Howto Fix: Windows Aktivierung – Fehler: 0x80072EE2

Wer beim Aktivieren von Windows 7/8/8.1 oder auch Windows 10 auf den Fehler: 0x80072EE2 stößt hat vermutlich zuvor einen falschen Lizenzkey eingetragen und versucht jetzt diesen per KMS Server zu aktivieren.
Damit man die Windows-Version aber per KMS aktivieren kann muss zuvor ein KMS-Client Key installiert werden.
Diese sind gibt’s bei Microsoft und sind für jede Version unterschiedlich:
KMS Client Keys: https://technet.microsoft.com/de-de/library/JJ612867.aspx?f=255&MSPPError=-2147217396
KMS Server festlegen (nur wenn nicht per DNS verteilt):

slmgr.vbs /skms FQDN-KMS-Server


KMS Client Key installieren
(Windows 8.1 Beispiel):

slmgr.vbs /ipk MHF9N-XY6XB-WVXMC-BTDCT-MKKG7

Windows aktivieren:

slmgr.vbs /ato

MonitorPi – Nagios, Centreon, Check_MK, Nagvis auf dem Raspberry Pi 2

raspberry-pi-2-770x577Es ist mal wieder so weit, es gibt ein Update in Sachen Monitoring. Viele kennen mit Sicherheit den kleinen Raspberry Pi, eigentlich als dritte Welt-PC gedacht – aber unter den Bastlern ebenfalls ein Hit geworden. Ich habe ja schon mehrere Beiträge zum Pi hier geschrieben, aber seit dem Raspberry Pi 2 gibt es noch ganz andere Anwendungsfelder die durch die größere Leistung möglich werden.
So auch das Projekt „MonitorPi“, dass den RaspberryPi in eine Überwachungszentrale verwandelt, die inklusive Zubehör preislich auch unter 100€ liegt.
MonitorPi ist eine fertige Appliance von mir – die mit den beliebtesten Monitoring-Tools vorinstalliert ist.
Was ist alles enthalten und vorinstalliert ? (Ready 2 use)
– Nagios 3.5.1 Nagios
– Centreon 2.6.0centreon_logo
– Centreon-Broker 2.8.2
– Check_MK (Livestatus) 1.2.6.p2check_mk.200
– Nagvis 1.8.2
– Nagios Plugins 2.0.3nagvis
Was wird benötigt ?
Raspberry Pi 2
– mind. 8 GB Speicherkarte (Je schneller desto besser. Class 10 = top)
Win32DiskImager
[stextbox id=“info“]MonitorPi basiert auf der aktuellen Debian Wheezy Distribution die es auch via raspberrypi.org zum Download gibt. (2015-02-16-raspbian-wheezy.img)
Nur habe ich sie noch vollständig aktualisiert. Stand: 04.05.2015[/stextbox]
Wie wird MonitorPi installiert ?
Ganz einfach: Ihr ladet euch die aktuelle Image-Datei herunter und bespielt diese auf eine micro-SD-Karte.
Dies geht mit dem Win32DiskImager wie im Bild beschrieben:
win32diskimager
 [stextbox id=“alert“]Achtung: Alle Daten auf der SD Karte werden gelöscht![/stextbox]
Anschließend den Rasperry Pi 2 mit der SD-Karte booten, er versucht automatisch eine IP via DHCP zu beziehen, und zeigt diese nach dem Boot an.
Wie sehen die unterschiedlichen Monitoring-Tools aus ?


Wie erreiche ich die Tools ?
Alle Tools sind Web-Applikationen, die per Browser aufgerufen werden. Die Url’s sind wie folgt:

NagiosUrl: http://%IP%/nagios
Benutzername: nagiosadmin
Passwort: constey
NagvisUrl: http://%IP%/nagvis
Benutzername: admin
Passwort: admin
CentreonUrl: http://%IP%/centreon
Benutzername: admin
Passwort: constey
Check_MKUrl: http://%IP%/check_mk
Benutzername: nagiosadmin
Passwort: constey
phpMyAdmin (Mysql)Url: http://%IP%/phpmyadmin
Benutzername: root
Passwort: constey

