RRAS weniger DHCP-Leases für VPN-Clients verbrauchen

Problem:

In einem Netz ist ein Windows Routing- und RAS-Server (RRAS) für den VPN-Zugriff konfiguriert, welcher für die IP-Adressvergabe an VPN-Clients den DHCP-Server im Netz nutzt.

Standardmäßig werden beim Start des RRAS-Dienstes dafür 10 Adressen im DHCP „reserviert“.

In kleineren Umgebungen sind das eventuell bereits zu viele und der DHCP-Bereich wird mit unnötigen Leases belastet.

Lösung:

Der RRAS holt sich DHCP-Adressen in Blöcken der „AddressPoolSize“ – Standardmäßig 10. Diese Blockgröße lässt sich mittels folgendem Registry-Eintrag auf dem RRAS-Server einfach Konfigurieren:

Pfad: HKLM:\SYSTEM\CurrentControlSet\Services\RemoteAccess\Parameters\Ip
Wertname: InitialAddressPoolSize (REG_DWORD)

Danach muss der Routing und RAS Dienst („RemoteAccess“) einmal neu gestartet und bereits vorhandene Leases bei bedarf manuell aus dem DHCP entfernt werden.

Die Größe der Adress-Blöcke lässt sich somit beliebig verkleinern (oder vergrößern).

VMware ESXi CDP/LLDP mit standard vSwitch

Da ich ständig vergesse, wie man auf einem VMware standard vSwitch CDP bzw. LLDP konfiguriert um Uplinks von/zu physischen Switches schnell und einfach nachvollziehen zu können:

Per SSH auf den ESXi verbinden und folgenden esxcli Befehl ausführen:

esxcli network vswitch standard set --cdp-status=both -v vSwitch0

--cdp-status=both konfiguriert den vSwitch sowohl für’s empfangen, als auch senden von CDP/LLDP Paketen.

Mit dem Parameter -v <vSwitch> wird der Name des zu konfigurierenden vSwitch angegeben.

Alternativ geht das auch per esxcfg:

esxcfg-vswitch -B both vSwitch0

Das war schon alles, nun kann man ganz einfach auf den physischen Switches die CDP/LLDP Infos abrufen.

Z.B. auf HPE (Aruba) Switches:

show cdp neighbors
show lldp info remote-device

Häufig liest man online, dass es nicht möglich ist (oder zumindest nicht supported) auf standard vSwitches CDP/LLDP zu aktivieren. Über den vSphere Client oder den ESXi Host client geht das auch (soweit ich weiß) tatsächlich nicht. Dort heißt es dann bei den vmnics auch „CDP/LLDP steht auf diesem physischen Netzwerkadapter nicht zur Verfügung.“

Dieser KB-Artikel beschreibt das vorgehen aber auch ganz offiziell.

Windows Drucker taucht immer wieder auf

Problem

Ein Freigegebener Drucker von einem Druckserver taucht auf einer Windows-Maschine (in unserem Fall ein Windows Server 2016 RDS-SH) für mehrere Benutzer immer wieder auf.

Wenn man die (Hardware)-Eigenschaften überprüft, stellt man einen Zielpfad mit einer SID fest – scheinbar hat der Effekt irgendetwas mit einem bestimmten Benutzer zu tun.

Lösung

Schnelle Abhilfe schaft das einmalige vollständige entfernen des Client Side Rendering Print Provider Servers, an welchem der Drucker freigegeben ist.

Dazu einfach auf dem betroffenen Computer (oder Server) den folgenden Registry-Key entfernen:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Print\Providers\Client Side Rendering Print Provider\Servers\printserver.example.com

Sollte der Printserver dort mehrfach auftauchen (z.B. mit Servername und FQDN) am besten beider Keys löschen.

Danach die Maschine einmal neu booten und der Drucker ist verschwunden. Es kann dann vorkommen, dass Benutzer die den Drucker vorher noch zur Verfügung hatten, diesen nun als „Offline“ sehen, dann kann er einfach entfernt und neu Verbunden werden.

Outlook Programmgesteuerter Zugriff per GPO

Problem:

Ein externes Programm greift (automatisiert) auf Outlook zu. Dabei kommt es (sofern kein aktueller Virenscanner verfügbar) oft zu Bestätigungsmeldungen. (Meist kann man den Zugriff dann für bis zu 10 Minuten gewähren.)

In diesem fall soll auf einem Windows Server mit installiertem Outlook ein Prozess automatisiert werden. Dazu muss die automatisierungssoftware aber auf Outlook zugreifen können, ohne dass ein Benutzer aktiv diese Berechtigung vergeben kann.

Die Optionen im Trust Center („Programmgesteuerter Zugriff“) sind allerdings ausgegraut.

Lösung:

Die Steuerung der Trust Center Optionen ist (sogar noch etwas detaillierter) via GPO (ADMX-Vorlage) möglich.

Dazu werden die ADMX-Templates für die entsprechende Office-Version benötigt (Hier gibt’s die für Office 2016/2019 und Office365)

Nachdem selbige installiert wurden, findet man die passenden Einstellungen in den Gruppenrichtlinien hier:

Benutzerkonfiguration > Richtlinien > Administrative Vorlagen > Microsoft Outlook 2016 > Sicherheit > Sicherheitsformulareinstellungen

Zunächst muss hier die Einstellung „Outlook Sicherheitsmodus“ Aktiviert und als „Outlook-Sicherheitsrichtlinie: Outlook-Sicherheitsgruppenrichtlinie verwenden“ ausgewählt werden.

Danach lassen sich im Bereich „Programmatische Sicherheit“ die entsprechenden Meldungen konfigurieren. Die meisten externen Anwendungen benötigen hier „Eingabeaufforderung für Outlook-Objektmodell beim Lesen von Adressinformationen konfigurieren“ und „Eingabeaufforderung für Outlook-Objektmodell beim Senden von E-Mail konfigurieren“ Aktiv und „Schutzverhalten: Automatisch genehmigen„.