Granikos Technology Blog

Problem

After In-place upgrading from Windows Server 2008 R2 to Windows Server 2012 R2 (not a good idea in production environment) and activating the new Windows Server Updates Services Role, I´ve encountered several errors. The machine had also the System Center Configuration Manager 2012 R2 installed.

The post-installation task ended with the error Failed to start and configure the WSUS service.

A manually start did not work either (Error 193: 0xc1):

Reason

CCMSetup (SCCM) created a file called Program in the root folder and the WSUS Application Pool ran under the wrong .NET CLR Version.

Solution

Delete or rename Program file and change the .NET CLR Version from .NET 2 to .NET 4.

After an IISReset restart the Post-installation tasks of WSUS:

Sometimes you have the same scheduled task configured for manual execution available across different servers. Instead of triggering the start manually on each server by logging on remotely, you can trigger the scheduled task on each server by using Remote PowerShell.

The following example triggers the configured scheduled task My-Manual-Task on server MYSERVER01 to MYSERVER06.

$cimSession = New-CimSession -ComputerName MYSERVER01,MYSERVER02,MYSERVER03,MYSERVER04,MYSERVER05,MYSERVER06

Start-ScheduledTask My-Manual-Task -CimSession $cimSession

Remove-CimSession $cimSession

Enjoy Remote PowerShell

You are unsure what Office 365 has to offer for your business? We are here to help you get the best out of Office 365. Contact us at info@granikos.eu or visit our website.  

De-Mail

De-Mail ist Bestandteil der E-Government-2.0 Strategie Deutschlands und ist eine vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizierte Technik zur sicheren, vertraulichen und nachweisbaren E-Mail Kommunikation.

Eine komfortable Anbindung an die De-Mail Infrastruktur ist mit Hilfe der E-Mail Gateway Lösung NoSpamProxy Encryption möglich. Für eine Anbindung an die E-Mail Systeme eines Unternehmens muss eine De-Mail Gateway Kommunikation eingerichtet werden. Die Nutzung von De-Mail in dieserm Szenario erfordert den Einsatz einer Signaturkarte, was für die Anbindung an eine serverbasierte Softwarelösung ganz eigene Herausforderungen mit sich bringt.

Im nachfolgenden Artikel wird die Anbindung exemplarisch für die T-Systems De-Mail Schnittstelle unter Verwendung von NoSpamProxy Encryption beschrieben. Die von T-Systems zur Verfügung gestellte Gateway-Lösung wird hierzu nicht benötigt. Die NoSpamProxy Encryption Gateway Rolle ist in diesem Beispiel bereits auf dem Windows Server 2012R2 System installiert.

Voraussetzungen

Lesegeräte für Signaturkarten sind mit einer USB Schnittstelle ausgestattet. Bei direkter Nutzung einer hardwarebasierten Serverlösung stellt dies kein Problem dar, da der Kartenleser direkt am Server angeschlossen werden kann.

In einer virtualisierten Serverinfrastruktur muss der USB Kartenleser mit Hilfe eines USB Servers dem Betriebssystem zur Verfügung gestellt werden. Hier gibt es unterschiedliche Produkte am Markt. T-System empfiehlt hier das SoHo Produkt myUTN-50a der Fa. SEH. Am Markt existieren auch industrietaugliche Alternativen.

Als Kartenlesen empfiehlt und verkauft T-Systems den SCR3310 (lt. Herstellt End of Life), der auch in diesem Beispiel verwendet wird.

Hinweise

• Da die PIN Nutzung durch die Software erfolgt, darf kein Kartenleser mit eigener Tastatur verwendet werden.
• Jeder Gateway Server erfordert einen eigenen Kartenleser und eine dedizierte Smartcard.

Installation

Die Installation aller Smartcard Komponenten muss über die Konsole erfolgen. Eine Installation über eine RDP Verbindung (auch RDP Konsole) führt zu einer fehlerhaften Installation der Smartcard Komponenten.

1. Einrichtung und Installation USB Server

Für den USB Server ist die Verwendung einer dedizierten und fest konfigurierten IP-Adresse einer Zuweisung per DHCP vorzuziehen. Nach der Einrichtung muss der USB Server mit Hilfe der zugehörigen Verwaltungssoftware erreichbar sein und die USB Ports müssen im Gastbetriebssystem eingebunden werden. Die korrekte Einbindung kann im Gerätemanager kontrolliert werden.

Wichtig ist, dass die Einbindung des USB-Servers als „Autostart“ konfiguriert ist, damit der USB-Server beim Start des Betriebssystems automatisch verbunden wird.

2. Installation Smartcard-Kartenleser (SCR3311)

Die Installation der Treibersoftware für den Kartenleser SCR3311 ist einfach, da es sich um eine simple Windows-Installer Lösung handelt. Nach der Installation muss der Kartenleser im Gerätemanager sichtbar sein und als korrekt installiert angezeigt werden.

3. Installation Smartcard

Für den Zugriff auf die Smartcard muss der Treiber für das TCOS (TeleSec Chipcard Operating System) installiert werden. Hier ist TCOS Cardmodul Treiber für die manuelle Installation zu verwenden. Nach dem Entpacken des gezippten Archivs erfolgt die Installation (Treiber Update) mit Hilfe des Gerätemanagers. Nach der Installation muss die Smartcard im Gerätemanager sichtbar sein und als korrekt installiert angezeigt werden.

4. Installation CardManager

Für die Registrierung der auf der Smartcard gespeicherten Zertifikate muss die TCOS CardManager Software installiert werden. Auch hier ist die Installation einfach, da es sich um eine simple Windows-Installer Lösung handelt.

Konfiguration

Nachdem alle Komponenten korrekt installiert sind, können die Zertifikate auf dem Server registriert und mit Hilfe eines Tools im Zertifikatsspeicher des Servers zur Nutzung bereitgestellt werden.

1. Registrierung Zertifikate

Starten Sie den TeleSec CardManager und wählen Sie die den Knoten Personalisierung -> Zertifikate und registrieren Sie alle Zertifikate.

2. Promoten der Zertifikate

Nach der Registrierung müssen die registrierten Zertifikate in den lokalen Zertifikatspeicher promotet werden, damit die Software mit den Zertifikaten arbeiten kann.

Starten Sie die CertificatePromoter.exe und wählen Sie alle registrierten Zertifikate. Klicken Sie anschließend auf Ok und starten Sie anschließend den Server durch.

