All posts by Gregor Reimling

Direct Access – Fehlerdiagnose

Die Funktionalität Direct Access ist für unser Firmennetz leider noch nicht realisiert.

Die Konfiguration erfolgte nach dem Step-by-Step Guide vom 18.10.09. Bei Überprüfung der Konfiguration wurde leider festgestellt, dass der Client zwar erkennt, dass er sich ausserhalb des Domänennetzwerks befindet, aber keine Verbindung dorthin aufbauen kann.

Zur Rate wurde der Direct-Access-Troubleshoot-Guide gezogen, mit diesem konnte der Fehler, vermutlich, auf fehlende IPv6Adressen im Domänennetzwerk eingegrenzt werden, allerdings lässt sich derzeit nicht erkennen, warum die Server (Basis 2008) keine 6to4-Adressen haben.

Zunächst wurde der Host überprüft und die IPv6-Unterstützung auf diesem aktiviert und konfiguriert, ohne Erfolg.

Auf dem Client lässt sich in der Firewal auch keine IPSec-Richtlinie erkennen. Ob die Verbindung zwischen Client und Server auf IP-Basis nicht zustande kommt oder wegen fehlender DNS-Auflösung ist nicht nachvollziehen. Im internen Netzwerk erreicht der DA-Server die DNS-Server nicht über die 6to4-Adresse.

Derzeit ist der Fehler nicht nachvollziehbar und Bedarf wohl doch noch einiger Zeit.

VMware VM – Partition verkleinern mit robocopy

Aufgrund einer Fehlkonfiguration wurde dem Exchange Server zuviel Speicherplatz zugewiesen. Um diesen Fehler zu bereinigen und nur den notwendigen Speicherplatz zur Verfügung zu stellen wurde die Partition verkleinert.

Für mich, hat sich als schnellster und elegantester Weg der mit robocopy dargestellt.

  1. Weitere Partition mit der benötigen Größe anlegen
  2. Den Exchange Server abschalten
  3. Booten von der Server 2008 CD
  4. Computerreparaturoptionen
  5. mit diskpart die partition erstellen und formatieren
  6. danach robocopy quelle (D:) ziele (F:) /Mir /copyall (Mir bewirkt eine Spiegelung und copyall kopiert die Sicherheitsberechtigungen mit)
  7. danach alte partition über den vsphere client aus der VM-Konfiguration löschen
  8. vmdk. editieren und gleichen Namen der vorherigen Partition eingeben
  9. Mit VSphere Client Partition importieren
  10. VM neustarten und Eventlogs auf mögliche Fehler überprüfen

Bei mir hat der Vorgang einwandfrei geklappt und es kam zu keinen Fehlern im Betrieb. Die alte Partition werde ich noch ein paar Tage erhalten, bevor diese endgültig gelöscht wird.

NTP-Konfiguration

Aufgrund eines Exchange-Fehlers (Zugriff auf die Postfächer war, nach Anmeldung, nicht möglich) wurde festgestellt, dass die Zeit der Server asynchron zueinander sind. Um diesen Fehler in den Griff zu bekommen und nich einfach nur eine Bereinigung durchzuführen, wurde die NTP-Konfiguration überarbeitet.

Die Server F1NaLWEB1 und F1NaLWDA1 synchronisieren mit der Zeitquelle 0.de.pool.ntp.org, 1.de.pool.ntp.org & 2.de.pool.ntp.org, konfiguriert nach dem Artikel http://support.microsoft.com/kb/816042/de. Der WDC1 wiederum synchronisiert mit den beiden genannten Servern. Die restlichen Server empfangen Ihre Zeit vom DC.

Nachdem auf allen Server der W32Time Dienst neugestartet wurde, liefen die Server wieder synchron. Um ein Zugriff auf die Mailpostfächer zu ermöglichen, mussten allerdings noch der Microsoft Exchange-Informationsspeicher und Microsoft Exchange Active Directory-Topologiedienst gestartet werden.

NTP-Konfiguration

Server-Migration auf 64Bit

Aufgrund der Anforderungen von Exchange und Sharepoint 2010 nach einer homogenen Architektur wird die Serverlandschaft sukzessive auf 64Bit angehoben. Zunächst wurde der SQL-Server neu aufgesetzt, siehe vorherigen Post. Dabei wurde Server 2008 64Bit und SQL Server 2008 64Bit installiert. Bei der Konfiguration muss den SQL-Tools allerdings mitgeteilt werden, dass diese jetzt auf einer 64Bit Plattform laufen.

