hochwald.net About DevOps, PowerShell and more

Heute hat mich ein guter bekannter ganz aufgelöst angerufen: Warum zeigt unser neuer Load Balancer alls AD FS Knoten down an?

Die Antwort ist so einfach wie kompliziert: AD FS (Active Directory Federation Services) antwortet nicht wie die Load Balancer es erwarten, deswegen markieren diese alle Knoten als Down. Wenn man sich den Traffic genauer ansieht (Zum Beispiel mit WireShark) sieht man, dass die AD FS Server einen SSL Protokoll Error zurückgeben. Das ganze hat damit zu tun, wie Microsoft das ganze SSL hHandling für SNI (Server Name Indication) in AD FS implementiert hat. Das Microsoft WAP (Web Application Proxy) kommt im Gegensatz zu den meisten Load Balancen damit dann auch zurecht.

Das folgende in einer Shell (elevated, also als Administrator gestartet) eingeben:
netsh
http add sslcert ipport=0.0.0.0:443 certhash=*** appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY
http add sslcert ipport=0.0.0.0:49443 certhash=*** appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY

Das ** muss noch gegen eueren Zertifikats Hash getauscht werden und die APPID sollte zur Sicherheit auch noch geprüft werden. Das geht ganz einfach wie folgt: netsh http show sslcert

Die Instanz auf Port 443 ist das normale AD FS (also auch das was der Benutzer ab und an zu sehen bekommt), aus Port 49443 wir die Device Registrierung behandelt. Wenn ihr also keine Device Registrierung über AD FS nutzen wollt, dann könnt ihr euch das sparen, es schadet aber auch nicht!

Wichtig ist, dass die Befehle oben auf allen Knoten einer AD FS Farm ausgeführt werden müssen! Diese Information wird nicht zwischen den Knoten einer Farm geteilt.

Der Load Balancer sollte innerhalb kürzester Zeit (also nach dem nächsten Probe) die Knoten als Verfügbar anzeigen und Ihnen auch Traffic zukommen lasen.

Ich habe die Befehle oben mit NGINX als Reverse Proxy getestet (Aber wirklich nur getestet). Ich nutze es seit einiger Zeit mit HAProxy und bin damit sehr zufrieden (Und es erspart die WAP Server).
Einige Kunden haben das genauso mit KEMP und F5 als Load Balancers gemacht und keinerlei Probleme damit.
Read More

Seit letzter Woche habe ich gewisse Probleme die Deutsche Version richtig zum laufen zu bekommen.

Ich bin mir noch nicht 100% sicher an was es wirklich liegt. Ich habe da einen Verdacht dem ich in den nächsten Tagen noch mal nachgehen werde.

Leider wird bis dahin einiges in Englischer Sprache auftauchen.

Ich wollte eine einfache Möglichkeit eine per Get-Credential in eine Variable gespeichertes PSCredential Objekt.
Es gibt Unmengen an Funktionen die das könne. Allerdings wird der BadLogonCount bei den meisten direkt um 2 erhöht. Das liegt daran, dass die meisten einen Bind machen und dann einen Befehl im Context absetzten. Das wollte ich aber nicht!
Read More

/ 2016-12-21 / Kommentare deaktiviert für Europäischer Gerichtshof kippt anlasslose Vorratsdatenspeicherung

Europäischer Gerichtshof kippt anlasslose Vorratsdatenspeicherung

Der Europäische Gerichtshof (EuGH) hat entschieden, dass eine allgemeine und unterschiedslose Vorratsspeicherung von Verkehrs- und Standortdaten nicht mit dem Recht der Europäischen Union vereinbar ist!
Read More

thank you
/ 2016-12-02 / Kommentare deaktiviert für Danke!!!

Danke!!!

Vielen Dank für die vielen guten Wünsche und netten Worte, auf allen möglichen Kanälen und sozialen Medien!

Ich danke euch!!!

Das Geburtstagskind 🙂