Gruppenrichtlinien für Firewall-Einstellungen im SCCM-Netzwerk konfigurieren und testen

 

  1. Erstellen Sie dazu zunächst in der Gruppenrichtlinienverwaltungskonsole auf einem Domänencontroller oder einer Arbeitsstation mit den Remoteserver-Verwaltungstools eine neue GPO mit der Bezeichnung „SCCM“.
  2. Öffnen Sie die Bearbeitung dieser Richtlinie und navigieren Sie zu: Computerkonfiguration\Richtlinien\Windows-Einstellungen\Sicherheitseinstellungen\Windows-Firewall mit erweiterter Sicherheit.
  3. Erstellen Sie über das Kontextmenü von „Eingehende Regel“ und erstellen eine neue Regel.
  4. Wählen Sie als Option „Vordefiniert“ und wählen Sie „Datei- und Druckerfreigabe“Bestätigen Sie die weiteren Fenster des Assistenten und wählen Sie „Verbindung zulassen“.
  5. Erstellen Sie die gleiche Regel auch über Ausgehende Regeln.
  6. Erstellen Sie eine weitere eingehende Regel und wählen dieses Mal Vordefiniert\Windows-Verwaltungsinstrumentation.
  7. Schließen Sie die Richtlinie und verknüpfen Sie diese mit dem Container in dem sich die Computerkonten der Rechner befinden, die Sie mit SCCM verwalten, am besten mit der ganzen Domäne.

Um die Regeln zu testen, geben Sie auf einem der Computer „gpupdate /force“ ein. Wurden die Richtlinien umgesetzt, starten Sie „rsop.msc“. Klicken Sie auf „Administrative Vorlagen\Zusätzliche Registrierungseinstellungen“. Sie sehen jetzt die neuen GPOs und die umgesetzten Regeln.

Gebloggt: Freies Client-Managementsystem opsi aktualisiert

Auch wenn Minor-Updates in der Regel keine bahnbrechenden Neuerungen bringen, macht das rund 9 Monate nach Version 4.0  erscheinende Update von opsi eine Ausnahme. Das vom Mainzer Hersteller uib gmbh weitgehend unter einer Open-Source-Lizenz entwickelte opsi ist ein auf einem Linux-Server basierendes Client-Management-System, das Administratoren unter anderem beim automatisierten Installieren und Verwalten von Arbeitsplatzsystemen unterstützt.

Opsi verfügt über die Kernkomponenten, Softwareverteilung, Betriebssystemverteilung, Patch-Management und bringt eine Hard- und Software-Inventarisierung mit. Administriert wird opsi über eine grafische Oberfläche. Neben den Komponenten von opsi-core gibt es zum Teil kostenpflichtige Erweiterungen, wie z. B. Lizenzmanagement, User Profile Management, eine WAN Erweiterung, ein Modul für Software on Demand oder den Nagios Connector zur Integration mit der Monitoring-Software Nagios.  

Linux Agent

Funktional bringt die jetzt veröffentlichte Version 4.0.5 nur wenige Neuerungen in Bezug auf opsi 4.0,  wobei allerdings der neue Linux-Agent herausragt. So lässt sich opsi 4.0.5 erstmals auch für reine Linux-Infrastrukturen einsetzen. Ziel der Entwicklung war, dass Administratoren Windows- und Linux-Umgebungen mit den gleichen Tools und Workarounds verwalten können. Der Code des opsi-client-agent für Linux ist daher auch weitgehend identisch mit dem Windows-Agent und bietet im Grossen und Ganzen einen kompatiblen Befehlssatz. Das Installieren von Linux ist im Vergleich zu Windows aufwendiger, da sich die Installationprozeduren der einzelnen Linux-Distributionen voneinander zum Teil erheblich unterscheiden. Opsi stellt für zahlreiche Linux-Distributionen kostenlose Netboot-Pakete zur Unterstützung der Installation von Linux-Clients bereit. Teil der opsi-Integration ist, dass die Installation unmittelbar aus den Originalpaketen der jeweiligen Linux-Distribution angestossen wird. Allerdings sind der Linux-Agent und der UEFI Support aufgrund eines Kofinanzierungsmodells vorerst kostenpflichtig.

