Weisheiten - der Netz-Weise Blog

SQL-Server kann direkt aus dem SQL-Server heraus mails versenden und nutzt dafür ein System, dass sich SQL Server database mail (SQL Server Datenbankmail) nennt. Database mail kann allerdings nicht direkt versenden, sondern benötigt ein mail relay, also einen Mail-Server, der die Daten weiterleitet. Wenn Sie hierfür Office 365 einsetzen möchten, gehen Sie folgendermaßen vor:

Richten Sie zuerst in Office 365 einen neuen Benutzer ein. Der Benutzer benötigt eine Lizenz für Exchange - wählen Sie erste eine Komplettlizenz für den Benutzer aus und entfernen Sie dann die Lizenzen für die anderen Dienste.  Ganz wichtig - melden Sie sich jetzt einmal mit dem Benutzer an! Der Benutzer muss sein Kennwort ändern. Wenn Sie das nicht tun, wird database-mail am Server keine Anmeldung durchführen können - stattdessen erhalten Sie eine Fehlermeldung:

"The SMTP server requires a secure connection or the client was not authenticated. The server response was: 5.7.1 Client was not authenticated".  

Nach der Änderung des Kennworts wechseln Sie im Menü oben rechts auf "outlook" und stellen im Assistenten die Zeitzone und das Land ein. Im Outlook-Fenster können Sie jetzt auf das Zahnrad oben rechts gehen und Optionen auswählen. Hier finden Sie jetzt unter "Einstellungen über POP oder IMAP" den Mailserver, den Sie als Empfänger angeben müssen.  Nun öffnen Sie die Database-Mail-Einstellungen und konfigurieren den Server:

mailserver: smtp.office365.com (oder was immer bei Ihnen eingestellt war)
SSL-Verschlüsselung aktiv
Basis-Authentifizierung (mit den Benutzerdaten)

Dank Docker gibt es in der aktuellen Preview von Windows 10 und in der Rosetta-Jubiläums-Ausgabe, die Ende Juli erscheint, endlich die Möglichkeit, virtuelle Maschinen in einem isolierten, privaten Netzwerk per NAT mit dem physikalischen Netzwerk zu verbinden, ohne eine Router-VM installieren zu müssen. Der NAT-Switch wurde notwendig, um per Docker bereitgestellte Anwendungen mit den Netzwerk zu verbinden. Und so richtet man einen NAT-Switch ein: 

Legen Sie zuerste mit Hyper-V einen neuen internen VM-Switch an. In früheren Versionen von Windows 10 gab es einen speziellen NAT-Switch, aber der ist zugunsten des internen Switches wieder gewichen:

$NatSwitch = New-VMSwitch -SwitchName Nat -SwitchType Internal

Als nächstes benötigen wir eine Gateway-Adresse für das interne Netzwerk, die wir an den Switch binden. Ein interner Switch legt automatisch auch eine interne virtuelle Netzwerkkarte an. An diese wird die Gateway-IP gebunden. Das folgende Script fragt zunächst den zum Switch gehörenden Netwerkadapter ab. Das passiert in zwei Schritten: Erst wird die virtuelle Repräsentation mit Get-VMNetworkadapter abgefragt, und dann wird die dazugehörige physikalische Netzwerkkarte abgefragt. Es handelt sich dabei um dasselbe Gerät, aber mit zwei unterschiedlichen Cmdlets abgefragt. Diesen umständlichen Weg gehen wir, weil get-Vmnetworkadapter uns den Interface-Index nicht zurück liefert, den wir benötigen, um das NAT-Netzwerk einzurichten: 

$natNetworkAdapter = Get-VMNetworkAdapter -ManagementOS -SwitchName $NatSwitch.Name
$networkAdapter = Get-NetAdapter | Where-Object -FilterScript {
     $_.deviceid -eq $natNetworkAdapter.DeviceId
}

