pfSense-Konfigurationen lassen mittels der integrierten Backup & Restore-Funktion bequem auf abweichende Hardware übertragen.

Das Backup besteht lediglich aus einer XML-Datei, in der die Konfiguration als auch Zertifikate enthalten sind. Darüber hinaus ist das Backup hardwareunabhängig, es bestehen keine Bindungen zu MAC-Adressen o.ä.. Einzig die Interfaces (LAN, WAN, …) sind mit Namen hinterlegt.

Werden auf der neuen bzw. anderen Hardware z.B. Netzwerkkarten von einem anderen Hersteller verwendet, so erscheint beim Wiederherstellen der Konfiguration aus dem Backup entweder im Web-Interface bereits eine Abfrage, wenn die Interfaces sich unterscheiden

oder spätestens beim Neustart von pfSense, mitunter sogar an beiden Stellen. Ein Zugriff auf die lokale Konsole sollte vorsichtshalber vorbereitet sein (VGA oder RS232).

Bei Einwahlverbindungen wie z.B. PPPoE muss zusätzlich die Bindung an das physikalische Interface beachtet werden. Diese kann unter

Interfaces - Assign - Registerkarte "PPPs"

geändert werden.

Was ist mit installierten Paketen?

In der Backup-XML-Datei existiert eine Referenz zu ggf. installierten Paketen. Sobald die Konfiguration wiederhergestellt und ein Neustart durchgeführt wurde, bietet das Web-Interface an, alle Pakete neu zu installieren:

Bei einem Geschäftskunden stürzte nach dem Wechsel des Routers im Rahmen einer Anschlussumstellung von ADSL auf VDSL der Dienst “G Data AntiVirus Proxy”, der im Business AntiVirus enthalten ist, ständig ab.

Dies wirkte sich unter anderem negativ auf das Laden von Internetseiten als auch den Abruf von E-Mails auf. Unserer Beobachtung nach stürzte der Dienst bei jedem Aufruf einer Internetseite ab. Er startete zwar sofort wieder, aber dennoch war das Surfverhalten beeinträchtigt.

Vermutlich kam das Problem dadurch zustande, das ein Speedport W700V durch einen Speedport W724V ausgetauscht wurde, als der Anschluss von ADSL mit einer Bandbreite von 6.000 kbps auf VDSL mit 50.000 kbps umgestellt wurde. Wir spekulierten darauf, das es mit IPv6 zusammenhängen könnte, da der alte Router dieses Protokoll nicht unterstützt hat und sich zwischenzeitlich sonst nichts anderes im Netzwerk geändert hatte.

Wir fragten beim G Data Business-Support nach und erhielten kurze Zeit später eine E-Mail mit Anweisungen die Datei “avkhttp.dll” auf allen Systemen auszutauschen und die Computer neu zu starten.

Im c’t-Sonderheft Windows – Das Reparierhandbuch ist im Rahmen des c’t Notfall-Windows erneut eine einjährige Drive Snapshot-Lizenz enthalten.

Danke an “der Maier” für den Hinweis.

(Bild: heise.de / Screenshot by andysblog.de)

Im Gegensatz zu Tools wie z.B. WinCDEmu bietet der KernSafe TotalMounter nicht nur das reine Lesen von ISO-Dateien, sondern auch das Schreiben eben solcher. Da dem Betriebssystem ein CD/DVD-Brenner “vorgespielt” wird, ist der Vorgang für Anwendungen, die zwingend einen Brenner voraussetzen oder ansprechen wollen transparent.

Der TotalMounter steht in den Lizenzarten Free und Pro zur Verfügung. Eine Tabelle auf der Homepage des Herstellers informiert über die Unterschiede. Die Free-Variante reicht für’s virtuelle Brennen völlig aus.

Nach dem Herunterladen und der Installation der Anwednung kann man direkt aus der grafischen Oberfläche heraus bestehende Abbilder einhängen oder neue erstellen. Bevor ein neues Abbild “gebrannt” werden kann, muss man wie folgt vorgehen:

• “Mount – Virtual CD/DVD-RW Drive” anklicken
• Min. Ort und Dateiname, ggf. Größe und Typ angeben

Hinweis: Statt *.img kann man *.iso angeben.

Die tatsächliche Größe des Abbilds richtet sich nach der Menge an Daten die geschrieben werden. Die Kapazität gibt die mögliche Maximalgröße an.

Ein erster Test

Der virtuelle Brenner ist wie gewohnt mit einem Laufwerksbuchstaben ansprechbar. So lässt sich z.B. unter Windows 7 der Systemreparaturdatenträger (recdisc.exe, unterstützt nur CD-Brenner), wenn man keinen CD/DVD-Brenner hat oder eben eine ISO-Datei für VirtualBox und co. benötigt wird, einfach als Abbild erstellen.

Mögliche Probleme

Kein Licht ohne Schatten kann man sagen: Leider startet InfraRecorder nicht mehr bzw. stürzt ab, solange ein virtueller Brenner vorhanden ist. Ein simples “Unmount” im TotalMounter reicht zur Fehlerbehebung aus. Dieses Problem tritt nur auf, solange ein Abbild zum Schreiben eingehängt ist, bei nur lesendem Zugriff ist alles in Ordnung.

Und noch mehr …

TotalMounter kann neben dem lesenden und schreibenden Einhängen von CD/DVD-Abbildern zusätzlich noch Festplatten-Abbilder (IMG), VHD-Dateien und iSCSI-Disks (iSCSI-Initiator), die ersten beiden sogar verschlüsselt, erstellen, lesend und schreibend einhängen.

Es müssen nicht immer die Befehle ImageX und Dism von Microsoft sein, um Windows Imaging File (WIM)-Dateien zu bearbeiten. Möchte man Dateien extrahieren, aktualisieren oder hinzufügen kann man auf den Packer 7-Zip zurückgreifen.

