bouncer86

Moin,

 

 

 

ohne es genau sagen zu können (weil ich es bisher nicht recherchieren musste): Das halte ich für höchst unwahrscheinlich. Der UPN ist gleichwertig zum herkömmlichen Anmeldenamen (sAMAccountName) und sollte diesen ursprünglich in kurzer Zeit* ablösen.

 

Ich würde eher vermuten, dass der NetScaler nicht richtig fragt. Aber das ist Spekulation.

 

Gruß, Nils

* das war zu der Zeit, als man auch noch dachte, WINS hätte sich bald erledigt. :D

Hallo Nils,

Vielen Dank. Hast du spontan eine Idee, wo man die Frage am besten einkippt?

Hi,

 

wie sieht denn deine LDAP Policy am Netscaler aus?

Geht es hier um AAA und SSOn zu "irgendetwas" oder "ganz normal" Netscaler GW -> Storefront?

 

Gruß

Jan

Geht um AAA mit einer. Cert authentication policy. Der Netscaler in Version 11 Build 69 macht dann Kerberos constrained delegation gegen Exchange.

Aber wie geschrieben, ich glaube nicht, dass es etwas netscaler spezifisches ist. Könnte ja mit dem TMG( ja abgekündigt, ich weiß ;) ) das gleiche Szenario haben.

UPN im Zertifikat ein anderer sein, als der fqdn des active Directory.

Die Frage ist halt, ob es das AD generell nicht erlaubt, Tickets für UPNs auszustellen. Oder wie der supportete Weg in solch einem Szenario auszusehen hat.

Moin,

 

ist der UPN Suffix im AD als solcher definiert? Möglicherweise ist dieses Szenario ein Fall, in dem das erforderlich ist.

 

Gruß, Nils

Welche Stelle im AD meinst du? Unter Domain and Trust? Dort ist sowohl Test.local als auch test.de hinterlegt. Im User sehr selbst lässt sich ja nur ein upn definieren.

Ich habe mittlerweile herausfinden, dass ich ein Kerberos Ticket erhalte, wenn ich dieses für otto@test.local anfordere. Obwohl im AD Objekt als UPN @test.de konfiguriert ist.

Aber warum funktioniert es? Eine interaktive Windows Anmeldung geht nur mit @test.de !?

PS: die Frage geht an Microsoft und hat nichts mit Citrix Netscaler zu tun.

Hallo,

in unserem AD test.local haben wir für unsere Benutzer als UPN test.de konfiguriert. Die Anmeldung an den Workstations funktioniert.

Nun möchten wir zwecks Zertifikatsbasierter Authentifizierung Kerberos Constrained Delegation nutzen. Hier bekommen wir kein Ticket für den User otto@test.de. Unser Kerberos Client meldet, REALM not Found.

Nun sagt der Supporter von der Lösung (Citrix Netscaler), dass es auch am AD liegen kann.

Dies glaube ich nicht, da ja die Workstation Anmeldung funktioniert. Habt ihr dazu irgendwelche Infos, bzw. KCD schon mal mit unterschiedlichen UPN zu AD FQDN konfiguriert ?

Dann überleg dir doch einfach mal welche Eigenschaften die jeweiligen Dinge haben. Dann kannst du auch entscheiden was davon poistiv oder negativ ist. Was ein Vor- und was ein Nachteil ist hängt nämlich oft vom Standpunkt und den Umgebungsbedingungen ab.

Hallo magheinz,

Leider sind mir die Eigenschaften nicht bewusst, daher hier die Frage nach den Vor und Nachteilen. Ggf. Hätte ich eher nach den Eigenschaften fragen können.

@nobby: vielen Dank.

Allen noch frohen Weihnachten

Hallo Jungs,

Ich stell mir gerade die Frage, was welche Vor und Nachteile hat. Shared Mailboxen, oder Public Folder.

Sowohl für Kalender, Kontakte oder Emails.

Neben den VMWare Whitepaper sind meistens auch die Hersteller Whitepaper zu VMWare hilfreich: https://www.emc.com/collateral/hardware/technical-documentation/h8229-vnx-vmware-tb.pdf

Den habe ich auch gerade gefunden. Interessant ist Seite 47. Single und Mutliple Subnet.

Leider fehlt mir noch die technische Begründung...

Ich würde zuerst mal die  passenden Whitepaper von VMWare durchlesen, z.B.  http://www.vmware.com/content/dam/digitalmarketing/vmware/en/pdf/techpaper/vmware-multipathing-configuration-software-iscsi-port-binding-white-paper.pdf

Bereits passiert. Dort steht aber nicht explizit drin beschrieben, dass man zwei unterschiedliche Subnetze verwenden soll.

Im EMC Whitepaper wird sowohl von Single Subnet, als auch Mutli Subnet geschrieben. Leider gehen sie aber nicht auf die Switche ein, wie diese verkabelt sein müssen.

@testperson,@magheinz: 

Danke, das ist derzeit auch meine Vermutung. Könnt ihr das irgendwie belegen / begründen?