Immer wieder liest man den Mythos, dass man eine Festplatte 37 mal überschreiben muß, bevor die Daten vollständig gelöscht sind. In der aktuellen c´t 13/2016 gibt es dazu einen sehr guten Artikel, der die Hintergründe dazu beschreibt. Das Fazit der Artikelserie lautet: Bei alten MFM-Festplatten, bei denen die Datensektoren der Festplatten noch so groß waren wie Pfannkuchen, war eine Datenwiederherstellung mit den enstprechenden Werkzeugen in der Tat noch möglich. Bei aktuellen magnetischen Datenträgern haben sich die Aufzeichnungsverfahren aber maßgeblich verändert, und auch Datenrettungsunternehmen sind mit Ihren Werkzeugen nicht in der Lage, einmal überschriebene Daten wiederherzustellen. Ach das BSI und das amerikanische Pendant NIST geben als Richtlinie inzwischen heraus, dass eine einfache Überschreibung reicht, um Daten rückstandlos zu entfernen.

Kommen wir nun dazu, wie die Datenlöschung am einfachsten auszuführen ist. Windows bietet dazu 2 Bordmittel an.

Zum Löschen von einzelnen Dateien oder Partitionen auf der Festplatte bietet sich das Tool cipher.exe an. Es ist das Tool zur Kommandozeilensteuerung von EFS (Encrypted File System) und bietet den Schalter /w, mit dem man einzelne Dateien, Ordner oder aber auch ganze Partitionen löschen kann. Um den Ordner c:\Temp\geheim zu löschen und zu überschreiben, geben Sie hierfür ein:

Cipher.exe /w c:\Temp\geheim

Die Löschung kann eine Weile dauern, da die Daten in 3 Durchgängen mit 0, dann mit 1 und anschliessend wieder mit 0 überschrieben werden. Um die ganze Partition zu löschen, geben Sie nur Laufwerksbuchstabe: ein:

Haben Sie schon einmal versucht, ein per Gruppenrichtlinien verteiltes Root-Zertifikat wieder zu entfernen? Wie sich herausstellt, ist das über das Zertifikats-Plug-In in der Management-Konsole gar nicht so einfach. Hilfe verschafft hier das Kommandozeilentools Certutil in Verbindung mit Powershell.

Certutil besitzt einen Parameter -delstore, mit dem man Zertifikate aus dem Store entfernen kann. Ruft man Certutil -delstore -? auf, so bekommtn man folgende Optionen angezeigt:

Optionen:

-enterprise -- Verwendet den Unternehmensregistrierungs-Zertifikatspeicher auf dem lokalen Computer
-user -- Verwendet HKEY_CURRENT_USER oder Zertifikatspeicher.
-GroupPolicy -- Gruppenrichtlinien-Zertifikatspeicher verwenden

Verwenden Sie die Option -GroupPolicy für Zertifikate, die per Gruppenrichtlinie verteilt wurden. Der richtige Speicher ist wichtig, da Certutil Ihnen sonst zwar Vollzug vermeldet, aber die Zertifikate nicht löscht. Weiterhin benötigen Sie den Thumbprint (Daumenabdruck oder Checksumme) des zu entfernenden Zertifikats. Den erhalten Sie über Powershell:

Das Anlegen einer virtuellen Maschine in Hyper-V geht sehr einfach. Hier zeige ich ein kleines Beispiel, dass eine Generation-2 VM anlegt, konfiguriert und ein ISO-Image zum Starten bereitstellt. 

Zuerst erzeuge ich ein Credential-Objekt, um das ISO-File für die VM aus einer Freigabe zu kopieren. Die Methode PSCredential der Klasse PSAutomation erzeugt uns dafür ein Credential-Objekt, das 2 Parameter benötigt: Den Benutzernamen und das Kennwort.

