Schlaue Storage- Konzepte Speicherplatz Lokal Und in Der Cloud Schaffen

ISSN 1614-2888 Österreich € 14,50 Speicher für hetero- Domänencontroller Bedrock als Luxemburg € 14,50 12 I 18 gene Umgebungen in Azure AD verteilte Datenbank € 12,60 Schweiz CHF 20,50

Datenspeicherung für KMUs: Schlaue Storage- Konzepte Speicherplatz lokal und in der Cloud schaffen

Die freie Wahl Open-Source-SAN im Vergleich

Neue Datenautobahnen SAN-Umgebungen mit iSCSI aufbauen

Ablage Cloud Azure Files im Unternehmen einsetzen

Fähiger Datenjongleur NAS-System QNAP TS-453Be im Test www.it-administrator.de STELLENANZEIGE INTERLABOR Interlabor ist ein international erfolgreiches und unabhängiges Schweizer Dienstleistungslabor. Mit rund 80 Mitarbeitenden BELP AG bieten wir vielfältige chemische, biologische und gentechnische Analysen in den Bereichen Pharma, Medizinalprodukte und Le- bensmitteln an. Neben Routineprüfungen liegt die Stärke von Interlabor in der individuellen Entwicklung und Validierung von Analysenverfahren.

Wir suchen für eine langfristige Nachfolgeregelung unseres CIO per sofort oder nach Vereinbarung eine(n) IT Administrator/in (100%)

Wir bieten Ihnen eine sehr abwechslungsreiche Tätigkeit mit spannenden Projekten in eigener Verantwortung und eine umfassende Einarbeitung durch den CIO.

Ihr Aufgabenbereich: - Ausbau und Pflege der bestehenden IT Infrastruktur: Hardware ebenso wie Software - Neue IT Projekte in Zusammenarbeit mit der Geschäftsleitung und den Mitarbeitern - Unterstützung der Mitarbeiter bei einfachen und komplexen Fragestellungen

Ihr Profil: - Abgeschlossene Ausbildung als Informatiker, Naturwissenschaftler oder Ingenieur mit IT Flair - Praktische Erfahrung als Administrator

Wir sparen uns an dieser Stelle die üblichen Aufzählungen von aktuellen Techniken und Produkten wie Windows und Linux, Mail- und Datenbankserver, Virtualisierung, Script- und Office Programmierung, Storage & Backup oder das riesige Feld der Security als notwendige Voraussetzung. Nobody is perfect. Die Technik ändert sich rasch; täglich gibt es etwas neues zu lernen.

Viel wichtiger sind für uns eine Faszination für die EDV, eine lebenslange Bereitschaft zum Lernen und ein dienstleis- tungsorientiertes Denken: "Failure is not an Option!".

Der Arbeitsstandort ist in der Schweiz im Kanton Bern: Die Schweiz bietet eine hohe Lebensqualität und ein exzellen- tes Gesundheitswesen. Unser Standort ist weniger als eine halbe Stunde von den schönsten Skigebieten oder Seen entfernt. Und vom Flugplatz Belp erreichen sie europäische Städte in einer Stunde.

Haben wir Ihr Interesse geweckt? Dann senden Sie uns doch bitte Ihre vollständige Bewerbung mit Lebenslauf, Motivationsschreiben und Zeugnissen an unsere Adresse oder per Mail als PDF Attachment. Wir freuen uns auf Sie! Bewerbungen über Personalvermittler werden allerdings nicht akzeptiert.

Unser Firmenstandort im Herzen der Schweiz:

Interlabor Belp AG Aemmenmattstrasse 16 3123 Belp, Schweiz

Herr Dr. Mandelatz Tel. +41 31 818 77 77

[email protected] www.interlabor.ch Bausteinhölle

In unserem Haushalt gibt es ein Storage-Problem. Das Problem hat einen Na- men: Lego. Die Lage verschlimmert sich von Jahr zu Jahr. Zum einen werden die Kinder immer älter, wünschen sich immer mehr der bunten Bausteinsets, der Lego-Berg wächst und wächst. Zum anderen haben sich die Kunststoff- teilchen in den letzten Jahrzehnten stark verändert: In meiner Kindheit war die Lage noch übersichtlich: Es gab Vierer- und Sechserblöcke, Platten, flache Leisten. Als Highlight galten schon Dachschrä- gen. Inzwischen hat sich das Universum erhältlicher Klein- teile ins Unendliche ausgedehnt. Für Ninjago gibt es durch- sichtige Falltüren, Äxte in allen erdenklichen Größen sowie rote Todesschlangen. Für Creator finden sich dehnbare Schläuche und Techniker-Schraubenschlüssel, für die Power- puff Girls Skateboards und Molekül-kleine Muffins.

Meine Partnerin verdreht mittlerweile die Augen, wenn sich eines der Kinder etwas Neues von Lego wünscht. Denn obwohl uns der Platz ausgeht, müssen wir ständig neuen Stauraum schaffen. Noch fataler aber ist, dass die verschiedenen Sets, einmal auseinandergebaut, in diversen Kisten vor sich hindüm- peln. Unstrukturiertes Material at its best, das im schlimmsten Fall Platz verbraucht, obwohl es nur selten oder gar nicht benutzt wird. Und wenn die Kinderhand dann einmal einen Baustein ganz dringend sucht, ist das Plastikteil natürlich genau in diesem Moment wie vom Erdboden (oder vom Staubsauger) verschluckt.

Die Problematik kommt Ihnen auch als Admin im Unternehmen irgendwie bekannt vor? Kein Wunder. Nahezu unbegrenztes Datenwachstum, eine Fülle unstrukturierter Daten und die Herausforderung, alten Schrott von wichtigen Informationen zu trennen und Letztere schnell bereitzustellen, und das alles mit den begrenzten Mitteln, die KMUs in der Regel zur Verfügung stehen – das ist der Stoff, aus dem des Speicherverantwortlichen Albträume sind. Um hier für Durchblick zu sorgen, haben wir uns für diese Ausgabe angeschaut, was ein kleines NAS leisten kann, wie Sie mit wenig Geld ein SAN bereitstellen, was eigentlich der Unterschied zwischen hyperkonvergenten und konvergenten Systemen ist und wie Sie Google Cloud Storage für Backups nutzen.

Das Storage-Problem daheim konnten wir bisher leider trotzdem nicht lösen. Denn wie wir die Lego-Massen in die Cloud bringen, daran tüfteln wir noch. Doch es gibt Hoffnung: Unser Großer wünscht sich zu Weihnachten ein Spiel für die Nintendo-Switch-Konsole. Und das findet auf einer winzigen Speicher- karte Platz.

Ein frohes Fest wünscht

Lars Nitsch

Redakteur und Textchef EDITORIAL

www.it-administrator.de Dezember 2018 3 Inhalt 12/2018 Datenspeicherung für KMUs

Veeam-Backup für Linux Veeam sichert nicht 22 nur virtualisierte Sys- teme, sondern zunehmend auch physische Rechner oder Maschi- nen in der Cloud. Mit der Neu- auflage des Veeam Agent for Li- nux verbindet der Anbieter traditionelle Sicherungsansätze mit modernen Anforderungen. Das gelang ganz gut, wie wir im Test feststellen konnten.

AKTUELL Speicher für heterogene 06 News 12 Interview: »Dateisystem auch für Object Storage« Umgebungen 14 IT-Administrator Trainings und Intensiv-Seminare

Bei den wenigsten Unternehmen kommt der Storage en bloc von der TESTS 82 Stange. Gewachsene, heterogene Infrastrukturen stellen vielmehr die 16 QNAP TS-453Be Regel dar. Zudem hat die Nutzung von Speicher in der Cloud neue Regeln und Dass ein Netzwerkspeicher mehr kann als nur Daten speichern, haben wir in unserem Herausforderungen mit sich gebracht, etwa die Bevorzugung des Objektspeichers. Test des QNAP TS-453Be herausgefunden. Gut, dass es immer wieder innovative Newcomer gibt, die sich etwas Neues 22 Veeam-Backup für Linux zum Lösen gängiger Storage-Probleme ausdenken. Mit der Neuauflage des Veeam Agent for Linux verbindet der Anbieter auf gelungene Art traditionelle Sicherungsansätze mit modernen Anforderungen. 26 Virtual Instruments Virtual Wisdom und Workload Wisdom Zeigen sich in einer Virtualisierungsumgebung auf mehreren Systemen Performance- Azure Files im Unter- probleme, gestaltet sich die Ursachenforschung oft schwierig. Virtual Instruments überzeugt mit zwei gemeinsam agierenden Messwerkzeugen. nehmen einsetzen 31 Nakivo Backup & Replication 8.0 Nakivo unterstützt VMware und Hyper-V, arbeitet agentenlos und bietet Instant Reco- In Azure sind seit einigen Monaten die Speicher- very. Wir wollten genauer wissen, was diese Backupsoftware, die auf dem US-Markt 93 optionen um eine Funktion reicher: Azure Files. schon einige Jahre präsent ist, leistet. Dieser Dienst unterstützt Einsatzszenarien, in denen klassische SMB-Dateifreigaben zugänglich gemacht PRAXIS werden sollen. In der Cloud gelagert sind diese 36 Domänencontroller in Azure betreiben (1) Daten dann per verbundenem Lauf- Im ersten Teil dieser zweiteiligen Workshopserie zeigen wir, was zu beachten ist, werk nutzbar und Dateiope- wenn ein DC aus dem heimischen Active Directory nach Azure wandern soll, und richten die notwendigen Netzwerkkomponenten ein. rationen lassen sich wie gewohnt vom Dateiexplorer 40 Citrix Workspace-App oder Finder ausführen. Wir Citrix Receiver erhält einen neuen Namen beziehungsweise wird durch ein neues Pro- dukt ersetzt: die Citrix Workspace-App. Diese hat einige Erweiterungen im Gepäck. zeigen mögliche Einsatzge- biete von Azure Files und 44 Registry für Docker-Images Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es deren Einrichtung. als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository.

4 Dezember 2018 www.it-administrator.de 48 Secrets in Docker Swarm Bei Containern bietet Docker im Swarm-Mode mit den Secrets einen Mechanismus für die Verwaltung von Credentials. Mein neues Cisco IP Phone beherrsche ich 50 Bedrock als verteilte Datenbank Mit einem kurzen Kommandozeilenbefehl startet dank Bedrock eine verteilte, hoch- perfekt – dank ExperTeach UC-trainer! verfügbare Datenbank, die mit schwankenden Internetverbindungen zurechtkommt und zu MySQL kompatibel ist. 54 Data-Center-Wartung planen und organisieren Die passenden Wartungsverträge für Rechenzentren zu finden, gestaltet sich komplex – alleine schon aufgrund der unterschiedlichen Hersteller und ihrer verschiedenen Service Level Agreements. 58 Open-Source-Tipp Der Open-Source-Tipp in diesem Monat zeigt, wie die systemd-eigenen Tools dabei helfen können, das Leben eines Administrators stressfreier zu gestalten. 60 Security-Tipp Unser Security-Tipp zeigt, wie Sie fehlende Funktionalität in Wireshark über Plug-ins nachrüsten können, um noch mehr Informationen über Ihr Netzwerk zu sammeln. 62 Tipps, Tricks & Tools ITK Training & Consulting SCHWERPUNKT 66 Freie SAN-Software im Vergleich Wir haben sechs freie SAN-Lösungen unter die Lupe genommen, die unterschiedlicher nicht sein könnten – und sich doch in einigen Punkten verblüffend ähneln. 74 Samba-Troubleshooting (1) Samba bringt bei Installation und Betrieb einige Tücken mit, deren Umschiffung wir in unserem zweiteiligen Workshop beschreiben. 78 Storage-Management mit Stratis Red Hat will das Storage Management mit einem Projekt namens Stratis revolutionieren, das auf bewährte Technologie setzt, sich nach außen hin aber modern gibt. 82 Neue Speichertechnologien für heterogene Umgebungen Bei den wenigsten Unternehmen kommt der Storage en bloc von der Stange. Gut, dass es immer wieder innovative Newcomer gibt, die sich etwas Neues zum Lösen gängiger Storage-Probleme ausdenken. 86 Konvergierte versus hyperkonvergente Infrastrukturen Aufgrund der Vielzahl an Begrifflichkeiten ist es für den IT-Verantwortlichen wichtig, die Unterschiede zwischen konvergenten Systemarchitekturen und hyperkonvergenten Infrastrukturen zu beachten. • Multimediale Lernsoftware 90 Google Cloud Storage für Backups nutzen • Für alle Cisco IP Phones und Videokonferenz-Systeme Mittlerweile bieten andere Anbieter S3-Alternativen mit interessanten Features. • Jabber, WebEx und weitere Applikationen Wir haben Google Cloud Storage im Hinblick auf seine Eignung für internetbasierte Backups ausprobiert. • In elf Sprachen verfügbar 93 Azure Files im Unternehmen einsetzen • CI/CD-Anpassung nach Wunsch In Azure sind seit einigen Monaten die Speicheroptionen um eine Funktion reicher: • In Ihr Intranet integrierbar Azure Files. Wir zeigen mögliche Einsatzgebiete und die Konfiguration. 98 SAN-Umgebungen mit iSCSI aufbauen Hier finden Sie eine Demo: www.experteach.eu/uctrainer iSCSI ist ein verhältnismäßig junges Protokoll, das im Laufe eines Jahrzehnts eine große Verbreitung erfahren hat. Mit den aktuellen Windows-Versionen können Sie eine komplette SAN-Infrastruktur auf Basis von iSCSI aufbauen. Sprechen Sie uns bitte an, RUBRIKEN gerne erstellen wir Ihnen 02 Stellenmarkt ein Angebot für Ihr 03 Editorial UC-Projekt! 04 Inhalt 102 Buchbesprechung +49 6074 4868-0 103 Fachartikel online www.experteach.de 105 Forschungslabor +43 1 2350 383-0 106 Vorschau, Impressum, Inserentenverzeichnis www.experteach.at +41 55 420 2591 www.it-administrator.de www.experteach.ch Aktuell News

Neuer Kaspersky-Schutz für kleine Firmen Kaspersky Lab stellt eine neue Version von Kaspersky Small ware entwickelt und unterstützt Unternehmen beim Schutz Office Security vor. Die Lösung schützt kleine Unterneh- ihrer Firmendaten – beispielsweise indem bösartige Versu- men mit bis zu 25 Netzwerkknoten (Nodes) vor aktuellen che gegen das System blockiert und Backups kritischer Da- Cyberbedrohungen wie Malware, Ransomware, Kryptomi- ten sowie, bei Bedarf, System-Roll-Backs erstellt werden. ner sowie vor Finanzbetrug und Phishing. Darüber hinaus Die Komponente "System Watcher" ist für Windows File bietet Kaspersky Small Office Security erweiterten Schutz Server und PCs verfügbar. Für 5 Desktops und ein Jahr kos- für Server und Unterstützung für nötige Anwendungs-Up- tet die Security-Suite 168 Euro. (dr) dates, damit Angreifer nicht über Software-Schwachstellen Kaspersky Lab: https://www.kaspersky.de/small-business-security/ Zugang ins Unternehmensnetzwerk erhalten. small-office-security Die neue Version kann innerhalb weniger Minuten installiert werden und bietet Unternehmen mittels einer Web- Konsole alle nötigen Informationen für den praxistaugli- chen Einsatz – dazu gehören: Informationen zur Lizenz, den Nutzern und deren Geräte sowie zur aktuellen Produktver- sion. Notwendige Benachrichtigungen erscheinen zudem nur noch bei kritischen Vorfällen, so dass sich die Nutzer auf ihre täglichen Aufgaben konzentrieren können und sich nicht tiefergehend mit der Cybersicherheit beschäftigen müssen. Über den integrierten Kaspersky Password Mana- ger werden starke Passwörter erstellt, gespeichert und synchronisiert – für einen einfachen Zugriff über PC, Mac, An- droid- und iOS-Geräte. Der Zugang erfolgt über nur ein zu merkendes Master-Passwort. Die innerhalb der neuen Version von Kaspersky Small Office Security integrierte Komponente "System Watcher" Kaspersky Small Office Security schützt bis zu 25 Rechner wurde speziell für den Schutz vor Gefahren wie Ransom- und soll besonders einfach zu verwalten sein. Folgenschwere Angriffe IT-Angriffe auf kleine und mittelständische Unternehmen Ein weiterer Unterschied bestehe im Umgang mit Ransom- (KMU) würden nicht nur häufiger, sondern richteten auch ware, die von Konzernen nicht als eine der drei größten Ge- immer größere Schäden an. Laut dem Cisco "Cybersecurity fahren eingeschätzt würde. Laut Sicherheitsexperten von Cis- Special Report Small and Midmarket Businesses", für den co neigten KMU stärker als Konzerne dazu, das geforderte 1800 Unternehmen aus 26 Ländern befragt wurden, habe bei Lösegeld an die Kriminellen zu zahlen, damit sie schnell wie- gut jedem zweiten Sicherheitsvorfall (54 Prozent) der finan- der zum Normalbetrieb zurückkehren. Denn sie könnten sich zielle Schaden mehr als 500.000 US-Dollar betragen. Neben den Systemausfall und den fehlenden Zugang auf kritische den direkten Kosten könne die Downtime der unterneh- Daten einfach nicht leisten. menskritischen Systeme – in 40 Prozent der Fälle dauerte die- Tatsächlich würden Entscheider aus dem Mittelstand gerne se mehr als acht Stunden – sogar die Existenz bedrohen. mehr in ihre Sicherheit investieren. Ganz oben stünden die Besorgniserregend sei, dass gerade einmal 55,6 Prozent Aktualisierung der Endgeräte-Sicherheit für einen intelligente- der KMU Sicherheitswarnungen untersuchten. Die größten ren Schutz vor fortgeschrittener Malware (19 Prozent), eine Sorgen bereiteten den IT-Verantwortlichen gezielte Angrif- bessere Absicherung von Webanwendungen (18 Prozent) und fe auf Mitarbeiter wie Phishing (79 Prozent) und fortge- die Einführung von Intrusion Prevention zur Abwehr von schrittene zielgerichtete Bedrohungen (77 Prozent) – soge- Netzwerkangriffen und Exploit-Versuchen (17 Prozent). Aber nannte Advanced Persistent Threats. Es folgten auch der Schutz der Arbeitsplatzumgebung bilde ein wichtiges Erpressungssoft-ware (77 Prozent), DDoS-Attacken, die Thema. Dies gelte vor allem im Zuge der steigenden Nutzung Webseiten oder Anwendungen lahmlegen (75 Prozent), von Mobilgeräten und Cloud-Services. und Angriffe auf private Mobilgeräte (74 Prozent). Eine ak- KMU müssten letztendlich akzeptieren, dass es keine Stan- tuelle Studie der Bitkom bestätige, dass KMU stärker ange- dardlösung gebe, um sämtliche Herausforderungen bei der griffen würden als Konzerne. So erlebten 68 Prozent der Cybersecurity zu lösen. Es entstünden immer mehr Angriffs- Firmen mit 10 bis 99 Mitarbeitern, 73 Prozent der Firmen möglichkeiten und die Methoden veränderten sich ständig. mit 100 bis 499 Mitarbeitern, aber "nur" 60 Prozent der Fir- Daher müssten sich auch die Sicherheitstechnologien und - men mit 500 oder mehr Mitarbeitern in den vergangenen strategien ständig daran anpassen. (dr) beiden Jahren eine Attacke. Cisco: www.cisco.com

6 Dezember 2018 www.it-administrator.de News Aktuell

Datentauscher 1&1 bietet mit "1&1 IONOS HiDrive" eine neue Online- mit der Cloud synchronisiert. Außerdem erstellt die Lö- Speicherlösung für sicheren Datenaustausch und Zusam- sung automatisch regelmäßige Backups der gespeicherten menarbeit. Benutzer können damit von jedem Gerät und Daten. Die Speicher-Intervalle können in der Administra- von jedem Ort aus auf ihre Daten zugreifen, gleichzeitig tionsoberfläche einfach angepasst werden. Jedem Benut- werden diese Daten in der Cloud mit allen Devices syn- zer steht zusätzlich ein privater Ordner zur Verfügung, in chronisiert. Dazu speichert das Werkzeug alle Daten an dem sich eigene Dateien und Zwischenergebnisse direkt einem zentralen Ort. So können alle Teammitglieder abspeichern lassen. Wer welche Zugriffsrechte erhält, ob gleichzeitig und von jedem Smartphone, Tablet, PC oder Verschlüsselung bei wichtigen Dokumenten verwendet Mac darauf zugreifen. Die Sicherheit der Daten soll durch werden soll und welche Verbindungsprotokolle für jeden die ausschließliche Speicherung in ISO 27001 zertifizier- Benutzer individuell erlaubt sind, lässt sich individuell in ten Rechenzentren in Deutschland unter Einhaltung der der Benutzerverwaltung festlegen. strengen deutschen Datenschutzbestimmungen gewähr- 1&1 IONOS HiDrive ist ab 1 Euro pro Monat bei 12 Mo- leistet sein. naten Vertragslaufzeit erhältlich. Dieses Paket umfasst 100 Ergänzt wird HiDrive durch Funktionen, die den Ar- GByte Speicherplatz und den Zugriff für einen Benutzer. Da- beitsalltag kleiner Unternehmen erleichtern sollen: So las- rüber hinaus steht der Dienst in den Editionen "Essential", sen sich Dokumente beispielsweise direkt vom iOS- oder "Business" und "Pro" zur Verfügung. Diese Pakete bieten 250, Android-Gerät scannen und automatisch als PDF in der 1000 beziehungsweise 2000 GByte Speicherplatz für drei, fünf Cloud speichern, Texterkennung inklusive. Auch das Ar- oder zehn Benutzer und bewegen sich bei den Kosten in ei- beiten unterwegs ist im Offline-Modus möglich: Sobald nem Rahmen von drei bis 20 Euro im Monat. (jp) die Datei wieder mit dem Internet verbunden ist, wird sie 1&1 IONOS: https://www.ionos.de/office-loesungen/hidrive-cloud-speicher E-Mail aus Berlin Die Berliner Heinlein Support GmbH hat ihr E-Mail- und E-Mailadresse informieren lassen. Dabei erhält der Nutzer Kommunikationswerkzeug "mailbox.org" einem umfassen- diese Hinweise direkt von mailbox.org. den Relaunch unterzogen. Neben neuer Website und neu- Mit den schon bestehenden Diensten zur Zusammenar- em Logo stehen dabei vor allem die sichere Kommunikati- beit und zum Datenaustausch will mailbox.org nunmehr on für jedermann und Angebote für Unternehmen im verstärkt Firmenkunden gewinnen. Mit zwei Rechenzen- Mittelpunkt der Aktivitäten. tren in Deutschland, den hohen Sicherheitsstandards für al- Zentral ist dabei der Wechsel von "mailbox.org Office" le Kommunikationskomponenten und konsequenter Um- auf die neue Version OX 7.10. Diese basiert auf dem offenen setzung der Anforderungen der EU-DSVGO – etwa durch Open-Xchange mit der gleichen Versionsnummer. Zu den eine automatisch durch den Kunden abrufbare Erklärung wichtigsten Neuerungen zählt dabei der vollständig überar- zur Auftragsdatenverarbeitung – wirbt mailbox.org um si- beitete Kalender, der nun den Einsatz mehrerer Kalender, cherheitsbewusste Unternehmenskunden. Je nach gewähl- eine Geburtstagsansicht und das Abonnement externer Da- tem Paket müssen IT-Verantwortliche dabei mit etwa einem tenquellen erlaubt. Die Fenster des Browser-basierten Of- Euro pro Monat und Postfach kalkulieren. (jp) fice lassen sich nun ähnlich wie am normalen Computer or- Heinlein Support GmbH: https://mailbox.org ganisieren. Die sogenannten "Flying Windows" lassen sich innerhalb des Office aufmachen, vergrößern und in der Task-Bar zusammengeklappt parken. Dabei lassen sich mehrere Fenster aufmachen – zum Beispiel, um an mehreren E-Mails parallel zu arbeiten. Vollständig überarbeitet zeigt sich auch der Webchat (XMPP). Hier sorgen nun SSL/TLS und die Chat-Verschlüsselung OMEMO für ein hohes Maß an Vertraulichkeit. Der E-Mail-Dienst verschlüsselt nunmehr auch den Sent- Folder. Bislang war aus technischen Gründen die nachträg- liche PGP-Verschlüsselung, wie sie bei mailbox.org für eingehende E-Mails erfolgt, nicht für die Nachrichten verfügbar, die Nutzer selbst versenden und per IMAP in ihren Sent-Folder hochladen. Gegen unerwünschte Nachrich- ten hilft zudem nunmehr ein trainierbarer Spam-Filter. Und eine Kooperation mit "haveibeenpawnd.com" soll E-Mail- Die neue geteilte Kalenderansicht von mailbox.org erlaubt Nutzer zukünftig über ein unerwünschtes Auftauchen ihrer beispielsweise die Planung gemeinsamer Termine.

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 7 Aktuell News

Lernfähiger Schutz Sophos integriert Endpoint Detection and Response (EDR) weitere Schritte. Um eine vollständige Transparenz der in sein Intercept X Endpoint Protection Portfolio. Zum Ein- Bedrohungslandschaft zu gewährleisten, verfolge und satz komme Deep-Learning-Technologie, die eine schnelle- analysiere SophosLabs 400.000 neuartige Malware-An- re, umfassendere Erkennung von Malware verspricht. Bis- griffe pro Tag und lasse permanent nach neuen Attacken her sei eine Untersuchung und Reaktion auf Vorfälle nur in und cyberkriminellen Innovationen suchen. Organisationen mit einem etablierten SOC (Security Ope- Durch Zugriff auf die Daten der SophosLabs hätten IT- rations Center) oder einem spezialisierten IT-Sicherheits- Verantwortliche aller Kompetenzniveaus eine Ersthilfe- team möglich, das für die Verfolgung und Analyse von Cy- Forensik zur Hand und könnten eigenständig bestim- berangriffen geschult sei. Sophos Intercept X Advanced mit men, ob ein Angriff stattfinde, und wenn ja, welche Art EDR erlaube es Unternehmen aller Größen und auch Orga- von Angriff es ist. Das Early-Access-Programm für Inter- nisationen mit eingeschränkten Ressourcen, ein Threat Tra- cept X Advanced mit EDR steht ab sofort zur Verfügung. cking mit SOC-artigem Vorgehen in ihre Security-Umge- Mehr als 300 Unternehmen haben sich laut Sophos be- bung zu integrieren. reits angemeldet, um dem Programm und der Communi- Mit nur einem Klick hätten IT-Manager On-Demand- ty beizutreten. (dr) Zugriff auf Informationen der SophosLabs, gesteuerte Sophos: https://community.sophos.com/products/intercept/ Untersuchungen verdächtiger Vorfälle und empfohlene early-access-preview/

Bessere Verwaltung von Endgeräten FileWave, Anbieter von Endpoint-Management-Software die marktführende, intuitive Benutzeroberfläche von File- für Apps, Mac, Windows und mobile Endgeräte, stellt File- Wave bereitgestellt werden, und automatisierte Prozesse. Wave v13 vor. Mit dem Release könnten auch Geräte ver- Eine neue, erweiterte Benutzeroberfläche ermögliche waltet werden, auf denen die neusten Apple Betriebssyste- es Anwendern zudem, sich von jedem Gerät aus anzu- me iOS 12, tvOS12 and macOS Mojave laufen. Mit melden und unkompliziert Zugriff auf die zuverlässigen FileWave v13 könnten Administratoren die aktuellen Ver- Inventardaten von FileWave zu erhalten. Eine zertifizierte besserungen von Apple im DEP (Device Enrollment Pro- App in ServiceNow erlaube ferner, FileWave Inventarda- gram) und bei den Konfigurationsprofilen nutzen. DEP ten direkt in Helpdesk-Tickets zu integrieren und diese enthält neue Optionen für die Bereitstellung und Erstkonfi- anzuzeigen, um Vorgänge schneller zu lösen. FileWave sei guration von Geräten mit iOS und macOS. Die Aktualisie- nicht zuletzt ab sofort auch in die ITSM-(IT-Service-Ma- rungen hinsichtlich Konfigurationsprofilen umfassen laut nagement)-Lösung von InvGate für mittelständische Un- Anbieter zahlreiche neue Optionen für die laufende An- ternehmen integriert. (dr) wendung von Privilegien und Einschränkungen, die über FileWave: www.filewave.com

Netzwächter Als Bestandteil des "Netwrix Auditor 9.7" soll der neue Best-Practice-Frameworks gerecht wird. Auch sollen IT-Ver- "Netwrix Auditor for Network Devices" IT-Administratoren antwortliche durch die Software in der Lage sein, Netzwerk- dabei helfen, Bedrohungen für die Netzwerksicherheit zu ausfälle zu minimieren. Dazu reduziert Netwrix Auditor for erkennen und zu untersuchen. Die Software ermöglicht das Network Devices nach Herstellerangaben die erforderliche Risiko, dass Angreifer die Kontrolle über kritische Netz- Zeit zur Erkennung und Reaktion auf Hardwareprobleme werkinfrastrukturen übernehmen oder Insider irrtümlich und unberechtigte Änderungen. (jp) oder vorsätzlich die Sicherheit gefährden, zu reduzieren. Netwrix: www.netwrix.com/auditor9.7.html Zu diesem Zweck lassen sich mit dem Tool Bedrohungen und Angriffe erkennen und untersuchen sowie Ausreißer in der typischen Nutzeraktivität im Umfeld von Netzwerkgerä- ten identifizieren. Dazu gehören berechtigte Versuche, sich direkt oder über VPN einzuloggen, sowie verdächtige Mani- pulationen, die darauf ausgerichtet sind, Traffic zum und vom Netzwerk zu manipulieren oder einen unrechtmäßigen Zugriff auf kritische Systeme zu verschleiern. Gleichzeitig sollen sich starke und wirksame Kontrollen für die Netz- werksicherheit durchsetzen lassen, indem die Überwachung des Zugriffs auf Netzwerkgeräte und Änderungen ihrer Netwrix Auditor for Network Devices zeigt dem Admin, dass User Konfigurationen den Anforderungen von Regelungen und "A. Johnson" verdächtige Aktivitäten im Active Directory aufweist.

8 Dezember 2018 www.it-administrator.de News Aktuell

Vereinfachtes Datenmanagement Commvault gibt mit Commvault Activate den Startschuss für ein neues Werkzeug zur Analyse großer Datenmengen. Die Neuvor- stellung führt mit dem Commvault 4D Index einen neuen dynamischen Index ein, um mittels künstlicher Intelligenz das Ver- ständnis für Daten über Datenquellen und Datentypen hinweg zu optimieren. Unternehmen sollen dadurch mehr Informatio- nen über ihre Daten erhalten, unabhängig davon, ob sie mit TeamViewer bringt Version 14 der gleichnamigen Fernwar- Drittanbieterwerkzeugen, Commvault-Tools oder bislang über- tungssoftware auf den Markt. Nach Abschluss der Preview- haupt nicht verwaltet werden. Wird Activate gemeinsam mit Phase ist die Finalversion nun für den Einsatz in Produkti- Commvault Complete Backup & Recovery verwendet, kann der onsumgebungen freigegeben. Sie verspricht Augmented Nutzer das gewonnene Datenwissen in die indizierte Sammlung Reality (AR) sowie Verbesserungen in den Bereichen Leis- von Backup- und Archivdaten-Instanzen einbinden. Der Her- tung, Produktivität und Sicherheit. Die AR-Lösung Team- steller verspricht so eine vollständig virtualisierte Datenland- Viewer Pilot ermögliche es Experten laut Hersteller, Benutzer schaft. Schnittstellen ermöglichen die Inventarisierung und Indi- über Live-Kamera-Sharing und On-Screen-Anmerkungen zierung von Daten aus Quellen wie Online-Datenspeichern, aus der Ferne durch komplexe Vorgänge zu führen. (dr) aktiven Endgeräten oder neuen SaaS-Cloud-Datenspeichern. Link-Code: iba11 Möglich sein soll so zum Beispiel die Identifizierung von Dupli- kationsmustern sowie die Identifizierung von Datenbesitz, um Von Intra2net gibt es mit Intra2net Business Server 6.5 eine etwa die Entscheidungsfindung im Bereich Data Governance zu neue Version der Exchange-Alternative. Die Software unter- stützt jetzt Microsoft Outlook 2019 und sämtliche 64-Bit- verbessern. Die Anwendung "Sensitive Data Governance" soll Versionen von Microsoft Office. Weiterhin sollen sich mobile insbesondere die Bewertung und Bewältigung von Compliance- Endgeräte nun noch leichter mit Let’s Encrypt anbinden las- Risiken bei der Verwaltung von sensiblen Daten vereinfachen. sen. Dies soll die Anbindung von Endgeräten durch die Ver- Sie hilft beispielsweise bei der proaktiven Bereinigung unnötiger wendung von offiziellen Zertifikaten für die Datensynchroni- personenbezogener Daten, direkt aus der Datenquelle und aus sation erleichtern. Die SSL-Zertifikate lassen sich mit Let’s eventuellen Sicherungskopien. Encrypt erstellen und werden dann alle 60 Tage automa- Außerdem neu vom Anbieter ist Commvault Complete tisch erneuert. (ln) Backup and Recovery as-a-Service. Damit bietet das Unter- Link-Code: iba12 nehmen einen Dienst für die Datenverwaltung und das Backup von virtuellen Maschinen und Anwendungen auf ownCloud kündigt SUSE Enterprise Storage Ceph/S3 API als Amazon Web Services oder Microsoft Azure sowie native zertifiziertes Storage-Backend für die ownCloud Enterprise Cloud-Anwendungen wie Microsoft Office 365 und Salesforce Edition an. Demnach wurden sämtliche Tests erfolgreich be- an. Dank einer globalen Cloud-Rechenzentrumsarchitektur standen und die Storage-Lösung in der Folge in die QA- will Commvault Nutzern eine On-demand-Backend-Infra- Testprozesse von ownCloud aufgenommen. Das bedeutet, struktur für Backup und Datenmanagement zur Verfügung dass SUSE Enterprise Storage fortlaufend getestet und re- stellen, die sich automatisch konfigurieren und erweitern lässt. gelmäßig auch mit künftigen ownCloud-Releases zertifiziert Im Angebot für native Cloud-Anwendungen sind laut Comm- werden soll. Das Ceph/S3 Object Gateway ist im Kern ein vault erweiterte Funktionen wie Langzeitarchivierung, Com- auf librgw aufgebautes Object-Storage-Interface, das pliance und Archivierung enthalten. Commvault Complete Anwendungen ein RESTful Gateway zu Ceph-Storage- Clustern bietet. (ln) Backup and Recovery as-a-Service soll bis Dezember 2018 auf Link-Code: iba13 dem Microsoft Azure Marketplace, dem AWS Marketplace und dem Commvault Marketplace verfügbar sein. Außerdem Thin-Client-Anbieter IGEL gibt die Verfügbarkeit der neues- aus der Taufe gehoben hat der Anbieter das "Commvault ten Version von IGEL OS bekannt. Mit dem neuen Release Command Center", das traditionelle, webbasierte Schnittstel- 10.05.100 baut der Hersteller seine Unterstützung für Hard- len für das Datenmanagement auf die nächste Stufe heben soll. ware- und Softwarelösungen von Drittanbietern aus und er- Die HTML-5-Benutzeroberfläche bietet Funktionalitäten wie gänzt sein Betriebssystem außerdem um neue Analysefunk- Datenanalyse und Datenvisualisierung, rollenbasierte Sicher- tionen und grafikintensive Multimedia-Fähigkeiten. Mit heits- und Zugriffsrechte, interaktive und proaktive Dash- SysTrack etwa steht ein Tool bereit, das IT-Teams mit End- boards und Orchestrierung. Nicht zuletzt sollen sich Ereignis- point-Metriken wie CPU-Leistung, Systemspeicher, Festplat- se und Logs so besser analysieren und Anomalien einfacher tennutzung, Peripheriegeräte, Netzwerkverbindung und La- erkennen lassen. (ln) tenz beliefert. (ln) Commvault: www.commvault.com/de-de Link-Code: iba14

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 9 Aktuell News

Mehr KI, mehr Multicloud Mit Sholark lüftet Fujitsu den Vorhang für ein neues KI- leicht mit bereits existenter Software oder älteren Data- und Datenanalyse-Framework. Ziel ist es, mit dem Werk- Warehouse-Systemen verbinden lassen. zeug die Automatisierung von Geschäftsprozessen zu be- Ein neues Angebot für die Cloud hat Fujitsu außerdem schleunigen und neue Erkenntnisse aus unstrukturierten mit PRIMEFLEX für Microsoft Azure Stack im Portfolio. Daten zu liefern. Als unterstützendes Tool soll die Neu- Die Neuvorstellung positioniert sich als Lösung für Unter- vorstellung die Datenanalyse für Anwendern leichter ma- nehmen, die die Vorteile der Public Cloud voll ausschöpfen chen. Nutzer können das System mithilfe einer webbasier- wollen, aber aufgrund von Sicherheits-, Datenhoheits-, ten Bedienoberfläche steuern. Sie profitieren laut Fujitsu Compliance- oder Konnektivitätsanforderungen einige ge- unmittelbar von KI-Effekten und erhalten konkrete Ent- schäftskritische Daten unter ihrem eigenen Dach halten scheidungshilfen für Problemstellungen, ohne technisches müssen. Die Bereitstellung von Azure-konsistenten Diensten Wissen zu benötigen. Nicht zuletzt soll die Lösung die und Funktionen sowohl in der Cloud als auch On-Premises Automatisierung des repetitiven, zeitintensiven Informa- soll die Entwicklung von hybriden Infrastrukturen weiter vo- tionsmanagements, wie etwa Teile der Dateneingabe, ver- rantreiben. Das neue Angebot wird auf einer PRIMERGY- einfachen. Das neue Framework verarbeitet in Echtzeit Serverplattform für Microsoft-Hyper-V-Clusterumgebungen große Mengen an strukturierten, teilstrukturierten und getestet und ausgeliefert. Fujitsus Software Infrastructure unstrukturierten Daten aus unterschiedlichen Quellen Manager (ISM) soll die Verwaltung der Infrastruktur verein- wie sozialen Netzwerken, Datenbanken, Spracheingaben, fachen und einen ausfallsicheren, flexiblen und automatisier- Videos oder Bildern. Mit dem Angebot können Nutzer ten Betrieb ermöglichen. Zu den Funktionen gehören unter laut Hersteller zudem Machine Learning für die intelli- anderem monatliche, nutzungsabhängige Abrechnungsop- gente Prozessautomatisierung einsetzen. Das tionen, mit denen sich Azure-Dienste in bestehende Lizenz- Framework verfügt gemäß Fujitsu über intelligente se- verträge integrieren lassen sollen. Optional ist ein Backup für mantische Analysefähigkeiten, um neue Verbindungen Daten On-Premises über eine integrierte ETERNUS-CS-Ap- herzustellen und wichtige Erkenntnisse zur Entschei- pliance erhältlich. Außerdem lässt sich PRIMEFLEX laut Fu- dungsfindung zu generieren. Fujitsu Sholark basiert auf jitsu über den eigenen Enterprise Service Catalog Manager Open-Source-Technologien. Es ist modular aufgebaut und mit anderen Cloud-Lösungen in eine konsistente, Multi- erlaubt es Anwendern, weitere spezifische Open-Source- cloud-fähige Umgebung integrieren. (ln) Kapazitäten hinzuzuziehen. Die Lösung soll sich zudem Fujitsu: www.fujitsu.com/de/

Doppelte Hilfe Die nunmehr in Version 3 verfügbare Parallels Toolbox 3 für Windows und Mac bietet je drei neue One-Touch-Tools, mit denen Anwender tägliche Aufgaben am Com- puter mit nur einem oder zwei Mausklicks erledigen können. Zudem ist in der Soft- ware eine Suchfunktion integriert, die das Finden des passenden Werkzeugs erleichtern soll. Darüber hinaus können die Benutzer jetzt selbst entscheiden, welche Tools und Ordner in ihrer Parallels Toolbox enthalten sind. In der Toolbox 3.0 für Windows lassen sich nun Duplikate in Laufwerken oder Ordnern suchen, um schnell identische Dateien zu finden – selbst wenn der Datei- name nicht übereinstimmt – und Speicherplatz freizugeben. Neu ist ebenfalls die Batch-Konvertierung von Bildern in die gewünschte Dateigröße und das gewünschte Format. Zudem hilft der "Ruhezustand-Zeitgeber" Nutzern dabei, einen Zeitraum festzulegen, in dem der PC in den Ruhezustand wechseln oder herunterfahren soll. Die Toolbox für Mac erlaubt jetzt das Deinstallieren von Anwendungen und deren Dateien mit einem einzigen Klick, bietet eine Weltzeit und zeigt Daten an, die normalerweise in macOS ausgeblendet sind. Darüber hinaus hat der Anbieter zahlreiche bestehende Werkzeuge dieser Edition verbessert. Diese betreffen den Umgang mit Screenshots, Bildern, Videos und dem Browser. Manche dieser Verbesserungen – etwas der "Dark Mode" – sind jedoch macOS Mojave vorbehalten. IT-Administratoren können mit der "Parallels Toolbox Business Edition" diese Tools zentral zur Verfügung stellen. So lassen sich die Lizenzen für die Software besser verwalten und auch ein zentrales Deployment der Werkzeuge für Windows- und macOS-Clients realisieren. In der Einzelplatzversion steht Parallels Toolbox 3.0 für Windows und Mac für jeweils 19,99 Euro pro Jahr zur Verfügung. (jp) Die Parallels Toolbox hilft Parallels: www.parallels.com/toolbox Anwendern bei täglichen Aufgaben.

10 Dezember 2018 www.it-administrator.de News Aktuell

Runderneuerung Umfassend automatisiert für Cloudplattform Mit dem neuen Werkzeug "Agile Data Center" stellt Ex- treme Networks für die Automatisierung der IT Manage- Acronis hat ein umfassendes Update der Acronis Data Cloud ment- und Analysetools bereit, die auch in heterogenen Plattform veröffentlicht. Das Update 7.8 führt vollständigen Multi-Vendor-Umgebungen die Steuerung des gesamten Cloud-to-Cloud-Schutz für Microsoft Office 365, Disaster- Netzwerks ermöglichen. Das neue Angebot beinhaltet Recovery-Orchestrierung, erweiterten Ransom-ware-Schutz, Software- und Hardware-Komponenten, die Unterneh- Blockchain-basierte digitale Datenbeglaubigung sowie Funk- men für Automatisierungsinitiativen benötigen. tionen zum digitalen Signieren für Service Provider ein. Die So soll über die Domain-übergreifende IT-Automati- Backups zum Schutz für Microsoft Office 365 erfolgen direkt sierung mit dem "Extreme Workflow Composer", der auf zwischen Microsoft und einem der Cloud-Datenzentren von die StackStorm-Plattform zurückgreift, eine individuell Acronis. Service Provider haben die Wahl, in welchem Land angepasste IT-Automatisierung sowie die vollständige In- und an welchem Standort die Daten gespeichert werden. Die tegration von Rechen-, Speicher-, Sicherheits- und Netz- neue Version soll außerdem komplexe Disaster-Recovery- werkressourcen möglich sein. Zudem erlaubt die "Extre- Pläne mithilfe von Runbooks vereinfachen und automatisie- me Embedded Fabric Automation" den Aufbau einer ren. Die neue Runbooks-Funktion beschleunigt laut Acronis sofort einsatzbereiten (Plug-and-Play) Fabric-Infrastruk- das Failover mehrerer Maschinen zu einer Cloud-Recovery- tur für Rechenzentren. Kunden können mit Tools wie Site. Die Funktion soll sicherstellen, dass Systeme in der rich- Ansible, individuell angepasste Workflows einrichten tigen Reihenfolge wiederhergestellt werden, um Abhängig- oder mithilfe des Extreme Workflow Composers auf eine keiten zwischen Anwendungen auf verschiedenen Maschinen vollständige IT-Automatisierung setzen. Im "Manage- zu berücksichtigen. Die verbesserte Ransomware-Erkennung ment Center" finden sich Management- und Überwa- basiert auf Machine Learning-Technologie, um bekannte und chungsfunktionen für Systeme verschiedener Anbieter unbekannte Bedrohungen besser zu erkennen sowie False Po- und das gesamte Netzwerk – vom kabelgebundenen oder sitives zu reduzieren. Die neue Version schützt zudem Netz- kabellosen Netzwerkzugang bis zum Rechenzentrum. werkfreigaben und Wechsellaufwerke. Neues gibt es auch bei Darüber hinaus sollen IT-Verantwortliche per "Extreme- der physischen Datenzustellung: Benutzer können das Initial Analytics" Einblicke in die Applikationsnutzung erhalten. Seeding gemäß Acronis nun schneller durchführen, wenn Die SLX-Produktfamilie von Extreme-Switches und sie das Erstbackup auf einer lokalen Festplatte beim Kunden -Routern ermöglicht es zudem, Gast-VMs einzurichten, vor Ort speichern und physisch an ein Acronis Datenzen- und liefert dezentrale Analysefunktionen für Individual- trum senden. (ln) überwachung und Fehlersuche. (jp) Acronis: www.acronis.com/de-de/ Extreme Networks: www.extremenetworks.com/solution/agile-data-center/

Open-Source-Schule Mit frei verfügbaren Lehrplänen für IT-Trainings geht "Projekte in der Praxis managen" und "IT Service Manage- "itedas.org" neue Wege: Das Unternehmen stellt die ment in der Praxis" folgen. Schulungsinhalte unter der Creative Commons "Free- Um zu gewährleisten, dass die offenen Lehrpläne den Anfor- Culture-Lizenz" zum Download bereit. IT-Verantwortli- derungen für eine offizielle Zertifizierung genügen, hat che und Trainer erhalten so kostenlos Zugang zu den itedas.org "Domain Steering Committees" etabliert. In diesen Lehrplänen, den sogenannten Syllabi. Diese lassen sich Gremien stellen bis zu neun Fachexperten sicher, dass die Trai- nach Bedarf als Präsenztraining, E-Learning oder Blen- ningsinhalte praxisnah und auf dem aktuellen Stand sind. (jp) ded Learning umsetzen. Am Ende der Ausbildung steht iteads.org: www.itedas.org für die Kursteilnehmer eine deutschsprachige Abschluss- prüfung mit Zertifikat. Die Zertifizierung für das jeweilige Training übernimmt das unabhängige Zertifizierungs- institut Certible. Den Start dieses Angebots machen Unterlagen für den "Certified Scrum Practitioner", auf dessen Basis laut Anbie- ter seit Mitte 2018 über 150 Personen entsprechend ausge- bildet und zertifiziert wurden. Zu diesem Themenblock steht der Syllabus mit Hintergrundinfos für den Trainer, Testexamen sowie eine Muster-PowerPoint-Präsentation zur Seminardurchführung zum Download ohne Registrierung bereit. Diesem Angebot sollen demnächst beispielsweise Als ersten Kurs stellt itedas.org Unterlagen für "Certified Scrum Kurse zu "ISO 27001: Grundlagen der Datensicherheit", Practitioner" kostenlos bereit.

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 11 Aktuell Interview

»Auch für Object Storage bedarf es eines Dateisystems« Immer mehr Unternehmen setzen bei der Speicherung von Daten auf die Cloud. Die arbeitet in der Regel mit Object Storage. Was Administratoren bei der Transformation beachten müssen, haben wir Markus Warg, Cloud Storage Evangelist und Senior Sales Engineer beim Cloud-Storage-Anbieter Nasuni, gefragt.

