Category Archives: Security

Domaenen und -Exchange Migration

Posted on by

Hallo Leutz,

fuer einen meiner kleineren Kunden habe ich gestern und heute den ganzen Tag per VPN Zugang die Backoffice Struktur migriert.

Ziel war das Update der Domaenencontroller von Windows Server 2003 auf Windows Server 2008 R2. Anschliessend sollte der Exchange Server 2007 auf Exchange Server 2010 RC migriert und fuer Hyper-V Server SCVMM 2008 R2 installiert werden.

Hier die Schritte in Kuerze (besonders spannend war die Exchange Migration zu 2010, da hier bei mir kaum Erfahrungswerte vorliegen, ausserhalt in meiner Testumgebung):
Sicherung der Server mit DPM 2007
WINDOWS DOMAENE:
ADPREP /FORESTPREP usw. auf dem Windows 2003 DC mit Schema FSMO
DCPROMO auf Windows Server 2008 R2
Verchieben der FSMO Rollen und Zertifikate auf den neuen DC
Herunterstufen des alten DC – Replikation abwarten
DNS Server umstellen in DHCP und statisch auf den Servern
SCVMM 2008 R2
Na ja, einfach installieren, wie immer keine Besonderheiten, daher ein paar allgemeine Links:
http://www.it-training-grote.de/blog/?p=137
http://www.it-training-grote.de/download/scvmm.pdf
http://www.it-training-grote.de/download/SCVMM2008-update-R2.pdf
http://www.it-training-grote.de/download/scvmm-db-move.pdf
EXCHANGE SERVER 2010
Hier war es schon etwas spannender:
Vorhandenen Exchange Server 2007 mit SP2 ausstatten
Exchange Server 2010 RC Voraussetzungen installieren
Exchange Server 2010 RC in die vorhandene AD/EX Umgebung installieren (Setup ganz normal anstarten)
Postfaecher ueber EMC verschieben
Connectoren anpassen
Oeffentliche Ordner verschieben per Script
Zertifikate von eigener Windows CA ausstellen fuer den Exchange und ggfs. zum ISA kopieren
http://www.it-training-grote.de/download/ex-certificate.pdf
ISA Server OWA/OA/AS-Publishing anpassen – Achtung hier: Die OWA Regel muss noch um den Pfad /ECP fuer das Exchange Control Panel erweitert werden
Ausgehende SMTP Rule umstellen
OAB und andere Eintraege von Exchange Alt auf Exchange Neu umstellen. Anleitung:
http://www.it-training-grote.de/download/exchange-migration.pdf (Teile davon)
Danach den alten Exchange ausschalten und gucken ob alles noch funzt – Funzte!
Exchange Server 2007 deinstallieren (SETUP.COM /MODE:uninstall …..)
Fertig.

Scheint in Summe ein ganz durchgaengiger Prozess in KMU-Umgebungen zu sein und unterscheidet sich erst mal nicht so sehr von Exchange Server 2007.

Gruss Marc

Publishing Terminal Server 2008 Gateway mit ISA Server 2006

Posted on by

Hallo Leutz,

im Rahmen der Terminalserver Implementierung bei meinem Kunden, haben wir gleich noch das TS Gateway mit ISA Server 2006 veroeffentlicht. Einige Besonderheiten gab es noch mit der Veroeffentlichung des TS NLB ueber den Session Broker mit ISA Server 2006. Daraus ist folgendes Bilderbuch entstanden:

 http://www.it-training-grote.de/download/TS-Gateway-ISA2006.pdf

Gruss Marc

TS Windows Server 2008 und CRL Checking

Posted on by

Hallo Leutz,

heute hat mich bei einem Kunden die Mutual Authentication mit Server Zertifikaten in einer Windows Server 2008 Terminal Server Umgebung und TS Gateway etwas aufgehalten. Konkrewt hatten wir Probleme mit dem RDP Verbindungsaufbau von nicht Domaenen PC zu der TS Farm, wegen fehlender RootCA Zertifikate, fehlender ISA Richtlinien, IIS Berechtigungsproblemen und mehr 🙁 Nachdem ich das Problem loesen konnte, habe ich das ganze fuer mich und den Kunden dokumentiert und daraus ist der folgende Artikel entstanden:

http://www.it-training-grote.de/download/ts-rdp-crl.pdf

Gruss Marc

Enabling ISA Server 2006 Multicast – Fortsetzung

Posted on by

Hallo Leutz,

gestern habe ich bei einem ISA EE Kunden mit drei ISA Arrays ISA NLB von Unicast auf Multicast umgestellt und dabei hat uns der FSMO ADAM Schema Role Owner kurz etwas aufgehalten 🙂

Bisherige Informationen zum Thema ISA Server 2006 Multicast findet Ihr hier:
http://www.it-training-grote.de/blog/?p=167
http://www.it-training-grote.de/blog/?p=169
http://www.isaserver.org/tutorials/How-change-Microsoft-ISA-Server-2006-NLB-Unicast-Multicast.html

Gesagt getan, NLB aufgeloest und NLBCLEAR ausgefuehrt. Danach dann das Script ausgefuehrt, welches ein ADAM Schema Update auf dem FSMO Schema Role Owner durchfuehren muss. Aber wie, wenn der FSMO Owner an einem anderen Standort liegt und die S2S Verbindung nicht mehr da ist? Standardmaessig liegt der FSMO Owner auf dem ersten Server, welcher im Enterprise installiert wurde.

Ermitteln kann man den FSMO Owner u. a. mit einem von Jim Harrison erstellten Script(http://blogs.technet.com/isablog/archive/2008/07/13/isa-scripting-without-scripting-isa.aspx), aber wir nahmen an, dass der FSMO Role Owner auf einem der CSS am upzudateten Standort liegt.
Also flugs die S2S Verbindung wieder eingerichtet und mit dem ADAM Schema SnapIn den FSMO Owner temporaer an den umzustellenden Standort verschoben wie die folgenden Screenshots zeigen:

  

Die durchgefuehrten Schritte hier nochmal in Kuerze:
Backup Rechner erstellen (insbesondere CSS)
ISA Konfig Backup
IP Adressen VIP NLB notieren
Netzwerknamen notieren
Umstellung Multicast mit/ohne IGMP
Status anzeigen: cscript kb938550.wsf /array:arrayname /show
NLB in ISA deaktivieren
NLBCLEAR auf allen ISA Nodes ausfuehren
ARP Cache auf allen beteiligten Systemen loeschen
SP1 muss auf allen CSS und ISA Knoten installiert sein
Auf dem primaeren CSS das Script ausfuehren
MIT IGMP: cscript kb938550.wsf /array:NameOfArray /nlb:igmp /net1:ArrayNetwork
OHNE IGMP: cscript kb938550.wsf /array:NameOfArray /nlb:multicast /net1:ArrayNetwork
UNICAST: cscript kb938550.wsf /array:NameOfArray /nlb:unicast /net1:ArrayNetwork
Array Konfiguration syncen
NLB in ISA wieder aktivieren
Array Konfiguration syncen
Server booten (meine Vorgehensweise)
Multicast MAC an Switchen fest konfigurieren

Gruss Marc