• $password = ConvertTo-SecureString -String "Passwort" -AsPlainText -Force
• $UserName = "Administrator"
• $adminCred = New-Object System.Management.Automation.PSCredential ($username, $password)

Als nächstes wird ein Ordner für das Iso angelegt:

$isoPath = mkdir D:\iso -Force

Ich habe es in meinem letzten Tipp zwar schon einmal kurz erwähnt, aber ich finde, die Info ist trotzdem einen eigenen Eintrag wert. Microsoft hat sich entschieden, das SQL-Server Management Studio als eigenständiges Produkt unabhängig von den restlichen SQL-Server Features weiter zu entwickeln. Damit ist das Management Studio jetzt für jeden frei verfügbar! Das ziemlich cool, denn bisher konnte man nur die eingeschränkte Express-Edition kostenlos installieren. Das vollwertige Management-Studio konnte eigentlich nur mit dem SQL-Server installiert werden. Die RTM ist seit gestern in der Version 13.0.1601.5 offiziell released. Man kann Sie bei MSDN herunterladen. 

Zusätzliche Informationen zur Version und zu den Features hat man bei SQL-Sentry zusammengetragen. 

Eine Reihe von Erweiterungen für das Management-Studio findet man übrigens im SSMS Tool Pack (leider ab SSMS 2012 nicht mehr kostenlos, aber sehr preisgünstig). Alterantiv bietet sich SSMS Boost mit einer kostenlosen Community-Edition an. Sehr hilfreich und kostenlos zum automatischen Formatieren von Code ist auch der Poor Mans SQL-Formatter. 

Immer wenn mein Frust auf Microsoft so richtig groß ist, machen Sie wieder was richtig cooles. Windows 10 nervt mich manchmal mächtig ab. Aber dafür hat Microsoft jetzt die gestern offiziell releaste Version 2016 in der Developer-Edition kostenlos verfügbar gemacht! Die Developer-Edition darf nur für Test-und Programmierzwecke eingesetzt werden, ist aber ansonsten voll Featureidentisch mit der Enterprise-Edition! Man kann Sie direkt bei MSDN herunterladen. Außerdem sollten Sie beachten, dass das SQL-Server Management Studio jetzt nicht mehr Bestandteil der SQL-Server Installation ist, weil es als eigenes Produkt weiterentewickelt wird. Den Link zum Download finden Sie ebenfalls beim MSDN. 

Eine Sache gibt es zu beachten: Die Developer-Edition hat den Netzwerkzugriff im Gegensatz zu den anderen Editions standardmässig deaktiviert. Er kann aber problemlos aktiviert werden. Starten Sie dafür nach der Installation den SQL-Server Configuration Manager und wählen Sie hier unter SQL-Server Network Configuration "Protocols for MSSQL-Server". Hier sehen sie die aktiven Zugriffsprotokolle. TCP/IP ist allerding deaktviert.

Doppelklicken Sie zum Aktivieren auf "TCP/IP". Im folgenden Fenster stellen Sie "Enabled" auf Yes.

Zum Aktivieren des Netzwerkzugriffs ist allerdings ein Neustart des Dienstes notwendig. Der Server läuft bei einer Standardinstanz dann auf Port 1433, bei einer benannten Instanz wird ein dynamischer (automatisch zugewiesener) Port verwendet. Diese Einstellungen können Sie ebenfalls im Configuration Manager ändern, indem Sie den Reiter "IP Addresses" wählen. 

Hier können Sie den Port eintragen, auf dem der SQL-Server Anfragen annehmen soll. Ist hier kein Port eingetragen, aber dafür eine Null bei dynamic Ports gesetzt, wählt der SQL-Dienst bei jedem Start automatisch einen Port. Entfernen Sie die 0 und tragen Sie stattdessen einen festen Port ein, wird dieses Verhalten deaktiviert. Auch für das Ändern des Ports ist ein Neustart notwendig. 