Verlust der MySQL-DB`s

Durch die Migration von 32 auf 64Bit sind die MySQL-DB`s verloren gegangen. Das Backup hat leider nicht geklappt und erst danach wurde festgestellt, dass die DB`s beschädigt sind. Der Versuch einer Wiederherstellung auf dem Volume schlug fehl.

Glücklicherweise sind kaum Daten verloren gegangen. Allerdings hat der Serverblog ordentlich gelitten, da ausgerechnet hier der größte Zeitraum fehlt und in diesem Zeitraum einiges passiert ist.

Es wird mit verschiedenen Tools versucht, die DB`s noch wiederherzustellen. Ob dies klappt, ist ungewiss.

Entfernen von Exchange 2003

1. Zunächst musste der Connector WE2K7 -> WEB1 entfernt werden

2. Danach wurden die Empfängerrichtlinie auf den vorhandenen Exchange 2007 und auf den DC 2008 umgestellt.

Nach den beiden genannten Schritten kann der Exchange 2003 über Systemsteuerung -> Software entfernt werden. Bevor der Computer endgültig heruntergestuft und gelöscht wird, sollte noch eine Funktionsprüfung des vorhandenen Exchange 2007 durchgeführt werden.

Voila der gute Exchange 2003 ist entfernt.

Gesamtstrukturebene auf 2003 heraufgestuft

Soeben wurde die Gesamtstrukturfunktionsebene auf 2003 heraufgestut. Bisher war nur die Domänenstrukturfunktionsebene heraufgestuft.  Vorgegangen wurde nach dem Microsoft KB-Artikel: http://support.microsoft.com/kb/322692/de

  • Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf Active Directory-Domänen und Vertrauensstellungen, und klicken Sie auf Gesamtstrukturfunktionsebene heraufstufen.
  • Klicken Sie unter Wählen Sie eine verfügbare Gesamtstrukturfunktionsebene auf Windows Server 2003 und dann auf Heraufstufen
  • SAN Zertifikate mit der eigenen CA

    Folgender Befehl wurde auf Zertifikatsserver ausgeführt:

    certutil -setreg policyEditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

    Ergebnis:

    S:DomainTools>certutil -setreg policyEditFlags +EDITF_ATTRIBUTESUBJECTALTNAME2

    SYSTEMCurrentControlSetServicesCertSvcConfigurationF1NaL-CAPolicyModulesC
    ertificateAuthority_MicrosoftDefault.PolicyEditFlags:

    Alter Wert:
      EditFlags REG_DWORD = 11014e (1114446)
        EDITF_REQUESTEXTENSIONLIST — 2
        EDITF_DISABLEEXTENSIONLIST — 4
        EDITF_ADDOLDKEYUSAGE — 8
        EDITF_BASICCONSTRAINTSCRITICAL — 40 (64)
        EDITF_ENABLEAKIKEYID — 100 (256)
        EDITF_ENABLEDEFAULTSMIME — 10000 (65536)
        EDITF_ENABLECHASECLIENTDC — 100000 (1048576)

    Neuer Wert:
      EditFlags REG_DWORD = 15014e (1376590)
        EDITF_REQUESTEXTENSIONLIST — 2
        EDITF_DISABLEEXTENSIONLIST — 4
        EDITF_ADDOLDKEYUSAGE — 8
        EDITF_BASICCONSTRAINTSCRITICAL — 40 (64)
        EDITF_ENABLEAKIKEYID — 100 (256)
        EDITF_ENABLEDEFAULTSMIME — 10000 (65536)
        EDITF_ATTRIBUTESUBJECTALTNAME2 — 40000 (262144)
        EDITF_ENABLECHASECLIENTDC — 100000 (1048576)
    CertUtil: -setreg-Befehl wurde erfolgreich ausgeführt.
    Der Dienst “CertSvc” muss neu gestartet werden, damit die Änderungen wirksam wer
    den.

    Weitere Domaenencontroller Basis 2008 R2

    Es wird ein weiterer Domaenencontroller aufgesetzt um existierende Probleme mit Direct Access evtl. zu loesen. In dem Zuge wird die Domaene darauf vorbereitet, in dem auf dem DC2 ein adprep32 /forestprep und ein adprep32 /domainprep ausgefuehrt wird.

    Meldungen:

    Die aktuelle Schemaversion ist 44.
    Schema wird auf Version 47 aktualisiert.
    Verbindung mit “DC2” wird hergestellt

    Adprep hat die gesamtstrukturweiten Informationen erfolgreich aktualisiert.

    Adprep hat die domänenweiten Informationen erfolgreich aktualisiert.