Archiv der Kategorie: Netzwerk

Tool, um lokalen Client direkt am PC in eine andere OU im AD verschieben

Problem:
Es kommt manchmal vor, dass ein Client der falschen Organisationseinheit zugeteilt wurde.

Ein Verschieben wird meist dadurch vorgenommen, dass man sich remote zu einem Domänen Controller verbindet und diesen Client dann in „Active Directory-Benutzer und -Computer“ sucht bzw verschiebt.

Dies erschien uns recht umständlich und kostet außerdem Zeit (die wir lieber für andere Aktivitäten verwenden möchten…)

Daher waren wir auf der Suche nach einem Tool, das dies ohne Umwege direkt am jeweiligen Client ermöglicht.

Lösung:
ADMINOMAT hat seit der Version 2.01 folgende neue Features:

  • Der Name des Clients bzw dessen IP-Adresse wird direkt in der Titelzeile des Programms angezeigt
  • im Menüpunkt Datei findet sich
    move local PC to OU
    –> ein Mausklick weiter kann nun der Client einfach verschoben werden

Vorgangsweise:

Szenario: am Client ist ein beliebiger User angemelden, der über keine besonderen Rechte verfügt.
Wir möchten diesen User nicht abmeldet, auch nicht den Benutzer wechseln, weil:
wir wollen möglichst rasch wieder in unser Büro zurück  😉

  1. ADMINOMAT downloaden, .rar an beliebigen Ort (C:\ oder USB-Stick bzw. Netzlaufwerk) entpacken.
    Wichtig: es wird NICHTS installiert, ADMINOMAT läuft sofort – auf jedem Windows Client ab XP!
  2. Umschalttaste drücken + RECHTE Maustaste auf adminomat.exe ->
    Als anderer Benutzer ausführen
    –> User verwenden, der in der Gruppe der Domänen-Administratoren ist
  3. Menüpunkt DATEI -> Move local Client to OU
  4. verschieben -> fertig!

moveOU

Java 8 Update 73 ausrollen via ADMINOMAT anstatt GPO

Problem:
Java lässt sich seit Version 8 nur mehr sehr mühsam mittels Gruppenrichtlinie (GPO) ausrollen.

Lösung:
Anstatt dem Rollout mittels .msi und GPO verteilen wir das JAVA-Update nun per silent Installation per psexec und ADMINOMAT.

Voraussetzungen:
Es muss ein funktionierendes Active Directory vorhanden sein – und ihr seid Mitglied der Domänen-Admins!
a) psexec von Mark Russinovich – download zum Beispiel hier
b) adminomat – download hier

Vorgangsweise:
die nachfolgenden Schritte können auf JEDEM Client in der Domäne durchgeführt werden!
Einzige Einschränkung: ihr müsst als Domänen-Admin angemeldet sein

1.) Adminomat.rar downloaden entpacken an beliebigen Ort (auch USB-Stick o. ä.). Von dort startet das Programm ohne installation – und zwar auf jedem Client [ab Windows XP] und Server [ab Windows Server 2003] !

2.) psexec downloaden und in den selben Ordner entpacken, in dem auch adminomat.exe gespeichert ist.
Dies kann auch ein Ordner auf einem Netzlaufwerk oder einem USB-Stick sein

3.) Download der aktuellen JAVA-Version als Offline-Setup, zum Beispiel hier

4.) Java-Installationsdatei (zb jre-8u73-windows-i586.exe) auf ein Netzlaufwerk kopieren, auf dem zumindest alle User LESEN dürfen

5.) ADMINOMAT starten, einlesen der MAC- und IP-Adressen vom Windows-DHCP-Server bestätigen

6.) Falls erwünscht, kann vorerst für eine gesamte OU eingelesen werden, welche JAVA-Version aktuell auf den Clients installiert ist:

a) Ansicht anpassen bzw. erweitern um „Software_Lookup“

Auswahl: ONLINEINFO und die gesuchte Software eingeben (Platzhalter wie * wird automatisch ergänzt)

Detailansicht:
[auf diesen Clients sind offensichtlich mehrere Java-Versionen parallel am laufen…]

7.) Das Rollout starten:
a) Auswahl der gewünschten Clients, die das Update von JAVA erhalten sollten, in dem man Haken setzt
b) „psexec“ rechts oben auswählen
c) den Pfad zum Share mit der installationsdatei angeben inkl der nötigen Flags

Erklärung:

Flags, die zu psexec gehören MÜSSEN am Beginn eingegeben werden!
hier: /V /C [dadurch wird die jre-8u73-windows-586.exe zuerst zum Client kopiert, bevor sie gestartet wird]
WICHTIG: die Flags /s /i /d für psexec sind bereits im adminomat hinterlegt und müssen nicht mehr gewählt werden!!!

