Oplossingen voor verbindingsproblemen van Windows 10 clients met een linux samba fileserver


Een tijd geleden schreef ik een stukje over de verbindingsproblemen die ervaren kunnen worden wanneer een windows 10 cliënt PC probeert een koppeling te maken met een gedeelde map op een linux samba server. Aangezien ik in de linux forums en community websites over talloze van zulke gevallen heb gelezen waar men veelal niet uit komt en recentelijk mezelf hier nog meer in had verdiept vond ik het tijd om mijn bevindingen samen te vatten in dit artikel. Hopelijk kan deze belangrijke informatie uit mijn research en eigen bevindingen anderen op de juiste weg helpen die nog te maken hebben met dergelijke lastige problemen.

Wat is er aan de hand?

Er worden vooral na de laatste volledige updates van Windows 10 (zoals de Fall Creators Update Versie 1709, Spring Creators Update versie 1803) problemen ervaren bij het mounten van een samba share in windows 10.

Wat er gebeurt is dat Windows 10 met een generieke foutmelding komt zoals in de screenshot hierboven. De foutcode is 0x80070035 en windows meldt slechts “kan het netwerkpad niet vinden” of “netwerkpad niet gevonden” of iets van die strekking. Een melding waar je helaas geen enkele conclusies uit kunt herleiden over wat er aan de hand is of in welke richting je het moet zoeken.

#Oude workaround

De oudere “workaround” voor deze problemen heb ik eerder in een artikel uitgelegd en omvat het terugvallen op het SMB1 niveau van het windows samba client protocol. Op zich lost dit het probleem van samba toegang op, echter dan wel met enkele kanttekeningen:

  • de SMB1 variant van het samba protocol is ouder, bevat beperkingen en mist bepaalde verbeteringen
  • bepaalde Windows 10 beveiligingsupdates blijken zonder de gebruiker te vragen of te informeren de samba 1 ondersteuning uit te schakelen waardoor het steeds weer nodig is geweest om dit ongedaan te maken. Het veroorzaakt enige hinder in het gebruik.

De juiste oplossing

Gelukkig is er nu een oplossing voor bovenstaand probleem. Er zijn een aantal zaken waar op gelet moet worden bij het verbinden van een Windows 10 client PC met een linux samba server, zoals bijvoorbeeld de CentOS 7 server in mijn testomgeving. Leest u mijn informatie zorgvuldig door om geen van de belangrijke en meestal onmisbare punten te missen. (!)

Aan de Windows zijde kunnen de volgende zaken mogelijk een oplossing of verbetering bieden bij het samba toegangsprobleem:

  • omschakelen naar het privé profiel van de windows firewall. Dit kan aangepast worden door op het netwerkicoon bij de klok in de taakbalk te klikken. Vervolgens kiest u “Netwerk- en internetinstellingen”.

    Klikt u aan de linkerzijde op “Ethernet”, klikt u vervolgens aan de rechterzijde op netwerk.

    Op de volgende pagina kunt u het privé profiel van de windows firewall selecteren.

    Doet u dit uiteraard uitsluitend indien u zich ook daadwerkelijk op een privé netwerk bevindt waarvan u zeker weet dat het er ook passend veilig is om een dergelijk profiel te kiezen.

  • geavanceerde instellingen voor delen:
    In configuratiescherm -> netwerkcentrum vindt u deze optie aan de linkerzijde:

    In dit scherm kunt u vinkjes zetten bij “Netwerkdetectie inschakelen”, “Schakel het automatisch instellen in van apparaten…”:

    Onder “Verbindingen met een thuisgroep” (indien aanwezig) kunt u beide keuzes proberen, afhankelijk of de windows gebruikersnaam en wachtwoord ook door linux/samba gebruikt worden. Zo ja, kiest u dan de aanbevolen optie “Verbindingen met de thuisgroep door Windows laten beheren (aanbevolen)” Zo nee, kiest u dan de andere optie.

  • In configuratiescherm -> “Programma’s en onderdelen” kunt u diverse windows onderdelen in of uitschakelen. Het kan mogelijk helpen om de windows software optie “SNMP” te installeren. Verwijdert u de minder veilige SMB1 software indien deze geïnstalleerd staat in het overzicht:

  • In configuratiescherm -> netwerkcentrum kunt u de “Adapterinstellingen wijzigen”:

    Klikt u in het overzicht met rechts op de betreffende adapter waarmee u verbindt met de samba server en kiest u “eigenschappen”.

    Vervolgens kiest u in het overzicht “toevoegen” van een protocol. Doorloopt u de stappen om het “Reliable Multicast” protocol toe te voegen aan de adapter.

  • zorgt u ervoor dat de workgroup naam van uw Windows 10 PC(s) overeenkomt met de samba workgroup naam.

Aan de linux (samba server) zijde zijn de volgende zaken zeer belangrijk bij de toegang middels een windows 10 client PC:

  • zorgt u ervoor dat uw linux server volledig geupdate is en regelmatig bijgewerkt wordt, inclusief de laatste updates van samba server, controleert u deze laatste met yum info samba. De versie ten tijde van dit artikel is: 4.7.1
  • controleert u of de nmb service geïnstalleerd, enabled en gestart is op uw linux server. systemctl status nmb moet resulteren in status “active(running)” (groene kleur).
  • uw linux server hostname moet forward en reverse correct resolven naar het formaat servernaam.domeinnaam.local zoals in uw samba configuratie staat en verwijzen naar het juiste IP adres van uw linux server waarop samba draait.
  • controleert u de workgroup naam of deze juist overeenkomt met de workgroup van uw windows 10 client PCs
  • het is belangrijk dat u de samba server zodanig configureert dat deze niet probeert via TCP/IP poort 139 (NetBIOS over TCP/IP) de samba diensten te laten verlopen maar (ook) via poort 445(rechtstreekse SMB communicatie via TCP/IP).
  • zorgt u ervoor dat de samba server de “master browser” is van uw netwerk
  • het SMB protocolniveau moet hoog genoeg kunnen zijn tijdens de onderhandeling tussen de windows 10 client en uw samba server. Op deze manier kan Windows op een hoger SMB niveau toegang verkrijgen tot de samba server en heeft u minder problemen na belangrijke beveiligingsupdates van windows.

Enkele van bovenstaande samba server punten vallen samen te vatten in configuratie regels in /etc/samba/smb.conf. De relevante regels zijn als volgt en dienen in het [global] gedeelte te worden opgenomen. Maakt u wel eerst een backup van uw smb.conf bestand voor het geval u tegen problemen aanloopt.

[global]
workgroup = uwworkgroupnaam
netbios name = uwservernaam.uwdomein.local
server string = uwservernaam
local master = yes
preferred master = yes
os level = 66
server max protocol = SMB3
client max protocol = SMB3
# smb ports = 139
security = user
encrypt passwords = yes

NB.: Let u op dat de optie smb ports = 139 met het hekje ervoor uit gecomment is zoals hierboven in het voorbeeld,(!) of verwijdert u deze regel geheel uit uw smb.conf bestand.

U kunt de beveiliging van samba verder aanscherpen (aanbevolen!) door in het [global] gedeelte van uw smb.conf in te stellen dat het SMB niveau minimaal 2 moet zijn:
server min protocol = SMB2_10
client min protocol = SMB2_10

Ik wil het nogmaals benadrukken, het is belangrijk en veiliger om hogere SMB niveau’s te vereisen van uw samba clients en zeer regelmatig uw samba versie te updaten wanneer er updates beschikbaar zijn.