IT-Administrator: Das Jahr geht zu Ende, 2019 waren hierfür ausschlaggebend. Zu- steht vor der Tür. Wie werden Ihrer Meinung nach nächst waren virtualisierte Infrastruk- die Storage-Trends in den kommenden zwölf turen noch nicht so verbreitet wie heute. Monaten aussehen, gerade im KMU-Bereich? Und selbst wenn ein Kunde sein Re- Markus Warg: Der Trend hin zu priva- chenzentrum bereits virtualisiert hatte, tem und öffentlichem Objektspeicher in nutzte er unsere Lösung häufig, um Da- der Cloud wird sich aus unserer Sicht in teien an nicht sonderlich virtualisierten den kommenden zwölf Monaten fortset- Remote-Standorten und Zweigstellen zen. Gegenüber klassischen Blockspei- zu speichern. Heute hingegen setzen chern lässt sich Object Storage nahezu mehr und mehr Kunden auf virtuelle unbegrenzt skalieren und zeichnet sich Appliances, da die Virtualisierung in- durch eine höhere Verfügbarkeit sowie zwischen auch in ihren Außenstellen niedrigere Kosten aus. Dies macht ihn Einzug gehalten hat. Kommen hyper- aus Sicht von IT-Abteilungen zur besseren konvergente Infrastrukturlösungen bei- Wahl, sobald es um die Umsetzung von spielsweise von Nutanix zum Einsatz, digitalen Transformationsprojekten oder lassen sich VMs innerhalb weniger Mi- Cloud-First-Initiativen geht. nuten bereitstellen. Werden diese in der Wenn mittelständische Unternehmen zum Spei- Cloud betrieben, können Kunden von chern von Daten auf Public-Cloud-Angebote etwa den Anbietern bereitgestellte Dienste, Markus Warg von Amazon, Microsoft oder Google zurückgrei- darunter Analytics oder KI-Anwendun- fen – was ist dabei besonders zu beachten? gen, nutzen. KMUs stehen bei der Inanspruchnahme ject Storage. Dieses wartet mit der ver- Die Cloud rühmt sich, beim Zugriff auf dateibasierte von Public-Cloud-Diensten vor zwei He- trauten hierarchischen Ordnerstruktur Daten ganz neue Arten der Kollaboration zu er- rausforderungen. Erstens: Wie können auf und schafft die Basis dafür, dass sich möglichen. Aber entstehen hierdurch nicht auch sie sicherstellen, dass Nutzer an den ein- von jedem beliebigen Standort aus schnell neue Probleme, etwa durch Versionskonflikte? zelnen Standorten weiterhin schnell auf auf Dateien zugreifen lässt. Die Unter- Ohne Frage eröffnet die Cloud im Hin- in der Cloud gespeicherte Daten zugreifen stützung von Standardprotokollen wie blick auf die standortübergreifende Syn- können, ohne inakzeptable Latenzzeiten NFS oder SMB/CIFS sorgt dafür, dass chronisierung von Dateien und Zusam- in Kauf nehmen zu müssen oder dass Anwendungen für das Zusammenspiel menarbeit völlig neue Möglichkeiten. durch den Abruf hohe Gebühren entste- mit dem Objektspeicher nicht umge- Genau aus diesem Grund beruht die hen? Zweitens: Wie können sie sich die schrieben werden müssen. Zu den wei- Cloud-File-Services-Plattform von Na- Option offenhalten, an verschiedenen teren Leistungsmerkmalen rund um den suni auf einer "Cloud first"-Architektur. Standorten AWS-, Azure- oder Google- Schutz und die Sicherheit von Daten zählt Alle Dateien inklusive Metadaten werden Cloud-Storage zu nutzen? die Erstellung von Snapshots, die klassi- im Object Storage gespeichert und nur Die Cloudanbieter setzen bei ihren Diensten ja sche Backups hinfällig macht, die durch- die häufig verwendeten Daten in Edge- eben nicht auf Block- und File-, sondern auf Ob- gängige Verschlüsselung von Daten und Systemen zwischengespeichert. Damit ject Storage. Ergeben Sich hier nicht Schwierig- vieles weitere mehr. das Modell funktioniert, sind zwei Tech- keiten für Unternehmen, deren Daten hauptsäch- Ihr Unternehmen setzt ja auf Edge-Appliances, nologien erforderlich: zum einen ein glo- lich dateibasiert sind? die sich den Anwendern wie Dateiserver oder baler Volume-Manager, der die an ein- Das ist in der Tat so, da Object Storage NAS-Geräte präsentieren und den Kontakt zur zelnen Standorten vorgenommenen originär nicht auf die Speicherung von Cloud herstellen. Wann ist eine virtuelle, wann Änderungen in eine Reihenfolge bringt, Dateien ausgelegt ist. Klassischer block- eine physische Appliance die bessere Wahl? sodass Nutzer stets an den aktuellsten basierter Speicher im Übrigen aber ge- In den ersten Jahren nach unserem Versionen arbeiten. Zum anderen eine nauso wenig. In beiden Fällen bedarf es Marktstart entschied sich ein Großteil globale Dateisperre, die verhindert, dass eines Dateisystems. NetApp und Isilon der Kunden dafür, unsere Hardware- Anwender gleichzeitig auf die gleiche Da- entwickelten skalierbare File-Systeme für Appliances für die Zwischenspeicherung tei zugreifen können und damit Versi- blockorientiert arbeitende Speichersys- der aktiven Daten in den einzelnen onskonflikte minimiert. teme, Nasuni mit UniFS das erste für Ob- Standorten einzusetzen. Zwei Gründe Herr Warg, wir danken für das Gespräch!

12 Dezember 2018 www.it-administrator.de BOC IT-Security = WatchGuard Firewall / VPN Diese Gleichung geht auf. Und Sie müssen auch nicht mit Unbekannten rechnen.

Promotion

Neue Firebox mit 3 Jahren Total Security Suite

Sie zahlen nur für die Security Services, die Firebox-Appliance ist praktisch kostenlos.

WatchGuard bei BOC bedeutet: • Alle gängigen Produkte direkt ab Lager lieferbar • Professionelle Support-Dienstleistungen • Technischer Blog und HOWTO-Artikel • Zertiﬁzierte Schulungen

Fordern Sie unseren neuen WatchGuard Gesamtkatalog 2018/2019 an! Formlose E-Mail an [email protected] genügt.

„Wir stehen für WatchGuard“

BOC IT-Security GmbH Tel. +49 661 9440440 | [email protected] www.boc.de Trainings, Intensiv-

Unsere Veranstaltungen 2019 Wissen aktualisieren Wollen Sie sich nicht mit dem neue Updatemodell für Windows 10 herumschlagen, führt der Weg vielleicht in die Cloud zu Amazon. Egal, welchen Pfad Sie einschlagen, unsere Trainings versorgen Sie mit dem notwenigen Know-how. So liefert "Amazon Web Services für KMUs" kompakt alles Notwendige, um IaaS kostengünstig und zielgerichtet einzusetzen. Gleichzeit kümmert sich "Windows 10 richtig aktualisieren" mit Mark Heitbrink um die aufwendige Aktualisierung des Clients. Die Link-Codes führen Sie jeweils zu Agenda und Anmeldung.

Intensiv-Seminar "Aufbau einer PKI unter Windows" 8. bis 10. Mai 2019: Hamburg Anmeldung unter Link-Code tiwi3 Quelle: rawpixel – 123RF rawpixel Quelle:

Training Amazon Web Services für KMUs Link-Code: tiw12

- Aufbau und Verständnis der globalen Infrastruktur Teilnahmegebühren - Konto und Support Abonnenten 238 Euro* - Aufbau und Nutzung der AWS-Managementkonsole Nicht-Abonnenten 299 Euro* - AWS-Standardfunktionen für die Infrastruktur: Amazon Virtual Private Dozent / Fachliche Leitung Cloud (VPC), Amazon Elastic Compute Cloud (EC2), Elastic Load Thomas Drilling ist seit 1995 als IT-Con- Balancing und Auto Scaling sultant, IT-Fach-Journalist, Buchautor - AWS-Datenbankservices und IT-Trainer tätig. Er ist zertifizierter - AWS-Sicherheit & -Compliance, Shared-Security-Model Trainer für VMware und Amazon Web - Kosten, Überwachung und Analysewerkzeuge Services. Nach seinem Studium der - Anbindung an die eigene Infrastruktur Elektrotechnik-Informationsverarbeitung erwarb er sukzessive Hersteller-Zertifizie- Termin & Ort rungen wie RHCSA, RHCE, VCP, VCAP, 8. April 2019: München AWS Certified Solutions Archtitect und 30. April 2019: Hamburg AWS Certified Sysops

14 Dezember 2018 www.it-administrator.de Seminare und Workshops

Training GPOs für Windows 10 Link-Code: tiw03

- Vorgehensweisen bei der Erweiterung der Windows-10-GPOs Termin & Ort - Verwendung vorhandener Richtlinienobjekte für den neuen Client 14. Januar 2019: Hamburg - Erweiterung der administrativen Vorlagen 25. Februar 2019: Düsseldorf - Veränderungen in der Technik der Gruppenrichtlinien, speziell 18. März 2019: München Laufwerks-Mapping Das Training findet von - Telemetrie und Datenschutz konfigurieren 10 bis etwa 17 Uhr statt. - Windows 10 mit GPOs absichern: Hardening-Hinweise, Anleitung und Empfehlung für mehr Systemsicherheit Teilnahmegebühren Abonnenten 238 Euro* - Entfernen und Kontrolle ungewünschter Apps über Gruppenrichtlinien Nicht-Abonnenten 299 Euro* - Serverbasierte Profile: Ist der Einsatz noch zeitgemäß oder stehen bessere Alternativen zur Verfügung? Dozent / Fachliche Leitung - Zentrale Verwaltung von Anwendereinstellungen mit UE-V Mark Heitbrink ist seit 2001 MVP und - Lücken im System: Nicht per Gruppenrichtlinien verwaltbare der erste IT-Profi in Deutschland, der für den Funktionen und entsprechende Maßnahmen Bereich Group Policy ausgezeichnet wurde.

Training Windows 10 richtig aktualisieren Link-Code: tiw11

- Ausprägung der Windows-Updates und -Upgrades in der Praxis Termin & Ort 15. Januar 2019: Hamburg - Strategie und Technik für monatliche Patches 26. Februar 2019: Düsseldorf - Integration der halbjährlichen Feature-Upgrades 19. März 2019: München - Dos and Dont's aus drei Jahren Windows-10-Praxis Das Training findet - Notwendige Anpassungen von Clients und Anwenderverhalten von 10 bis etwa 17 Uhr statt. für störungsfreien Betrieb Teilnahmegebühren - Konfiguration der Windows-Update-Settings Abonnenten 238 Euro* Nicht-Abonnenten 299 Euro* - Möglichkeiten und Grenzen des WSUS bei Semi-Anual Channel Feature Upgrades Dozent / Fachliche Leitung Mark Heitbrink ist seit 2001 MVP und - Alternatives Deployment mit Bordmitteln und Skripten der erste IT-Profi in Deutschland, der für den - Vorteile eines selbsterstellten Windows-Image zur Aktualisierung Bereich Group Policy ausgezeichnet wurde.

Intensiv-Seminar PowerShell für Admins Link-Code: tiwi2

- Einführung und Basiswissen Termin & Ort - Architektur der PowerShell und Versionsunterschiede 6. bis 8. Februar 2019: Hamburg - Cmdlets, Cmdlet-Parameter und Hilfefunktionen Beginn am ersten Tag um 10 Uhr, Ende am dritten Tag gegen 16 Uhr. - Objekt-Pipeline und Ausgabefunktionen - Navigationsmodell (PowerShell-Provider) Teilnahmegebühren * - Scripting Abonnenten 1190 Euro * - PowerShell Language (PSL): Variablen und Kontrollstrukturen Nicht-Abonnenten 1370 Euro - Objektorientiertes Programmieren mit Klassen (ab PowerShell 5.0) Dozent / Fachliche Leitung - Sicherheitsfunktionen (Execution Policy) Franz-Georg Clodt arbeitet seit 20 Jahren - Vordefinierte Variablen, Fehlerbehandlung und Fehlersuche im Bereich Schulung, Beratung und Imple- - Scripting mit PowerShell Integrated Scripting Environment (ISE) mentierung von Microsoft-Lösungen. Seit - Aufbauwissen thematischer Schwerpunkt ist der Entwurf - Fernaufruf/Fernadministration mit WS-Management (Remoting) und die Wartung von Exchange-Umgebun-

*alle Preise inkl. 19% MwSt *alle Preise inkl. - Serververwaltung Active Directory und Automatisierung von Azure gen und die PowerShell.

Mehr Informationen zu allen Trainings unter www.it-administrator.de/trainings Dezember 2018 15 Tests QNAP TS-453Be

QNAP TS-453Be Fähiger Datenjongleur von Sandro Lucifora

NAS-Geräte bieten heute meist mehr, als nur Daten zu speichern. QNAP will beim Modell TS- 453Be außer mit dem funktionsrei- chen Betriebssystem auch mit einer PCIe-Schnittstelle punkten, die sich unter anderem für SSD-Caching nutzen lässt. Wir haben den Netzwerkspeicher genauer unter die Lupe genommen.

D ie Gründe, ein NAS einzusetzen, keit von bis zu 225 MByte/s. Zusätzlich namen an und trugen unser Administra- können sehr unterschiedlich sein. verfügt das Gerät über einen PCIe-Steck- tor-Kennwort ein. Danach hinterlegten Von der Bereitstellung von Speicherplatz platz für Erweiterungen. Diesen haben wir die Zeitzone, bestimmten den NTP- in einer großen Infrastruktur mit zentraler wir in unserem Testgerät mit dem Modell Server und gaben die festen IP-Adressen Benutzerverwaltung bis hin zum Daten- QM2-2S-220A bestückt. Dabei handelt für beide Netzwerkkarten an. Diese kön- speicher für ein, zwei oder einige mehr es sich um eine Erweiterungskarte mit nen aus getrennten Netzwerkbereichen Anwender ist alles möglich. Für einen Her- zwei M.2-SSD-Steckplätzen, die sich zur stammen. In Netzwerken mit einem steller ist es daher wichtig, möglichst viele Leistungsverbesserung mittels SSD-Ca- DHCP-Server konnten wir uns die IP- Szenarien bedienen zu können. QNAP hat ching als Caching-Pool oder Auto-Tie- Adresse auch zuteilen lassen. mit dem Betriebssystem QTS schon vor ring-Volumen einrichten lassen. vielen Jahren eine Basis geschaffen, um die Wie das NAS Daten bereitstellt, regelt der verschiedensten Hardwarekomponenten Darüber hinaus bietet QNAP eine kom- plattformübergreifende Dateitransferser- einheitlich zu steuern. Gerade in den letz- patible WLAN-Karte an, um das NAS als vice. Dafür stehen verschiedene Dienste ten Monaten hat der Hersteller an der Soft- WLAN-Access-Point zu verwenden, und zur Auswahl. Windows (SMB/CIFS, File ware eine Menge getan. verschiedene Ausführungen für 10-GBit- Station) war bereits vorausgewählt, ließ Anschlüsse. Denn für die Anbindung an sich aber abwählen, sobald wir einen an- Umfangreiche Ausstattung Außenwelt stellt QNAP dem NAS von deren Dienst aktivierten. Dazu bot uns Doch auch auf Hardwareseite hat QNAP Haus aus zwei GBit-Ethernet-Schnittstel- das System Mac (AFP, SMB/CIFS, File ein großes Repertoire. Von einem NAS len zur Verfügung. Zusätzlich gibt es noch Station) und Linux/UNIX (NFS, SMB/ mit nur einer Festplatte bis hin zu Rack- zwei HDMI-Anschlüsse, womit sich das CIFS, File Station) an. Die Auswahl dient Geräten für bis zu 30 Datenträger ist alles NAS auch als Multimediazentrale betrei- der Unterstützung der jeweiligen OS-spe- vorhanden. Wir haben uns ein NAS aus ben lässt, um zum Beispiel Video- und zifischen Funktionen in Bezug auf die der Mittelklasse angesehen. Das QNAP Bildpräsentationen zu ermöglichen. An Dateiverwaltung, -freigabe und -übertra- TS-453Be ist ein Tischgerät mit vier Hot- die vorhandenen fünf USB-3.0-Steckplät- gung. Eine Mehrfachauswahl ist möglich. Swap-Einschüben für 3,5- oder 2,5-Zoll- ze finden neben externen Festplatten auch Laufwerke, Intel-Celeron-J3455-Quad- eine USV oder Drucker Anschluss, die NAS spricht mit dem Nutzer Core-1,5-GHz-Prozessor und 4 GByte dann über das Netzwerk nutzbar sind. Nach der Einrichtung loggten wir uns ein RAM, der bis auf 8 GByte erweiterbar ist. und erhielten eine Meldung, dass sowohl Unterstützt Windows, Mac, Linux im AppCenter als auch für QTS selbst Weiterhin hat der Hersteller die Unter- Nach dem Anschluss an unser Netzwerk Updates verfügbar waren. Wir starteten stützung von 6-GBit/s-SATA-Festplatten öffneten wir die moderne Weboberfläche, beide Prozesse und waren erstaunt, als integriert und erreicht damit laut eigenen über die wir den Installationsprozess star- eine Stimme über das Firmware-Update Angaben eine Lese-/Schreibgeschwindig- teten. Zunächst gaben wir einen Geräte- informierte. Auch vor dem Ausschalten

16 Dezember 2018 www.it-administrator.de QNAP TS-453Be Tests

Im nächsten Dialog wählten wir die vorhandenen Datenträger aus und legten den gewünschten RAID-Typ fest. Je nach An- zahl der ausgewählten Datenspeicher zeigte uns das Dropdown-Menü die passenden RAID-Varianten an. Wir wählten drei Festplatten für ein RAID 5 aus und legten die vierte Festplatte als HotSpare- Platte fest. Nach der Einrichtung des Da- tenträgers forderte uns das System auf, ein neues Volumen zu erstellen. Dieser Vorgang entspricht quasi dem Partitio- nieren einer Festplatte. Gut gefallen hat uns, dass wir an dieser Stelle das Volumen auch verschlüsseln konnten.

Uns interessierte nun noch die Anwen- dung des von QNAP propagierten neuen Bild 1: Für den Test legten wir einen Speicherpool mit drei Festplatten Speicherpool-Designs. Damit ist es mög- als RAID 5 mit einer HotSpare-Platte an. lich, verschiedene RAID-Gruppen in einem Speicherpool zu kombinieren. Test- des Gerätes teilte uns die Stimme die Fer- Funktion recht wenig Sinn. Insgesamt fiel weise richteten wir mit jeweils zwei tigstellung mit. Im Laufe des Tests fanden uns während der Testphase noch positiv Festplatten zwei Datenträger als RAID 1 wir die Voice-Informationen recht nütz- auf, wie flüssig das Arbeiten auf der Web- ein und richteten auf jedem ein Volume lich, da wir durch sie von den Aktionen oberfläche war. ein. Diese Volumes standen dann zur Er- des NAS auch dann Wind bekamen, füllung verschiedener Anforderungen be- wenn wir die GUI gerade nicht geöffnet Nachdem das NAS einen Neustart durch- reit. So haben wir die Volumes beispiels- hatten. Steht das NAS hingegen in einem geführt und wir uns wieder eingeloggt weise so konfiguriert, dass eines für Schrank oder Nebenraum, ergibt die hatten, richteten wir die Festplatten ein. Snapshots, das andere zur Dateispeiche- Hierzu wechselten wir unter "System- rung diente. QNAP TS-453Be steuerung" auf "Speicher & Snapshots", woraufhin sich ein Assistent öffnete. Im Seit der Version 4.3.5 von QTS ist es mög- Produkt ersten Schritt mussten wir einen Speicher- lich, in RAID 1, 5, 6 oder 10 eingebun- Netzwerkspeicher mit QTS 4.3.5 pool und ein Systemvolumen erstellen. dene Festplatten nachträglich zu lösen und Erweiterungskarte QM2-2S-220A. Speicherpools kombinieren RAID-Grup- und zu entfernen. Das macht es leicht, Hersteller pen, die Datenträger zur Bereitstellung Datenträger auszutauschen oder vor dem QNAP einer flexiblen Speicherkapazität zusam- drohenden Ausfall zu ersetzen. www.qnap.com/de-de/ menfassen. Wir konnten Volumes oder Preis LUNs von einem Speicherpool für das Ständige Datensicherung Das Modell TS-453Be-2G mit 2 GByte System zuweisen. mit Snapshots DDR3L-RAM kostet 419 Euro, die Variante TS- Im Rahmen der Datenträgerkonfigura- 453Be-4G mit 4 GByte DDR3L-RAM ist für Intelligentes Kombinieren tion trafen wir auch auf die Einrichtung 459 Euro zu haben. Die Erweiterungskarte von Datenträgern für Snapshots. Diese zeichnen den Status QM2-2S-220A schlägt mit 89 Euro zu Buche. Nun konnten wir Qtier aktivieren. Mit die- der Daten zu einem angegebenen Zeit- Systemvoraussetzungen ser Funktion erstellten wir einen Speicher- punkt auf. Mit der Snapshot-Wiederher- GBit-Ethernet-Netzwerk, für die Virtualisie- pool aus verschiedenen Arten von Lauf- stellung haben wir später dedizierte Da- rung wird für einen schnelleren Datenaus- werken (SSD, SAS, SATA). Das Ziel war teien oder Ordner in einen vorherigen tausch 10-GBit-Ethernet empfohlen. Für den es, häufig abgerufene Daten automatisch Zustand zurückversetzt beziehungsweise Zugriff auf Dateien muss der Clientrechner auf schnellere und weniger aktive Daten wiederhergestellt. Administratoren ver- SMB/CIFS, AFP oder NFS unterstützen und auf langsamere Laufwerke mit höherer Ka- walten Snapshots in der File Station, dem über einen Browser mit HTML5-Unterstüt- pazität abzulegen, um so die Zugriffszeiten Dateiexplorer des NAS. zung verfügen. zu optimieren. Der Hersteller empfiehlt Technische Daten das Verwenden von Qtier auf einem NAS Eine weitere Funktion ist Snapshot Re- www.it-administrator.de/downloads/ mit mindestens 4 GByte Arbeitsspeicher, plica. Damit sichert QNAP Snapshots ge- datenblaetter da sich das Auto-Tiering sonst negativ auf trennt von den Daten in einem anderen die Systemleistung auswirkt. lokalen Speicherpool oder auf einem an-

www.it-administrator.de Dezember 2018 17 Tests QNAP TS-453Be

platten-Image, einen 45 GByte großen Ordner mit 19.343 gemischten Dateity- pen, einen 11,5-GByte-Ordner mit 702 Bildern der Formate JPG und PNG sowie eine 4,8 GByte große PSD-Datei auf das NAS kopiert und wieder gelesen. Ange- bunden war das Gerät an den Windows- 10-Rechner über einen GBit-Switch.

Wir konnten feststellen, dass sich mit Hil- fe des SSD-Caches der Lesezugriff in der Spitze um bis zu 50 Prozent und das Schreiben um bis zu 30 Prozent steigern ließ. Jedoch schwankten die Werte teils extrem, da der Performance-Schub stark von der Dateigröße abhängig war. Mit vielen kleinen Dateien erreichten wir Stei- gerungen zwischen zehn und 18 Prozent, Bild 2: Über die Snapshot-Einstellungen richteten wir einen doch je größer die Datei war, umso höher stündlichen Schnappschuss ein und sorgten so für Datensicherheit. zeigte sich auch der Tempo-Zuwachs, vor allem beim Lesen. deren NAS. Bei der Übertragung auf ein lich aufwändigere Übertragung von Daten anderes NAS begrenzt das System den über das Netzwerk. Weitere Optionen wa- Anbindung ans Active Directory Datentransfer und somit die Belastung ren, das Laufwerk zur Sicherung zu nutzen Im nächsten Schritt galt es, den Zugriff der Bandbreite mit Hilfe von blockba- oder in einen Speicherpool zu integrieren, auf die Daten des NAS zu steuern. Dazu sierten Snapshots, die es kontinuierlich und so die Kapazität des NAS temporär ist in QTS eine Rechteverwaltung inte- synchronisiert. oder kontinuierlich zu erweitern. griert. Für kleinere Unternehmen kann es praktisch sein, die Benutzer direkt auf Snapshots haben wir sowohl manuell Wer weitere QNAP-NAS im Unterneh- dem NAS anzulegen und den LDAP-Ser- durchgeführt als auch zyklisch eingerich- men betreibt, kann mit VJBOD (Virtual ver zu aktivieren. Darüber greifen auch tet. Dazu öffneten wir im "Schnapp- JBOD) die Speicherkapazität erweitern. andere Verzeichnisdienste auf die Benut- schussmanager" den Dialog "Schnapp- Dazu lassen sich bis zu acht weitere Netz- zerangaben zu. In Windows-Netzwerken schuss planen". Hier stellten wir die werkspeicher des Herstellers als lokale lässt sich das NAS auch als Domänencon- Wiederholungen, von stündlich bis mo- Festplatten auf dem TS-453Be mounten troller nutzen. In Unternehmen mit ei- natlich, ein. Ebenso legten wir die Auf- und so ungenutzter Speicher verwenden. nem bereits vorhandenen LDAP- bezie- bewahrungszeit fest. Ja nach Einstellung hungsweise Active-Directory-Server will muss der Administrator den benötigten Mehr Lesetempo der Administrator meist den umgekehr- Speicherplatz berücksichtigen. Um diesen durch SSD-Cache ten Weg gehen und das NAS an das vor- zu minimieren, aktivierten wir noch Wie eingangs erwähnt, war in unserem handene AD koppeln. Damit lassen sich "Smart Snapshot". Die Funktion erstellt Testgerät eine Erweiterungskarte für zwei alle Benutzerkonten automatisch auf das einen Snapshot nur, wenn sich seit dem M.2-SSDs verbaut. Diese haben wir mit NAS übertragen. AD-Benutzer melden letzten Snapshot Änderungen ergeben einer Kingston-SA1000M8-M.2-SSD mit sich danach mit den bereits vorhandenen haben. So kann es zum Beispiel an einem 240 GByte ausgestattet und das SSD-Ca- Benutzernamen und Passwörtern am Wochenende der Fall sein, dass Anwender ching eingerichtet. Ziel war es, die Lese- NAS an. Damit muss der Administrator keine Daten modifizieren. und Schreibaktionen auf den langsamen nicht jedes einzelne Konto einrichten und HDDS zu beschleunigen und damit einen doppelt pflegen. Anbinden externer schnelleren Datenzugriff zu erhalten. Speicher gut umgesetzt Für die Einrichtung mussten wir zunächst Im weiteren Verlauf schlossen wir eine ex- Über die Speicherverwaltung riefen wir sicherstellen, dass das Datum und die terne USB-3.0-Festplatte an. Nachdem das den Punkt "SSD-Cache" auf und wählten Uhrzeit des NAS mit der Zeit des AD- System diese erkannt hatte, fragte es uns die vorhandene SSD der Erweiterungs- Servers übereinstimmen. Die zeitliche nach dem Einsatzzweck. Gut gefallen hat karte als Cache-Laufwerk aus. Danach Abweichung darf höchstens fünf Minuten uns, dass wir mit der File Station auf die richteten wir ein Volumen ein und akti- betragen. Um hier keine Fehler zu ma- Dateien zugreifen und sie direkt auf das vierten den Cache. Um eine praxisnahe chen, haben wir auf dem AD-Server einen NAS übertragen konnten. Das spart gerade Testreihe zu starten, haben wir jeweils NTP-Server aktiviert und diesen beim bei der ersten Einrichtung die meist zeit- mit und ohne Cache ein 154 GByte Fest- NAS als Zeitserver eingestellt. Damit er-

18 Dezember 2018 www.it-administrator.de QNAP TS-453Be Tests

PPTP, L2TP/IPSec und OpenVPN bereitstellt. Der Hersteller hat zudem noch einen eigenen QVPN-Client für Arbeitsplätze angekündigt, der sich dann mit dem NAS über das proprietäre Qbelt-Protokoll verbinden soll.

NICs trennen für mehr Sicherheit Im weiteren Verlauf der Einrichtung aktivierten wir die Bereitstellung einzelner Dienste, um diese über das Internet erreichbar zu machen. Über die Zugriffs- kontrolle stellten wir ein, dass das NAS Bild 3: Über das Control Panel legten wir Freigaben an und wiesen die Berechtigungen zu. nicht öffentlich sein sollte, also nicht erreichbar von allen, die die URL kennen, hielten wir einen sicheren Abgleich der wir aus den Domäneneinstellungen die sondern nur Anwender mit Einladung Zeit. Dann richteten wir die IP-Adresse entsprechenden Einträge aus. Die Zugriffs- darauf zugreifen dürfen. Der Nachteil von des Active-Directory-Servers als ersten rechte nahmen wir im Regelfall auf Basis myQNAPcloud ist, dass es keine indivi- DNS-Server am NAS ein. Über den AD- von Domänengruppen und Domänen- duelle Domain unterstützt. Somit muss Assistenten banden wir dann das NAS in computer vor. Allen anderen Gruppen und sich das Unternehmen mit der von QNAP die Domäne ein. Benutzern erteilte das System von vorn- bereitgestellten Domain zufriedengeben herein eine Zugriffsverweigerung. oder DDNS einrichten. Seit QTS 4.3.5 ist In der Rechteverwaltung erhielten wir da- es möglich, neben myQNAPcloud weitere nach eine Liste aller im AD vorhandenen Von überall erreichbar DDNS gleichzeitig zu nutzen. Benutzer. Auch die Domänengruppen Wo es früher ausreichte, nur aus dem LAN standen uns zur Verfügung. Diese Ein- auf die Netzwerkspeicher zuzugreifen, ist Über QNAP erhielten wir die Domain träge, Domänenbenutzer und -gruppen, heute der Zugriff aus dem Internet obli- "itadmin.myqnapclouod.com" und rich- konnten wir jetzt für die Rechtevergabe gatorisch. Daher wollten wir über QTS teten ein passendes SSL-Zertifikat ein. der Verzeichnisse nutzen. Zusätzlich ha- auch externe Dateifreigaben einrichten. Der Hersteller bietet ein kostenpflichtiges ben wir noch lokale Nutzer auf dem NAS Neben dem Teilen von Daten mit Dritten, myQNAPcloud-SSL-Zertifikat an oder angelegt, um so zum Beispiel externen etwa mit Dropbox, Google Drive oder Hi- erlaubt es, die kostenlose Variante von Anwendern gezielt Zugriff auf einige Da- Drive, wollten wir eine Anbindung exter- Let's Encrypt zu installieren. ten zu geben, ohne diese im AD einrich- ner Computer herstellen. Da die wenigsten ten zu müssen. Unternehmen über eine feste IP-Adresse Doch die Verbindung zum Internet ist verfügen, unterstützt QTS verschiedene nicht ohne Sicherheitsrisiko. Um das zu Zugriffsrechte basieren dynamische DNS-Dienste. An oberster minimieren, nahmen wir mit den beiden auf Berechtigungstypen Stelle steht das Hersteller-eigene Angebot Netzwerkkarten des NAS eine physische Um überhaupt Daten bereitstellen zu myQNAPcloud zur Verfügung. Weitere Trennung zwischen LAN und WAN vor. können, legten wir Freigabeordner an. DDNS-Anbieter sind DynDNS, FreeDNS, So haben wir eine Netzwerkkarte mit un- Im entsprechenden Dialog haben wir Google Domains, Strato und einige mehr. serem lokalen Netzwerk und das Netz- auch einen ISO-Freigabeordner erstellt. werkkabel der anderen Karte mit der Dabei wählten wir als Quelle eine auf Wir registrierten unser NAS in der QNAP - DMZ verbunden. Um dann auch das Ri- dem NAS liegende ISO-Datei aus, die das cloud und richteten den Zugang als DDNS siko des Zugriffs auf unerlaubte Dienste System dann als normalen Freigabeord- ein. Dabei aktivierten wir CloudLink, ein gering zu halten, haben wir die verschie- ner bereitstellte. Dienst, um mit mobilen Apps wie Qphoto, denen Dienste an die jeweilige Netzwerk- Qmusik und Qfile auf die NAS-Dateien karte gebunden. So war sichergestellt, dass Nach dem Erstellen einiger Ordner öffne- zuzugreifen. Der Dienst ist ferner notwen- Anwender nur die Funktionen nutzen ten wir die Funktion zur Bearbeitung der dig, um automatische Dateisynchronisie- konnten, die wir erlaubt haben. Berechtigung. Als Berechtigungstyp hatten rung zwischen verschiedenen Geräten, wir die Wahl zwischen dem Hostzugriff, auch mehreren NAS, durchzuführen oder Einbinden in bei dem wir die Erlaubnis über die IP- mittels der Windows-Software myQNAP- virtuelle Umgebungen Adresse steuerten, und dem NFS-Zugriff, cloud Connect per VPN mit den Daten Um virtuelle Umgebungen mit Speicher- über den wir das NFS-Zugriffsrecht be- des NAS zu arbeiten. Alternativ gibt es platz zu versorgen, ist in QTS eine Un- stimmten. Über die Benutzer-, Gruppen- noch QVPN, einen VPN-Dienst, der ver- terstützung zur Virtualisierung mit VM- und Computerrechte schließlich wählten schiedene unabhängige VPN-Server wie ware vSphere, Microsoft Hyper-V und

www.it-administrator.de Dezember 2018 19 Tests QNAP TS-453Be

denklichen RAIDs kombinieren lassen. Dank des PCIe-Steckplatzes lässt sich eine 10-GBit-Ethernet- oder eine Dual-M.2- SSD-Erweiterungskarte einsetzen. Schade, dass nur ein Steckplatz bereitsteht. Denn gerade bei der Virtualisierung, für die 10- GBit-Ethernet sinnvoll ist, sollte noch ein SSD-Cache die Datenübertragung beschleunigen. So muss sich das Unterneh- men für eines von beidem entscheiden. Unser Test hat gezeigt, dass der SSD- Cache gerade bei großen Dateien eine deutlich erhöhte Leserate bewirkt. Die Bild 4: Das App Center stellt weitere Funktionen bereit, mit denen sich die Fähigkeiten des NAS Anbindung an das Active Directory hat gezielt erweitern lassen. darüber hinaus ebenso problemlos ge- klappt wie die Verwaltung der Freigaben. Citrix XenServer integriert. Das System Drittanbietern. Neben der Container Sta- ersetzt aber keinen Virtualisierungshost. tion installierten wir Resilio Sync, eine Alles in allem hat uns das TS-453Be in In einer vSphere-Umgebung sind Zugriffe Software zum Synchronisieren von Da- Verbindung mit der QM2-2S-220A-Er- über VAAI mit NFS und iSCSI over teien in einem eigenen Peer-to-Peer-Netz- weiterungskarte überzeugt. Die Hard- RDMA (iSER) möglich. Das vSphere- werk. Wir starteten den Download und ware-Ausstattung ist ordentlich. Wem die Plug-in von QNAP stellt dazu die Spei- die anschließende Installation, wonach vier Festplatten auf Dauer zu wenig sind, cherschnittstelle zur Verfügung. Für Hy- die Funktion schnell bereitstand. Fehlen kann das NAS über Erweiterungsgehäuse per-V-Umgebungen bietet das System Anwendungen im Angebot, so kann der mit weiteren fünf oder acht Datenträgern ODX und Microsoft SCVMM. Und in ei- Administrator diese mit selbst erstellten bestücken. Durch das QTS-OS mit der ner XenServer-Installation können Zu- qpkg-Paketen nachinstallieren. modernen, schnellen und intuitiv bedien- griffe über NFS und iSCSI erfolgen. Da baren Weboberfläche und die Möglich- es bei der Virtualisierung stark auf die Auch Webanwendungen wie Joomla, Pres- keit, Funktionen mit Apps nachzurüsten, Geschwindigkeit ankommt, lässt sich das taShop und WordPress haben wir über sollte das NAS für nahezu jeden Einsatz- TS-453Be um eine 10-GBit-PCIe-Netz- das App Center installiert. Doch ein Wer- zweck gewappnet sein. (ln) werkkarte erweitern. mutstropfen ist, dass QNAP mit dem letzten Update von QTS immer noch PHP So urteilt IT-Administrator Für noch mehr Virtualisierung installier- 5.6 ausliefert. Gerade Joomla und Word- ten wir aus dem App Center die Contai- Press setzen auf PHP 7. Hier wäre es wün- Konfiguration der Datenträger 7 ner Station. Mit dieser Erweiterung konn- schenswert, wenn der Hersteller die Mög- ten wir LCX- und Docker-Container lichkeit schafft, bei der Einrichtung der Anbindung an das Active Directory 6 ausführen und so zum Beispiel eine vir- vhosts die PHP-Versionen und andere tuelle Linux-Maschine mit Ubuntu auf Webservereinstellungen zuzuweisen. Bis Einrichten von Dateifreigaben 6 dem NAS laufen lassen. dahin müssen sich die Anwender mit der zuvor erwähnten Container Station ent- Verwalten von Berechtigungen 7 Funktionsplus durch App Center sprechende Docker-Container einrichten. Das App Center eignet sich hervorragend, Funktionen des Webservers 5 um das NAS um Funktionen zu erweitern, Fazit Die Details unserer Testmethodik finden Sie die nicht direkt verfügbar sind. Die Apps Das QNAP TS-453Be ist mehr als eine unter www.it-administrator.de/testmethodik sind in verschiedene Gruppen wie Siche- Speicherlösung im Netzwerk. Durch das rung, Kommunikation, Entwicklerwerk- eigene NAS-Betriebssystem QTS bohrt Dieses Produkt eignet sich zeuge, Überwachung et cetera unterteilt. der Hersteller den Funktionsumfang des optimal für den Einsatz als Netzwerkspei- Der Großteil der Angebote ist kostenlos, Geräts kräftig auf. Die Unterstützung von cher in kleinen und mittleren Unternehmen. einige andere, wie ein McAfee-Virenscanner vier 3,5- oder 2,5-Zoll-Laufwerken erlaubt und die Unterstützung von exFAT-Lauf- die Ausstattung mit bis zu 40 TByte. Für bedingt als Webserver, da sich die bereitge- werken, sind kostenpflichtig zu lizenzieren. die neuen 14-TByte-Ironwolf-Festplatten stellten Funktionen schlecht konfigurieren Ein ClamAV-Virenscanner ist jedoch bereits von Seagate gibt es zwar laut Hersteller lassen und der Hersteller PHP noch mit Versi- vorinstalliert und kostenlos. noch keine ausführlichen Tests, aber auch on 5.6 ausliefert. diese sollten theoretisch problemlos lau- nicht als vollständiger Ersatz für Virtualisie- Unter den Angeboten fanden wir nicht fen. Dann sind es bis zu 56 TByte, die im rungsumgebungen. nur Apps von QNAP, sondern auch von NAS bereitstehen und sich in allen er-

20 Dezember 2018 www.it-administrator.de Unsere Helden im Einsatz – gemeinsam erreichen wir Ihre Ziele!

Timo Egeler Unser Key-Account-Held

Wenn es darum geht, neue IT-Umgebungen unserer Kunden zu konzeptionieren und in die Tat umzusetzen, dann bilden unsere Key Account Manager die zentrale Anlaufstelle für jegliche Anfragen. Sie scheuen keine Mühen, holen Experten verschiedener Fachbereiche mit ins Boot und arbeiten eng mit Ihnen und den Kollegen aus Consulting und Technik zusammen. Gerne auch bei Ihnen vor Ort, um so ein massgeschneidertes Bündel für Ihre Anforderungen zu schnüren. Fragen Sie einfach unsere heimlichen Helden – Timo und seine Kollegen kümmern sich um den Rest.

+49 (0) 8551.9150-300 thomas-krenn.com/timo Veeam-Backup für Linux Auf Knopfdruck Quelle: olivier26 – 123RF sichern von Frank-Michael Schlede und Thomas Bär

Veeam sichert nicht nur virtualisierte Systeme, sondern zunehmend auch physische Rechner oder Maschinen in der Cloud. Mit der Neuauflage des Veeam Agent for Linux verbindet der Anbieter traditionelle Sicherungsansätze mit modernen Anforderungen. Das gelingt ganz gut, wie wir im Test feststellen konnten.

B ackup und Recovery gehören eher Cloud-Speicher zum Einsatz kommen, Software stets darauf basierte, dass der zu den Pflichtaufgaben des IT-Ad- sinken die Kosten für eine brauchbare Si- Backupvorgang aus dem Hypervisor he- ministrators und neue Produkte sorgen cherung eigentlich immer weiter. raus gestartet wurde und das virtualisierte kaum für Begeisterungsstürme bei der Gastbetriebssystem keine Änderung Zielgruppe. Eigentlich schade – denn die Beim Veeam Agent for Linux handelt es durch das Vorhandensein der Sicherungs- smarten und leistungsfähigen Programme sich um eine klassische Backup- und Re- software erfuhr. Beim Veeam Agent for sind in der Lage, im Notfall den Ge- covery-Lösung für Linux-Systeme. Ob Linux wird direkt aus dem Gastbetriebs- schäftsbetrieb zu retten. Ist eine Sicherung das Betriebssystem und die darauf betrie- system heraus gearbeitet – eben wieder vorhanden und wurde die Wiederherstel- benen Applikationen und Services auf ei- ganz klassisch. Der Vorteil dieser doch lung in der Vergangenheit schon einmal ner physischen Maschine oder als virtua- eher ursprünglichen Herangehensweise praktisch erprobt, gehen IT-Profis mit lisierter Gast auf einem Hypervisor-Host ist die Unabhängigkeit vom Hypervisor. deutlich mehr Ruhe und Gelassenheit bei laufen, ist für die Sicherungssoftware von Somit kann der Administrator auch Datenverlusten oder dem Befall von Mal- Veeam unerheblich. Praktischerweise ist cloudbasierte Systeme, beispielsweise in ware vor als ohne diese Freikarte. die Software somit eine einheitliche Si- einer Microsoft Azure Cloud oder auf ei- cherungslösung für Laptops, Desktop- ner Hosting-Plattform, problemlos mit Wer nicht sichert, ist wohl selbst schuld PCs und Server gleichermaßen, ohne dass der Backupsoftware ausstatten. – denn teuer sind die Backup-Programme der Administrator für die jeweilige Ge- an sich nicht. Erst im Zusammenspiel mit räteausprägung einen anderen Agent zum Als Speicherziel bieten sich externe oder Bandrobotern oder Streamern steigen die Einsatz bringen müsste. lokale Platten oder Wechseldatenträger, Anschaffungskosten. Da zunehmend Netzlaufwerke in SMB- oder CFS-Gestalt mehr auf Platte gesichert wird und, bei Wer die Produkte aus dem Hause Veeam oder ein Veeam Backup Repository im ausreichend schneller Anbindung, sogar kennt, weiß, dass die erste Generation der Zusammenspiel mit Veeam Backup & Re-

22 Dezember 2018 www.it-administrator.de Veeam für Linux Tests

eine dreimonatige Testversion mit vollem Leistungsumfang. Hierzu ist lediglich die Eingabe einiger persönlicher Informatio- nen erforderlich.

Beim ersten Blick in das in Englisch ver- fasste PDF-Dokument als Handbuch er- schrecken die 265 Seiten, auf denen das Produkt erklärt wird. Glücklicherweise stellt sich recht rasch heraus, dass die unterschiedlichen Beschreibungen zur Installation der Software unter den verschiedenen Distributionen viel Platz beanspruchen. Dank der guten Qualität der Dokumentation dürften auch Win- dows-Administratoren, die nur wenige Bild 1: Ohne die komplette Sicherungs-Suite kann der Administrator Jobs über die Kommandobefehle Linux-Server zu betreuen haben, sehr gut oder den textbasierten Assistenten anlegen und anpassen. mit dem Programm und der dazugehö- rigen Anleitung klarkommen. covery an. Der Agent ist in der Lage, ein- tenbank-Engine zur Speicherung von zelne Verzeichnisse, Dateien, Volumes Konfigurationsdaten. Für unseren Test wählten wir eine als Ser- oder den ganzen Computer zu sichern. ver ausgeprägte CentOS-7.5-Installation Mit etwas mehr Komfort als gewohnt Funktionen des neuen Veeam mit grafischer Oberfläche, virtualisiert startet das "Recovery"-Medium von Vee- Mit der Vorstellung der zweiten Version unter VMware und ausgestattet mit einem am, das neben den Wiederherstellungs- hat Veeam das Produkt deutlich aufge- Apache2-Webserver und einer kleinen optionen auch einige typische Linux-Be- wertet. Clients, die der Administrator MariaDB-Installation als Datenbanksys- fehle auf der Kommandozeile erlaubt. über die Veeam Availability Suite verwaltet, erhalten von dort aus ihre Konfigu- Veeam Agent for Linux 2.0.1 Ein Blick auf die Technik ration und liefern Informationen zu den Technisch bietet die Software keine gro- Sicherungs- und Wiederherstellungspro- Produkt ßen Besonderheiten. Bei der Installation zessen an die Managementsoftware. Backup-Software für Linux. wird der so genannte veeamservice, das Durch regelmäßiges "Active Full Backup" Hersteller eigentliche Service-Modul, auf dem Sys- verkürzt sich die Abhängigkeit von auf- Veeam Software tem eingerichtet. Dieser Dienst ist ver- einanderfolgenden Backup-Dateien. www.veeam.com antwortlich für alle Aufgaben der Software Preis und verwaltet die nötigen Ressourcen. Er- Die externe Sicherung über Veeam Cloud Der Einführungspreis für die Workstation- wartungsgemäß handelt es sich hierbei Connect ist sicherlich die größte Erwei- Edition liegt bei 27 Euro pro Jahr, der regulä- um einen automatisch startenden Dae- terung der Software. Veeam-Servicepro- re Preis bei zirka 44 Euro pro Jahr. Die Server- mon, der im Hintergrund seine Arbeit vider können ihren Kunden einen über Edition kostet 132 Euro pro Jahr. Abonne- verrichtet. Der Veeam Agent for Linux das Internet erreichbaren zentralen Spei- mentoptionen und Mengenrabatte nennt der Job Manager, der veeamjobman, wird für cherbereich zur Ablage von Backups bie- Hersteller auf Anfrage. jeden Backupjob vom Service gestartet. ten. In diesem Zusammenhang ist die Systemvoraussetzungen: Der "Veeam Agent" selbst kommuniziert neue quellseitige Verschlüsselung der x86-Prozessor (i386 oder höher), mindestens mit den bereits benannten Prozessen und Backupdaten auf dem Ursprungssystem 1 GByte RAM, 100 MByte freier Festplatten- ist zuständig für das Kopieren von Daten erforderlich. Noch vor der Übertragung speicher für die Installation der Software, während des Backups, die Datenübermitt- auf das Backupzielsystem wird die Siche- Linux-Kernel 2.6.32 oder höher. lung beim Restore und für die automati- rung verschlüsselt. Beim Update auf 2.0.1 Unterstützte Distributionen: Ubuntu 18.04, sche Daten(de)komprimierung. haben die Entwickler den Support für CentOS/Oracle Linux 7.5, RHEL 7.5, Fedora SLES for SAP und Red Hat 7.5 eingear- 27 und 28, openSUSE Leap 15 und SLES Zwei weitere Programmelemente vervoll- beitet und die Möglichkeit für ein aktives 12SP2 for SAP. Die Unterstützung umfasst sämtliche von den Distributionen gebotenen ständigen das System: Einmal wäre dort Full-Backup über das CLI umgesetzt. Dateisysteme, mit Ausnahme von BTRFS, ZFS der Treiber "Veeam Agent for Linux und NSS. Driver", der veeamsnap, ein Linux Ker- Unkompliziert eingerichtet Technische Daten nelmodul, verantwortlich für die Durch- Das Testen der Software macht der Her- www.it-administrator.de/downloads/ führung eines Volume-Snapshots unter steller dem Interessenten glücklicherweise datenblaetter Linux, und zum anderen die SQLlite-Da- sehr einfach. Über die Webseite gibt es

www.it-administrator.de Dezember 2018 23 Tests Veeam für Linux

Standardeinstellung von Veeam würde ein Backupjob erst gar nicht gestartet, sofern ein Pre-Freeze-Job nicht über das Rückmelden von "0" seinen ordnungsge- mäßen Durchlauf anzeigt. Bei Bedarf kann der Administrator aber auch dieses Verhalten anpassen, indem in der INI- Konfigurationsdatei ein auskommentier- ter Parameter auf "true" gesetzt wird.

