5ain7 ga11 . CH || i7-l3ak5. CH || g07r007.CH

Archive for December, 2012

Firewall loopback policy (Astaro)

by on Dec.20, 2012, under Firewalls, Knowledgebase, Networking

Möchte man von einem internen Subnetz eine von der eigenen Firewall verwaltetet öffentliche IP Adresse erreichen, dann funktioniert das intern NAT nicht wie gewünscht. Bei einer Astaro Firewall schafft folgende NAT Rule Abhilfe. Das Beispiel erlaubt dem internen WLAN Subnetz, den https Ports des Mailservers für Exchange Active Sync zu benutzen.

LoopBackPolicy

LoopBackPolicy

Datenverkehrsquelle => Quelle Subnetze (z.B. WLAN SN)

Datenverkehrsdienst => HTTPs (z.B. für EAS)

Datenverkehrsziel => öffentliche IP des Zielservers

NAT Modus => volles NAT

Ziel => interne IP des Zielservers

Quelle => öffentliche IP des Zielservers

Leave a Comment more...

Exchange 2003-2010 Migration / Rapid Transition Guide

by on Dec.20, 2012, under Exchange 2010, Knowledgebase, Server-Plattformen

Hier noch der berühmte rapid transition guide für die saubere Migration eines Ex2003 nach Ex2010.

rapid-transition-guide-from-exchange-2003-to-exchange-2010

Leave a Comment more...

Exchange 2012 Database is not up to date

by on Dec.12, 2012, under Exchange 2010, Knowledgebase, Server-Plattformen

Nach einem Servercrash liess sich eine einzelne Datenbank nicht mehr mounten. Ein Health-Check mit dem Eseutil ergab folgenden Fehler:

The database is not up-to-date.  Integrity check may find this database is corrupt because data from the log files has yet to be placed in the database.  It is strongly recommended the database is brought up-to-date before continuing!
 

Da sämtliche Files noch auf der Disk vorhanden waren liess sich die Datenbank mit:

<ESEUTIL /R E00 /I /D mydb.edb>

reparieren und danach wieder mounten.

Nachtrag: lässt sich danach ein Postfach auf der Datenbank nicht auf eine andere verschieben oder kann mit dem Handy nicht synchen, dann hat das Postfach noch Fehler:

Error: MapiExceptionNotFound: Unable to synchronize manifest. (hr=0x8004010f, ec=-2147221233)

<New-MailboxRepairRequest -Mailbox user@domain.com -CorruptionType SearchFolder, AggregateCounts, ProvisionedFolder, FolderView>

falls die ganze DB Probleme macht:

<New-MailboxRepairRequest -Database “MYDATABASE” -CorruptionType SearchFolder, AggregateCounts, ProvisionedFolder, FolderView>

(der Flag <-detectonly> zeigt übrigends nur die Fehler auf ohne Korrekturen vorzunehmen)

Dieser Command behebt das Problem. Im Eventlog “Anwendung” sollte dann ID 10062 und 10048 anzeigen, dass die Ausführung durchgeführt wurde.

 

 

Leave a Comment more...

„Unable to join Pool due hardware incompatibility“ mit XENSERVER 6.1 und HW-identischen DL580er

by on Dec.05, 2012, under 6.1, Citrix, Knowledgebase, Server-Plattformen, XEN-Server

Das Problem trat bei einem XENSERVER Pool mit einem Master Server ProLiant DL580 auf. Ich wollte einen identischen HP DL580 in die bestehende Umgebung einbinden. Beim „Pool-Join“ über das GUI kam folgende Meldung:

„Unable to join Pool due hardware incompatibility“.

 XEN Server build Number: 59235p

XEN Server Version: 6.1

Mit dem Versuch, das ganze via CLI zu machen, kam eine bisschen aussagekräftigere Meldung:

<xe pool-join master-address=<host1> master-username=<administrators_username> master-password=<password>>

CPU Differ

Dann habe ich die CPU Einstellungen in der Konsole des Master Servers mit dem Neuen verglichen.

<Cat /proc/CPUINFO>

NX Flag

Bei neuen Server fehlte das NX Flag.

 

Im BIOS des neuen DL580 war die NX (CPU no execute) Einstellung auf disabled. Nach dem enablen konnte ich den Pool joinen.

BIOS\ advanced settings\processor options\no execute memory protection => enable

BIOSNX

 

Leave a Comment more...

LACP und H3C Switches, kleines CLI How-To

by on Dec.04, 2012, under H3c Switches, Knowledgebase, Networking

Konfiguration des BAG:

interface Bridge-Aggregation10
description LACP Link to SW36
port link-type trunk
port trunk permit vlan all
link-aggregation mode dynamic

Konfiguration der einzelnen Ports:

interface GigabitEthernet3/0/3
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 10

interface GigabitEthernet4/0/3
port link-mode bridge
port link-type trunk
port trunk permit vlan all
port link-aggregation group 10

dann mit

<display link-aggregation summary> überprüfen, ob eine MAC Adresse als Partner verbunden ist.