Die aktuelle Stable-Version 9.20 unterstützt allerdings nur das Extrahieren von Dateien, mit der Beta-Version 9.38 können sowohl über die grafische Oberfläche als auch über die Kommandozeile WIM-Abbilder bearbeitet werden. Leider gilt das nicht für die “standalone console”-Variante von 7-Zip, beim Versuch eine Datei zu einem Abbild hinzuzufügen erscheint die Meldung “Error: c:\filename.wim is not supported archive”, trotz gleicher Versionsangabe von 9.38.

Danke an “der Maier” für diesen Tipp.

Windows 7 bietet eine schnelle und einfache Möglichkeit einen Systemreparaturdatenträger zu erstellen. Über den Menüpunkt “Start – Alle Programme – Wartung – Systemreparaturdatenträger erstellen” oder über den Befehl “recdisc.exe” startet ein Assistent, der mit wenigen Klicks eine CD erstellt.

Mit wenigen Mitteln lässt sich das zugrundeliegende WIM-Abbild ändern und den eigenen Bedürfnissen anpassen. Im Rahmen diesen Beitrags wurden die Skripte der Drive Snapshot-Rettungs-CD 2.0 angepasst und eingebunden.

Die Vorteile dieser Variante sind

• keine Installation von WAIK oder ADK notwendig,
• geringe Anforderungen, es wird lediglich das Archiv (siehe weiter unten) und 7-Zip benötigt,
• sehr schnelle Erstellung,
• die Systemwiederherstellungsoptionen von Windows sind integriert.

Die Nachteile sind

• weniger flexibel, d.h. der Systemreparaturdatenträger basiert auf der installierten Windows 7-Architektur, gemeint ist 32- oder 64-bit, es kann keine Auswahl getroffen werden.

Vorbereitung

• Installiertes 7-Zip 9.38 beta oder neuer (Hintergrund siehe Mit 7-Zip WIM-Abbilder bearbeiten).
• Das Archiv ds-rescue_w7_winre_10 herunterladen und den Inhalt in einen Ordner, z.B. “C:\Temp”, entpacken.
• Das Skript “create_winre.cmd” editieren und im Abschnitt “Konfiguration” ggf. folgende Zeilen anpassen:

rem Konfiguration

 rem WorkingDir
 
  set WorkingDir=C:\Temp
  cd %WorkingDir%

 rem Pfad zur "Winre.wim"

  set Winre-Path=c:\Recovery\16e05a4a-2670-11e3-83c8-a5f9ee4f1c85

 rem Pfad zu 7-Zip und verwendete Exe-Datei

  set SevenZip=%ProgramFiles%\7-Zip\7z.exe

Auf meinem Windows 7-Notebook fand sich die “Winre.wim” in dem Pfad, der im Skript angegeben ist. Allerdings ist gut möglich, das die Datei woanders liegt. Mit folgenden Befehl kann nach ihr suchen:

dir /a /s c:\winre.wim

Wenn man im Besitz einer Drive Snapshot-Lizenz ist, so kann man die Lizenzdatei in den Ordner “Rescue\Drive Snapshot” einfügen (Windows: Drive Snapshot aktivieren ohne Einfügen der Lizenzdaten).

Angepassten Systemreparaturdanträger erstellen

Das Skript “create_winre.cmd” mit erhöhten Rechten (Rechtsklick – “Als Administrator ausführen”) starten. Es öffnet sich ein Fenster der Eingabeaufforderung in dem das Skript abläuft, kurze Zeit nach dem Start öffnet sich der Assistent zur Erstellung der CD:

Sofern mehrere Brenner vorhanden sind, den gewünschten Auswählen und auf die Schaltfläche “Datenträger erstellen” klicken. Sobald der Datenträger erfolgreich geschrieben wurde, erscheint folgende Meldung:

Kurze Zeit nachdem dieser Dialog bestätigt wurde, ist das Skript beendet.

Tipp 1: Die CD entpsrechend beschriften!

Tipp 2: Möchte man eine ISO-Datei statt einer CD erstellen, vor dem Ausführen des Skripts den KernSafe TotalMounter installieren und einen virtuellen CD-Brenner anlegen. Läuft das Skript bereits, kann man an dieser Stelle dennoch den TotalMounter ausführen, man startet dann parallel zum laufenden Skript nochmals den Systemreparatur-Assistenten (Startmenü oder “recdisc.exe”) und wählt den virtuellen Brenner aus. Nach Abschluss des Brennvorgangs dann auf die Schaltfläche “Abbrechen” klicken.

Screenshot

Wie man in diesem Screenshot erkennen kann, wurde das Menü um Punkt 13 erweitert, der die Systemwiederherstellungsoptionen aufruft.

Quasi als Weiterentwicklung zum Beitrag Windows 7: Systemreparaturdatenträger inkl. Drive Snapshot erstellen folgt die Version für Windows 8.1. Im Gegensatz zu Windows 7 sind die Vorbereitungen etwas umfangreicher, da das WIM-Abbild in der Wiederherstellungspartition versteckt ist. Ferner unterstützt der Assistent nur USB-Laufwerke (Stick oder Festplatte).

Im Gegensatz zur Windows 7-Ausführung beinhaltet diese Version zwei Skripte, zum einen um mittels 7-Zip das WIM-Abbild zu bearbeiten und zum anderen um mit dem Bordmittel Dism. Beide Varianten haben ihre Vor- und Nachteile, in der Form das man entweder etwas mehr vorbereiten (7-Zip) oder mehr Zeit mitbringen (Dism) muss .