In windows 10 kunt u als volgt het gebruikte SMB niveau opvragen nadat u de samba share gemount heeft:

  • opent u een administrator-elevated powershell venster
  • typt u het commandoGet-SmbConnection gevolgd door ENTER.
  • Onder kopje Dialect ziet u het SMB niveau. Als alles juist werkt is dit bijvoorbeeld 3.1.1.

Mocht het ondanks deze informatie niet lukken en heeft u hulp nodig bij samba toegangsproblemen van uw windows 10 client PCs kunt u altijd contact opnemen met Knaap IC. Stuurt u dan gerust een email, zie de contact pagina.


Referenties:
https://social.technet.microsoft.com/Forums/en-US/eba9a147-c1de-41b1-99aa-9c65efd45d8f/cant-access-smb- share-after-update-to-1709?forum=win10itpronetworking
https://www.tenforums.com/network-sharing/21700-cannot-connect-samba-shares-centos7.html
https://www.tenforums.com/network-sharing/31136-samba-shares-dont-show-up-windows-10-network.html
https://community.spiceworks.com/topic/1162811-windows-10-can-t-access-network-shares?page=2
NB.: Sommige referentie pagina’s bieden oplossingen middels smb1, dit is dus niet meer nodig!

De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met de uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en advies op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina.

Potentiële problemen met de Windows 10 creators update 1703

Periodiek worden er voor Windows 10 meer omvangrijke updates uitgebracht die het gehele besturingssysteem naar een nieuwere versie upgraden.

Ook recentelijk was dit weer het geval. De Windows 10 creators update 1703, ook wel “makersupdate” genoemd, is uitgebracht in april 2017.

Deze update wordt naar ervaring niet altijd zonder problemen voltooid. Wat met name zou kunnen gebeuren is dat u na deze update niet meer normaal met uw computer kunt werken.

Voordat u deze update installeert, of voordat deze update automatisch op uw computer wordt geïnstalleerd, is het dus zeer raadzaam om eerst naar een aantal zeer belangrijke zaken te kijken:

  • zijn de harddisk en bestandssysteem van uw computer in goede conditie?
  • heeft u voldoende schijfruimte vrij op uw computer?
  • heeft u een zo recent mogelijke backup gemaakt van uw gehele computer?

Deze punten zijn eigenlijk altijd verstandige zaken om in de gaten te houden, en zijn bij een versie-upgrade van windows 10 van bijzonder belang.

1. De conditie van uw harddisk

Uw harddisk kunt u op de volgende manier controleren:

Zijn er bad sectors geconstateerd?
Dit kunt u weten door controle van de windows systeem logboeken: opent u computerbeheer(rechts klikken op Deze computer en kies “beheren”). Opent u vervolgens: Systeemwerkset -> Logboeken -> Systeem. Controleert u zorgvuldig de logboekitems in de lijst die wordt getoond of hierin geen rode “Disk” items voorkomen.

Alleen indien u zeker weet dat er geen rode “Disk” meldingen zijn geweest, controleert u dan het bestandssysteem van het systeemvolume C:. Indien u een ander volume als systeemvolume gebruikt moet u uiteraard de volumeletter in de voorbeelden aanpassen. Heeft u rode Disk items gezien in het logboek, doet u dan niets meer en leest u eerst het artikel over bad blocks op een harddisk voor meer informatie hierover.

Bestandssysteem controle
Opent u een opdrachtregel venster: klik op start, type cmd. In het Windows 10 startmenu wordt het opdrachtregel venster programma cmd.exe getoond. Klik hierop met rechts en kies “Als administrator uitvoeren”.

In het opdrachtregel venster kunt u het volgende commando intypen (denk aan de spaties):

chkdsk c: /f en drukt u de Enter toets. Er wordt gevraagd of u bij de volgende herstart van de computer de controle wilt uitvoeren. Bevestigt u dit met j en geeft u weer Enter.

Herstart u hierna uw computer en wacht u af tot de controles voltooid zijn en uw computer vanzelf opnieuw opstart.

Nadat uw computer opnieuw is gestart bent u klaar met het controleren van de harddisk en het bestandssysteem voor zover u dit zo zelf eenvoudig kunt doen.  Het is geen garantie, maar wel een verstandige manier van handelen.

2. Vrije schijfruimte

Dubbelklikt u op Deze computer. Zoekt u in het verkenner venster het systeemvolume, meestal is dit C:. Door aan de linkerzijde “Deze pc” aan te klikken verschijnt aan de rechterzijde Station C: en kunt u zien hoeveel schijfruimte er vrij is. Probeert u dit ruim aan te houden voor de 1703 update, bijvoorbeeld 25Gb of meer indien mogelijk.

3. Een systeemkopie maken

Een backup is essentieel. Deze kunt u het beste op een externe USB harddisk maken. De harddisk moet geformatteerd zijn zodat deze beschreven kan worden. Sluit u de harddisk aan en controleert u de vrije schijfruimte. Klikt u op start en typt u backup. Windows toont u het programma “Instellingen voor back-ups”. Opent u dit. Klikt u hierin “Een station toevoegen.” Kiest u de USB harddisk en bevestigt u de keuze. Hierna kunt u een backup maken door te kiezen “Een systeemkopie maken”.  Kiest u de backup locatie en controleert u goed of alle partities(volumes) aangevinkt zijn in de volgende stap omdat dit mogelijk niet standaard het geval zal zijn.

Nadat de backup klaar is, is het raadzaam om ook de systeemherstelschijf te branden zoals door windows backup wordt voorgesteld. U kunt van deze schijf opstarten om uw computer van de backup te herstellen.

Na de controles en backup kunt u proberen de makersupdate 1703 te installeren. Houdt u er rekening mee dat u wellicht de backup nodig zult hebben. Er zijn dus risico’s verbonden aan dit soort updates, echter vroeg of laat komen ze uiteindelijk op uw computer terecht via de automatische updates. U kunt dan beter zelf een moment kiezen en hierop voorbereid zijn.

Wat te doen als blijkt dat er iets niet goed is na de update?

In sommige gevallen kan het voorkomen dat na de 1703 makersupdate u bijvoorbeeld een zwart scherm krijgt na inloggen. U kunt nog wel de muispijl zien en bewegen, echter heeft u een leeg bureaublad en er is geen start menu of taakbalk. Met veel moeite kunt u dan middels ctrl-alt-del en dan kiezen taakbeheer enigszins onderzoeken wat er wel en niet draait. In sommige gevallen komt na zeer lang wachten het startmenu. Echter bij klikken hierop volgt direct een soort explorer crash en kunt u nog geen programma’s via start menu openen.

In deze gevallen is de update mislukt. En zal deze meestal na terugzetten van de backup en verwijderen van diverse software en drivers wederom mislukken. In dergelijke gevallen zit er weinig anders op dan de hele computer opnieuw installeren met de windows 10 versie 1703 DVD. Deze kunt u hier downloaden.

Heeft u hulp nodig wegens problemen met de 1703 makersupdate op uw computer? Knaap IC lost het graag voor u op. Voor contact opnemen: zie de contact pagina.

 

De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met de uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en advies op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina. Windows is een geregistreerd handelsmerk van Microsoft Corporation.

Harddisk problemen door bad sectors, hoe ga je hiermee om?

Een universeel probleem dat u kunt tegenkomen bij gebruik van bijvoorbeeld een PC, Mac, laptop of andere computer waarin een harddisk aanwezig is, is het ontstaan van bad sectors op deze harddisk en de potentiële storingen en data verlies die hieruit kunnen volgen.

