Sonntag, 14. Juni 2020

Failed to Deploy OVF package

ailed to deploy package: File ds:///vmfs/volumes/UUID/_deviceImage-0.iso was not found


While working on setup for a Custom version of our Exchange 2013/2016 Ultimate Bootcamp today, I came across a problem which is not new, but was new to me.

A colleague had saved some VMs to OVA format for deployment in a Master vApp.  As I went to deploy them, I received the following error message:


After doing some research, I came across a couple of articles.  Neither gave me what I needed, but through combining bits and experimenting, I found a solution.

PROBLEM: 

   The VMs had ISOs attached to their CD-ROMs when the were exported to OVA format.
   The OVF file inside the OVA package has information about the attached ISO.

 

SOLUTION:

  1. Uncompressed the OVA file using either TAR on Linux/ESXi or 7-Zip on Windows.
  2. Located the OVF file which contains the configuration of the VM to deploy.


      
  3. In the VMname.OVF file, I searched for “vmware.cdrom.iso
  4. I replaced vmware.cdrom.iso with vmware.cdrom.remotepassthrough and saved the file.

  5. Calculated a new SHA1 hash for the updated VMname.OVF file using HashMyFiles (Download here: http://www.nirsoft.net/utils/hash_my_files.html)

  6. Edited the VMname.mf file and replaced the SHA1 hash for the VMname.ovf with the new one & saved the file.

        
     
  7. Deployed a new VM using the OVF file.
  8. Optionally you could repackage the OVF to an OVA using either OVFTool or TAR in a host.
    tar cvf VMname.ova VMname.ovf
    tar uvf VMname.ova *.mf *.vmdk

Another option would be to simply delete the MF file.  vSphere deployment of the OVF then wouldn't do a hash check at all and the install will complete as expected.  Your choice!

Dienstag, 7. April 2020

Ubiquiti USG Remote User VPN RADIUS Authentication

The following steps will setup Windows Server 2012 R2 RADIUS authentication via Network Policy Server (NPS) with your Ubiquiti UniFi Security Gateway (USG) for a USG Remote User VPN. This will allow users to use their current Active Directory Domain Services (AD DS) credentials to authenticate to the Virtual Private Network (VPN).
I am using the UniFi controller version 5.4.14 hosted in Microsoft Azure on a Linux Server with PostFix for alerting.
Step 1: Configure Windows NPS Server
  1. From the Server Manager Dashboard, install the Network Policy and Access Server role using Add Roles and Features accepting all defaults.
  2. Once installed,  open the Network Policy Server Administrator Tool. Expand the RADIUS Clients and Servers, then right Click on RADIUS Clients and click New.
    USG Remote User VPN - Create New RADIUS Client
  3. Give the USG router a Friendly Name. Type in the IP Address of the inside interface of the USG on the same network as the Windows Server. (This is the IP that the RADIUS requests will come from.) Click the Generate radio button, then click the generate button. Copy this Shared Secret to be pasted later. Click OK. USG Remote User VPN - Create New RADIUS Client
  4. In the Network Policy Server window, expand Policies, right click on Network Policies, and then click New.
    USG Remote User VPN - Create New Network Policy
  5. Enter a policy name and leave Type of Network Access Server as Unspecified. Click on Next.
    USG Remote User VPN - Create New Network Policy
  6. In Specify Conditions click Add.. and then select Windows Group, and pick the AD Group you want to use to allow VPN access.  (If you have not already then you will need to add all users who will be accessing the VPN into a seperate group.) Click Add… then Add Groups… which brings up the typical AD search box. Type in the name of the VPN Windows Group and click on OK. Click OK again. Click on Next
    USG Remote User VPN - Create New Network Policy
  7. Leave the Specify Access Permissions at the defaults (Access Granted, Dial-in box unchecked). Click Next.
  8. Uncheck all authentication methods other than MS-CHAPv2. Click on Next.
    USG Remote User VPN - Create New Network Policy
  9. Accept the defaults under Configure Constraints. Click Next.
  10. Leave all setting at the default on this page except for under Encryption. Uncheck everything except for MPPE 128-bit. Click Next.USG Remote User VPN - Create New Network Policy
  11. Check your settings on the last page. Click Finish.
    USG Remote User VPN - Create New Network Policy
  12. Finally, move the new policy above the two default policies in the list by right clicking and choosing Move  Up.
Step 2: Configure the USG Remote User VPN
  1. To create the remote access network, in the UniFi controller, go to Settings, then Networks, and click Create New Network, give the network a name and select Remote User VPN.
    USG Remote User VPN - Network Setup
  2. Fill in the appropriate Gateway/Subnet information for your environment. Make sure it is not the same as any of your current networks.
  3. Add Manual DNS servers, if required for your environment.
  4. Click on Create New RADIUS Profile.
  5. Give the Profile a name, enter in the IP address of the Windows Server 2012 R2 server that will be used for RADIUS authentication and paste in the generated shared secret.USG Remote User VPN - Create New RADIUS Profile
  6. Click Save. Click on Save again.
This allows easy access from Windows default VPN connections to network assets behind the USG device.

