Kategorie : Hard & Software

in Ärger, Clips, Kommentar, Kurioses, Netz, Politik, Security, Tellerrand

Über den Tellerrand Nr. 9

Neue Woche, neues Glück …

  1. Das BDI fordert einen Schnellstart der eGK – endlich wurden wir erhört und es sagt einer der Verzapfer dieses “Machwerkes” worum es bei der eGK wirklich geht: Profit für die beteiligten Unternehmen! War ja klar, denn mit Sicherheit, Prävention und besserer Dienstleistung hat das Ganze überhaupt nichts zu tun
  2. Biometrische Gesichtserkennung in Laptops gehackt – dieses unausgereifte “Kinderspielzeug” Biometrie ersetzt eben nun mal kein gutes und komplexes Passwort. Merke: Biometrie != Sicherheitsgewinn aber Biometrie == Sicherheitsverlust.
  3. Hach die Bahn, die deutsche Bahn. Sie hatte doch schon alles ausgesagt, alle Machenschaften lagen auf dem Tisch und nun das. Was ich nicht ganz verstehe, ist, wieso nach all dem Mist, den Mehdorn verzapft bzw. durchgehen lassen hat, er immer noch im Amt sitzt?
  4. Da wird diskutiert und beraten, Gremien einberufen, Gänseblümchen ihre Blätter gezupft, Götter und Orakel befragt, Gollum gefangen, um den Ring an sich zu reißen, um eine Grundsatzregelung  zum Arbeitnehmer-Datenschutz zu Papier zu bringen. Haben wir nicht ein allgemeines Datenschutzgesetz? Gilt dieses nicht für uns “arme” Arbeitnehmer, oder wie? Wenn doch, wozu brauchen wir ein neues und spezielles Datenschutzgesetz für Arbeitnehmer? Ach ich verstehe – wie es halt immer bei Gesetzen mit Hr. Schäuble & Co. ist – um neue Ausnahmen und Umgehungsmöglichkeiten einzubauen.
  5. Unsere Daten sind wichtig. Unsere Profile sind wichtig. Da kann man so schön wirtschaftlichen Schindluder mit treiben. Und Dollarzeichen in den Augen und Scheine in der Geldbörse gibt es ohne Ende dazu. Kann ja nicht angehen, dass man die Daten, Nachrichten, Verknüpfungen, Profile eines gekündigten Accounts nicht mehr weiternutzen darf. Der Nutzer hat doch eh gekündigt, also braucht er das doch nicht mehr …..
    Abstoßend – und das noch in aller Öffentlichkeit. Deutlicher geht es wirklich nicht mehr – Warnung an alle von mir. 
  6. In dem großen Britannien ist gemäß neuem Gesetz verboten Polizisten zu fotografieren – und jetzt kommt es: es ist ein Anti-Terrorismus-Gesetz. Genial ist der letzte Satz: “Photographers who refuse to stop taking pictures after a warning face arrest, up to 10 years in prison or unspecified fines.”
    Die spinnen, die Briten … so kann man auch ganz schnell Journalisten mundtot machen. Was? Du willst kein Foto von mir machen? Dann sperre ich dich mal ein und behaupte das Gegenteil. Wer wird glaubwürdiger sein, hmm? 
  7. Ohne Worte – Kinder spielten SEK und Nachbar rief das echte SEK! Sensationell auch: “die dort mit offenbar unlauteren Absichten etwas suchten”. Wie weit sind wir schon in diesem Land gekommen? Vermutungen, vage Behauptungen reichen bereits aus ..
  8. Conficker läßt grüßen: nachdem nun alle Welt weiß, dass auf U-Booten der britischen Marine Windows läuft, brauchte es auch nicht lange, dass diese mal so richtig ge”conficked” wurden. Und wer glaubt, dass es nur die Briten traf: nee, unsere ArmeeBundeswehr war ebenso nicht dazu in der Lage sich dagegen zu schützen. “… PATCH EINSPIELEN? SIE WOLL’N MICH WOHL VERARSCHEN, GEFREITER MÜLLER! WIR SIND HIER BEI DER BUNDESWEHR – DA WIRD NICHT GESPIELT!” Jawoll, Herr Oberstabsfeldwebeldingens … hach, wie ich den Verein nicht vermisse … und spätestens jetzt weiß ich auch warum ..

