Category Archives: Security

Windows NLB und NIC Teaming im Unicast Modus

Posted on by

Hallo Leutz,

wie jedem NLB/Cluster Admin bekannt sein sollte, kann man ein Windows NLB Cluster im Unicast oder Multicast Modus betreiben. Beide Modi haben ihre Vor- und Nachteile, wobei die Empfehlung eigentlich bei Multicast liegt. Multicast ist die “saubere” Variante, kann aber Probleme bei der Switch-Konfiguration bereiten. Der Switch muss entsprechend fuer die Verwendung von Multicast Paketen konfiguriert sein.

Kurzer (sehr kurzer) Ausblick zu Multicast und Unicast NLB:
Unicast: Jeder Adapter im NLB Cluster bekommt eine Shared MAC-Adresse
Multicast: Jeder Adapter im NLB Cluster bekommt eine eigene (Multicast) MAC-Adresse.

Wem das reicht, der kann weiterlesen, wem das nicht reicht, der liest:
http://technet.microsoft.com/en-us/library/cc758834.aspx
http://technet.microsoft.com/en-us/library/cc786562.aspx

Diese Woche bin ich bei einem Kunden um mit diesem diverse Probleme im Windows Cluster und NLB-Bereich zu besprechen, welcher diese bei einigen Kunden hat und hier kam folgende Frage/Problem auf:
Ein Kunde verwendet Network Load Balancing im Unicast Modus und darf kein Multicast einsetzen (sagt die Netzwerkabteilung), der 4 Knoten NLB CLuster hat aber gleichzeitig NIC-Teaming aktiviert und NIC-Teaming und Windows NLB im Unicast Modus = NO GO, es sei denn, man konfiguriert die LAA (Locally Administered Address) in den NIC Teaming Eigenschaften.
Gesgt getan, wir nahmen einen Node aus dem NLB Cluster, installierten die neusten Intel Treiber fuer die Netzwerkkarten, konfigurierten das NLB neu auf diesem Node und konfigurierten dann die LAA des NIC-Teaming mit der virtuellen MAC des NLB-Clusters. Genau darin liegt das “Geheimnis”. Da NIC Teaming ja auch mit virtuellen Adressen arbeitet und der NLB Cluster gerne seine virtuelle MAC der NIC geben moechte, gibt es besagte Probleme im Unicast Modus. Die Kuer liegt also jetzt daran, dem NIC-Teaming die NLB MAC zu verpassen – der Teaming Adapter wird kurz resetet und danach funktioniert auch NIC-Teaming mit Unicast NLB.

Einschraenkend ist zu sagen, dass scheinbar nicht jede NIC und Teaming Software so einwandfrei funktioniert. Informieren Sie sich also vorher ueber den Kartenhersteller und der Moeglichkeiten.

Gruss Marc

ice 2008 – Meine Nachlese und Artikel-Download

Posted on by

Hallo Leutz,

die ice 2008 in Lingen war wieder ein voller Erfolg fuer alle Teilnehmenden und die Veranstalter. Ca. 420 Teilnehmer inkl. Referenten und Veranstalter, super Wetter, Spitzenorganisation, klasse Vortraege und ein prima Catering (mit einer kleinen Einschraenkung: Der Grill Abends war fuer so viele Teilnehmer nicht ausgelegt und ich stand zwei mal ca. 15-20 Minuten in der Schlange um in der Summe 2 Bratwuerstchen zu ergattern – aber man muss bedenken, alles war for FREE!, also war das schon i. O.)

Ein herzliches Danke schoen an alle Beteiligten der Veranstaltung. Macht weiter so! Bis naechstes Jahr, ob als Teilnehmer oder Referent, ist erst einmal egal, Hauptsache ice 2009!

Meinem Vortrag zu TMG 2008 lauschten ca. 55-65 Teilnehmer und ich denke, das ganze ohne Komplikationen ueber die Buehne gebracht zu haben. Schade nur, dass ich wenige der Neuerungen praesentieren konnte, da einige Informationen noch unter NDA waren und ich lieber weniger berichtet habe, da ich keine genaue Info bekommen habe, welche Informationen NDA sind und welche nicht.

image_192.JPG

Den Vortrag koennt Ihr hier downloaden:
http://www.it-training-grote.de/download/ice2008-tmg.pdf

Gruss Marc

ISA Server 2006 – Enabling Multicast NLB

Posted on by

Hallo ISA Freunde,

wie jedem ISA Admin und Consultant bekannt sein sollte, ist das ISA 2004 / 2006 Enterprise NLB immer Unicast und nicht jeder/jede Komponente mag Unicast. Scheinbar auch nicht VMWare wie die diversen Postings in den deutschen und englischen Newsgroups berichten. Mit Virtual Server kein Problem, aber nicht jeder nutzt Virtual Server!

