So bin gerade nach Hause gekommen und mußte mit erschrenken feststellen, dass auf meinem Server nichts mehr geht. Ich konnte mich weder via RDP noch sonst wie auf die virtuellen Maschinen oder den Host verbinden. Nach dem langen weg, vom Schreibtisch in mein Gästezimmer aka Serverraum und einem Blick auf die Konsole war klar – nichts geht mehr. Der Bildschirm zeigte zwar den normalen blauen Logon Bildschirm reagierte jedoch weder auf Mausbewegungen noch auf Tastatureingaben.

… Liebes Tagebuch, heute mußte ich meinen Server gewaltsam neu starten…

Danach ging jedoch alles wieder wie es sollte – leider steht auch in den Logfiles nichts gescheites. Ich werde also vermutlich auch nicht herausfinden was mein Server für ein Problem hatte.

Nachdem mein Hyper-V zwischenzeitlich recht zuverlässig seinen Dienst verrichtet wollte ich nun auch ein virtuelles Vista x64 als clone zu meiner Workstation anlegen (sehr nützlich um remote zu arbeiten). Gut gerüstet aus der win2k8 Installation hab ich mich also ans Werk gemacht. Wie erwartet funktionierte direkt nach der Installation meines Vista (SP1) x64 Ultimate das Netzwerk nicht. Schlau wie ich bin habe ich gleich die entsprechenden Patches in ein ISO gepackt und gemountet. Die Installation läuft auch schön durch – aber das Netzwerk tut nicht . Nachdem das übliche herumspielen mit dem System auch keine wirkliche Verbesserung mit sich brachte habe ich mich mal auf die Hyper-V Seiten begeben (ok, das sollte man normal vorher tun…). Folgende Systeme sind laut dieser Seite aktuell supportet:

• Windows Server 2008 x86 (VM configured as 1, 2 or 4-way SMP)
• Windows Server 2008 x64 (VM configured as 1, 2 or 4-way SMP)
• Windows Server 2003 x86 (VMs configured as 1 or 2-way SMP only)
• Windows Server 2003 x64 (VMs configured as 1-way only)
• Windows Vista  x86 with Service Pack 1 (VMs configured as 1-way only)
• Windows XP x86 with Service Pack 3 (VMs configured as 1-way only)
• SUSE Linux Enterprise Server 10 with Service Pack 1 x86 Edition
• SUSE Linux Enterprise Server 10 with Service Pack 1 x64 Edition

Dem aufmerksamen Leser ist es bereits aufgefallen, Vista x64 ist nicht aufgefürt . Bis heute war ich der Meinung, dass die Codebasis von Vista und win2k8 durch das SP1 sehr stark angeglichen wurde. So wie es scheint ist diese Angleichung wohl nicht bis zu den Treibern durchgedrungen. Dann warte ich mit dem Projekt eben noch bis RC1 .

Nachdem ich vor kurzem so voller lobender Worte zu dem neuen HP Service Upline war habe ich heute eine eMail erhalten die mir weniger gefallen hat:

Dear HP Upline Service subscriber,

On Thursday, April 17th, HP suspended operation of the HP Upline Service. We fully anticipate that suspension of the Upline Service will be temporary and short in duration, and will notify you when the Upline Service is operational again. Please accept our sincere apology for this unanticipated interruption of your access to the Upline Service.

In addition, we regretfully must inform you that the initial launch of the HP Upline Service was intended for United States residents only. Unfortunately, our filtering tools did not adequately screen for subscribers residing outside of the United States. We thank you for your early adoption of the Upline Service, and look forward to being able to provide the HP Upline Service to you when we launch it in your country of residence. Since the HP Upline Service is presently offered for use within the United States only, we will be discontinuing your current subscription and refunding your entire subscription fee. We will be refunding this amount to the credit card or other account you used to subscribe to the Upline Service.

After we notify you that the Upline Service is operational again, you will have a limited period of time to access and download files that you have uploaded onto the HP Upline Service servers. After that time period, you will no longer have access to your present HP Upline Service account. If you would like to be contacted by us when the HP Upline Service is made available in your country of residence, please send us an email at help@upline.com.

We appreciate your patience as we launch this new service, and apologize for any inconvenience.

Danke HP! Ich habe auch nur 2 Tage damit verbracht meine Backupsysteme entsprechend anzupassen und die Daten hoch zu laden. Naja mal sehen ob es was bringt wenn ich der Kündigung widerspreche und auf die Erfüllung bestehe der Vertrag wurde ja nach EU Recht geschlossen

Ich dachte ja der Fehler wäre ausgestorben – ich hatte Ihn zumindest zuletzt in frühen XP Zeiten:

“The Network Connections Folder was unable to retrieve the list of Network Adapters on your machine. Please make sure that the Network Connections service is enabled and running.”

Naja zum Glück habe ich die Lösung dafür aufgehoben. Ich habe diesen nämlich heute auf einer vollständig gepatchten Windows 2003 R2 Maschine erhalten.

Command Prompt öffnen und folgende drei Befehle absetzen um die notwendigen dll neu zu laden bzw. zu registrieren:

regsvr32 netshell.dll
regsvr32 netcfgx.dll
regsvr32 netman.dll

Nach einem kurzen Reboot sollte wieder alles da sein wo es hin gehört

Nachdem ich in meinem letzten Artikel gezeigt habe wie man den Security Configuration Wizard (SCW) installiert möchte ich nun am Beispiel eines Windows Exchange Server (Edge Transport) zeigen wie man diesen verwendet.

