romgal – Seite 9 – das sanieren wir später….

MS Account mit gleicher Mailadresse wie Work/School Account

Posted on 23. April 2018 by roman

….schlechte Idee. Zumindestens wenn man MS Premier Support Services und irgendeine Azure Subscriptions (Office 365 (Access to Azure AD), MSDN Subscription (aka dev/test wie es jetzt überall heißt), Azure Pass, etc.) hat.

An jeder zweiten Ecke (speziell beim Billing und beim Azure Account managment) scheitert man dann mit Fehlern ala “There is a problem with your account. File a support ticket bla bla bla….”.

Nach mehreren Calls mit den Teams von Premier Services, Azure Subscriptions Managment und dem Office 365 Team (zuständig für Azure AD) hab ich das Problem selbst gelöst in dem ich auf https://account.microsoft.com/profile/ beim Punkt “Manage your sign-in email or phone number” den primären Alias zuerst auf eine neue Mailadresse und dann den alten Alias der in Konflikt mit dem Work/School Account stand gelöscht habe.

Vielleicht hilfts ja jemandem 🙂

Azure S2S VPN mit Libreswan auf Raspberry Pi Zero

Posted on 6. April 2018 by roman

Es gibt ja jede Menge Anleitungen für Site2Site VPN mit Azure, Beispiele:

Connect your on-premises network to an Azure virtual network

Microsoft Azure : How-to setup a site-to-site VPN using OpenSwan (on a Telenet SOHO subscription)

Raspi muss natürlich sinnvollerweise eine statische Adresse haben und Routing muss enabled sein (wie im zweiten Beispiel gut beschrieben):

#/etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.default.rp_filter = 0
net.ipv4.conf.default.accept_source_route = 0
net.ipv4.conf.default.send_redirects = 0
net.ipv4.icmp_ignore_bogus_error_responses = 1

Das war der einfache Teil – mit Raspbian (auch in der aktuellsten Version März 2018) funktioniert die Verbindung aber wie oben beschrieben nicht weil OpenSWAN im Raspian bei 2.6.38 aufhört (2012 – der Zeitpunkt an dem der Gründer das Projekt verlassen und Libreswan gegründet hat) und das schlicht und ergreifend zu alt ist wie es sich darstellt.

Libreswan gibts aber für Raspbian in einer aktuellen Version nicht als Binary, d.h. man muss selbst zur Tat schreiten: Auf der Github Seite zu Libreswan ist eh alles beschrieben:

apt-get install libnss3-dev libnspr4-dev pkg-config libpam-dev \
                libcap-ng-dev libcap-ng-utils libselinux-dev \
                libcurl3-nss-dev flex bison gcc make libldns-dev \
                libunbound-dev libnss3-tools libevent-dev xmlto \
                libsystemd-dev

TAR saugen, auspacken und dann make all USE_DNSSEC=false USE_FIPSCHECK=false sowie sudo make install.

Das zentrale Configfile (/etc/ipsec.conf) ist im Endeffekt auch relativ knackig:

version 2.0

config setup
   nat_traversal=yes
   virtual_private=%v4:192.168.1.0/24     # Range @home
   plutostderrlog=/var/log/libreswan.log
conn azure
   authby=secret
   auto=start
   type=tunnel
   left=192.168.1.99               # Adresse vom Raspi
   leftsubnet=192.168.1.0/24       # Range @home
   leftnexthop=192.168.1.1         # Router @home
   right=1.2.3.4                   # Adresse Azure virtual network gateway (public IP)
   rightsubnet=10.0.0.0/16         # Range Azure virtual network
   ikev2=insist
   ike=aes256-sha256-modp1024      # ohne spezielle Policy nur MODP1024 möglich!
   esp=aes256-sha256

Dann noch PSK in /etc/ipsec.secrets hinterlegen:

%any %any: PSK "dasgeheimniskommthierhin"

(alternativ auch statt dem ersten %any die lokale Adresse und dem zweiten %any die public IP des virtual network gateways)

Start/Stop wie gehabt mit sudo service ipsec start bzw. sudo service ipsec stop. Logfile wie in der Configdatei angeführt.

Am Router muss Port Forwarding für UDP 500 und 4500 auf den Raspi eingerichtet werden.

Auf den Clients im Heimnetz muss eine entsprechende Route eingetragen werden, z.B. route add 10.0.1.0 mask 255.255.255.0 192.168.1.99 für einen Windows-Client wenn es in Azure ein Subnet 10.0.1.0/24 für irgendwelche Resourcen (VMs, oder ähnliches) gibt (natürlich müssen in Azure die entsprechendesn Network Security Groups auf den Resourcen sitzen damit man hin kommt, da unterscheidet sich der Zugriff via VPN nicht wirklich von dem Zugriff aus dem Internet).