Vorbereitung

• Installiertes 7-Zip 9.38 beta oder neuer (Hintergrund siehe Mit 7-Zip WIM-Abbilder bearbeiten), nur notwendig, wenn man nicht die Dism-Variante verwendet”
• Das Archiv ds-rescue_w81_winre_10 herunterladen und den Inhalt in einen Ordner, z.B. “C:\Temp”, entpacken.
• Eine Eingabeaufforderung mit erhöhten Rechten starten. Die grafische Datenträgerverwaltung funktioniert dafür leider nicht (mehr).
• Mit folgenden Befehlen die Wiederherstellungspartition ermitteln und einen Laufwerksbuchstaben zuweisen:

diskpart
select disk 0 (vorausgesetzt Windows ist auf der ersten Festplatte installiert, andernfalls mittels "list disk" die Festplatte ermitteln)
list volumes
select volume 2 (die Nummer angeben, die der 300 bzw. 350 MB großen Wiederherstellungs- bzw. "System-reserviert"-Partition entspricht)
assign (es wird der nächste freie Laufwerksbuchstabe zugewiesen)
exit

Da sowohl das Verzeichnis als auch die Datei “Winre.wim” mit dem Attribut “Versteckt” versehen sind, wird im Explorer per Standard nichts angezeigt. Im Skript muss normalerweise nur der Laufwerksbuchstabe zu dieser Datei angepasst werden (siehe nächster Punkt).

• Das Skript “create_winre_7-Zip.cmd” oder “create_winre_dism.cmd” editieren und im Abschnitt “Konfiguration” ggf. folgende Zeilen anpassen:

rem Konfiguration

 rem WorkingDir
 
  set WorkingDir=C:\Temp
  cd %WorkingDir%

 rem Pfad zur "Winre.wim"

  set Winre-Path=F:\Recovery\WindowsRE

 rem Pfad zu 7-Zip und verwendete Exe-Datei

  set SevenZip=%ProgramFiles%\7-Zip\7z.exe

Wenn man im Besitz einer Drive Snapshot-Lizenz ist, so kann man die Lizenzdatei in den Ordner “Rescue\Drive Snapshot” einfügen (Windows: Drive Snapshot aktivieren ohne Einfügen der Lizenzdaten).

Angepasstes Wiederherstellungslaufwerk erstellen

Das Skript “create_winre_7-Zip.cmd” oder “create_winre_dism.cmd” mit erhöhten Rechten (Rechtsklick – “Als Administrator ausführen”) starten. Es öffnet sich ein Fenster der Eingabeaufforderung in dem das Skript abläuft, relativ kurze Zeit nach dem Start öffnet sich der Assistent zur Erstellung des Wiederherstellungslaufwerks:

ACHTUNG: Das USB-Laufwerk wird vom Assistenten formatiert! Es sollten sich folglich keine (wichtigen) Daten darauf befinden.

Da wegen des Umstandes das unter Windows 8.1 das WIM-Abbild auf der “System-reserviert/Wiederherstellungspartion” untergebracht und dort nicht allzuviel Platz vorhanden ist, muss die Datei erst umkopiert werden. Das verlängert die Laufzeit des Skripts.

Gegenüber dem Windows 7-Pendant gelang es diesmal nicht, mittels KernSafe’s TotalMounter weder als Image Disk noch VHD den Assistenten auszutricksen. Etwas kurios wirkt allerdings, das unter Hyper-V gar keine Laufwerke, aber wiederum unter VirtualBox die lokalen (virtuellen) Festplatten als Ziel angeboten werden.

Anmerkungen

Leider hat sich ab Windows 8.x das “Rettungsmedium” erheblich geändert. Unter der Haube ist die Unterstützung von aktuellerer Hardware wie z.B. USB 3.0 hinzugekommen, ferner wird keine CD sondern ein bootfähiger USB-Stick erstellt. Auf der anderen Seite gibt es kein kompaktes Menü mehr, sondern die Windows 8.x-typische Vollbild-App (Fenster-/Rahmenlos) mit recht verschachtelter Menüführung.

Tipp: Hat man das “Recovery Enviroment” gestartet und möchte wieder zurück ins Menü ohne den Computer neu starten zu müssen, so besteht der einfachste Weg darin, eine Eingabeaufforderung zu öffnen.

Bei der Arbeit am Beitrag Windows 8.1: Wiederherstellungslaufwerk inkl. Drive Snapshot erstellen kam die Fehlermeldung “Zugriff verweigert” bei dem Versuch die vorhandene Datei “winpeshl.ini” aus dem “Winre.wim”-Abbild zu bearbeiten.

Nach einigem ausprobieren zeigte sich, das weder ändern (“echo … > winpeshl.ini”), löschen (“del …”) oder überschreiben (“copy …”) erfolgreich sind. Unterschiedliche Befehle zum Mounten des Wim-Abbilds (Dism und ImageX) änderten ebenfalls nichts. Dafür gab es die Erkenntnis, das Microsoft ein aktuelleres Dism mit Windows 8.1 ausliefert, als es mit dem entsprechenden ADK tut:

Windows 8.1 - Dism
Tool zur Imageverwaltung für die Bereitstellung
Version: 6.3.9600.17031

Windows 8.1 ADK - Dism
Tool zur Imageverwaltung für die Bereitstellung
Version: 6.3.9600.17029

Windows 8.1 ADK - ImageX
ImageX Tool for Windows
Version: 6.3.9600.17095

Anhand der Versionsnummer kann man spekulieren, das ImageX und Dism näher mit einander verwand sind, als man zunächst meinen könnte.

Das Dism- als auch die Ereignisprotokolle lieferten keine weiteren Erkenntnisse. Eine Kontrolle der Berechtigungen förderte ebenfalls nichts zu Tage. Ein Ändern der Rechte war ebenfalls nicht möglich, ganz gleich ob über via GUI oder der Kommandozeile.

Selbst nach dem Herauskopieren der Datei oder des gesamten Inhalts des Abbilds bestand das Problem weiterhein. Kurzum: Echt hartnäckig.