Hoe ontstaan eigenlijk bad sectors?
Bad sectors kunnen door verschillende oorzaken ontstaan, dit zijn de meest voorkomende:

– uitvallen van de stroom tijdens een schrijfbewerking

– resetten van een computer tijdens een schrijfbewerking, zowel door bedienen van een reset knop als door het ontstaan van een plotselinge reset en onderbreking door een ernstige software crash

Stroomuitval:
Wat er in zo’n geval meestal gebeurt is dat de harddisk bezig is met een schrijfbewerking terwijl de stroomvoorziening wegvalt. De magnetische lees/schrijf koppen bevinden zich dan in het data gebied van de harddisk. Onder sommige omstandigheden kan de harddisk zich dan niet op tijd veilig “parkeren” om de lees/schrijf koppen op een veilige positie vast te zetten, hetgeen betekent dat er mogelijk een beschadiging kan optreden op het schijfoppervlak. Ook indien er geen ernstige beschadiging is geweest kan het voorkomen dat het magnetisch niveau van het gebied in kwestie waarin een schrijfbewerking gedaan werd op een onbepaalde waarde blijft staan. De harddisk merkt dit dan aan als een “bad sector”(slechte plek) omdat deze mogelijk onterecht of veiligheidshalve kan aannemen dat het onbepaalde magnetische niveau vanzelf ontstaan is of veroorzaakt is door een slecht functionerend gedeelte van het schijfoppervlak.

Reset:
Een reset kan optreden door bedienen van een reset knop, door het softwarematig ontstaan van een zeer ernstige crash die een reset veroorzaakt op de processor zelf, hetgeen ook de gehele computer zou kunnen resetten, of door een voedingsprobleem op het mainboard van de computer waarbij de spanning op de processor, geheugen en/of chipset onstabiel wordt. Een reset wil zeggen dat de processor en chipset van de computer onmiddellijk onderbroken worden, en de computer zeer plotseling in dezelfde staat terugkeert als wanneer u deze net inschakelt. Een reset gebeurtenis kan een harddisk abrupt onderbreken tijdens een schrijfbewerking waardoor er tevens onbepaalde magnetische niveau’s en dus bad sectors kunnen ontstaan.

Een harddisk is een zeer precies mechanisch instrument dat bestuurd wordt door een “embedded” computer die zich in het harddisk assembly bevindt. Tijdens normaal bedrijf zijn er diverse voorzieningen actief die ervoor zorgen dat de koppen en het schijfoppervlak en de data hierop veilig zijn en blijven. Echter wanneer onvoorziene omstandigheden zich voordoen zoals bovengenoemde voorbeelden kunnen er soms storingen ontstaan.

Hoe kan ik weten of er een bad sector aanwezig is op een harddisk?
Wanneer er een bad sector optreedt wordt dit door het besturingssysteem gesignaleerd tijdens een lees/schrijfbewerking, waarna hiervan een logboek vermelding aangemaakt wordt.
Bijvoorbeeld op een windows PC kunt u melding hiervan vinden in het systeem logboek onder computerbeheer. Er staat dan een ‘disk’ foutmelding met een rood kruis ervoor. In de melding staat dan Gebeurtenis-id 7 en de bron van de melding is “Disk”. In de details van de entry staat “Beschadigd blok in apparaat \Device\Harddiskn.”.


Voor alle duidelijkheid: een bad sector kan twee situaties aanduiden, de ene situatie betreft een magnetisch ongedefineerd niveau van een gebied op de harddisk, de andere, meer ernstige en problematische situatie betreft slijtage of een beschadiging. Deze zijn meer ernstig omdat ze blijvend van aard zijn.

Wat kun je het beste doen bij bad sectors op een harddisk?
Wanneer een harddisk één of meer bad sectors bevat ontstaat er een direct risico op data verlies. Dit risico neemt toe wanneer er doorgewerkt wordt op de betreffende PC. Dit moet u dus nooit doen wanneer u weet dat er sprake is van bad sectors. Wanneer er vervolgens onverhoopt schijfcontroles en reparaties worden uitgevoerd, hetgeen ook automatisch kan voorkomen, zal er met zekerheid dataverlies gaan optreden.

De beste manier van handelen bij bad sectors is dus als volgt:
- de PC uitschakelen, bij voorkeur door een normale afsluiting van het besturingssysteem
- de PC niet meer aanzetten/gebruiken
- niet zelf backups gaan maken
- de harddisk laten onderzoeken en backups laten maken door een professional

Knaap IC heeft veel praktijkervaring met dergelijke situaties en verzorgt graag op de juiste wijze dit onderzoek en het maken van een backup voor u.

Op welke wijze het onderzoek en het maken van een backup uitgevoerd wordt is absoluut cruciaal teneinde in het gunstigste geval data verlies geheel te voorkomen of in ernstige gevallen van beschadiging tenminste het data verlies zoveel mogelijk te minimaliseren.

De volgende zaken komen dan onder andere aan bod:
– onderzoek waarin de conditie van de harddisk wordt vastgesteld
– eventueel herstel van bad sectors inclusief de informatie hierop indien mogelijk
– maken van een backup van de gegevens die leesbaar (gemaakt) zijn

De conditie van een harddisk is bepalend voor het resultaat van herstelbewerkingen. Hierbij is de leeftijd en de hoeveelheid draaiuren mede van groot belang.

In veel gevallen kan de data hersteld worden en kan er zelfs weer normaal met de harddisk gewerkt worden. Afhankelijk van de leeftijd en de hoeveelheid bedrijfsuren die de harddisk geregistreerd heeft kunt u eventueel een advies krijgen om de harddisk toch preventief te vervangen.

Verder blijft het uiteraard altijd raadzaam om in normale situaties dagelijkse backups te maken. Hiermee dekt u preventief verschillende potentiële calamiteiten af.

Knaap IC adviseert u hier graag bij en kan u helpen met het maken van automatische backup scenario’s met behulp van scripts met ontvangst van het dagelijkse backup logboek per email. Backups zijn zeer noodzakelijk maar hoeven voor u als klant zeker niet ingewikkeld te zijn.







De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met de uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en advies op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina. Windows is een geregistreerd handelsmerk van Microsoft Corporation.

Wat te doen tegen ransomware gijzelingsvirussen?

Op vrijdag 12 mei 2017 is er een wereldwijde uitbraak ontstaan van het ransomware computervirus dat inmiddels de naam ‘Wannacry’ draagt. Op deze pagina kunt u belangrijke informatie vinden over ransomware in het algemeen en Wannacry in het bijzonder, wat u in ieder geval bij voorbaat moet weten en wat u ertegen kunt ondernemen.

Wat is Ransomware?

Ransomware is een type computervirus dat de bestanden op een PC probeert te versleutelen om deze hierdoor onleesbaar te maken. Alle informatie op de geïnfecteerde PC wordt als het ware gegijzeld omdat alle bestanden onbruikbaar zijn geworden. De Ransomware biedt vervolgens de mogelijkheid om de bestanden weer vrij te kopen door middel van het betalen van losgeld aan de verspreiders van het virus.

Ransomware bestaat toch al een tijdje en is dus niets nieuws?
Waarom kreeg het Wannacry virus zoveel publiciteit?
Het Wannacry virus is wereldwijd plotseling op grote schaal verspreid via email berichten. Het Wannacry virus wijkt af ten opzichte van andere ransomware virussen omdat Wannacry naast de schade die het lokaal op de geïnfecteerde PC aanricht gebruik maakt van een zwakke plek in windows computers. Deze zwakke plek maakt het in sommige situaties mogelijk dat vanuit een geïnfecteerde PC het Wannacry virus zich geheel zelfstandig kan verspreiden naar alle andere PCs in het lokale computernetwerk waar de PC deel van uitmaakt. Dat betekent dat potentieel een compleet netwerk ineens in zijn geheel besmet zou kunnen raken en overal alle bestanden gegijzeld worden en onbruikbaar worden. Dit soort situaties zijn dus reeds in het nieuws geweest. Het virus kan dus in theorie gehele netwerken saboteren en is daarin dus potentieel zeer schadelijk te noemen. Het Wannacry virus wordt door ESET NOD32 aangeduid als “Win32/Filecoder.WannaCryptor.D”.