Derzeit, in der alten Umgebung wird auch iSCSI mit einem Subnetz genutzt. Allerdings kann jede vmnic auch jede Storage IP ansprechen, da die Switche voll verdrahtet sind. Der DL hat sich für die neue Umgebung auch für ein Subnet entschieden, aber die Fabrics zu trennen. Wir haben ihn explizit gefragt, ob wir durch unterschiedliche Subnetze einen Vorteil haben. Dies wurde nur verneint und als "Schmuck am Nachthemd" betitelt.

Daher bräuchte ich etwas schriftliches, quasi pro / con. Oder etwas, wo drin steht, dass das so nicht supportet ist.

Leider konnte ich bis dato nichts finden :(

Hallo, 

stehe hier gerade vor einem grundlegenden Design Problem. 
Gegeben sind ein paar ESXi Hosts mit ESXi 6 Update 2 Patch 6. 2 10GB Netzwerkkarten, 2 Switchen und einem einem Storage mit 2 Controller a 2 Ports. 

Unser Dienstleister hat pro ESXi Host 2 vSwitche erstellt mit jeweils einer Nic als Uplink. 
Beide vSwitche enthalten jeweils einen vmKernel für iSCSI welcher per PortBinding an den Software iSCSI Adapter gebunden ist. 

Beide vmKernel befinden sich im gleichen Subnetz: 10.0.2.x/24 
Nic 1 ist mit Switch 1 verbunden. 
Nic 2 ist mit Switch 2 verbunden. 

Das Storage (EMC VNX) enthält 4 Ports (2 je Controller) Alle Ports sind entsprechend auf die beiden Switche per Kreuz gesteckt und haben eine IP aus dem 10.0.2.x/24 Subnetz. 

Die Switche sind nicht untereinander verbunden, so dass wir zwei getrennte "Fabrics" haben. 

Nun, grundsätzlich finde ich die Lun's vom Storage. Laut Pfad Verwaltung ist Round Robin aktiv und ich sehe auch 2 aktive Pfade. Einmal über vmbha41:C0 und einmal über vmhba41:C1 

Im vmKernel Log sehe ich allerdings regelmäßig, dass ein iSCSI Target "down" ist. Fakt ist, da ist nichts down. 
Wenn ich von der Commandline mit vmkping das Storage anpinge, erreiche ich auch nur 2 der 4 IP's vom Storage. Nutze ich vmkping -I vmk1 oder -I vmk2 erreiche ich immer die physikalisch erreichbaren IP's. Was ja idr. auch logisch ist. 

Aufgefallen sind uns die Probleme dadurch, dass die Hosts beim Booten nun über eine Stunde brauchen um die iSCSI Targets zu erreichen. Danach scheint es zu laufen. Haben allerdings noch keine Last auf der Umgebung. 
(Hierzu meinte der DL nun, es liegt am zuletzt eingespielten Patch 6, welcher die iSCSI Suche verändert) 


Die Frage die ich mir nun stelle, ist das ein supportetes Design? Also ein Subnetz, über zwei getrennte "Fabrics" ? Oder müsste ich die Fabrics mit einander verbinden, damit es sauber funktioniert? 

Oder ist es ein besseres/richtiges Design, wenn zwei getrennte IP Subnetze verwendet werden? 

Würde mich über je Art von Erfahrung, bzw. Bewertung freuen. Ich finde zwar überall in den Design Guides von EMC und vSphere das zwei Subnetze verwendet werden. Aber nie warum, und wie physikalisch die Switche/Fabrics verbunden sind. 

Vielen Dank.

PS: Crosspost hier: http://vmware-forum.de/viewtopic.php?t=31816

nit 2007 und 2010 ging's mit Trust auch ohne das mfg. Ob das mit 2013 noch geht, weiß ich nicht.

Dazu habe ich das gefunden

https://technet.microsoft.com/de-de/library/bb125182.aspx

Also mit einem vertrauenswürdigen Trust.

Ist es das, was du meinst?

Na dann hast du jetzt einen weiteren Grund gefunden, warum Shared SMTP Space Kac.e ist. ;)

War mir vorher schon bekannt :P

Allerdings in einer Cross org Migration komm ich ja nicht drum herum. Oder?

Hallo,

ich beschäftige mich gerade mit dem Thema On Premise Cross Forest Trust über das MFG. Exchange 2010 Forest 1 + Exchange 2016 Forest 2. Beide Exchange Organisationen sollen für die gleiche E-Mail Domäne company.de zuständig sein.

Nun ist es bei der Einrichtung des MFG wichtig, diesen über den TXT Eintrag im DNS zu bestätigen. Doch wie soll das ganze mit der gleichen Domäne funktionieren?

Ist denn bei den Clients in den Outlook anywhere beide Haken zwecks Verbindung langsam und schnell gesetzt? Irgendwelche kennwortabfragen?

Steht am Exchange 2010 bei OA die Authentifizierung auf ntlm ?

Ok.

Den Link aufs Technet spare ich mir dann mal ...

Für 2013 (und in den meisten Dingen auch 2016 verweise ich dann mal auf):

http://blogs.perficient.com/microsoft/2015/03/office-365-the-magic-behind-the-hybrid-config-wizard-2013/

 

Gruss

J

Vielen Dank. Das hab ich gesucht.

