Dem Armin sei Seidn

Dem Armin sei Schmierzettel

Contentklaubande RSSING.COM RP6Ek06s2D12s40v9592

leave a comment

RP6Ek06s2D12s40v9592

/ironie

Vielen lieben Dank  www.rssing.com fürs Abgrasen von andereleutes Inhalten ohne Nachfragen oder zumindes Bescheid zu geben.

/ironieaus

Ich bin „leicht“ sauer.

Weiter gehts:

Nach dem „Claim“ meines Feeds hab ich natürlich das Formular zur Löschung ausgefüllt (19.04.17 ca. 13:10). Erwartet hab ich ehrlich gesagt nicht viel, nachdem ich im Netz mich über rssing.com rumgegoogelt hab.

Dann gabs die beiden folgenden Emails von denen:

Date: 19.04.17 13:55
From: no-reply@rssing.com (ja ne, is klar: no-reply. Die wollen nicht mit mir reden)
Subj: [RSSING-2021197] remove channel request

ip: 84.150.196.xxx
subject: remove channel request
request: Request RSS channel to be removed from our site
name: Armin
email: info (at) asenger.de
chanurl: http://aphorised61.rssing.com/chan-43470074/latest.php
indx: 43470074
itemcnt: 74
title: Dem Armin sei Schmierzettel
note:
Site owner

Na immerhin, dachte ich mir. Zumindest das Formulardinges scheint zu funkionieren. Also mal abwarten…

Date: 120.04.17 00:28
From: no-reply@rssing.com
Reply-to: oneworldonesite@yahoo.com (???)
Subj: REMOVED [RSSING-2021197] remove channel request

Removed.
Regards,
Support
——————————————————–

ip: 84.150.196.xxx
subject: remove channel request
request: Request RSS channel to be removed from our site
name: Armin
email: info (at) asenger.de
chanurl: http://aphorised61.rssing.com/chan-43470074/latest.php
indx: 43470074
itemcnt: 74
title: Dem Armin sei Schmierzettel
note:
Site owner

Der Direktlink funktioniert schon mal nicht mehr. Gut so. Ich werde die Jungs sporadisch auf die Finger schauen.

 

Written by Armin Senger

April 19th, 2017 at 1:47 pm

Posted in Allgemein

DNS-Cache leeren

leave a comment

Quelle: http://www.arnebrodowski.de/wiki/DNS-Cache-leeren/

DNS-Cache leeren

Nachfolgend die Befehle um den DNS-Cache unter verschiedenen Betriebssystemem zu löschen. Der DNS-Cache ist ein Zwischenspeicher für erfolgreiche DNS Auflösungen, mehr dazu auf Wikipedia oder im Blog.

Mac OS X Lion, Mountain Lion (10.7, 10.8)

sudo killall -HUP mDNSResponder

Mac OS X Leopard, Snow Leopard (10.5, 10.6)

sudo dscacheutil -flushcache

Mac OS X Tiger (10.4)

lookupd -flushcache

Windows 2000/XP/Vista

ipconfig /flushdns

Unter Vista muss man die Eingabeaufforderung als Administrator ausführen (Rechtsklick), damit dieser Befehl erfolgreich ist. Ansonsten bekommt man folgende Fehlermeldung:

Der angeforderte Vorgang erfordert erhöhte Rechte

Linux

Unter Linux gibt es standardmäßig keinen DNS-Cache, setzt man jedoch nscd(Name Service Cache Daemon) ein, hilft ein restart des Dienstes, z.B. mit:

/etc/init.d/nscd restart

 

Written by Armin Senger

April 11th, 2017 at 11:17 am

Posted in IT

Exchange 2013: SAN Zertifikat und interne Zertifizierungsstelle (CA)

leave a comment

Quelle: https://www.frankysweb.de/exchange-2013-san-zertifikat-und-interne-zertifizierungsstelle-ca/

Exchange 2013: SAN Zertifikat und interne Zertifizierungsstelle (CA)

 

In diesem HowTo beschreibe ich, wie eine Interne Zertifizierungsstelle installiert wird und wie man ein SAN-Zertifikat für Exchange 2013 ausstellen lassen kann. Dieses HowTo ist nicht für eine produktive Umgebung gedacht. Die Implementierung einer Zertifizierungsstelle muss sorgfältig geplant werden.

In meiner Testumgebung habe ich dazu 2 Windows Server 2012 Datacenter installiert, 1 DC + CA und ein Exchange Server 2013.

Es gibt zu beachten das nicht alle Funktionen der Zertifizierungsstelle zur Verfügung stehen, wenn die CA auf Server 2012 Standard installiert wird. Dieses HowTo gilt also nur für Zertifizierungsstellen die auf Windows Server 2012 Datacenter laufen.

Für Exchange 2010 und Server 2008 R2 findet sich das Howto hier: https://www.frankysweb.de/?p=456

Installation der Zertifizierungsstelle

Zuerst installieren wir die Zertifizierungsstelle auf einem geeigneten Server, für eine Active Directory integrierte Zertifizierungsstelle (CA) muss der Server Mitglied des Active Directorys sein. Über den “Server Manager” können über den Punkt “Verwalten” Rollen und Features hinzugefügt werden

image

Im folgenden Dialog wird die “Rollenbasierte oder Featurebasierte Installation” ausgewählt

image

Wenn mehrere Server zum Servermanager hinzugefügt wurden, lässt sich der Server auswählen, auf dem die Rolle installiert werden soll. In diesem Fall ist es der lokale Server “DC02”

image

Jetzt wird die Rolle “Active Directory Zertifikatsdienste” ausgewählt

image

Als Rollendienst wird in diesem Fall nur die Zertifizierungsstelle benötigt

image

Nach der Bestätigung zur Installation wird die Rolle installiert

image

Sobald die Rolle fertig installiert wurde, erscheint ein Hinweis zur Konfiguration der Rolle “Active Directory Zertifikatsdienste” im Servermanager

image

Nun wird die Rolle konfiguriert, sofern man als Domain Administrator angemeldet ist, müssen die Anmeldeinformationen nicht verändert werden

image

Im nächsten Dialog wird abgefragt welche Rolle konfiguriert werden soll, da nur die Zertifizierungsstelle installiert wurde, werden hier keine anderen Rollen angeboten

image

Jetzt kann ausgewählt werden, welche Art von CA installiert werden soll. Ich wähle Unternehmenszertifizierungsstelle damit die CA in das Active Diretory integriert wird

image

Da es sich in diesem Beispiel um die erste CA in der Hierarchie, also die Stammzertifizierungsstelle handelt, wird “Stammzertifizierungsstelle” als Typ ausgewählt

image

Sofern die CA nicht migriert wurde, kann ein neuer privater Schlüssel erstellt werden

image

Die Einstellungen zur Kryptographie belasse ich auf den Standardwerten. SHA-1 ist nicht unbedingt der beste Hashalgorithmus, aber am kompatibelsten, siehe hier: https://www.frankysweb.de/?p=363

image

Update: SHA1 wird ab dem 01.01.16 nicht mehr als Signaturhashalgorithmus unterstützt. Hier sollte besser gleich SHA256 gewählt werden.

Jetzt kann der Name der CA vergeben werden. Ich wähle “FrankysWeb-CA”. In der Standardeinstellung wird hier auch der Servername angegeben, allerdings könnte das für Verwirrung sorgen, wenn die CA auf einen anderen Server migriert wird. Daher empfiehlt sich hier ein allgemeiner Name.

image

Jetzt kann die Gültigkeitsdauer der CA festgelegt werden. Die Gültigkeitsdauer der CA sollte die Gültigkeitsdauer der auszustellenden Zertifikate übersteigen. Ich wähle hier 20 Jahre, alternativ könnte man auch den Wert “JahrebiszurRente” nehmen.

