Frischfisch

fish life reporting


Hinterlasse einen Kommentar

Error 1312 wenn du versuchst MS Navision Instanzen mit SSL abzusichern

SSL Certificate add failed, Error: 1312
A specified logon session does not exist. It may already have been terminated.

Im ERP Umfeld ist Datensicherheit das höchste Gebot. Daher sichert man Schnittstellen am einfachsten mit Zertifikaten ab. Hier in dem Fall ein MS Navision2018 Server der öffentlich seine OData Schnittstelle nach außen öffnen soll. OData wird gerne verwendet  um Business Intelligence System zu verknüpfen. Daher oderten wir bei Comodo ein SSL Wildcard Zertifikat und wollten dies mal schnell in unseren Navision Server importieren. Man erhält eine .cer Datei als Zertifikat, der Cert-Bundle mit der Zertifikatskette Richtung RootCA und die Key Datei.

Am besten erstellt man daraus eine pfx Datei die den privaten Schlüssel enthält um das dann anschließend per MMC zu importieren. Dabei kann man diverse Fehler machen so das man Ende nur Fehlermeldungen erhält.

Um nicht ins Chaos zu rennen hier ein paar Hinweise:

PFX DATEI: Ich hatte diese mit dem Keystore Explorer erstellt. Diese funktionierte jedoch nie so richtig beim Import und ich erstellte eine neue PFX Datei mit OpenSSL auf einem Debian Linux.

MMC: Snapin – Zertifikate – lokaler Computer. Die MMC muss immer mit „als Administrator“ ausführen ausgeführt werden, sonst rennt man schon in Berechtigungsprobleme den privaten Schlüssel zu lesen.

Beachtet man das nicht erhält man später in der NAV Administration Konsole nur komische Fehlermeldungen und es kann vorkommen das die OData Schnittstelle dicht macht!

Reihenfolge:

  1. SSL Zertifikat in PFX Datei umwandeln                                     Anleitung
  2. MMC als Administrator auf dem NAV Server öffnen
  3. SnapIn Zertifikate hinzufügen – lokaler Computer -> navigiere zur „Personal“ -“ Certificates“ -> rechte Maustaste -> „alle Tasks“ -> Importuntitled2
  4. Der Import Assistent erscheint, ich kann die PFX Datei auswählen und importieren (Man findet im Internet den Hinweis das der Export zugelassen sein sollte – bloss nicht aktivieren bitte sonst untergräbt man die Sicherheit enorm!)
  1. Zertifikat öffnen und den Thumbprint von den Zertifikatsdetails notieren! copy& paste geht nicht in der NAV Admin Konsole später, daher aufschreiben!  (ohne Leerzeichen)

clip_image002_thumb_28FF3268

6.  Dann in der MMC unter Personal – Certificates das SSL markieren, mit rechter Maustaste “ Alle Aktionen“ -> „manage private key“ wählen. Hier öffnen sich die Sicherheitseinstellungen des Zertifikates und hier müssen jetzt die Serviceaccounts von dem Navision Server berechtigt werden zum Lesen. Ansonsten kann man den privaten Schlüssel nicht lesen, ein Einbinden in Navision führt zu Fehlermeldungen ähnlich error 1312.

Erscheint hier „no private keys to manage“ stimmen die Berechtigungen nicht oder die MMC läuft nicht explizit mit Adminrechten.

7. Die NAV Admin Konsole öffnen, die Eigenschaften der Instanz aufrufen -> auf „edit“ klicken (unten rechts) und dann den Thumbprint in die NAV Instanz eintragen. Hier geht kein Copy & Paste! Dann erscheinen beim Speichern Fehlermeldungen. Einfach manuell eintragen beim der ersten Instanz. Man kann dann den Wert kopieren und in die Zwischenablage speichern. Beim Eintragen des Thumbprint auf weitere Instanzen geht copy & paste dann plötzlich doch wieder. Aber nur dann.

17395_3b663d999603559d1c6c5c79a7dbf039 (1)

8. Dann die Schnittstelle OData weiter unter öffnen und dort „enable SSL“ aktivieren.
Die Instanz muss dann einmal neu gestartet werden und SSL ist dann auf diesem IP Port aktiv.