Flags, die zu eurer installations.exe gehören müssen NACH der Pfadangabe angegeben werden, hier /s [silent installation]

WICHTIG WICHTIG WICHTIG:
Der Pfad zu eurer instalations.exe MUSS unter Anführungszeichen sein – die Flags nach dem letzten Anführungszeichen!!!

In unserem Beispiel ergibt sich also:

/V /C "\\SERVER\share\jre-8u73-windows-i586.exe" /s

Dadurch führt ADMINOMAT für jeden gewählten Client dann folgendes aus:
psexec /S /I /D \\myClient  /V /C „\\SERVER\share\jre-8u73-windows-i586.exe“ /s

[Anm: dies kopiert die Datei jre-8u73-windows-i586.exe auf den Client (durch /V /C am Beginn eurer Eingabe) und startet anschließend die Silent-Installation (durch /s am Ende) von Java 8 Update 73]

Der angemeldete User bemerkt davon nichts!!!
Diese Methode funktioniert auch, wenn kein User angemeldet ist!

8.) nach ein paar Minuten Geduld kann kontrolliert werden, ob alle Clients das Update erhalten haben!
Siehe Punkt 6.) dieser Anleitung

9.) DEINSTALLATION alter Java-Versionen:

a) Erhebung der SID der zu entfernenden Java-Version, zb hier
bzw selbst am Client in der Registry suchen unter dem Tree
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{26A24AE4-…

b) psexec rechts oben erneut anklicken, anstatt den Pfad zur Setup.exe anzugeben, gebt ihr folgendes in das Popup von psexec ein:

zb für Java 7 Update 67

msiexec /x {26A24AE4-039D-4CA4-87B4-2F03217067FF} /qn /norestart

Dieser Befehl wird dann per psexec auf den ausgewählten Clients durchgeführt, und bewirkt die Uninstall-Routine der entsprechenden Version!

10.) Kontrolle:
(siehe Punkt 6.)

Abschließende Anmerkung:
während der Installation kann man bei Unsicherheiten, ob das Rollout beim Client auch gestartet wurde, folgendes machen:
a.) Detailansicht für den Client durch Klick auf den Namen starten
b.) Taskmanager links in der Ansicht starten

c.) es sollten für unser Beispiel 2 Prozesse gestartet worden sein:

 

letzter Tipp:
Diese Vorgehensweise funktioniert mit einer Vielzahl von anderen Rollouts ebenso!

Weiters kann mit dieser Funktion für ganze OU’s einheitlich eine Software gestartet werden, die mit dem Systemkonto „SYSTEM“ ausgeführt wird, dh, falls eine Software keinen Silent-Mode im Rollout unterstützt, können die angemeldeten User diese auch selbst ohne Admin-Rechte installieren!

 

Adminomat kann in der Version 1.3 auch installierte Software suchen

Seit Version 1.3 kann die von uns entwickelte Software „Adminomat“ auch installierte Software auf Clients im AD anzeigen.

Anlassfall war die Frage, ob eine ausgerollte Software per GPO auch auf allen Clients angekommen ist…
(also etwas sehr häufiges)

Alle anderen wirklich lässigen Funktionen von ADMINOMAT sowie der Download unter

http://www.adminomat.at/produktvergleich/

Und da ein Bild mehr als 1000 Worte sagt:
adminomatAdminomat_DetailsAdminomat_Anzeige

Layer-3-Fähigkeit auf einem Cisco Small Business SG300 (=SRW2024)

Die Switches der Reihe SG 300 (von 8 bis 52 Ports erhältich) sind Layer-3 fähig, dh, sie können als Router verwendet werden, um zwischen VLANs zu routen – und dies zu einem sehr günstigen Preis!

Leider (?) wird auf diesen Switches aber per default das Routing NICHT aktiviert, dh, wenn dies nicht explizit aktiviert wird, funktionieren die Switches dieser Baureihe „nur“ auf Layer 2 Ebene.

