Monatliche Archive: Mai 2015

Cisco Ironports installiert

Bei einem unserer Kunden darf ich ein Cisco Ironportsystem einrichten welches der Kunde sich ausgesucht hat, welches aus M170 (Managementsystem), S170 (Websecurity) und zwei S170 (Mailprotection) besteht.

Das Ciscosystem ist bis auf einer S170 in einer DMZ einem Exchangesystem vorgelagert und schützt ein- und ausgehenden Web- und Mailverkehr.

Die Internetanbindung wird über ein Sophos HA Cluster realisiert.

In unserem Rechenzentrum steht hinter einem weiteren Sophos HA Cluster die andere S170. Die beiden S170 sind über einen VPN Tunnel verbunden.

Beide S170 sind im DNS eingerichtet, die zweite S170 als Backup MX.

Sollte die Hauptbox oder Leitung ausfallen, laufen Emails erstmal im Rechenzentrum auf und werden später wieder zugestellt wenn die Box wieder verfügbar ist.

LAN-DMZ

 

Der größte Teil ist schon realisiert und läuft – es fehlt noch die Anbindung im Rechenzentrum.


Exchange mit einfachen Mitteln (fast) Hochverfügbar machen

Kategorie: Allgemein , Support

Ich wurde von einigen gefragt, wie man mit einfachen Mitteln ein Exchangesystem bekommt, welches sehr hoch verfügbar ist.

Vor einigen Jahren wurde von einem Kunden ein solches Exchangesystem gewünscht, welches ich realisiert hatte.

Da zwei ESXI vorhanden waren, habe ich dann folgendes Konzept vorgeschlagen:

  • Auf jeden der beiden ESXI zwei Exchange Server installieren.
  • Auf jeden der Hosts kommt ein Exchangeserver mit HUB- und CAS-Funktion (EXCHANGE01 und EXCHANGE02).
  • Der andere Server je Host wurde ein IS (EXCHANGE03 und EXCHANGE04).
  • Auf den EXCHANGE01 und EXCHANGE02 wurde dazu noch ein Windows NLB installiert, welcher dafür sorgt das wenn einer der Knoten ausfällt – der andere Knoten noch HUB- und CAS-Funktionen zur Verfügung stellen kann.
  • EXCHANGE03 und EXCHANGE04 bekommen eine DAG eingerichtet, sollte der aktive Knoten ausfallen übernimmt automatisch der andere Knoten die DAG und stellt weiter den IS zur Verfügung.

EXCHANGE-SYSTEM

Erläuterungen:
HUB = Transportserver (SMTP)
CAS = Client Access Server, vermittelt die Clients an die IS
IS = Informationsspeicher, enthält die Datenbanken mit den Mailboxen
DAG = Data availability Group, Passive Kopie einer Datenbank auf einem anderen Server


Eigene Voucher erstellen für Sophos UTM / XG Wireless Portal

Die Sophos UTM Firewall bietet unter anderem die Möglichkeit Wireless Netzwerke zu verteilen. Dies muss nicht nur zwangsläufig mit den eigenen Accesspoints geschehen, sondern geht auch mit fremden.

Zuvor hatte ich dazu Airport Express verwendet, mittlerweile nutze ich Linksys LAPAC1200. Im Prinzip kann man jedoch jeden Accesspoint nehmen, der VLANs unterstütz.

So habe ich auf den untagged VLAN das interne Datennetz und im VLAN 1003 das Gästenetz.

Das Gästenetz ist umverschlüsselt und hat keinen Zugriff auf das interne Netz, sondern nur auf das Internet selber. Damit nun jedoch nicht jeder mit meinem Netz surft, habe ich von der Sophos das Vouchersystem vorgeschaltet.

Mit dem Vouchersystem kann man nun PDF Dateien erstellen, die Codes für das WLAN enthalten – es können auch verschiedene Zeiten und Volumen vergeben können.

