Category Archives: Microsoft

Technet IT-Camp Köln

Am 02.02.12 fand das IT-Camp von Microsoft in Köln statt. Da ich mir einen der begehrten Plätze sichern konnte, gibt es hier eine kleine Zusammenfassung, was geboten wurde und welche Themen auf der Agenda standen.
Zunächst einmal ist das IT-Camp ein neues Veranstaltungsmodell von Microsoft. In diesem Rahmen sollen die Teilnehmer ihre eigene Hardware (Notebook) mitbringen und können über RDP auf eine Virtuelle Umgebung zugreifen und so einige Übungen durchführen.
Im Zeichen dieses IT-Camps stand natürlich die beiden Themen Migration und das derzeit angesagte Thema Virtualisierung (Cloud). Nach einer Einführung beschäftigte sich der Vormittag mit allem rund um die Migration. Dazu konnte man per Handout einige Teilmigrationen von Server 2003 auf 2008 R2 durchführen. Unter anderem File-/DHCP und Domänen- Migration. Auf weitere Themen, wie PKI-/Print- Migration wurde ebenfalls eingegangen. Die Handouts waren eine Schritt für Schritt Anleitung, so dass jeder Teilnehmer die Möglichkeit hatte, alle Schritte nachzuvollziehen und selbst auszuprobieren. Die beiden Dozenten Carsten Rachfahl (www.rachfahl.de) und Lars Schmoll (Microsoft) standen immer zur Seite und schwirrten durch die Reihen um Fragen und Probleme schnell zu lösen.
Der Nachmittag stand nun im Zeichen von Hyper-V. Allerdings gab es hier, aufgrund der Zeit, keine Möglichkeit mehr, eigene Versuche oder Übungen durchzuführen. So wurde es zu einer Informativen Informationsveranstaltung zum Thema Hyper-V und es gab einige Interessante Informationen zum neuen SCVMM 2012.
Zusammenfassend finde ich das Konzept durchaus gelungen und sehr informativ. Allerdings fand ich, dass gerade zum Thema Hyper-V “zu viele” Einsteigerinformationen geliefert wurden. Hier hätte man die Zeit ein wenig für tiefgreifende Informationen und Hintergründe verwenden können.

IT-Camp Cologne Themen Migrationen und Hyper-V

Installation Exchange SP2

Am 04.12.2011 hat Microsoft das Service Pack 2 zu Exchange 2010 veröffentlicht. Da ich ein wenig Zeit gefunden habe, meine Umgebung ein wenig zu aktualisieren, habe ich das zum Anlass genommen, dass SP2 zu installieren.

Zu den Interessantesten Neuerungen gehöret z.B. die Neuauflage der Mini-Version von Outlook Web App. Diese ist speziell für den Webzugriff über Smartphones gedacht. Ansonsten finden sich viele Verbesserungen im Detail und eine verbesserte Cloud-Kompatiblität. Alle Neuerungen sind unter folgenden Link einsehbar: http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=4e5554f9-a5ce-40d6-8353-94d5a34b635e

Die Installation selbst, ist ziemlich unspektakulär, nachdem alle Parameter konfiguriert wurden, läuft die Setuproutine durch und aktualisiert alle erforderlichen Rollen.

Nachdem die Rollen aktualisiert wurden, ist kein Neustart erforderlich und der Exchange steht weiterhin den Usern zur Verfügung.

Um z.B. die neue Funktionalität der Outlook Mini Anwendung in Augenschein zu nehmen, genügt der Aufruf von “https://mail.domain,de/owa/oma” im Internet Explorer. Nach erfolgreicher Authentifizierung sieht man bereits die sehr minimalistische Oberfläche. Anbei mal zwei Bilder, einmal nach Login und daneben die Ansicht auf den Posteingang.

