Tipps & Tricks
Einchecken von SAVCE-Clients erzwingen
Symantec Antivirus Corporate Edition (SAVCE) übermittelt neue Virensignaturen normalerweise
umgehend an seine Clients. In Ausnahmefällen wie bei Remote-Anbindungen oder langer Deaktivierung
kann es jedoch "Kontaktprobleme" zwischen Server und Client geben. Wie lassen sich solche Probleme
vermeiden?
SAVCE aktualisiert die Clients, wenn der Server neue Virensignaturen erhalten oder die
Administration eine Konfigurationsänderung für Clients vorgenommen hat. Dabei müssen zwei
Voraussetzungen erfüllt sein:
Der Client muss dem Server bekannt, das heißt im Symantec System Center (SSC)
sichtbar sein.
Der Client muss konnektiert sein, das heißt, eine TCP-Verbindung zum Client
ist möglich.
SAVCE-Clients sind so konfiguriert, dass sie in definierten Zeitintervallen Pakete an den Server
schicken und damit ein "Lebenszeichen" geben. Ist der Client im SSC nicht mehr bekannt, da er nach
30 Tagen automatisch gelöscht wurde ("ClientExpiration TimeOut"), lassen sich weder
Konfigurationsänderungen noch Virensignaturen an den Client schicken. Es ist daher sinnvoll, den
Wert "ClientExpirationTimeOut" unter
HKLM\SOFTWARE\Intel\LANDesk\VirusProtect6\CurrentVersion
hoch zu setzten. Der Wert wird in Stunden angegeben (zum Beispiel 720 = 30 Tage).
Wer will, dass die Clients ein Paket senden, sobald eine Netzwerkverbindung besteht, muss ein
wenig tricksen. So lässt sich in einem Logon-Skript oder am Ende eines VPN-Verbindungsaufbaus ein "
RegKey" setzen, der den Client zwingt, ein Paket an seinen Parent-Server zu schicken. Dieser RegKey
lautet:
HKLM\Software\Intel\LANDesk\VirusProtect6\ ProductControl\ProcessGRCNow
Sein Wert ist auf "1" zu setzen – die Rücksetzung auf "0" erfolgt automatisch. Außerdem muss der
Client eine Datei mit dem Namen GRC.DAT in seinem Verzeichnis vorfinden. Diese braucht nur wenige
Daten zu enthalten, zum Beispiel:
[KEYS]
!KEY!=$REGROOT$
Vor dem Setzten des RegKeys muss diese Datei in das Verzeichnis "C:\Dokumente und
Einstellungen\All Users\Anwendungsdaten\ Symantec\Symantec Antivirus Corporate Edition\7.5" kopiert
werden.
Der gesamte Vorgang lässt sich in einer Batch-Datei zusammenfassen und führt dazu, dass der
SAVCE-Client ein Paket an seinen Parent-Server sendet. Hat der Parent-Server zu diesem Zeitpunkt
neuere Virensignaturen als der Client, schickt er ihm umgehend ein entsprechendes Paket. Zusätzlich
stellt dieses Verfahren sicher, dass die Informationen im SSC immer aktuell sind. Ferner ist es
möglich, zu überprüfen, ob der oben genannte RegKey existiert. Andernfalls ist SAVCE nicht
installiert, was sich in einer Log-Datei protokollieren lässt.
Sinnvoll ist eine solche Batch-Datei am Ende einer VPN-Einwahl oder in einem
System-Login-Skript.
SAVCE-10.x-Passwort vergessen?
Wer sein SAVCE-Passwort (Symantec Antivirus Corporate Edition) vergessen hat, kann dieses
Problem jetzt relativ einfach beheben. Ab Version 10.x ist der Anwender dabei nicht mehr auf den
Hersteller angewiesen.
Wer in SAVCE der Versionen vor 10.x sein Passwort vergessen hatte, musste entweder das Utility
IFORGOT.EXE aufrufen und dann das verschlüsselte Passwort an den Hersteller senden – oder dieses
mit einem kleinen Trick selbst hacken: Dabei ließ sich das Kennwort relativ leicht zurücksetzen,
indem man einfach das verschlüsselte Passwort in der Registry des Primärservers löschte
(ConsolePassword). Anschließend war wieder das Standardpasswort "symantec" aktiv.
Diese Methode funktioniert mit SAVCE ab Version 10.x jedoch nicht mehr. Allerdings ist jetzt die
Funktionalität von IFORGOT.EXE deutlich verbessert: Das Tool erfüllt endlich seine Aufgabe. Der
Anwender kann damit – entsprechende Zugriffsrechte auf die Registry des Primärservers vorausgesetzt
– direkt ein neues Passwort setzen.