Doku zu den IKEv2 Parametern:
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-about-vpn-devices

Doku zu den IPSec Policies (noch nicht probiert):
https://docs.microsoft.com/en-us/azure/vpn-gateway/vpn-gateway-ipsecikepolicy-rm-powershell

Hyper-V Gen2 VM “No Boot entries are configured”

Posted on 6. April 2018 by roman

Disclaimer: Das Folgende ist natürlich alles ohne Schusswaffe und dient eigentlich nur für mich als Erinnerungsstütze falls es wieder mal auftritt. Nachmachen auf eigene Gefahr 🙂

Im VMM (2016) beim Versuch Gen2 VM zu erzeugen: Error 23352 VMM cannot find the device or this device is not valid for a boot device.

Alle Berichte verweisen irgendwann zu diesem Foreneintrag – welcher aber ein Reinstall von Hyper-V will was bei einem produktive S2D Cluster nicht so witzig ist (glaub ich halt :-)).

Hatte eben einen Call mit Microsoft dazu und das hier hat das Problem gelöst:

VMs eines Hosts via LiveMigration wegmigrieren
adm. CMD/Powershell in C:\Windows\System32:
a) mofcomp WindowsVirtualizationUninstall.mof
b) mofcomp WindowsVirtualization.V2.mof
Service “Hyper-V Virtual Machine Management” (vmms) restarten
adm. CMD/Powershell in
C:\Program Files\Microsoft System Center 2016\Virtual Machine Manager\setup:
mofcomp scvmmswitchportsettings.mof
Service “System Center Virtual Machine Manager Agent” restarten

Ein Host war dann remote nicht mehr verwaltbar (zumindestens Hyper-V), da war Reboot angesagt.

PS Oneliner: Output von Sysinternals’ RU lesbar machen

Posted on 11. Dezember 2017 by roman

RU.EXE (Registry Usage) hat irgendwie eine sehr seltsame Consolenausgabe, nur im CSV-Outputformat steht die wirklich interessante Information (die KB pro Subkey), hiermit bekommt man die in KB umgerechnet angezeigt:

$r=@();(ru64.exe hku\.default -l 1 -nobanner -c)|select-object -skip 1|% { $o=New-Object psobject; $o|Add-Member -Type NoteProperty -name "Key" -value $_.Split(',')[0]; $o|Add-Member -Type NoteProperty -Name "Size" -Value ([int](([int]($_.Split(',')[5]))/1024)); $r=$r+$o };$r

Win 10 + Office 365 Azure AD + AAD Join = Something went wrong

Posted on 3. November 2017 by roman

Microsoft hat offenbar irgendwann in Office 365 ein Mini-MDM (gratis) eingebaut – wenn man das nicht aktiviert hat läuft man in den allseits gleichermaßen beliebten und aussagekräftigen “Something went wrong” Fehler wenn man beim Windows 10 Setup im OOBE versucht den Rechner dem Azure AD zu joinen (wobei das Azure AD das vom “nackten” Office 365 Tenant ist).

Auf die Spur gebracht hat mich dieser Post. (der MS Supportler dort meint aber das kanns nicht sein :-D)

Wie man das Office 365 MDM “korrekt” aufdrehen kann weiß ich nicht, ich bin folgendermaßen vorgegangen:

Office 365 Portal als Admin
“Security & Compliance” Badge
Tile “Search for users” nach einem beliebigen Testuser gesucht und geöffnet
Im Reiter “Summary” den Link “Mobile management” geklickt
Defaults akzeptiert
einige Stunden gewartet

Namen aller aktiven Agents eines DPM Servers ermitteln

Posted on 12. Oktober 2017 by roman

Stand vor der Aufgabe festzustellen welche DPM Agents in mindestens einer Protection Group vorkommen und dann brauchte ich den Namen des Agents (und nicht der Data Source die sich ja teilweise arg unterscheiden je nach Backuptyp), meine Lösung als Einzeiler inklusive Connect/Disconnect:

$x=@(); $d=Connect-DPMServer $dpm; Get-DPMProtectionGroup|% { $x=$x+(get-DPMDataSource $_|% {$n=$_.GetType().Name; if ($n -match "FsDataSource|SystemProtectionDatasource|HyperVRctDatasource") { if ($_.VmName -eq $null) {$_.Computer } else {$_.VmName} } else { $_.Name}}) }; $d=Disconnect-DPMServer; $x|sort-object –Unique

SCCM Task Sequence mit Referenz auf leeres Driver Package kommt nie an

Posted on 19. September 2017 by roman

Szenario:

SCCM (irgendwie glaube ich die Version ist egal, wir hatten 1702)
Windows 10 Upgrade Task Sequence
Verweis auf driver content (“Provide the following driver content to Windows Setup during upgrade”) – ein Driver package
Das Driver package existiert zwar, enthält aber keine Treiber

Ergebnis:

GUI-seitig schaut alles pipifein aus
am Client kommt nix an – SW Center zeigt nichts an, es wird nix installiert
in irgendeinem Log (execmgr?) taucht die Task Sequence auf, es schaut also so aus als käme was an

Grund:

SCCM Server kann wohl für ein leeres Package keinen Hash erzeugen
Package ohne Hash kann offenbar nicht von einer Task Sequence referenziert werden
Policy wird nicht erstellt
Sehen kann man das am SCCM server im policypv.log:
CPolicySource::CreateSoftwarePolicy: Package hash data (ABC12345) has not been created or replicated on this site, will retry later. Failed to create policy and policy assignment based on package ABC12345, program * and offer ABC67890

Offensichtliche Lösung: Verweis auf leeres Package aus Task Sequence entfernen (oder Treiber ins Package geben/redistributen).