Erhält man an der Stelle Fehlermeldungen hat der NAV Serviceaccount kein Leserecht auf den privaten Schlüssel im Zertifikatsspeicher!

Weitere Probleme kann man bekommen wenn man den Zertifikatsimport nicht 100% durchführen konnte. Navision nimmt an das die Schnittstelle schon abgesichert sei obwohl SSL auf dem Port nicht funktioniert. Der Port ist dann dicht. Das konnte nur behoben werden indem man den Zertifikatsrollout ohne Fehler wiederholt bis die Implementierung fehlerfrei läuft. Dann erst komm ich wieder an die OData Schnittstelle ran.

Viel Erfolg. Ich hab einige Zeit gebraucht dafür. Hoffe mit der Anleitung hier gehts bei anderen schneller.

Advertisements


Hinterlasse einen Kommentar

HyperV: VM verliert sporadisch Netzwerkverbindung

Der HyperV unter MS Server2012r2 ist eine recht performante Lösung wenn man die unterschiedlichsten Betriebssysteme virtualisieren möchte. Wir nutzen den HyperV querbeet mit Windows Servern, Workstations und Ubuntu Servern.

Jetzt tritt jedoch ab und an ein Fehler in der Netzwerkkarte auf. Der VM zugewiesene Vswitch verliert die Verbindung zum LAN. Bei uns speziell ein HP DL360 GEN9 Server mit zwei 8 Kanal Broadcom Netzwerkkarten die den Treiber b57nd60a.sys benutzen.

Innerhalb einer MS VM sieht man am Netzwerksymbol im Systray das gelbe Ausrufezeichen welches mir bestätigt das die Verbindung eingeschränkt ist.

Umgehen kann man das indem man einen zweiten VSwicht im HyperV bereit stellt. Verliert der VSwitch die Verbindung kann man im HyperV Manager einfach den anderen VSwitch wählen und die Verbindung ist wieder da. Das kann aber die Lösung nicht sein da man erstmal nicht merkt das die VM im LAN nicht mehr ansprechbar ist.

Schaut man im MS Support nach findet sich ein Hinweis auf die Treiberversion 16.8 und höher, bei dem der Verbindungsverlust angeblich nicht auftreten soll. Wird er aber trotzdem. Mit Version 17.2.0.0 hat sich nichts geändert. Die VM’s sind immer wieder mal nicht erreichbar. Ein Neustart oder der Wechsel des VSwitchtes behob das Problem dann wieder temporär.

Die endgültige Lösung bringt kein Treiberupdate mit sich. Der Fehler tritt weiterhin auf.

 

Lösung:

Installiert keine neue Treiberversion! Deaktiviert den Virtual Machine Queue (VMQ). Schaut nach dem Namen des Netzwerkadapters im System. Deaktiviert den VMQ mit

Set-NetAdapterVmq-Name „NIC 1“ -Enable $False
Set-NetAdapterVmq-Name „NIC 2“-Enable $False

Um zu prüfen ob VMQ auf den Netzwerkslots aktiv ist kann man mit dem Befehl

Get-NetAdapterVmq

den Status abfragen. Das sieht dann so aus und ich kann sehen auf welchen Adaptern VMQ aktiv ist und wo es deaktiviert werden muss.

hp

 

Viel Erfolg!


2 Kommentare

Sharepoint 2013 – Trotz Vollzugriff kann Seite nicht bearbeitet werden

Es wurde eine Teamwebsite in unserem Sharepoint erstellt. Dem Mitarbeiter wurden alle Rechte gegeben. Es ist sowieso schon Sharepoint-Online-Admin, dazu auch noch globaler Admin im Office 365. Im Sharepoint ist er Websiteowner und besitzt laut der Berechtigungsanzeige Vollzugriff auf diesen Bereich.

Versucht der Benutzer allerdings Inhalte oder Einstellungen der Webseite zu ändern führt das immer zu einem

noaccess

 

Sie können den Access anfordern und man kann diesen auch gewähren. Es ändert aber nichts. Die Zugriffsberechtigung bleibt verwehrt.