Login- und Posteingangsansicht bei Login via OMA

Das SP2 kann unter folgendem Link bezogen werden: http://www.microsoft.com/downloads/de-de/details.aspx?FamilyID=4e5554f9-a5ce-40d6-8353-94d5a34b635e

 

Installation einer Offline Root CA

Aufgrund eines Fehlers und wahrscheinlich, weil ich nicht aufgepasst habe, habe ich bei der Migration von ESXi auf Hyper-V eine VM gelöscht, auf der meine Offline CA gespeichert war. Natürlich hatte ich ausgerechnet von diesem Zertifikat keine Datensicherung des privaten Schlüssels. Da in der Root CA auch noch ein Designfehler vorhanden war bzgl. der CRL, habe ich mich dazu entschieden, ein neues Root Zertifikat zu erstellen und die vorhandenen Designfehler zu korrigieren.

Da sieht man mal wieder, wie wichtig eine vernünftige Planung, auch in einer Testumgebung ist und das man natürlich die Datensicherung, gerade von kritischen Geräten nicht vergessen sollte 😉

Die Grundkonfiguration lässt sich mit folgenden Schritten schnell erledigen:

  1. 1. Standard-Installation von Windows Server 2008 R2 Enterprise Edition (Aktivierung auch gleich erledigen)
  2. Primären DNS-Suffix eintragen
  3. Unter C: ein Verzeichnis ADCS mit zwei Unterverzeichnissen “Database” und “Logs” anlegen
  4. Serverrolle Active Directory Zertifikatsdienste (Active Directory Certificate Services) installieren
  5. Bei Rollendiesten “Zertifizierungsstelle” auswählen
  6. Installationstyp “Eigenständig
  7. Zertifizierungsstellentyp “Stammzertifizierungsstelle
  8. Privater Schlüssel “Neuen privaten Schlüssel erstellen
  9. Kryptografiediensteanbieter: “RSA#Microsoft Key Storage Provider
    1. Schlüsselzeichenlänge “4096” (meine Empfehlung)
    2. Hashalgorithmus “SHA1
  10. Allgemeiner Name dieser Zertifizierungsstelle “F1NaLByte Root Authority” (denkt euch euren eigenen aus 😉 )
  11. Gültigkeitsdauer, da es sich um eine Offline Root CA handelt, kann diese zwischen 20 und 30 Jahren liegen. Wenn dieses Zertifikat kompromitiert werden sollte, verliert es ohnehin seine Gültigkeit.
  12. Zertifikatdatenbank, auswählen des im Vorfeld angelegenten Database-Verzeichnis für die Datenbank und Logs-Verzeichnis für die Logs.

Restliche Abfragen mit Standardwerten bestätigen. Daraufhin ist die Rolle installiert.

Konfiguration Sperrlistenverteilungspunkt

Nun müssen die Sperrlisteninformationen angepasst werden, dass ist wichtig! Hier sind zunächst alle Einträge mit “ldap” und “file” zu löschen, siehe Bild.

Das ganze sollte, nach geänderter Konfiguration, folgendermaßen aussehen:

Eintragen einer verfügbaren URL

Konfiguration Stelleninformationen

Zuletzt sollte ebenfalls der Zugriff auf die Stelleninformationen angepasst werden.

Konfiguration des Zugriffs auf die Stelleninformationen

Veröffentlichung der Sperrliste

Nächster Schritt ist die Konfiguration für das Veröffentlichungsintervall der Sperrliste. Da ich mit dieser Root CA nur meine Sub CA autorisiere, kann das Intervall ziemlich hoch eingestellt werden. Dies sollte aber im Einzelfall betrachtet werden. Bei Ausstellung von mehrere SubCA, sollte man das Intervall entsprechend der Anforderungen anpassen. In meinem Fall habe ich mich für 2 Jahre entschieden.

 

Konfiguration der Zertifikatssperrliste
Zertifikatssperrliste Konfiguration

Nun muss noch die Zertifikatssperrliste veröffentlicht werden: Veröffentlichung der Zertifikatssperrliste

Ist der “File-Pfad” nicht verändert worden, so befindet sich die veröffentlichte Sperrliste nun an folgendem Ort: “C:WindowsSystem32CertSrvCertEnroll

Speicherort der Sperrliste

Diese beiden Dateien können nun mit dem Root- Zertifikat exportiert werden. Die beiden Dateien müssen unter der konfigurierten URL auf dem Webserver zur Verfügung gestellt werden.

