OSX Festplatte verschlüsseln

Friday, 02 January 2015 16:42:53 (W. Europe Standard Time, UTC+01:00)
Apple setzt  seit einigen Versionen seines Betrriebssystems OS X auf Filevault für die vollständige Verschlüsselung der internen Festplatte. Die Verschlüsselung wird am besten direkt nach der Basisinstallation des OS eingeschaltet, dann läuft diese selbst auf einem neuen 2014er MBP Pro mit i7QC Prozessor eine gefühlte Ewigkeit. Eine interne Festplatte kann man also einfach onthefly verschlüsseln und der Zustand des Verschlüsselungsfortschritts wird einem in einem GUI Fenster der Systemeinstellung angezeigt.



Wenn man allerding ein externes Volume verschschlüsseln möchte, dann kann das einerseits je nach Größe des Volumes dauern und andererseits sieht man niergendwo einen Hinweis, der einem den Fortschritt der Verschlüsselung anzeigt, das Ganze kann man sich aber auf der CLI anzeigen lassen:

Last login: Fri Jan  2 14:23:27 on console
thebigone:~ carsten$ diskutil cs list
CoreStorage logical volume groups (2 found)
|
+-- Logical Volume Group 93E569C0-EE39-4058-A801-AD43E0BA9B6E
|   =========================================================
|   Name:         Macintosh HD
|   Status:       Online
|   Size:         999695822848 B (999.7 GB)
|   Free Space:   0 B (0 B)
|   |
|   +-< Physical Volume 0D006E27-8E60-4259-A6BD-5AFECFD37A0B
|   |   ----------------------------------------------------
|   |   Index:    0
|   |   Disk:     disk0s2
|   |   Status:   Online
|   |   Size:     999695822848 B (999.7 GB)
|   |
|   +-> Logical Volume Family 3FDFB17E-6714-4C47-B336-3552C576C5D1
|       ----------------------------------------------------------
|       Encryption Status:       Unlocked
|       Encryption Type:         AES-XTS
|       Conversion Status:       Complete
|       Conversion Direction:    -none-
|       Has Encrypted Extents:   Yes
|       Fully Secure:            Yes
|       Passphrase Required:     Yes


|
+-- Logical Volume Group FF629306-B133-4B00-AEE1-D0781E5542D4
    =========================================================
    Name:         LaCie
    Status:       Online
    Size:         2000054960128 B (2.0 TB)
    Free Space:   18923520 B (18.9 MB)
    |
    +-< Physical Volume 0508F9E7-C87A-4180-866B-80E7722AF83B
    |   ----------------------------------------------------
    |   Index:    0
    |   Disk:     disk2s2
    |   Status:   Online
    |   Size:     2000054960128 B (2.0 TB)
    |
    +-> Logical Volume Family 49243134-B322-400F-934C-1C91A1741F40
        ----------------------------------------------------------
        Encryption Status:       Unlocked
        Encryption Type:         AES-XTS
        Conversion Status:       Converting
        Conversion Direction:    forward
        Has Encrypted Extents:   Yes
        Fully Secure:            No
        Passphrase Required:     Yes
        |
        +-> Logical Volume CDA24522-AD2A-42BE-9F57-D1029188914E
            ---------------------------------------------------
            Disk:                  disk3
            Status:                Online
            Size (Total):          1999683715072 B (2.0 TB)
            Conversion Progress:   2%
            Revertible:            Yes (unlock and decryption required)
            LV Name:               LaCie
            Volume Name:           LaCie
            Content Hint:          Apple_HFS


Das grün markierte logische Volume ist meine Startdisk, die über den Filevault Assistenten verschlüsselt worden ist. Im zweiten Teil erkennt man die logische Disk, die gerade konvertiert wird und deren Fortschritt bei der Konvertierung in rot.
Die Passwörter und Schlüssel für die logischen Volumes sind natürlich NICHT identisch!
Will man den Fortschritt der Verschlüsselung beobachten, so geht das in der CLI auch:

thebigone:~ carsten$ diskutil cs list | grep 'Conversion Progress'

Will man die Ausgabe automatisiert über den gesamten Prozess erhalten, also wo stehe ich, wieviel Prozent sind erreicht, dann geht das am besten mit einem Zusatzbefehl 'watch'

thebigone:~ carsten$ watch "diskutil cs list | grep 'Conversion Progress'"




Allerding kann das Ganze trotz schneller Thunderbolt HDD extern etwas Zeit in Anspruch nehmen...

OSX CUPS Webserver

Tuesday, 30 December 2014 20:02:27 (W. Europe Standard Time, UTC+01:00)
Im Normalbetrieb kann man alle Druckerkonfigurationen lokal über die GUI konfigurieren.



Will man mal etwas "spezielleres" einstellen, dann kann man öfters unter OSX besser den betroffenen Drucker entfernen und dann anschließend mit neuen Optionen hinzufügen.
In einem Netzwerk oder bei einem Printserver wäre es natürluich schön, das Ganze auch entfernt erledigen zu können, da CUPS immer auch einen integrierten Webserer mitbringt, einfach mal schauen, ob dieser auch läuft:

http://127.0.0.1:631/Admin

Unter OSX ist der Dienst allerdings standardisiert abgeschaltet und es begrüßt einen nur der folgende Screen:



Der Webserver kann einfach über das Terminal oder über iterm eingeschaltet werden.

//Applications/Utilities/Terminal.app


Der Befehl dazu lautet:
sudo cupsctl WebInterface=yes

dc2xs:~ carsten$ sudo cupsctl webinterface=yes


Mit dem Schalter "no" kann der Webserver auch wieder abgeschaltet werden, so kann dann niemend aus "Zufall" den Printserver misskonfigurieren.
Sobald die Weboberfläche eingeschaltet worden ist, kann ein Administrator die meiten Einstellungen ändern, ohne den Drucker löschen zu müssen.



Viel Spaß beim ausprobieren!

OSX Dienste neustarten

Tuesday, 30 December 2014 12:30:40 (W. Europe Standard Time, UTC+01:00)
Wie in allen Systemen mit einem gewissen "Eigenleben" muss man leider manchmal auch unter OSX Dienste starten und stoppen.
Leider ist das so nicht von Apple vorgesehen, aber OSX ist ja zum Glück ein Derivat des BSD UNIX und so kann man das Ganze bequem über die CLI Terminal machen.
Unter OSX existieren aber die aus Linux / UNIX bekannten Dienste und prohramme nicht mit den bewährten Namen und an den gewohnten Orten:
Es g
ibt keine übliche
/etc/init.d/
oder
/etc/rc?.d/
Struktur im OS X System.