Sichere Wiederherstellung Geht es nach dem Hersteller, ermöglicht der Veeam Agent for Linux eine schnelle Wiederherstellung der Linux-Instanzen und sorgt damit für eine höhere Verfüg- barkeit. Veeam Agent for Linux selbst bietet verschiedene Wiederherstellungsop- tionen. Für den Komplettausfall des Bild 2: Der Veeam Agent for Linux arbeitet besonders komfortabel ursprünglichen Systems ist das "Bare-Me- mit Veeam Backup and Replication zusammen. tal-Recovery" die wichtigste Funktion. Schon beim Herunterladen der Software tem. Als zweites Testobjekt kam eine phy- "Server"-Edition vorbehalten. Die "Free"- erinnerte diese daran, dass der Adminis- sische Ubuntu-18.04-Installation auf ei- Variante benötigt, um ein Veeam-Backup- trator das ISO-Image für das Recovery, nem Laptop zum Einsatz, konfiguriert als Repository als Zielspeicherort zu verwen- passend zur Distribution, herunterladen einfache Workstation. Als dritter Test- den, eine gültige Lizenz für "Veeam möge. Spätestens nach der ersten Einrich- kandidat fungierte eine weitere CentOS- Backup & Replication". Ansonsten ent- tung eines Backupjobs und dem zweiten 7.5-Instanz, betrieben als virtuelle Ma- spricht die kostenfreie Version der Work- Aufruf des Menüs folgte in unserer Test- schine in der Kamp-Cloud. station-Variante, jedoch ohne Anspruch stellung eine weitere Erinnerung. auf Support-Leistungen durch Veeam. Die Installation unterscheidet sich in Ab- Bei diesem zweiten Dialog kam es zu ei- hängigkeit zur Distribution recht deutlich. Nach der Eingabe konnten wir über das ner wichtigen Ergänzung – das Standard Unter CentOS, RHEL und SLES gibt es textbasierte Menü unsere Backupjobs pro- Recovery-Image könnte möglicherweise keine Notwendigkeit, die Abhängigkeit blemlos anlegen, bearbeiten, zeitlich steu- nicht alle erforderlichen Systemtreiber von lvm2 und dkms zu erfüllen, die alle ern oder auch wieder entfernen (Bild 1). enthalten, um das derzeit gesicherte Be- anderen Linux-Varianten benötigen. So- Insgesamt zeigt sich die Software auch an triebssystem garantiert wiederherstellen fern der zu installierende Computer über dieser Stelle recht einfach in der Bedie- zu können. Für diesen Fall bietet das Pro- keinen Internetzugang verfügt, findet der nung. Wer eine volle Automatisierung gramm eine Erweiterung des ISOs über aufmerksame Leser in der Dokumenta- gegenüber einer herkömmlichen Befehls- Kommandozeilenbefehle an. Folgerichtig tion einen entsprechenden Abschnitt zur zeilenschnittstelle bevorzugt, kann dies empfiehlt es sich für den Administrator, Einrichtung im "Offline Mode". auch weiterhin haben. Alle Befehle, von für jede gesicherte Maschinenserie ein der einfachen Backup-Erstellung über passendes Recovery-Image vorzuhalten. Nach der Installation starten der Admi- Änderungen im "Backup Repository" bis Das ist mit einigem organisatorischen nistrator oder der berechtigte Anwender zur Prüfung von Zielen, findet der inte- Aufwand verbunden, es sei denn, es wer- die lokale Veeam-Einrichtung über einen ressierte Leser in der Dokumentation. den nur sehr wenige oder sehr ähnliche Aufruf im Terminal. Ehe jedoch ein Si- Rechner gesichert. Im Test funktionierte cherungsauftrag angelegt werden kann, Äußerst praktisch ist die Möglichkeit zur die Bare-Metal-Wiederherstellung auch gilt es die Lizenzfrage zu klären. In der Benennung von Pre-Job und Post-Job ohne die Ergänzung der Treiber und der Variante "Workstation" können Benutzer Scripts, mit deren Hilfe der Administrator Vorgang erklärte sich von allein. eine Vielzahl der hier beschriebenen beliebige Vorbereitungen oder Nachar- Funktionen, auch die integrierte Snap - beiten steuern kann. In der Server-Edition Die zweite Wiederherstellungsmethode shot-Funktion mit Change-Block-Tra- geht die Anpassbarkeit noch einen Schritt bezieht sich auf ein Volume. Veeam ist in cking-Treiber (CBT) für eigene Backups weiter. Die so genannten Pre-Freeze- der Lage, ein vollständiges Volume einer oder auch die quellseitige Verschlüsse- /Post-Thaw-Snapshot-Skripte sorgen für Linux-Instanz aus dem Backup wieder in lung, nutzen. Lediglich die Unterstützung anwendungskonsistente Verarbeitung beiden gewünschten Zustand zurückzuset- für mehrere Jobs und die Pre-Freeze/Post- spielsweise für transaktionskonsistente zen. Bei der Wiederherstellung auf Da- Thaw-Snapshot-Skripts sind der teureren Backups im Datenbankbereich. In der teiebene kann der Administrator einzelne

24 Dezember 2018 www.it-administrator.de Veeam für Linux Tests

Je nach Einstellung wird auf der Appli- ance ein FTP-Server aktiviert, um Dateien im größeren Umfang automatisch abzie- hen zu können. Ansonsten sieht der Ad- ministrator die Dateien und Verzeichnisse direkt in der Konsole von Veeam Backup & Replication und kann sie von hier aus an einer beliebigen Stelle im Dateisystem zurückholen. Wenn eine Verknüpfung mit Microsoft Azure besteht, gibt es die Möglichkeit, eine mit dem Veeam Agent for Linux gesicherte Maschine auch dort wiederherzustellen, sofern die Sicherung als "Gesamtmaschine" oder auf "Volume level" erzeugt wurde. Bild 3: Bei Bedarf erzeugt Veeam Backup & Replication automatisch eine sogenannte FLR-Appliance zur Datenwiederherstellung. Fazit Mit der Vorstellung des neuen Veeam Verzeichnisse oder Dateien aus der Si- haften Verbindung zum Backup-Server Agent for Linux schließt der Hersteller cherung zurückholen. Praktischerweise zu verwenden. Die "Managed by agent"- zunehmend die Lücken im Bereich der hängt die Software hierzu das Backup als Variante eignet sich folgerichtig für das physischen Maschinen und unterstreicht eigenen Mountpoint in das Dateisystem Gegenstück: den Linux-Rechner mit noch einmal seine Marktstärke. Veeam ein, ohne den aktuellen Stand des zu si- schlechter Anbindung an den Backupser- ist in der Lage, mit neuen Produkten und chernden Bereichs zu beeinflussen. Über ver und mit recht geringer Last. einem hohen Innovationsgrad neue Käu- die Bordmittel des Betriebssystems oder fergruppen anzusprechen. Der Firma ist einen zusätzlichen File-Explorer kann der Jobs unter "Backup and Replication” kann es gelungen, einen Software-Agent vor- IT-Profi selektiv die gewünschten Ele- der Administrator mit einem Mausklick zustellen, der im Einzelbetrieb wie auch mente zurückholen. auf mehrere Computer in einer Gruppe mit der großen Backup-Software einen anwenden. Eine weitere, nicht unwichtige nützlichen Dienst leistet. (of) Im Zusammenspiel mit Funktion ist die Wandlung von Volume- Veeam Backup & Replication Backups direkt in virtuelle Festplatten im So urteilt IT-Administrator Veeam kommt aus dem Backup- und Re- VMDK-, VHD- oder VHDX-Format. covery-Umfeld für virtuelle Umgebungen Über diesen Weg ist es für den IT-Profi Inbetriebnahme 6 und hat sich seit Jahren unter VMwares ein Leichtes, virtuelle Platten zu erzeugen vSphere und Microsoft Hyper-V einen und ohne weitere Zwischenschritte bei- Backup 7 Namen gemacht. Sofern der Benutzer be- spielsweise auf einer ESX-Installation in reits ein aktuelles Veeam Backup & Re- eine andere, bereits bestehende virtuelle Recovery 8 plication 9.5 Update 1 betreibt, eignet sich Maschine einzubinden. dieses optimal für das Zusammenspiel Zusammenspiel Suite 7 mit dem aktuellen Linux-Client (Bild 2). Eine Indizierung von Gastdateisystemen, Zwar kann der Administrator auch ohne Katalogsuche und Wiederherstellung mit Eignung Cloud-Einsatz 7 das große Backuppaket den Agent for Veeam Backup Enterprise Manager mit Die Details unserer Testmethodik finden Sie Linux verwenden, größeren Komfort mit schneller Suche und Recovery von Datei- unter www.it-administrator.de/testmethodik grafischer Jobüberwachung und -aus- en per Mausklick ist ebenfalls problemlos wertung gibt es jedoch mit der großen möglich. Wer sich schon mit Backup & Dieses Produkt eignet sich Backuplösung von Veeam. Replication und VMware beschäftigt hat, optimal für Unternehmen, die ihre physikali- kennt das Konzept der "FLR helper ap- schen Linux-Server oder -Workstations im Schon allein der Assistent für das Anlegen pliance" (Bild 3), die es insbesondere für Gesamtkontext von Veeam sichern möchten. von Jobs ist optisch und inhaltlich der Linux und Unix gibt. Zur Wiederherstel- Textvariante von der Konsole überlegen. lung verwendet die Software ein Minia- bedingt für Firmen, die bereits eine kom- Hier beginnt die Fragestellung zunächst turbetriebssystem, das unter ESX zum plett ausgebaute Backup- und Recovery- damit, in welchem Modus der Job zu er- Einsatz kommt. Der Administrator wählt Infrastruktur mit anderen Produkten aufge- zeugen ist. Zur Auswahl steht "Managed das Hostsystem, ordnet das virtuelle Netz- baut haben. by backup server", mit der Empfehlung, werk zu, vergibt bei Bedarf eine VLAN- nicht für Firmen, die keine Linux-Server im dies für Systeme im Dauerbetrieb, mit ID und kann DHCP oder eine feste IP- Einsatz haben. hoher Systemlast oder mit einer dauer- Adresse verwenden.

www.it-administrator.de Dezember 2018 25 Virtual Instruments Virtual Wisdom und Workload Wisdom

Röntgenblick – 123RF Jaturawutthichai Puwadol Quelle: von Jürgen Heyer

Zeigen sich in einer Virtualisierungsumgebung auf mehreren Systemen Performanceprobleme, gestaltet sich die Ursachenforschung oft als sehr schwierig. Vor allem, wenn als Fehlerquelle auch die darunter liegende Infra- struktur in Frage kommt, lässt sich diese häufig mit den üblichen Messmethoden nicht exakt orten. Bei der Prüfung der einzelnen Komponenten und Schichten scheint jede tadellos zu funktionieren, aber das Gesamtresultat entspricht nicht den Erwartungen. Genau hier überzeugt Virtual Instru- ments mit zwei gemeinsam agierenden Messwerkzeugen.

E s ist eher ungewöhnlich, dass wir Unverfälschte Messungen auf Patch Panel, um den FC-(Fibre Channel)- bei einem Test nicht nur ein Pro- Hardwareebene Verkehr mitzuschneiden. Es handelt sich dukt betrachten, sondern zwei. Doch bei- Die Virtual-Wisdom-Plattform besteht um einen passiven optischen Splitter, der de arbeiten so eng zusammen, dass sich aus mehreren Hardwarekomponenten, einen Teil des Lichts für die Aufzeichnung das gesamte Potential erst eröffnet, wenn die bei der Infrastrukturanalyse zusam- des Datenverkehrs auskoppelt, wobei es wir beide im Zusammenhang betrachten. menarbeiten, indem sie die notwendigen zwei Modelle mit 20 und 30 Prozent Aus- Das erste Produkt des Herstellers Virtual Daten sammeln, speichern und auswer- kopplung gibt. Dieser geringe Anteil stört Instruments heißt "Virtual Wisdom" und ten. Herzstück ist die Virtual-Wisdom- die Kommunikation nicht, verändert das ist ein Werkzeug für Infrastruktur-Per- Platform-Appliance. Dies kann für sehr Signal auch nicht und erzeugt keine La- formance-Management (IPM): Sein Ziel kleine Installationen eine VM sein, an- tenz. Da eine Verbindung immer aus zwei ist es, die Last in der Infrastruktur sowie sonsten ein Rechner im 19-Zoll-Format Lichtwellenleitern für den Datenverkehr das Lastverhalten zu analysieren und bei mit einer Höhe von zwei Höheneinheiten in beide Richtungen besteht, werden ent- Bedarf Lastprofile aufzuzeichnen. (HE), der die diversen Echtzeitdaten von sprechend zwei Splitter zwischengeschal- VMs, Servern sowie aus dem SAN- und tet, um das Signal in vollem Umfang mit- Diese Lastprofile wiederum lassen sich NAS-Netzwerk speichert und miteinan- schneiden zu können. FC-Kanäle mit bis in das zweite Produkt namens "Workload der korreliert. Auf der Front befinden sich zu 16 GBit Durchsatz lassen sich analy- Wisdom" importieren. Workload Wis- einige LEDs, die den Zustand der Hard- sieren. Es gibt verschiedene Ausführungen dom ist ein Lastgenerator, der entweder warekomponenten wie Netzteile, Lüfter und in ein TAP Patch Panel mit einer HE anhand manueller Vorgaben oder eben und Festplatten signalisiert. Auf der Rück- im 19-Zoll-Rack passen bis zu 48 Patch anhand eines importierten Lastprofils ei- seite sind unter anderem zwei Netzwerk- Links. Um die Gesamtanzahl der benö- ne definierte Last erzeugt, um beispiels- ports für das Management und den ei- tigten TAPs in einem vernünftigen Rah- weise vor Migrationen innerhalb des Un- gentlichen Datenverkehr angeordnet. men zu halten, empfiehlt sich eine Instal- ternehmens oder in eine Cloud Engpässe lation nahe der Speichersysteme, da es in der Infrastruktur aufzudecken oder bei Die Inbetriebnahme erfolgt über den Ma- hier in der Regel weit weniger Ports gibt Neuanschaffungen von Speichersystemen nagementport sowie ein direkt angeschlos- als auf der Serverseite. Die TAP Patch Pa- zu bewerten, ob sie ihrem gedachten Ein- senes Notebook. Für den Datenverkehr nels können dabei herkömmliche Patch satzzweck gewachsen sind. Virtual und reicht ein Port, da die Appliance nur mit Panels ersetzen. Workload Wisdom arbeiten also bei der diversen Probes kommuniziert, die die ei- Lastanalyse und deren Simulation für Un- gentliche Datenerfassung übernehmen. Um den so ausgeleiteten Datenverkehr tersuchungen sehr eng zusammen. Hier gibt es das TAP (Traffic Access Point) aufzuzeichnen, werden weiterhin Hard-

26 Dezember 2018 www.it-administrator.de Virtual Wisdom & Workload Wisdom Tests

ware-basierte SAN Performance Probes sen. Das Gerät im 19-Zoll-2-HE-Format innerhalb der genannten Hypervisoren. Ei- benötigt, die mit den Panels verbunden verarbeitet die Protokolle NFSv3, SMBv2 ne weitere Software-basierte Probe namens werden. Diese gibt es ebenfalls mit bis zu sowie SMBv3. Hier geht es darum, das "FC Network Switch ProbeSW" erfasst die 48 Ports als 19-Zoll-Geräte mit ein oder Verhalten des IP-Verkehrs zu analysieren Speicher- und Netzwerkinformationen, die zwei HE Bauhöhe. Sie zeichnen den Da- und mit Informationen von anderen über SMI-S und SNMP laufen, um auch tenverkehr nicht nur auf, sondern über- Probes zu korrelieren. diese Statistiken mit für die Korrelation zu nehmen auch einen Teil der Verarbeitung, nutzen. Gerade Fehlermeldungen erfolgen indem sie Metriken kalkulieren und die Indem Virtual Wisdom wie beschrieben häufig via SNMP. Unterstützt werden FC- Daten korrelieren. Ziel ist es, das Verhal- in der Lage ist, direkt auf der Hardware- Switches von Brocade und Cisco. Auch vor ten des Datenverkehrs mit Durchsatz und Ebene den Datenverkehr zu analysieren, Software-defined Storage (SDS) macht Vir- Latenzen genau zu erfassen, die eigentli- lässt sich ausschließen, dass eine dazwi- tual Wisdom nicht Halt, sondern hat Pro- chen Dateninhalte aber zu verwerfen. Die schenliegende Softwareschicht wie ein Be- beSDS entwickelt, um SDS und Hyper-Con- Kommunikation mit der Virtual-Wis- triebssystem oder ein Hypervisor etwas verged-Infrastructure-(HCI)-Lösungen zu dom-Appliance enthält damit nur noch verfälscht oder gar bei einem Problem die überwachen. Dies umfasst aktuell die Inte- Informationen zum Datenverkehr, nicht Ursache ist. Auch ist Virtual Wisdom so in gration von VMware vSAN sowie Dell mehr zu den Inhalten. der Lage, wirklich jedes einzelne Datenpa- EMC ScaleIO. ket mitzuschneiden und die Analyse ent- Analog zur Auswertung des FC-Verkehrs sprechend genau herunterzubrechen. Das Zur Integration des IP-Netzwerkverkehrs gibt es eine NAS Performance Probe, die ist ein Alleinstellungsmerkmal gegenüber gibt es eine ProbeNetflow mit Unterstüt- über 16 10-GBit-Ethernet-Links den IP- vielen anderen Messtools wie beispielsweise zung von NetFlow, jFlow, IPFIX sowie basierten Datenverkehr in Echtzeit mit- dem Performance Monitor von Windows, SFlow. Wer auf die Cisco-MDS-9700-Serie schneiden kann. Neben den 10-GBit- der immer einen Mittelwert über ein In- setzt, kann das mit diesem Switch verfüg- Ethernet-Anschlüssen können die Probes tervall bildet, so dass hier einzelne Spitzen bare SAN Telemetry Streaming verknüp- über die beschriebenen TAPs auch den durchaus verschwinden können. fen. Dieser SAN-Switch sammelt selbst IP-Verkehr in LWL-Verbindungen erfas- über einen integrierten ASIC die Teleme- Für eine ganzheitliche Sicht bis hin zur triedaten im SAN und kann sie über ein Virtual Instruments Virtual Applikation ist es allerdings erforderlich, Interface an Virtual Wisdom weitergeben. Wisdom und Virtual Workload nicht nur auf der Hardware-Ebene, son- Wer auf diese Technik setzt, kann im Ge- dern auch in den verschiedenen Software- genzug auf die oben erwähnten TAPs ver- Produkt schichten zu messen und zu analysieren. zichten oder deren Einsatz zumindest Kombinierte Soft- und Hardwarelösung für Hierzu gibt es weitere, nachfolgend be- reduzieren. Für das Monitoring von Spei- Infrastruktur-Performance-Monitoring und schriebene Software-basierte Probes. chersystemen von NetApp gibt es eine ei- -Analyse. Die Appliance dient der Lastsimulation im Speichernetzwerk gene Schnittstelle namens ProbeNTAP und In Softwareschichten messen der Vollständigkeit halber wollen wir ab- Hersteller Virtual Instruments Um auf Hypervisor-Ebene die Perfor- schließend noch die Integration von App- www.virtualinstruments.com mancedaten mitzuschneiden, gibt es die Dynamics sowie SSH/WMI erwähnen. Software-basierte ProbeVM-Familie für Preis Eine Ad-hoc-Unterstützung bei vSphere, PowerVM und Hyper-V. Die ver- Obwohl wir die einzelnen Probes hier nur Infrastrukturproblemen ist ab 22.000 Euro schiedenen Probes analysieren den Daten- kurz angesprochen haben, wird aus der erhältlich. Eine permanente Nutzung von verkehr und die Last (CPU, RAM und I/O) dennoch langen Beschreibung schnell er- Virtual Wisdom ist bei einer rein Software basierten Lösung ab 25.000 Euro möglich, lizensiert wird nach der Anzahl der aktiven FC/NAS-Ports und der Anzahl der physischen Server. Systemvoraussetzungen Durch den Appliance-Annsatz lassen sich keine genauen Systemvoraussetzungen angeben. Sinnvoll ist ein Einsatz in erster Linie in komplexen Infrastrukturen, in denen große Speichersysteme mit Fibre-Channel- oder iSCSI-Anbindung oder neue Hyper- Converged-Lösungen zum Einsatz kommen. Technische Daten www.it-administrator.de/downloads/ Bild 1: Die einzelnen Fenster des Dashboards geben die Antwort datenblaetter auf unterschiedliche Fragen zur Infrastruktur.

www.it-administrator.de Dezember 2018 27 Tests Virtual Wisdom & Workload Wisdom

sichtlich, wie umfassend die Integrations- möglichkeiten von Virtual Wisdom sind, um an möglichst vielen Punkten messen und die Resultate korrelieren zu können. Das Produkt ist wie eine Krake, die sich über die gesamte Infrastruktur spannt. Dabei muss der IT-Verantwortliche jedoch beachten, dass dies in einem größeren Netzwerk einen nicht unerheblichen zu- sätzlichen Verschaltungsaufwand nach sich zieht. Ein großer Vorteil der zahlreichen unterschiedlichen Probes und Messmög- lichkeiten ist, dass Speicher- und Netzwerk- administratoren das Tool gleichermaßen Bild 2: Die Topologie-Ansicht zeigt die Zusammenhänge und die Kommunikation der Infrastruktur- nutzen und übergreifende Zusammenhän- komponenten auf. Objekte mit offenen Alarmen sind gelb markiert. ge besser erkennen können. Das allseits bekannte Fingerpointing auf die andere Frak- namens "Set Report Time" für alle Grafiken Damit Virtual Wisdom die Zusammen- tion lässt sich so vermeiden. zu übernehmen, sodass sämtliche Ansich- hänge überhaupt erkennen kann, muss ten zusammenpassen. es eine Inventarisierung durchführen Aufgrund der Komplexität des Produkts und die Topologie kennen. Beim Inven- werden sich einige Leser sicher fragen, Weiterhin kann der Administrator unter tar unterscheidet das Tool zwischen Ap- wie wir für diesen Test vorgegangen sind. anderem Vorgaben zur SLA-Einhaltung plikationen, Datenverkehr (Konversa- Nachdem in den Vorgesprächen schnell machen, indem er hier beispielsweise eine tionen getrennt nach Fibre Channel, klar geworden ist, dass ein eigener Test- maximale zulässige Latenz gegebenenfalls NFS, SMB und Netzwerk), Compute- aufbau in unserem Labor wenig Sinn er- in Verbindung mit einem prozentualen Komponenten (Hosts mit HBAs, ESX- gibt, weil die entsprechende Infrastruktur Anteil (zum Beispiel "99,9 Prozent der Cluster, -Datastores, -Hosts und -VMs, zum Vermessen gar nicht vorhanden war, Leseoperationen müssen in weniger als Hyper-V, Power-VM-Hosts, -VIOS-Par- wählten wir dieses Mal einen anderen 100 Millisekunden erledigt sein") vorgibt titionen und anderen Partitionen, virtu- Weg. Wir bekamen vom Hersteller einen und Virtual Wisdom nun kontrolliert, ob ellen Ethernet-Ports sowie IP-Adressen), Zugang auf eine Demoumgebung sowohl diese SLA eingehalten wird oder nicht. Netzwerkkomponenten sowie Speicher- von Virtual als auch Workload Wisdom systemen, getrennt nach SAN, NAS und und konnten uns dort teils unter Anlei- Die gesammelte Darstellung erfolgt in SDS. Über eine leistungsfähige Drill- tung, teils selbständig bewegen, mit den der GUI auf der Dashboard-Seite, die aus down-Funktion kann der Administrator grafischen Oberflächen arbeiten und ein- einer Vielzahl an kleinen, bunten Fens- jeden Eintrag anklicken und dann wei- zelne Aufgaben starten. Mit den Hard- tern (Widgets) besteht. Es sind hierbei tere Details einsehen. warekomponenten kamen wir verständ- so viele Fenster, dass sie sich auf einem licherweise nicht in Berührung. Bildschirm gar nicht gleichzeitig darstel- Fehlersuche als Dienstleistung len lassen, sondern der Betrachter mehr- Auswertungen bis fach nach unten scrollen muss. Gut ge- Neben dem ständigen Einsatz der Tools in ei- ins letzte Detail fallen hat uns, dass die Überschrift jedes nem Unternehmen bietet Virtual Instruments Die Bedienung von Virtual Wisdom erfolgt Widgets als Frage aufgebaut ist und die auch ein Notfallprogramm als Dienstleistung an. Hat ein Unternehmen in der Infrastruktur über eine umfangreiche und trotzdem er- Darstellung im Widget genau die Frage ein Problem, das sich mit herkömmlichen freulich übersichtlich strukturierte Web- beantwortet. Das Durchlesen der Fragen Mitteln nicht finden und beseitigen lässt, GUI. Diese ist funktional in sieben Rubri- zeigt eindrucksvoll den breiten Analy- kann es sich um Unterstützung hierhin wen- ken (Dashboard, Topologie, Inventur, seumfang: Wann wurde meine SLA den. Im Rahmen eines "SOS Emergency Ser- Alarme, Berichte, Analyse und Einstellun- verletzt? Welche Compute- und Speicher- vice" rücken dann die Fachspezialisten von gen) unterteilt. Die Software arbeitet in- komponenten waren von einer SLA-Ver- Virtual Instruments mit den beschriebenen tensiv mit der Korrelation, indem sie die letzung betroffen? Haben alle meine Werkzeugen an, klinken sich in die Infra- verschiedenen Kurven von Speichersyste- Hosts vergleichbare Antwortzeiten? Wie struktur ein und führen eine Analyse durch. men, Netzwerk- und SAN-Komponenten war die Antwortzeit heute im Vergleich Der Vorteil ist, dass in diesem Falle nicht nur sowie Applikationen übereinanderlegt, um zu gestern? Hat sich meine Last gegen- die Werkzeuge zur Verfügung stehen, son- so Anomalien festzustellen. Um ein be- über gestern geändert? Diese Fragen und dern auch die Fachleute zur Einrichtung und stimmtes Ereignis genauer zu analysieren, viele mehr beantwortet das Tool, so dass Auswertung. Dass dies auch der Beginn einer Zusammenarbeit und der Einstieg in die per- ist es sehr einfach möglich, ein entspre- der Administrator ein Ereignis oder ei- manente Nutzung der Appliances sein kann, chend geeignetes Zeitfenster auszuwählen nen Zeitraum sehr einfach unter ver- versteht sich von selbst. und dann in der GUI mit einer Anweisung schiedenen Aspekten betrachten kann.

28 Dezember 2018 www.it-administrator.de Virtual Wisdom & Workload Wisdom Tests

Um die Zusammenhänge leichter zu er- verse Anbindungen (E-Mail, SNMP, Sys- untersucht werden soll. Über den Punkt kennen, stellt Virtual Wisdom die Topo- log) konfigurieren und die Benutzerrech- "Preconditioning" lassen sich vor dem ei- logie mit den Hosts, Speichersystemen, te verwalten. gentlichen Lasttest vorbereitende Läufe Switches und Verbindungen dar, wobei starten, um beispielsweise zu verhindern, sich die Sichten entsprechend herunter- Wie eingangs beschrieben ist die GUI dass ein zu vermessendes Speichersystem brechen lassen, beispielsweise auf Cluster- sehr mächtig, hat bei uns aber trotzdem am Anfang nur deswegen sehr gute Werte ebene. Über entsprechende Farben ist hier einen guten Eindruck durch eine intuitive, liefert, weil es leer ist. Der Post-Test gut erkennbar, welche Komponenten feh- einfache Bedienbarkeit hinterlassen. Beim "Cleanup" wiederum dient zum Aufräu- lerfrei arbeiten und wo es Alarme gibt. Um Betrachten der diversen Funktionen fällt men, um beispielsweise die Daten auf den Probleme zu erkennen, sind in Virtual auf, dass der Fokus sehr darauf liegt, Ano- genutzten LUNs wieder zu löschen. Wisdom Regeln hinterlegt, bei deren Ver- malien und abnormale Trends durch das letzung ein Alarm ausgelöst und ein Case Finden von Unterschieden über die Zeit Der zweite Rahmen beschäftigt sich mit eröffnet wird. Gut gefallen hat uns, dass hinweg zu ermitteln. Dies gelingt da- dem Import von vorbereiteten Lastpro- hier eine vom Hersteller gepflegte Know- durch, indem das Tool möglichst viele filen, die aus Virtual Wisdom stammen ledgebase verknüpft ist, die umfassend das Daten sammelt und auswertet. können. Bereits importierte Profile sind potentielle Problem beschreibt, sodass der hier auch einseh- und editierbar. So waren Administrator besser versteht, warum hier Lasten individuell und wir in der Lage, von einem Profil eine Ko- alarmiert wurde und daraus lernen kann. zielgerichtet erzeugen pie anzulegen und diese an vielen Stellen Durch eine mögliche Verknüpfung mit Workload Wisdom ist, wie schon er- zu modifizieren, etwa hinsichtlich Dedup dem Ticketsystem ServiceNow können of- wähnt, eine Appliance zur Erzeugung von Ratio, Compression Ratio, Vorgabe der fene Cases einfach dorthin übergeben und individuellen Lastszenarien. Die Lasttests Schreib- und Leseregion auf der LUN, darin bearbeitet beziehungsweise gelöst können durch Angabe diverser Parameter MPIO-Verhalten, Anzahl der Worker, die werden. Die Art der Ansichten in der Be- synthetisch definiert werden oder aus ei- einen I/O erzeugen, Testdauer und einiges richte-Rubrik entspricht der im Dash- ner Aufzeichnung stammen, die von Vir- mehr. Auch war es möglich, im Rahmen board, ist aber in den einzelnen Fenstern tual Wisdom stammt. Denkbar ist ebenso eines Rampup und Rampdown die An- editierbar. Hier lassen sich auch neue Aus- eine Kombination, indem ein aufgezeich- zahl der Worker für den I/O ansteigen wertungen definieren. netes Profil importiert und dann vor dem und abklingen zu lassen, statt schlagartig Lasttest verändert wird. zu beginnen und zu stoppen. Ein großer Eine wichtige Rolle zur vorausschauenden Vorteil von Workload Wisdom ist, dass Suche nach potenziellen Problemen spielt Die Browser-basierte Oberfläche von sich die einzelnen Tests individuell kon- die Analyse-Rubrik. Hinter den aufgelis- Workload Wisdom ist vergleichsweise figurieren und dann reproduzierbar aus- teten Fenstern verbergen sich Skripte, die einfach gehalten. Das Hauptmenü sym- führen lassen. So ist es beispielsweise gut detaillierten Auswertungen dienen. Die bolisiert über vier nebeneinanderliegen- möglich, bei der Beschaffung eines neuen Analysen sind inhaltlich gruppiert und be- den Rahmen mit entsprechenden Links Speichersystems mehrere Modelle objek- ginnen mit einem Troubleshooting, um den grundsätzlichen Ablauf bei der Last- tiv zu vergleichen. beispielsweise mögliche Ereignisse zu er- testerstellung und -ausführung. Der linke mitteln, die eine Aufmerksamkeit erfor- Rahmen "Setup" dient dazu, den Lastge- Neben einfachen Lasttests beherrscht dern. Unter dem Punkt "Kapazitätsma- nerator auszuwählen, der genutzt werden Workload Wisdom auch Iterationen, um nagement" sind Skripte hinterlegt, um bei- soll, sowie die iSCSI- oder FC-Datenstre- beispielsweise in einem Testszenario die spielsweise ein Ungleichgewicht bei der cke und die Test-LUN vorzugeben, die Last in mehreren Durchläufen stufenweise Pfadauslastung in Verbindung mit Multi- pathing zu finden, eine ungleiche Spei- cherportauslastung an einem Host zu kor- rigieren oder VMs für eine gleichmäßige Auslastung in einem Cluster zwischen den Hosts zu verschieben.

Hier ist auch die Exportmöglichkeit zu finden, um Daten an das nachfolgend beschriebene Workload Wisdom zu über- geben. Zuletzt ist Virtual Wisdom in der Lage, saisonale Trends zu ermitteln, um Engpässe aufzudecken, die nur zu bestimmten Zeiten auftreten. In der Rubrik "Einstellungen" lassen sich die Appliance Bild 3: Integrierte Skripte unterstützen den Administrator bei der gezielten Analyse zur Erkennung und konfigurieren, die Probes integrieren, di- Vermeidung von potentiellen Problemen.

www.it-administrator.de Dezember 2018 29 Tests Virtual Wisdom & Workload Wisdom

tur absolut Hardware-nah bis auf das Paket hinunter analysieren lässt, sodass nicht die Gefahr besteht, durch die sonst übliche Mittelwertbildung über das Abfrageinter- vall kurze Spitzen zu übersehen, die wo- möglich Auslöser eines gesuchten Pro- blems sind. Die Fähigkeit, auf mehreren Ebenen gleichzeitig zu messen und die Re- sultate zu korrelieren, erleichtert die Feh- lersuche in komplexen Umgebungen, wo sich sonst die einzelnen Schichten nicht so leicht trennen lassen. Insofern hat uns Virtual Wisdom tief beeindruckt. Bild 4: Zum besseren Verständnis bei Fehlermeldungen und Alarmen besitzt Virtual Wisdom eine Knowledgebase, aus der der Administrator den Hintergrund für das Problem entnehmen kann. Workload Wisdom wiederum hat uns sehr gut gefallen, weil es in der Lage ist, nicht zu erhöhen, um so zu sehen, wann das aufgezeichnetes Lastprofil einer bestimm- nur wie sonst üblich mit synthetischen Testobjekt an seine Grenzen kommt oder ten Applikation, das bei einer anderen Lasten zu messen, sondern weil es auch wie die Latenzen ansteigen. Zuletzt kann Kundenanforderung als Referenz genutzt aufgezeichnete reale Lasten aus Virtual der Administrator "Workload Suites" de- werden kann. Wisdom übernehmen und als Lastprofil finieren, also eine ganze Reihe an diversen verwenden kann. Damit ist es vergleichs- Tests vorgeben, die nacheinander laufen, Wer selbst Virtual Wisdom einsetzt, kann weise einfach möglich, reale Lastsituatio- um beispielsweise ein Speichersystem unter auch im eigenen Netz ein Lastprofil auf- nen zu erzeugen, wenn es darum geht, die verschiedensten Aspekten zu testen. Diese zeichnen und an die Speichersystemher- Grenzen einer bestehenden Infrastruktur Funktionen sind im dritten Rahmen der steller weitergeben, um zu schauen, wie auszuloten oder ein neues Speichersystem Workload-Wisdom-Startseite zu finden. die unterschiedlichen Systeme reagieren. zu beschaffen. (jp) Ein großer Vorteil ist, dass diese aufge- Der vierte Rahmen beschäftigt sich mit zeichneten Lastprofile zwar die genauen So urteilt IT-Administrator der Auswertung der Testergebnisse. In Metriken enthalten, aber keine Daten, so- mehreren Tabellen und Grafiken konnten dass eine Weitergabe unkritisch ist. Probe-Umfang 9 wir unter anderem die IOPS, den Durch- satz, die Latenz und eventuelle Fehler er- Für unseren Test haben wir uns die Ar- Bedienung 8 kennen: Direkt aus einem Testergebnis he- beitsweise von Workload Wisdom zusam- Auswertungsgenauigkeit 10 raus lässt sich ein neuer Test definieren, men mit dem Hersteller angesehen und indem wir eine Kopie des Tests erzeugten, anschließend selbst einige Lastprofile er- Lasterzeugung 9 deren Parameter wir dann ändern konn- stellt. Schnell zeigte sich, dass auch hier die ten. Sowohl Ergebnisse als auch die Kon- Bedienung erfreulich übersichtlich ist. Die Supportmodell 9 figuration eines Tests lassen sich exportie- Herausforderung besteht letztendlich darin, ren und die Grafiken als CSV abspeichern. die vielen Schalter und Parameter so zu Die Details unserer Testmethodik finden Sie setzen, dass tatsächlich ein realistisches unter www.it-administrator.de/testmethodik Vielseitige Lastprofile Lastprofil für eine bestimmte Anforderung Dieses Produkt eignet sich Laut Virtual Instruments nutzen alle re- entsteht. Es ist damit eine Sache der Erfah- nommierten Hersteller von Speichersys- rung, das Produkt richtig einzusetzen. optimal für große Umgebungen mit einer temen Workload Wisdom, um ihre Sys- komplexen Netzwerk- und FC-Infrastruktur teme selbst gegen die unterschiedlichen Fazit mit zentralen Speichersystemen oder dem Kundenanforderungen zu testen. Wenn Ursprünglich wollten wir in diesem Test Einsatz von Hyper-Converged-Lösungen. also Kunden in Pflichtenheften gewisse nur Workload Wisdom vorstellen, haben bedingt in überschaubaren Umgebungen Vorgaben machen, wie einen bestimmten aber bei der Beschäftigung mit dem Port- mit einer einfachen SAN-Speicher-Infrastruk- Durchsatz in IOPS bei einer maximalen folio des Herstellers gesehen, dass erst die tur, in einzelnen Fällen könnte das Produkt Latenz, zugleich das Schreib-/Lesever- kombinierte Betrachtung von Virtual- im Rahmen eines Notfalleinsatzes sporadisch hältnis und Blockgrößen kennen und viel- und Workload-System die Mächtigkeit zum Einsatz kommen. leicht noch Aussagen zur Komprimier- dieser beiden Tools aufzeigt. nicht in einfachen Umgebungen ohne SAN- barkeit der Daten machen können, lässt Speicher-Infrastruktur und ohne SDS-Nut- sich daraus ein Lastprofil erstellen, um Virtual Wisdom hat uns vor allem hin- zung, wo in erster Linie die Server nur auf die das Speichersystem dagegen zu testen. sichtlich der Möglichkeit überzeugt, dass lokalen Datenspeicher zugreifen. Eventuell gibt es auch ein an anderer Stelle sich die Kommunikation in der Infrastruk-

30 Dezember 2018 www.it-administrator.de Quelle: Tatiana Shepeleva – 123RF Shepeleva Tatiana Quelle:

Nakivo Backup & Replication 8.0 Angriff der Klonkrieger von Jürgen Heyer

Nicht nur bei der Produktbezeichnung erinnert der hierzulande eher unbekannte Hersteller Nakivo an den überall präsenten Mitbewerber Veeam. Auch funktional finden sich sofort einige Parallelen wie die Unterstützung von VMware und Hyper-V, die agentenlose Arbeitsweise und das Instant Recovery für eine schnelle Wiederherstellung. Wir wollten genauer wissen, was diese Backupsoftware, die auf dem US-Markt schon einige Jahre präsent ist, leistet.

N akivo wurde im Jahre 2012 ge- Enterprise (ohne Essentials) besitzen kei- Nakivo eine virtuelle Appliance für VM- gründet, existiert also bereits über ne Lizenzbeschränkung. Die Pro-Lizen- ware zum Download basierend auf Ubun- sechs Jahre. Laut Nakivo gibt es über 3000 zen sind nicht mehrmandantenfähig, die tu 16.04, was mit Abstand die schnellste Wiederverkäufer in 137 Ländern. Backup Enterprise-Versionen dagegen schon. Variante zur Inbetriebnahme ist. Da sich & Replication (B&R) ist die einzige Soft- Maßgeblich für die Lizenzierung ist die B&R direkt auf NAS-Systemen einiger be- ware von Nakivo und damit das zentrale Anzahl der physischen CPUs in den Vir- kannter Hersteller einrichten lässt, gibt es Produkt. Der Fokus liegt auf der Siche- tualisierungshosts. Für den Einsatz in auch hierzu passende Installer und zuletzt rung und Replizierung von virtuellen Ma- AWS EC2 gibt es nur eine Pro-Version, ein Image für den Einsatz unter Amazon schinen unter VMware, Hyper-V und in deren Lizenzierung sich nach der Anzahl AWS EC2. Sehr gut gefallen hat uns neben AWS-EC2-Umgebungen. der zu sichernden Instanzen richtet. der breiten Plattformunterstützung die Do- kumentation, die die Einrichtung auf jeder Nakivo bietet B&R für VMware und Hy- Eigene Installation der unterstützten Umgebungen und Geräte per-V in fünf Versionen mit verschiede- oder Appliance-Nutzung mit diversen Screenshots geradezu mus- nen Leistungsumfängen an. Die Basic- Je nach Einsatzzweck und Vorliebe des Ad- tergültig Schritt für Schritt beschreibt. Version ist dabei auf vier Lizenzen pro ministrators gibt es Nakivo B&R in ver- Unternehmen beschränkt und funktional schiedenen Varianten zur Installation. Eine Für unseren Test bedienten wir uns der sehr eingeschränkt. Die Versionen Pro ist ein Installer für Windows und Linux, vorbereiteten Appliance. Zu beachten ist, Essentials und Enterprise Essentials er- die unterstützten Versionen sind im Detail dass der Hersteller hier bereits ein inte- lauben zwei bis sechs Lizenzen pro Or- im Produktkasten unter "Systemvoraus- griertes Repository vorgesehen hat, sodass ganisation, die beiden Versionen Pro und setzungen" zu finden. Weiterhin offeriert die Appliance bei der Einrichtung und

www.it-administrator.de Dezember 2018 31 Tests Nakivo Backup & Replication 8.0

der Einstellung "Thick Provisioning" rund Beim ersten Start holt sich die Appliance Netzwerk-Mappings und Routen erfassen. 550 GByte belegt. Platz sparen lässt sich per DHCP eine IP-Adresse, die auf der durch die Einstellung "Thin Provisioning", Konsole angezeigt wird. Hier kann der Der nächste Punkt betrifft die sogenannte wobei dann nur so viel Platz beansprucht Administrator bei Bedarf umstellen und Transporter-Einrichtung, wobei es sich wird, wie die Backups tatsächlich benö- eine feste IP-Adresse vergeben sowie den hier letztendlich um den Dienst handelt, tigen. Das vorbereitete Repository ist Hostnamen ändern. Weiterhin lassen sich der die eigentliche Arbeit bei der Siche- nicht durch das Erweitern der vorhande- an dieser Stelle die Sicherheitseinstellun- rung, Replizierung und Wiederherstel- nen Disk vergrößerbar, sondern indem gen (SSH-Aktivierung, Root-Passwort) lung übernimmt. In jeder Installation ist weitere Disks ergänzt werden. Bei Bedarf anpassen, die Zeitzone vorgeben sowie ein sogenannter "Onboard Transporter" lässt sich das in die Appliance integrierte die Nakivo-Dienste stoppen und starten. enthalten, in großen Umgebungen oder Repository auch entfernen und komplett Auch ein eventuelles Software-Update er- bei einer Verteilung über mehrere Berei- auf ein anderes System verlagern. folgt über die Konsole. che sind weitere einzurichten, um die Ar- beit zwischen diesen aufzuteilen. Nakivo Backup & Replication 8.0 Anschließend kann sich der Nutzer über die ausschließlich in Englisch verfügbare Benutzeroberfläche Produkt Web-GUI an der Appliance anmelden. mit Luft nach oben Programm zur Datensicherung und Replizie- Dabei muss er den Hinweis zum Port auf Hinsichtlich des Aufbaus und der Optik rung virtueller Maschinen unter VMware, der Konsole beachten, denn die GUI ist der Web-GUI waren wir etwas enttäuscht Hyper-V und AWS EC2. über den Port 4443 erreichbar. Bei der ers- und hätten von einem Produkt, das sechs Hersteller ten Anmeldung muss der Administrator Jahre Entwicklung hinter sich hat, mehr Nakivo einen Benutzeraccount anlegen. Dann erwartet. Hier sehen wir noch einiges an www.nakivo.com startet ein Assistent, der die Anmeldein- Optimierungspotenzial. So besitzt der Be- Preis formationen zu den zu sichernden Vir- reich zur Bedienung eine feste Breite und Die Lizenzierung erfolgt auf Basis der Anzahl tualisierungsplattformen abfragt. Hier nutzt das übliche Bildschirmformat nicht der Host-CPUs. Die Basic-Version kostet 84 kann der Administrator auch weitere Cre- aus. Auch haben die Fenster in der Job- Euro, Pro Essentials 169 Euro, Enterprise Es- dentials sowie für den EC2-Zugriff private ansicht zur Auflistung der zu sichernden sentials 249 Euro und Pro 329 Euro, jeweils Schlüssel hinterlegen, um sich bei den zu VMs, der Geschwindigkeit, der übertra- inklusive einem Jahr Support. Für AWS EC2 sichernden VMs und Instanzen für eine genen Datenmenge sowie der Ereignisse kosten zehn Instanzen 49 Euro monatlich mit Staffelung für größere Mengen. applikationskonsistente Sicherung anmel- eine feste Größe und sind für unser Ge- den zu können. Für den Betrieb in kom- fühl viel zu klein geraten. Gerade die Er- Systemvoraussetzungen plexen Netzwerkumgebungen lassen sich eignisübersicht wird dadurch sehr un- Installationsziele VM oder Hardware: - Windows 7/8/10 (X64 Professional), Server 2008 R2, 2012 (R2), 2016 - Ubuntu Server ab Version 12.04 (x64), SLES ab Version 11 SP3 (64-bit), RHEL ab Version 6.3 (64-bit) Das Sichern von NAS-Systemen von Synology, QNAP, ASUSTOR, Netgear und Western Digi- tal ist möglich. Unterstützte Modelle siehe Hersteller-Webseite. VM oder Hardware für Director und Onboard Transporter: - 64-Bit-CPU, zwei Cores - 4 GByte RAM plus 250 MByte pro gleich- zeitigem Job - 1 GByte Plattenkapazität (ohne Repository als Sicherungsziel) Unterstützte Hypervisoren und Plattformen: - VMware vSphere v4.1 bis v6.7 - Microsoft Hyper-V 2016, 2012(R2), 2012 - AWS EC2 Technische Daten www.it-administrator.de/downloads/ Bild 1: Die einzelnen Fenster in der GUI sind eher klein geraten und haben eine fixe Größe, datenblaetter sodass die verfügbare Fläche nicht optimal ausgenutzt wird.

32 Dezember 2018 www.it-administrator.de Nakivo Backup & Replication 8.0 Tests

übersichtlich und der Administrator muss viel scrollen, wenn er deren Inhalt durch- forstet. Indem er in den Übersichten zur Geschwindigkeit oder zur übertragenen Datenmenge auf einen der Balken klickt, öffnet sich zumindest ein Popup-Fenster mit einer genaueren Verlaufsanzeige. Son- derlich intuitiv empfanden wir die Bedie- nung insgesamt aber nicht.

Die Statistiken zu den letzten ausgeführ- ten Jobs sind sehr rudimentär mit Start- zeit, Ende, Status und Inhalt sowie der Bild 2: Beim Anlegen eines Sicherungsjobs lassen sich neben einzelnen VMs auch Hosts oder Cluster Anzahl der gesicherten VMs. Dabei lässt auswählen, was die dynamische Aufnahme neu erstellter VMs ermöglicht. sich nicht nachvollziehen, welche VMs gesichert wurden. Als Ausweg gibt es al- mit Tages-, Wochen-, Monats- und Jahres- nicht immer inkrementell, sondern in de- lerdings die Möglichkeit, einen Report sicherungen. Über eine Kalenderansicht finierbaren Abständen auch voll, und erzeugen zu lassen, der dann detaillierte kann der Administrator recht einfach kon- führt selbst keine Deduplizierung durch. Informationen liefert. trollieren, wann welcher Job läuft. In Ver- Dieser Modus ist dann sinnvoll, wenn bindung mit der Zeitplanung und dem mehr Zuverlässigkeit gefordert ist oder Recht ordentlich sind die Optionen beim nächsten Punkt "Retension" lässt sich genau als Zielspeicher Deduplizierungs-Appli- Anlegen von Jobs über eine Schaltfläche festlegen, wie viele Tages-, Wochen-, Mo- ances zum Einsatz kommen. "Create" in der Kopfzeile, wobei B&R zwi- nats- und Jahressicherungen aufgehoben schen Backup, Replication, Backup Copy, werden. Vom Funktionsumfang her zeigt Um die möglichen Optionen sehen zu Site Recovery Orchestration, Report und sich B&R recht ordentlich, sodass sich die können, legten wir ein entsprechendes Group (zum Gruppieren von Jobs) unter- diversen Aufträge erfreulich individuell Repository zusätzlich an und konnten scheidet. Zuerst legten wir einen normalen definieren lassen. dann Einstellungen für eine Vollsicherung Backupjob an. Zur Auswahl der zu si- vornehmen. Die Abstände dafür können chernden Maschinen gibt es unterschied- Repository bestimmt unterschiedlich viele Wochen sein, aber liche Ansichten, wobei sich mehrere VMs Sicherungsverfahren auch eine vorgegebene Anzahl an Siche- in einem Auftrag zusammenfassen lassen. Bei der Konfiguration des ersten Siche- rungen oder Tagen. Außerdem beherrscht Statt einzelner VMs kann der Adminis- rungsjobs in der Appliance fiel uns auf, dass B&R das Verfahren "Active Full", wo zum trator einen oder mehrere Hosts oder gar wir zwar festlegen konnten, wie viele Wie- Zeitpunkt der Sicherung tatsächlich in einen Cluster auswählen, was den Vorteil derherstellungspunkte insgesamt, pro Tag, Abständen eine Vollsicherung durchge- hat, dass VMs, die darin angelegt oder Woche, Monat und Jahr gehalten werden führt wird. Weniger beansprucht wird der entfernt werden, dynamisch ergänzt sowie sollen, wir konnten aber nicht zwischen Produktionsspeicher beim Verfahren herausgenommen werden. So spart sich inkrementellen und Vollsicherungen wäh- "Synthetic Full", bei dem Nakivo aus den der Administrator beispielsweise die Ar- len. Hintergrund dafür ist, dass das Siche- inkrementellen Sicherungen in Abständen beit, beim Erstellen neuer VMs diese in rungsverfahren fest mit dem Repository eine Vollsicherung erzeugt. Im Vergleich einen Sicherungsjob aufnehmen zu müs- verknüpft ist und der Administrator dies zu Veeam eröffnen sich hier zwar einige sen. Beim Sicherungsziel kann er bei Be- beim Anlegen auswählen muss. Nachdem Möglichkeiten weniger, sie sollten aber darf für jede VM ein anderes Repository bei der Appliance-Einrichtung das Repo- für die meisten Anforderungen genügen. angeben und auch einzelne Laufwerke ei- sitory automatisch mit angelegt wird, ka- ner VM aus der Sicherung herausnehmen. men wir nicht zu dieser Auswahloption. Wichtiger als möglichst viele Sicherungs- verfahren sind einige andere Funktionen, Bei der Zeitplanung für einen Job stehen Abgesehen davon stehen zwei Modi zur die Nakivo erfreulicherweise beherrscht. die Optionen "täglich/wöchentlich", "mo- Verfügung: "Forever incremental" und So nutzt B&R beim VMware-Backup das natlich/jährlich", "periodisch" und "nach "Incremental with full backups". Im ersten Change Block Tracking (CBT), um die einem anderen Job" zur Verfügung. Ent- Fall erstellt B&R nach der initialen Voll- geänderten Blöcke schnell zu finden. Für sprechend der gewählten Option variieren sicherung immer inkrementelle Siche- einen Transport über langsame WAN- die weiteren Angaben, um einzelne Tage rungen und nutzt hierbei die integrierte Strecken steht eine Netzwerkbeschleuni- auszuwählen oder einen Wochen- oder Deduplizierung. Dieses Verfahren wird gung zur Verfügung, indem die Daten Monatsbezug wie "jeden letzten Freitag im bei der Datenablage auf DAS (Direct At- vorher komprimiert werden. Weiterhin Monat" zu definieren. Auch ist es möglich, tached Storage) sowie auf NAS-Systemen kann B&R die Exchange- und SQL-Ser- zu einem Job mehrere zeitliche Abläufe an- empfohlen, da es die platzsparendere Va- ver-Logs nach einer erfolgreichen Siche- zulegen, beispielsweise für ein GFS-Backup riante ist. Im zweiten Fall sichert B&R rung kürzen und der Administrator kann

www.it-administrator.de Dezember 2018 33 Tests Nakivo Backup & Replication 8.0

zusätzliche Pre- und Post-Job-Skripte er- Die Wiederherstellung einzelner Dateien Bei VMware geschieht dies durch Ansto- stellen und integrieren. Darüber hinaus und Objekte beschreibt die Dokumenta- ßen einer Migration mittels Storage vMo- lässt sich die Bandbreite drosseln, um bei tion sehr detailliert. B&R stellt dazu den tion und gleichzeitiger Umwandlung der einer langsamen Verbindung den übrigen Inhalt der Sicherung wie in einem angelegten RDM-Platten in VMDKs. Die- Verkehr nicht zu stark zu behindern. B&R Browser dar, sodass der Administrator se Migration dauert etwas, kann aber bei unterstützt auch applikationskonsistente die benötigten Dateien oder Objekte aus- laufender VM erfolgen, sodass keine Sicherungen durch kurzzeitiges Stilllegen wählen kann. Je nach Typ erfolgt die Wie- Downtime erforderlich ist. Bei Hyper-V (Quiescing) der VM. derherstellung auf unterschiedliche Weise, ist über den Hyper-V Manager in der VM wobei der Administrator teils sogar wäh- eine zusätzliche virtuelle Festplatte anzu- Wiederherstellung komplett len kann. So ist bei SQL-Objekten ein legen und anschließend der Inhalt dorthin oder pro Datei Restore in die originale Datenbank oder zu kopieren. Alternativ lässt sich auch Bei der Datenwiederherstellung kann in eine andere möglich. Bei Exchange- hier eine solche VM durch Verschieben B&R je nach Bedarf komplette VMs, ein- und AD-Objekten sowie Dateien wird ein auf einen anderen Host dauerhaft wie- zelne Dateien sowie einzelne Objekte von Verschicken per E-Mail oder ein Down - derherstellen. Exchange, Active Directory und SQL-Ser- load als ZIP-Datei unterstützt. Der Ad- ver zurücksichern. Alle Aktionen laufen ministrator kann dann die Dateien und Doppelte Sicherheit durch über Assistenten ab, die gezielt die not- Objekte wieder an die gewünschte Stelle Replizierung und Site Recovery wendigen Angaben abfragen. importieren oder kopieren. Wie bereits erwähnt eignet sich die Op- tion "Flash VM Boot" für die schnelle Bei der Rücksicherung einer kompletten Notfallwiederherstellung Wiederherstellung einzelner VMs. Wenn VM kann der Administrator diese an die im Handumdrehen es aber darum geht, für eine größere An- gleiche Stelle oder an ein anderes Ziel (an- B&R beherrscht neben der normalen Wie- zahl an Systemen eine hohe Verfügbarkeit derer Host und Datastore) zurückspielen. derherstellung auch ein spezielles Verfah- sicherzustellen, ist die Replizierung mit Normalerweise bekommt die zurückge- ren, um eine VM in wenigen Sekunden B&R besser geeignet. Allerdings verdop- sicherte VM an den ursprünglichen Na- wieder zur Verfügung zu stellen. Diese für pelt sich dabei der Ressourcenaufwand, men die Endung "-recovered" angehängt. VMware und Hyper-V verfügbare Option da zu einer VM quasi eine dauerhafte Ko- Der Administrator kann dabei wählen, nennt sich "Flash VM Boot", vergleichbar pie angelegt wird. Bei einer Replizierung ob je nach Situation UUID und MAC- mit dem Instant Recovery bei Veeam. Bei kopiert B&R die Daten einer VM in re- Adressen sowie die ursprünglichen Lauf- "Flash VM Boot" startet die VM direkt aus gelmäßigen Abständen von der ursprüng- werkstypen beibehalten oder geändert dem komprimierten und deduplizierten lichen zu einer Replica-VM. Über einen werden sollen. Damit ist es einfach mög- Backup, sodass kein vorheriger Daten- Zeitplaner kann der Administrator die lich, korrupte oder gelöschte VMs mög- transfer notwendig ist. Dazu erstellt B&R Häufigkeit des Abgleichs steuern, die ver- lichst identisch zu ersetzen oder bei Be- auf dem Zielhost eine neue, identische ständlicherweise unter anderem von der darf Klone zu erzeugen, die parallel VM und präsentiert in dieser über den Änderungshäufigkeit und Bandbreite für betrieben oder für andere Zwecke benö- Transporter die gesicherten Laufwerke die Replizierung abhängt. tigt werden. Im Test haben wir probewei- mit den Dateninhalten via iSCSI. se einige Maschinen wiederhergestellt, Der zeitliche Abstand zwischen den Re- was problemlos funktionierte. Tatsächlich konnten wir im Test eine der- plizierungen bestimmt den maximalen artig wiederhergestellte VM nach wenigen Datenverlust, der gegebenenfalls bei ei- Sekunden starten und damit arbeiten. nem Failover nachgearbeitet werden Änderungen werden bei VMware in ei- muss. Ein Auftrag kann mehrere Repli- nem Snapshot und bei Hyper-V in einem zierungen enthalten und der Adminis- Schreibcache auf dem Repository gespei- trator kann dann die Reihenfolge festle- chert. Verständlicherweise muss sich die gen. Innerhalb eines Jobs kann die Anzahl der auf diese Weise parallel be- Replizierung für alle VMs auf den glei- triebenen VMs in Grenzen halten, um chen Host, Datastore und ins gleiche den Transporter-Dienst nicht zu überfor- Netzwerksegment erfolgen, aber auch zu dern. Außerdem ist zu berücksichtigen, unterschiedlichen Zielen, was allerdings dass die Daten für die Bereitstellung ent- deutlich mehr Konfigurationsaufwand komprimiert und entdedupliziert werden erfordert. Innerhalb eines Jobs lässt sich müssen, was Rechenleistung kostet. Um ein Netzwerk-Mapping definieren, damit eine so gestartete VM bei Bedarf dauer- die Replica-VMs bei Bedarf in einem an- haft wiederherzustellen, sind einige zu- deren Netzwerksegment laufen können. Bild 3: Für die Wiederherstellung einzelner sätzliche Schritte erforderlich. Andernfalls Vorteilhaft ist, dass sich hier nicht nur Dateien und Objekte stehen mehrere Optionen ist sie mit Beendigung des "Flash VM einzelne IP-Adressen, sondern auch ganze zur Verfügung. Boot"-Jobs wieder verschwunden. Adressbereiche mit einem Befehl zuord-

34 Dezember 2018 www.it-administrator.de Nakivo Backup & Replication 8.0 Tests

ein eigenes Dashboard, weiterhin lässt sich je Mandant ein Gastzugang einrichten. Da- rüber kann ein Administrator des Man- danten das eigene Dashboard einsehen und begrenzte Aktionen starten. Das System- haus letztendlich kann in einer Applikation alle Sicherungsaufträge der Kunden betreuen und auch überwachen.

