DirectAccess

Over DirectAccess heeft mijn collega Alex al een paar blogs geschreven.
http://blogs.microsoft.nl/blogs/itprocommunity/archive/2009/07/02/directaccess-zelf-bouwen-is-ook-best-cool.aspx

http://blogs.microsoft.nl/blogs/itprocommunity/archive/2009/03/25/directaccess-is-ook-best-cool.aspx

DirectAccess geeft de gebruikers de mogelijkheid om automatisch een IPSec tunnel op te zetten naar hun intranet. Hierdoor hebben gebruikers, zo snel ze internet connectie hebben, altijd een connectie met hun intranet.

Om gebruik te maken van deze nieuwe functionaliteit moet je Windows 2008 R2 als server hebben en Windows 7 als client. Daarnaast werkt DirectAccess alleen over IPv6. Hoe zit het dan als je geen IPv6 connectie hebt? In dat geval zal de client een IPv6 over IPv4 tunnel maken om zo een IPv6 connectie te krijgen. Door deze connectie maakt hij vervolgens weer een IPv6 tunnel.

Teredo

Bij de ontwikkeling van IPv6 is er ook nagedacht over hoe IPv6 over IPv4 getransporteerd zou kunnen worden. Hiervoor zijn er een aantal automatische tunnel mechanismes bedacht. 6to4, een tunnel mechanisme die over public IPv4 nummers werkt. ISATAP, die over privated IPv4 nummers werkt. Beide mechanismes gaan niet door NAT heen. Daarom is er een derde tunnel mechanisme bedacht; Teredo.
Teredo maakt gebruik van een externe server, op het internet, waarmee de client een IPv4 tunnel opzet.  Deze tunnel kan door NAT heen gaan en de client kan op die manier IPv6 verkeer via een IPv4 tunnel door NAT heen transporteren.
In Windows 2008 R2 is er naast de teredo client ook een teredo server aanwezig. Hierdoor heeft een organisatie en ISP de mogelijkheid om aan zijn gebruikers een eigen teredo server aan te bieden. Als je gebruik maakt van DirectAccess wordt er automatisch een Teredo server geconfigureerd.

IP-HTTPS

Naast de drie hier boven benoemde tunnel mechanismes is er een vierde methode bijgekomen, IP-HTTPS.  In dit geval wordt er een SSL tunnel opgezet waardoor het IPv6 verkeer gerouteerd wordt. Ook dit is standaard aanwezig bij DirectAccess en wordt ondersteunt op Windows 2008 R2 en Windows 7.

IPv6 en GPO's

Met de komst van IPv6 en zijn tunnels op de Microsoft platform maken een hoop beheerders zich druk om de automatische tunnels, en terecht. Het kan zomaar gebeuren dat, door een misconfiguratie, een werkstation een tunnel naar buiten opzet. Hierdoor kan IPv6 verkeer ongestraft door de firewall heen. Dit is dan ook vaak de reden om IPv6 uit te zetten. Dit laatste vind ik natuurlijk niet zo slim. Gelukkig zijn er dan ook een aantal GPO settings bij gekomen, speciaal voor IPv6.

HomeGroup

Windows 7 gaat op een nieuwe manier om met het begrip “Home Network”. Iedereen die met vista werkt kent misschien wel het Network Location Awareness. Hiermee kon vista zien op welk netwerk hij zat en welke tag, die jij als gebruiker, het netwerk heeft. Hier werd er een onderscheid gemaakt tussen Home, Work en Public. Afhankelijk van wat je koos werden er verschillende servers en firewall policy’s gestart.

In Windows 7 is het mogelijk om je eigen “Home Network” te creëren op basis van een shared-key. Iedereen die dan toegang moet hebben tot je “Home Network” moet dan deze shared-key krijgen. Deze techniek heet HomeGroup en werkt op basis van IPv6.

Met de komst van Windows 2008 R2 en Windows 7 word IPv6 steeds belangrijker voor zowel de thuis gebruiker als de organisatie. Veel nieuwe technieken werken alleen op basis van IPv6.

Martijn Bellaard

Malware is een verzamelnaam voor virussen, spyware, Rootkit enz. Allemaal software die we liever niet op ons netwerk binnen krijgen. Nu is het zo dat veel van dit “type” software op internet te vinden is. Hierdoor is het risico groot dat gebruikers er mee in aanraking komen. Vaak zonder dat ze het weten halen ze dan een stukje malware binnen. De meeste anti-virus clients zullen malware opvangen en verwijderen, maar het is dan nog steeds je netwerk binnengekomen. De Malware Inspection Functionaliteit van de TMG zorgt er voor dat malware je organisatie niet binnenkomt.

Web Antimalware

Web Antimalware is malware dat via een link gedownload wordt door de gebruiker. Voordat de TMG de download doorsluist naar de gebruiker controleert hij het eerst op de aanwezigheid van een virus. Om dit mogelijk te maken moet hij eerst de hele download binnenhalen om deze te kunnen inspecteren. Hierdoor kan een download mislukken, omdat onze browser pakketjes verwacht. Deze pakketje komen alleen niet. Om dit probleem op te vangen maakt de TMG gebruik van trickling. Trickling houdt in dat de TMG steeds een klein beetje data voert aan de browser op de client PC. Zo denkt deze dat de download nog steeds goed loopt en vindt er geen time-out plaats. Pas als de hele download goedgekeurd is door de TMG zal deze de overige bits doorsturen naar de browser op de client PC.

HTTPS Inspection

 Het controleren van http traffic is eenvoudig te doen, want iedereen kan het inlezen. Dit is niet het geval met https verkeer. Het voordeel van https verkeer is juist dat niemand het kan inlezen. Hackers en virus verspreiders bieden software daarom aan over een https verbinding.
De TMG heeft de optie om https verkeer bij de TMG te stoppen, te controleren en dan als https verkeer door te sturen. Als een browser connectie zoek met een https site, zal de TMG de https connectie beëindigen. Hij creëert een SSL certificaat voor de betreffende website en geeft deze aan de browser als zijnde het SSL certificaat van de website. De browser maakt dus een https verbinding met de TMG en niet met de website. De TMG op zijn beurt maakt weer een https verbinding met de webserver. Hij kan nu dus al het verkeer decrypten, controleren en encrypten zonder dat de client in principe hier iets van merkt.

Network Inspection System

De laatste optie die ik wil bespreken is Network Inspection System (NIS). De meeste Operating Systems zijn vandaag de dag zo veilig dat het voor een hacker steeds moeilijker wordt een succesvolle aanval te openen op het Operating System. Daarom is hun aandacht van het Operating System verschoven naar de applicaties. Een favoriete applicatie is natuurlijk de browser. Door het maken van handig geformuleerd URL’s en deze achter een link te verstoppen, hopen ze een browser Hijack uit te voeren.  De NIS inspecteert elke URL en stopt een verzoek naar een verkeerde URL.

Ik hoop dat je een idee hebt gekregen van de Malware Inspection features van de TMG. Als je precies wilt weten hoe ze werken adviseer ik je de TMG te downloaden en er mee te gaan testen.

Martijn Bellaard

http://technet.microsoft.com/en-us/library/dd182018.aspx

In deze blog wil ik eens stilstaan bij de mogelijkheden die het IPv6 nummer biedt voor het maken van een IPv6 plan. IPv6 is een 128 bits nummer die bestaat uit 8 groepen van 4 hexadecimale getallen. Dit geeft je de mogelijkheid meer informatie in een IPv6 nummer te stoppen dan dat mogelijk was bij IPv4.

Wat zijn je grenzen?

Op het moment dat je een IPv6 range gaat aanvragen zul je waarschijnlijk een /48 of /64 range krijgen. Dit betekent dat de ISP de eerste drie groepen bepaalt, daarna ben je vrij om alles in te vullen wat je wil. Bijvoorbeeld: Je ISP geeft je 2001:1310:1969::/48, dan beginnen al je nummers dus met 2001:1310:1969::. Dit is je eigen prefix. Na de prefix ben je vrij om alles in te vullen wat je maar wilt. De laatste 80 bits zijn, in dit voorbeeld,  vrij.

Subnetten

Als je de hele range (/48) als één subnet behandelt dan kun je 1.208.925.819.614.629.174.706.176 hosts kwijt op één subnet. Dat is in de meeste gevallen niet handig. Je kunt nu gaan subnetten. Hierbij moet je rekening houden dat een host ID minimaal 64 bits is. Dit betekent dat je, als je een /48 gekregen hebt, 16 bits kan gebruiken om subnets te maken.  Dat zijn in totaal 65.536 subnets. Nu zou je er voor kunnen kiezen het eerste subnet 0001 te noemen, het tweede 0002 enz. Maar je kan ook kijken of je er slimmer mee om kan gaan, bijvoorbeeld door op deze positie het VLAN ID neer te zetten. Zo krijgt VLAN 10 het nummer 0010 en VLAN 34 het nummer 0034.

