SQL Server 2008 Failover Cluster Installation

Hallo Leutz,

fuer einen Kunden muss ich demnaechst einen SQL Server 2008 Cluster einrichten, bisher hatte ich aber nur 2 Cluster mit SQL Server 2005 unter Windows Server 2003 eingerichtet und bin da nicht so der Experte, so dass ich mir dachte, dass musst Du noch ein bissle trainieren, denn das Failover Clustering in Windows Server 2008 hat sich ja an einigen Punkten veraendert, wie ich bei meinen bisherigen Exchange 2007 Cluster Installationen festgestellt habe, so dass ich gestern Nacht und heute Abend mal getestet habe, wie sich ein SQL Server 2008 in einem Windows Server 2008 Failover Cluster installieren laesst. Bis auf einige Stolperfallen war der Prozess jedoch fast selbsterklaerend. Ich habe die einzelnen Schritte mal zu Papier gebracht und einige Screenshots erstellt.

http://www.it-training-grote.de/download/sql2008-cluster.pdf

Gruss Marc

Router sein ist manchmal schwer…

…Tach Allerseits,

bei meiner ISA-Implemantation in Oberhausen “spuckte” uns ein Router ein wenig in die Suppe. Das Netz meines Kunden war bis heute durch einen Router mit integriertem IP-Paketfilter vom Internet getrennt. Dies wurde von uns durch eine Back-to-Back-Lösung mit einem ISA2006SE-Server ergänzt. Ich traf heute morgen die Hardware in bestem Zustand an, OS inkl. aktuellem Patchlevel zu allen Schandtaten bereit. Flux das LAN-Kabel des Routers gezogen und mit der externen Seite des ISAs verbunden (erst direkt aufgepatcht, später testweise mit zwischengeschaltetem Switch). Die Back-to-Back-Lösung sollte somit auch eine physikalische Trennung erfahren, folgende Topologie wurde von uns angestrebt:

Internet – Router (mit 2 ISP-Anbindungen) – ISA – Intranet

An den Router des ISPs sind zwei externe ADSL-Modems der Telekom angeschlossen. Als wir das LAN-Kabel des Routers zogen und neu patchten, stellte sich folgender (für mich zumindest) äußerst merkwürdiger Effekt ein: die Modems verloren die Synchronisation mit der Gegenüberstelle. Flux das LAN-Kabel auf den Core-Switch des Kunden zurückgepatcht – beide Modems syncen einwanfrei. Dieses Verhalten ist reproduzierbar. Es wurde kein Crossover-Kabel zwischen Router und ISA verwendet. Ein eigenständiger Switch zwischen Router und ISA schaffte keine Abhilfe. Ich hätte in dem Fall gedacht, das die Modems “aus Sicht” des Routers extern sind und nichts mit der internen Verkabelung zu tun haben. Aber sobald ich den Router vom Core-Switch runternehme ist Ende im Gelände angesagt, der Sync mit der DSL-Gegenstelle geht ins Nirvana (jau, wir haben wirklich lange gewartet).

Als Notlösung (uns wäre die physikalische Trennung lieber gewesen) haben wir folgendes gemacht: Der Router bleibt mit seiner LAN-Seite auf den Core-Switch gepatcht, der ISA mit seiner externen NIC ebenfalls. Die verwendeten IPs der internen NIC des Routers, sowie der externen NIC des ISAs sind aus einem komplett anderen IP-Segment. Wo wir schon keine physikalische Trennung hinbekommen können, haben wir sie wenigstens “virtuell” vollzogen.

Verrückte Geschichte das. Falls hierzu jemand ein paar Infos hat, bin für jede “Erleuchtung” dankbar (hentrup@aixperts.de).