Mit dem Zugang kann man nun Besuch oder deinen eigenen Kindern (wobei meine noch zu klein sind dafür) Codes zur Verfügung stellen, womit sie nach dem vordefinierten Umfang surfen können. Ich habe sogar schon gehört, das sowas als „Belohnungssystem“ verwendet wird (z.B. wenn du spülst bekommst du einen Gutschein für eine Stunde surfen).

Da diese in Englisch sind, habe ich mir diese angepasst.

Mit einem Mac ist das sehr einfach, da er direkt PDFs erstellen kann, aber unter Windows dürfte das auch mit PDF Export Tools wie FreePDFXP gut gehen.

Ich habe dazu in Word (natürlich geht auch Pages usw.) einfach ein A6 Dokument erstellt in Querformat und mir dazu die angehangene Vorlage erstellt.

Wichtig ist die Zeile mit den Zahlen und Ziffern, diese wird später nicht angezeigt – sorgt jedoch dafür, das die Variablen später die angegebenen Zeichen verwenden können. Soll z.B. eine Variable in Fett verwendet werden, so muss die Zeile auch noch mal in Fett eingefügt werden.

Diese dann als PDF speichern (Version 1.4) und in der Sophos unter Wireless Protection > Hotspots > Hotspots > erstellten bearbeiten > ganz unten unter Hotspot Customization > Voucher Template ändern.

Das interessante ist, das dieses feature komplett genutzt werden kann in der kostenlosen Home Version ;).

Beispielvoucher:

voucher

Anleitung zum einrichten des Gäste-WLAN/VLAN: Anleitung

Download Wordvorlage: Voucher-Leibling

P.s.: Beachten Sie auch, das die Seitenränder richtig eingestellt sind (z.B. 0,8 cm) und auch der Abstand zum Seitenrand. Bei Word 2011 finden Sie die Einstellungen unter Datei > Seite einrichten … > Einstellungen: Microsoft Word > Seitenränder … > Einstellungen wie folgt:


Bildschirmfoto 2015-07-16 um 15.31.56

 

Dieser Voucher kann auch für die Sophos XG verwendet werden, beachten sie bitte nur das sie keine Sonderzeichen (z.B. Minuszeichen) im Dateinamen beim Upload verwenden.


Cisco ASA Schulung

In Vorbereitung auf einer Umstellung bei einem Kunden auf Cisco Ironports (M170/S170/C170 sowie weitere C170 im RZ für Ausfallsicherheit) habe ich und ein Kollege bei Cisco an einer ASA Schulung teilgenommen.

Die Ironports laufen schon – bis auf die im RZ, die kommt aber noch in den nächsten 2 Wochen.

Wenn alles klappt. kommt dann im September (hoffentlich erst nach dem 2 Wochen Einsatz in Stockholm) die nächste Schulung für die Cisco Ironports.

Cisco


Sophos neues LAN Modul suchen

Kategorie: Sophos , Support

Bei einer SG230 hatte ich ein 8 x 1 GbE Flexiport hinzugefügt. Leider wurden diese auch nach einem Neustart nicht angezeigt.

Um zu kontrollieren ob dieses gefunden wurde, kann man einfach folgendes eingeben per SSH:

lspci |grep Eth
Werden dort mehr als 6 LAN Ports aufgelistet (z.B. 14) wurde das Modul gefunden.
Um auf einen eventuell vorhanden passive HA-Knoten zu wechseln, benötigt man den folgenden Befehl:
ha_utils ssh

HP Controller in ESXI konfigurieren ohne Downtime

Wenn ein HP Server mit dem ESXI ISO (z.B. 5.5. U2) installiert wurde, dann sind auch die HP Offlinebundle installiert.

In diesem enthalten ist ein Werkzeug mit dem man die HP Controller wie z.B. HP Startarray P410i verwalten kann. Sollte dies nicht funktionieren, bitte schauen ob der Controller auch eine BBU hat – laut einem HP Supporter wäre dies eine Vorraussetzung.

Vorraussetzung ist, das auf dem ESXI SSH aktiviert ist (ESXI vSphere Client > ESXI auswählen links > rechts auf dem Register Konfiguration > Sicherheitsprofil > rechts Sicherheitsprofil Eigenschaften > SSH aktivieren.