Die Zugangsdaten zum Anmelden an der Konsole oder via SSH sind:
Benutzername: pi
Passwort: raspberry
Ansonsten ist das Passwort immer „constey“, also zum Beispiel für die einzelnen Benutzer oder Mysql-Datenbank-Benutzer.
Download:
Hier gibt es das Image in gezippter Form zum Download 2015-05-04-wheezy-monitorPI-constey-2 (ca. 1.8 GB)
[EXPAND Prüfsummen-Information]—————————
Prüfsummen-Information
—————————
Name: 2015-05-04-wheezy-monitorPI-constey-2.zip
Größe: 1872300662 Bytes (1785 MB)
CRC32: 9ACC060B
CRC64: CC7A670EBC2EF5E0
SHA256: 71D79E6F9FBD9BD68618029F008C77AE488FCE251932B2754D76B2CB2FB5D483
SHA1: FF7AD402D6116BEC4B8D8528223D265D6BB1700A
[/Expand]
FAQ:
Warum ist nicht Nagios 4 installiert?
Zum einen gibt es noch die ein oder anderen Kompatibilitätsprobleme mit Centreon, wer auch noch andere Module benutzen möchte, stößt eventuell ebenfalls auf Kompatibilitätsprobleme. Wer dennoch aktualisieren will kann das natürlich gerne tun.
Wo liegen die Quelldateien ?
Alle Quelldateien liegen unter /home/pi/sources.
MonitorPi-Sources
Wo liegen die wichtigsten Programme ?
Ich habe die Anwendungen in der Regel immer mit Standardwerten kompiliert. Aber hier einige Pfade:
Nagios: /usr/local/nagios
Nagios Plugins: /usr/local/nagios/libexec
Centreon: /usr/local/centreon/

Zerifikatsvalidy period erhöhen

Kurz und knapp: Wenn man bei seiner Windows Zertifizierungsstelle keine Zertifikate mit längerer Gültigkeit ausstellen kann, obwohl es in den entsprechenden Templates konfiguriert ist, muss man prüfen was die generelle Gültigkeitsdauer ist.
Dazu auf dem CA-Server folgende Einstellungen prüfen:

H:\>certutil -getreg ca\ValidityPeriod
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA\ValidityPeriod:
ValidityPeriod REG_SZ = Years
CertUtil: -getreg command completed successfully.
H:\>certutil -getreg ca\ValidityPeriodUnits
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA\ValidityPeriodUnits:
ValidityPeriodUnits REG_DWORD = 2
CertUtil: -getreg command completed successfully.

Über die Werte kriegt man zum einen raus, in was für Perioden gerechnet wird (i.d.R. Jahre), sowie wie lange die max. Gültigkeit ist. (ValidityPeriodUnits)
Um den Wert nun zu erhöhen wie folgt ausführen:

H:\>certutil -setreg ca\validityperiodunits 4
SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\CA\ValidityPeriod
Units:
Old Value:
ValidityPeriodUnits REG_DWORD = 2
New Value:
ValidityPeriodUnits REG_DWORD = 4
CertUtil: -setreg command completed successfully.
The CertSvc service may need to be restarted for changes to take effect.

Abschließend den Zertifikatsdienst neustarten:

H:\>net stop certsvc
The Active Directory Certificate Services service is stopping.
The Active Directory Certificate Services service was stopped successfully.
H:\>net start certsvc
The Active Directory Certificate Services service is starting.
The Active Directory Certificate Services service was started successfully.