image

Im nächsten Dialog kann der Speicherort der Datenbank und der Logs angegeben werden. Die Pfade können nach belieben angepasst werden. Ich belasse sie in der Standardeinstellung

image

Als nächstes wird eine Zusammenfassung der Einstellungen angezeigt, die mit “Konfigurieren” bestätigt werden kann

image

Sobald die Konfiguration der CA abgeschlossen ist, findet sich im Startmenü der Eintrag “Zertifizierungsstelle”

image

Anpassen der Zertifikatsvorlage für Exchange SAN Zertifikate

Zunächst erstellen wir eine neue Vorlage, dazu in der MMC per Zertifizierungsstelle auf Zertifikatsvorlagen rechtsklicken, dann auf “Verwalten”

image

Jetzt die Vorlage Webserver suchen und auf “Vorlage duplizieren” klicken

image

Als Name der neuen Vorlage wähle ich “Exchange Server Zertifikate” mit einer Gültigkeit von 2 Jahren

image

Um später alle DNS-Aliase der Exchange Server einzutragen muss der Haken bei “Vom Antragssteller zugelassene symmetrische Algorithmen einbeziehen” auf dem Reiter “Anforderungsverarbeitung” aktiviert werden. Wer das Zertifikat später exportieren möchte sollte außerdem den Haken bei “Exportieren von privaten Schlüssel zulassen” setzen.

image

Auf dem Reiter Sicherheit bekommt die Gruppe “Exchange Servers” Vollzugriff auf die Vorlage, auch der Gruppe Domänen Admins erteile ich Vollzugriff. Danach kann mit einem Klick auf “Übernehmen” die Vorlage gespeichert werden

image

Zurück in der MMC Zertifizierungsstelle kann jetzt die neue Vorlage hinzugefügt werden, dazu Rechtsklick auf “Zertifikatsvorlagen” –> “Neu” –> “Auszustellende Zertifikatsvorlage”. Im nächsten Dialog wird die Vorlage “Exchange Server Zertifikate” ausgewählt und hinzugefügt.

image

Beantragen eines SAN-Zertifikats für Exchange

Wer direkt im Anschluss ein neues Zertifikat beantragen möchte, sollte vorher die Gruppenrichtlinien aktualisieren, damit das Stammzertifizierungsstellenzertifikat installiert wird. Auch Certutil /pulse kann nicht schaden, damit die Registrierungsrichtlinie angezeigt wird.

gpupdate /force

certutil /pulse

image

Jetzt kann eine leere MMC geöffnet werden, zu der das Snap-In “Zertifikate” für den lokalen Computer hinzugefügt wird. Unter dem Punkt “Eigene Zertifikate” –> “Zertifikate”, kann über den Menüpunkt “Alle Aufgaben” –> “Neues Zertifikat anfordern” das neue Zertifikat für Exchange beantragt werden.

image

Im darauffolgenden Dialog sollte jetzt die Active Directory-Registrierungsrichtlinie angezeigt werden.

image

Nach einem Klick auf “Weiter” wird die eben erstellte Vorlage angezeigt, Haken setzen und auf “Es werden zusätzliche Informationen…” klicken

image

Im Abschnitt Antragsteller müssen die grundlegenden Informationen angegeben werden:

  • Organisation (Firmenname)
  • Land
  • Organisationeinheit (IT,EDV…)
  • Allgemeiner Name (aus Kombatibilitätsgründen am der externe Zugriffsname, also owa.frankysweb.de)

Achtung:

Im Abschnitt “Alternativer Name” können/müssen nun DNS-Namen hinzugefügt werden unter denen auf Exchange zugegriffen wird, diese Einstellungen sind abhängig von der Exchange Konfiguration. Die DNS Namen müssen je nach Umgebung die internen Zugriffsnamen „(owa.frankysweb.local) und die externen Namen, also die Namen unter den Exchange über das Internet erreichbar ist (owa.frankysweb.de) enthalten. In dem Screenshot weiter unten sieht man das ich die jeweiligen Exchange Dienste, alle unter separaten DNS-Namen veröffentliche (EAS, OWA, EWS…) Man kann die Dienste auch unter einem Namen zusammenfassen, wie zum Beispiel mail.frankysweb.de/local. Wer es sich ganz einfach machen will, kann an dieser Stelle auch *.frankysweb.local und *.frankysweb.de eintragen. Dabei handelt es sich um ein Wildcard Zertifikat welches alle Hosts die auf frankysweb.local oder frankysweb.de hören akzeptiert. Man sollte sich also VORHER Gedanken machen unter welchen Namen die Exchange Dienste veröffentlicht werden. Ebenfalls sollte der Eintrag autodiscover.frankysweb.de/local nicht fehlen.

image

Auf dem Reiter “Allgemein” kann noch ein Anzeigename für das Zertifikat vergeben werden, dieser dient nur zur leichteren Identifikation.

image

Nachdem alle Informationen eingegeben wurden, kann das Zertifikat beantragt werden.

image

Wie oben erwähnt habe ich für jeden Dienst einen eigenen DNS Eintrag, in meiner Testumgebung leite ich Port 443 direkt von der Firewall auf den Exchange Server weiter. Ich habe also keinen Reverse Proxy der nur unter dem externen Namen erreichbar ist. Ich kann dieses Verfahren nur in Testumgebungen empfehlen, in produktiven Umgebungen sollte ein Reverse Proxy/Application Firewall dem Exchange Server vorgeschaltet sein.

image

Exchange Dienste an das neue Zertifikat binden

Damit auch die UM DIenste von Exchange 2013 das Zertifikat akzeptieren, muss vor dem Zuweisen der Dienste der Startmodus geändert werden. Der Startmodus kann über die Exchange Management Shell geändert werden

Get-UMservice | Set-UMService -UMStartupMode dual

Set-UMCallRouterSettings -UMStartupMode dual

In der Exchange Verwaltungskonsole sollten wir jetzt bereits ein gültiges neues Zertifikat angezeigt bekommen, diesem Zertifikat müssen noch die Exchange Dienste zugeordnet werden. Das Zuordennen der Dienste, kann auch über die Konsole erledigt werden

image

Das erstellte Zertifikat ist gültig für alle Exchange Dienste

image

Der Warnhinweis weist darauf hin, dass das Zertifikat getauscht wird, er kann mit “Ja” bestätigt werden

image

Wenn alles geklappt hat, sollte die Konsole nun so aussehen:

image

Zum Schluss noch die Dienste “Microsoft Exchange Unified Messaging” und “Microsoft Exchange Unified Messaging Call Router” neustarten, damit auch dort die Änderungen wirksam werden.

image

Das Zertifikat der Stammzertifizierungsstelle wird automatisch an alle AD-Mitglieder verteilt. Sobald die

GPOs aktualisiert wurden, sollten alle Clients dem Zertifikat vertrauen und sofern die DNS-Namen richtig konfiguriert wurden, auch keine Warnungen mehr angezeigt werden. Damit auch Smartphone und Clients außerhalb des Active Directorys dem Zertifikat vertrauen, muss das Stammzertifizierungsstellenzertifikat installiert werden. Das Zertifikat findet sich auf dem Server der die CA-Rolle innehat im Verzeichnis c:\Windows\System32\CertSrv\CertEnroll.

Written by Armin Senger

Februar 6th, 2017 at 12:46 pm

Posted in IT

Exchange 2010 Serverzertifikat erstellen

leave a comment

Quelle: http://www.msblog.eu/exchange-2010-serverzertifikat-erstellen/

Exchange 2010 Serverzertifikat erstellen

Nach der Installation eines Exchange 2010 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

  • Server
  • Server.domäne.local
  • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
  • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
  • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
  • autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Exchange2010_Zertifikat_Ausschnitt1.jpg (600×417)

Klicken Sie auf neues Zertifikat beantragen (roter Rahmen).

 

Als allgemeinen Namen würde ich Ihnen immer, den vollqualifizierten Servername empfehlen.

 

Da es sich hier um eine Single Domäne handelt, müssen Sie hier nichts konfigurieren.

 

Bitte füllen Sie die entsprechenden Felder für Outlook Web Access und Microsoft Active Sync mit Ihren Informationen.

 

Bitte füllen Sie die entsprechenden Felder für Outlook Anywhere und Autodiscover

 

Zum Schluss werden nochmal alle Namen dargstellt. Ich habe die Namen in den roten Rahmen manuell hinzugefügt und wurde Ihnen dies auch in Ihrer Umgebung empfehlen. Als allgemeinen Namen nehmen Sie hier bitte auch den vollqualifizierten Servernamen.

 

Ein paar Informationen zu Ihrem Unternehmen. Unten geben Sie bitte den Speicherort für die Anforderungsdatei des Zertifikats an. Dieser ist frei wählbar.

 

Schließen Sie die Zertifikatsanforderung ab.