Weitere Neuerungen

Der UEFI-Unterstützung mit  dem Modul UEFI Support ist die zweite bedeutende Neuerung in opsi 4.0.5.  Ebenfalls neu ist die Erweiterung Local Image,  welche z. B. ein schnelles Wiederherstellen  von Schulungsraum-Rechnern mit Hilfe  einer lokalen Image-Kopie erlaubt. Local-Image sichert eine Paket-basiert durchgeführte Installation lokal auf einer zweiten Partition als Image-Kopie. Ohne Zusatzkosten dagegen gehören ab sofort die beiden neuen Funktionen opsi clonezilla und opsi-setup-detector zu den Kern-Komponenten. Mit opsi clonezilla lassen sich Images von Clients auf einem Netzlaufwerk sichern und bei Bedarf zurück spielen. Der opsi-setup-detector erlaubt  ein automatisiertes Erstellen von Skripten. Das Werkzeug analysiert Installationsdateien und packt die entsprechenden Aufrufe und Parameter in ein opsi-Skript. Darüber hinaus haben die Entwickler den opsi-Konfigurations-Editor überarbeitet. Weitere Informationen zu den Neuerungen lassen sich den Release Notes entnehmen.

Breitere Plattform

Auf Server-Seite unterstützt opsi 4.0.5 zudem jetzt mehr Linux-Distributionen, darunter Univention Corporate  Server 3.3, Debian 6/7, die  LTS-Versionen von Ubuntu (10.04, 12.04 und 14.04), Opensuse 12.3 und 13.1, SLES 11 SP3, sowie CentOS 6.5 und 7 und  RHEL 6.6 und 7. Die neue Version 4.0.5 lässt sich ab sofort von Sourceforge herunterladen. Zum Evaluieren von opsi ist auch eine virtuelle Appliance verfügbar, allerdings noch auf Basis der Version 4.0.4, die aber in naher Zukunft ebenfalls aktualisiert werden soll .

Gleichtaktströme in nicht isolierten Netzteilen

In Hochspannungsnetzteilen, die z. B. in einer LED-Lampe vorkommen, ist dies unter Umständen nicht möglich. Bei näherer Betrachtung unterscheiden sie sich nicht wirklich von einem isolierten Netzteil. Es kommt zu Streukapazitäten von Schaltknotenpunkten zur Masse, die Gleichtaktströme verursachen.


Bild 1: Nur 100 fF Kapazität vom Schaltknotenpunkt können ein Problem mit elektromagnetischen Störungen verursachen.

Bild 1 stellt einen Schaltplan eines LED-Netzteils dar, in dem die parasitäre Kapazität gezeigt wird, die die Hauptursache für Gleichtaktströme in diesem Abwärtsregler darstellt. Es ist die Kapazität vom Schaltknotenpunkt zur Erde. Es überrascht, dass diese Kapazität so gering sein und trotzdem ein Problem darstellen kann.

Der Grenzwert für leitungsgeführte Störaussendung gemäß CISPR Klasse B (für den Wohnbereich) erlaubt ein Signal von 46 dBuV (200 uV) in eine Quellimpedanz von 50 Ohm bei 1 MHz. Dies bedeutet einen zulässigen Strom von nur 4 uA. Wenn der Wandler mit einem Rechtecksignal von 200 V Spitze-zu-Spitze den Drainanschluß von Q2 bei 100 kHz schaltet, liegt die Grundschwingung bei einer Spitzenspannung von 120 Volt.

