Hardware wie z.B. dem PC Engines apu1d Bundle experimentiert oder auch mal Backups von Kunden einspielt um etwas auszuarbeiten, so bleibt in der Regel die Konfiguration zurück.

Bei der genannten Hardware ist es so, das die Askozia PBX sich auf einer SD-Karte befindet, während auf der SSD die Ansagen, Faxe, etc. gespeichert werden. Leider bietet das Web-Interface keine Möglichkeit an, den verwendeten Speicherplatz zu löschen bzw. neu zu formatieren. Um genauer zu sein wird nur partitioniert und formatiert, wenn der Speicher als leer erkannt wird. Das Löschsymbol in der grafischen Oberfläche dient lediglich dem Aushängen des Speicherplatzes, soweit zumindest unsere Beobachtung (Irrtum vorbehalten, wie man so schön sagt/schreibt).

Um nun dennoch die SSD löschen zu können, kann man wie folgt vorgehen:

• Im Web-Interface unter „System – Speicher“ das Laufwerk entfernen. Das System fordert einen Neustart, danach sind allerdings immer noch alle Einstellungen vorhanden. Dazu später mehr.
• Per ssh mit der Askozia verbinden.
• Mittels „fdisk -l“ die Laufwerke ermitteln. In diesem Beispiel ist die SSD das Gerät „/dev/sda“.
• Mit „umount /storage/usbdisk1“ das Laufwerk aushängen.
• Durch den Befehl „dd if=/dev/zero of=/dev/sda“ wird die SSD vollständig mit Nullen überschrieben. Alternativ kann man statt „zero“ auch „urandom“ verwenden. In jedem Fall ist das Laufwerk danach leer. Der Vorgang kann je nach Größe durchaus eine Weile in Anspruch nehmen.
• Anschließend das System herunterfahren oder einfach vom Strom trennen.
• Die Speicherkarte an einen anderen Computer anschließen und aus dem Ordner „CONF“ die beiden XML-Dateien löschen. Vermutlich kann man via ssh und „rm“ die Dateien ebenso löschen, da allerdings auf die SD-Karte eine neuere Version der Askozia geschrieben werden sollte, wurde auf voriges Löschen (diesmal) verzichtet.

Anschließend kann das System neu gestartet werden und man hat ein frisches System.

YouTube-Videos in die eigene Homepage, ein CMS oder ein Blogsystem wie WordPress einzubinden ist schnell und einfach getan. Leider gibt zum eigentlichen Video weitere eher unliebsame dreingaben.

Es ist ja nur ein Video …

… denkt man sich und schwupps ist ein YouTube-Video integriert. Man darf allerdings nicht außer Acht lassen, das hinter YouTube nunmal Google steht und dort bekanntermaßen hauptsächlich mit Werbung Geld verdient wird. Damit man gezielt Werbung auf den Anwender „loslassen“ kann, wird auf verschiedene Techniken zurückgegriffen (Stichwort: Tracking). Für einen Homepage-Betreiber kann das aus datenschutzrechtlichen Gründen problematisch sein. Ferner sollte man sich selbst die Frage stellen, ob man überhaupt möchte, das beim Aufruf der eigenen Seite im Hintergrund durch Dritte, Vierte, etc. Cookies gesetzt oder ausgelesen werden, per Browser-Fingerprinting der Benutzer erfasst wird usw.

Möchte man dennoch YouTube-Videos einbetten, kann zumindest auf die Cookies verzichten werden. Die Option dazu ist ziemlich versteckt:

• Unterhalb des Videos auf „Einbetten – Mehr Anzeigen“ klicken.
• Den Haken setzen bei „Erweiterten Datenschutzmodus aktivieren“.

Daraufhin ändert sich die URL in der Codezeile (youtube.com -> youtube-nocookie.com).

Passend zu diesem Thema und vorallem informativ ist der Artikel

ct – Rote Karte für Webspione – YouTube-Videos datenschutzkonform einbetten

der Ausgabe 1/2016 (28.12.2016).

Übrigens …

… wurden sämtliche eingebetteten YouTube-Videos in diesem Blog durch Links ersetzt. Sieht zwar unschöner aus und es geht etwas komfort verloren, dafür verringert sich das rechtliche Risiko. Ferner wird im Hintergrund weniger unbeabsichtliches „angestellt“. Für mobile Nutzer verringert sich darüber hinaus das Daten aufkommen.