Damit ist die Konfiguration der Offline Root CA abgeschlossen und alle notwendigen Dateien stehen zur Verfügung. Der nächste Schritt wäre die Erstellung einer untergeordneten Online CA (SubCA) die, beispielsweise, im Active-Directory veröffentlicht ist.

Schemaerweiterung für SCCM2012

Die Installation der derzeitig, frei verfügbaren System Center Configuration Manager 2012 Beta 2 ist in Vorbereitung. Dazu wurde gerade eine Schemaerweiterung auf einem Domänencontroller erfolgreich abgeschlossen (Successfully extended the Active Directory schema).

Vorgehen erfolgte nach folgendem TechNet-Artikel: SCCM Schemaerweiterung TechNet

Nach der Schemaerweiterung muss noch der Container “System Management” angelegt werden, dieser wird durch die Schemaerweiterung nicht automatisch angelegt.

  • Zum Anlegen des Containers “System Management” ADSI-Edit mit Domänenrechten starten.
  • Rechtsklick Container “System” ->Neu->Objekt
  • Auswahl von “Container”
  • Name: System Management

Mit diesem Vorgehen ist der Container System Management nun vorhanden. Siehe auch TechNet-Artikel

Im nächsten Schritt muss dem Computerobjekt, auf dem der SCCM installiert ist, Schreibende Berechtigung auf den Container eingerichtet werden.

 

VM aus dem SCVMM entfernen ohne Löschen der VHD`s

Bei der Migration einer Debian-Maschine wurden nur die vmdk-Files in vhd transferiert. Danach bekamm ich vom SCVMM einen Timeoutfehler (Error 3101) angezeigt. Die Maschine wurde zwar im Hyper-V-Manager erstellt, aber ohne Konfiguration der Hardware. Da die VHD`s nun vorhanden waren, wollte ich diese nicht löschen oder einen Neustart versuchen.

So konnte ich im Hyper-V-Manager die Hardware hinzufügen und die VM danach starten und die restlichen SChritte aus dem vorherigen Artikel durchführen und die Migration war abgeschlossen.

Leider übernahm der SCVMM-Manager auch durch Aktualisierung nicht, dass die VM nun Lauffähig war. Hier blieb nur die Option “Auftrag wiederholen” und “Löschen”Leider bietet der SCVMM keine Möglichkeit, nur den Eintrag zu löschen. Hierbei muss der Umweg über die Datenbank gegangen werden.

  1. Beenden des Virtual Machinge Manager Service.
  2. Aufrufen des SQL Management Studio, auf dem Server auf dem die SCVMM DB (Default: VirtualManageDB) abgelegt ist
  3. Öffnen der Datenbank und erweitern der Tabelle
  4. Rechtsklick auf tbl_WLC_VObject und z.B. die “obersten 200 Zeilen bearbeiten”.
  5. In der Spalte “ObjectState” könnt ihr den Status der VM sehen. dort sucht ihr euch den Status der VM raus, die ihr entfernen wollt, in meinem Beispiel Status 310.
  6. Mit dem Skript aus dem Artikel “RemoveMissingVMs”  werden alle VMs aus der SCVMM Datenbank entfernt, die den angegebenen Status anzeigen.
  7. Ihr könnt das Skript in SQL auf die bestehende Tabelle anwenden.
  8. Nachdem das Skript ausgeführt wurde, sieht die Ausgabe z.B. so aus:

Danach könnt ihr das SQL Server Management Studio schließen und den Dienst “Virtual Machine Manager” starten. Sobald sich die SCVMM-Konsole öffnet, fällt euch die fehlende VM auf. Diese wird durch Aktualisieren des Hosts wieder angezeigt und mit dem korrekten Status importiert.