Karsten Hentrup aka Jens Mander…

|<-|

Consulter im Hotel VIII…

…Hallo Allerseits,

endlich wieder ein Beitrag der epochalen Serie “Consulter im Hotel 2009 – Eine Fallstudie von Jens & Jens” – diesmal wieder mitten aus dem “Pütt”. Ich bin nochmals in besagter Ferienwohnung (in Oberhausen) in der Nähe meines Kunden untergebracht. Dieses Mal steht eine zweitägige ISA-Implementation ins Haus. Der erste Tag ging schonmal prima über die Bühne, ein paar weitere Fotos der tollen Ferienwohnung will ich euch aber nicht vorenthalten. Letztes Mal (http://www.it-training-grote.de/blog/?p=493) habe ich ja die hiesige Fauna präsentiert, nun mach ich unter anderem Bekanntschaft mit der ortsansässigen Flora:

Karsten Hentrup… aka Jens Mander…

|<-|

Uups, I did it again -Notebook mit 8 GB RAM – Part II

Hallo Leutz,

nach wochenlangen Stress mit meinem 8 GB Notebook von abihsoT, habe ich jetzt nach langem Suchen nochmal den Versuch gewagt, ein Notebook mit 8 GB RAM zu kaufen.
Nachdem Lenovo nach Bekunden eines guten Freundes von mir, auch keine hundertprozentige Zusage fuer 8 GB Notebooks gibt (und keine mit 14″ und 8 GB im Angebot hat) und HP keine 64 Bit Treiber hat, (Danke an Karsten Hentrup und seinem Hardware Dealer), aber einige Modelle anbietet, habe ich mir heute ein Dell Latitude E6400 gekauft: http://www1.euro.dell.com/content/products/productdetails.aspx/laptop_latitude_e6400?c=de&l=de&s=pad&cs=RC1077931

Kleiner Tipp: Auf der Dell Webseite das gewuenschte Modell aussuchen und dann mit der Vertriebs-Hotline telefonieren, da habe ich einen um knapp 100  EUR guenstigeren Preis als im Web bekommen, so dass ich jetzt nur fast den Gegenwert der derzeit vieldiskutierten “Abwrackpramie” fuer mein Notebook aufwenden musste 🙁

Die Historie ..
von 2 auf 4 GB, aaeeh 3 GB:
http://www.it-training-grote.de/blog/?p=33
Erstes Notebook mit 8 GB von abihsoT:
http://www.it-training-grote.de/blog/?p=393

Drueckt mir die Daumen, dass das endlich funzt.

Gruss Marc

Der ISA ist nicht schuld – Fallbeispiel 9998938:

Tach Allerseits… 

Vor zwei Wochen bin ich nochmal in die Verlegenheit gekommen eine ISA-2006-Inplace-Migration durchzuführen. Der Kunde sitzt bei mir vor Ort in Aachen und das wirklich besondere an ihm ist, das ich ihn innerhalb von 10 Minuten zu Fuß erreichen kann!

Vor Ort installiert war eine ISA-2004-SE. Ein Upgrade auf ISA-2006-SE war vom Kunden gewünscht. Zielsetzung war insbesondere die Password-Change-Option auf dem mit FBA versehenen Weblistener. Weitere Konfigurationswünsche: Regelwerkoptimierung, Patchlevel aktualisieren, SSL-Bridge statt Serververpublish für OWA und HTTPS/RPC alias Outlook Anywhere.

Als erstes haben wir die aktuelle ISA-2004 Konfiguration, sowie die vorhandenen Logfiles gesichert (auf einem hausinternen Fileserver). Danach wurde das OS-Patchlevel geradegezogen. Nach einem leckeren Mittagessen vor Ort warfen wir die ISA-2006-SE-CD ins Laufwerk und starteten das Inplace-Upgrade. Mir persönlich wäre eine Neuinstallation der Kiste lieber gewesen um manche Altlasten in Sachen Softwareinstallation nicht mitzunehmen (z.B. ist – warum auch immer – auf der Maschine NLB auf sämtlichen NICs aktiviert gewesen), dies ist aber manchmal leider nicht möglich. Nach der Installation noch flott das ISA-2006-SP1 draufgesetzt. Finger weg vom Post-SP1-UDP-DNS-Patch, der Kunde macht VPN mit dem ISA! Kiste durchgestartet – Eventlog gecheckt – alles wunderbar!

