weed – Seite 100 – ugg.li Schnelle Hilfe für schnelle Admins

CUPS meldet „Bad Request“ bei SSL auf IP/FQDN

Veröffentlicht am Januar 9, 2016 von weed — Keine Kommentare ↓

Problem

Bei der Installation von CUPS (hier: 1.5.3) auf Debian gibt es ein unangenehmes Phänomen bei der Verwendung von ganzen Host- oder Domainnamen. Das CUPS-Webfrontend setzt standartmäßig bei einigen Operationen (Drucker ändern, Drucker löschen und so weiter) voraus, das die Seite via SSL geöffnet wird. Dazu wird auch ein Redirect-Link angezeigt. Klick man diesen, erscheint:

Bad Request

Passiert der Aufruf nicht über den im Zertifikat angegebenen CN, werfen erstens die großen Browser alle eine ’sec_error_untrusted_issuer‘ Meldung und zweitens das CUPS einen „Bad Request„. Dieser HTTP-Fehler 400 verwirrt, denn in der CUPS config ist der port korrekt eingetragen. Die Standardmäßige Wahl der Konfigurationsparameter ist hier etwas ungeschickt.

Lösung

Über die IP-Adresse (192.168.x.y:631) geht das Webfrontend auf, es sei denn das Zertifikat ist falsch. Der schnelle Admin erlaubt einfach alle eingehenden Anfragen.

Korrektes, passendes Zertifikat für CUPS hinterlegen
```
openssl req -new -x509 -keyout /etc/cups/ssl/server.key -out /etc/cups/ssl/server.crt -days 3650 -nodes
```
(Hier dann dem Assistenten folgen, wichtig ist wie immer der „Common Name“ (CN))
Konfigurationsdatei /etc/cups/cupsd.conf anpassen:
```
ServerAlias *
```
Neustart der CUPS-Dienste
```
/etc/init.d/cups restart
```

Langes Passwort

Veröffentlicht am Januar 8, 2016 von weed — Keine Kommentare ↓

Anruf von einem IT-Lieferanten (Zeiterfassung) eines Kunden:

Sicherheit ist ja sicher sehr wichtig, aber DAS HIER ist total übertrieben. So können wir nicht arbeiten, sorgen Sie SOFORT für einen EINFACHEN Zugang.

wtf? Was haben wir falsch gemacht?

Stellt sich raus: Der zuständige Techniker des Lieferanten hat die Anleitung zum VPN nicht wirklich gelesen. Er hatte zwar die VPN-Verbindung (soweit korrekt) eingerichtet, aber anstatt des Kennwortes (das per Telefon übermittelt wurde), verwendete er das Zertifikat.

Den kompletten Text zwischen „—–BEGIN CERTIFICATE—–“ und „—–END CERTIFICATE—–“ aus der E-Mail gesendeten PEM-File. Er hat das ofenbar abgetippt. MEHRFACH. Nunja, bei einem x509-Zertifikat kommen da schon ein paar Zeichen zusammen … *kopfschüttel*

Liste autorisierter DHCP-Server aufräumen geht nicht „Ein solches Objekt ist auf dem Server nicht vorhanden“

Veröffentlicht am Januar 7, 2016 von weed — Keine Kommentare ↓

Problem

In der Liste autorisierter DHCP-Server einer Windows-Domäne finden sich Altsysteme oder umbenannte Server die nun entfernt werden sollen. Der Klick in der DHCP-Verwaltungskonsole auf dne Server und dann „aufheben“ erzeugt aber nur die Fehlermeldung „Ein solches Objekt ist auf dem Server nicht vorhanden„.

Der gleiche Fehler tritt auch – je nach Sprache mit etwas anderer Fehlermeldung – auch an der NetSH und an der Powershell auf:

C:\> netsh delete server xxx.xxx.xxx y.y.y.y
Ein solches Objekt ist auf dem Server nicht vorhanden

Lösung

Das Snap-In Active Directory-Standorte und-Dienste öffnen
Klicken auf Dienste, und dann auf den Knoten NetServices (Wenn „Dienste“ in der Baumstruktur noch nicht angezeigt werden, muss man im Menü „Ansicht“ auf Dienstknoten anzeigen klicken)
In der rechten Hälfte sind hier die meisten autorisierten DHCP-Serveraufgeführt. Den betroffenen Server hier einfach entfernen.
Wenn der betroffene Servername nicht aufgeführt ist, mit der Rechten Maustaste auf den Eintrag „DhcpRoot“ klicken und die Eigenschaften öffnen (nicht entfernen!)

Auf dem Tab „Attribut-Editor“ den Eintrag „dhcpservers“ auswählen und bearbeiten
Die falschen Einträge entfernen
DHCP-Dienst(e) neu starten, fertig.

Wo kann ich das HPONCFG herunterladen?

Veröffentlicht am Dezember 22, 2015 von weed — Keine Kommentare ↓

HPONCFG für Windows x64 (7 bis 10, auch Server) kann man direkt hier herunterladen: hponcfg_x64.msi

Da HP solche wichtigen Downloads gerne versteckt oder hinter eine Paywall versteckt, gibt es hier einen lokalen Mirror. Mit HPONCFG kann man die IP-Adresse des laufenden ILO-System herausfinden, das Passwort zurücksetzen und die ganze Konfiguration bearbeiten.

Unter Windows 7/8/10 als User nach Active-Directory Benutzern suchen

Veröffentlicht am Dezember 17, 2015 von weed — Keine Kommentare ↓

Die Active-Directory Suche hat sich im Laufe der Windows-Versionen zwar ein bisschen verändert, aber nie wirklich viel. Nur das per Click erreichbare Frontend wurde mehrfach angepasst.

So lassen sich innerhalb der Windows 7 „Startmenü-“ Suche keine Active Directory-Objekte wie Personen oder Gruppen mehr suchen. Das ist in der Regel eher ärgerlich, wenn die Informationen eines Benutzers aus dem AD auch für die interne Kontaktverwaltung oder Telefonlisten im Unternehmen verwendet werden. Unter Windows 10 ist die Suche komplett verschwunden, man kann diese über das Startmenü überhaupt nicht mehr erreichen.

Ein bisschen versteckt sind die Suchfunktionen aber auch noch in Windows 7/8/10 noch vorhanden – muss ja auch, wie sollte ein Benutzer sonst Dateisystemsrechte vergeben können?Un so geht das Suchfenster auf:

%SystemRoot%\SYSTEM32\rundll32.exe dsquery,OpenQueryWindow

Hier lässt sich nach wie vor durch die Eingabe des Namens (oder teilen davon) nach Benutzern, Kontakten, Gruppen und weiteren Objekten im Active Directory suchen ud die Listen auch noch filtern.