SharePoint verwendete Sprachen anzeigen per Powershell

Mit folgendem Powershell Script wird die „Default Language“ und die „Alternate Languages“ per Web angezeigt.

Die URL muss auf die gewünschte Sitecollection angepasst werden.

$snapin = Get-PSSnapin Microsoft.SharePoint.Powershell -ErrorVariable err -ErrorAction SilentlyContinue if($snapin -eq $null){ Add-PSSnapin Microsoft.SharePoint.Powershell }

$s = Get-SPSite -Identity <URL>
$w = $s.AllWebs
foreach ($a in $w)
{
   Write-Host "Title:" $a.Title "Language:" $a.Language "IsMultilingual:" $a.IsMultilingual "SupportedUICultures:" $a.SupportedUICultures
}

.NET-Update beeinträchtigt Windows Server 2012

Windows-Server-2012

Seit Dienstag liefert Microsoft ein Update für das .NET-Framework 4.5 aus. Das unter KB2750149 beschriebene Update beseitigt zahlreiche Probleme, zeigt aber auch eine unangenehme Nebenwirkung. Administratoren von Systemen mit Windows Server 2012 melden, seit dem Patch lasse sich das Snap-in Failover Cluster Manager nicht mehr benutzen. Sobald man im Snap-in einen Knoten auswählt, erscheint eine Reihe von Fehlermeldungen, die den Manager effektiv lahmlegen.

Der Failover Cluster Manager verwaltet – wie der Name schon sagt – Failover Clusters. Über diese Funktion koordinieren sich mehrere Server, so dass beim Ausfall eines Servers die anderen dessen Funktion nahtlos übernehmen können. Zusätzlich teilen sich die Server einen Namensraum, um gemeinsamen Speicher zu nutzen. Der Manager ist eine grafische Benutzeroberfläche zur Verwaltung solcher Cluster. Mutmaßlich beeinträchtigt das Windows-Update nur die Funktionsweise des Managers, nicht aber die eigentliche Funktion der Server.

Microsoft hat den Fehler im Support-Forum für Windows Server 2012 bestätigt und rät zur vorübergehenden Deinstallation des Updates – danach funktioniert der Failover Cluster Manager wieder. Alternativ dazu kann man den Cluster über die Powershell steuern, bis Microsoft das Update aktualisiert hat.

Quelle: heise.de

[Update] Kritische Schwachstelle in aktueller Java-Laufzeitumgebung

[Update] Oracle patcht kritische Java-Lücke

Oracle reagiert mit der Java-Version 7 Update 11 auf die kritische Sicherheitlücke, die bereits aktiv von Cyber-Kriminellen ausgenutzt wird. Neben der Schwachstelle (CVE-2013-0422) beseitigt das Update noch eine weitere Lücke ähnlichen Ausmaßes, von der das Unternehmen der CVE-Nummer zufolge bereits seit vergangenem Jahr weiß (CVE-2012-3174).

Neben dem Fix der zwei kritischen Schwachstellen, verändert Oracle auch den Umgang von Java mit Web-Applets. So wird das Default-Sicherheitslevel von „Medium“ auf „Hoch“ gesetzt. Damit werden Nutzer nun jedes Mal vor Ausführung eines nicht signierten Applets vor dem Sicherheitsrisiko gewarnt. Da bösartige Java-Programme in der Regel eher unsigniert sind, dürfte das zukünftige Angriffe erschweren.

Der polnische Sicherheitsforscher Adam Gowdiak, der im vergangenen Jahr diverse kritische Java-Lücken entdeckt hat, bleibt aber weiterhin skeptisch. Oracle untersuche Sicherheitsprobleme nicht gründlich genug und lasse sich zu lange Zeit für Patches. Java nach dem Update wieder zu aktivieren, könne er nicht empfehlen.

Am 10. Januar entdeckte ein Malware-Forscher mit dem Pseudonym kafeine, dass Cyber-Ganoven eine bislang unbekannte Schwachstelle zum Verteilen von Malware nutzen. Zu diesem Zeitpunkt war der passende Angriffscode sogar schon in dem Exploit-Kit Black Hole enthalten, wodurch ihn auch technisch weniger versierte Gauner benutzen konnten. Das US-amerikanische Department of Homeland Securityund das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) warntendaraufhin vor der Schwachstelle, das BSI riet sogar zur vollständigen Deinstallation von Java bis ein Patch zur Verfügung steht. Wer Java auf seinem System installiert hat, sollte umgehend ein Update auf die aktuelle Version durchführen, um sich vor Angriffen über die gefährliche Lücke zu schützen.