Dann mit einem Client wie z.B. Putty per SSH verbinden und mit Rootrechten wie folgt vorgehen:

Controllerdetails anzeigen lassen:

/opt/hp/hpssacli/bin/hpssacli ctrl all show config

Slot

Dort sehen Sie dann in welchen Slot die Karte steckt.

Dann mit einem Rescan die neue Platte einlesen lassen:

/opt/hp/hpssacli/bin/hpssacli rescan

In meinem Fall wurde hier eine 2 TB Platte gefunden (in Bay 5), welche nicht zugeordnet ist.

disk

Diese soll bei mir ohne Raid eingerichtet werden:

/opt/hp/hpssacli/bin/hpssacli ctrl slot=3 create type=ld drives=1I:1:5 raid=0

bay

Danach die Platte im ESXI einrichten. Dazu im vSphere Client rechts den Host auswählen > Registerreiter Konfiguration > Speicher > Speicher hinzufügen … > Asisstenten ausführen.

Sollte kann der folgende Fehler auftreten:

Aufruf von "HostDatastoreSystem.QueryVmfsDatastoreCreateOptions" für Objekt "ha-datastoresystem" auf ESXi "192.168.x.x" ist fehlgeschlagen.

Bitte dann dieser Anleitung folgen: ESXI Fehler beim Platte einrichten

Fertig.

 

Weitere Befehle:

Show configuration
/opt/hp/hpssacli/bin/hpssacli ctrl all show config

Controller status
/opt/hp/hpssacli/bin/hpssacli ctrl all show status

Show detailed controller information
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 show detail

Rescan for New Devices
/opt/hp/hpssacli/bin/hpssacli rescan

Physical disk status
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 pd all show status

Show detailed physical disk information
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 pd all show detail

Logical disk status
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld all show status

View Detailed Logical Drive Status
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 show

Create New RAID 0 Logical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 create type=ld drives=1I:1:2 raid=0

Create New RAID 1 Logical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 create type=ld drives=1I:1:1,1I:1:2 raid=1

Create New RAID 5 Logical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 create type=ld drives=1I:1:1,1I:1:2,2I:1:6,2I:1:7,2I:1:8 raid=5

Delete Logical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 delete (bzw. … forced)

Add New Physical Drive to Logical Volume
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 add drives=2I:1:6,2I:1:7

Add Spare Disks
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 array all add spares=2I:1:6,2I:1:7

Enable Cache
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 modify dwc=enable

Disable Cache
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 modify dwc=disable

Erase Physical Drive
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 pd 2I:1:6 modify erase

Turn on Blink Physical Disk LED
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 modify led=on

Turn off Blink Physical Disk LED
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 ld 2 modify led=off

Modify smart array cache read and write ratio (cacheratio=readratio/writeratio)
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 modify cacheratio=100/0

Disable smart array cache for certain Logical Volume
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 logicaldrive 1 modify arrayaccelerator=disable

Enable smart array cache for certain Logical Volume
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 logicaldrive 1 modify arrayaccelerator=enable

Enable SSD Smart Path
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 array a modify ssdsmartpath=enable

Disable SSD Smart Path
/opt/hp/hpssacli/bin/hpssacli ctrl slot=0 array a modify ssdsmartpath=disable

Quelle: https://kallesplayground.wordpress.com/useful-stuff/hp-smart-array-cli-commands-under-esxi/

Update: Unter ESXI 6.5 Custom ISO heißt das Tools mittlerweile anders – der Befehl lautet:

/opt/smartstorageadmin/ssacli/bin/ssacli

Die Optionen sind wie oben, z.B.:

/opt/smartstorageadmin/ssacli/bin/ssacli ctrl all show

Exchange: „Senden als“ Beiträge im „richtigem“ Postfach

Wenn ein Benutzer ein weiteres Postfach geöffnet hat, und Mails mit „Senden als“ versendet – werden diese im Postfach des Versenders abgespeichert.