Wie der Titel schon aussagt, soll es in diesem Blog keine Werbung mehr geben.

Aus Performance- aber auch aus Sicherheitsgründen und nicht zuletzt wegen des Datensschutzes habe ich mich dazu entschlossen, keine Werbung mehr in diesen Blog zu integrieren. Partnerlinks gibt’s nicht mehr und Sponsored Posts ebenfalls nicht. Auf Anfragen á la „Zusammenarbeiten“ reagiere ich bereits seit Monaten nicht mehr.

Ein wenig Historie

Einst wurde, zumindest zeitweilig Amazon Partner, Google AdWords, SuperClix, … in Verbindung mit diversen Plugins verwendet, aber es lohnt einfach nicht. Im Gegenteil, es bremste aus und kostet unnötig Zeit. Bei der Platzierung der Banner war ich ohnehin schon sparsam, so gab es z.B. nie Banner mitten in einem Beitrag, sondern nur am Anfang und anfänglich auch am Ende eines Beitrags. Ein paar Banner gab es mal in der Seitenleiste (Stichwort: Skyscraper). Ferner exitistierte der eine oder andere Sponsored Post, allerdings immer im thematisch passend und nichts völlig abwegiges.

Es bringt einfach nichts

Zumindest für mich nicht. Der Ertrag, wenn es denn überhaupt mal zu einer „Werbekostenerstattung“ kam, war nur um niedrigen zweistelligen Bereich. Das reichte im Mittel nicht mal für die Hostingkosten. Ferner hatte man Arbeit damit: Plugins wollten gepflegt werden, Newsletter, (öfter) geänderte AGBs der Anbieter usw. müssen gelesen, akzeptiert oder abgelehnt werden, Belege für den Steuerberater sammeln, etc.

Letztlich ist einem die Zeit für sowas zu Schade, schließlich lebt man nicht vom Bloggen, also meine Wenigkeit jedenfalls nicht, von daher kann man ohne diesen „Kram“ leben und konzentriert sich lieber auf das Schreiben.

Der Weg aus der Werbung

Das Amazon PartnerNet-Konto kann man nur mit Hilfe des Supports kündigen, für eine erste Reaktion auf mein Anliegen brauchte der Online-Händler zwei Tage. Bei SuperClix sieht das nicht anders aus, aber die Kündigungsbestätigung per Mail kam nahezu sofort. Bei Google habe ich neben AdSense gleich mal meinen YouTube-Account (nie benutzt), das Gmail-Postfach (vor Jahren zwangsweise wegen Android angelegt und ebenfalls nie genutzt) als auch das Google-Konto (auch nie wirklich benutzt) gelöscht. Das gestaltete sich relativ aufwendig, da das ganze Zeugs lange brach lag und man nach der Anmeldung erstmal das Anlegen der Zwei-Faktor-Verifizierung durchlaufen musste.

Die Kündigung bei Sponsored-Posts.net geht ebenfalls nur über den Support bzw. das Kontaktformular, auf der Seite oder in den FAQ findet man nichts darüber, wie man „Austreten“ kann. Immerhin kam die Reaktion innerhalb von 24 Stunden. Bei LinkLift findet man auch nichts zwecks Kündigung auf der Homepage oder im Konto, so das man das Kontakt-Formular bemühen muss. Und bei TradeDoubler war es wiederum gar kein Problem das Konto zu löschen, es gibt direkt eine Funktion dafür.

Insgesamt gab es nur 22 sponsored posts im Blog, gemessen an der Anzahl der Beiträge (Insgesamt 1.366, Stand: 28.12.2015) nicht sehr viel.

Es bleibt allerdings das ungute Gefühl, das gelöscht, gekündigt usw. eben nicht wirklich das Entfernen der Daten bedeutet. Der eine oder andere Anbieter weist sogar darauf hin, das nicht alles „verschwindet“.

Abschließend noch ein wenig Kritik

Viele Anfragen kamen rein mit der Anforderung, das der Sponsored Post nicht als solches gekennzeichned sein darf. So etwas ist mehr als bedenklich (Stichwort: Schleichwerbung) und somit wirkt das bereits unseriös.

Ganz ehrlich, ich hab‘ Facebook nie sonderlich gemocht geschweige denn genutzt. Nachdem das dortigen Konto bzw. Profil brach liegt und nur mal alle paar Monate rein geschaut wird, viel der entschluss nicht allzuschwer sich bei Facebook abzumelden.