Wat houdt die zwakke plek op windows PCs precies in?
Het betreft een zwakke plek in het windows SMB protocol dat wordt gebruikt voor het delen van bestanden in een computernetwerk. Door een bepaald informatiepakket met virus code te verzenden aan andere PCs in het netwerk wordt de SMB faciliteit in de andere PCs misbruikt om daarop ook kwaadaardige code op te starten en het Wannacry virus te verspreiden. Vooral bij grotere netwerken kan men zich voorstellen dat dit een behoorlijk rampzalig scenario zou zijn. Het is dus zeer begrijpelijk en terecht dat de media deze virus uitbraak onder de aandacht hebben gebracht.

Waarom zijn huidige computernetwerken in veel gevallen nog niet volledig geupdate?
Het is vaak een keuze van systeembeheerders om updates gepland en gefaseerd uit te voeren. Men doet dit vaak om potentiële ICT problemen te voorkomen. Door een geschikt moment te kiezen om updates toe te passen en vervolgens de werking van alle software te testen proberen systeembeheerders een meer bedrijfszekere ICT te waarborgen. Dat is uit de praktijkervaring zo gegroeid. In geval van Wannacry wisten veel systeembeheerders niet of onvoldoende van de zwakke plek die ontdekt was in de windows implementatie van het SMB protocol. Vervolgens gebeurde dus het ergste scenario, namelijk dat er massaal werd geprobeerd er misbruik van te maken.

Hoe kan deze zwakke plek in de windows SMB software verholpen worden op PCs?
PCs moeten “gepatched” worden om de zwakke plek te verwijderen. Microsoft heeft hiervoor gelukkig diverse updates uitgebracht. Een provisionele lijst van microsoft KB (“knowledge base”) update nummers is als volgt:

KB3205409
KB3210720
KB3210721
KB3212646
KB3213986
KB4012212
KB4012213
KB4012214
KB4012215
KB4012216
KB4012217
KB4012218
KB4012220
KB4012598
KB4012606
KB4013198
KB4013389
KB4013429
KB4015217
KB4015438
KB4015546
KB4015547
KB4015548
KB4015549
KB4015550
KB4015551
KB4015552
KB4015553
KB4015554
KB4016635
KB4019213
KB4019214
KB4019215
KB4019216
KB4019263
KB4019264
KB4019472

Bovenstaande lijst KB nummers heb ik via de website community.spiceworks.com gevonden, zie onderaan de referentie.
Het betreft dus informatie afkomstig van derden.

Meer specifiek per besturingssysteem kan ik naar aanleiding van het updaten van PCs bij mijn klanten het volgende bevestigen:

KB4019215 (Windows 2012/R2 / Windows 8.1)
– middels windows update geïnstalleerd

KB4019264 (Windows 7)
– middels windows update geïnstalleerd

KB4012598 (Windows XP SP3)
Deze update valt op de volgende pagina te downloaden:
https://www.microsoft.com/nl-NL/download/details.aspx?id=55245

Wat u moet doen is uw PC zoveel mogelijk bijwerken met windows update, net zolang totdat deze aangeeft dat er geen belangrijke updates meer open staan. Het gaat hier om de kritieke beveiligingsupdates, en dus niet om de “aanbevolen” updates. Nadat het updaten volledig klaar is kunt u de lijst van geïnstalleerde updates opvragen in het windows update scherm en controleren of één van de bovenstaande update nummers in de lijst voorkomt.
Waar u naar moet zoeken is de update met in de omschrijving “2017-05 Beveiliging – Maandelijkse kwaliteitsrollup”. En dan niet de update voor .NET Framework maar de update voor windows zelf. Het betreft een maandelijkse verzameling beveiligings updates. Hierachter staat dan waarschijnlijk één van de bovenstaande KB nummers vermeld. In dat geval zou theoretisch de SMB zwakke plek zoals gebruikt door het Wannacry virus gedicht moeten zijn. Dit wil niet zeggen dat u niet meer door Wannacry getroffen kunt worden, echter de bedoeling van de update door Microsoft is het voorkomen van de automatische verspreiding via SMB naar windows PCs die in dezelfde lokale netwerkomgeving aangesloten zijn. Uiterst belangrijk dus.

Wat kunt u verder nog doen?

Beveiliging begint altijd met voorzichtigheid. Klik nooit op links in emails, open nooit bijlagen die worden meegestuurd met emails. De enige uitzondering is wanneer u een bijlage of link nodig hebt voor uw werkzaamheden en u deze bijlage of link ook verwacht te ontvangen. U moet dus als het ware andersom leren denken, bij voorbaat niets vertrouwen tenzij u er 100% zeker van bent dat de link of bijlage te vertrouwen is. Blijft u altijd de berichttekst met de gedachte lezen dat u altijd met nep emails te maken kunt krijgen. Krijgt u emails van instanties of grote bedrijven, weest u dan altijd op uw hoede dat deze mogelijk niet echt van deze afzenders afkomstig kunnen zijn.

Vervolgens blijft uiteraard een goede antivirus bescherming noodzakelijk. Knaap IC raadt ESET NOD32 antivirus aan, en dan de nieuwste software versie ervan. Zorgt u dat uw antivirus altijd geupdate is met de meest actuele virusdefinities. Daarmee heeft u een hogere kans op detectie van nieuwe virussen.

Tenslotte moet u altijd zorg dragen voor een goed werkende en regelmatige backup. Recente backup data dient altijd veilig, dus offline, bewaard te worden. Offline wil zeggen dat het backup medium uit is en niet met een computer verbonden is. Alleen op deze wijze kan ransomware virus software er niet bij. Hierbij wil ik blijven aangeven: hoe meer verschillende backups u maakt, hoe beter. Denk ook altijd aan uitpandig bewaren van backups. Knaap IC adviseert u graag over het verhogen van de veiligheid van uw backups. Houdt u altijd in gedachten hoe groot de schade is voor uw bedrijf indien u alle gegevens zou verliezen. Hieraan moet ook het belang van en de investering in backups worden afgemeten. Onthoud altijd dat Ransomware veel minder kans heeft indien u offline altijd kopieën van al uw backups bewaart. Backups moeten altijd gecontroleerd worden, leest u altijd de backup rapporten na of hierin staat dat u een geslaagde backup heeft, en dat er geen fouten opgetreden zijn tijdens het backup proces.

Wat moet ik doen wanneer mijn antivirus software een ransomware infectie aantreft op mijn computer?
Dit is helaas altijd een scenario dat u van tevoren in gedachten paraat moet hebben. Dit is met name zo omdat tijd en reactiesnelheid van groot belang zijn.
Leest u altijd virusmeldingen aandachtig door, maak desnoods een foto met uw mobiele telefoon van de melding. Dit kan altijd sneller dan het doorlezen ervan, dus is zeker aan te raden.
Ransomware versleutelt en beschadigt al uw bestanden en gegevens. Weest u zich hier bewust van. Het wijzigen van alle bestanden door een virus kost echter tijd. Dus het is zeer belangrijk dat de geïnfecteerde PC zo spoedig mogelijk na constateren van een infectie afgesloten wordt. Sluit u de PC op normale wijze af. Doet u dit wel zo spoedig mogelijk en laat de PC in kwestie hierna ook uit. Koppel desnoods alle kabels af en leg de stroomkabel weg zodat niet per ongeluk iemand anders de PC kan aanzetten.