Ander voorbeeld: Stel je hebt een organisatie met in verschillende landen een vestiging binnen Europa. Elk land heeft zijn landcode (Nederland = 31, Belgium=32, enz).Zo zou je er dus voor kunnen kiezen om de landcode op de betreffende plek neer te zetten.

HostID

Voor de host ID blijven er 64 bits over. Met deze 64 bits kun je natuurlijk de server opeenvolgend gaan nummer. Server 1 krijgt ::0:0:0:1 en server twee ::0:0:0:2 enz.

Maar ook nu kun je kijken of je er iets slimmer mee om kan gaan.

OS versie

Je zou het OS versie nummer en type  er in kunnen verwerken. De eerste 16 bits zou je voor het type OS kunnen gebruiken. Bijvoorbeeld; 0001=Windows, 0002=Linux, 0003=MacOS, 0004=Cisco. De tweede 16 bits zou je kunnen gebruiken voor de OS versie.

Bijvoorbeeld; 0001:7100 is Windows 7 of 0002:2226 is Linux kernel 2.2.26.

Functie

Een andere mogelijkheid is dat je de functie van een server in het adres verwerkt. Bijvoorbeeld; 0001=Mail, 0002=File server, 0003=Domain controller. Of dat het een core server is, A=core, B=non-Core, C=Acceptatie Core, D=Acceptatie Non-Core enz.

Dus als ik een exchange 2010 server heb die in Monaco staat  krijgt hij dus het nummer: 2001:1310:1969:377:1:6002:A001:0001. Je kunt nu dus ook zien op welk OS mijn Exchange 2010 server draait.

Conclusie

IPv6 opent nieuwe deuren om een IP plan in te richten. Met deze blog heb ik je wat ideeën aan de hand willen doen, maar ik hoor graag andere ideeën.

Op dit moment ben ik bij een klant een Cross Forest Exchange migratie aan het uitvoeren. Vanaf twee exchange 2003 omgevingen gaan we naar 1 exchange 2007 omgeving, compleet met een nieuwe AD. We hebben besloten om de mail in één weekend, per exchange 2003 omgeving, over  te zetten naar de nieuwe omgeving. In deze blog wil ik in 10 easy steps de stappen bespreken die ik heb genomen om de migratie succesvol te laten verlopen.

Stap 1)
Vooronderzoek oude omgeving. Als eerste heb ik de twee oude omgevingen onderzocht. De nieuwe omgeving moet minimaal hetzelfde zijn als de oude omgeving, zowel wat betreft functionaliteit als performance. Om hier inzicht in te krijgen heb ik gebruik gemaakt van de Exchange BPA http://www.microsoft.com/downloads/details.aspx?familyid=dbab201f-4bee-4943-ac22-e2ddbd258df3&displaylang=en Deze tool gaf mijn de benodigde inzicht in de huidige omgeving. Daarnaast heb ik gesproken met de beheerder en hem gevraagd welke Exchange functionaliteit de huidige exchange omgeving biedt en op welke manier die functionaliteit geboden wordt. Ook het onderzoek van de huidige mailflow maakte deel uit van dit vooronderzoek

Stap 2)
Ontwerp de exchange omgeving. Als tweede heb ik een ontwerp gemaakt voor de nieuwe exchange omgeving. In dit geval ging het om een mail omgeving voor 5000 gebruikers. Hierbij is het van belang dat je tijdens het ontwerpen beslissingen neemt over de volgende onderdelen:

-          Welke functie van Exchange 2007 ga je inzetten

-          Hoeveel servers ga je inzetten in de nieuwe omgeving.

-          Hoe ga je de server sizen

-          Hoe komt de mail binnen en gaat deze naar buiten

Stap 3)
Bouw de nieuwe omgeving in een test omgeving. Als derde stap heb ik de nieuwe omgeving, volgens mijn ontwerp, opgebouwd in een test omgeving. We hadden besloten de nieuwe omgeving op Windows 2008 te installeren. Hierdoor is het eenvoudig om alle handelingen vanaf de command prompt uit te voeren en dus in een script te verwerken. Dit laatste geeft mij dus de mogelijkheid om de gehele installatie in de productie omgeving te replayen aan de hand van verschillende scripts. http://technet.microsoft.com/en-us/library/bb691354.aspx

Stap 4)
Live omgeving nabouwen in de test. Nadat ik de nieuwe omgeving volledig had opgebouwd in een test omgeving wilde ik graag een proef migratie doen. De reden voor een proef migratie is dat we in één weekend over willen en ik dus zo min mogelijk verrassingen wilde hebben. Om een test migratie uit te voeren moet ik een kopie van de live omgeving in de test omgeving hebben, want testen op een live omgeving komt niet voor in mijn woordenboek De huidige omgeving draait op een aantal fysieke servers die niet offline mochten gaan. Hierdoor hadden we een extra uitdaging. Dit hebben we op de volgende manier opgelost:

1)      Als eerste installeerden we een extra DC (TestDC-Live)

2)      Als tweede verwijderden we deze DC uit het productie netwerk en koppelden we hem aan het test netwerk.

3)      Daarna met NTDS util de FSMO rollen geseized en de andere DC verwijderd op de TestDC-Live AD (http://support.microsoft.com/kb/255504 en http://support.microsoft.com/kb/216498  )

4)      Daarna een restore gedaan van de oude Exchange 2003 omgeving in de test omgeving. Nu hebben we een kopie van de live omgeving in de test omgeving. Stap 1, 2 en 3 kun je natuurlijk ook doen door een restore te doen van een bestaande DC.

Stap 5)
Setup trust. Nu we zowel een nieuwe als een oude omgeving in de test omgeving hebben kunnen we tussen de twee omgeving, in de test, een trust opzetten. Het belangrijkste waarbij je hier moet opletten is dat je niet per ongelukt een trust opzet met de live omgeving. Dit hebben we verkomen door ook een test Vlan te gebruiken (wat per definitie wel een Best Praktische is).

Stap 6)
Migratie script maken. Om de mailboxen te gaan migreren van de oude omgeving naar de nieuwe omgeving heb ik gebruik gemaakt van de move-mailbox powershell commando. Voordat ik de script laat zien vertel ik eerst wat over het Move-Mailbox commando. In de deze situatie blijven de gebruikers in de oude omgeving, want deze gaan in een later stadium over. De mailboxen zitten dus straks in de nieuwe omgeving, maar de gebruikers account in de oude omgeving. De gebruikers loggen dus aan in de oude omgeving, maar moeten vervolgens toegang krijgen tot de mail in de nieuwe omgeving. Het move-mailbox commando doet dat op de volgende manier:

-          Als eerste maakt hij een MIG-id account aan met daaraan een mailbox gekoppeld.

-          Vervolgens geeft hij de gebruikers account uit het oude domain Full-Control rechten op de mailbox

-          Daarna verplaatst hij alle mail. Doordat de gebruiker uit het oude domain toegang krijgt tot zijn nieuwe mailbox kan hij met dezelfde credentials blijven werken. Om niet steeds het hele move-mailbox commando in te tikken heb ik een script  geschreven . Script start

1)      # Variable Definities

2)      $DCOLD = "DC-oude.domain.local"

3)      $SourceMailboxDatabase = "Exchange2003-Mailserver\Mailbox Store Oud"

4)      $TargetMailboxDatabase="Exchange2007-Mailserver\Nieuwe-MailboxDatabase"

5)      # Administrator oude domain

6)      $CrSource= Get-Credential

7)      Write-Output "Start migratie"

8)      Get-date

9)      Get-Mailbox -DomainController $DCOLD -Credential $CrSource -Database $SourceMailboxDatabase | Move-Mailbox -NTAccount "OU=Move Mailbox Accounts,DC=NieuweDomain,DC=local" -TargetDataBase $TargetMailboxDatabase -SourceForestCredential $CrSource -SourceForestGlobalCatalog $DCOLD -MaxThreads 15 -SourceMailboxCleanupOptions none

10)   Get-Date Script einde In regel 2,3,4 definieer ik 3 variabelen.:

-          $DCOLD  is een oude DC die move-mailbox gebruikt tijdens de migratie

-          $SourceMailboxDatabase  is een database op de oude exchange server

-          $TargetMailboxDatabase is een database op de nieuwe exchange server  

Regel 6 zorgt er voor dat je een popup scherm krijgt die je vraagt om administrator aanlog gegevens van het oude domain. Regel 9 is dan DE migratie regel. Het commando Get-Mailbox -DomainController $DCOLD  -Credential $CrSource -Database $SourceMailboxDatabase leest alle account die een mailbiox hebben op $SourceMailboxDatabase  vanuit het oude domain in ($DCOLD ) in. De uitkomst wordt vervolgens door gegeven aan move-mailbox.  Met het move mailbox zijn een aantal opties mee gegeven:

-          NTAccount zorgt er voor dat er in ou "OU=Move Mailbox Accounts,OU=Import,DC=NieuweDomain,DC=local" en MIG account aangemaakt worden

-          TargetDatabase vertelt naar welke database de mailboxen verplaatst moeten worden.

