Bei einem Kunden bestand die Anforderung alle Benutzer zu einem bestimmten Zeitpunkt vom Terminalserver abzumelden. Die gängigen Mittel wie z.B. nach einer gewissen Leerlaufzeit abmelden waren für das Szenario unpassend, da es zwar eine Kernarbeitszeit gibt, aber auch flexible Arbeitszeiten als auch Außendienstmitarbeiter, die sich mit dem System verbinden, wann Sie können. Darüber hinaus meldet sich nicht jeder Benutzer ab, teilweise wird bewusst oder bei schlechter Verbindung die Sitzung nur getrennt (z.B. wenn man auf dem Weg zum nächsten Termin ist und/oder später an gleicher Stelle weiterarbeiten möchte oder das mobile Internet nicht gerade der „Hit“ ist).

Wieso eigentlich alle Benutzer abmelden?

Diese Frage ist schnell beanwortet: Die beim Kunden eingesetzte Branchenlösung verlangt zum Zeitpunkt der Datensicherung, das niemand mit der Datenbank verbunden ist. Schattenkopie (VSS) o.ä. kennt diese Anwendung nicht. Eine Option wäre nun alle entsprechenden Prozesse zu beenden oder eben alle Benutzer abzumelden. Letzteres erschien als die bessere Lösung, da man Sie mit weiteren Befehlen kombinieren kann (siehe weiter unten) und man so sicher sein kann, das nicht doch etwas „hängen“ bleibt.

Seitens der Bordmittel von Microsoft gibt es den Befehl „logoff“ den man zum Abmelden verwenden kann, dieser erwartet allerdings die Angabe eines Sitzungsnamens oder einer Sitzungs-ID. Beides kann über den Befehl „query session“ („query user“ würde wahrscheinlich genauso funktionieren), ermittelt werden. Leider gibt es bei „logoff“ keine Wildcard, damit alle Benutzer auf einmal abgemeldet werden können.

Die Lösung

Mit AutoIt wurde ein Skript bzw. Tool entwickelt, das den Befehl „query session“ ausführt, aus der Ausgabe die Sitzungs-ID ermittelt und alle aktiven wie auch getrennten Sitzungen abmeldet.

Download (WTS-LogOff-AllUsers_v2.zip)

(64-bit Version [32-bit kann kompiliert werden], Quellcode)

Hinweise: Das Tool meldet die Benutzer ohne jede Vorwarnung ab! Führt man das Tool z.B. als Administrator aus, so wird dieser nicht abgemeldet. Wird das Tool mittels Aufgabe ausgeführt, so wird, sofern angemeldet, selbst der Benutzer abgemeldet, dessen Anmeldedaten für die Aufgabe verwendet werden!

Entwickelt und getestet wurde unter Windows 7 Professional 64-bit das mit einer entsprechenden Lösung zum Terminalserver gemacht wurde, beim Kunden ist ein Windows Server 2012 Standard (64-bit) mit RDS-Rolle im Einsatz. Andere Lösungen sollten ebenso funktionieren, sind allerdings nicht getestet.

Für den Fall, das man zunächst testen möchte, welche Sitzungen abgemeldet werden, kann im Quellcode die Zeile 68 auskommentieren und die Zeile 70 einkommentieren, dadurch wird das Abmelden deaktiviert und stattdessen erscheint eine MessageBox mit Sitzungs-ID, die abgemeldet werden würde.

Kombination mit weiteren Befehlen

Das hier vorgestellte Skript bzw. das daraus resultierende Tool kann z.B. mit den Befehlen

• change logon /disable (neue Anmeldungen verweigern) und
• change logon /enable (Anmeldungen wieder zulassen)

kombiniert werden. Man könnte folgenden Ablauf realisieren:

1. Neue Anmeldungen verweigern.
2. Alle aktiven oder getrennten Sitzungen beenden.
3. Datensicherung/Wartung/… durchführen.
4. Anmeldungen wieder zulassen.

Rechzeitig zum Support-Ende von Windows Server 2003 (inkl. Small Business Server 2003) und Exchange Server 2003 stellt EBERTLANG das PDF MDMigrator Guide – von Exchange zu MDaemon in wenigen Schritten für den MDaemon Messaging Server bereit.

Auf 11 Seiten wird Schritt-für-Schritt erklärt, welche Voraussetzungen notwendig sind, welche Vorbereitungen getroffen werden müssen und wie die eigentliche Migration abläuft um von einem Exchange Server 2003, 2007 oder 2010 zu MDaemon zu wechseln.

Persönliche Bemerkung

Ein paar Screenshots des Migration Guides stammen von diesem Blog (siehe entsprechende Copyright- und Quellen-Angaben). EBERTLANG hat im Vorfeld freundlich um Erlaubnis gefragt, die ich gerne erteilt habe. An dieser Stelle möchte ich mich für die gute Zusammenarbeit gedanken.

Eine Möglichkeit der Migration hatte ich ebenfalls vor längerer Zeit im Rahmen dieses Blogs beschrieben:

Windows: Migration von Windows Small Business Server 2003 zu Alt-N MDaemon Messaging Server Pro

Eine der Vorteile im Domänen-Netzwerk besteht darin, das der Administrator auf die administrativen Freigaben, z.B. „\\hostname\c$“, von Computer zugreifen kann. Ferner können Remote-Zugriffe auf die Registry oder das Ausführen einer Remote-Shell (z.B. („PsExec \\hostname cmd“) erfolgen.