Indien er binnen uw computernetwerk een virus is aangetroffen door antivirus software mogen vanaf het netwerk geen documenten en/of programma’s meer worden geopend. Er is namelijk een reële kans dat er reeds bestanden op het netwerk geïnfecteerd zijn en dus andere PCs door deze bestanden kunnen worden besmet met hetzelfde virus. Bij infecties op één PC moeten alle PCs in uw netwerk worden gecontroleerd. Voordat dit gebeurd is mogen geen documenten meer worden geopend en geen programma’s meer worden opgestart.

Ook mag u de backup unit niet meer verwisselen. Dit zou immers het risico met zich meedragen dat ook een goede backup wordt versleuteld door ransomware en dus onbruikbaar wordt. Uw backups zijn uiterst belangrijk en dienen offline te blijven tot alle sporen van infecties verwijderd zijn van uw netwerk. Koppelt u voor de zekerheid ook eventuele nog aangesloten backup units direct na constateren van een virus af.

Na welk infectie incident dan ook dient een PC altijd te worden nagekeken door een ervaren ICT expert. Aansluitend kan dus ook een controle van andere PCs noodzakelijk blijken. Knaap IC helpt u graag bij het herstellen van uw PC(s) en de software hierop.

Ook indien u twijfelt over een afdoende backup scenario en graag een extra controle en aanvullend advies hierover wenst kunt u gerust contact opnemen.

Links en referenties:
https://community.spiceworks.com/topic/1994770-wannacrypt-resources
https://community.spiceworks.com/topic/1995222-wannacry-ransomware-windows-kb
https://www.eset.com/ca/about/newsroom/corporate-blog/what-you-need-to-know-about-wannacry/







De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met de uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en advies op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina. Windows is een geregistreerd handelsmerk van Microsoft Corporation.

PuTTY installeren op een Apple Mac

Linux kenners of PC gebruikers die op afstand willen inloggen op hun PC via een linux SSH tunnel zijn vrijwel zeker bekend met het zeer handige en veelzijdige linux terminalprogramma genaamd PuTTY.

Met PuTTY kan men onder andere:
– SSH sessies tot stand brengen
– één of meerdere SSH tunnels openen met een linux server
– regelmatig gebruikte verbindingen opslaan in een handige sessielijst

Na enige aanpassingen is dit ook mogelijk op een Mac en werkt PuTTY hetzelfde als op een PC.

Instructies hoe PuTTY te installeren op een Mac, Macbook Pro of Macbook Air:

Er zijn ongetwijfeld meerdere methoden om deze installatie te bereiken in Mac OSX, ik beperk me hier tot de methode die ik gebruikt heb en waarmee ik de ervaring heb dat meer flexibel en zeker is.

Op diverse momenten moet u mogelijk een “sudo” wachtwoord opgeven waarmee u programma’s kunt installeren of systeeminstellingen kunt bijwerken, het zij in een pop up dialoog dan wel in een terminal venster wanneer er een sleutel verschijnt vóór de opdrachtregel. Typt u dan uw login wachtwoord van de Mac en geeft u enter. In de Mac terminal moet het wachtwoord blind getyped worden(er verschijnen geen bolletjes of sterretjes) gevolgd door enter. Verder is het nodig om programma’s te kunnen installeren van “3e partij” bronnen, dat wil zeggen, niet van de Mac App Store. Hiervoor is het nodig om (tijdelijk) de beveiligingsinstellingen van de Mac aan te passen zodat dit toegestaan wordt. Na installatie van PuTTY kunt u deze instelling weer ongedaan maken.

Stap 1: Installatie van Xcode.
Voor het installeren van PuTTY hebben we eerst de ontwikkelomgeving voor de Mac, genaamd Xcode, nodig. Deze moet uitsluitend vanuit de Apple Mac App Store worden geïnstalleerd, nooit vanuit web downloads omdat hierin een groot risico op malware bestaat.
Na zoeken en installeren van Xcode vanuit de Mac App Store kunt u Xcode starten.
Onder “Voorkeuren -> Downloads -> Onderdelen” of “Preferences -> Downloads -> Components” moet gekozen worden om de zogenaamde “command line tools” te installeren.

Stap 2: Licentievoorwaarden accepteren.
Open een Mac terminal venster en voer uit:
sudo xcodebuild -license
Blader met de spatiebalk door het document heen en indien u accoord gaat met de voorwaarden typt u in “accept” en geeft u enter.

Stap 3: Mac Ports installeren.
Mac Ports valt te vinden op:
https://www.macports.org/install.php
Met Mac Ports kunt u een geporte toepassing installeren.
Porten wil zeggen dat een toepassing oorspronkelijk is ontwikkeld voor gebruik in een ander besturingssysteem, voor een andere processor of voor een ander computer platform, en geschikt gemaakt is voor uitvoeren onder het huidige (andere) besturingssysteem en/of hardware platform.

Stap 4: Controle op updates van Mac Ports.
Voert u in een Mac terminal programma het volgende commando uit:
sudo port -v selfupdate

Stap 5: PuTTY installeren.
Voert u in een Mac terminal programma het volgende commando uit:
sudo port install putty

Stap 6: Installatie X11.
X11 is een linux grafische desktop engine die nodig is voor PuTTY.
Deze heet XQuartz en is te vinden op:
http://xquartz.macosforge.org/landing/
Installeert u deze package op de Mac.

Stap 7: Starten van PuTTY en maken van een snelkoppeling.
Starten van PuTTY kan door openen van een Mac terminal venster en het commando uitvoeren:
putty

Een snelkoppeling op uw Mac bureaublad kan gemakkelijk en snel door uitvoeren in een terminal:
cp /opt/local/bin/putty ~/Desktop/PuTTY

Nu kunt u op de Mac werken in PuTTY op dezelfde wijze als op een PC.
Dit maakt het inloggen en/of systeembeheer weer een stuk gemakkelijker!





De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en adviezen op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina.

Links en referenties:
https://nl.wikipedia.org/wiki/Xcode
http://techgeek.tech/use-putty-for-mac-os-x/

Problemen die kunnen optreden bij rebranded wifi apparatuur

Als linux fan ben ik altijd geïnteresseerd in producten waarin linux verwerkt is. Door de toepassing van linux zijn producten vaak aanpasbaar, zelfs verder dan de fabrikant oorspronkelijk beoogde. Ik ben graag bereid me hierin te verdiepen om te proberen meer uit een product te halen indien dat gewenst is.

Ook in dit praktijkvoorbeeld was er sprake van ruimte voor verbetering.
Het bleek bij deze zeer voordelige 300mbps wifi router met 4 gigabit LAN poorten(!) van het merk ICIDU dat deze na verloop van tijd problemen kreeg met de wifi verbindingen. Dat is jammer want de router heeft niet de minste specificaties, hij bevat een hoogwaardige Atheros chipset en krachtige Atheros wifi radio met drie afneembare antennes, hetgeen de optie biedt voor gebruik van externe antennes ter verbetering van een wifi netwerk. De router heeft dus veel gebruikspotentieel indien deze stabiel is.