Fazit Nakivo präsentiert sich als leistungsfähige und zugleich preisgünstige Datensiche- rungslösung für KMUs für das Backup und die Wiederherstellung in virtuellen Umgebungen unter VMware vSphere, Mi- Bild 4: Um eine per "Flash VM Boot" schnell aus dem Backup gestartete VM crosoft Hyper-V und Amazon AWS EC2. dauerhaft wiederherzustellen, ist unter VMware eine Migration notwendig. Nicht sichern lassen sich physische Systeme außerhalb dieser Umgebungen, sodass hier nen lassen, wie zum Beispiel 10.30.30.0 zu diesem Zweck auf einen Wechselda- gegebenenfalls eine andere Software zum zu 192.168.3.0. tenträger replizieren, diesen dann zum Einsatz kommen muss. Überzeugt haben Zielort transportieren und dort wieder- uns die vielseitigen Installationsmöglich- Für den Fall, dass für sehr große VMs ei- herstellen. Erst anschließend richtet er keiten als virtuelle Appliance für VMware ne Replizierung über eine langsame zwischen beiden Systemen einen Repli- sowie unter Linux und Win dows. Darüber WAN-Strecke eingerichtet werden soll, zierungsjob ein und startet so gleich mit hinaus ist eine Installation auch auf NAS- gibt es eine Option namens "Staging VM einer Differenzübertragung. Systemen möglich. Replication", um nicht initial alle Daten über die Strecke kopieren zu müssen. Das Sahnehäubchen stellt letztendlich der Neben dem reinen Backup vor Ort unter- Vielmehr kann der Administrator die VM Site Recovery Job dar. Dieser beschreibt stützt Nakivo auch Kopiervorgänge sowie die notwendigen Schritte bei einer Um- ein Backup in die Cloud, für ein Disaster schaltung mehrerer VMs auf einen Aus- Recovery eine Replikation unter VMware So urteilt IT-Administrator weichstandort. Hierzu gibt es diverse vor- sowie Hyper-V, für eine schnelle Verfüg- Einrichtung der Software 9 bereitete Aktionen wie Failover, Failback, barkeit nach einem Ausfall ein VM Failover Start/Stopp von VMs und der Aufruf zu- sowie ein Site Recovery. Neben dem nor- Backup Virtualisierungsplattformen 8 sätzlicher Skripte. Es versteht sich von malen Wiederherstellen beherrscht die selbst, dass eine derartige Umschaltung Software ein Instant Recovery, sodass der Replizierung und Disaster Recovery 8 geplant und sorgfältig eingerichtet werden Administrator für eine ausgefallene VM in muss. Für eine regelmäßige Funktions- wenigen Sekunden einen Ersatz aus dem Übersichtlichkeit der GUI 4 prüfung lässt sich in B&R ein entspre- Backupspeicher starten kann. Neben der chender Test per Zeitplaner einrichten. Wiederherstellung kompletter Systeme las- Unterstützte Backupverfahren 7 Dafür kann der Administrator den Site sen sich aus einer Sicherung auch einzelne Recovery Job im Testmodus ausführen, Dateien sowie Exchange-, AD- und MS- Die Details unserer Testmethodik finden Sie um den Produktionsbetrieb nicht zu stö- SQL-Objekte extrahieren. unter www.it-administrator.de/testmethodik ren, und dann beim tatsächlichen Feh- Dieses Produkt eignet sich lerfall im Produktionsmodus. Während uns der beeindruckend voll- ständige Funktionsumfang überzeugt hat, optimal für KMUs mit rein virtuellen Umge- Backup als Dienstleistung hinterließ die Benutzeroberfläche einen bungen unter VMware vSphere, Hyper-V und Um beispielsweise Systemhäusern die eher durchwachsenen Eindruck. Wer da- AWS EC2. Möglichkeit zu eröffnen, Nakivo B&R für mit zurechtkommt, kann mit Nakivo bedingt in Umgebungen, wo neben virtuel- die Sicherung der betreuten Kunden ein- Backup & Replication seine Sicherungs- len Umgebungen auch physische Server zu zusetzen, ist mit dem Multi-Tenant-Modus aufgaben sowie Wiederherstellungen sichern sind. Für Letztere ist eine andere eine Mehrmandantenfähigkeit implemen- zuverlässig erledigen. Insgesamt ist der Backupsoftware zu wählen. tiert. Das Systemhaus kann nun seine Kun- Funktionsumfang gegenüber dem großen den dort anlegen, inklusive eines indivi- Mitbewerber Veeam etwas eingeschränkt, nicht in Umgebungen, in denen überwie- duellen Logos für eine etwas personalisierte es wird aber in der Regel auch nicht alles gend oder ausschließlich physische Server gesichert werden sollen. Ansicht, und die zu sichernden Maschinen benötigt, sodass sich ein Vergleich durch- aufnehmen. Für jeden Mandanten gibt es aus lohnt. (ln)

www.it-administrator.de Dezember 2018 35 Quelle: ambrozinio – 123RF Quelle: Domänencontroller in Azure betreiben (1) Im Exil von Klaus Bierschenk

Bei einem hybriden Setup ist der Administrator neben dem lokalen Active Directory auch mit dem Azure AD und den Azure AD Domain Services konfrontiert. Was welchem Einsatzzweck dient, hängt von den Anforderungen ab. Wir schauen uns in dieser zweiteiligen Workshopserie zuerst an, was zu beachten ist, wenn ein Domänencontroller aus dem heimischen Active Directory nach Azure wandern soll, und richten die dafür notwendigen Netzwerkkomponenten ein.

U nternehmen, die Office 365 ein- innerhalb der Azure-Infrastruktur Rechte kommen die Azure Active Directory Do- setzen, müssen für alle Anwender, für administrative Tätigkeiten erhalten. main Services (AADDS) ins Spiel. die Applikationen aus dem Cloud-Port- Durch den turnusmäßigen Synchronisa- folio nutzen, Lizenzen zuweisen. Diese tionsprozess sind Änderungen kurze Zeit Domain Services in der Cloud hängen an Benutzerkonten im Azure später in der Cloud. Das Management der AADDS ist eine geniale Funktion in Azure Active Directory (AAD) für das entspre- Gruppen unterliegt somit weiterhin der für Administratoren, die Workloads auf chende Office-365-Abonnement und etablierten lokalen Provisionierung. Das Servern in Azure-IaaS betreiben möchten. werden gleichfalls für die Anmeldung in AAD ist eigentlich eine Komponente in AADDS ist sehr schnell konfiguriert und der Microsoft-Cloud benutzt. Dabei spielt Azure-IaaS, auch wenn sich die Sichtbar- benötigt im Grunde genommen wenig bis es keine Rolle, wie diese Benutzerkonten keit und Administration der Benutzerkon- keine Administration. Für die Aktivierung in das AAD gelangen. Sei es, dass der Ad- ten bis in Office 365 erstreckt. erstellen Sie im Azure-Portal ein neues ministrator die Konten manuell dort an- AADDS-Objekt und referenzieren dabei legt oder er für eine größere Anzahl an Was aber, wenn der Administrator in Azu- auf ein vorhandenes AAD. Der Bereitstel- Benutzerkonten Azure AD Connect ein- re-IaaS Mitgliedserver aus dem heimischen lungsassistent ist schnell gefüttert und setzt und sie mit dem heimischen Active Active Directory bereitstellen möchte? Am nach kurzer Zeit befindet sich in Azure Directory synchronisiert. einfachsten wäre es, ein VPN zwischen ein neues virtuelles Netzwerk, einschließ- dem lokalen Rechenzentrum und Azure lich Subnetz, mit zwei darin tickenden Das AAD hat dabei übrigens nichts mit einzurichten und somit den Servern aus Domänencontrollern, die Objekte bereit- den Active Directory Domain Services Azure zu ermöglichen, DCs für die Au- stellen, die der Administrator aus seinem (ADDS) gemein, die Sie aus Ihrem Re- thentifizierung über die WAN-Leitung zu gewohnten AD kennt. chenzentrum kennen – außer vielleicht verwenden. Dies ist aber nur auf dem ers- den ähnlich lautenden Namen. Sie finden ten Blick charmant. Spätestens bei einer Diese DCs werden jedoch von Microsoft hier keine Domänencontroller (DC) vor, größeren Anzahl von Memberservern betrieben und haben keine direkte Ver- keine Gruppenrichtlinien oder ähnliche stößt die verfügbare Netzwerkbandbreite bindung mit dem lokalen Active Directory. Dinge. Freilich gibt es mehr Möglichkeiten, an ihre Grenzen. Der IT-Verantwortliche Um bei der Terminologie der AD-Admi- wie den Benutzerkonten nur Lizenzen zu- ist auch immer von der Verfügbarkeit der nistratoren zu bleiben, werden keine Re- zuordnen, so lassen sich beispielsweise Si- Verbindung abhängig. Da ist es einfacher, plikationspartner in AADDS platziert und cherheitsgruppen aus dem On-Premises- die lokale AD-Infrastruktur in Richtung es entstehen auch keine Zusatzkosten für AD nach AAD synchronisieren, die dann Azure zu erweitern. An diesem Punkt die VMs. Es fällt in diesem Zusammen-

36 Dezember 2018 www.it-administrator.de DCs in Azure betreiben Praxis

Erweiterung des Netzwerks Im ersten Schritt müssen Sie sich Gedanken über die Netzwerkstruktur in Azure machen. Hierbei sind zwei Aspekte wichtig: zum einen die Subnetze, in denen die VMs, wie der DC und andere Server, beheimatet sind. Und dann ist da noch die Verbindung des Azure-Netzwerks mit dem LAN.

Die Konfiguration der einzelnen Azure- Netzwerkkomponenten ist recht vielfältig und Sie müssen verschiedene, gleichlau- Bild 1: Die Reihenfolge des Aufbaus der benötigten Netzwerkkomponenten. tende Objekte in Azure erstellen und damit hantieren. Bild 1 zeigt im blauen Rahmen hang der Begriff "Managed Domain", also nur, wenn diese Server Mitgliedsserver die wichtigsten Elemente, die innerhalb von Microsoft verwaltet. Unabhängig da- des heimischen ADs sind. Meist ist dies von Azure angelegt werden. Die Numme- von, in welcher Konstellation Sie Benut- sogar zwingend notwendig, weil auf den rierung gibt die Reihenfolge der Installa- zer- und Gruppenobjekte im AAD pflegen, Servern Dienstkonten vonnöten sind, tion an. Diese ist aber keineswegs fix, so sei es synchronisiert mit dem On-Premi- Gruppenrichtlinien zum Erzwingen von lassen sich zum Beispiel jederzeit Subnetze ses-AD oder indem Sie diese manuell Firmenrichtlinien greifen müssen oder im virtuellen Netzwerk "AzureVNET" an- anlegen: Die Objekte werden von jetzt an die Mitgliedsserver einfach nur ein mo- passen. Aber der Reihe nach: zuerst erstel- zusätzlich in Richtung AADDS synchro- difiziertes AD-Schema benötigen. Dies len wir das virtuelle Netzwerk "Azure- nisiert, und zwar ohne, dass Sie darauf Ein- alles hat der Administrator in seinem On- VNET" (Punkt 1 im Bild). Bedenken Sie fluss nehmen müssen. Schließlich "ma- Premises-AD bereits eingerichtet, das mit hierbei wie auch beim Anlegen weiterer naged" Microsoft die Domain und küm- ziemlicher Sicherheit durch diverse An- Objekte, dass im Azure-Portal in der linken mert sich um alles, was notwendig ist. Sie passungen über Jahre gewachsen ist. Bedienleiste nur die Dienste und Funktio- können sich AADDS vorstellen wie einen nen sichtbar sind, die zu den Favoriten ge- Klon der Identitäten eines lokalen AD. Eine Wie erwähnt, geht AADDS in diese Rich- hören. Eventuell müssen Sie "Alle Dienste" Möglichkeit also für vorhandene Benutzer tung, aber nicht gesamtumfänglich. Daher selektieren und die gewünschten Elemente und Computerobjekte, NTLM und Ker- kann es Sinn ergeben, die Standorttopologie von dort auswählen oder sie am besten di- beros im gleichen AD-Kontext einzusetzen. des lokalen ADs über einen neuen Standort rekt über das "Sternsymbol" in den Favo- Allerdings müssen Sie einen Preis für die in Azure in Richtung Cloud zu erweitern. ritenbereich befördern. Einfachheit zahlen, in dem er auf einige Dort platzieren Sie Domänencontroller auf Funktionen verzichtet. Zum Beispiel ist er Azure-VMs, die über den Mechanismus Den IP-Adressbereich und die Anzahl nicht Mitglied bei den Domänen- und bei der Replikation das lokale AD dort bereit- der IP-Adressen sollten Sie vor dem Er- den Unternehmensadministratoren. stellen. Für die in Azure-IaaS laufenden stellen des virtuellen Netzwerks klären virtuellen Mitgliedsserver der Domäne sieht und bereitstellen, da Sie diese angeben Für viele Fälle mag AADDS ausreichen, dies aus, als würden sie an einem weiteren, müssen. Achten Sie darauf, dass sich der es gibt aber bestimmt auch genauso viele beliebigen Standort des AD eingesetzt. Adressraum nicht mit IP-Adressen über- Konstellationen, wo dies nicht der Fall ist [1]. Ein mögliches KO-Kriterium ist die fehlende Möglichkeit, das Schema zu modifizieren, oder auch geografische Anfor- derungen, die AADDS nicht unterstützt, lassen die Verwendung scheitern. AADDS ist eher als Mittel zum Zweck zu sehen und erlaubt die Authentifizierung vorhandener Identitäten aus dem lokalen AD im Azu- re-Kontext – und das ohne viel Aufwand.

Replikationspartner als Azure-VM Im Grunde genommen ist es einfach, in der Azure-Infrastruktur Server in Betrieb zu nehmen und Applikationen darauf zu betreiben. Aber richtig sinnvoll ist dies Bild 2: Vordefinierte Skripte vereinfachen die Konfiguration des VPN-Geräts.

www.it-administrator.de Dezember 2018 37 Praxis DCs in Azure betreiben

Nicht ohne Firewall Planen Sie, sensible Server wie Domänen- controller oder auch Verbundserver (ADFS) in der Azure-Infrastruktur zu implementieren, ist Netzwerksicherheit wichtiger denn je. Dafür ist in Azure in Form von Netzwerksicherheitsgruppen (NSG) gesorgt. Stellen Sie sich eine NSG wie eine Firewall vor, die einen Netzwerkadapter oder ein Subnetz schützt. Die Konfigura- tion ist denkbar einfach, will aber genau getestet sein, ganz besonders im Zusam- menspiel mit der integrierten Windows Server Firewall, die auf dem entsprechen- Bild 3: Die Übersicht einer NSG zeigt, welcher Netzwerkverkehr rein und welcher raus darf. den Server immer eingeschaltet bleibt. schneidet, die eventuell im lokalen Re- selung und das gleiche Protokoll verwen- In unserem Szenario verwenden wir drei chenzentrum oder einem anderen Stand- den. In früheren Versionen des Azure- Subnetze: für Server im "Backend", für die ort existieren. Portals, als dieses noch dem klassischen "DMZ" und dann noch für alle weiteren Modus folgte, ließ sich bei den Verbindun- "Server". Für jedes dieser Subnetze haben Gateways einrichten gen eine Konfigurationsdatei herunterla- wir eine NSG. Hierüber lässt sich nun der Im nächsten Schritt (Punkt 2 im Bild 1) den, um das jeweilige VPN-Gerät zu kon- Netzwerkverkehr zwischen den Netzen, legen Sie die Subnetze an, wobei das "Ga- figurieren, darunter auch die Konfiguration aber auch Richtung Internet kontrollieren, tewaySubnetz" eine besondere Bedeutung für den Remotezugriff auf einem Win- basierend auf eingehenden und ausgehen- hat. Es muss exakt so heißen und wird re- dows-Server. Dies ist leider im jetzigen den Regeln. Bei einer neuen NSG haben ferenziert, wenn Sie im nächsten Schritt Portal für Windows Server nicht mehr die Standardregeln eine Priorität größer als (3) das Gateway erstellen. Oder wie es im möglich, aber Konfigurationen namhafter 65.000. Hier ist zuerst einmal alles geblockt, Azure Portal heißt "Gateway für virtuelle Netzwerkhersteller wie beispielsweise "Cis- wird dann aber für Azure relevante Kom- Netze". Hier hat es den Namen "Azure- co" finden Sie nach wie vor. munikation wieder aufgeweicht, um zum VNG" und es ist eines der beiden Kontakt- Beispiel Netzwerkverkehr zwischen virtu- punkte, wenn wir später bei Schritt 6 das Im Internet gibt es reichlich Dokumen- ellen Netzwerken zuzulassen. Dies garan- Standort-zu-Standort-IPSec-VPN anlegen. tationen für die Einrichtung eines VPN- tiert, dass beispielsweise Server in verschie- Die hierfür benötigte öffentliche Azure- Geräts als lokales Gateway. Im Lab zu un- denen Subnetzen ungehindert kommu- IP-Adresse lässt sich im Assistenten für serem Beitrag haben wir zum Beispiel nizieren können. Kleinere Zahlen bei den das "Gateway für virtuelle Netze" erzeugen eine Fritz-Box eingesetzt, was für Test- Prioritäten gewichten stärker, da Regeln und ist direkt zugeordnet. zwecke durchaus geht, sich aber hier und mit höherer Priorität zuerst abgearbeitet dort beim Setup trickreich gestaltet. Er- werden und geringere zuletzt, somit also Als Nächstes erzeugen wir in Schritt 4 das folgreich war letztlich nur ein richtlini- das letzte Wort haben. Auch ohne direkten "Lokale Netzwerkgateway". Dies ist nun enbasiertes VPN. Auch hierfür gibt es in Bedarf sollten Sie großzügig und zugunsten quasi die Gegenseite zum Azure Gateway diversen Blogs fertige Konfigurationsda- weiterer Subnetze planen, so sind Sie künf- von Schritt 3. In unserem Beispiel hat es teien und Anleitungen zur Inbetriebnah- tig für weiteren Bedarf gewappnet und un- den Namen "EndPointLNG". Öffentliche me mit der Fritz-Box. terliegen keinen Einschränkungen. IP-Adresse und auch das VPN-Gerät haben mit Azure direkt nichts zu tun und Um beide Netzwerkbereiche miteinander In unserem Setup platzieren wir alle Server sind Teil des Rechenzentrums. Wichtig zu verbinden, richten wir im letzten Schritt im Subnetz "Server". Im Subnetz "Backend" ist, dass Sie das sogenannte VPN-Gerät (6) das VPN-Verbindungsobjekt ein. Dies befinden sich Server, die mit den Kompo- konfiguriert haben (5), bevor Sie den wird ausgehend vom "Gateway für virtuelle nenten des AD direkt nichts zu tun haben, VPN-Tunnel (6) erstellen. Netze" (in unserem Fall "AzureVNG") ini- wie beispielsweise ein Jumpserver. Port tiiert. Unterhalb der Option "Verbindun- 3389 erlaubt eingehende RDP-Verbindun- Das Gerät kann vielfältiger Art sein. Bei- gen" fügen Sie diese mit Angabe der beiden gen und dient somit als RDP-Schnittstelle spielsweise ein Windows-Server mit der Gateways hinzu. In unserem Beispiel trägt für Terminalserversitzungen mit den Pro- Serverrolle "Remotezugriff" oder ein Cis- das VPN-Verbindungsobjekt den Namen duktionsservern. Da der WAP-Server als co-Gerät. Egal für was Sie sich hier ent- "Azure2Local". Stimmen die Einstellungen Proxy für ADFS ebenfalls mit dem Internet scheiden, wichtig ist, das beide Punkte in auf beiden Seiten, einschließlich des "ge- verbunden ist, haben wir diesen in das der Verbindung die gleiche Sprache spre- meinsam verwendeten Schlüssels", erfolgt Subnetz "DMZ" befördert. So ist alles sau- chen, also die gleiche Art der Verschlüs- sogleich eine Verbindung. ber segmentiert. Sie sollten wenn möglich

38 Dezember 2018 www.it-administrator.de DCs in Azure betreiben Praxis

darauf verzichten, NSGs direkt einzelnen Administrator am sinnvollsten ist es, sich Regeln für DCs in Azure Netzwerkschnittstellen zuzuweisen. So hier der PowerShell zu bedienen, denn DCs in Azure zu betreiben ist sicher, so- bleibt alles übersichtlich und die Fehler- spätestens nach dem dritten installierten lange Sie einige Regeln befolgen: So ist suche wird nicht unnötig erschwert. Die Server mittels Azure-Portal wird der Ruf es übliche Praxis, in Azure VMs entwe- Server haben später allesamt keine öffent- nach einem Skript laut. Sehr viel Flexibi- der per PowerShell oder im Azure-Portal liche IP-Adresse, mit Ausnahme des Jump- lität bietet das New-AzureRmVm-Cmdlet, herunterzufahren. Das sollten Sie für und des WAP-Servers, die naturgemäß das denn es lässt sich mit einer Vielzahl an Domänencontroller vermeiden, denn Internet benötigen. Somit haben die Server, Parametern nutzen. Azure unterstützt die "VM-Generations- einschließlich der Domänencontroller, nur ID". Diese ist sehr sinnvoll im Zusam- über das VPN mit dem RZ Kontakt. Für unsere Aufgabe, Domänencontroller menhang mit virtuellen DCs, wenn Sie zu installieren, lautet die Gretchenfrage, diese aus einer Sicherung wiederherstel- DNS-Server vorbereiten welche Größe der Server mit seinem da- len oder "klonen" möchten. Wird nun Für den Aufbau des Netzwerks aus Bild 1 rauf bereitgestellten Dienst benötigt. Für in Azure die VM nicht direkt vom Ser- benötigen Sie keine DNS-Server. Diese Domänencontroller hat sich für das Setup ver, sondern aus dem Portal herunter- sind hier trotzdem im letzten Schritt (7) in unserem Szenario die Größe "Standard gefahren, wird diese de-allokiert, was vermerkt, da sie beim Installieren der Azu- B2s" als praktikabel gezeigt. Dieses Image die "VM-GenerationsID" zurücksetzt. re-Server unserer Domäne "KBCORP. DE" hat zwei virtuelle CPUs und 4 GByte Ar- Dadurch wird wiederum zum Beispiel für den neuen Standort in Azure benötigt beitsspeicher. Mehr geht natürlich immer, SYSVOL als nicht mehr authoritative an- werden. DNS-Server werden für ein vir- aber für einen Test ist das ausreichend. Um gesehen und unter anderem auch der tuelles Netzwerk definiert und alle darin Geld zu sparen, empfiehlt es sich, nicht RID-Pool des DCs verworfen. Sie sind installierten virtuellen Computer erhalten mit einem kleineren Image zu beginnen. auf der sicheren Seite, wenn der Shut- automatisch diese DNS-Server für ihre IP- Die Größe "Standard_B1ms" beispielsweise down immer aus dem Gastsystem heraus Konfiguration. Anders als bei Servern, die hat sich im Test als sehr langsam heraus- erfolgt. Eine weitere Empfehlung von der Administrator sonst außerhalb von gestellt, auch kam beim Öffnen diverser Microsoft ist, die FSMO-Rollen nicht auf Azure administriert und die in der Regel Verwaltungskonsolen die Meldung "Low einen DC in Azure zu verschieben. Das statische IP-Einstellungen haben, werden Memory". Dies ist natürlich für einen DC wäre dann wohl doch zu viel des Guten. für Azure-VMs die Netzwerkschnittstellen – selbst zu Testzwecken – inakzeptabel. Ei- Belassen sie somit die fünf FSMO-Rollen nicht direkt mit statischen Einträgen ver- ne Übersicht der Image-Größen für VMs auf DCs im RZ. In unserem Beispiel ha- sehen. Diese stehen auf "Automatisch be- und die entsprechenden Kosten bietet [2]. ben wir einen DC in Azure platziert, was ziehen" sowohl für die IP-Konfiguration wir für eine Produktion nicht empfehlen. als auch für die DNS-Server. Um sich viel Der DC-VM müssen Sie eine zusätzliche Jeder Standort – auch der in Azure – Ärger zu ersparen, sollten Sie die IP-Kon- Festplatte spendieren, bei den anderen sollte mindestens zwei DCs besitzen. figuration auf keinen Fall direkt in einem Servern in unserem Beispiel ist dies nicht virtuellen Computer vornehmen. Denn ganz so wichtig. Doch bei einem DC in Fazit diese definiert sich gänzlich durch die Azure dürfen Datenbank, Logdateien und Das Netzwerk ist der wohl umfangreichs- Netzwerkeinstellungen in Azure (wie hier SYSVOL nicht auf der Platte liegen, auf te Aspekt bei der Inbetriebnahme heimi- bei den DNS-Servern) und wird dann an der sich das OS befindet. Auf der Fest- scher Domänencontroller in Azure. Ist die Azure-VMs durchgereicht. platte ist die "Hostzwischenspeicherung" dies aber einmal umgesetzt und eine IP- aktiviert und das ist kritisch für das AD. Verbindung zwischen On-Premises und Zu Beginn verwenden wir bei den DNS- Cloud besteht, lassen sich sukzessive Ser- Servern lediglich den lokalen DC mit der Wie bereits erwähnt, sollten Domänen- ver dorthin verlagern. Dies kann je nach IP-Adresse "192.168.78.250". Somit ist si- controller keine öffentlichen IP-Adressen den Anforderungen der IT sehr sinnvoll chergestellt, dass später die Domäne für haben. Die alleinige Netzwerkschnittstelle sein. Im zweiten Teil promoten wir zuerst den Domain-Join gefunden wird. Nach erhält ihre IP-Konfiguration durch die Zu- unseren DC und schauen dann, wie sich Abschluss des Setups und wenn unser DC ordnung in das jeweilige Subnetz und mit die Serverdienste, in unserem Fall die Ver- in Azure letztendlich läuft, haben wir hier einer IP-Adresse aus dem dortigen Pool. bunddienste, dort verhalten und was es zwei DNS-Server. Der On-Premises-DC Der DCPROMO-Vorgang wird sich später dabei zu beachten gilt. (jp) wird dann der "Alternative DNS Server" zwar beschweren, dass die IP-Adresse an- und der Azure-DC1, mit der IP-Adresse scheinend über DHCP zugewiesen wurde, Link-Codes "10.1.2.4", ist der "bevorzugte DNS Server" was aber lediglich daran liegt, dass die für alle virtuellen Computer, die im vir- Adaptereinstellungen auf "Automatisch [1] So entscheiden Sie, ob die Azure AD tuellen Netzwerk "AzureVNET" laufen. beziehen" stehen. In den Einstellungen Domain Services für Ihren Anwendungsfall geeignet sind der Netzwerkkarte der AzureVM gibt es ibp51 Virtuelle DCs anlegen die Option für eine statische IP-Adresse. [2] Azure VM Comparison In Azure gibt es mehrere Wege, virtuelle Für einen Domänencontroller sollten Sie ibp52 Computer in Betrieb zu nehmen. Für den diese unbedingt aktivieren.

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 39 Quelle: gaudilab – 123RF Quelle:

Citrix Workspace-App Neuer Arbeitsplatz von Jan Hendrik Meier

Während der Synergy 2018 hat Citrix angekündigt, in guter alter Tradition die Namen seiner Pro- dukte zu ändern. Für den langjährigen Citrix-Administrator ist dies nichts Neues, denn regelmäßig ändert der Hersteller die Bezeichnungen seiner Produkte. Aus XenApp wird Citrix Virtual Apps, aus XenDesktop wird Citrix Virtual Desktops, aus Citrix Provisioning Services wird Citrix Provisioning und so weiter. Auch Citrix Receiver erhält einen neuen Namen beziehungsweise wird durch ein neues Produkt ersetzt: die Citrix Workspace-App. Diese hat einige Erweiterungen im Gepäck.

B eim Blick auf das Citrix Produkt- Derzeit gibt es die Erweiterungen Desktop (jetzt: Virtual-Desktops). Damit Portfolio wird deutlich, dass -HDX dürfte auch klar sein, dass für den Zugriff es für die unterschiedlichsten Dienste die - Browser auf diese die HDX Engine (der neue Na- unterschiedlichsten Client-Anwendungen - Files me des ICA-Protokolls) verwendet wird. gibt. Es gibt Citrix Receiver für den -Mobile Es kommt hierbei die gleiche Engine zum Zugriff auf veröffentlichte Anwendungen, - Analytics Einsatz, die auch schon im Receiver ver- Desktops und Software-as-a-Service- wendet wurde. Der Benutzer kann somit Anwendungen, verschiedene ShareFile- Mit diesen ist der Zugriff auf die folgen- wie bisher auf veröffentlichte Anwendun- Clients zum Zugriff auf Daten und dane- den Komponenten möglich: gen und Desktops zugreifen. ben Secure Hub für das Endgeräte-Ma- - Virtual-Apps nagement. Letzteres unterstützt dabei - Virtual-Desktops Ob die hierfür benötigten Systeme im ei- sowohl das komplette Mobile-Device- - SaaS-Apps genen Rechenzentrum, einem anderen Management als auch das reine Mobile- - Web-Apps oder einer öffentlichen Cloud liegen, spielt Application-Management. - Mobile-Apps an dieser Stelle keine Rolle. Hier können -Content Sie weiterhin die von Ihnen bevorzugte Genau diese Dienste sollen zukünftig alle Bereitstellungsmethode verwenden. An- unter der Citrix Workspace-App zusam- Virtual-Apps sonsten stehen Ihnen die gleichen Funk- mengefasst werden. Hierfür stellt die Work- und Virtual-Desktops tionalitäten zur Verfügung, wie Sie diese space-App quasi einen Rahmen bereit, der Hinter den ersten beiden Komponenten vom Citrix Receiver gewohnt sind. Neue sich dann über Engines und Plug-ins mit verbergen sich die beiden Produkte Xen- Funktionalitäten in diesem Bereich werden entsprechenden Funktionen erweitern lässt. App (jetzt: Citrix Virtual-Apps) und Xen- allerdings nur noch über die Workspace-

40 Dezember 2018 www.it-administrator.de Citrix Workspace-App Praxis

transparentes Wasserzeichen (Benutzer- name und IP-Adresse) über der SaaS- Anwendung angezeigt wird. Macht der Quelle: Citrix Quelle: Benutzer also ein Foto oder einen Screen- shot von der Anwendung, ist im Nach- gang weiterhin problemlos erkennbar, mit welchem Benutzer der entsprechende Zugriff erfolgt ist.

Es besteht zudem die Möglichkeit einzu- schränken, welche Links der Benutzer aus den entsprechenden Anwendungen auf- Bild 1: Citrix Workspace bildet die Schnittstelle zwischen Usern und Diensten im Hintergrund. rufen darf. Sie können entweder ganze Webseiten-Kategorien einschränken oder App zur Verfügung gestellt und nicht mehr ten Einstellungen. Die Punkte Zwischen- aber auch nur einzelne Seiten. Entweder über neue Receiver-Versionen. ablage, Drucken und Downloads deakti- Sie erlauben den direkten Aufruf, also die vieren den Zugriff auf die entsprechenden entsprechende Webseite wird in der SaaS- und Web-Apps für alle Funktionen. Der Benutzer kann dann Workspace-App angezeigt, verweigern Neu hingegen dürfte für viele die Inte- sichtbare Inhalte weder über die Zwi- den Zugriff oder aber leiten den Zugriff gration von SaaS- und Web-Apps sein. schenablage kopieren noch diese drucken auf den "Secure Browser Service" um. Dies war zwar in der Vergangenheit auch oder herunterladen. Dieser ist eine weitere Funktionalität, die schon verfügbar, allerdings nur für Xen- in der Citrix-Cloud verfügbar ist. Hinter Mobile-Kunden. Sie fügen hier einfach Durch das Deaktivieren der Navigation diesem verbergen sich gehärtete Linux- Ihre SaaS- oder Web-Apps hinzu und der wird die Adressleiste ausgeblendet. Der VMs, in denen ein Browser gestartet und Benutzer sieht diese anschließend, sofern Benutzer sieht also nicht mehr, über wel- die entsprechende Webseite aufgerufen sie ihm zugewiesen wurden, in der Work- che URL auf die SaaS-Anwendung zuge- wird. Da es sich um eine veröffentlichte space-App. Die Besonderheit ist, dass Sie griffen wird, und hat somit auch keine Anwendung handelt, kann möglicher diese auch gleich mit einem entsprechen- Möglichkeit, einfach die Adresse in einem Schadcode von der Webseite nicht auf den Single Sign-On konfigurieren kön- anderen Browser einzugeben und somit dem Endgerät, sondern nur in der ent- nen. Der Benutzer ruft also die SaaS- auf die Anwendung zuzugreifen. In die- sprechenden VM ausgeführt werden. Dies /Web-Apps aus der Workspace-App auf sem Zusammenhang ist noch zu erwäh- stellt sicher, dass hierüber kein unberech- und wird direkt in diesen angemeldet. Er nen, dass selbst wenn der Benutzer die tigter Zugriff auf die eigenen Daten oder braucht sich für diese keine weiteren Be- URL herausfindet, er sich nur anmelden das Endgerät des Benutzers erfolgt. nutzernamen und Kennwörter merken. kann, wenn Sie keine automatische An- meldung konfiguriert haben. Ist diese Mobile-Apps nur aus der Cloud Veröffentlichen Sie eine SaaS-App, besteht nämlich eingerichtet, ist dem Benutzer Hinter dem Punkt "Mobile-Apps" verbirgt die Möglichkeit einen "Enhanced Security weder Benutzernamen noch Passwort für sich das Produkt XenMobile – jetzt "Citrix Mode" zu aktivieren. Dieser bietet Ihnen den Zugriff bekannt. Die Wasserzeichen- Endpoint Management". Wichtig ist, dass die folgenden Funktionen: Funktion bewirkt, dass mehrfach ein bestehende XenMobile-Installationen On- - Zugriff auf Zwischenablage deaktivieren - Drucken deaktivieren - Navigation deaktivieren

- Downloads deaktivieren Citrix Quelle: - Wasserzeichen anzeigen

Wenn Sie eine SaaS-Anwendung veröf- fentlichen und für diese den Enhanced Security Mode nicht aktivieren, wird diese im Standard-Browser des Benutzers ge- öffnet. Bei entsprechender Konfiguration erfolgt auch hier die automatische An- meldung. Ist hingegen der Enhanced Se- curity Mode aktiviert, wird die SaaS-An- wendung mit dem integrierten Browser in der Citrix Workspace-App aufgerufen. Dieser übernimmt dann die konfigurier- Bild 2: Für Anwender spielt es keine Rolle, wo die Dienste und Daten liegen.

www.it-administrator.de Dezember 2018 41 Praxis Citrix Workspace-App

genen Anlagen. Möchten Sie eine entsprechende Anlage weitersenden, können Sie direkt nach dieser suchen und diese Quelle: Citrix Quelle: verschicken. Der Umweg, zunächst die entsprechende E-Mail mit der Anlage zu suchen, entfällt. Gerade für kürzlich ge- sendete oder empfangene Anlagen ist das in der Zeit der heutigen E-Mail-Flut sehr hilfreich. Nicht zuletzt gibt es eine Slack- Integration. So lässt sich einfach eine Slack-Diskussion mit den Empfängern einer E-Mail starten, anstatt endlose E- Mails hin- und herzuschicken. Bild 3: Mit dem Enhanced Security Mode schränken Administratoren die Zugriffsrechte der Nutzer ein, um Datenlecks zu vermeiden. Zugriff auf Content Premises, also im eigenen Rechenzentrum, erscheint es wie ein normaler Mailclient Kommen wir zum letzten Punkt der Zu- weiterhin wie bisher genutzt werden. Die für mobile Endgeräte. Bei genauerer Be- griffsmöglichkeiten: Content, also Inhalt. Integration in die Workspace-App ist hier trachtung gibt es aber doch einige Fein- Hinter diesem Punkt verbirgt sich Citrix nicht geplant. Nutzen Sie hingegen die Xen- heiten, die insbesondere bei der geschäft- Files (früher ShareFile). Hiermit wird es Mobile-Services aus der Citrix-Cloud, kann lichen Nutzung sehr hilfreich sind. dem Benutzer ermöglicht, direkt auf seine der Benutzer zukünftig die hierüber be- Zunächst wird über die angesprochene Dateien zuzugreifen. Es ist dabei egal, ob reitgestellten mobilen Anwendungen eben- Container-Technologie sichergestellt, dass diese auf ShareFile, OneDrive, SharePoint falls aus der Workspace-App aufrufen. Als kein unberechtigter Zugriff auf die ent- oder anderen (Cloud)-Storage-Systemen Besonderheit sei hier allerdings erwähnt, sprechenden Daten erfolgen kann. Da- liegen. Für den Benutzer bietet dies den dass die Authentifizierung erst einmal wei- neben gibt es einige zusätzliche Funktio- Vorteil, dass er über einen zentralen Zu- terhin über den Secure-Hub erfolgt. Dieser nen, die oftmals in anderen Mailclients griffspunkt an seine Dateien kommt. Es muss also zunächst auf den Endgeräten fehlen. Hierzu gehört unter anderem die werden hierfür die entsprechenden eigenen verbleiben, auch wenn sicherlich davon Konfiguration der Abwesenheitsbenach- Speicherdienste eingebunden. Verwendet auszugehen ist, dass auch dieser zukünftig richtigungen. Bei vielen Standard-Mail- ein Unternehmen also zum Beispiel in die Workspace-App integriert wird. clients lässt sich nur eine Nachricht an- SharePoint und OneDrive, müssen die Be- passen, nicht aber die Benachrichtigung nutzer sich hierfür keine separaten Zu- Neben der Workspace-App stellt Citrix für etwa an externe Benutzer separat einstel- griffsmöglichkeiten einrichten, sondern Mobilgeräte noch weitere Anwendungen len. Dies ist mit Secure Mail möglich. können direkt aus der Workspace-App zu für iOS und Android zur Verfügung. Hier- den dort abgelegten Daten gelangen. zu gehören Citrix Files (dazu später mehr), Die geschäftlichen Kontakte sind aller- Secure Mail und Secure Web. Bei den bei- dings zunächst nur in der Secure-Mail- Daneben bietet Citrix Files die Möglichkeit, den Letzteren handelt sich um sogenannte Anwendung verfügbar. Ruft ein Kontakt Dateien mit anderen zu teilen. Sie können Container-Apps. Die Daten dieser Anwen- an, sehen Nutzer daher nicht dessen Na- unter anderem festlegen, dass Dateien nur dungen liegen hierbei in einem verschlüs- men. Hierzu lassen sich die entsprechen- für einen gewissen Zeitraum heruntergela- selten Container, auch wenn das Endgerät den Kontaktdaten auf das Endgerät syn- den werden dürfen, und sich eine Benach- ansonsten unverschlüsselt ist. Hiermit er- chronisieren. Dies wiederum lässt sich so richtigung schicken lassen, wenn jemand reichen Sie, dass bei Verlust des Endgerätes einschränken, dass nur die tatsächlich die Datei(en) heruntergeladen hat. Zusätz- kein unberechtigter Zugriff auf die Daten notwendigen Daten und nicht alle Kon- lich steht eine integrierte Workflow-Engine innerhalb dieser Anwendungen möglich taktdetails synchronisiert werden. Falls zur Verfügung. Eine Möglichkeit, um diese ist. Mit Secure Web kann der Benutzer Ihnen das auch zu unsicher ist, besteht zu nutzen, ist es, wenn eine entsprechende über eine Micro-VPN-Verbindung – also zumindest für iOS seit kurzem die Mög- Genehmigung bestimmter Dokumente er- eine VPN-Verbindung, die nur von dieser lichkeit, den Namen des Anrufers nur forderlich ist. Der entsprechende Workflow Anwendung genutzt werden kann – gesi- über die Secure-Mail-Anwendung anzu- wird dann initiiert und an die betroffenen chert auf interne Webseiten zugreifen. Der zeigen. Ruft in diesem Fall ein entspre- Personen geschickt. Diese können dann die Zugriff auf die Daten der entsprechenden chender Kontakt an, sehen Nutzer die Te- Dokumente überprüfen und genehmigen. Webseiten ist für andere Anwendungen lefonnummer des Anrufers und unterhalb Diese Genehmigung wird im Hintergrund auf dem Endgerät nicht möglich. von dieser den entsprechenden Namen dokumentiert und kann somit später pro- – angezeigt von Secure Mail. blemlos nachvollzogen werden. Secure Mail hingegen bietet einen gesicherten Zugriff auf die Firmen-Mails und Eine andere Funktionalität ist das Anzei- Interessant ist auch die Möglichkeit, dass Kalendereinträge. Auf den ersten Blick gen der zuletzt versendeten und empfan- wenn ein Benutzer eine Datei aufruft,

42 Dezember 2018 www.it-administrator.de Citrix Workspace-App Praxis

diese nicht mit einer lokalen Anwendung Geräten ungewöhnlich für den Benut- scheinungsbild. Die Oberfläche ist an geöffnet wird, sondern mit einer ent- zer. Es gibt hier noch etliche weitere dieser Stelle unverändert. Dies ist dem sprechenden Virtual-App. Dies ist ins- Beispiele, die auf einen unberechtigten Umstand zu verdanken, dass Citrix vor besondere dann hilfreich, wenn auf dem Zugriff hindeuten. einigen Jahren das Erscheinungsbild des entsprechenden Endgerät keine Anwen- Receivers für den Benutzer nicht mehr dung zur Verfügung steht, um die ent- XenApp und XenDesktop direkt im Receiver gespeichert hat, son- sprechende Datei zu öffnen. im Rechenzentrum dern dies immer aus den konfigurierten Nachdem wir uns jetzt die gesamten Stores ausgelesen wird. Notwendig war Gefahren erkennen Funktionalitäten der Workspace-App in dieser Schritt, damit es möglich ist, das mit Analytics Zusammenspiel mit Diensten der Ci- Design den eigenen Wünschen anzupas- Neben den bereits genannten Zugriffs- trix-Cloud angeschaut haben, wollen sen. Somit war es möglich, dass der Re- möglichkeiten gibt es noch den Bereich wir einmal auf den Einsatz in bestehen- ceiver nicht mehr in jeder Umgebung "Analytics". Hinter diesem verbirgt sich den Virtual-Apps-(XenApp)- und Vir- das gleiche Design hat, sondern zum die automatische Überwachung des An- tual-Desktops-(XenDesktop)-Umgebun- Beispiel im Corporate Design erscheint. wenderverhaltens. Es geht hierbei aber gen eingehen. Zukünftig gibt es keine Weitere Änderungen gibt es an dieser nicht darum, die Arbeit des Mitarbeiters neueren Versionen des Citrix-Receivers Stelle nicht. Die oben beschriebenen Er- selber zu überwachen. Stattdessen ist nach 4.12 mehr. Citrix entwickelt aus- weiterungen sind nur mit der Citrix- das Ziel der Analytics-Funktion, Gefah- schließlich die Citrix Workspace-App Cloud nutzbar. ren zu erkennen und diese automatisch weiter. Möchten Sie also neue XenApp- zu beseitigen. Nehmen wir als Beispiel und XenDesktop-Funktionalitäten auch Fazit einmal den Zugriff des Mitarbeiters auf in Umgebungen nutzen, die Sie im ei- Citrix bietet mit der Workspace-App ei- Dokumente. genen Rechenzentrum betreiben, ist es ne umfangreiche Möglichkeit, um Be- notwendig, vom Receiver auf die Work- nutzern einen zentralen Ort zur Verfü- Greift der Mitarbeiter normalerweise space-App zu aktualisieren. gung zu stellen, über den sie neben den nur auf einzelne Dateien über den Tag klassischen Windows-Anwendungen verteilt zu, plötzlich aber auf mehrere Damit es hierbei zu keinen Problemen und -Desktops auch auf Web- sowie tausend innerhalb einer Stunde, so ist kommt, ist es zunächst empfehlenswert, SaaS-Angebote und ihre Daten zugreifen davon auszugehen, dass es sich hierbei vorhandene Receiver-Versionen zu dein- können. Die Workspace-App ist also nur um ein unbeabsichtigtes Verhalten han- stallieren und erst anschließend die das Portal zum eigentlichen Workspace. delt. Vielleicht hat eine Malware das Workspace-App zu installieren. Die Kon- Welche Funktionen Sie hiervon aller- Endgerät des Benutzers befallen und figuration kann, wie vom Receiver ge- dings nutzen können, hängt von der ge- versucht jetzt, massenhaft Dateien zu wohnt, zum Beispiel über Gruppenricht- wählten Lizenz ab. verschlüsseln. Durch die automatische linien erfolgen. Greift der Benutzer nur Erkennung kann die Verbindung des über das Startmenü über automatisch Dabei dürfen Sie aber nicht vergessen, entsprechenden Endgerätes auf die Da- hinzugefügte Verknüpfungen auf veröf- dass es sich hierbei um eine reine Cloud- ten direkt unterbunden und somit wei- fentlichte Anwendungen zu, wird er kei- lösung handelt. Es besteht also nicht terer Schaden vermieden werden. nen großartigen Unterschied zum vor- die Möglichkeit, die entsprechenden herigen Receiver feststellen. Lediglich Management-Funktionalitäten im eige- Es wird dabei nicht überwacht, auf wel- das bekannte Receiver-Icon in der Task- nen Rechenzentrum bereitzustellen. Hier chen Inhalt der Benutzer zugreift. Aber leiste neben der Uhr ist jetzt nicht mehr können Sie nur die über die Citrix- auch andere Indikatoren können ge- grau, sondern blau. Vielleicht erinnert Cloud bereitgestellten Funktionalitäten nutzt werden, um einen unberechtigten sich an dieser Stelle der ein oder andere nutzen. Die eigentlichen Applikationen Zugriff auf Unternehmensdaten und Leser an die Einführung des Citrix-Re- und Ressourcen hingegen lassen sich -anwendungen zu erkennen und auto- ceivers (den Nachfolger des "Program weiterhin in einem Rechenzentrum matisch zu unterbinden. Ein weiteres Neighborhood") im Jahr 2009. Zu die- Ihrer Wahl bereitstellen. Beispiel: Verbindet sich ein Benutzer sem Zeitpunkt war das Logo des Recei- normalerweise nur aus Deutschland, vers ebenfalls blau gefärbt. Es ist hierbei egal, ob es sich um das ei- auf einmal hingegen innerhalb von kur- gene Rechenzentrum im Keller oder ei- zer Zeit von sehr unterschiedlichen Or- Startet der Benutzer hingegen die Work- nen der großen Cloudanbieter handelt. ten auf der Welt, so deutet dies darauf space-App, erhält er eine Benachrichti- Auch die parallele Nutzung etwa im Not- hin, dass das Kennwort des Benutzers gung, dass der Receiver zukünftig auf fall oder bei einer Migration ist hier eine kompromittiert wurde und somit Un- den Namen "Citrix Workspace-App" interessante Möglichkeit. Der Benutzer berechtigte auf die entsprechenden Da- hört. Sobald sich die Workspace-App greift auf die Workspace-App zu – die ten oder Anwendungen zugreifen. Viel- mit der internen StoreFront-Infrastruk- Applikation wird dann je nach Situation leicht ist aber auch die Nutzung von tur verbunden hat, erscheint für den Be- aus dem eigenen Rechenzentrum oder jailbroken beziehungsweise gerooteten nutzer das vom Receiver gewohnte Er- der Cloud gestartet. (dr)

www.it-administrator.de Dezember 2018 43 Registry für Docker-Images Ablage D von Oliver Frommel

Wer selber Docker-Images herstellt, braucht auch eine eigene Registry. Diese gibt es ebenfalls als Docker-Image, aber nur mit eingeschränkter Funktionalität. Mit einem Auth-Server wird daraus ein brauchbares Repository für Images.

