Dukel

Nachdem hier noch keine Antwort kam habe ich einen Crosspost unter https://www.linuxforen.de/forums/showthread.php?283327-haproxy-http-2&p=1863437#post1863437 erstellt.

Wenn es MS365 wäre würde man den Hostnamen nicht ausfüllen müssen. Der Anbieter möchte wohl einen beliebigen SMTP Server haben.

OpenGL ist bei deinem Grafiktreiber dabei. Da es keine Server HW ist kann es sein, dass es mit Windows Server 2022 schwierigkeiten gibt.

Das wäre die die Antwort auf die Frage von mir nach dem eigendlichen Problem. Wenn Ihr NTLM abschalten und Kerberos nutzen wollt, dann sollet Ihr das auch prüfen, wo welche Auth. genutzt wird.

Das wollte ich eigendlich auch schreiben. Danke.

https://www.faq-o-matic.net/2015/08/26/wofuer-braucht-es-eigentlich-diesen-spn/ Es gibt keine "Probleme" mit der Kerberos Authentifizierung, es gibt einfach keine Kerberos Authentifizierung, wenn der SPN (mit der richtigen Service Class) fehlt. Wenn die Applikation doch funktioniert, dann wird eine andere Authentizierung genutzt.

Was ist eigendlich dein Problem? Wieso brauchst du einen SPN? Die Service Class ist beliebig, wird aber unter Umständen nicht ausgewertet. Ein Websever erwartet HTTP, ein SMB Dienst erwartrt CIFS, ein MSSQL Server erwartet MSSQLSvc usw. Bestimmte Services (HOST, RestrictedKrbHost, Termsrv, WSMAN) werden automatisch gesetzt! Du brauchst manuell einen SPN nur, wenn es nicht automatisch gesetzt wird oder du einen Alias (Cluster) nutzt.

HOST wird normalerweise automatisch vergeben. Das braucht man dann nur wenn man einen Alias vergibt. Für Webdieste ist es "HTTP/". MSSQL ist auch so ein Kandidat für einen SPN.

Hi, ich habe einen Exchange 2016 Server, welchen ich via haproxy veröffentlicht habe. fe: bind *:443 ssl crt /etc/pki/....pem be: server exchange1 x.x.x.z:443 check ssl inter 15s verify none Dies funktioniert prinzipell einmal. Der Exchange ist bei einem direkten Zugriff via http/2 erreichbar. Bei einem Zugriff über den haproxy ist er nur via http/1.1 erreichbar. Andere Dienste laufen mit http/2 über den haproxy. Wenn ich das Backend im haproxy auf http/2 ändere: server exchange1 x.x.x.z:443 check ssl inter 15s verify none alpn h2,http/1.1 wird das Backend als Down angezeigt und es gibt folgende Fehler im Log: Health check for server be_ex2016_owa/exchange1 failed, reason: Layer7 invalid response, check duration: 8ms, status: 0/2 DOWN. Health check for server be_ex2016_owa/exchange1 failed, reason: Socket error, info: "Connection reset by peer", check duration: 2ms, status: 0/2 DOWN. Wenn ich das Fronend im haproxy auf http/2 ändere: bind *:443 ssl crt /etc/pki/....pem alpn h2,http/1.1 bekomme ich im Browser folgenden Fehler: 503 Service Unavailable No server is available to handle this request. Wie bekomme ich http/2 mit haproxy zum laufen?

Wie schon geschrieben brauchst du ein Sub-CA-Zertifikat. Außerdem würde ich das Zertifikat von der Root CA unterschreiben lassen und nicht von der Unternehmens CA.

Ich hatte SSL Inspection bisher immer so verstanden, dass der Proxy eine (Sub-)CA ist und dynamisch SSL Zertifikate ausstellt.

Du wirst ein Zertifikat für eine untergeordnete CA brauchen. Was möchtest du für SSL Inspektion in das Zertifikat schreiben? Alle Domänen der Welt? Wo möchtest du dieses Zertifikat unterschreiben lassen? In der Root CA oder Sub CA?

Das Device ist nicht dein Jump Host sondern das Endgerät (PC / Notebook / whatever) des Mitarbeiter X. Wenn man einen RDS nutzen möchte und die Projektsoftware nicht auf jedem Rechner installieren möchte, muss man diesen eben richtig lizenzieren.

Achtung! Bei den Geräten (mit der Device Cal) wird das Endgerät, nicht der Jump Host gemeint. Daher kann man sich diesesn Jump Host auch sparen. Was sind das für wechselnde Usergruppen? Wieso welchsen diese schneller als 90 Tage?

In den Cluster sollte der Server auzunehmen sein, Da dürfte es kein Problem sein, ob es 1 oder 2 CPU sind. Was das Problem sein kann sind die fehlenden Ressourcen. Wenn alle VM's von einem Host mit zwei CPU auf den Host mit einer CPU migriert werden fehlen halt die hälfte der CPU Ressourcen. Wenn das Sizing passt und das kein Thema ist, sollte alles ok sein.