Das Einzige was regelmässig lief, waren die automatischen Updates vom Blog zu Twitter und von da aus zu Facebook. Der direkte Weg hatte seinerzeit bei mir trotz aller Bemühungen nicht funktioniert (siehe Durch die Brust ins Auge – Via Twitter auf Facebook posten).

Von daher fällt der Abschied sehr leicht und nach veröffentlichen diesen Beitrags wird das Konto gelöscht. Eine Beschreibung wie und wo das geht findet sich hier:

Facebook-Hilfebereich – Wie lösche ich mein Konto dauerhaft ?

Wer mich erreichen möchte kann das Beitrags-bezogen über die Kommentarfunktion tun oder ganz klassisch via E-Mail.

Übrigens: Die Links zu Facebook, Twitter und Co. in der Seitenleiste sind vor ein paar Tagen ebenfalls „abgerissen“ worden. Wie es mit dem Rest jenseits von Facebook weitergeht habe ich noch nicht abgeschliessend entschieden. Wird allerdings schätzungsweise ebenfalls überwiegend in Löschen, Kündigen etc. enden.

Bei einem Kunden erschien unter Windows 7 immer mal wieder nicht reproduzierbar beim Drucken die Meldung „Vertrauen Sie diesem Drucker?“:

Verantwortlich dafür ist die „Point-and-Print“-Funktionalität bzw. deren Einschränkungen die seit Windows Vista existieren. Mit der Gruppenrichtlinie

Computerkonfiguration - Richtlinien - Administrative Vorlagen - Drucker - Point-and-Print Einschränkungen

oder via Registry unter

HKLM\SOFTWARE\Policies\Microsoft\Windows NT\Printers\PointAndPrint

(Werte bitte der Quelle entnehmen) können die Einschränkungen konfiguriert bzw. deaktiviert werden.

Unter

EXBlog – Point-and-Print-Beschränkungen unter Windows 7 – Vertrauen Sie diesem Drucker?

können fertige Reg-Dateien heruntergeladen werden.

Unklar bleibt, wieso diese Meldung nur sporadisch an zwei von fünf PCs bei diesem Kunden erschien. Da die Drucker fest verbunden sind und die Nutzer immer am gleichen PC sitzen, können Abhängigkeiten zu Anmeldeskripte oder GPOs die die Drucker verbinden ausgeschlossen werden.

Quelle

Blog.Bistron.eu – Point-and-Print-Beschränkungen unter Windows 7 – Vertrauen Sie diesem Drucker?

Mit WebBrowserPassView kann man nicht nur von einem laufenden System aus die Browser-Kennwörter auslesen, sondern auch z.B. aus einer Datensicherung oder von einer Windows-Installation die nicht mehr startet.

Zumindest für Firefox, Chrome und Opera scheint das möglich zu sein. Live angewendet habe ich es bei einem Kundensystem bzw. einem Kundenbackup mit einem Firefox-Profil.

• WebBrowserPassView starten.
• Auf „Options“ – „Advanced Options“ klicken.
• Von einem der vorgenannten Browser den Pfad angeben.
• Auf die Schaltfläche „OK“ klicken.

In diesem Fall handelt es sich um ein Drive Snapshot-Backup das eingehängt wurde, WebBrowserPassView wurde mit erhöhten Rechten gestartet, da man sonst keinen Zugriff hat.

Man kann sagen, bislang habe ich viel Glück gehabt was Datenbank-Systeme und Schäden betrifft. Am Beispiel von MySQL hatte ich bis dato nur zwei Schäden. Das erste Mal half nur noch die Wiederherstellung aus einem Backup, verursacht wurde der Zustand durch einen unfreiwilligen Absturz aufgrund eines Wackelkontakts an einer USV.

Beim zweiten Mal, weswegen dieser Beitrag entstand, sorgte ein Bluescreen von Windows für eine fehlerhafte Datenbank. Konkret geht es um einen Team MediaPortal-Server auf dem Aufnahmen via MPExtended und WebMediaPortal programmiert werden.

Das Aufrufen der Programmseite im Browser endete mit einer Fehlermeldung. Bei einem Blick auf den Server fand sich im Fehlerprotokoll von MySQL folgende Meldung:

160124  0:33:20 [ERROR] C:\Programme\MySQL\MySQL Server 5.1\bin\mysqld.exe: Table '.\mptvdb\program' is marked as crashed and should be repaired

Nach kurzer Recherche fand sich eine sehr gute Anleitung nach der ich Schritt für Schritt vorging (siehe Quelle).