 

Exchange2010_Zertifikat_Ausschnitt9.jpg (600×384)

Für die nächsten Schritte benötigen wir nun eine interne Zertifizierungsstelle. Die Zertifizierungsstelle ist immer über folgenden Link erreichbar: http://Servername/certsrv
Bitte führen Sie den IE als Administrator aus, da sonst die Möglichkeit besteht, dass Sie nicht den entsprechenden Zugriff auf alle Templates erhalten.

 

Exchange2010_Zertifikat_Ausschnitt10.jpg (600×384)

Reichen Sie eine erweiterte Zertifikatsanforderung ein.

 

Exchange2010_Zertifikat_Ausschnitt11.jpg (600×384)

Da Sie schon eine Anforderung erstellt haben, reichen Sie eine Anforderung ein.

 

Exchange2010_Zertifikat_Ausschnitt12.jpg (600×384)

In dem Feld „Gespeicherte Anforderung“ kopieren Sie bitte den Inhalt der Anforderungsdatei, welche Sie auf dem Computer abgespeichert haben. Sie können die „.req“ Datei mit dem Editor öffnen. Als Vorlage wählen Sie bitte Webserver aus.

 

Exchange2010_Zertifikat_Ausschnitt13.jpg (600×383)

Laden Sie sich das neue Zertifikat herunter und speichern Sie es wieder an einem beliebigen Ort ab. (Ich empfehle Ihnen C:)

 

Exchange2010_Zertifikat_Ausschnitt14.jpg (600×432)

Zurück in der Exchange Management Konsole. Klicken Sie nun auf die erstelle Anforderung und dann auf der rechten Seite auf „Anstehenden Anforderung abschließen“.

 

Exchange2010_Zertifikat_Ausschnitt15.jpg (500×437)

Wählen Sie das eben heruntergeladenen Zertifikat aus.

 

Exchange2010_Zertifikat_Ausschnitt16.jpg (500×438)

Schließen Sie die Anforderung ab.

 

Exchange2010_Zertifikat_Ausschnitt17.jpg (600×430)

Das neue Zertifikat wurde erfolgreich erstellt. Nun müssen Sie noch definieren, welche Dienste dem Zertifikat zugeordnet werden sollen. Wählen Sie das neue Zertifikat aus und klicken Sie auf der rechten Seite auf „Dem Zertifikat Dienste zuordnen“

 

Exchange2010_Zertifikat_Ausschnitt18.jpg (500×436)

Wählen Sie bitte den Exchange Server aus, indem Sie auf „Hinzufügen“ klicken.

 

Exchange2010_Zertifikat_Ausschnitt19.jpg (500×436)

Sie können nun definieren, welche Dienste dem Zertifikat zugeordnet werden sollen. Wählen SIe alle bis auf Unified Messaging aus.

 

Exchange2010_Zertifikat_Ausschnitt20.jpg (500×437)

Schließen Sie die Konfiguration ab.

 

Exchange2010_Zertifikat_Ausschnitt21.jpg (500×434)

Zum Schluss werden Sie gefragt, ob das bestehende Zertifikat ersetzt werden soll. Dies bestätigen Sie bitte.
Das neue Zertifikat ist nun komplett installiert und wird vom dem Exchange Server verwendet.

Read the rest of this entry »

Written by Armin Senger

Februar 3rd, 2017 at 2:31 pm

Posted in IT

Windows Server 2012 Zertifizierungsstelle installieren

leave a comment

Quelle: http://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/

Windows Server 2012 Zertifizierungsstelle installieren

Wer für bei Microsoft Exchange Servern mit internen Zertifikaten arbeiten möchte, braucht intern eine Zertifizierungsstelle. Die Erstellung eines Exchange 2010 Zertifikats habe ich bereits in in diesem Artikel beschrieben.
In diesem Artikel geht es nun um die Installation der Zertifizierungsstelle und somit um eine Grundfunktion, um ein Zertifikat zu beantragen.

Starten Sie den Servermanager und fügen Sie eine neue Rolle hinzu…

Microsoft_2012_Zertifizierungsstelle _installieren_01
Wählen Sie im Server Manager „Rollen und Features hinzufügen“.

Microsoft_2012_Zertifizierungsstelle _installieren_02

Microsoft_2012_Zertifizierungsstelle _installieren_03
Starten Sie den Installationsmodus für „Rollenbasierte oder featurebasierte Installation“.

Microsoft_2012_Zertifizierungsstelle _installieren_04
Die Installation soll auf dem lokalen Server erfolgen.

Microsoft_2012_Zertifizierungsstelle _installieren_05
Wählen Sie „Active Directory-Zertifikatsdienste“ aus..

Microsoft_2012_Zertifizierungsstelle _installieren_06
Bestätigen Sie die Auswahl..

Microsoft_2012_Zertifizierungsstelle _installieren_07
Auswahl von zusätzlichen Features..

Microsoft_2012_Zertifizierungsstelle _installieren_08
Ein Hinweis, dass nach der Installation der Zertifikatsdienste, der Name des Servers nicht mehr geändert werden kann.

Microsoft_2012_Zertifizierungsstelle _installieren_09
Wählen Sie bitte „Zertifizierungsstelle“ und „Zertifizierungsstellen-Webregistrierung“ aus.

Microsoft_2012_Zertifizierungsstelle _installieren_10
Bestätigen Sie die Auswahl..

Microsoft_2012_Zertifizierungsstelle _installieren_11
Starten Sie die Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_12
Abschluss der Installation

Microsoft_2012_Zertifizierungsstelle _installieren_13
Im Anschluss muss der Server bzw. müssen die Zertifikatsdienste noch konfiguriert werden.

Microsoft_2012_Zertifizierungsstelle _installieren_14
Bitte überprüfen Sie, ob ihr Account die angegebenen Zugriffsrechte besitzt.

Microsoft_2012_Zertifizierungsstelle _installieren_15
Bitte wählen Sie auch hier wieder beide Optionen „Zertifizierungsstelle“ und „Zertifizierungsstellen-Webregistrierung“ aus.

Microsoft_2012_Zertifizierungsstelle _installieren_16
Wir erstellen eine Zertifizierungsstelle für die Domäne..

Microsoft_2012_Zertifizierungsstelle _installieren_17
Die erste Zertifizierungsstelle…

Microsoft_2012_Zertifizierungsstelle _installieren_18
Da wir noch keine Zertifizierungsstelle haben, erstellen wir einen neuen privaten Schlüssel für das Root Zertifikat.

Microsoft_2012_Zertifizierungsstelle _installieren_19
Festlegung der Kryptografie Einstellungen…

Microsoft_2012_Zertifizierungsstelle _installieren_20
Allgemeiner Name der Zertifizierungsstelle (frei wählbar)..

Microsoft_2012_Zertifizierungsstelle _installieren_21
Gültigkeitsdauer für das Root Zertifikat. Nach Ablauf des gewählten Zeitraums, müssen Sie das Root Zertifikat erneuern.

Microsoft_2012_Zertifizierungsstelle _installieren_22
Speicherort der Datenbank …

Microsoft_2012_Zertifizierungsstelle _installieren_23
Überprüfung der Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_24
Abschluss der Installation..

Microsoft_2012_Zertifizierungsstelle _installieren_25
Danach ist die neue Zertifizierungsstelle per Browser erreichbar:
http://servername/certsrv

Written by Armin Senger

Februar 3rd, 2017 at 2:18 pm

Posted in IT

Configuring Certificate-Based Authentication for Exchange 2010 ActiveSync

leave a comment

Configuring Certificate-Based Authentication for Exchange 2010 ActiveSync

to be filled

Momentan mal nur die Links:

http://www.msexchange.org/articles-tutorials/exchange-server-2010/mobility-client-access/configuring-certificate-based-authentication-exchange-2010-activesync-part1.html

http://www.msexchange.org/articles-tutorials/exchange-server-2010/mobility-client-access/configuring-certificate-based-authentication-exchange-2010-activesync-part2.html

Written by Armin Senger

Januar 30th, 2017 at 11:14 am

Posted in IT

Exchange 2013/2016: Anmeldung per E-Mail Adresse (UPN)

leave a comment

Quelle: https://www.frankysweb.de/exchange-20132016-anmeldung-per-e-mail-adresse-upn/

Die Anmeldung an verschiedenen Diensten und Portalen im Internet läuft ja mittlerweile mit der E-Mail Adresse als Benutzername. Das hat für die Benutzer einige Vorteile, denn man muss sich nicht für verschiedene Portale oder Dienste immer wieder neue Benutzernamen ausdenken (und vergessen), sondern benutzt immer seine E-Mail Adresse.

