weed – Seite 15 – ugg.li Schnelle Hilfe für schnelle Admins

Veeam Backup for Microsoft 365: „Cannot change WebPart ExportMode to ‘All’. WebPart will be skipped“ Warnung bei SharePoint Sites

Veröffentlicht am August 30, 2023 von weed — 1 Kommentar ↓

Bei der Sicherung von SharePoint-Sites für eine Organisation, die die moderne App-Authentifizierung nutzt, wird die folgende Warnung im Veeam Backup log angezeigt:

10.10.2010 01:01:01 :: Processing site <URL> finished with warning: Cannot change web part export mode to ‘All’, because custom scripting is disabled for site: <URL>. Web part will be skipped (web part ID: <GUID>, page: <URL>/pendingreq.aspx).

Um Webparts (Funktionsblöcke wie Tabellen, Bilder oder Remote-Inhalte) mit der modernen „App-Only“ Authentifizierung zu sichern, muss die Eigenschaft „Exportmodus“ des Webparts von „„Keine“ auf „Alle“ gesetzt werden.

Manchmal ist die Änderung der Eigenschaft durch den Admin verboten worden, sodass Veeam Backup for Microsoft 365 das nicht selber ändern kann; dann passierte diese Warnung.

Lösung

Man muss die Eigenschafte manuell (als Administrator) an der PowerShell setzen:

# SharePoint Online Modul installieren (falls noch nicht vorhanden)
Install-Module -Name Microsoft.Online.SharePoint.PowerShell

# Mit SPO verbinden
# -- Ohne MFA
$cred = Get-Credential
Connect-SPOService -Url https://<TENANTNAME>-admin.sharepoint.com -Credential $cred

# -- Mit MFA
Connect-SPOService -Url https://<TENANTNAME>-admin.sharepoint.com

# Custom Script in dieser SharePoint Site zulassen
Get-SPOSite -Identity https://<TENANTNAME>.sharepoint.com/sites/<SITENAME> | Set-SPOSite -DenyAddAndCustomizePages 0

# Custom Script in ALLEN Sites auf einmal erlauben
Get-SPOSite | Set-SPOSite -DenyAddAndCustomizePages 0

Ein paar „Cloud-Minuten“ später, meint ein paar Stunden Realzeit, funktioniert das Backup wieder. Natürlich gibt es ein paar Security Considerations wenn man Custom-Scripts zulässt.

Bonus-Tipp:

Um eine übersichtliche Auflistung der fehlgeschlagenen Sites im Veeam-Job zu erhalten, folgenden einzeiler in der „Veeam Backup for Microsoft 365 365 PowerShell“ ausführen:

(Get-VBOJob | ? LastStatus -eq Warning | Get-VBOJobSession | select -First 1).Log | ? Title -like '*custom scripting*' |ft Title

Update für Fehler „401“

Die PowerShell-Verbindung gibt möglicherweise hartnäckig den Fehler „401“ aus:

PS C:\> Connect-SPOService -Url https://<TENANTNAME>-admin.sharepoint.com
Connect-SPOService : Der Remoteserver hat einen Fehler zurückgegeben: (401) Nicht autorisiert.
In Zeile:1 Zeichen:1
+ Connect-SPOService -Url https://<TENANTNAME>-admin.sharepoint.com
+ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
    + CategoryInfo          : NotSpecified: (:) [Connect-SPOService], WebException
    + FullyQualifiedErrorId : System.Net.WebException,Microsoft.Online.SharePoint.PowerShell.ConnectSPOService

Das liegt dann daran, das der Administrator der das gerade ausführt nicht Mitglied der Rolle „SharePoint Administrator“ ist. Die Rolle muss im Microsoft 365 Admin Center nur schnell dazugeklickt werden, nach der nächsten Anmeldung geht das sofort wieder.

Lancom reverse DNS via DNS-Weiterleitungen einrichten

Veröffentlicht am August 29, 2023 von weed — Keine Kommentare ↓

Eine DNS-Weiterleitung für bestimmte Zonen ist in Lancom-Geräten schnell eingerichtet und wird naturgemäß für lokale (interne) AD-Zonen genutzt. Leider übersieht man als schneller Admin gerne, das eine Weiterleitung für *.EXAMPLE.COM nicht die reverse Zone für die Hosts beinhaltet.