Het eerste dat ik in zo’n geval doe is kijken of er een firmware update is, waarmee ook de versie van het linux besturingssysteem kan worden vernieuwd. In dit geval was er echter geen nieuwe firmware te vinden. Wat ik vervolgens heb gedaan is de router uit elkaar halen om te kijken uit welke fabriek de printplaat afkomstig is. Op die manier kun je namelijk soms toch nieuwere software vinden en problemen oplossen.

Het bleek dat deze wifi router door TP-LINK gefabriceerd is in opdracht van ICIDU. Na enig zoeken kwam ik op pagina’s terecht van Openwrt (een open source OS voor wifi routers) waarin veel documentatie te vinden was over de hardware. Het is namelijk zo dat een router in feite een volledige computer is die op een flash geheugen is geïnstalleerd.

Door middel van het opzoeken van de seriële verbinding met het “System on a chip” van deze router, en het realiseren van de juiste aansluitingen met o.a. logische niveau aanpassingen kon ik via een seriële poort met PuTTY vanuit mijn PC een verbinding opbouwen met de console van de computer in de router. Dit toont niet alleen veel debugging informatie maar biedt ook de mogelijkheid om het flash geheugen van de router te herprogrammeren.

Dit heb ik hierop dus ook gedaan en sindsdien loopt deze wifi router in een testomgeving zeer stabiel.
Mocht toch blijken dat de firmware alsnog niet stabiel is, kan ik altijd nog kijken naar een Openwrt embedded linux image. Vooralsnog vertrouw ik in eerste instantie op de veel nieuwere TP-LINK firmware.
De router is nu permanent voorzien van een seriële console poort dus ik kan altijd hierop inloggen en de nodige aanpassingen en/of debugging doen.


In deze eerste foto ziet u het binnenwerk van de router. Aan de linkerzijde vindt u de connector voor de seriële console die ik heb ingesoldeerd.


Op deze foto ziet u de console aansluiting met onderaan in de foto de “level shifter” printplaat die ik heb gebruikt om in te kunnen loggen met een PC.


Tenslotte nog een screenshot van een onderbroken opstart middels een seriële verbinding met PuTTY.
Hierna verkreeg ik de volledige controle over de hardware en kon ik deze naar wens herprogrammeren.

Ik moet dergelijke handelingen als vakman voor iedereen principieel afraden aangezien dit aan flinke risico’s gebonden is. Flashen (vervangen van de interne software) van apparatuur brengt altijd het risico met zich mee dat u daarna een apparaat heeft waar u niets meer mee kunt. En in het bijzonder in dit geval. Alleen indien u weet wat u doet en het risico van “bricken” (volledig onbruikbaar maken) van uw apparatuur aanvaardt is dit misschien weggelegd.

In dit geval betrof het een afgedankt redelijk voordelig apparaat waar ik nog potentieel in kon zien door hier mijn tijd in te investeren. Als hij niet meer te redden was dan had me dat niet uitgemaakt. In zo’n geval kun je zoiets wel proberen indien de nodige kennis en vaardigheden aanwezig zijn. Uiteraard zijn dergelijke verbeteringen van apparatuur ook voor mijn klanten een optie waarbij ik uiteraard een schappelijk tarief hanteer. Elk geval is natuurlijk weer anders maar ik kan tenminste een onderzoek doen naar de mogelijkheden om problemen op te lossen in dergelijke gevallen.





De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en adviezen op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina.

Voorbeeld van een typische PC werkplek

Voor klanten is het belangrijk hoe een PC werkplek is ingedeeld. Dit is immers bepalend voor de hoeveelheid vrije ruimte dat u en uw personeel op en onder uw bureau(‘s) heeft, en mede van invloed op het algehele uiterlijk van uw kantoor.

Knaap IC besteedt veel aandacht aan het netjes wegwerken van apparatuur en bekabeling op en rond de werkplek.
Lang niet alle tijd hiervan wordt daadwerkelijk in rekening gebracht, het is immers ook een soort visitekaartje en dus ook een stukje eigen belang. Het liefst doe ik dit soort dingen in alle rust in de avonduurtjes zodat niemand er last van heeft.

Knaap IC maakt de laatste jaren veel gebruik van zeer moderne PCs in mini formaat. Tegenwoordig doen zulke PCs absoluut niet onder voor volwaardige desktop PCs qua prestaties en levensduur.
Een zeer klein formaat PC heeft het voordeel dat deze aan de achterzijde van het beeldscherm kan worden gemonteerd hetgeen lange bekabeling voorkomt waardoor de vloer van uw bedrijf relatief verschoond blijft van computer apparatuur en hieromheen liggende kabels.
Overige ICT apparatuur en stekkerdozen werkt Knaap IC ook netjes voor u weg zodat deze zoveel mogelijk buiten zicht blijven. Beeldschermen monteer ik het liefst op een monitorsteun hetgeen meer bureauruimte oplevert en de schermen volledig ergonomisch aanpasbaar maakt waardoor uw personeel minder vermoeid wordt van langdurig werken achter een PC.

Het resultaat is een frisse en schoon uitziende werkplek die gezien mag worden!

Recentelijk heb ik bij een klant een nieuwe werkplek toegevoegd en ter illustratie hiervan een paar foto’s gemaakt. Ze vielen met name onder het bureau een beetje donker uit vanwege het licht van achter de werkplek door het raam. Bij gelegenheid zal ik nog een keer ’s avonds wat nieuwe foto’s maken.


Een typische werkplek zoals Knaap IC deze voor u kan installeren.
Op de vloer is geen enkele ICT apparatuur aanwezig.


Op deze foto treft u aan de achterzijde van het beeldscherm de hieraan gemonteerde PC aan.
De bekabeling naar de PC en beeldschermen is netjes aan de monitorsteun bevestigd.

Met elk type bureau is een dergelijke opgeruimde werkplek ook voor u mogelijk.
Ook voor bestaande PCs kan ik diverse mogelijkheden toepassen om de werkplek veel mooier en netter te maken. Op die manier kan er veel prettiger gewerkt worden op de werkplekken.

Reparatie van een gigabit netwerkswitch

Tijdens mijn werkzaamheden bij een klant bleek dat een netwerk switch defect was.
Dat was jammer want het was er één van een goed merk en specificaties, en ook nog een volledige gigabit uitvoering.

In zo’n geval kijk ik als ICT-er met elektronica achtergrond altijd of deze te repareren valt.

De meeste klanten beseffen dit namelijk niet maar een reparatie is in de meeste gevallen wel degelijk een optie. (!)

Wat ik dan doe is dat ik de onderdelen bereken en een standaard reparatie tarief.

Voordelen van reparatie zijn:

  • stukken goedkoper dan aanschaf nieuwe netwerk switch
  • er wordt niet onnodig eigenlijk nog bruikbare elektronica afgedankt hetgeen het milieu ten goede komt
  • na reparatie heeft de switch waarschijnlijk een nog langere levensduur dan na de nieuwe aanschaf ervan destijds, vanwege de toepassing van zorgvuldig gekozen elektronica componenten met hoogwaardige industriële specificaties.

De reparatie van deze switch heb ik ter plaatste bij de klant uitgevoerd.


De reeds gerepareerde printplaat ziet u hier links, erboven liggen de componenten die vervangen zijn.


Een foto van de weer terug geplaatste printplaat.


Tenslotte een foto van de switch zoals hij nu weer in bedrijf is bij de klant.

Overal hoor je tegenwoordig hoe belangrijk het is om ook aan het milieu te denken.
Dit neem ik dus ook in dit soort gevallen ter harte, en daarom kom ik de klant altijd tegemoet in dit soort reparatiekosten teneinde een reparatie aantrekkelijker te maken dan afdanken en een nieuwe aanschaffen.

