Exchange 2007 Outlook Anywhere ohne CA-SSL

Wo ich jetzt wieder in der Schule bin und immer Laptop mit hab hat mich Outlook Anywhere grad wieder brennend interessiert da es gegenüber Outlook per VPN doch Trafficsparsamer sein sollte und der VPN Tunnel noch weg fällt.

Nach einigen erfolglosen teste (kam immer bis Logindaten eingeben bei NTLM Authentifizierung ohne SSL die er aber nicht akzeptierte) hab ich noch ein Freund gefragt der paar Connections hat und vorhin eine Lösung mit SSL ohne Geld auszugeben bekommen:

Vorraussetzungen:

  • DynDNS oder ähnliches für die externe Erreichbarkeit
  • ActiveDirectory Umgebung (Spart einen Schritt, wird aber hier mit dokumentiert)
  • Funktionierende Exchange 2007 Umgebung
  • Server 2008 / 2003 mit Zertifizierungsstelle (ich gehe davon aus das diese bereits eingerichtet ist)

Exchange 2007 Outlook Anywhere ohne CA-SSL weiterlesen

iSCSI: Gut, NTFS: Böse

Nachdem alles mit dem ESX und iSCSI so gut geklappt hat hab ich heut Nacht noch den Fileserver auf Linux umgestellt und grad das iSCSI Target fertig eingerichtet.

Dabei hab ich mir nur leider fast den Datenspeicher zerschossen, Nachforschungen ergaben:

iSCSI mit mehreren Clients auf ein Target: Geht aber nicht unbedingt empfohlen

NTFS mit mehreren Systemen die drauf zugreifen: Geht nicht, macht die MFT und co kaputt…

Mit dem ESX klappt es aber weiterhin problemlos da dessen VMFS Clustersupport und co drin hat und somit keine Probleme beim gleichzeitigen Zugriff.

Also nochmal deutlich:

Kein iSCSI mit multiplen Clients @ NTFS !

Macht nur alles kaputt und meine Pläne dafür leider auch 🙁

Jetzt wird ich mir mal überlegen was ich weiter mache, wäre ich der einzige Nutzer vom Datastore wäre es ja nicht das Problem aber da noch andere drauf zugreifen muss ich den iSCSI entweder im Server einhängen und per Freigabe weiterverteilen oder bei mit rein und weiterverteilen, letztes währe meine Performance besser aber die Netzwerklast für mein Rechner auch deutlich höher wenn noch wer drauf zugreift 🙁 Ideen? Zur Not kommt wieder 2008 auf den Server aber das ist ja nicht unbedingt Ziel der Aktion…

ESXi VMotion für Anfänger

Nach einigem hin und her hab ich bei mir derzeit wieder zwei VMWare ESXi 4 Server am Laufen da mir der Microsoft Hyper-V im Server 2008 auf Dauer zu Ramlastig ist da er immer den der VM zugeteilten voll adressiert während der ESX nur das nimmt das die VM auch tatsächlich verbraucht. Ist ein wenig flexibler wenn ich viele Sachen auf einmal testen will.

Jetzt war nur die Frage wie ich es human gelöst bekomme ein Mini-Failover zu basteln, rein aus Spaß an der Freude 😀 Der ESX ist lizenztechnisch doch etwas teuer und alle 60 Tage neu installieren ist auch murks.

Was gibt es da einfacheres als ein geteilter Datenspeicher für beide Server, für einen Switch-Over müssen die Server zwar auf ESX1 heruntergefahren und auf ESX2 wieder gestartet werden aber damit kann ich leben. Erste Testaufbauten hab ich hier dank Linux Server mit NFS gemacht allerdings war die Performance nicht so berauschend also Plan auf iSCSI geändert.

Vorteil vom NFS gegenüber iSCSI ist zwar das er eine vorhandene Partition mit benutzt und ich somit noch andere sachen drauf legen kann statt nur VM Storage (ja man kann den iSCSI auch in eine Imagefile lenken aber das ist Imho nicht grad „schön“ 😉 ). Aktuell sind noch die letzten VMs am verschieben auf den neuen Storage und die erste schon von am laufen und trotz der Tatsache das der iSCSI Server atm nur ein kleines AMD Dualcore System mit recht langsamen Broadcom Netzwerkkarten ist läuft es erstaunlich gut. Um die Bandbreite und Ausfallsicherheit des iSCSI Servers etwas zu verbesser habe ich aus den beiden Netzwerkverbindungen eine kleine Bündelung gebastelt, genauer gesagt eine IEEE 802.3ad Link Aggregation. Dank Linux Boardmitteln geht das praktischerweise ohne Hardwareseitigen besonderen Anforderungen 🙂 und mein Switch kann das natürlich auch.

Sobald jetzt alles läuft wie ich mir das vorstelle wird noch der aktuell letzte Windows Hardware Server auf Linux umgemodelt und das Raid6 dadrin per iSCSI mit NTFS eingebunden ohne die Daten verschieben zu müssen (war ich nur zu doof dazu oder mag FreeNAS echt keine mehrfachen Verbindungen auf ein iSCSI Target? Deswegen hab ich das noch nicht früher gemacht…).
Außerdem noch ein Tipp für die Linux User: EthStatus (console-based ethernet statistics monitor) – Zeigt brav die genutzte Netzwerkbandbreite an 🙂

Anbei noch ein paar nützliche Links:

iSCSI Target in Debian

Zusatz für den ESX

Port Trunking in Linux

vSphere Client unter Win7

PS: Zu Thema Hamburg gibt es bisher noch nichts neues.

Endlich mit FLAC Mobil

FLAC (FreeLosslessAudioCodec) ist eine sehr schöne Alternative zu MP3 da die Qualytät – weil LossLess – deutlich besser ist.