Da die Oberschwingungen im Verhältnis zur Frequenz abnehmen, beträgt die Effektivspannung bei 1 MHz etwa 9 Vrms. Dies kann zur Berechnung einer zulässigen Kapazität zur Masse von etwa 0,1pF oder 100 fF (oder einem Widerstand von 2 Megaohm bei 1 MHz) verwendet werden. Dabei handelt es sich um eine plausible Kapazität von diesem Knotenpunkt. Es gibt außerdem Kapazitäten vom Rest des Schaltkreises zur Erde, die einen Rückpfad für Gleichtaktströme darstellt. Dies wird als C_Stray2 in Bild 1 dargestellt.


Bild 2: 100 fF können dazu führen, dass Sie die Grenzwerte für elektromagnetische Störungen überschreiten.

Bei einer LED-Lampe gibt es keine Chassisverbindung, es stehen nur der spannungsführende und der neutrale Anschluss zur Verfügung. Daher ist die Gleichtakt-EMV-Filterung problematisch. Dies liegt daran, dass es sich um einen hochohmigen Schaltkreis handelt. Er kann mit einer Spannungsquelle von 9 Vrms in Reihe mit einer kapazitiven Reaktanz von 2 Megaohm, wie in Bild 2 gezeigt, dargestellt werden.

Es gibt keine Möglichkeit, den Widerstand zu erhöhen, um den Strom zu reduzieren. Um die Störaussendungen bei 1 MHz zu reduzieren, müssen Sie die Spannung oder die Streukapazität reduzieren. Zwei Möglichkeiten zur Reduzierung der Spannung sind das Dithering und die Regelung der Anstiegszeit. Durch Dithering wird die Betriebsfrequenz eines Netzteils variiert, um das Spektrum auszuweiten.

Übersprechen bei Wandlern

Antwort: Sicher! Übersprechen kann auf mehrere Arten entstehen. Von einer Signalkette auf der Leiterplatte auf eine andere, von einem Kanal in einem IC auf einen anderen oder durch die Stromversorgung. Der Schlüssel zum Verständnis von Übersprechen liegt darin, zu erkennen, von wo es kommt und wie es sich zeigt.

Kommt das Übersprechen von einem benachbarten Wandler, einem anderen Kanal der Signalkette oder wird es durch den Leiterplattenentwurf verursacht? Die häufigste Art des Übersprechens nennt man „Benachbartes Übersprechen“ (Adjacent Crosstalk). Diese Art des Übersprechens zeigt sich, wenn ein Kanal bei seinem Endbereich (Full Scale) oder in dessen Nähe getrieben wird, während der andere Kanal bzw. eine andere Signalkette, die betrachtet wird, offen ist und kein Signal anliegt.

Eine Störung, die über das Grundrauschen ansteigt, kann bei der Messung des ausgangsseitigen Frequenzspektrums auf dem offenen Kanal festgestellt werden. Dieser Typ des Übersprechens gibt Aufschluss über die galvanische Trennung zwischen dem offenen Empfängerkanal und dem getriebenen „Aggressor”-Kanals.

Manchmal sind offene Kanäle robust genug, um Einkopplungen von einem getriebenen Kanal zu unterdrücken. Doch es gibt eine zahlenmäßige Überlegenheit. Bei einem anderen Übersprechen-Test werden bis auf einen alle Kanäle im System mit der gleichen Frequenz getrieben (nur ein Kanal bleibt offen). In diesem Fall wird die Stärke aller „Aggressoren“ durch den offenen Kanal gemessen.

Eine dritte Möglichkeit zum Messen von Übersprechen besteht darin, zwei oder mehr Kanäle mit unterschiedlichen Frequenzen und Signalstärken zu treiben und die offenen Kanäle zu testen, um zu sehen, ob die getriebenen Kanäle durch Übersprechen entstehende Mischprodukte aufweisen, die durchkommen. In diesem Fall zeigt der Mischeffekt, wie die „Aggressor“-Signale zurück in das interessierende Frequenzband fallen.

