Data Protector und das VMware VDDK

In den aktuellen Patch und Versionsständen nutzt die VMware Integration von Data Protector das VDDK 5.0.

VDDK (Virtual Disk Development Kit) ist dafür zuständig VMFS Volumes von z.B. Backupprogrammen gelesen und geschrieben werden können. Konfiguriert man im DP eine SAN based Sicherung von VMware, werden die DataStore LUNs für die Sicherung read only an den DP gehängt. Bei einem Restore einer VM nutzt DP den optimalen Weg, also ein SAN based Restore. VDDK 5.0 enthält einen dokumentierten Fehler, welcher beim Schreiben auf read only DataStores abbricht:

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=2010428

Im Data Protector äußert sich der Fehler so, dass ein Restore zuerst normal läuft, aber nie beendet wird. Als Workaround sollte man in der omnirc den default Restore auf NBD setzen OB2_VEAGENT_RESTORE_TRANSPORT_METHOD=NBD

HP hat die Unterstützung für VDDK 5.1 mit einem Update des DP noch in diesem Jahr angekündigt.

http://www.vmware.com/support/developer/vddk/VDDK-510-ReleaseNotes.html#resolvedissues

NetScaler 10.x + Webinterface – Fallback auf Standardseite

Ein weiteres Problem was bei der letzten Anforderung aufgetreten ist:

Neben Storefront gibt es noch diverse Webinterface Sites, ebenfalls mit lokaler Authentifizierung statt am CAG.

Nach der Abmeldung von der Site und einem Klick auf „Zurück zur Anmeldung“ ist – statt der zuvor aufgerufenen – die als Standard festgelegte Seite angezeigt worden.
Das Problem konnte ich nur im Internet Explorer nachstellen, eine Analyse der Anfragen und Antworten ergab, dass nach der Abmeldung vom CAG ein http 302 – Redirect auf „/vpn/index.html“ gesendet wurde. Der Browser hat die Adresse nicht gefunden und ist auf „/“ zurück gefallen…

„NetScaler 10.x + Webinterface – Fallback auf Standardseite“ weiterlesen

NetScaler 10.x + Storefront 2.0 – Authentifizierung am SF

Wir hatten eine interessante Anforderung: Ein Kunde wünscht den Zugriff auf eine XenApp Umgebung mit dem Webinterface (Storefront 2.0) in diversen verschiedenen Designs, abhängig von dem Pfad mit welchem die Anwender rein kommen.

Entsprechend soll natürlich auch die Logonpage in dem Design sein, nicht nur der Store. Dies ist bei nur einer URL mit mehreren Stores dahinter auf seiten des NetScaler nur mit mehreren Login Points und Design Templates abbildbar, was aber aufgrund der verfügbaren IP Adressen und Zertifikate keine Option ist.

Als erster Schritt wurde dann – analog dem Vorgehen vom alten WebInterface- die Authentifizierung am NetScaler vServer selber, und im Storefront die “Passthrought Authentifizierung vom NetScaler Gateway”, deaktiviert.
Der Aufruf der AccessGateway Adresse zeigt jetzt zwar die richtige Logon Page, eine Anmeldung war aber trotz korrekter Credentials nicht möglich… Das Windows Eventlog zeigt eine erfolgreiche Anmeldung an, der Browser bleibt aber ohne weiterer Meldung an der Anmeldemaske stehen.

Die Lösung:
In der web.config des Stores folgende Zeile Abändern:

resourcesGateways requireTokenConsistency="true"

nach

resourcesGateways requireTokenConsistency="false"

Daraufhin klappt es wunderbar, das AG macht nur noch ICA Proxy und der Kunde bekommt sein Design nach extern publiziert.