Seit einigen Wochen gibt es ein Update, welches ISA Server 2006 Enterprise auch Multicast NLB beibringt, die Implementierung ist jedoch sehr aufwaendig.

Mit SP1 hat sich das verbessert und der notwendige Hotfix ist im Service Pack enthalten, aber wie geht es weiter?

Der KB-Artikel vor SP1 beschreibt folgende Vorgehensweise:
http://support.microsoft.com/kb/938550/en-us

Alles in allem sehr aufwaendig. Mit SP1 soll das ganze jetzt einfacher geworden sein…
Mal schauen. Bei einem Kunden hatte ich heute einen ISA 2006 EE Workshop in VMWare-Umgebungen und als wir das NLB aktivierten (im Unicast Modus) gab es besagte Probleme. Also ran an die Umschaltung auf Multicast NLB, aber wie bei SP1? Die Vorgehensweise vor SP1 ist ja klar.
Google ist mein Freund. Also folgendes gefunden:
Tom Shinder: http://blogs.isaserver.org/shinder/2008/07/15/isa-scripting-without-scripting-isa/
ISA Team: https://blogs.technet.com/isablog/archive/2008/07/13/isa-scripting-without-scripting-isa.aspx

Die Vorgehensweise lt. KB-Artikel:
http://support.microsoft.com/kb/938550/en-us

NLB deaktivieren (bei unserem Versuch musste NLB aktiviert sein, da sonst die Fehlermeldung kommt, dass NLB nicht im integrierten Modus laeuft)

Ausfuehren von NLBCLEAR.EXE – Bestandteil von RemoveAllNLBSetting.cmd, welches kostenlos bei Microsoft herunterladbar ist und auf jedem Array Member ausgefuehrt werden muss (unsere Erfahrung zeigt, dass man auch die VIP manuell vom System entfernen kann, ohne NLBCLEAR auszufuehren)

Ausfuehren des Skript aus KB938550 oder SP1 von ISA installieren.

Das Skript aus KB938550 ausfuehren auf dem primaeren CSS (Ermitteln des primaeren CSS (Schema Master, da Schema Erweiterung notwendig ist)) mit Hilfe des Skripts von Jim Harrison (siehe weiter oben – ISA Team Blog) 

ISA NLB erneut aktivieren

ISA Dienste auf allen Array Membern neu starten oder Rechner booten (meine Vorgehensweise)

Danach konnten wir prima mit NLB in unserem Cluster unter VMWare arbeiten.

BTW: Andre Partecke schreibt uebrigens in der deutschen ISA Newsgroup, dass er auch auf Hyper-V Multicast NLB aktivieren musste, um ISA 2006 EE NLB Cluster zum Laufen zu bringen.

Gruss Marc

Windows Server 2008 Vortrag – Deutsche Weiterbildungstage

Posted on by

Hallo Leutz,

im Rahmen des zweiten deutschen Weiterbildungstags in Stadthagen werde ich am 27.09.2008 in der Zeit von 11:00 – 12:00 Uhr einen Vortrag zum Thema Neuerungen und Sicherheitsfunktionen von Windows Server 2008 halten. Weitere Informationen: http://www.deutscher-weiterbildungstag.de/index.php?article_id=21

Die Veranstaltung ist kostenlos. Die gesamte Veranstaltung geht von 11:00 – 17:00 Uhr.

Gruss Marc

Schnelluebersicht Funktionen von Microsoft EFS

Posted on by

Hallo Leutz,

im Rahmen der Vorbereitung auf einen EFS Workshop bei einem Kunden, habe ich eine kleine Microsoft EFS (Encrypting File System) Uebersicht erstellt, da das Thema ja doch recht umfangreich ist.

Hier geht es zum Download:
http://www.it-training-grote.de/download/EFSin30Minuten.pdf

Korrekturen, Ergaenzungen etc. sind erwuenscht – Ich werde das Dokument noch etwas weiter ausbauen, auch wenn Bitlocker mit Vista Einzug erhalten hat, hat EFS immer noch seine Daseinsberechtigung.

Gruss Marc

WLAN Ad Hoc Netzwerk zur gemeinsamen Nutzung von UMTS

Posted on by

Hallo Leutz,

ich sitze hier mit Jens Steinigen am Werbellinsee auf seiner Hazienda (Wohnwagen, Vorzelt und Partyzelt) und wir geniessen die Ruhe eines Campingplatzes.