Quelle: heise.de

BSI empfiehlt Internetnutzern Deaktivierung von Java

Java

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) weist auf eine kritische Schwachstelle in der aktuellen Java-Laufzeitumgebung, Version 7 Update 10 hin. Die Schwachstelle ist bereits in weitverbreiteten Exploit-Kits vorhanden und kann somit massiv und relativ einfach ausgenutzt werden. Aufgrund der Schwachstelle kann auf betroffenen Systemen beim Besuch einer manipulierten Webseite fremder Code ausgeführt und so beispielsweise der Rechner des Nutzers von Cyber-Kriminellen ausspioniert oder übernommen werden.

Das BSI steht bezüglich der aktuellen Schwachstelle in Kontakt mit der Firma Oracle, dem Hersteller der Java-Laufzeitumgebung. Ein Sicherheitsupdate des Herstellers liegt derzeit nicht vor. Daher rät das BSI allen Internetnutzern zu prüfen, ob Java für die Arbeit am Rechner tatsächlich benötigt wird. Ist dies nicht der Fall, sollte Java über die Systemsteuerung deinstalliert werden, bis ein Sicherheitsupdate vorliegt. Wird Java außerhalb des Browsers dringend benötigt, sollten zumindest die Java Browser-Plugins für das Surfen im Internet deaktiviert und nur zeitweise für die Durchführung einzelner Anwendungen aktiviert werden.

Seit Veröffentlichung von Java 7 Update 10 können die Java-Web-Plugins über die Java-Steuerung deaktiviert werden. Für einzelne Browser findet sich unter Windows in der Systemsteuerung unter „Java“ auf dem Reiter „Sicherheit“ die Option „Java Content im Browser aktivieren“, bei der das entsprechende Häkchen nicht gesetzt sein sollte. Darüber hinaus hat das BSI Hinweise zur Deaktivierung der Plugins in den gängigen Browsertypen auf seiner Webseite veröffentlicht.

Nicht betroffen ist nach derzeitigem Erkenntnisstand des BSI die Java-Laufzeitumgebung Version 6. Sobald ein Sicherheitsupdate des Herstellers für die Version 7 vorliegt, wird das BSI darüber informieren.

Quelle: Original Artikel BSI

WSUS Update für Windows Server 2012 und Windows 8

Wenn ein Windows Server 2012 oder Windows 8 Client auf einen bestehenden WSUS 3.0 Server mit SP2 zugreift, kann folgende Fehlermeldung erscheinen:

Windows Update Error 800B0001

Wird jedoch online bei Microsoft nach Updates gesucht, funktioniert dies problemlos.

Damit die neuen OS Update holen können, benötigt es ein Update auf dem WSUS Server.

Beschrieben ist das ganze im KB2734608 Artikel:

http://support.microsoft.com/kb/2734608

Nach dem Update auf dem WSUS Server können die neuen OS Versionen Updates holen.

 

Warnung vor kritischer Java-Lücke

Die aktuelle Version von Java enthält eine schwere Sicherheitslücke, wie Security-Experten berichten. Angreifer können darüber die Kontrolle über den Computer von betroffenen Nutzern übernehmen. Offenbar wird die Lücke schon ausgenützt.

Betroffen sind laut ‚Heise‘ sämtliche gängige Webbrowser. Ausserdem lässt sich die Lücke nach neuen Erkenntnissen nicht nur unter Windows, sondern auch unter Linux und Mac OS X ausnutzen.

User sollten deshalb das Browser-Plug-in von Java möglichst sofort abschalten. Ein Patch von Oracle ist noch nicht erhältlich.

Quellen:
http://www.inside-it.ch/articles/29927
http://www.heise.de/newsticker/meldung/Warnung-vor-kritischer-Java-Luecke-1675454.html

Update:
Java-Plug-in unter Firefox deaktivieren
Plug-ins unter Chrome deaktivieren
Java-Plug-in unter Safari deaktivieren
Java-Plug-in unter Opera deaktvieren

Beim Internet Explorer ist das Deaktivieren von Java offenbar alles andere als trivial. Obwohl wir sämtliche Plug-ins von Oracle unter „Add-Ons verwalten“ deaktiviert hatten, funktionierte der Java-Exploit auf unserem Testsystem weiterhin und startete den Taschenrechner. Wer den IE einsetzt, sollte Java daher besser vollständig über Systemsteuerung/Software deinstallieren. Ob man Java erfolgreich deaktiviert hat, verrät die Java-Testseite des Browserchecks.