Hinweis: Ggf. muss man in der jeweiligen Eingabeaufforderung erst in die entsprechenen Verzeichnisse wechseln.

Prüfen in welcher Tabelle Fehler vorliegen:

mysqlcheck -uroot -pMediaPortal mptvdb

Dank des Protokolls war zwar „program“ bereits bekannt, allerdings könnte es ja sein, das es noch mehr „Macken“ gibt. Es fand sich noch der Hinweis das Clients den Zugriff auf „channel“ nicht geschlossen hätten, was kein Problem darstellt.

Um die nachfolgende Reparatur durchführen zu können, muss der MySQL-Dient beendet sein! Im Fall von dieser Installation mussten die Dienste „MPExtended WebMediaPortal“, „MPExtended Service“, „TVService“ und „MySQL“ in dieser Reihenfolge beendet werden. Nach der Reparatur dann in umgekehrter Reihenfolge wieder Starten oder den Computer neustarten.

myisamchk program.MYI
myisamchk -r program.MY

Der erste Befehl sucht nach Fehlern und schlägt dann die Parameter „-r“ oder „-o“ vor. Prüft man anschließend noch mal ohne die Parameter sollte alles ok sein (andernfalls hilft nur eine hoffentlich vorhandene Datensicherung).

Dann die Dienste wieder starten und prüfen ob alles ok ist.

Quelle

think eMeidi – MySQL: Table is marked as crashed and should be repaired

Streikt ein Computer nach der Umstellung auf SSD oder läuft von Anfang nicht ganz rund, so kann das am LPM (Link Power Management“) der SATA-Schnittstelle liegen.

Als Fallbeispiel dient ein neuer Wortmann Terra Business 5000 Greenline (Intel Core i5 Skylake-CPU, Gigabyte H110M-D2P, Intel H110-Chipsatz), der auf Kundenwunsch mit einer Samsung SSD 850 Pro 256 GB ausgestattet werden sollte. Als Betriebssystem kommt Windows 7 Professional zum Einsatz. Die Treiber als auch Firmware sind aktuell.

Das Problem zeigt sich im Schnitt ein bis zweimal am Tag, nachdem der PC über längere Zeit nicht genutzt wurde und dann die Maus bewegt oder eine Taste angeschlagen wurde. Es erscheint nur noch das Hintergrundbild, keine Taskleiste und auch sonst geht nicht mehr viel. Es hilft nur noch das Gerät vom Strom zu nehmen und dann neu zu starten. Ein anschließender Blick ins Ereignisprotokoll lieferte keine Erkenntnisse.

Je nach System kann es unterschiedliche Stellen geben, LPM zu deaktivieren (Treiber, BIOS, Tools, Registry). Bei installierten Intel Rapid Storage kann man unter „Leistung“ die Funktion ein-/ausschalten. Bei diesem PC mussten zwei Neustarts erfolgenden, damit die Deaktivierung richtig griff und auch Windows wieder rund lief. Seitdem (> drei Tage) läuft das System klaglos durch.

In wie weit die Einstellung im Energiesparplan von Windows, ob die Festplatte nach x Minuten ausgeschaltet werden soll Einfluss hat, wurde nicht (abschließend) untersucht.

Anbei ein paar weiterführende Links:

c’t – Zickige SSD zähmen

PC-eXPerience – SSD: LPM/DIPM-bedingte Aussetzer korrigieren

PC Welt – So beheben Sie durch SSDs verursachte System-Probleme

Persönliche Bemerkung

Die genannte Problematik ist schon lange bekannt, aber bislang an uns vorbeigegangen. Trotz x-fachen Einsatzes von SSDs, ganz gleich ob Neu- oder Altsystem, ob Upgrade bzw. Migration oder Neuinstallation, bislang hatten wir keine Probleme. Naja, irgendwann ist immer das erste Mal.

Manchmal gibt es Fehler, die gibt’s einfach nicht. So geschehen mit einem neuen PC, der ein- bis mehrmals täglich nur noch den Desktop-Hintergrund zeigte, aber keine Taskleiste oder Icons mehr.

Dem ersten Anschein nach dachte man, der PC sei abgestürzt, da sich nicht mehr viel tat. Selbst der allseits bekannt-beliebte Affengriff (Strg+Alt+Entf) half nicht. Folglich wurde immer wieder der Netzstecker gezogen und von vorne begonnen.

