Samstag, 20. November 2010

Kiene IT auch bei Facebook

Ab sofort gibt auch bei Facebook eine eigene Firmenseite mit Direktlink: http://www.facebook.com/KieneIT

Testbericht - StarWind iSCSI Software für VM-Umgebungen

Vor kurzem stand ich vor der Aufgabe, einen virtuellen Fileserver unter Windows Server 2008 R2 einzurichten, der knapp 12TB an Daten verwalten sollte (in einer großen Partition). Das Szenario hätte ich mir nicht schwer vorgestellt, da dank GPT (GUID Partition Table) auch große NTFS-Partitionen jenseits der 2TB-Grenze eingerichtet und verwaltet werden können. Trotzdem stieß ich auf mehrere Probleme, die ich hier beschreiben möchte.

Aufbau der Testumgebung:
- ein physikalischer Server mit RAID6 über 8x 2TB-Festplatten (= 12TB Nutzkapazität). Das Raid wurde in drei Festplattenpartitionen aufgeteilt, die für Betriebssysteme als separate Festplatten angezeigt werden: 1x Boot-Festplatte, 1x Festplatte für VMwareguest, 1x Daten-Festplatte (~10TB)
- als Virtualisierungshost ist ein Windows Server 2008 R2, 64bit im Einsatz
- als Virtualisierungssoftware wurde VMware Workstation 7 genommen
- VMware wurde so konfiguriert, dass in der virtuellen Umgebung Windows Server 2008 R2, 64bit eingerichtet ist. Der Server soll als Fileserver genutzt werden.

Probleme:
Während der Erstellung der VM gab es die erste Hürde. VMware unterstützt unter Windows Server 2008 R2 scheinbar keine RAW-Festplatten mehr. Der ursprüngliche Gedanke war es. VMware direkt auf die Festplatte zugreifen zu lassen, die als Datenplatte dient.
Als zweite Möglichkeit würde nur eine virtuelle Festplatte übrig bleiben (VMDK), die jedoch maximal 2TB groß werden kann (Problem von NTFS; Größenbeschränkung in VMware).

Lösungen:
Auf der Suche nach Lösungen bin ich auf das iSCSI-Produkt von StarWind gestoßen. Diese Software kann physikalische Hardware/Festplatten als iSCSI-Device über das Netzwerk zur Verfügung stellen.

Die Installation war sehr einfach, lediglich der iSCSI-Initiator von Microsoft (im Betriebssystem integriert) musste nachinstalliert werden.

Anschließend kann man über die Management-Software von Starwind eine Festplatte aussuchen, diese als iSCSI-Device freigeben, evtl. noch Berechtigungen setzen und das wars!

Im virtuellen Server habe ich den iSCSI-Initiator installiert und die Verbindung zur Host hergestellt. Das hat einfach geklappt und für das virtuelle Betriebssystem verhält sich die iSCSI-Festplatte wie eine direkt angeschlossene Festplatte.

Erfahrungen mit StarWind:
Die zunächst eingesetzt Version hatte das Problem, dass nach 7-10 Tage das iSCSI-Laufwerk nicht mehr erreichbar war. Nach dem Update auf 5.4.0.1599 gab es das Problem nicht mehr.

Die Performance über iSCSI in der eingesetzten Umgebung ist zufriedenstellend, jedoch nicht so schnell, wie direkt unterstützte physikalische Festplatten von VMware. Da es jedoch keine Alternative für große physikalische Festplatten gibt, ist die Software von StarWind sehr zu empfehlen.

Donnerstag, 7. Oktober 2010

Neue Adresse in Berlin

Ab sofort nicht nur in Kleinmachnow, sondern auch in Berlin vertreten. Hier die vollständigen Adressangaben:


Kiene IT - Service & Consulting
Fritschestrasse 27/28
Hinterhof, Aufgang C
10585 Berlin
Tel: 030 – 7677-1929
Fax: 030 – 7677-1921

Kiene IT - Service & Consulting
Seematen 4
14532 Kleinmachnow
Tel: 033203 – 77168-0
Fax: 033203 – 77168-6

Funk: 0177 – 840 67 98
E-Mail: info@kiene.it

Blog: http://blog.kiene.it
Twitter: http://twitter.com/KieneIT
Xing: http://www.xing.com/profile/Henry_Kiene

Freitag, 20. August 2010

Synchronisation eines iPhones mit Exchange 2010 funktioniert nicht, mit Exchange 2007 geht es einwandfrei

Die Synchronisation (Exchange Active Sync) eines iPhones mit Exchange 2007 funktioniert ohne Probleme, bei der Synchronisation mit einem neu eingerichteten Exchange 2010 Server gibt es Probleme:
- Es gibt keine Fehlermeldung, aber es wird auch nichts synchronisiert
- Mails können nicht verschickt werden
- Kontakte und Kalender-Einträge sind leer

Das Problem tritt nur bei Benutzern auf, die Domänen-Admin Rechte haben! Normalerweise sollte es das nicht geben, in der Realität sieht es manchmal anders aus :-)

