Entries tagged as infrastruktur

SCCM: Deployment bricht ab und Rechner bootet neu

Wenn man mithilfe des SCCMs (2007) ein OS-Deployment durchführt, alle Einstellungen und Konfiurationen im SCCM soweit korrekt sind, sich der Clientrechner auch eine IP holt, dann aber im Deploymentvorgang noch vor der eigentlichen Installation des Betriebssystems scheinbar hängenbleibt und kommentarlos neu startet, könnte es an Einstellungen in der Infrastruktur liegen.

Wie auch schon etliche andere, die dieses Problem gehebt hatten, so hatte ich es auch.
Ich betrieb einen Testrechner in einem Test-VLAN und bekam mein Deployment nicht zum Laufen. Bis der Rechner vom DHCP eine IP bezog, den WDS kontaktiert hatte und den Deploymentvorgang angestoßen hatte, verging immer schon etwas Zeit. Der eigentliche Vorgang im PE blieb dann noch vor der Kennwortabfrage für's Deployment (so im SCCM eingestellt) stehen und startete neu.
Das smsts.log war recht kurz und nur wenig aussagekräftig.

Nachdem ich ein wenig recherchiert hatte, stieß ich auf immer wieder dieselben Antworten, die sich allesamt auf Einstellungen von Netzwerkports (Switch) bezogen.
Also steckte ich meinen Testrechner in ein VLAN um, in dem Maschinen im Produktivbetrieb stecken und siehe da, der ganze Vorgang lief um ein Zigfaches schneller ab und nun erschien auch die Kennwortabfrage im PE und der Deploymentvorgang startete.

Scheinbar brach der Vorgang im anderen VLAN ab, weil der SCCM glaubte, keine Pakete zu empfangen oder diese nur zu langsam. Kann aber auch nur eine Vermutung sein.
Auf jeden Fall sollte man in einem solchen Fall aber mal die Konfiguration von Switch, Port oder VLAN überprüfen und diese auf "FastEthernet", "100 MBit" (bzw. "1 GBit") statt automatisch, "PortFast" oder, oder, oder umstellen.

Könnte in dem einen oder anderen Fall vielleicht ganz hilfreich sein.

Fremder "Gast" im heimischen LAN

Nachdem ich meinen Anschluss nun "offiziell" von ARCOR zu Vodafone habe umstellen lassen, erhielt ich die umstrittene EasyBox 802. Auf den ersten Blick mag der Kasten jeden zufrieden stellen, bietet er doch neben dem integrierten NTBA, Splitter und DSL-Modem auch die Funktionalitäten einer Hardwarefirewall, WLAN sowie zwei USB-Anschlüsse, um Drucker oder Festplatten ins Netzwerk einzubinden oder gar über FTP verfügbar zu machen. So gesehen also nicht schlecht. Auch die Funktion "Sprache" im Menü der Box, über die die jeweiligen Telefone im Haushalt gesteuert werden können und die zudem Protokoll über eingegangene und ausgegangene Anrufe führt, ist nett.
Und so fand auch ich die Box anfangs ganz interessant, sodass ich meine heimische Infrastruktur weitestgehend nur auf die 802 reduzierte, zugegebenermaßen mit viel Vertrauen.

Ich richtete also die LAN- und WLAN-Zugänge ein, verschlüsselte mein WLAN und richtete MAC-Tables ein. Zudem konfigurierte ich die Firewallfunktionalitäten, NAT und eine USB-Platte für den Zugriff über FTP usw. .
Damit konnte man schonmal loslegen.

Die erste Überraschung stellte sich schnell ein: mein Telefon funktionierte nicht mehr. Gut, mal eben schnell geschaut und festgestellt, dass ich Trottel es nicht hinten in der Box eingesteckt hatte. *Klick* und die Leitung stand. Damit aber fiel die DSL-Bandbreite schlagartig von 6 MBit auf 128 KB in den Keller und ich hatte nur noch zweifache ISDN-Geschwindigkeit. :-O
Nachdem ein Herumgeklicke in der Konfiguration der 802 nichts brachten, trennte ich sie kurzerhand vom Strom und startete sie neu. Danach war alles wieder ok - abgesehen davon, dass Vodafone bei uns die 6.000 einfach nicht hinbekommt. 3.000 - 4.000 sind da schon realistischer, aber auch 2.000 und darunter sind keine Seltenheit; und das mitten in Frankfurt ! *Applaus*

Leider kann man die Box nicht mehr vom Strom trennen, weil dann auch das Telefon nicht mehr funktioniert. Logisch. Ok.
Immerhin kann man aber einen Zeitplan festlegen, an welchen Tagen und zu welchen Zeiten WLAN aktiviert bzw. deaktiviert sein soll.
Scheinbar war's aber egal was ich einstellte, denn die WLAN-LED leuchtete immer. Ob WLAN damit tatsächlich aktiviert war oder nicht prüfte ich (noch) nicht.

Gestern abend jedoch war ein entspanntes Spielen von BFBC2 oder Surfen via WLAN nicht möglich. Alle paar Minuten war die Verbindung weg, sodass ich dann doch mal einen Blick ins Protokoll der EasyBox werfen wollte. Und tatsächlich: hier waren einige Verbindungstrennungen verzeichnet - weshalb auch immer da getrennt wurde.
Bei solchen Gelegenheiten schaue ich auch immer mal nach welche Rechner oder Geräte gerade verbunden sind und wurde "hellhörig" als mein Blick auf ein System mit MAC-Adresse und Name fiel, das eindeutig nicht in meine Infrastruktur gehört.
Neben Notebook, PCs und APs tummelte sich hier etwas, das ich weder so benannt, noch zugelassen hatte ! Wie also kommt diese Maschine in mein LAN ? Via WLAN ? Da habe ich doch den Zugriff verschlüsselt und per MAC-Tables eingeschränkt !? Via LAN ? Wo soll das Gerät stecken ? Das werde ich noch herausfinden müssen.