O hne jemanden nahezutreten, lässt $ docker run -p 5000:5000 --name kann das etwa bedeuten, dass ein Benutzer sich wohl behaupten, dass die Ver- registry -v /etc/docker-registry/ uneingeschränkte Lese- und Schreibrechte öffentlichung der Docker-Software ein :/auth -e "REGISTRY_AUTH=htpasswd" für seinen Namespace ("remote.reposito- Schnellschuss war. Erst später wurden viele -e REGISTRY_AUTH_HTPASSWD_PATH= ry.com/User") erhält, aber nur Leserechte Features eingeführt, die bitter nötig waren. /auth/htpasswd -e für andere Images. Ein Beispiel dafür ist die Registry , der "REGISTRY_AUTH_HTPASSWD_REALM= Speicherplatz für Docker-Images, die nicht Registry Realm" registry:2 Dieses lässt sich über die Identity-Manage- einmal einen Mechanismus zur Authen- ment-API der Docker Registry realisieren, tifizierung besaß. Später wurde das Image- Nun können Sie versuchen, die Registry die tokenbasiert funktioniert. Will ein An- Format geändert und die Registry 2.0 zum Speichern von Images zu verwenden. wender auf die Registry zugreifen, leitet (auch: "Docker Distribution") veröffent- Dazu laden Sie zunächst ein Image aus der Server den Client auf einen Authen- licht, die mit vielen Beschränkungen auf- dem offiziellen Docker Hub herunter, tifizierungsserver um, der Login/ Passwort geräumt hat. Sie besitzt immerhin einen zum Beispiel mit docker pull alpine:latest überprüft und ein Token ausstellt (Bild 1). Basismechanismus zur Authentifizierung, ein Image der platzsparenden Alpine-Dis- Darüber hinaus ist in dem Scope-Feld des der sich aber auf die von Apache bekann- tribution. Um das Image in die eigene Re- Tokens festgelegt, welche Berechtigungen ten "htpasswd"-Dateien beschränkt. gistry laden zu können, müssen Sie es mit der Benutzer im Einzelnen besitzt. dessen Hostnamen taggen: Zugangsbeschränkung und docker_auth als Auth-Server Rechtekontrolle $ docker tag alpine:latest Implementiert wird der beschriebene Ab- Der Mechanismus beschränkt sich aber remote.repository.com:5000/ lauf beispielsweise von der freien Software auf die Authentifizierung und bietet keine alpine-latest "docker_auth", die von der Firma Cesanta fein abgestufte Autorisierung der authen- entwickelt wurde und auf GitHub [1] wie tifizierten Benutzer für einzelne Ressour- Wenn Sie nun versuchen, das Image auch als Image im Docker Hub zu finden cen, also Lese/Schreibzugriff auf Images. hochzuladen, erhalten Sie eine Fehler- ist. docker_auth bietet zur Authentifizie- Für viele Anwender, die Docker nur mal meldung "unauthorized: authentication rung die folgenden Methoden: eine sta- ausprobieren wollen, und Teams, in denen required". Sie müssen sich erst mit den tische Benutzerliste, ein Login mittels jeder alles darf, ist das aber ja vollkommen oben vergebenen Credentials per docker Google oder GitHub, eine LDAP-Anbin- ausreichend. Fügen Sie also der Htpasswd- login ... anmelden; anschließend klappt dung, MongoDB oder ein externes Pro- Datei einen User hinzu und starten Sie den es auch mit dem Upload (Listing 1). In gramm. Zur Autorisierung können stati- Registry-Container, in dem Sie das Ver- dem Listing sehen Sie auch, dass die Log- sche ACLs, MongoDB oder ein externes zeichnis mit der Passwortdatei mounten. in-Daten in "$HOME/.docker/config. Programm verwendet werden. Die Authentifizierungseinstellungen über- json" gespeichert werden. Um sie von dort geben Sie als Umgebungsvariablen: wieder zu entfernen, verwenden Sie do- Zur Konfiguration dient eine YAML-Da- cker logout remote. repository. com:5000. tei, die Sie dem Container wie gewohnt $ sudo mkdir /etc/docker-registry Um sich einmal mit Docker vertraut zu per Bind-Mount als Volume unterschie- $ htpasswd -Bbn oliver T0Ps3crEt | machen, mag diese Lösung auch genügen. ben. Dies gilt auch für die TLS-Zertifikate, sudo tee /etc/docker- Meistens will man aber noch etwas darü- die docker_auth verwendet. Beispiele für registry/htpasswd ber hinausgehende Fähigkeiten wie etwa die Konfiguration finden Sie im GitHub- oliver:$2y$05$lAmkjHRcR0.TK52/rHR/Pe die oben angesprochene Autorisierung Repository im Verzeichnis "examples", 86AGZqpRleXenHVT/eabFe8He5UZiPu hinsichtlich einzelner Ressourcen. Konkret wo auch die Datei "reference.yml" liegt,

44 Dezember 2018 www.it-administrator.de Docker-Registry Praxis

ziehungsweise die Anwendung kenn- zeichnet. Für "REGISTRY_ AUTH_ HTPASSWD_PATH" würde also folgende Struktur in der YAML-Datei entsprechen:

auth: htpasswd: path: "/auth/htpasswd"

Der konkrete Wert kommt allerdings im Folgenden nicht zum Einsatz, da wir ja statt der Htpasswd-Authentifizierung den Auth-Server verwenden möchten. Die entsprechende Konfiguration ist in Listing 3 zu sehen. Neben dem Speicherort der Registry-Daten ("storage/filesystem/rootdirectory"), der sich natürlich nicht im Container, sondern auf dem Host befin- Bild 1: Damit die Docker-Registry Authentifizierung und Autorisierung unterstützt, benötigt sie einen det, ist vor allem das Authentifizierungs- separaten Auth-Server, der Token ausstellt. Realm interessant, hinter dem sich der Auth-Server befindet. Außdem verwen- die sämtliche verfügbaren Optionen mit lich. Die Dokumentation enthält eine gan- den wir Let's-Encrypt-Zertifikate, die Kommentaren enthält. Ein Beispiel für ze Reihe von Beispielen für ACLs, die sich ebenfalls auf dem Host installiert sind. die Konfiguration, die auf Backends wie auch per Copy-and-paste übernehmen las- MongoDB verzichtet und sowohl die sen. Den Auth-Server starten Sie nun so: Ist die Konfigurationsdatei unter dem Na- User-Accounts wie auch die ACLs bereits men "config.yml" im aktuellen Verzeich- enthält, ist in Listing 2 zu sehen. $ docker run --name docker_auth -p nis gespeichert, starten Sie die Registry 5001:5001 -v `pwd`:/config:ro \ mit dem folgenden Aufruf: Wieder werden die Hashes der Passwörter -v /var/log/docker_auth:/logs \ abgelegt, die sich mit Htpasswd erzeugen -v /etc/letsencrypt:/le \ docker run -p 5000:5000 --name lassen. Die ACLs bestehen aus drei Ele- cesanta/docker_auth:1 registry \ menten. "match" gibt an, für wen oder was /config/config.yml -v die Regel gilt, "actions" spezifiziert, was damit gemacht werden darf, dann folgt Auch die Docker-Registry, die wir oben Listing 2: noch ein Kommentar. Hier gibt es viele mit Umgebungsvariablen gestartet haben, Auth-Server-Konfiguration

Möglichkeiten, den Zugriff zu regeln, bei lässt sich mit einer YAML-Datei konfi- server: denen man zum Beispiel Regular Expres- gurieren. Jede Einstellung in der Datei addr: ":5001" certificate: sions verwenden kann. Richtige Gruppen entspricht einer Umgebungsvariablen, die "/le/live/remote.repository.com/cert.pem" gibt es nicht, aber sie lassen sich mit den den YAML-Pfad durch Unterstriche key: "/le/live/remote.repository.com/priv- sogenannten Labeln simulieren. Auch eine trennt. Der erste Wert "REGISTRY" fällt key.pem"

Einschränkung auf IP-Adressen ist mög- dabei weg, da er nur den Container be- token: issuer: "MyRepository auth server" # muss Listing 1: Login und Upload in die Registry mit Registry-Config übereinstimmen! expiration: 900 $ docker login remote.repository.com users: Authenticating with existing credentials... # Password is specified as a BCrypt hash. Login did not succeed, error: Error response from daemon: login attempt to https://remote.reposi- Use `htpasswd -nB USERNAME` to generate. tory.com:5000/v2/ failed with status: 401 Unauthorized "oliver": Username (ofrommel): oliver password: Password: "$2y$05$4dIrCZLpgSYDClrS6pN2BOxVm.rkPy/4Ig WARNING! Your password will be stored unencrypted in /home/oliver/.docker/config.json. nurlHbukOxOJldlhJM." Configure a credential helper to remove this warning. See https://docs.docker.com/engine/reference/commandline/login/#credentials-store acl: $ - match: {account: "admin"} Login Succeeded actions: ["*"] comment: "Admin has full access to every- docker push remote.repository.com:5000/alpine:latest thing." The push refers to repository [remote.repository.com:5000/alpine] - match: {account: "user"} 73046094a9b8: Pushed actions: ["pull"] latest: digest: sha256:0873c923e00e0fd2ba78041bfb64a105e1ecb7678916d1f7776311e45bf5634b size: 528 comment: "User \"user\" can pull stuff."

Alle Listings zum Download unter www.it-administrator.de Dezember 2018 45 Praxis Docker-Registry

Listing 3: Registry-Konfiguration

version: 0.1

log: fields: service: registry

storage: filesystem: rootdirectory: /var/lib/registry

http: addr: :5000 tls: certificate: "/le/live/remote.reposito ry.com/cert.pem" key: "/le/live/remote.repository.com/ privkey.pem"

auth: token: Bild 2: Die Docker-Registry protokolliert jeden einzelnen Request. realm: "https://remote.repository.com:5001/auth" service: "Docker registry" namischer als mit der Konfigurationsdatei tun, von denen Sie oder Ihre Kollegen issuer: "MyRepository auth server" wird das Setup mit MongoDB als Daten- Docker verwenden, also möglicherweise rootcertbundle: "/le/live/remote.repository.com/fullchain.pem" bank. Hier kann die Konfiguration geän- auch auf Rechnern mit Windows oder dert werden, ohne den Container immer macOS – da ist die Option mit den "--in- neu starten zu müssen. Komfortabler wird secure-registries" sicher die einfachere. `pwd`/config.yml:/etc/docker/ die Administration allerdings nicht unbe- registry/config.yml \ dingt, denn die ACLs werden in der glei- Registry-Betrieb als -v /var/docker-regis- chen Syntax wie in der Konfigurationsdatei Proxy-Cache try:/var/lib/registry \ in der Datenbank gespeichert (Bild 3). Zur Interessant dürfte für viele auch der Be- -v /etc/letsencrypt:/le Authentifizierung ist, wie erwähnt, für viele trieb einer eigenen Registry als Proxy sein, registry:2 Anwender sicher auch LDAP interessant, von der Docker-Dokumentation auch aber die ACLs müssen dabei trotzdem auf "pull through cache" genannt. Dies ist Nun können Sie die Registry wie oben ge- einem anderen Weg hinterlegt werden, sei kein großes Problem. Es genügt, in der zeigt verwenden. User-Accounts und ACLs es im File oder in MongoDB. Konfigurationsdatei die Anweisung legen Sie wie beschrieben in der Konfigu- "proxy" hinzuzufügen und darunter die rationsdatei von docker_auth ab und star- Probleme mit Zertifikaten URL der Upstream-Registry einzutragen: ten den Container neu. In der Log-Aus- umgehen gabe der Registry können Sie sich die Wenn Sie eine Fehlermeldung über ein proxy: einzelnen Requests ansehen, was auch bei unsicheres Zertifikat erhalten, besteht die remoteurl: https://registry-1. der Fehlersuche hilft (Bild 2). Etwas dy- einfachste Lösung darin, den Docker- docker.io Daemon mit der Option "--insecure-re- Listing 4: Zertifikate von Let's gistry" zu starten, gefolgt von einer Liste Eine weitere Option ist es, die Registry wie Encrypt installieren der Hostnamen ihrer Registries inklusive auch den Auth-Server hinter einem Proxy Port. Dies müssen Sie auf jedem Client wie Apache, Nginx oder HAProxy zu be- curl -O https://letsencrypt.org/certs/isrg- rootx1.pem tun, der die Registry verwenden möchte. treiben. Dann fällt die Portnummer aus curl -O https://letsencrypt.org/certs/lets- den Registry-URLs heraus und Sie haben encrypt-x3-cross-signed.pem openssl x509 -in isrgrootx1.pem -inform PEM Der Grund für die Fehlermeldung liegt auf dem Server zwei offene Ports weniger. -out isrgrootx1.crt darin, dass beispielsweise aktuelle Linux- openssl x509 -in lets-encrypt-x3-cross-sig- Distributionen das Root-Zertifikat von Listing 5: HAProxy-Konfiguration ned.pem -inform PEM -out lets-encrypt-x3- cross-signed.crt Let's Encrypt nicht in ihrer Keychain in- use_backend registry if { hdr_end(host) -i sudo cp *.crt /usr/local/share/ca-certifica- stalliert haben, auf die Standard-Tools remote.repository.com } { path_beg /v2 } tes/ wie der Docker-Daemon (über die Kryp- use_backend registry_auth if { hdr_end(host) sudo update-ca-certificates --verbose to-Libraries) zurückgreifen – während -i remote.repository.com } { path_beg I already trust 148, your new list has 150 /auth } Certificate added: C=US, O=Let's Encrypt, etwa die Webbrowser eigene Keychains ... CN=Let's Encrypt Authority X3 mitbringen. Listing 4 zeigt, wie Sie die backend registry 1 new root certificates were added to your server registry 127.0.0.1:5000 trust store. Root-Zertifikate auf einem Ubuntu-Sys- ... tem installieren und aktivieren. Dies müs- backend registry_auth sudo systemctl restart docker sen Sie nun allerdings auf allen Rechnern server registry_auth 127.0.0.1:5001

46 Dezember 2018 www.it-administrator.de MIGRATION, KONSOLIDIERUNG & DATENMANAGEMENT FÜR FILESYSTEME

Bild 3: Die ACLs können auch in einer MongoDB-Datenbank gespeichert werden.

Typischerweise erledigen Sie dann die weile auch Docker unterstützt, aber wie- TLS-Terminierung auch über den Proxy, derum nur rudimentär. dann kann die Verschlüsselung bei den Servern wegfallen. Sie müssen nur bei der Wer gleich die komplette Registry inklu- Nutzbarkeit der Proxy-Konfiguration anhand der aufge- sive Zugangskontrolle ersetzen möchte, Daten optimieren rufenen URLs zwischen den Backends dif- kann sich die beiden Open-Source-Pro- mit migRaven ferenzieren. Eine solche Konfiguration für jekte Portus [4] von Suse und Harbor [5] Data Retention HAProxy können Sie in Listing 5 sehen. von VMware anschauen. Beide sind aber in aktiver Entwicklung und nicht ganz Andere Docker-Registries einfach zu installieren und zu konfigu- Eine Alternative zum Einsatz von do- rieren. Leichter geht es mit kommerziellen cker_auth als Authentifizierungsbackend Produkten wie der Artifactory [6] von Daten ist beispielsweise der Keycloak-Server von JFrog oder Sonatype Nexus, die neben Datenbestände auf dem Filesystem intelligent Red Hat [2]. Er steht ebenfalls als freie Docker-Images auch zahlreiche weitere Software zur Verfügung, bietet zahlreiche "Artefakte" hosten können, etwa Pakete weitere Features für Single Sign-on und für Apache Maven, RubyGems, RPMs auch ein webbasiertes Frontend – aller- und so weiter. Hier empfiehlt sich insbe- dings von Haus aus keine Möglichkeit zur sondere ein Blick auf Sonatype Nexus [7], Regelung der Autorisierung. Ein weiteres dessen Open-Source-Variante beinahe Strukturen Projekt aus dem Hause Red Hat ist der den kompletten Funktionsumfang der $% Pulp-Repository-Server [3], der mittler- Enterprise-Ausführung bietet – abgesehen & !B% von Features wie Hochverfügbarkeit und und migrieren. dem Support durch den Hersteller. Link-Codes Prozesse [1] GitHub-Repository docker_auth Fazit iap61 !# Eine eigene Registry für Docker-Images Rechte- und Datenmanagement einbinden. [2] Keycloak zu betreiben, ist nicht schwierig. Etwas iap62 aufwendiger wird es, wenn zur dateiba- [3] Pulp iap63 sierten Authentifizierung noch eine Au- [4] Portus torisierung für einzelne Ressourcen oder iap64 eine Anbindung an ein LDAP-Backend [5] Harbor dazukommen soll. Beides lässt sich aber iap65 mit der freien Software "docker_auth" lö- [6] JFrog Artifactory sen. Als Alternativen bieten sich kom- «Die richtigen Daten, am richtigen Ort, » iap66 merzielle Docker-Registries an, die es für die richtige Person. [7] Sonatype Nexus OSS zum Teil auch als leicht abgespeckte iap67 Open-Source-Varianten gibt. Jetzt Demo vereinbaren: Link-Codes eingeben auf www.it-administrator.de www.migraven.com/demo Secrets in Docker Swarm Bisschen geheim von Oliver Frommel

Praktisch jede Serveranwendung muss auch an irgendeiner Stelle Zugangsdaten oder Schlüssel verwalten,

3 die möglichst geheim zu halten sind. Sie im Klartext in 2 1

–

b Konfigurationsdateien abzulegen, führt deshalb nicht m u h t e e zum Ziel. Bei Containern bietet Docker im Swarm-Mode t i v : e ll e mit den Secrets einen Mechanismus dafür. u Q

M ehr als ein Anwender hat bereits chend passen Sie die Konfiguration des von docker container ls steht zuerst der eine unschöne Überraschung er- Containers in einem Compose-File als oben vergebene Servicename (hier "dum- lebt, wenn in einem öffentlichen Github- Service an. Im einfachsten Fall starten Sie per"), gefolgt von der ID des Tasks, der Repository die Zugangsdaten für einen den Swarm-Mode mit dem Befehl docker zum Service gehört. Ansonsten können wichtigen Server gelandet sind. Aus die- swarm init. Dieser Rechner ist dann der Sie die Container-ID herausfinden, indem sem Grund wird davon abgeraten, Pass- einzige Swarm-Manager und es gibt keine Sie erst über docker service ps Servicename wort- und andere sensible Daten in Da- anderen Nodes. Ein Secret legen Sie dann die Task-ID herausfinden und dann die teien zu hinterlegen. Dies gilt auch für mit dem folgende Befehl an (Bild 1): Informationen des Tasks mit dem pas- Docker-Images, deren Build-Dateien senden Filter inspizieren: (Dockerfiles) häufig Passwörter in Form $ echo T0pS3cret | docker secret von Umgebungsvariablen enthielten, die create mysecret - $ docker inspect --format "{{.Sta- ein Container beim Start übergeben be- tus.ContainerStatus.ContainerID}}" kam. Eine Möglichkeit, zumindest einen Mit dem Bindestrich liest der Befehl die x37mbeafpvw5 Teil des Problems zu lösen, sind separate Daten von der Standardeingabe, alternativ 807c0d93a000e29c3a277fb8de4d3... Dateien für Umgebungsvariablen, die in geben Sie hier eine Datei an. Ein Aufruf ein Docker-Compose-File mit der An- von docker secret ls zeigt, dass Docker das Die Container-ID verwenden Sie nun, weisung "env_file" eingebunden werden. Secret gespeichert hat. docker secret inspect um in dem Container testweise das ent- mysecret zeigt unwesentlich mehr Infor- schlüsselte Secret anzuzeigen: Mit der Docker-Version 1.13 entstand eine mationen wie das Erzeugungsdatum und bessere Lösung für das Problem: die so- die ID, aber nicht die geheimen Daten. $ docker container exec -t genannten Secrets [1], die Docker eigen- Um an sie zu gelangen, müssen Sie wie 807c0d93a000e29c3a277fb8de4d3 cat ständig im Hintergrund verwaltet und angedeutet den Service starten, der Zu- /run/secrets/mysecret soweit möglich verschlüsselt speichert griff auf das Secret hat. Damit wird letzt- T0pS3cret und transportiert. Damit lassen sich Pass- endlich ein Container erzeugt, in dessen wörter, Zertifikate und andere geheim- Dateisystem das entschlüsselte Secret zu Der Pfad "/run/secrets" ist der Default- zuhaltende Daten halbwegs sicher spei- finden ist. Der folgende Befehl startet ei- Ort für die Docker-Secrets, der automa- chern und an Container weitergeben. nen Dienst mit einer Alpine-Linux-Dis- tisch als Tmpfs in den Container einge- tribution und einer Shell: bunden wird. Alternativ können Sie ab Nur im Swarm-Mode Docker-Version 17.06 beim Starten eines Secrets stehen nur im Swarm-Mode zur $ docker service create --name Diensts den Speicherort und die Datei- Verfügung, dem Betriebsmodus für Do- dumper --secret mysecret -t berechtigungen angeben: cker-Cluster. Allerdings ist es ja auch --restart-condition none alpine ash möglich, einzelne Container mit Swarm $ docker service create --name redis zu betreiben. Sie müssen dabei nur etwas Wenn Sie nur wenige Container laufen --secret source=ssh-key,target=ssh umdenken und von einem Dienst mit ei- haben, können Sie den zugehörigen Con- --secret source=app-key,target= ner Skalierung von 1 ausgehen statt von tainer vermutlich leicht in der Liste fin- app,uid=1000,gid=1001,mode=0400 einem einzelnen Container. Dementspre- den. In der Namensspalte der Ausgabe redis:3.0.6

48 Dezember 2018 Alle Listings zum Download auf www.it-administrator.de Secrets in Docker Swarm Praxis

Im Gegensatz zu anderen Ansätzen wird im Docker-System aber immer nur das verschlüsselte Passwort gespeichert und keine Daten im Klartext.

In dem Zusammenhang sollten Sie einen Blick auf das Autolocking-Feature in Swarm werfen, das in Docker 1.13 ein- geführt wurde. Damit werden die Daten automatisch verschlüsselt, was zur Folge hat, dass Sie bei einem Neustart des Swarm einen Key zum Entschlüsseln eingeben müssen. Bei einem bestehenden Cluster aktivieren Sie das Autolocking Bild 1: Der Umgang mit Secrets in Docker erfordert nur wenige Befehle. mit dem Aufruf docker swarm update -- Die geheimen Daten stehen dann in einem Container zur Verfügung. autolock=true, woraufhin das Tool den Schlüssel ausgibt, den Sie an einem siche- Transparente Übertragung $ docker service update --secret-add ren Ort hinterlegen sollten. Läuft bei einem richtigen Swarm-Cluster newsecret dumper ein Container auf einem anderen Node Fazit als dem Manager, sorgt Docker automa- Der Begriff "laufend" bezieht sich hier al- Docker Secrets sind ein Mechanismus, tisch für die Übertragung der Secrets, die lerdings nur auf den Dienst als solchen. um zentral, strukturiert und halbwegs si- von dem jeweiligen Dienst gefordert sind. Das Update beinhaltet dabei, dass Docker cher sensible Daten für Docker-Container Die Verbindung zwischen den Rechnern den zugehörigen Container beendet und zu verwalten, also etwa Passwörter oder ist ohnehin per TLS verschlüsselt. Einen neu startet. Das Pendant der obigen Op- TLS-Schlüssel. Mit einfachen Befehlen Cluster vorausgesetzt, können Sie dies tion, um ein Secret wieder zu entfernen, lassen sich die Secrets anlegen, die dann testen, indem Sie beim Start eines Diensts lautet "--secret-rm". in den zugehörigen Containern im Da- einen Node-Constraint angeben, der ei- teisystem zur Verfügung stehen. nen spezifischen Swarm-Knoten festlegt: Natürlich lassen sich Secrets nicht nur auf der Commandline beim Start eines Auf der anderen Seite sind die Docker $ docker service create --name dum- Diensts angeben, sondern auch in Kon- Secrets nicht sehr ausgefeilt. So fehlt eine per --secret mysecret -e con- figurationsdateien ablegen. Der Listing- Zugangskontrolle für die Secrets völlig. straint:node==node1 -t alpine ash Kasten zeigt ein Beispiel für eine Do- Jeder, der auf dem Swarm-Master das Do- cker-Compose-Datei, die ein Secret als cker-Commandline-Tool bedienen darf, Jetzt können Sie sich auf dem Swarm- MySQL-Root-Passwort verwendet. kann alle Secrets lesen. Hier wäre ein rol- Node einloggen und sich in dem betref- lenbasierter Zugriffsschutz mit Identity- fenden Container davon überzeugen, dass Stacks im Swarm-Mode Management sicher wünschenswert. das gespeicherte Secret dort angelangt ist. Im Swarm-Mode bringen Sie den in dem Es ist außerdem möglich, einem laufen- Compose-File definierten Dienst mit do- Auch ausgefeilte Update-Mechanismen den Service ein neues Secret zu überge- cker stack deploy an den Start. Je nachdem, für Credentials lassen die Docker Secrets ben. Dazu rufen Sie den Update-Befehl wie Ihre Anwendung aussieht, ist es unter vermissen. Eine in dieser Hinsicht bes- für den Dienst so auf: Umständen nötig, bei ihrem Start ein Se- sere Alternative zum eingebauten Se- cret aus dem Filesystem in eine Konfigu- crets-Management ist Vault von Hashi- Listing: Compose-File rationsdatei zu kopieren. Das kann typi- corp [2], das allerdings nicht so schön für MySQL-Passwort scherweise in einem Skript passieren, das in Docker-Container eingebunden ist,

version: '3.1' als Entrypoint für einen Container dient. sondern den Abruf der Secrets über eine Webschnittstelle erfordert. services: Ergänzend zur Verwendung der Secrets db: ist es auch möglich, sie in einem Com- Link-Codes image: mysql:latest pose-File über die Einbindung externer volumes: [1] Docker Secrets - db_data:/var/lib/mysql Dateien zu definieren: ibp81 environment: [2] Credential-Verwaltung mit MYSQL_ROOT_PASSWORD_FILE: /run/ secrets: secrets/mysql_root_password Hashicorp Vault, mysql_root_password: secrets: IT-Administrator 10/2016 - mysql_root_password file: secrets/mysql_root_pass- ibp82 word.txt

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 49 Bedrock als verteilte Datenbank

Stabile lightwise – 123RF Quelle: Grundlage von Tim Schürmann

Mit einem kurzen Kommandozeilenbefehl startet eine verteilte, hochverfügbare Datenbank, die mit schwankenden Internetverbindungen zurechtkommt und zu MySQL kompatibel ist. Diesen Traum aller Administratoren möchte Bedrock wahr machen.

D as amerikanische Unternehmen auf den Weg geben. Bedrock sorgt dann rekt im Bedrock-Prozess und somit im Expensify offeriert eigentlich Soft- automatisch dafür, dass der Inhalt der Hauptspeicher. Bedrock bearbeitet Lese- ware zur Reisekostenabrechnung. Die Datenbank auf allen Servern zur Verfü- anfragen parallel, wozu es alle verfügba- Entwickler werkeln allerdings auch an ei- gung steht. Clientanwendungen können ren Prozessorkerne einspannt. Durch die- ner quelloffenen und komplett kostenlo- sich mit jedem beteiligten Bedrock-Server se Maßnahmen arbeitet Bedrock schneller sen Datenbank namens Bedrock [1]. Die verbinden und auf den kompletten Da- als andere verteilte Datenbanken, die An- lockt mit gleich mehreren spannenden tenbestand zugreifen. Dies macht Bedrock fragen vor der Abarbeitung teilweise erst Eigenschaften: Sie ist extrem einfach ein- vor allem für Unternehmen interessant, serialisieren müssen. zurichten, repliziert sich auf Wunsch über die weltweit mehrere Geschäftsstellen mehrere Server und nutzt zur Synchro- oder Rechenzentren betreiben. Die ver- Im Auslieferungszustand ist Bedrock re- nisation eine Blockchain. Bedrock stellt teilte Datenbank kommt sogar explizit lativ dumm. Erst mit passenden Erwei- dabei eine relationale Datenbank bereit, mit Verbindungen zurecht, die unzuver- terungen (Plug-ins) verdaut Bedrock die das ACID-Prinzip erfüllt und SQL- lässig arbeiten oder nur eine geringe SQL-Befehle oder verhält sich wie ein Befehle entgegennimmt. Sie ist von Haus Bandbreite aufweisen. Cache. Die Entwickler verstehen daher aus kompatibel mit SQLite und MySQL, Bedrock als eine Plattform, auf der An- entsprechende Clientprogramme lassen Storage-Engine ist SQLite wendungen aufbauen und die sogar ansich weiterverwenden. Dank ihres mo- Bedrock selbst kümmert sich lediglich dere Datenbanken als Speicher-Backend dularen Aufbaus dient sie zudem als Basis um die Synchronisation und den Daten- einspannen können. Des Weiteren haben für andere Speicheranwendungen. Unter austausch zwischen den eingespannten die Entwickler ihre Software für den Ein- anderem lässt sich mit Bedrock eine ver- Servern. Dort schiebt Bedrock einfach satz auf moderner Hardware ausgelegt. teilte Job Queue oder ein verteilter Cache sämtliche zu speichernden Daten in eine Nach ihren Vorstellungen besitzen die implementieren. SQLite-Datenbank (Bild 1). Dies ge- Server RAID-Systeme mit möglichst gro- schieht transparent, um das genaue Vor- ßen SSDs und üppigen (RAM-)Caches. Im Idealfall muss der Administrator auf gehen muss sich der Administrator nicht jedem Server nur Bedrock starten und weiter kümmern. Da SQLite als Biblio- Nach ihrem Start nehmen die Bedrock- dabei die Hostnamen der Kollegen mit thek implementiert ist, läuft der Code di- Server untereinander Kontakt auf. Jeder

50 Dezember 2018 www.it-administrator.de Bedrock Praxis

che Prüfsumme besitzt. Wenn dies der Fall ist, stimmen die Listen der Server überein. Damit wissen die Server gleichzeitig, dass sie in der Vergangenheit die gleichen Aktionen in der gleichen Rei- henfolge ausgeführt haben – ihre Daten- bankinhalte stimmen folglich überein. Dank der aufeinander aufbauenden Prüf- summen erfordert diese Erkenntnis lediglich den Vergleich von zwei Zahlen, die Server sparen sich die zeitraubende Untersuchung ihrer Datenbanken. Bild 1: Bedrock bildet lediglich eine verteilte Netzwerkschicht für eine SQLite-Datenbank. Karambolage dieser Knoten verbindet sich mit jedem Bedrock merkt sich alle jemals an die Sofern ein Server mehr Anfragen auf sei- anderen Kollegen. Einer der Server Datenbank gestellten Anfragen in einer ner Liste stehen hat als sein Kollege, springt dabei als sogenannter Master langen Liste. Diese Liste tauschen dann schickt er ihm einfach die zusätzlich ein- ein, der alle notwendigen Aktionen ko- die Server regelmäßig untereinander gegangenen Anfragen. Der Kollege führt ordiniert. Sollte der Master ausfallen, aus. Sollte ein Server eine Anfrage auf dann die Anfragen in seiner eigenen lo- übernimmt automatisch ein anderer der Liste noch nicht in seiner eigenen kalen Datenbank aus und bringt sich so Knoten seine Rolle. Administratoren Datenbank abgearbeitet haben, holt er auf den aktuellen Stand. können dabei in Grenzen die Reihen- dies einfach umgehend nach. Auf diese folge vorgeben, in der sich die Server Weise halten alle Server ihre lokalen Da- Sollten beide Server die gleiche Anzahl zum Master erheben. Dank dieser Maß- tenbanken immer auf dem gleichen Anfragen bearbeitet haben, die Prüfsum- nahme darf sogar ein komplettes Re- Stand. Allerdings könnten dabei immer men der letzten Einträge auf der Liste chenzentrum ausfallen, ohne dass die noch Übertragungsfehler zu Inkonsis- aber nicht übereinstimmen, dann hat ei- Datenbank ihren Dienst quittiert. tenzen führen. Die komplette Liste he- ner der beiden Server irgendwann eine rumzuschicken, ist zudem nicht beson- falsche Aktion ausgeführt. Die Inhalte der Quorum zum Schreiben ders effizient. Bedrock greift deshalb zu lokalen Datenbanken stimmen folglich Sobald ein Client lesend auf die Daten einem simplen, aber effektiven Trick: nicht mehr überein. In solch einem Fall zugreifen möchte, verbindet er sich mit einer Blockchain. verweigern dann beide Server umgehend einem der Server. Der wiederum liefert die Zusammenarbeit. Da alle Server ge- dann die angeforderten Informationen Zunächst nummeriert der Server alle Ein- genseitig miteinander kommunizieren, aus seiner eigenen Kopie der Datenbank träge auf der Liste durch. Die zuletzt ein- isolieren sie so nach und nach den Server zurück. Möchte der Client Daten schrei- gegangene Anfrage hat somit immer die mit der fehlerhaften Liste. Es entsteht eine ben, reicht der Server diese Anfrage weiter höchste Nummer. Sobald ein Client eine sogenannte Split-Brain-Situation. An- zum Master. Dieser wartet, bis eine Min- neue Anfrage stellt, notiert sie der Server schließend kommunizieren nur noch destzahl seiner Kollegen die Aktion be- am Ende der Liste zusammen mit einer diejenigen Server untereinander, deren stätigt haben (das sogenannte Quorum). Prüfsumme. Die wiederum bildet der Ser- Listen und somit lokale Datenbanken Erst dann führt der Master die Aktion in ver, indem er die Anfrage zusammen mit übereinstimmen. seiner Datenbank aus und weist alle an- der Prüfsumme der vorherigen Anfrage deren Server im Verbund an, die Anfrage durch eine SHA1-Hashfunktion schiebt. Jeder Server speichert die Liste in seiner ebenfalls endgültig zu bearbeiten. Ab- Auf diese Weise verketten sich die Ein- eigenen lokalen Datenbank in einer Ta- schließend wandert eine Antwort zum träge in der Tabelle, es entsteht eine so- belle namens "journal". Damit dieses Jour- ursprünglichen Server und von dort wei- genannte Blockchain. Die Prüfsumme in nal im Lauf der Zeit nicht zu groß wird, ter zum Client. der letzten Zeile der Liste hängt somit behält Bedrock standardmäßig nur die von allen vorherigen Anfragen ab. jeweils letzten 1.000.000 Einträge. Diesen Sollte der Master-Server ausfallen, bevor Wert können Administratoren bei Bedarf er die Aktion komplett ausführen konnte, Dies nutzt wiederum Bedrock bei der über einen entsprechenden Kommando- probiert es der anklopfende Server nach Synchronisation aus: Wenn ein Server sei- zeilenparameter verändern. einer Weile noch einmal beim Nachfolger ne Kollegen im Netzwerk kontaktiert, sen- des Master-Servers. Wenn der ursprüng- det er die Nummer und die Prüfsumme Installation liche Master wieder am Netz ist, bringt der letzten Anfrage auf seiner Liste. Die Bedrock steht unter der GNU GPLv3 er sich bei seinen Kollegen auf den aktu- anderen Server können jetzt auf ihren ei- und somit einer Open-Source-Lizenz, ellen Stand und übernimmt dann wieder genen Listen nachsehen, ob dort der letzte die auch den Einsatz im kommerziellen die Rolle als Master. Eintrag die gleiche Nummer und die glei- Umfeld gestattet. Die aktuelle Bedrock-

www.it-administrator.de Dezember 2018 51 Praxis Bedrock

Version ist für den produktiven Einsatz zugreifen, stürzt die Software in der zum SQL-Abfragen freigegeben, Expensify nutzt die Software Redaktionsschluss aktuellen Version Über "netcat" lassen sich auch SQL-Que- bereits seit längerer Zeit in eigenen Pro- 1.0.0 einfach ohne Rückmeldung ab. ries absetzen, wie etwa: jekten. Die Entwickler konzentrieren sich derzeit auf Linux, für Ubuntu-Linux Über den Zusatzparameter "-clean" Query: SELECT * from journal; steht sogar ein eigenes Repository bereit. löscht Bedrock normalerweise den In- Das enthielt allerdings zum Redaktions- halt einer eventuell vorhandenen Da- Auch hier ist wieder zweimal die Einga- schluss nur veraltete Bedrock-Pakete für tenbank. Dies endete jedoch zum Re- betaste zu drücken. Als Anfrage akzeptiert Ubuntu 14.04 ("Trusty") und 16.04 daktionsschluss ebenfalls reproduzierbar Bedrock alle SQLite-kompatiblen SQL- ("Xenial"). Sie kommen folglich auch un- mit einem Absturz. Beenden lässt sich Queries. Derzeit erstellt Bedrock aller- ter diesen Distributionen nicht darum das im Vordergrund laufende Bedrock dings für jede SQL-Anfrage eine ne - herum, Bedrock aus dem Quellcode zu einfach via [Strg]+[C]. Soll sich Bedrock benläufige Transaktion (Concurrent übersetzen. Dazu müssen Sie zunächst in den Hintergrund verkrümeln, ergän- Transaction). Dies hat zur Folge, dass sich GCC 6, den C++-Compiler G++ in Ver- zen Sie noch den Parameter "-fork" oder das Datenbankschema nicht über Bed- sion 6, make, git sowie die Entwickler- stellen dem Befehl ein "&" hinten an. rock verändern lässt. Insbesondere kön- pakete zu libpcre++ und zlib1g instal- nen Anwender keine neuen Tabellen an- lieren. Unter Ubuntu löst der folgende Fehlermeldungen im System-Log legen, der entsprechende SQL-Befehl Befehl schnell alle geforderten Abhän- Auftauchende Fehler protokolliert Bed- "CREATE TABLE ..." schlägt fehl. Die gigkeiten auf: rock im System-Log, das auf den meis- Bedrock-Entwickler raten dazu, vorab ten Linux-Distributionen journalctl -r mit den Kommandozeilentools von $ sudo apt-get install gcc-6 g++-6 auf den Bildschirm holt. Dort erschei- SQLite die Datenbankdatei an die eigenen libpcre++-dev zlib1g-dev git make nen allerdings nur Fehler, die im lau- Bedürfnisse anzupassen und das benö- fenden Betrieb auftauchen. Sollte sich tigte Datenbankschema vorzugeben. Sind alle Voraussetzungen erfüllt, holen etwa in die Parameter ein Tippfehler die folgenden Befehle den Quellcode von eingeschlichen haben oder im Hinter- Die Antworten auf Anfragen liefert Bed- GitHub ab und übersetzen ihn: grund bereits ein Bedrock-Prozess lau- rock in einem HTTP-ähnlichen Format, fen, beendet sich Bedrock einfach kom- das für das menschliche Auge optimiert ist $ git clone https://github.com/ mentarlos. (Bild 2). Alternativ können Sie die Ausgabe Expensify/Bedrock.git auch im JSON-Format verpacken lassen: $ cd Bedrock Nach seinem erfolgreichen Start horcht $ export CC=gcc-6 Bedrock automatisch an Port 8888 auf Query: SELECT * from journal; $ make Anfragen. Um die Funktionsweise zu format: json prüfen, können Sie dort mit dem Tool Eine systemweite Installation ist nicht "netcat" anklopfen: Zusatzfunktionen über Plug-ins erforderlich und auch durch die Instal- Bedrock selbst stellt nur die grundle- lationsskripte beziehungsweise die mit- $ nc localhost 8888 genden Funktionen zur Datenspeiche- gelieferten Makefiles nicht vorgesehen. rung bereit. Erst entsprechende Plug- Ob Bedrock korrekt installiert ist, finden Informationen über den aktuellen Zu- ins sorgen dafür, dass sich Bedrock nach Sie über den Befehl bedrock -? heraus. stand bekommen Sie, indem Sie jetzt außen tatsächlich wie eine Datenbank Es erscheint dann eine Liste mit allen "status" eingeben und dann zweimal die verhält. Bei seinem Start lädt Bedrock möglichen Parametern. Eingabetaste drücken. automatisch die mitgelieferten Plug-ins "DB", "Jobs", "Cache" und "MySQL". Einfache Inbetriebnahme Wer Bedrock auf einem anderen Port Dank des "DB"-Plug-ins lassen sich wie Um Bedrock in Betrieb zu nehmen, er- lauschen lassen möchte, gibt ihn über in den obigen Beispielen SQL-Queries stellen Sie zunächst eine leere Datei, in den Parameter "-serverHost" vor. Hinter absetzen. Mit "Jobs" können Sie eine ein- der die Datenbank landen soll. Anschlie- ihm folgt der Hostname oder die IP- fache replizierte Job-Queue und mit ßend verfüttern Sie sie über den Para- Adresse des Servers und die gewünschte "Cache" analog einen replizierten Cache meter "-db" an Bedrock: Portnummer. Die Abkürzung "localhost" aufbauen. Mit dem MySQL-Plug-in ver- ist in der aktuellen Version von Bedrock hält sich Bedrock wie ein MySQL-Ser- $ touch adressen.db hier nicht gestattet. In folgendem Beispiel ver. Haben Sie das Kommandozeilentool bedrock -db ./adressen.db würde Bedrock auf einem Server namens "mysql" installiert, können Sie dann da- "marvin" an Port 9999 eingehende An- mit direkt auf Bedrock zugreifen. Die Wenn der Parameter "-db" fehlt, sucht fragen von Clients erwarten: Plug-ins entscheiden selbst, auf welche Bedrock die Datenbank in der Datei Befehle sie jeweils reagieren. So knöpft "bedrock.db" in "/var/lib/bedrock". Kann $ bedrock -db ./adressen.db sich das DB-Plug-in alle mit "Query:" Bedrock auf die Datenbankdatei nicht -serverHost marvin:9999 eingeleiteten Zeilen vor.

52 Dezember 2018 www.it-administrator.de Bedrock Praxis

höchsten Priorität fungiert als Master und koordiniert die verteilten Transaktionen. Welcher Server die höchste Priorität besitzt, finden die Server mithilfe des Paxos- Algorithmus heraus.

Auf dem zweiten Rechner mit dem Host- namen "bob" starten Sie dann Bedrock analog, wobei dort "-peerList" auf den Rechner "alice" verweist:

$ bedrock -db ./bob.db -nodeName bob -serverHost bob:8888 -nodeHost bob:8889 -peerList alice:8889 -priority 101

Nach dem gleichen Prinzip fügen Sie beliebige weitere Knoten hinzu, wobei Sie jeweils hinter "-peerList" alle übrigen Rechner angeben müssen. Bei einem Bild 2: Das "menschenlesbare Format" versucht die hier abgefragte Tabelle "journal" Aufruf von "-peerList bob:8889,carl: als solche darzustellen, was Bedrock aufgrund der gespeicherten Textmassen und 8889,diana:8889" würde Bedrock zusätz- dem zu kleinen Terminal jedoch nicht ganz gelingt. lich zum aktuellen Rechner auch noch seine drei Kollegen "bob", "carl" und "dia- Welche Plug-ins Bedrock lädt, erfährt den, starten Sie auf dem ersten mit dem na" für die Arbeit einspannen. die Software beim Start über den Schal- Hostnamen "alice" folgenden Befehl: ter "-plugins". Im folgenden Beispiel wür- Fazit den nur die beiden Plug-ins "cache" und $ bedrock -db ./alice.db -nodeName Der Einsatz von Bedrock bietet sich dann "db" geladen: alice -serverHost alice:8888 an, wenn eine hochverfügbare relationale -nodeHost alice:8889 -peerList Datenbank an verschiedenen geografi- $ bedrock -db ./adressen.db bob:8889 -priority 100 schen Orten bereitstehen muss. Die limi- -plugins cache,db tierten Konfigurationsmöglichkeiten füh- Über "-nodeName" lässt sich dem Knoten ren zwar zu einer sehr einfachen und Außerdem stellen die Bedrock-Entwick- im Verbund ein Name vergeben, im Bei- schnellen Inbetriebnahme, sie lassen aller auf GitHub noch ein Binding für PHP spiel "alice". Ohne den Parameter verwen- lerdings auch keine Optimierungen der bereit, das den Zugriff mit der Skript- det Bedrock automatisch den Hostnamen Datenbank-Engine zu. Ein Pluspunkt ist sprache vereinfacht. des Systems. Am hinter "-nodeHost" an- die Kompatibilität zu MySQL, zudem lässt gegebenen Host und Port lauscht Bedrock sich Bedrock durch die Plug-ins an die ei- Im Quellcodeverzeichnis liegt im Ordner auf Verbindungen von anderen Knoten. genen Bedürfnisse anpassen. "configs" eine Service-Datei für Systemd, Wo sich wiederum die Clients mit Bedrock mit der sich Bedrock schon beim System- andocken können, verrät "-serverHost". Demgegenüber verlangt die Bedrock-Da- start aktivieren lässt. Die normalerweise Hinter "-peerList" folgen jeweils durch ein tenbank moderne Hardware und besitzt per Parameter übergebenen Einstellungen Komma getrennt die Hostnamen und Port- kein Benutzermanagement. Wer eine ver- wandern dabei in die ebenfalls mitgelie- Nummern aller weiteren Bedrock-Instan- teilte Datenbank über mehrere Rechenzen- ferte und gut dokumentierte Datei "bed- zen, die zum Verbund gehören sollen. tren aufbauen möchte, muss obendrein den rock.conf", die Administratoren an ihre Netzwerkverkehr über ein VPN leiten. Bed- Gegebenheiten anpassen und dann im Master-Konfiguration rock ist damit zwar nicht die eierlegende Verzeichnis "/etc/bedrock" verstauen. über Prioritäten Wollmilchsau unter den Datenbanken, mit Im obigen Beispiel besteht der Cluster nur ihren interessanten Ansätzen aber für viele Gesprächsbereit noch aus dem weiteren Rechner "bob", der (Web-)Anwendungen eine interessante Um einen Cluster aus mehreren Bedrock- über den Port 8889 mit seinen Kollegen Alternative zu MySQL und Co. (of) Servern aufzubauen, starten Sie auf jedem kommuniziert. Mit "-priority" erhält jede Rechner "bedrock" und verweisen dabei Bedrock-Instanz abschließend noch eine Link-Codes über entsprechende Parameter auf die üb- Priorität. Die hinter "-priority" angegebene [1] Bedrock rigen Bedrock-Instanzen. Um beispiels- Zahl muss bei jedem Knoten eindeutig ibp71 weise zwei Server miteinander zu verbin- sein. Die Bedrock-Instanz mit der jeweils

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 53 Data-Center-Wartung planen und organisieren

Quelle: olegunnarua – 123RF Quelle: Hilfestellung von Birgit Lehmann

Rechenzentren sind unerlässlich zur Aufrechter- haltung der meisten Geschäftsprozesse. Damit sie bei möglichen Ausfällen schnell wieder einsatzbereit sind, schließen Unternehmen geeignete Wartungsverträge ab. Die passenden zu finden, gestaltet sich jedoch komplex – alleine schon aufgrund der unterschiedlichen Hersteller und ihrer verschiedenen Service Level Agreements.