Die Vertrauensstellung zwischen dieser Arbeitsstation und der primären Domäne konnte nicht hergestellt werden

Das Anmelden an einem Rechner, der Mit­glied in einer Domäne ist, scheitert manch­mal mit der Fehler­meldung, wonach eine Vertrauens­stellung mit der pri­mären Domäne nicht herge­stellt werden konnte. Die Ursache dafür liegt in einem ungültigen Pass­wort für das Computer-Konto, das man zurück­setzen muss.
Die genannte Meldung (auf Englisch lautet sie "The trust relationship between this workstation and the primary domain failed") zeigt sich am Anmelde­bildschirm, eine Erklärung dazu gibt es nicht. Auch das entsprechende Support-Dokument von Microsoft schweigt sich über mögliche Ursachen aus und empfiehlt lapidar, den Rechner aus der Domäne zu nehmen und ihr anschließend erneut beizutreten.

Zwei Cmdlets für Password Reset

Nach der Anmeldung mit dem lokalen Account (am einfachsten gibt man diesen beim Logon in der Notation .\Administrator an) öffnet man PowerShell und führt einen Befehl nach diesem Muster aus:
Reset-ComputerMachinePassword -Server MyDC -Credential contoso\admin
Der Parameter Server erwartet den Namen eines Domain Controllers und über Credentials gibt man ein Domänenkonto an, das zum Zurücksetzen des Passworts berechtigt ist.
Alternativ kann man folgenden Aufruf verwenden:
Test-ComputerSecureChannel -Repair -Server MyDC -Credential contoso\admin
Anders als beim oberen Kommando erhält man hier $true als Ergebnis, wenn die Operation gelungen ist. Ruft man Test-ComputerSecureChannel ohne den Schalter Repair auf, dann kann man auch nach der Verwendung von Reset-ComputerMachinePassword damit prüfen, ob eine sichere Verbindung zum AD besteht.

Dienstag, 11. Februar 2020

iPhone: Fotos werden beim Versenden immer eingebettet und nicht als echter Anhang verschickt

Frage:
Wenn ich Fotos per E-Mail versende, werden sie immer eingebettet. Viel besser wäre es, wenn diese als echte Anhänge eingefügt werden.

Antwort:
Wenn man Bilder aus der Fotorolle eines iPhones oder iPads verschicken möchte muss man darauf achten, dass im E-Mail Programm des iPhones keine Signatur voreingestellt ist! Wenn man in den Einstellungen eine Signatur vor eingestellt hat, wird diese immer nach den Bildern eingefügt und somit werden die Bilder nicht als Anhang, sondern Eingebettet übertragen was Vielerlei Probleme vor allem beim Empfänger verursachen kann.
Man sollte nur darauf achten, dass unter den Bildern keinerlei Text mehr steht! Darüber ist es kein Problem.

Samstag, 18. Januar 2020

HP WINDOWS SERVER ROK UND HYPER-V

Je nach Windows-Server-Version sind verschiedene Virtualisierungsrechte enthalten. Möchte man z.B. Windows Server 2012 nicht nur physikalisch sondern auch virtuell installieren, schließlich sind zwei Instanzen in der Standard-Edition enthalten, so muss im Falle eines HP ROK-Mediums eine Änderung an Hyper-V vorgenommen werden.
Hintergrund dieser Notwendigkeit ist, das die ROK-Medien einen Bios-Lock enthalten. Ohne entsprechend angepasste Hyper-V-Konfiguration kann von diesen Medien nicht installiert werden.
Um Windows Server 2012 als virtuellen Computer unter Hyper-V installieren zu können muss folgender Befehl ausgeführt werden:
Reg Add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v BiosLockString /t REG_SZ /d "HP                              "
Achtung: Die Leerstellen zwischen >“HP< und dem abschließenden >“< beachten!

Freitag, 17. Januar 2020

Entfernen von Gruppenrichtlinien hinsichtlich WSUS

Die ungewünschten Einstellungen der GPO müssen auf "nicht konfiguriert"
zurückgesetzt werden, dann werden automatisch die Einträge aus der
%systemroot%\System32\GroupPolicy\Machine\registry.pol gelöscht und
spätestens nach NEustart verschwinden sie dann auch aus:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate
bzw.
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU

Failed to Deploy OVF package

ailed to deploy package: File ds:///vmfs/volumes/UUID/_deviceImage-0.iso was not found While working on setup for a Custom version of our ...