Apple bezeichnet Dienste als "Dämonen" daemons, die dann über einen Launchmanager gesteuert werden können.
Alle Dienste finden sich unter

/System/Library/LaunchDaemons/
wieder.
Alle Informationen der Dämonen werden in so genannten .plist- Dateien (binäre Dateien), die Daten im XML-Format enthalten, verwaltet. Diese Dateien können mit Property List Editor, die mit Xcode, Apples IDE geliefert wird geöffnet werden.
OS X verwendet launchctl als Launchmanager um Dämonen und somit das Starten und Stoppen von Diensten zu kontrollieren, wie im folgenden Beispiel mit dem Dienst cupsd (Standard Druckserver in OSX) getan:

Starten eines Daemon

Starten eines daemons durch den Befehl launchd mit dem Schalter "load"
Öffnen Sie das Terminal aus /Applications/Terminal
xsteam: ~ carsten$ sudo launchctl load -w /System/Library/LaunchDaemons/org.cups.cupsd.plist
xsteam: ~ carsten$ sudo launchctl list | grep cupsd

Stoppen eines Daemon


Öffnen Sie das Terminal
aus /Applications/Terminal
xsteam: ~ carsten$ sudo launchctl unload -w /System/Library/LaunchDaemons/org.cups.cupsd.plist
xsteam: ~ carsten$ sudo launchctl list | grep cupsd



Sollte der Dienst bereits gestartet sein, gibt es ein kurze Fehlermeldung, einfach mit launchctl prüfen, ob der Dienst wirklich wie erwartet läuft.

VMware vSphere Replication

Tuesday, 09 April 2013 13:38:35 (W. Europe Daylight Time, UTC+02:00)
Mit Vmware vSphere 5.1 wurde für alle Anwender der Standard Suites die neue Funktion Replication integriert. Diese Funktion wird ebenfalls von der kostenpflichtigen Erweiterung VMware SRM genutzt. Die Replikation funktioniert in dieser Version 1.0 nur Single-Site für eine VM. Sprich eine VM kann nur auf EINE weitere Site repliziert werden. Generell können aber unter vSphere mehrere remote Sites zur Replikation hinterlegt werden.

VMware vSphere Replication ist die erste Funktion / Anwendung, die man nur noch exklusiv über den vSphere WebClient konfigurieren und überwachen kann.
Daher, wer immer noch NUR mit dem vSphere Client arbeitet, umsteigen bitte, letzte Haltestelle vSphere 5.1 :-)



Teil 1 Einrichtung der Replizierung

Eine VM wird im vSphere WebClient über das Kontextmenü der rechten Maustaste ausgewählt und im Anschluss werden über den Assistenten die notwendigen Parameter, wie etwa die Zieldatenspeicherkonfiguration und die RPO Zeit hinterlegt.
Im Anschluss startet VMware automatisch mit der ersten vollständigen Replizierung der VM Daten. In der Version 1.0 kann man dabei leider nicht den Status abfragen - über die GUI... .





Teil 2 Überwachung der Replizierung

Die Überwachung der Replizierung läuft am besten über die Konsole des ESXi. In diesem Fall nutze ich den Zugriff über SSH:

~ # vim-cmd vmsvc/getallvms | grep view*
1      view1    [VM-HP-05] view1/view1.vmx     windows7Server64Guest   vmx-09    Testsystem Replication

~ # vim-cmd hbrsvc/vmreplica.queryReplicationState 1
Querying VM running replication state:
Current replication state:
        State: syncing
        Progress: 76% (checksum: 75161927680/75161927680; transfer: 27757535232/58507157504)

~ # vim-cmd hbrsvc/vmreplica.getState 1
Retrieve VM running replication state:
        The VM is configured for replication. Current replication state: Group: GID-a1ed9d80-4815-4528-8bf0-cc339a658b6b (generation=197268542349588)
        Group State: full sync (77% done: checksummed 70 GB of 70 GB, transferred 25.9 GB of 54.5 GB)
                DiskID RDID-9bcf4349-d81f-4530-87ab-0efd952d4f6a State: full sync (checksummed 50 GB of 50 GB, transferred 11.9 GB of 34.7 GB)
                DiskID RDID-b67702bf-b7a8-4ed9-b3f2-96e806d82349 State: full sync (checksummed 20 GB of 20 GB, transferred 13.9 GB of 19.8 GB)

~ #

VMware ESXi 5.x SSH Warning

Tuesday, 09 April 2013 13:09:17 (W. Europe Daylight Time, UTC+02:00)
Da es immer wieder vorkommt, dass man vom Kunden auf die automatisierten Warnungen im vSphere Client angesprochen wird, hier einmal die Lösung zum beheben des Warnungsstatusses für eingeschaltete SSH Serverports auf dem ESXi 5.x:


Hinweis:

Generell sollte man die Warnungen und Alarme, insbesondere auf den Hosts nicht einfach arglos, wegklicken oder übergehen. In diesem speziellen Fall kann der Bediener die Warnung aber nicht selbständig "wegklicken", ohne die KOnfiguration des Hosts zu ändern. Wird der gelbe Warnhinweis neben dem Hostsymbol ignoriert, könnte es durchaus passieren, das man andere Warnungen bezüglich RAM, CPU oder nicht redundanten Pfaden zur SAN NICHT mehr sieht oder beachtet.

Die SSH Konsole ist sehr hilfreich für alle, die lieber auf die Shell - als die PowerShell - setzen oder eben manchmal etwas genauer hinschauen wollen.
Zunächst muss man den

SSH Server Dienst starten und anschließend in der Firewall auch die Zugriffe auf Port 22TCP - inbound erlauben

. Das erreicht man über den Menüpunkt:

ESXi Server | Konfiguration | (Software) Sicherheitsprofil



Im Anschluss muss man jetzt den Nag-Screen verhindern. Das geht ebenfalls über die GUI des vSphere Clients am einfachsten:
ESXi Server | Konfiguration | (Software) Erweiterte Einstellungen

User.Vars | User.Vars.SuppressShellWarning = 1



Die Warnungen verschwinden sofort vom ESXi Server Symbol. Die Einstellung ist persistent.

Apple itunes 11 - Medienart ändern

Monday, 10 December 2012 22:08:37 (W. Europe Standard Time, UTC+01:00)
Mit der Einführung von itunes 11 hat Apple nicht nur die Oberfläche sehr stark abgeändert und dem Programm eine moderne UI verpasst, sondern unter der Haube hat sich auch etwas getan. Bisher konnte ich einfach meine Hörspiele bei itunes herunterladen und danach sowohl das Genre auf "Gesprochene Inhalte & Hörbücher" und danach einfach mit CMD+I noch zusätzlich die Medienart abwandeln, von Musik zu Hörbuch.

Das hat Apple wohl jetzt unterbunden, zumindest ist die Option ausgegraut...