Schließlich können die gleichen drei Messungen wiederholt werden, wenn sich die Eingangssignale in einer Überbereichssituation (über dem Endbereich des Bauteils oder der Signalkette) befinden. Dies hilft bei der Definition, wie robust ein offener Kanal ist, wenn das Eingangssignal begrenzt oder der Kanal gesättigt ist.

Alle diese Tests sollten den gesamten Signal- und Frequenzbereich abdecken, der für die Applikation von Interesse ist. Denn Übersprechen kann manchmal von einem nicht optimalen Leiterplattenentwurf verursacht werden oder sich in bestimmten Betriebssituationen zeigen. Bauteile auszutauschen wird dann nicht helfen. Der Wandler oder das mehrkanalige Bauteil muss sorgfältig getestet werden, um sicherzustellen, dass er oder es für die Applikation robust genug ist.

Autor: Von Uwe Bröckelmann nach Unterlagen von Analog Devices

SCCM-Server für die Installation vorbereiten

  • Webserver und die notwendigen Features dazu.
  • .NET Framework 3.5-Funktionen und alle untergeordneten Features
  • .NET-Framework 4.5 und alle untergeordneten Funktionen
  • Remoteserverdifferenzialkomprimierung
  • Intelligenter Hintergrundübertragungsdienst mit allen untergeordneten Features

Bei der Konfiguration der Rollendienste für den Webserver, müssen Sie noch weitere Dienste auswählen:

  • NET 3.5
  • NET 4.5
  • Sicherheit\Windows-Authentifizierung
  • Verwaltungsprogramme\Kompatibilität der IIS 6-Verwaltung\IIS 6-Metabasiskompatibilität
  • Kompatibilität mit IIS 6
  • IIS-Verwaltungsskripts und –tools

Schließen Sie den Installationsassistenten ab, damit die notwendigen Rollen, Rollendienste und Features auf dem Server installiert werden. Lassen Sie danach auf dem Server die neusten Updates installieren. Rufen Sie dazu auf der Startseite wuapp auf.

Im nächsten Schritt laden Sie das Windows ADK für Windows 8.1 herunter (http://www.microsoft.com/de-de/download/details.aspx?id=39982) und starten die Installation. Wählen Sie die Optionen Bereitstellungstools oder Deployment Tools und Windows-Vorinstallationsumgebung sowie Windows EasyTransfer (USMT).

Active Directory-Schema für SCCM erweitern

Legen Sie in diesen DC die Installations-DVD von SCCM ein, oder stellen Sie die ISO bereit. Wechseln Sie in das Verzeichnis \SMSSETUUP\Bin\x64 und suchen Sie das Tool extadsch.exe. Klicken Sie das Tool bei gehaltener Shift-Tasttaste mit der rechten Maustaste an, erscheint die Option Als Pfad kopieren. Wählen Sie dieses aus. Sie können jetzt das Tool mit seinem Pfad in einer Befehlszeile einfügen und dann ausführen. Das Schema wird jetzt erweitert. Bevor Sie SCCM 2012 R2 installieren, sollten Sie warten bis die Schema-Änderung auf alle Domänencontroller im Netzwerk repliziert wurde.

Den Status der Schemaänderung sehen Sie auch in der Datei ExtADSch.log im Stammverzeichnis des Domänencontrollers.

Active Directory für SCCM 2012 R2 vorbereiten

Bevor Sie SCCM im Netzwerk installieren können, müssen Sie das Active Directory vorbereiten. Im ersten Schritt legen Sie mit dem ADSI-Editor einen neuen Container an, der wichtige Daten der SCCM-Infrastruktur verwaltet. Starten Sie dazu den ADSI-Editor über die Startseite und klicken Sie mit der rechten Maustaste auf ADSI-Editor. Wählen Sie danach Verbindung herstellen aus.

  1. Navigieren Sie im Fenster zu Standardmäßiger Namenskontext\<Name der Domäne>\System.
  2. Klicken Sie mit der rechten Maustaste auf System und wählen Sie Neu\Objekt.
  3. Wählen Sie im Fenster die Option Container aus und geben Sie diesem den Namen „System Management“.

