15 czerwca 2014

Agregacja interface’ów na Load Masterze i vlany

Jedną z ciekawszych opcji konfiguracyjnych, jakie można skonfigurować na Load Balancerach firmy Kemp jest tzw. bonding, czyli agregacja portów. Load Mastery, znajdujące się obecnie w sprzedaży mają od 4 do 8 portów o przepustowości 1GB, więc z pozoru może się wydawać, że jest wartość wystarczająca do normalnej pracy. Jednak agregacja portów zapewnia nam nie tylko zwiększenie przepustowości, ale i dodatkowy poziom zabezpieczeń w przypadku problemów sieciowych (uszkodzenie portu w przełączniku sieciowym, a nawet całego przełącznika).

Jak to skonfigurować poprawnie? Jest to opisane w dokumentacji https://support.kemptechnologies.com/hc/en-us/articles/202009643-LoadMaster-Bonding-and-Virtual-LAN-VLAN-, ale nie wszystkie punkty są wystarczająco jasne, dlatego chciałem to opisać po swojemu.

Wchodzimy we właściwości interface’u, który ma być pierwszy w danym bondzie (uwaga – interface’y eth0 i eth1 nie mogą być częścią tego samego bondu). Jeżeli chcemy zestawić bond na interface’ach eth1 i eth2 to zaczynamy od interface’u eth1. Klikamy w przycisk “Interface bonding” (jak widać na poniższym rysunku).

bonding1

Pojawia się ekran konfiguracji bondingu, na którym klikamy w przycisk “Create a bonded interface 1”.

bonding2

Po chwili przetwarzania naszego żądania wracamy do głównego menu. Zamiast interface’u eth1 na liście interface’ów powinien pojawić się interface bnd1, z adresem IP, który mieliśmy przypisany wcześniej do interface’u eth1.

bonding3

Po kliknięciu w przycisk “Bonded Devices” dodajemy drugi interface (oczywiście może być ich więcej), klikając w przycisk “Add link”. Dodatkowo możemy zmienić tryb agregacji – albo “Active-Backup”, czyli jeden interface aktywny, drugi w trybie czuwania, albo bardziej uniwersalny “802.3ad”, który zapewnia nam agregację pasma sieciowego i wysoką dostępność portów. Oczywiście musimy po stronie urządzeń sieciowych skonfigurować analogicznie agregację portów 802.3ad, częściej znaną jako LACP (Link Aggregation Control Protocol).

bonding4

Po poprawnym dodaniu portu, na liście interface’ów zobaczymy *, a we właściwościach zbondowanego interface’u w nawiasie pojawi się informacja o dodatkowym interface fizycznym, jak widać na poniższym rysunku.

bonding5

Niezależnie od agregacji portów, możemy potrzebować ze względów bezpieczeństwa opublikować różne usługi w różnych podsieciach. W tym celu na Load Masterze należy włączyć tagowanie i przypisać dodatkowe interface’y powiązane z konkretnymi vlanami. Konfiguruje się je bardzo prosto, wystarczy we właściwościach interface’u wybrać opcję “VLAN Configuration”, a następnie na ekranie konfiguracji vlanu dodać odpowiedni nr vlanu, jak na poniższym rysunku.

bonding6

Pojawi nam się na liście interface’ów dodatkowy interface, powiązany z danym vlanem, na którym należy ustawić odpowiedni adres IP, z puli adresowej danego vlanu. Jak widać na poniższym rysunku, interface “vlan 20” został utworzony na zagregowanym interface bnd1, który był utworzony wcześniej.

bonding7

W przypadku wykorzystania vlanów na wszystkich interface’ach (np. na 4 fizycznych interface’ach konfigurujemy dwa bondy, na których z kolei definiujemy vlany) urządzenia, musimy w opcjach sieciowych Load Mastera wybrać opcję korzystania z alternatywnych bram, jak pokazuje poniższy rysunek.

bonding8

Na interface’ach bondowanych czyścimy ustawienia IP, a na interface vlanu, przez który chcemy ustawić domyślny routing, zaznaczamy pole “Use for Default Gateway”. W tym momencie można będzie na interface ustawić adres IP odpowiedniego routera.

bonding9

Kemp Load Master – niestandardowy ekran logowania

Aktualizacja:

Zauważyłem, że Kemp nieco zaktualizował szablon oraz dokumentację do niego. Zaktaulizowałem linki w artykule.