Als erster Schritt ist es notwendig die bei der Installation mitgelieferten Konfigurationsdateien im SCW zu registrieren. Der Exchange liefert hierfür in dem Unterordner “Scripts” seines Installationsverzeichnisses zwei XML Dateien mit. Die Datei Exchange2007.xml ist dabei für einen “normalen” Exchange Server und die Datei Exchange2007Edge.xml für einen Edge Transport Server. Für Windows 2008 Server gibt es jeweils noch Dateien mit der Endung _WinSrv2008.

Da wir im aktuellen Beispiel einen Edge Transport Server härten möchten kopieren wir die für diesen relevante XML Datei nach %windir%\Security\msscw\kbs. Das Tatsächliche registrieren der Rolle erfolgt mit folgendem Konsolenbefehl:

scwcmd register /kbfile:%windir%\security\msscw\kbs\Exchange2007Edge_WinSrv2008.xml /kbname:MSExchangeEdge

Nun Können wir den SCW an sich starten (Start – Suchen – SCW). Da wir noch keine Security Policy erstellt haben wählen wir im ersten Fenster “Create new security policy” aus.

Da man den SCM auch remote verwenden kann wird man aufgefordert ein Zielsystem zu wählen:

Abhängig von der Leistung seines Systems kann man nun eine gewisse Zeit auf einen solchen Balken starren .

Das folgende Fenster kann, nach genauem Studium der Warnung mit Weiter bestätigt werden. Im darauf folgenden Fenster werden die von Windows erkannten installierten Rollen für das System erkannt und vorausgewählt. Wenn wir bei der Registrierung der Exchange Edge Server Rolle alles richtig gemacht haben, dann sollte diese hier aufgeführt und ausgewählt sein.

Dem neuen Rollen bzw. Features Ansatz von Microsoft folgend wird man im nächsten Schritt nach den installierten Features gefragt wobei auch hier bereits eine Vorauswahl erfolgt ist (das warten oben hat sich gelohnt ). Allerdings sollte man den DNS Client in aller Regel nach nominieren.

Nun folgen noch die Options – wobei ich hier den Remote Desktop noch nominiert habe. Auch wenn die Maschine in der DMZ steht hätte ich gerne die Möglichkeit diese zu steuern. Leider reicht mein Budget in meinem privaten Testlab nicht für ein RemoteControlBoard (entsprechende Spenden werden jedoch jederzeit gerne angenommen…). Die Services “Microsoft Fibre Channel Platform Registration Service” und “Smart Card” sind dahingegen für mich nicht notwendig (obwohl vorausgewählt) und wurden daher von mir deaktiviert.

Nun kommen noch die zusätzlichen Dienste die auf der Maschine laufen. Da es sich bei meiner Maschine um eine Testmaschine handelt die auf einem Hyper-V läuft sind bei mir auch noch die damit verbundenen Dienste notwendig.

Langsam aber sicher geht es dem Ende entgegen. Im nachfolgenden Fenster erhalten wir nun die Wahl was mit Services geschehen soll, die nicht in den vorgenannten Dialogen an bzw. aus geschaltet wurden. Der sicherste Weg ist natürlich diese zu deaktivieren – und da wir diesen Wizard ausführen um ein System für die DMZ zu härten würde ich auch empfehlen diesen Weg zu gehen.

Nun bekommen wir noch eine Zusammenfassung (bitte genau Prüfen!)

Die Nachfolgenden Dialoge zeigen nun noch ein Mal die genauen Regeln, die definiert werden:

Da wir Mails über den Port 25 entgegen nehmen wollen müssen wir hier noch eine Regel hinzufügen. Das erledigen wir mit einem Klick auf Add.

Unter dem Reiter Protokolls and Ports müssen wir nun den Typ sowie die Portnummer festlegen, die wir freigeben möchten. Da man In- und Outbound nicht zusammen anwählen kann müssen wir diesen Schritt anschließend noch mal wiederholen um auch noch eine Outbound Regel zu erstellen.

Da wir hier einen Edge Transport Server installieren wird hier keine der Optionen ausgewählt:

Beim Auditing bin ich Mal wieder nicht der Meinung des Wizards. Hier würde ich nicht nur erfolgreiche Events aufzeichnen sondern auch fehlgeschlagene. Nur so kann man Angriffsversuche erkennen und entsprechende Gegenmaßnahmen veranlassen.

Jetzt wird es ernst:

Wenn Ihr System nun nach einem Reboot noch alle Funktionen erfüllt die es erfüllen soll dann sollten Sie dem Ziel ein sicheres System zu erhalten ein gutes Stück näher gekommen sein! Sie sollten allerdings nicht vergessen regelmäßig Sicherheitpatches zu installieren, in die Logs zu schauen und gegebenenfalls den Wizard erneut zu starten um evtl. durch Updates aktivierte Services wieder los zu werden! Sollte der Server seinen Dienst nicht wie vorgesehen verrichten können Sie den Wizard einfach neu starten und die Rollback Option wählen.

Testen kann man die Funktion des Edge Transport Servers am besten indem man zum einen via telnet auf Port 25 herzustellen versucht und zum anderen indem man auf dem Mailbox Server folgenden Befehl in der Exchange Management Shell absetzt:

Test-EdgeSyncronization