Kurios wurde es dann, als man merkte, das man via TeamViewer noch sozusagen normal auf den Computer zugreifen konnte. Nur eben die Konsole zeigte ohne TeamViewer-Verbindung nur das Hintergrundbild und während einer Verbindung nur einen schwarzen Bildschirm. An diesem Punkt nahmen wir sogar an, das es irgendwie an dieser Kombi liegen könnte.

Zuvor wurden mögliche Probleme durch veraltete Treiber, fehlende Updates, Schwierigkeiten in Verbindung mit der verbauten SSD (Firmware, SATA LPM, etc.) ausgeschlossen.

Letztlich bestand das Problem in der Kombi mit diesem PC und einem älteren Belinea-Display, das via DVI angeschlossen war. Via VGA trat es nicht auf, auch nicht mit einem anderem Display, das ebenfalls via DVI angeschlossen wurde. Woran es genau hängt konnte nicht geklärt werden. Offensichtlich kommt die Kommunikation zwischen den Geräten nach dem Abschalten des Displays und Reaktivieren via Mausbewegung oder Tastaturanschlag nicht mehr vollständig zu stande. Helfen tut, neben dem Deaktivieren der Monitor-Abschaltung, das Trennen und Wiederverbinden der DVI-Verbindung oder eben der Wechsel des Displays.

Wer häufiger via FTP oder SCP Dateien auf entfernen Computer bearbeiten muss wie z.B. beim Pflegen einer Homepage der kann, sofern auf dem Arbeitsplatz Windows zum Einsatz kommt auf WinSCP zurückgreifen.

Von Vorteil ist, das man neben dem integrierten Editor weitere Anwendungen einbinden kann. Dies kann sogar in Abhängigkeit vom Dateityp geschehen. So kann man *.html- oder *.php-Dateien Notepad++ zuordnen, während Bilder einer Grafikanwendung zugeordnet werden.

Konfiguriert wird dies beim Login-Dialog über

Tools - Preferences - Editors

oder bei bestehender Verbindung unter

Options - Preferences - Editors

Windows lässt je nach Edition nur eine bestimmte Anzahl an SMB-Verbindungen zu. Bleiben Verbindungen hängen oder aus anderen Gründen bestehen kann es schnell eng werden.

Windows 7 Professional lässt z.B. maximal 20 Verbindungen zu. In einem Arbeitsgruppen-Netzwerk oder wenn ein solches System in einer Domäne als kleiner Server verwendet wird und besagtes Problem mit hängen gebliebenen Verbindungen auftritt, kann man sich wie folgt abhelfen:

Manuell kann man Verbindungen über die Computerverwaltung unter

System - Freigegebene Ordner - Sitzungen

mit einem Rechtsklick auf eine Verbindung beenden. Via Eingabeaufforderung oder Skript geht dies mit

net session \\<IP-oder-Hostname> /delete /y

für eine einzelne Verbindung oder via

net session /delete /y

für alle Verbindungen.

Die maximal möglichen Verbindungen lassen sich mit dem Befehl

net config server

in einer Eingabeaufforderung mit erhöhten Rechten auslesen. Die Angabe hinter „Max. angemeldete Benutzer“ gibt dabei die maximalen möglichen Verbindungen an.

Aus der Praxis

Live und in Farbe besteht dieses Problem bei einem unserer Kunden, bei dem der DATEV-Fileserver ein Windows 7 Professional x64 in einem Domänen-Netzwerk ist. Scheinbar seit DATEV pro 9.0 (zumindest seit dieser Version ist es aufgefallen, mit 9.1 scheint es etwas besser zu sein), bleiben Verbindungen selbst von PCs bestehen, die heruntergefahren wurden. Als workaround wurde der zuvor genannte Befehl zum Trennen aller Verbindungen als Aufgabe in den Nachtstunden hinterlegt.

Bei einem Kunden wurde erst jetzt ein PC von Windows XP auf Windows 7 migriert (kein Upgrade, Neuinstallation) Kurze Zeit später meldete sich der Kunde, das seit der Umstellung via HDMI kein Ton zu hören ist, zuvor hatte dieses allerdings noch funktioniert.

Der Klassiker ist eigentlich, dass das Standard-Ausgabegerät verstellt ist, dies war diesmal allerdings nicht der Fall. Als Grafikkarte kommt ein Modell aus der AMD/ATI HD 6800-Serie zum Einsatz. Die Treiber sind auf dem aktuellen Stand. Eine Recherche zeigte schnell, das diese Problematik seit Jahren bekannt ist und es scheinbar an den Grafikkarten-Treibern liegt. Offenbar sind einige Serien davon betroffen.

