Wohin mit dem alten Notebook? -iSCSI fuer arme!

Posted on by

Hallo Leutz,

wohin mit dem alten Notebook? Das Geraet ist noch Top in Schuss (1,83 GHz Dual Core, 4 GB RAM, 320 GB HD).

Verkaufen bei ebay kommt nicht in Frage 🙂

Heute Nachmittag kam mir die Idee, ein NAS daraus zu bauen, FreeNAS war leider keine Alternative, da mir das Notebook beim Booten immer abstuerzte.
Also ein Windows Server 2008 installiert und eine NFR Version von Starwind drauf gehauen und meine 5 USB Festplatten angeschlossen.

Jetzt stehen mir insgesamt 5,5 TB Speicherkapazitaet netto zur Verfuegung. Aus Datensicherheitsgruenden, werde ich aber nur 3,0 TB nutzen und den Rest zur Datenspiegelung verwenden. Ein entsprechendes Robocopy Skript habe ich mir erstellt, welches die Daten alle 4 Stunden synct.

 

Da ich jetzt in dem Genuss eines stromsparenden “Servers” bin, habe ich den Server auch gleich noch zum Windows DHCP Server gemacht.

Gruss Marc

ISA Server und Host-Header (CERT VU#435052)…

Posted on by

…Tach Allerseits,

Anfang letzter Woche ging folgende Meldung durch den Heise-Newsletter: http://www.heise.de/newsticker/Transparente-Proxies-ebnen-Angreifern-den-Weg-ins-lokale-Netz–/meldung/134333. Hier stellt sich natĂŒrlich die berechtigte Frage, ob der ISA-Server auch von dieser SicherheitslĂŒcke betroffen ist (vor allen Dingen, wo der Status beim CERT fĂŒr Microsoft als “Unknown” gelistet wird). Ein flotter Test mit einer Telnet-Konsole wie beim Heise-Artikel beschrieben beweist, das ein aktueller ISA2006 mit SP1 nicht betroffen ist. Eine ausfĂŒhrliche Diagnose hat Adrian Dimcev durchgefĂŒhrt und beschrieben: http://www.carbonwind.net/blog/post/2009/03/21/ISA-Server-vs-US-CERT-VU435052-e28093-A-Quick-Test.aspx.

Karsten Hentrup aka Jens Mander…

|<-|

ISA-Password-Change vs. Zertifikatsfehler…

Posted on by

…Tach Allerseits,

Anfang des Jahres habe ich eine ISA-Installation bei einem Kunden durchgefĂŒhrt, der ein sicheres OWA-Publishing inklusive Password-Change-Option wĂŒnschte. Als ich nach zwei Tagen Installation, Konfiguration und Dokumentation den OP-Tisch verließ lief alles einwandfrei. Doch Ende letzter Woche klingelte bei mir das Telefon mit einem traurigen Admin am anderen Ende der Leitung. Ihr ahnt es schon: die Password-Change-Option hatte ihren Geist aufgegeben und funktionierte bereits seit einiger Zeit nicht mehr.

Einmal mehr ein Fall fĂŒr den ISA-Arztkoffer. Diesen flott gepackt, zum Kunden gefahren und ein wenig “herumgedoktort”. Folgende Diagnose konnte gestellt werden:

Die Password-Change-Option auf der Form-Based-Authentication (FBA) des ISAs verweigerte den Dienst mit der Fehlermeldung:”An error occurred while trying to change the password. Please contact technical support for your organization”

Diese Fehlermeldung ist mir inzwischen hinreichend bekannt. Sie tritt auf, wenn z.B. keine domĂ€nenintegrierte CA vorhanden ist (wird fĂŒr die Password-Change-Option zwingend benötigt), oder wenn einer der am Szenario beteiligten Server (DCs, ISAs) die CA nicht kennt, oder verwaiste DCs im AD herumgeistern (http://www.it-training-grote.de/blog/?p=538). Nicht so in unserem vorliegenden Fall. Hier begegnete mir zum ersten Mal folgender Event-Log-Eintrag auf einem der DCs: “Die automatische Zertifikatregistrierung fĂŒr “lokaler Computer” konnte ein Zertifikat “DomĂ€nencontroller” (0x80070005) nicht registrieren. Zugriff verweigert.”

Im Unternehmen stehen zwei DCs. Einer der beiden DCs hat sein passendes DomÀnencontroller-Zertifikat beim Aufsetzen der CA erhalten (deshalb funktionierte die Password-Change-Option direkt nach der Installation bzw. Konfiguration, da der ISA mit genau diesem DC kommunizierte), der zweite DC mochte die Pille allerdings nicht so recht und wies obige Fehlermeldung auf. Die gute Nachricht: Dem Patienten konnte geholfen werden!

Meine Therapieempfehlung: FĂŒgen Sie im Wartungsfenster die Gruppe der “DomĂ€nencontroller” der Gruppe “CERTSVC_DCOM_ACCESS” hinzu. Daraufhin einmal Replizieren und Rebooten und eine flotte Genesung dĂŒrfte sich einstellen (sprich: der zweite DC erhĂ€lt daraufhin von der domĂ€nenintegrierten CA sein DomĂ€nencontroler-Zertifikat)!