Damit dies nicht geschieht kann man folgendes Einstellen in der Registry:

HKEY_CURRENT_USER\Software\Microsoft\Office\11.0\Outlook\Preferences
Die “11.0” steht für die Office-Version (2003) –> demnach könnte es auch z. B. “14.0” bei euch lauten (Office 2010)
Hier muss ein neuer Wert erstellt werden:
Typ: Dword(32)
Name: DelegateSentItemsStyle
Wert: 1

Andere Alternative wäre, dies auch im OWA einzustellen (siehe Link unten) – erfordert Exchange 2010 SP2 RU4.

 

Alternativ ab Exchange 2010 SP3 geht dies auch mit einem Befehl Serverseitig:

Set-MailboxSentItemsConfiguration "Customer Support Feedback" -SendAsItemsCopiedTo SenderAndFrom

Quellen:

https://technet.microsoft.com/en-us/library/jj884078(v=exchg.141).aspx

http://www.olliv.de/office/senden-als-gesendete-objekte-in-richtigem-postfach-ablegen/

http://www.msoutlook.info/question/278

http://www.slipstick.com/exchange/sending-email-from-a-secondary-exchange-mailbox/


Exchange 2013: OWA unsichere Anlagen nicht mehr blockieren

Standardmäßig werden im Exchange 2013 unsichere Anlangen wie EXE, CRT usw. nicht freigegeben zum Download.

Sollen diese nun doch freigegeben werden, so kann man dies im ECP einstellen.

  • Logen Sie sich im ECP ein.
  • Gehen Sie nach Berechtigungen > Outlook Web App – Richtlinien.
  • Editieren Sie die Default-Richtlinie.
  • Unter dem Punkt Dateizugriff können Sie die Freigaben erlauben.


Upgrade der Serverlandschaft

Über ein halbes Jahr nutzte ich einen kleinen schicken DELL T20 Server (Quad Core Xeon, 32 GB ECC Registered RAM, 250 GB SSD, 500 GB SSD und 2 x 4 TB SATA).

Doch nun ist der kleine am Ende seines Ausbaus – deswegen habe ich mich entschieden einen dickeren Server zu holen, der mehr Upgrademöglichkeiten bietet.

Dazu habe ich mir einen schicken HP geholt mit folgender Ausstattung:

  • HP Server
  • 2 x Quad Core Xeon
  • upgrade von 16 auf 32 GB ECC Registered RAM
  • 2 x 146 GB SAS HDD
  • SmartArray P410i Controller
  • Dual GBit LAN
  • Redundantes Netzteil

Aufrüstmöglichkeiten die der Server bietet:

  • Bis insgesamt 25 HDDs
  • Bis 192 GB RAM (12 Bänke)
  • 3 PCIe Steckplätze

Folgende Erweiterungen habe ich schon vorgenommen:

  • Einbau einer 2 TB SATA HDD
  • Einbaue einer 500 GB SSD
  • Upgrade auf 64 GB ECC Registered RAM
  • iLO2 Advanced Lizenz gekauft
  • Windows 2012 R2 Standard Lizenz
  • BBU (Battery Backup Unit – Akku für den Controller)

Heute fange ich schon mal an, die ersten Umstellungen vorzubereiten.

Ich halte euch auf dem laufenden 🙂 …

Update:

Leider verbrauch der „große“ aber auch eine Menge mehr Strom als der „alte“ Server. Während der sich mit ca. 50W begnügte, verbrauch der „neue“ Satte 230W.

Das sind bei meinem Stromtarif ein Unterschied von knapp 9€ zu 40€ im Monat :(.

Ein paar Überlegungen zum Stromverbrauch wären:

  • Benötigt man die 2. CPU wirklich (ca. 60W)?
  • Benötigt man das 2. Netzteil (ca. 10W)?
  • Reicht auch das „Stromsparende“ Serverprofil (im iLO oder Bios einzustellen, dann haben alle Kerne jedoch nur 1.6 GHz statt 2,67 – ca. 30W)?
  • Weniger große statt mehrere kleine Platten, SSD statt herkömmliche Platten (normale Platte ca. 6W, SSD nur ca. 2W).