Die Anmeldung via E-Mail Adresse ist auch bei Exchange Server möglich, allerdings ist funktioniert das nicht ohne weiteres. An dieser Stelle gibt es also ein kleines HowTo und ein paar Denkanstöße, was zu beachten ist.

Exchange Server (unabhängig von der Version) nutzt das Active Directory für die Authentifizierung der Benutzer. Der Benutzername im Active Directory ist also ausschlaggebend für die Anmeldung an Exchange Server. Im internen Netzwerkwerk, bekommt der Benutzer dank Kerberos davon wenig mit. Er meldet sich an Windows an, startet Outlook, fertig.

Bei externen Benutzern oder beim Zugriff auf OWA von extern, sieht es schon wieder anders aus. Hier muss Benutzername und Passwort durch den Benutzer eingetragen werden.

Hier mal ein kleines Beispiel:

Es gibt den Benutzer „frank“ im Active Directory „frankysweb.local“. Frank hat die E-Mail Adresse frank@frankysweb.de:

03-08-_2016_21-24-36

Das /OWA Verzeichnis am Exchange Server ist derzeit wie folgt eingestellt:

Exchange OWA

Somit muss sich Benutzer „Frank“ nur mit seinem Benutzernamen und dem entsprechenden Passwort anmelden, die AD Domain, muss er nicht angeben.

Wer mehrere Domains hat, bekommt hier allerdings Probleme und müsste die Authentifizierung auf „Domäne\Benutzername“ umstellen. Der Benutzer muss sich dann den internen AD-Namen merken, der ja unter Umständen kryptisch für Benutzer sein kann.

Hier kommt nun die Anmeldung per E-Mail Adresse ins Spiel. Dazu muss allerdings das Active Directory und die Benutzerkonten angepasst werden.

Zuerst muss ein neues „Alternatives Benutzerprinzipalnamens-Suffix“ erstellt werden. Das Alternative UPN-Suffix kann in der Konsole „Active Directory Domänen- und Vertrauensstellungen“ konfiguriert werden:

UPN

Wenn sich Benutzer „Frank“ also mit der E-Mail Adresse frank@frankysweb.de anmelden soll, dann muss das UPN-Suffix frankysweb.de angelegt werden. Gleiches gilt für alle anderen Mail Domänen die als Benutzernamen benutzt werden sollen:

UPN

Bis hier her hat die Änderung am Active Directory noch keine Auswirkungen auf die Benutzer, jedoch müssen jetzt die Benutzerkonten angepasst werden:

Benutzer Frank bekommt jetzt das neue Suffix zugewiesen:

Benutzerkonto

Hiermit ändert sich der Anmeldename des Kontos (vorher frank@frankysweb.local, jetzt frank@frankysweb.de)

Benutzerkonto UPN

Wer beispielsweise E-Mail Adressen im Format vorname_nachname@firma.de verwendet, muss hier auch den Benutzernamen entsprechend ändern. Zum Beispiel von „frank“ auf „frank_zoechling“. Das hat unter Umständen für die Benutzer. Wenn es Dienste gibt, an denen sich die Benutzer mit frank@frankysweb.local angemeldet haben (also den UPN verwendet haben), dann lautet der UPN jetzt frank@frankysweb.de. Diese Änderung muss den Benutzern mitgeteilt werden. An dieser Stelle auch an die Windows Anmeldung denken!

Vorteil ist natürlich auch, dass diese Dienste in Zukunft auch die E-Mail Adresse als Benutzernamen benutzen. Diese Änderung sollte also in bestehenden Umgebungen sorgfältig geplant werden.

Auf Exchange Server Seite muss jetzt nur noch das Anmeldeformat auf „Benutzerprinzipalname (UPN)“ umgestellt werden:

Exchange OWA UPN

Der Benutzer kann sich jetzt mit seiner E-Mail Adresse an OWA anmelden. Natürlich nur wenn der UPN jetzt der E-Mail Adresse des Benutzers entspricht:

Benutzer UPN

Mit Exchange 2010 ist dieses verfahren ebenfalls möglich.

Written by Armin Senger

Januar 23rd, 2017 at 11:53 am

Posted in IT

Fritz!box Update mit modfs

leave a comment

  • Telnet zur Box
  • swapon /var/media/ftp/HAMA_32G_II/swapfile
  • mkdir -p /var/mod;cd /var/mod;wget -qO- http://yourfritz.de/modfs.tgz | gunzip -c | tar x;./modfs update /var/media/ftp/HAMA_32G_II/FRITZ.Box_7490_….
(geht zwar auch ohne die Datei weil seit der Version 0.4.0 nutzt das script die Update-Mechanik von der Box aber so hast du das File vor Ort)
 
  • folgende Fragen beantworte ich mit JA, bei den anderen durchlesen (http://www.ip-phone-forum.de/showthread.php?t=273304) was die machen und was du brauchst:
     
    1. Kommando zum Bearbeiten der Datei ‚rc.user‘ hinzufügen
    2. Auswahl des zu startenden Systems und des Brandings in der „Neustart“-Seite
    3. Anzeige von Heimnetz-Clients mit MAC-Adresse als Standard
    4. Busybox-Symlink für den Telnet-Daemon erstellen
    5. USB-Volumes mit ihrem Label als Mountpoint einbinden
    6. Kommandos in /var/custom/etc/profile in /etc/profile einschließen
    7. Kommandos aus dem TFFS-Node 98 beim Systemstart ausführen
  • swapoff /var/media/ftp/HAMA_32G_II/swapfile
  • USB-Stick auswerfen (Heimnetz – USB-Geräte)
  • Und dann reboot
 

Danke Arnaud Feld 
https://arnaudfeld.de/

Written by Armin Senger

November 3rd, 2016 at 12:01 pm

Posted in IT

Exchange 2013 Serverzertifikat erstellen

leave a comment

Quelle: http://www.msblog.eu/exchange-2013-serverzertifikat-erstellen/

 

Nach der Installation eines Exchange 2013 Servers sollten Sie als nächsten Schritt ein Zertifikat beantragen. Ein Zertifikat von der internen CA ist dabei vollkommen ausreichend.

Folgende Namen sollten auf diesen Zertifikat erscheinen:

  • Server
  • Server.domäne.local
  • mail.domäne.eu (Steht z.B. für den externen Namen von Outlook Web Access)
  • outlook.domäne.eu (Steht z.B. für den externen Namen Outlook Anywhere)
  • autodiscover.domäne.local (wird ab Outlook 2007 z.B. für Abwesenheitsassistenten benötigt.
  • autodiscover.domäne.eu

Auf dem internen Zertifikat können ruhig alle Namen in einem Zertifikat zusammen gefasst werden. Wenn Sie später z.B. Outlook Web Access über ein TMG 2010 Server ins Internet veröffentlichen, würde ich Ihnen empfehlen, hierfür ein gesondertes Zertifikat zu erstellen, welches nur den externen Namen enthält.

Nun sind alle Informationen vorhanden, um das Zertifikat zu beantragen:

Öffnen Sie die Exchange Verwaltungskonsole
Exchange2013_Zertifikat_01
Klicken Sie unter „Server“ und „Zertifikate“ auf „+“ …
Exchange2013_Zertifikat_02
Erstellen Sie eine neue Anforderung für die Zertifizierungsstelle
Exchange2013_Zertifikat_03
Da wird nur nur eine Domäne haben, brauchen wir hier keine Stammdomäne eintragen.
Exchange2013_Zertifikat_04
Wählen Sie aus, auf welchen Exchange Servern die Zertifikatsanforderung gespeichert werden soll.
Exchange2013_Zertifikat_05
Bitte tragen Sie in die entsprechenden Felder die erforderlichen Daten ein.
Exchange2013_Zertifikat_06
Als Default Name empfehle ich Ihnen immer den internen Servernamen.
Exchange2013_Zertifikat_07
Allgemeine Informationen zu Ihrem Unternehmen…
Exchange2013_Zertifikat_08
Bitte wählen Sie einen entsprechenden Speicherort für die Zertifikatsanforderung aus. (Der Speicherort muss immer als UNC Pfad angegeben werden)
Exchange2013_Zertifikat_09
Bitte starten Sie den Browser und öffnen die URL der Zertifizierungsstelle. Wenn Sie intern noch keine Zertifizierungsstelle installiert haben, gehen Sie bitte folgendermaßen vor:
Installation Zertifizierungsstelle Windows Server 2008 -> https://www.msblog.eu/microsoft-zertifizierungsstelle-installieren/
Installation Zertifizierungsstelle Windows Server 2012 -> https://www.msblog.eu/windows-server-2012-zertifizierungsstelle-installieren/
Exchange2013_Zertifikat_10
Bitte wählen Sie erweiterte Zertifikatsanforderung aus..
Exchange2013_Zertifikat_11
Sie wollen eine bestehende Anforderung einsenden..
Exchange2013_Zertifikat_12
Bitte kopieren Sie den Inhalt von der .req Datei, welche Sie von der Exchange Console abgespeichert haben. Sie können die Datei mit einem Editor öffnen.
Als Zertifikatsvorlage wählen Sie bitte „Webserver“ aus und klicken auf „Einsenden“
Exchange2013_Zertifikat_13
Bestätigen Sie den Vorgang…
Exchange2013_Zertifikat_14
Laden Sie das Zertifikat herunter und speichern Sie in einen entsprechenden Pfad ab. (Dieser Pfad sollte wieder per UNC erreichbar sein)
Exchange2013_Zertifikat_15
Wechseln Sie wieder in die Exchange Verwaltungskonsole unter „Server“ und dann Zertifikate
Exchange2013_Zertifikat_16
Tragen Sie den entsprechenden Pfad für das Zertifikat ein, welches Sie von der Zertifizierungsstelle heruntergeladen haben und bestätigen Sie mit „OK“.
Exchange2013_Zertifikat_17
In Anschluss müssen wir den Zertifikat noch die entsprechenden Dienste zuweisen. Wählen Sie also das neue Zertifikat aus und klicken auf „bearbeiten“.
Exchange2013_Zertifikat_18
Wählen Sie hier bitte die entsprechenden Dienste aus, welche für das Zertifikat verwendet werden sollen.

Exchange2013_Zertifikat_19
Sollten Sie schon ein Zertifikat auf ein bestehenden Service hinterlegt haben, bestätigen Sie bitte, dass dieses nun ausgetauscht wird.

da ich im Zertifikat die Meldung hatte „… nicht vertrauenswürdidg“ und die Aufforderung hatte es im Speicher zu installieren, habe ich zunächst ewig nach dem Fehler gesucht.
Nach dem auch kein Neustart geholfen hat, habe ich das Zertifikat neu erstellt, gleicher Fehler.
Nach gpupdate /force ist das Zertifikat nun gültig und auch im Zertifikat ist der Hinweis nun weg.

Written by Armin Senger

Oktober 5th, 2016 at 11:01 pm

Posted in IT

2012R2 Hyper-V Replication und Zertifikate

leave a comment

Leitfaden für die Einrichtung:
http://www.it-administrator.de/themen/virtualisierung/fachartikel/191651.html

Hyper-V-Replica einrichten und betreiben (1)

Windows Server 2012 R2 verbessert die Ausfallsicherheit und Hochverfügbarkeit von Hyper-V deutlich. Bereits mit Windows Server 2012 führte Microsoft die Replikation von virtuellen Servern zwischen Hyper-V-Hosts ein, doch mit Hyper-V-Replica lassen sich virtuelle Server noch besser zwischen maximal drei Hyper-V-Hosts replizieren und synchron halten. Windows Server 2012 unterstützt in diesem Bereich nur zwei Hyper-V-Hosts für die Replikation. In der neuen Version können Administratoren die Replikation auch wie eine Serverkette anordnen. Dieser Workshop zeigt Ihnen, wie Sie Hyper-V-Replica für Stand-Alone-Server und Cluster einrichten und betreiben.
Hyper-V-Replica sind das doppelte Lottchen der Server-Virtualisierung.

Die Replikation der Serverdaten findet über das Dateisystem und das physische Netzwerk statt und benötigt weder spezielle Hardware noch Cluster. Die Replikationen lassen sich manuell oder nach einem Zeitplan durchführen. Produktiv ist Hyper-V-Replica sinnvoll, wenn Sie Hyper-V-Hosts vor Ausfall schützen wollen. Fällt ein Hyper-V-Server aus, können Sie die replizierten Server auf einem anderen Server aktiv schalten. Mit Hyper-V-Replica erlangen also auch kleine Umgebungen eine effiziente Ausfallsicherheit, ohne dazu auf spezielle Hardware oder einen Cluster zurückgreifen zu müssen.

In Windows Server 2012 ließ sich das kürzeste Synchronisierungsintervall auf fünf Minuten anpassen. Mit Windows Server 2012 R2 reduziert sich dieser Intervall auf 30 Sekunden, in denen die Daten zwischen den Hosts replizieren. Außerdem können Sie die Replikation auf bis zu 15 Minuten ausdehnen. Die Flexibilität hat sich also deutlich erhöht.

Hyper-V-Hosts für Replikation aktivieren
Hyper-V-Replica konfigurieren Sie entweder im Hyper-V-Manager, dem System Center Virtual Machine Manager 2012 R2 oder mit der PowerShell. Am einfachsten nehmen Sie die Einrichtung über einen Assistenten im Hyper-V-Manager vor. Dies ist auch im produktiven Betrieb möglich. Die Quell-VM läuft bei diesem Vorgang weiter und die Benutzer werden nicht beeinträchtigt. Natürlich kann die Übertragung der Serverdaten auf die Zielserver die Quell-Hosts etwas beeinträchtigen, Sie können nach der Einrichtung aber auch festlegen, dass die erste Übertragung zu den Ziel-Hyper-V-Hosts erst zu bestimmten Zeiten stattfinden soll, an denen keine Benutzer mit den virtuellen Servern auf dem Quellserver arbeiten.

Fällt ein Hyper-V-Host aus, lassen sich die replizierten Server online schalten, sobald diese eine aktuelle Kopie nutzen können. Da der Servername, die IP-Adresse und andere Einstellungen im virtuellen Server gespeichert sind, können die Benutzer nahezu uneingeschränkt weiter arbeiten. Nach der ersten Übertragung müssen nur noch Änderungen gesendet werden. Die erste Übertragung können Sie mit einem externen Datenträger vornehmen.

Die Replikation ist auch in Clustern möglich. In diesem Fall starten Sie die Replikation über das Kontextmenü des virtuellen Servers in der Failovercluster-Verwaltung. Die Einrichtung entspricht der Konfiguration ohne Cluster. Die Einstellungen für die Replikation nehmen Sie in diesem Fall ebenfalls in der Clusterverwaltung vor, indem Sie mit der rechten Maustaste auf den virtuellen Server klicken. In einem solchen Szenario können Sie virtuelle Server zum Beispiel zwischen einem Hyper-V-Cluster mit einem anderen Hyper-V-Cluster replizieren oder Sie lassen virtuelle Server von einem Cluster auf einen Standby-Server replizieren. Die Nutzung der Hyper-V-Replikation in einem Cluster ist allerdings optional. Alle Funktionen sind auch für alleinstehende Server verfügbar.

Damit Hyper-V-Hosts eine solche Replikation erlauben, müssen Sie diese zunächst für die einzelnen Hyper-V-Hosts aktivieren. Danach wählen Sie die virtuellen Server aus, die Sie replizieren lassen wollen. Dazu starten Sie den Assistenten über das Kontextmenü des gewünschten virtuellen Servers auf dem Quellserver, geben den Zielserver ein – also den Hyper-V-Host, auf den Sie den virtuellen Server replizieren wollen – und legen danach noch Zeitplan und weitere Einstellungen fest. Der virtuelle Server auf dem Quellserver bleibt aber weiterhin verfügbar und aktiv. Auf die Details kommen wir gleich zu sprechen. Sie müssen natürlich nicht alle virtuellen Server auf einem Hyper-V-Host replizieren lassen. Außerdem können Sie virtuelle Server zu verschiedenen Hyper-V-Hosts replizieren.

Damit ein Hyper-V-Host für Replikate zur Verfügung steht, müssen Sie auf dem Server in den Hyper-V-Einstellungen im Bereich „Replikationskonfiguration“ die Funktion aktivieren und an Ihre Bedürfnisse anpassen. Sie legen in diesem Bereich zum Beispiel die Verschlüsselung und Authentifizierung fest und von welchen Hyper-V-Hosts der aktuelle Server Replikate annimmt. Im ersten Schritt aktivieren Sie daher zunächst die Funktion, Einstellungen nehmen Sie noch keine vor.