Wichtig ist, dass nach der Bereitstellung der Zertifikate mindestens das Zertifikat für Client Authentication, Smart Card Logon im Zertifikatsspeicher aufgeführt wird.

In der Anzeige der Zertifikatsdetails können die erweiterten Nutzungsarten angezeigt werden:

3. De-Mail Konnektor

Nachdem nun die Zertifikate korrekt im lokalen Zertifikatsspeicher verfügbar sind, kann der NoSpamProxy De-Mail Konnektor in der NoSpamProxy Verwaltungskonsole konfiguriert werden.

Vergeben Sie einen Namen für den Konnektor und wählen Sie T-System als Ziel aus. Anschließend wählen Sie das zu verwendete Zertifikat aus.

Im Auswahldialog für das Zertifikat werden alle Zertifikate angezeigt, die auf den verbundenen NoSpamProxy Gateway Systemen im lokalen Zertifikatsspeicher zur Verfügung stehen. Werden in diesem Dialog die De-Mail Zertifikate nicht angezeigt, müssen die Konfigurationsschritte zur Einbindung der Zertifikate überprüft werden.

Überprüfen Sie anhand der Zertifikate-Detailanzeige das zu verwendende Zertifikat (s.o.) und wählen es anschließend aus.

Für jedes Gateway-System muss ein separater Konnektor erstellt werden.

Nach der Einrichtung des Konnektors und der erfolgreichen Verbindung zum T-System De-Mail Server werden in der NoSpamProxy Verwaltungskonsole die zur Verfügung stehenden De-Mail Domänen angezeigt. Damit wurde die De-Mail Anbindung mit NoSpamProxy Protection eingerichtet.

Nach der rein technischen Anbindung des Unternehmens an De-Mail, muss De-Mail in Ihre Fachverfahren nach Ihren Wünschen und Anforderungen integriert werden. Dies erfordert eine ganz individuelle Beratung und Umsetzung.

Links

• De-Mail Informationsportal, http://www.de-mail.info
• USB Server
  • myUTN-50a, USB Server in SoHo Ausführung (SEH Computertechnik GmbH)
    Produkt http://www.seh.de/produkte/usb-deviceserver/myutn-50a.html
    Treiber und Software http://www.seh.de/service/downloads/download-deviceserver/myutn-50a.html
  • USB-Server Gigabit in Industrie-Ausführung (Wiesemann & Theis GmbH)
    Produkt, Treiber und Software http://www.wut.de/e-53662-ww-dade-000.php
• Smartcard Kartenleser
  • SCR3310 v2 (SCM PC-Card GmbH)
    Produkt http://www.scm-pc-card.de/index.php?page=product&function=show_product&lang=de&category_id=46&p=SCR3310 v2&c=SmartCard (SCR)&product_id=608
    Treiber (Version 8.57) http://www.scm-pc-card.de/index.php?page=download&function=show_downloads&lang=de&product_id=608
• Smartcard
  • TCOS Cardmodul Treiber (Telesec)
    Treiber https://www.telesec.de/de/tcos/support/downloadbereich/category/26-tcos-cardmodul-zum-microsoft-smartcard-basecsp
  • TeleSec CardManager V2 Lite 1.2.1
    Software https://www.telesec.de/de/tcos/support/downloadbereich/file/165-telesec-cardmanager-v2-lite-1-2-1-fuer-windows
• NoSpamProxy
  • Weitere Informationen https://www.granikos.eu/de/Produkte/NetatWork
  • Software Download https://www.nospamproxy.de/de/download/

Viel Spaß mit De-Mail.

Today's virtualization options provide a wide variety to even virtualize business critical enterprise applications. Distributed enterprise applications can easily be virtualized but require a proper planning. Otherwise you will end up with virtualized SharePoint Server Farm that does not scale well and perform badly.

This article will provide information on how to virtualize your production environment properly and will not necessarily cover development environments, as those tend to run in over-committed scenarios anyway.

The following table provide a simple overview on the SharePoint farm terminology:

Never ever start a SharePoint production deployment with a single multi-role SharePoint Server.

The following figure illustrates the architecture of a SharePoint Server 2013 environment example.

Capacity and Performance : These two key aspects are the most important aspects when you plan your SharePoint virtualization infrastructure. You need to plan for enough disk capacity to host all of the content databases and data that is cached to disk by the web server and application server roles. Your overall capacity should be planned at least for a three year period. The requirements for CPU and memory sizing of the virtual hosts depends on your server requirements. A virtual host should always be equipped to the physical maximum. If you leave CPU sockets empty, there is no guarantee that you will get the CPU for that socket in the future. The memory banks should be filled in the proper ratio per CPU as well. Otherwise you will not be able to fully benefit from the virtualization of your servers.

Virtualizing the Load Balancer

Mostly all of the major vendors of hardware load balancers offer virtualized load balancers as well. As long as the virtual load balancer is not running on an over-committed host, and sufficient performance is provided, there is no legitimate reason to not virtualize a load balancer. 

Especially when you maintain a large virtualization platform you are heavily interested to not add additional hardware complexity to your network infrastructure by adding hardware load balancers. Any additional layer of complexity adds an additional layer for support as well.

Some of the major vendors are (purely alphabetical):

• F5, http://f5.com
• jetNEXUS, http://www.jetnexus.com
• Kemp,  http://kemptechnologies.com
• Radware, http://www.radware.com
• Riverbed, http://www.riverbed.com

Virtualizing the Web Server role

Web servers are easy to scale, because web server generally provide a much better performance by adding additional CPUs and memory resources. This is the reason why the web server role within a SharePoint deployment is the easiest to scale out. Because it is so easy to just add additional resources it is not automatically the right approach. Performance-wise you will reach a point where adding an additional web server makes more sense. This decision if you extend the resources of an existing server or add a new virtual machine depends on the overall virtualization infrastructure and the available hardware resources.

Another important topic to think about is the migration of virtual machines between hosts and the high-availability functionality of your virtualization platform. A virtual machine can be moved between virtual host more quickly when the virtual machine is not over-sized. The larger the assigned resources are, the more time it takes to migrate a virtual machine. You need to keep this in mind not only for migrations due to maintenance reasons or virtual hosts fail-overs. The same is true when you utilize the automatic load balancing of virtual machines.