-          SourceForestCredential vertelt met welke credentials er aangelogd moet worden op de oude omgeving

-          SourceForestGlobalCatalog vertelt met welke GC er gewerkt moet worden.

-          MaxThreads vertelt wat de maximale aantal  mailboxen zijn die tegelijkertijd verhuist worden

-          SourceMailboxCleanupOptions vertelt wat er moet gebeuren met de oude mail.

In mijn geval staat er none, dus de mail blijft ook aanwezig in de oude omgeving. In dit geval kopieer ik de mail. Mocht het dus mis gaan dan kan ik zo terug naar de oude omgeving. Dat is dus mijn fall-back optie. De Get-date gebruik ik om te weten hoe laat hij begonnen is en hoe laat hij klaar is, is geen noodzakelijke log. Dit script run ik op een exchange server in het nieuwe domain.

Stap 7)
Migratie test. Met dit script heb ik eerst een test migratie gedaan. Aangezien het om 820 GB aan mail ging wilde ik graag weten of ik het in 1 weekend ging halen. Tijdens de eerst test kwam ik er achter dat ik  10 GB per uur haalde. Ik deed toen 1 database van 35 GB in 3 ½ uur De 820 GB is verdeeld over twee server en per server 4 stores. We gaan alle store simultaan migreren. In een tweede test deed ik 430 GB in 36 uur. Dat geeft bijna 12 GB per uur. Na de migratie hebben we met aantal users in de test omgeving geprobeerd aan te loggen op de “nieuwe” mailbox. Dit werkte zonder problemen. Daarnaast maakt move-mail een aantal XML log bestanden. Deze kun je het beste openen met Excel. In deze log bestanden stonden het aantal mislukte mailboxen. In totaal waren er 20 (van de 1800) mailboxen mislukt. Meer dan de ½ van de 20 mailboxen waren nooit gebruikt. Dat wat niet lukt, doen we later met de hand wel. Het gaat tenslotte maar om enkele tientallen http://technet.microsoft.com/en-us/library/aa997599.aspx

Stap 8)
Bouwen productie. We kunnen nu stap 3,5,6 herhalen in de productie omgeving en exchange 2007 live brengen.

Stap 9)
Eindgebruiker op de hoogte brengen. Aangezien het om een grote migratie gaat die de mail omgeving voor minimaal 48 plat legt is het verstandig je gebruiker hiervan op de hoogte te brengen. Natuurlijk hebben we alles goed getest in stap 7, maar ….. http://en.wikipedia.org/wiki/Murphy's_law

Stap 10)
De migratie. Voordat we starten met de migratie stoppen we eerste de mailflow. Al de mail moet ergens in een SMTP queue opgevangen worden. Dan kan bij een provider of op een anti-spam appliance. Dit moet je wel van te voren uitzoeken. Daarna zorgen we dat er geen gebruikers meer bij hun mail kunnen komen om op die manier de oude omgeving te bevriezen. Je kunt dit niet doen door de oude mail omgeving uit te zetten of de database te dismounten. Move-mailbox gebruikt namelijk mapi calls om de mail in te lezen. Je zal dus op een andere manier je gebruiker de toegang tot de mail omgeving moeten ontzeggen. Bijvoorbeeld met een firewall of extra een VLAN. Daarna start je de script en ga je wachten en wachten Ondertussen kun je de client herconfiguratie script klaarzetten. Nog niet uitvoeren, dit doe je pas als je zeker weet dat de mail succesvol over is. Ook alle servers en printers moeten naar de nieuwe mail server wijzen. Hier kun je ook vast wat zaken klaar voor zetten, maar niet uitvoeren totdat…… Lekker koffie drinken, ga wat slapen. Exchange doet het nu allemaal voor je en is waarschijnlijk wel 36 uur bezig (in ons geval).

Stap 11)
Feest (oeps een stap te veel). Als het gelukt is, is het tijd voor een klein feest. Er is tenslotte wel iets te vieren.

Waarom IPv6 niet eerder dan vandaag kon worden ingevoerd.

Één van de vele argumenten tegen IPv6 is dat er al jaren geroepen wordt dat we over moeten gaan op IPv6, maar dat we nog steeds draaien op IPv4. Als je deze uitspraak op de letter nauwkeurig neemt dan klopt hij, maar zo eenvoudig is het niet.

1991

Het jaar dat er voor het eerst geroepen werd dat we over moesten gaan op IPv6 was in 1991, dat is dus 18 jaar geleden. Dat we toen niet direct allemaal over gesprongen zijn op IPv6 is niet meer dan logische, want IPv6 bestond nog niet. Ook was op dat moment de ontwikkeling van IPv4 nog in volle gang. Zaken als SSL bestonden toen nog niet. Ook was er op dat moment nog een grote voorraad IPv4 nummers aanwezig. De reden dat ze aan de bel trokken was dat in 1990 internet openbaar werd en er dus ineens een heleboel aanvragen voor IPv4 nummers binnenkwamen. Na 1991 stortte het aantal aanvragen per jaar na een diept punt in 1997.

1995

De eerste RFCs over IPv6 verschijnen in 1995. In deze RFCs wordt beschreven hoe een IPv6 header er uit ziet en hoe IPv6 nummers er uit komen te zien. Pas vanaf dat moment is het mogelijk voor netwerk leveranciers om een IPv6 stack te maken in hun routers en hadden op die manier de mogelijkheid om inderdaad IPv6 te routeren.

6Bone

6Bone was in het leven geroepen om te kunnen experimenteren met IPv6 op het internet.  Na de eerste RFCs over IPv6 is 6Bone in het leven geroepen en tot aan 6-juni-2006 hebben ze geëxperimenteerd met IPv6 op 6Bone.

De routers

Toen er RFCs voor IPv6 klaar waren moesten veel router boeren de stack in hun router gaan programmeren. Aangezien dit een hoop extra werk kost, zonder dat ze direct de kosten er voor terug kregen deden ze dit niet direct. De eerste IPv6 router stacks waren dan ook softwarematig. Dit betekende dat je een lagere performance hebt voor IPv6 ten opzichte van IPv4. Pas de laatste jaren zien we dat de grote routers IPv6 native ondersteunen, denk hierbij aan de Cisco’s, Junipers enz. Wat betreft de kleinere ADSL routers, zien we dat er vaak nog geen IPv6 ondersteuning aanwezig is op dit moment.

Operating Systems

Ook op het gebied van operating system zien we dat pas in de laatste jaren verschillende OS hun IPv6 ready logo hebben verdient. Linux kreeg zijn logo in 2006, Windows Vista kreeg zijn IPv6 ready logo in 2007 en Windows 2008 in 2008. Apple heeft nog niet zijn IPv6 logo gekregen, maar heeft wel een werkende IPv6 stack Bron:

http://www.ipv6ready.org/phase-2_approved_list

IPv6 Ready

 Als je het dus goed beschouwt zijn we pas sinds 2006/2007 klaar voor IPv6. Op dat moment zijn de belangrijkste operating systems volledig klaar voor IPv6. Stel je eens voor dat we in 2003 al over hadden moeten gaan naar IPv6, dan hadden we heel wat extra problemen en uitdagingen gehad. Gelukkig hebben we het nog kunnen uitstellen tot nu toe. We zijn pas 3 jaar IPv6 READY. Daarvoor was we dat niet. Het is dus maar goed dat IPv6 nog niet verplicht is, maar dat gaat niet lang meer duren.

Ik heb al enige tijd (met veel plezier) de beta van windows 7 op mijn laptop draaien. Als ik eerlijk ben wil ook niet meer anders. Nu had ik in het begin wel een probleem. Outlook Anywhere deed het niet.  Tijd voor wat nader onderzoek. Al snel bleek dat de registery RPC miste onder HKCU\Software\Microsoft\Office\12.0\Outlook\. Onder deze key staan alle connectie settings voor Outlook Anywhere.  Aangezien die er dus niet is doet hij het daarom ook niet.Toen ik mezelf admin maakte kwam de key wel te voorschijn, maar het werkte nog niet.

Timeout

Nu is het zo dat ik thuis via een wireless naar mijn ISA server ga. Dan over mijn router weer naar buiten. Aan de ander kant kom ik dan weer binnen op een ISA server die me door zet naar de exchange server. Dit zijn nogal wat hops en kan dus er voor zorgen dat een aantal zaken langer duren dan noodzakelijk. Nu zijn 3 keys onder de RPC key waarmee je de timeout settings kunt bepalen:

• ConnectTimeout: De timeout waarde voor connectie die sneller is dan 128kb
• ConnectTimeoutLow: De timeout waarde voor connectie die trager is dan 128kb
• RFRTimeout: De timeout waarde als outlook een andere mailbox, kalender of de GAL raadplecht.