Mit den besten gesundheitlichen WĂŒnschen verabschiede ich mich fĂŒr heute:

Karsten Hentrup aka Jens Mander…

|<-|

ebay + sixt vs. creative autoupdate…

Posted on by

…Tach Allerseits,

ein frisch installiertes 64bit-Vista auf meiner neuen Hardware erquickte meine Surf-Sessions, bis ich auf Ebay und Sixt landete. Dort angekommen ist man der Meinung, ich sei mit einem mobilen Client unterwegs und zauberte mir die Versionen fĂŒr mobile User Agents auf meinen 24″ Monitor.

 

Flux den HTTP-Header analysiert und den Störenfried gefunden. Die Creative-Autoupdate-Funktion meiner X-FI-Titanium verewigte sich unter anderem in meinem UA-Header.

Das Deaktivieren der Creative-Addons im Browser brachte keine Abhilfe.

Wohl aber das Löschen des folgenden Registry-Keys (nur den Creative-REG_SZ löschen reicht aus):

Die Autoupdate-Software von Creative (Creative Software AutoUpdate) welche mit der Titanium-Treiber-CD mitinstalliert wird, funktioniert trotzdem weiterhin noch. Somit kann ich nun einfach meine Treiber aktuell halten und bei Sixt meine Autos ersteigern, sowie bei Ebay meine Auktionen mieten. 😉

Karsten Hentrup aka Jens Mander…

|<-|

Vorgehensweise Active Directory DC Migration von Windows Server 2003 – 32 Bit auf Windows Server 2008 – 64 Bit

Posted on by

Hallo Leutz,

hier die Vorgehensweise fuer eine DC Migration:

Voraussetzung:
Pro Domaene mindestens zwei Domaenencontroller
Die Gesamtstruktur und die Domaenen muessen bereits mit ADPREP /FORESTPREP und ADPREP /DOMAINPREP  /GPPREP und ggfs. /RODCPREP vorbereitet werden.

Installierte Software auf Windows Server 2008 Tauglichkeit pruefen
DC sichern
Funktionsweise pruefen (AD Health Check, Logdateien)
Ermittlung der installierten Software – Dokumentation / Sicherung
Windows Server Funktionen ermitteln, sichern und ggfs. auf einer anderen Maschine zur Verfuegung stellen (DHCP/WINS beachten)
FSMO Rollen auf den gerade nicht zu migrierenden Server verschieben (macht der DCPROMO Prozess auch, aber sicher ist sicher)
Ausfuehrung von DCPROMO auf dem zu migrierenden Server
Server booten
Bereinigung alter Verweise auf den Server im Active Directory (Active Directory Standorte und Dienste)
Server umbenennen
IP Adresse des Servers aendern
Server mit Windows Server 2008 64 Bit mit Hilfe der Serverbereitstellungstools des Herstellers neu installieren
Aufnahme des Servers in die eingesetzten Management-Systeme (Whatsup etc.)
Installation der notwendigen Agents (SCOM, Antvirus, Backup)
Servername und IP Adresse wie der alte Server
DNS Server auf den zweiten DC als primaeren DNS setzen
Ausfuehrung von DCPROMO
DNS + GC installieren
Server booten
IP Adresse des DNS Server umstellen auf sich selbst und sekundaer der zweite DC
FSMO Rollen zurueck verschieben
Ereignisanzeige + AD Replikation und -Funktion pruefen
Reinstallation der vorherigen Server Funktionen, Funktionspruefung
Reinstallation etwaiger vor dem Update installierter Third Party Software
Domaenen und Gesamtstrukturfunktionseben heraufstufen auf Windows 2008
FRS Replikation auf DFS Replikation umstellen
Funktionspruefung des gesamten Systems
Dokumentation

Hier findet Ihr die Doku: http://www.it-training-grote.de/download/Vorgehensweise%20Active%20Directory%20Migration%202003%20zu%202008%20Migration.pdf

Gruss Marc

ADPREP /RODCPREP schlaegt fehl

Posted on by

Hallo Leutz,

In einer Windows Server 2003 Domaenenumgebung wurde der FSMO Rolleninhaber der (FRD = Forest Root Domain) neu installiert, ohne vorher DCPROMO durchzufuehren.
Mit Hilfe von …
NTDSUTIL – ROLES – und dem SEIZE Befehl wurden die Rollen vom Offline DC auf einen anderen DC uebertragen.

Bei dem Update der Domaene auf Windows Server 2008 wurden die Befehle ADPREP /FORESTPREP und ADPREP /DOMAINPREP /GPPREP durchgefuehrt.