Zum Glück gibt es da Abhilfe im Netz:

SUBLER kann's

Download unter: http://code.google.com/p/subler/

Das Ganze ist auch noch Freeware. Einfach die gewünschte AAC Datei öffnen und dann die Medienart an der gezeigten Stell einfach abändern und danach die Dateien wieder in itunes einlesen.


Damit dann auch Alles glatt geht,ist folgende Reihenfolge anzuwenden:
1. Sicherheitskopie der Dateien
Hörspiel einmal aus dem itunes Folder (Dateisystem: ~USER$/Music/itunes/itunes Music/$ALBUMNAME$/$TITLENAME$) an einen anderen Ort kopieren. Danach in itunes das Hörspiel löschen.!!!ACHTUNG!!! Manchmal existiert dann immer noch eine Kopie in der iCloud, die Kopie auch löschen, keine Angst wir haben ja eine Sicherungskopie gerade erstellt.
2. Datei umbenennen von .m4p nach .m4a, denn Subler erkennt die .m4p Dateien als Anwendung! (roter Pfeil)
3. In Subler den Media Kind ändern (roter Pfeil)
4. Dateien wieder in itunes importieren und wie von Geisterhand taucht das Hörspiel wieder unter Audio Books / Hörbücher auf!

How to: VMware Converter 5 Konvertierungsfehler

Friday, 16 November 2012 11:00:50 (W. Europe Standard Time, UTC+01:00)
Die Migration von virtuellen Maschinen über den Converter 5 schlägt fehl, wenn man die Version 5.0 verwendet wird und VMware vSphere 5.1 eingesetzt wird.
Man kann mittels VMware Converter Standalone laufende VMs konvertieren um eine "online" Sicherung des Systems an einem anderen Ort zu haben. Dazu muss man eigentlich nur im Converter Assistent die VM ale eingeschaltete physische Maschine mit DNS Name und Berechtigungskonto übergeben. Der Agent wird dann remote installiert und die betroffene VM kann online repliziert werden.
Leider klappt das nach dem Upgrade auf Version 5.1.0a von VMware vSphere mit dem Converter Standalone 5.0 nicht mehr, da hier der Converter Agent ständig unerwatet mit einem Dump abbricht!




Der Agenten Dienst wird innerhalb von Windows als beendet markiert. In den Anwendungs-Log-Dateien findet sich regelmäßig beim Versuch eine Konvertierung zu initiieren der Hinweis auf einen Dump der Anwendung unter:
Windows XP - Windows Server 2003R2: C:\Documents and Settings\All Users\ApplicationData\VMware\VMware vCenter Converter Standalone Agent\logs
Windows 7 - Windows Server 2008R2:   C:\Users\ApplicationData\VMware\VMware vCenter Converter Standalone Agent\logs



2012-11-20T10:46:09.348+01:00 [07852 info 'Ufa'] Plugin started
2012-11-20T10:46:09.348+01:00 [07852 info 'Default'] [,0] DiskLibProvider init - OK
2012-11-20T10:46:09.348+01:00 [07852 info 'Default'] [,0] Mntapi_Init Asked - 1.0 Served - 1.0 was successful,TempDirectory: C:\TEMP\vmware-temp\vmware-SYSTEM.
2012-11-20T10:46:09.348+01:00 [07852 info 'Default'] [serviceWin32,413] vmware-converter-agent service started
2012-11-20T10:46:19.879+01:00 [12192 info 'Default'] Impersonating user ssd\drysch.uwe in session 52248beb-7095-2c4f-538b-377506cd9809
2012-11-20T10:46:19.925+01:00 [12192 info 'Default'] Could not find the session object cache, will create a new one
2012-11-20T10:46:20.129+01:00 [12192 info 'Default'] CoreDump: Writing minidump
2012-11-20T10:46:20.332+01:00 [12192 panic 'Default']
-->
--> Panic: Win32 exception: Access Violation (0xc0000005)
-->    Read (0) at address 00000000
-->    rip: 7855734d rsp: 0643f67c rbp: 0643f67c
-->    rax: 00000000 rbx: 00000000 rcx: 0643f738
-->    rdx: 00000000 rdi: 029a07e8 rsi: 0643f738
-->

Die Lösung: Upgrade des Converter auf den Maintenance Release 5.0.1 VMware Converter (25.10.2012)

http://kb.vmware.com/kb/2033315

https://my.vmware.com/group/vmware/evalcenter?p=converter




Nach der Neuinstallation und dem Upgrade auf die Version steht der Converter - wie gewohnt - wieder zur Verfügung.

How To: VMs auf einem ESXi Server manuell mounten/starten

Thursday, 15 November 2012 17:31:03 (W. Europe Standard Time, UTC+01:00)
Heute hatten wir einen Stromausfall im RZ, da leider die USV defekt gegangen ist. Neben dem normalen Ärger hatten wir dann noch das Problem, dass zunächst nur ein partieller Neustart der VMs durchgeführt werden sollte, dazu mussten die DCs auf einem dedizierten ESXi Knoten gestartet werden. Über die GUI (VMware vSphere Client) kann man sich einen Wolf suchen, wenn man aus über 40 Volumes eine bestimmte VM (*.VMX) sucht...

Also per SSH auf die Konsole und dann die VM mounten und starten:

~# find /vmfs/volumes/ -iname my-vm
~# vim-cmd solo/registervm /vmfs/volumes/4e087d42-17d5a77b-e9c4-14feb53c0a92/my-vm/my-vm.vmx
~# vim-cmd vmsvc/getallvms | grep my-vm

2832   my-vm    [V-ESX010] my-vm/my-vm.vmx  winNetStandardGuest       vmx-04    Domain Controller for .EU                                                    
~# vim-cmd vmsvc/power.getstate 2832
Retrieved runtime info
Powered off
~# vim-cmd vmsvc/power.on 2832
Retrieved runtime info
Powered on


Mehr Infos zu dem Thema in der VMware Knowledgebase:

http://kb.vmware.com/kb/1038043
http://kb.vmware.com/kb/1006160

Das Ganze geht auch per PowerCLI, dazu an dieser Stelle demnächst mehr [wenn hier wieder alles läuft];-)

How to: Microsoft KMS Lizenzschlüssel & Aktivierung

Thursday, 15 November 2012 12:49:28 (W. Europe Standard Time, UTC+01:00)
Microsoft bietet seinen größeren Kunden eine Möglichkeit, die Aktivierung der Windows und Office Lizenzen in-House zu lösen. Zu diesem Zweck muss der Kunde allerdings einen oder mehrere KMS-Schlüssel erworben haben. Preislich liegen diese Lizenzen auf demselben Niveau, wie die normlen VLP aus dem Open Bereich. Der große Unterschied ist, dass man "seine" aktivierten Schlüssel im LAN verwalten kann.

