Hallo Leutz,

heute mal wieder ein Beispiel aus der Praxis: Von Montag bis Donnerstag war ich bei einem Kunden, bei welchem ich letztes Jahr bereits zwei ISA Server 2006 an zwei Standorten implementiert hatte, welche bei dem Termin diese Woche per NLB hochverfuegbar gemacht werden sollten, indem zwei zusaetzliche Array Knoten hinzugefuegt werden.

Montag: 09:20 – 18:00 Uhr 

Gesagt, getan. nach 1 1/2 Stunden Fahrt (ich bin schon am FR aus EW angereist, da ich am Wochenende einen MCITP Kurs gegeben hatte), ging es dann kurz nach 09:00 Uhr los, die Lage sichten und den ersten ISA Sever 2006 im Array installieren. Soweit auch kein Problem 🙂 ISA Konfig checken usw. ISA am anderen Standort vorbereiten.

Nebenbei haeuften sich noch zahlreiche kleine Fragen rund um ISA Server, MOM und Exchange Server.

Dienstag – 07:40 – 23.50

ja, die Zeit sagt es schon. Es klappte nicht. Nachdem wir dann nach zahlreichen Vorbereitungen NLB scharf schalteten, ging erst mal gar nichts. Die Summe der langen Gesichter war lang 🙂 . Karten deaktivierten sich von alleine, auf einmal hatte eine Karte wieder DHCP Einstellungen und so wirklich wollten die beiden ISA am Standort Bad Pyrmont nicht. Ein anderer externer Consultant, welcher sich mit der Switch Armee auskannte, hatte auch keine Loesung. Wir vermuteten Probleme mit dem ISA NLB Unicast und vieles vieles mehr. Dieses vieles vieles mehr probierten wir dann auch aus und nix funktionierte. Gefrustet fuhren wir alle nach Hause. ich fiel in das Zimmer der BFW Unterbringung, arbeitete noch kurz und dann ab ins Bett, schlecht geschlafen und dann ….

Mittwoch 07:35 – 19:50 Uhr 

..  um 06:00 Uhr wieder hoch, fruehstuecken und tagsueber probierten wir die NLB Aktivierung noch drei mal und nix funzte. Einmal saegten wir uns selbst den Ast ab und booteten einen ISA im Array, obwohl der andere aus dem NLB aufgrund eines Problems mit der Netzwerkkarte ausgestiegen war (Merke: Ein NLB Cluster ohne Node ist auch nur Minimal redundant 🙂 ). Also was anderes machen und bis 17:00 Uhr wegen der Anwender warten und siehe da, alles funzte einwandfrei ohne das jemand was geaendert hat (Eidesstattliche Erklaeung aller Beteiligten). Wir haben dafuer bis heute keine Erklaerung 🙁

Donnerstag 07.45 – 17:40 Uhr

Alles so halbwegs im gruenen Bereich. Alle gluecklich, bis wir nach dem Mittag den zweiten Knoten in Weser-Ems zum NLB Cluster brachten und nach und nach gar nichts mehr ging und mehrere Hundert User gar nichts mehr machen konnten. Raetselraten war angesagt, bis wir feststellten, dass wir als VIP auf dem einen Array in Weser-Ems die gleiche IP wie fuer ein NLB Array in Bad Pyrmont vergeben haben. Das war fuer uns alle peinlich, zumal mindestens 7 Augen (einschliesslich mir) die Installation am Beamer beobachteten. Nachdem wir das Problem geloest hatten, funzte auch das Array, bis auf externem OWA, der spielte Ping Pong, bis wir feststellten, dass der Listener noch Probleme hatte mit den IPs, an welchen das OWA Zertifikat gebunden war.

Offen ist noch die Frage des NLB Arrays fuer das VPN. ISA nimmt immer den gleichen ISA Array Knoten fuer das NLB, auch wenn Split Scopes eingesetzt werden. was hier krumm laueft, muessen wir nochmal checken.

Alles in allem bin ich in den 4 Tagen wieder um mehrere Jahre aelter geworden. Immer wenn was nicht funzte, suchte ich den Fehler am ISA, aber (wenigstens) diesmal war ISA seitig alles sauber.

Trotzdem war es lustig. Es macht Spass, mit Admins zu arbeiten, die sehr motivert sind, tolle Ideen haben und selbst Interesse an der Sache zeigen. So war die Installation auch gleich als Mini Workshop zu sehen, da mein Latop staendig am Beamer hing und auch ich habe wieder einiges gelernt – schliesslich installiere ich ja auch nicht jeden Tag ISA 2006 Enterprise Cluster und wenn ich mich richtig erinnere, war das mein vierter Produktiv ISA 2006 EE Cluster, mal abgesehen von Schulungen und Praesentationen.

Hier mal ein Bild von den Admins aus dem Buero in Bad Pyrmont von heute Abend, als wir nach ca. 50 Stunden Arbeit an vier Tagen (fast) zufrieden etwas abhaengen konnten.

An was man(n) sonst noch denken sollte:

Vorher Komplettbackup

Windows 2003 SP1 Minimum

Array ISA konfigurieren

Routen pruefen

IP Konfiguration festlegen

VIP nach NLB Aktivierung pruefen

FQDN ISA CSS pruefen

Webproxy Client + Firewall Client INTERN VIP FQDN aendern

OWA Veroeffentlichung auf VIP stellen und dedizierte IP der NICs

Intern VIP FQDN im DNS + Repl alle Server

Sekundären Konfigurationssspeicherserver eintragen

Serververoeffentlichungen auf VIP umstellen

Client VPN – Split Static VPN Scope

Zertifikate exportieren und auf zweitem Knoten importieren

Regel „Konfigurationsspeicherserver replizieren“

BGINFO installieren

WSUS anpassen

Bitdefender Alarmierung – E-Mail aendern

Bitdefender für ISA auf dem zweiten Knoten installieren
Publishing Update auf allen neuen Nodes installieren
Reliability Update auf allen neuen Nodes installieren
Routen auf ISA Knoten setzen

Exchange Forms Based Dateien anpassen auf Firmendesign auf dem zweiten ISA Knoten 

HOSTS Datei auf ISA anpassen

MOM Agent installieren

Antivirus installieren

MOM Agent installieren

ISA Regel RPC

FSMO Placement

Blacklisten installieren

So, das war mal ne kleine Liste der Taetigkeiten.

Gruss Marc