Windows-Installer-Dateien nach XML konvertieren
Existieren Tools, die die Administration bei der Erstellung und Dokumentation von
Windows-Installer-Paketen hilfreich unterstützen?
Das Tool "msi2xml" wandelt Windows-Installer-Pakete ("msi"-Dateien) nach XML. Diese Umwandlung
kann zum Beispiel zu Dokumentationszwecken sinnvoll sein. Sie erhalten das kostenlose Tool über "
msi2xml.sourceforge.net". Mit "xml2msi" ist zudem ein komplementäres Werkzeug verfügbar. Die
Website enthält außerdem viele Informationen zum Erstellen und Dokumentieren von MSI-Paketen.
Windows: Laufwerksbuchstaben vor den Namen anzeigen
In Umgebungen mit vielen gemappten Netzwerklaufwerken erweist sich die Standardanzeige im
Windows-Explorer oft als unübersichtlich. Eine Sortierung nach Laufwerkbuchstaben statt -namen wäre
oft hilfreicher. Lässt sich dies erzwingen?
Standardmäßig zeigt der Windows-Explorer Laufwerksbuchstaben hinter dem beschreibenden Namen an,
unabhängig davon, ob es sich um lokale Partitionen oder um Netzlaufwerke handelt. Das ist wenig
übersichtlich und macht es unmöglich, nach den Buchstaben zu sortieren. Wie der Explorer
Laufwerksbuchstaben und Namen anzeigt, lässt sich über einen Eintrag in der Registrierdatenbank
verändern. Legen Sie dazu mit Regedit im Schlüssel "
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Explorer" den "DWORD"-Eintrag "
ShowDriveLettersFirst" an und weisen ihm den Wert "4" zu, damit sowohl die Buchstaben der lokalen
Laufwerke als auch der Netzlaufwerke vor der Beschreibung angezeigt werden. Wenn Sie nur die
Laufwerksbuchstaben der gemappten Netzlaufwerke vor deren beschreibenden Namen anzeigen möchten,
geben Sie dem Eintrag den Wert "1". Der Wert "2" unterdrückt die Anzeige der Laufwerksbuchstaben
vollständig. Die Änderungen wirken erst nach einem Neustart des Computers.
Wachhund für Windows-Rechner
Existieren geeignete und eventuell auch kostenlose Tools, die automatische Überwachungsaufgaben
auf Windows-Rechnern durchführen: zum Beispiel Beobachtung von Win-dows-Diensten oder freiem
Speicherplatz?
Das kostenlose Tool "PC Inspector fs guard" kann in vielen Einsatzsituationen hilfreich sein:
zum Beispiel Serverdienste eines Windows-Servers überwachen und neu starten oder
E-Mail-Benachrichtigungen über abgestürzte Dienste und bedenklich volle Festplatten versenden.
Ferner lässt sich die festgelegte Maximalgröße von Verzeichnissen überwachen und deren
Überschreiten. Aber auch ungewollte Veränderungen an Verzeichnissen (zum Beispiel ein
Hacker-Angriff auf eine Webpage) können per E-Mail gemeldet werden. Sie finden das Tool unter "
www.pcin spector.de/FSGuard/welcome.htm".
Netware/OES: Passwortmanagement und Probleme in Verbindung mit Imanager 2.5
Bei Upgrades auf Imanager 2.5 (oder höher) lassen sich die Selfservice-Funktionen für das
Passwortmanagement nicht mehr in der gewohnten Form nutzen. Woran liegt das, und was ist beim
Upgrade zu beachten?
Dass es manchmal gar nicht so einfach ist, Releases verschiedener Produkte gut aufeinander
abzustimmen, kann der Anwender derzeit bei Novell sehen. So lassen sich mit Imanager 2.5 die –
überwiegend über den Novell Identity Manager (NIM) bereitgestellten – Selfservice-Funktionen für
das Kennwortmanagement nicht mehr in der gewohnten Form nutzen. Die Lösung bringt erst die Version
3 von NIM, die allerdings nach dem Imanager 2.5 herauskam. Dort existiert eine neue
Selfservice-Schnittstelle, die weit besser ist als alles, was Novell in diesem Bereich bisher
geliefert hat.
Bei Upgrades muss die Administration also darauf achten, den Imanager nicht auf allen Systemen
auf die Version 2.5 zu aktualisieren, wenn die Selfservice-Funktionen des NIM auf dieser Basis
genutzt werden. Erst nach dem Schritt zu NIM 3 ist es sinnvoll, überall den Imanager zu
aktualisieren, der mittlerweile in der Version 2.6 verfügbar ist.