Citrix XenMobile MDM v8.5 – Terms & Conditions

Gibt es im Bereich MDM die Anforderung vor dem eigentlichen Enrollment-Prozess, also der Aufnahme eines mobilen Endgerätes in den Mobile Device Manger, dem User die Nutzungsbedingungen anzuzeigen, so gab es bis zur Version 8.5 nur eine Möglichkeit. Der Administrator des MDM musste ein pdf-Dokument erstellen, welches auf dem Server unter ..\Program Files (x86)\citrix\XenMobile Device Manager\tomcat\webapps\zdm\documents abgelegt wurde. Dieses Dokument musste zwingend den Namen “enduserterms.pdf” erhalten. Nachteil dieses Vorgehen: Der Administrator konnte pro Instanz nur ein Terms & Conditions Dokument einbinden. Was aber, wenn unterschiedliche Gruppen innerhalb des MDM verschiedene Nutzungsbedingungen hätte bekommen sollen?

Integration pur: Netzlaufwerke im Datei-Manager

Diese Anforderung wurde in der Version 8.5 komplett neu umgesetzt. Nun werden die Terms & Conditions über das Admin-GUI hinzugefügt. Über den “Files-Tab” wird einfach ein neues Dokument hochgeladen und die Radio-Buttons “Terms & Conditions PDF” und “Default Terms & Conditions PDF” aktiviert. Als letzten Schritt muss dieses Dokument in ein Basis-Deployment Package aufgenommen werden. Hierdurch können nun auch ohne Probleme verschiedene Nutzungsbedingungen für verschiedene Gruppen in einer Unternehmung bereitgestellt werden

Citrix XenMobile Device Manager – Terms & Conditions im Basis Deployment Package

 

 

 

HP 3PAR StoreServ: Funktionen & Features (Teil 2 – “Speichervirtualisierung, a.k.a. HP tri-level mapping”)

Nachdem wir uns im ersten Teil detailliert mit den Controllern und deren Funktion “Persistent Cache” beschäftigt haben, soll es in diesem Beitrag um die zweitwichtigste Komponente eines Storage-Systems gehen: den Datenspeicher. Was genau passiert eigentlich mit den Festplatten? Wie werden diese vom System verwendet? Zusammenfassen lässt sich dies am einfachsten mit dem Begriff „Speichervirtualisierung“. Mittels der Abstraktion von physikalischem Speicher über mehrere Ebenen erreicht HP bei den 3PAR-Systemen eine sehr hohe Flexibilität im Umgang mit den einzelnen Speicherbereichen – und dies erhöht schlussendlich ein weiteres Mal die Verfügbarkeit der Daten.

„HP 3PAR StoreServ: Funktionen & Features (Teil 2 – “Speichervirtualisierung, a.k.a. HP tri-level mapping”)“ weiterlesen

Netscaler als Reverse FTPS-Proxy

Soll der Netscaler als Reverse Proxy für FTP-Verbindungen eingesetzt werden, so steht man eher vor einer lösbaren Aufgabe. Kommt nun aber die Anforderung hinzu, die FTP-Kommunikation per SSL zu sichern, wird der Administrator vor eine nahezu unlösbare Aufgabe gestellt. Ein Blick in entsprechende Citrix KB-Artikel und Konfigurationsanleitungen lässt auch nur erkennen, dass eine FTPS-Lösung auf dem Netscaler seitens des Herstellers nicht vorgesehen und damit nicht supportet wird. Da der Netscaler aber eigentlich die Rolle als Reverse FTPS-Proxy mit Bravur erfüllen kann, haben wir die Herausforderung angenommen und die nachfolgende Konfiguration geschaffen in der der Netscaler genau dieser Aufgabe nachgeht.

Passive explicit FTPS

Wir nutzen zur Realisierung der Lösung die passive explicit FTPS Variante. Bei dieser Variante von FTPS geht der Wunsch nach einem verschlüsselten Kommunikationskanal immer vom FTP-Client aus. Der Server kann eine verschlüsselte Kommunikation nicht serverseitig erzwingen, er kann nur unverschlüsselte Kommunikationsanfragen ablehnen. Der Client baut daher über den Port 21 eine Verbindung zum FTP-Server auf. Anschließend versucht er über den Befehl AUTH TLS eine gesicherte Verbindung mit dem FTP-Server aufzubauen. Konnte der TLS Handshake erfolgreich abgeschlossen werden, liefert der Server einen entsprechenden Port an den Client zurück, über den die Daten übertragen werden sollen. Um die Administration der Firewall, wie auch des Netscalers zu vereinfachen, wird vom Administrator des FTP-Servers ein Portbereich für die Datenkanäle festgelegt. Dieses haben wir am Beispiel des IIS einmal exemplarisch konfiguriert.