Wenn ich mich durch die Berechtigungen hangele sehe ich zwar Vollzugriff, schaue ich aber genauer hin sehe ich „Vollzugriff, beschränkte Berechtigung“ welches ausgegraut ist. Das kann man nicht ändern im Sharepoint oder im Sharepoint Designer.

Einen ersten Hinweis sieht man schon wenn man in die Websitesammlungsverwaltung schaut. Dort gibt es unter den „Websiteeinstellungen“ normalerweise den Punkt „Gestaltungsvorlagen“ im Bereich Web-Designer-Katalog. Ist dieser Punkt dort nicht sichtbar hat man definitv keinen Vollzugriff und wird nichts ändern könnnen. Wir brauchen also die Schreibrechte auf die Gestaltungsvorlagen, wenn man diese aber nicht sieht kann man diese nicht setzen.


spo1

Es gibt einen Trick. Nachdem ich mich bei MS beschwert habe hat mir der Supportmitarbeiter gestanden das es dort noch einen Bug im SPO2013 gibt und wie man ihn behebt.

Starte die Sharepoint Verwaltungs Shell, diese kommt mit dem Sharepoint Designer 2013 aufs System.

Verbinde dich mit deinem Sharepoint mit

Connect-SPOService -Url „https://deinservername-admin.sharepoint.com“ -Credential „benutzername@doma.in“

Das eigentliche Problem ist eine Basiseinstellung. Setzte diese auf „0“ mit

Set-SPOSite -Identity https://deinservername.sharepoint.com -DenyAddAndCustomizePages 0

 

sposhell

Das dauert einen Moment und dann kann die Seite auch bearbeiten, die Einstellungen ändern und wird nicht abgewiesen. Hat mich heute 4h Zeit gekostet das rauszufinden und zeigte mal wieder deutlich das die Dokumentation seitens Microsoft doch recht bescheiden ist. Da würde ich mir einen ordentlich Doku wünschen und nicht so ein Flickwerk welches sich über die letzten 4 Sharepoint Version hinzieht wie ein Kaugummi.

Wenn ihr über diesen Beitrag stolpert wäre es nett wenn ihr mir einen Kommentar hinterlasssen würdet und mir kurz eure Erfahrung mit SPO2013 mitteilt. Danke.


Hinterlasse einen Kommentar

CoinVault und Bitcryptor Ransomware: Daten retten möglich ohne zu zahlen!

Die Ransomware Seuche geht weiterhin um. Sollten Sie betroffen sein und schmerzlich Daten vermissen die noch verschlüsselt sind gibt es Hoffnung. Seit 28.10.2015 hat Kaspersky weitere Schlüssel generiert die dir helfen deine Daten wieder zu bekommen.

UnbeKaspersky bietet einen Entschlüssler zum Download annannt

Kaspersky bietet einen Entschlüssler zum Download an

Schritt 1: Notiere die Bitcoin Wallet Address die die Malware anzeigt

Schritt 2: Kopiere die Liste mit den verschlüsselten Dateien

Schritt 3: Enfernen Sie die Erpressersoftware mit einem aktuellem Antivirenprogramm (falls noch nicht geschehen)

Schritt 4: Downloade das Decryption Tool von Kaspersky -> https://noransom.kaspersky.com

Schritt 5: Installiere das Tool und die zusätzliche Datei für das entsprechende Bitcoin Wallet und folge den Anweisungen in der Software. Viel Erfolg.

Nur nebenbei bemerkt: Mit der Software Cryptowall haben die Macher inzwischen mehr als 325 Mill. $ Dollar verdient. Das FBI hat eine Belohnung von 3 Millionen Dollar Belohnung ausgeschrieben für den der diesen russischen Hacker liefern kann. Inzwischen existieren Toolkits im Internet mit denen sich jeder einen eigenen Cryptoerpresser generieren kann. Man sollte also davon ausgehen das diese Seuche so schnell kein Ende nimmt solange sich damit einfach ein paar Millionen verdienen lassen.

Die Infektion erfolgt auf dubiosen Webseiten im Driveby Download oder durch Anhänge in Emails die diese Software installieren. Seien Sie vorsichtig.

cryptowall

Cryptowall Version 3.0

cryptorbit

Cryptorbit Einblendung





Hinterlasse einen Kommentar

Schlüssel für Trojan.Ransom / Cryptolocker /Cryptorbit etc.