Zunächst jedoch schaltete ich die EasyBox ab, weil ich das Gefühlt hatte, in meiner anfänglichen Skepsis bestätigt worden zu sein.
Ich deaktivierte umgehend die WLAN-Funktionalitäten, DHCP, etc. etc., schloss meinen bisherigen Router wieder an, baute meinen WLAN-Router wieder auf, verkabelte wieder alles und steckte die Box dran. Die darf jetzt nur noch brav als Modem herhalten. Den Rest erledigen Geräte, die das scheinbar besser können als der Vodafone-Kasten.
Was den zweifelhaften "Gast" angeht, so werde ich in der nächsten Zeit mal die Augen offen halten. Nicht, dass es noch an einer anderen Stelle stinkt.




GPO ADM-Templates für Firefox

Firefox anstelle des IE und diesen dann auch noch per GPO einstellen ? Das ist möglich !

Folgende Links könnten hierfür ganz hilfreich sein und bieten u.a. auch ein fertiges Template an:

http://www.administrator.de/index.php?content=7788
http://www.mcseboard.de/windows-forum-ms-backoffice-31/firefox-3-per-gpo-verwalten-139706.html
http://h0bbel.p0ggel.org/gpo-and-adm-templates-for-firefox
http://homepages.ed.ac.uk/mcs/FirefoxADM/ADM_Deploy.pdf
http://www.spreadfirefox.com/?q=node/view/823
http://www.frontmotion.com/

AD-Auditing auf Useraccounts

Wir stellen immer wieder fest, dass User- oder Maschinen-Accounts von einer OU in eine andere verschoben wurden, ohne dass wir dies getan oder veranlasst hatten.
Irgendjemand muss also immer mal wieder unsere Accounts verschieben - weshalb auch immer.
Da wir das AD mit der Zentrale teilen, kann also hier irgendjemand zu Werke gegangen sein - weshalb auch immer.
Da ich jetzt sehen will wer das ist, musste ich das Auditing aktivieren, um die entsprechende Anzeige (Event-ID: 566) im Bereich "Security" des Eventlogs auf dem DC zu erhalten.
Nach der Änderung der Einstellungen kann ich's nun sehen und werde mir bei auftauchen der Event-ID 566 eine entsprechende Meldung zuschicken lassen.
Dann bin ich mal gespannt, welchen Schieber ich da erwische.

Falls es jemand nachmachen will, nachfolgend kurz die einzelnen Schritte sowie der Link zu einem Tool, das die Ergebnisse ebenfalls ausgibt, den Namen des "Verursachers" hingegen nur in der Bezahl-Variante.

Anleitung:

1. Im AD die Gruppe für Benutzer und Computer öffnen und sicherstellen, dass die erweiterte Ansicht aktiviert ist.
2. Anschließend die Eigenschaften der Domain aufrufen und Reiter "Sicherheit" auswählen.
3. Die Schaltfläche "Erweitert" anklicken.
4. Den Auditing-Reiter auswählen und und Domain Users auswählen.
5. Im Reiter "Objetcs" unter "Access:" "Delete" auswählen/abhaken

Wenn jetzt noch das Auditing auf die Domain zugelassen ist, sollte man sehen wer die Änderung an den User-Accounts vorgenommen hat.

Tool:

Netwrix AD Change Reporter

PXE-Boot ohne NetInstall

Der SCCM soll den betagten NetInstall-Server ablösen, doch noch wollen sich die PCs beim Booten über PXE mit diesem Verbinden.
Das Deaktivieren der beiden Dienste "ProNet BootP Service" und "ProNet TFTP-Service" auf dem Server schien mir schonmal ein erster Anfang zu sein, aber da gibt's mit Sicherheit noch mehr, da die Clients beim Booten nach der IP 192.168.xxx.xxx suchen. Steht hier also noch etwas im DHCP ?
Also sah ich mir die Server Optionen an und fand die Option "060 ClassIdentifier => PXEClient". Sollte es das sein, was die Clients veranlasst, sich mit der Adresse zu verbinden ?

Ja, zum Teil, denn es kommen noch die Optionen "043 Vendor Specific Info", "128 BootControlReply" sowie "129 BootControlRedirection" hinzu, die neben der "060" bei einer Installation von NetInstall gesetzt werden.
Die Optionen müssten entfernt werden und wir hätten Ruhe. Auf OSD-Seite müssen dann wohl keine weiteren Änderungen mehr vorgenommen werden.
Darüber bin ich auch ganz froh, weil ich weder die Konfiguration von dieser Kiste kenne, noch bei der Installation seinerzeit anwesend war.
Ich will einfach nur keine Verbindung mehr zu und von dem Server haben.

Danach kann ich im SCCM unter den "Site Systems" meiner Site die Rolle des "PXE Service Point" zuweisen und diese konfigurieren, aufdass zukünftig der Configuration Manager den Ton angibt.
Doch das gilt's noch zu prüfen und zu testen.

Page 1 of 2, totaling 9 entries