EFS auf einem Cluster?

Kürzlich wurde ich gefragt, ob man denn EFS (Encrypting File System auf NTFS Datenträgern) auf einem Windows Cluster nutzen kann – Klar, seit Windows Server 2003 funktioniert das tadellos:

» Storage Features in Windows Server 2003 and Clustering

Damit die EFS Verschlüsselung klappt muss lediglich darauf geachtet werden, daß beim virtuellen Server Kerberos aktiviert ist, dazu setzt man in den Eigenschaften der Ressource des Netzwerknamens den Haken „Kerberos-Authentifizierung aktivieren“. Bevor man diesen Schritt unternimmt, sollten einige caveats beachtet werden:

» Applying Kerberos Authentication in a Clustered Environment

Einmal aktiviert, sollte man die Kerberos Authentifizierung nicht mehr leichtfertig deaktivieren…

Stay tuned,
N.Own

IPSec auf einem Windows Server 2003 Cluster?

IPSec war von Microsoft mit Erscheinen von Windows Server 2003 ursprünglich als not recomended für den Clusterbetrieb eingestuft:

» TechNet: IPSec in Cluster Networking
(Stand: January 01, 2003)

IPSec was not designed for failover situations and we recommend that you do NOT use IPSec for applications in a Server cluster.

Grund für diese Empfehlung ist die Art und Weise, wie die Sicherheitszuordnungen (SAs) des IPSec Internet Key Exchange (IKE) gespeichert werden – nämlich in einer lokalen und damit Nodes-pezifischen Datenbank.

Bei einem Failover müssen daher alle IPSec Verbindungen neu initiiert werden, um eine neue IKE SA auszuhandeln. Dieser Prozess dauert bei einem Windows 2000 Server Cluster per default 6 Minuten: 5 Minuten für den IPSec Idle Timeout, 1 Minute für das Re-initiieren durch den IKE (siehe » KB306677).
Das erhöht die Failoverzeit beträchtlich und senkt die potentielle Uptime…

Auf einem Windows Server 2003 Cluster kann diese Zeit per Registry immerhin auf 2 Minuten gedrückt werden, daher hat sich die ursprüngliche Empfehlung von Microsoft inzwischen wieder etwas relativiert.
Im Falle von Exchange 2003 ist ein Cluster Setup im Zusammenhang mit IPSec auch supported:

» How to Configure IPSec on an Exchange … Cluster

Mit der Hilfe des Registry-Keys NLBSFlags=1 kann in einer Multi-Tier Umgebung mit zB. NLB Frontendserver die IPSec idle time von 5 auf eine Minute gesenkt werden. Zusammen mit der IKE Re-initiierung (+1 Minute) kommt man dann auf die erwähnten 2 Minuten. Der Key ist in folgendem Zweig zu finden:
HKLM\SYSTEM\CurrentControlSet\Services
    \PolicyAgentOakley

Alles in allem muss abgewägt werden, ob man mit der zusätzlichen Verzögerung bei einem Failover leben kann bzw. ob dies die jeweiligen SLAs erlauben.

Für Windows Server 2008 Cluster hat sich das geändert, in Verbindung mit Windows Vista ist IPSec nicht mehr abhängig von Timeouts und kann bei einem Failover sofort eine neue SA aushandeln.

Stay tuned,
N.Own

Windows Server 2003 Cluster ohne NetBIOS?

Im Prinzip benötigt ein reiner Windows Server 2003 Cluster keine NetBIOS Funktionalität mehr, allerdings gängige Applikationen, die ein Cluster bereitstellt – daher ist die Frage mit einem klaren „Jein“ zu beantworten.
Technisch ist es machbar, mit gewissen Einschränkungen:

» TechNet: NetBIOS in Cluster Networking

Zudem kann folgender Fehler bei der Namensauflösung vorkommen:

\\<FQDN>
You were not connected because a duplicate name exists on the network. Go to System in Control Panel to change the computer name and try again.

Dieser kann über den Registry Eintrag DisableStrictNameChecking gelöst werden, mehr dazu unter folgendem KB Artikel (KB914056):
» You may receive error messages if you disable NetBIOS…

Auch wenn es technisch machbar ist für den reinen Cluster Betrieb, so kommt doch nicht jede Applikation damit zurecht – so zum Beispiel Exchange:
» Exchange Server 2003 require NetBIOS name resolution…

Zu dem Thema NetBIOS und speziell Exchange hat MVP Kollege Russ Kaufmann einen Blog Artikel verfasst:
» Russ Kaufmann: WINS is a Friend of Mine

Fazit: In einem LAN, in dem man Applikationen wie Exchange 2003 sowie Windows XP clients inkl. third party software etc. findet, sollte man lieber ein, zwei WINS Server bereithalten. Diese schränken die unangenehmen NetBIOS Broadcasts ein und stellen sicher, daß auch legacy Apps noch laufen.

Wer sich im Detail für die Namensauflösung und deren Wege in einem LAN interessiert, findet in diesem TechNet Artikel detaillierte Informationen nebst passender Schaubilder zum Thema Name Resolution aus dem Windows XP Professional Resource Kit:
» Configuring IP Addressing and Name Resolution

Stay tuned,
N.Own

Hyper-V goes RTM

Windows Server Hyper-V ist seit kurzem als RTM Version verfügbar (Build 6.0.6001.18016) und damit offiziell gelaunched:

» http://www.microsoft.com/hyper-v

Interessanterweise läuft die Microsoft Website bereits seit Anfang Juni komplett unter Hyper-V – natürlich auf einem Windows Server Cluster 😉
Interessante Daten und Zahlen sowie Uptime charts gibt es im Windows Server Division Weblog:
» Microsoft.com Powered by Hyper-V

Zum Download: » Holt Euch das update zur RTM

Stay tuned,
N.Own

W2K3 SP2: Resource Monitor may crash…

Gestern erreichte mich eine Mail mit der Information, daß der Resource Monitor bei einem Windows Server 2003 Cluster mit SP2 sporadisch abstürzen könnte. Der Crash tritt nur mit installiertem SP2 oder Hotfix 921181 (File Share Witness) auf.

Es gibt für diesen Fall einen Hotfix:
» http://support.microsoft.com/kb/948701/en-us
Der Hotfix kann direkt per Weblink angefordert werden:
» http://support.microsoft.com/hotfix/KBHotfix…

Eine Suche nach der Crashdump Datei des Resource Monitor (resrcmon.dmp) im %SYSTEMROOT%\Cluster gibt Aufschluss über einen vorhergehenden Absturz.
Der passende Eintrag im cluster.log ist in o.g. KB Artikel aufgeführt. Der gefixte resrcmon.exe trägt die Version 5.2.3790.4250

Stay tuned,
N.Own