Lösungswege

Letztlich konnten zwei Lösungen erarbeitet werden:

ren Mount\Windows\System32\winpeshl.ini winpeshl.ini.bak
copy Windows\System32\winpeshl.ini Mount\Windows\System32\winpeshl.ini

Im Skript “create_winre_dism.cmd” zum eingangs genannten Beitrag half das Umbenennen der Original-Datei und ein anschließendes (rein)kopieren der angepassten Version.

Warum aber ausgerechnet Umbenennen funktioniert der Rest allerdings nicht bleibt ein Rätsel und wirkt in diesem Kontext durchaus ironisch.

Mit 7-Zip (9.38 beta) besteht dieses Problem im übrigen nicht.

Im Windows-Netzwerk sollte die SID, die Sicherheitskennung des Computers, eindeutig sein, um unnötige Probleme oder gar Sicherheitsrisiken zu vermeiden (Link). Der von Microsoft vorgegebene Weg um einem Windows-Computer eine neue SID zu geben besteht in der Ausführung von “sysprep /generalize”.

Warum nicht Sysprep?

Im Grunde ist nichts gegen Sysprep einzuwenden. Allerdings wird nicht einfach nur eine neue Sicherheitskennung generiert, sondern auch verschiedene weitere Änderungen vorgenommen. Letzteres ist beim Klonen von Computern nicht immer erwünscht. So manche (vorinstallierte) Anwendung steckt tiefgreifende Änderungen am System oder eine durch Sysprep angestossene Quasi-Neuinstallation nicht unbedingt weg.

Alternativen zu Sysprep

Für Windows NT4.0 bis XP gab es seinerzeit vor der Übernahme durch Microsoft von Sysinternals das Tool NewSID, mit dessen Hilfe sowohl eine neue eindeutige SID generiert oder eine SID von einem anderen Computer umkopiert werden konnte. Das war zwar nicht immer problemfrei, i.d.R. gab es Probleme mit Windows Updates oder WSUS, erleichterte aber dennoch das Verteilen von fertigen Installations-Abbildern erheblich.

Als Alternative zu Sysprep und NewSID kann das kommerzielle Tool SIDCHG von Stratesave Systems betrachtet werden. SIDCHG steht als Kommandozeilen-Anwendung sowohl für 32-bit (SIDCHG) als auch 64-bit (SIDCHG64) Windows zur Verfügung. Zum Testen gibt es eine Trial-Version, der dazugehörige Lizenzschlüssel wird monatlich in Form eines Bildes auf der Homepage veröffentlicht.

Der Lizenzschlüssel kann sowohl direkt bei der Ausführung als auch via Parameter (“/KEY:”) angegeben werden. Das Tool lässt sich vollständig automatisieren und bietet alle relevanten Einstellungsmöglichkeiten wie z.B. das Ändern des Computernamens an. Darüber hinaus kann die SID von einem Offline-Windows über die Angabe des Installations-Ordners geändert werden:

/OS: Windows-directory (e.g C:\Windows) of OS to modify, if not running OS

Im Gegensatz zu NewSID wird unter anderem die WSUS ID geändert. Die Windows-Produktaktivierung wird hingegen nicht angetastet. Der Hersteller verweist dazu auf den Microsoft-Befehl

slmgr -rearm

um einen neuen Produktschlüssel eingeben und eine Aktivierung durchführen zu können.

Anbei ein Screenshot von der Ausführung auf einem Windows 8.1 Pro-Computer:

Ob die SID geändert wurde kann mit PsGetSid überprüft werden:

Vorher:

SID for \\COMPUTERNAME:
S-1-5-21-4055355738-2900492474-2529473953

Nachher:

SID for \\COMPUTERNAME:
S-1-5-21-294120173-2056661379-3573357989

Download

SIDCHG kann direkt auf der Hersteller-Homepage heruntergeladen werden. Es reicht aus im Formular den Haken bei “SIDCHG/SIDCHG64″ zu setzen und auf die Schaltfläche “Continue” zu klicken. Im Anschluss gelangt man zu den eigentlichen Download-Links.

Preise

Die Preise beginnen bei 49.00 US$ für eine neue private Lizenz. Firmen-, Schul- als auch Upgrade-Lizenzen stehen ebenfalls zur Verfügung.

Kagi – Stratesave

Nach dem Update auf VirtualBox 4.3.28 auf meinem Windows 8.1-Notebook streikte das Starten von virtuellen Maschinen mit folgender Meldung:

Diesen Fehler hatte ich vor ein paar Wochen ebenfalls nach einem Update auf einem unserer PCs ebenfalls erhalten. Recht eindeutig ein Problem mit dem Treiber “vboxdrv”. Fragt man wie in der Fehlermeldung vorgschlagen den Status ab, erhält man dieses Ergebnis:

Der Treiber läuft schlichtweg nicht (“STATE: 1 STOPPED”). Damit stellt sich die Frage nach dem warum, die wiederum mit einem Blick ins Ereignisprotokoll beantwortet wird:

Kurzum: Die Treiberdatei wird nicht gefunden. Warum das so ist klärt eine Prüfung des entsprechenden Eintrags in der Registry unter

HKLM\System\CurrentControlSet\VBoxDrv

Die Fragezeichen im Eintrag “ImagePath” sind durchaus verdächtig. Wo aber liegt die Treiber-Datei denn nun. Eine Suche liefert folgendes Ergebnis:

Es gibt zwei relevante Speicherorte (siehe Markierung). Welchen man nehmen soll zeigt ein Blick in die weiteren VBox…-Einträge in der Registry. Zutreffend ist demnach:

\SystemRoot\system32\DRIVERS\VboxDrv.sys

Grundsätzlich (und erfahrungsgemäss) funktionieren beide Pfade.