Het zijn alle drie DWORD waardes en volgende KB831060 (http://support.microsoft.com/kb/831060)  moet je ze op 00493e0 zetten.

Default Gateway

Voordat outlook de tunnel opzet controleert hij eerst op de aanwezigheid van een default gateway. In sommige gevallen kan dit mis gaan, bijvoorbeeld als er gebruik gemaakt word van een proxy server of dat de default gateway niet reageerd op de outlook client. In dat geval kun je dit gedracht uit te zetten door het toevoegen van de key DefConnectOpts. Ook dit is een Dword die op 0 moet staan. In dat geval vind er geen Default Gateway Controller plaats.

Last but not least

Als laatste moet je nog de key dword key EnableRPCTunnel maken en deze de waarde 1 meegeven. Als je dit allemaal heb gedaan kun je de computer een reboot geven. Als je daaran outlook opstart kun je outlook opstarten. Deze zal vervolgens vragen om je account gegevens. Deze MOET je in de vorm domain\username invullen. Daarna kun je lekker gaan mailen.

Martijn Bellaard

Heb je Exchange 2010 al gedownload en bekeken. Het leuke van de nieuwe Exchange 2010 versie is dat ze de High Availability methode hebben veranderd. In deze blog wil ik een kort overzicht geven van de nieuwe High Availability van Exchange 2010

Wat is weg

Met de komst van Exchange 2010 verdwijnen twee High Availability opties:

Local continuous replication (LCR) was een methode waarbij je op een andere disk een kopie maakte van de mailbox database. In het geval van een corrupte disk kon je dan de database op de tweede disk gebruiken.
Single Copy Cluster (SCC) is  een oude cluster methode waarbij je 2 Exchange had en een shared disk. Op de shared disk staat dan de mailbox database

Database Availability Groups

Wat nieuw is in exchange 2010 is de Database Availability Group (DAG). Een DAG kan maximaal 16 exchange servers bevatten die automatisch een copie van een andere server is. Als je als beheerder een DAG maakt is deze in de eerste plaats leeg. Er zitten geen servers in. De DAG is dan een object in de AD. Nadat je de server hebt  toegevoegd worden automatisch alle cluster zaken geregeld op de betreffende server. Op het moment dat je een tweede server (of derde of vierde of ….) toevoegt dan wordt deze automatisch een deel van het cluster.

Storage Groups are NoMore

Storage Groups zijn in Exchange 2010 verdwenen.  Er zijn alleen nog maar mailbox databases. Hierdoor heeft de mailbox database de volgende (nieuwe) functie gekregen:

• Het Continuos replication process gebeurd nu op database niveau. Ook worden de logfiles nu naar 1 of meerdere servers gekopieerd. Dit laatste is afhankelijk van het aantal servers in de DAG
• Er kunnen nu maximaal 16 kopieën van een mailbox database over 16 servers verdeelt worden.
• Er kunnen maximaal  50 mailbox databases per server aangemaakt worden.
• Een failover kan nu op server of database niveau plaatsvinden. Op dit moment is alleen failover op database niveau mogelijk.
• De database naam moet uniek zijn in de gehele exchange organisatie.
• De path van een database moet op alle servers gelijk zijn.
• Alle databases kunnen gebackuped worden met VSS

Continues Replicatie

Ook de manier van replicatie is aangepast ten opzicht van 2007. De volgende aanpassingen zijn er gemaakt in exchange 2010:

• Replicatie vindt plaats op database niveau
• Replicatie vindt niet meer plaats over SMB, maar over een eigen TCP poort. Daarnaast kun je er voor kiezen om de replicatie data te versleutelen en te comprimeren
• Continues Replication werkt alleen voor mailbox databases en niet voor Public Folders

Conclusie

Naast de features die al aanwezig waren in Exchange 2007 is het failover schema van 2010 nog interessanter geworden. Dankzij DAG is het mogelijk meerdere exchange servers in 1 DAG te hebben (max 16) en dus meerdere passive mailbox database node te hebben. Daarnaast is het mogelijk om voor verschillende databases verschillende servers als Active aan te geven.

Voorbeeld: Je hebt 3 exchange servers met 3 databases. Je maakt 1 DAG met een copie van elke database op elke server. Daarna kun je aangeven dat server 1 de actieve server is voor Database 1, server 2 de actieve voor database 2 en server 3 de actieve  server voor database 3.

Het is heel eenvoudig  om een DAG op te zetten en een nieuwe server toe te voegen. Dit laatste is een grote verbetering ten opzichte van de voorgaande versies. Het opzetten van een cluster blijft voor de meeste beheerders een grote uitdaging. Die uitdaging is dus bij exchange 2010 weg genomen. Op het moment dat je een server hebt geïnstalleerd en je wilt als nog een cluster, dan hoef je alleen de DAG te definiëren en een tweede server toe te voegen. Wil je weten hoe je dit allemaal moet doen kijk dan eens op: Exchange technet site

Als het aan de regering ligt moeten we allemaal aan de Open Source Software (OSS) gaan, want dat zou beter zijn voor de economie en de “sterke” positie van de grote software huizen doorbreken. Maar is Open Source wel het antwoord op de “IT” problemen? Zo is Open Source Software veiliger, goedkoper en zal het de monopolie positie van grote software huizen doorbreken.

Maar wat is Open Source Software  nu eigenlijk. Het idee achter Open Source Software was dat iemand een leuk stuk software maakte, om vervolgens deze applicatie, inclusief source code, aan iedereen ter beschikking te stellen. De enige restrictie die hier aan vast zat was dat als je wat aanpaste, je deze aanpassing terug moest geven aan de originele maker.  Dat dit een succesvol concept kan zijn bewijzen producten als Apache, Firefox, Linux enz. Maar er moet niet vergeten worden dat mensen dus vrijwillig dit doen. Eigenlijk is dit een vereniging van mensen die gezamenlijk een software pakket hebben gemaakt. Iedereen die lid is van een vereniging of actief is binnen een stichting weet dat er een kleine groep mensen zijn die de vereniging trekken.  De trekkers zorgen er voor dat de vereniging bijeen blijft en dat er activiteiten vanuit zo een vereniging worden ondernomen. De overige leden zijn, wat ze noemen, consumers. Leden komen en gaan waarneer ze willen. Deze mensen vasthouden kost de nodige energie van die kleine kerngroep. Als deze kerngroep, om wat voor reden dan ook wegvalt, dan stort de vereniging meestal ook in.  Dit zelfde geldt voor stichtingen en ik heb dan ook al regelmatig verschillende stichtingen op die manier zien instorten.

Een open source project is dus een vereniging of stichting die als doel heeft een speciale applicatie te ontwikkelen. Ook voor open source geldt dat er een kleine groep mensen zijn die de meeste ontwikkelingen doen. Soms gaat het zelfs om 1 persoon. Kijk maar eens naar DE telnet client die er is; Putty (wie gebruikt hem niet?).

"It is written and maintained primarily by Simon Tatham."

Denk je nu eens in dat Simon morgen iets krijgt. Wie gaat dan Putty onderhouden, JIJ? Nu is Putty geen core product voor de meeste bedrijven dus zal niemand er verlies door leiden. Bij het gebruik van open source zitten wel wat risico’s. Voor support moet je ook aankloppen bij een aantal vrijwilligers.

Is close source dan beter op dit gebied kun je je afvragen. Ook hier geldt dat een aantal mensen de trekkers zijn. Nu heten ze alleen eigenaars. Deze eigenaars nemen op hun beurt weer mensen in dienst. Die dan tegen betaling werk verrichten.  Ook  het support is bij de meeste close source geregeld.

Daarnaast geldt dat, als het een succesvol software pakket is, er altijd iemand bereid is het software pakket over te nemen. Hierdoor ontstaat er een stuk waarborg als de eigenaar er mee wil stoppen.

Er is een hele simpele reden dat een close source bedrijf zijn best doet, want er is namelijk een goede motivator aanwezig in de vorm van geld. Dit is dan ook gelijk het grootste probleem bij een close source bedrijf. Doordat er soms weinig aanbieders zijn op een speciaal gebied zie je dat ze woekerprijzen rekenen of kromme licentie voorwaarden hanteren. Dit zie je niet terug bij open source.

Wat is dan beter? Dat zit hem niet in de term Close of Open source, maar in functionaliteit.  Waarom vind ik Putty top. Hij doet precies wat ik wil, functioneert goed. Zelfs beter dan de meeste close source telnet clients. Hierdoor is het goede keuze. Maar dat geldt niet voor alles. Op het moment dat je gaat praten over een keuze voor een software pakket ga je kijken naar:

1.  Welke functie wil ik hebben.
2. Wat kost het, hier valt onder, wat zijn de aanschaf kosten, wat zijn de onderhoudskosten, wat zijn de implementatie kosten, wat zijn de hardware kosten
3. Hoe krijg ik support
4. Hoe levensvatbaar is de uitgever van de applicatie

Afhankelijk van de soort applicatie zal 1 t/m 4 in belangrijkheid wisselen.

