Um einen meiner Rechner gegen mangelhaft ausgebildete ITler zu schützen habe ich diesen mit einem ganz besonderen Schutz auf Layer 8 Basis versehen:

Unglaublich, aber es hilft wirklich! Man glaubt garnicht wieviele ITler noch immer im “zwei Finger Suchsystem” arbeiten…

Heute habe ich auf ServerHowTo.de eine neue Anleitung veröffentlicht welche die Installation eines BlackBerry Enterprise Servers in einer Exchange 2007 Umgebung beschreibt. Finden können Sie die Anleitung unter:

http://www.ServerHowTo.de/(…)

Ergänzend zu dem Artikel noch einige Hinweise zum Thema Sicherheit.

Da der BlackBerry Server eine Verbindung ins Internet aufbaut um dort mit den Servern von RIM die Mails auszutauschen, gehört der BES bzw. besser der BlackBerry Router in eine DMZ die auf der einen Seite die Kommunikation mit den RIM Servern erlaubt und auf der anderen Seite die Verbindung zum Exchange Server ermöglicht.

Der Account (BESAdmin) unter dem i. d. R. der BlackBerry Enterprise Server installiert wird besitzt sehr weitgehende Rechte auf die Mailboxen der BlackBerry Benutzer. Es sollte daher sicher gestellt werden, dass der Account nur die nötigsten Rechte erhält. Das setzen des „senden als“ Recht für alle Benutzer sollte daher nur dann gewählt werden, wenn tatsächlich alle oder nahezu alle Benutzer in der Exchange Umgebung einen BlackBerry benutzen. Des Weiteren sollte das Passwort des BESAdmin in einem Notuserverfahren verwaltet werden um das unbemerkte mitlesen von fremden eMails durch Administratoren über diesen Account verhindern zu können.

Die BlackBerry Endgeräte bieten die Möglichkeit die gespeicherten Inhalte zu verschlüsseln. Diese Option sollte insbesondere dann aktiviert werden, wenn vertrauliche Informationen (was heute fast überall der Fall ist) über das Medium eMail ausgetauscht werden. Zusätzlich bietet der BlackBerry Enterprise Server die Möglichkeit ein gestohlenes oder verlorenes zu „putzen“ und zu deaktivieren. Gestohlene BlackBerry Endgeräte sind daher recht wertlos für einen Dieb.

Der BES verfügt über die Möglichkeit Richtlinien an die Clients zu verteilen. Die vorhandenen Einstellungen sollten entsprechend der Sicherheitsbedürfnisse des Unternehmens angepasst werden. Dinge wie das erzwingen von Anmeldepassworten sollten dabei obligatorisch sein und von den Anwendern auch nicht geändert werden können. Nach einem Update lohnt es sich i. d. R. immer einen Blick in die Richtlinien zu werfen – diese werden dabei regelmäßig erweitert.

Beim Patchen der Exchange und BES Server ist Vorsicht geboten. Nicht selten hört man, dass nach einem Patch des Exchange Servers die “senden als” Rechte des BESAdmin verschwunden sind. Wenn Sie also nach einem Update von Ihren Benutzern hören, dass diese zwar Mails empfangen aber nicht senden können sollten Sie diese Berechtigungen zuerst prüfen. Des Weiteren ist der BES sehr empfindlich, was seine API zum Exchange Server angeht. Ein Update des Exchange Servers macht daher u. U. auch ein entsprechendes Update des BES notwendig!

Hi,

*aufdenbodenstampf* gestern Abend habe ich meinem Testlab bzw. privaten Netzwerk quasi den letzten Schliff gegeben und wäre damit bereit gewesen richtig schön mit der neuen (virtuellen) Infrastruktur zu arbeiten. Dann passierte heute folgendes:

1. Johannes kommt nach Hause und hört schon vor der Wohnungstür ein piepen.
2. Ah! Gut, dass ich ne USV hab – da hats wohl mal wieder die Sicherung raus geworfen. Also schnell aufschließen bevor sich die ganzen Maschinen runter fahren…
3. Hmm die Sicherung ist noch OK!?
4. Schnell zu den Servern um zu sehen was da los ist. Das piepen kommt eindeutig nicht von der USV sondern von meinem neuen Host für meine virtuellen Maschinen
5. Login an der Konsole geht noch *puuh* ABER eines der Volumes steht nicht mehr zur Verfügung *arg* das Raid 0 -> war ja klar…
6. Also reboot und mal sehen was mit das RAID Bios mit dem piepen sagen möchte.
7. Stille – kaum ist die Maschine im Bios ist Ruhe und laut der Ãœbersicht ist auch alles in bester Ordnung.
8. Boot in das Host OS – tatsächlich mein Raid 0 ist wieder da, als wäre nichts gewesen. Einzig die Einträge im Logfile zeugen noch von dem Radau, den meine armen Nachbarn schon seit 14:24 Uhr ertragen mußten
9. Schnell Platz auf den anderen Volumes geschaffen um die Daten zu sichern (gar nicht so einfach bei fast 1 TB…)
10. Nach ca. 15. min sichern wieder piepen und natürlich fehlt wieder jede Spur von meinem Raid 0
11. … was ein Mal geht funktioniert auch ein zweites Mal also reboot, dass BIOS behauptet wieder, dass alles OK ist und tata es sind auch wieder alle Daten da.
12. Hastiges sichern der wichtigsten VM’s (DC, Exchange, BES) will ja mein Backup nicht gleich testen müssen…
13. … eine Stunde und einge reboots später sind dann die wichtigen Daten auch wirklich gesichert -> noch mal Glück gehabt…

… Das wirklich ärgerliche an der Sache ist, dass der ursprüngliche Plan war, ein RAID 5 mit einem anderen Plattensatz zu erstellen. Da ist mir aber schon bei der Installation eine der HD’s abgeraucht – also hab ich kurzerhand die Plattenserie (wenn eine kaputt geht weiß man ja nie) genommen und als Raid 1 für das OS genommen. Da mir dann quasi eine Platte fehlte und ich sowieso mehr Power haben wollte gabs eben noch ein RAID 0 für die VM’s. Da mir ein RAID 0 auf Dauer zu heiß ist hab ich auch schon die zwei weiteren Platten bestellt um daraus ein RAID 0+1 zu machen – nächste Woche wäre bzw. ist es soweit.

Ich sollte vielleicht noch anmerken, dass keine der Platten länger als 1 Monat im Betrieb war und alle Platten von den Herstellern für den Einsatz im RAID + im 24/7 Betrieb expliziet freigegeben sind!

Mein Fazit aus dieser Aktion: Never ever SATA Platten im 24/7 Betrieb – auch nicht privat…

Mit Windwos 2008 Server wird Microsoft eine leider nicht standardisierte VPN Einwahl über SSL anbieten. Dies ermöglicht das Verbinden mit dem eigenen Netzwerk über nahezu jeden HotSpot, da nur die Kommunikation über Port 443 (SSL) benötigt wird. Weitere Informationen findet man im RAS Blog auf den Technet Seiten (englisch):

configuring-sstp-in-a-reverse-proxy-scenario
configuring-the-vpn-server-to-accept-sstp-connections
configuration-of-sstp-listener-and-verification
sstp-faq-part-3-server-specific