Abhilfe schafft folgendes:
- Active Directory Benutzer + Computer aufrufen
- Ansicht -> Erweiterte Funktionen (damit der Reiter Sicherheit erscheint)
- Eigenschaften des Benutzers aufrufen -> Sicherheit -> Erweitert
- Hier den Haken reinsetzen bei "Berechtigungen von übergeordnetem Objekt übernehmen" (ungefähre Übersetzung)

Links zum Thema:
=================
- http://blogs.msexchange.org/
- http://social.technet.microsoft.com

Mittwoch, 18. August 2010

Windows Passwort vom entfernten Rechner aus ändern

Fast jeder weiss, dass durch die Tastenkombination STRG+ALT+ENTF ein Dialogfeld aufgerufen wird, um das eigene Passwort zu ändern.

Damit ist es jedoch auch möglich, das Passwort eines anderen Benutzers oder das Passwort eines Benutzers auf einem lokalen oder remoten PC zu ändern. Es spielt keine Rolle, ob der PC / Benutzer Mitglied einer Domäne ist oder nicht.

Um einen anderen Benutzer zu wählen, muss der vorgegebene Name einfach überschrieben werden. Wenn der Benutzer Mitglied einer anderen Domäne ist oder es sich um ein lokales Benutzerkonto auf einem anderen PC handelt, muss der Name der Domäne oder des PCs dem Namen des Benutzers vorangestellt werden: DOMAIN\BENUTZERNAME bzw. PC-NAME\BENUTZERNAME

Das ganze funktioniert sogar bei bereits ausgelaufenen Passworten oder auch, wenn das Recht "Access this computer from network" deaktiviert ist.

Links zum Thema:
- http://support.microsoft.com/?kbid=149176
- http://www.petri.co.il/change_user_password_from_a_remote_computer.htm

Mittwoch, 4. August 2010

V-79-57344-34110 - Backup Exec sichert Exchange Information Store nicht

Beim Sichern vom Exchange Postfachspeicher gibt es in der Logdatei von Backup Exec auf einem SBS 2003-Server folgende Fehlermeldung:

"V-79-57344-34110 - AOFO: Initialisierung fehlgeschlagen: "Microsoft Information Store". Advanced Open File Option verwendet: Microsoft Volume Shadow Copy Service (VSS).
Fehler im Schnappschuss-Provider (0xE0008516): Die für einen Schnappschuss angegebenen Ressourcen verfügen über keine gültigen Daten. Überprüfen Sie, ob Dateien gelöscht oder umbenannt wurden.
Ausführliche Angaben finden Sie in der Windows-Ereignisanzeige."


Wenn eine Wiederherstellung von Postfächern versucht wird, wird man feststellen, dass der Informationsspeicher nicht gesichert wurde.

Die Lösung ist zum Glück einfach. Auf einem SBS 2003-Server wird standardmäßig der VSS (Volume Shadow Copy Service) Writer für Exchange ausgeschaltet, da es Probleme mit z.B. ntbackup geben kann. Es ist folgender Registry-Key zu setzen, um den VSS Writer wieder einzuschalten:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSExchangeIS\ParametersSystem

Hier muss der Wert von "Disable Exchange Writer" von 1 auf 0 gesetzt werden. Damit wird der Exchange Writer wieder aktiviert. Nach einem Neustart des Informationsspeichers sollte die Sicherung ab sofort ohne Fehler durchlaufen.

Links zum Thema:
- Microsoft KB-Artikel: 838183

Freitag, 2. Juli 2010

Letter from Apple Regarding iPhone 4

Gerade reingekommen zur Erklärung des schlechten Empfangs der neuen iPhone 4 Geräte.

July 2, 2010

Letter from Apple Regarding iPhone 4


Dear iPhone 4 Users,

The iPhone 4 has been the most successful product launch in Apple’s history. It has been judged by reviewers around the world to be the best smartphone ever, and users have told us that they love it. So we were surprised when we read reports of reception problems, and we immediately began investigating them. Here is what we have learned.

To start with, gripping almost any mobile phone in certain ways will reduce its reception by 1 or more bars. This is true of iPhone 4, iPhone 3GS, as well as many Droid, Nokia and RIM phones. But some users have reported that iPhone 4 can drop 4 or 5 bars when tightly held in a way which covers the black strip in the lower left corner of the metal band. This is a far bigger drop than normal, and as a result some have accused the iPhone 4 of having a faulty antenna design.

At the same time, we continue to read articles and receive hundreds of emails from users saying that iPhone 4 reception is better than the iPhone 3GS. They are delighted. This matches our own experience and testing. What can explain all of this?

We have discovered the cause of this dramatic drop in bars, and it is both simple and surprising.