Bis hierhin lief alles wunderprächtig, auch die Regelwerkoptimierung für die ausgehenden Zugriffe verliefen reibungslos. Als letztes hatten wir noch den eingehenden Verkehr zu regeln, sprich OWA und HTTPS/RPC. Für die Password-Change-Option die wir anvisierten installierten wir eine domänenintegrierte CA auf einem internen Webserver. Auf dem Exchange- und dem ISA-Server rollten wir die benötigten Zertifikate aus und richteten die SSL-Bridge ein. Zugriff von extern aufs OWA gegengetestet – klappt.

Als letzten Konfigurationsschritt richteten wir die Password-Change-Option auf dem mit FBA versehenen Listener ein und bauten die noch fehlende Regel für‘s HTTPS/RPC. Daraufhin fingen unsere Probleme an:

Die Password-Change-Option wurde auf der FBA einwandfrei angezeigt und das Ändern des Passwortes für einen Testbenutzer funktionierte genau einmal. Bei allen weiteren Versuchen bekamen wir die üblich nichtssagende „man solle doch an jemanden anrufen, der etwas davon verstehe“-Fehlermeldung. J

Die Passwort-Änderung, die stellvertretend durch den ISA durchgeführt wird (Proxy halt) wird vom ISA zu den internen DCs mit LDAPS durchgeführt. Dieser Umstand wird in einem Microsoft-Whitepaper zu diesem Thema in einem Nebensatz erwähnt. Das bedeutet, das eine domänenintegrierte CA zwingend benötigt wird und alle DCs jene auch kennen. Damit dies gegeben ist hatten wir sämtliche DCs neu gestartet anstatt aufs Auto-Enrollment des Zertifizierungsinstanzzertifikates (eines meiner Lieblingswörter) zu warten. Positiver Nebeneffekt hierbei: das Patchlevel haben wir in einem Rutsch direkt gerade gezogen. Trotz der intensiven und korrekten Vorbereitung quittierte uns die Password-Change-Option die mir bekannte Fehlermeldung, die erscheint, wenn man keine hausinterne CA besitzt, bzw. einer der DCs diese noch nicht kennt. Auf mehrfaches Nachfragen meinerseits wurde mir vom Kunden versichert es gäbe nur zwei DCs. Nach einiger Zeit des Forschens, Rebootens und Testens öffnete ich die MMC für Active Directory-Standorte und -Dienste und siehe da: ein lustiger mir bisher nicht bekannter DC winkte mir fröhlich entgegen. Ein paar Fragen später stellte sich heraus, dass diese Maschine eigentlich kein DC, sondern nur ein hausinterner Backupserver sein durfte. Ein dcpromo bestätigte den nicht vorhandenen Service. Anscheinend ein nicht sauber aus dem AD ausgetragener Ex-DC. Nur referenziert das AD weiterhin auf ihn, den Computernamen gibt es auch noch, nur das halt kein DC auf der Maschine läuft. Bei der Passwort-Änderung scheint unser guter ISA-Server via LDAPS mit ihm kommuniziert zu haben und die Änderung ging ins Nirvana. Der Spuk hatte ein Ende, nachdem der verwaiste DC korrekt aus dem AD ausgetragen wurde. Notiz an mich selber: Immer erst im AD kontrollieren wieviele DCs tatsächlich im AD eingetragen sind.