IIS FTP-Firewallunterstützung

Als externe IP-Adresse muss hier wie später beschrieben wird, die DMZ VIP des Netscalers, die für den FTPS-Dienst angelegt wurde, eingetragen werden.

 

IIS FTP Bindings

Damit der FTP-Server auch im internen Netzwerk erreichbar ist, müssen die sogenannten FTP-Bindings festgelegt werden.

 

 

 

Die Netscaler Konfiguration

Netscaler Konfiguration

Nebenstehender Auszug aus einer Netscaler Konfiguration legt zuerst den FTP-Server mit seiner internen IP-Adresse an. Dann werden die Services inklusive der Load Balancing Virtual Server  für den Control Channel auf Port 21, wie für den Data Channel Bereich Port 9000 – 9002 angelegt. Hierbei ist zu beachten, dass immer wieder die gleiche DMZ IP-Adresse verwendet wird. Diese wurde ja bereits in den IIS Firewallunterstützungseinstellungen als externe Adresse definiert.  Zuletzt werden die Services und die entsprechende Monitore gebunden. Bei dieser Konfiguration wird das SSL-Zertifikat durch den IIS gehalten, d.h. es findet kein SSL-Offloading statt.

 

HP 3PAR StoreServ: Funktionen & Features (Teil 1 – “Persistent Cache”)

Überall bekommt man Artikel zum jüngsten Storage Produkt von Hewlett Packard, der HP 3PAR StoreServ 7000er Serie, zu lesen. Jeder zitiert darin eifrig die Schlagworte findiger Marketing-Schreiberlinge zu neuen Funktionen & Features. Und als Höhepunkt findet sich eine rasche Auflistung der Hardware-Spezifikationen.

Aber reicht das aus? Bekommt man so tatsächlich eine Übersicht oder gar ein Gefühl dafür was einem da eigentlich angeboten wird?

Kaufen Sie ein neues Paar Schuhe, weil der Verkäufer Ihnen sagt “Das ist das neueste Modell auf dem Markt mit Funktion A, B und natürlich auch C”? Oder interessiert es Sie vielleicht doch was genau Sie hier eigentlich für Ihr Geld bekommen – was sich hinter einem vertrieblichen Schlagwort im Detail verbirgt, wo und wie die Funktion zum Einsatz kommt und vor allem ob man diese Funktion überhaupt benötigt?

Wir geben Auskunft und erklären die Funktionen und Möglichkeiten der neuen Speicherlösung im Detail. Interessiert? Dann begleiten Sie uns.

„HP 3PAR StoreServ: Funktionen & Features (Teil 1 – “Persistent Cache”)“ weiterlesen

BlackBerry Work Drives – Der Zugriff auf Unternehmensdaten über das Z10

Ein suchender Blick wandert über die Einstellungen des Datei-Managers des neuen BlackBerry Z10, auf der Suche nach einer Möglichkeit, die Netzlaufwerke der Firma einbinden zu können. – Nichts. Ohne Ergebnis verläuft diese und eine weitere Suche. Sollte BlackBerry die Möglichkeit auf Unternehmensdaten zugreifen zu können, mit Einführung des neuen OS10, abgeschafft haben?