NUMA nodes are an additional important topic. Microsoft provides dedicated informations to NUMA nodes SharePoint here. Even though that the article is focusing in Hyper-V, the general NUMA node requirements are valid for other hyper-visor platforms as well. As per Microsoft performance can decrease by up to 8% when a virtual machines needs to access remote memory from another NUMA node.

The proper sizing  of memory resources ensures that your web servers perform as expected. You need to ensure that the web server does not require to swap memory and make heavy use of the page file. Any use of the page file results in unnecessary disk I/O. And depending on the disk sub system the required I/O reduces the performance dramatically. Even though that the operating system supports hot-adding of virtual memory, not all application functions make use of added virtual memory. Some components recognized available memory during start-up of the operating system and do not adjust themselves during run time (e.g. Distributed Cache).

Your SharePoint server running the web server role should be configured with at least:

• 2 CPU
• 8 GB Memory
• Single Volume hosting the operating system and the SharePoint Server application files

Virtualizing the Application Server role

The CPU demand of SharePoint application servers depends heavily on the applications that are running on those servers. Some application might be more CPU resource intensive (e.g. Search), others might be more memory intensive. To find the proper sizing for your specific requirements you need to monitor the system resources not only on a general level (e.g. System CPU usage, system memory consumption), but on a more granular level (per service, per application pool, per worker process). 

Your SharePoint server running the application server role should be configured with at least:

• 2 CPU (4 CPU, if running multiple applications on a single server)
• 8 GB Memory (16 GB, if running multiple applications on a single server)
• Single Volume hosting the operating system and the SharePoint Server application files

Virtualizing the Database Server role

The virtualization of SQL Server is a separate topic that will be covered in more detail in a separate blog article. But it would be unfair to leave this section more or less empty.

First of all it should be said that even SQL Server can be virtualized. If virtualizing SQL Server is an option for your IT infrastructure depends on the SQL Server and data warehouse design of your company. Some companies prefer to host SQL databases in central SQL Servers serving all data application within the company. Other companies prefer to host SQL databases on different SQL servers and group those by SQL Server SLA and/or by the type of data stored in databases.

In this example we assume that there are three SQL Server 2012 dedicated to SharePoint in use. The following table gives a brief overview of the recommended memory sizing for SQL Server virtual machines:

SQL Server 2012 provides a new functionality called AlwaysOn Availability Groups (AAG). The AAG provides a much better experience and performance when it comes to database fail-overs. But at the same time you need to plan resource requirements in a different way than you were used to with classic Windows Clustering capabilities. An AAG does have a primary replica of a database and many secondary (passive) replicas of the same database.

AGGs can be operated in two different availability modes:

1. Asynchronous-commit
   The primary replica commits transactions without waiting for confirmation by the secondary replicas.
   This mode is similar to high-performance mode with database mirroring.
2. Synchronous-commit
   The primary replica waits for the acknowledgement of all secondary replicas.
   This mode is similar to high-safety mode with database mirroring.

 In our example we have two different AlwaysOn Availability Groups configured:

1. AAG1: Synchronous-commit
   This AAG supports the databases for Central Administration and the SharePoint configuration databases.
   These databases do not rely so much on database performance, but we want to make sure that the data is properly protected.
2. AAG2: Asynchronous-commit
   This AAG supports all SharePoint content databases.
   We want to achieve the best performance for the content databases. 

Summary

The SharePoint 2013 farm example ends up in the follow virtual host demands:

To be able to have a single virtual host in maintenance, but still have redundancy we need to plan for at least three virtual hosts. But even in this case one of the two can fail. Therefore you need to protect yourself from a failure while having on virtual host in maintenance. The disk subsystem is connected to each host by fibre channel or iSCSI on a dedicated 10GB network.

Links

• Performance And Capacity Technical Case Studies (SharePoint Server 2010)
• Use best practice configurations for the SharePoint 2013 virtual machines and Hyper-V environment
• Storage and SQL Server capacity planning and configuration (SharePoint Server 2013)

Das E-Mail-Sicherheitsgateway NoSpamProxy untertützt die Anbindung an die De-Mail-Infrastruktur. Mit Hilfe von De-Mail ist eine gesetzlich geregelte Zustellung von rechtlich relevanten E-Mail-Nachrichten möglich. MIt Hilfe von NoSpamProxy kann Ihr Unternehmen E-Mail-Nachrichten mit De-Mail-Empfängern austauschen, ganz unabhängig davon, ob Ihre E-Mail-Server in der internen IT-Infrastruktur betrieben werden oder als SaaS-Dienst wie z.B. Office 365. In meinem Beispiel befinden sich alle Postfächer in Exchange Online.

Die Anbindung von De-Mail und Office 365 über das E-Mail-Gateway wird im nachfolgenden Schaubild deutlich.

• Alle Benutzerpostfächer, mit Benutzerverwaltung im lokalen Active Directory, befinden sich in Office 365
• Exchange Online ist für die zentralisierte E-Mail-Zustellung (Centralized Mail-Flow) konfiguriert
• E-Mail-Verkehr mit externen E-mail-Systemen erfolgt über das E-Mail-Sicherheitsgateway NoSpamProxy
• Anbindung an die De-Mail-Infrastruktur über das De-Mail-Gateway von T-Systems 

Die zur Anbindung an Office 365 erforderlichen Komponenten, wie z.B: Azure AD Connect, sind im Diagramm nicht dargestellt, um die Übersichtlichkeit zu gewährleisten. 

Technische Umsetzung

Das E-Mail-Gatewaysystem wird in diesem Beispiel auf einer Hyper-V-Plattform betrieben. Da die De-Mail-Zertifikate auf einer Smardcard gespeichert sind und der Betrieb des Gateways unbeaufsichtigt erfolgen soll, muss die Smartcard über einen zertifizierten Kartenleser permanent eingebunden werden. Entsprechende Smartcard-Lesegeräte sind als USB-Geräte erhältlich. Beim Erwerb einer De-Mail-Signaturkarte erhalten Sie einen passenden Kartenleser.

Die Verbindung des physikalischen Smartcard-Lesegerätes zum virtualisierten Betriebssystem erfolgt mit Hilfe eines USB-Servers. Für diesen USB-Server wird auf dem virtualisierten Betriebssystem eine Treiber-Software installiert, die einen virtualisierten USB-Port bereitstellt. Über diesen vUSB-Port ist anschließend das Smartcard-Lesegerät mit dem Betriebssystem verbunden. Zusätzlich werden noch die passenden Treiber und die Verwaltungssoftware für das De-Mail-Zertifikat benötigt.