Etwas länger schlugen wir uns allerdings mit dem HTTPS/RPC herum. Flux eingerichtet und von einem Notebook des Kunden gegengetestet (welches sich angeblich im Internet befindet). Die Zugriffe schlugen fehl. Ein Authentifizierungsfenster in Outlook ließ mich fälschlicherweise vermuten, ich kommuniziere bereits mit dem ISA. Ein Fehler wie ich später in einer VM bei mir im Home-Office bemerkte. Outlook zaubert beim HTTPS/RPC-Szenario anscheinend automatisch ein Popup-Fenster, auch wenn keinerlei Connect zu irgendeinem Zielsystem existiert. Recht verwundert war ich allerdings durch die Tatsache, das der HTTPS/RPC mit meinen Outlook von zuhause aus einwandfrei funktionierte. Tags darauf wieder beim Kunden vor Ort der gleiche Effekt wie am Vortag: keine Verbindung möglich. Ich möchte euch die verzweifelten Versuche meinerseits ersparen, die ich durchgetestet habe um das gute Teil zum fliegen zu bringen und direkt auf die Lösung hinweisen. Das Laptop des Kunden (mit dem wir die Verbindungen getestet haben) befand sich keineswegs im Internet, sondern in dem Transfernetz zwischen dem ISA Server und der Frontendfirewall. Da wir aber zum Testen immer den öffentlichen FQDN genommen haben wurde ein Connect durch die Frontendfirewall raus und wieder rein versucht, welcher hoffnungslos scheiterte. Wir modifizierten auf dem Rechner im Transfernetz die Host-Datei und drehten den öffentlichen FQDN gegen die externe IP des ISA Servers und schon war alles in Butter. Notiz an mich selber: Teste externe Verbindungsversuche immer mit dem eigenen Laptop via UMTS/HSPA.

Die Ursachen für die Probleme mögen recht trivial sein, in der Situation an sich kann man an solchen Nettigkeiten schon mal ein wenig verzweifeln.

Karsten Hentrup aka Jens Mander…

|<-|

BMW – Freude am Fahren

Hallo Leutz,

endlich mal wieder ein richtiger Prollblog von mir 🙂

Auf der Heimfahrt von einem Kundentermin in Hannover fuhr ich so mit Mamas Auto (55 PS Golf) nach Hause und das Wetter war herrlich (ich habe schon sehr frueh angefangen zu arbeiten, so dass ich schon um 15:00 Uhr auf der Bahn war). Auf der Rueckfahrt dachte ich mir: Heute ist der erste Tag, wo Du den BMW mal nach fast drei Monaten Zwangsruhe (Mal abgesehen von gelegentlichem Anlassen des Motor und Vor- und Zurueckbewegen des Autos abgesehen) wieder die Sporen geben kannst. Gesagt getan. Als ich zuhause war, die Turnschuhe an, T-Shirt angezogen (es wird warm im Wagen), Cappi auf, rein in den Golf und auf zu meiner gemieteten Garage in der Nachbarschaft. Jaaahhhh: Endlich mal wieder ein 8 Zylinder Sound aus den 4 Auspuffrohren.  Kurz Luft getankt und Fluessigkeiten gecheckt, die ersten 20 KM den Wagen eingefahren und gewartet bis der variable Drehzahlbegrenzer den roten Bereich auf 8.500 Touren verschob. Dann die ueblichen Tests gemacht. Einmal Beschleunigungstest auf dem Autobahnzubringer der A2 – mal gucken, ob knappe 460 PS auch noch gut beschleunigen – Test bestanden: Geht noch :-).

Danach einmal durch eine Tiefgarage gefahren und einen auf Vollproll gemacht (Fenster runter, Zwischengas gegeben). Einmal durch die Stadtpromenade und einen auf cool gemacht. Dann auf die Umgehungsstrasse, ein zwei MB, Audi und nen Porsche verheizt (alles natuerlich im Rahmen der Geschwindigkeitsbeschraenkungen – ich musste gar nicht mehr als 6.000 Touren drehen).

Unterwegs gab es auch wieder Helden in anderen Autos. Ein Audi S3 stellte sich provokativ an der Ampel links neben mich und gab bei gruen seinem Auto mit Hilfsmotor Gas. Ich liess ihm etwas Vorsprung und Zeit sich vor mir rechts einzuordnen und schaltete dann bei (ich glaube 70 KM/h) nochmal in den zweiten Gang und nach ein paar Sekunden wusste ich nicht mehr im Rueckspiegel ob es ein Audi war oder eine andere Marke 🙁