Weitere Artikel:

Migration V2V ESXi to Hyper-V (SCVMM 2008 R2)

So, nachdem die Regeneration der Serverhardware am Wochenende abgeschlossen wird, ist es Zeit die VM`s langsam vom ESXi zum Hyper-V zu verschieben.

Dazu habe ich den ersten ESXi durch eine Server 2008 R2 Installation mit der Roller Hyper-V ersetzt. Da der erste Hyper-V auch gleichzeitig ein virtuelle Maschine mit dem ISCSI-Target als SAN inne hat, wurde auf die Servercore-Installation verzichtet, da ich den RAID-Controller im Laufenden Betrieb managen möchte.

Eine V2V Migration über den SCVMM funktioniert nur mit einigen Vorraussetzungen, die vorher beachtet werden müssen. Hier sei angemerkt, dass der VMware Converter von VMware wesentlich Leistungsfähiger ist, als der Converter im SCVMM 2008 R2.

Solltet Ihr die ESXi-Hosts ohne vSphere Center betreiben, empfehle ich euch, für eine Übergangszeit, den vSphere-Center-Server zu installieren, dieser ist ja für 60 Tage kostenlos. Damit ist eine Migration wesentlich einfacher, da so auch die ESXi Hosts im SCVMM verwaltbar werden.

Eine Migration der VM`s vom ESXi, die in der Hardware Version 7 erstellt wurden und möglicherweise noch mit dem SCSI-Controller VMware Paravirtual ausgestattet sind, ist nicht ohne vorherige Maßnahmen möglich. Um bei diesen VM`s eine V2V Migration per SCVMM zu ermöglichen, ist zunächst ein Zwischenschritt über den VMware Converter notwendig. Die Freeware Version reicht aus.

Über den VMware Converter konvertiert ihr die Maschine unter der Angabe eines anderen Namens (z.B. Zusatz “N”) auf den gleichen Host. Dabei wählt ihr als Hardware-Version “4” und als SCSI-Controller LSI Logic. Nach Abschluss der Migration könnt ihr die neue VM nun, nach der genannten Anleitung, auf einen Hyper-V Host migrieren.

Um eine Migration einer ausgeschalteten VM über den SCVMM vorzunehmen, sind folgende Punkte zu beachten:

1. Falls vmxnet (2)(3)-Netzwerkkarten verwendet werden, diese deinstallieren und durch E1000 Kompatible Netzwerkkarten mit der gleichen Konfiguration ersetzen

2. Nach einem Neustart Deinstallation der VMware-Tools

3. Die VM muss im ausgeschalteten Zustand sein, um eine Migration per SCVMM vornehmen zu können.

4. Im SCVMM V2V-Migration auswählen. In Bibiliotheksfenster werden die ausgeschalteten VM`s angezeigt. Hier wählt ihr die zu migrierende VM aus.

5. Danach wählt ihr noch den neuen Host und die Netzwerkkarten aus (ich verbinde die Karten noch nicht, sondern wähle nur das Netzwerk aus).

6. Nun beginnt die Migration. Zunächst wird die Konvertierung der vmdk-Files in vhd-Dateien vom SCVMM vorgenommen, dass kann je nach Größe der zu migrierenden VM einige Zeit dauern.

7. Nach Abschluss der Migration könnt ihr die VM starten und die Netzwerkkonfiguration vornehmen.

8. Prüft die Ereignisanzeige auf FEhler oder ähnlichem. Sollte euch nichts negatives auffallen, könnt ihr nun die Alte VM auf dem ESX(i) Host löschen.

 

 

Migrationsvorbereitung ESXi zu Hyper-V

In nächster Zeit liegen bei mir doch noch so einige Projekte an. Zunächst steht ein Wechsel der Virtuellen Maschinen von ESXi zu Hyper-V an. Gründe liegen vor allem in den benötigten Features.
Der ESXi bringt viele Features mit, die ich von Hause aus nicht benötige. Features die ich benötige sind wiederrum nur in den Lizenzpflichtigen Versionen enthalten (z.B. vMotion).
Aufgrund der Lizenzrechtlichen Geschichte und der ausreichenden Features von Hyper-V werde ich meine derzeitigen Virtuellen Maschinen nach und nach zu Hyper-V migrieren.