Ook inzake de betrouwbaarheid is deze reparatie voor de klant een betere optie omdat de gekozen componenten van een veel modernere productie zijn en een uiterst lange levensduur hebben. Ik vervang voor de zekerheid zelfs meer onderdelen dan feitelijk nodig is om de algehele kwaliteit van de netwerkswitch te verhogen.

Als vakman moet ik iedereen ten stelligste afraden en waarschuwen om niet dergelijke reparaties zelf te gaan doen. Hiervoor is vakkennis, vaardigheid en de nodige voorzichtigheid vereist. Op de achterzijde van apparatuur staan hierover ook (terecht) de nodige waarschuwingen vermeld. De stabilisatie elco van de voeding kan bijvoorbeeld opgeladen zijn met maar liefst 300 volt levensgevaarlijke hoogspanning, ook na afkoppelen van de voedingskabel kan in sommige gevallen een elco lange tijd zijn lading behouden, afhankelijk van het ontwerp. (!) Weest u voorzichtig en laat het uitsluitend aan een vakman over met de nodige ervaring en vaardigheden. Ik hanteer tevens een zodanig rechtvaardig tarief voor dergelijke reparaties (in het belang van het milieu) dat klanten hiervoor zelf niet eens eraan hoeven te beginnen ook al heeft men de nodige kwalificaties.

 

De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en adviezen op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina.

Ervaringen met Windows 10 –

Windows 10 begint her en der te verschijnen op PCs van klanten. Het besturingssysteem wordt tegenwoordig op veel nieuwe PCs en laptops meegeleverd. Een andere veel voorkomende wijze van installatie van Windows 10 is momenteel zeker via de automatische updates van Windows 7 en Windows 8/8.1 PCs. Het is hierbij wel belangrijk dat u zich ervan bewust bent dat u Windows 10 zult ontvangen op uw PC wanneer er hierop bepaalde updates geïnstalleerd zijn. Het betreft met name update KB3035583. Er zijn echter ook andere updates die eraan kunnen bijbragen dat Windows 10 op uw PC geïnstalleerd wordt. U herkent de update KB3035583 indien deze op uw PC geïnstalleerd is aan het witte windows icoontje in het meldingsgedeelte van uw taakbalk, dicht bij de klok. Wanneer u de muis hierop wijst ziet u de tekst “Get Windows 10” of “Windows 10 verkrijgen” of iets dergelijks. Het proces van de update heet GWX.exe en valt wanneer deze update op uw PC geïnstalleerd is te vinden in taakbeheer.

U kunt in configuratiescherm -> programma’s en onderdelen via de link “geïnstalleerde windows updates weergeven” controleren of update KB3035583 in de lijst staat. Wilt u uit voorzichtigheid om potentiële problemen te voorkomen nog niet upgraden naar windows 10, adviseer ik u om KB3035583 te verwijderen. Ook kunt u in de windows update instellingen het ontvangen van “aanbevolen” updates uitschakelen om te voorkomen dat uw PC vanzelf geupgrade wordt naar Windows 10. Het blijft echter een zaak van waakzaam blijven op deze update en het proces GWX.exe dat soms zelfs na deïnstallatie en een herstart wederom actief kan worden. Er zijn ook andere updates die te maken hebben met de bevordering van het installeren van Windows 10 op PCs. Deze updates worden soms van de status “optioneel” naar “aanbevolen” opgewaardeerd door de fabrikant waardoor deze updates opnieuw op te installeren overzichten terecht komt. Wilt u deze updates niet installeren, schakelt u deze dan wederom uit door deze te verbergen.

Inmiddels zijn er zodanig veel updates bij gekomen die te maken hebben met de windows 10 upgrade dat dit niet meer eenvoudig te documenteren valt. Ook de verwijdering van GWX.exe gaat soms zeer moeizaam. Verder zijn er specifieke updates uitgebracht die verschillen KB nummer tussen windows 7 en windows 8. Ziet u GWX.exe actief staan kunt u ook contact opnemen voor het nalopen van de windows updates en het verwijderen en uitschakelen van de betreffende updates. Bij een nieuwe windows 8.1 installatie is het aan te bevelen om alle geavanceerde opties goed na te kijken en aan te passen, en de internet verbinding tijdens de installatie uit te laten door bijvoorbeeld de netwerkkabel eruit te halen.

Als ICT serviceverlener heb ik door de jaren heen veel ervaringen opgedaan met de impact van nieuwe besturingssystemen op gebruikers. In Windows 10 zijn uiteraard weer een aantal zaken anders vergeleken met de vroegere Windows besturingssystemen. Het uiterlijk is enigszins gewijzigd, maar ook fundamenteel in de technische werking zijn er belangrijke verschillen met Windows 7 en 8. Waar ik graag melding over wil maken zijn de meer ingrijpende wijzigingen waarmee gebruikers worden geconfronteerd en waarbij er potentieel problemen of hinder kan worden ondervonden. Websites die Windows 10 introduceren vindt u immers zeer makkelijk. Echter voor zakelijke gebruikers is het veel meer van belang of er zonder hinder kan worden doorgewerkt met een nieuw besturingssysteem.

Belangrijke eigenschappen
Een aantal algemeen te noemen punten die ik tegengekomen ben in Windows 10, die de moeite waard zijn om ervan kennis te nemen:
– updates worden in windows 10 automatisch geïnstalleerd en kunnen niet echt meer uitgeschakeld worden indien niet gewenst
– indien er bepaalde stuurprogramma problemen optreden in windows 10 werken soms bepaalde menu’s en apps niet meer en kunnen diverse instellingen niet meer aangepast worden en kan men geen updates meer installeren.
– er wordt informatie over het gebruik van windows doorgegeven via internet aan de fabrikant. Dit kunnen sommige gebruikers als ongewenst zien. Ook bij windows 8 moet u hierop letten indien u dit een belangrijk punt vindt.

Windows 10 en de toegang tot een linux samba bestandsserver.

Update: speciaal voor dit probleem heb ik een nieuwe pagina geschreven, deze is hier te vinden.
Samba is de linux implementatie van het windows bestandsdelingsprotocol. Samba is open source software en dus gratis in het gebruik. Het is gebleken dat de toegang tot een samba bestandsserver in de meeste gevallen met een windows 10 PC niet meer functioneert. De reden hiervan is dat Microsoft de beveiliging van bestandstoegang vanuit een windows 10 client aanzienlijk heeft aangescherpt. Beveiliging is uiteraard noodzakelijk en zeer belangrijk, echter beveiliging kan al snel een probleem gaan vormen wanneer een eigen server op uw lokale netwerk door een Windows 10 PC in uw bedrijfsnetwerk niet meer wordt “vertrouwd”. Met name wanneer er zich hierop uw belangrijke documenten en bestanden bevinden waarmee gewerkt moet kunnen worden. Enig googlen levert al snel een mogelijke oplossing nummer één op, namelijk door in de registry editor de parameter HKLM\SYSTEM\CurrentControlSet\Services\LanmanWorkstation\Parameters\AllowInsecureGuestAuth aan te maken en deze de waarde 1 te geven. Bij testen blijkt echter in de praktijk dat dit niet helpt. Potentiële oplossing nummer twee zou zijn om via configuratiescherm -> referentiebeheer een referentie aan te maken naar de samba bestandsserver en de gebruikersnaam/wachtwoord hierbij op te slaan. Dit kan middels een hostnaam of een IP Adres waarmee naar de samba server wordt gerefereerd. Wederom bleek bij testen dat dit in veel gevallen niet werkt.
Er is zeker iets vreemds en meer specifieks aan de hand betreffende dit probleem. Wat onder andere te lezen valt in samba userlists, is dat Windows 10 bij toegang tot een linux bestandsserver het zeer nieuwe SMB3_11 protocol onderhandelt hetgeen momenteel bij de meeste samba servers niet goed gaat. Er is echter meer aan de hand want bij het koppelen van een gedeelde map op een Windows XP PC is er geen enkel probleem om dit vanuit Windows 10 te doen. Hierbij weten we zeker dat XP het SMB3_11 protocol niet heeft aangeboden omdat dit te nieuw is. Toch verloopt de onderhandeling tussen windows 10 client en Windows XP PC vreemd genoeg wel met succes. Linux samba shares worden dus blijkbaar anders beschouwd door Windows 10 dan windows SMB shares. Hoe dit verschil ontstaat is op dit moment nog niet helemaal duidelijk.
Er is er al wel een methode om het probleem te verhelpen, hoewel deze methode niet bijzonder elegant te noemen valt. Wat is gebleken, is dat bij uitschakelen van het SMB3 protocol op de windows 10 client PC het koppelen van de samba share wel lukt. Hierna zijn samba shares wel toegankelijk.
Uitschakelen van het SMB 2/3 protocol op een Windows 10 client PC gaat op de volgende wijze:
In een CMD scherm met administrator bevoegdheden uitvoeren:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/nsi
sc.exe config mrxsmb20 start= disabled