Lassen Sie den Container mit den Standardoptionen erstellen.

Öffnen Sie danach mit dsa.msc das Snap-In Active-Directory-Benutzer und –Computer. Aktivieren Sie die Option Erweiterte Features im Menü Ansicht. Öffnen Sie danach auf der linken Seite des Baumes die neue OU System\System Management. Klicken Sie diese mit der rechten Maustaste an und wählen Sie Objektverwaltung zulassen. Im Fenster müssen Sie zunächst über die Schaltfläche Objekttypen die Option Computer aktivieren. Danach nehmen Sie das Computerkonto des Servers mit SCCM in der Liste auf.

Auf der nächsten Seite des Assistenten aktivieren Sie die Option Benutzerdefinierte Aufgaben zum Zuweisen erstellen. Danach aktivieren Sie auf der nächsten die Option Diesem Ordner, bestehenden Objekten in diesem Ordner und neuen Objekte in diesem Ordner.

Auf der nächsten Seite aktivieren Sie alle drei Optionen im oberen Bereich und zusätzlich noch die Option Vollzugriff. Schließen Sie danach den Assistenten ab.

Gebloggt: ORTS 4.0 verfügbar

OTRS  (Open Ticket Request System) ist ein Open-Source-Ticketsystem, das von den meisten Nutzern  als Helpdesk- oder Issue-Tracking-System eingesetzt wird. OTRS wird von der ORTS-AG entwickelt, die gleichermassen als wird Hersteller und Dienstleister für OTRS-Support  auftritt. Sie Software selbst ist quelloffen und unter der GNU Affero General Public License (AGPL) veröffentlicht.

Mehr Performance

ORTS 4.0 bringt unter anderem ein überarbeitete Design mit, das ein schnelleres Bearbeiten von Tickets ermöglichen soll, weil der Nutzer nun alle wichtigen Dinge im Blick hat. Der Hersteller bezeichnet das neue aufgeräumten Design als „ultra-flach“. Ferner haben die Entwickler den Kern der Software, ebenso wie die auf dem Template-Toolkit beruhende Template Engine überarbeitet, was zusammen mit einem neuen Objekt-Manager für einen gegenüber der Vorgängerversion geringeren Ressourcenverbrauch sorgen soll. Laut Angabe des Herstellers soll ORTS 4.0 auf identischer Hardware im Vergleich zur Vorgängerversion bis zu 30% mehr Agenten das gleichzeitige Verwenden von OTRS ermöglichen.

Weitere Neuerungen

OTRS 4.0 unterstützt zudem jetzt das HTTPS REST-Netzwerkprotokolls, sowie das Suchen nach Ticket-Anhängen. Ferner bietet ORTS 4.0 zusätzliche Übersichtsanzeigen aktiver Prozesstickets und Dienste, wenn diese als Favoriten markiert wurden. Ferner lassen sich Vorlagen jetzt auch für internen Anmerkungen verwenden. Weitere Details zu den Neuerungen lassen sich den Release Notes entnehmen.

ORTS 4.0 ist ab sofort auf der Seite des Herstellers zum Herunterladen verfügbar. Im Januar nächsten Jahres soll laut Hersteller auch eine Unternehmensvariante  OTRS Business Solution verfügbar sein, die im Unterschied zur freien Version eine Reihe zusätzlicher Funktionen mitbringt, darunter ein Chat und die Möglichkeit, externen Datenbanken anbinden zu  können. Ferner lassen sich bei der Businessversion  Zusatzfunktionen flexibler auswählen und zudem und Consulting-Leistungen anbieten.