Befinden sich die Computer allerdings in einer Arbeitsgruppe oder wenn es Computer in einem Domänen-Netzwerk gibt, die nicht Mitglied der Domäne sind (z.B. Außendienst-Notebooks), so funktionieren die genannten Möglichkeiten nicht.

Abhilfe schafft eine Änderung in der Registry:

• „regedit“ öffnen.
• Zu folgenden Schlüssel wechseln:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

• Einen neuen DWORD (32-bit)-Eintrag mit folgenden Werten erstellen:

Name: LocalAccountTokenFilterPolicy
Wert: 1

• Den Computer neustarten.

Windows-Firewall anpassen

Damit die Zugriffe erfolgreich sind, müssen diverse Regeln in der Windows-Firewall angepasst werden:

• Zugriff auf die administrativen Dateifreigaben (C$, D$ usw., gilt auch für das Ausführen von z.B. „PsExec \\hostname cmd“):

"Datei- und Druckerfreigabe (SMB eingehend)" aktivieren für "Privat"

Dies stellt (imho) die Minimal-Anforderung dar. Je nachdem auf was alles zugegriffen werden soll, müssen weitere Regeln angepasst werden.

Für die Zugriffe ist eine erfolgreiche Anmeldung (z.B. mit dem lokalen Administrator-Konto) notwendig. So muss z.B. beim Zugriff via Windows-Explorer entsprechend der Benutzername samt Kennwort angegeben werden:

computername\username
Kennwort

Die Angabe des Computernamens ist notwendig, da sonst der lokale Computername des zugreifenden Computers verwendet wird, i.d.R. scheitert dann die Anmeldung. Um MMCs nutzen zu können kann der Befehl „runas“ verwendet werden:

runas /netonly /user:computername\username mmc

Quelle

Microsoft Support – Error message when you try to access an administrative share on a Windows Vista-based computer from another Windows Vista-based computer that is a member of a workgroup: „Logon unsuccessful: Windows is unable to log you on“

WindowsPro – UAC-Filter für Windows-Fernwartung abschalten

VirtualBox 5 bringt viele interessante Neuerungen und Verbesserung. Eine Neuerung besteht darin, das man virtuelle Maschinen im Hintergrund ausführen kann.

Dieses Feature darf keinesfalls mit den Möglichkeiten von z.B. Hyper-V oder VMware verglichen werden, denn die virtuellen Maschinen werden im Kontext des Benutzers ausgeführt und nicht mittels eines Systemdienstes.

Daraus ergibt sich, das sobald der Benutzer sich abmeldet, die im Hintergrund laufenden Instanzen beendet werden. Meinem Test nach findet kein Herunterfahren oder Speichern statt, es wird der virtuelle Stromstecker gezogen!

Positiv ist, das man laufende virtuelle Maschinen in den Hintergrund versetzen kann, sofern diese ohne GUI oder abgekoppelt gestartet wurden und VirtualBox beendet werden kann, ohne das dies einen Einfluss auf die „Hintergrund-Maschinen“ hat.

DDNS-Anbieter gibt es so einige, leider stellten in der Vergangenheit immer mehr Betreiber ihren Dienst ein oder strichen die kostenlosen Angebote aus ihrem Portfolio. So mancher Anbieter geriert darüber hinaus in Schwierigkeiten mit der Justiz (z.B. No-Ip, wenngleich das Vorgehen von Microsoft fragwürdig war in diesem Fall) und weitere Anbieter, die zwar noch kostenlose Dienste anbieten verlangen eine monatliche Bestätigung, das man noch da ist (z.B. SelfHost).

Der Lüneburger Firewall-Hersteller Securepoint bietet mit SPDNS seit geraumer Zeit ebenfalls einen DDNS-Dienst an, der kostenlos ist und der Erfahrung nach bislang ohne Probleme funktioniert. Der Dienst kann von jedem kompatiblen DDNS-Client verwendet werden, man ist also nicht zwingend auf eine UTM des Herstellers angewiesen.

Um SPDNS mit einer pfSense nutzen zu können, muss man einen „Custom“-Dynamic DNS anlegen:

• Am Web-Interface anmelden.
• Auf „Services – Dynamic DNS“ klicken.
• Auf der Registerkarte „DynDNS“ auf das Plus-Zeichen klicken.
• Bei „Service type“ „Custom“ auswählen.
• Bei „Username“ den SPDNS-Hostname eintragen.
• Bei „Password“ das Update-Token eintragen.
• Im Feld „Update-URL“ folgende Zeile eintragen und anpassen („SPDNS-HOSTNAME“ entsprechend ersetzen):

http://www.spdns.de/nic/update?myip=%IP%&hostname=SPDNS-HOSTNAME

• Im Feld „Description“ einen Namen (z.B. SPDNS) eintragen.
• Auf die Schaltfläche „Save“ klicken.

Das erste Update wird sofort gestartet, danach bei jeder Änderung an der WAN-Schnittstelle, spätestens täglich um 01:01 Uhr via Cronjob. Möchte man ein Update manuell anstossen, den entsprechenden Eintrag editieren und auf die Schaltfläche „Save & Force Update“ klicken.

Auf der Registerkarte „DynDNS“ wird die aktuelle öffentliche IP-Adresse in der Spalte „Cached IP“ angezeigt. Ist diese grün ist alles ok, ist diese rot stimmen öffentliche IP oder DDNS-Hostname nicht überein.

Unter „Status – System-Logs“ auf der Registerkarte „System“ finden sich Meldungen vom DDNS-Dienst, dies kann hilfreich sein bei einer evtl. Fehlersuche.

Tipp: Die Ansicht nach „dyndns“ filtern, damit es übersichtlicher wird.

