future thinking: wir sind dabei

Am 29. März findet im Technikmuseum Sinsheim die 3. Tagesveranstaltung rund um das Rechenzentrum unter dem Titel “future thinking” statt. In der American Dreamcar-Halle stellen auch wir aus und das Thema Citrix NetScaler vor.

Im Rahmen der Abend-Gala wird erneut der Deutsche Rechenzentrumspreis in mehreren Kategorien verliehen. Noch davor wird “Brutus” von der Leine gelassen – ganz im Kontrast zum grünen Effizienz-Schwerpunkt der eigentlichen Veranstaltung.

Wir freuen uns auf interessante Gespräche und gute Ideen. Bei Interesse an einem Besuch der Veranstaltung kommen Sie gerne auf uns zu: nm@consulting-lounge.de.

Citrix XenServer 6 Training in Hannover

Noch vor dem kommenden NetScaler Training führen wir eine Schulung für die neue XenServer Version 6 in Hannover durch:

Citrix Authorized Training für Citrix XenServer 6

Wann: 13.-17.02.2012
Wo: Hannover
Wieviel: 2.400€ zzgl. MwSt.
Inkl. Tagesverpflegung und original Citrix Learning Courseware, Zugriff auf Citrix Learning Labs

Was:
Module 1: Introduction to XenServer
Module 2: Installing and Configuring XenServer
Module 3: XenServer Networking
Module 4: XenServer Storage Repositories
Module 5: Creating and Managing Virtual Machines
Module 6: Installing and Configuring Provisioning Services
Module 7: Managing vDisks and Target Devices
Module 8: Implementing Resource Pools
Module 9: Distributed Virtual Switching
Module 10: Workload Balancing
Module 11: Configuring High Availability
Module 12: Managing and Troubleshooting XenServer

Diesen Citrix Kurs bieten wir in Kooperation mit dem Citrix Authorized Learning Center „CALC“ ADN Distribution GmbH an. Durch praktische Übungen vermittelt dieser Kurs grundlegendes Wissen zur Installation, Konfiguration, Administration sowie die Fehleranalyse von XenServer 6.0 und Provisioning Services 6.0.

Dabei führen praktische Übungen durch die folgenden Komponenten:

  • Konfiguration und Verwaltung des XenServer Host.
  • Einrichtung und Verwaltung von virtuellen Windows Maschinen sowie die Verwaltung des XenServer Resource Pools, der als Host der virtuellen Maschinen dient.
  • Konfiguration von Distributed Virtual Switches (DVS) und Workload Balancing (WLB).

Die Teilnehmer werden nach der Kursteilnahme u.a. in der Lage sein, Provisioning Services zu konfigurieren sowie vDisks einzurichten und zu verwalten.

Bei Interesse kontaktieren Sie bitte Frau Wegrich über 0511 – 260 911 44 oder nw@consulting-lounge.de.

Automatisches Initial Update der URL Database eines Clearswift Secure Web Gateways schlägt fehl

Wenn ein automatisches oder manuelles Initial Update der URL Database (Web Categorization Database) fehlschlägt, lohnt sich ein Blick in das entsprechende Log unter “System – Logs & Alarms – System Logs –  URL Category Database Update Log”.

Hier können meistens relativ schnell die Gründe für das Scheitern ermittelt werden. In unserem Beispiel-Log schlägt z.B. die Validierung des Downloads fehl. Dies erkennt man zum einen an den unterschiedlichen md5-Hashes (Remote md5 <-> Local md5) und zum anderen an der anschließenden Fehlermeldung.

URL Category Database Update Log:

[Timestamp] Validating /var/msw/data/websettings/webcat/db/wcd-r1/v023-1093.rd

[Timestamp] Remote md5: 94646d4d917ecf43098736e267b3eb89

[Timestamp] Local md5:  50188b9b34fc73ec152569e874462a17

[Timestamp] warning: Validation of /var/msw/data/websettings/webcat/db/wcd-r1/v023-1093.rd failed. retrying.

Ein Grund für die Bildung von unterschiedlichen md5-Hashes kann z.B. ein nicht vollständig heruntergeladenes Update sein. Um dieses überprüfen zu können, aktiviert man den ssh-Zugriff auf die Appliance und meldet sich dort via PuTTY an. Dann wechselt man in das Verzeichnis /var/msw/data/websettings/webcat/db/wcd-r1/ und lässt sich die Dateigröße der Datei v023-xxxx.rd anzeigen. Diese Größe vergleicht man mit der Größe der gleichnamigen Datei unter folgender URL http://url3.clearswift.net:80/ufs/./feeds/wcd-r1/combined. Um auf die URL zugreifen zu können, wird ein Benutzername und ein Passwort benötigt. Diese Informationen können vom Clearswift Support erfragt werden. Stellt man nun eine Differenz fest, empfiehlt es sich, die Datei manuell herunterzuladen und das System händisch auf einen aktuellen Stand zu bringen. Hierzu geht man wie folgt vor:

1. Aufbau einer ssh-Session zur Appliance (wenn nicht bereits erfolgt)

2. sudo – su

3. mkdir /tmp/downloads

4. wget –http-user USERNAME –http-passwd PASSWORT http://url3.clearswift.net/ufs/feeds/wcd-r1/combined/v023-xxxx.rd

5. cd /var/msw/data/websettings/webcat/db

6. mv wcd-r1.rd to wcd-r1.rd_backup

7. cp /tmp/downloads/v023-xxxx.rd /var/msw/data/websettings/webcat/db

8. mv v023-xxxx.rd wcd-r1.rd

9. cd /var/msw/data/websettings/webcat/db/wcd-r1/

10. mv download.history download.history_backup

11. Anfordern einer aktuellen download.history über den Clearswift Support

12. Die erhaltene Datei unter /var/msw/data/websettings/webcat/db/wcd-r1/ ablegen

13. cd /var/msw/data/websettings/webcat

14. cp WebCatVersion WebCatVersion_backup

15. vi WebcatVersion

16. Der “wcd:”-Eintrag muss auf den entsprechenden Unix-Timestamp und die Versionsnummer geändert werden (z.B. 1326182405,1111). Diesen erfährt man ebenfalls vom Clearswift Support.

17. :wq

Nun sollte die Appliance die aktuelle Web Categorization Database verwenden. Das Ergebnis kann über die WebGUI unter dem Menüpunkt “Health” überprüft werden. Von diesem Zeitpunkt an kann die Appliance dann auch die automatischen Updates ohne Probleme durchführen.

How to configure Kerberos Authentication on a Clearswift Secure Web Gateway for different Windows environments

To enable kerberos user authentication on a Clearswift Secure Web Gateway for different Windows environments, you have to complete the following steps:

1. Create a service-user account in Active Directory

User logon name: HTTP/FQDN_OF_APPLIANCE

User logon name (pre-Windows 2000): for example svc_123

Check “User cannot change password

– Check “Password never expires

Only for Windows Server 2008 / Windows 7 environments:

– Check “This account supports Kerberos AES 256 bit encryption

– CheckAccount expires never

2. Create a Keytab-File

– Open a DOS command prompt on Windows domaincontroller and enter the following command for a Windows Server 2008 / Windows 7 environment:

“ktpass –princ HTTP/HOSTNAME_OF_APPLIANCE@DOMAIN –mapuser svc_123@DOMAIN –crypto AES256-SHA1 –ptype KRB5_NT_Principal –pass COMPLEX_PASSWORD –out C:/keytabfile.key”

Use this command for a Windows Server 2008 / 2003 – Windows 7 / Windows XP mixed environment:

“ktpass –princ HTTP/HOSTNAME_OF_APPLIANCE@DOMAIN –mapuser svc_123@DOMAIN –crypto RC4-HMAC-NT –ptype KRB5_NT_Principal –pass COMPLEX_PASSWORD –out C:/keytabfile.key”

Make sure that the DOMAIN is written in capital letters!

3. Upload Keytab-File and configure CSWG

           CSWG: System – Proxy Settings – Authentication Settings

– User Authentication is Enabled

– Your users will be asked for authentication details.

– The Web Proxy will respond to Kerberos protocol only.

– The Web Proxy will reject responses made using other protocols.

– Kerberos Distribution Center

– The Kerberos Distribution Center is located at “FQDN_OF_DOMAINCONTROLLER”

– Kerberos Key Tab File

– Upload the Keytab-File

– Apache Access Log is Enabled

– Apache access logs are being generated by the Web Gateway.

4. Test authentication

– Enter “Domain User Name

– Enter “User Password

Run Test

You should get now a “successfully authenticated” message.

Most Certified Citrix Networking Partner

Zwar gibt es keine offizielle Auszeichnung dafür, aber nach unserem Kenntnisstand sind wir mindestens für Deutschland der most committed und vor allem most certified Citrix Networking Partner: Stand heute haben wir 5 (fünf) Citrix Certified Administrators (CCA) für Citrix NetScaler und einen Citrix Certified Instructor 2012 for Networking (CCI, der natürlich auch CCA für NetScaler und Access Gateway Enterprise ist) im Team.

Das musste einfach mal gesagt werden. 😉

Alles Gute für 2012

Wir wünschen allen Partnern – dazu zählen wir unsere Kunden wie auch Lieferanten und Hersteller – ein gesundes und erfolgreiches neues Jahr!

PowerShell Seminar mit Dr. Tobias Weltner

10.-13.01.2012: Windows PowerShell 2.0 (WPS) für System- und Netzwerkadministratoren in Hannover.

Zielgruppe
Dieser Kurs richtet sich vornehmlich an Systemadministratoren.

Vorkenntnisse
Administration von Windows Server 2003/2008, Active Directory und Exchange 2007/2010.