In meiner kleinen Reihe über Einrichtung und Verwaltung von Azure wird es auch um die Einrichtung von ADFS-Servern für Office 365 gehen. Für ADFS benötigen Sie, auch für Testzwecke, ein gültiges SSL-Zertifikat. In diesem Artikel zeige ich, wie Sie dafür einen Zertifikatsrequest erstellen und wie Sie bei Comodo ein 90 Tage gültiges SSL-Zertifikat beantragen können. Das Testzertifikat ist ein ganz normales SSL-Zertifikat, das bei Comodo auch verlängert werden kann. Die einzige Einschränkung ist die Laufzeit von 90 Tagen. Für die Verwendung als Zertifikat für Webserver würde ich LetsEncrypt empfehlen, da man hier komplett kostenlose SSL-Zertifikate bekommt. 

SSL-Zertifikats-Request erstellen

Um ein Zertifikat bei einer Zertifizierungsstelle zu beantragen, benötigen Sie eine Zertifikats-Anforderung. Die kann Ihnen z.B. von der IIS-Konsole erstellt werden. Einfacher geht es aber mit einem freien Tool von Digicert, die selber auch Zertifikatsanbieter sind. Laden Sie dazu einfach das Digicert Certificate Utility for Windows https://www.digicert.com/util/ auf den Rechner, auf dem das Zertifikat erstellt werden soll, herunter. Wichtig ist, dass Sie das Tool wirklich auf dem Rechner starten, auf dem das Zertifikat installiert werden soll, da mit dem Zeritifikatsrequest ein privater Schlüssel erstellt wird, der den Rechner nicht verlässt und der zusammen mit dem Zertifikat benötigt wird. Den Schlüssel später auf den Zielrechner zu exportieren ist zwar möglich, aber sehr umständlich. Das Certificate Utility muss auch nicht installiert werden, insofern sollte der Aufruf auch auf einem Server unproblematisch sein.

Das Tool kommt in einem Zip-File. Entpacken Sie es und starten Sie DigicertUtil.exe. Nachdem Sie dem Lizenzvertrag zugestimmt haben, öffnet sich die Digicert-Konsole. Hier Wählen Sie gleich im ersten Fenster oben rechts den Eintrag „Create CSR“.

Geben Sie jetzt die Zertifikatsinformationen ein. Das Utility gibt dabei auch Hilfestellung – auf der rechten Seite finden Sie Informationen zu den Daten, die gewünscht sind. 

Mit diesem Artikel beginne ich eine kleine Serie zum Thema Office 365 Benutzerverwaltung. Im ersten Teil möchte ich erst einmal klären, wie Office 365 und Azure AD zusammen hängen und wofür man den Azure AD Sync Dienst und Active Directory Federation Services (ADFS) benötigt. 

Wofür brauche ich Azure AD, wenn ich doch Office 365 einsetze?

Azure AD (Actice Directory) ist ein Benutzerverzeichnis, das von Microsoft ohne Installation eines eigenen Servers auf den Microsoft-Servern bereitgestellt wird. Office 365 verwendet Azure AD zur Speicherung Ihrer Office 365 Benutzerkonten. Dafür wird beim Anlegen eines Office 365-Accounts automatisch ein Azure-AD Verzeichnis angelegt.
Azure AD speicher Ihre Benutzerinformationen. Immer, wenn Sie im Office 365 einen neuen Benutzeraccount anlegen oder Benutzerinformationen ändern, werden tatsächlich Änderungen im Azure AD durchgeführt.