Quellen

SPDNS FAQ

pfSense Forum – Dynamic DNS mit spDNS

Mitunter kommt man nicht drum herum, einen Router hinter einen anderen Router anschließen zu müssen. Das kann z.B. beim sogenannten Router-Zwang der Fall sein oder bei entsprechenden Anschlüssen, wo Provider-Geräte die Einwahl bzw. die Verbindung regeln.

In Folge bekommt ein nachgeschalteter Router bzw. DDNS-Client nicht unbedingt mit, wenn die Verbindung z.B. im Rahmen der 24-Stunden-Trennung unterbrochen wird und erneut aufgebaut wurde und nun der Anschluss eine neue öffentliche IP-Adresse hat.

Beim Einsatz von pfSense mit Dynamic DNS in einem solchen Szenario kann man relativ beruhigt sein, den das System erkennt, ob an der WAN-Schnittstelle ein typisches privates Netz anliegt und prüft dann über einen externen Dienst (checkip.dyndns.org), welche öffentliche IP-Adresse gerade aktuell ist.

Leider ist es in der Voreinstellung so, das die automatische Prüfung bzw. Update per Cronjob nur einmal täglich um 01:01 Uhr ausgeführt wird. Abhilfe schafft das Ändern des Cronjobs. Am einfachsten geht dies mit dem installierten Package „Cron“ das unter „Services – Cron“ die Konfiguration zur Verfügung stellt:

Im Screenshot ist bereits der „DynDNS“-Job markiert und auf „Alle fünf Minuten“ geändert.

Hilfestellung bei der Konfiguration liefert der Wikipedia-Eintrag „Cron“.

In den vergangenen Tagen gab es gleich zwei Probleme mit Voicemail: Bei einem Kunden mit einer AVM FRITZ!Box von Kabel Deutschland streikte plötzlich der Anrufbeantworter. Dieser nahm zwar den eingehenden Ruf entgegen, spielte aber keine Ansage mehr ab, zeichnete nicht mehr auf und beendete das Gespräch nach einer Sekunde.

Ein Löschen und neu Anlegen des AB änderte nichts daran. Beim Löschen erschien kurz eine Fehlermeldung, die allerdings beim Refresh des Web-Interfaces bereits verschwunden war und im Protokoll fand sich leider gar kein Eintrag. Um zu prüfen, ob es nur diesen einen AB (Interne Nr. 600) oder Alle (>600) betraf, wurde ein Weiterer angelegt (dieser hat die Nr. 601) und siehe da, dieser lief wie es soll.

Ebenfalls ein Problem zeigte sich bei einer Auerswald-Telefonanlage, bei der ein Hinweistext (Voicemail die nach einer gewissen Zeitspanne, wenn keiner abnimmt anspringt) nicht mehr funktionierte. Auch dort tauchte das Problem unvermittelt auf. Ein löschen der Einstellungen dieser Voicemail-Box änderte ebenso nichts. Erst die Konfiguration einer bislang ungenutzten Voicemail und das entsprechende Ändern in der Rufverteilung halfen.

Heute (29.07.2015) ist der offizielle Startschuss für Windows 10. Im Vorfeld wurde bereits bekannt, das nicht alle ab diesem Tag das neue Windows erhalten. Action Pack-Abonennten haben bereits die Möglichkeit, die ISO-Dateien herunterzuladen und Produktschlüssel zu erhalten.

Laut Anzeige stehen die Downloads bereits seit dem 27.07.2015 zur Verfügung. Die Editionen mit einem „N“ enthalten wie gehabt keine Media Player, die mit einem „K“ sind spezielle koreanische Varianten und LTSB (Long Term Servicing Branch) gibt es nur bei Enterprise und enthält keinen EdgeBrowser als auch weitere Neuerungen. Diese sind speziell für Umgebungen gedacht, bei denen es nicht um neue Funktionen, sondern lange Zeit stabile Umgebungen geht (Mission critical, Revisionssicherheit, etc.).

Da bei Action Pack immer nur die letzten zwei Versionen eines Produkts bereitgestellt werden, ist mit dem Erscheinen von Windows 10 folglich Windows 7 herausgenommen worden. An dieser Stelle gibt es offenbar einen Bruch mit der bisherigen Regelung, da Windows 8 und 8.1 nach wie vor vorhanden sind.

Interessantes Detail: Bislang waren „nur“ die Pro-Versionen von Windows, neben den Servern, verfügbar. Nun steht die Enterprise steht Pro zum Download bereit. Ob ein Inplace-Upgrade möglich ist bzw. gelingt, müssen die Tests und/oder Praxis zeigen.

Es kann viele Gründe geben, wenn Windows-Dienste streiken. Zwei Möglichkeiten bestehen darin, das z.B. ein Virus (o.ä.) Dienste schlichtweg entfernt. Der Klassiker dabei ist das Sicherheitscenter, Windows-Defender und Windows-Update „verschwinden“ zu lassen. Eine weitere Möglichkeit besteht darin, das irgendwelche System-Optimierungs-Tools das Betriebssystem kaputt optimiert haben.

Bei einem Neukunden war durch einen länger zurückliegenden Schädlingsbefall gleich mehrere Dienste nicht mehr präsent. Namentlich ging es dabei um den „Intelligenter Hintergrundübertragungsdienst (besser bekannt als „BITS“), „Sicherheitscenter“, „Windows Update“ und „Windows-Firewall“.