Schulungsinhalt
Einführung
– Architektur der PowerShell (alias Microsoft Shell (MSH)/Monad)
– Systemvoraussetzungen und Installation
– Einsatz der Microsoft Windows PowerShell zur Interaktiven Systemadministration und zum Scripting
– PowerShell-Editoren: PowerShell Integrated Scripting Environment (ISE), PowerShellPlus, PowerGUI, u.a.
– Unterschiede zwischen den Versionen

Basiswissen
– Commandlets, Commandlet-Parameter
– Hilfefunktionen
– Objekt-Pipelining
– Ausgabefunktionen
– Navigationsmodell (PowerShell-Provider)

Scripting
– PowerShell Language (PSL): Variablen und Kontrollstrukturen
– Sicherheitsfunktionen (Execution Policy)
– Vordefinierte Variablen
– Profilskripte
– Datenbereiche, Datendateien, Internationalisierung/Lokalisierung/Mehrsprachigkeit

Aufbauwissen
– Fernaufruf/Fernadministration mit WS-Management (“PowerShell Remoting”)
– Zugriff auf .NET-Objekte
– Zugriff auf COM-Objekte
– Zugriff auf WMI-Objekte
– Ereignissystem
– Transaktionen
– PowerShell-Erweiterungen (Module, Snap-Ins) installieren
– Profilskripte
– Datenbereiche, Datendateien, Internationalisierung/Lokalisierung/Mehrsprachigkeit
– PowerShell-Module in Windows Server 2008 Release 2: Active Directory, Server Manager, BITS, App Locker, Best Practices, PSDiagnostics, TroubleShootingPack, etc.

Einsatzbeispiele
– Prozesse
– Dienste
– Dateisystem
– Netzwerkkonfiguration
– Berechtigungen/Sicherheitsfunktionen
– Freigaben
– Active Directory/Verzeichnisdienste
– Registry
– Drucker
– Hardware
– Software
– Ereignisprotokolle
– Dokumente (Textdateien, XML-Dokumente)
– Datenbanken
– DNS
– DHCP
– usw.

Profiwissen
– Fehlerbehandlung und Fehlersuche
– Tracing
– Script Debugging
– Asynchrone Befehlsausführung (Background Jobs, PSJobs)
– Commandlets erstellen in PowerShell Skriptsprache
– PowerShell-Module erstellen
– Sicherheitsfunktionen (Execution Policy)

Ausblick auf die kommenden Versionen der PowerShell
Tipps und Tricks
Antworten auf Ihre Fragen

Dozent
Dr. Tobias Weltner gehört mit über 50 Büchern zu den bekanntesten Fachbuchtoren zum Thema Windows in Deutschland. Er arbeitet als Trainer und Consultant für Großkonzerne in ganz Europa. Sein Spezialgebiet sind Window Scripting-Techniken, insbesondere die Windows PowerShell. Er ist Entwickler der PowerShell-Entwicklungsumgebung “PowerShellPlus” und Autor der Bücher „Scripting mit Windows PowerShell – Der Einsteiger-Workshop“ sowie „PowerShell-Scripting für Administratoren“ (beide erschienen bei Microsoft
Press) . Von Microsoft ist er aufgrund seines Fachwissens ausgezeichnet mit dem Titel “Microsoft Valuable Professional” (MVP) für die Kategorie “Windows PowerShell”.

Wo?
michael-wessel.de
Krausenstraße 50
30171 Hannover

Kosten?
1800,- €* statt 2.249€ p.P. inkl. Tagesverpflegung
*zzgl. MwSt.

Bei Interesse kontaktieren Sie uns unter 0511 260 911-44 oder service [at] michael-wessel.de.

SSL Renegotiation

Vor kurzem wurden Tools veröffentlich, welche mit Hilfe von clientseitiger SSL Renegotiation versuchen, Webserver so stark unter Last zu setzen, dass diese nicht mehr auf Anfragen reagieren können und somit die Seiten für den Zeitraum des Angriffs nicht zur Verfügung stehen (Denial of Service). Abhilfe können hier Loadbalancer wie der Citrix NetScaler schaffen, welcher auf eine effiziente Verarbeitung von SSL-Verschlüsselungen ausgelegt und als Hardware Appliance sogar mit SSL-Beschleuniger-Chips (Cavium) ausgestattet ist.

Darüber hinaus besteht bei vielen Webservern die Möglichkeit die clientseitige SSL Renegotiation zu deaktivieren. Standardmäßig ist dies z.B. bei neueren Versionen des Apache Webservers der Fall.

Steht zwischen Client und Webserver ein Loadbalancer, entsteht die Rechenlast im Normalfall nicht auf dem Backend sondern auf den davor geschalteten Loadbalancern. Um zu verhindern, dass es nun zu einer erhöhten Last auf den NetScalern kommt, besteht hier ebenfalls die Möglichkeit die clientseitige SSL Renegotiation zu deaktvieren:

Die Konfiguration erfolgt in der GUI über die Haupseite SSL -> „Change advanced SSL settings“ -> „Deny SSL Renegotiation“.