Nachdem die Änderung vorgenommen wurde, kann der Treiber in einer Eingabeaufforderung mit erhöhten Rechten wie folgt gestartet werden:

sc start vboxdrv

Ein “net start vboxdrv” funktioniert (vermutlich, ungetestet) ebenso. Ein Neustart des Computers ist nicht notwendig. Nun können die virtuellen Maschinen wieder gestartet werden.

Mit Hilfe eines Windows 8.1-Installationsmediums lässt sich eine Drive Snapshot-Rettungs-CD erstellen. Im wesentlichen wird der relevante Windows PE-Teil samt Boot-Dateien kopiert und die “Boot.wim” entsprechend angepasst.

Voraussetzungen

Eine ISO-Datei des Windows 8.1-Installationsmediums. Es genügt die Evaluierungsversion, sollte man keine DVD bzw. ISO zur Hand haben.

Hinweis: Mit entsprechender Anpassung kann man das im Download enthaltene Skript auch mit einer DVD verwenden.

Installierte Bereitstellungstools aus dem Windows 8.1 ADK. Hauptsächlich geht es um das Tool “oscdimg.exe” welches zum Erstellen der ISO-Datei benötigt wird.

Das Archiv ds-rescue_w81_10.zip herunterladen, entpacken (z.B. unter “C:\Temp”), die Datei “create_w81.cmd” editieren und folgende Zeilen im Abschnitt “Konfiguration” der eigenen Umgebung entsprechend anpassen:

rem Konfiguration

 rem WorkingDir
 
  set WorkingDir=C:\Temp
  cd %WorkingDir%

 rem Pfad und Name der ISO-Datei 

  set ISO-File=C:\Users\%username%\Downloads\share\Win81_Enterprise_x64_Eval.ISO
  
 rem Architektur festlegen (x86/amd64)
 
  set Arch=amd64

 rem "oscdimg.exe" festlegen

  if %Arch%==x86 set Oscdimg-Path="C:\Program Files (x86)\Windows Kits\8.1\Assessment and Deployment Kit\Deployment Tools\x86\Oscdimg"
  if %Arch%==amd64 set Oscdimg-Path="C:\Program Files (x86)\Windows Kits\8.1\Assessment and Deployment Kit\Deployment Tools\amd64\Oscdimg"

Hauptsächlich müssen die Pfade angepasst werden!

Angepasste ISO-Datei erstellen

Das Skript “create_w81.cmd” mit erhöhten Rechten ausführen. Sobald das Skript durchgelaufen ist, kann die ISO-Datei auf DVD gebrannt oder innerhalb einer Virtualisierungsumgebung verwendet werden. Parallel dazu liese sich mit der ISO ein bootfähiger USB-Stick erstellen.

Anmerkungen und Erkenntnisse

Das Skript wurde bislang nur unter Windows 8.1 64-bit getestet. Grundsätzlich sollte es für 32-bit ebenso funktionieren. Wegen der Unterschiede in den Bordmitteln kann das Skript in dieser Form nicht unter Windows 7 verwendet werden.

Eine Erkenntnis die sich aus der Arbeit an diesem Beitrag ergeben hat ist folgende: Die “Boot.wim” enthält zwei Abbilder:

Tool zur Imageverwaltung für die Bereitstellung
Version: 6.3.9600.17031

Details für Image: "ISO\sources\boot.wim"

Index: "1"
Name: "Microsoft Windows PE (x64)"
Beschreibung: "Microsoft Windows PE (x64)"
Größe: 1.260.310.671 Bytes

Index: "2"
Name: "Microsoft Windows Setup (x64)"
Beschreibung: "Microsoft Windows Setup (x64)"
Größe: 1.358.202.625 Bytes

Wie sich während der Tests herausgestellt hat, wird direkt in das Setup (Index: “2”) gebootet, daraus ergibt sich, das entsprechend dieses Abbild durch das Skript bearbeitet wird. Ein Versuch mit dem vorhandenen Windows PE zu arbeiten scheiterte mehrfach. So war eine ISO die aus dem Export des ersten Abbilds (Index: “1”) erstellt nicht vollständig startfähig, es endete in einem Bildschirm mit Darstellungsfehler.

Eigentlich sollte es per PowerShell möglich sein, den Laufwerksbuchstaben der bereitgestellen ISO-Datei zu ermitteln. Leider funktionierte keiner der versuchten Wege als auch keine Lösung die sich im Netz fand. Von daher kam folgender verwendeter workaround zum Einsatz:

rem Den Laufwerksbuchstaben der ISO-Datei erfassen

 PowerShell Get-Volume | find "UDF" > %WorkingDir%\Volumes.txt
 set /p DriveLetter=< Volumes.txt
 set DriveLetter=%DriveLetter:~0,1%
 del %WorkingDir%\Volumes.txt /q

Bei der Suche nach dem Performance-Problem im Blog bin über das WordPress-Plugin P3 (Plugin Performance Profiler) gestolpert, dieses liefert Auskunft darüber, welche Erweiterungen wie viel Zeit benötigen.

Die Ergebnisse sind durchaus interessant, der Scan kann sowohl auf die Startseite als auch einzelne Beiträge oder Seiten angewendet werden.

Einen lesenswerten Artikel zum Thema Skype und deren AGB wie auch Datenschutz-Angaben gibt’s auf BASIC thinking. Parallel dazu ein Hinweis, wie man schnell und einfach die Werbung innerhalb von Skype blockieren kann.

Es genügt, die Adresse

rad.msn.com

zu sperren bzw. ins Nirvana umzuleiten. Unter Windows geht letzteres schnell und einfach über einen entsprechenden Eintrag in der hosts-Datei, die mit erhöhten Rechten bearbeitet werden muss. Einfach folgende Zeile hinzufügen, die Änderung speichern und Skype neu starten:

127.0.0.1        rad.msn.com

Insgesamt sieht die Datei z.B. so aus:

Wer einen “anständigen” Firewall-Router sein eigenen nennt, kann die Domain gleich für’s gesamte Netzwerk sperren.

