Ein Freund hat mich dann darauf hingewiesen, dass man das Zertifikat sehr wohl exportieren kann. Auf Basis dieser Information schreibe ich hier eine kurze Anleitung wie man das Zertifikat exportieren, zu einem linuxkompatiblen Format umwandeln und dann in Dovecot als von extern erreichbarer IMAP Server einbinden kann.

1. Export

Zum Export meldet man sich einfach auf seinem Homeserver per RDP an. Dazu Administrator als Passwort und sein WHS Passwort verwenden.  Dort im Startmenü per Run/Ausführen mmc.exe starten. Unter File/Datei über Add/Remove Snap-in die Zertifikatskonsole (Certificates) hinzufügen und mit dem lokalen Computer verbinden. Das Zertifikat ist unter Personal\Certificates zu finden. Es sollte den DynDNS Namen des Homeservers haben und von “Go Daddy Secure Certfication Authority” stammen. Sind zwei Zertifikate dieser Art vorhanden, dann sollte man das nehmen, dass beim Zertifizierungspfad keine Fehler aufzeigt.

Im Kontextmenü des Zertifikats (Rechter Mausklick) wählt man über “Alle Tasks” den Punkt Export aus. Im Wizard bestätigt man, dass man den privaten Schlüssel mit exportieren möchte und wählt als Exportformat PFX aus und gibt ein Password ein. Die Datei liegt man an einem Ort ab, auf dem man später von außerhalb des Servers zugreifen kann (z.B. in einer Freigabe unter d:\ServerFolders\…)

2. Transfer zu Linux

Als nächsten Schritt muss man die Datei zu seinem Linuxsystem übertragen. Ich habe hierfür WinSCP verwendet.

3. Umwandlung

Im Allgemeinen ist auf Linux bereits OpenSSL installiert. Diese Software wird verwendet um das Zertifikat umzuwandeln. Dabei wird aus einem Schlüsselpaar eine Datei mit dem Zertifikat und eine Zweite mit dem privaten Schlüssel:

Erzeugen des Zertifikates:

openssl pkcs12 –in whs.pfx -clcerts -nokeys -out whscert.pem

Erzeugen des privaten Schlüssels:

openssl pkcs12 -in filename.pfx -nocerts -nodes -out whskey.pem

Beide Dateien muss man jetzt an einen Ort verschieben auf den Dovecot zugreifen kann. Es bietet sich /etc/ssl/private/ für den privaten Schlüssel und /etc/ssl/certs/ für das Zertifikat an.

4. Verwenden in Dovecot

In Dovecot kann man dieses Zertifikat jetzt wie jedes (z.B. das selbstsignierte) Zertifikat verwenden. In Dovecot 2.0 würde dies in der /etc/dovecot/dovecot.conf so aussehen:

ssl_cert = ssl_key = 

Daher habe ich mir ein kleines Script geschrieben, dass die MP-Änderungen innerhalb eines Zeitraumes ausließt und ausgibt. Ich werde demnächst einmal die Woche diese Liste hier posten. (Momentan noch halbautomatisch und demnächst hoffentlich automatisiert.)

Damit man sich selber dauerhaft einen Überblick über die Aktualisierungen machen kann, sind alle Post dazu mit dem Tag SC Software Updates markiert und lassen sich über den RSS Feed abonnieren (http://www.mbaeker.de/tag/sc-software-updates/feed/).

Neue Management Packs im Zeitraum zwischen 04.02.2011 und 06.03.2011

• Microsoft.Fep2010.Monitoring.DEU 2.0.697.0
• Microsoft.Fep2010.Monitoring.FRA 2.0.697.0
• Microsoft.Fep2010.Monitoring.JPN 2.0.697.0
• Microsoft.Fep2010.Monitoring.RUS 2.0.697.0
• Microsoft.Fep2010.Monitoring.CHS 2.0.697.0
• BizTalk Server Discovery 7.0.389.0
• BizTalk Server Library 7.0.389.0
• BizTalk Server Monitoring 7.0.389.0
• Microsoft HPC Library 3.1.3266.0
• Microsoft HPC Server 2008 R2 3.1.3266.0
• Microsoft Windows DNS 2003 Server 6.0.7000.0
• Microsoft Windows DNS 2008/R2 Server 6.0.7000.0
• Microsoft Windows DNS Server Library 6.0.7000.0
• MP Guide BizTalk 2010
• MP Guide Chinese Simplified
• MP Guide Domain Naming Service 2003
• MP Guide Domain Naming Service 2008
• MP Guide Forefront Endpoint Protection Server Health
• MP Guide French
• MP Guide German
• MP Guide HPC Server 2008 R2
• MP Guide Japanese
• MP Guide Russian

for /f "usebackq skip=4" %%a in (`netsh dhcp server \\DHCPSERVER show scope`) do (

netsh dhcp server \\DHCPSERVER scope %%a set optionvalue 006 IPADDRESS ip.des.dns.servers ip.des.zweiten.dns

netsh dhcp server \\DHCPSERVER scope %%a set optionvalue 015 STRING dns.name

)

The next release will address two feature requests:

1. Possibility to change the hostname (you don’t use fqdn host names in nagios…)
2. Possibility to use more than one service in nagios (you want to separate the alerts for dns and acitve directory)

I will try to solve both by using “processing instructions”. This instructions will use the scom alert as an input filter and the nagios alert as the object to manipulate.

