Monatliche Archive: Mai 2014

Wireless Gästenetz trennen (z.B. mit Airport Express)

Viele Accesspoints bieten mittlerweile die Funktion mehrere Netze zu erstellen und diese voneinander zu trennen.

Da, die meisten Accesspoints jedoch nur einen LAN Anschluß haben – bekommen die Accesspoints hier VLAN Funktionalität.

Während meistens dies ein Feature der teureren Businessgeräte ist – kann man dieses jedoch auch im Homebereich mit z.B. Airport Express ebenfalls umsetzen. Wenn man dort das Gästenetz aktiviert, wird dies über das (nicht änderbare) VLAN 1003 gemacht.

Nun benötigt man noch einen Switch, der auch VLAN unterstützt – ich persönlich setze dazu einen HP Procurve 1810G-24G ein, welcher alsbald um einen 1810G-8G unterstützt wird.

In dem Switch habe ich das Standard VLAN für das interne LAN verwendet. Dann habe ich dazu noch ein weitere VLAN erstellt mit ID 1003.

Dazu gehen wir in der Managementgui des Switches auf VLAN > VLAN Setup > Add VLAN > Create VLAN ID 1003 > Add.

Danach unter VLAN List dann das VLAN 1003 auswählen und den Button Modify wählen.

Dort packt ihr dann alle Ports rein wo Accesspoints dran hängen, sowie Ports der Firewall und evtl. noch anderer Uplinkports auf andere Switches an denen noch Accesspoints hängen.

Danach dann mit Apply speichern.

Nun muss nur noch entweder auf einer Physischen Firewall eine weitere Schnittstelle angelegt werden vom Typ Ethernet VLAN mit der entsprechenden ID.

Solltet ihr einen ESXI verwenden ist es auch nicht schwer. Öffnet die Console und meldet euch an.

Wählt den Host > Konfiguration > Netzwerk > entsprechenden vSwitch öffnen > Hinzufügen > Virtuelle Maschine > Name und VLAN ID vergeben.

Danach dann der virtuellen Firewall einfach die neue Schnittstelle hinzufügen (diese jedoch nun ohne VLAN ID, da das Tagging schon vom ESXI übernommen wird).

Zu guter letzt nur noch NAT und Firewall einrichten.

Wenn man noch gerne Wireless Zugang über Voucher regeln möchte – bietet sich hier auch die Sophos an mit der Wireless Protection (ist in der kostenlosen Home enthalten).

 

Weitere Infos: http://tech.krizic.net/2013/09/apple-airport-extreme-guest-mode-with.html

http://www.binaryspiral.com/2014/01/25/sophos-home-firewall-with-captive-portal-guest-network-using-airport-extreme-aps/


Robocopy und verify

Kategorie: Diverse , Support

Robocopy kann Dateien kopieren, ggf. auch nur die fehlenden. Wenn ein Copy jedoch abgebrochen wird, wird die volle größe angezeigt – ohne jedoch das diese wirklich heile ist.

z.B. robocopy /mir /w:1 /r:1 quelle ziel

Mit /b kann man auch Dateien kopieren deren Rechte man nicht hat (man muss jedoch Sicherungsoperator sein, hat man sich gerade erst der Gruppe hinzugefügt muss man sich auch erneut anmelden).

Mit /efsraw kann man sogar Dateien kopieren, die verschlüsselt sind.

 

Jedoch die Checksumme kann man mit Robocopy nicht prüfen – hier sind weitere Boardmittel nötig. Z.B. das Tool:

Im Quellordner:

fciv d:\quelle -r -bp d:\quelle -xml check.xml

und vergleichen dann mit dem Zielordner:

fciv -v -bp d:\ziel -xml check.xml

So werden dann nur die fehlerhaften bzw. fehlenden Dateien angemeckert.

 

Weitere Infos: http://www.heise.de/ct/hotline/Kopierte-Dateien-ueberpruefen-326742.html


ESXI Festplatte durchreichen (Raw Device Mapping, RDM)

Auf dem ESXI SSH aktivieren (ESXi > Konfiguration > Sicherheitsprofil).

Dann auf dem ESXI per SSH und dann wie folgt:

  • cd /dev/disks
  • ls -l
  • Entsprechende Plattenbezeichnung suchen (Name der Platte, alles ohne *:x) und kopieren
  • Dann cd /vmfs/volumes
  • In das Verzeichnis der Platte und dann wieder in das der VM
  • vmkfstools -z /vmfs/devices/disks/<name of RAW device from Step 1> <RDM name>.vmdk
  • VM Konffiguration aufrufen und die Platte hinzufügen

Weitere Infos: http://blog.davidwarburton.net/2010/10/25/rdm-mapping-of-local-sata-storage-for-esxi/

 

Tip:

Sollten mehrere der selben Platten im System sein und das zuordnen schwer fallen, als erstes auf die Plattengröße achten (hier z.B. 2 TB):

-rw------- 1 root root 2000365379584 Jul 31 20:44 naa.600508b1001c6a4387be79a792950de2

Platten die schon verwendet werden, haben weitere Einträge gefolgt von Doppelpunkt und laufender Nummer(n):

-rw------- 1 root root 2000365379584 Jul 31 20:44 naa.600508b1001c6e697a5dc0d0784faf97
-rw------- 1 root root 2000364240896 Jul 31 20:44 naa.600508b1001c6e697a5dc0d0784faf97:1