Lieder kann ab haus weder der Windows MediaPlayer noch der Mortplayer (mein bevorzugter Mobiler Audioplayer) auf Windows Mobile die Dateien decodieren.

Ebend hab ich aber im Mort-Forum einen Beitrag zum Thema FLAC gefunden der letztendlich hierher verwies.

Die runtergeladene gspflac.dll kommt dann nach PPC\Programme\Mortplayer\plugins und schon kann der Mortplayer nach einem Neustart auch FLACs abspielen 🙂

ActiveDirectory über VPN

Es fing als eine Idee auf der Arbeit an und nun, gut 2 Wochen später, läuft es endlich – eine Vernetzung von zwei Kollegen aus der Ausbildung die jetzt weg ziehen und mir.

Die Grundidee war dabei recht simpel, ein ActiveDirectory wird über eine IPSec VPN von Router zu Router über mehrere Standorte gespannt und dabei auch der Exchange Server mit auf alle verteilt um die Verfügbarkeit zu erhöhen und im Schadensfall das AD wieder aufsetzen zu können und mehr über „größere“ Netzwerke zu lernen.

Soweit so gut, das VPN war flott aufgesetzt bzw. lief schon testweise vorher für andere Zwecke, sollte also kein Problem darstellen.

Stage 1 – VNP-Aufbau:

Mein Netz:     172.16.10.0/23

Kollege #1:     172.168.10.0/24

Kollege #2:     192.168.1.0/24

VPN wird über die IPCop VPN-Services geregelt.

Die Pings und DNS Auflösungen (in dem Moment noch mit vertrauensstellen der 3 Domänen) klappt 1A und gibt keine Probleme, auch Datenzugriff auf Freigaben ist möglich.

Stage 2 – Server einrichten:

Installation vom Server 2008 beim Kollegen und geplanter Domain-Join in meine bestehende…

Hier fingen nun die Probleme langsam an. Der Server wurde installiert und mit den Grundservices, also DNS, DHCP und AD, ausgestattet.

DNS Server auf meine AD-Struktur konfiguriert, Pings in meine Domäne klappen mit Hostname sowie FQDN. Der Domainjoin als Client macht auch keine Probleme, ABER die Hochstufung zum DomainController schon, Fehler „RPC-Server nicht erreichbar“.

Gegen 22 Uhr gingen die Probleme damit los, darauf folgten etliche Google-Suchen und Fragen an die Leute ausm Messenger, einige Sachen klangen auch ganz gut aber halfen trotzdem nicht (MTU-Gröse der VPN ändern, Kerberos auf TCP statt UDP forcen etc). Gegen 2:30Uhr am Morgen gaben wir dann erstmal auf und legten uns schlafen.

Stage 2 – Neuanlauf:

Am nächsten Tag hab ich dann nochmal die VM bei mir angeschmissen und lokal die Hochstufung vorgenommen, nun wie erwartet keine Probleme mehr und Replication läuft 1A.

Also flux den 2ten Server fertig gemacht und Standorte etc. eingerichtet, alles was hat so anfällt. Exchange war auch schnell lauffähig wie er sein soll, also hier keine weiteren Probleme.

Stage 3 – Serverumzug:

Jetzt wo die Server die Initiale Replication fertig haben wird das Remote auch klappen – so dachte ich – und habe den ersten Server zum Kollegen gegeben.

Natürlich lief es nicht.

Ping auf Hostname und FQDN laufen, DNS ist alles korrekt und auch die Anmeldung etc geht 1A, nur ebend die Synchronisation nicht.

    Ereignislog bringt EventID 1566, 1566, 1311 & 1865

Also die nächsten Abends weiter damit verbracht ein paar Sachen zu probieren und weiter die Foren durchwühlt, leider weiter ohne Erfolg.

Darauf folgte noch ein Test mit OpenVPN statt dem IPCop verbautem, leider ging auch hier nichts.

Stage 4 – Die Lösung:

Am Donnerstag stieß dann einer der Kollegen auf folgendes:

    Empfohlene TCP/IP-Einstellungen für WAN-Verbindungen mit einer MTU-Größe von weniger als 576 Byte

Anfangs lief es damit auch noch nicht direkt mit dem Server vom ersten Kollegen aber inzwischen hatte der 2te auch Seine VM bei sich laufen und mit der funktionierte es auf Anhieb (erster Lösungsvorschlag) 🙂

Problem zum ersten war dann recht flott gefunden, die Einstellungen vom OpenVPN hab ich in der Zwischenzeit so verhunzt das da nichts mehr ging, also wieder aufs vorherige VPN wie mit Kollege #2 und schwupp-di-wupp lief auch hier die Replikation 🙂

Stage 5 – Kleinkrams:

Nun wo erstmal alles lief gab es nur noch etwas Kleinkram zu lösen wie Exchange-Postfächer verschieben etc was auch recht schnell an einem Abend erledigt war, zwischenzeitlich hat sich aber der erste Server nochmal ausgeklinkt aber so gegen 1Uhr heute morgen lief dann alles so wie es das soll 🙂

Nun heißt es abwarten und Daumen drücken das die Verbindungen Stabil bleiben, das Domain-Failover für den Exchange funktioniert zumindest schon mal….

 

Abschließend lässt sich sagen:

Versucht nicht von Microsoft offiziell unterstützte Sachen nur wenn ihr viel Zeit zum Probieren und Lesen habt…

Btw, Best-Practice von Microsoft sieht für Small-Business-Branch-Office (Kleinbetrieb-Nebenstellen) vor das die DC in den Standorten sich über Standleitungen zu einem DC in einem Rechenzentrum mit öffentlicher IP verbinden und darüber Replizieren. Warum diese Lösung für uns aber flach fällt dürfte denk ich klar sein 😉