 

 

Leave a Comment more...

Windows Server 2012 “Server 8 Beta” NIC teaming

by on Dec.04, 2012, under Knowledgebase, Windows Betriebssysteme, Windows Server 2012

Hier ein paar interessante Links zum Thema NIC Teaming und LACP im Server 2012 vom Microsoft. Endlich muss nicht mehr auf die HP Network Tools zurück gegriffen werden. Beim Server 2012 ist NIC Teaming und LACP integriert und somit auch Hardware unabhängig.

http://blogs.technet.com/b/meamcs/archive/2012/04/01/windows-server-8-beta-nic-teaming.aspx

http://blogs.technet.com/b/privatecloud/archive/2012/06/19/nic-teaming-in-windows-server-2012-brings-simple-affordable-traffic-reliability-and-load-balancing-to-your-cloud-workloads.aspx

Leave a Comment more...

452 4.3.1 Insufficient system resources beim Exchange 2007

by on Dec.04, 2012, under Exchange 2007, Exchange 2010, Knowledgebase, Server-Plattformen

Es kann vorkommen, dass Emails vom Exchangeserver (in diesem Fall 2007) abgelehnt werden und beim Absender folgender NDR erscheint:

452 4.3.1 Insufficient system resources

Der Applikationslog-Event zeigt die ID 15002 von MSExchangeTransport “The resource pressure is constant at High. Statistics… “. Darin steht auch , dass keine inkommende Emails mehr angenommen werden, da der Speicherplatz auf dem Volumen zu niedrig ist, wo die Queue definiert ist.

Schlicht und einfach mehr Platz auf dem “Queue-Volumen” bereitstellen, den Transport Dienst wieder starten und die Mails flutschen wieder.

Leave a Comment more...

Sicherheitswarnung beim Ausführen von EXE Files

by on Dec.04, 2012, under Knowledgebase, Server-Plattformen, Windows 2008 Server, Windows Betriebssysteme, Windows Remote Desktop

Wenn man z.B. in einer Terminalserver Umgebung (Windows 2008 R2) arbeitet und EXE Files zur Verfügung stellen will, welche auf einem UNC Pfad liegten dann kann folgende Sicherheitsmeldung erscheinen:

Möchten Sie die Datei ausführen? Datei öffnen – Sicherheitswarnung

Sicherheitswarnung

Dies kann mit einer GPO unterdrückt werden, für jegliche Art von Files, bei welchen die Meldung auftaucht.

Benutzerkonfiguration\Administrative Vorlagen\Windows Komponenten\Anlagen-Manager

=> Aufnahmeliste für Dateitypen mit niedrigen Risiko…

 

Anlagenmanager

aktivieren: <.exe> eingeben und OK. Falls mehrere Dateiendungen eingeben werden müssen, diese mit einem Strickpunkt trennen.

 

 

 

Leave a Comment more...

Active Directory Clean Up nach fehlgeschlagenen DC demote

by on Dec.04, 2012, under Knowledgebase, Windows 2003 Server, Windows 2008 Server

Wenn das Entfernen eines Domänencontrollers mit dcpromo.exe oder das demoten eines “werdenden” DCs fehlschlägt, dann wird das AD mit unbrauchbarem Müll gefüllt, welche teils Fehlermeldungen generieren. Server welche in Zukunft z.B. mit dem gleichem Namen ins AD integriert werden wollen können Fehler generieren. Wenn gewisse Einträge bereits in der Replikation eingetragen wurden, dann kann DCDIAG.exe ebenfalls einen Fehler melden.

Abhilfe schafft das NTDSUTIL.
To clean up metadata

1. At the command line, type Ntdsutil and press ENTER.
C:\WINDOWS>ntdsutil
ntdsutil:

2. At the Ntdsutil: prompt, type metadata cleanup and press Enter.
ntdsutil: metadata cleanup
metadata cleanup:

3. At the metadata cleanup: prompt, type connections and press Enter.
metadata cleanup: connections
server connections:

4. At the server connections: prompt, type connect to server , where is the domain controller (any functional domain controller in the same domain) from which you plan to clean up the metadata of the failed domain controller. Press Enter.
server connections: connect to server PROPER-DC
Binding to PROPER-DC …
Connected to PROPER-DC using credentials of locally logged on user.
server connections:
Note: Windows Server 2003 Service Pack 1 eliminates the need for the above step.