Das folgende Schaubild verdeutlicht die technische Anbindung des Smartcard-Lesegerätes mit einem virtualisierten Betriebssystem.

System-Komponenten

• Betriebssystem E-Mail-Gateway: Windows Server 2012R2
• Smartcard-Lesegerät: SCR uTrust 2700 F (Lieferumfang De-Mail-Paket)
• USB-Server: WuT USB-Server Gigabit 2.0 (Produkt-Webseite)
  • Der USB-Server kann über PoE mit Spannung versorgt werden. Dies erleichtert die Integration erheblich. Alternativ ist eine Spannungsversorgung mit 24-48V über eine Schreibklemme möglich.

Software-Komponenten

• vUSB-Treiber (USB-Umlenkung), (Download)
• WuTility zur Verwaltung des USB-Servers (Download)
• Lesegerät-Treiber für SCR uTrust 2700 F (Download)
• Smartcard-Treiber für TCOS-TeleSec Card OS mit manueller Installation über den Windows Geräte-Manager (Download)
• TeleSec CardManager .NET zur Verwaltung der Smartcard (Download)
• NoSpamProxy E-Mail-Sicherheitsgateway (Download)

Die Anbindung an De-Mail erfolgt immer auf einem NoSpamProxy-System mit installierter Gateway-Rolle. Ob es sich um ein reines Gateway-System handelt oder aber um ein System mit installierte Intranet- und Gateway-Rolle ist unerheblich.  In der nachfolgenden Beschreibung gehe ich davon aus, dass die NoSpamProxy Gateway-Software bereits installiert ist und die Nutzung von De-Mail lizensiert ist.

Installation

Installieren Sie zuerst den USB-Server und richten Sie das Smartcard-Lesegerät im Windows Server Betriebssystem ein. Die in diesem Artikel beschriebenen Schritte und zu installierenden Komponenten gelten für Windows Server 2012R2 und Windows Server 2016 identisch. Für Windows Server 2019 liegen noch keine Erfahrungen vor.

1. Verbinden Sie den USB-Server mit einem PoE-Switch-Port
2. Installieren Sie die WuTility-Software
   1. vergeben Sie eine IP-Adresse
   2. vergeben Sie ein Kennwort für die Anmeldung an die Web-Oberfläche des USB-Servers
   3. aktualisieren Sie die Firmware des USB-Servers
3. Installieren Sie die USB-Umlenkung
4. Schließen Sie das Smartcard-Lesegerät am USB-Server an, das Lesegerät erscheint in der Übersicht der USB-Umlenkung
5. Konfigurieren Sie die Einbindung für das Lesegerät auf permanent
   
    
6. Installieren Sie den Lesegerät-Treiber für SCR uTrust 2700 F

An diesem Punkt haben Sie das Smartcard-Lesegerät über den USB-Server und den virtuellen USB-Treiber der USB-Umlenkung mit dem Windows Server Betriebssystem verbunden. Bei jedem Neustart des Betriebssystems wird das Lesegerät automatisch verbunden.

Für die folgenden Installationsschritte und die Einbindung des De-Mail-Zertifikates ist es erforderlich, dass Sie eine Konsolenverbindung zum virtualisierten Betriebssystem herstellen. Die Einbindung des Smartcard-Zertifikates innerhalb einer RDP-Sitzung auf dem Windows Server nicht möglich, da dies durch den Windows Smartcard-Treiber aktiv verhindert. Sie erkennen dies daran, dass es beim Start des TCOS-CardManagers zu folgender Fehlermeldung kommt.

In einer VMware Hypervisor-Plattform ist der Zugriff über eine Konsolensitzung kein Problem. Wenn Sie aber Hyper-V als Hypervisor-Plattform einsetzen, müssen Sie auf die folgenden Einstellung des Hyper-V-Hostsystems achten.

Die Funktion "Erweiterten Situngsmodus zulassen" muss ausgeschaltet sein. Wenn diese Funktion eingeschaltet ist, werden alle Sitzungen durch das Gast-Betriebssystem als RDP-Sitzungen wahrgenommen. Dies führt automatisch dazu, dass der beschriebene Zugriff auf die Smartcard-Blibliotheken unterbunden wird. Diese Funktion muss nur für den Zeitraum der Konfiguration der De-Mail-Zertifikate in Windows Server ausgeschaltet sein bzw. immer dann, wenn Sie mit dem TCOS CardManager arbeiten müssen.

Folgende Schritte sind notwendig, um die TCOS-Smartcard und die De-Mail-Zertifikate zu integrieren:

1. Installieren Sie den TCOS-Smartcard-Treiber über den Windows Geräte-Manager manuell 
   
   Stellen Sie vor allen weiteren Aktionen sicher, das der Treiber für das Smartcard-Lesegerät und die TCOS-Smartcard im Geräte-Manager richtig erkannt wurden.
   
2. Installieren Sie den TCOS CardManager
3. Stecken Sie die De-Mail-Signaturkarte in den Kartenleser und starten Sie anschließend den TCOS-CardManager, um den Zugriff auf die Signaturkarte nach Eingabe der PIN zu testen
4. Schließen Sie den TCOS CardManager

Der die TCOS-Softwarekomponenten sind so programmiert, dass die De-Mail-Zertifikate beim ersten Zugriff auf die Signaturkarte in den lokalen Zertifikatsspeicher des angemeldeten Benutzers kopiert werden. Dieser Zertifikatsspeicher ist für installierte Softwarelösungen gänzlich ungeeignet. Die Zertifkate müssen in den Zertifikatsspeicher des Computers verschoben werden. Hierbei hilft Ihnen das Tool CertificatePromoter.exe, das Sie vom Net at Work-Support erhalten können. 