Ist ja doch gar nicht so viel, was im Hintergrund passiert.

Ich finde diesen Blog Artikel sehr gut. https://blogs.technet.microsoft.com/exchange/2015/10/26/client-connectivity-in-an-exchange-2016-coexistence-environment-with-exchange-2010/

Der beschreibt wie das Setup aussehen muss.

Und warum liest du dann nicht die Doku?

 

Sorry, aber wenn ich es in der Doku gefunden hätte, dann hätte ich hier nicht gefragt.

Hallo zusammen,

Um Exchange mit o365 in einer Hybriden Umgebung zu betreiben, bietet es sich an, den Hybrid Wizard zu nutzen.

Soweit kein Problem.

Allerdings frage ich mich, was dieser Wizard alles konfiguriert. Sollte mal Troubleshooting betrieben werden. Leider habe ich dazu bis jetzt nichts gefunden.

Des Weiteren frage ich mich, kann man im laufenden Hybrid Betrieb den Wizard neu ausführen? Oder was passiert da?

Hat jemand Infos dazu?

Vielen Dank

Selbst wenn die Daten sicher gelöscht, bzw. die Blöcke überschrieben wurde. Was ist mit den Schattenkopien? Was ist mit Backups?

Unter Umständen sind diese ja auch noch dort aufbewahrt.

Ah, der altbekannte Fallstrick :rolleyes:

 

Man sollte eben immer einen User "Normalo" als Tester haben...

korrekt.. war nur zu Faul für ihn auch noch ein Zertifikat auszustellen.. das hat sich dann gerecht.. ca. 4 Abende gesucht ;)

Habs mit negotiate:Kerberos und nur Negotiate probiert. Beides das gleiche.

Kernelmode mal an, und mal aus. Leider ohne Erfolg...

Im IIS Log sehe ich leider nur diese Meldung:

2016-05-31 17:52:20 192.168.233.40 GET /Microsoft-Server-ActiveSync/default.eas - 443 - 192.168.233.101 - 401 1 87 0

Problem behoben...SDHolder hat mir mal wieder einen Streich gespielt. Nachdem ich die Vererbung am User wieder aktiviert habe, funktioniert Active Sync einwandfrei.

Hallo,

habe hier in meinem Lab einen Exchange 2010 SP3 mit RU 11. (Ja bewusst 2010 ;) )

Der Exchange wird über einen Citrix Netscaler per Kerberos Constrained Delegation veröffentlicht.

Für das OWA Verzeichnis funktioniert dieses ohne Probleme. Bei Active Sync allerdings nicht.Ich teste sowohl mit einem iPhone, als auch mit dem Tool "Active Sync MD". Bei letzterem erhalte ich nur die Meldung 401.

Ich sehe im Eventlog vom Exchange, dass der Benutzer mittels Kerberos authentifiziert wurde, dennoch klappt der Zugriff auf die Mailbox nicht.

Ich habe im virtuellen Verzeichnis Basic Auth deaktiviert und Windows Authentifizierung aktiviert.

Leider erhalte ich keine weiteren Fehlermeldungen oder andere Ansatzpunkte.

Habt ihr eine Idee?

Hallo,

mir kommt gerade die Frage auf, ob und wenn ja wie, man auf einem Terminalserver die Windows Universal Apps installiert / verteilt / überhaupt nutzt.

Hat jemand Erfahrung damit ?

Hallo,

wir betreiben mehrere virtuelle Server auf einem XenServer 6.2. Dabei ist aufgefallen, dass einige Netzwerktechnisch nicht so gut erreichbar sind, wie andere Systeme.

In den virtuellen Maschinen ist jeweils ein 1 GBit/s Adapter angebunden. Es ist zum Teil sogar nachstellbar, dass der Durchsatz innerhalb des Hypervisors, also von VM zu VM auf dem gleichen Host schlecht ist.

Dafür habe ich das Tool "netio" verwendet. Einige VM's kommen hier gerade mal auf eine "gemessene" Übertragungsrate von 30MByte/s. Andere Systeme auf dem gleichen Hypervisor und zum gleichen Ziel auf 110 MByte/s.

Irgendwie traue ich dem Tool netio nicht so wirklich. Bzw. kann mir auch die Gründe überhaupt nicht erklären.

(Alle Tests wurden außerhalb der Arbeitszeit durchgeführt, wo keinerlei Last auf den Systemen vorhanden war)

Womit testet und messt ihr die Bandbreite? Habt ihr Tips zum Troubleshooting?

Es geht wie gesagt um mein Lab.

Dieses hängt hinter einer Fritzbox am vdsl Anschluss.

Eine virtuelle pfSense trennt Lab. An dieser pfSense terminiert ein openvpn Tunnel. Dem Tunnel Device habe ich als Mtu 1440 mitgegeben. (Vom Provider empfohlen)

Die Frage ist nun, muss ich den Devices hinter der pfSense auch die kleinere Mtu konfigurieren?

Kann bei IPv4 automatisch jeder Router Mtu path Discovery?