Interessant kann sein, sich die Netzwerkzugriffe (z.B. via SmartSniff, CurrPorts oder TcpLogView, jeweils von NirSoft) von Skype vor und nach der Änderung anzusehen. Vorher werden wesentlich mehr Server kontaktiert, was nicht weiter verwunderlich ist, da (so vermute ich) zunächst Skype von MSN eine Liste der Werbepartner abholt und diese dann direkt anspricht.

Quelle

felgi – Skype-Werbung blocken

Bei einem Kunden wurde ein neuer PC mit Windows 7 Professional in eine Domäne auf Basis von Windows Server 2003 integriert. Beim Abmelden des Benutzers erschien dabei immer die Meldung, daß das Benutzerprofil nicht vollständig synchronisiert wurde.

In den Ereignisprotokollen auf dem Server fand sich nichts außergewöhntliches, aber auf dem betroffenen Computer hingegen schon:

Die Meldung das nicht genügend Speicherplatz zur Verfügung steht ist allerdings irreführend, da es auf dem Server genug Platz gibt und keine Kontingente verwendet werden. Das Benutzerprofil hat zwar eine gewisse Größe, allerdings sind alle Ordner mit erheblichen Datenmengen von der Synchronisation ausgeschlossen (siehe dazu Windows: Ordner aus servergespeicherten Profilen ausschließen).

Da auf dem alten Computer Windows XP verwendet wurde, konnte auch nicht das alte Profil der Grund sein (Hintergrund: Ab Windows Vista verwendet Microsoft Benutzerprofile der Version zwei, zu erkennen an der Endung “USERNAME.V2″ bei servergespeicherten Profilen).

Ein zweiter Versuch mit einem weiteren neuen Benutzerprofil führte zur gleichen Meldung. Abhilfe schuf letztlich, das Profil in ein lokales Profil umzuwandeln und anschließend wieder servergespeichert zu machen:

Zwischen den einzelnen Änderungsschritten folgte jeweils eine Ab-/Anmeldung.

Mitunter geht es schneller und vor allem (erschreckend) einfacher als man denkt, das man eine Ordner-Struktur mit 255 Zeichen und mehr hat. Das kann je nach Anwendung zu unangenehmen Problemen führen.

Nicht nur Dritt-Anwendungen auch Windows bzw. Dienstprogramme davon können so ihre Probleme damit haben. So streikt zum Beispiel der Explorer beim Kopieren entsprechender Strukturen, das passiert auch wenn man aus den Schattenkopien (Vorgängerversionen wiederherstellen) Daten kopieren und wiederherstellen möchte.

Bei der Eingabeaufforderung streikt z.B. xcopy, wenn gleich mit der irreführenden Fehlermeldung, das man nicht genug Arbeitsspeicher hätte. Ein aktuelles Fallbeispiel einer Drittanwendung kann die Backup-Funktion von deltra’s orgaMAX genannt werden. Diese meldet leider nur

Gespeicherte Dokumente:
-----------------------
Es konnten nicht alle Dokumente kopiert werden.

In diesem Abschnitt ist 1 Fehler aufgetreten

Nicht sehr aussagekräftig und man fragt sich zunächst, woran es genau hängt.

robocopy wiederum kommt mit “überlangen” Pfade ohne weiteres klar.

Wie lassen sich zu lange Pfade ermitteln?

Um auf die Schnelle zu lange Pfade ermitteln zu können, kann z.B. die Freeware Path Scanner verwendet werden. Man muss nur den Ausgangspunkt und die maximale Länge festlegen. Dadurch kann man sich problematischen Ordnern nähern. Die Auswahl kann markiert und exportiert werden. Eine direkte Änderung über das Programm ist nicht möglich. Vorausgesetzt wird lediglich .NET Framework 2.0 oder höher.

Tipp: Wer die Anwendung nicht installieren möchte, der kann das Setup mit Universal Extractor entpacken und die “pathscan.exe” direkt ausführen.

Auf der kommerziellen Seite und mit mehr Funktionen gibt es Jam Software’s TreeSize sowohl in der Personal als auch Professional Edition (von mir ungetestet).

Quellen

tobias-hartmann.net – IT Blog – xcopy – Nicht genügend Arbeitsspeicher vorhanden

Die Datensicherung der Bürosoftware orgaMAX lässt sich einfach automatisieren. Leider bietet das Tool keine Benachrichtigungsmöglichkeit, ob die Datensicherung erfolgreich oder fehlerhaft war.

Im Handbuch ist ab Seite 800 alles notwendige zur Automatisierung beschrieben. Letztlich reicht folgende Befehlszeile aus:

"C:\orgaMAX\mfbck.exe" A "D:\Backup orgaMAX" true true true "D:\Backup orgaMAX\Logs" true

Die Bedeutung der einzelnen Parameter ist ebenfalls im Handbuch ab Seite 806 beschrieben:

A für Automatische Datensicherung
Backup-Ziel
1. true/false für Dokumente sichern
2. true/false für Archiv sichern
3. true/false für Protkoll sichern
Pfad zur die Fehlerlogs
true/false für Zeichnungen sichern
...

Im obigen Beispiel werden alle Nutzdaten von orgaMAX gesichert.