Upon investigation, we were stunned to find that the formula we use to calculate how many bars of signal strength to display is totally wrong. Our formula, in many instances, mistakenly displays 2 more bars than it should for a given signal strength. For example, we sometimes display 4 bars when we should be displaying as few as 2 bars. Users observing a drop of several bars when they grip their iPhone in a certain way are most likely in an area with very weak signal strength, but they don’t know it because we are erroneously displaying 4 or 5 bars. Their big drop in bars is because their high bars were never real in the first place.

To fix this, we are adopting AT&T’s recently recommended formula for calculating how many bars to display for a given signal strength. The real signal strength remains the same, but the iPhone’s bars will report it far more accurately, providing users a much better indication of the reception they will get in a given area. We are also making bars 1, 2 and 3 a bit taller so they will be easier to see.

We will issue a free software update within a few weeks that incorporates the corrected formula. Since this mistake has been present since the original iPhone, this software update will also be available for the iPhone 3GS and iPhone 3G.

We have gone back to our labs and retested everything, and the results are the same— the iPhone 4’s wireless performance is the best we have ever shipped. For the vast majority of users who have not been troubled by this issue, this software update will only make your bars more accurate. For those who have had concerns, we apologize for any anxiety we may have caused.

As a reminder, if you are not fully satisfied, you can return your undamaged iPhone to any Apple Retail Store or the online Apple Store within 30 days of purchase for a full refund.

We hope you love the iPhone 4 as much as we do.

Thank you for your patience and support.

Apple

Montag, 17. Mai 2010

Exchange Server 2003 - ausgelaufenes SSL Zertifikat verlängern (z.B: für OWA)

Eigene erstellte Zertifikate in einer Domäne für den Einsatz auf dem IIS zum Zugriff über das Internet auf beispielsweise HTTPS-Webseiten oder den Exchange-Server (Outlook Web Access) haben eine Laufzeit von 2 Jahren und müssen regelmäßig erneuert werden.

Insbesondere PDAs oder auch das iPhone stellen keine Verbindung mehr mit dem Exchange-Server her, wenn das Serverzertifikat abgelaufen ist.

Die Lösung ist die Verlängerung eines bestehenden Zertifikats, die ohne Neustart des Servers oder anderer Dienste durchgeführt werden kann. Voraussetzung ist jedoch, dass die zuvor (vor 2 Jahren) eingesetzte Zertifizierungsstelle die gleiche geblieben ist.

In der Verwaltung den IIS und die Eigenschaften der Standardwebseite aufrufen und auf Serverzertifikat klicken:



Weiter:


Zertifikat erneuern (!) anwählen:



Anforderung direkt an die (eigene) Zertifizierungsstelle senden:


Die Zertifizierungsstelle aussuchen und Weiter anklicken:


Noch einmal alles überprüfen und mit Weiter das Zertifikat einspielen:



Das wars. Das Zertifikat ist sofort verfügbar, alle Endgeräte funktionieren wieder.




Mittwoch, 12. Mai 2010

Ab sofort ist die bekannte Funknummer wieder geschaltet, die Portierung wurde erfolgreich durchgeführt:
0177-8406798

Die temporäre Rufnummer wird zum Wochenende abgeschaltet.

Donnerstag, 6. Mai 2010

Vom 7.5. bis 12.5.2010 andere Mobilfunknummer

Achtung!
Vom 7.5. bis zum 12.5. wird meine Mobilfunknummer 0177-8406798 aufgrund der Portierung von E-Plus zu Vodafone nicht erreichbar sein. Bitte verwenden Sie in diesem Zeitraum ausschließlich folgende Rufnummer:

0177-8298331

Donnerstag, 1. April 2010

ICANN schaltet Root-Server ab - Kein Internet über Ostern

Gerade gefunden - werde die Internetfreie Zeit für die Familie nutzen.


"Seit mehr als zehn Jahren haben die Experten davor gewarnt, jetzt ist die Situation eingetroffen - und das noch schneller als ursprünglich erwartet: Die "Internet-Regierung" ICANN (Internet Corporation for Assigned Names and Numbers) hat bekannt gegeben, dass die letzte freie IP-Adresse vergeben worden ist. Eine solche benötigt jedes Gerät, das an das Internet angeschlossen ist - gleichgültig, ob es sich um einen Server, ein Smartphone oder einen IP-fähigen Fernseher handelt.

Insbesondere der Bedarf aus China habe in den letzten Monaten für einen massiven Anstieg von Registrierungen gesorgt, so ICANN-Präsident Paul Twomey. Dass die Adressen so schnell ausgehen werden, habe aber auch die ICANN-Experten überrascht. Appelle von Institutionen wie der Bundesnetzagentur, nicht benötigte IP-Adressen möglichst zurückzugeben, stießen zudem nur auf geringe Resonanz."

Weiter gehts beim Tagesspiegel...

Samstag, 27. März 2010

G Data: Manuelles Entfernen des GData AntiVirus Business Clients (AVK)

Nach einem Update auf eine neue Version von GData AntiVirus (Client-Server Version) auf dem Management-Server oder dem Einsatz eines neuen Management-Servers kann es vorkommen, dass der Client nicht mehr über die Konsole verwaltet werden kann.

