All posts by steven

Back-up, Netapp, VMware

Snapmanager for Virtual Infrastructure probleem bij het maken van Quiesced Snapshot

In sommige situaties is het niet mogelijk om een back-up te maken met SMVI van virtuele machines. Er komen dan meldingen zoals:

Failed with the following error:Cannot create a quiesced snapshot because the create snapshot operation exceeded the time limit for holding off I/O in the frozen virtual machine

Of

ERROR - VM :"naam" Will not be backed up since VMware snapshot create operation failed

Dit probleem heeft te maken met de VSS service van de VMware Tools. Quiesced Snapshot hebben VMware tools nodig. Het probleem is op te lossen door de VMware tools te deïnstalleren. Hierna te herstarten en daarna de VMware tools te installeren. De VMware tools moeten dan wel geïnstalleerd worden zonder de VSS service.

Dit is verder besproken in VMware KB 1018194

Netapp

LUN’s unmappen

Soms moet een iSCSI target opnieuw gekoppeld worden. Het probleem hiermee is dat het volume in gebruik is ondanks het feit dat de iSCSI initiator gestopt is op de Windows machine. Op het Netapp SAN moeten dan een aantal commando’s worden uitgevoerd.

Afhankelijk van de inrichting van het Netapp SAN dient er misschien eerst een vFiler geselecteerd worden:
vfiler context vfilernaam

Selecteer eerst de igroup van het lun. Dit gaat als volgt:

igroup show

Kopieer de juiste igroup bijvoorbeeld
viaRPC.iqn.1991-05.com.microsoft:computernaam.domeinnaam.local

Controleer welk lun je wilt unmappen

lun show

Kies daarna het lun en unmap het lun door het volgende commando:

lun unmap /vol/vfilernaam/volumenaam+description viaRPC.iqn.1991-05.com.microsoft:computernaam.domeinnaam.local

Hierna kun je nogmaals lun show doen en controleren of het volume daadwerklijk unmapped is.

Herinitieer daarna de iSCSI initiator op de Windows host en configureer het volume.

Microsoft

Exchange HUB servers

Wanneer er een e-mail wordt verzonden in een Microsoft Exchange 2010 organisatie gaat het transport proces als volgt:

Exchange kijkt binnen de Active Directory Site waar het mailtje wordt gesubmit naar een beschikbare HUB Transport server om de e-mail te versturen. De HUB Transport servers accepteren de e-mail als de services draaien. Er wordt niet gekeken naar de mogelijkheid om het mailtje daadwerkelijk te versturen. Als de HUB Transport server een Send connector heeft is dat voldoende. Stel er is geen Send connector toegewezen met als address space * dan kan de HUB server het mailtje niet kwijt. Er is makkelijk in de Exchange console te kijken naar de wachtrij binnen Exchange.

Get-TransportServer | Get-Queue

Er wordt dan een lijst uitgedraaid met de queue’s van alle server binnen de Exchange organisatie. Er is dus ook makkelijk te zien welke server mogelijk een probleem heeft de mail te versturen.

Andere nuttige commando’s zijn:

Overzicht uitdraaien van users op een mailbox server
Get-MailboxDatabase "Mailbox Database Naam" | Get-Mailbox

Netapp

Route toevoegen voor autosupport Netapp

Als er veel IP-spaces geconfigureerd zijn op een Netapp Filer kan het zou zijn dan autosupport niet meer werk. Dit is een bekende bug in Netapp KB 497983. De oplossing voor deze bug is het toevoegen van routes naar de mail server en naar autosupport. Dit gaat als volgt:

 

route add (ip-adres mailserver) (gateway) (cost)
route add (ip-adres support.netapp.nl) (gateway) (cost)

Een voorbeeld is voor autosupport is:

route add 216.240.18.16 10.175.32.3 1

Daarnaast moet de /etc/rc aangepast worden zodat de wijziging ook een reboot doorstaat:

rdfile /etc/rc

Kopieer de tekst en voeg de twee routes toe aan het uiteinde. Doe dit niet plakken in notepad want dan komen er extra regels mee die de /etc/rc file beschadigen. Gebruik Notepad++. Voer daarna het volgende commando uit:

wrfile /etc/rc

gevolgd door de aangepast tekst uit Notepad++

Configuratie, Microsoft

Updates bijwerken via batch

Bij gebrek aan een WSUS server kunnen updates worden uitgerold via een batch script. De .Net Frameworks updates en updates als Malicious Software Removal Tools of andere Windows installer packages kunnen middels onderstaand script uitgevoerd worden:

@ECHO OFF

Set DataDir=E:InstallHotfixes

:: Put Terminal server in install mode
CHANGE USER /INSTALL
ECHO.