Das Backup-Programm gibt keinen Errorlevel zurück, so das man diesen nicht auswerten kann. Ferner wird ein Log nur geschrieben, wenn ein Fehler auftritt:

Kein Log = Alles ok
Vorhandes Log = Fehler

Eine Prüfung auf Fehler kann also schlicht auf Basis des Vorhandenseins von *.log-Dateien im angegebennen Ordner erreicht werden:

if exist "D:\Backup orgaMAX\Logs"\*.log echo %date% - %time% - Fehler bei der orgaMAX-Datensicherung > "D:\Backup orgaMAX\Logs"\error.txt

Ist ein oder mehrere Logs vorhanden, dann erstelle die “error.txt”. Nun kann man mit einer Monitoring-Lösung wie z.B. Server-Eye eine Prüfung durchführen lassen, ob die “error.txt” existiert und falls das so ist einen Alarm auslösen.

Eine weitere Möglichkeit besteht darin, eine E-Mail mittels smtpsend, blat, … etc. versenden zu lassen.

Tipp: Um das Backup-Ziel (USB-Festplatte, etc.) nicht mit alten Sicherungen volllaufen zu lassen, kann man z.B. mit DelAge32 alle x Tage aufräumen lassen:

delage32.exe "D:\Backup orgaMAX\*.*" 2 /recurse

In diesem Fall reichen zwei Tage aus, da via Drive Snapshot sowieso der Computer gesichert wird und mehrere Wochen extern gespeichert werden.

Mit den Bordmitteln der Bürosoftware orgaMAX lassen sich je nach Umfang schnell, einfach und auf Wunsch automatisiert Datensicherungen erstellen. Möchte man z.B. nur ein einzelnes Dokument aus der Datensicherung wiederherstellen oder kopieren, so geht das mit den integrierten Möglichkeiten leider nicht, da dort nur eine vollständige Wiederherstellung vorgesehen ist.

orgaMAX erstellt bei der Datensicherung Dateien mit der Endung *.mfb. Da es sich dem Anschein nach um Zip-Archive handelt, lassen sich diese Dateien z.B. mit 7-Zip ohne Probleme öffnen und Dateien wie Ordner kopieren bzw. extrahieren oder entpacken.

Benennt man die Datensicherung um oder fügt als (zusätzliche) Dateiendung “.zip” hinzu, so lässt sich die Datei mit den Windows-Bordmitteln öffnen.

Je nach Datenmenge kann es im Gegensatz zu 7-Zip bei Windows allerdings eine Weile dauern, bis das neue Explorer-Fenster geöffnet ist und der Inhalt angezeigt wird.

Seit ein paar Tagen ist die Version 13.2 von G Data Antivirus Business erhältlich, in Kombination mit Thinstuff XP/VS Server (und vermutlich weiteren Terminalserver-Lösungen) gibt es leider ein Problem.

Eine der Änderungen bei G Data ist die Funktion USB Keyboard Guard, die eine Manipulation oder Kompromitierung eines Computers durch entsprechend präparierte USB-Geräte verhindern soll. In der Voreinstellung ist die Funktion deaktiviert, allerdings scheint diese unserer Beobachtung nach dennoch irgendwie zu greifen.

Auf einem Terminalserver auf Basis von Microsoft Windows 8.1 Pro 64-bit mit Thinstuff XP/VS Server 1.0.736 funktioniert ab dem dritten angemeldeten Benutzer keine Tastatur innerhalb der Remotedesktopverbindung. Die ersten zwei angemeldeten Benutzer können allerdings wie gewohnt arbeiten und mit der Maus gibt es keine Probleme.

Wir haben sowohl den deutschen Thinstuff-Support als auch G Data entsprechend kontaktiert. Neustarten, De- und erneutes Installieren der Thinstuff- oder G Data-Software, die Lösung von

Spcieworks – Keyboard not working in Windows 7 RDP session

als auch das Deaktivieren oder explizite Setzen von NLA schaffen keine Abhilfe:

Thinstuff FAQ – NLA and Windows 8 / 8.1

Aktuell scheint nur die Deinstallation des G Data Clients zu helfen:

ProNego – Deinstallation G DATA AntiVirus Client manuell

Sobald eine andere Lösung bekannt ist, wird dieser Beitrag aktualisiert.

Die Lösung (Stand: 26.05.2015 – 18:47 Uhr) scheint folgende Änderung in der Registry zu sein:

Im Schlüssel

HKLM\System\CurrentControlSet\Control\GDKeyboard Guard

einen neuen DWORD-Eintrag mit folgenden Angaben anlegen:

Name: GDKBDisabled
Wert: 1

Anschließend den Computer neu starten.

Nicht davon irritieren lassen, das im gleichen Schlüssel ein Eintrag “Disabled” mit dem Wert “1” steht.

Vielen Dank an den G Data Business Support der zügig auf unsere E-Mail reagiert hat.

Hinweis: In den Consumer-Produkten ist “USB Keyboard Guard” per Standard aktiviert, dort muss für jeden neuen Remotedesktopbenutzer scheinbar einmalig das “Remote Keyboard” bestätigt werden, danach gibt es bislang kein Probleme.

Wieso eigentlich ab dem dritten Benutzer?

Folgendes ist rein spekulativ, aber wir vermuten, das man bei G Data von einer lokal verbundenen Tastatur als auch einer RDP-Tastatur (pro Benutzer) ausgeht.

Update 27.05.2015

Auf Nachfrage konnte G Data noch keine Auskunft darüber geben, ob die Problematik alle bzw. andere Terminalserver-Lösungen (inkl. die “regulären” auf Basis von Windows Server mit den entsprechenden Rollen oder Citrix usw.) betrifft. Man empfiehlt aktuell das Update auf 13.2 bei Terminalservern nicht durchzuführen, bis die Entwicklungsabteilung den Sachverhalt geklärt hat.

Für ein paar Kunden war die Verwendung der Rotationssicherung mit Drive Snapshot unpassend, da die betroffenden Computer nicht jeden Tag in Betrieb sind. Bei einem Kunden sollte die Sicherung zwar automatisch beim Herunterfahren ausgeführt werden, allerdings nur Differentiell, bei einem anderen Kunden wird die Sicherung nicht per Aufgabe, sondern manuell ausgeführt. Für beide Szenarien war nachfolgendes Skript die Basis.