Update 2:

Oracle hat einen Notfallpatch veröffentlicht. Dieser hat die Version 7 Update 7.
Herunterladen lässt sich das Update unter folgender URL: http://www.java.com/de/download/manual.jsp

Quelle: http://www.heise.de/security/meldung/Oracle-reagiert-mit-Notfall-Update-auf-Java-Schwachstelle-1696086.html

Logon Screen Keyboard Layout – Windows Server 2012

Das Keyboard Layout des Logon Screens ändert sich nicht, wenn die korrekten Einstellungen (Keyboard Layout, Location) des Servers angepasst wurden.

Dies macht das Anmelden am Server unter Umständen recht schwierig.

Das Keyboard Layout für den Logon Screen kann über das Control Panel angepasst werden.

  1. Control Panel -> Clock, Language, and Region -> Region -> Administrative -> Copy settings…
  2. Hacken bei « Welcome Screen » und « New user accounts » setzen -> OK

Die Anpassungen sind sofort aktiv.

Windows Failover Cluster „Quorum Disk Group“ auf anderen Host schieben

Für die Quorum Disk Group gibt es im Failover Cluster GUI keine Möglichkeit, einen Failover auszuführen.

Falls diese Disk Gruppe auf einen anderen Host verschoben werden muss, kann man in einer CMD Box folgendes Kommando verwenden:

Cluster group „Cluster Group“ /move:<newnode>

Wobei <newnode> mit dem Host Name des neuen Cluster Nodes ersetzt werden muss. Durch dieses Kommando wird die Quorum Disk Group auf den neuen Node verschoben.

Alter failed for Server ‚SQLServerName‘ – Check Database Integrity

Zu Wartungszwecken werden beim SQL Server Maintenance Pläne eingerichtet.

Ein möglicher Task ist der ‚Check Database Integrity Task‘, welcher die Integrität der DBs prüft.

Check Database Integrity Task

Es kann passieren, dass dieser Task fehlschlägt:

Job Failed

Job Failed

Öffnet man nun die Job History, sieht man mehr Details:

View Job History

Interessant ist die Error Meldung: ‚Alter failed for Server …‘

Meistens hat dies mit der Konfiguration des ‚Allow Updates‘ Parameters des SQL Servers zu tun. Prüfen wir also die Einstellung mit folgendem TSQL Kommando:

SELECT * FROM sys.configurations

 

Check Allow Updates Configuration

Hier sehen wir beim Parameter ‚allow updates‘ eine Value von 1.

Dies ist die Ursache für die Fehlermeldung.

Stellen wir den Wert also auf 0 um, dies wir mit folgendem TSQL Kommando gemacht:

sp_configure 'allow updates', 0
GO
RECONFIGURE WITH OVERRIDE
GO

 

Reconfigure Allow Updates

Nun prüfen wir, ob der Parameter korrekt gesetzt ist:

SELECT * FROM sys.configurations

 

Check Allow Updates Configuration

Nun starten wir den ‚Database Integrity Check Task‘ erneut:

Check Integrity Task Success

Nun funktioniert der Job wie er soll.

Keine VPN Einwahl mit Smartcard möglich. Schannel Event ID 36885.

Der TMG 2010 Server kann als VPN Dial-In System konfiguriert werden.

Dafür wird in der TMG Konsole das VPN Feature aktiviert und im Authentication Tab die erlaubten Authentifizierungsarten selektiert.

Für Smartcard Authentication wird also EAP aktiviert, falls auch mit Username und Passwort eingewählt werden darf, verwendet man MS-CHAPv2.

Es lassen sich mehrere Typen gleichzeitig aktivieren.

VPN Authentication Settings

Der TMG Server nutzt im Hintergrund den Network Policy Server. Dort werden die entsprechenden TMG Einstellungen automatisch eingetragen.

Network Policy Server

Neulich hatte ich ein Problem mit so einer Konfiguration, und zwar konnten sich die Benutzer mit Username und Passwort erfolgreich einwählen, jedoch funktionierte das Login mit Smartcard nicht. Auf dem Client wurde folgende Fehlermeldung angezeigt:

Client Error Message Smartcard VPN

Im Event Log des TMG Servers werden folgende Meldungen protokolliert:

Failed Connection Smartcard

Event ID 20271

Event ID 20255

Event ID 36885

Event ID 36887

Der interessanteste Eintrag ist die Warning mit der Event ID 36885.

Anhand dieser Meldung wird klar, dass es zu viele Trusted Root Zertifikate im Zertifikat Store des TMGs hat.