Abhilfe schafft der Rollback des Soundkarten-Treibers der Grafikkarte auf eine vorige Version. In diesem Fallbeispiel also von einer 2015-Version auf eine von 2012. Ein Neustart später war das Problem behoben.

• Computerverwaltung – System – Geräte-Manager – Audio-, Video- und Gamecontroller
• Die Eigenschaften von „AMD HD Audio“ (oder so ähnlich) aufrufen, zur Registerkarte „Treiber“ wechseln und auf die Schaltfläche „Voriger Treiber“ klicken. Die Meldung bestätigen und den Computer zur Sicherheit neu starten.

Quelle

AMD Community – AMD Catalyst 15.7.1 HDMI sound conflict

Kurz notiert: Ich habe mich gerade mit einem Vista-Notebook herumgeschlagen, auf das sich partout die aktuelle Version von Skype nicht installieren lies.

Sowohl beim Ausführen von „SkypeSetup.exe“ als auch „SkyperSetupFull.exe“ erschien die Meldung das keine Verbindung zum Server möglich sei. Alles andere was mit dem Internet kommuniziert lief allerdings wie es soll.

Der Recherche nach gibt’s solche Schwierigkeiten schon lange. Meist wird auf Probleme mit dem Internet Explorer verwiesen. Zurücksetzen und Co. brachte allerdings keine Besserung. Ein Blick via Process Monitor führte letztlich zu „C:\ProgramData\Skype“. In den dortigen Unterordnern findet man die *.msi-Datei für die eigentliche Installation. Einfach in den neuesten Ordner wechseln und die dortige „Skype.msi“ ausführen.

Beim Konfigurieren einer pfSense aus der Ferne antworte plötzlich das Web-Interface (webConfigurator) nicht mehr. Der Browser meldete nur noch Zeitüberschreitung. Ein Check via Portscan zeigte, das scheinbar der Webserver nicht mehr läuft. Alle anderen Dienste wie z.B. das Routing, OpenVPN-Zugang, DNS, etc. schienen normal zu laufen.

Der Recherche nach, gab oder gibt es wohl auf so mancher Hardware Probleme. Beta- oder Entwicklerversionen sollte man dabei am besten außen vor lassen. In der Tat ist es so, das die betreffende Installation auf vorhandener Kunden-Hardware installiert ist oder mit anderen Worten: Nicht auf unserer üblichen Hardware. Allerdings läuft das so bereits seit einem Jahr und bislang ohne Schwierigkeiten. Also vielleicht einfach nur Pech.

Aber wie kommt man nun wieder an die Administrations-Oberfläche ran?

Direkt über das Konsolen-Menü kann man über den Punkt „11) Restart webConfigurator“ als auch „16) Restart PHP-FPM“ den Webserver neu starten und mittels „14) Enable Secure Shell (sshd)“ den ssh-Zugang aktivieren. Dort kommt man allerdings nur ran, wenn entweder jemand vor Ort ist, Zugang zur Hardware hat und mindestens eine Tastatur angeschlossen ist. Im Blindflug kann man dann wie folgt vorgehen:

• Enter drücken.
• „11“ und/oder „16“ eingeben und Enter drücken. Mit etwas Glück kommt man nun wieder auf das Web-Interface.
• „14“ eingeben und Enter drücken. Nun „y“ bzw. „z“ (je nach Tastaturbelegung) eingeben und Enter drücken. Dadurch wird der ssh-Zugang aktiviert. Es kann einen Moment dauern, bis der Schlüssel erzeugt ist. Der Zugang ist nur vom LAN aus möglich! Port 22 wird automatisch zur „Anti-Lockout Rule“ hinzugefügt.

Besser ist’s natürlich, wenn ein Monitor angeschlossen ist, damit man Meldungen ablesen kann. Man könnte selbstverständlich auch einfach mal die pfSense neu starten (Menüpunkt „5) Reboot system“) oder kurz den Stecker ziehen. Bei vielen Mitarbeitern vor Ort oder verbundenen VPN-Benutzern hat man dann allerdings ganz schnell viele neue Freunde.