AzureStack DK VPN Verbindung ohne viele Tools

Posted on 28. August 2017 by roman

Die Anleitung für die Herstellung einer VPN Verbindung zur AzureStack Development Kit Installation ist relativ anstrengend und langatmig wo es einfacher geht ohne irgendwelche ZIPs zu laden, entpacken, Module importieren, etc. – man braucht einzig das AzureStack Root CA Zertifikat an einem zugänglichen Ort speichern (am einfachsten am Host von einem der Portale mit dem Browser exportieren) und dieses Mini-Scriptl laufen lassen (mit angepassten Parametern natürlich 😀 ):

$ConnectionName="AzureStack"
$ServerAddress="1.2.3.4"
$Username="administrator"
$PlainPassword="insert_secure_password_here"
$RootCert="\\somenode\someshare$\AzureStackRootCA.crt"

Remove-VpnConnection -Name $ConnectionName -Force
Add-VpnConnection -Name $ConnectionName -ServerAddress $ServerAddress -TunnelType L2tp -EncryptionLevel Required -AuthenticationMethod MSChapv2 -L2tpPsk $PlainPassword -Force -RememberCredential -PassThru -SplitTunneling 
Add-VpnConnectionRoute -ConnectionName $ConnectionName -DestinationPrefix 192.168.102.0/24 -RouteMetric 2 -PassThru
Add-VpnConnectionRoute -ConnectionName $ConnectionName -DestinationPrefix 192.168.105.0/27 -RouteMetric 2 -PassThru

Copy-Item $RootCert "$env:TEMP\AS.crt" -Force
Import-Certificate -CertStoreLocation cert:\localmachine\root -FilePath "$env:TEMP\AS.crt"
rasdial "$ConnectionName" "$Username" "$PlainPassword"

Zur Erinnerung (ADFS Mode):

Admin Portal
User Portal
*.azurestack.external in die Proxyausnahmen
Default User nach Deployment: azurestackadmin@azurestack.local

Linux SCCM Client mit OpenSSL 1.1.0

Posted on 21. August 2017 by roman

Wer leichtsinnigerweise Debian auf Version 9 (Stretch) hebt wird erkennen dass anschließend der SCCM Client (und der OMI Server) tot sind – ein Reinstallversuch endet in der Meldung dass OpenSSL 1.1.0 nicht supported ist (nur 0.9.8 und 1.0.*).

Drei kleine Änderungen “beheben” dieses Problem (neuen SCCM Client gibt es ja nicht – der letzte ist vom März 2016 (!!!!)):

1) Im Install Script in Zeile 1063 einfach das 1.1 in der Regular Expression einfügen:
OPENSSL_SYSTEM_VERSION_100=`echo $OPENSSL_SYSTEM_VERSION_FULL | grep -Eq '^1.(0|1).'; echo $?`

2) Im Install Script alle Aufrufe von CreateOpenSSLLinksIfNecessary auskommentieren.

3) Im ccm-Universalx64.tar im Verzeichnis omi_100 im install Script den nicht funktionierenden Aufruf von openssl -h durch openssl help ersetzen und das File im TAR austauschen.

LDAP ohne TLS/SSL und/oder Signing

Posted on 3. August 2017 by roman

Im Event mit ID 2887 im Logfile Directory Service, Source Microsoft-Windows-ActiveDirectory_DomainService wird einmal täglich angemeckert wenn sich Clients ohne TLS/SSL oder ohne Signing der Daten verbinden – wenn man dann Diagnostics für LDAP Interface (HKLM/SYSTEM/CurrentControlSet/Services/NTDS/Diagnostics/LDAP Interface=0x2) enabled bekommt pro einem solchen Versuch einen Event mit ID 2889 im gleichen Logfile (Source “LDAP Interface”) wo in den Event-Properties dann Client (Adresse) und benutzter User drin steht, ist daher nett mit Powershell auswertbar:
Invoke-Command (Get-ADDomain).ReplicaDirectoryServers { Get-WinEvent -LogName "Directory Service"|? { $_.Id -eq 2889 }|% { write-output "$($_.TimeCreated): $($_.Properties[0].Value) => $($_.Properties[1].Value)" } }