Anschließend kann man über den CA-Server in den Zertifikatstemplates die Gültigkeit erhöhen:
img_005_compressed
Und siehe da, die Zertifikate sind nun länger gültig:
img_007_compressed

owncloud Server erfolgreich aktualisieren

Owncloud Maintenance Modus
Owncloud Maintenance Modus

Ich beschreibe hier kurz wie man seine bestehende Owncloud Version aktualisieren kann. Als Betriebssystem benutze ich ein Ubuntu 14.04.
Schritt 1: Aktuelle Owncloud Version herunterladen

cd /tmp/
wget https://download.owncloud.org/community/owncloud-8.0.2.tar.bz2
tar xjv owncloud-8.0.2.tar.bz2

Schritt 2: Owncloud in Maintenance Modus versetzen

cd /var/www
vi owncloud/config/config.php
# Set Maintenance Mode TRUE
'maintenance' => true,

Schritt 3: Webserver stoppen

# Stop Webserver / Apache2
service apache2 stop

Schritt 4: Owncloud Installation verschieben, neue Owncloud Version in richtige Stelle kopieren und Config kopieren

mv owncloud owncloud-old
mv /tmp/owncloud /var/www
cp owncloud-old/config/config.php owncloud/config/
chown www-data:www-data owncloud -R

Schritt 5: Owncloud Upgrade durchführen

cd owncloud
sudo -u www-data php occ upgrade
Turned on maintenance mode
Checked database schema update
Checked database schema update for apps
Updated database
Disabled 3rd-party app: calendar
Disabled 3rd-party app: contacts
Disabled 3rd-party app: documents
Disabled 3rd-party app: search_lucene
Updated <files_pdfviewer> to 0.7
Updated <activity> to 1.2.0
Updated <files_sharing> to 0.6.1
Updated <gallery> to 0.6.0
Turned off maintenance mode
Update successful

Schritt 6: Webserver starten

service apache2 start

[stextbox id=“info“]Ich bin zuerst der offiziellen Upgrade Doku gefolgt, doch dort wurden die Berechtigungen nicht neu gesetzt (chown). Daraufhin hatte ich nach dem Upgrade nur eine weiße Seite und folgende Fehlermeldung im apache2 error.log:

[Fri Mar 13 10:44:25.692970 2015] [:error] [pid 9759:tid 139709684631296] [client 62.153.223.62:34329] FastCGI: server "/usr/lib/cgi-bin/php5.fcgi" stderr: PHP message: PHP Warning: flock() expects parameter 1 to be resource, boolean given in /var/www/owncloud/lib/private/config.php on line 178, referer: https://cloud.constey.de/
[Fri Mar 13 10:44:25.693061 2015] [:error] [pid 9759:tid 139709684631296] [client 62.153.223.62:34329] FastCGI: server "/usr/lib/cgi-bin/php5.fcgi" stderr: PHP message: PHP Fatal error: Call to a member function getValue() on a non-object in /var/www/owncloud/lib/private/legacy/config.php on line 46, referer: https://cloud.constey.de/

Nach dem „chown www-data:www-data owncloud -R“ lief aber alles wie geschmiert.[/stextbox]

Offline Installation von .Net 3.5 via GPO korrekt einrichten

Ich habe vor längerer Zeit schon mal mit dem Problem gekämpft, dass die .Net 3.5 Installation unter Windows 8 im Firmenumfeld fehlschlägt. Eine Alternative zur Installation über „Programme und Features hinzufügen“ hatte ich hier beschrieben.
Allerdings bekomme ich neuerdings hier öfter auch einen Fehler, was die Installation fast unmöglich macht:

The source files could not be found.
Use the "Source" option to specify the location of the files that are required to restore the feature. For more information about specifying a source location, see http://go.microsoft.com/fwlink/?LinkId=243077.

Um Dot Net nun doch installiert zu bekommen gibt es 2 Lösungen:
1. Offline Installer verwenden (Weg für die Faulen :p)
Ihr findet hier eine Offline-Version zum Installieren von .Net die unter Windows 8, Windows 10, Windows 2012 Server etc. funktioniert.
2. Gruppenrichtlinien anpassen
Als erstes benötigt man die aktuellen ADMX-Templates für Windows 8.1/2012, die es hier zum herunterladen gibt, ansonsten sieht man evtl. die Einstellungen im Gruppenrichtlinieneditor nicht.
Nun kann man über den Gruppenrichtlinieneditor die folgende Einstellung setzen:
Computer Configuration\Administrative Templates\System -> Specify settings for optional component installation and component repair
Feature Install GPO

a) Entweder man macht den Haken wie im Bild rein, d.H. dass alle Features über Windows Update aus dem Internet heruntergeladen werden
oder:
b) Man gibt einen Alternativen Quell-Pfad der Windows Dateien auf einem Netzwerkpfad an
Dies können auch mehrere sein, wie zum Beispiel folgende Einstellung:

\\netzlaufwerk\wsus\Win81\sources\sxs;\\netzlaufwerk\wsus\Win2012\sources\sxs;

In diesem Fall werden die Features aus dem lokalen Lan installiert, geht bei den meisten dann schneller 😉
(via)

vSphere 6 – Zertifikat austauschen

Mit vSphere 6 bietet vMware eine eigene Zertifikatsstelle (vmcad) für seine Produkte an. Wer aber dennoch lieber eigene Zertifikate verwenden möchte kann dies natürlich auch weiterhin tun.
Zertifikat Request erstellen:

C:\Program Files\VMware\vCenter Server\vmcad>certificate-manager
_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _
| |
| *** Welcome to the vSphere 6.0 Certificate Manager *** |
| |
| -- Select Operation -- |
| |
| 1. Replace Machine SSL certificate with Custom Certificate |
| |
| 2. Replace VMCA Root certificate with Custom Signing |
| Certificate and replace all Certificates |
| |
| 3. Replace Machine SSL certificate with VMCA Certificate |
| |
| 4. Regenerate a new VMCA Root Certificate and |
| replace all certificates |
| |
| 5. Replace Solution user certificates with |
| Custom Certificate |
| |
| 6. Replace Solution user certificates with VMCA certificates |
| |
| 7. Revert last performed operation by re-publishing old |
| certificates |
| |
| 8. Reset all Certificates |
|_ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _ _|
Note : Use Ctrl-Z and hit Enter to exit.
Option[1 to 8]: 1
Please provide valid SSO password to perform certificate operations.
Password:
1. Generate Certificate Signing Request(s) and Key(s) for Machine SSL certificate
2. Import custom certificate(s) and key(s) to replace existing Machine SSL certificate
Option [1 or 2]: 1
Please provide a directory location to write the CSR(s) and PrivateKey(s) to:
Output directory path: c:\tmp\6
2015-03-22T14:25:31.824Z Running command: ['C:\\Program Files\\VMware\\vCenter Server\\vmcad\\certool.exe', '--genkey', '--privkey', 'c:\\tmp\\6\\machine_ssl.key', '--pubkey', 'c:\\users\\admin\\appdata\\local\\temp\\2\\pubkey.pub']
2015-03-22T14:25:32.064Z Done running command
2015-03-22T14:25:32.067Z Running command: ['C:\\Program Files\\VMware\\vCenter Server\\vmcad\\certool.exe', '--gencsrfromcert', '--privkey', 'c:\\tmp\\6\\machine_ssl.key', '--cert', 'c:\\users\\admin\\appdata\\local\\temp\\2\\vecs_crt.crt', '--csrfile', 'c:\\tmp\\6\\machine_ssl.csr']
2015-03-22T14:25:32.116Z Done running command
CSR generated at: c:\tmp\6\machine_ssl.csr

Anschließend diesen Request von seiner Zertifikatsstelle signieren und das Zertifikat im Base64 Format wieder auf dem Server zur Verfügung stellen.
Dann kann dieses jetzt importiert werden:

1. Continue to importing Custom certificate(s) and key(s) for Machine SSL certificate
2. Exit certificate-manager
Option [1 or 2]: 1
Please provide valid custom certificate for Machine SSL.
File : c:\tmp\6\machine_ssl.cer
Please provide valid custom key for Machine SSL.
File : c:\tmp\6\machine_ssl.key
Please provide the signing certificate of the Machine SSL certificate
File : c:\tmp\6\root-base64.cer
You are going to replace Machine SSL cert using custom cert
Continue operation : Option[Y/N] ? : y
Status : 100% Completed [All tasks completed successfully]

Alternativ kann man auch mit Hilfe des Windos-Zertifikatsdienst ein Zertifikat anfordern, austellen lassen und exportieren:


Das Zertifikat als .pfx (mit Private Key’s) exportieren und anschließend per OpenSSL für vMware konvertieren.
Key exportieren:

openssl pkcs12 -in 123.pfx -nocerts -out key.pem -nodes
Enter Import Password:
MAC verified OK

Zertifikat exportieren:

openssl pkcs12 -in 123.pfx -nokeys -out cert.pem
Enter Import Password:
MAC verified OK

Passwort vom Key entfernen:

openssl rsa -in key.pem -out server.key
writing RSA key

Die beiden Dateien (cert.pem & server.key) könnt ihr anschließend über den Certificate-Manager importieren.

vSphere 6 Upgrade – Troubleshooting

Seit Mitte des Monats hat vMware vSphere 6 veröffentlicht, mit ein paar neuen Rundum Erneuerungen.
Auf die Details gehe ich jetzt mal nicht ein, gibt schon genügend seiten die ein What’s New veröffentlichten.
Ein paar Neuerungen die beim Upgrade zu Problemen führen könnten:

  1. Wenn der vMware Update Manager auf der selben Maschine wie der vCenter Server installiert ist, benötigt die VM mindestens 8GB Ram. Dokumentation
  2. Externe Datenbanken müssen kompatibel sein. Compatibility Matrix img_015
  3. Die Datenbank muss vor dem Upgrade manuell präpariert werden. Siehe Dokumentation
  4. Bei nicht Verwendung der neuen vMware self-signing CA, unterstützt eure CA die aktuellen Hash-Algorithmen SHA254,SHA512 usw.. ? SHA1 Zertifikate werden bald nicht mehr unterstützt.

Solltet ihr während des Upgrade Checks auf folgenden Fehler stoßen:

ERROR: Incompatible MSSQL version with vCenter Server 6.0

kann dies mehrere Ursachen haben:
1. Datenbankversion prüfen

 (SELECT CAST(SERVERPROPERTY('ProductVersion') AS varchar(30)) ProductVersion,CAST(SERVERPROPERTY('Edition') AS varchar(30)) Edition)
ProductVersion Edition
10.50.4000.0 Standard Edition (64-bit)

2. Datenbank mit dem SQL Skript vorbereitet ?
3. Datenbank Compatibility Level auf „SQL Server 2008“ (100) gestellt ?

SELECT SUM(COALESCE(server_version, 0)) as server_version FROM ( SELECT CAST(1 AS INT) as server_version FROM ( SELECT CAST(SERVERPROPERTY('ProductVersion') AS varchar(30)) ProductVersion, CAST(SERVERPROPERTY('Edition') AS varchar(30)) Edition ) db_serv WHERE REPLACE(ProductVersion, '.0.', '.00.') < (CASE WHEN ProductVersion LIKE '12.%' THEN '12.00.2000' WHEN ProductVersion LIKE '10.%' THEN '10.50.2500' ELSE '11.00.2100.60' END) OR (Edition NOT LIKE 'Standard%' AND Edition NOT LIKE 'Enterprise%' AND Edition NOT LIKE 'Express%' AND Edition NOT LIKE 'Datacenter%') UNION ALL SELECT CAST(2 AS INT) as server_version FROM sys.databases WHERE name = db_name() AND compatibility_level < 100 ) AS tbl_check
server_version
NULL

Beim Upgrade von Hosts mit NVIDIA Grid Karten und bereits eingebundenen Treiber, muss dieser vor dem Upgrade auf ESXi 6 vorher deinstalliert werden.
Dies geht wie folgt:
– Alle Virtuellen Maschinen mit 3D Beschleunigung herunterfahren
– ESXi in Maintenance Mode versetzen
– per SSH, oder Konsole verbinden
– Xserver stoppen:

~ # /etc/init.d/xorg stop
watchdog-Xorg0: Terminating watchdog process with PID 35609
watchdog-Xorg1: Terminating watchdog process with PID 35784
watchdog-Xorg2: Terminating watchdog process with PID 35980
watchdog-Xorg3: Terminating watchdog process with PID 36146
Process 36169 stopped
Process 36003 stopped
Process 35807 stopped
Process 35632 stopped