Neues Buch: Windows Server Troubleshooting, Tuning und Monitoring

In diesem Buch zeige ich Ihnen einige Vorgehensweisen zur Fehlerbehebung auf Windows-Servern. Sie lesen in diesem Buch Anleitungen die über mein Handbuch bei Microsoft Press zu Windows Server 2012 R2 hinausgehen. Die Tipps und Anleitungen helfen Ihnen dabei Fehler mit Windows-Servern schnell und effizient zu beheben:
Ereignisanzeige für das Troubleshooting nutzen und
Remoteverwaltung aktivieren
Ereignis-Abonnements zur Überwachung und Fehlerbehebung nutzen
Ereignisanzeige mit der PowerShell auslesen und filtern
Bluescreens auf Windows-Servern
Dienste überprüfen und mit PowerShell und Befehlszeile neu starten
Namensauflösung testen und Netzwerkverbindungen überprüfen
Ressoucenmonitor und Leistungsüberwachung für die Fehlersuche verwenden 16
Server-Manager zur Fehlersuche nutzen
Bootzeiten analysieren und Startprobleme beheben
Active Directory-Datenbank reparieren
Active Directory-Domänencontroller überprüfen und Fehler beheben
Probleme mit Gruppenrichtlinien beheben
Druckprobleme im Netzwerk beheben
Druckprobleme in der Befehlszeile und PowerShell beheben
Druckprobleme mit mit Remotedesktop-Sitzungshosts
Drucken mit Tablets und Smartphones
PowerShell zur Fehlerbehebung über das Netzwerk durchführen
Windows Performance Toolkit installieren, einrichten und erste Schritte
CPU- und Arbeitsspeicher-Auslastung messen und analysieren
Überwachung in Active Directory aktivieren
Benutzerkonten in Active Directory entsperren und Kennwörter ändern
Windows-Fehlerbehebung mit Debug Diagnostic Tool v2 Update 1
Tools: Berichte für Active Directory zur Analyse erstellen

Shell-Zugriff auf ESXi-Host aktivieren

Die folgende Erläuterungen gelten für vSphere/ESXi 5.5.  Der Shell-Zugriff ist auf zweierlei Art möglich, lokal oder via SSH, von einem beliebigen Linux-Client, bzw. mit Putty unter Windows. Beide Optionen sind allerdings per Default deaktiviert.

Um sie einzuschalten, drückt man an der Konsole die Taste F2 für Customize System, meldet sich mit einem gültigen administrativen Account (meist root) am System Customation Screen an und wechselt ins Menü Troubleshooting Options. Für den SSH-Zugriff aktiviert man die Option Enable SSH, für die lokale Konsole wahlweise auch Enable ESXi-Shell. Letztere lässt sich am ESXi-Host durch Drücken von Alt+F1 aufrufen. Beenden lässt sie sich  mit exit. Zurück zum  Startbildschirm geht’s mit Alt-F2.

VMDK-Dateien umbenennen

Beispiele für nützliche Konsolen-Kommandos gibt es viele. So lassen sich z.B. mit  vmkfstools -E VMDK-Dateien problemlos umbenennen. Das kann z. B. erforderlich sein, wenn bei den verwendeten VMDK-Namen nicht mehr auf dem ersten Blick zu erkennen ist, welche zu Datei zu welchen Laufwerk in der VM gehört. Das Umbenennen klappt nur im ausgeschalteten Zustand der VM.  Ist die VM heruntergefahren, entfernt man zunächst im Web-Client oder vSPhere-Client die VMDK-Datei in den Einstellungen der jeweiligen VM. Dann öffnet man wahlweise lokal oder via SSH in die Shell und dort in das Verzeichnis der VMDK-Datei:

cd /vmfs/volumes/<Name-Datastore>/<Name-VM>

Das Umbenennen klappt dann mit

vmkfstools -E „<Name-Quelle.vmdk>“ „<Name-Ziel.vmdk>“

Danach verbindet man die Datei im grafischen Client wieder mit der VM und starten Sie die VM neu. Die übrigen zu einer VM-Definition gehörigen Dateien erhalten übrigens nach und nach automatisch den passenden Namen.