1. Starten Sie CertificatePromoter-exe als Administrator
2. Wählen Sie ein De-Mail-Zertifikat aus und verschieben Sie das ausgewählte Zertifikat
3. Wiederholen Sie die Schritte 1 & 2 für die beiden anderen De-Mail-Zertifikate

Nachdem nun die De-Mail-Zertifikate im richtigen Zertifikatsspeicher abgelegt sind, muss der Zugriff auf die Zertifikate und die privaten Schlüssel konfiguriert werden. Die hierzu erforderlichen Schritte habe ich im Artikel "Zugriff auf privaten SSL-Schlüssel konfigurieren" beschrieben. Führen Sie die dort beschriebenen Schritte für die drei verschobenen De-Mail-Zertifikate durch.

Damit sind alle Voraussetzungen für eine funktionierende Anbindung des E-Mail-Security Gateways NoSpamProxy an De-Mail abgeschlossen. Die Konfiguration erfolgt in der NoSpamProxy MMC-Verwaltungsoberfläche im Menüpunkt Connected systems. Sie können entweder einen Telekom De-Mail-Connector oder einen Mentana-Claimsoft De-Mail-Connector hinzufügen. 

1. Vergeben Sie einen individuellen Namen
2. Wählen Sie beim Telekom Connector aus, ob die Verbindnung zum Telekom- oder zum T-Systems-Endpunkt erfolgen soll
3. Geben Sie die PIN für das De-Mail-Zertifikat ein
4. speichern Sie die Konfiguration

Wenn alle Einstellungen und Konfiguration korrekt durchgeführt wurden, wird in der NoSpamProxy MMC-Verwaltungsoberfläche nach kurzer Zeit die Anzahl der zur Verfügung stehenden De-Mail-Domänen angezeigt. Diese Information wurde durch NoSpamProxy vom De-Mail-Gateway abgefragt und ist daher ein Beleg für die funktionierende Verbindung.

Ab diesem Punkt können Sie mit den weiteren Benutzer-Konfigurationen für De-Mail, entsprechend der NoSpamProxy Anleitung fortfahren.

Hinweise

• Wenn Sie mehrere E-Mail-Gatewaysysteme betreiben möchten und eine redundante Anbindung an die De-Mail-Infrastruktur planen, so benötigt jedes Gatewaysystem einen eigenes Smartcard-Lesegerät und eine eigene De-Mail-Signaturkarte.
• Verwenden Sie für die Verbindung von Smardcard-Lesegeräten an virtualisierte Betriebssysteme nur USB-Server in Industriequalität.
• Die De-Mail-Signaturkarte muss im Kartenleser verbleiben. Der Kartenleser und der USB-Server sind an einem abgesichterten und zutrittsbeschränktem Ort zu platzieren.

Troubleshooting

Sollte es doch zu Problemen bei der Verbindung zum De-Mail-Gateway kommen, prüfen Sie bitte die folgenden Punkte:

• Ist eine direkte HTTPS-Verbindung vom Gateway-System zum De-Mail-Endpunkt über TCP-Port 443 möglich?
  • Überprüfen Sie die Einstellungen der Unternehmens-Firewall.
• Wird ein Proxy-Server für ausgehende HTTPS-Verbindungen von internen Serversystemen eingesetzt?
  • Konfigurieren den Proxy-Server für die Gateway-Rolle entsprechend dieses Knowledge Base Artikels.
• Sind die Berechtigungen für den Zugriff auf das De-Mail-Zertifikat für die NoSpamProxy Dienstkonten konfiguriert?
  • Konfigurieren Sie die Berechtigungen entsprechend dieses Blog-Artikels.
• Sind die TLS-CipherSuite TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 und die elliptische Kurve NistP521 in der SCHANNEL Konfiguration des Windows Server Betriebssystems aktiviert?
  • Windows Server 2016: Überprüfen Sie die TLS-Einstellungen mit Hilfe einer administrativen PowerShell-Sitzung.
  • Windows Server 2012R2: Überprüfen Sie die TLS-Einstellungen mit Hilfe des Tools IISCrypto.

Damit erschöpfen sich auch schon die allgemeinen Möglichkeiten zum Troubleshooting der De-Mail-Anbindung. In den meisten Fällen liegt ein Problem beim Verbindungsaufbau vor. Dies ist entweder die HTTPS-Strecke selbst oder aber die Aushandlung der TLS-Verschlüsselung (Handshake). Die Analyse des TLS-Handshake erfordert die Installation eines Werkzeuges zur Netzwerkanalyse, wie z.B. Wireshark oder Microsoft Message Analyzer.

Konfiguration der TLS-CipherSuite und der elliptischen Kurven in Windows Server 2016

# Prüfung der TLS-CipherSuite
# Wird kein Ergebnis zurückgegeben, muss die CipherSuite aktiviert werden
(Get-TlsCipherSuite) | Where-Object {$_.Name -eq 'TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384'}

# Alphabetische Auflistung der konfigurierten TLS-CipherSuites des OS
Get-TlsCipherSuite | Sort-Object Name | FT Name

# Aktivierung der CipherSuite 
Enable-TlsCipherSuite -Name TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

# Auflistung der aktivierten elliptischen Kurven
# Wird die Kurve NistP521 nicht aufgeführt, muss sie aktiviert werden
Get-TlsEccCurve

# Aktivierung der ECC Kurve NistP521
Enable-TlsEccCurve NistP521

# Alle Änderungen an den TLS-Einstelliunge erfordern einen Neustart des Servers

Weitere Links

• Transport Options in Exchange Online
• TCOS-SmartCards - TeleSec TCOS 3.0
• De-Mail-Gesetz (De-Mail-G)

Ich wünsche viel Spaß mit dem NoSpamProxy E-Mail-Sicherheitsgateway und De-Mail.

Die Virtualisierung von Exchange ist nicht neu und war bereits seit Exchange 2003 mit VMware eine Option, obwohl es damals von Microsoft keine offizielle Unterstützung hierzu gab. Im Rahmen des Microsoft Server Virtualization Validation Program (SVVP) wurde die Virtualisierung von Exchange 2007 Service Pack 2 auf VMware ESX 3.5 Update 2 erstmal offiziell voll unterstützt.