Der erste Versuch mit Hilfe der Tipps unter

www.winhelp.us – Repair or reinstall Windows Update

brachte leider keine Hilfe. Der Import der entsprechenden Reg-Dateien von

Windows Eight Forums – How to Restore Default Services in Windows 8 and 8.1

und einem Neustart zauberten die vermissten Dienste wieder in die Dienste-Verwaltung. Mit dieser Methode haben wir bereits mehrfach gute Erfahrungen gemacht. Manchmal reicht das schon aus, um Dienste-Probleme zu lösen.

Leider lies sich die „Windows-Firewall“ mit der Meldung „Zugriff verweigert“ und/oder „Code 5″ nicht starten. Erste hilfreiche Hinweise lieferte

Deployment Unearthed – Windows 7 Firewall Service Will Not Start

Leider war das noch nicht ganz die Lösung. Den Rest erledigte dann

Tweaking.com – Windows Repair

in der Portable-Variante. Es wurden allerdings im normalen Betrieb nur die Registry-Reparaturen durchgeführt. Empfehlenswert ist mindestens ein Backup der Registry (erledigt das Tool automatisch per Voreinstellung) oder für den Fall der Fälle des gesamten Systems.

Eigentlich möchte man nicht unbedingt Outlook’s Sicherheitshinweise oder -warnungen automatisch bestätigt haben. Auf der anderen Seite gibt es Situation da geht es nicht anders. So auch bei etwas unterschiedlichen Fällen, aus denen ein kleines Tool entstanden ist.

Fallbeispiele

Bei einem Kunden erschien bei jedem Abruf der E-Mails als auch beim Versenden ein Sicherheitshinweis, dass der Zertifikatname nicht zur aufgerufenen Domäne passt. Die Meldung ist berechtigt, allerdings dank der Gegenbenheiten nicht zu ändern. Der E-Mail-Provider bzw. -Hoster sah sich nicht dazu in der Lage ein Zertifikat auf die Kunden-Domäne oder ein Zertifikat das mehrere Domänen enthält auszustellen.

Bei einem anderen Kunden wurde ein Sicherheitshinweis durch Microsoft Exchange – Autodiscover „provoziert“. In diesem Fall traf es einen Computer, der nicht Domänen-Mitglied ist, alle Versuche dies zu Regeln scheiterten allerdings.

Workaround

In beiden Fällen ist der Fenstertitel („Sicherheitshinweis“) als auch der anfängliche Text (jeweils die Domäne) gleich im Aufbau. Somit war es einfach mittels AutoIt einen workaround zu erstellen.

Download: AutoClickOutlookSecurityWarning.zip

Das Archiv enthält eine *.exe-Datei, die z.B. im Autostart oder via Aufgabe gestartet werden muss und dann im Hintergrund weiterläuft. Das Tool wartet bis ein Fenster mit dem Titel „Sicherheitshinweis“ und der in der *.ini-Datei konfigurierten Domäne erscheint und bestätigt dann automatisch die Schaltfläche „Ja“.

Der Quellcode liegt ebenfalls bei und ist entsprechend kommentiert.

Hinweis: Wir konnten das Tool bislang nur in den genannten Kundenszenarien testen. Als Umgebung kam Windows 7 mit Outlook 2010 zu Eimsatz.

Wie einst bei Windows 8 habe ich auch diesmal kurzerhand die aktuelle Version von Drive Snapshot mit Windows 10 getestet. Eine offizielle Freigabe vom Hersteller gibt es laut Homepage noch nicht, aber im Schnelltest lief es auf Anhieb.

Einzig folgender Fehler viel im Ereignisprotokoll auf:

DIe Datensicherung als solches funktionierte allerdings problemlos. Der Fehler hat nicht direkt mit Drive Snapshot, sondern mit den Schattenkopien zu tun. Dieses Problem ist schon länger bekannt, ist also nichts neues in Zusammenhang mit Windows 10.

Der erste Versuch mittels

System State backup using Windows Server Backup fails with error: System writer is not found in the backup

die Meldung zu beheben, brachte keine Änderung. Erst die Anleitung unter

Error source CAPI2 id 513 – Cryptographic Services failed while processing the OnIdentity() call in the System Writer Object

führte zum Erfolg.

Ansonsten gelten die gleichen Gegenbenheiten wie seit Windows Vista, d.h. die „System-reserviert“-Partition unterstützt nach wie vor kein VSS und sollte um unnötige Fehler im Ereignisprotokoll zu vermeiden entsprechend (ohne) gesichert werden:

snapshot.exe HD1:1 D:\Backup\$HD.sna -L0 -WT --novss
snapshot.exe C: D:\Backup\$HD.sna -L0 -RWT --usevss

Nichts destotrotz fehlt es an Langzeiterfahrung und dem OK der Macher, ich bin allerdings aufgrund der jahrelangen Erfahrung mit dieser Anwendung und den Leuten die dahinter stehen sehr zuversichtlich.

Mal eben schnell mit Bordmitteln einen Speedtest unter Windows durchführen um festzustellen wie schnell (oder langsam) eine Datei z.B. via USB oder Netzwerk kopiert wird lässt sich mit nachfolgenden Skript einfach realisieren.

Dieser „Schnelltest“ entstand bei uns in der Werkstatt. Es ging dabei weniger um Details wie Durchsatz etc. sondern eher darum wie lange es dauert eine (große) Datei von A nach B zu kopieren.