Ja, dann ging es mit vollem Adrenalingehalt wieder zur Garage und ich setzte mich die 2 KM wieder in Mamas Golf und dachte ich stehe 🙂

Gruss Marc

P.S.: Wird Zeit, das es Fruehling wird

Exchange 2003 Migration zu Exchange Server 2007 – Weitere Stolperfallen

Hallo Leutz,

heute und in den naechsten Tagen beschaeftigt mich mal wieder eine Exchange 2003 zu 2007 Migration. Die ersten Schritte sind bereits getan, siehe: http://www.it-training-grote.de/blog/?p=513

Bevor wir heute loslegten, wurde ich mit zwei Problemen konfrontriert, welche nach der Schema Erweiterung und der Vorbereitung der Exchange 2003 Organisation fuer Exchange 2007 aufgetreten sind.
1) Nach der Exchange 2007 Vorbereitung konnten E-Mails nicht mehr ab einer bestimmten Groesse versendet werden, obwohl die Exchange Admins keine Groessenbeschraenkung konfiguriert hatten und genau da liegt das Problem. Das Exchange Server 2007 Setup setzt automatisch Message Size Limits, wenn in der Exchange 2003 Organisation global keine Limits gesetzt sind. Waeren Limits gesetzt gewesen, haette das Exchange Setup diese unberuehrt gelassen. Dieses Verhalten hatte ich vor geraumer Zeit schon mal im Exchange Blog gelesen, aber bei dem Kunden wusste ich nicht, dass es kein Limit gab und bei anderen Migrationen waren immer Werte fuer ein Message Size Limit vorhanden. Zum Glueck haben die Admins das selbst schnell in den Griff bekommen.
Source: http://technet.microsoft.com/en-us/library/bb310771.aspx

2) Was mir nicht mehr bekannt war, ist, dass das Exchange 2007 Setup bestimmte Berechtigungen zuruecksetzt. In diesem Fall hatten die Exchange Admins aus organisatorischen Gruenden “Full Mailbox Access” auf alle Postfaecher. die Exchange Vorbereitung setzte diese Modifikation ausser Kraft. Source: http://technet.microsoft.com/en-us/library/bb310770.aspx

Morgen frueh geht es dann ran an die NLB Konfiguration der beiden HTS und CAS Server, sowie des Zertifikatmanagements. Wenn alles glatt geht, installieren wir dann Mittwoch den Windows 2008 / Exchange 2007 Cluster und in den naechsten Wochen werden dann die Mailboxen und Konfigurationen verschoben und die alte Umgebung diskommissioniert.

Gruss Marc

Consulter im Hotel VII…

…Hallo Allerseits,

und weiter geht’s mit der beliebten Serie “Consulter im Hotel 2009 – Eine Fallstudie von Jens & Jens”

Langsam wird es fuer mich nicht Lateiner (Realschule sei Dank) schwer, die roemischen Zahlen im Titel zu schreiben. Nachdem Karsten seine letzten Beitraege veroeffentlich hat, bin ich mit Beitrag Nummer 7 (Windows 7 :-)) dran, doch alles der Reihe…

05:40 Uhr: Es begann heute Morgen gegen 05:40 Uhr, als der Wecker mich weckte. Also raus aus dem schoenen Bett, ran die Kiste und Mails, Newsgroups usw. gecheckt. Tasche gepackt, was gegessen und ab nach Hannover zu einem Kunden.
08:10 Uhr: Sicher in Hannover gelandet und etwas consultet
11:12 Uhr: Den Kunden verlassen und auf nach Peine, Peter W. (Super Admin) meines Kunden fuer einen Workshop in Braunschweig bei seinem Broetchengeber abholen, da dieser aufgrund einer Beinverletzung nicht Auto fahren kann. Puenktlich angekommen, Notebook angeschlossen und einen sehr schoenen Nachmittag verbracht mit viel Diskussionen und Technik.
18:18 Uhr: Auf nach Peine, Peter W. zur Tanke Autobahnabfahrt Haemeler Wald bringen (Danke Peter, sonst waere ich echt zu spaet gekommen). Dann kurz getankt und auf nach Norden (ja so heisst der Ort).
22:12 Uhr: Im Hotel in Norden angekommen, jetzt noch Mails checken, Newsgroups und ne kleine Fernwartung, Tasche einraeumen und duschen.
23.10 Uhr: Nachtrag – dauert mal wieder alles etwas laenger, jetzt aber ins Bett!