Mit der Veröffentlichung von Exchange Server 2010 wurden alle Serverrollen (Unified Messaging ab Exchange 2010 SP1) auf allen SVVP validierten Hypervisor-Plattformen unterstützt. Die Unterstützung der Virtualisierung von Exchange Server 2010 wurde aber nur langsam adaptiert, da dies eine grundlegende Änderung im Design und der Architektur der Systeminfrastruktur mit sich brachte. Viele Systemadministratoren misstrauten der Virtualisierung und führten häufig die fehlende "Performance" als primären Grund an, sich gegen die Virtualisierung zu entscheiden. Interessant ist, dass "Performance" als genereller Begriff verwendet wurde (wird), um die Virtualisierung von Exchange Systemen abzuwenden. Die technologische Weiterentwicklung von Exchange und die stete Reduzierung der Anforderungen an Speichermedien in Bezug auf den erforderlichen Datendurchsatz, denn diese waren in der Vergangenheit der einzige Grund, sich gegen die Virtualisierung zu entscheiden, wird teilweise immer noch ignoriert.

Mit Exchange Server 2013 können alle Rollen problemlos virtualisiert werden und ermöglichen so eine optimale Ausnutzung der Hardware-Ressourcen in Ihrem Rechenzentrum.

Trotzdem ist es erforderlich, eine Exchange Umgebung korrekt und gewissenhaft zu planen und zu berechnen. Dies hat sich mit der Virtualiserungsoption für Exchange nicht geändert. Nur mit einer gewissenhaften Planung können komplexe Änderungen der Exchange-Landschaft zu einem späteren Zeitpunkt vermieden werden.

Exchange Server 2013 besteht aus folgenden Serverrollen:

• Client Access
  Diese Rolle stellt alle Endpunkte für Client-Verbindungen zur Verfügung, arbeitet aber als reiner Proxy, da das Rendering für Clients in der Mailbox-Rolle stattfindet
   
• Mailbox
  Diese Rolle wird auch als Back-End Rolle bezeichnet, da sie alle Funktionen für den Exchange Betrieb beinhaltet: Postfachdatenbanken (MBX), Nachrichtenfluss (HUB), Unified Message (UM) und Client Rendering
  
  
• Edge
  Optionale Rolle für den Einsatz in der DMZ als E-Mail Gateway Server zum/vom Internet

Die erfolgte Reduzierung von vier Serverrollen in Exchange 2007/2010, hin zu zwei Serverrollen, wenn wir die Edge-Rolle einmal als Sonderfall betrachten, erleichtert die Konzeption einer virtualisierten Exchange-Umgebung erheblich.

Wenn es um das Thema Virtualisierung von Enterprise-Applikation geht, einmal ganz ohne den Fokus Exchange, muss immer geklärt werden, wie die Hochverfügbarkeit (HA) der Applikation gewährleistet wird. Auf der einen Seite existieren HA-Funktionen in der jeweiligen Hypervisor-Plattform selber, auf der anderen Seite stehen die HA-Funktionen der Applikationen. Naiv gesehen könnte man annehmen, dass beides zusammen das Maximum an Hochverfügbarkeit bieten würde. Dies ist jedoch nicht der Fall.  

Gerade für den Fall eines Support-Calls mit Microsoft ist es wichtig, dass Exchange in einer Konfiguration betrieben wird, die auch zu 100% unterstützt wird.

Für die Virtualisierung von Exchange Server 2013 gilt es Folgendes für einzelnen Systemkomponenten zu beachten

• Live Migration
  Exchange 2013 Server können mit Live Migration (vMotion bei VMware) zwischen Hypervisor-Hosts verschoben werden. Live Migration kann auch mit Mitgliedsservern einer Database Availability Group (DAG) durchgeführt werden.
   
• Hypervisor HA
  Virtualisierte Exchange Server können mit HA Funktionen der Hypervisor-Plattform, z.B. vSphere HA bei VMware, kombiniert werden.
  Wichtig ist, dass bei den virtualisierten System der Disk State nicht gespeichert und wiederhergestellt wird. Hierbei wird ein System "suspended", auf einen anderen Hypervisor-Host verschoben und wieder "resumed". Dieser Vorgang stellt kein unterstütztes Szenario für Exchange Server 2013 dar. Im Rahmen von vSphere HA wird ein System im ausgeschalteten Zustand ("Power Off") recovered, was einem Kaltstart gleichkommt. Diese Vorgehensweise ist ein unterstütztes Szenario für virtualisierte Exchange Server.
   
• Snapshots
  Die Verwendung von Snapshots ist kein unterstütztes Szenario. Da ein Exchange Server in Abhängigkeit zu zahlreichen externen Systemen und Konfigurationen steht, führt ein zurückgerollter Snapshot zum Verlust von Konfigurationen und Instabilität der gesamten Exchange-Umgebung. Snapshots von virtualisierten Exchange Servern sind kein Mittel für Exchange-Backup und -Restore.
   
• CPU-Verhältnis (Virtuell/Physisch)
  Microsoft und VMware empfehlen ein CPU Core Verhältnis (Virtuell : Physisch) von 1:1. Dies erleichtert grundsätzlich die Planung der Exchange Umgebung. Ein Verhältnis von 2:1 ist möglich, sollte aber nicht überschritten werden. Ebenso ist dringend anzuraten, eine Monitoring-Lösung einzusetzen, um die CPU Auslastung stetig zu protokollieren. Ein Anpassung bzw. Verdichtung der Ressourcen empfiehlt sich erst, nachdem ein Baseline für den Betrieb erstellt wurde.
   
• Speichermedien
  Durch die stark gesunkenen Anforderungen an den Datendurchsatz für Postfachdatenbanken und Protokolldateien (Disk IO) können virtualisierte Exchange System mit einer Vielzahl unterschiedlicher Disksysteme betrieben werden. In der Vergangenheit wurde primär SAN Speicher entweder als DAS oder als virtualisiertes SAN (z.B. HP EVA) verwendet und als RAW Volume eingebunden. Mögliche Arten sind Fiber Channel, iSCSI VMFS, iSCSI PassThrough, iSCSI Initiator im OS, Flat File VHDX. Welche Variante zum Einsatz kommt hängt somit noch stärker von der jeweiligen lokalen Infrastruktur ab. Dynamisch erweiterte Disks sollten aus Performancegründen nicht zum Einsatz kommen. Microsoft unterstützt keine "Thin Disks" für Exchange Datenpartitionen (Postfachdatenbanken, Protokolldateien)
   
• Netzwerkspeicher
  NAS Speicher, also VMDK Dateien, die sich auf NFS Speicher befinden und die im Gastbetriebssystem direkt eingebunden werden, sind nicht von Microsoft unterstützt. Virtuelle VHDX Festplatten, die sich auf SMB 3.0 Speichermedien befinden werden von Hyper-V unterstützt.
   