FireEye und Fox-it haben eine Webseite veröffentlicht, auf denen man sich die Schlüssel für die Erpressertrojaner generieren kann um seine Daten wieder zu entschlüsseln. Danke dafür.

Wer es braucht: hier lang -> https://www.decryptcryptolocker.com/

 

Viel Erfolg bei der Datenwiederherstellung!


Hinterlasse einen Kommentar

Amazons S3 Cloud: Buckets als Netzwerklauf unter MS Windows einbinden

Wer Amazons S3 Cloud nutzt hat die Möglichkeit die Daten als Netzlaufwerk direkt in Windows einzubinden. Das praktische daran ist die Tatsache das die Laufwerke automatisch in Windows nach dem Start zur Verfügung stehen. Vorraussetzung ist die Verbindung zum Internet, also direkt zur Cloud selbst.

In erster Linie hab ich dies für die „RoadWarriors“ eingerichtet (Microsoft nennt Außendienstmitarbeiter mit Laptops Roadwarriors, da sie den täglichen Gefahren des bösen Internets ausgesetzt sind). Ursprünglich war eine VPN Verbindung zum Firmenserver eingerichtet was sich jedoch aufgrund der schlechten DSL Performance als sehr anstrengend in der Bedienung herausstellte. Eingebundene S3 Laufwerke bieten bei Weitem eine bessere Performance im täglichen Umgang mit den Daten und seitdem kamen auch keine Beschwerden mehr. Das Ganze wurde mit TNTDrive umgesetzt. Ein kleines Programm das automatisch die Verbindung zur Cloud herstellt und das Mapping generiert.
Nach der Installation und einem Neustart ist TNTDrive bereit für die Konfiguration.

tnt6

Mit diesem Button beginnt die Konfiguration des Netzlaufwerks. Nachdem man die Keys der S3 Cloud eingegeben und die Parameter für das Mapping eingestellt hat kann man das Laufwerk mounten und findet es danach im Arbeitsplatz als Netzlaufwerk. Will man weitere Laufwerke oder ganze Buckets einbinden kann man das erste erstellte Laufwerk clonen wenn es sich um die gleichen Keys handelt.

amazon s3 buckets mounted as local and network drive

Die Oberfläche ist einfach gehalten und übersichtlich. Das Mapping funktioniert einwandfrei. Der Aufruf von Dateien aus dem Netzlaufwerk heraus ist bei bestehender Internetverbindung recht schnell und zuverlässig. Gerade aus dem Ausland heraus ist die Cloud wesentlich schneller im Zugriff als die interne VPN Lösung zum Fileserver was auch ein Hauptgrund für die S3 Cloud war.

tnt2

Die Maske für die Verbindungskonfiguration. Es können komplette Buckets oder Laufwerke gemappt werden. Die Zugriffsrechte vergibt man innerhalb des Cloudmanagement indem man unterschiedliche Keys für unterschiedliche Zugriffsrechte generiert.tnt4

Unter den erweiterten Option kann man auch das Übertragen der Windows Attribute aktivieren. Somit hat man die gewohnten Teamfunktion im  Dokumentenmanagement integriert z. Bsp. ob ein Dokument gerade von einem anderen Mitarbeiter bearbeitet wird und man so eine schreibgeschützte Ansicht erhält.

tnt5

Die Lizenzkosten liegen in der Einzelversion bei 59$. Ein fairer Preis der beim Kauf von zwei Version schon auf 45$ pro Einzelplatzversion fällt.

Im laufenden Betrieb arbeit TNTDrive zuverlässig. Ein Grund hier eine kurze Beschreibung zu veröffentlichen.

Praktisch ist dieses Tool vor allem auch für Besitzer eines NAS Speichers. Diese haben im OS meist schon einen Cloudbackup integriert und so stehen die Daten lokal wie auch außerhalb immer zur Verfügung. Hier ist jedoch zu beachten wie die Synchronisierung von statten geht. Die S3 Cloud verursacht Kosten für Speicherplatz, Datenanfragen und  Datentransfer. Diese sollte man im Auge behalten.

Link zum Hersteller:
TNTDrive Webseite