Da es sehr ruhig ist und es regnet, dachten wir uns, ein bissle Internet hat noch niemanden geschadet.

Also unsere beiden Notebooks raus geholt und versucht, ueber mein Notebook mit UMTS-Karte die Internetverbindung zu sharen. Das Problem war hier, das wir beide nur eine WLAN Verbindung hatten und eine UMTS Verbindung. Also nach etwas basteln haben wir es hinbekommen, mit einer WLAN Ad Hoc Verbindung zwischen unseren Rechnern und dem ICS (Internet Connection Sharing), eine gemeinsame UMTS Verbindung einzurichten. Das Geheimnis des Erfolges lag wohl daran, fuer die UMTS Verbindung die Datei- und Druckerfreigabe, sowie den MS Client zu aktivieren. Auf diese Idee kam Jens, nachdem die ersten Versuche scheiterten.

Jetzt haetten wir den ganzen Traffic noch ueber meine VM mit installiertem Forefront TMG weiterzuleiten, aber den Aufwand haben wir uns dann doch gespart.

Daraus ist mal wieder eine kleine Anleitung entstanden. Lest selbst:
http://www.it-training-grote.de/download/wlan-umts.pdf

Gruss Marc

ISA Server 2006 – OA, OWA FBA RADIUS OTP, EAS mit einer IP

Posted on by

Hallo ISA Freunde, aeh Forefront Freunde,

bei ISA Server 2004 wurden immer zwei Listener mit zwei IPs und zwei Zertifikaten fuer die Veroeffentlichung von FBA und Basic Auth benoetigt, es sein denn, man verfolgte folgenden genialen Ansatz:

“ISA Server 2004: Supporting Both Basic and Forms-based Authentication with a Single External IP Address and Web Listener (v1.1)” http://www.isaserver.org/tutorials/2004pubowamobile.html

Der Artikel macht sich das Konzept zu nutze, einen Listener auf einen weiteren LOCALHOST Listener weiter zu leiten.

Mit ISA Server 2006 ist das nicht mehr zwingend notwendig, wenn FBA und Basic Auth ueber einen Listener verwendet werden soll, da ISA Server 2006 ein Fallback von FBA auf Basic Auth macht. Leider funktioniert das nicht bei OA (Outlook Anywhere) und NTLM.

Bei einem Kunden kam heute die Anforderung, einen ISA mit einem Bein in der DMZ fuer OA, OWA RADIUS OTP und EAS zu veroeffentlichen.

Wir haben einige Zeit gebastelt und es dann schliesslich hinbekommen mit drei Exchange Web Client Veroeffentlichungen und nur einem Listener und einer Public IP und einem Public Cert, sowohl OA (Outlook Anywhere) zu veroeffentlichen, EAS (Exchange Active Sync) und OWA mit RADIUS OTP und Kerberos Constrained Delegation fuer Aladdin Smartcards.

Dem Prinzip zu Grunde gelegt ist zu 90% der Artikel von Tom und Kai fuer ISA 2004.

Wer das ganze also auch mal implementieren muss, denkt an den ISA 2004 Artikel oder fragt mich. Im Rahmen meiner beruflichen Taetigkeit bin ich gerne bereit zu helfen. Einen Artikel fuer www.msisafaq.de zu erstellen, werde ich leider aus Zeitgruenden nicht in den naechsten Monaten realisieren koennen.

Gruss Marc

Windows Internals Beta Exam 71-660

Posted on by

Hallo Leutz,

Wieder was neues von der Beta MC* Front. Uebernaechste Woche mache ich mit Jens Steinigen zusammen die EBS Beta Pruefung (durch die ich bestimmt durchfalle), aber was soll’s, etwas Spass muss sein.

Dann habe ich mich fuer den kommenden Freitag zur 71-660 angemeldet, eine richtige Pruefung fuer Maenner um festzustellen, wieviel Ahnung von Windows Man(n) denn wirklich hat. Hier wird sich die Spreu vom Weizen trennen und ich feststellen, dass ich nur Spreu bin :-). Nein, ich hoffe natuerlich nicht, auch wenn ich mir keine grossen Chancen ausma(h)le.

Zu den Inhalten:

Skills Being Measured

This exam measures your ability to accomplish the technical tasks listed below.  The percentages indicate the relative weight of each major topic area on the exam.