Maar wat is dan wel belangrijk? Wat hebben we nu wel nodig in de IT. Dat zijn Open Standaards.  Wat is dat dan een Open Standaard? Eigenlijk is een Open Standaard niets anders dan een aantal afspraken over hoe er, bijvoorbeeld, gecommuniceerd moet worden. Zo is IPv6 een Open Standaard. Één van de afspraken hierin is dat ieder nummer 128 bits is. Iedereen die dus een IPv6 protocol wil schrijven weet dus dat de adressen 128 bits lang zijn.

Dat Open Standaards succesvol kunnen zijn en de wereld kunnen veranderen bewijst TCP/IP wel. Omdat TCP/IP een Open Standaard was heeft ieder sofware maker (close en open) zijn eigen TCP/IP stack kunnen maken. Hierdoor is het mogelijk om met elke willekeurige computer (van grote server tot kleine PDA) te internetten. Ik wil je nog een andere voorbeeld geven, fictief, maar eentje om je aan het denken te zetten.

Ik heb een SQL database applicatie van het merk X. Volgens een aantal Open Standaards is er bepaald hoe de clients moeten communiceren met mijn SQL database en hoe ik data moet exporteren. Nu werkt mijn SQL database niet naar behoren. Ik besluit een ander merk te nemen, merk Y. Omdat er open standaard is over hoe de date geëxporteerd moet worden kan mijn nieuwe SQL database zonder problemen de data weer inlezen. Het ligt namelijk vast hoe de data er uit moet zien als het geëxporteerd wordt. Daarnaast heeft diezelfde Open Standaard verteld hoe een SQL client applicatie moet praten met een SQL database applicatie. Hierdoor hoef ik dus niks te doen aan de client kant. Dit klinkt te mooi om waar te zijn? Zomaar een database server vervangen door een ander merk en je client kan er zonder problemen meet communiceren. Toch is dat nu net wat er gebeurd met TCP/IP, TLS, FTP enz enz. Allemaal open standaards. Ik wil het nog één stap verder trekken. Stel dat we een open standaard maken voor hoe een OS met een applicatie moet communiceren. Dan kunnen alle applicaties op alle OSsen draaien. Hoe hard zullen grote software huizen dan gaan zweten?

Wat ik graag zou zien is dat de overheid Open Standaards gaat promoten en verplicht stellen inplaats van Open Source. Daar zouden ze, op europees of wereld niveau in moet investeren. Verschillende Open Standaards vast leggen en sofware leveranciers dwingen hieraan te voldoen. Dan pas krijgen wij in de IT vrijheid van keuze en kunnen we gaan kiezen voor het beste product voor wat we zoeken.

Martijn Bellaard

Als ik met een beheerder praat over een migratie naar IPv6 dan krijg ik vaak één van de volgende reacties:

• “Het duurt nog wel even voordat we aan IPv6 moeten we beginnen. We hebben nog tijd zat” 
• “Ze vinden er vast wel iets op” 
• “We hebben toch NAT” 
• “IPv6 wordt nog niet eens op Internet gebruikt, waarom zou ik het dan wel al gebruiken?”

Dit soort reacties zijn te verwachten, op het moment dat er iets gebeurd wat voor grote verandering zorgt. Wanneer een verandering van ons vraagt onszelf aan te passen, dan proberen we redenen te bedenken, waarom het niet voor ons geldt. Dezelfde reactie zie je ook als het gaat over IPv6. Dit heeft drie oorzaken, ten eerste zijn wij mensen behoudend ingesteld, ten tweede kan dit te maken hebben met een gebrek aan kennis en ten derde hebben de meeste beheerders het druk, waardoor ze geen zin hebben zich ook nog druk te moeten maken over IPv6. Toch ik wil eens gaan kijken naar de motivaties die hierboven staan om niet naar IPv6 te gaan kijken.

“Het duurt nog wel even voordat we aan IPv6 moeten we beginnen. We hebben nog tijd zat”

De vraag is of dit klopt, om dat te achterhalen is het goed om eens een paar cijfers te bekijken. We weten dat nog 12% van alle IPv4 nummers vrij zijn. Dat lijkt best veel, toch!? Laten we wat ander cijfers er bij halen.

1. In 2006 werd er bij benadering 3,5% van alle vrije IPv4 nummers uitgedeeld.
2. In 2007 werd er bij benadering 4% van alle vrije IPv4 nummers uitgedeeld.
3. In 2008 werd er bij benadering 4,5% van alle vrije IPv4 nummers uitgedeeld.
   (Bron: www.iana.org , www.potaroo.net )
   

Dit is dus een toenamen van +/- 0,5% per jaar. In de lijn van de verwachting ligt dus dat we 5% uitdelen in 2009 en 5,5% in 2010. Begin 2009 was er nog 12,5% van alle IPv4 nummers over. Als we vervolgens de verwachting van 2009 en 2010 optellen dan hebben we begin 2011 nog 1,5% van alle IPv4 nummers over. Voor 2011 hebben we 6% nodig, dus ergens in maart zijn de nummers op.

Nu is dit een groffe schatting, maar zelfs de meest voorzichtige berekeningen komen er op uit dat ergens tussen begin 2011 en eind 2012 de nummers op zijn.

http://www.cisco.com/web/about/ac123/ac147/archived_issues/ipj_6-4/ipv4.html http://www.ripe.net/info/info-services/ipv4/index.html http://www.runningipv6.net/ http://www.potaroo.net/tools/ipv4/index.html (Deze site is het meest nauwekeurig)

“Ze vinden er vast wel iets op”

Dat klopt, dat heet IPv6.

“We hebben toch NAT”

Lees mijn blog over Why NAT sucks maar eens

“IPv6 wordt nog niet eens op Internet gebruikt, waarom zou ik het dan wel al gebruiken ?”

Dit klopt niet. Een aantal root DNS’s ondersteunen al IPv6, ook de backbone van internet draait IPv6.

Ga ook maar eens naar de volgende website: http://www.sixxs.net/misc/coolstuff/. Hier staan een paar voorbeelden van IPv6 gebruik. IPv6 komt dus al meer voor dan de meeste mensen denken.

Voordat ik deze blog afsluit wil ik je nog een paar overwegingen meegeven:

•  Maak je gebruik van netwerk apparatuur die de aankomende 5 jaar (zeg tot 2014) mee moet gaan of misschien langer? 
• Heb je een website waar klanten op komen? 
• Willen steeds meer gebruikers remote jou netwerk benaderen voor informatie?

Als je op één of meerdere vragen JA kunt antwoorden dan moet je vandaag beginnen je te verdiepen in IPv6, zodat je in 2011 klaar bent om het te gaan uitrollen.

Martijn Bellaard

Er wordt steeds meer en meer geschreven over IPv6. Dat is goed nieuws, maar waar moet je nu beginnen als je de overstap wilt maken naar IPv6. In deze blog wil ik daar eens wat aandacht aan besteden.
Om tot een succesvolle IPv6 migratie te komen moet je vier verschillende fases doorlopen.

Fase 1) De Inventarisatie

Je start het IPv6 migratie traject door een inventarisatie te maken van alle netwerkapparatuur die op het netwerk zijn aangesloten. We hebben het dan niet alleen over de routers en switches, maar ook over  firewall, webcamera’s met een netwerk interface, meeting apparatuur dat via het netwerk data verstuurt, PDA’s.  Eigenlijk alles dat een netwerk connectie heeft moet je opnemen in de inventarisatielijst.
Als tweede zul je alle applicaties moeten inventariseren.  Veel applicaties maken tegenwoordig gebruik van het netwerk om met een client te communiceren. Dus als je overstapt op IPv6 dan wil je wel graag weten of de applicatie werkt op IPv6
Als laatste kijk je naar alle operating systems die je gebruikt. Hierbij is het van belang om te achterhalen welke versie van het Operating System je gebruikt. Op dit moment geldt dat elke moderne OS IPv6 ready is. Dus met deze lijst kun je de IPv6 ready, van de door jou gebruikte operating systems, bepalen
De lijst met netwerk devices, applicaties en operating systems gaan we gebruiken om een testplan te maken.