Versions-basiert bedeutet in diesem Kontext, das die erste Sicherung eine Vollsicherung ist und alle nachfolgenden immer differentiell.

Das aktuelle Skript erstellt zunächst eine Vollsicherung, danach entsprechend der Angabe bei

set NumberOfVersionsToKeep=15

differentielle Sicherungen. Ist das Limit erreicht wird der vorangegangene Sicherungs-Satz umbenannt (Präfix “Pre_”) und ein neuerer Satz erstellt. Daraus folgt: Es gibt zwei Vollsicherungen zzgl. die jeweiligen differentiellen Sicherungen.

Eine weitere Änderung gegenüber dem Rotationssicherungs-Skript besteht in der Änderung beim Parameter “-L0″ und dem hinzufügen der Paramter “–CreateDir –FullIfHashIsMissing”. Ferner ist mit “set exclude=” eine Vorbereitung für Ausschlüsse vorbereitet.

DS_Version_v1

• Den Inhalt des Archivs z.B. unter “C:\Backup” extrahieren.
• Die Datei “backup.cmd” und ggf. “Version.txt” den eigenen Ansprüchen entsprechend anpassen.

Versucht man als Benutzer ohne administrative Rechte unter Windows eine virtuelle Maschine zu starten, so erhält man unter Umständen eine Meldung, das der Treiber “VboxDrv” nicht läuft. Nicht zu verwechseln ist diese Meldung mit dem Fehler, wenn der Treiber nicht geladen werden konnte (siehe Windows: VirtualBox – Virtuelle Maschinen starten nicht (0xc0000034)).

Hintergrund dieser Situation ist, das die Kontrolle über Dienste und Treiber, also Befehle wie z.B. Start oder Stop, administrativen Benutzern vorbehalten ist. Nach der Installation von VirtualBox ist als Starttyp für den Treiber “VboxDrv” möglicherweise auf “Manuell” eingestellt. Das bedeutet, der Treiber wird bei Bedarf geladen bzw. gestartet. Soweit so gut, möchte das aber nun der gemeine Benutzer tun, scheitert dies mit der Meldung “Zugriff verweigert”, das geht allerdings nicht aus der VirtualBox-Fehlermeldung hervor.

Prüft man in einer Eingabeaufforderung ohne erhöhte Rechte mit

sc query vboxdrv

den Status, so stellt man fest, das der Treiber nicht läuft. Versucht man in der gleichen Eingabeaufforderung den Treiber zu starten, bekommt man “Zugriff verweigert” als Rückmeldung:

sc start vboxdrv

Mögliche Lösungen

Der naheliegenste Gedanke ist, schlichtweg den Treiber auf automatischen Start zu konfigurieren. Dies kann man auf mehreren Wegen mit erhöhten Rechten bzw. als Administrator tun:

Ein sehr bequemer grafischer Weg besteht in der Verwendung von Nir Sofer’s ServiWin.

• ServiWin herunterladen, entpacken und als Administrator (Rechtsklick …) starten.
• Den Treiber “VBoxDrv” auswählen, mit der rechten Maustaste anklicken und im Kontextmenü “Change Startup Type” “Automatic” besser “System” auswählen.

Hintergrund der unterschiedlichen Modi ist, das im Fehlerfall bei “Automatic” das System einen Neustart macht, bei “System” läuft der Startvorgang von Windows weiter und es erscheint lediglich eine Fehlermeldung.

Mit Bordmitteln kann man z.B. den entsprechenden Wert in der Registry ändern:

Regedit mit erhöhten Rechten ausführen. Zu

HKLM\System\CurrentControlSet\VBoxDrv

wechseln und den Wert von “Start” von “3” auf “1” ändern.

Ab dem nächsten Start des Computers wird er Treiber automatisch (mit)gestartet.

Schneller und einfacher geht es mit dem Befehl

sc config vboxdrv start=system

der in einer Eingabeaufforderung mit erhöhten Rechten ausgeführt wird.

Weitere Lösungswege

VirtualBox mit erhöhten Rechten, z.B. via Rechtsklick “Als Administrator ausführen”, starten wäre eine Option, allerdings auf die Dauer dürfte das Eingeben des entsprechenden Kennworts auf die Dauer störend sein.

Alternativ müsste dem Benutzer, besser der entsprechenden Gruppe (evtl. extra zu diesem Zweck eine anlegen), das Recht gewährt werden, Dienste bzw. Treiber starten zu dürfen.

In älteren Windows-Versionen konnte man als relativ einfache Konfigurationsmöglichkeit zu “Subinacl.exe” (MS Support Artikel / Download) greifen. Leider wird dieses Tool nicht mehr weiterentwickelt und von Microsoft nicht mehr unterstützt. Ferner kann es unter neueren Windows-Versionen (7, 2008 oder höher) zu Problemen kommen. Der vollständigkeit halber sei erwähnt, das dieser Beitrag auf Windows 8.1 beruht.

Als aktuellere aber leider nicht ganz trivial verwendbare Lösung kann SetACL von Helge Klein verwendet werden.

Hinweis: Das Ändern der Dienste- bzw. Treiber-Berechtigungen wurde im Rahmen dieses Beitrags nicht getestet!

Persönliche Bemerkung

Beim Vergleich von drei Computern fanden sich drei verschiedene Starteinstellungen des “VBoxDrv”, wie das zustande kommt bleibt offen. Möglicherweise liegt es an der Art, wie VirtualBox installiert wurde. Damit ist gemeint, ob die Setup-Datei vom Benutzer gestartet und dann via UAC-Abfrage erhöhte Rechte erlangt wurden oder ob gleich als Administrator die Installation ausgeführt wurde.