Niedliches Zimmer hier..

 

                                 Der Typ ist nicht so niedlich oder?
Auf alle Faelle hat der mal nen anderen Pullover an (Anmerkung der Redaktion: Der Pullover ist in der Reinigung – Der Autor hat es nicht geschafft, das Teil vor dem naechsten Termin zu waschen)

Gruss Marc aka Jens Baier

Consulter im Hotel VI…

Hallo Allerseits,

und weiter geht’s mit der beliebten Serie “Consulter im Hotel 2009 – Eine Fallstudie von Jens & Jens”. Die letzten zwei Tage habe ich ein Security-Seminar im schönen Kölle gehalten und mich wie immer bei meinem Bruderherz in seiner Jungesellenbude einquartiert. Ist zwar kein Hotel im direkten Sinne, wurde aber trotzdem fotografiert.

Karsten Hentrup… aka Jens Mander…

|<-|

Exchange 2003 Migration zu Exchange 2007 – Wo waren denn die Server?

Hallo Leutz,
Bei einem Kunden war heute nach einer Reihe von Vorbesprechungsterminen, die Paralellinstallation einer Exchange Server 2007 Umgebung mit redundanten HTS+CAS Servern, sowie CCR Mailbox Cluster in getrennten Rechenzentren angesetzt.

 

Nach einigen Vorplanungen anhand meiner selbst erstellten Migrations-Checkliste, ging es los, aber bereits bei dem Exchange Best Practice Analyzer Scan wurden wir gestoppt. ExBPA meldete, dass noch ein ADC (Active Directory Connector) vorhanden ist. Aber wo ist der Server? Nach einiger Suche fanden wir dann heraus, dass der urspruengliche ADC Server mal ein Domaenencontroller war, spaeter aber zum Member Server gemacht wurde und dann ohne den ADC zu entfernen, vom Netz genommen wurde.

Mit Hilfe von ADSIEDIT haben wir dann die ADC Einstellungen aus dem AD operiert:

– Install Support Tools from Windows 2003 CD

– Open Microsoft Management Console (mmc)

– Add ADSIEdit snap-in

– Connect to Configuration Container

– Expand Configuration –> Services –> Microsoft Exchange –> Active Directory Connections

– Delete ADC under Active Directory Connections

Quelle: http://www.exchangelog.info/2007/04/how-to-remove-active-directory.html


Danach mit REPLMON aus den Windows Server 2003 Support Tools alle Domaenencontroller repliziert.

Danach die Exchange Server 2007 32 Bit CD heruntergeladen und SETUP.COM mit den entsprechenden Schaltern auf dem Schema Master ausgefuehrt, welchen wir mit REPLMON ermittelt hatten.

 

Leider kam danach immer noch die Meldung, dass ein ADC vorhanden sei.

Als wieder EXBPA gestartet, diesmal im Exchange 2007 Readiness Modus, welcher diesmal auf die Idee kam, der ADC liege auf dem existierenden Exchange 2003 Vanilla Cluster.

 

Also rauf auf den Exchange Cluster Knoten und siehe da, in der Systemsteuerung Software tauchte auch ein installierter ADC Dienst auf. Deinstallieren war dann wieder etwas komplizierter, da der Server nach den ADC-Datenquellen fragte. Nach einer etwas aufwaendigeren Suche fanden wir dann auch den richtigen Exchange Datentraeger mit der gleichen ADC-Version und konnten den ADC deinstallieren.

 

Danach liess sich das Active Directory Schema auch einwandfrei aktualisieren und weitere Vorarbeiten durchfuehren. Weitere Migrationsschritte folgen in den naechsten Wochen.

 

Gruss Marc