Od kilku wersji w firmware load balancerów Kempa z opcją ESP (Edge Security Pack) jest dostępna opcja dodawania niestandardowego zestawu graficznego dla logowania typu formularzowego (Form Based Authentication). Niestety nie była ona opisana, co utrudniało wykorzystanie w praktyce takiej opcji. Niedawno jednak pojawił się opis konfiguracji - https://support.kemptechnologies.com/hc/en-us/articles/203126599-Custom-Authentication-Form i przykładowa paczka z zawartością strony webowej formularza - https://kemptechnologies.com/files/assets/tools/SSOImageSet.zip.
W ramach przetestowania możliwości pobrałem paczkę i po rozpakowaniu okazało się, że zawiera folder z dwoma plikami html, plikiem stylów, elementami graficznymi i krótkim javascriptem. Lista plików zawarta jest w pliku manifestu.
image
Zmieniłem nazwę rozpakowanego folderu na IMAGESETNAME_ENG, a następnie skopiowałem cały folder pod inną nazwą (IMAGESETNAME_PL). Następnie w ramach testu przetłumaczyłem napisy, znajdujące się w treści pliku lm_initial.html, zarówno te występujące w oknie formularza, jak i komunikaty błędów, pojawiających się np. po niepoprawnym wpisaniu nazwy użytkownika). Oba foldery ponownie spakowałem 7zipem do formatu tar, i tak utworzoną paczkę mogłem zaimportować na Load Balancer, jak widać na poniższym rysunku.
image
Ważne jest, żeby do pliku tar przenieść nie pojedyncze pliku, czy folder, ale drzewo folderów począwszy od poziomu imagesets:
imagesets//
                //
Jak widać na kolejnym obrazku, oba foldery, spakowane do paczki pojawiły się jako osobne zestawy graficzne, o nazwach identycznych jak nazwy folderów.
image
Teraz tylko wystarczy w ustawieniach wirtualnego serwisu, dla którego mamy włączony ESP z typem uwierzytelnienia FBA wybrać jeden z zaimportowanych zestawów i gotowe.
image
Przy próbie logowania do OWA pojawi się nam zaimportowany przed chwilą zestaw graficzny.
image
Oczywiście można dodać logo swojej firmy, oraz zmienić kolorystykę i inne elementy graficzne, ale to wymaga trochę więcej pracy i zmysłu estetycznego.
Uwaga dla osób, które nie czytają dokumentacji, a chciały przeczytać ten artykuł do końca. Nazwa pliku z logo musi być wyszczególniona w pliku MANIFEST (widocznym na pierwszym obrazku), który zawiera listę wszystkich plików w ramach pakietu. Umieszczając odnośnik do niej w pliku lm_initial.html użyjmy taga .

12 czerwca 2014

Przeglądanie struktury OU w konsoli EAC

Zarządzając pojedynczymi odbiorcami poczty w Exchange 2013 administratorzy przeważnie używają konsoli webowej – Exchange Admin Center. Żeby utworzyć konto użytkownika lub kontakt mailowy w konkretnym OU, a nie w domyślnej lokalizacji, mamy mozliwość wybrać z listy istniejących w lesie/domenie jednostek organizacyjnych.

image

Jednak czasami po kliknięciu w przycisk “Browse” dostaniemy komunikat, że w domenie jest zbyt dużo OU i konsola nie pokaże nam żadnego OU Smutek.

image

O co chodzi? Domyślnie EAC pokazuje tylko 500 OU – większości firm to wystarcza, jednak czasem jest ich znacznie więcej. Niestety, możemy zmienić w przeglądarce tylko ilość pokazywanych użytkowników (również maksymalnie 500), ale od czego są pliki konfiguracyjne? Wystarczy w pliku web.config witryny EAC (domyślna lokalizacja C:\Program Files\Microsoft\Exchange Server\V15\ClientAccess\ecp\) dodać w sekcji app settings klucz:

<add key="GetListDefaultResultSize" value="1000" />

image

I gotowe. Nawet nie trzeba restartować serwisów:

image

Oczywiście, jeżeli mamy wdrożone kilka serwerów z rolą CAS, to taką zmianę musimy zrobić na każdym z serwerów i pamiętać, że instalacja kolejnego CU nadpisze wprowadzone zmiany.