vSAN Fileservice für SMB Protokoll

Eine Neuerung von vSAN 7.0 U1 ist die Bereitstellung von SMB Shares über den vSAN Fileservice. Dieser war in Version 7.0 noch auf das NFS Protokoll beschränkt.

Wo ist die SMB Option?

Ich war etwas verwundert, dass ich im Homelab trotz Cluster Update und Update der FS-Service-VMs das SMB Protokoll nicht auswählen konnte.

Wie meistens in solchen Fällen hilft es, die Augen zu öffnen und das Kleingedruckte zu lesen. 🙂 Direkt unter dem Dropdown Menü steht unmissverständlich:

Enable active directory configuration in the File Service configuration before using SMB protocol.

Klingt logisch und erklärt, warum ich das SMB-Protokoll nicht zur Auswahl habe. Mein Homelab arbeitet ohne ADS. Die Namensauflösung erledigt ein Bind9 Server.

Auch in den Eigenschaften eines vorhandenen File-Shares ist der Hinweis zu finden.

Merke: ohne ADS kein SMB in vSAN. 🙂

Alte Objekte im ADS finden

Computer in einem Netzwerk kommen und gehen. Beim Ausrangieren alter Hardware wird jedoch allzu oft vergessen, diese auch sauber aus dem Active Directory zu entfernen. Die Folge sind ein ADS voll alter Computer Objekte.

Es gibt einen komfortablen Befehl, diese zu finden: dsquery

Auf 2003 R2 Servern muss dafür das Support Tools Package (Adminpak) installiert sein.

Man benötigt auf dem Domaincontroller eine administrative Kommandozeile.

Search..

dsquery computer -inactive 52

Dieser Befehl sucht Computerobjekte, die seit 52 Wochen inaktiv sind, also sich seither nicht mehr beim Domaincontroller gemeldet haben.

Die Ausgabe lässt sich auch in eine Textdatei umleiten:

dsquery computer -inactive 52 > c:\temp\inactive.txt

and destroy

Achtung! Es ist empfehlenswert, zunächst den obigen Suchbefehl abzusetzen und dabei das Inaktivitätsintervall vernünftig groß zu halten. Denkbar wäre zum Beispiel, daß ein Mitarbeiter sein Notebook seit mehreren Wochen nicht mehr am internen LAN hatte. Diesen ohne Prüfung aus dem ADS zu werfen hätte unangenehme Nebeneffekte. 😉

dsquery computer -inactive 52 | dsrm -noprompt -c

Dieser Befehl ist gnadenlos. Er löscht alle gefundenen Objekte aus dem ADS. Normalerweise muss man jedes einzelne Objekt zur Löschung bestätigen. Der Parameter ‘-noprompt’ unterdrückt dies. Durch den Parameter ‘-c’ werden Fehler gemeldet, aber der Prozess nicht abgebrochen (continue).

Wer es etwas moderater angehen möchte, kann die Computerobjekte zunächst nur deaktivieren.

dsquery computer -inactive 52 | dsmod computer –disabled yes

 

Links

  • Microsoft TechNet – DSRM
  • Microsoft TechNet – DSMOD

ADS: Schema Erweiterung 2012 R2

Der Support für Windows Server 2003 endet zum 14. Juli 2015 und noch immer finden sich zahlreiche 2003 Server-Systeme im produktiven Umfeld. Eine Migration auf die Plattform Server 2008 R2 wird meist zugunsten von Server 2012 R2 übersprungen.

Ich schildere hier das Upgrade durch hinzufügen eines weiteren Domänencontrollers 2012 R2 zur bestehenden Domäne auf Basis von Server 2003 R2 mit der ADS Schema Erweiterung auf Server 2012 R2.

Voraussetzungen

  • Domänen Funktionsmodus (domain functional level) muss mindestens “Server 2003” sein. Dazu das Tool “Active Directory Domänen und Vertrauensstellungen” öffnen und das Kontextmenü auf dem Domänennamen öffnen. Gleichermassen im Tool Active Directory Benutzer und Computer” Kontextmenü auf den Forest.
  • Neuer Windows Server 2012 R2 mit fester IP als Memberserver in der bestehenden Domäne.
  • Alle bestenden Domänencontroller müssen sauber replizieren. Es existieren keine Tombstones. Das Ereignislog ist sauber.
  • Microsoft SP1 Support Tools sind auf den 2003 Servern installiert.

„ADS: Schema Erweiterung 2012 R2“ weiterlesen

Granuläre Passwortrichtlinien in Active-Directory

Eine Passwortrichtlinie für die Domäne einzuführen ist nicht weiter schwer und lässt sich schnell mit einer Gruppenrichtlinie bewirken. Was aber erst auf den zweiten Blick auffält ist, daß man nur eine Richtlinie für die gesamte Domäne haben kann. Eine Beschränkung auf OU oder Nutzergruppen ist damit nicht möglich. Auch mehrere verschieden gestaltete Richtlinien für unterschiedliche Nutzergruppen kann man so nicht realisieren.

Seit Server 2008 gibt es jedoch einen Weg, unterschiedliche Passwort Richtlinien für unterschiedliche Gruppen einzuführen. Die sogenannte Fine Grained Password Policy.

Ermöglicht wird dies durch die Einführung neuer ADS Objektklassen seit Server 2008.

Voraussetzungen

  • Der Functional Level der Domäne muss mindestens Server 2008 sein.
  • Richtlinien können nur auf Nutzergruppen angewendet werden, nicht auf OU.

„Granuläre Passwortrichtlinien in Active-Directory“ weiterlesen