ODBC Verbindung SQL Server 2008 R2 Express

Für einen Kunden benötigten wir einen SQL Server 2008 R2 Express. Dieser sollte über die LAN-Verbindung ansprechbar sein und es sollte eine ODBC-Verbindung für bestehenden Datenbanken und weitere Clients eingerichtet werden. Dabei stellten sich die ein oder anderen Schwierigkeiten heraus, da der SQL Server Express sich bei den Management Werkzeugen zum Vorgänger unterscheidet.
Bei der Vollinstallation des SQL 2008 R2E werden zwar alle Komponenten installiert, aber einige benötigte Dienste bleiben mittlerweile Standardmäßig deaktiviert. Dazu gehören unter anderem auch die Dienste um den SQL 2008 R2E über LAN zu erreichen.
Nach Abschluß der Installation fällt auf, dass es im Programmordner nur noch den Eintrag für das SQL Server Management-Studio gibt. Sucht man hingegen den SQL Server Konfigurations-Manager so ist dieser nun mit in die Computerverwaltung integriert:
SQL-Server-Konfigurations-Manager
Um nun eine Verbindung von außerhalb zu zu lassen, sind folgende Schritte notwendig:
1. Konfiguration der Windows Firewall und öffnen der Ports 1433, 1434 und einen dynamischen Port den hier bereits festlegen würde (z.B. 48124)
2. Unter Computerverwaltung->Dienste den Dienst “SQL Browser” von deaktiviert auf Automatisch einstellen
3. Computerverwaltung -> Dienste und Anwendungen -> SQL-Server-Management-Konfiguration -> SQL-Server-Netzwerkkonfiguration->Protokolle für SQL Express -> TCP/IP auswählen und hier kann ganz am Ende unter dem Punkt “IPall” der dynamische Port fest vergeben werden.

SQL 2008 R2 Express TCP/IP-Konfiguration
SQL 2008 R2 Express TCP/IP-Konfiguration

Nachdem durchführen dieser Schritte sollter einer ODBC-Verbindung von einem externen Host nichts mehr im Wege stehen.
Um den dynamischen Port auch fest im ODBC-Connector zu verwenden, gibt es bei der Einrichtung der ODBC-Datenquelle den Punkt Clientkonfiguration (siehe Screenshot), hier lässt sich ein Port fest bestimmen.
Einrichtung einer ODBC-Verbindung mit SQL 2008 R2 Express und statischen Port
SQL2008R2E ODBC

Solltet Ihr Probleme haben, so hinterlasst einfach ein Kommentar, ich schau dann mal wo der Fehler liegt.
Ansonsten viel Erfolg.

PDF Indizierung Exchange 2010

Bei der Installation von Exchange 2010 wird standardmäßig das Filterpack von Microsoft installiert. Dieses ermöglich die Volltext-Indizierung von nachfolgenden Dokumenten:

  • Filter für ältere Office-Versionen (97-2003; .doc, .ppt, .xls)
  • Filter für Metro-Office (2007; .docx, .pptx, .xlsx)
  • Zip-Filter
  • OneNote-Filter
  • Visio-Filter
  • Publisher-Filter
  • Filter für Open Document-Format

Wie zu sehen ist, wird das PDF-Format in dieser Sammlung nicht aufgelistet. Da PDF ja einen quasistandard darstellt, sollte die Funktion zur Volltext-Indizierung dieses Formats nachträglich installiert werden. Dies ist durch den Adobe PDF iFilter möglich.

Dieser kann  unter http://www.adobe.com/support/downloads/detail.jsp?ftpID=4025 bezogen werden.

Leider ist es mit der reinen Installation nicht getan. Es müssen einige Konfigurationsschritte manuell auf den entsprechenden Exchange Servern erfolgen.