• Arbeitsspeicher
  Hypervisor-Plattformen unterstützen Funktionen zur dynamischen RAM-Zuweisung oder zum Overcommitment von Ram-Ressourcen. Die sog. Dynamic Memory Funktionen in Hyper-V sind für den Betrieb eines virtualisierten Exchange-Servers nicht unterstützt. Auch die Funktionen zur Verwaltung des Arbeitsspeichers in VMware führen zu einem nicht-performanten Betriebszustand von Exchange. Der Arbeitsspeicher sollte im Rahmen einer festen Reservierung dem System zugewiesen werden.
  Auch hier gilt die Empfehlung, die RAM-Nutzung und -Auslastung mit einer Monitoring-Lösung zu überwachen. Das Verhalten mit und ohne Dynamic Memory lässt sich so auch gut einem A/B-Test unterziehen.

Planung für Exchange Server 2013

Exchange Server 2013 kann ebenso wie Vorgängerversionen als Multi-Role Server (Mailbox- und CAS-Rolle auf einem Server) oder als Single-Role Server (Mailbox-Rolle und CAS-Rolle auf separaten Systemen) installiert werden. So wie Exchange Rollen selber aufgeteilt werden können, können auch physische und virtuelle Systeme verteilt betrieben werden.

• 100% Virtualisierung
  • CAS- und Mailbox-Rolle auf getrennten virtuellen Systemen installiert Ermöglicht die Skalierung von zusätzlichen CAS Systemen getrennt von Mailbox-Servern
  • CAS- und Mailbox-Rolle als Multi-Role System installiert Ermöglicht eine vereinfachte Skalierung mit System-Template und anschließender automatischer Verteilung von Postfächer über alle Mailbox-Server
    
    
• Gemischter Betrieb
  • CAS-Rolle virtualisiert, Mailbox-Rolle als physischer Server Ermöglich das einfach Skalieren von CAS Servern, die physischen Mailbox-Server arbeiten bevorzugt mit DAS Speicher für Postfachdatenbanken. Dieser Ansatz unterstützt den "klassischen" Administrator, der Exchange Server "lieber" physisch betreibt
    
    
• Physischer Betrieb
  • CAS- und Mailbox-Rolle als Multi-Role Server auf einem System Wie bereits beim gemischten Betrieb mit virtualisierter CAS-Rolle sollte auch hier der Exchange Server mit DAS betrieben werden. Durch die HA Funktionen von Exchange ist SAN Speicher entschieden zu teuer.

Natürlich können (sollten) auch die benötigten Load Balancer virtualisiert betrieben werden. Die möglichen Kombinationen mit den o.g. Exchange-Konfigurationen sind zahlreich und werden in diesem Artikel vernachlässigt.

Grundsätzlich gilt die Empfehlung, für das Sizing einer Exchange 2013 Umgebung (physisch oder virtuell), den Exchange 2013 Server Role Requirements Calculator zu verwenden. An diesem Tool führt kein Weg vorbei, wenn man eine verlässliche Aussage zu den Anforderungen für die Exchange Umgebung erhalten möchte. In den aktuellsten Versionen sind notwendige Berechnungskorrekturen für die Virtualisierung bereist enthalten. Microsoft geht von einem zusätzlichen Overhead durch den Hypervisor von 10% aus. VMware wiederum geht von ca. 2% bis 5% Overhead aus.  

Wie bereits erwähnt, ist eine 1:1 Zuordnung von virtuellen CPU Cores zu physischen CPU Cores zu empfehlen, da dies die Umsetzung der kalkulierten Anforderungen in den laufenden Betrieb stark vereinfacht.

Microsoft hat empfiehlt beim Einsatz von Exchange Server (2010 und 2013) auf das Hyper-Threading der CPUs zu verzichten. Wichtig ist, dass Hyper-Threading CPUs nicht gleichzusetzen sind mit physischen CPUs. Als Hauptgrund wird angegeben, dass dies die CPU Planung unnötig verkompliziere. Als zweiter Grund wird die .NET Garbage Collection angeführt, die auf Basis der CPU Anzahl arbeitet und entsprechend Arbeitsspeicher allokiert. Durch Hyper-Threading wird allerdings unnötig viel Arbeitsspeicher für die Garbage Collection reserviert.

Im Rahmen einer Virtualisierung besteht das beschriebene Problem nicht im gleichen Ausmaß, wie in einer physischen Umgebung, da der VM eine feste Anzahl an Prozessoren zugeordnet ist. Dies bedeutet, dass Sie das für Ihre Umgebung passende Processor-Ratio finden müssen, wenn Sie nicht der 1:1 Zuordnung folgen möchte. Dies gelingt am besten, indem Sie mit einer 1:1 Zuordnung beginnen und mit einer System-Monitoring Lösung eine Baseline erstellen. Anschließend passen Sie die Prozessorzuordnung an und vergleichen die Auslastung- und Performancediagramme mit der Baseline.

Die nachfolgende Tabelle listet die Mindestanforderungen an Arbeitsspeicher für Exchange Server 2013

Dies sind die absoluten Mindestanforderungen. Ohne Verwendung des Role Requirements Calculators wird eine korrekte Planung für den performanten Betrieb von Exchange nicht gelingen.

Für einen Exchange Mailbox-Server mit 1000 Postfächern mit einem Anwenderprofil von 150 gesendeten und empfangenen Nachrichten pro Tag und einer Anforderung von 36MB Datenbankcache pro Postfach, benötigen Sie bereits mindestens 36GB Arbeitsspeicher. Ergänzend zum Role Requirements Calculator empfehle ich den Blog-Artikel "Ask the Perf Guy: Sizing Exchange 2013 Deployments" (http://bit.ly/PerfGuyExchange2013Deployments).

Ergänzend zu den Speicheranforderungen für Exchange Server 2013 müssen noch 4GB bis 8GB für das Betriebssystem addiert werden.

Für die Planung der Netzwerkverbindungen der virtuellen Systeme gelten die gleichen Anforderungen wie für physische Exchange Server. Exchange Server, die nicht Mitgliedsserver einer DAG sind, können mit einem einzelnen Netzwerkadapter konfiguriert werden. Mitgliedsserver einer DAG sollten immer mit zwei Netzwerkadaptern konfiguriert werden, um die Datenbankreplikation über ein separates Netz zu leiten und vom allgemeinen Zugriff auf die Postfachdatenbanken zu trennen. Der Einsatz von einzelnen Netzwerkadaptern ist zwar unterstützt, sollte sich aber auf Test- und Laborumgebungen beschränken.