 Identifying Architectural Components (16%)  ·         Identify memory types and mechanisms. o    This objective may include but is not limited to: nonpaged vs. paged; memory descriptor lists; physical memory vs. logical memory; address translation; heap memory.·         Identify I/O mechanisms. o    This objective may include but is not limited to: Plug and play; IRQL levels; I/O request packets (IRPs); I/O manager; device stacks; filter drivers; timers·         Identify subsystems. o    This objective may include but is not limited to: Object manager; cache manager; process manager; memory manager; security reference monitor·         Identify processor functions and architecture. o    This objective may include but is not limited to: Interrupts; processor affinity; system service calls; 64-bit vs. 32-bit·         Identify process and threads. o    This objective may include but is not limited to: Process environment block (PEB), thread environment block (TEB); thread scheduling, states and priorityDesigning Solutions (15%) ·         Optimize a system for its drivers. o    This objective may include but is not limited to: driver signing; identifying filter drivers; timers and deferred procedure calls (DPCs); system worker threads; Driver Verifier·         Design applications. o    This objective may include but is not limited to: Application Verifier; gflags; kernel mode vs. user mode threads; structured exception handling (SEH); memory mapped files; authentication mechanisms; synchronization primitives·         Deploy compatible applications. o    This objective may include but is not limited to: Application Verifier; Application Compatibility Toolkit (ACT); gflags·         Identify optimal I/O models for applications. o    This objective may include but is not limited to: synchronous vs. asynchronous I/O; I/O completion ports; multithreaded applicationsMonitoring Windows (14%) ·         Monitor I/O latency. o    This objective may include but is not limited to: Perfmon; disk I/O; application performance; device I/O·         Monitor I/O throughput. o    This objective may include but is not limited to: filter drivers; cache manager; xperf; kernrate·         Monitor memory usage. o    This objective may include but is not limited to: nonpaged vs paged pool; user memory vs. kernel memory; debugging memory leaks; memory corruption; heap corruption·         Monitor CPU utilization. o    This objective may include but is not limited to: thread time; kernel vs. user time; thread states; Perfmon; WinDbg; Xperf; Kernrate·         Monitor handled and unhandled exceptions. o    This objective may include but is not limited to: Adplus; Dr Watson; Windows Error Reporting (WER); default post-mortem debuggers; exception handlingAnalyzing User Mode (18%) ·         Analyze heap leaks. o    This objective may include but is not limited to: UMDH (User-mode dump heap); user mode stack tracing; WinDbg; Application Verifier; Gflags; Perfmon·          Analyze heap corruption. o    This objective may include but is not limited to: Page heap; WinDbg; Application Verifier; Gflags·         Handle leaks. o    This objective may include but is not limited to: Procmon (Process Monitor); Perfmon; WinDbg; htrace; Process Explorer; Handle.exe·         Resolve image load issues. o    This objective may include but is not limited to: Tlist; loader snaps; dll dependencies; application manifests; 64-bit applications vs. 32-bit applications; tasklist·         Analyze services and host processes. o    This objective may include but is not limited to: sc.exe; services; service dependencies; service isolation; services startup types; service registry entries·         Analyze cross-process application calls. o    This objective may include but is not limited to: RPC; LPC; shared memory; named pipes; process startup; winsock·         Analyze the modification of executables at runtime. o    This objective may include but is not limited to: WinDbg; image corruption; detours; hot patches·         Analyze GUI performance issues. o    This objective may include but is not limited to: spy++; message queues; Application Verifier; TraceTools; ATL Trace; Task ManagerAnalyzing Kernel Mode (19%) ·         Find and identify objects in object manager namespaces and identify the objects’ attributes. o    This objective may include but is not limited to: Winobj.exe; symbolic links; object namespace; security descriptors; global namespace; device objects; file objects; object manager; semaphores·         Analyze Plug and Play (PnP) device failure. o    This objective may include but is not limited to: removal failures; global device list; WinDbg; device adds and removes; power handling·         Analyze pool corruption. o    This objective may include but is not limited to: Driver Verifier; WinDbg; pool tags; Poolmon; guard pages·         Analyze pool leaks. o    This objective may include but is not limited to: WinDbg; poolmon; Driver Verifier; crash dump analysis; paged and nonpaged pool; cache trimming·         Isolate the root cause of S state failure. o    This objective may include but is not limited to: System power states and transitions; power IRP handling·         Analyze kernel mode CPU utilization. o    This objective may include but is not limited to: kernrate.exe; WinDbg; deadlocks; Performance monitoring; event tracingDebugging Windows (18%) ·         Debug memory. o    This objective may include but is not limited to: Heap; pool; virtual memory vs. physical memory; stack; analyzing crash dumps and user dumps·         Identify a pending I/O. o    This objective may include but is not limited to: WinDbg; deadlocks; I/O manager; IRP processing·         Identify a blocking thread. o    This objective may include but is not limited to: thread state; locks; synchronization objects·         Identify a runaway thread. o    This objective may include but is not limited to: thread priorities; processor affinity; Perfmon; kernrate·         Debug kernel crash dumps. o    This objective may include but is not limited to: WinDbg; DPCs; Assembler; forcing kernel crash dumps; trap processing; register usage; call stack composition (prolog/epilog); processes vs. threads·         Debug user crash dumps. o    This objective may include but is not limited to: dump types; forcing user crash dumps; gflags; system resource utilization (CPU, disk, network; memory)·         Set up the debugger.o    This objective may include but is not limited to: WinDbg; physical connection (USB, rs-232, 1394); boot.ini; bcdedit; remoting; NMI; debugging system processesNa dann, Gruss Marc