This instructions are defined in a xml file:

<?xml version=’1.0′ encoding=’ISO-8859-1′?>
<instructions>

<!–
field:
scom: path (of monitoringobject), fullname (of monitoringobject), severity, state, name (of alert), description
nagios: text, host, service, state

compare:
contains, containsIgnoreCase, equals, equalIgnoreCase

–>

<instruction>

<input field=”path” compare=”contains”>DNS</input>
<output field=”service”>DNS</output>
</instruction>

<instruction>
<input field=”state” compare=”equals”>255</input>
<output field=”text”>Everything is OK </output>
</instruction>

</instructions>

What do you think about this feature?

The main code is ready. It even compiles without problems… Next step is testing – but currently I have no operations manager test system with a connected nagios…

FB_Addon_TelNo{ height:15px !important; white-space: nowrap !important; background-color: #0ff0ff;}

FB_Addon_TelNo{ height:15px !important; white-space: nowrap !important; background-color: #0ff0ff;}

for /f “tokens=1-4″ %%a in (%1) do (

echo %%a – %%b – %%c

dnscmd.exe DNSSERVER /recordadd %%c /createPTR A %%a
)

Die Hostdatei muss etwas angepasst werden: Unnötige Kommentarzeilen entfernen und mehrfache Leerzeichen durch ein Leerzeichen zwischen den Hosteinträgen ersetzen (z.B. search und replace von zwei Leerzeichen durch ein Leerzeichen und das mehrfach).

Beispielzeile:

IP-Adresse DNSHosteintrag NetbiosName

Falls in der zweiten Spalte bereits der NetbiosName steht, dann oben anstatt %%c %%b schreiben.

Versteht dass hier jemand??

R2 hat hier eine kleine aber wesentliche Verbesserung erfahren: In den Details  des Alarms wird jetzt die GUID direkt durch den DNS Namen ersetzt:

Details:Health service ( rechner.domain.local ) should not generate data about this managed type

Gerade solche Kleinigkeiten machen das Produkt immer besser!

Ursache ist ein fehlerhafte Zieladresse. Es wird versucht einen Namenservereintrag (NS) für www.microsoft.com zu ermitteln. Der  korrekte Nameserver wäre microsoft.com. www.microsoft.com ist nur ein Ressourcen Eintrag (A Record). Als Lösung sollte man somit den Alarm überschreiben und entweder den Typ auf A ändern oder die Adresse auf microsoft.com (oder irgend eine andere) und den Typ auf NS lassen.

Quelle: http://www.eggheadcafe.com/conversation.aspx?messageid=33863169&threadid=33863151

Aber: Neuere Firefoxversionen verhindern https Verbindungen auf ungewöhnlichen Ports. Daher muss hier eine Ausnahme für ldaps eingetragen werden:
Um in die erweiterten Einstellungen des Firefoxes zu gelangen muss man in die Adressleiste about:config eingeben. Dort als zusätzlichen Eintrag network.security.ports.banned.override hinzufügen und als Wert den Port 636 hinterlegen (weitere Ports kann man durch Komma getrennt eingeben):

Details s.a. http://kb.mozillazine.org/Network.security.ports.banned.override

Dafür einfach ein Paket mit den Quelldateien aus dem AgentManagement Ordner vom SCOM Server erstellen.

Darin im x86 und x64 Ordner folgende Batchdatei install.cmd hinterlegen:

rem Sicherheitshalber msxml6 installieren (Voraussetzung)

msiexec.exe /i “%~dp0MSXML6.msi” /qn /m scom07 /l* “%systemroot%msxml6.log” REBOOT=REALLYSUPPRESS

msiexec.exe /i “%~dp0MOMAgent.msi” /qn USE_SETTINGS_FROM_AD=1 MANAGEMENT_GROUP=<hier name dermanagement group> MANAGEMENT_SERVER_DNS=<hier dns name  des scom servers oder gateways> ACTIONS_USE_COMPUTER_ACCOUNT=1 /m scom07 /l* “%systemroot%scomx86.log” REBOOT=REALLYSUPPRESS

Diese Batchdatei als Programm (jeweils für x86 und x64) hinterlegen. Als Collection in SCCM verwende ich im allgemeinen eine Sammelcollection, die die alle Zielsysteme hineinkommen. Darunter lege ich eine Filtercollection an, die aus den Zielsystemen nur die herausfiltert, die den Agent noch benötigen. Hier bietet sich eine Subselection als Query an, die alle Systeme ausschließt die den Dienst bereits haben. Eine Hardwareinventur (HW)  wird im Allgemeinen häufiger gemacht als eine Softwareinventur (SW). Daher erhält man die Infos über Dienst (HW) schneller zurück als Dateiinformationen aus der SW-Inventur.

Eine Query könnte so aussehen:

select SMS_R_System.ResourceID,SMS_R_System.ResourceType, SMS_R_System.Name,SMS_R_System.SMSUniqueIdentifier, SMS_R_System.ResourceDomainORWorkgroup, SMS_R_System.Client from SMS_R_System inner join SMS_G_System_SERVICE on SMS_G_System_SERVICE.ResourceID = SMS_R_System.ResourceId where SMS_R_System.ResourceId not in (select SMS_R_System.ResourceId   from  SMS_R_System inner join SMS_G_System_SERVICE on SMS_G_System_SERVICE.ResourceID = SMS_R_System.ResourceId where SMS_G_System_SERVICE.Name = “HealthService”)

Als Collectionlimit die übergeordnete Sammelcollection eintragen. Die Ankündigung läuft dann auf der Filtercollection.