K auft ein Unternehmen neue Hard- fehler und Hardwarestörungen kümmert erbringt er dann nur die oben beschrie- ware, erhält es dafür vom Herstel- sich der Hersteller ebenfalls. bene Fremdwartung. Der Multi-Vendor- ler zunächst eine Gewährleistung. Diese Support ist sinnvoll etwa bei älteren Ma- gilt für ein oder auch mehrere Jahre und Die Fremdwartung erbringt ein sogenann- schinen, für die der Hersteller selbst keine schließt die grundlegende Wartung ein. ter "Third Party Maintainer" (TPM). Ihn Wartung mehr anbietet oder wenn eine Das heißt, defekte Komponenten ersetzt verbindet vertraglich nichts mit den Her- Partnerschaft besteht. der Hersteller und auch auf Firmware- stellern. Der TPM ist problemlos in Lage, Updates sowie Patches erhalten die Käufer Hardwaredefekte zu reparieren, bei man- Auch spezialisierte Dienstleister vermitteln Zugriff. Je nach Einsatzgebiet der Hard- chen Softwareproblemen sind ihm jedoch und verwalten Wartungsverträge für das ware reicht diese Grundversorgung aus, die Hände gebunden, da diese geistiges Ei- Rechenzentrum. Unternehmen schließen doch unter Umständen – etwa für Server gentum des Herstellers ist. Lediglich so- Wartungsverträge mit den Herstellern ab, im Produktivbetrieb – brauchen Unter- genannte Security-relevante Fixe – also können sich also auf deren Unterstützung nehmen zusätzliche Services. Diese lassen Fehlerbehebungen – stellen Hersteller auch bei Software- und Hardwaredefekten ver- sich dann über Wartungsverträge mit ent- für Hardware zur Verfügung, die nicht un- lassen, ohne sich selbst mit der zeitauf- sprechenden Service Level Agreements ter ihrer Wartung steht. Fremdwartung wendigen Auswahl und dem Management (SLA) zusätzlich buchen. Spätestens je- kostet in der Regel weniger als die Her- der Wartungsverträge auseinandersetzen doch nach Ablauf der Gewährleistung be- stellerwartung und scheint daher auf den zu müssen. Auf Wunsch bietet der Dienst- nötigen IT-Abteilungen auf jeden Fall ersten Blick attraktiv. Andererseits ist oft leister zusätzlich sogenannte proaktive Wartungsverträge, denn sonst kann es bei nur eine bestimmte Zahl an Support-Calls Wartungsservices wie Health- und Perfor- Ausfällen zu ernsthaften Problemen kom- inklusive. Benötigt ein Unternehmen mehr mance-Checks der Systeme an. Im Gegen- men. Vier Wartungsmodelle lassen sich Unterstützung, muss diese kostenpflichtig satz zu reaktiven Wartungsservices, also grundsätzlich unterscheiden: Hersteller- hinzugebucht werden. solchen, mit denen eine Störung behoben wartung, Fremdwartung, Multi-Vendor- wird, dienen proaktive Wartungsservices Support und die Data-Center-Wartung Eine weitere Möglichkeit stellt der Mul- dazu, Störungen von vornherein zu ver- über einen Dienstleister. ti-Vendor-Support dar. Dabei erbringt ein meiden. Der Dienstleister prüft zudem, Hersteller Wartungsleistungen für eigene ob die Firmware auf dem neuesten Stand Vier Formen der Wartung Produkte, aber auch für die anderer Pro- ist, und weist die Verantwortlichen auf Bei der Herstellerwartung schließt ein duzenten. Dabei unterscheidet der An- Herstellerupdates und -patches hin. Unternehmen einen Wartungsvertrag di- bieter zwischen den Produkten von Part- rekt mit dem Hersteller der Geräte ab, et- nern, für die es dann auch Software- und Im Fall einer Störung wenden sich Un- wa mit IBM, Dell EMC, Cisco oder HPE. Firmware-Updates gibt, und der Hard- ternehmen an die Hotline des Dienstleis- Es erhält dann wie bei der Gewährleis- ware von Herstellern, mit denen keine ters, der die Schnittstelle zum Hersteller tung Updates und Patches. Um Software- solche Partnerschaft besteht. Für diese bildet, die Anfrage gezielt weiterleitet und

54 Dezember 2018 www.it-administrator.de für schnelle Reaktionszeiten sorgt. Gerade es etwa bei einer Erneuerung der IT-In- für Unternehmen, die viele Wartungsver- frastruktur zu Verzögerungen, so stehen träge mit verschiedenen Herstellern ab- die alten Systeme unter Umständen schon geschlossen haben, ist dieses Modell vor- nicht mehr unter Wartung, obwohl sie teilhaft: Der Verantwortliche muss nicht noch im Einsatz sind. erst herausfinden, an welchen Hersteller Worüber er sich für die Wartung einer bestimmten Dann ist es wichtig, dass die Wartung für Maschine wenden muss, und spart Zeit. die auszutauschende Hardware angepasst Administratoren und verlängert werden kann. Auch wenn Das richtige der für die Wartung zuständige Adminis- morgen reden Wartungskonzept finden trator für einen gewissen Zeitraum eine Der erste Schritt auf dem Weg zur richti- zusätzliche strategische Aufgabe überneh- gen Wartung ist ein Wartungskonzept. Je men soll, sind flexible Verträge nützlich. nach intern vorhandenem Know-how, Er kann dann etwa proaktive Services wie Größe der Infrastruktur und Unterneh- Firmware-Updates, Health-Checks oder mensbranche ist das mehr oder weniger die Analyse von Microcodes vorüberge- Sichern Sie sich den aufwendig. Dazu sollten alle Beteiligten hend dazubuchen, um eine durchgehende im Unternehmen ein ausführliches Ge- Wartung sicherzustellen. E-Mail-Newsletter des spräch über den aktuellen Bedarf und die Anforderungen führen. Neben der IT-Ab- Auch die Kosten gehören zu den Entschei- IT-Administrator und teilung ist beispielsweise häufig der Einkauf dungskriterien. Dieser Aspekt wird meist involviert, da er die Kosten für die War- vom Einkauf oder Controlling vorgegeben. erhalten Sie Woche für tung verantwortet. Zentrale Punkte der Einige Unternehmen bezahlen die War- Woche die Diskussion sind in der Regel die Aspekte tungskosten für drei Jahre schon bei der Verfügbarkeit, Flexibilität und Kosten. Anschaffung neuer Maschinen. Andere bevorzugen zum Beispiel ein Zahlungs- Die Verfügbarkeit wirft bekannte Fragen modell, bei dem sie laufende Kosten haben, > neuesten TIPPS & TRICKS auf: Welche Systeme müssen wie stabil wiederum andere buchen lieber Projekt- laufen? Wie lang ist die maximal tolerier- kosten. Oft geht es darum, Wartungskosten > praktischsten TOOLS bare Ausfallzeit einzelner Hardware? Die transparent zu machen, sodass sich die Antwort kann je nach System sehr unter- einzelnen Posten den verschiedenen Fach- > schiedlich ausfallen. So können Unter- abteilungen zuweisen lassen. Bei der Aus- interessantesten WEBSITES nehmen auf Systeme, auf denen lediglich wahl der Verträge sind auch die Ziele des > Archivdaten liegen, wesentlich länger ver- Einkaufs – meist Einsparungen – zu be- unterhaltsamsten GOODIES zichten als auf solche, die für die laufende achten. Bestehen mehrere Verträge mit Produktion notwendig sind. Generell demselben Hersteller, lassen sich Sonder- müssen produktive Systeme schneller konditionen aushandeln. wieder verfügbar sein als etwa Backup- sowie einmal im Monat systeme. Eine Aufteilung in drei Stufen Sind Verfügbarkeit, Flexibilität und Kos- bietet sich hier an: High, Medium und ten geklärt, stehen wesentliche Faktoren die Vorschau auf die Low. IT-Leiter kennen meist die internen des Wartungskonzeptes fest. Sie bestim- kommende Ausgabe des Vorgaben, aus denen sich die nötigen Ser- men maßgeblich, welche Maßnahmen er- vice Level ergeben, und legen diese indi- forderlich sind. Für das Konzept prüfen IT-Administrator! viduell für jedes System fest. die Verantwortlichen dann noch, welche Verträge bereits bestehen und welches Dann müssen sich IT-Verantwortliche Optimierungspotenzial diese bieten. fragen, wie flexibel die Verträge sein sollen. Das betrifft Laufzeiten und die Mög- Wartungsverträge auswählen lichkeit, Leistungen dazuzubuchen und und verwalten zu stornieren. Bekommt vorhandene Haben die IT-Verantwortlichen ein War- Hardware einen neuen Verwendungs- tungskonzept erstellt, stehen sie schon Jetzt einfach zweck, sind unter Umständen andere Ser- vor der nächsten Herausforderung: der anmelden unter: vice Level sinnvoll. Wird die IT-Infra- konkreten Auswahl der richtigen War- struktur erweitert, müssen auch neue tungsverträge. Zunächst müssen sie in Systeme schnell in das Wartungskonzept dem großen Angebot unterschiedlicher aufgenommen werden können. Kommt Verträge mit verschiedenen SLAs die pas- www.it-administrator.de/newsletter www.it-administrator.de Praxis Data-Center-Wartung

senden finden. Einzelne Hersteller haben che Wartungsverträge in Papierform vor- Er kennt die verschiedenen SLAs der Her- oft bis zu 15 verschiedene Service Level. liegen, andere lassen sich elektronisch bu- steller und gleicht sie mit dem jeweiligen Geeignete SLAs zu finden, wird so zur chen. IT-Verantwortliche benötigen ein Bedarf des Unternehmens ab. Er wählt zeitaufwendigen Sisyphusarbeit, selbst gutes System, um stets zu wissen, welcher geeignete Verträge aus und verwaltet sie. wenn der eigene Bedarf im Rahmen des Wartungsvertrag zu welchem Server ge- Dazu gehört es, das Unternehmen recht- Konzeptes auf nur drei Stufen verteilt hört, wo der Vertrag bei Bedarf zu finden zeitig zu informieren, bevor die Verträge wurde. Dazu kommt, dass Unternehmen ist und wann er endet. Auch End-of-Ser- auslaufen oder ein Hersteller die Wartung meistens Systeme von mindestens drei vice-Termine müssen Verantwortliche im vollständig einstellt. Falls nötig, sucht er verschiedenen Herstellern einsetzen. Auge behalten, also ab wann Hersteller gemeinsam mit dem Unternehmen nach für ein System generell keine Wartung Anschlusslösungen. Bei der Auswahl der SLAs ist auf Details mehr anbieten. Tools zur Verwaltung die- und Formulierungen genau zu achten. ser Daten können hier unterstützen. Ebenfalls relevant für viele Unternehmen Finden Verantwortliche bei einem Her- kann die Konsolidierung von Verträgen steller ein passendes Service Level, kön- Um sicherzustellen, dass die komplette sein, damit sie alle zum selben Zeitpunkt nen sie sich nicht darauf verlassen, dass Hardware-Infrastruktur stets unter War- auslaufen, etwa zum Ende des Geschäfts- ein Service Level mit derselben Bezeich- tung steht, dürfen Unternehmen nicht ris- jahres. Haben Unternehmen mehrere nung bei einem anderen Hersteller das- kieren, einzelne Verträge unbemerkt aus- Wartungsverträge mit einem Hersteller, selbe bedeutet: Es gibt beispielsweise das laufen zu lassen – oder gar vergessen, verhandelt der Dienstleister mit ihm oft allgemein bekannte Service Level "24 x 7 welche abzuschließen. Während bei grö- erfolgreich Sonderkonditionen. Weitere x 4", je nach Hersteller hat es jedoch un- ßeren Bestellungen die Wartung immer Einsparungen lassen sich durch geschick- terschiedliche Bedeutungen. Während ein mit bedacht wird, kann sie gerade bei klei- tes Vertragsmanagement erwirken. Hersteller dann rund um die Uhr inner- neren Anschaffungen wie dem oben erhalb von vier Stunden Ersatzteile liefert, wähnten Router leicht unbemerkt unter Für die Auswahl eines kompetenten Part- erfolgt bei einem anderen innerhalb von den Tisch fallen. Tritt dann eine Störung ners gibt es einige wichtige Faktoren: Er vier Stunden ein Rückruf eines qualifi- an einem System ohne Wartung auf, leistet sollte unbedingt zertifizierter Partner der zierten Ansprechpartners. Verantwortli- der Hersteller nur Hardwaresupport, wenn Hardwarehersteller sein. Diesen Status er- che sollten immer genau hinterfragen, das Unternehmen schriftlich bestätigt, dass hält nur, wer an Schulungen teilnimmt und welcher Service sich hinter einer Bezeich- es für sämtliche Kosten im Zusammen- zudem Know-how nachweisen kann. We- nung versteckt: Wird zugesichert, dass ei- hang mit der Reparatur aufkommt. Han- sentlicher Gradmesser ist auch die Trans- ne Störung innerhalb einer bestimmten delt es sich um ein Softwareproblem, muss parenz. So zeigt er Vor- und Nachteile von Frist behoben wird, oder wird die Wie- das Unternehmen erst einen Wartungs- verschiedenen Angeboten auf und wägt derherstellungszeit nur angestrebt? vertrag abschließen. So kann es durchaus gemeinsam mit dem Kunden ab, welches ein bis zwei Wochen dauern, bis ein be- am besten geeignet ist. Schließlich ist auch Sind die richtigen Wartungsverträge ge- troffenes System wieder funktionsfähig ist. die Erreichbarkeit ein entscheidender Fak- schlossen, gilt es diese zu verwalten und tor. Die Hotline des Wartungsspezialisten den Überblick zu behalten. Unternehmen All diese Details machen die Data-Cen- sollte durchgängig besetzt sein, so dass Ex- kaufen Hardware häufig zu verschiedenen ter-Wartung zu einer komplexen und auf- perten 24 Stunden am Tag und an sieben Zeitpunkten. Damit gelten auch unein- wendigen Angelegenheit. Dazu kommt, Tagen in der Woche erreichbar sind. heitliche Laufzeiten für die Wartungsver- dass IT-Administratoren die Firmware träge, denn diese hängen vom Anschaf- aller Systeme regelmäßig auf Aktualität Fazit fungszeitpunkt ab. Es kommt vor, dass prüfen, Updates recherchieren und bei Wartung wird in vielen Unternehmen Unternehmen 15 verschiedene Wartungs- Bedarf aktualisieren sollten. Je nach Un- noch stiefmütterlich behandelt. Sich da- verträge bei einem einzigen Hersteller ha- ternehmensgröße kann das eine zeitrau- mit auseinanderzusetzen, lohnt sich ben: Eine Organisation schafft beispiels- bende wöchentliche oder monatliche Auf- gleichwohl, denn Wartung leistet einen weise ein neues System an und stellt es gabe sein. Wer sich intensiv darum hohen Beitrag dafür, die Produktivität für drei Jahre unter Wartung. Nach einem kümmert, dem fehlt oft die Zeit zur Um- aufrechtzuerhalten und Zufriedenheit zu halben Jahr kommt eine Erweiterung hin- setzung strategischer Aufgaben. IT-Ab- fördern – sowohl im eigenen Haus als zu, auch diese Komponenten stehen für teilungen, die im Rahmen der Digitali- auch bei den Kunden. Im Fall von Stö- drei Jahre unter Wartung. Nur drei Mo- sierung und trotz Fachkräftemangels rungen ist sie unverzichtbar, um die nö- nate später werden ein neuer Router und Innovationen vorantreiben müssen, ste- tige Verfügbarkeit zu gewährleisten. ein Access Point benötigt, auch für diese hen dann vor der Herausforderung, die Gleichzeitig lassen sich mit sorgfältig aus- beauftragen die Verantwortlichen War- richtigen Prioritäten zu setzen. gearbeiteten und umgesetzten Wartungs- tung für drei Jahre. Sie haben so innerhalb verträgen Kosten einsparen. (jp) eines Jahres drei neue Wartungsverträge Hilfe durch Spezialisten möglich mit unterschiedlichen Endzeitpunkten Hier kann ein auf Data-Center-Wartung Birgit Lehmann ist Business Leader Wartung abgeschlossen. Hinzu kommt, dass man- spezialisierter Dienstleister unterstützen. & Service bei Axians IT Solutions.

56 Dezember 2018 www.it-administrator.de 12 Monatsausgaben im ePaper Print- & E-Paper-Format

+ Zwei Sonderhefte im Print- & E-Paper-Format

117mm aussen 18mm innen

Jahres-CD Jahres Archiv-CD

Enthält alle Ausgaben von mit allen Monatsausgaben Januar 2018 bis Dezember 2018 + im PDF-Format

Abo- und Leserservice IT-Administrator vertriebsunion meynen Das Abo All-Inclusive Herr Stephan Orgel D-65341 Eltville Tel: 06123/9238-251 shop.heinemann-verlag.de Fax: 06123/9238-252 [email protected] systemd und seine Tools Entspannt verwalten von Thorsten Scherf bowie15 – 123RF Quelle:

Systemd ist mittlerweile das Standard-Init-System der großen Linux-Distributionen. Der System- und Service-Manager kommt mit einem eigenen Logging-System und klinkt sich auch in diverse andere Bereiche des Systems ein. Der Open-Source-Tipp in diesem Monat zeigt, wie die systemd-eigenen Tools dabei helfen können, das Leben eines Administrators stressfreier zu gestalten.

S ystemd wird auch eine halbe De- den dabei in Service-Units konfiguriert. Mit den Optionen "start" oder "stop" wird kade nach seiner Einführung noch Auf einem Fedora-System stellt die Dis- die Unit entsprechend aktiviert bezie- kontrovers diskutiert. Auch wenn die tribution die globalen Konfigurationsda- hungsweise deaktiviert. Entsprechend meisten Linux-Distributionen jetzt auf teien dieser Units im Verzeichnis "/usr/ zeigt "status" den aktuellen Status an: dieses Init-System setzen, gibt es immer lib/ systemd/ system/" zur Verfügung. Än- noch vereinzelte Anstrengungen, den derungen an diesen Dateien sollte An- # systemctl [status|start|stop] sshd Kontakt damit zu verhindern. Beispiels- wender allerdings nicht vornehmen, da weise existiert mit Devuan [1] ein Debi- sie bei einem Update wieder überschrie- Interessant ist auch zu sehen, mit welchen an-Fork, der sich zum Ziel gesetzt hat, ben werden. Besser ist es, eine Kopie der systemd-Optionen ein Service gestartet komplett ohne systemd auszukommen, Unit zu erzeugen, sie unterhalb von "/etc/ wird. Dazu rufen Sie systemctl mit "show" und stattdessen auf SysVinit und OpenRC systemd/system/" abzuspeichern und dort auf. Die Optionen können dabei entweder setzt. Die Diskussion soll an dieser Stelle zu editieren. global in der Datei "/etc/systemd/ system. gar nicht weiter befeuert werden, statt- conf" oder aber in einer Unit-Datei hin- dessen möchten wir einige systemd-Tools Zum Management dieser Units kommt terlegt werden. Eine detaillierte Beschrei- vorstellen, um auch Linux-Einsteigern das Tool systemctl zum Einsatz. Mit der bung finden Sie in der Hilfeseite zu den den Umgang damit zu erleichtern. Option "list-units" zeigt es alle Units an, systemd-Units: man 5 systemd.service. die systemd aktuell bekannt sind. Dieser Den meisten Lesern ist systemd sicherlich Befehl beschränkt die Ausgabe auf aktive Um eine Anweisung zu ändern, bearbei- als Init-System bekannt, das sich um das Service-Units: ten Sie die Unit-Datei am einfachsten im Starten, Stoppen von Diensten kümmert Editor. Alternativ bietet systemctl die Op- und dabei Abhängigkeiten berücksichtigt. # systemctl list-units --type tion "edit", mit der eine Bearbeitung mög- Dabei ist der Begriff "Dienst" eigentlich service --state=active lich ist. Um eine Unit dauerhaft zu akti- gar nicht richtig, da systemd mit Units vieren oder zu deaktivieren, kommen die arbeitet. Elf unterschiedliche Unit-Typen Abhängigkeiten zwischen den einzelnen Optionen "enable" beziehungsweise "dis- stehen für die Konfiguration zur Verfü- Units zeigt systemctl mit den Optionen able" zum Einsatz. Zusammen mit der gung. Klassische Dienste, wie sie von an- "list-dependencies --after" beziehungs- Option "--now" wird der Service dann deren Init-Systemen bekannt sind, wer- weise "--before" an. auch gleich gestoppt oder gestartet. Fehlt

58 Dezember 2018 www.it-administrator.de Open-Source-Tipp Praxis

diese Angabe, wird ein entsprechender den. Auf einem Fedora-System ist dies Auch um die Konfiguration des Netzwer- Link für die Unit erzeugt oder entfernt: die Voreinstellung, die in der Datei "/etc/ kes kann systemd sich kümmern. Zustän- sysconfig/docker" festgelegt ist. dig hierfür ist der Service systemd-net- # systemctl enable --now sshd workd. Nähere Informationen zu dessen Created symlink /etc/systemd/sys- Neben den beiden Befehlen systemctl und Konfiguration finden sich wie gewohnt tem/multi-user.target. wants/ journalctl bietet das systemd-Ecosystem in der Hilfeseite zu dem Dienst. Mehr zu sshd.service → /usr/lib/ noch jede Menge weitere Tools an: systemd-networkd verrät der Open- systemd/system/sshd.service. Source-Tipp in IT-Administrator 10/2015 # systemctl disable --now sshd # rpm -ql systemd|grep 'bin/.*ctl' [3]. Unabhängig davon, wer die Kontrolle Removed /etc/systemd/system/multi- /usr/bin/busctl über das Netzwerk hat, kann das Tool net- user.target.wants/sshd.service /usr/bin/coredumpctl workctl dazu verwendet werden, um den /usr/bin/hostnamectl aktuellen Status anzuzeigen: Systemd bringt wie erwähnt auch ein /usr/bin/journalctl eigenes Logging-System mit. Das Tool /usr/bin/localectl # networkctl status "journalctl" dient dazu, die Daten aus /usr/bin/loginctl State: routable diesem systemd-Journal anzuzeigen. /usr/bin/networkctl Address: 172.11.111.123 on wlp3s0 Führt das System ein persistentes Jour- /usr/bin/resolvectl 192.168.23.1 on virbr3 nal, liegen die Journal-Dateien unterhalb /usr/bin/systemctl 192.168.122.1 on virbr0 des Verzeichnisses "/var/log/journal/". /usr/bin/timedatectl 172.17.0.1 on docker0 Die Einträge in einem solchen Journal fe80::2b2e:7100:e6a7:d5ee liegen als Key/Value-Paare vor. Wer sich Um die aktuelle Konfiguration für das on wlp3s0 dieses einmal im Detail ansehen möchte, Datum und die Uhrzeit herauszubekom- fe80::41:beff:fef9:3f55 on kann journalctl mit der Option "--out- men, bietet sich das Tool timedatectl an: docker0 put verbose" aufrufen. Auffällig ist hier, fe80::e17b:3eff:fe2a:3702 dass einige Keys mit einem Underscore # timedatectl status on veth65f25ce (_) versehen sind. Hierbei handelt es Local time: Sun 2018-09-23 17:07:12 Gateway: 172.11.0.1 on wlp3s0 sich um sogenannte trusted-Felder. Die CEST Werte zu diesen Feldern sind vom Jour- Universal time: Sun 2018-09-23 Fazit nal-Service selbst ermittelt worden und 15:07:12 UTC Wer sich einmal mit dem systemd-Eco- können somit nicht von einem Client RTC time: Sun 2018-09-23 15:05:53 system angefreundet hat, wird es sicher gefälscht werden. Interessieren Sie sich Time zone: Europe/Berlin (CEST, begrüßen, dass sämtliche Kommandos lediglich für die Logs einer bestimmten +0200) eine ähnliche Struktur haben und so die Unit, geben Sie sie beim Aufruf von System clock synchronized: yes Einarbeitung leichtfällt. Gerade das Sys- journalctl einfach mit der Option "-- NTP service: active tem- und Service-Management wie auch unit" an. Um die Logs zeitlich einzu- RTC in local TZ: no das Journal-System sind ungeheuer fle- schränken, bieten sich die beiden Op- xibel und bieten eine Menge an Möglich- tionen "--since und "--until" an. Kommt auf dem System kein NTP zum keiten an. Mit den hier vorgestellten Tools Einsatz, so wird das Datum und die Uhr- lassen sich viele tägliche Aufgaben sehr Wer sich nur für die Meldungen seit dem zeit manuell mit dem folgenden Kom- schnell und elegant ausführen und sie letzten Boot-Vorgang interessiert, kann mando gesetzt: stellen somit letztendlich eine Erleichte- journalctl auch mit der Option "--boot" rung für alle Administratoren dar. Auch aufrufen. Mit "--reverse" werden die ak- # timedatectl set-time '2018-09-23 ist anzumerken, dass sämtliche systemd- tuellsten Meldungen zuerst angezeigt. Um 17:01:24' Tools und -Services über eine sehr gut das Journal offenzuhalten, um aktuelle gepflegte Online- und Offline-Dokumen- Meldungen zu sehen, lässt sich die Option Ganz ähnlich verhält es sich mit dem Lo- tation verfügen. Somit sind sämtliche Hil- "--follow" verwenden. Die letzten x Zeilen cale-System: fen, um das System effektiv nutzen zu werden mittels "--lines x" angezeigt: können, immer zur Hand. (of) # localectl status # journalctl [--follow|--lines 10] System Locale: LANG=en_US.UTF-8 Link-Codes VC Keymap: de [1] Devuan Administratoren, die viel mit Docker- X11 Layout: de ibpc1 Containern arbeiten, werden sich viel- X11 Variant: nodeadkeys [2] Docker journald Logging Driver leicht freuen, dass Docker über einen ibpc2 Log-Treiber für das systemd-Journal ver- Mittels set-locale beziehungsweise set- [3] Open-Source-Tipp 10/2015 fügt [2]. Docker muss hierfür mit der Op- keymap werden die aktuellen Einstellun- ibpc3 tion "--log-driver=journald" gestartet wer- gen entsprechend angepasst.

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 59 Verbindungen analysieren mit Wireshark-Plug-ins Hai auf Datenfang von Matthias Wübbeling

Wireshark ist das Werkzeug der Wahl bei der Analyse von

Netzwerkverkehr, unabhängig von eingesetzten Betriebssys- Quelle: vladoskan – 123RF temen. Sei es im Live-Modus oder für vorher aufgezeichnete PCAPs, Wireshark gibt einen Überblick über Verbindungen und erlaubt die tiefergehende Analyse von einzelnen Datenströmen. Dieser Security- Tipp zeigt, wie Sie fehlende Funktionalität über Plug-ins nachrüsten können, um noch mehr Informationen über Ihr Netzwerk zu sammeln.

A lte Hasen kennen Wireshark noch te zunächst die Lua-Umgebung mitkom- Anpassung, ohne das Plug-in extra unter seinem früheren Namen piliert werden. Unter Windows ist Lua kompilieren zu müssen. Als Nachteil er- Ethereal. Obwohl der Namenswechsel bereits out of the box enthalten, unter Li- gibt sich natürlich die etwas langsamere zu Wireshark aus markenrechtlichen nux/Unix ist das abhängig von der ein- Verarbeitung, insbesondere bei großen Gründen bereits 2006 stattfand, begegnet gesetzten Distribution. Informationen, Datenmengen. Um ein Skript zu nutzen, einem heute der Begriff Ethereal immer ob Lua nutzbar ist oder nicht, erhalten kopieren Sie das Skript einfach in Ihren mal wieder. Wireshark kann, ähnlich Sie mit dem Befehl benutzerspezifischen oder systemweiten wie tcpdump unter unixoiden Betriebs- Plug-in-Ordner. Welcher das ist, erfah- systemen, Netzwerkpakete aufnehmen, $ wireshark -v ren Sie nach dem Start von Wireshark speichern und anzeigen und bietet zu- über den Menüpunkt "Hilfe / Über Wi- sätzlich eine grafische Oberfläche. Eben- und können Wireshark bei Bedarf mit reshark" und in dem neuen Fenster so ist Wireshark mit Windows sowie dem folgenden Befehl konfigurieren, sodann die Wahl des "Ordner"-Tabs. Dort macOS verwendbar. dass es mit kompiliert wird: sind die Pfade für "Benutzerspezifische (Lua) Plug-ins" und "Globale (Lua) Bild 1 zeigt Ihnen die Standardansicht $ ./configure --with-lua Plug-ins" angegeben. Wireshark unter- von Wireshark und einige aufgezeich- stützt verschiedene Plug-in-Typen: Dis- nete Netzwerkpakete. Wireshark bereitet Der Vorteil von Lua-Skripten ist zu- sector/Tap-, Codec-, FileType- und Ext- diese dafür übersichtlich auf und zeigt nächst die einfache Verwendung und Cap-Plug-ins. Ihnen (blau hinterlegt) beim Überfahren mit der Maus sogar in der Statuszeile an, zu welchen Header-Feldern die ge- zeigten Rohdaten gehören. In diesem Fall ist die sendende MAC-Adresse des ARP-Pakets markiert.

Plug-in-Architektur Auch wenn die Anzahl der Analysefunk- tionen bereits sehr groß ist, nicht für jeden Zweck bietet Wireshark von Hause aus passende Darstellungen oder Conve- nience-Funktionen. Daher bietet Wire- shark die Möglichkeit, die eingebaute Funktionalität über Plug-ins zu erweitern. Als Programmiersprache stehen Lua oder C zur Auswahl. Während C-Plug-ins als Bibliotheken (SO- oder DLL-Dateien) eingebunden werden, muss für Lua-Skrip- Bild 1: Die bekannte GUI von Wireshark.

60 Dezember 2018 Link-Codes eingeben auf www.it-administrator.de Security-Tipp Praxis

Menüpunkt "Tools" zusätzliche Einträge mit den entsprechenden Skripten.

Sie können damit WLAN-Pakete analysieren, etwa nach sogenannten Beacons suchen, also Anfragen nach versteckten WLAN-SSIDs (Bild 2), oder sich die Möglichkeiten zum Cracken von WLAN- Verschlüsselung anzeigen lassen. Die ver- fügbaren WWW-Plug-ins listen Ihnen Bild 2: Dank der Plug-ins aus dem PA Toolkit lassen sich mit Wireshark WLANs besser analysieren. die besuchten Webseiten oder herunter- geladene Dateien auf, während Ihnen das Plug-in-Typen werden, um bestimmte Dateiformate ein- DNS-Plug-in Informationen zu aufge- Dissector-Plug-ins werden genutzt, um zulesen oder beispielsweise direkt einen lösten Domain-Namen und das SSH- beim Parsen einzelner Pakete direkt die USB-Port zu öffnen, rufen ExtCap-Plug- Plug-in zu verwundbaren Software-Ver- unterschiedlichen Protokollebenen zu ins externe Programme auf und verarbei- sionen auflistet. Über den Menüpunkt identifizieren und zu analysieren. Der ten deren Output entsprechend als Einga- "Tools / Lua / Evaluate" können Sie direkt NTP-Dissector registriert sich bei Wi- be. Wireshark bleibt somit sehr flexibel in mit Lua-Kommandos auf dem geladenen reshark etwa für das Protokoll UDP und der Kommunikation mit der Außenwelt. Netzwerkverkehr arbeiten. den Port 123. So kann dann die Uhrzeit- abfrage oder die Antwort entsprechend Lua-Skripte sind entsprechende Skripte, Fazit weiter analysiert werden. Wire-shark bie- die im Grunde alle Plug-in-Typen abde- Wireshark bietet eine ausgewogene tet von Haus aus die gängigsten Proto- cken können. Diese werden häufig zu- Funktionalität in der Standardinstalla- kolle an, sodass Dissector-Plug-ins eher nächst für Tests oder schnelle Zugriffe tion. Je nach Anwendungsfall benötigen weiter oben liegende TCP/IP-Layer ab- auf Datenstrukturen über ganze Cap- Sie Plug-ins für weitere Funktionen. Die decken. Taps sind im Grunde genom- tures verwendet. Für eine performante Skripte des PA-Toolkit-Projekts sind gut men Callbacks beim Parsen von Proto- Verwendung auf großen Datenmengen dokumentiert und bieten Ihnen einen kollen und werden entsprechend bei werden diese dann zumeist in C-Plug- guten Einstieg in die Entwicklung eige- Bedarf aufgerufen. ins übersetzt. ner maßgeschneiderter Plug-ins. Sie demonstrieren auch, was außer Proto- Codec-Plug-ins lassen sich beispielsweise Werkzeuge aus dem koll-Parsing mit Wireshark noch alles für die Analyse von VoIP-Verbindungen PA Toolkit möglich ist, auch auf deutlich größeren nutzen. Je nach verwendetem Audiocodec Lua-Plug-ins sind schnell geschrieben so- Datenmengen und über Verbindungs- können dann Gespräche abgespielt oder wie an den eigenen Bedarf angepasst. Eine grenzen hinweg. Mit solchen Plug-ins Inhalte angezeigt werden. Diese operieren gute Sammlung zum Start finden Sie in lassen sich noch zielgerichteter die Ver- also nicht bloß auf einzelnen Datenpake- dem Github-Projekt "Pentester Academy bindungen Ihres Netzwerks analysieren ten, sondern auf einem zusammengehö- Wireshark Toolkit" (PA Toolkit) [1]. Darin und zielgerichteter nach Problemen oder rigen Datenstrom, also einer Folge zuei- enthalten sind Werkzeuge für den alltäg- Schwachstellen suchen. (dr) nander gehöriger Pakete. lichen Pentester- und Analysten-Gebrauch. Nachdem Sie die Dateien aus dem Repo- Link-Codes FileType- und ExtCap-Plug-ins werden sitory in den Plug-ins-Ordner Ihrer Wi- [1] PA Toolkit für das Einlesen von Daten verwendet. reshark-Installation kopiert haben, starten ibpd1 Während FileType-Plug-ins verwendet Sie Wireshark. Nun finden sie unter dem Lesen Sie den IT-Administrator als E-Paper

Testen Sie kostenlos und unverbindlich die elektronische IT-Administrator Leseprobe auf www.it-administrator.de. Wann immer Sie möchten und wo immer Sie sich gerade befinden – Volltextsuche, Zoomfunktion und alle Verlinkungen inklusive. Klicken Sie sich ab heute mit dem IT-Administrator einfach von Seite zu Seite, von Rubrik zu Rubrik! Auch als App fürs iPad, Android Infos zu E-Abos, E-Einzelheften und Kombiangeboten finden Sie auf: und Amazon! www.it-administrator.de/ magazin/epaper Praxis Tipps, Tricks & Tools

Tipps, Tricks und Tools

In jeder Ausgabe präsentiert Ihnen IT-Administrator Tipps, Tricks und Tools zu den aktuellen Betriebssystemen und Produkten, die in vielen Unternehmen im Einsatz sind. Wenn Sie einen tollen Tipp auf Lager haben, zögern Sie nicht und schicken Sie ihn per E-Mail an [email protected]. Tipps & Tricks ohne Gewähr

Apple 2018-09-24 21:19:32.136 $ codesign -s MYSUPERSECRETIDENTITY Apple bietet ja ein integriertes mrt[48924:4256323] Agent finished. mycooldmg.dmg Malware Removal Tool. Die Bedie- 2018-09-24 21:19:32.136 zurück. Bitte beachten Sie, dass code- nung erscheint mir allerdings nicht gerade ein- mrt[48924:4256323] Finished MRT sign dafür konzipiert ist, um Signaturen gängig. Können Sie kurz schildern, wie sich das run zu verwalten. Hierbei prüft spctl nur Ele- Werkzeug nutzen lässt? Vielleicht können Sie Malware ist meist ein Zahlenspiel. An- mente mit gültiger Entwickler-ID oder dabei auch auf die Verschränkung mit Gatekee- greifer müssen nur genügend Leute finden, Software, die aus dem App Store herun- per eingehen? die auf Phishing-E-Mails reinfallen: Sei es tergeladen wurde. Eine Datei, die auf an- macOS beinhaltet einen integrierten Vul- ein Klick, um den iTunes-Account zu kon- derem Weg auf den Computer gelangt ist, nerability Scanner namens Malware Re- trollieren, oder die Installation einer Er- etwa über Filesharing, unterliegt hingegen moval Tool (MRT). Er findet sich als weiterung für Safari. Allerdings müssen keiner Validierung. (Jamf/ln) MRT.app-Bundle unter "/System/Library/ alle Applikationen an Apples Gatekeeper Viele weitere Tipps CoreServices/MRT.app/Contents/MacOS/". beziehungsweise seiner Whitelist vorbei. und Tricks rund um Um das Tool einzusetzen, führen Sie die Sie sollten sich deshalb mit dem Komman- Management von Apple-Geräten finden Binärdatei einfach mit dem Flag "-a" für do spctl --list ansehen, welche Hashes über- Sie in der Jamf Nation unter https:// Agent und anschließend mit dem Flag "-r" haupt erlaubt sind. Wenn Sie eine App via www.jamf.com/jamf-nation/ zusammen mit dem Pfad aus, den Sie unter spctl-Befehl erlauben möchten, finden Sie die Lupe nehmen wollen. Angenommen, den Prozess hierfür in der Liste, die Sie Sie listen mit Hilfe des Befehls launchctl list mit dem Kommando alle LaunchDaemons und LaunchAgents $ sudo sqlite3 /var/db/SystemPolicy auf, die derzeit laufen, und Sie finden eine auf den Bildschirm bringen. Im An- verdächtige Datei, die etwa mit "com.abc" schluss führen Sie ".schema" aus, um sich beginnt, dann können Sie die mögliche Ge- die Struktur von Tabellen et cetera anzu- Viele gängige Backup- und Archivierungslösun- fahr mit folgendem Befehl scannen: sehen. Hierzu zählen Feature, Berechti- gen unterstützten von Haus aus Amazon S3. Da- $ sudo /System/Library/CoreServices/ gung, Sequenz und Objekt, die Hashes zu gehören die in der Oracle-Datenbank inte- MRT.app/Contents/MacOS/mrt -a -r enthalten. Auf der anderen Seite können grierte RMAN-Software sowie Veritas NetBackup ~/Library/LaunchAgents/com.abc.123 Sie nach dem Attribut "com.apple.qua- und IBM Spectrum Protect. Für das Backup ein- .c1e71c3d22039f57527c52d467e06612a rantine" suchen: zelner Laptops und PCs haben sich Werkzeuge f4fdc9A.plist $ xattr -d -r com.apple.quarantine wie ARQ und CloudBerry Backup bewährt. Im Im nächsten Schritt folgt eine Über- ~/Downloads Bereich der Software-Repositories gibt es eine prüfung der von Ihnen aufgespürte Be- Und um die in einer App verwendete Integration von Amazon S3 in das verbreitete drohung auf Übereinstimmungen mit ei- Signatur anzuzeigen, verwenden Sie das Werkzeug Artifactory. Können Sie beschreiben, nem bei MRT oder "/System/Library/ Kommando codesign: wie sich Amazon S3 für Fileserver-Backups oder CoreServices/XProtect.bundle/Con- $ codesign -dv MyAwesome.app als Speicher für Software-Entwicklungsartefakte tents/Resources/XProtect.yara" bekannten Um Packages zu signieren, nutzen Sie nutzen lässt? Hash. Wird die Datei erkannt, wird sie diesen Befehl: Außer den von Ihnen beschriebenen Op- gelöscht. Ein sauberer Output würde wie $ productbuild --distribution my- tionen besteht noch die Möglichkeit, folgt aussehen: coolpackage.dist --sign MYSUPERSE- Amazon S3 als virtuellen Tape-Speicher 2018-09-24 21:19:32.036 CRETIDENTITY mycoolpackage.pkg für lokale Backuplösungen zu verwenden. mrt[48924:4256323] Running as Und um eine dmg-Datei zu signieren, Sie benötigen dafür AWS Storage Gate- agent greifen Sie auf way. Dieser Dienst ermöglicht hybride

62 Dezember 2018 www.it-administrator.de Tipps, Tricks & Tools Praxis

Szenarien, bei denen Daten sowohl in lokalen Umgebungen als auch der AWS- Cloud gespeichert werden. Dadurch lassen sich lokale Unternehmensanwendun- gen und Workflows nahtlos in die Block- und Objekt-Cloud-Speicherservices von Amazon integrieren. Die Einrichtung des Triggers geht den Benachrichtigungen zur Übermittlung AWS Storage Gateway unterstützt drei der Störung an "statuspage.io" voraus. Speicherschnittstellen für verschiedene Einsatzzwecke: File, Volume und Tape. Sobald die Konfiguration abgeschlos- den Sie neben einer detaillierten Schritt- Im File-Modus stellt das Gateway Ihren sen ist, nutzen Sie das Gateway, um Daten für-Schritt-Anleitung ein Beispiel mit Systemen eine SMB- und NFS-Schnitt- auf den AWS-Speicher zu schreiben und allen notwendigen Informationen zur stelle bereit, sodass Sie S3-Buckets über sie dort zu lesen. Sie können den Status Einrichtung einer lauffähigen Benach- diese Protokolle wie herkömmliche Da- Ihrer Datenübertragung und Ihrer Spei- richtigung. Abschließend fügen Sie Ih- teiserver ansprechen können. Wenn Sie cherschnittstellen über die Management rem Template noch einen Trigger für Be- lieber komplette Dateisysteme auslagern Console überwachen. Über die API oder nachrichtigungen hinzu (Bild). PRTG möchten, bietet der Volume-Modus dazu das Software Development Kit ist es mög- ist nun ab sofort in der Lage, bei Störun- die Möglichkeit. So lassen sich Dateisys- lich, die Interaktion zwischen Anwen- gen oder Ausfällen in Ihrer Systemum- teme über das Storage Gateway in Ihrer dungen und dem Gateway programmge- gebung eine Benachrichtigung auf Ihrer lokalen Umgebung anbieten und wie steuert zu verwalten. (AWS/ln) Statusseite anzuzeigen. (Paessler/ln) iSCSI-Laufwerke mit Ihren Servern ver- Viele weitere Tipps und binden, während die auf diesen Laufwer- Monitoring Tricks rund um das Thema ken gespeicherten Daten transparent im Wir nutzen PRTG Network Monitor Monitoring mit PRTG fin- Hintergrund in die AWS-Cloud repliziert zur Überwachung unserer Hard- den Sie in der Paessler Knowledge Base werden. So erhalten Sie unkompliziert ware- und Service-Infrastruktur. Bei unter https://kb.paessler.com. Backups dieser Volumens in der Cloud. Störungen oder Ausfällen informiert die Software Betreiben Sie das Storage Gateway dage- über das interne Benachrichtigungssystem augen im Tape-Modus, verhält es sich wie tomatisch die zuständigen Kollegen in der IT- eine Bandbibliothek, die Sie über iSCSI Abteilung. Wir möchten zukünftig beim Ausfall in Ihre Backup-Prozesse integrieren kön- bestimmter Dienste, beispielsweise unseres web- nen, bloß dass die einzelnen Tapes, Ro- basierten CRM-Systems oder unseres Intranets, Da wir aus Kosten- und Verwaltungsgründen boter und Laufwerke direkt auf Opera- alle notwendigen Informationen automatisiert auf Endgeräte mit Linux setzen, standen wir tionen in Cloud-Storage abgebildet auf einer Statusseite darstellen. Damit wollen im Zusammenspiel mit der USB-Geräteumlei- werden und Sie keine spezialisierte Hard- wir eine Plattform für unsere Anwender schaffen, tung von Audiogeräten in eine XenApp/Virtu- ware mehr anschaffen müssen. auf der wir zentral über IT-Störungen informieren. al-Apps-Remotesession vor folgendem Pro- Die Einrichtung erfolgt über die AWS Wie können wir diese Anforderung möglichst blem: Die USB-Geräteumleitung von Storage Gateway Management Console, unkompliziert umsetzen? Audiogeräten über einen Linux-Receiver zum über die Sie das Gateway als virtuelle Ma- Eine einfache Möglichkeit bietet hier ei- Server-VDA auf Basis von Windows Server 2016 schine herunterladen können, die dann ne cloudbasierte SaaS-Lösung (Software- funktioniert nicht korrekt. Das Gerät erscheint in Ihrer lokalen Umgebung läuft. An- as-a-Service) wie zum Beispiel "status- zwar im Gerätemanager, wird jedoch nicht un- schließend verknüpfen Sie das Gateway page.io". Der Dienst zeigt den aktuellen ter Wiedergabegeräte als Audio-Ein-/Ausga- mit Ihrem AWS-Konto. Nach der Akti- Status beliebiger System- beziehungs- begerät angezeigt. Was ist hier zu tun? vierung richten Sie das Gateway ein, um weise Servicekomponenten übersichtlich Die Ursache ist ein Konfigurationspro- eine Verbindung mit dem passenden Spei- auf einer Webseite an. Um den Dienst blem auf dem Serverbetriebssystem. chertyp herzustellen. Beim File Gateway für PRTG einzurichten, müssen Sie im Damit sich die Funktion nutzen lässt, konfigurieren Sie mithilfe von IAM-Rollen ersten Schritt einen API-Key bei status- ist eine Konfigurationsänderung auf den Dateifreigaben, die ausgewählten S3-Bu- page.io anfordern. Sobald Sie den Key Server-VDAs erforderlich. Konfigurie- ckets zugeordnet sind. Beim Volume Gate- erhalten haben, können Sie mit der Kon- ren Sie die Unterstützung von Audio- way erstellen Sie Volumes als iSCSI-Geräte figuration des API-Calls in PRTG be- geräten über die generische USB- und ordnen sie als solche zu. Beim Tape ginnen. Erzeugen Sie dazu in PRTG eine Umleitung, indem Sie folgende Ein - Gateway verbinden Sie Ihre Backupan- neue Vorlage für Benachrichtigungen . stellungen in der Registry des VDAs wendung zum Erstellen und Verwalten Tragen Sie dort unter "HTTP-Aktion vornehmen. Gehen Sie zum Schlüssel von Bändern mit den vom AWS Storage ausführen" die URL von statuspage.io "HKLM\Software\Citrix\PortICA\ Gateway simulierten "Geräten", das heißt ein und hinterlegen Sie den POST-Re- GenericUSB" und setzen Sie den REG einer Bandbibliothek mit einer definierten quest im Body-Bereich. In der PRTG _DWORD-Wert namens "UsbAudioEn- Menge von Bändern und Laufwerken. Knowledge Base [Link-Code ibpe1] fin- abled" auf "1". (Citrix/ln)

www.it-administrator.de Dezember 2018 63 Praxis Tipps, Tricks & Tools

count an, um den Client in die Domäne kurzen Zeit und simuliert so Spitzenzeiten zu integrieren. Herzlich Willkommen in der An- und Abmeldung. Wie intensiv der der UCS-Domäne! Sie können sich nun Test das Verhalten simulieren soll, legt der mit einem beliebigem Domänen-User Administrator fest. Das Tool ist nicht ab- Für Dokumentationen würde ich im Windows- oder auch UCS-Domänen-Administrator hängig von einer bestimmten Citrix-Kom- Explorer gerne den vollständigen Pfad einer Datei einloggen. (Thomas-Krenn/ln) ponente und eignet sich daher für jede kopieren und das nicht immer manuell machen Viele weitere Tipps und Tricks Multiuser-Umgebung. Zu beachten ist je- müssen. Gibt es hier eine Möglichkeit bezie- zum Server-Management, doch, dass der erwähnte Test sehr hohe hungsweise einen Shortcut? Virtualisierung und Linux finden Sie im CPU-Last hervorrufen kann und daher Das Kopieren des vollständigen Pfads einer Thomas-Krenn-Wiki unter www.thomas- nicht auf produktiven Servern erfolgen soll- Datei klappt über das Kontextmenü, aller- krenn.com/de/wiki/Hauptseite. te. Vielmehr sollte der IT-Verantwortliche dings nur, wenn Sie zusätzlich zur rechten jeden neuen Treiber vor dem Einbringen Maustaste auch die Shift-Taste drücken. Tools in die Produktivumgebung in einer Test- Dann sehen Sie im Kontextmenü den Ein- Fast schon seit Generationen landschaft untersuchen. Neben der Last- trag "Als Pfad kopieren" und ein Klick auf kämpfen Admins von Citrix- oder erzeugung auf einem Terminalserver kön- die Option kopiert den kompletten Pfad in Terminalserver-Farmen mit Dru- nen Admins mit Stress Printers auch die die Zwischenablage. (ln) ckertreiber-Problemen. Manchmal wissentlich, CPU-Last ermitteln, die ein Treiber beim oft aber auch unbewusst, denn Druckertreiber, Erzeugen eines Druckers aufweist, und wie- die nicht exklusiv für Multiuser-Umgebungen viel Zeit dieser Vorgang mit verschiedenen Linux erstellt wurden, können negativen Einfluss auf Druckertreibern in Anspruch nimmt. Das Wir möchten einen Ubuntu-18.04- verschiedene Aspekte der Infrastruktur haben Tool ist kostenlos, der Download erfordert Client in eine Domäne von Univention – beileibe nicht nur auf den Druckprozess selbst. jedoch einen Citrix-Account. (jp) Corporate Server einbinden. Können Oft verursachen fehlerhafte Treiber eine lang- Link-Code: ibpe6 Sie kurz schildern, was dabei zu be- samere Anmeldung oder eine kurzfristige hohe achten ist? CPU-Last. Im schlimmsten Fall können sie die Nur selten finden sich IT-Infrastrukturen, deren Öffnen Sie vorab mit "STRG+ALT+T" ein Anmeldung am Server verhindern oder den Storage nur auf NAS oder SAN aufbauen. Viel häu- Terminal und installieren Sie das Univen- Druckdienst ungewollt beenden. Die Problem- figer sind heterogene Landschaften, die nicht nur tion Domain Join Tool. Dieses Tool ist analyse war und ist oft komplex und erfordert Technologien, sondern auch Hersteller mixen. Hier auch für Ubuntu Clients der Version tiefgehende Kenntnis der Druckertreiber. gilt es für den IT-Verantwortlichen, sich plattform- 17.10 und 16.04 kompatibel. Fügen Sie Um solche ungeeigneten Druckertreiber übergreifend ein Bild der Storage-Performance ma- dann das PPA von Univention bei Ihren in Terminalserverfarmen zu identifizieren, chen zu können. Doch die mit einem Gerät frei Paketquellen hinzu, um das univention- stellt Citrix seit langem ein Utility namens Haus gelieferte herstellerspezifische Software reicht domain-join bequem per Paketverwal- "StressPrinters" bereit. Die Software ermög- hierfür oft nicht aus, da sie in der Regel ausschließ- tung installieren zu können: licht Administratoren, Drucker unter Last lich auf das jeweilige System zugeschnitten ist und $ sudo add-apt-repository ppa:uni- zu setzen und gleichzeitig eine Terminal- somit nur einen Storage-Teilbereich abbildet. Ein vention-dev/ppa server-Umgebung zu simulieren. Das zusätzlicher Nachteil ist das mangelnde Zusam- $ sudo apt-get update Werkzeug erstellt und löscht automatisch menspiel mit anderen Werkzeugen. Bei Problemen $ sudo DEBIAN_FRONTEND=noninteractive Druckerobjekte, die zuvor in der GUI des müssen Administratoren dann zahlreiche Werk- $ sudo apt-get install univention- Tools definiert wurden. Das Erstellen und zeuge nutzen, um den Ursachen auf die Schliche domain-join Löschen erfolgt dabei innerhalb einer sehr zu kommen. Dies bedeutet neben einem unnötig Danach können Sie mit den fol- hohen Zeitaufwand auch, dass sich der genden Schritten einen Ubun- IT-Verantwortliche mit den Funktiona- tu-Client an die UCS-Domäne litäten der verschiedenen Lösungen anfügen. Öffnen Sie zunächst auskennen und auf deren Umgang ge- die LAN-Einstellungen des schult sein muss. Clients. Gehen Sie dann über Höchst wünschenswert und sinn- das Zahnrad-Symbol zu den voll ist daher ein Werkzeug, das Netzwerkeinstellungen Ihres nahezu alle gängigen Speicher- Netzwerkadapters. Tragen Sie geräte abdecken kann und mit hier den Univention-Server als dem sich selbst komplexe und DNS-Server in den Netzwerk- virtualisierte Storage-Landschaf- einstellungen ein. Suchen Sie ten vollständig im Blick behalten nun nach dem Univention-Do- lassen. Dass derartige Tools nicht main-Join-Tool und öffnen Sie Um einen Ubuntu-Client an die UCS-Domäne anzufügen, müssen Sie teuer sein müssen, beweist das es. Hier geben Sie die Domäne unter anderem den Univention-Server als DNS-Server in den kostenlose, nach GNU lizenzierte und den Administrator-Ac- Netzwerkeinstellungen eintragen. "STOR2RRD". Die freie Software

64 Dezember 2018 www.it-administrator.de Tipps, Tricks & Tools Praxis

ten. Dabei unterstützt das Tool Regeln auf Prozessebene: ein Prozess oder eine An- wendung darf sich also entweder mit dem Netzwerk verbinden oder nicht. Dabei gilt selbstverständlich wie bei anderen Firewalls, dass, wenn ein legitimer Prozess durch bös- artigen Code missbraucht wird, um Netz- werkaktionen durchzuführen, dies eben erlaubt ist. Der Entwickler dieser Firewall ist Patrick Wardle, ein anerkannter IT-Si- cherheitsexperte. Er hatte in der Vergan- genheit einige kommerzielle Produkte, die die Lücke der macOS-Firewall schließen sollen, scharf kritisiert und schließlich seine Eigenentwicklung vorgestellt. Wobei er nicht vergisst, davor zu warnen, dass Fire- STOR2RRD überwacht IO und Datendurchsatz aller eingebundenen Volumes und stellt walls für den ausgehenden Verkehr – LuLu diese nach den Wünschen des IT-Verantwortlichen dar. eingeschlossen – grundsätzlich Probleme haben. In diesem Datenverkehr gebe es ein- lässt sich auf einem Web- und Applikati- meldungen einrichten. Ferner können im fach zu viele Möglichkeiten, vertrauens- onsserver installieren, als virtuelle Appliance Zeitverlauf zu Nutzung und Performance würdige Protokolle und Prozesse zu kapern nutzen oder in Docker einbinden. Sobald sowie der allokierten Speicherkapazität ge- und an einer Firewall vorbeizuschmuggeln. ein gerichtet, werden von den in der Infra - sammelte Daten für die Berichterstellung Deshalb vertritt Wardle die Ansicht, eine struktur vorhandenen Komponenten und Planung herangezogen werden. Beein- Firewall allein wäre nicht ausreichend und kon ti nuierlich Echtzeitdaten (E/A- und druckend ist dabei die Anzahl unterstützter für die optimale Sicherheit wären weitere Durchsatzraten, Latenz, Cache-Hits und Produkte beziehungsweise Hersteller. In Sicherheitslösungen auf dem Client und -Nutzung, CPU- beziehungsweise Memo- der unter [Link-Code ibpe7] bereitgestellten auch im Netzwerk selbst erforderlich. ry-Auslastung et cetera) gesammelt, einge- Supportmatrix fehlt vermutlich nur sehr Dennoch will es LuLu natürlich besser lesen und grafisch aufbereitet. Letzteres prä- exotische Storage-Hardware. (jp) machen als die Konkurrenz. Nach der In- sentieren sich Administratoren über eine Link-Code: ibpe8 stallation überwacht das Tool alle Inter- zentrale Konsole, die eine genaue Übersicht netzugriffe von Dritthersteller-Apps. der Ressourcenauslastung in der Speicher- macOS besitzt eine Firewall, die das System ge- Dabei kann der Nutzer über Regeln fest- umgebung liefert. Dies lässt sich auf einzelne gen eingehende Angriffe schützen soll. Doch das legen, welche Anwendungen frei nach au- Speichersysteme, Hosts, Nodes, RAID- Blockieren ausgehender Verbindungen, typisch ßen kommunizieren dürfen. Versucht ein Gruppen und Storage-Pools bis hin zu Vo- etwa für Malware, die Code nachladen will oder neues Tool, auf einen Server zuzugreifen, lumes, Ports und Festplatten oder zu Grup- mit ihrem Command-and-Control-Server in Ver- sieht der Nutzer ein Warnfenster und pen zusammengefasste Fabric- und bindung tritt, ist dabei nicht vorgesehen. kann den Zugriff erlauben oder verwei- Switch-Ports herunterbrechen. Die Summe Hier setzt die kostenlose Firewall "LuLu" gern. Dabei überprüft das Tool die Sig- dieser Daten ermöglicht es, potenzielle Per- an, deren Code zudem Open Source zur nierung einer App und bei einem Prozess formance- oder Kapazitätsengpässe zu Verfügung steht. Über diese Firewall, die die Art der Signierung. Zudem ist eine lokalisieren. Dazu zeigt sich STOR2RRD ausgehende Verbindungen kontrolliert, lässt Kontrolle über Virustotal möglich. (jp) flexibel, denn es lassen sich auf frei defi- sich Apps der Zugriff auf das Netz verbie- Link-Code: iape9 nierbaren Parametern und Regeln aufset- zende sowie automatisch ausgehende Warn-

Viele weitere Tipps & Tricks sowie konkrete Hilfe bei akuten Problemen bekommen Sie auch im Internet bei unserem exklusiven Foren-Part- ner administrator.de. Über 90.000 registrierte Benutzer tauschen dort in über 100 Kategorien ihre Erfahrungen aus und leisten Hilfestellung. So wie der IT-Administrator das praxisnahe Fachmagazin für Administratoren ist administrator.de die Internetplattform für alle System- und Netzwerkadministratoren. www.administrator.de

IT-FORUM Über die Regeln der LuLu-Firewall steuert der macOS-Nutzer, welche Prozesse Verbindungen nach außen aufbauen dürfen.

