Es begab sich zu einer Zeit, als in einem Server das Raid5 den plötzlichen Kindstod starb und damit auch die Exchange-Datenbank. Da der Fehler im Raid-Controller lag war mit einer baldigen Wiederbelebung des Servers nicht zu rechnen. Nun stellt sich diese Tatsache für den stressgeprüften Admin nicht zwingend als Herausforderung dar, solange es ein aktuelles Backup gibt. Die Betonung liegt auf "aktuell", denn schon bald stellte sich heraus das mit dem Backup auch so irgend etwas nicht stimmte. Aber dazu später.
Nun denn frisch gewagt und frohen Mutes an's Werk gegangen und den betroffenen Domänenkontroller aus dem Systemstatus auf einer anderen Maschine wiederhergestellt. Anschliessend kam die Replikation zwischen DC1 (neu) und DC2 (war schon vorher da) recht schleppend in Gang. Darüber hinaus kämpfte der nicht mehr existierende Exchange-Server tapfer über mehrere Tage um sein Überleben im Active Directory, vermutlich bis die TombStone-Zeit für die verbliebenen Objekte abgelaufen war. Wie schon weiter oben erwähnt, hatte der Exchabge-Server ja leider keine Gelegeheit sich dizipliniert vom AD zu verabschieden.
Ok, das ein Wiederherstellen der Postfächer nur bis zu einem Zeitpunkt möglich war, der vier Monate vor dem eigentlichem Todeszeitpunkt lag, damit kann ich leben. Man muss ja nun wirklich nicht jeden Mist oder besser jede Mail aufheben. Das Postfach sieht auch gleich viel besser aus, wenn man mal mit 0 Nachrichten beginnt. Vor allem das Suchen nach bestimmten Informationen in Mails gestaltet sich sehr übersichlich und die Suchgeschwindigkeit steigt enorm.
ABER mein Lieblings(PDA)spielzeug wollte einfach nicht mehr ordentlich synchronisieren und dabei ist doch Push-Mail per Exchange 2003 mit SP2 so eine feine Sache.... Und es lief ja vorher über ein halbes Jahr sehr zuverlässig. Es ist schon erstaunlich, wie schnell man sich an solche Sachen gewöhnt und wie groß dann der Leidensdruck wird wenn es nicht mehr geht.
Schon mit der testweisen Einführung des Push-Mail-Dienstes hatte ich mir vorgenommen doch mal aufzuschreiben wie dass geht. Damit im Falle eines Falles ....
Nachdem ich nun wieder ein paar Stunden nach den Informationen gesucht habe, dokumentiere ich es jetzt dochmal.
Das allgemeine Vorgehen ist hier ausführlich beschrieben. Wie aber vielleicht aus dem oben geschriebenen deutlich wird, ist eine IT-Infrastruktur nach Microsofts Vorstellung nicht so ganz Stand der Dinge. Wie kann ich also gegebene Einschränkungen möglichst schmerzfrei umgehen?
Erste Hürde ist da die zertifikatsbasierende Authentifizierung mit einer Unternehmens-Root-CA und das Thema vertrauenswürdige Stammzertifizierungsstellen auf dem PDA.
Neben der Konfiguration von Frontend- und Backend-Server bleibt da noch das Importieren eines Stamm- und eines Benutzerzertifikates.
Die Lösung ist dazu hier teilweise beschrieben. Und hier das ganze nochmal mit etwas Grafik, aber bitte aufmerksam die Kommentare dazu lesen! Der Zertifikatsschlüssel in <parm name="EncodedCertificate" mag keine Zeilenumbrüche!
Wenn ich statt <characteristic type="ROOT"> nun <characteristic type="My"> verwende landet das Zertifikat im Speicher eigene Zertifikate.
<wap-provisioningdoc>
<characteristic type="CertificateStore">
<characteristic type="ROOT" >
<characteristic type="Fingerprint auch als Hashwert bekannt">
<parm name="EncodedCertificate" value="
Hier kommt das eigentliche Zertifikat aus der .cer-Datei rein
"/>
</characteristic>
</characteristic>
</characteristic>
</wap-provisioningdoc>
Nun das sieht nach ziemlich viel Handarbeit aus, oder? Richtig es ist deswegen auch besser zur automatischen Vorbreitung von PDA's im Firmenumfeld geeignet.
Für den geziehlten Einzeleinsatz gibt es ein kleines Tool (ca. 120 kB) für den PDA. Mit diesem Tool lässt sich das Verfahren stark abkürzen, man musss nur auf das richtige Exportformat achten.
Wenn man beim Export des Benutzerzertifikates darauf achtet, die Zertifikatskette gleich mit zu exportieren, genügt ein Import und alle notwendigen Zertifikate sind an Ort und Stelle.
Dies setzt allerdings ein paar Dinge voraus. Erstens müssen alle Zertifikaten für den vorgesehenen Zweck ausgestellt worden sein und zweitens gibt es Mobile-Provider, die den Zugriff auf die Registry verhindern (wollen). Da aber die Umgehung dieses "Schutzes" nach der letzten STBG-"Reform" eventuell schon strafbar ist, verzichte ich hier bewust auf weitere Erläuterungen.
Mit einer Suchmaschine eigener Wahl sollte es allerdings nicht so schwer sein, diese Informationen auf Webseiten in anderen demokratischen Ländern zu finden ;-).