Läuft pfSense auf entsprechender Server-Hardware, das ein BMC mit KVM-over-IP bietet oder eben ein KVM-over-IP-Switch angeschlossen ist, so kann man, sofern es einen Zugang dorthin gibt (z.B. VPN und Browser) von dort aus das Konsolen-Menü erreichen und schauen was los ist.

Das Ende vom Lied

Ein Anruf beim Kunden und der Bitte mal kurz eine USB-Tastatur anzuschließen und wie oben beschrieben vor zu gehen scheiterte im ersten Anlauf daran, das keine Tastatur vor Ort sei. Dazu sei gesagt, das der Kunde neulich erst umgezogen ist und mit Sicherheit die eine oder andere Komponente noch in irgendwelchen Umzugskartons steckt. Der zweite Anlauf mit einer Tastatur die auf die Schnelle vom gegenüberliegenden Supermarkt organisiert wurde klappte ebenfalls nicht, der Grund ist allerdings unklar. Letztlich war ich dann doch ein paar Tage später vor Ort mit einer USB-Tastatur von uns und nach Eingabe von „11“ + Enter (im Blindflug, d.h. ohne Monitor) klappte der Zugriff wieder. Nachfolgend wurde dann auch gleich ssh aktiviert als auch gleich erfolgreich getestet und eine Datensicherung erstellt.

Was tun für die Zukunft?

Gute Frage, mir ist das nun erstmalig so passiert, „natürlich“ auch noch Nachts, wo man vor Ort niemanden erreicht (Murphys Gesetz lässt Grüßen) und seltsamerweise während ein OpenVPN-Client-Zugang konfiguriert wurde (der Zusammenhang mit dem Webserver fehlt mir allerdings, aber der VPN-Zugang läuft, welch eine Ironie).

Da der Kunde nicht gerade um’s Eck ist, aber vorerst auch nicht viel investiert werden soll, wurde wie bereits erwähnt erstmal SSH aktiviert. Sollte das Problem häufiger auftreten, muss man mal Sehen wie es weitergeht.

Weitere potentielle Optionen (ein paar Überlegungen)

Als weiteren „Plan B“ könnte man das „Service Watchdog“-Package installieren. Konfiguriert wird dann unter „Services – Service Watchdog“. Allerdings bietet dieses Paket nicht die Web-Dienste an. Schade. Als weitere Abhilfe könnte man ein Shellscript erstellen und via Cronjob regelmässig ausführen lassen, das „lighttpd“ und „php-fpm“ überwacht und ggf. neustartet.

Wie bei Festplatten so kommt auch bei SSDs früher oder später der Zeitpunkt das diese womöglich weitergeben werden soll. Zuvor sollen allerdings alle Daten auf sichere Weise entfernt werden. Konnte man klassische Festplatten mit Tools wie zum Beispiel Darik’s Boot and Nuke (aka dban) bereinigen, so stellt sich die Situation Prinzip-bedingt bei SSDs anders dar.

Ein zwar nicht mehr taufrischer aber dennoch interessanter Artikel mit Hintergrundwissen findet sich bei PC Welt – Daten auf der SSD komplett und sicher löschen.

Samsung liefert für seine SSDs mit der Magician Software die Möglichkeit ein bootfähiges Medium (USB-Stick, CD) zu erstellen, um via „ATA Secure Erase“ den Festspeicher zu löschen. Flexibler aber mit ein paar Klicks mehr verbunden ist die Variante via Parted Magic und dem dortigen Secure Erase. Dafür ist letzteres flexibler, da es nicht auf bestimmte SSDs bzw. Hersteller beschränkt ist.

Erfreulich ist, dass das Löschen recht schnell von statten geht. Bei einem PC mit einer Samsung Evo 840 dauerte es sowohl über die Samsung Boot-CD als auch Parted Magic jeweils weniger als zwei Minuten.

Ab und an kommt einem ein Windows Vista unter. Eine Kundin setzt dieses noch (EOL April 2017) ein und verwendet darüber hinaus den Internet Explorer. Allerdings ist bei Version 9 schluss in Verbindung mit diesem Betriebssystem. Problematisch ist dann der Wechsel des Suchanbieters.

Die Lösung fand sich unter

Microsoft Community – dieser suchanbieter konnte nicht installiert werden – es gab ein problem mit den informationen des suchanbieters

Über die Seite IE Search Provider Builder Tool kann man händisch einen Suchanbieter hinzufügen.

Die Datenträgerbereinigung leistet beim Aufräumen von Windows durchaus gute Dienste, entfernt sie neben temporären Dateien nicht mehr benötigte Windows Updates und spart so einiges ein Speicherplatz ein.