Und zum Abschluss des Abends ein Kräuterli … zum Wohl!

in Arbeit, Hard & Software, Hilfe, Kurioses, PC

Problem durch die Zukunft

Mich ereilte vor Feierabend heut ein dringender Ruf eines Kunden (ältere Generation). Die Anmeldung an seiner Arbeitsstation, welche sich in einer Domäne befindet, war ihm nicht möglich. Über Fehlermeldungen schwieg der Kunde sich aus, dennoch sollte sich jemand unbedingt jetzt sofort und am besten schon vor 5 Minuten dem Problem annehmen.

Da eh fast Feierabend war (Elternzeit) fuhr ich auf dem Weg nach Hause bei dem Kunden vorbei, startete den Rechner und bekam nach versuchter Anmeldung die Meldung, dass auf Grund unterschiedlicher Zeiten zwischen dem Client und dem Server eine Anmeldung nicht möglich sei.

Ich schaute den Kunden an und fragte, ob er die Systemzeit des Rechners geändert hätte. Wie zu erwarten bekam ich die Antwort: “Selbstverständlich nicht!”. Ich startete den Rechner erneut und begab mich ins BIOS und dort zur Abteilung Datum/Uhrzeit und ich erblickte 18.06.2009!

Ich: “Arbeiten Sie gern in der Zukunft?”
Kunde: “Wieso?”

Ich: “Da die Zeit des Rechners auf in 4 Monaten gesetzt ist …” – speicherte die Konfiguration mit korrektem Datum ab und startete den Rechner neu.

Kunde: “Wie passiert denn das?”
Ich: “Was haben Sie denn beim letzten Mal getan?”

Kunde: “Ich habe Termine koordiniert – dazu klicke ich immer rechts unten auf die Uhrzeit und schaue nach, an welchem Wochentag der Termin stattfindet.”
Ich: “Und dann?”

Kunde: “Wenn der Termin bestätigt wird, trage ich ihn in den Kalender in Outlook und schließe danach das Fenster mit ‘OK’.”
Ich: “….”

Ich: “Und hatten Sie rein zufällig gestern einen Termin vereinbart für den 18.06.2009?” 
Kunde: “Ja, wieso?”

Ich: “Weil Sie damit die Systemzeit des Rechner geändert haben …”
Kunde: “…..”

Ich habe ihm dann noch schnell erklärt, wieso diese Art der Methode nicht sonderlich die Beste ist, um Termine abzustimmen und zeigte ihm, dass er auch ruhig den Kalender in Outlook nutzen könne, um herauszufinden, an welchem Tag welcher Wochentag ist. Zusätzlich bekommt er auch die Information, ob er an diesen Tag bereits Termine hat. Somit würde er auch nicht mehr versehentlich die Uhrzeit und das Datum des Rechners ändern.

Der Kunde war fassungslos – über sein unbedarftes Verhalten. Ich beruhigte ihn, da ja nichts passiert wäre. 

Kunde: “Sie sind aber deswegen extra zu uns gekommen … wegen so einen Fehler meinerseits …”
Ich: “Auch das ist mein Job – und wie Sie sehen, können wir auch einige Probleme durch die Zukunft lösen …” ;-)

Ich: “Übrigens – ich wünsche einen schönen Feierabend und selbstverständlich geht diese Runde aufs Haus – versteht sich von selbst …”

Hintergrund: Ursache des Problems liegt in den unterschiedlichen Datumseinstellungen des Servers und des Client innerhalb einer Domäne. Bei Versuch der Anmeldung des Clients am Server wird ein Kerberos Ticket erzeugt. Dies beinhaltet auch, dass ein Zeitunterschied zwischen beiden Systemen nicht mehr als 5 Minuten (laut Erinnerungsstand) betragen darf. Ist dies dennoch der Fall, dann ist das Ticket ungültig und der Nutzer (auch der Domänenadministrator) kann sich nicht anmelden.

Man kann nun sich als lokaler Admin anmelden und das Datum ändern – man kann aber auch, wenn man Zugriff auf das BIOS hat, das Datum im BIOS ändern. Danach sollte eine Anmeldung an der Domäne funktionieren. Wenn nicht, dann sollte man die Einstellung bezüglich Sommer-/Winterzeit beachten (herausnehmen, bzw. setzen). Mir ist es bisher zweimal untergekommen, dass einer der beiden Parteien (Server bzw. Client) den Haken gesetzt hatte, der andere nicht. Somit bestand trotz augenscheinlich gleicher Zeit und Datum eine einstündige Diskrepanz, welche ergo auch dahingehend führt, dass der Server die Anmeldung des Client verweigert.