ISA Server 2006 SP1 ist verfuegbar

Posted on by

Hallo ISA Freunde,

ISA Server 2006 SP1 ist verfuegbar.

Download:

http://www.microsoft.com/downloads/details.aspx?FamilyID=d2feca6d-81d7-430a-9b2d-b070a5f6ae50&DisplayLang=en

Neuerungen:

http://www.isaserver.org/tutorials/ISA-Server-2006-Service-Pack1-New-features-enhancements.html

http://www.it-training-grote.de/blog/?p=121

http://blogs.technet.com/isablog/archive/2008/05/23/isa-server-2006-service-pack-1-features.aspx

Gruss Marc

Exchange 2007 CCR Cluster mit HTS/CAS NLB

Posted on by

Hallo Leutz,

nachdem Nicki mir heute Abend vor der Fahrt von Lueneburg nach Hause sagte, schreib doch mal eine “Success Story” ueber die heutige Cluster Implementation, so lasse ich mir das nicht nehmen.

Worum geht es: Implementierung eines Exchange 2007 CCR Clusters auf Windows Server 2008 mit redundanten CAS und HTS Servern per NLB in einem Front End / Back End – DMZ Firewallverbund bei der Fa. Werum in Lueneburg.

Das Kochrezept:

Gestartet gegen 08:00 – Ende gegen 18:30
Dank Nickis Vorbereitung waren die CAS und HTS Server schon installiert und mussten nur noch konfiguriert werden
Installation und Konfiguration der zwei Windows 2008 Cluster Knoten (Netuwerk, Heartbeat usw.)
Installation Failover Cluster Dienste als MNS Cluster
Failover Tests
Einrichtung des File Share Whitness
Installation der Exchange Active / Passive Cluster Knoten
Konfiguration Transport Dumpster
Failover Test
Verschieben einiger Mailboxen zum Testen
HTS und CAS Anpassung (Netzwerkkarten, Sicherheit, Verbindungsreihenfolge usw.)
Mittagessen bei Rother (Geheimtipp fuer Kenner der deftigen Kueche)
NLB Aktivierung auf dem ersten Knoten
NLB Aktivierung auf dem zweiten Knoten
NLB Konfiguration fuer die notwendigen Ports (inkl. SMTP seit SP1 von Exchange 2007 moeglich)
NLB Funktionstest
Aktivierung der Enterprise CA fuer SAN Enrollment
Anforderung von entsprechenden SAN Zertifkaten fuer Exchange (Mit der EMS)
Test von OWA und OA im LAN
Anpassung diverser URL und Server in der Exchange Verwaltungskonsole um die neuen MBX/CAS/HTS Server zu verwenden
Einrichtung neuer Empfaengerkonnektoren
Anpassung der Firewall auf die neue IP-Struktur (haben wir von Kollegen machen lassen)
Anpassung ISA Server OWA und OA Veroeffentlichung auf die CAS/HTS NLB Adressen
Test Mailflow, OWA/OA von Extern

Das war im groben und ganzen der Ablauf. Es hat alles! ohne Probleme funktioniert (mal abgesehen von einem kleiner Haenger von mir bei der NLB Konfiguration von Windows Server 2008), was der guten Vorbereitung von Nicki und mir zuzuschreiben ist (stinkt Eigenlob eigentlich?) und natuerlich einer kompletten Artikelserie von www.msexchange.org von Henrik Walther, der sehr gut die ganze Einrichtung beschreibt und ausserdem war das ja nicht meiner erster Exchange/Windows Cluster 🙂

Gruss Marc