Die physischen Netzwerkadapter im Host-System können durch Teaming ausfallsicher konfiguriert werden.

Das nachfolgende Beispiel zeigt, wie ein Exchange 2013 Mailbox Server, der Mitgliedserver einer DAG ist, und ein CAS Server nur durch VLANs getrennt an einem virtuellen Switch verbunden sind. Der virtuelle Switch ist durch NIC-Teaming im Hypervisor redundant mit der physischen Netzwerk Infrastruktur verbunden.

Mit der gleichen Exchange Server-Konstellation kann aber das DAG Netzwerk-Interface zur Datenreplikation über einen separaten virtuellen Switch, der über ein eigenes NIC-Interface im Hypervisor verfügt, mit einem dedizierten Replikationsnetzwerk verbunden werden.

Die zweite Konfiguration stellt sicher, dass die Datenreplikation in einem dedizierten physischen Netzwerk stattfindet. Jedoch erhöht dieser Lösungsansatz auch die Komplexität der Netzwerkinfrastruktur selber. Hinzu kommt, dass standardmäßig das MAPI Netzwerk als Backup für einen möglichen Ausfall des Replikationsnetzwerkes verwendet wird. Wenn Sie ausschließen möchten, dass das MAPI Netzwerk als Backup-Netzwerk verwendet werden kann, müssen Sie die  Hochverfügbarkeit des Replikationsnetzwerkes sicherstellen.

In VMware Umgebungen empfiehlt es sich, immer den VMXNET3 Adapter für die virtuellen Maschinen zu verwenden, da der E1000 Adapter im Host-System nur CPU 0 für die Emulation verwendet. Die Nutzung des VMXNET3 Adapters bietet somit eine deutlich bessere Performance gegenüber dem E1000 Adapter.

Ganz unabhängig von der gewählten virtuellen Netzwerkkonfiguration muss immer sichergestellt werden, dass die Host-System sowohl in der Hardware-seitigen, als auch in virtuellen Netzwerkkonfiguration identisch konfiguriert sind. Die virtuellen Gast-Systeme können schließlich nur zwischen Hosts verschoben werden, die auch die notwendigen Ressourcen (virtuelle Switche, VM Port Groups, etc.)  zur Verfügung stellen.

Die Bereitstellung des notwendigen Festplattenspeichers für virtualisierte Exchange Server 2013 Systeme bietet vielfältige Optionen. Die rein physischen Optionen, wie z.B. Bereitstellung von Raw LUNs, die in einem SAN Speicher konfiguriert sind, oder VMDK, VHD/VHDX Dateien im SAN oder im DAS, oder aber die direkte Einbindung der Datastore-Volumes per iSCSI im Gast-Betriebssystem selber, unterliegen den Möglichkeiten und Anforderungen Ihrer Unternehmensumgebung. Manchmal unterliegt die Auswahl des Speichermediums aber auch internen politischen Richtlinien, durch die bestimmt wird, dass ein "teurer" SAN Speicher verwendet werden muss, obwohl dies durch die Anforderungen von Exchange Server 2013 selber gar nicht mehr notwendig ist. Eines der Arguments für die Migration zu Exchange Server 2013 ist die Unterstützung von günstigen JBOD Enclosures, die sehr große Datenspeicher sehr günstig (im Vergleich zu klassischem SAN Speicher) bereitstellen können.

Hier muss eine sehr genaue Abwägung zwischen technischem Vorteil/Nutzen und dem zusätzlichen Aufwand und der zusätzlichen Komplexität in der Umgebung für Speichersubsysteme erfolgen. Es ist meist schwierig, die Einführung einer neuen Technologie nur mit den Anforderungen einer einzigen Applikation zu begründen. Es ist hilfreich zu prüfen, ob nicht auch andere Applikationen, die in naher Zukunft migriert werden sollen (z.B. von SharePoint 2010 auf SharePoint 2013), von dem neuen Speichermedium profitieren können. Eine stärkere strategische Ausrichtung hilft bei der Argumentation sehr.

Zusammenfassend kann man sagen, dass die Virtualisierung eine große Flexibilität im Sizing und im Betrieb einer Exchange Plattform mit sich bringt. Jedoch birgt eine Virtualisierung schnell auch Risiken. Dieses Risiken wirken sich nicht unbedingt auf den sicheren Betrieb von Exchange aus, sondern vielmehr auf die Reaktionszeit, also die Performance der Exchange Umgebung.

Grundsätzlich darf man aber nicht vergessen, dass gemessene Performance nicht gleichzusetzten ist, mit subjektiv gefühlter Performance. Insbesondere Endanwender sind sehr empfindlich und reagieren kritisch, wenn "Ihr" Outlook nicht in der gleichen Zeitspanne startet, wie "gestern". Ähnlich sieht es aus, wenn Nachrichten durch mangelhafte Ressourcenverfügbarkeit zu lange in einer Warteschlange verweilen, bevor sie zugestellt werden. Auch wenn Administratoren wissen, dass E-Mail (oder besser SMTP) ein Warteschlangen-basierende Kommunikation ist, ist dies Endanwendern meist nur sehr schwer zu vermitteln.

Viel Spaß bei der Virtualisierung von Exchange Server 2013.

Links

• Server Virtualization Validation Program, http://www.windowsservercatalog.com/svvp.aspx
• Exchange 2013 Server Role Requirements Calculator v6.3, http://gallery.technet.microsoft.com/office/Exchange-2013-Server-Role-f8a61780
• Ask the Perf Guy: Sizing Exchange 2013 Deployments, http://bit.ly/PerfGuyExchange2013Deployments
• ENow Monitoring und Management Suite, http://www.granikos.eu/de/Mailscape
• PRTG System Moniroting, http://www.paessler.com/prtg
• Microsoft Clustering on VMware vSphere: Guidelines for supported configurations, http://bit.ly/MSClusterOnvSphere
• Licensing Microsoft server products for use in virtual environments, http://bit.ly/ServerVirtualizationLicenseMobility
• Standard Performance Evaluation Corporation (SPEC), http://www.spec.org