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 65 Freie SAN-Software im Vergleich Die freie Wahl von Evgenij Smirnov

Quelle: maximkabb – 123RF

Oft muss ein bestehender Server mit lokalen Festplatten zu einem Speichergerät umfunktioniert werden. Oder der Admi- nistrator benötigt ein Storage-Protokoll, das das bestehende SAN nicht beherrscht. Da liegt es nahe, sich auf dem Markt frei verfügbarer Storage-Software umzuschauen. Wir haben sechs Produkte unter die Lupe genommen, die unterschiedlicher nicht sein könnten – und sich doch in einigen Punkten verblüf- fend ähneln.

B eim Thema Storage denken viele Dieses Biotop brachte eine Fülle von Sto- IT-Verantwortliche an fertige Ap- rage-Systemen hervor. Manche dieser pliances von IBM, Dell EMC, NetApp Projekte wurden zu kommerziellen Un- oder 3PAR, wie sie in Enterprise-Um- ternehmen oder flossen gar in die Be- gebungen zum Einsatz kommen und triebssysteme klassischer Storage-Her- ebenso in kleineren Infrastrukturen steller ein. Andere blieben Open Source (SMB oder SOHO), dann von Synology, und entwickelten eine stabile Community QNAP oder D-Link. Bei all diesen Pro- aus Entwicklern und Unterstützern, die dukten sind Hardware und Software den Fortbestand des jeweiligen Projekts gebündelt und perfekt aufeinander ab- sicherte. Auch der umgekehrte Weg wurde gestimmt – die Grenze zwischen Hard- bereits beschritten: Aus Open-Source- ware, Firmware und Betriebssystem Projekten entstand ein Closed-Source- verläuft also fließend. Dennoch sind Produkt, das in einer "Community Edi- installierbare Storage-Distributionen tion" kostenfrei angeboten wurde. Wir aus der heutigen Softwarewelt nicht schauen uns einige der aktuell verfügbaren mehr wegzudenken. kostenfreien Storage-Produkte an. Der Überblick erhebt keinen Anspruch auf Ihr Aufstieg begann vor einigen Jahren Vollständigkeit, umfasst aber zumindest mit dem Reifen von Open-Source-Pro- die führenden Projekte, die Ihnen erlau- jekten wie SCST, einem generischen SCSI- ben, ohne Lizenzkosten eine leistungsfä- Target-Subsystem für Linux, sowie mit hige Storage-Landschaft aufzubauen. der Verabschiedung und wachsenden Ver- breitung des iSCSI-Protokolls für block- Vorteile kostenloser basierten Storage-Zugriff. Gleichzeitig Storage-Betriebssysteme entwickelten sich die Designparadigmen Die Motivation für den Einsatz kosten- webbasierter User Interfaces weiter und freier Storage-Produkte in Unternehmen machten so ein benutzerfreundliches ist von Fall zu Fall sehr unterschiedlich.

SCHWERPUNKT Management von Storage-Appliances Einige typische Anwendungsfälle sind: möglich, ohne dass ein separates GUI- - Bestehende Hardwareserver mit lokalen Werkzeug entwickelt und gepflegt wer- Festplatten sollen einer anderen Nut- den musste. zung zugeführt werden und den Sto-

www.it-administrator.de Freie SAN-Software Schwerpunkt

ebenfalls verfolgt, hat es jedoch später zugunsten von VSAN aufgegeben. - Virtuelle Storage-Appliances sind auch dort von großem Wert, wo Shared- Storage für mehrere virtuelle Maschi- nen bereitgestellt werden muss (zum Beispiel, um sie zu einem Cluster zu- sammenzufassen), ohne dass der Traffic die Virtualisierungsumgebung verlässt.

Nicht zuletzt können IT-Abteilungen ihre Unterstützung für ein Open-Source- Projekt dadurch ausdrücken, dass sie das Produkt in ihrer produktiven Umgebung einsetzen. Je nach vorhandenem Know- how hängt die Genehmigung eines solchen Vorhabens häufig davon ab, ob und wie schnell kostenpflichtiger Hersteller- support zu bekommen ist.

Firmen im Hintergrund Software-Entwicklung kostet vor allem viel Zeit, und Zeit ist bekanntlich Geld. Von den Bild 1: Die openFiler-GUI stammt aus dem Jahr 2011. zahlreichen Open-Source-Projekten im Sto- rage-Bereich, die im vergangenen Jahrzehnt rage-Bedarf anderer Systeme decken. Backend auf den FC-Speicher zurück gestartet wurden, hat darum bis heute kei- Dieses Szenario kommt beispielsweise – entweder direkt mittels FC-HBAs nes überlebt, das nur auf kostenfreie Mit- vor, wenn die ursprünglichen Work- oder virtualisiert. arbeit oder freiwillige Spenden angewiesen loads dieser Server virtualisiert werden. - Eine Tape Library wird abgeschafft, die war. Alle hier betrachteten Open-Source- - Bestehende Hardwareserver mit lokalen Datensicherungssoftware kann jedoch Produkte haben mittlerweile eine Firma im Festplatten sollen ein anderes Storage- im letzten Backup-Tier nur Bandlauf- Hintergrund, die eine kommerzielle Vari- Protokoll sprechen als ursprünglich werke ansprechen. Hier bietet sich eine ante der Software und einen kostenpflich- vorgesehen. Das kann etwa passieren, "Virtual Tape Library" (VTL) an, die tigen, SLA-gebundenen Support anbietet. wenn ein datenbankbasiertes Archiv- Bandlaufwerke und Medien emuliert, Daraus wird nicht nur die Erbringung der system auf ein filebasiertes migriert die Daten jedoch auf Festplattenvol- Support-Leistung, sondern auch die Wei- wird. Der Storage-Bedarf bleibt beste- umes vorhält. Oft wird das letzte Tier terentwicklung der Software finanziert, was hen, aber der Zugriff muss nicht mehr nicht als geschäftskritisch eingestuft, allen Nutzern zugutekommt. auf einem proprietären Datenbankpro- sodass kostenfreie Alternativen hier tokoll, sondern über ein standardisier- sehr willkommen sind. Ein etwas leichteres Spiel haben hier frei- tes Dateizugriffsprotokoll wie SMB oder - Bei der Einführung hyperkonvergenter lich die kostenfrei verfügbaren Versionen NFS erfolgen. Virtualisierungsumgebungen (Hyper- kommerzieller Produkte. Im Gegensatz - Das Unternehmen hat einen besonders converged Infrastructure, HCI) verbie- zu den Open-Source-Projekten sind diese guten Deal mit einem Serverhersteller ten die Kosten und/oder die Kompati- in der kostenfreien Variante sowohl in ausgehandelt, dieser liefert aber keine bilität den Einsatz nativer Technologien der Kapazität als auch in den verfügbaren Storage-Geräte (oder sie sind nicht Be- wie Storage Spaces Direct bei Hyper-V Features limitiert. Die kostenfreien Dau- standteil des Deals). oder VSAN bei vSphere. In solchen Fäl- erlizenzen sind durch ihre Limitierungen - Ein oder mehrere Systeme erfordern len kann auf das Konzept einer virtuel- nicht dafür geeignet, die jeweiligen Voll- ein Storage-Protokoll, das von den be- len Storage-Appliance zurückgegriffen produkte zu evaluieren. Nutzen Sie hier stehenden Storage-Appliances nicht werden. Dabei läuft auf jedem Host eine unbedingt die von den Herstellern ange- angeboten wird. Das häufigste Szena- Storage-VM, deren Festplatten in den botenen Testlizenzen, die in der Regel 45 rio ist der plötzliche Bedarf an iSCSI- lokalen Datastores dieses Hosts liegen. oder 60 Tage lang aktiv bleiben. Storage in einer Umgebung, wo bis da- Die VMs halten die Daten untereinan- hin ausschließlich Fibre Channel (FC) der synchron und stellen, meist über Veraltetes openFiler im Einsatz war. Hier haben die neuen iSCSI, solche Volumes hostübergreifend openFiler [1] war die erste kostenfreie iSCSI-Targets häufig gar keinen lo- bereit. VMware hat dieses Konzept zu Storage-Distribution, die eine nennens- kalen Speicher, sondern greifen im Beginn der fünften vSphere-Generation werte Verbreitung erlangte. Ursprünglich

www.it-administrator.de Dezember 2018 67 Schwerpunkt Freie SAN-Software

Von UNIX kommend, haben die Ent- wickler von FreeNAS schon sehr früh auf ZFS als das primäre Dateisystem ihrer Distribution gesetzt. Dadurch gehört die Aufspaltung der Datenträgerverwal- tung in RAID-Manager, Volume-Mana- ger und Dateisystem-Manager der Ver- gangenheit an. ZFS vereint all diese Funktionen und ist dabei extrem robust – eine Datenkorruption, beispielsweise durch einen Strom- oder Festplattenaus- fall, ist per Design ausgeschlossen. In puncto Performance steht ZFS auf geeignet dimensionierten Servern anderen Dateisystemen in nichts nach, fordert die CPU- und RAM-Ressourcen aber deutlich stärker.

Ein herausragendes Merkmal von Free- NAS ist die Innovationsbereitschaft des Entwicklerteams. Über die Jahre hat das Projekt eine Vielzahl an Features dazu- gewonnen, ohne dass diese Erweiterun- Bild 2: Die Web-GUI bildet die gesamte Vielfalt der Features von FreeNAS ab. Im unteren Bereich gen einen Einfluss auf die Stabilität oder werden die laufenden UNIX-Befehle angezeigt. Performance ursprünglicher Protokolle gehabt hätten. Entsprechend überfrachtet nur auf FTP, NFS und CIFS begrenzt, Sicherheitslücken, sondern auch die feh- wirkt im ersten Moment die GUI, Nutzer wurde der Leistungsumfang durch das lende Unterstützung für moderne Hard- finden sich jedoch schnell zurecht. Projektteam ständig erweitert – es kamen ware wie neue Netzwerkkarten oder Target und Initiator für iSCSI dazu, RAID-Controller zur Folge. Zwar bietet Um seinen Ruf als "eierlegende Wollmilch- SMB- und Active-Directory-Unterstüt- die openFiler Ltd. aus London kosten- sau" weiter zu festigen, hat FreeNAS in der zung inklusive Domain Join und das pflichtige Zusatzfeatures und Support- aktuellen Version eine umfangreiche Plug- Ext4-Dateisystem. verträge an, aber es scheinen keine Mittel in-Engine implementiert, mit deren Hilfe oder kein Interesse für die Pflege der ge- verschiedene Medienserver, Backupclients, Die HTML-Verwaltungsoberfläche wirkt nerell verfügbaren Lösung vorhanden zu Downloader und sogar Minecraft-Server altbacken, ist aber sehr robust und erfüllt sein. Übrigens: Bei openFiler steht "CE" umgesetzt werden können. Darüber hinaus ihren Zweck. Verwirrend ist seit jeher in der Lizenzbezeichnung für "Commer- bietet FreeNAS Unterstützung von UNIX- die Menünavigation: Viele Funktionen cial Edition" – anders als bei vielen an- Jails (Anwendungsvirtualisierung mit Si- sind nur über das Seitenmenü erreichbar, deren Software-Produkten, wo "CE" in cherheitskapselung), Docker-Containern dessen Umfang jedoch je nach ausge- der Regel die kostenfreie "Community und sogar virtuellen Maschinen. Abgerun- wähltem Hauptpunkt variiert. Erschwe- Edition" bezeichnet. det wird der Leistungsumfang durch eine rend ist auch der Umstand, dass viele im REST-API, die eine programmatische Menü angedeuteten Funktionen (HA- Vielseitiges FreeNAS Steuerung der FreeNAS-Appliance erlaubt. Cluster, Fibre Channel-Target) erst nach Fast zeitgleich mit openFiler begann die Einzig wirkliche Hochverfügbarkeit fehlt einer umfangreichen Konfiguration an Arbeit an einem anderen Projekt: Free- im Leistungsportfolio, und es gibt derzeit der Linux-Konsole verfügbar sind und NAS [2] kommt aus der UNIX-Ecke und keine erkennbaren Hinweise darauf, dass in vielen Fällen selbst dann nicht in der verwendet von Beginn an die Codebasis sich in diesem Punkt bald etwas ändert. GUI angezeigt werden, wenn sie ein- von FreeBSD. Der Kernel und die grund- wandfrei funktionieren. legende Treiberunterstützung werden bei FreeNAS ist ein solides Enterprise-Pro- jeder neuen FreeNAS-Version komplett dukt und absolut empfehlenswert, wenn Die Entwicklung von openFiler ist 2011 von FreeBSD übernommen. Somit ist der Administrator auf die Ausfallsicher- de facto eingestellt worden. Das hat sicher die Hardware-Kompatibilitätsliste von heit verzichten kann. Pflege und Support auch mit den eher halbherzigen und nicht FreeNAS im Wesentlichen mit der von sind exzellent und der Betreiber iX-Sys- sehr erfolgreichen Bemühungen zu tun, FreeBSD identisch. Auch die Versions- tems kann auf Wunsch vollständig unter- openFiler zu kommerzialisieren. Leider nummern folgen denen der zugrundelie- stützte Hardware und fertige FreeNAS- hat dies nicht nur mögliche ungepatchte genden FreeBSD-Distribution. Appliances liefern.

68 Dezember 2018 www.it-administrator.de Freie SAN-Software Schwerpunkt

open-e: Profis unter sich Die Firma open-e [4] entstand bereits 1998 aus einem Zusammenschluss mehrerer Storage-Experten und trat 2002 mit einem reinen NAS-Produkt auf dem Markt, das die beiden wichtigsten Merkmale eines Small Business-Filers aufwies: einfache In- stallation und eine Web-GUI. Als beson- derer Clou wurde open-e NAS auf einem Flashdongle mit IDE-Anschluss ausgeliefert und konnte direkt auf das Mother- board eines Servers gesteckt werden.

Das heutige Flaggschiffprodukt heißt open-e DSS (für "Data Storage Software") und bietet alles, was man von einem En- terprise-Storage erwarten kann. Die kostenfreie Variante ist keine "Community Edition", sondern hört auf den Beinamen "SOHO". Erwartungsgemäß fehlen bei SOHO sämtliche Hochverfügbarkeits- features wie Clustering und Replikation, die Einschränkungen gegenüber der Vollversion gehen jedoch noch einen Bild 3: Mit Swagger können Sie die REST-API der NexentaStor visualisieren. Schritt weiter: - Hardware-RAID-Controller und 10- Enterprise-Storage rung oder Container zu verwenden, GBit-Ethernet-Netzwerkkarten werden mit NexentaStor bringt Nexenta Funktionen mit, die eine nicht unterstützt. Ebenfalls aus dem UNIX-Bereich kom- Integration mit anderen Enterprise-In- - Es lassen sich maximal vier 1-GBit- men die Entwickler von Nexenta [3] – ei- frastruktursystemen erlauben. So wird Ethernet-Netzwerkkarten betreiben. nem Hersteller, der sich bereits bei seiner etwa ein vCenter-Plug-in und eine - Fibre Channel wird weder als Target Gründung 2005 der Idee eines Software- OpenStack-Integration angeboten, bei- noch als Initiator unterstützt. defined Storage verschrieben hat. Anders des freilich nicht in der Community- - SNMP wird nicht unterstützt. als bei FreeNAS wurde nicht die quellof- Edition. Für die programmatische Steue- fene FreeBSD-Distribution als Codebasis rung sorgt eine REST-API. Auf eine fest Auch in Bezug auf die Storage-Kapazität gewählt, sondern das SunOS (inzwischen eingebaute GUI verzichtet NexentaStor ist die SOHO-Variante eingeschränkt: In illumos) von SUN Microsystems. Die hingegen – wer die Appliance direkt ma- der ursprünglichen Lizenz sind 4 TByte Wahl in puncto Dateisystem-Basis fiel nagen möchte, muss es an der Komman- enthalten, die auf maximal 36 TByte auf- hier naturgemäß ebenfalls auf ZFS. dozeile tun. gestockt werden können. Der Preis für diese Speichererweiterung dürfte aller- Das Storage-Produkt "NexentaStor", in- Eine moderne und leistungsfähige dings kaum ins Gewicht fallen, kosten die zwischen in der Version 5.1.2 verfügbar, GUI existiert dennoch und steht auch in 32 TByte doch lediglich 30 Euro. Wer be- ist ein Closed-Source-Projekt mit zahl- der Community Edition zur Verfügung reit ist, in seinem Freundeskreis Werbung reichen Enterprise-Features. Seit vielen – als separates Produkt "NexentaFusion", für DSS SOHO zu machen, kann diese Jahren existiert bereits die "Community das als virtuelle Appliance im VMware- Erweiterung sogar kostenfrei erhalten: Edition", die um diverse Features be- Format ausgeliefert wird. Die Commu- Für jede durch einen Neukunden akti- schnitten und auf 10 TByte Kapazität li- nity Edition kann nur einen NexentaS- vierte SOHO-Instanz gibt es eine Lizenz mitiert ist. Zu den fehlenden Leistungs- tor-Server managen, mit der Vollversion für 8 TByte Storage – bis zu der harten merkmalen gehören unter anderem entfällt diese Limitierung, sodass eine Grenze von 36 TByte. Auch der Herstel- sämtliche Hochverfügbarkeitsfeatures wie ganze Storage-Umgebung einen gemein- lersupport für die SOHO ist funktional Clustering sowie asynchrone und syn- samen Managementüberbau erhält. Ne- begrenzt, aber preiswert: Einen Service chrone Replikation. ben der reinen Featureverwaltung erhal- Request mit Bearbeitung per E-Mail gibt ten Sie mit NexentaFusion umfangreiche es für 39 Euro. Das Produkt trägt eine Enterprise-DNA Statistiken, Reporte und Benachrichti- in sich. Statt eine Storage-Appliance für gungen bei Fehlern oder bei drohender Wenn Ihr LAN eine automatische IP- artfremde Funktionen wie Virtualisie- Ressourcenverknappung. Adressvergabe mittels DHCP anbietet,

www.it-administrator.de Dezember 2018 69 Schwerpunkt Freie SAN-Software

als Plug-ins implementiert. Die Qualität der von uns getesteten Plug-ins variiert jedoch zurzeit erheblich und die Feh- lermeldungen liefern bisweilen kaum Hinweise, die wirksames Troubleshoo- ting zulassen würden.

OpenMediaVault muss sich definitiv noch im Feld bewähren, denn im Au- genblick erscheint der Leistungsumfang noch rudimentär und die Qualität, insbesondere die der Plug-ins, nicht ausreichend gesichert. Der Ansatz ist jedoch solide und die Erfahrung des Chefentwicklers Theile unbestritten.

Schlankes ESOS Das quelloffene "Enterprise Storage OS" [6] will unter den Storage-Distributio- nen das sein, was ein Dragster unter den Autos ist. Als Motor fungiert hier das Projekt SCST ("Generic SCSI Target Subsystem for Linux") [7]. Um dieses herum hat das Entwicklerteam eine eigene minimalistische Linux-Distribution Bild 4: Die Konsole bietet neben der Netzwerk-Konfiguration gebaut, die nur die wirklich benötigten auch die Möglichkeit einer Notfall-Rücksetzung. Module und Bibliotheken enthält. Ein- mal gestartet, etwa von einem USB- können Sie die frisch installierte open-e- dem sich die dort ursprünglich verwen- Stick, läuft ESOS komplett im Arbeits- Appliance gleich über die Web-GUI dete, für Firewall- und Routerbetrieb op- speicher. Geht der USB-Stick während konfigurieren. Muss zuerst eine fixe IP timierte BSD-Distribution "m0n0wall" des Betriebs kaputt, erhält der Adminis- vergeben werden, erfolgt dies direkt an als nicht länger geeignet erwiesen hatte, trator eine Meldung darüber per E-Mail. der Konsole, die einige grundlegende beschloss das Projektteam, FreeNAS von Er kann dann einfach einen neuen boot- Konfigurations- und Diagnose-Funk- Grund auf neu zu entwickeln. Dabei fähigen ESOS-Stick anfertigen, gegen tionen bietet. drängte der damalige Chefentwickler den defekten austauschen und die lau- Volker Theile darauf, sich komplett von fende Konfiguration auf den neuen Stick Die Web-GUI ist leicht zu bedienen, aber BSD zu verabschieden und auf die Li- synchronisieren lassen. Der Minimalis- sehr sparsam gehalten, was auch dem re- nux-Codebasis zu wechseln. Das Pro- mus zeigt sich auch in der Größe des duzierten Leistungsumfang der SOHO- jektteam weigerte sich, Theile schied aus Downloads: Während alle anderen be- Appliance entspricht. Für die Anzeige der dem Projekt aus und gründete coreNAS trachteten Produkte zwischen 520 und Hardware-Statistiken kommt, wie bei allen – auf Debian-Linux-Basis. 690 MByte auf die CD brennen wollen, anderen hier beschriebenen Produkten, ist die ESOS-Distribution nur 315 RRDTOOL zum Einsatz. Mit der open-e In unserer Betrachtung fällt OMV in- MByte groß. Mit einem "Installations- DSS SOHO können Sie nichts falsch ma- sofern auf, als dass dieses Produkt von medium" hält sich ESOS ebenfalls nicht chen, sofern der begrenzte Leistungsum- Hause aus ein reines NAS ist und keinen auf. Das ZIP-Archiv enthält Skripte für fang für Ihr Einsatzszenario ausreichend blockbasierten Storage-Zugriff anbietet. Windows und Linux, die gleich den ist und Sie mit der Performance von ma- Und auch sonst erinnert eine frisch in- Startdatenträger, vorzugsweise einen ximal vier mal 1 Gbit/s auskommen. stallierte OMV-Appliance vom Leis- USB-Stick, erzeugen. Und natürlich ha- tungsumfang her an die Anfänge von ben Nutzer die Möglichkeit, ESOS aus Reines NAS-System FreeNAS: auf SMB, FTP und NFS be- dem Quellcode selbst zu kompilieren. OpenMediaVault grenzte Funktionalität, ausschließlich Das Open Source-Projekt "OpenMedia- lokale Benutzerverwaltung, minimale ESOS beherrscht als Target nur block- Vault" (OMV) [5], das 2009 unter dem Leistungsüberwachung. basierten Datenzugriff, verspricht bei Namen "coreNAS" gestartet ist, entstand diesem jedoch eine sehr hohe Perfor- aus einer grundsätzlichen Meinungsver- Zusätzliche Funktionen wie LDAP-Au- mance und überragende Stabilität – En- schiedenheit im FreeNAS-Projekt. Nach- thentifizierung, LVM2 oder ZFS sind terprise eben. Die Liste der unterstützten

70 Dezember 2018 www.it-administrator.de Freie SAN-Software Schwerpunkt

HBAs, RAID-Controller und Netzwerk- karten wächst mit jedem Release und kann sich bereits jetzt sehen lassen. Als einziges der hier betrachteten Produkte unterstützt ESOS im Cluster-Betrieb ALUA (Asymmetric Logical Unit Ac- cess) für FC und iSCSI, ohne dass eine zusätzliche Lizenz erworben werden muss. Und natürlich ist die frei verfüg- bare ESOS-Distribution im Funktions- umfang oder in der Storage-Kapazität nicht eingeschränkt.

Wie beim kommerziellen NexentaStor scheint das Wörtchen "Enterprise" auch bei ESOS synonymisch für "kein GUI" zu stehen. Stattdessen entschieden sich die Entwickler für ein "TUI" – ein Text User Interface, nicht unähnlich dem Norton Commander. Das TUI kann sowohl an der lokalen Konsole als auch über SSH erreicht werden.

Vom TUI aus kann der Administrator auch in die BASH-Shell der Appliance Bild 5: Die OMV-GUI wirkt aufgeräumt, was an den wenigen Features liegt. gelangen und so die Maschine als Root frei verwalten. Da jedoch nicht jeder Storage-Administrator ein Linux-Spe- zialist ist, bietet die Firma Parodyne [8], die den kommerziellen ESOS-Support leistet, mit "ESOS Commander" ein gra- fisches User Interface zur Verwaltung aller Features an. Und der "ESOS RPC Agent" von der gleichen Firma ermög- licht eine programmatische Verwaltung Ihrer ESOS-Instanzen und -Cluster.

Storage-Appliance im Eigenbau Die Wahl des Betriebssystems ist getroffen. Wie dimensionieren Sie nun die Hardware für die neue Storage-Appliance, um ein Optimum an Performance herauszuholen? Alle Hersteller geben dazu Empfehlungen ab. Manche pflegen sogar zertifizierte Hard- Bild 6: Zweckmäßigkeit wurde bei ESOS zum obersten Prinzip erhoben. warekonfigurationen, an denen Sie sich orientieren können. Dennoch gibt es einige den Volumes. Experten und Entwickler tigten Funktionen und die Appliance Grundsätze, die Sie unabhängig von der aus der ZFS-Szene haben zwar schon hat die volle Kontrolle über die Festplat- konkreten Hardware beherzigen sollten: öfter den Zusammenhang zwischen ten. Insbesondere bei ZFS ist der Einsatz - Eine 64-Bit-CPU mit mindestens vier ZFS-Performance und RAM verneint, einfacher HBAs zur direkten Anbindung Kernen ist Pflicht. Verschlüsselung, die Praxis zeigt jedoch, dass die Formel von Festplatten vorteilhaft gegenüber RAID-Paritätsberechnung, Virenscans "2 GByte RAM pro TB ZFS" noch sehr Hardware-RAID. Soll dennoch ein und Plug-ins können den Bedarf an konservativ ist. RAID-Controller zum Einsatz kommen, CPU-Zyklen in die Höhe treiben. - Wägen Sie den Einsatz von RAID-Con- so müssen Sie sicherstellen, dass Sie ihn - Die Storage-Appliance sollte über min- trollern gut ab. Bei ausreichend CPU über die Funktionen Ihres Storage-Be- destens 8 GByte RAM verfügen. Beson- und RAM bietet das Software-RAID Ih- triebssystems vollständig konfigurieren ders wichtig ist RAM bei ZFS-basieren- res Storage-Betriebssystems alle benö- und verwalten können. Nicht alle ver-

www.it-administrator.de Dezember 2018 71 Schwerpunkt Freie SAN-Software

Storage-Produkte im Vergleich

openFiler FreeNAS NexentaStor open-e OMV ESOS

Open Source ja ja nein nein ja ja OS rPath Linux FreeBSD SunOS Custom Linux Debian Linux Custom Linux CPU x86,x64 x64 x64 x64 x64,ARM x64 Erstes Release 2004 2005 2008 2003 2011 2012 Aktuelles 2011 2018 2018 2018 2018 2018 Release Aktuelle Version 2.99.1 11.1-U6 5.1.2 7.00U65 4.1.3 1.3.9 Kapa frei unbegrenzt unbegrenzt 10 GByte 4 GByte unbegrenzt unbegrenzt Kapa max unbegrenzt unbegrenzt 10 GByte 36 GByte unbegrenzt unbegrenzt Basis-FS Ext4, XFS ZFS ZFS Ext4, XFS Ext4, XFS Ext4, XFS NFS ja ja ja ja ja nein FTP ja ja ja ja ja nein SMB ja ja ja ja ja nein iSCSI ja ja ja ja nein* ja Fibre Channel nein** ja***** ja nein** nein ja HA/Cluster ja**** nein nein** nein** nein ja Replikation ja**** ja nein** nein** nein ja REST API nein ja ja nein nein nein*** GUI ja ja ja, mit Fusion ja ja nein*** * Laut einer Fußnote in der Dokumentation ist das Feature als Plug-In möglich, dieses war jedoch zum Zeitpunkt der Erhebung für die aktuelle Version nicht auffindbar. ** In kommerzieller Edition verfügbar. *** Die API/GUI wird durch ein separates Produkt bereitgestellt, das nicht Bestandteil der kostenfreien Edition und auch selbst nicht kostenfrei erhältlich ist. **** Die Einrichtung ist sehr komplex und unter Umständen nur teilweise supported. ***** Als Initiator mit QLogic-HBAs sofort einsatzfähig. Die Einrichtung als Target (ebenfalls nur mit QLogic-HBAs) ist komplex und benötigt einen Neustart. FC-Targets können nicht vollumfänglich über die GUI verwaltet werden.

wendeten RAID-Controllertreiber bieten sollten Sie sich kommerzielle Produkte Link-Codes diese Möglichkeit. wie open-e DSS, NexentaStor oder die [1] openFiler - Bei iSCSI sollten Sie das Storage-Multi- Parodyne-Version von ESOS inklusive der ibz71 pathing dem Netzwerk-Bonding vorzie- Management-Aufsätze anschauen. [2] FreeNAS hen. Falls filebasierte Zugriffsprotokolle bap22 wie NFS oder SMB verwendet werden, Suchen Sie hingegen eine "eierlegende ist Bonding Ihre einzige Option. Testen Wollmilchsau" für einen kleinen Standort, [3] NexentaStor Sie das Bonding unbedingt, bevor Sie wo die Anforderungen nicht definiert ibz73 die Appliance in Produktion übergeben. sind und sich jeden Tag ändern könnten, [4] open-e ist FreeNAS mit seiner Vielfalt an Features ibz74 Fazit und optionalem Support vermutlich am [5] openMediaVault Es gibt nicht "die" kostenfreie Storage- besten geeignet. Linux-Puristen werden c6w23 Distribution auf dem Markt. Wie bei jeder mit ESOS glücklich werden, sofern sie [6] ESOS Projekt neuen Technologie, die Sie in Ihrem Un- keinen filebasierten Zugriff benötigen. Es ibz76 ternehmen einführen wollen, müssen Sie fällt zunehmend schwerer, einen triftigen [7] Generic SCSI Target Ihr technisches und organisatorisches Grund für den Einsatz des nicht mehr Subsystem for Linux Umfeld analysieren, um die richtige Ent- weiterentwickelten openFiler zu finden, ibz77 scheidung zu treffen. Falls für Sie von und openMediaVault mit seinem Ein- [8] Parodyne – Grafische Tools für ESOS vornherein feststeht, dass Sie den pro- Mann-Team und ohne kommerziellen ibz78 duktiven Betrieb der neuen Lösung durch Support wird sich erst noch auf dem einen Supportvertrag absichern werden, Markt behaupten müssen. (dr)

72 Dezember 2018 Link-Codes eingeben auf www.it-administrator.de Praxis-Know-how zum Vorbestellen: Das IT-Administrator Sonderheft I/2019

Erfahren Sie auf 180 Seiten alles rund um das Thema: Virtualisierung Infrastrukturen mit vSphere, Hyper-V und Open Source planen und umsetzen

Bestellen Sie jetzt zum Abonnenten- Vorzugspreis* von nur 24,90 Euro! Erhältlich ab März 2019 Abo- und Leserservice IT-Administrator vertriebsunion meynen Tel: 06123/9238-251 * IT-Administrator Abonnenten erhalten das Sonderheft I/2019 für € 24,90. Nichtabonnenten zahlen € 29,90. IT-Administrator All-Inclusive Abonnenten "zahlen" für Sonderhefte nur € 16,00 - diese sind im Abonnement Herr Stephan Orgel Fax: 06123/9238-252 dann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer. D-65341 Eltville [email protected] shop.heinemann-verlag.de Quelle: highwaystarz – 123RF highwaystarz Quelle:

Samba-Troubleshooting (1) Richtige Schrittfolge von Stefan Kania

Samba ist seit vielen Jahren das Bindeglied in heterogenen Netzen mit Windows und Unix. Doch die komplexe Software bringt bei Installation und Betrieb einige Tücken mit, deren Umschiffung wir in unserem zweiteiligen Workshop beschreiben. Im ersten Teil gehen wir auf Fehlersuche bei Domaincontrollern. I n unserer Workshopserie zeigen nen. Vielleicht haben Sie etwas falsch ver- bis sie sich von ganz alleine beheben. wir, wie Sie mithilfe der Fehler- standen oder Sie haben etwas vergessen. Das sind die Fehler, die einfach mit einer meldungen von Samba-Servern bei der Oft sind das Stolpersteine, die deshalb Tasse Kaffee behoben werden können. Installation oder im Betrieb schnell eine schwer zu finden sind, weil Sie sich sagen: Auch diese werden wir versuchen mit- Lösung für die Probleme finden. Wir wer- Ich hab doch alles richtig gemacht. Dann hilfe von Fehlermeldungen zu erklären. den im ersten Teil auf die Fehler bei Do- lesen Sie die Fehlermeldung und fangen maincontrollern eingehen. Als Umgebung an zu suchen. Für diese Schwierigkeiten Die dritte Art von Schwierigkeiten treten verwenden wir ein Debian-System mit wollen wir hier Hilfen anbieten. im laufenden Betrieb auf. Sie kommen Samba 4.8.3 und dem Bind9 als Name- oft dadurch zu Stande, dass entweder server. Im zweiten Abschnitt geht es dann Dann gibt es die Probleme, die manch- Hardware defekt ist oder jemand eine IP- um die Fehler, die bei der Einrichtung ei- mal direkt nach der Installation und dem Adresse vergeben hat, die schon reserviert nes Fileservers auftreten können. ersten Start auftauchen und nicht auf war. Schwer zu finden sind auch Net- Grund von falschen Konfigurationen BIOS-Fehler, die dadurch entstehen, dass Es gibt sehr viele Probleme, die bei der In- entstanden sind. Manche dieser Fehler private Windows-Systeme ins Netz ge- stallation und Konfiguration von Samba brauchen oft nur etwas Zeit, wie zum hängt werden und plötzlich ein Adress- an unterschiedlichen Stellen auftreten kön- Beispiel die Replikation der Datenbank, konflikt bei den NetBIOS-Namen auftritt. Auch da werden wir versuchen so viel wie Listing 1: Datei "smb.conf" schon vorhanden möglich abzudecken.

ERROR(): Provision failed - ProvisioningError: Der erste Domaincontroller guess_names: 'realm =' was not specified in supplied /etc/samba/smb.conf. Please remove the Nachdem Sie den Rechner für den ersten smb.conf file and let provision generate it Domaincontroller installiert haben, kann

74 Dezember 2018 www.it-administrator.de Samba-Troubleshooting Schwerpunkt

es mit dem Provisioning losgehen. Direkt wahrscheinlich, dass Sie vergessen ha- chend Zeit, damit Ihnen diese Dinge beim Starten des Vorgangs gibt es einen ben, in der Datei "/etc/hosts" den Eintrag nicht passieren. Fehler: Der Realm wird nicht mit einer auf die IP-Adresse 127.0.1.1 zu entfer- Voreinstellung angezeigt. An dieser Stelle nen. Sobald Sie den Eintrag entfernen, Auch der zweite Domaincontroller soll mit sollten Sie das Provisioning auf jeden wird die Abfrage des Kerberos-Servers Bind9 als DNS-Server eingerichtet werden. Fall abbrechen, denn die Werte für den schneller beantwortet. Nachdem Sie alle benötigten Pakete in- Realm und die Domäne sollten schon stalliert und die Grundkonfiguration als Voreinstellung erscheinen. Diese Ein- Wenn Sie beim Testen des LDAP-Servers durchgeführt haben, können Sie den Join stellungen werden aus dem Hostnamen das Protokoll ldaps anstelle von ldap ver- starten. Wenn es dabei zu der Fehlermel- des Systems ermittelt. Testen Sie anwenden, erhalten Sie unter Umständen dung aus Listing 4 kommt, haben Sie einen schließend den Hostnamen und kontrol- die Fehlermeldung aus Listing 3. falschen DNS-Server eingetragen. Denken lieren Sie die Dateien "/etc/hosts" und Sie auch daran, dass beim Join die IP- "/etc/hostname". Erst wenn das Kom- Auch eine Anmeldung ohne Kerberos, Adresse eines aktiven Domaincontrollers mando hostname -f den FQDN Ihres aber mit "-U Administrator" führt zur sel- eingetragen sein muss. Systems anzeigt, können Sie einen neuen ben Fehlermeldung. Das ist kein Fehler, Versuch des Provisionings starten. sondern so gewollt. Seit dem Badlog-Bug Nachdem Sie den richtigen DNS-Server ist die Verwendung von ldaps gesperrt. eingetragen haben, starten Sie den Join Nachdem Sie alle Informationen inklu- Eine verschlüsselte Anfrage an den noch einmal. Jetzt starten Sie Bind9 und sive des Passworts für den Administra- LDAP-Server können Sie nur noch mit stellen vielleicht fest, dass die Active- tor eingegeben haben, kann eine Py- ldap zusammen mit Kerberos durchfüh- Directory-Zonen nicht als "writeable" thon-Fehlermeldung wie in Listing 1 ren. Der Grund dafür ist, dass bei der im Log erscheinen. Das wird daran lie- auftreten. Bei der Installation der Sam- Verwendung von ldaps selbstsignierte gen, dass Sie die Rechte auf den Ver- ba-Pakete wurde bereits die Datei "/etc/ Zertifikate verwendet werden, über die zeichnissen nicht geprüft haben. Im Ge- samba/smb.conf" installiert. Diese Datei ein 'Man in the middle'-Angriff möglich gensatz zum ersten Domaincontroller müssen Sie aus dem Grund unbedingt ist. Deshalb wurde diese Möglichkeit de- werden bei den weiteren Domaincon- löschen, da sie beim Provisioning au- aktiviert. Wollen Sie trotzdem ldaps als trollern die Rechte nicht richtig gesetzt. tomatisch erstellt wird. Protokoll für die Verbindung zum LDAP- Prüfen Sie alle Rechte und starten Sie Server verwenden, müssen Sie in "smb. dann Bind9 neu. Nachdem das Provisioning erfolgreich conf" die Zeile "ldap server require strong durchgelaufen ist, stellen Sie nach einem auth = no" in "yes" ändern. Haben Sie den zweiten Domaincontroller Neustart fest, dass die Namensauflösung komplett installiert und konfiguriert, star- nicht funktioniert. Wenn Sie den Namen Ein weiteres potenzielles Problem ist, des Domaincontrollers abfragen, er- wenn sich nach erfolgreichem Einrichten Listing 2: Namensauflösung scheint lediglich die Meldung aus Listing des ersten Domaincontrollers die Benut- funktioniert nicht

2. Dieser Fehler kann verschiedene Ur- zer zwar am Windows-Client anmelden root@addc-01:~# host addc-01 sachen haben: können, aber die Zeit der Clients nicht Host addc-01 not found: 3(NXDOMAIN) 1. Die IP-Adresse des Domaincontrollers gesetzt wird, obwohl Sie den Zeitserver root@addc-01:~# host addc-01.example.net ist nicht als Nameserver eingetragen. eingerichtet haben und er läuft. Das deu- Host addc-01.example.net not found: 3(NXDO- 2. Das System hat mehrere IP-Adressen tet darauf hin, dass der NTP nicht auf MAIN) und die falsche ist in die Konfiguration den Socket im Verzeichnis "/var/lib/ eingetragen. samba/ntp_signd" zugreifen kann. Prü- 3. Die Rechte an den Samba-Datenban- fen Sie, ob die Gruppe "ntp" das Read- Listing 3: ken stimmen nicht und der Bind9- und Execute-Recht für den Ordner be- Fehler mit ldaps-Protokoll

Namserver kann so nicht auf die Da- sitzt, denn nur dann kann der NTP auf root@addc-01:~# ldbsearch -H ldaps://addc-01 tenbanken zugreifen. den Socket zugreifen. Setzen Sie "ntp" "cn=administrator" -k yes als besitzende Gruppe und starten Sie TLS failed to missing crlfile - with 'tls Warten bei der Ticketvergabe den Dienst neu. verify peer = as_strict_as_possible' Beim Testen von Kerberos stellen Sie Failed to connect to ldap URL 'ldaps://addc- vielleicht fest, dass die Vergabe des Der zweite Domaincontroller 01' - LDAP client internal error: NT_STA- Tickets sehr lange dauert. Die Abfrage Nachdem der erste Domaincontroller TUS_INVALID_PARAMETER_MIX des Passworts erscheint direkt nach Drü- läuft, zeigen wir nun, was alles passieren Failed to connect to 'ldaps://addc-01' with cken der Eingabetaste. Die Namensauf- kann, wenn Sie während der Installati- backend 'ldaps': LDAP client internal er- lösung des SRV-Records des Kerberos- on und Konfiguration des zweiten Do- ror: NT_STATUS_INVALID_PARAMETER_MIX Failed to connect to ldaps://addc-01 - LDAP Servers funktioniert und die Datei "/etc/ maincontrollers Schritte überspringen, client internal error: krb5.conf" ist auch vorhanden und hat vergessen oder nicht korrekt ausführen. NT_STATUS_INVALID_PARAMETER_MIX den richtigen Inhalt. Dann ist es sehr Auch hier gilt: Nehmen Sie sich ausrei-

Alle Listings zum Download auf www.it-administrator.de Dezember 2018 75 Schwerpunkt Samba-Troubleshooting

controller auftauchen, wiederholen Sie Listing 4: Falscher DNS-Server am besten die gesamte Installation des

root@addc-02:~# samba-tool domain join example.net DC --realm=example.net --dns-backend=BIND9_DLZ entsprechenden Domaincontrollers, -Uadministrator denn dann sind die Probleme so schwer- Finding a writeable DC for domain 'example.net' wiegend, dass Sie sie nicht von Hand ERROR(): uncaught exception - global name 'NTSTATUSError' is not de- beheben können. Prüfen Sie dann auf fined jeden Fall erneut alle Schritte.

Listing 5: DNS-Einträge hinzufügen Mit dem zweiten Kommando testen Sie, ob ein CNAME-Record für jeden object- root@addc-01:/etc/bind# ldbsearch -H /var/lib/samba/private/sam.ldb '(invocationid=*)' --cross-ncs GUID vorhanden ist. Wie Sie sehen, fehlt objectguid der Eintrag für den zweiten Domaincon- # record 1 dn: CN=NTDS Settings,CN=ADDC-01,CN=Servers,CN=Default-First-Site- troller auf dem ersten Domaincontroller. Name,CN=Sites,CN=Configuration,DC=example,DC=net Mit dem dritten Kommando können Sie objectGUID: 6df82c43-00d8-45ea-9907-1bc2f49f7cc3 den Eintrag erstellen. Nach einem Neu- start (am besten beider Domaincontrol- # record 2 ler) ist das Problem behoben und alle dn: CN=NTDS Settings,CN=ADDC-02,CN=Servers,CN=Default-First-Site- Name,CN=Sites,CN=Configuration,DC=example,DC=net SRV-Records können auf allen Domain- objectGUID: f93525aa-7b23-4c78-b6eb-51ed34f6dc7c controllern aufgelöst werden.

root@addc-01:/etc/bind# host -t CNAME f93525aa-7b23-4c78-b6eb-51ed34f6dc7c._msdcs.example.net Konfigurationsfehler Host f93525aa-7b23-4c78-b6eb-51ed34f6dc7c._msdcs.example.net not found: 3(NXDOMAIN) bei der Replikation Auch bei der Einrichtung der Replikation root@addc-01:/etc/bind# samba-tool dns add addc-01 _msdcs.example.net f93525aa-7b23-4c78-b6eb- 51ed34f6dc7c CNAME ADDC-02.example.net der SYSVOL-Freigabe kommt es gelegent- lich zu Konfigurationsfehlern. Nachdem Sie auf dem Domaincontroller, der die Listing 6: Verbindungstest FSMO-Rollen hält, den xinetd und den rsync-Server eingerichtet haben, testen root@addc-02:~# rsync --dry-run -XAavz --delete-after --password-file=/etc/samba/rsync.pass Sie die Verbindung zwischen den beiden rsync://sysvol-repl@addc-01/sysvol/ /var/lib/samba/sysvol/ Domaincontrollern. Sie starten auf dem zweiten Domaincontroller das rsync- rsync: safe_read failed to read 1 bytes [Receiver]: Connection reset by peer (104) rsync error: error in rsync protocol data stream Kommando und erhalten dabei die Feh- (code 12) at io.c(285) [Receiver=3.1.2] lermeldung aus Listing 6.