In diesem Fall ist es notwendig, den Client manuell zu deinstallieren. Da es keinen Eintrag in die Softwareliste gibt, ist wie folgt zu verfahren:

1) Deinstallation des AVK-Clients aus dem Programmverzeichnis heraus:
Über die Eingabeaufforderung in das Verzeichnis C:\Programme\G DATA\AVKClient wechseln und UnClient /AVKUninst eingeben. Achtung! Die Groß- und Kleinschreibung ist zu beachten! Nach 1-2 Minuten ist die Deinstallation fertig (Prozesse mit dem Taskmanager beachten) und der PC muss neu gestartet werden.

2) Löschen übrig gebliebener Dateien/Verzeichnisse:
Folgende Ordner sollten nach der Deinstallation manuell gelöscht werden, da diese sonst übrig bleiben und eine Neuinstallation verhindern können:
- C:\Programme\G DATA\AVKClient
- C:\Programme\Gemeinsame Dateien\G DATA

3) Optional: Löschen von Registry-Einträgen
Mit dem AVK-Cleaner (neueste Version ist immer über die GData Homepage erhältlich) können alle restlichen Verzeichnisse und Registry-Einträge gelöscht werden. Nach Nutzung des Tools empfiehlt sich ein weiterer Neustart, bevor der neue Virenclient installiert wird.

Links zum Thema:
- G Data AVK Cleaner

Montag, 22. Februar 2010

Exchange: Einstellen der maximalen Ordnergröße in den öffentlichen Ordnern auf 2TB anstelle von 2GB

Obwohl am Exchange Server das Limit für die Datenbankgröße der öffentlichen Ordner auf 2TB gesetzt ist (2147483647KB), gibt es eine Warnung im Zuge der täglichen Postfachbereiningung bzw. beim Setzen von höheren Limits für einzelne öffentliche Ordner, wie beispielsweise "Your public folder ist full". Dort kann das Limit auf maximal 2GB erhöht werden.

Es gibt zwei Lösungsansätze für das Problem.

1) Zunächst muss das Limit der Datenbank, die die öffentlichen Ordner enthält, auf einen Wert höher als 2GB gesetzt werden: Exchange-Verwaltungskonsole-> Serverkonfiguration -> Postfach -> Reiter "Datenbankverwaltung" -> Speichergruppe Public -> Datenbank auswählen und mit der rechten Maustaste klicken -> Eigenschaften -> Reiter "Grenzwerte" -> die entsprechenden Limits einstellen (maximal 2TB).
2) Nun muss in den Eigenschaften des spezifischen öffentlichen Ordners (mit der Toolbox -> Öffentliche Ordner-Verwaltungskonsole -> Öffentliche Standardordner)  der Haken auf "Kontingentstandardwerte der Datenbank verwenden" gesetzt sein! Weiterhin müssen alle darunterliegenden Optionen ausgegraut, nicht angehakt und leer (nicht 0 = Null) sein! Das ist sehr wichtig!
3) Zu Sicherheit sollte anschließend die Bereitstellung der Datenbank des öffentlichen Ordner aufgehoben und wieder aktiviert werden.

Falls damit immer noch keine Lösung erreicht werden konnte, ist im AD ein Parameter für die maximale Ordnergröße hinterlegt, der nur mit adsiedit editiert werden kann.

4) Start -> Ausführen -> adsiedit.msc ->  Configuration -> CN=Configuration,DC=domain,DC=local -> CN=Services -> CN=Microsoft Exchange -> CN= domain name -> CN=Administrative Groups ->  CN=Exchange Administrative Groups -> CN=Servers -> CN= server name -> CN=Information Store -> CN=Speichergruppe Public
5) Rechtsklick auf CN=Public Folder Database auf der rechten Bildschirmseite -> Eigenschaften
6) Nun in der Liste die Variablen mDBOverHardQuotaLimit, mDBOverQuotaLimit und mDBStorageQuota anpassen. Meist ist der der Wert für mDBOverQuotaLimit falsch (auf 2GB) gesetzt. Um das Limit auf das Maximum von 2TB zu setzen, ist der Wert 2147483647 einzutragen.
7) Nach dem Schließen von adsiedit muss wie in 3) die Bereitstellung der Datenbank aufgehoben und wieder aktiviert werden.

Montag, 15. Februar 2010

Microsoft präsentiert die Windows Phone 7 Series

Steve Ballmer / Microsoft hat heute auf dem Mobile World Congress die neue Generation der Windows Phones, die Windows 7 Phone Series, vorgestellt.

Die Windows 7 Phone Series zeichnet sich durch eine komplett neue Art der Bedienung aus, erste Geräte werden am dem zweiten Halbjahr 2010 erhältlich sein.

HTC, Vodafone und andere Partner werden die Windows 7 Phone Series in ihr Portfolio mit aufnehmen.

Man darf gespannt sein!