Hierna de PC herstarten.
Weer inschakelen gaat middels de volgende commando’s:
sc.exe config lanmanworkstation depend= bowser/mrxsmb10/mrxsmb20/nsi
sc.exe config mrxsmb20 start= auto

Hierna wederom de PC herstarten.
Waarom is deze methode een niet bijzonder elegante oplossing? Dat heeft ermee te maken wat er inmiddels allemaal in de nieuwe versies 2 en 3 van het SMB protocol verbeterd is. Door een ouder protocol SMB 1 te gebruiken mist u enkele inmiddels gemaakte verbeteringen in het protocol. Hier staat echter wel tegenover dat u tenminste uw samba server weer kunt gebruiken. Praktisch gebruik weegt in veel gevallen het zwaarst, vandaar dat ik hierover alvast bericht.
Ook is er te lezen op de websites van samba.org dat de nieuwste versie van een Samba server, versie 4.3.0, het SMB3_11 protocol van Windows 10 ondersteunt. Dat zal zeker ook het geval zijn, echter de eerste tests met een zelf uit de source code geïnstalleerde samba server 4.3.0 onder CentOS linux heeft helaas nog niet de oplossing geboden om de share ook op SMB3_11 niveau te kunnen koppelen met een Windows 10 PC. Uiteraard zal ik hier berichten indien dit wel is gelukt. Samba server software bestaat al sinds de jaren 90 en is een breed toegepaste oplossing waaraan continu hard wordt gewerkt om deze verder te ontwikkelen en uit te breiden met nieuwe functionaliteit. Samba software vindt u ook in NAS apparaten en internet routers die bestandsdeling middels een aangesloten USB harddisk bieden en nog meer apparaten, en op professioneel niveau uiteraard in volwaardige linux bestandsopslagservers.

Referenties:
http://answers.microsoft.com/en-us/insider/forum/insider_wintp-insider_web/fix-windows-10-and-network-share-problems/f9b6d62d-839f-49a4-8fe9-7becc01aa911?tm=1435842396469
https://lime-technology.com/forum/index.php?PHPSESSID=99ce3bd93cc841a1ed355f56bef9a5a0&topic=37835.15
https://lists.samba.org/archive/samba/2015-September/193886.html
https://support.microsoft.com/en-us/kb/2696547
https://www.samba.org/samba/latest_news.html#4.3.0

De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en adviezen op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina.

SMTP Smarthost van KPN gaat per 9 november uit –

KPN heeft zeer recentelijk in een mailing per post laten weten aan hun internet klanten dat er per 1 oktober 2015 een wijziging zou gaan plaatsvinden. De SMTP smarthost die men altijd heeft kunnen gebruiken middels bijvoorbeeld smtp.kpn-officedsl.nl of mail.planetpro.nl zou uitgeschakeld gaan worden. Er zal na doorvoeren van deze wijziging geen smarthost meer beschikbaar zijn voor KPN internet gebruikers.

Update: Controle na 1 oktober 2015 wees uit dat de SMTP smarthost niet uitgeschakeld is. Bij controle van informatiepagina kpn.com/mail blijkt dat KPN de datum heeft opgeschoven naar 9 november 2015. Of na die datum de server daadwerkelijk uit zal gaan is nog maar de vraag, maar blijft uiteraard wel de huidige mededeling. Vroeg of laat kan de uitschakeling gaan plaatsvinden.

Verdere informatie over de situatie na daadwerkelijk uitschakelen:

Er blijft hierna wel een SMTP server mail.kpnmail.nl aanwezig, maar dan alleen voor de eigen domeinen van KPN zoals planet.nl, kpnmail.nl, hetnet.nl enzovoorts. Heeft u zo’n adres, dan moet u de instellingen van uw email programma wijzigen, zie kpn.com/mail

Het uitschakelen van de smarthost heeft met name voor bedrijven die een eigen emailserver op kantoor hebben draaien gevolgen indien de internet verbinding hiervan via KPN loopt en men dus momenteel de SMTP smarthost gebruikt.

KPN blokkeert niet meer de uitgaande SMTP poort 25 dus men kan nu zonder smarthost wel verzenden via de zakelijke ADSL aansluiting met een eigen emailserver. In deze configuratie vallen problemen echter naar mijn ervaring wel te verwachten bij de spamfilters van de ontvangers van emailberichten.

Om spam blokkering te proberen te voorkomen moet men tenminste alvast het reverse DNS pointer adres door KPN laten wijzigen dat correspondeert met de naam waarmee door de SMTP server op het HELO commando wordt gereageerd. Dit door een email te sturen aan het zakelijkinternet@… adres van KPN met onderwerp “aanpassen PTR record”, zo vermeldt de verstuurde brief. Tenminste bij één klant heeft KPN de gevraagde wijziging echter niet doorgevoerd en blijft de reverse lookup resulteren in “static.kpn.net”.

Ook de forward DNS lookup van deze hostnaam naar het IP adres van de internet verbinding moet uiteraard kloppen om hopelijk strenge spamfilters tevreden te stellen.

Een alternatief kan zijn om de SMTP server van uw hosting bedrijf te gaan gebruiken met een geldige SMTP authenticatie account. Nadeel hiervan is wel dat de uitgaande email berichtenstroom zal worden toegevoegd aan uw data quotum bij het hosting bedrijf.

De wijziging verrast me eigenlijk enigszins. Ik ben benieuwd of dit fenomeen ook bij andere grote internet providers zal gaan voorkomen. Ik verwacht op dit moment eigenlijk niet dat dit zal gaan gebeuren.





De informatie zoals beschikbaar gesteld op deze website is puur informatief bedoeld en met uiterste zorgvuldigheid samengesteld. Voordat u eventuele tips en adviezen op deze website uitvoert moet u zich wel bewust zijn dat dit ten alle tijde geheel voor uw eigen risico is, Knaap IC kan hiervoor geen aansprakelijkheid accepteren. Het is niet toegestaan zonder uitdrukkelijke toestemming van Knaap IC kopieën te maken en/of te publiceren van de tekst en informatie op deze website. Vindt u de informatie nuttig en wilt u deze onder de aandacht brengen bij bezoekers van uw eigen website of blog, verzorgt u dan uitsluitend een link naar de betreffende pagina.