Benutzer mit einem lokalen AD zusammenführen

Um zu verhindern, dass Ihre Benutzer sich mehrere Kennwörter merken müssen – eins für Ihr Outlook und Sharepoint, und eins für Ihre lokale Anmeldung am PC – hat Microsoft die Möglichkeit zur Verfügung gestellt, Ihre Benutzerkonten ins Azure AD zu synchronisieren. Dafür benötigen Sie ein Tool namens Azure AD Sync (ehemals Dirsync), das Sie auf einem Server in Ihrem Netzwerk installieren („On Premise“). AAD Sync prüft in regelmäßigen Abständen Ihre Verzeichnisse (lokales AD oder, wenn eine Rücksynchronisation gewünscht wird, auch Ihr Azure AD) und synchronisiert Daten wie Kennwörter zwischen den Verzeichnissen. Die synchronisierten Verzeichnisse bleiben nach wir vor getrennt, aber die Daten können auf dem gleichen Stand gehalten werden. Die Synchronisation kann jederzeit abgebrochen werden.
Durch AAD Sync brauchen Ihre Benutzer sich nur noch ein Kennwort zu merken, da die Kennwörter im lokalen AD und im Internet immer gleich sind. Was Azure AD jedoch nicht leisten kann ist ein Single Sign on, wie er normalerweise auf einem Domänen-PC ausgeführt wird. Das bedeutet, daß z.B. der Zugriff auf Ihren Office 365 Sharepoint eine zusätzliche Anmeldung auf der Sharepoint Website erfordert, auch wenn das Kennwort lokal wie auf dem Sharepoint dank Azure AD das gleich ist. Um einen Single Sign on zu ermöglichen, benötigen Sie ADFS (Active Diretory Federation Services).

Single Sign on mit Office 365

Damit Ihre Benutzer nicht für jede Office 365 Ressource eine Anmeldung durchführen müssen, sondern wie in einem lokalen Netzwerk üblich nur eine Anmeldung am PC durchführen und dann Zugriff auf alle Ressourcen haben, benötigen Sie Active Directory Federation Services (ADFS).
ADFS ist ein Dienst, der dazu dienst, die Anmeldungen von Websites „befreundeter“ Unternehmen in Ihr AD umzuleiten. Ein Beispiel für ähnliche Dienste, die Sie vermutlich zumindest schon oft gesehen haben, sind die Anmeldungen auf Websites via Google oder Facebook.

Anstatt auf einer Website ein neues Benutzerkonto anzulegen, verwenden Sie einfach Ihren Google-Account. Das Prinzip dahinter funktioniert so, dass die Website, an der Sie sich anmelden, Ihren Client im Hintergrund an den Anmeldeserver von Google weiterleitet. Ihre Google-Anmeldeinformationen werden von Google überprüft, und wenn Sie sich korrekt angemeldet haben, wird Ihrem Client ein Anmeldetoken ausgestellt und digital signiert (vor Änderungen geschützt und mit einem Stempel versehen, der sicher stellt, dass das Anmeldetoken wirklich von Google erzeugt wurde). Dieses Anmeldetoken gibt Ihre Clientsoftware an die Website zurück. Da die Website google vertraut, kann Sie nun die Anmeldeinformationen von Google verwenden, um für Sie ein Konto zu erstellen, dass mit dem Google-Konto verknüpft ist.

Update, 29.09.2020: Ein fleißiger Kommentator hat mir folgendes Code hinterlassen, der ab Powershell 5 besser funktioniert:

Get-Computerinfo | select OsLastBootUpTime

----

Jefrey Snover hat gerade ein Modul in der Powershell Gallery gepostet, das die letzte Reboot-Zeit aus dem Eventlog ausliest: https://www.powershellgallery.com/packages/get-lastreboot/0.1.1/DisplayScript. Dabei fiel mir ein, dass es doch auch noch dieses tolle Tool Systeminfo gibt, dass an der Kommandozeile alle möglichen Systeminformationen ausgibt - auch die Systemstartzeit. Das großartige an diesem Tool ist aber, dass es die Ausgabe auch ins csv-Format umwandeln kann, indem man den Parameter -FO aufruft. Die gesamten Informationen werden dann ins csv-Format umgewandelt, mit dem Powershell wiederum ganz hervorragend umgehen kann. Und so kann man dann ganz hervorragend die Daten von systeminfo direkt in Powershell weiterverarbeiten: 

systeminfo /FO csv | convertfrom-csv