Hyper-V-Replica steht uneingeschränkt auch auf Servern mit Hyper-V-Server 2012 R2 zur Verfügung. Setzen Sie diesen ein, lässt sich dieser Server optional über den Hyper-V-Manager von einem anderen Hyper-V-Host verwalten. Einstellungen bezüglich der Replikation können Sie auch über das Netzwerk vornehmen. Es gibt hier keine Unterschiede zu Windows Server 2012 R2.


Die zertifikatsbasierte Authentifizierung der Hyper-V-Replikation
muss zunächst auf dem entsprechenden Host eingerichtet werden.

Achten Sie während der Einrichtung von Hyper-V-Replica auch darauf, die notwendigen Regeln in der erweiterten Konfiguration der Firewall zu aktivieren. Der Einrichtungsassistent übernimmt nur die notwendigen Einstellungen in Hyper-V, ändert aber keinerlei Sicherheitseinstellungen auf dem Server oder aktiviert Firewall-Regeln. Die Firewall-Regel hat die Bezeichnung „Hyper-V-Replica HTTP-Listener“. Es gibt auch einen Listener für HTTPS, wenn Sie die Daten verschlüsselt übertragen wollen. Das ist in jedem Fall sinnvoll, vor allem in Produktivumgebungen. Bei den Regeln handelt es sich um eingehende Netzwerkregeln, für den ausgehenden Datenverkehr müssen Sie keine Änderungen vornehmen, da die Windows-Firewall diesen Verkehr ohnehin nicht blockiert.

Bei der Kerberos-Authentifizierung und der Verwendung von HTTP werden die replizierten Daten während der Übertragung nicht verschlüsselt. Nur bei der zertifikatbasierten Authentifizierung mit HTTPS verschlüsselt Hyper-V die Daten während der Übertragung. Den Namen der Firewall-Regel für HTTP sehen Sie in der Firewall-Verwaltung. Die Verwendung des Befehls ist analog zur http-Regel. Arbeiten Sie mit Hyper-V-Replica über HTTP, aktivieren die Firewall-Regel in der PowerShell mit

Enable-Netfirewallrule -displayname "Hyper-V Replica HTTP Listener (TCP-In)"

Hyper-V-Replikation mit SSL konfigurieren
In Produktions-Umgebungen sollten Sie die Daten virtueller Server SSL-verschlüsselt mit HTTPS übertragen. Das ist wesentlich sicherer und nicht sehr viel komplizierter in der Einrichtung. In diesem Fall weisen Sie den beteiligten Hyper-V-Hosts ein Zertifikat zu. Dazu müssen Sie Zertifikate verwenden, die Clients und Server authentifizieren können. Das Zertifikat muss dem Namen des Hyper-V-Hosts entsprechen. Sie haben hier die Möglichkeit, mit selbst signierten Zertifikaten zu arbeiten oder greifen auf Zertifikate der Active Directory-Zertifikatsdienste zurück. Wir zeigen Ihnen nachfolgend wie Sie die Einrichtung vornehmen.

In der lokalen Verwaltung von Zertifikaten auf einem Server mit Windows Server 2012 R2 installieren Sie im Active Directory Zertifikate auf einem Hyper-V-Hosts. Die Zertifikate kommen anschließend für die Authentifizierung der beteiligten Hyper-V-Hosts in der Replikation zum Einsatz.

Zunächst starten Sie über certlm.msc im Startbildschirm die Verwaltung der lokalen Zertifikate auf dem ersten Hyper-V-Host. Klicken Sie mit der rechten Maustaste auf „Eigene Zertifikate“ und wählen Sie „Alle Aufgaben / Neues Zertifikat anfordern“. Bestätigen Sie die Option „Active Directory-Registrierungsrichtlinie“ und aktivieren Sie danach die Option „Computer“ und klicken Sie dann auf „Registrieren“. Das Zertifikat wird jetzt in der Konsole angezeigt.

Sie können Zertifikate auch in der Befehlszeile erstellen. Das ist zum Beispiel für geskriptete Umgebungen sinnvoll. Um ein Zertifikat zu registrieren, erstellen Sie eine Text-Datei, mit der Sie danach eine Anfrage bei der Zertifizierungsstelle starten. Hierbei kann es sich um eine externe oder eine interne Zertifizierungsstelle handeln. Speichern Sie dazu die Textdatei mit dem folgenden Inhalt. Passen Sie den Servernamen in der vierten Zeile „Subject“ an Ihre Bedürfnisse an:

[Version]
Signature="$Windows NT$"
[NewRequest]
Subject = "CN=SERVER.CONTOSO.COM"
Exportable = TRUE ; Private key is exportable
KeyLength = 2048 ; Common key sizes: 512, 1024, 2048, 4096, 8192, 16384
KeySpec = 1 ; AT_KEYEXCHANGE
KeyUsage = 0xA0 ; Digital Signature, Key Encipherment
MachineKeySet = True ; The key belongs to the local computer account
ProviderName = "Microsoft RSA SChannel Cryptographic Provider"
ProviderType = 12
RequestType = CMC
[EnhancedKeyUsageExtension]
OID=1.3.6.1.5.5.7.3.1 ;Server Authentication
OID=1.3.6.1.5.5.7.3.2 ;Client Authentication

Speichern Sie die Datei anschließend unter dem Namen replica.inf ab. Achten Sie auf die korrekte Endung der Datei. Auf Basis der Daten in dieser Datei erstellen Sie danach in der Befehlszeile eine weitere Datei mit der dazugehörigen Zertifikatsanfrage:

certreq -new replica.inf replica.req

Wechseln Sie dazu in das Verzeichnis, in dem Sie die INF-Datei gespeichert haben. Anschließend befinden sich zwei Dateien in diesem Verzeichnis. Mit der REQ-Datei stellen Sie bei Ihrer internen Zertifizierungsstelle – etwa den Active Directory-Zertifikatsdiensten – eine Online-Anfrage. Dazu verwenden Sie den Befehl:

certreq -submit -config "dc01.contoso.int\contoso-dc01-ca" 
 Replica.req replica.cer

Erhalten Sie eine Fehlermeldung, zum Beispiel, dass die Zertifikatvorlage nicht in Ordnung ist, verwenden Sie zusätzlich die Option „-attrib CertificateTemplate: Vorlage“. Alternativ erstellen Sie einen „Certifikate Signing Request“ (CSR). Mit dieser führen Sie eine Anfrage bei einer externen Zertifizierungsstelle durch. Aber auch von internen Zertifizierungsstellen können Sie diese Daten nutzen, zum Beispiel mit der Weboberfläche der Zertifikatsdienste. Dazu verwenden Sie den folgenden Befehl:

certutil -encode replica.req replica.csr

Anschließend öffnen Sie die CSR-Datei mit einem Texteditor und kopieren den Inhalt in die Zwischenablage. Mit diesen Daten schließen Sie die Anfrage ab. Rufen Sie dazu im lokalen Zertifikatespeicher des Servers (certlm.msc) die eigenen Zertifikate auf und lassen Sie sich die Eigenschaften des Zertifikats anzeigen. Sie sehen bei der erweiterten Verwendung des Schlüssels die „Client- und Serverauthentifizierung“, ohne die Sie ein Zertifikat nicht für Hyper-V-Replication nutzen können.

Im zweiten Teil des Workshops lesen Sie, wie Sie bei der Replikation mit selbstsignierten Zertifikaten arbeiten, virtuelle Server zwischen Hyper-V-Hosts replizieren und wie Sie ein Failover mit Hyper-V-Replica durchführen.

 

Hyper-V-Replica einrichten und betreiben (2)

Windows Server 2012 R2 verbessert die Ausfallsicherheit und Hochverfügbarkeit von Hyper-V deutlich. Bereits mit Windows Server 2012 führte Microsoft die Replikation von virtuellen Servern zwischen Hyper-V-Hosts ein, doch mit Hyper-V-Replica lassen sich virtuelle Server noch besser zwischen maximal drei Hyper-V-Hosts replizieren und synchron halten. Windows Server 2012 unterstützt in diesem Bereich nur zwei Hyper-V-Hosts für die Replikation. In der neuen Version können Administratoren die Replikation auch wie eine Serverkette anordnen. In diesem zweiten Teil des Workshops lesen Sie, wie Sie bei der Replikation mit selbstsignierten Zertifikaten arbeiten, virtuelle Server zwischen Hyper-V-Hosts replizieren und wie Sie ein Failover mit Hyper-V-Replica durchführen.
Hyper-V-Replica sind das doppelte Lottchen der Server-Virtualisierung.
Mit selbstsignierten Zertifikaten arbeiten
Alternativ zur Verwendung von richtigen Zertifikaten lässt sich auch mit selbstsignierten Zertifikaten auf den Hyper-V-Hosts arbeiten. In diesem Fall profitieren Sie von der Sicherheit der zertifikatsbasierte Authentifizierung, müssen aber keine komplizierten Maßnahmen vornehmen, um Zertifikate zu verwalten.