Und dann gäbe es da noch einen Stolperstein:
Die Routingtabelle (im CLI show ip route bzw. in der GUI IP Configuration // IPv4 Static Routs) zeigt nur jene Routen zwischen den VLANs an, in denen auch tatsächlich Clients hängen… sprich: solange man nur mit einem einzigen Client die Interfaces anlegt, erscheint in der Routingtabelle auch nur dieser eine Eintrag. ARGHHH

Vorgangsweise, um den Routing-Modus auf einem SG 300 zu aktivieren Weiterlesen

D-Link DGS-1210 – kommt nicht ans Netz

Der D-Link DGS-1210 ist ein lüfterloser Switch (zumindest in der 24-Port Ausführung) und daher geeignet, direkt im Klassenraum aufgestellt zu werden. Ob die Performance dieses Switches ausreichend ist, sollte jeder selbst feststellen …
Als kleine Entscheidungshilfe sei folgender Screenshot hilfreich (Ping auf den Switch; Client hängt direkt über ein 2 Meter langes Kabel am Switch; keine weiteren Clients hängen daran; Pingzeiten bei allen hier vorhandenen 8 Switches ähnlich; aktuellste Firmware eingespielt…)

kurz: Lüfterlos ist er wenigstens… (wie gesagt: nur in der 24-Port-Ausführung)

Bei der Verwendung in gerouteten Netzwerken mit VLANs verhält er sich leider eher bockig, wobei dies noch untertrieben ist.
Sobald Rapid Spanning Tree aktiviert wird,reagiert der Switch erst nach 15 Sekunden (default Wert, der sich nur auf lediglich 4 Sekunden verkürzen lässt) erstmalig auf ein Ping-Paket, antwortet aber auch danach nicht regelmäßig.

Dies führt dazu, dass ein Boot über PXE nicht möglich ist, da das Timout des DHCP-Servers vor der Aktivierung des Uplinks des Switches erfolgt.

Spanning Tree in Klassenräumen zu dekativieren, um einen Switch ans Netz zu bringen, ist kategorisch abzulehnen!!!

Es gibt dennoch eine Lösung: Weiterlesen

IT Kustodentag PH Eisenstadt

Am 26. 9. 2011 durfte ich im Rahmen des IT Kustodentags kurz über den Einsatz von VLANs in Schulen sprechen.

Zum Nachlesen hier nochmals die Schmalspur-Präsentation:IT_Kustodentag_2011 [[downloadcounter(IT_Kustodentag_2011)] x heruntergeladen]

Ich hoffe, die TeilnehmerInnen konnten einen kleinen Einblick in die Materie gewinnen.
Falls ihr bei der Umsetzung oder Beschaffung neuer Hardware / Überprüfung der Eignung bestehender Hardware Unterstützung benötigt -> schickt mir einfach ein Mail, ich helfe Euch gerne!

edi[at]schulnetz.info

mehrteilige Artikelserie: Umstellung auf VLANs?

In dieser Artikelserie möchte ich den Umstieg auf VLANs erläutern und erleichtern…

  1. Grundsätzliches
  2. Kann eine bestehende Microsoft-Infrastruktur (mit Active Directory) nachträglich in VLANs unterteilt werden?
  3. Die Einkaufsliste (Layer2 vs Layer3)
  4. Woher weiss mein Netzwerk, aus welchem VLAN der Traffic stammt?
  5. Welche IP-Adressen sollen wir verwenden?
  6. Was machen wir nun mit DHCP?
  7. Wie schützen wir die einzelnen Netzwerke gegen Angriffe aus anderen Netzwerken?
  8. Wie bauen wir eine Verbindung ins Internet auf – die Bedeutung von „default Gateway“? 
  9. Abschluss: die Kontrolle

VLAN – Einstieg: Was ist ein VLAN?

Die Grundidee, die hinter dem Konzept von VLANs (Virtuelle Netzwerke) steht, lässt sich einfach formulieren:

Es können einzelne Netzwerke voneinander „abgeschottet“ werden.

Warum wollen wir diese „Abschottung“?

  • Wir können Zu- bzw. Angriffe in definierte Netzwerke gezielt verhindern
  • das Schulnetz kann nur noch partiell angegriffen werden
  • Fehler können viel rascher lokalisiert werden
  • ein Totalausfall des gesamten Netzwerks wird viel unwahrscheinlicher
  • das Netzwerk gewinnt enorm an Geschwindigkeit, weil unnötiges Broadcasting minimiert wird Weiterlesen

VLAN – Teil 1: Die Einkaufsliste (Layer2 vs Layer3)

Da wir durch die Trennung in Virtuelle Netzwerke das selbe Ergebnis erzielen, als würden wir die Netze physikalisch trennen, brauchen wir die Möglichkeit, zwischen den Netzwerken zu routen.

Wenn wir einen Blick auf das ISO/OSI – Modell werfen, so sehen wir, dass sich erst ab Layer 3 das IP-Protokoll dazu gesellt. Genau dieses Protokoll benötigen wir aber, um zwischen Netzen, die in unterschiedlichen IP-Adress-Bereichen liegen, zu vermitteln.
Ergo lautet der Name dieser Layer 3 – Schicht auch: Vermittlungsschicht. Weiterlesen