Sollten sie die richtige Platte gefunden haben, benötigen Sie den vorderen Teil:

lrwxrwxrwx 1 root root 36 Jul 31 20:44 vml.0200050000600508b1001c6a4387be79a792950de24c4f47494341 -> naa.600508b1001c6a4387be79a792950de2

Somit ergibt sich also folgender Befehl:

vmkfstools -z /vmfs/devices/disks/vml.0200050000600508b1001c6a4387be79a792950de24c4f47494341 FILESERVER-MEDIA.vmdk

 


Festplattendurchsatz messen

cmd (als Admin) und folgendes eingeben:

winsat disk -seq -read -drive c


SBS 2011 Auslastung zu hoch

Wenn ein SBS 2011 zu viel Ram verbraucht und kaum noch RAM für Anwendungen verfügbar sind, kann der Speicher denn der Server verbraucht eingegrenzt werden (obwohl laut Microsoft dies nicht nötig ist).

Exchange 2010:

ADSIEdit.msc öffnen und unter Configuration > Services > MS Exchange > First Organisation > Administrative Groups > Exchange Administrative Groups >Servers > „Servername“.

Dann unter Information Store rechte Maustaste und die Werte msExchESEParamCacheSizeMin und msExchESEParamCacheSizeMax einstellen. Dazu GB x 1024 x 1024 / 32 einstellen. (Anm.: Bei Meyer musste ich auch noch msExchESEParamCacheSize – wie …Max –  angeben, da sonst der RAMverbrauch nicht stieg).

Dann Informationstore neustarten.

Weitere Infos unter: http://www.pcxpress.de/pcxblog-ein-blog/item/sbs-2011-exchange-2010-store-exe-ram-beschraenken

 

WSUS DB:

SQL Mangementstudio öffnen (mit rechter Maustaste als Administrator) > Datenbankmodul auswählen > Als Quelle \\.\pipe\mssql$microsoft##ssee\sql\query auswählen und öffnen.

Dann in den Servereigenschaften unter dem Registerrreiter Arbeitsspeicher denn Ram auf 256 MB anpassen.

Danach den Dienst neustarten.

Weitere Infos unter: http://blog.mpecsinc.ca/2011/07/sbs-2011-wsus-sql-memory-usage-is-very.html

 

Andere Datenbanken:

Wie zuvor, jedoch dann einfach die entsprechende Datenbank auswählen (z.B. Acronis, Backup Exec, Sharepoint, SBSMonitoring, ScanMail usw.).

 

DNS verbraucht zu viel RAM:

Der Verbrauch des RAMs gestaltet sich nach Anzahl der CPUs. Weiterhin macht der Server ca. 2500 (IPv4) und wenn benötigt weitere 2500 Sockets (IPv6) auf – dies so vor Spoofing schützen. Wird der Server jedoch nur im LAN benötigt, braucht der Server nicht so viele Ports. Dann kann man mit „dnscmd /Config /SocketPoolSize 1000“ den Verbrauch eindämmen.

Weitere Infos: https://www.gservon.de/microsoft-dns-server-benotigt-zu-viel-arbeitsspeicher

 

Zur Kontrolle unter Computerverwaltung > Leistung einen benutzerdefinierten Plan erstellen (System als Basis) und diesen jede Stunde laufen lassen (begrenzen z.B. auf 5 Minuten).

Später können diese dann verglichen werden, wichtig sind RAM, CPU und Datenträger (Anzahl Warteschlangenlänge, darf max 1 x Anzahl Spindeln sein).

 

Um Netzwerkstabilität zu steigern, könnte noch ein weitere DC mit DNS eingesetzt werden (DHCP dann anpassen, das dieser auch verwendet wird).

 

UPDATE:

Bei Meyer hatte ich wieder Probleme nach einer Weile, nach der Kontrolle mit Perfmon stellt sich heraus das zum einen die Exchange DB und zum anderen die SBS-Monitoring DB zu hohe Festplatten I/O machten. Den Exchange habe ich ausgegliedert (geht auch bei SBS, jedoch weitere Lizenzen erforderlich) und die Datenbank für den SBS-Monitoring habe ich auf Manuell gestellt sowie den SBS Manager Dienst.


Sophos mit VDSL (Telekom)

Um Sophos UTM mit einer VDSL Leitung der Telekom (z.B. VDSL 50) zu betreiben wird ein Modem benötigt. Leider gibt es keine puren VDSL Modems.

Hier kann man jedoch das Zyxel VMG1312-B30A verwenden, dieser läßt sich dann als Bridge einrichten.

Dazu im Setup des Gerätes Bridge auswählen und WLAN deaktivieren. Danach dann in der Oberfläche unter Netzwerkeinstellungen > Breitband das VDSL Profil editieren und bei 802.1q (nicht p) dann VLAN aktivieren und mit 7 Taggen.

Bei der Einrichtung des Interfaces auf der Sophos DSL (PPPoE) wählen jedoch bei VDSL den Hacken rauslassen. Dann schauen das in den erweiterten Einstellungen darauf achten, das VLAN 7 getaggt ist und eine entsprechende Uhrzeit zur Trennung eingestellt ist.

 

Weitere Links:

http://networkguy.de/?p=628