Dazu verwenden Sie makecert.exe aus dem Windows 8/8.1 SDK [1], das kostenlos zur Verfügung steht. Sie benötigen das Tool auf allen beteiligten Hyper-V-Hosts, um Zertifikate zu erstellen. Sie finden makecert.exe nach der Installation des Toolkits im Verzeichnis „C:\Program Files (x86)\ Windows Kits\8.0\bin\x64“. Die Installation kann auch auf einer Arbeitsstation erfolgen und lässt sich anschließend auf die beteiligten Server kopieren. Danach erstellen Sie zunächst auf dem ersten Server ein selbstsigniertes Zertifikat und dann auf den anderen Servern.

Für eine beispielhafte Replikation zwischen zwei Servern kopieren Sie zunächst makecert.exe auf alle beteiligten Hyper-V-Server. Nun öffnen Sie eine Befehlszeile auf dem ersten Server und geben den folgenden Befehl ein, um ein Zertifikat für eine Stammzertifizierungsstelle zu erstellen:

makecert -pe -n "CN=PrimaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "PrimaryRootCA.cer"

Geben Sie danach folgenden Befehl ein:

makecert -pe -n "CN=FQDN des Servers" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5. 7.3.1,1.3.6.1.5.5.7.3.2 -in 
 "PrimaryRootCA" -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 PrimaryCert.cer

Wechseln Sie danach auf den zweiten Server und führen Sie folgenden Befehl aus, um dort ein selbstsigniertes Stammzertifizierungsstellenzertifikat zu erstellen:

makecert -pe -n "CN=SecondaryRootCA" -ss root -sr LocalMachine 
 -sky signature -r "SecondaryRootCA.cer"

Nutzen Sie dann das Kommando

makecert -pe -n "CN=FQDN" -ss my -sr LocalMachine 
 -sky exchange -eku 1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2 
 -in "SecondaryRootCA " -is root -ir LocalMachine 
 -sp "Microsoft RSA SChannel Cryptographic Provider" 
 -sy 12 SecondaryCert.cer

Jetzt liegen auf den Servern alle notwendigen Zertifikate vor. Diese müssen Sie jetzt noch auf den anderen Server kopieren. Kopieren Sie die Datei SecondaryRoot-CA.cer vom zweiten Server auf den primären Server und geben Sie anschließend den folgenden Befehl ein:

certutil -addstore -f Root "SecondaryRootCA.cer"

Kopieren Sie danach PrimaryRootCA.cer vom primären Server auf den Replikatserver und geben Sie danach

certutil -addstore -f Root "PrimaryRootCA.cer"

ein. Jetzt vertrauen die beiden Server sich jeweils gegenseitig, was die Ausstellung von Zertifikaten betrifft. Öffnen Sie danach auf beiden Servern den Registry-Editor und navigieren Sie zu „HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ Replication“. Hier setzen Sie den Wert „DisableCertRevocationCheck“ auf „1“. Wenn vorhanden, navigieren Sie zu „HKLM \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Virtualization \ FailoverReplication“ und setzen auch hier den Wert „DisableCertRevocationCheck“ auf „1“.

Achten Sie darauf, dass die erstellten Zertifizierungsstellen auf den beiden Servern, auf denen Sie die selbst signierten Zertifikate erstellt haben, als vertrauenswürdig angezeigt werden. Sie sehen die Zertifikate im Zertifikatespeicher der Server. Diesen rufen Sie über certlm.msc auf. Ohne diese Zertifikate können Sie später Hyper-V-Replica nicht einrichten.

Wollen Sie Hyper-V-Replica im Cluster nutzen, müssen Sie zusätzlich einen Hyper-V-Replica Broker im Clustermanager von Windows Server 2012 R2 erstellen. Dabei gehen Sie vor wie bei jeder anderen Clusterressource auch. In diesem Fall sollten Sie aber erst ein neues Computerkonto im Snap-In „Active Directory-Benutzer und -Computer“ erstellen. Rufen Sie die Registerkarte „Sicherheit“ des neuen Kontos auf und geben Sie dem Computerkonto des Clusters „Vollzugriff „.

Um SSL für die Replikation zu nutzen, rufen Sie anschließend auf beiden Hyper-V-Servern die Hyper-V-Einstellungen auf und klicken auf „Replikationskonfiguration“. Dort aktivieren Sie die Option „Zertifikatbasierte Authentifizierung verwenden (HTTPS)“ und wählen das Zertifikat aus. Diese Einstellungen müssen Sie auf allen beteiligten Servern vornehmen. Richten Sie danach die Replikation ein. Erscheinen hier Fehler, sind die Zertifikate nicht korrekt. Überprüfen Sie in diesem Fall die vorangegangenen Schritte.

Virtuelle Server zwischen Hyper-V-Hosts replizieren
Um virtuelle Server zwischen Hyper-V-Hosts mit Windows Server 2012 R2 oder Hyper-V Server 2012 R2 zu replizieren, klicken Sie mit der rechten Maustaste auf den entsprechenden virtuellen Server und wählen „Replikation aktivieren“. Auch wenn Sie die Replikation generell für den Hyper-V-Hosts aktiviert haben, werden nicht automatisch alle virtuellen Server repliziert, sondern Sie müssen diese Einstellungen für jede einzelne VM wiederholen. Die Einrichtung erfolgt über einen Assistenten, mit dem Sie festlegen, wie Sie den ausgewählten virtuellen Server vom Quellserver auf den Zielserver replizieren wollen. Der virtuelle Server auf dem Quellserver bleibt dabei unverändert und muss auch nicht neu gestartet oder herunter gefahren werden.

Im Assistenten legen Sie danach die Zielserver und auch den Authentifizierungstyp für die Datenübertragung fest. Für Testumgebungen können Sie hier auch die Kerberos-HTTP-Übertragung verwenden. So sparen Sie sich die Einrichtung von Zertifikaten. Allerdings ist die Verwendung der zertifikatsbasierten Authentifizierung wesentlich besser geeignet, auch in einer Testumgebung. Welche Authentifizierung der Zielserver akzeptiert, legen Sie auf dem Zielserver in den Hyper-V-Einstellungen über „Replikationskonfiguration“ fest. Hier steuern Sie genau, welchen Datenverkehr der Zielserver überhaupt zulässt.


Für jede Replikation lassen sich die Verbindungsparameter einzeln festlegen.

Haben Sie, wie zuvor gezeigt, auf den Servern Zertifikate installiert und in den Hyper-V-Einstellungen hinterlegt sowie die zertifikatsbasierte Authentifizierung aktiviert, können Sie für die Datenübertragung auch diesen sicheren Authentifizierungstyp wählen. Zusätzlich steuern Sie während der Einrichtung auch, welche virtuellen Festplatten der Server Sie replizieren wollen. Sie müssen nicht unbedingt alle Festplatten zwischen Quell- und Zielserver replizieren. Außerdem legen Sie hier auch das Intervall für die Replikation fest.

Im Assistenten zur Einrichtung der Hyper-V-Replikation lassen sich die Snapshots des virtuellen Servers berücksichtigen. Hier legen Sie auch fest, ob Sie die erste Replikation nach der Einrichtung über ein Speichermedium wie eine externe Festplatte durchführen oder über das Netzwerk. Auch einen Zeitplan für die erste Übertragung legen Sie während der Einrichtung fest.

Wenn Sie die Replikation durchgeführt haben, befindet sich der virtuelle Server auf den konfigurierten Zielservern, bleibt aber ausgeschaltet. Das ist auch sinnvoll, da der replizierte Server über den gleichen Namen und die gleiche IP-Adresse wie der Quellserver verfügt. Über das Kontextmenü des virtuellen Servers auf dem Quellserver passen Sie das Replikationsverhalten an und erhalten den Status. Die Replikation von virtuellen Servern können Sie auch zwischen verschiedenen Editionen von Windows Server 2012 R2 durchführen oder Hyper-V Server 2012 R2 als Quell- und Zielserver zu nutzen.