Damit das Ganze aber auch wirklich funktionieren kann, muss zunächst der KMS Server installiert und konfiguriert worden sein. Sobald dieser dann läuft und man seine eigenen KMS Schlüssel auf diesem Server eingetragen hat, kann man den Clients zum einen den KMS Server mitteilen, bzw. die KMS Lizenzierung einstellen.
Damit das dann alles klappt, muss man auf den Clients aber die PUBLIC Lizenzschlüssel eintragen:

http://technet.microsoft.com/en-us/library/ff793406.aspx

Die Standard Schlüssel für Windows 7 und Windows Server 2008R2 finden sich ebenfalls auf dieser Site.

Operating System Edition

Product Key

Windows 7

 

Windows 7 Professional

FJ82H-XT6CR-J8D7P-XQJJ2-GPDD4

Windows 7 Professional N

MRPKT-YTG23-K7D7T-X2JMM-QY7MG

Windows 7 Enterprise

33PXH-7Y6KF-2VJC9-XBBR8-HVTHH

Windows 7 Enterprise N

YDRBP-3D83W-TY26F-D46B2-XCKRJ

Windows 7 Enterprise E

C29WB-22CC8-VJ326-GHFJW-H9DH4

Windows Server 2008 R2

 

Windows Server 2008 R2 HPC Edition

FKJQ8-TMCVP-FRMR7-4WR42-3JCD7

Windows Server 2008 R2 Datacenter

74YFP-3QFB3-KQT8W-PMXWJ-7M648

Windows Server 2008 R2 Enterprise

489J6-VHDMP-X63PK-3K798-CPX3Y

Windows Server 2008 R2 for Itanium

GT63C-RJFQ3-4GMB6-BRFB9-CB83V

Windows Server 2008 R2 Standard

YC6KT-GKW9T-YTKYR-T4X34-R7VHC

Windows Web Server 2008 R2

6TPJF-RBVHG-WBW2R-86QPH-6RTM4



Danach kann man den Schlüssel direkt auf dem Client eintragen - wie einen normalen PRIVATEN Lizenzschlüssel:




Hierbei handelt es sich um den KMS PUBLIC Key für Windows Server 2008R2 Enterprise Edition.
Danach kann man das ganze entweder über die GUI oder mittels des CLI Befehls dann aktivieren:



Das ist alles! Die Skriptdatei SLMGR.VBS findet man im Übrigen unter folgendem Standardpfad:
C:\Windows\System32\
Man kann diese am bestn über eine CMD Shell, die mit administrativen Rechten gestartet wurde erreichen und dann nutzen. Nähere Infos zu dem Skript findet man unter:
http://technet.microsoft.com/en-us/library/ff793433.aspx

Remote Installation ESXi und die F11 Taste

Monday, 15 October 2012 11:48:24 (W. Europe Daylight Time, UTC+02:00)

F11 Taste für die Vollbildschirmfunktion im IE ab Version 7 deaktivieren

Während der manuellen Installation von VMware ESXi 5.1.0 muss man des Öfteren mit den Funktionstasten (F1, F2, F11) arbeiten. Ärgerlich in diesem Zusammenhang bleibt, dass seit dem IE7 eine neue "Vollbildschirmfunktion" auf die Taste F11 gelegt hat :'(
Leider sind viele Server Remotekonsolen (LoM), wie etwa die DRAC von DELL oder die HP iLO dann nicht mehr in der Lage die Tastaturkurzbefehle an die Sitzung zu übertragen, da der Browser sich dazwischen hängt!
Wer jetzt denkt er könne das Thema einfach im IE Menü entschärfen, erlebt eine Überraschung :-o , es geht nur über die GPOs!
Leider kann man nicht mal eben eine GPO anpassen, damit man als technischer Mitarbeiter einfach einmal die Browserfunktion ausschalten kann, zum Glück ist der Weg über die Registry noch geblieben. Dazu müssen folgende Schlüssel angepasst werden:


Die RegistryDatei können Sie bequem hier herunterladen: NoTheaterModeIE7plus.reg (,53 KB)

Oder manuell einfach die Eintrage über den Registryeditor von Windows setzen:







Viel Erfolg beim Einspielen, im Nachgang dann einfach den IE einmal schließen und beim nächsten Start kann man in der Remote Sitzung die F11 Funktion nutzen!

Firefox Unterstützung für ADM / GPO

Friday, 06 January 2012 18:06:35 (W. Europe Standard Time, UTC+01:00)

Mozilla Firefox ist neben Google Chrome einer der weitverbreitesten Multiplattform Browser, der auch Techniken wie HTML5 unterstützt. Da in vielen Unternehmen noch im Intranet Webanwendungen verwendet werden, die auf IE6 Techniken und Spezialitäten eingerichtet sind, bietet es sich an den Firefox als alternierenden Webbrowser einzusetzen. DAgegen spricht, dass es keinen GPO-Support durch Microsoft oder die Mozilla Foundation gibt, analog zum Chrome Browser. Allerdings lässt sich der Firefox Webbrowser hervorragend an einen Kiosk Modus wie etwa auf einem Terminalserver oder Thin Client anpassen. Dazu gibt es zwei verschiedene Ansätze, bei denen Mittels entweder einer Referenzdatei die Menüstruktur des Webbrowsers zentral vorgebenen wird, oder eben eine freie Erweiterung für die Unterstützung von GPOs / ADMx Templates. Mit GPO for Firefox kann man die Standardeinstellungen für die Startseite und Proxy festlegen und eben auch bestimmte Funktionen zentral und flexibel sperren.

Um GPO for Firefox zu verteilen sind im Wesentlichen drei Komponenten notwendig:

  1. Ein ADM-Template für den Gruppenrichtlinieneditor, über den man die zentralen Einstellungen festlegt
  2. Eine Firefox-Extension, damit Firefox abfragt, ob es zentrale Einstellungen per GPO erhalten soll
  3. Ein Skript oder eine Alternativmethode, um die Extension automatisch an alle Clients zu verteilen (nicht zwangsläufig notwendig!!!)