Die BlackBerry Work Drives App

Nein, natürlich nicht! Die Lösung steckt in einer kleinen, unscheinbaren Applikation – der BlackBerry Work Drives App. Diese lässt sich über die BlackBerry World des geschäftlichen Bereichs ohne Probleme installieren. Nach abgeschlossener Installation genügt ein kurzer Aufruf der App. Über den Punkt “Hinzufügen” gelangt man in nebenstehenden Konfigurationsdialog. Hier vergibt man einen Namen für das entsprechende Netzlaufwerk. Dieser taucht auch später wieder in der Benutzung mit dem Datei-Manager auf. Dann wird der Ort der Netzwerkfreigabe hinterlegt, für Windows-Fileserver wählt man einen entsprechenden UNC-Pfad aus. Nun nur noch den Benutzername in der Syntax Domäne\Username angeben und das Domänenkennwort eintragen. Mit diesen Angaben wird daraufhin der Zugriff auf die entsprechende Netzwerkressource im Endgerät angelegt.

Integration pur: Netzlaufwerke im Datei-Manager

BlackBerry Work Drives arbeitet nur innerhalb der “Geschäftlichen”-Umgebung und benötigt daher zwingend die Anbindung an den BlackBerry Administration Service. In unseren Tests konnten die konfigurierten Netzwerklaufwerke sehr flüssig und schnell durchsucht werden. Das Öffnen von Dateien verlief ebenso schnell und unproblematisch, hängt aber natürlich von der Dateigröße und der vorherrschenden Mobilfunkabdeckung ab.

NetScaler 10.0 Build 70.7 SNMPv3 Trouble

Manchmal fährt man mit einer klaren Problemlösung zum Kunden, ist sich sicher direkt zu punkten und dann kommt es doch anders als geplant. Im aktuellen Fall hatte der Kunde Probleme mit der NetScaler Überwachung via SNMPv3. Die NetScaler Devices ließen sich ohne Probleme per SNMPv1 / SNMPv2 abfragen und der iReasoning MIB Walker konnte die dem NetScaler mitgelieferten MIBs direkt zuordnen. Einzig SNMPv3 ließ sich bitten.

Nach kurzer Kontrolle der Citrix eDocs stellte sich das SNMPv3 Thema aber als relativ überschaubar dar. Im Kern verbindet man einfach einen View zusammen mit einem User zu einer Group und kann dann mit den gewählten Detailsettings im Bereich Authentifizierung und Verschlüsselung die gewünschten Values auslesen.

Einzig der View ist relativ dünn beschrieben, aus SNMP-Sicht aber doch recht klar. Mit Hilfe des Views wird bestimmt, welche Teile des Subtrees gelesen werden dürfen, oder welche nicht.

Dabei besteht die Möglichkeit entweder anhand der OID oder anhand der .iso Bezeichnung den gewünschten Subtree zu beschreiben.

Soweit, so klar, und auch bei mir im Lab fehlerfrei. Doch direkt beim Kunden, unter kritischer Beobachtung des selbigen, war es unmöglich über die GUI  den Subtree zu beschreiben.

Bei jedem Versuch, immer wieder Please enter a valid “Subtree”.

Vor Ort habe ich dann nur kurz die Settings aus meinem Lab überprüft und musste ohne Lösung wieder abreisen. Zurück im Lab fiel mir auf, dass dieser eine Teil der Lab Umgebung noch auf einem älteren Build der 10 Version lief. Und direkt nach dem Update auf die 10.0 Build 70.7 wurde der Fehler deutlich. Die bisher bekannten Values OID / .iso Bezeichnung ließen sich zwar in den bestehenden Views nutzen, aber nicht bei der Erstellung eines neuen View. Um einen neuen View anlegen zu können musste erst die Commandline zur Hand genommen werden. Aber auch das ist ja an dieser Stelle keine Herausforderung.

add snmp view View1 -type included
add snmp view snmpv3_view_inlc_all 1.3 -type included
add snmp view snmpv3_view_exclude_system system -type excluded

Nun konnte ich wie gewünscht die neuen Views nutzen und der Walk läuft nun auch wie gewünscht über SNMPv3. Den GUI Bug sollte Citrix im nächsten Release hoffentlich beheben.