Fase 2) Testen

Nu je dus weet hoe het zit met je IPv6 ondersteuning kun je gaan testen. Als eerste kun je beginnen met het testen van je Operating Systems. Zaken die je hierbij moet uitzoeken zijn:

•  is er een IPv6 stack voor het OS,
•  kan het OS een IPv6 nummer krijgen,
•  kan het OS DNS resolving over IPv6 doen,
•  ondersteunt het OS de autoconfiguration optie van IPv6
•  ondersteunen de meegeleverde service IPv6, hierbij kun je denken aan file servive, print service, remote administration service (RDP/SSH), maar ook aan de standaard Firewall,

Meer informatie over IPv6 ready kun je vinden op:
http://www.ipv6ready.org/phase-2_approved_list

Nu je weet dat je OS IPv6 ready is, kun je beginnen met het testen van je applicatie. Als de applicatie leverancier niet kan vertellen of de applicatie IPv6 ondersteundt dan kan de applicatie nog steeds werken over IPv6. Dit heeft te maken met het feit dat IPv6 in principe alleen een aanpassing doet op de netwerk laag. Toch zullen sommige applicaties een aanpassing nodig hebben. Applicaties die zeker getest moeten worden zijn:

•  Applicaties die op het IP nummer  of IP nummer + poort luisteren. Denk hierbij bijvoorbeeld aan een webserver.
• Applicaties die IP nummers loggen. Het logveldje voor het IP nummer moet minimaal 128 bits zijn en de applicatie moet ook 128 bits IP nummers kunnen inlezen.
  

Als laatste zou je kunnen kijken naar je netwerk device. Hierbij zijn twee zaken van belang:

• Zijn ze, net als bij een OS, IPv6 ready
• Is IPv6 softwarematig of hardwarematig. Als IPv6 softwarematig en IPv4 hardwarematig is, dan zal het netwerk device slechte performance leveren op IPv6

Fase 3: De migratie

Je weet nu wat wel en wat niet IPv6 ready is. De volgende stap is daarom ook je IPv6 netwerk te ontwerpen en te implementeren. Zet IPv4 nog niet uit. Het mooie van de hele migratie is dat je makkelijk Duo-stack kunt gaan draaien.

Alles wat dus nog niet IPv6 ready is kun je nu rustig gaan vervangen. De migratie mag best meerdere jaren in beslag nemen. Dat is geen enkel probleem.

Een mooie mijlpaal in de migratie is het moment dat je met IPv6 het internet opgaat. Als je zover bent dan heb je een aantal belangrijke diensten binnen je IT infrastructuur omgezet naar IPv6.

Fase 4: No-more IPv4

Het einde van het traject is natuurlijk dat je IPv4 gaat uitzetten. Als je zover bent is er een reden tot een groot feest. Tenminste, ik vind dat je altijd op zoek moet gaan naar een reden om te feesten.

Mijn laatste tip is: begin nu met fase 1 en 2, zodat je in 2011 klaar bent voor fase 3.

Martijn Bellaard

Bij een klant  doe ik op dit moment een AD migratie van twee domainen naar één domain. We hebben er voor gekozen om de Users te migreren met een ADMT script. In deze blog wil ik eens stil staan bij de script die ik geschreven heb voor mijn klant.

VOORWERK

Voordat het script uitgevoerd kan worden moeten de volgende zaken geregeld zijn:

1. Opzetten “two way trust” tussen de oude domainen, old1.local en old2.local, en het nieuwe domain nieuwe.local om toegang te krijgen tot alle user accounts.
2. ADMT installeren,
3. Het aanmaken van de gebruiker miguser in alle domainen,
4. Het installeren van de PEN servers op één van de domain controllers in het old1.local domain en in het old2.local domain,

SETUP ADMT

ADMT kan gedownload worden van:

Http://www.microsoft.com/downloads/details.aspx?FamilyID=6f86937b-533a-466d-a8e8-aff85ad3d212&displaylang=en

Installeren ADMT 3.0

• Ga naar de locatie waar je ADMT 3.0 gedownload hebt en start ADMTSetup.exe op.
• Op de Active Directory Migration Tool Installation Wizard scherm klik next
• Kies I Agree, Next

MS SQL Server Desktop Engine wordt geïnstalleerd

• Op de Database Selection, next
• Op de Active Directory Migration Tool v2 Database Import klik next
• Klik Finish

Aanmaken Migratie user account

Om users te kunnen migreren moet er in beide domains een account aanwezig zijn met dezelfde naam en wachtwoord. Op die manier is het mogelijk om vanuit het nieuwe domain in te loggen op de oude domain

1. Maak in alle domeinen (nieuwe.local, old2.local, old1.local) de volgende user aan: Username: Miguser Password: **************
2. Maak deze user lid van domain admins. Hij moet alle accounts kunnen aanmaken en heeft dus de juiste rechten nodig. Je kunt ook kiezen om te werken met delegation of control en de account alleen rechten geven op de juiste OU.  Disable of verwijder dit account na de migratie.
3. Maak de user nieuwe.local\miguser lid van de old1.local\administrators groep en old2.local\administrators groep. Net als bij 2 moet het account bij alle user in het oude domain kunnen

Setup Password Export Server

De Password Export Server (PES) zorgt er voor dat het ADMT script de wachtwoorden van alle users kan migreren naar het nieuwe domain. Hiervoor moet service dus als super-super-super  user toegang hebben tot het AD. Dit maakt het dus security technisch een zeer gevaarlijke service die pas gestart mag worden als de migratie begint.
Als eerste zul je een key moeten maken voor het oude domain in het nieuwe domain
1.    Log aan op de DC waarop ADMT 3.0 is geïnstalleerd
2.    Open een CMD
3.    Ga naar de directory c:\Windows\Admt\PES
4.    Run het volgende commando voor het Old2.local domain: Admt key /option:create /sourcedomain:old2.local/keyfile:c:\windows\admt\pes\geminikey /pwd:*
5.    Hij vraagt nu om een wachtwoord. Deze heb je zo weer nodig dus noteer hem
6.    Kopieer de inhoud van de directory c:\windows\admt\pes naar een domain controller van het old2.localdomain onder c:\pes.
7.    Log nu aan op een domain controller van het old2.localdomain
8.    Open een CMD
9.    Ga naar de directory c:\pes
10.    Run Pwdmig.msi
Nu ga je PES service installeren in het oude domain.
11.    Klik Next
12.    Op de Encryption File browse naar c:\pes en selecteer geminikey.pes bestand
13.    Klik Open
14.    Klik Next
15.    Voer het wachtwoord in.
16.    Klik Next
17.    Op de ADMT Password Migration DLL kies je als service account old2.local\miguser
18.    Herstart de domain controller.
19.    Na de restart moet je de Password Export Server Service starten. Deze staat standaard op manual.
Herhaal fase voor elke domain dat je migreerd naar het nieuwe domain

MIGRATIE SCRIPT

Voor de migratie van de user wordt er gebruik gemaakt van een script. Aan het einde van de blog staat de uitdraai van het script.  Maar eerst wordt er een uitleg gegeven over het script en hoe het script gedraaid dient te worden.

SCRIPT UITLEG

Het script is bedoeld om de user account vanuit het source domain te migreren naar een nieuwe target domain inclusief de wachtwoorden van user accounts. In de onderstaande tabel staat een uitleg van het script per regel.
!!! LET OP!!! Alleen daar aanpassing doen als er in de tabel staat dat het mag. In elke ander situatie kan dit leiden tot een niet werkend script.

DRAAIEN VAN HET SCRIPT

Als het script aan je wensen is aangepast kun je beginnen met het draaien van het script
1.    Maak de directory c:\scripts en c:\scripts\reports aan op de DC waarop ADMT is geïnstalleerd.
2.    Kopieer de regels aan het einde van de blog naar notepad.
3.    Pas de regels 166-189 aan, zodat het juiste source domain, source ou en target ou vermeld staat.
4.    Sla dit bestand op als Migusersourcedomain.vbs
5.    Open een CMD
6.    Run het volgende commando: runas /user:miguser cmd.exe en voer het juiste wachtwoord in.
7.    Je krijgt nu een nieuwe CMD. Voer de volgende stappen uit in deze CMD
8.    Ga naar c:\scripts
9.    Voer het volgende commando in cscript migusersourcedomain.vbs
De migratie wordt nu uitgevoerd. Afhankelijk van de grote van het domain kan dit wel even duren. Pak rustig een bak koffie of twee of drie of …….  Bestudeer na afloop de logfiles in c:\script\reports voor eventuele accounts die niet goed gegaan zijn.

SCRIPT

Vanaf NU vind je HET script. Copieren en in notepad plakken. Veel plezier met het script.