 

in Hard & Software, Hilfe, Mac, Privates

Der Verdammnis entronnen

Ich gräme mich schon einige Tage damit, dass bestimmte Bouquets des hiesigen Kabel-Betreibers RFT kein Bild mehr lieferten. Laut Anzeige von EyeTV war Signal vorhanden und das auch noch zu 100% Qualität, aber es kam kein Bild, geschweige denn überhaupt Ton. Lediglich die Meldung “Dieser Sender ist zur Zeit nicht verfügbar” wurde mir mittels EyeTV mitgeteilt. Es funktionierten ansonsten alle Frequenzen, außer die, der angeprangerten Sender.

Heute hatte ich den Kanal sprichwörtlich langsam voll, denn die Sender waren immer noch nicht erreichbar, meine Aufnahmeliste schwoll ins Unerdenkliche auf jenen Sendern an und diesen Schwall des Grams, der nicht funktionierenden Aufnahmen und der Gedanken höllischer Natur wollte ich erneut dem Support überhelfen, als ich sicherheitshalber meine beiden DVB-C Empfänger von Digital Everywhere vom Strom nahm. Ebenso trennte ich vom Mac mini die Firewire-Verbindung.

Resultat? Die Sender gehen … mir persönlich nicht begreiflich, wieso 2 Frequenzen nicht gingen, aber die anderen doch .. aber alle Sender funktionieren nun wieder. Irgendeine Logik? Ich denke nicht.

Zumindest ist RFT der Verdammnis entronnen … diesmal!

in Kommentar, Netz, Security

Gute Finte

Geschickt eingefädelt von der NSA. Da lobt man milliardenschwere Preisgelder aus, um die Verschlüsselung von Skype zu knacken, was somit angeblich suggeriert, dass Skype sicher sei. Jeder Terrorist und jeder, der etwas zu verbergen hat, greift natürlich deswegen zu Skype, da man ja sicher ist und der “Feind” nicht mithören kann.

Eine noch subtilere Irreführung gibt es wohl nicht, oder? Selbst wenn sie es nicht könnten, könnten sie Skype mit dem Geld einfach aufkaufen, wo doch eBay Skype möglicherweise schon loswerden will. Wie bescheuert muss man sein, um dieser Sache auf den Leim zu gehen?

PS: Skype ist bei mir schon seit Längerem verbannt – nicht schon allein deswegen.

in Arbeit, Hard & Software, Hilfe, PC

Ade, AD und DNS! Oder etwa doch nicht?

Wenn es nach der gestrigen intensiven Google-Suche meinerseits geht, ist das gestern aufgetretene (berufliche) Problem bei einem Kunden mehr als selten. Informationen hierzu waren spärlich, wenn nicht sogar armseelig. Anscheinend taucht es niemals auf – obwohl es das tut. Was war passiert? Ich versuch es so ausführlich wie möglich, aber bedenkt – ich mach es aus dem Kopf, da ich die Fehlermeldungen nicht mehr vorliegen habe.

Die genauen Hintergründe sind mir selbst verborgen. Anfangs lag der Verdacht auf ein fehlerhaftes Update eines Antiviren-Programmes, welches ich aber nach erster Recherche beim Kunden vor Ort ausschließen konnte. Nach Start des Servers (hier ein MS 2003 Server Standard), war eine Anmeldung nicht möglich, da ein Fehler im Verzeichnisdienst (Active Directory) aufgetreten ist. Um es mit einfachen Worten zu sagen, die Active Directory Informationen waren im Anus.

Im Verzeichnisdienstwiederherstellungsmodus war es mir nicht möglich die ntds.dit-Datei (welche die AD-Informationen beinhaltet) mit den üblichen Tools, wie ntdsutil oder esentutl zu reparieren. Ich hatte an dieser Stelle fast aufgegeben, da eine aktuelle Sicherung nicht vorhanden war. Der Server pfiff eh schon auf dem letzten Loch und die Datensicherung war genauso zuverlässig und glaubwürdig, wie Backsteine in der Luft schweben können.