Um die Extension als globale Erweiterung auf die Clients zu verteilen, wird die .XPI-Datei (Ordner mit den Extension-Dateien) aus “%ProgramFiles%\Firefox\Extensions\” kopiert und im NETLOGON-Verzeichnis eines DCs in einen Unterordner abgelegt. Per Startskript erhalten die Anwender anschließend den entsprechenden Ordner in ihr Programmverzeichnis kopiert, sofern dieser noch nicht (in der aktuellen Version) vorhanden ist. Wurde die Extension erfolgreich installiert, seht ihr auf Euren Clients folgendes Icon im rechten Bereich der Statusleiste:

Mit dem Standard-Gruppenrichtlinien-Editor können dann die Einstellungen gesetzt werden:

Neben dieser Option ist auch möglich den kompletten Browser selber anzupassen. Dazu müssen lediglich ein paar .JS Dateien angepasst werden:

user.js / prefs.js

In diesen beiden Dateien werden die einstellungen vom Firefox Browser abgelegt. Dazu gehören eben auch die Einstellungen, die Mittels GPO gesetzt werden können. Dabei ist es wichtig, dass die Datei user.js angelegt und angepasst wird und nicht die Datei prefs.js da diese durch den Anwender angepasst werden kann. Bei jedem Start einer neuen Instanz von Firefox überprüft die Browserengine, ob eine user.js Datei existiert und überschreibt dann die Werte in der prefs.js zum Start der Instanz.

userChrome.css

Mit Hilfe der Einstellungen in dieser Datei lässt sich der Browser limitieren, so dass Anwender nicht mehr in der Lage sind Erweiterungen personalisiert ablegen zu können, da diese evetuell nicht sicher sind, oder schlicht für den kommerziellen Betrieb nicht freigegeben sind und andernfalls lizenziert werden müssten. Danach startet der Browser im Kiosk Modus und ist sicher für den Tagesbetrieb. Ebenfalls ist dadurch die automatische Update-Funktion des Browsers deaktiviert!

APC PowerChute neue Version 2.2.4

Monday, 07 December 2009 12:43:41 (W. Europe Standard Time, UTC+01:00)

Heimlich, still und leise hat der USV Hersteller eine neue Version von PCNS heraugebracht. Neben der Unterstützung von Windows & Co. gibt es das neue Paket auch für Linux.
In der Knowledgebase von APC befinden sich zudem einige PDF Dokumente zum Gebrauch der Software in Verbindung mit VMware ESX(i) Systemen. Insbesondere die Verwendung mit ESXi ist etwas neues, wobei diese Variante auch schon für die Hypervisor der Generation VMware ESX(i) 3.5.x verfügbar war.
Wir schauen dem Paket mal unter die Haube... .
Das Paket kann nicht direkt auf dem ESX(i) Server installiert werden, dazu benötigt man nachwievor die Vorgängerversion 2.2.3 Neu ist, dass man zur USV Steuerung einfach eine vMA Appliance verwendet und die Software einfach in das Linux dieser speziellen VM installiert und konfiguriert. Neben dieser vom Hersteller propagierten Version bevorzuge ich allerdings die parallele Installation auf mehrere Systeme:

  • Installation Version PCNS 2.2.3 auf alle ESX Server
  • Installation Version PCNS 2.2.4 in eine vMA Appliance pro Cluster (Redundanzgründe) bei ESXi Umgebungen
  • Installation Version PCNS 2.2.4 in die vCenter VM und dann Hinterlegung von PowerShell Skripten zum gesteuerten Herunterfahren von allen VMs, ja allen VMs auch vom SQL Server und dem vCenter Systems, wie das funktioniert erläutere ich in einem separaten Blogeintrag (später) :-)

Die Installationsquellen befinden sich auf einem gesicherten FTP Server, der Einstigespunkt für den Downlaod erreicht man über:
https://www.apc.com/tools/download/index.cfm

Voraussetzung für den Zugriff auf den Download ist eine Registrierung unter der Website apc.com.

Entourage und die Empfangsbestätigung / Lesebestätigung

Saturday, 15 August 2009 15:04:10 (W. Europe Daylight Time, UTC+02:00)
Nachdem ich ja nun bekennender MAC Switcher bin und das Ganze auch seit zweieinhalb Jahren nicht bereue finde ich immer mehr zu einer nativen Nutzung unter OSX. Jetzt ersetzt bei mir Office 2008 auch das Office in meiner Windows VM vollständig, nachdem ich mich als zu "dumm" für OpenOffice bekenne bleibe ich dann doch wohl oder übel bei der Büro Suite aus Redmond.
findet man sich in Word und Co. recht schnell wieder zurecht, so ist der Umstieg von Outlook 2007 in Verbindung mit Exchange 2007 nach Entourage doch etwas härter, wenn auch abbildbar, man muss die Funktionen halt nur an der richtigen Stelle suchen und finden... .

So vermisste ich doch die Möglichkeit meine E-Mails nachzuverfolgen, beispielsweise in Form einer Empfangsbestätigung, oder besser einer Lesebestätigung, was unter der Windows Anwendung nur zwei Mausklicks sind ist dann doch etwas versteckter in der OSX Variante wieder zu finden und zu lieben / hassen:
 


Man wähle sein E-Mail Konto aus über das Menü "Extras | Konten..." aus und trage die beiden folgenden Zeilen, wie oben abgebildet als zusätzliche Kopfzeilen unter Optionen ein:
Return-Receipt-To               "<mein_name@meine_domain.tld>"
Disposition-Notification-To  "<mein_name@meine_domain.tld>"

Damit erreicht man zum Einen die Empfangsbestätigung "Return-Receipt" und auch die Lesebestätigung. Die <> Klammern dienen nicht zum Ärgern, sondern helfen strickten SMTP Servern reguläre Adressen zu übermitteln. Ein exemplarischer Internetheader sieht dann wie folgt aus:



Dabei ist zu beachten, dass die RFCs 821, 822, 2821, 2822 das SMTP protokoll und dessen Handhabungsoptionen beschreiben. Die manchmal verwendete Option

X-Confirm-Reading-To        "<mein_name@meine_domain.tld>"

hingegen ist eine spezielle SMTP Erweiterung, die in der RFC 2822 nicht besprochen und festgelegt wurde, daher sollte man auf dieses und andere nicht standardisierte Optionen in den Kopfzeilen einer E-Mail verzichten. Also so geht es dann auch mit den aus Outlook bekannten Optionen. Nebenbei Entourage kann auch perfekt mit S/MIME Signaturen oder Verschlüsselung umgehen. Aber dazu später mehr auf dieser Site :-)

Umbennen des vCenter Servers

Wednesday, 12 August 2009 09:58:50 (W. Europe Daylight Time, UTC+02:00)
Seit der Version 2.5 bietet VMware offiziell Unterstützung an zur Umbenennung der Windows Instanz.
Mit der Einführung von vSphere 4.0 und dem vCenter Server 4.0 sollte der Prozess sehr einfach werden, schlicht den Server umbenennen und anschließend neu starten.
Danach sollte der vCenter Server einfach funktionieren. Das funktioniert auch mit den Basiskomponenten ohne Probleme!

Allerdings steckt der Teufel mal wieder im Detail und so muss doch noch etwas mehr getan werden als einem Recht sein kann:
Alle Plug-Ins und Zusatzkomponenten müssen zusätzlich doch noch angefasst werden.
In den Vorgängerversionen gab is zumindest die Reparaturoption über den Einstiegsdialog zum Installieren von Anwendungen in der Systemsteuerung, leider ist diese Option gänzlich aus dem Installer für den vCenter Updatemanager entfernt worden und so muss man, wenn man nicht die XML Dateien editieren will immer die komplette Komponente deinstallieren und anschließend wieder neu installieren, was einen weiteren Change Request zur Folge haben kann.

