Allgemein – Seite 20 – ugg.li Schnelle Hilfe für schnelle Admins

Dell/EMC DS-6505 (5500 und 300B) Series FC-Switch Password reset und Factory Reset

Veröffentlicht am Juni 4, 2023 von weed — Keine Kommentare ↓

Manchmal gehen Kennwörter oder die Mensche die diese wussten verloren. Dann sollte ein gute Admin trotzdem den Zugriff auf die Hardware sicherstellen – manchmal auch mit „Gewalt“.

Leider hat DELL zwischenzeitlich beschlossen, eine ganze Menge KB-Artikel mit einer Paywall zu blockieren („Dieser Artikel ist berechtigungsbasiert. Suchen Sie einen anderen Artikel.“), so auch die „offiziellen“ Anleitungen 🤬

Wir hatten hier gleich mehrere (Dell) EMC DS-6505B zurückzusetzen. Daher hier die kompakte Anleitung für schnelle Admins. Ganz ohne Paywall.

Lösung

1. Boot-Console verbinden (Switch ist ausgeschaltet)

PC mit dem seriellen Anschluss (oder Adapter, FTDI FT232RL empfohlen) via Console-Kabel mit dem Serial-Port des Switches verbinden (das ist der port mit der „IOIO“ Beschriftung).

Mit PuTTY oder anderen Serial-Terminal Client den Port öffnen (9600baud, 8 data bits, 1 Stop bit, Parity none, Flow Control Xon/Xoff).

2. Switch einschalten, Recovery Command-Shell booten

Sofort nach dem Einschalten kann man den Boot-Prozess live bewundern. Ein paar Sekunden nach dem Start bei der Meldung „Hit ESC to stop autoboot:“ ESC drücken und mit „3“ die command shell starten.

3. Singele-User mode booten

Wenn es hier ein PROM-Kennwort gibt, einfach das Gerät noch einmal booten und selbiges Kennwort mit dem 2. Punkte „Recover password“ zurückesetzen.

An der boot-Shell kann man dem Bootloader jetzt den Parameter für den Single-User-Mode mitgeben und diesen auch gleich starten. Mit printenv sollte man vorher die Boot-Parameter anschauen (und am besten screenshotten). Möglicherweise werden die später noch gebraucht.

=> printenv

=> setenv OSLoadOptions "single"

=> boot

4. Dateisystem(e) mounten

Natürlich mountet der Singleuser-Mode alle Laufwerke ReadOnly (RO), daher muss das vor den Änderungen natürlich umgestellt werden. Wir brauchen außerdem das Boot-Medium mit dem Flashfilesystem gemountet. Das bekommen wir aus der printenv Ausgabe der Variable OSRootPartition (der erste Wert, meistens /dev/hda2).

sh-2.04# mount -o remount,rw,noatime /

sh-2.04# mount /dev/hda2 /mnt

5. Kennwörter zurücksetzen

Jetzt kann man an der frisch gebooteten (Linux-) Shell die Kennwörter zurücksetzen und den Switch neu starten.

sh-2.04# /sbin/passwddefault

sh-2.04# reboot -f

6. Neu starten und einloggen

Nach dem jetzt ungestörten Neustart kann sich der Benutzer admin wieder mit dem EMC/Brocade Default Passwort password einloggen.

Bonus: Factory Reset (Zurücksetzen auf Werkseinstellungen)

Wenn man schon mal dabei ist und der Switch „leer“ werden soll, kann man das Gerät jetzt noch direkt auf die Werkseinstellung zurücksetzen.

SWITCHNAME:admin> fosconfig --disable vf

SWITCHNAME:admin> switchcfgpersistentdisable

SWITCHNAME:admin> cfgDisable
[mit y bestätigen]

SWITCHNAME:admin> cfgClear
[mit y bestätigen]

SWITCHNAME:admin> cfgSave
[mit y bestätigen]

SWITCHNAME:admin> configDefault
[mit y bestätigen]

SWITCHNAME:admin> userconfig --change root -e yes

SWITCHNAME:admin> rootaccess --set consoleonly

SWITCHNAME:admin> cfgSave
[mit y bestätigen]

SWITCHNAME:admin> fastBoot

Das Default-Kennwort für den Standartmäßig abgeschalteten Benutzer root lautet übrigens fibranne.

Windows Sever IIS reverse Proxy (ARR) verhindert Zugriff auf URLs mit Plus („+“) Zeichen

Veröffentlicht am Juni 2, 2023 von weed — Keine Kommentare ↓

Der IIS mit ARR verhindert „by Default“ den Zugriff auf Adressen (URLs), die reservierte Zeichen enthalten. Genauer gesagt werden Anfragen mit solchen Zeichen von der IIS-Anfragefilterung blockiert und mit einen Fehler 404 beantwortet.

Die IIS-Anforderungsfilterung prüft standardmäßig auf viele verschiedene Dinge. Das Verhalten wird aber durch die Konfiguration gesteuert und kann (muss) pro Site angepasst werden.

Dazu gehören:

Doppelte Escapezeichen (..%25)
Prozent-Zeichen „%“-Zeichen
Plus „+“-Zeichen (Leerzeichen, also auch „%2b“)
Nicht-ASCII-High-Bit-Zeichen (ja, auch Emojies)
Punkt im URI-Pfad, wenn eine Anfrage, die einen anderen Punkt als den für die Ressourcenerweiterung enthält, abgelehnt wird (http://foo/a.b/bar.aspx)

Lösung

In der betreffenden web.config die Ausnahme für Double-Escaping hinzufügen:

<system.webServer>

  <security>
    <requestFiltering allowDoubleEscaping="true">
    </requestFiltering>
  </security>

[...]