CD /d %DataDir%
FOR /f %%i in ('dir *.exe /b') DO %%i /quiet /norestart

:: Put Terminal server back in execute mode
ECHO.
CHANGE USER /EXECUTE

:: Just wait a few secs before exiting this script, or Altiris will report error 1 after exiting this script.
:: May be caused by previous statement and directly exiting the script, therefore this delay.
:: Use the ping command for a delay.

PING localhost >nul

Voor updates die geen echte installer hebben kan het volgende script worden uitgevoerd:
@ECHO OFF

Set DataDir=E:InstallHotfixes08

:: Put Terminal server in install mode
CHANGE USER /INSTALL
ECHO.

CD /d %DataDir%
FOR /f %%i in ('dir *.exe /b') DO %%i /z /u

:: Put Terminal server back in execute mode
ECHO.
CHANGE USER /EXECUTE

:: Just wait a few secs before exiting this script, or Altiris will report error 1 after exiting this script.
:: May be caused by previous statement and directly exiting the script, therefore this delay.
:: Use the ping command for a delay.

PING localhost >nul

Deze scripts zijn handig voor Terminal server. Als je niet ingelogd bent op een Terminal server kan je de install mode achterwegen laten.

Netapp

Netapp volume description weergeven

Wanneer aan een vFiler een volume wordt toegewezen, en deze wordt via iSCSI gemapped naar een Windows machine kan er een naam gekozen worden binnen het volume. Het betreft hier een dan een mapping middels Snapdrive. Wanneer er via Filerview (<ONTAP 8.0.2) of via Snapmanager gekeken wordt naar het aantal volumes kan het moeilijk zijn om te kijken welk volume naar welke machine gemapped is. Wanneer er via SSH verbonden wordt naar de controllers van het Netapp SAN/NAS is het mogelijk om de description uit te lezen. Dit kan slechts per vFiler uitgevoerd worden.

vfiler context VFILERNAME
lun show all

Linux

Certificaat aanvragen en converteren met OpenSSL

Certificaten kunnen in openssl worden geconverteerd. Het aanpassen van de indeling is een van de opties die openssl ondersteund. Zolang het certificaat een x509 standaard is kunnen onderstaande commando’s gebruiker worden voor een dergelijke actie:

Het aanvragen van een certificaat gaat als volgt in OpenSSL.

Genereren van een RSA private key:

openssl genrsa -des3 2048 > private.key

Genereren van een PKCS#10 CSR:

openssl -req -new -key private.key -out certificaat.csr

Hierna kan bij de CA een certificaat aangevraagd worden. De CA zal over het algemeen een certificaat aanleveren in de CER indeling. Om een PFX bestand te maken dient het certificaat van de CER indeling naar de PEM indeling worden geconverteerd. Dit gaat als volgd:

openssl x509 -in certificaat.cer -out certificaat.der -outform DER

openssl x509 -in certificaat.der -out certificaat.pem -outform pem

Nadat het certificaat is omgezet naar de PEM indeling kan er een PFX of PKCS#12 aangemaakt te worden:

openssl pkcs12 -export -in certificaat.pem -inkey private.key -out certificaat.pfx -name Friendly name

Microsoft, Powershell

Query Inheritance op User Object in AD

De Get-ADuser heeft niet de mogelijkheid om op inheritance een query te doen. Laat staan het vinkje Include inheritable permissions from this object’s parent in het security tabblad.

Quest heeft CMDlet’s gemaakt die gratis zijn en die hier prima gebruikt kunnen worden. Het commando dat uitgevoerd moet worden is het volgende:

 
Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.psbase.ObjectSecurity.AreAccessRulesProtected }

 

Om eventueel naar een ander domein te verbinden kan het volgende commando gebruikt worden:

Connect-QADService -service ''

Om de gevonden accounts ook daadwerkelijk aan te passen kan bovenstaande code ook uitgebreid worden:

Get-QADUser -SizeLimit 0 | Where-Object {$_.DirectoryEntry.psbase.ObjectSecurity.AreAccessRulesProtected } | Set-QADObjectSecurity -UnlockInheritance