Martijn Bellaard

1.    Option Explicit
2.    '----------------------------------------------------------------------------
3.    ' ADMT Scripting Constants
4.    ' Niet aanpassen en niet aankomen
5.    '----------------------------------------------------------------------------
6.    ' PasswordOption constants
7.    Const admtComplexPassword        = &H0001
8.    Const admtCopyPassword                         = &H0002
9.    Const admtDoNotUpdatePasswordsForExisting       = &H0010
10.    ' ConflictOptions constants
11.    Const admtIgnoreConflicting                  = &H0000
12.    Const admtMergeConflicting                        = &H0001
13.    Const admtRemoveExistingUserRights            = &H0010
14.    Const admtRemoveExistingMembers               = &H0020
15.    Const admtMoveMergedAccounts                  = &H0040
16.    ' DisableOption constants
17.    Const admtLeaveSource                    = &H0000
18.    Const admtDisableSource                  = &H0001
19.    Const admtTargetSameAsSource             = &H0000
20.    Const admtDisableTarget                  = &H0010
21.    Const admtEnableTarget                   = &H0020
22.    ' SourceExpiration constant
23.    Const admtNoExpiration = -1
24.    ' Translation Option
25.    Const admtTranslateReplace     = 0
26.    Const admtTranslateAdd         = 1
27.    Const admtTranslateRemove      = 2
28.    ' Report Type
29.    Const admtReportMigratedAccounts      = 0
30.    Const admtReportMigratedComputers = 1
31.    Const admtReportExpiredComputers      = 2
32.    Const admtReportAccountReferences     = 3
33.    Const admtReportNameConflicts        = 4
34.    ' Option constants
35.    Const admtNone             = 0
36.    Const admtData             = 1
37.    Const admtFile             = 2
38.    Const admtDomain           = 3
39.    Const admtRecurse               = &H0100
40.    Const admtFlattenHierarchy      = &H0000
41.    Const admtMaintainHierarchy     = &H0200
42.    ' Event related constants
43.    ' Progress type
44.    Const admtProgressObjectMigration      = 0
45.    Const admtProgressntDispatch         = 1
46.    Const admtProgressntOperation    = 2
47.    Const admtProgressMailboxMigration  = 3
48.    ' Event type
49.    Const admtEventNone                             = 0
50.    Const admtEventObjectInputPreprocessed          = 1
51.    Const admtEventTaskStart                        = 2
52.    Const admtEventTaskFinish                       = 3
53.    Const admtEventObjectProcessed                  = 4
54.    Const admtEventGroupMembershipProcessed         = 5
55.    Const admtEventntStatusUpdate              =6
56.    Const admtEventntNotStarted         = 7
57.    Const admtEventntFailedToStart         = 8
58.    Const admtEventntWaitingForReboot     = 9
59.    Const admtEventntRunning         = 10
60.    Const admtEventntCancelled         = 11
61.    Const admtEventntPassed         = 12
62.    Const admtEventntFailed         = 13
63.    Const admtEventntWaitingForRetry     = 14
64.    Const admtEventntSuccessful         = 15
65.    Const admtEventntCompletedWithWarnings     = 16
66.    Const admtEventntCompletedWithErrors     = 17
67.    Const admtEventTaskLogSaved         = 18
68.    Const admtntPreCheckPhase         = &H100
69.    Const admtntntOperationPhase     = &H200
70.    Const admtntPostCheckPhase         = &H300
71.    Const admtntStatusMask         = &HFF
72.    Const admtntPhaseMask         = &H300
73.    ' Status type
74.    Const admtStatusSuccess       = 0
75.    Const admtStatusWarnings     = 1
76.    Const admtStatusErrors        = 2
77.    'Extra Const made by Martijn Bellaard PQR
78.    Const strLogFile     = "C:\Scripts\Reports\Miglog.csv"
79.    Const strErrorLogFile     = "C:\Scripts\Reports\MigErrorlog.csv"
80.    Const Forwriting     = true
81.    '----------------------------------------------------------------------------
82.    ' Declarations
83.    '----------------------------------------------------------------------------
84.    Dim objMigration
85.    Dim objUserMigration
86.    Dim objGroupMigration
87.    Dim objComputerMigration
88.    Dim objSecurityTranslation
89.    Dim objServiceAccountEnumeration
90.    Dim objPasswordMigration
91.    Dim objFSO
92.    Dim objLogfile
93.    Dim objErrorLogFile
94.    Dim lngStatusType
95.    lngStatusType = 0
96.    '----------------------------------------------------------------------------
97.    ' Create Logfile
98.    ' Add by Martijn Bellaard PQR
99.    '----------------------------------------------------------------------------
100.    'create instance of file system object
101.    Set objFSO = CreateObject("Scripting.FileSystemObject")
102.    'Create Log file
103.    Set objLogFile = objFSO.CreateTextFile(strLogFile, Forwriting)
104.    Set objErrorLogFile = objFSO.CreateTextFile(strErrorLogFile, Forwriting)
105.    'Set time and date in logfile and screen
106.    Objlogfile.write "========================================="
107.    objLogfile.writeline
108.    Objlogfile.write "Start date:" & Date & "Start Time:"& Time
109.    objLogfile.writeline
110.    Objlogfile.write "OLD  to NEW log "
111.    objLogfile.writeline
112.    Objlogfile.write "========================================="
113.    objLogfile.writeline
114.    Objlogfile.write "Progress,Started,Finished,Failed,"
115.    objLogfile.writeline
116.    ObjErrorlogfile.write "========================================="
117.    objErrorLogfile.writeline
118.    ObjErrorlogfile.write "Start date:" & Date & "Start Time:"& Time
119.    objErrorLogfile.writeline
120.    ObjErrorlogfile.write "OLD to NEW log "
121.    objErrorLogfile.writeline
122.    ObjErrorlogfile.write "========================================="
123.    objErrorLogfile.writeline
124.    ObjErrorlogfile.write "Object, Statusnummer,"
125.    objErrorLogfile.writeline
126.    wscript.echo "========================================="
127.    wscript.echo "Start date:" & Date & "Start Time:"& Time
128.    wscript.echo "OLD to NEWlog" & strLogfile
129.    wscript.echo "========================================="
130.    '----------------------------------------------------------------------------
131.    ' ADMT Migration Class
132.    '----------------------------------------------------------------------------
133.    ' create instance of migration object
134.    Set objMigration = wscript.CreateObject("ADMT.Migration", "Task_")
135.    ' set options
136.    objMigration.IntraForest = False
137.    objMigration.SourceDomain = "old1.local"
138.    objMigration.SourceDomainController = "SourceDC.old1.local"
139.    objMigration.SourceOU = "Medewerkers"
140.    objMigration.TargetDomain = "nieuwe.local"
141.    objMigration.TargetDomainController = "TargetDC.nieuwe.local"
142.    objMigration.TargetOU = "Import "
143.    objMigration.PasswordOption = AdmtCopyPassword
144.    objMigration.PasswordServer = "SourceDC.old1.local"
145.    objMigration.ConflictOptions = admtMergeConflicting + admtRemoveExistingUserRights + admtRemoveExistingMembers
146.    objMigration.AdmtEventLevel = admtStatusErrors
147.    '----------------------------------------------------------------------------
148.    ' UserMigration Class
149.    '----------------------------------------------------------------------------
150.    ' create instance of user migration object
151.    Set objUserMigration = objMigration.CreateUserMigration
152.    'set options
153.    objUserMigration.DisableOption = admtDisableTarget
154.    objUserMigration.SourceExpiration = admtNoExpiration
155.    objUserMigration.MigrateSIDs = False
156.    objUserMigration.TranslateRoamingProfile = False
157.    objUserMigration.UpdateUserRights = False
158.    objUserMigration.MigrateGroups = False
159.    objUserMigration.UpdatePreviouslyMigratedObjects = False
160.    objUserMigration.FixGroupMembership = False
161.    objUserMigration.MigrateServiceAccounts = False
162.    ' migrate user accounts
163.    objUserMigration.Migrate admtDomain + admtRecurse + admtMaintainHierarchy
164.    '----------------------------------------------------------------------------
165.    ' ReportGeneration Class
166.    '----------------------------------------------------------------------------
167.    ' create instance of report generation object
168.    DIM objReportGeneration
169.    Set objReportGeneration = objMigration.CreateReportGeneration
170.    ' set options
171.    objReportGeneration.AutoPreCheckRetry = True
172.    objReportGeneration.AutoPreCheckRetryInterval = 30
173.    objReportGeneration.AutoPreCheckRetryNumber = 48
174.    ' generate report
175.    objReportGeneration.Type = admtReportMigratedAccounts
176.    objReportGeneration.Folder = "C:\scripts\Reports\"
177.    objReportGeneration.Generate admtNone
178.    '----------------------------------------------------------------------------
179.    ' PasswordMigration Class
180.    ' - Note: The source domain and OU will be used if not explicitly specified
181.    '----------------------------------------------------------------------------
182.    ' create instance of password migration object
183.    Set objPasswordMigration = objMigration.CreatePasswordMigration
184.    'Last line
185.    'Set time and date in logfile and screen
186.    Objlogfile.write "========================================="
187.    objLogfile.writeline
188.    Objlogfile.write "End date:" & Date & "End Time:"& Time
189.    objLogfile.writeline
190.    Objlogfile.write "End logfile "
191.    objLogfile.writeline
192.    Objlogfile.write "========================================="
193.    objLogfile.writeline
194.    ObjErrorlogfile.write "========================================="
195.    objErrorLogfile.writeline
196.    ObjErrorlogfile.write "End date:" & Date & "End Time:"& Time
197.    objErrorLogfile.writeline
198.    ObjErrorlogfile.write "End logfile "
199.    objErrorLogfile.writeline
200.    ObjErrorlogfile.write "========================================="
201.    objErrorLogfile.writeline
202.    wscript.echo "========================================="
203.    wscript.echo "End date:" & Date & "End Time:"& Time
204.    wscript.echo "Finish OLD to OLD"
205.    wscript.echo "========================================="
206.    Objlogfile.close
207.    objerrorLogFile.close
208.    ' -----------------------------------------------------------------------------
209.    ' Progress event handler
210.    '   lngProgressType: progress type (admtProgress*)
211.    '   lngStarted:      the number of started operations
212.    '   lngFinished:     the number of finished operations
213.    '   lngFailed:       the number of failed operations
214.    ' -----------------------------------------------------------------------------
215.    Sub Task_Progress(lngProgressType, lngStarted, lngFinished, lngFailed)
a.    wscript.echo  "Progress: " & lngProgressType & " Started: " & lngStarted & " Finished: " & lngFinished & " Failed:" & lngFailed
b.    Objlogfile.write lngProgressType & "," & lngStarted & "," & lngFinished & "," & lngFailed & ","
c.    objLogfile.writeline
216.    End Sub
217.    ' -----------------------------------------------------------------------------
218.    ' Status event handler
219.    '   lngEventType:    event type (admtEvent*)
220.    '   strObjName:      the name of the object
221.    '   lngStatusType:   status (admtStatus*)
222.    '   objMesss:     an array of messs
223.    ' -----------------------------------------------------------------------------
224.    Sub Task_Status(lngEventType, strObjName, lngStatusType, objMesss)
225.    Dim strMess
a.    wscript.echo "Object: " & strObjName  & " Status nummer: " & lngstatusType
b.    if lngStatusType > 0 then
i.    ObjErrorlogfile.write strObjName  & "," & lngstatusType & ","
ii.    objErrorLogfile.writeline
c.    end if
226.    End Sub
227.    '   Einde Script
228.    ' ----------------------------------------------------------------------------