Interessenten, die zusätzliche Informationen rund um die neue Windows Phone 7 Series wünschen und benachrichtigt werden möchten, sobald erste Geräte verfügbar sind, können sich unter folgendem Link registrieren: http://www.windowsphone7series.com/.

Den vollständigen Auftritt von Steve Ballmer auf der Mobile World Congress Pressekonferenz sowie eine Demo der neuen Windows Phone 7 Series können unter diesem Link abgerufen werden: www.microsoft.com/news/windowsphone.
Sofort nach Verfügbarkeit gibt es die Geräte natürlich auch bei mir zu kaufen!

Links zum Thema:
- http://www.windowsphone7series.com/
- www.microsoft.com/news/windowsphone

Montag, 8. Februar 2010

Fehlermeldung "Das lokale Benutzerprofil wurde nicht gefunden" trotz Server gespeichertem Profil - Ereignis ID 1151

Trotz Einsatz von Server gespeicherten Profilen kann es vorkommen, dass beim Anmelden eines neuen Benutzers am Windows Vista oder Windows 7-Rechner die Fehlermeldung erscheint, dass nur ein temporäres Profil erzeugt werden konnte.

Im Ereignisprotokoll gibt es das Ereignis 1511 "Das lokale Benutzerprofil wurde nicht gefunden. Sie werden mit einem temporären Benutzerprofil angemeldet. Änderungen, die Sie am Benutzerprofil vornehmen, gehen bei der Abmeldung verloren." der Quelle "User Profile Service".

Berechtigungen für den Benutzer sind sowohl im lokalen Profilpfad als auch auf dem Server vorhanden.

Das Problem liegt daran, dass sich der Benutzer bereits früher am Rechner mit seinem Server gespeicherten Profil angemeldet hatte und es in der Zwischenzeit gelöscht wurde. In der Registry ist jedoch noch ein Verweis darauf vorhanden. Dieser Verweis muss gelöscht werden, danach funktioniert die Anmeldung wie gewohnt und das Serverprofil wird nach der Anmeldung zunächst vom Server auf den lokalen Rechner kopiert.

Folgende Schritte sind notwendig (Achtung! Eigenes Risiko, keine Haftungsübernahme):
- Start -> Ausführen -> REGEDIT
- Zum Zweig HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList wechseln
- Im Unterzweig nach einem Zweig mit "Namen.BAK" suchen und löschen.

Links zum Thema:
- Microsoft KB947242

Windows 7 und Windows XP Benutzer mit Server gespeicherten Benutzerprofilen im Netzwerk

Wenn in einem Windows Netzwerk auf den Arbeitsplätzen gemischt mit Windows XP Pro und beispielsweise Windows 7 Pro / Enterprise gearbeitet wird und für die Benutzer Server gespeicherte Profile im Einsatz sind, empfiehlt sich folgende Vorgehensweise, um ein Vermischen der Profile zu verhindern. Somit ist es dann künftig sogar möglich, dass sich Benutzer wahlweise mal an einem Windows 7-Rechner und dann wieder an einem Windows XP-Rechner anmelden und arbeiten können, ohne dass die Profile zerschossen werden.

Windows 7 legt beim erstmaligen Anmelden eines Benutzers im Netzwerk einen neuen Profilordner an (Achtung: auf ausreichende Schreibrechte des Benutzers achten!), der mit ".V2" endet. Ist der Profilpfad beispielsweise file://server/profile/user, so wird ein neues Profil file://server/profile/user.V2 angelegt. Dabei spielt es keine Rolle, ob der Benutzer sich das erste Mal am Netzwerk anmeldet oder vorher bereits mit Windows XP gearbeitet hat.

Meine Erfahrung hat gezeigt, dass selbst wenn der Ordner file://server/profile/user bereits existiert hat, keine Einstellungen in der Windows 7-Profil file://server/profile/user.V2 übernommen werden. Das ist auch gut so, da bei Windows 7 viele Einstellungen komplett anders als unter Windows XP sind.

Meine Empfehlung zur Vorgehensweise vor dem erstmaligen Anmelden eines neuen Windows 7-Benutzers:
- Manuelles Anlegen des file://server/profile/user.V2 - Ordners mit entsprechenden Rechten
- Anmelden/Abmelden/Anmelden des Windows 7-Benutzers im Netzwerks und Prüfung des Profils

Ab sofort kann sich der Benutzer auf Windows XP und Windows 7-Rechnern anmelden und hat dort jeweils seine eigenen Profile. Natürlich werden beide Profile getrennt voneinander behandelt, so dass die Arbeitsumgebung jeweils einmal komplett eingerichtet werden muss.

Freitag, 29. Januar 2010

Warnung vor dem bösartigem Zimuse Wurm - Removal Tool von Bitdefender

Diese Woche hat Bitfender eine Warnung vor dem zerstörerischen Virus Zimuse herausgebracht, der einen Teil der Festplatte (MBR) überschreibt und somit wirklich Daten löscht.