Das Skript

@echo off

rem Konfiguration

 rem Ziel-Laufwerk festlegen

  set destination=E:

rem Test-Datei erzeugen

 echo %date% - %time% - Test-Datei erstellen
 echo.

 fsutil file createnew %temp%\test.dat 10737418240

 rem Quelle: http://www.winforpro.com/einfach-groe-test-dateien-erstellen/

 echo.

rem Startzeitpunkt anzeigen

 echo %date% - %time% - Kopiervorgang gestartet
 echo.

rem Kopiervorgang

 copy %temp%\test.dat %destination%

rem Endzeitpunkt anzeigen

 echo.
 echo %date% - %time% - Kopiervorgang beendet

rem Clean-Up

 rem Test-Datei entfernen

  del %temp%\test.dat /q
  del %destination%\test.dat /q

rem Beliebige Taste druecken

 echo.
 pause

Für die Ausführung werden keine administrative Rechte benötigt.

Vorbereitung bzw. Anpassung

In Zeile 7 muss das Ziel angepasst werden:

set destination=E:

In Zeile 14 die Größe der Test-Datei anpassen (Voreinstellung: 10 GB):

 fsutil file createnew %temp%\test.dat 10737418240

Eine Hilfestellung zur Dateigröße bietet folgende Seite:

winforpro.com – Einfach große Test-Dateien erstellen

Screenshot

Mehr Details

Wer dennoch z.B. den Durchsatz beobachten möchte, kann parallel zur Skript-Ausführung den Task-Manager starten, anschließend auf „Mehr Details“ und dann auf die Registerkarte „Leistung“ klicken.

Manchmal hat man mit Text-Dateien zu tun, in denen Protokoll-Meldungen nicht Zeilenweise, sondern am Stück in eine Zeile geschrieben wurden. Handelt es sich nur um eine Handvoll Ereignisse, so lassen sich diese schnell manuell aufteilen. Geht es hingegen um eine hohe zwei-, drei- oder vier-stellige Zahl, so hilft die „Suchen & Ersetzen“-Funktion von Notepad++.

Als konkretes Beispiel dient eine Protokoll-Datei von Drive Snapshot, die mittels folgender Befehlszeile erstellt wurde:

snapshot.exe --locatesector @"G:\Backup\BadSectors_e.txt" > Fehlerhafte_Sektoren.txt

Wie man erkennen kann, wurde die gesamte Ausgabe des Befehls in eine Text-Datei umgeleitet. Diese enthält neben verschiedener weiterer Meldungen folgende Zeile:

UNREADABLE Sector 36126378 (Cluster 4515797) is located in file: E:\Program Files (x86)\Adobe\Reader 9.0\Resource\Linguistics\Providers\Proximity\11.00\cfr68.hspUNREADABLE Sector 36144027 (Cluster 4518003) is located in file: E:\Program Files (x86)\Adobe\Reader 9.0\Resource\Linguistics\Providers\Proximity\11.00\grm104.hspUNREADABLE Sector 40375071 (Cluster 5046883) is located in file: E:\Program Files (x86)\Downloaded Installations\{2DD3EE05-4E75-4B63-A531-13C67E5D3958}\Express Gate.msi

Dieser Teil ist nur der Anfang und ein Auszug der gesamten Zeile und dient hier der Veranschaulichung.

Zeilenumbruch einfügen

Um die Ausgabe einfacher lesbar und vor allem übersichtlicher zu gestalten, kann mittels „Ersetzen“ einen Zeilenumbruch einfügt werden:

• „Suchen – Ersetzen …“ anklicken oder „CTRL+H“ drücken.
• Bei „Suchen nach“ „UNREADABLE“ eingeben.
• Bei „Ersetzen durch“ „\nUNREADABLE“ eingeben. Alternativ kann „\r“ verwendet werden.
• Bei „Suchmodus“ den Haken setzen bei „Erweitert (\n, \r, \t, \0, \x…)“.
• Abschließend auf „Alle ersetzen“ klicken.

Dadurch wird jeweils vor dem Begriff „UNREADABLE“ ein Umbruch eingefügt, somit werden die einzelnen Ereignisse untereinander angezeigt:

UNREADABLE Sector 36126378 (Cluster 4515797) is located in file: E:\Program Files (x86)\Adobe\Reader 9.0\Resource\Linguistics\Providers\Proximity\11.00\cfr68.hsp
UNREADABLE Sector 36144027 (Cluster 4518003) is located in file: E:\Program Files (x86)\Adobe\Reader 9.0\Resource\Linguistics\Providers\Proximity\11.00\grm104.hsp
UNREADABLE Sector 40375071 (Cluster 5046883) is located in file: E:\Program Files (x86)\Downloaded Installations\{2DD3EE05-4E75-4B63-A531-13C67E5D3958}\Express Gate.msi

PHP bietet leider nur die Möglichkeit, E-Mail via SMTP ohne Authentifizierung zu versenden. Wird allerdings zwingend eine Anmeldung am Mailserver benötigt, so kann man sich mit fake sendmail for windows von Byron Jones behelfen.

Dazu muss das Tool heruntergeladen und z.B. nach „C:\sendmail“ entpackt werden. Nun die Datei „sendmail.ini“ bearbeiten und die notwendige Konfiguration (smtp_server, auth_username, auth_password) vornehmen.

Tipp: Das Tool schreibt im Falle eines Fehlers eine „error.txt“, somit ist es leicht, die Funktionalität zu überwachen. Ist die Datei vorhanden weist das auf ein Problem hin.

Die Datei „php.ini“ bearbeiten und folgende Angaben vornehmen:

Zeile 1012: sendmail_from = <E-Mail-Adresse des Absenders>
Zeile 1016: sendmail_path = "C:\sendmail\sendmail.exe -t"

Damit die Änderungen übernommen werden, muss ggf. der Webserver (Apache, IIS, …) neu gestartet werden. Das ist davon abhängig, wie PHP eingebunden ist.