  1. Installieren des iFilters
  2. Aufnehmen des Installationspfads in die Pfadvariable
  3. Konfiguration PDF iFilter
  4. Konfigurieren der Registry, zunächst importieren der folgenden Einstellungen:
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftExchangeServerv14MSSearchCLSID{E8978DA6-047F-4E3D-9C78-CDBE46041603}]
@="PDFFilter.dll"
"ThreadingModel"="Both"
"Flags"=dword:00000001
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftExchangeServerv14MSSearchFilters.pdf]
@="{E8978DA6-047F-4E3D-9C78-CDBE46041603}"

Sobald diese Schritte durchgeführt wurden, muss der Server neu gestartet werden.
Um nun auch die PDF Dokumente mit in den Index zu bekommen, muss dieser neu erstellt werden.
Dies geht am besten über die Powershell unter Eingabe von “./ResetSearchIndex.ps1 -force -all” im Scripts-Verzeichnis des Exchange 2010 Installationsverzeichnisses.

Leider dauert der Vorgang mehrere Stunden, aber danach sind nun auch die PDF Dokumente durchsuchbar.

Exchange 2010 SP1 OWA Mails lassen sich nicht löschen – Behoben

Nun ist das Update einige Tage vorrüber und leider hat sich doch ein Fehler nachdem Updateprozess gezeigt. Zum einen wird in der Ereignisanzeige folgender Fehler:
System EventID 3 – WebHost konnte eine Anforderung nicht verarbeiten
Anwendung EventID 108 – Outlook Web App konnte aufgrund eines Konfigurationsfehlers keine Verbindung zu den Exchange-Webdiensten herstellen. Antwortcode = ‘500’.
Es lassen sich keine Mail mehr in OWA löschen. Sobald versucht wird zu löschen oder zu verschieben, wird folgende Fehlermeldung angezeigt:

Exchange 2010 OWA Fehler

Das Problem besteht bei mir nur in OWA. OWA-Light ist davon nicht betroffen. Nach einigen Recherchen habe ich zunächst das SSL-Zertifikat Testweise erneuert und mir die konfigurierten HTTP-Weiterleitungen im IIS angesehen und rekonfiguriert. Doch der Fehler blieb bestehen. So habe ich mir erstmal angeschaut, wie die Konfiguration vom https://www.testexchangeconnectivity.com betrachtet wird und dieser hatte auch einige Einstellungen zu bemängeln.
Danach habe ich ein wenig innerhalb von Technet recherchiert und bin dabei über folgenden Thread gestoßen,Microsoft Technet Forum
Zunächst wurde hier als Lösung angegeben, dass man die web.config unterhalb von (Standardkonfiguration) C:Inetpubwwwroot umbennen soll, z.B. in web.config.old.

Doch dies half bei mir nicht. Der Fehler blieb identisch. Einige passten auch die REchte an, doch dies würde ich aufgrund von Sicherheitsüberlegungen, nicht empfehlen. So fand ich noch einen Tipp, in dem angegeben wurde, dass in der IIS-Konfiguration die Bindungen der “Default Web Site” entfernt werden sollen, wenn diese einen Hostnamen enthalten.
Nachdem ich dies probierte, konnte ich wieder ohne Probleme Mails löschen und verschieben. Eine erneute Prüfung mit https://www.testexchangeconnectivity.com zeigte auch keine Fehler mehr an.

Also, aufrufen von IIS-Manager und unter der “Default Web Site” rechts auf “Bindungen” und bei den Einträgen schauen, ob dort Hostheader angegeben sind (gilt für Port 80). Sollten welche angegeben sein, so können diese Einträge entfernt werden. Danach sollte die komplette Funktionalität von OWA gewährleistet sein. Der Fehler liess sich bei mir nachstellen. Sobald ich ein Eintrag zu den Bindungen hinzugefügt wurde, war die Funktionalität von OWA nicht mehr gewährleistet.