5. Type quit and press Enter to return you to the metadata cleanup: prompt.
server connections: q
metadata cleanup:

6. Type select operation target and press Enter.
metadata cleanup: Select operation target
select operation target:

7. Type list domains and press Enter. This lists all domains in the forest with a number associated with each.
select operation target: list domains
Found 1 domain(s)
0 – DC=test,DC=local
select operation target:

8. Type select domain , where is the number corresponding to the domain in which the failed server was located. Press Enter.
select operation target: Select domain 0
No current site
Domain – DC=test,DC=local
No current server
No current Naming Context
select operation target:

9. Type list sites and press Enter.
select operation target: List sites
Found 1 site(s)
0 – CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
select operation target:

10. Type select site , where refers to the number of the site in which the domain controller was a member. Press Enter.
select operation target: Select site 0
Site – CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
Domain – DC=test,DC=net
No current server
No current Naming Context
select operation target:

11. Type list servers in site and press Enter. This will list all servers in that site with a corresponding number.
select operation target: List servers in site
Found 2 server(s)
0 – CN=OLDDC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
1 – CN=OLDDC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
select operation target:

12. Type select server and press Enter, where refers to the domain controller to be removed.
select operation target: Select server 0
Site – CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
Domain – DC=test,DC=local
Server – CN=OLDDC01,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
DSA object – CN=NTDS Settings,CN=OLDDC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local
DNS host name – OLDDC02.test.local
Computer object – CN=OLDDC02,OU=Domain Controllers,DC=test,DC=local
No current Naming Context
select operation target:

13. Type quit and press Enter. The Metadata cleanup menu is displayed.
select operation target: q
metadata cleanup:

14. Type remove selected server and press Enter.
You will receive a warning message. Read it, and if you agree, press Yes.

metadata cleanup: Remove selected server
“CN=OLDDC02,CN=Servers,CN=Default-First-Site-Name,CN=Sites,CN=Configuration,DC=test,DC=local” removed from server “OLDDC01”
metadata cleanup:
At this point, Active Directory confirms that the domain controller was removed successfully. If you receive an error that the object could not be found, Active Directory might have already removed from the domain controller.

15. Type quit, and press Enter until you return to the command prompt.
 To remove the failed server object from the sites

16. In Active Directory Sites and Services, expand the appropriate site.
17. Delete the server object associated with the failed domain controller.

delete server object

To remove the failed server object from the domain controllers container
18. In Active Directory Users and Computers, expand the domain controllers container.
19. Delete the computer object associated with the failed domain controller.

delete computer objects

20. Windows Server 2003 AD might display a new type of question window, asking you if you want to delete the server object without performing a DCPROMO operation (which, of course, you cannot perform, otherwise you wouldn’t be reading this article, would you…) Select “This DC is permanently offline…” and click on the Delete button.

deleting domain controller

21. AD will display another confirmation window. If you’re sure that you want to delete the failed object, click Yes.

accept

To remove the failed server object from DNS
22. In the DNS snap-in, expand the zone that is related to the domain from where the server has been removed.
23. Remove the CNAME record in the _msdcs.root domain of forest zone in DNS. You should also delete the HOSTNAME and other DNS records.

DNS

24. If you have reverse lookup zones, also remove the server from these zones.
Other considerations
Also, consider the following:
• If the removed domain controller was a global catalog server, evaluate whether application servers that pointed to the offline global catalog server must be pointed to a live global catalog server.
• If the removed DC was a global catalog server, evaluate whether an additional global catalog must be promoted to the address site, the domain, or the forest global catalog load.
• If the removed DC was a Flexible Single Master Operation (FSMO) role holder, relocate those roles to a live DC.
• If the removed DC was a DNS server, update the DNS client configuration on all member workstations, member servers, and other DCs that might have used this DNS server for name resolution. If it is required, modify the DHCP scope to reflect the removal of the DNS server.
• If the removed DC was a DNS server, update the Forwarder settings and the Delegation settings on any other DNS servers that might have pointed to the removed DC for name resolution

Ein Dank an (petri.co.il)

Leave a Comment more...

Ändern des DSRM Passwortes

by on Dec.04, 2012, under Knowledgebase, Windows 2008 Server, Windows Betriebssysteme

Wenn ein Windows Server 2008 R2 zu einem DC promoted wurde, dann muss beim Setup zwingend ein Passwort für den Administrator hinterlegt werden. Was nun aber, wenn man das Passwort für den Zugang nach dem demote oder für den “Directory Services Restore Mode” (DSRM => F8 beim boot) nicht mehr weiss?

Die cmd starten:
” q q>

anschliessend kann man sich im DSRM Mode wieder mit:
“.\administrator” und dem aktuellen Passwort anmelden.

Wichtig: Der Sync ist einmalig. Wenn der User Account ändert, dann muss der Synch wieder durchgeführt werden.

Leave a Comment more...

Blogroll

A few highly recommended websites...