Je nachdem wie sehr eine Festplatte beschädigt ist, gestaltet es sich unterschiedlich schwierig, Windows oder überhaupt noch Daten kopieren zu können. Bei einem Kunden-Notebook startete Windows 7 zwar noch erfolgreich, allerdings stürzte das System alle zwei Minuten ab.

Alleine schon aufgrund der Geräuschentwicklung war schnell klar, das die Festplatte einen Defekt aufweist. Trotz sehr vieler fehlerhaften Sektoren meldete S.M.A.R.T. allerdings, das alles in Ordnung sei.

Wir entscheiden immer je nach Zustand und Verhalten einer Festplatte, ob man „nur“ noch versucht, soviele Nutzdaten wie möglich zu retten oder ob man den fehlerhaften Datenträger klont. In diesem Fall entschieden wir uns für letztgenanntes.

Eines noch vorweg: Datenrettung ist nichts für Ungeduldige. Ein Kopiervorgang kann durchaus Stunden oder Tage dauern.

Um „ungestört“ von den Abstürzen arbeiten zu können, wurde die Festplatte ausgebaut und an unser Werkstatt-System angeschlossen.

Drive Snapshot

Wie so oft, so auch diesmal setzten wir zunächst auf das bewährte Drive Snapshot. Dabei handelt es sich nicht um eine Klon- sondern Backup-Lösung. In der Vergangenheit haben wir schon oft in solchen Situationen Erfolg gehabt.

Wie man erkennen kann, hat der Vorgang eine Weile gedauert, ferner bekommt man die Anzahl an fehlerhaften Sektoren angezeigt. Über das erzeugte Protokoll bzw. den dort aufgeführten Befehl lässt sich ermitteln, welche Dateien beschädigt sind.

Tipp: Notepad++: Zeilenumbruch einfügen

Windows-Bordmittel: Robocopy

Um Robocopy auf eine neue Festplatte oder eine VHD als Ziel anwenden zu können, muss dieses zunächst initialisiert, partitioniert und formatiert sein. Allerdings geht es nicht ganz nur mit Bordmitteln, da zum erfolgreichen Kopieren mehr Rechte als die eines Administrators von Nöten sind. Das erreicht man am einfachsten mit dem Befehl PsExec aus der PsTools-Sammlung:

psexec -i -s <BEFEHL>

Der robocopy-Befehl lautet:

robocopy %source% %destination% /b /copy:datsou /mir /dcopy:dat /xf hiberfil.sys pagefile.sys swapfile.sys /xj /r:0 /w:0 /np /log:robocopy-log.txt /tee

Wichtig: Unbedingt den Parameter „/xj“ angeben, andernfalls schreibt Robocopy die Zielfestplatte voll (siehe hier).

Hinweis: Wir haben via „psexec -i -s cmd“ zuerst eine Eingabeaufforderung geöffnet und in dieser dann Robocopy ausgeführt.

FastCopy

Wie beim vorigen Kandidaten muss man auch für FastCopy im Vorfeld die Partitionen selbst anlegen, anschließend geht es mit dem Kopieren dafür weniger kryptisch und grafisch weiter. Alternativ kann man FastCopy ebenfalls über ein CLI steuern. Wie bei Robocopy sollte FastCopy ebenso im System-Kontext gestartet werden, um „Zugrif verweigert“-Fehler zu vermeiden:

PsExec -i -s FastCopy.exe

Wichtig: Den Haken setzen bei „ACL“ (Berechtigungen) und „AltStream“ (NTFS ADS).

Im erzeugten Protokoll (neben dem Textfeld gibt es eine eigene Text-Datei) kann man auslesen, welche Daten nicht kopiert werden konnten. Allerdings scheint dieser Mechanismus begrenzt zu sein, da sich in diesem Beispiel nach etlichen Einträgen folgende Zeile fand:

 Too Many Errors...

Dazu erwähnen muss man, das diese Meldung erst in Zeile 10512 erschien. Also wahrlich sehr viele Fehler.

Macrium Reflect v6

Mit Macrium’s Reflect hatten wir hingegen weder beim Klonen noch beim Backup Glück. Trotz gemäss des Knowledgebase-Artikels v5: Imaging disks with bad sectors durchgeführten „chkdsk LW: /r“ als auch aktivierten „Ignore bad sectors when creating images“ brach der Vorgang nach einer Weile ohne weitere Begründung ab. Schade, denn bei inakten Festplatten macht die Anwendung einen guten Job.

Disk2vhd

Mit Disk2vhd sah es nicht viel anders aus wie bei Macrium Reflect, von daher braucht es an dieser Stelle keine weiteren Worte, außer das dies ein Versuch war, das System als virtuellen Maschine testen zu können. Anschließend hätte sich die Frage gestellt, wie man von „Vhd2disk“ arbeiten kann.

Bemerkung: Ungetestet aber möglich um „Vhd2disk“ zu machen wäre z.B. Robocopy, FastCopy, evtl. 7-Zip und Co. im System-Kontext auszuführen um die Daten zu kopieren bzw. zu extrahieren.

HDD Raw Copy Tool 1.10 Free

Für den Fall, das die Partition(en) nicht mehr angezeigt werden, kann man die Festplatte 1:1 bzw. Sektor-für-Sektor kopieren. Aber Achtung: Es werden alle Sektoren und nicht nur die Belegten kopiert! Daraus folgt, das entweder für die Zieldatei oder die Zielfestplatte mindestens genauso viel Kapazität vorhanden sein muss wie die Quelle aufweist.