Windows: Cluster testen
Beim Aufbau von Windows-Clustern empfiehlt es sich in vielen Fällen, vor einer
Produktivinstallation erste Erfahrungen in einem Testbetrieb zu sammeln. Welchen Techniken und
Komponenten können dabei hilfreich sein – und was hat sich in der Praxis bewährt?
Es ist noch nicht allzu lang her, dass der Aufbau von Clustern in Testumgebungen relativ viel
Aufwand verursacht hat. Inzwischen lässt sich dies dank Virtualisierungstechnologie und Ansätzen
wie iSCSI sehr viel einfacher bewältigen. Ausreichend gut für Tests funktioniert in der Praxis
beispielsweise das Zusammenspiel von Vmware, den Windows-Serverbetriebssystemen, dem kostenlos von "
www.microsoft.com/downloads" erhältlichen Microsoft iSCSI Initiator und dem Produkt Sanmelody von
Datacore, das in einer Testversion von "www.download.com" geladen werden kann. Damit lassen sich
auf einfache Weise iSCSI-SANs emulieren und gemeinsame Cluster-Ressourcen schaffen.
Windows: Mehr Informationen zu Events
Gerade bei häufiger auftretenden Windows-Fehlermeldungen lohnt es sich, der Problematik
gründlicher auf den Grund zu gehen. Welche Informationsquellen stehen für eine Analyse als "erste
Hilfe" zur Verfügung?
Wenn Fehler im System auftreten, stellt die Windows-Ereignisanzeige eine wichtige
Informationsquelle dar, in der sich viele Details zu den Fehlern finden. Oft verweisen die
Ereigniseinträge sogar auf weitergehende Artikel in der Microsoft Knowledge Base. Außerdem findet
sich in den meisten Fällen ein direkter Link zu "http://go.microsoft.com/fwlink/events.asp". Auf
dieser Website stehen umfassende Informationen zu sehr vielen Ereignissen, die Windows
protokolliert, zur Verfügung.
Windows Server 2003: gesperrte Benutzerkonten im Active Directory ermitteln
Aus Sicherheitsgründen sind die meisten Active-Directory-Sicherheitsrichtlinien so konfiguriert,
dass das Benutzerkonto nach mehrmaliger Falscheingabe des Kennworts gesperrt wird. Wie lassen sich
diese gesperrten Konten im Active Directory ermitteln?
Öffnen Sie das Admin-Tool "Active Directory Benutzer und Computer". Im Ordner "Gespeicherte
Abfragen" erstellen Sie eine neue Abfrage mit beliebigem Namen. Klicken Sie auf "Festlegen". Im
Drop-down-Feld "Suchen" wählen Sie "benutzerdefinierte Suche". Im Register "Erweitert" geben Sie
die folgende – etwas kryptische – LDAP-Abfrage ein:
(&(&(&(objectCategory=person)(objectClass=
user)(lockoutTime:1.2.840.113556.1.4.804:= 4294967295))))
Zeilenschaltung und Leertaste dürfen nicht verwendet werden. Die Abfrage wird sofort ausgeführt,
aber nicht automatisch aktualisiert. Dazu drücken Sie die F5-Taste.
Die Abfrage lässt sich auch anderen Administratoren zur Verfügung stellen. Dazu exportieren Sie
die Abfrage (mit Rechtsklick auf die Abfrage "Abfragedefinition exportieren" als XML-Datei. Andere
Administratoren können diese dann im Ordner "gespeicherte Abfragen" über die Funktion "
Abfragedefinition importieren" nutzen.
Aktuelle Patches und Updates zu Novell-Produkten
Welche neuen Patches und Updates stehen für Novell-Produkte zur Verfügung und wo lassen sie sich
downloaden?
Nachfolgend eine Auswahl aktueller Produkt-Updates von Novell für Nicht-Linux-Produkte. Alle
Dateien sind über support.novell.com/filefinder/ verfügbar.
Wie bereits in der vergangenen Ausgabe angekündigt, hat Novell inzwischen das Support-Pack 6 für
Groupwise sowie den Groupwise Messenger veröffentlicht. Für das Update stehen abhängig von den
Server- und Client-Betriebssystemen (einschließlich Linux und Mac) mehrere unterschiedliche
Installationsdateien zur Verfügung, nachfolgend die beiden wichtigsten für Netware und Windows:
– gw656m.exe: "Groupwise 6.5 Admin/Client SP6 Multi-lan" (TID 2973265) sowie
– gwm106m.exe: "GW Messenger Admin/Client SP6 Mult-lan" (TID 2973276).
Unter den zahlreichen sonstigen Updates erscheint noch das folgende für Ichain nennenswert:
– ic23sp3ir2.exe: "Ichain 2.3 Support-Pack 3 Interim Release 2" (TID 2973289).
Lesen Sie mehr zum Thema