Während dem Handshake schickt der TMG eine Liste aller Zertifikate, welchen er vertraut, zum Client. Ist diese Liste zu lange, scheitert die Authentifikation.

Ein Blick in den Zertifikat Store zeigte dann auch, dass der Server 259 Root Zertifikate im Store hatte. Dies ist definitiv zu viel.

Nur woher kommen diese Zertifikate?

Es hat sich dann gezeigt, dass auf dem Server das ‚Root Certificate Update Package‘ installiert wurde. Dieses Packet ist eigentlich für Windows XP gedacht, da dieses OS die Root Zertifikate nicht dynamisch aus dem Internet nachladen kann.

Das Packet lässt sich auch auf Windows Server 2003 / 2008 und 2008 R2 installieren.

Hier der Link zu diesem Update Packet: http://support.microsoft.com/kb/931125/en-us

In der Beschreibung wird genau auf dieses Verhalten hingewiesen:

Windows Server 2003, Windows Server 2008, Windows Server 2008 R2

The automatic root update mechanism is enabled on Windows Server 2008 and later, but not on Windows Server 2003. Windows Server 2003 supports the automatic root update mechanism only partially, equivalent to the support on Windows XP. And since the root update package is intended for Windows XP client SKUs only, it is not intended for Windows Server SKUs. However, the root update package may be downloaded and installed on Windows Server SKUs, subject to the following restrictions.

If you install the root update package on Windows Server SKUs, you may exceed the limit for how many root certificates that Schannel can handle when reporting the list of roots to clients in a TLS or SSL handshake, as the number of root certificates distributed in the root update package exceeds that limit. When you update root certificates, the list of trusted CAs increases significantly in size and may cause the list to grow too long. The list is then truncated and may cause problems with authorization. This behavior may also cause Schannel event ID 36885. In Windows Server 2003, the issuer list cannot be greater than 0x3000. For more information about this issue, click the following article number to view the article in the Microsoft Knowledge Base: 933430 Clients cannot make connections if you require client certificates on a Web site or if you use IAS in Windows Server 2003.

NOTE: These limitations only apply if you have SSL client authentication enabled on Windows Server.

Da sich dieses Update nicht deinstallieren lässt, bleibt einem nichts anderes übrig, als die nicht benötigten Root Zertifikate von Hand zu löschen.

Danach hatte der Server noch 51 Zertifikate im Store:

Trusted Root CAs

Ab diesem Moment konnten sich die Benutzer erfolgreich mit Smartcard einwählen.

Validating WSFC quorum vote configuration. – SQL 2012 AlwaysOn

SQL 2012 (Codename Denali) beinhaltet ein neues Feature namens ‚AlwaysOn‘.

Dieses Feature ermöglicht eine Hochverfügbarkeit von Datenbanken und verwendet dafür Database Mirroring und den Windows Failover Cluster.

Nach der Konfiguration von ‚AlwaysOn‘ wird beim Auslösen eines Failovers folgende Warnung angezeigt:

Failover Warning Denali Cluster

Die Meldung weist darauf hin, dass etwas mit den Quorum Votes nicht stimmt. Jeder Node in einem Failover Cluster hat einen Vote, um den Zustand des Clusters zu beurteilen.

Die Konfiguration kann mittels folgendem TSQL Script abgefragt werden:

SELECT  member_name, member_state_desc, number_of_quorum_votes
FROM   sys.dm_hadr_cluster_members;

Wie im folgenden Bild ersichtlich, wird für die beiden Cluster Nodes kein Wert für die Votes angezeigt. Der Wert ist NULL.

Quorum Vote Before Hotfix

Dies ist die Ursache für die Warnung beim Failover. Es wird nicht erkannt, wieviele Votes die einzelnen Nodes haben.

Microsoft hat dies mit einem Hotfix (KB2494036) korrigiert, welcher unter folgedem Link angefordert werden kann:

http://support.microsoft.com/kb/2494036/en-us

Der Hotfix ist für folgende Produkte gültig, wenn das Failover Cluster Feature installiert ist:

  • Windows Server 2008
  • Windows Server 2008 Service Pack 2 (SP2)
  • Windows Server 2008 R2
  • Windows Server 2008 R2 Service Pack 1 (SP1)

Nach einem Reboot des Servers führen wir nun das TSQL Query erneut aus:

Quorum Vote After Hotfix

Nun werden die Werte korrekt angezeigt. Jeder beteiligte Node hat nun einen Vote.

Auch ein Failover zeigt nun keine Warnung mehr an:

Failover Success Denali Cluster

Viel Spass damit.