Manuell können die Eerweiterungen über die Konfigurationsdateien auf dem vCenter System konfiguriert werden:
Für jedes Plug-In / Extension muss im entsprechenden Verzeichnis die extension.xml Datei modifiziert werden, da hier der FQDN der vCenter Servers enthalten ist. Im Anschluss daran muss dann die Systemregistrierung überprüft werden. Unter HKLM\Software\VMware Inc. befinden sich mehrere hinterlegte Einträge mit dem FQDN des vCenter Systems.
Danach ist das vCenter System komplett funktionsbereit. :-)

vSphere 4.0 Client unter Windows 7

Thursday, 16 July 2009 16:28:03 (W. Europe Daylight Time, UTC+02:00)
Leider funktioniert der vSphere 4.0 Client nicht mit der Version des .NET Frameworks unter Windows 7. Aber natürlich gibt es dafür einen eleganten Workaround, daß dem vSphere Client auf die Sprünge hilft.



Im VMware Forum habe ich die folgende Anleitung gefunden, die ein Mitstreiter veröffentlicht hat:

An dieser Stelle erst einmal Danke an die aktiven Mitstreiter in den Foren. Leider kommt es auf der deutschen Community offensichtlich nicht zu einer so großen Nutzerzahl, die auch regelmäßig Neues kundtun, so dass es leider an den Bloggern bleibt technische Tricks und Raffinessen zu veröffentlichen. Schade eigentlich! Nun zum Thema:

Von einem Nicht-Windows-7 Rechner (am Besten Windows Vista oder Windows XP) wird folgende Datei benötigt:
%SystemRoot%\Microsoft.NET\Framework\v2.0.50727\System.dll



Hier am Beispiel eines Windows 2008 Servers x64 Edition mit SP2 und .NET 3.5 SP1.

System.dll zum Herunterladen: System.dll.zip (1,01 MB)

Hierbei handelt es sich um eine .Net 3.5 SP1 Datei, die zum Ausführen des vSphere 4 Clients unter Windows 7 RC benötigt wird. Als nächstes muss ein neuer Ordner im Installationsverzeichnis des VMware vSphere Clients mit der Bezeichnung „Lib“ erstellt werden. Je nach Version (x64 oder x86) liegt dieser unter:
32 Bit Version
%ProgramFiles%\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\Lib

64 Bit Version
%ProgramFiles(x86)%\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\Lib

Nachdem der Ordner erstellt wurde, die System.dll Datei hierher kopieren. Anschließend muss folgende Datei in einem Texteditor geladen werden:
<VMware Client Installationsverzeichnis>\Launcher\VpxClient.exe.config

Es muss ein zusätzliches Runtime Element hinzugefügt werden:
<runtime>
<developmentMode developerInstallation="true"/>
</runtime>

Die fertige Datei sollte ungefähr so aussehen:
<?xml version="1.0" encoding="utf-8"?>
<configuration>
<system.net>
<connectionManagement>
<clear/>
<add address="*" maxconnection="8" />
</connectionManagement>
</system.net>
<appSettings>
<add key = "protocolports" value = "https:443"/>
</appSettings>
<runtime>
<developmentMode developerInstallation="true"/>
</runtime>
</configuration>

Um den Client zu starten ist ein kleines Batchskript notwendig.
<VMware Client Installationsverzeichnis>\Launcher\VpxClient.cmd

Der Inhalt ist wieder je nach Windows 7 RC Edition unterschiedlich

32 Bit Version
SET DEVPATH=%ProgramFiles%\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\Lib
"%ProgramFiles%\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\VpxClient.exe"

64 Bit Version
SET DEVPATH=%ProgramFiles(x86)%\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\lib
"%ProgramFiles(x86)%\VMware\Infrastructure\Virtual Infrastructure Client\Launcher\VpxClient.exe"

Mit der Batch Datei lässt sich nun der Client ohne Fehler starten.





Als Alternative kann man auch die "DEVPATH" Variable als neue Systemvariable oder Benutzervariable hinterlegen, dass erspart einem dann die Batchdatei. Wichtig ist, dass die DEVPATH Variable ohne Anführungszeichen für den String Wert hinterlegt wird, sonst klappt es nicht und Windows 7 meldet, dass die Anwendung nicht mehr funktioniert.
Nachtrag:
Der Workaround funktioniert nur dann, wenn beim Startaufruf für den Client keine weiteren Parameter mitgegeben werden wie etwa:
  • Sprachpaketfixierung: -locale en-us
  • Fixer Anmeldeserver: -s "vcserver.domain.tld"
  • SSO: -passThroughAuth (in vSphere 4.0, obsolete; einfach den Checkbox setzen)

Tar, Komprimieren und Archivieren auf der Kommandozeile

Monday, 13 July 2009 07:06:32 (W. Europe Daylight Time, UTC+02:00)
Dieser Artikel ist eine kleine Anleitung zum Archivierungswerkzeug “Tar”. Hier werden die “Basisfunktionen” kurz erläutert und darüber hinaus einige Kniffe und sinnvolle Anwendungsbeispiele vorgeführt. Tar ist ein Archivierungswerkzeug, das heißt man kann beliebig viele Dateien zu einer Datei, einem Archiv, zusammenfügen. Tar an sich ist kein Komprimierungstool, aber mit der “Erweiterung”/Option gzip und anderen kann man ein Archiv auch komprimieren. Den folgenden Artikel habe ich auf einem Blog im Internet gefunden und fand diesen so gut, dass ich den direkt eingebaut habe, alles was in den Beispielen für ubuntu beschrieben wurde gilt, wenn man mal über die Pfadangaben hinweg sieht uneingeschränkt für VMware ESX Server, deren SC Betriebssystem entweder RHEL 5.0 (ESX Server 4.0.0) oder RHEL 3 Update 9 (ESX Server 3.x.0)

VMware HA Konfiguration und Fehlermeldungen

Wednesday, 26 November 2008 21:55:25 (W. Europe Standard Time, UTC+01:00)
Ich dachte zu dem Thema sei alles erklärt und die Karten lägen offen auf dem Tisch, aber weit gefehlt! In meinen Dokumenten habe ich zwar meine Erfahrungen und Empfehlungen zum Thema HA und Fehlermeldungen mit meinem Team ausgetauscht, aber leider hatte ich bis jetzt noch nicht die Gelegenheit alle Funktionsweisen, Parameter und Tipps zu veröffentlichen, ich gelobe Besserung und fange direkt mal mit den "un-"dokumentierten Parametern für VMware an. Parameter für VMware HA Auf der Website von der Niederländischen VMUG bin ich fündig geworden