Der Befehl ADPREP /RODCPREP – zur Vorbereitung der moeglichen Aufnahme eines RODC (Read Only DC), jedoch erst spaeter. Die Ausfuehrung von RODCPREP in der Forest Root Domaene schlug jedoch fehl. Warum? Lest Ihr hier:
http://www.it-training-grote.de/download/ADPREP-rodcprep.pdf

Gruss Marc

Domaenen Upgrade auf Windows Server 2008 – Part I

Posted on by

Hallo Leutz,

es ist bei mir wieder spannend geworden: Seit gestern migriere ich das Active Directory bei einem Kunden auf Windows Server 2008. Insgesamt muessen 9 Domaenencontroller migriert und zwei neue Domaenencontroller an zwei Standorten mit zwei Subdomaenen installiert und migriert werden.

Das spannende hierbei: 6 DC sind gleichzeitig DHCP Server, ein DC ist die Enterprise Root CA, ein DC eine Subordinate CA und zwei DC sind primaerer und sekundaerer WSUS Server, so dass hier einige Vorarbeiten zu beachten sind.

Im ersten Teil habe ich gestern einen AD Health Check durchgefuehrt und alle DC auf Fehler geprueft. Folgende Tools wurden verwendet:
NTDSUTIL, DCDIAG, REPLMON, FRSDIAG, EventViewer.
Fuer ein Worst case Szenario eines fehlgeschlagenen Updates haben wir alle DC mit IDR (Intelligent Desaster Recovery) gesichert und wir haben noch einen virtuellen DC als VM eingerichtet, welcher vom Netz getrennt wurde und als Failback verwendet werden kann.
Nach einer Dokumentation aller DC und deren Konfiguration/Rollen ging es an das Schema Update (ADPREP /FORESTPREP). Nach der Replikation des AD Schema wurde in den drei Domaenen das Domaenen Prep mit ADPREP /DOMAINPREP /GPPREP ausgefuehrt und danach die Ereignisanzeige aller Server kontrolliert.

Heute geht es an die Herunterstufung der einzelnen Windows 2003 DC, der Installation von Windows Server 2008 (Teaming, SCOM Agent, Antivirus, Einbindung in die Management-Systeme) und der darauf installierten Applikationen.

Bis Freitag Abend soll der erste Standort umgestellt sein. Der andere Standort wird naechste Woche umgestellt. Zur PKI und DHCP Server Migration werde ich nochmal separat bloggen.

Gruss Marc

Consulter im Hotel XI

Posted on by

Hallo Leutz,

und weiter geht’s mit der beliebten Serie “Consulter im Hotel 2009 – Eine Fallstudie von Jens & Jens”.

Diesmal gibt es wieder einige Bilder aus meinem Hotel in Bad Pyrmont:

 

Man beachte den Apfel 🙂

Gruss Marc aka Jens Baier

IT-Notfallkoffer – Meine neue IT-Handtasche

Posted on by

Hallo Leutz,

heute Abend ueberkam es mich, meinen “IT-Notfallrucksack” durch einen “IT-Notfallkoffer” zu ersetzen. Warum? Seit Jahren sind mein MVP Rucksack und ich die treusten Verbuendeten, doch leider wurde der “Notfallrucksack” durch das neue Notebook und das neue Netbook etwas zu klein und ausserdem habe ich die letzten Jahre das eine oder andere “Feature” vermisst, wenn ich mal wieder unterwegs war. Als Consulting Nomade, welcher viel unterwegs ist, vermisste ich das ein oder andere IT-Spielzeug.

Also, gesagt getan, meinen fast noch nie benutzten Windows TrollyKoffer ausgeraeumt und alles aus dem Rucksack in den TrollyKoffer umgeladen und mit weiterem IT Equipment ausgestattet.

Schon erstaunlich, was da alles reinpasst:
1 Dell 14″ Notebook mit Netzteil
1 Acer 10″ Netbook mit Netzteil
3 RJ45 Kabel
1 Crosslinkkabel
1 Sennheiser Kopfhoerer Set
2 Kensignton Schloesser
1 Mini Switch + Netzteil
1 3-fach Steckdosenleiste
1 USB Minitastatur
4 USB Sticks
1 DVB-T USB Adapter + Fernbedienung und Zusatzantenne
1 USB Notebooklampe
1 USB Floppy-Laufwerk
1 USB UMTS Stick
2 Aladdin USB e-token
2 USB Maeuse
1 80 GB USB Festplatte
1 CD+DVD Rohling Set
1 USB Hub
1 Laserpointer
Diverse USB Adapter und Adapterstecker
Diverse Kugelschreiber und Tafelstifte

Zu den nicht IT Gegensaenden gehoeren:
Taschentuecher, kleine Packung mit Medikamenten, Visitenkarten, Naehzeug, Pflasterset, Regenschirm, Swiss-Knife und Taschenlampe.

ich hoffe, ich habe nichts vergessen, aber kein Problem, die 15 KG Marke hat der TrollyKoffer gerade erst ueberschritten 🙁 . Wenn Ihr also noch Ideen habt, was in meiner IT-Handtasche nicht fehlen darf, bitte in diesem Blog reinschreiben. 

Gruss Marc