Die Ausnahme von der Regel sind solche Programme, die die RAW-Kopie komprimieren, so wie das hier vorliegenede HDD Raw Copy Tool es tun kann, allerdings kann man die Datei im weiter unten erwähnten OSFMount dann nicht verwenden. Wenn möglich sollte auf eine evtl. vorhandene Komprimierung verzichted werden.

Ein Tool das eine sogenannte Raw-Kopie in eine Datei oder auf eine andere Festplatte anfertigen kann ist HDD Raw Copy Tool von HDDGURU.

Ein solches RAW-Abbild (sofern es in eine Datei geschrieben wurde) kann mit OSFMount eingehängt werden. Dabei kann man dann Auswählen, ob nur eine oder alle vorhandenen Partitionen eingehängt werden sollen. Dies setzt natürlich voraus, das die Partitionen noch erkannt werden. Ansonsten kann man das Abbild einhängen und z.B. mit TestDisk nach Daten suchen lassen.

Per Vorgabe wird „Read-only drive“ (nur lesend) verwendet, das für das reine extrahieren von Daten aus dem Abbild i.d.R. völlig ausreicht. Möchte man hingegen das Abbild z.B. mit „chkdsk…“ bearbeiten, so sollte der Haken entfernt werden.

Noch nicht getestet

Noch nicht getestet wurden folgende Tools:

Bad Block Copy for Windows

NTFS File Copy Utility (ntfscopy)

Roadkil’s Unstoppable Copier

Fazit

Letztlich war das Backup und der anschließende Restore oder das Klonen auf eine neue Festplatte mit Drive Snapshot, Robocopy und FastCopy erfolgreich. Mit HDD Raw Copy Tool haben wir den Restore bzw. Klon nicht getestet. Nach der Rücksicherung bzw. dem Kopiervorgang musste nur kurz vom Windows-Medium die Computerreparaturoptionen ausgeführt werden, um den BCD zu aktualisieren.

Im Anschluss sollte Windows überprüft werden (Ereignisprotokolle, „chkdsk c: /f“, „sfc /scannow“, „Dism /Online /Cleanup-Image /ScanHealth“, „Dism /Online /Cleanup-Image /CheckHealth“, …). Je nach dem welche fehlerhafte Dateien die Kopier-/Klon-Protokolle ausgegeben haben, müssen ggf. neben Windows noch Programme repariert oder neu installiert werden. Sind Nutzdaten betroffen, bleibt zu hoffen das es eine Datensicherung gibt, auf die man zurückgreifen kann, andernfalls sieht es schlecht aus.

Neben den bereits erwähnten Möglichkeiten stehen noch weitere Optionen zur Verfügung. Wir nahmen diesen Kundenauftrag zum Anlass die genannten Methoden zu testen.

Tipp: Hilfreich und interessant zu diesem Thema ist der Artikel „Daten retten“ aus der c’t 24/2014.

Ein Nachbar brachte einen betagten Windows XP-PC vorbei, auf dem sich das Rechnungsprogramm samt Firmendaten befanden. Der PC startete nur noch mit Glück, blieb meist an irgendeiner beliebigen Stelle hängen.

Nach dem Öffnen des Gehäuses stellte sich heraus, das zwei Festplatten verbaut waren. Die eine mit Windows und Co. drauf war in Ordnung, die Zweite hingegen wurde wenn überhaupt nur gelegentlich erkannt. Sie ist bzw. war auch der Grund, warum der Computer nicht mehr starten mochte. An diesem Punkt sei erwähnt, das es sich noch um IDE-Festplatten handelt und diese am gleichen Anschluss (Master-Slave) verbunden sind.

Via USB-IDE-Adapter wurde die fehlerhafte Festplatte an unserem Werkstatt-Computer nicht erkannt, die Geräusche verhiesen darüber hinaus nichts Gutes. Erst an einem weiteren PC, der noch einen IDE-Anschluss hat, klappte die Erkennung. Da Windows automatisch versucht ein Laufwerk einzuhängen, was in diesem Fall aufgrund der Defekte nicht erfolgreich funktioniert, wurde der PC mit PartedMagic gestartet.

Im Anschluss ging es via Terminal weiter:

Zunächst musste ermittelt werden, unter welchem Gerätenamen die Festplatte erkannt wurde:

fdisk -l

Da wir in eine Datei auf einer USB-Festplatte sichern, musste diese zunächst eingehängt werden:

mkdir /mnt/USB-HDD
mount /dev/sdXX /mnt/USB-HDD

Nun in das Zielverzeichnis wechseln:

cd /mnt/USB-HDD/Backup

Das Erstellen einer RAW-Kopie, die später weiter verwendet werden kann, wird mit Ddrescue (GNU-Seite, Wikipedia) erstellt:

ddrescue /dev/sdXX RAW.img RAW-log.txt

Dabei handelt es sich um den einfachsten Aufruf des Programms (siehe Wikipedia). Damit hatten wir leider kein Glück, da immer bei Erreichen eines bestimmten Punktes der PC unvermittelt neu startete. Eine verwertbare Kopie erhielten wir erst mit Parameter „-n“. Das Neustart-Problem konnte damit zwar nicht behoben werden, aber wenigstens gab es nun eine Datei, die eingehängt werden konnte.

Unter Windows kann die RAW-Kopie mit OSFMount eingehängt und weiter bearbeitet werden. Die Kopie war soweit in Takt, das sich die darin befindliche Partition ohne weiteres verwenden lies und die Daten via Explorer kopiert werden konnten.