VCB Datensicherung per Skript

Monday, 27 October 2008 17:23:09 (W. Europe Standard Time, UTC+01:00)
VMware VCB wird oft unterschätzt, auch wenn das entsprechende Framework mit der Version 1.5 wohl den finalen Release erreicht hat und die Entwicklung von weiteren VCB Frameworks an die Hersteller von Wiederherstellungssoftware abgetreten wurde, eignet es sich hervorragend um komplette Exporte zur Desaster Recovery Vorsorge zu erstellen. Die Integration in die bestehende Datenwiederherstellungssoftware ist allerdings manchmal sehr holprig und die Ansätze zur Integration des VCB sind von Hersteller zu Hersteller stark unterschiedlich. Ein generalistischer Ansatz wäre da für alle etwas einfacher. Generell benötigt man für diese Methode der Datensicherung eigentlich nur einen einzelnen Befehl: vcbmounter.exe

NLB Cluster mit virtuellen Maschinen

Tuesday, 16 September 2008 00:13:17 (W. Europe Daylight Time, UTC+02:00)
Seit der Einführung Windows 2000 wurde das NLB Cluster als Loadbalancing Cluster von Microsoft für stateless Applications eingeführt. Was unter Windows 2000 nur den Kunden der Advanced Server Edition vorbehalten war, ist seit der Version Windows Server 2003 in allen Varianten verfügbar. Einziges Manko ist, dass diese preiswerte Clustermethode von Microsoft in den Handbüchern und technischen Referenzen etwas stiefmütterlich behandet wird und die wichtigsten Punkte nur über die Support Webseiten von Microsoft zu finden sind. Unter VMware möchten viele Kunden auf diese Option nicht verzichten, als Lösung innerhalb einer Virtualisierungsumgebung müssen allerdings zusätzlich zu den bestehenden Restriktionen weitere Punkte beachtet werden, damit ein NLB Cluster unter Windows stabil betrieben werden kann.

VMware UpdateManager lädt keine Updates herunter

Monday, 15 September 2008 22:33:00 (W. Europe Daylight Time, UTC+02:00)
Der VMware UpdateManager (VUM) ist eine der Neuerungen in VI 3.5. Neben der Herausforderung der Installation und Konfigration des VUM kommt es immer wieder im Kundenumfeld zu Problemen mit dem Internetzugang für den VUM. Viele Firmen verwenden einen Proxyserver mit Authentifizierung für den Zugang zum Internet. Erschwerend für den VUM kann hinzukommen, dass der Kunde eine Proxykaskade einsetzt um einen mehrfach abgesicherten Zugang zum Internet zu bieten und / oder Zusätzlich Inhaltsfilter einsetzt, die das Herunterladen von EXE Dateien oder TAR Archiven unterbindet. Diese Konfigurationen lassen sich noch handhaben aber dazu mehr in einem separaten Blogeintrag später.

VM mit mehr als 16 GB RAM zugeteilt startet sehr langsam

Monday, 15 September 2008 00:00:59 (W. Europe Daylight Time, UTC+02:00)
Seit der Version 3.5 können mehr als 16 GB RAM einer einzelnen VM zugeordnet werden. In den VMware Foren kann man dazu einige Einträge finden. Was steckt dahinter? Ist die Aussage einer VM bis zu 64 GB RAM zuweisen zu können nur eine Markting Aussage (als Ausblick in Zukunft kann man dynamisch bis zu 256 GB RAM zuordnen)?

Weder noch, es gibt de facto eine signifikante Änderung wenn man VMs mit mehr als 10 GB RAM ausstattet. Fehlerbilder sind eindeutig, der Boot des Systems dauert über eine halbe Stunde, oder bricht sogar ab, nimmt man der VM wieder diese Summe an RAM weg, so dass diese nur noch zwei bis vier GB RAM hält, dann startet dieses System ohne das Fehlerbild schnell und konsistent.

Als Lösung ist folgende Vorgehensweise meistens von Erfolg gekrönt:

  1. Einer VM nicht einfach so mehr als vier GB RAM zuweisen! Planen Sie den Einsatz von "großen" VMs.
  2. Soll eine VM sehr viel RAM und / oder zusätzlich vCPU Ressourcen erhalten, so sollte das Pagefile auf eine dedizierte VMDK verlagert werden.
  3. Als Faustformel sollte man bei 16 GB RAM eine 20 GB Pagefile Date auf eine dedizierte 30 GB VMDK verlegen.
  4. Wird die RAM-Größe deutlich überschritten, so muss auch das Pagefile mitwachsen, aber nicht dynamisch! Die Größe sollte fix eingestellt sein und
    immer größer als der physische RAM sein. Als Anhaltspunkt kann der Vorschlag des OS dienen.

VMware Converter stoppt mit unbekanntem Fehler

Saturday, 13 September 2008 21:56:38 (W. Europe Daylight Time, UTC+02:00)
Die Konvertierung von produktiven Systemen sollte man keinem Zufall überlassen, daher nutze ich für die Konvertierung von Systemen ausschließlich (wenn möglich) die Boot-CD (coldclone.iso) von VMware um in Projekten Systeme P2V zu migrieren. Obwohl diese Variante für beste Ergebnisse im Rahmen der Virtualisierung bürgt, kann es in der Praxis immer wieder zu Problemen kommen. Neben der Herausforderung alle Treiber für HBAs und NICs zu integrieren ergeben sich immer wieder Probleme im Bereich des Kopiervorgangs während der Migration. Generell ist zwischen zwei Methoden zur Datenübertragung mit Converter zu unterscheiden. Die schnellste variate ist die Migration der Daten im Block-Leseverfahren. dabei werden die Inhalte der Festplatte einfach Block für Block ausgelesen und in die VMDK Datei geschrieben. Eine Alternative bietet die Option des Transfers auf Dateiebene, der automatisch immer dann genutzt wird, wenn die Größe der Quellpartitionen im Verhältnis zur Ziel VMDK Datei geändert werden. Dabei spielt es keine Rolle, ob die Ziel VMDK Datei größer oder kleiner ist, als die Quelle. Je älter das Quellsystem ist, desto eher finden wir vor Ort langsame Plattensubsysteme mit einer starken Fragmentierung und / oder fehlerhaften Blöcken vor, die immer wieder zu Problemen führen können.

PSOD beim Rescan der HBAs

Monday, 01 September 2008 23:02:55 (W. Europe Daylight Time, UTC+02:00)
Das will niemand sehen, aber es passiert! Der PSOD schlägt zu und der ESX Server steht, wie einst das gute alte Windows NT 4.0.
Im Gegensatz zu Windows NT damals, tritt der PSOD (Purple Screen Of Death) zum Glück sehr selten beim ESX Server auf, aber wir wollen es nicht verheimlichen, es gibt ihn diesen Albtraum eines Systemadministrators! Leider gibt es einen echten Bug in VMware ESX Sever Version 3.5.x.