Die Betonung lag hier auf “aktuelle” Sicherung. Ich hatte noch Zugriff auf eine Sicherung von 2006. Also relativ zeitnah möchte ich anmerken. Aus dieser holte ich im Modus Verzeichnisdienstwiederherstellung die ntds.dit und überschrieb die Originale (nach händischer Sicherung) im Ordner C:\WINDOWS\NTDS. Die Prüfungsmechanismen mittels ntdsutil verliefen fehlerfrei und ich startete den Server durch. Ich konnte mich daraufhin anmelden aber das nächste Problem folgte – der DNS Server. Es handelte sich um eine AD mit integriertem DNS und die rückgesicherte ntds.dit war einfach viel zu alt, sodass der DNS Server dies nicht akzeptierte. Ich konnte den DNS Server nicht konfigurieren oder eine neue Zone erstellen – beides wurde mit einer Meldung in der Art “konnte nicht in Active Directory (null) schreiben”. Ebenso war es mir nicht möglich, mit den mir verständlichen Mitteln den DNS Server zu deinstallieren und blanko zu installieren. Es schlug jeder Eingriff fehl.

Somit konnten auch die Clients keine Namensauflösung mehr machen, geschweige denn sich an der Domäne anmelden. Intern, wie auch extern war der Zugriff auf DNS-Namen nicht möglich. Ein Glück, dass der Kunde mittels HTTP-Proxy surfte. Zumindest war der Server via \\IP-Adresse erreichbar. Eine Konstellation, die dem Kunden “erst einmal ausreichte”. Ich versprach mich darum zu kümmern, denn völlig mich einer Neuinstallation hingeben lag mir fern. Ich recherchierte gestern über 5 Stunden zu Hause und stieß auf den für mich letzten besaglichen Strohhalm.

Heute beim Kunden angekommen, habe ich das auch gleich umgesetzt, Daumen gedrückt, weggesehen und … es lief! Einzig allein die wenigen Arbeitsstationen musste ich aus der “alten” Domäne austreten und in die “neue” Domäne eintreten lassen und alles funktionierte, wie es sollte. Und für alle die, die ungeduldig warten, was ich getan habe, hier eine “Kurzanleitung” am Hauptserver (DC+DNS).

  1. Deinstallation des DNS-Servers (Systemsteuerung->Software->Windowskomponenten hinzufügen/entfernen)
  2. Löschen (vorher sicherheitshalber sichern) der Dateien netlogon.dns und netlogon.dnb (hier unter C:\WINDOWS\SYSTEM32\CONFIG)
  3. Löschen (vorher sichern) des kompletten Ordners DNS (unter C:\WINDOWS\SYSTEM32)
  4. wenn noch nicht vorhanden, die Support Tools von M$ installieren
  5. CMD starten und folgenden Befehl eingeben (vom Support Tools Installationspfad aus): netdom resetpwd /server:SERVERNAME /userd:SERVERNAME\Administrator /passwordd:*
  6. es wird nun nach dem Kennwort gefragt: hier kann einfach das alte Administratorkennwort eingegeben werden
  7. DNS Server installieren (Systemsteuerung->Software->Windowskomponenten hinzufügen/entfernen)
  8. Sicherstellen, dass die oben entfernten Dateien und Ordner wieder erzeugt wurden
  9. CMD starten und netdiag /fix ausführen
  • Restarbeiten (Aus- & Eintritt der Client-PCs in die Domäne)
  • Feierabend machen

Mindestens durch die alte ntds.dit Datei, wenn nicht durch einen Fehler in der DNS Konfiguration oder anderen Ursachen, wurde das Kerberos-Passwort des Administrators zurückgesetzt. Mittels netdom wird dieses “aufgefrischt” und dann sollten in dieser Hinsicht diese Probleme beseitigt sein.

Hoffe es hilft Einem – dem Kunden für sein Geschäft und mir für das “Wissen” auf jeden Fall.

in Hard & Software, Kommentar, Netz, Security

Sicherheitsspezialist unsicher …

Wie Heise, Fefe und die Hauptquelle hackersblog.com berichten, ist die Webseite von Kaspersky mit einer eigenen massiven Sicherheitslücke betroffen, mit der die komplette dahinter liegende Datenbank anzapfbar ist – nebst Administrationskennwörtern, Aktivierungscodes, Shops, Daten über Kunden usw.

Es zeigt mitunter passend, dass selbst “Spezialisten” vor Lücken und möglichen Datenklau nicht gefeit sind.