Dann dauern reverse Auflösungen sehr lange, funktionieren nicht und sorgen für längere Wartezeiten.

Lösung

Damit die Rückwärts-Adressauflösung ebenfalls funktioniert, muss man die reversen Adresszonen ebenfalls hinzufügen. Natürlich alle einzeln, denn eine Wildcard endet an einem Punkt.

Das geht unter IPv4 > DNS > Weiterleitungen > … bearbeiten

Beispiele für private 192.168. Netze:

*.2.168.192.in-addr.arpa     # Für die Zone 192.168.2.*
*.42.168.192.in-addr.arpa     # Für die Zone 192.168.42.*

Windows Update Fehler 8007000e (Windows Server)

Veröffentlicht am August 22, 2023 von weed — Keine Kommentare ↓

Lösung

0x8007000e (E_OUTOFMEMORY) meint wörtlich „Es steht nicht genügend Speicherplatz zur Verfügung, um diesen Vorgang abzuschließen“ (Not enough memory resources are available to complete this operation).

Mit „Speicher“ ist hier nicht zwingend die Festplatte gemeint, das kann auch RAM, GDI-Speicher oder eine zu kleine Pagefile sein. Oft passiert das auf Servern wo der RAM vollgelaufen ist.

Systemlaufwerk prüfen. Auf %SystemDrive% sollten etwa 12GiB Platz frei sein.
Arbeitsspeicher prüfen. Für ein Windows-Update sollten ~4GiB Platz frei sein.
Dritt-Tools (Virenscanner, Firewall, Dateisystemfilter (DropBox, HiDrive, …) entfernen/deaktivieren

Sobald die Maschine genug RAM und Platz hat läuft das Upate wieder durch. In seltenen Fällen mussten wir auch mal Windows Update zurücksetzen (Dienste beenden, SoftwareDistribution löschen) und neu starten.

GLS UniBox Linux Server Standard Passwort

Veröffentlicht am Juli 21, 2023 von weed — Keine Kommentare ↓

Die GLS UniBox ist ein kleiner Linux-Server, beziehungsweise in der Regel heute eine virtuelle Appliance. Über diese kann man seine GLS Versandabwicklung steuern, einschliesslich Paketlabel-Erstellung und FTP-Datenübertragung an GLS.

Das UniBox Versandsystem basiert auf einem CentOS Linux und ist leicht angepasst. Leider sind alle dieser System mit einem Standardkennwort versehen dessen Änderung nicht vorgesehen ist. Immerhin ist zwar der Remote-Login ohne passendes Schlüsselpärchen verboten, aber das unangenehme Bauchgefühl von Standardzugangsdaten bleibt.

Soll ein solches System in ein Monitoring oder ein Security Information and Event Management (SIEM) eingefügt werden, braucht man in der Regel einen Agenten auf dem System. Dieses installiert man am besten als root.

GLS UniBox Default Password

UniBox Default Username: root
UniBox Default Password: Uni-Box-GLS

Mitglider von Office 365 Gruppen können keine Ordner in gemeinsamen Postfächern erstellen

Veröffentlicht am Juli 19, 2023 von weed — Keine Kommentare ↓

Benutzer in Office 365 Gruppen können Gruppen-E-Mails effektiver organisieren, wenn sie Ordner erstellen und/oder Regeln innerhalb des Gruppenpostfachs anlegen können. Das ist standardmäßig deaktiveirt.

Regeln können aber auch weiterhin nur im OWA (Outlook-Webanwendung) über „Postfach eines anderen Benutzer öffnen“ angelegt werden.

Lösung

Der Admin muss nur das Feature „Ordner und Regeln“ akivieren. Das gilt dann für alle Microsoft 365-Gruppen in der gesammten Organisation (im ganzen Tenant).

Ordner- und Regeln für Gruppen einschalten:

Set-OrganizationConfig -IsGroupFoldersAndRulesEnabled

Status der Richtlinie prüfen:

Get-OrganizationConfig | fl IsGroupFolders*