Dieser Fehler tritt in folgender Hardwarekonfiguration auf:
DELL PE 29x0 III Server mit PERC/6i S-AS Controller.

Von VMware gibt es dazu keinen Knowledgebase Eintrag, lediglich ein Eintrag im VMware Forum deutet auf das Problem hin.

Scannt man unter dem VI Client unter Configuration / Hardware / Storage Adapters die HBAs nach neuen VMFS Volumes oder LUNs, so stoppt der ESX Server mit einem PSOD!
Dieser Fehler ist bereits bei VMware bekannt und adressiert. Laut VMware wird dieser Fehler mit dem anstehenden Update 3 für VMware ESX 3.5.0 behoben. Bis dahin gibt es einige obskure Anleitungen in den VMware Communities für dieses Problem, die soweit gehen in Systemdateien des ESX Servers einzugreifen, dass ist unnötig und hilft in Abhängigkeit zur verwendeten BIOS Version der Servr auch überhaupt nicht.

Lösung:

Im BIOS der DELL Server ist nach der Basisinstallation der integrierte S-ATA Controller auszuschalten. Dadurch verliere ich zwar den Zugriff auf das lokale CD-ROM Laufwerk (S-ATA seit Version III der PE 29x0 Server), aber dafür kann man im laufenden Betrieb nach neuen SAN LUNs suchen und diese gefahrlos mounten. Diese Lösung funktioniert mit den genannten DELL PE Servern mit den BIOS Versionen 2.1.0, 2.2.6 und 2.3.1.

Alternative:

Wer unbedingt auf das integrierte CD-ROM Laufwerk nicht verzichten kann, der muss zur SAN Erweiterung jeden Host einmal neu starten. Beim Systemstart scannt der Server die SAN auf verfügbare / konfigurierte LUNs ab und kann in dieser Prozedur ohne Absturz auch neue LUNs persistent mounten.

Unattended installation ESX Server

Sunday, 17 August 2008 19:57:50 (W. Europe Daylight Time, UTC+02:00)
As many of You suffer from the pain of the most boring part of VMware VI 3.5 - the installation of the hosts - I'm tryig to bring up a version of a kickstart script I wrote to install DELL PowerEdge Servers. In the early future I will adopt this for the unattended installation of FSC Primergy Servers as well. Let's have a closer look at it, but in German.

Mein Netzwerksenf! - virtual networking in VMware VI 3.5

Sunday, 17 August 2008 16:34:51 (W. Europe Daylight Time, UTC+02:00)
In den meisten Projekten werde ich immer wieder mit Fragen zum Thema Netzkonfiguration in virtuellen Umgebungen konfrontiert. Aus den Projekten hat sich im Laufe der Zeit eine Art Best Practise entwickelt, den ich gerne in der Reihe "Mein Netzwerksenf!" an dieser Stelle veröffentlichen möchte.

Installing ESX Server 3.5, Patch ESX350-200806812-BG

Wednesday, 13 August 2008 21:26:27 (W. Europe Daylight Time, UTC+02:00)
As we now have the patch, how to install the patch in the Enterprise with a minimum of downtime?

It's possible to do it as followed with a minimum of downtime for your VMs.

  1. Set your DRS cluster in "Manual" Mode to ensure, that VMs are not moved to other hosts!
  2. shutdown all VMs on the chosen ESX(i) host and set the host into maintenance mode!
    A very cool small script can be seen at Duncans blog
  3. copy the patch into the /tmp directory or any other ext3 filesystem location on the host with appropriate free disk space!
  4. install the patch and reboot your host.
    [root@esx]#unzip ESX350-200806812-BG.zip
    Archive:  ESX350-200806812-BG.zip
       creating: ESX350-200806812-BG/
      inflating: ESX350-200806812-BG/VMware-esx-vmx-3.5.0-110181.i386.rpm
      inflating: ESX350-200806812-BG/VMware-hostd-esx-3.5.0-110181.i386.rpm
      inflating: ESX350-200806812-BG/descriptor.xml
       creating: ESX350-200806812-BG/headers/
     extracting: ESX350-200806812-BG/headers/VMware-esx-vmx-0-3.5.0-110181.i386.hdr
     extracting: ESX350-200806812-BG/headers/VMware-hostd-esx-0-3.5.0-110181.i386.hdr
      inflating: ESX350-200806812-BG/headers/header.info
      inflating: ESX350-200806812-BG/headers/contents.xml
      inflating: ESX350-200806812-BG/headers/contents.xml.sig
      inflating: ESX350-200806812-BG/contents.xml
      inflating: ESX350-200806812-BG/contents.xml.sig

    [root@esx]#cd ESX350-200806812-BG
    [root@esx]#esxupdate --noreboot -v 6 update

    Wait for the entire process to end & if "FinalState: SuccessState" reboot the host

    [root@esx]#reboot
  5. After the successfull reboot, end the maintenance mode.
    [root@esx]#vmware-vim-cmd hostsvc/maintenance_mode_exit
VMotion to this host is now again possible!!!
After the first host is considered as working "normal" You can go ahead with patching the rest one-by-one. Good luck, I'm with You!

Changing time on ESX hosts

Wednesday, 13 August 2008 14:18:06 (W. Europe Daylight Time, UTC+02:00)
As I mentioned yesterday there is a very big influence on how You set and change time information on an ESX host and the impact on VMs.
What I hardly learned was, that changing the ESX time information within the VI Client has direct impact on ALL running VMs on the particular host.

Whether or not You checked "sync time with host" feature in VMware Tools, the time information is directly submitted into the VM, when the VMware tools service is running within the VM. This behavior is NOT as expected and described in the VMware Guides, so don't change time information on any running ESX(i) in a productive environment.

In the VMware communities, there is a solution that might work:
The real trick is to use the direct ssh access and change time information within the COS:
Be sure You are root
service ntpd stop
date -s 08/10/2008
esxcfg-firewall -d ntpClient

This changes also the time on the host, but has in the end the same effect on running machines!!!

The best solution is (if you cannot install the patches) to move all running VMs of the host and change the time on this particular host temporary:
Be sure to disable VMware DRS, so that no VM is being scheduled back on this host and that You are again root.

service ntpd stop
service ntpd status
esxcfg-firewall -d ntpClient
date -s 08/10/2008
----> break, switch to VI Client
right click VM | Edit Setting | Options | Boot Options | check "Force BIOS Setup"
wait untill the task completed successfully
break, switch back to ssh session<---

vmware-cmd /vmfs/volumes/[LUN]/[VM folder]/VM.vmx start --trysoft
wait for result = 1 (success)
esxcfg-firewall -e ntpClient
service ntpd star
Now You can set back the sdate within the VMs BIOS and start your VM; reenable DRS

OKay, I know VMotion will not work also, so DRS settings are not really necessary to be changed. :-)