Das tückische an dem Virus ist, dass er als IQ-Test getarnt zunächst nicht in Erscheinung tritt (20 bzw. 40 Tage). Danach gibt es eine Fehlermeldung und nach anschließendem Neustart bootet der PC nicht mehr.

Um zu prüfen, ob der eigene PC bereits von Zimuse befallen ist, kann von Bitfender ein Online-Check durchgeführt werden. Weiterhin gibt es vom gleichen Hersteller ein Removal Tool, um befallene Rechner wieder zu säubern.

Der Virus ist mittlerweile gut dokumentiert, es gibt von seiner Funktionsweise auch ein Video auf Youtube.

Links zum Thema:
Zimuse.de

Donnerstag, 28. Januar 2010

test.reg im TEMP Ordner und automatischer Start vom Internet Explorer im Hintergrund

Bei einem Kunden hatte ich gerade ein hartnäckiges Problem mit einem Viren/Trojaner/Root-Kit Befall: Rootkit.TDSS

Nach jedem Neustart wurde im TEMP-Ordner eine Datei "test.reg" erzeugt, die u.a. Einstellungen des Internet Explorers zurücksetzte. Weiterhin wurde der Prozess iexplore.exe im Hintergrund gestartet, jedoch ohne sichtbares Fenster.

Beim Einsatz von Firefox gab es die Meldung, dass der IE der Standardbrowser sei und man das Verhalten ändern könne. Gebracht hat das jedoch nichts, weil die Einstellungen mit jedem Neustart überschrieben wurden.

Programme wie Malwarebytes oder Combofix konnten zwar installiert, aber nicht ausgeführt werden, da keine Fenster im Vordergrund waren und die Tasks lediglich im Hintergrund gestartet wurden.

Um das System wieder sauber zu bekommen, sind folgende Schritte notwendig (alles auf eigene Gefahr; diese Tools greifen tief in das System ein, daher nur von Profis zu benutzen):
- McAfee Rootkit Detective starten und entsprechende Aktionen durchführen (nicht abgesichert starten!)
- Rechnerneustart
- Malwarebytes installieren und durchlaufen lassen
- Rechnerneustart
- Combofix starten und durchlaufen lassen
- Rechnerneustart

Nun sollte der Rechner wieder sauber sein und alle Programme reagieren. Wie immer bei Viren/Trojaner/Root-Kit-Befall ist zu überlegen, ob der PC zur Sicherheit nicht doch lieber komplett formatiert und neu installiert werden sollte.

Links zum Thema:
McAfee Rootkit Detective
Malwarebytes Anti-Malware 
Combofix

Mittwoch, 27. Januar 2010

Von Microsoft empfohlene Ausschlußliste von Verzeichnissen für Virenscanner

Microsoft hat für die Betriebssysteme Windows Server 2008, Windows Server 2008 R2, Windows Server 2003, Windows 2000, Windows XP, Windows Vista und Windows 7 eine Empfehlung herausgegeben, in der Dateien und Verzeichnisse genannt sind, die von Virenscannern ausgeschlossen werden sollten.

Durch Beachten dieser Empfehlung kann die Sicherheit und Stabilität der Systeme, aber auch die Geschwindigkeit im Netzwerk verbessert werden.

Link zum Thema:
http://support.microsoft.com/kb/822158/en-us

Montag, 25. Januar 2010

Spendenaufruf: Umsatzerlös für Erdbebenopfer aus Haiti [Update 28.02.2010]

[Update 28.02.2010]
Kiene IT hat insgesamt 2.500 Euro an die Hilfsorganisation "Unsere kleinen Brüder und Schwestern" überwiesen. Dieses international tätige Kinderhilfswerk ist seit mehr als 22 Jahren auf Haiti tätig. Im aktuellen chrismon-Heft 03/2010 ist ein Artikel über das Kinderhilfswerk erschienen.

[Update 07.02.2010]
Bisher habe ich 2.240 Euro in Form von Dienstleistungen sammeln können.


Die Not der Erdbebenopfer in Haiti hat mich stark betroffen gemacht, insbesondere weil ich das Land vor vielen Jahren besucht habe und bereits die damalige Lage als bedrückend empfand. Nun ist die Not schlimmer denn je und ich möchte gerne meinen Beitrag dazu leisten, sie zu lindern.

Aus diesem Grund werde ich 1/3 meines Umsatzes auf EDV-Dienstleistungen der nächsten 3 Wochen, also bis zum 17.2.2010 einschließlich, den Erdbebenopfern in Haiti spenden.

Tun Sie Gutes und profitieren Sie gleichzeitig davon - nehmen Sie mich so viel in Anspruch wie Sie können und empfehlen die Aktion weiter. Die gesammelte Spendensumme wird nach Ablauf der 3 Wochen auf meiner Homepage veröffentlicht, ebenso wie der Spendenempfänger.