Bei einem Kunden sollte der Securepoint SSL VPN Client installiert und die VPN-Konfiguration seiner Firma imporitert werden. Dabei stießen wir auf mehrfachen Widerstand.

Auf dem Computer ist Windows 10 als Upgrade von Windows 7 und Kaspersky Internet Security installiert. Zum aktuellen Securepoint SSL VPN Client 1.0.3 und Windows 10 sind ein paar Inkompatibilitäten oder besser ausgedrückt „Problemchen“ bekannt (siehe Forum). In der Regel sollte es keine größeren Schwierigkeiten geben, den Client zum Laufen zu bringen. Meist reicht eine Änderung in der Registry aus.

Erstens kommt es anders, zweitens als man denkt!

Diesmal sollte es nicht ganz so einfach sein: Der Securepoint SSL VPN Client lies sich nur zum Teil installieren. Es scheiterte am TAP-Adapter. Nicht viel anders sah es mit dem aktuellen TAP-Adapter-Setup aus, das man aus dem OpenVPN-Setup ausführen (oder mit 7-Zip extrahieren kann).

Den verantwortlichen „Übeltäter“ und damit eine Lösung fand sich im Bug-Tracker von Open VPN:

Tap-Windows Adapter not work Windows 10

Kaspersky’s Internet Security verhindert die Installation des TAP-Adapters, selbst wenn der Schutz angehalten wurde. Erst eine Deinstallation löst dieses Problem. Sobald der SSL-VPN Client bzw. der TAP-Adpater, unabhängig davon ob es sich um das Original von OpenVPN oder die Variante von Securepoint handelt, erfolgreich installiert ist, kann Kaspersky Internet Security wieder installiert werden.

Via Empfehlung kam ein Neukunde zu uns, mit dem Wunsch eine VPN-Lösung zu implementieren. Der klassische Aufbau eines VPN-Servers in der Firmenzentrale und die Anbindung der Roadwarrior, Zeigstellen etc. war bei diesem Projekt allerdings nicht möglich.

Im Idealfall hat man am Standort der Firmenzentrale eine performante Internetanbindung samt statischer öffentlicher IP-Adresse und somit schon einen Großteil der Voraussetzungen für ein solches Vorhaben. An diesem Standort steht aber nur ADSL mit 1-1.5 Mbit/s im Downstream und entsprechender Upstream zur Verfügung.

Das ist selbst für den regulären Betrieb viel zu wenig. Die Telekom bat zunächst an eine Standleitung zu legen, damit wären 4-6 Mbit/s in beiden Richtungen möglich gewesen, allerdings nur mit einer Selbstbeteiligung im mittleren fünf-stelligen Bereich. Damit man wenigstens schnelles Internet hat, kam dann LTE ins Spiel.

Je nach Tarif erhält man beim LTE-Zugang keine aus dem Internet heraus erreichbare öffentliche IP-Adresse (Stichwort: Private Adresse, siehe dazu Öffentliche IP-Adresse bei LTE). Statische Adressen gibt es (meines Wissens nach) bei diesen Zugängen ohnehin nicht (Dazu bitte die Kommentare beachten!). Selbst wenn man eine öffentliche IP-Adresse bekommt, könnte man zwar mit DDNS-Diensten etwas „basteln“, eine saubere Lösung wäre das allerdings nicht. Noch dazu fanden wir im Telekom LTE-Router keine Möglichkeit, eine Port-Weiterleitung einzurichten.

Ein „Plan B“ könnte darin bestehen, sofern vorhanden, bei einem anderen Standort den VPN-Server einzurichten, aber an diesen sah es nicht viel anders aus. „Plan C“ der letztlich umgesetzt wurde bestand darin, das der Kunde bei uns einen Rootserver mietete, dort ein OpenVPN-Server installiert wurde und nun alle Roadwarrior, Ladengeschäfte und die Firmenzentrale als VPN-Clients angebunden sind.

Blödsinns halber habe ich gerade eben mal RogueKiller auf meinem Notebook ausgeführt und der findet prompt etwas:

Allerdings dürfte es sich dabei nicht um Gefahr in Verzug handeln, schließlich „meckert“ RogueKiller nur den installierten Virenschutz (Panda Endpoint Protection Plus) an.

Im übrigen ist es keine Seltenheit, das sich Sicherheitsprogramme gegenseitig als Schädling erkennen, schließlich müssen verschiedene Techniken angewendet werden, um echter Malware auf die Schliche zu kommen.

Neues Office, neue Problem möchte man vielleicht sagen. Ein Kunde meldete sich, er habe nun MS Office 2016 und beim Versenden von E-Mails mit Outlook würden die Anhänge verschwinden.

Vor Ort wurde das in Augenschein genommen. Es wird eine neue Nachricht erstellt, via Büroklammer-„Datei anfügen“-Symbol ein Anhang angefügt, dieser wird sogar unterhalb der Betreffzeile angezeigt und auch beim Klick auf „Senden“ geschieht nichts ungewöhnliches. Sieht man sich dann allerdings die E-Mail unter „Gesendete Objekte“ nochmal an, fällt auf, das der Anhang fehlt. Test-Mails kamen ebenfalls ohne Anhang an.

Eine kurze Recherche zeigte, das man nicht alleine ist:

Microsoft Community – Office 2016 attachment bug

Das Problem scheint auf „Zuletzt verwendete Elemente“ begrenzt zu sein, denn wählt man den Anhang über „Diesen PC durchsuchen“ aus, so funktioniert es wie es soll.