Über das Kontextmenü des replizierten virtuellen Servers auf dem Zielserver können Sie auch ein Failover durchführen. In einem solchen Fall übernimmt das Replikat die Aufgaben des virtuellen Servers auf dem Quellserver. Natürlich lässt sich die Replikation jederzeit beenden oder pausieren. Bei jeder neuen Replikation legt Hyper-V auf dem Zielserver auch einen Snapshot des replizierten virtuellen Servers an. Mit dem Cmdlet „MeasureVMReplication“ erhalten Sie den Status der Replikate auf den einzelnen Hyper- V-Hosts in der PowerShell.

Failover mit Hyper-V-Replica durchführen
Der Sinn von Hyper-V-Replica ist, dass Sie bei Ausfall eines Hyper-V-Hosts ein Failover zu einem anderen Hyper-V-Host durchführen können. Dazu klicken Sie den entsprechenden virtuellen Server im Hyper-V-Manager an und wählen im Kontextmenü „Replikation / Failover“. Für ein geplantes Failover starten Sie das Failover vom Server, auf dem Sie die Quell-VM betreiben. Vorteil dabei ist, dass noch einmal eine Replikation stattfindet, sodass der Zielserver dann über alle aktuellen Daten des Quellservers verfügt.

Anschließend wählen Sie aus, zu welchem Wiederherstellungspunkt Sie den Failover durchführen wollen und starten diesen anschließend. Das funktioniert aber nur, wenn die Quell-VM ausgeschaltet ist. Während des Failovers startet der Assistent den replizierten Server, der im Netzwerk dann exakt mit den Daten der ursprünglichen Quell-VM zur Verfügung steht.

Auch bei einem geplanten Failover müssen Quell-VM und Ziel-VM ausgeschaltet sein. Der Vorteil bei einem geplanten Failover auf dem Quell-Hyper-V-Host ist, dass Hyper-V noch nicht replizierte Daten an den Zielserver senden kann. Dieser verfügt anschließend über den neuesten Stand aller Daten der Quell-VM. Wenn Sie ein geplantes Failover durchgeführt haben, ist die ursprüngliche Quell-VM anschließend die neue Ziel-VM und die bisherige Ziel-VM die neue Quell-VM für die Replikation. Das heißt, Sie können diesen Vorgang auch wieder umkehren. Alle dazu notwendigen Aufgaben steuern Sie über den Hyper-V-Manager oder die PowerShell.

Fazit
Unternehmen, die mehrere Hyper-V-Hosts einsetzen, aber keinen Cluster betreiben wollen, sollten einen Blick auf die Möglichkeiten von Hyper-V-Replica werfen. Denn damit erhalten IT-Verantwortliche hohe Verfügbarkeit quasi zum Nulltarif. Die Einrichtung ist schnell abgeschlossen und der Nutzen kann enorm sein, vor allem wenn ein Hyper-V-Host komplett ausfällt. Gleichzeitig bringen die neuen Features von Windows Server 2012 R2 in diesem Bereich ein neues Maß an Flexibilität für den Administrator.

 
 

Erstellung der Zertifikate:
http://www.c-fi.de/8-blog/8-hyper-v-2012-r2-replikation-mit-hilfe-von-selbst-signierten-zertifikaten-keine-domaene-benoetigt.html

 

Diese Kleine Anleitung schreibe ich für mich, quasi als Dokumentation der notwendigen Schritte…

Ich gehe davon aus, dass die Hyper-V Verwaltungstools bereits Verfügbar sind. Idealer Weise direkt bei einem Windows Server 2012R2, wo die Hyper-V Verwaltungstools installiert wurden bzw. dieser auch gleich als Hyper-V Host dient. Des weiteren wird von 2 Hyper-V Hosts ausgegangen. Diese müssen nicht in der gleichen Arbeitsgruppe sein.

  • Die lokalen Server müssen trotz nichtangehörigkeit einer Domäne einen eindeutigen Domänennamen haben und darüber im Netzwerk erreichbar sein. Der Name muss also erfolgreich auflösen. Das erreicht man, indem man bei den Computereigenschaften, wo man die Arbeitsgruppe oder Domöne einstellen kann, unter den erweiteren Einstellungen den Domänensuffix einträgt. In diesem Beispiel sei dies mal: yourdomain.ending. Zusätzlich sollte man beide Hyper-V Hosts in der HOSTS-Datei in Windows\System32\drivers\etc\hosts eintragen (zwischen IP und Name ein TAB). Dies ist vorallem wichtig, wenn ein Domain-Controller als Virtuelle Maschine läuft. Dann ist beim Start der Hyper-V Hosts kein DNS Server verfügbar und die beiden würden sich nicht finden!
    • 10.0.0.1     hypervhost1.yourdomain.ending
      10.0.0.2     hypervhost2.yourdomain.ending
  • Windows Software Development Kit (SDK) for Windows 8 herunterladen und installieren. Aus dem SDK das Tool “makecert.exe” extrahieren und auf die Hyper-V Hosts kopieren.
  • Auf beiden Hyper-V Hosts die Firewall für die Replizierung öffnen:
    • netsh advfirewall firewall set rule group="Hyper-V-Replikat - HTTPS" new enable=yes
  • Mit Hilfe des makecert – Tools nun die Zertifikate erstellen. Falls mal ein Hyper-V Host ausfällt sollte man gleich zwei CAs erstellen damit man, wenn nötig, neue Zertifikate ausstellen kann.
    • Auf dem ersten Host (hier: hypervhost1.yourdomainname.ending) folgende Befehle in der Powershell ausführen:
    • > makecert -pe -n "CN=HV1RootCA" -ss root -sr LocalMachine -sky signature -r "HV1RootCA.cer"
      > makecert -pe -n "CN=hypervhost1.yourdomainname.ending" -ss my -sr LocalMachine -sky exchange -eku "1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2" -in "HV1RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HV1Cert.cer
    • Auf dem zweiten Host (hier: hypervhost2.yourdomainname.ending) folgende Befehle in der Powershell ausführen:
    • > makecert -pe -n "CN=HV2RootCA" -ss root -sr LocalMachine -sky signature -r "HV2RootCA.cer"
      > makecert -pe -n "CN=hypervhost2.yourdomainname.ending" -ss my -sr LocalMachine -sky exchange -eku "1.3.6.1.5.5.7.3.1,1.3.6.1.5.5.7.3.2" -in "HV2RootCA" -is root -ir LocalMachine -sp "Microsoft RSA SChannel Cryptographic Provider" -sy 12 HV2Cert.cer
  • Die “*.CA.cer”-Dateien auf den jeweils anderen Host kopieren. Auf dem ersten Host das Zertifikat importieren:
    • certutil -addstore -f Root "HV2RootCA.cer"
  • Auf dem zweiten Host ebenfalls:
    • certutil -addstore -f Root "HV1RootCA.cer"
  • Auf beiden muss noch die Überprüfung der Sperre eines Zertifikats ausgeschaltet werden, sonst klappt es nicht:
    • reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization\Replication" /v DisableCertRevocationCheck /d 1 /t REG_DWORD /f

Das war es. Nun kann die Replizierung konfiguriert werden. Der Rest sollte durch die Assistenten selbsterklärend sein.

https://developer.microsoft.com/en-us/windows/downloads/windows-8-sdk

sonstiges:
https://www.one-tab.com/page/4W2iTGnERdetIr51d0n0Mw

Suche nach Windows Updates dauert ewig? – Eine mögliche Lösung
windows 2012 r2 hyper v replication – Google-Suche
Windows Server 2012: Replizierung virtueller Maschinen | ZDNet.de
Step-By-Step: Virtual Machine Replication Using Hyper-V Replica – CANITPRO
Hyper-V-Replica einrichten und betreiben (1) | it-administrator.de
zertifikate hyper-v replikation erstellen – Google-Suche
Hyper-V 2012 R2 Replikation mit Hilfe von selbst signierten Zertifikaten (keine Domäne benötigt) – c-fi.de – IT Blog & more
Windows SDK for Windows 8 – Windows app development
 

Written by Armin Senger

September 28th, 2016 at 9:36 am

Posted in IT