Kiene IT - "Technik die überzeugt - Service der begeistert"

Sonntag, 17. Januar 2010

Der Dienst Netzwerklastenausgleich wurde aufgrund eines Fehlers nicht gestartet

Nach der Installation von Symantec Backup Exec oder anderen Backup Programmen auf einem Windows 2003 Server kann es folgenden Eintrag mit der Ereigniskennung 7000 im Ereignisprotokoll geben:

Der Dienst "Netzwerklastenausgleich" wurde aufgrund folgenden Fehlers nicht gestartet:

Der angegebene Dienst kann nicht gestartet werden. Er ist deaktiviert oder nicht mit aktivierten Geräten verbunden.



Diese Meldung gibt es, obwohl der Dienst Netzwerklastenausgleich überhaupt nicht installiert ist. Abhilfe schafft eine Änderung in der Registry. Regedit starten und den Zweig HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WLBS aufrufen:

 Der Wert der Zeichenkette "Group" steht auf "PNP_TDI" und muss auf "" (leer) geändert werden.

Links zum Thema:
http://support.microsoft.com/kb/833375/en-us,

Samstag, 16. Januar 2010

Patch verfügbar - Kritische Lücke im Internet Explorer - Angriff auf Google, Adobe + Co [Update 22.01.2010]

[Update 22.01.2010]
Der Patch von Microsoft ist mittlerweile verfügbar und kann u.a. über das Downloadcenter heruntergeladen werden: http://update.microsoft.com/windowsupdate/v6/default.aspx?ln=de

[Update 21.01.2010]
Für heute Abend ist endlich ein Patch für den IE6, 7 und 8 von Microsoft angekündigt! Weiteres im Link am Endes des Artikels.

Am 14. Januar 2010 ist bekannt geworden, dass durch eine bislang unbekannte Sicherheitslücke im Internet Explorer Angriffe auf Windows Rechner durchgeführt worden sind, die vermutlich aus China stammen. Aufgrund der Methode der Vorgehensweise wird vermutet, dass es sich um einen gezielten Angriff aus Regierungskreisen handelt. McAfee war einer der schnellsten Antivirenhersteller, die sich mit dieser Sicherheitslücke auseinandergesetzt und mit Microsoft zusammengearbeitet haben.

Durch diese Sicherheitslücke, die sich in der Version 6, 7 und 8 vom Internet Explorer ab Windows XP befindet und von Microsoft bestätigt ist, können Angreifer aus der Ferne Zugriff auf den Rechner bekommen, Programme ausführen und die gesamte Kontrolle übernehmen.

Zum Infizieren des Rechners muss eine manipulierte Webseite aufgerufen werden; bislang wurden E-Mails mit Links zu diesen Seiten an ausgewählte Mitarbeiter in den betroffenen Firmen geschickt, eine weitere Verbreitung hat bisher nicht stattgefunden.

Festzuhalten ist, dass zum jetzigen Zeitpunkt, der Angriff:
- ausschließlich chinesische Webseiten betraf
- nur Rechner mit Windows XP und Internet Explorer 6 befallen wurden
- Links zu den Webseiten gezielt per E-Mail verschickt wurden

Trotzdem gibt es die Sicherheitslücke weiterhin, Microsoft arbeitet mit Hochdruck an einer Lösung für den Internet Explorer und es ist nicht auszuschließen, dass künftig auch europäische Webseiten zum Zweck der Spionage mit der Sicherheitslücke präpariert werden.

Micosoft hat eine Sicherheitsempfehlung (Security Advisory) herausgegeben, wie das Risiko von der Sicherheitslücke betroffen zu werden, minimiert werden kann. Der BSI (Bund für Sicherheit in der Informationstechnik) erwartet, dass "diese Schwachstelle in kurzer Zeit für Angriffe im Internet eingesetzt wird." und empfiehlt, "bis zum Vorliegen eine Patches von Microsoft auf einen alternativen Browser umzusteigen.".

Der derzeit wohl sicherste Browser ist Opera, da sowohl Firefox (erhöhte Sicherheitslücken) als auch Chrome (hier liegt ebenfalls eine Warnung vom BSI vor) Risiken aufweisen.

Fragen zum Thema bitte per E-Mail oder der Kommentarfunktion im Blog stellen.
 
Links zum Thema:
[Update 21.01.2010] Update für den Internet Explorer demnächst verfügbar
[Update 19.01.2010] http://www.buerger-cert.de/extraausgabe_archiv.aspx?param=Zxo7YT%2f0ple8D0BOTjmS7w%253d%253d
https://www.bsi.bund.de/cln_174/ContentBSI/presse/Pressemitteilungen/Sicherheitsluecke_IE_150110.html
http://www.heise.de/newsticker/meldung/Angriffe-auf-Google-und-Co-durch-bislang-unbekannte-Luecke-im-Internet-Explorer-905183.html
http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/
http://www.microsoft.com/technet/security/advisory/979352.mspx
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx
http://www.gulli.com/news/google-hack-neue-hinweise-auf-regierungs-hilfe-2010-01-16

Freitag, 15. Januar 2010

Karteikarte Sicherheit in der Exchange 2003 Konsole anzeigen

In Exchange System Manager für Exchange 2003 wird nicht standardmäßig die Registerkarte "Sicherheit" angezeigt, die jedoch benötigt wird, um bestimmte Rechte zu setzen (z.B. dem Administrator das Recht zu geben, auf alle Postfächer zuzugreifen).