Als je nog vragen hebt hoor ik ze graag.
Martijn Bellaard

Als wiskundige heb ik geleerd dat je iets kan bewijzen door aan te nemen dat het klopt om vervolgens op zoek te gaan naar een uitzondering die het tegendeel bewijst. Dat wil ik nu ook gaan doen.

Stelling: Dankzij NAT hebben we geen IPv6 nodig

NAT for the ISP

Het idee achter deze stelling is dat, als straks de IPv4 nummers op zijn, een ISP er voor zou kunnen kiezen om hun gehele netwerk achter een NAT router te plaatsen. Hierdoor is het mogelijk dat de ISP één IP nummer aan de buitenkant heeft en aan de binnenkant een complete 10 range gebruikt voor zijn klanten. De klinkt als een mooie oplossing, maar er is toch een hoop mis met deze oplossing

Voordat we ingaan op wat er nu mis gaat met het bovenstaande model  wil ik kort ingaan op hoe NAT werk.

Het idee achter NAT is dat door een relatie te leggen tussen een interne IP nummer en poort met een externe poort nummer netwerk verkeer over één IP nummer naar buiten gerouteerd kan worden..  Elke host die een connectie aangaat met een andere host, gebruikt een random poort voor de connectie. De NAT router onderschept dit bericht en onthoudt over welke random poort de host communiceerde. Samen met zijn prived IP nummer slaat hij deze gegevens op in zijn NAT tabel en koppelt dat aan een poort aan de buitenkant. Op die manier onthoudt de NAT router welke connectie bij welke host hoort.

Whats wrong?

Er zijn 16 bits voor het poortnummer gereserveerd, dus een NAT router kan maximaal 65536 IP nummers en poortcombinaties maken.  Dus je kunt zeggen dat er maximaal 65536 hosts door één NAT router bedient kunnen worden. Dat zou kloppen als je maar naar  één simpele website zou gaan.

Laten we daarom eens naar www.ngn.nl gaan en het aantal connecties tellen. Ik zet dus 1 tab open met 1 website. Als ik dan het commando netstat  uitvoer zie ik dat er meteen 10 extra connecties bij zijn gekomen. Dus als al de gebruikers van een ISP naar www.ngn.nl gaan kan ik maximaal 6553 gebruikers hosten. Als ik vervolgens naar het forum ga zie ik dat ik er nog eens 20 connecties bij gekregen heb. Dit geeft me dus ruimte voor 3276 gebruikers. Maar dan moeten we geen MSN of zo iets gaan gebruiken. Of nog erger via het web onze mail gaan lezen. Dan kom je al snel uit op 40 connecties per gebruiker. Let op, ik doe nog niet zulke rara dingen. Ik lees mijn mail en kijk in het NGN forum.

Nu gaan nog iets veel ergers doen. Ik ga naar Google en zoek op NGN. Ik open de eerste drie hits in een nieuwe tab. Ik zit nu al op 56 connecties. Als ik dan ook nog een bezoek breng aan maps.google.nl om te kijken waar het kantoor van de NGN is dan zit ik 65 hits.  Als ik daarnaast naar het weer ga kijken en mezelf op de hoogte wil brengen van het laatste nieuws zit ik als snel op 100 connecties. Ik ben nog steeds een light user. Dus een doorsnee ISP kan over 1 NAT router maximaal 655 light users ondersteunen.

Een medium user zal als snel 200 connecties open hebben staan. Onder een medium user versta ik een user die naast het open zetten van een aantal websites, gebruik maakt van MSN en luistert via internet naar de radio. Daarnaast beschikt de medium user over meer dan 1 PC.

Een heavy user loopt het aantal connectie al snel op naar de 400. Aangezien internet steeds een grotere rol in ons leven gaat spelen zullen we allemaal richting de heavy user gaan. Dus een ISP zou in dat geval maximaal 163 gebruikers achter één NAT router kunnen plaatsen, maar laten we voorlopig uitgaan van 200 connecties per gebruiker. Dan kunnen er ongeveer 300 gebruikers per NAT router aanwezig zijn. Er zijn ongeveer 7.000.000 huizenhouding in Nederland. Dus om alle huishoudingen achter de NAT routers te plaatsen heb je zo’n 2333 Nat routers nodig en mag er niet meer dan één PC per huis aanwezig zijn.  Voor het gemak vergeet ik de bedrijven maar even.

Is this all?

Nu is dit niet het enige wat mis is met NAT. We hebben nu alleen gekeken naar uitgaande verkeer. Maar er gaat ook verkeer de andere kant op. Doordat we gebruik maken van een NAT router is het lastig om een host achter de NAP router te bereiken.  Dit wordt gezien als één van de grote voordelen van een NAT router. Op die manier krijg je een stuk extra beveiliging. Maar deze extra beveiliging heeft ook zo zijn keerzijde. Denk bijvoorbeeld aan IPSec. IPSec is een protocol dat het mogelijk maak om encryptie en authenticatie in elk TCP/IP pakketje te stoppen, maar IPSec gaat niet door NAT heen. Hiervoor is dan ook weer een speciale versie van IPSec ontworpen, IPSec-T. In de toekomst zullen we steeds meer protocollen zien die niet werken door NAT heen. Denk hierbij aan  Video, voice software en remote support software. Vooral als security belangrijker wordt zul je de host willen kunnen identificeren  achter de NAT router. NAT houdt dit soort mogelijkheden op dit moment tegen.
Daarnaast zullen er steeds meer servers komen die een eigen IP nummer willen hebben op internet. Als je deze achter NAT plaatst krijg je het IPSec probleem in het kwadraat. Een host achter een NAT router wil misschien niet dat hij direct vanaf het internet bereikbaar is, maar voor servers geldt dit niet. Die moeten juist direct  bereikbaar zijn vanaf het internet.  We zien dit soort problemen vandaag de dag ontstaan, als we gebruik gaan maken van SSL. SSL wordt gebruikt om de security te verhogen, maar een NAT router (of reverse proxy) heeft het hier moeilijk mee, tenzij je voor elke SSL applicatie een eigen IP nummer aan de buitenkant geeft en die raken nu dus juist op.

So I said it, Nat Sucks

Ik begon met de stelling : Dankzij NAT hebben we geen IPv6 nodig.
Deze stelling klopt als we toestaan dat  er niet meer dan 1 PC per huis komt en dat we niet teveel websites tegelijk bezoeken en geen nieuwe servers op internet gaan plaatsten. 

Natuurlijk kun je dan nog gaan kiezen voor NAT achter NAT achter NAT achter NAT en zo door. Dan kunnen we nog wel een tijdje door gaan, maar dit zal de performance niet ten  goede komen en dan heb ik het nog niet over problemen zoals met IPSec en SSL.