Windows Remotehilfe erweiterte Rechte („Als Administrator“) erlauben / ermöglichen

Veröffentlicht am Mai 24, 2023 von weed — 2 Kommentare ↓

Die Windows Remotehilfe (STRG+Win+Q) ist ein ausgezeichnetes, oft unterschätztes und seit Windows 10 allgegenwärtiges Werkzeug. Der Admin kann damit beliebigen Windows (Clients) direkt Hilfe anbieten, ohne Tools wie Teamviewer oder Anydesk herunterladen zu müssen.

Das einzige Problem ist die Rechteausweitung. Die Windows Remotehilfe kann nicht selbstständig „Erweiterte Rechte“ erlangen, man kann also nicht mal eben Dinge „Als Administrator“ starten. Wenn man das versucht, sieht man auf der Helfer-Seite ein „Pause“ Symbol und auf dem Client den „Secure Desktop“ der die Eingabeaufforderung für Admin-Credentials

Selbst wenn man dann bestimmte Anwendungen als Administrator gestartet hat, zum Beispiel via runas oder minirunas, sind Eingaben in diese Fenster für den Helfenden nicht möglich. Der „Sichere Desktop“ verhindert das ein nicht-admin die Administrator-Fenster bedienen kann. Grundsätzlich sicher eine sichere Idee, aber auch etwas unprkatisch.

Lösung

Um es Admins zu ermöglichen, die Anmeldedaten auch in einer Remotehilfesitzung einzugeben, müssen zwei Dinge geschehen. Erstens muss die UAC-Eingabeauffoderung ohne „Sicheren Desktop“ angezeigt werden und zweitens muss die ganze Benutzersitzung zum „Sicheren Desktop“ wechseln dürfen.

Das geht am einfachsten per Gruppenrichtlinie.

Computerkonfiguration > Richtlinien > Lokale Richtlinien > Sicherheitsoptionen > Benutzerkontensteuerung >
„Benutzerkontensteuerung: Bei Benutzeraufforderung nach erhöhten Rechten zum sicheren Desktop wechseln“: Deaktiviert

(Gleicher Pfad)
„Benutzerkontensteuerung: Erhöhte Rechte nur für UIAccess-Anwendungen, die an sicheren Orten installiert sind“: Aktiviert

(Gleicher Pfad)
„Benutzerkontensteuerung: UIAccess-Anwendungen können erhöhte Rechte ohne sicheren Desktop anfordern“: Aktiviert

Nach dem nächsten gpupdate können Admins auch in der Windows Remotehilfe wieder Anmeldedaten „für „Als Administrator“ eingeben.

PrintNightmare: Drucker hinzufügen Fehler 0x0000011b (Update)

Veröffentlicht am Mai 2, 2023 von weed — 12 Kommentare ↓

Nach der Installation von KB5005033 (und den folgenden Patches) kann es dazu kommen, dass Clients im Netzwerk nicht mehr zuverlässig drucken können:

Die Druckerliste ist (und bleibt) leer
Es passiert nach einem Druckauftrag nichts mehr
Alle Netzwerkdrucker sind verschwunden

Verbindet man einen so „verschwundenen“ Drucker von einem gepatchten Windows-Druckserver neu, erhält man statt eines neu verbundenen Druckers die Fehlermeldung 0x0000011b. Das betrifft in der Regel Maschinen, die eine ältere Version des zugehörigen Druckertreibers installiert hatten.

Nutzt man auch noch Drucker(treiber) die einen einem eigenen Porttyp mitbringen, bleibt auch die Liste der „Anschlüsse“ plötzlich leer.

Lösung

In die Registry importieren:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]
"RestrictDriverInstallationToAdministrators"=dword:00000000

Nach einem Neustart des Druckerspoolers geht alles wieder.

In einigen Fällen kann auch dieser Registry Key auf dem Printserver die Lösung sein:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Print]  "RpcAuthnLevelPrivacyEnabled"=dword:00000000

Hiernach ist ebenfalls ein Neustart des Spoolers (auf dem Printserver) erforderlich.

Update

Damit Benutzer auch weiterhin Drucker installieren können und nicht nach dem „Administrator“ gefrat werden, muss zusätzlich zur PointAndPrint Richtlinie dieser Schlüssel gesetzt werden

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Printers\PointAndPrint]
"RestrictDriverInstallationToAdministrators"=dword:00000000

Aruba „Error connecting to the activation server: Activate TLS connection error.“

Veröffentlicht am April 28, 2023 von weed — Keine Kommentare ↓

Im Log eines Aruba Switches finden sich oft „zahlreiche“ Warnungen. In diesem Fall alle fünf Minuten, so dass der Rest des Protokoll kaum lesbar ist. Diese Meldung sagt, das „Activation Server“ von Aruba nicht aufgelöst werden kann. Wir wissen auch nicht was das soll, lasst unsere Switches doch einfach in Ruhe.

Lösung: „Aruba Activation“ abschalten

Zeigt den Zustand der „Activation“:

# show activate provision
Configuration and Status - Activate Provision Service

Activate Provision Service : Enabled
Activate Server Address : device.arubanetworks.com
Activation Key : Not Available

Zum Deaktivieren in den Config Modus wechseln

# config
(config)# activate provision disable
(config)# activate software-update disable
(config)# wr mem

Und schon hat man Ruhe.