Microsoft liefert dieses nützliche Tool sowohl bei den Client- als auch Server-Versionen von Windows mit. Ein weiterer Pluspunkt ist die Möglichkeit, die Einstellungen zu speichern und dann z.B. via Skript oder Aufgabe regelmässig ausführen zu lassen.

Steht die Datenträgerbereinigung z.B. bei Windows 7 ab Werk zur Verfügung, so muss man diese unter Windows Server 2008 oder 2012 erst nachinstallieren. Der offizielle Weg besteht darin, über den Server-Manager die Desktopgestaltung hinzuzufügen. Siehe dazu

Microsoft TechNet – Enabling Disk Cleanup Utility in Windows Server 2012

Wenn man allerdings nur dieses Tool haben möchte, ist das zu viel des Guten.

Die englische Version von clenamgr kann man auf der Seite von Sami Lehtinen herunterladen:

Sami Lehtinen – Download CleanMgr.exe for Windows Server 2012 R2 & 2008 R2

Letztlich werden nur zwei Dateien benötigt:

C:\Windows\System32\cleanmgr.exe
C:\Windows\System32\de-DE\cleanmgr.exe.mui

Diese kann man entweder aus den tiefen des Windows-Ordners heraussuchen oder z.B. von einer anderen Windows Server-Installation umkopieren. Im Test klappte es ebenso von einem Windows 8.1 die Dateien auf einen Windows Server 2012 R2 zu kopieren.

Mit Robocopy lassen sich nicht nur Dateien und Ordner kopieren, sondern ebenso die NTFS-Sicherheitsinformationen und die jeweiligen Besitzer von Dateien.

Nützlich kann das sein, wenn z.B. an Quelle und Ziel die Daten bereits vorhanden sind, da sie z.B. mittels Backup & Restore, Archive oder Rsync übertragen wurden. Möchte man nun nur die Berechtigungen und Besitzer abgleichen reicht als Minimum folgender Befehl:

robocopy <source> <destination> /secfix /xo /xn /xc /copy:sou

Ggf. müssen die Parameter angepasst werden. In der Praxis hat es sich bewährt noch „/r:0 /w:0“ anzufügen, so das im Fehlerfall nicht unnötig oft bzw. lange versucht wird etwas abzugleichen.

Quellen

Microsoft Support – How to Use Robocopy to copy security information without copying any file data

itefix.net – Can rsync transfer security/ownership information between two windows machines ?

Die Verwendung von Zwischenspeichern (cache) bei Webbrowser als auch Webservern ist eigentlich eine gute Sache, beschleunigt es doch das (erneute) Aufrufen von Internetseiten. Manchmal kann einem das aber auch das Leben schwer machen.

Ist man gerade dabei, eine Internet-Auftriff zu aktualisieren oder neu zugestalten, so kann einem der Cache schnell in die Irre führen und man wundert sich, woher denn nun veralteter Inhalt stammt.

Oft reicht es aus, im Browser seiner Wahl die Seite neu zu laden. Welche Tastenkombination (F5 alleine reicht oft nicht) verwendet werden muss, zeigt eine Auflistung bei Wikipedia:

Wikipedia:Bypass your cache

Oft wird auch Server-seitig auf Zwischenspeicher gesetzt. Bei dynamischen Seiten kann das zum einen Last vom Server nehmen als auch den eigentlichen Inhalt schneller ausliefern (da ja die Seite z.B. mit PHP nicht jedesmal neu generiert werden muss). Allerdings kann das im Fall von Updates wie beim Browser auch zur „Fehlersuch-Falle“ werden. Je nach Anbieter hat man auf die eine oder andere Art die Möglichkeit den Cache zu kontrollieren oder gar ganz abzuschalten. Anbei ein Beispiel von one.com:

one.com – Faq – Wie kann ich den Varnish-Cache deaktivieren?

Persönliche Bemerkung

Solche potentiellen Schwierigkeiten sind mir nicht neu, manchmal geht man diesen „Dingern“ aber dennoch auf den Leim. So aktualisierte ich zwei Bilder auf einer Kundenhomepage, aber diese wollten je nach Browser einfach nicht erscheinen. Das Abschalten des Cache beim Anbieter als auch das Löschen der jeweiligen Browser-Caches in Verbindung mit einem Browser-Neustart löste dann die Angelegenheit auf.