Um diese Registerkarte anzeigen zu lassen, muss ein Registrierungsschlüssel gesetzt werden:

Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Exchange\EXAdmin]
"ShowSecurityPage"=dword:00000001

Dieser Text kann einfach als .reg-Datei abgespeichert und in die Registrierung importiert werden. Alternativ ist der Key per Hand zu setzen über REGEDIT.

Die Änderung ist sofort wirksam.

Links zum Thema:
http://support.microsoft.com/kb/264733/en-us

Dienstag, 12. Januar 2010

Immer wieder mal wieder unterwegs - Erika Weber vom BKA (Viruswarnung)

Regelmäßig bekomme ich von Freunden und besorgten Kunden E-Mails zur Warnung weitergeleitet, in denen vor gewährlichen Viren und sonstigen Gefahren gewarnt wird. In den Mails selbst werden meist noch der gesamte Bekanntenkreis des Betroffenen und sämtliche Kollegen mit aufgeführt, um auch wirklich Jeden zu warnen.

Doch vor was? Meist geht es um das gefährlichste Computervirus der Welt, ein Kind, welches dringend auf einen Organ/Blutspender wartet, um Geld, das angeblich von AOL oder Microsoft ausgezahlt wird, etc. Man könnte meinen, es ist klar, dass diese Art von E-Mails nicht echt sein können. Trotzdem halten sich solche Kettenmails (und nichts anderes sind diese Art von E-Mails) über Jahre, teilweise sind die Ursprünge älter als 10 Jahre!

So warnt etwa Erika Weber vom BKA seit Januar 2010 vor einem (nicht existierenden) Virus:

Betreff: Fw: Bitte dringend lesen - PC-Virus
> Aufpassen!
> Bitte lesenDRINGEND
>
> wurde heute auch schon in Ö3 - durchgesagt! Bitteverteile diesen Hinweis an Deine Freunde, Familienangehörige und weitere Kontaktpersonen!
>
> In den kommenden Tagen solltest Duaufmerksam sein und keine eMail öffnen mit dem Betreff oder Anhang:Einladung, unabhängig davon wer sie Dir geschickt hat. Es handeltsich um ein Virus, das eine Olympia-Fackel öffnet, die die gesamtePC-Festplatte zerstört.
>
> Dieses Virus kann Dir von einemBekannten gesendet werden, in dessen Adressbuch du stehst. Darumsolltest Du diese Information an alle Deine Kontakt-Adressenweiterleiten. Diese Nachricht eventuell 25 Mal zu bekommen, sollteman bevorzugen, anstatt einmal eine solche Virus-eMail zu erhaltenund sie zu öffnen. Wenn dennoch eine eMail mit dem BetreffEinladung bei Dir eintreffen sollte- und sei es von einem Freund-,öffne sie nicht.
>
> Es handelt sich um das gefährlichsteVirus, das je durch CNN angekündigt wurde.
>
> Dieses neueVirus ist gerade - gestern Nachmittag - durch McAfee entdecktworden und von Microsoft als das zerstörerischste, das es jegegeben hat, eingestuft worden. Und noch gibt es keine Möglichkeit,diese Virusart zu eliminieren. Sie zerstört einfach die Zone Zero(Zentrum) der Festplatte, wo die lebenswichtigen Informationenabgespeichert sind.
>
> Schick bitte diese eMail an alle, die Dukennst! Denk daran: wenn Du sie ihnen sendest, ist das für uns allevon Vorteil
>
> Erika Weber
>
> Bundesministerium f.Inneres
>
> Bundeskriminalamt
>
> Büro II/BK6.1.2Personsfeststellung
>
> Tel: +43-1-24836/85888
>
> Fax:+43-1-24836/85889
> mailto:Erika.Weber@bmi.gv.at


Links zum Thema:
http://hoax-info.tubit.tu-berlin.de/
http://www.coart.de/Computer/Hoaxes-im-Internet

Montag, 11. Januar 2010

FlashPlayer auf Windows Terminal Server 2003 mit Internet Explorer IE8

Um den FlashPlayer auf einem Windows Terminal Server 2003 unter dem Internet Explorer 8 zum Laufen zu bekommen - ohne dass administrative Rechte vorhanden sein müssen - sind folgende Schritte vom jeweiligen User durchzuführen. Es sind keine Registry-Einträge notwendig.

Internet Explorer 8 starten:
- Extras -> Internetoptionen
- Erweitert -> Zurücksetzen -> Zurücksetzen

Internet Explorer 8 neu starten
- (Assistent) -> Weiter -> „Nein, nicht aktivieren“ -> Weiter -> Expresseinstellungen -> Fertig stellen