– Kernelmodul entladen:

~ # vmkload_mod -u nvidia
Module nvidia successfully unloaded

Vib File deinstallieren:

~ # esxcli software vib remove --vibname=NVIDIA-VMware_ESXi_5.5_Host_Driver
Removal Result
Message: Operation finished successfully.
Reboot Required: false
VIBs Installed:
VIBs Removed: NVIDIA_bootbank_NVIDIA-VMware_ESXi_5.5_Host_Driver_340.32-1OEM.550.0.0.1331820
VIBs Skipped:

Stoppt man die Prozesse nicht korrekt bekommt mein beim Deinstallieren des vib File folgenden Fehler:

[InstallationError]
Error in running rm /tardisks/NVIDIA_V.v00:
Return code: 1
Output: rm: can't remove '/tardisks/NVIDIA_V.v00': Device or resource busy

Office 2010/2013/2016 – Word/Excel – persönliche Vorlagen anzeigen

img_008In Word 2013 wurde die Anzeige für die Erstellung von neuen Dokumenten erneuert, sodass man jetzt bei „Neu“ standardmäßig direkt Empfohlene Vorlagen von Microsoft findet.
Im Unternehmen möchte man aber vermutlich hier seine eigenen Vorlagen per Default anzeigen, das geht per Registry Einstellung oder Gruppenrichtlinie relativ einfach.
Als erstes prüft, ob der „Standardspeicherort für persönliche Vorlagen“ auch korrekt gesetzt ist. (Datei -> Optionen -> Erweitert)
Diesen Wert kann man natürlich auch per Gruppenrichtlinie setzten. Dort gibt es auch eine Einstellung  (Userteil)“Workgroup templates path“ unter „Microsoft Office 201x -> Shared paths“ womit man einen zusätzlichen Speicherort angeben kann, ohne den Pfad der direkten Uservorlagen ändern zu müssen.

Registrierungspfad der Gruppenrichtlinie:
HKEY_CURRENT_USER\software\policies\microsoft\office\15.0\%WORD,Excel, usw..%\options\general!officestartdefaulttab

In der Praxis also ungefähr so:

Word:
HKEY_CURRENT_USER\Software\Microsoft\office\15.0\word\options
DWORD: officestartdefaulttab
Value: 1
Excel:
HKEY_CURRENT_USER\Software\Microsoft\office\15.0\excel\options
DWORD: officestartdefaulttab
Value: 1

Im Gegenzug findet man die gleichwertige Gruppenrichtlinie unter:
User Configuration -> Policies -> Administrative Templates -> Microsoft Word 2013 (oder anderes Produkt) -> Miscellaneous -> Show custom templates tab by default in Word on the Office
img_012img_011
Dass man dafür die Office 2013 ADMX Templates installiert haben muss ist denke ich klar, sonst sieht man den Punkt nicht 😉 (via)
Update (11.05.2017): Das gleiche funktioniert auch bei Office 2016. Hier braucht ihr dann die passenden Office 2016 ADMX Templates – die Namen und Beschreibungen sind aber alle identisch geblieben.
Alle Werte finden sich in der Registry unter der Ebene: HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\office\16.0

Ubuntu – selbstsigniertes Zertifikat in Zertifikatsspeicher hinzufügen

Manche Webseiten benutzen in Zeiten von StartSSL noch selbstsignierte Zertifikate. Jetzt kann es sein, dass Anwendungen nicht korrekt laufen, sofern der HTTPS-Verbindung nicht vertraut wird.
Ich beschreibe hier kurz wie man dem Zertifikat dennoch vertrauen kann, indem man es in den Zertifikatsspeicher von Ubuntu hinzufügt.

cd /tmp
openssl s_client -showcerts -connect dieUrlmitSelbstSigniertemZertifikat.de:443 /dev/null|openssl x509 -outform PEM >th.crt
cp th.crt /usr/local/share/ca-certificates/th.crt
root@ns346469:/tmp# update-ca-certificates
Updating certificates in /etc/ssl/certs... 1 added, 0 removed; done.
Running hooks in /etc/ca-certificates/update.d....done.