Wenn Sie gleichzeitig das Log des ersten Listing 7: Nicht lesbare Passwortdatei Domaincontrollers geöffnet haben und dort keine Fehlermeldung sehen, kom- root@addc-02:~# rsync --dry-run -XAavz --delete-after --password-file=/etc/samba/rsync.pass men erst gar keine Daten bei dem Dienst rsync://sysvol-repl@addc-01/sysvol/ /var/lib/samba/sysvol/ an. Die Verbindung wird schon vorher

ERROR: password file must not be other-accessible abgebrochen. Wenn keine Firewall läuft, rsync error: syntax or usage error (code 1) at authenticate.c(196) [Receiver=3.1.2] die die Verbindung verbieten könnte, prüfen Sie, ob Sie bei der Konfiguration des xinetd die korrekte IP-Adresse ein- ten Sie den Server neu. Nach dem Neu- tische Eintragen der Clients in den DNS getragen haben. Denn wenn der xinetd start prüfen Sie, ob alle SRV-Records vor- nicht fehlerfrei. die Verbindung schon unterdrückt, kann handen sind. Dabei stellen Sie fest, dass der Rsync-Server auch keine Fehlermel- auf dem ersten Domaincontroller die Sollte das Paket installiert sein, die Na- dung ausgeben. SRV-Records des zweiten Domaincon- mensauflösung auf beiden Domaincon- trollers fehlen. Das Erste, was Sie jetzt trollern funktionieren und nur die SRV- Ein weiterer möglicher Fehler ist, dass machen sollten, ist eine Zeit lang zu war- Records fehlen, können Sie mit den die Berechtigungen für die Datei, in der ten und dann erneut zu prüfen, ob die Schritten aus Listing 5 die Einträge auf sich das Passwort für die Replikation Einträge vorhanden sind. Ist das nicht der dem Domaincontroller erstellen, auf auf dem zweiten Domaincontroller be- Fall, sehen Sie nach, ob auf beiden Do- dem sie fehlen. Mit dem ersten Kom- findet, nicht stimmen. Die Rechte müs- maincontrollern das Paket "dnsutils" in- mando suchen Sie nach den object- sen auf 600 gesetzt sein. Da ist die Feh- stalliert ist, das unbedingt nötig ist. Ohne GUIDs aller Domaincontroller. Sollte lermeldung dann aber auch eindeutig, das Paket funktioniert auch das automa- an dieser Stelle nur einer der Domain- wie Listing 7 zeigt.

76 Dezember 2018 www.it-administrator.de Intensiv-Seminar Listing 8: Fehler beim Rsync-Server

root@addc-02:~# rsync --dry-run -XAavz --delete-after --password- PowerShell file=/etc/samba/rsync.pass rsync://sysvol-repl@addc-01/sysvol/ /var/lib/samba/sysvol/ für Admins auth failed on module sysvol rsync error: error starting client-server protocol (code 5) at main.c(1666) [Receiver=3.1.2]

Sep 06 20:19:38 addc-01 rsyncd[2460]: name lookup failed for 192.168.56.67: Name or service not known Sep 06 20:19:38 addc-01 rsyncd[2460]: connect from UNKNOWN (192.168.56.67) Sep 06 20:19:38 addc-01 rsyncd[2460]: secrets file must not be other-accessible (see strict modes option) Sep 06 20:19:38 addc-01 rsyncd[2460]: auth failed on module sysvol from UNKNOWN (192.168.56.67) for sysvol-repl: ignoring secrets file

Listing 9: Meldungen auf dem Rsync-Server

Sep 06 20:30:50 addc-01 rsyncd[2540]: connect from addc-02.example.net

(192.168.56.67) goodluz – 123RF.com Quelle: Sep 06 20:30:50 addc-01 rsyncd[2540]: rsync on sysvol/ from sysvol- [email protected] (192.168.56.67) Sep 06 20:30:50 addc-01 rsyncd[2540]: building file list Sep 06 20:30:50 addc-01 rsyncd[2540]: sent 1384 bytes received 69 bytes total size 40 Der nächste Fehler ist ein klares Indiz für ein Problem auf der 6. bis 8. Februar 2019 Rsync-Server-Seite. In Listing 8 sehen Sie die Fehlermeldung auf dem Rsync-Client und einen Auszug aus dem Logfile des Rsync-Servers. Hamburg

In den Meldungen auf dem Server sehen Sie den eigentlichen Anmeldung unter: Fehler für die fehlgeschlagene Replikation. Auch hier sind die Rechte der Passwortdatei nicht auf 600 gesetzt. Die ersten bei- www.it-administrator.de/ den Zeilen zeigen einen Fehler, der nicht unmittelbar mit der trainings Replikation zu tun hat, den Sie aber auf jeden Fall noch beheben sollten, wenn Sie ihm begegnen: Die Reverse-Namens- auflösung für den Domaincontroller funktioniert nicht. Sie Unser Angebot: Seminarpreise: sollten auf jeden Fall die Reverse-Namensauflösung für beide - Maximal 12 Teilnehmer Sonderpreis für Domaincontroller einrichten. Wenn Sie jetzt die Replikation je Seminar Abonnenten des IT-Administrator: erneut testen, sehen Sie auf dem Rsync-Client die Einträge, - Einen Rechner für jeden die repliziert werden, und auf dem Rsync-Server die Meldun- Teilnehmer 1.190 Euro (inkl. 19% MwSt.) gen aus Listing 9 im Logfile. - 3-tägiges Intensivseminar, das am ersten Tag um 10 Uhr für Nicht-Abonnenten: beginnt und am 3. Tag Fazit 1.370 Euro (inkl. 19% MwSt.) Das sind die Fehler, die während der Installation und Konfi- gegen 16 Uhr endet. guration der Domaincontroller am häufigsten auftreten. Meine Erfahrung der letzten Jahre zeigt aber, dass in 80 Prozent aller Ihr Dozent: Agenda: Fälle das DNS die größte Fehlerquelle ist. Wenn Sie also eine Domäne neu aufsetzen, mehrere Domaincontroller einrichten · Einführung und Basiswissen Architektur der PowerShell und Versionsunterschiede / Cmdlets, und auf Probleme stoßen, prüfen Sie als Erstes alles, was mit Cmdlet-Parameter und Hilfefunktionen / Objekt-Pipeline und der Namensauflösung zu tun hat. Ausgabefunktionen / Navigationsmodell (PowerShell-Provider) · Scripting Dazu gehören nicht nur die DNS-Server, sondern auch die Dateien PowerShell Language (PSL): Variablen und Kontrollstrukturen / Objektorientiertes Programmieren mit Klassen (ab PowerShell "/etc/hosts" und "/etc/hostname". Mehr Hinweise zur Fehlersuche 5.0) / Sicherheitsfunktionen (Execution Policy) / Vordefinierte im laufenden Betrieb eines Samba-Servers finden Sie im zweiten Variablen, Fehlerbehandlung und Fehlersuche / Scripting mit Teil dieses Workshops in der kommenden Ausgabe. (of) PowerShell Integrated Scripting Environment (ISE) · Aufbauwissen Fernaufruf/Fernadministration mit WS-Management (Remoting) / Serververwaltung Active Directory und Automatisierung www.it-administrator.de Franz-Georg Clodt von Azure Storage-Management mit Stratis Schicht für Schicht belchonock – 123RF Quelle: von Oliver Frommel

Auch wenn Linux über einige leistungsfähige Dateisysteme verfügt, ist das letzte Wort in dieser Hinsicht noch nicht gesprochen. Red Hat will das Sto- rage Management mit einem Pro- jekt namens Stratis revolutionieren, das auf bewährte Technologie setzt, sich nach außen hin aber modern gibt.

E in geflügeltes Wort im Land der trum abdeckt, zum Beispiel auch das Vo- steht, aber zumindest nominell hat es be- Copacabana lautet: Brasilien ist lume-Management, das bisher in Linux reits die Version 1.0 erreicht, die im jüngst das Land der Zukunft – und wird es im- von LVM übernommen wird. Deshalb erschienenen Fedora 29 enthalten ist. Dies mer bleiben. Ganz ähnlich verhält es sich wird es von den Erfindern "Volume Ma- bedeutet insbesondere, dass das auf den anscheinend mit dem Linux-Dateisystem naging Filesystem" (VMF) genannt. Die Disks verwendete Metadatenformat nun- Btrfs, das seit mehr als zehn Jahren als grundlegende Idee hinter Stratis ist, be- mehr als stabil gilt. das kommende Dateisystem gehandelt reits vorhandene Technologien zu ver- wird. Keine Zukunft hat es allerdings bei wenden, um die gewünschte Funktiona- Alle gewünschten Features sind allerdings Red Hat, das mittlerweile den Support lität bereitzustellen, statt ein entsprechend damit noch nicht implementiert. So sieht dafür auf allen Betriebssystemen einge- modernes Dateisystem von Grund auf die Roadmap für Stratis 2.0 den Einbau stellt hat. Stattdessen setzt Red Hat seit neu zu entwickeln (Bild 1). der RAID-Level 1, 5, 6 und 10 und einige Version 7 voll auf das XFS-Dateisystem. andere Fähigkeiten vor. In Version 2.0 ZFS dient als Vorbild sollen die von ZFS bekannten Send- und Fehlende Features wie Deduplikation hat ZFS, das aufgrund der Inkompatibilität Receive-Funktionen sowie Verschlüsse- sich Red Hat mit der Firma Permabit im von Lizenzen (siehe Kasten "Umstritte- lung und Komprimierung folgen. Weitere Sommer 2017 eingekauft. Wie die meisten nes ZFS") für Red Hat als Option nicht Features sind für Stratis 4.0 vorgesehen Zusatzfunktionen für Storage klinkt sich in Frage kommt, dient als Vorbild für – alles in allem auf jeden Fall eine ambi- der von Permabit stammende Virtual Da- die einfache Bedienbarkeit. Wer die viele tionierte Roadmap. ta Optimizer (VDO) in den Device Map- Schritte umfassende Konfiguration von per ein und speichert mehrfach vorhan- LVM-Vol-umes kennt, wird neidisch auf Programmiert in Rust dene Daten nur einmal physisch. Weitere ZFS blicken, das ein einfach zu verwen- Zum Redaktionsschluss war Fedora 29 Features moderner Dateisysteme wie ZFS dendes, intuitives Commandline-Inter- noch nicht veröffentlicht und es gab auch und Btrfs sollen künftig mit einem Projekt face bietet. Andere Dinge, etwa die Kon- noch keine fertigen Stratis-Pakete, wes- namens Stratis realisiert werden, das figuration von Redundanzoptionen, halb wir den Quellcode auf dem Release- ebenfalls den Device Mapper als Schnitt- haben sich die Stratis-Entwickler bei Kandidaten von Fedora übersetzt und in- stelle verwendet. Btrfs abgeschaut, das diesen Aspekt ein- stalliert haben. Da der Stratis-Daemon facher abbildet als ZFS. in der Programmiersprache Rust ge- Wie die beiden erwähnten Dateisysteme schrieben ist, muss der entsprechende soll Stratis ein Dateisystem werden, das Auch Stratis wird sicher noch einige Jahre Compiler installiert sein, der als Binär- im Gegensatz zu Filesystemen wie Ext4 entwickelt werden, bis es als vollständige paket zur Verfügung steht. Das Stratis- oder XFS ein breiteres Anwendungsspek- und zuverlässige Option zur Verfügung Commandline-Tool ist in Python pro-

78 Dezember 2018 www.it-administrator.de Intensiv-Seminar grammiert. So brauchen wir außerdem auch einige Python- Pakete, die sich mit dem Paketmanager installieren lassen: Aufbau einer # dnf install rust cargo make git dbus-devel libudev-de- PKI vel tox dbus-glib-devel python3-dbus pylint unter Windows pytest python3-into-dbus-python python3-justbytes

Nun können Sie den Quellcode der beiden Stratis-Komponen- ten herunterladen, übersetzen und installieren:

$ git clone https://github.com/ stratis-storage/stratis-cli $ git clone https://github.com/ stratis-storage/stratisd $ cd stratisd $ cargo build $ cargo install $ cp .cargo/bin/stratisd /usr/sbin/

$ cd ../stratis-cli goodluz – 123RF.com Quelle: $ python3 setup.py install

Um die D-Bus-Schnittstelle zu verwenden, benötigen die Stra- tis-Komponenten noch eine Konfigurationsdatei, die dem

Umstrittenes ZFS ZFS wurde bei der Firma Sun von einem Entwicklerteam um Jeff Bon- 8. bis 10. Mai 2019 wick entwickelt und als das "letzte Wort in Sachen Dateisysteme" bezeichnet. Ein Grund dafür ist die Verwendung von 128-Bit-Pointern, die Hamburg eine Speicherkapazität von 2128 Bytes ( 256 Trillionen Yobibytes) mit sich bringt. Darüber hinaus vereint ZFS klassische Dateisystemfunktio- nen mit Volume Management, RAID und anderen Features. Im Zuge der Anmeldung unter: Freigabe von OpenSolaris im Jahr 2005 wurde auch ZFS unter der CDDL (Common Development and Distribution License) veröffentlicht. www.it-administrator.de/ Anschließend wurde ZFS auf verschiedene freie Unix-Betriebssysteme trainings portiert, etwa FreeBSD und schließlich auch Linux. Heute ist das OpenZFS-Projekt das gemeinsame Dach für alle frei verfügbaren ZFS- Implementierungen. Unser Angebot: Seminarpreise: Nach Meinung der Entwickler ist ZFS on Linux seit Version 0.6.1 reif für - Maximal 10 Teilnehmer Sonderpreis für den produktiven Einsatz. Weil die Lizenzen des Linux-Kernels und des je Seminar Abonnenten des IT-Administrator: von Sun freigegebenen ZFS nicht kompatibel sind, kann der ZFS-Code - Einen Rechner für jeden aber nicht direkt in den Kernel-Quellcodebaum integriert werden. Teilnehmer 1.590 Euro (inkl. 19% MwSt.) Seit Version 16.04 bietet Ubuntu aber ein ZFS-Modul in seinem Soft- - 3-tägiges Intensivseminar, das ware-Repository an. Die Inkompatibilität zwischen der GPL-Lizenz des am ersten Tag um 10 Uhr für Nicht-Abonnenten: Linux-Kernels und der CDDL-Lizenz des ZFS-Codes glauben die Ubuntu- beginnt und am 3. Tag 1.770 Euro (inkl. 19% MwSt.) Entwickler nach der Konsultation ihrer Anwälte ignorieren zu können, gegen 16 Uhr endet. da nur das ZFS-Binärmodul ausgeliefert wird. Nach Meinung der Software Freedom Conservancy verstößt die Ubuntu- Ihr Dozent: Agenda: Praxis gegen die GPL-Lizenz. Es spiele dabei keine Rolle, ob der ZFS- Code statisch in den Kernel gelinkt oder, wie bei Ubuntu, ein dynami- - Grundsätzliche PKI-Alternativen & -Voraussetzungen sches Modul ausgeliefert wird. In jedem Fall entstehe dadurch ein - Richtlinien und PKI (Zertifikatrichtlinie, Sicherheitsrichtlinie, sogenanntes abgeleitetes Werk, für das die Lizenzbedingungen der Zertifikatsverwendungserklärung) GNU-Lizenz greifen. - Entwurf einer Zertifizierungsstellenhierarchie - Organisation der ausstellenden Zertifizierungsstellen Neben Ubuntu bietet auch Debian im Unstable-Zweig das ZFS-Dateisys- - Auswahl einer Architektur tem an. Im Gegensatz zu Ubuntu liefert Debian keine Binärmodule aus, - Identifikation PKI-fähiger Anwendungen sondern bietet den Quellcode von ZFS über das Contrib-Repository an. - Bestimmung von Anforderungen (Sicherheit, Technik, Dies soll ein Weg sein, um die Lizenzproblematik zu umgehen. Betrieb, Externe, Active Directory) - Grundlagen PKI - PKI-fähige Anwendungen (Code-Signing, Bereitstellung von Smartcards, sichere E-Mail et cetera) - Wifi mit 802.1x Authentifizierung www.it-administrator.de Michael Buth - Windows Enterprise Zertifikatsdienste nutzen Schwerpunkt Stratis

/dev/stratis/defpool/fs1 defpool snap1 546 MiB Oct 01 2018 13:07 /dev/stratis/defpool/snap1

Wenn Sie jetzt Änderungen in dem ge- mounteten Dateisystem "fs1" vornehmen und anschließend den Snapshot mounten, sehen Sie den Unterschied: Die Änderun- gen sind nur im aktuellen Dateisystem vorhanden und fehlen in dem vorher angelegten Snapshot.

Irreführend ist die Ausgabe des Tools "df", das normalerweise den freien Speicher- platz anzeigt, weil es nicht mit dem Thin Bild 1: Stratis setzt auf vorhandene Technologien der Linux-Ökosphäre. Provisioning zurechtkommt, das Stratis verwendet. Auch dürfen Sie ein von Stra- tis verwaltetes XFS nicht mit anderen Quellcode von stratisd beiliegt. Sie ko- den Befehl löschen, sollte es damit keine XFS-Tools bearbeiten, da es sonst zu Kon- pieren sie in die D-Bus-Konfiguration Probleme mehr geben: flikten kommt. und starten den dbus-Daemon neu: # dd if=/dev/zero of=/dev/vdb bs=512 Fazit $ sudo cp stratisd.conf /etc/ count=16 Nachdem sich Red Hat von Btrfs verab- dbus-1/system.d schiedet hat, ist ein zukunftsfähiges und $ sudo systemctl restart dbus Mit stratis pool list zeigen Sie die verfüg- leistungsfähiges Dateisystem gefragt. baren Pools an. Auf dem Pool erzeugen Grundsätzlich besitzen die existierenden Nun starten Sie den Stratis-Daemon, der Sie mit dem Unterbefehl stratis fs ein neu- Filesysteme wie Ext4 oder XFS, auf das seine Arbeit anschließend im Hinter- es Dateisystem, das Sie anschließend Red Hat setzt, eine gute Performance und grund erledigt. Mit dem Schalter "-d" mounten können: eine große Kapazität. Allerdings müssen bleibt er im Vordergrund und gibt De- Snapshots und Volumes mit anderen bug-Meldungen aus. Jetzt brauchen Sie # stratis fs create defpool fs1 Tools wie LVM verwaltet werden. Stratis noch freie Devices, um einen Stratis-Pool # mount /dev/stratis/defpool/fs1 fs1/ soll hier für mehr Komfort sorgen, indem anzulegen. Das erledigen Sie folgender- es als Volume Managing Filesystem alle maßen (Bild 2): Wenn Sie nun mit stratis fs snapshot einen Funktionen unter einem Dach vereint – Snapshot anlegen, können Sie ihn an- wie das Vorbild ZFS. Da unter der Haube # stratis pool create defpool schließend in der Liste der auf dem Pool bewährte Technologien wie der Device /dev/vdb vorhandenen Dateisysteme sehen: Mapper des Linux-Kernels verwendet werden, besteht zumindest die reale Falls Sie dies mit einem (virtuellen) De- # stratis fs snapshot defpool fs1 Chance, dass Stratis in den nächsten Jah- vice mehrmals machen, kann es übrigens snap1 ren einsatzbereit ist. sein, dass der Stratis-Daemon sich be- # stratis fs schwert, dass das Device schon Teil eines Pool Name Name Used Created Link-Codes Pools ist, wenn er darauf die entsprechen- Device den Metadaten findet. Wenn Sie sie vor defpool fs1 546 MiB Oct 01 [1] Stratis ibz91 dem Anlegen des Pools mit dem folgen- 2018 13:05

Bild 2: Beim Anlegen eines neuen Storage-Pools erscheint der Device Mapper in Aktion.

80 Dezember 2018 Link-Codes eingeben auf www.it-administrator.de SICHERN SIE SICH 180 SEITEN GEBALLTES WISSEN: IT-ADMINISTRATOR SONDERHEFTE

Sonderheft II/2018 IT-Sicherheit für KMUs

- Security-Konzepte einschließlich Datenschutz. - Mitarbeiter-Awareness schaffen und Führungskräfte sensibilisieren. - Netzwerke mit Windows-Servern, -Clients, Exchange und SQL Server sowie Azure absichern. - Virtuelle Maschinen unter Hyper-V und VMware schützen.

Sonderheft I/2018 Exchange Server 2016

- Neue Funktionen in Exchange 2016 sowie Migration von älteren Versionen. - Exchange-Datenbanken, Log- und Systemfiles verwalten. - Schutz vor Spam, Malware und unerlaubten Zugriffen. - Exchange überwachen, optimieren und troubleshooten.

Abo- und Leserservice IT-Administrator vertriebsunion meynen Herr Stephan Orgel Mehr Infos und Bestellung unter D-65341 Eltville Tel: 06123/9238-251 Fax: 06123/9238-252 [email protected] shop.heinemann-verlag.de Quelle: Aigars Reinholds – 123RF Quelle:

Neue Speichertechnologien für heterogene Umgebungen Stolperfallen beseitigen von Ariane Rüdiger

Bei den wenigsten Unternehmen kommt der Storage en bloc von der Stange. Gewachsene, heterogene Infrastrukturen stellen vielmehr die Regel dar. Zudem hat die Nutzung von Speicher in der Cloud neue Regeln und Herausforderungen mit sich gebracht, etwa die Bevorzugung des Objekt- speichers. Gut, dass es immer wieder innovative Newcomer gibt, die sich etwas Neues zum Lösen gängiger Storage-Probleme ausdenken.

F estplatten-JBODs oder konventio- auf dem Storage sorgen. Mit anderen ßen vor, außer der Hypervisor Acropolis nelle Arrays sind bereits relativ Worten: Auf den Speicher passt das, was wird in eine virtuelle Maschine gepackt. günstig erhältlich. Doch wer schnellen als Kapazität genannt wird. Storage möchte, baut heute auf SSDs. Sie Der Hersteller hatte zudem bereits im Juli sind allerdings noch immer deutlich teu- Letztlich geht es laut StorAge darum, sich den Service Tru (Total Resource Utiliza- rer als konventionelle Speicher. Und wer direkt mit jedem Storage-Medium ver- tion) StorAge angekündigt: Dabei liefert wirklich superschnell auf SSDs schreiben ständigen zu können. Dazu hat die Lö- StorAge den Nutzern Storage-Knoten ih- will, benötigt eine umfangreiche, kost- sung konsequent Hard- und Software ge- rer Wahl ins Haus. Derzeit sind HPI, Su- spielige Caching-Infrastruktur rundhe- trennt und bekommt vom Storage eine permicro, Dell und JBODs im Angebot. rum. Zudem werden von Primärdaten in Schreibbestätigung. So lässt sich die native Die Speichermedien erweitert auf Anfrage der Regel mehrere Kopien gehalten, zum Leistung des Storage exportieren. Weitere StorAge, neue Platten oder Module wer- Beispiel um den Cache-Inhalt zu sichern. Eigenschaften: Sie ist komplett Hardware- den dann zugeschickt. Sinkt der Kapazi- Deshalb müssen IT-Verantwortliche die agnostisch und funktioniert mit Blocks, tätsbedarf plötzlich, lassen sich Platten Angaben zur Kapazität eines Storage-Sys- Files und Objekten. RAID als Sicherungs- auch zurücksenden. Prinzipiell ist zudem tems durch vier bis fünf teilen, um he- technik ist nicht erforderlich, da Erasure die Nutzung eigener Hardware möglich, rauszubekommen, wie viele Daten sich Coding zum Einsatz kommt. Aus diesem allerdings gibt es dafür derzeit keinen tatsächlich nativ speichern lassen. Grund funktionieren auch Rebuilds sehr Support. Für die gelieferte Kapazität in- schnell. Die Zahl der Paritätslaufwerke klusive aller mitgelieferten Storage-Diens- So viel Speicher wie draufsteht kann der Nutzer beliebig wählen. Zudem te sind 0,01 US-Dollar pro GByte und Um hier für Abhilfe zu sorgen, hat ein sind unbegrenzt viele Snapshots möglich. Monat fällig. Team um Gael Naor, Gründer und CEO des israelisch-amerikanischen Startups Mit StorAge lässt sich laut Hersteller bei Eine Storage-Schicht StorAge, mit einem Zeitaufwand von voller Sicherheit eine hyperkonvergente für die Cloud mehreren Jahren inzwischen patentierte Infrastruktur (HCI) mit nur einem Kno- Cloudumgebungen verwenden andere Algorithmen entwickelt. Die Software von ten als Startkonfiguration statt üblicher- Protokollinfrastrukturen und haben mit StorAge soll entweder fünfmal so viel weise drei bis vier aufbauen. Dies gilt aber Containern auch eine Infrastrukturvari- Leistung aus derselben Hardware holen nicht unbeschränkt. Zumindest bei HCI ante mit ganz eigenen Storage-Herausfor- oder für fünfmal so viel Platz für Daten mit Nutanix-Software bleibt StorAge au- derungen hervorgebracht: Für native Con-

82 Dezember 2018 www.it-administrator.de Neue Speichertechnologien Schwerpunkt

tainer ist kein persistenter Storage vorge- Release 1.4 soll Blue-Green-Deployments, etwa Filme, groß und die Änderungen sehen – wird ein Container gelöscht, dann also die Nutzung gleichartiger Echt- und eher klein sind, beispielsweise die Anpas- verschwindet die darin gehostete Anwen- Entwicklungsumgebungen, autoskalie- sung eines Untertitels. S3-Buckets fehlt dung samt deren Verbindungen zu ir- rende Gruppen beim Einsatz in der dafür ein überlagerndes Filesystem. Un- gendwelchen Daten. Auch das dominie- Cloud, automatische Hyperkonvergenz ternehmen müssen also eine relativ teure rende Orchestrierungstool Kubernetes, und Rack- beziehungsweise Datacenter- Filesystem-Instanz dazu mieten, um di- derzeit als Version 8 (K8) erhältlich, löst Awareness bringen, Version 2.0 Cloud- rekt auf Dateien auf S3 zugreifen zu kön- weder dieses noch andere datenspezifische übergreifende Workflows. nen. Filetransfer-Lösungen wie Box man- Probleme: Datenhochverfügbarkeit, gelt es zudem an Sicherheit. -workflows und -sicherheit zum Beispiel. Cloud-SDS für Tier-1-Anwendungen LucidLink trennt Daten und Metadaten- Portworx, seit 2014 auf dem Markt, will Ein weiteres Beispiel für Cloud-bezogene Ebene konsequent. Beim Design hat der diese Lücke füllen. Die beiden Gründer, Technologieentwicklung ist Datera, ge- Hersteller zudem versucht, die typischen Murli Thirumale und Gou Rao, hatten gründet 2013. Das Unternehmen hat seit Verzögerungsquellen in Cloudumgebun- schon viele Jahre lang gemeinsam bei un- 2016 seine Lösung für Software-defined gen möglichst zu neutralisieren: durch terschiedlichen Firmen gearbeitet, zuletzt Storage (SDS) auf dem Markt. Sie ermög- neuartige Mechanismen zum Vorladen bei Dell. Wichtigste Anwendungsszenarien licht den Betrieb von datenmächtigen von Daten, Caching und Kompression. der Technologie sind Big Data, die Hand- Tier-1-Anwendungen, zum Beispiel Ora- habung von Datenbanken im Allgemeinen cle, in der Cloud, und zwar mit möglichst Gateways oder anderer physischer Infra- und Content Management. Das Startup viel Automatisierung. Sie fokussiert da- strukturen beim Kunden bedarf es nicht. hat sich zum Ziel gesetzt, eine persistente rauf, die Geschwindigkeit des Gesamt- Die Lösung arbeitet von Ende zu Ende Datenkontroll-Softwareschicht nativ für systems so weit wie möglich zu steigern. verschlüsselt und skaliert laut LucidLink die Cloud zu entwickeln. PWX integriert bis auf Millionen von Files und Hunderte sich mit diversen Container-Orchestrie- Datera zielt auf den Enterprise-Sektor, aber TByte Storage. Interessierte Unternehmen rungstools und Docker-Containern, wie auch Service Provider. In Deutschland können das ausprobieren – sie laden ei- es Nutzer von DevOps-Umgebungen genutzt beispielsweise Pfalzkom/Manet die nen kostenlosen Softwareclient auf ihr wohnt sind, und bietet alle für professio- Lösung, um seinen Kunden EBS und S3 stationäres Endgerät (Mobiltelefone wer- nelle Nutzung wichtigen Storage-Dienste. als Service anzubieten. Laut Datera hat sich den noch nicht unterstützt) und richten Die Software läuft in Public Clouds und dadurch der Administrationsaufwand auf ihn einschließlich Verschlüsselung ein. On-Premises. Das Versprechen des An- zwei Prozent reduziert, die Leistung ver- Dann können sie den Dienst mit kosten- bieters: Reduktion der Storage- und Ser- zehnfacht und Sicherheits- sowie Vernet- losen 16 GByte S3-Speicherraum bei AWS verkosten um 40 bis 60 Prozent. zungsfunktionen wurden automatisiert. derzeit zeitlich unbegrenzt testen. Wer mehr benötigt, muss kapazitätsbezogen PWX poolt den gesamten Storage, der Version 3.2 von Datera ist in enger Koope- zahlen: aktuell 5 US-Cent pro GByte und Cloudservern zur Verfügung steht, und ration mit zahlreichen Partnern entstanden, Monat. Es gibt eine Mengenstaffel. verteilt ihn nach Bedarf, wobei sie maxi- darunter Docker, Cloud- und Openstack, mal 1000 auch Storage-lose Server ver- Intel Optane, die Container-Orchestrie- Der Softwareclient beim Anwender entsorgt. Jedes Volume bezieht sich auf einen rungsspezialisten Kubernetes und Rancher hält einen verschlüsselten Write-Back- Container, jeder Server erhält automatisch sowie HPE, Samsung, Cisco und Dell. Sie Cache, der auf der Festplatte des Rechners so viel Speicher wie nötig, wobei die Men- bietet erweiterte Containerunterstützung gespeichert wird. Die Downloaddaten ge bei Bedarf skaliert. Das alles geschieht und ist für die Arbeit mit persistentem Me- werden parallel gestreamt und die Meta- für die Anwender transparent, da PWX mory und NVMe-Flash vorbereitet. Die daten ständig zwischen dem lokalen eng mit den Container-Schedulern inte- Software ermöglicht jetzt globale Stretch- Cache und dem Lucid-Service auf AWS griert ist. PWX repliziert Daten mittels Cluster und skaliert bis 6 PByte Primär- synchronisiert. Dieser läuft auf einer EC2- eines Quorum-Verfahrens. Backups wer- Storage. Außerdem wurden verbesserte Instanz und enthält die verschlüsselten den auf einen anderen Cluster oder S3- Datenservices für S3-Objekte bereitgestellt. Metadaten der Files. Er ist dem S3-Spei- Storage in der Cloud gezogen. Für Ver- cher vorgeschaltet und übernimmt Me- schlüsselung ist gesorgt: Die Software ist Dateizugriff auf tadaten-gesteuert das Aktualisieren der kompatibel mit vielen verbreiteten Ver- Cloud-Objektspeicher Primärdaten auf S3, falls Daten auf dem schlüsselungsinfrastrukturen, wobei der LucidLink hat eine Lösung entwickelt, Client verändert und wieder zurückge- Nutzer seinen eigenen Schlüssel mitbringt. mit der Anwender auf Dateien, die in S3- schickt wurden. Ein Log-strukturiertes Buckets oder in Filetransfer-Lösungen Design verhindert gleichzeitige Zugriffe Die erste Version von PWX enthielt die wie Box oder Dropbox gespeichert sind, auf dieselben Daten und sorgt für Kon- Grundfunktionen für persistenten Sto- direkt arbeiten können, ohne sie zuvor sistenz: Alle Änderungen werden jeweils rage. Nun folgt die Übertragung der vollständig herunterzuladen. Das ist be- in ein neues Objekt geschrieben, über- Funktionen auf Multicloud-Umgebungen. sonders dann vorteilhaft, wenn Dateien, flüssige Objekte entsorgt. LucidLink in-

www.it-administrator.de Dezember 2018 83 Schwerpunkt Neue Speichertechnologien

ternehmen wächst stark und hat inzwischen IBM als OEM-Reseller gewonnen. Zudem ist Komprise auf den Marktplät- zen von Google und AWS präsent. Der Anbieter plant, als nächsten Schritt seinen Europa-Vertrieb aufzubauen.

Spezialbackup nur für Nutanix Neue Infrastrukturwelten führen über Bild 1: Komprise arbeitet über alle Schichten eines Speichersystems inklusive der Cloud hinweg. kurz oder lang zur Entstehung eines neuen Software-Ökosystems, das weitere tegriert sich dabei in jede Applikation und rage-Virtualisierungslösungen mit eher Funktionen bereitstellt. Hycu beispiels- jedes Betriebssystem, sodass sich Files auf kompliziertem Skalierungsverhalten. weise, eine Ausgründung der Comtrade- S3 genauso ansprechen lassen, als ob sie Gruppe, fokussiert sich ausschließlich auf auf der heimischen Festplatte lägen. Komprise versteht die Datenformate NFS, das Backup von Nutanix-Infrastrukturen. SMB und S3, sodass alle Applikationen, Die reine Softwarelösung läuft auf AOS Derzeit ist das Angebot nur auf AWS im- die diese Formate verwenden, auf Daten (Acropolis Operating Software), auf Nu- plementiert, doch es ist geplant, schnell auf allen Storage-Ebenen zugreifen kön- tanix NX, Lenovo HX, Dell XC oder Service-Instanzen bei weiteren Cloudpro- nen. Gleichzeitig analysiert das System Dense-Storage-Knoten, auf beliebigen vidern einzurichten. Auch Implementie- ständig die Datenmenge, ihren Wachstum NAS-Systemen und auf Cloud-Storage in rungen auf On-Premises-Clouds sind und die finanziellen Auswirkungen einer der Public Cloud oder On-Premises. möglich. Als nächste Funktionen plant Lu- Datenmigration – demnächst sogar in cidLink die Livedaten-Migration zwischen verschiedenen Währungen. Daten werden Das Unternehmen unterhält intensive Ver- Regionen und Clouds, automatische Snap- bei Bedarf automatisch und regelbasiert bindungen zu den Nutanix-Entwicklungs- shots und Audit-Trails, später auch den auf das günstigste Medium verschoben. teams und hat sich vorgenommen, neue Support für Smartphones. Gründer und Bei Restores von Daten aus der Cloud Features von Nutanix spätestens im nächs- CEO Peter Thompson, der wie sein CTO kontrolliert die Lösung Kosten und Band- ten Quartal in seiner Lösung abzubilden. George Dochev von Datacore kommt, hat breite. Komprise reklamiert bis zu 88 Pro- Technisch setzt die Lösung auf den grund- sich viel vorgenommen. Er will LucidLink zent Einsparungen bei den Kosten für Se- legenden Schutzmechanismen von Nutanix zur Standard-Zugriffsmethode auf Objekt- kundär-Storage. auf. Der enge Schulterschluss ermöglicht daten in der Cloud machen. laut dem Unternehmen diverse Funktio- Mehrfachkopien auf nachgelagerten Spei- nen, die andere Backup-Lösungen für HCI- Große Datenarchive cherebenen werden überflüssig. Der Grund umgebungen nicht bieten können. Beispiele unter Kontrolle dafür ist ein redundantes, transparentes sind das agentenlose Backup von Applika- Komprise wendet sich an große Unter- und hierarchisches Filesystem. Es läuft als tionen, Robo-Backup ohne Kopien oder nehmen, die massiv wachsende Mengen Zwischenschicht auf der gesamten verteil- Backup in die Cloud ohne Rechenaufwand. unstrukturierter Daten zu verwalten, zu ten Scale-out-Architektur. Damit ermög- sichern und zu archivieren haben. Heute licht Komprise demnächst (derzeit im Be- In einer Nutanix-Umgebung entdeckt die ist es kaum möglich, in Backups effektiv ta-Stadium), alle Files und Objekte auf Plattform mittels einer patentierten Funk- zu suchen und auf die gesicherten Daten nachgelagerten Storage-Schichten zu durch- tion selbsttätig alle dort laufenden Appli- zuzugreifen, beispielsweise zur Erzeu- suchen und zu analysieren. Der Zugriff auf kationen. VMs in ESX-Umgebungen las- gung von Compliance-Reporten. Dass Daten in der Cloud oder auf nachgelagerten sen sich im laufenden Betrieb auf Nutanix häufig mehr als eine Datenkopie im Speicherschichten erfolgt im Originalfor- sichern. Das System erstellt Snapshots der Backup gehalten wird, bläht das Daten- mat der betreffenden Anwendung. Liegen Storage-Ebene für AHV und ESX. Für die volumen auf und erzwingt Investitionen die Daten auf Primär-Storage, erfolgt der Wiederherstellung zerstörter Applikatio- in Storage-Hardware. Zugriff direkt aus der Anwendung heraus. nen garantiert Hycu die Einhaltung der Die Metadaten dafür hält Komprise in spe- vom Anwender definierten Wiederan- Das Startup, gegründet 2014, löst dieses ziellen virtuellen Maschinen, die entweder laufzeit (RTO). Für die Hycu-Backuplö- Problem durch eine neue Software- in einer Managed Cloud oder On-Premises sung sind keine zusätzlichen Nutanix- Schicht unterhalb der übrigen Schichten bei dem jeweiligen Kunden liegen. Softwarelizenzen nötig. der Storage-Infrastruktur. Sie eröffnet den Zugriff auf File- und Objektdaten, die auf Unter den 2018 hinzugekommenen Hyperkonvergenz Primär-, Sekundär- und Cloud-Speicher Funktionen ist auch die NAS-Migration. für die Großen liegen, reißt also die Mauer zwischen die- Dafür fallen keine zusätzlichen Kosten Datrium DVX, derzeit in Version 4.0 er- sen Schichten ein. Dabei skaliert Kom- an, sondern die Funktion gehört zum in- hältlich, versteht sich als Enterprise-HCI prise je nach Bedarf, anders als viele Sto- telligenten Datenmanagement. Das Un- für blockorientierte Tier-1-Applikationen.

84 Dezember 2018 www.it-administrator.de NEWSLETTER jetzt abonnieren:

Bild 2: Hycu hat sich auf das Backup unter Nutanix spezialisiert.

Die Lösung vereinigt die Funktionen tra- die anschließend in gleich große Stücke ditioneller hyperkonvergenter Infrastruk- gehackt werden. Diese Stücke werden dann turen mit denen von Scale-out-Backup in mithilfe von Erasure Coding auf die zu be- einem komplett softwarebasierten Produkt. schreibenden Medien verteilt.

Die Datrium-Architektur unterscheidet Snaps werden jeweils an eine neue Stelle sich von üblichen HCI-Architekturen mit des Datenträgers geschrieben, was Schreib- integrierten Rechen- und Storage-Knoten: verzögerungen vermeiden soll. Die De- Stateless-Compute-Knoten sind über eine duplizierung erstellt einen Index, in dem hochleistungsfähige Vernetzungsschicht Nutzer nach gesicherten Daten mittels ei- mit dauerhaft speichernden Datenknoten ner schnellen Key-Value-Datenbank re- verbunden, die als große Caches und cherchieren können. Der Index ist als so- gleichzeitig als Primär- und Backup-Sto- genannter LSM-Tree strukturiert, eine rage fungieren. LUNs werden dort nicht Datenstruktur, die sich besonders für definiert, das gesamte System ist auf Con- Dateien mit vielen Änderungen eignet. tainer und VMs zugeschnitten. Datrium Datenintegrität will der Anbieter mit DVX verarbeitet und sichert die Daten. Blockchain-ähnlichen Verifizierungsme- Storage- und Compute-Schicht sind nach chanismen sicherstellen. Bedarf für sich skalierbar. Derzeit wird wegen seiner großen Verbreitung VM- Datrium hat eine HCI-Infrastruktur mit ware als Hypervisor unterstützt, später 1000 VMs, zwei virtuellen CPUs, 4 GByte sollen weitere Hypervisoren dazukom- RAM und 200 GByte Speicher, täglichen Jede Woche aktuelle men. Die Lösung ermöglicht das Scale- Sicherungsläufen, einer Datenänderungs- out-Backup und verwendet für Disaster- rate von zwei Prozent und einer Haltezeit News, freie Artikel Recovery-Zwecke die Cloud. Zum Funk- der Daten von 30 Tagen mit Nutanix ver- und Admin-Tipps tionsumfang gehören standardmäßig De- glichen und Capex-Einsparungen von 61 duplizierung, Erasure Coding, Kompres- Prozent erreicht. Verglichen mit dem sion und Verschlüsselung. Backup in die Cloud koste die Sicherung auf Datrium nur ein Zehntel, reklamiert Datrium hat neben dem zweischichtigen der Anbieter. Aufbau weitere Neuerungen eingeführt, die diese Leistungen tragen. Im Zentrum Fazit steht ein Log-strukturiertes Filesystem. Es Mit neuen Problemen entwickeln sich in basiert auf Forschungen von Mendel und der IT neue Lösungen. Dieses Grundge- Ousterhout aus dem Jahr 1992 und zielt setz gilt auch angesichts der Datenmassen, darauf, jedes Medium so schnell wie mög- die durch Trends wie IoT, die Cloud oder lich beschreiben zu können. Das Filesys- Social Media entstehen. Die oben ange- tem dedupliziert Applikationsdaten zu- führten Beispiele belegen, dass der Krea- nächst, komprimiert sie inline und packt tivität der Entwickler vorläufig kaum sie sodann in 8 MByte große Container, Grenzen gesetzt sind. (ln) www.admin-magazin.de/ newsletter www.it-administrator.de Schwerpunkt Konvergente versus hyperkonvergente Infrastrukturen

Konvergierte versus hyperkonvergente Infrastrukturen Software-definierte Speicherzentren von Norbert Deuschle

Konsolidierte Infrastrukturen versprechen seit einiger Zeit, vor allem in virtualisierten Umgebungen für

deutlich mehr Leistung zu sorgen. – 123RF scanrail Quelle: Aufgrund der Vielzahl an Begriff- lichkeiten ist es für den IT-Verant- wortlichen wichtig, die Unterschiede zwischen konvergenten System - architekturen und hyperkonvergenten Infrastrukturen zu beachten.

D ie frühere Eins-zu-eins-Beziehung Die konvergente Infrastruktur ist ein wenn ein Unternehmen zum Beispiel ver- zwischen physischen Servern und Ansatz zum konsolidierten Betrieb von schiedene Arten von Storage für virtuelle Storage wurde durch eine konsequente Rechenzentren, der darauf abzielt, poten- Maschinen bereitstellen möchte. Anstatt Virtualisierung der Infrastruktur aufge- zielle Kompatibilitäts- und damit einher- ein neues Array – sprich Silo – hinzuzu- löst. Hochgradig virtualisierte Workloads, gehende Verwaltungsprobleme zwischen fügen, ermöglicht es diese Option, ska- wie sie heute in fast jedem Rechenzen- Speichersystemen, Servern und Netz- lierbar weitere Arbeitslasten auf ein kon- trum zu finden sind, führen jedoch zu ei- werkgeräten, also letztlich Komplexität, vergentes Speichersystem zu verlagern. nem erhöhten Bedarf an Leistung und zu minimieren. Speicherkapazität, denn es entstehen im- CI kombiniert Rechenleistung, Netzwerk- mer mehr (redundante) Daten, die abge- Gleichzeitig lassen sich die Kosten für fähigkeiten und Datenspeicherung inner- speichert, gesichert und verwaltet werden Stellfläche, Kühlung, Verkabelung und halb einer physischen Appliance. Die Ver- müssen. Zudem ist ein deutlicher Anstieg Strom senken. Dieser Ansatz bringt neben netzung erfolgt in der Regel über den an Komplexität zu beobachten. einem schnelleren Deployment von Ap- Hypervisor, sodass keine spezifische Netz- plikationen diverse Vorteile mit sich, da- werkhardware benötigt wird. Im Gegen- Konsolidierung durch runter reduzierte Bereitstellungskosten satz zur virtuellen Architektur besteht CI konvergente Systeme und ein vereinfachtes Management bei fast immer nur aus Storage- und Com- Konvergente Architekturen (CI) behan- gleichzeitig geringeren Service- und Be- puting-Ressourcen. Der Ansatz ermög- deln grundsätzlich Computing-Ressour- triebsausgaben. licht die vereinfachte Integration von Ser- cen, Netzwerk und Storage als separate vices und Hypervisor-Technologien Komponenten, die aber direkt über eine Vernetzung über Hypervisor innerhalb der zugrundeliegenden Physik. Hochleistungs-Backplane als logische Fa- Ein modernes konvergentes Speichersys- Damit lassen sich wie erwähnt sowohl bric mittels Fibre Channel (FC), Ethernet, tem konsolidiert Controller, Speicher und Zeit als auch Kosten bei der Bereitstellung Infiniband oder bereits über NVMeF/ Netzwerkelemente innerhalb einer aus- reduzieren und die Verwaltung und Kon- RDMA verbunden sind. Dies ergibt Sinn baufähigen Data-Management-Plattform, trolle im Rechenzentrum vereinfachen. für Unternehmen, die Rechenzentrums- die hohe Redundanz mit softwarebeding- plattformen einsetzen und denselben An- ten Selbstheilungsfähigkeiten bietet. Bei HCI – modular und skalierbar bieter gezielt über mehrere Hardware- Bedarf lässt sich durch Hinzufügen wei- Hyperscale-Datacenter-Technologien von technologien hinweg verwenden wollen. terer Knoten skalieren. Konvergente Spei- Google, Facebook oder AWS bildeten ge- Dann ist auch oft von einer Unified Ar- cherlösungen enthalten zunehmend Flash- rade aus Storage-Sicht (siehe Filesystem- chitecture die Rede. oder Hybridspeicher. Das ist sinnvoll, Entwicklungen) die Grundlage für eine

86 Dezember 2018 www.it-administrator.de Konvergente versus hyperkonvergente Infrastrukturen Schwerpunkt

Hyper Converged Infrastructure (HCI), Cloud mehr Flexibilität, je nach Bedarf brid Modell) und mit anderen Hypervi- die inzwischen auch als die Zukunft des und Budget in inkrementellen Schritten sor-Systemen in der Cloud integrieren. Rechenzentrumdesigns angesehen wird. zu wachsen, anstatt teils erhebliche Vor- Im weiteren Ausbau lässt sich eine zen- Hier steuert die Software alle Infrastruk- abinvestitionen tätigen zu müssen, so wie trale Orchestrierung und Automatisierung turressourcen über eine definierte Kon- sie für klassische integrierte Systeme ty- plattformübergreifend für On-Premises- trollebene sowie den Hypervisor. Dieser pisch sind. Diese verfügen zudem über ei- und Cloudmodelle integrieren. Ansatz eines Software-defined Datacenter ne kostenintensivere Fabric-Infrastruktur (SDDC) ermöglicht es Unternehmen, re- mit teils herstellerspezifischen Komponen- Der Einsatz von HCI wird im Allgemeinen lativ schnell neue Geschäftsansätze und ten, sprich Abhängigkeiten. mit Modernisierungsinitiativen und nied- Cloudmodelle ohne zu große Hardware- rigeren Kosten im Datacenter begründet. Abhängigkeiten zu unterstützen. HCI- Zentrale Orchestrierung Damit wird HCI wohl auch in Zukunft vor Systeme lassen sich auf verschiedenen und Automatisierung allem Interesse bei mittelständischen Un- Hypervisor-Systemen und auf fast jeder Betreiber können mit HCI auch ihre ei- ternehmen und bei großen Firmen etwa Standardhardware durch Technologien genen konvergenten Plattformen erstellen, als Remote-IT-Lösung für Außenstellen und APIs für die Übersetzung virtueller indem sie Softwarelösungen einsetzen, finden. Gut geeignet sind Anwendungen Maschinen einsetzen. die es ihnen ermöglichen, Computer und im Bereich von Virtualisierung sowie IT- Speicher übergreifend zu verwalten. Wenn Konsolidierung, Datenmigration, VDI, Hyperkonvergente Systeme sind somit an einem zweiten Standort ein anderer Disaster Recovery, Private Clouds / hybride hochintegrierte Systeme, die einen gemein- Hypervisor ausgeführt wird, kann die Cloudanbindung, Remote Offices (auch sam genutzten, modularen (composable) Software virtuelle Maschinen von einem bei Hosting-Anbietern) oder Big-Data- Compute/Network/Storage-Ansatz über Hypervisor in den anderen übersetzen Initiativen mittels Hadoop zur Durchfüh- eine einheitliche Verwaltungsebene auf – allerdings müssen die zugrunde liegen- rung von Rechenprozessen mit großen Da- Standardhardware mit direkt angeschlos- den Hardware-Anforderungen erfüllt wer- tenmengen auf Compute-Clustern. Aber senem Storage repräsentieren. HCI ermög- den. Auch kann die IT über APIs eine auch Standard-Workloads, die bislang auf licht es der IT-Abteilung auch, mit wenigen weitergehende Integration mit Cloudkom- virtualisierten Server-Blades betrieben wer- Nodes zu starten und bei Bedarf über die ponenten realisieren, also das On-Premi- den, sind potenzielle Kandidaten zur Mi- Zeit schrittweise zu skalieren. Dieser mo- ses-Rechenzentrum über die bisherige gration auf HCI-Infrastrukturen, um deren dulare Baukasten gibt ähnlich wie bei der Architektur hinaus flexibel erweitern (Hy- (Kosten-)Vorteile zu nutzen. Hier werden Sie Windows-10-Insider!

Alles, was Sie über Windows 10 wissen sollten – in einem handlichen Buch! Die erste Ausgabe der neuen Buchreihe IT-Administrator KOMPAKT bündelt alle relevanten IT-Administrator-Artikel zum Einsatz des neuen Windows-OS im Unternehmen: von der Einführung bis zur Sicherheit und allesamt von unseren renommierten Fachautoren auf den neuesten Stand gebracht.

Sichern Sie sich jetzt praxiserprobtes Experten-Know-how zum Betrieb von Windows 10 im Unternehmen. Für Abonnenten zum Vorzugspreis* von nur Euro 12,90!

Abo- und Leserservice * Nichtabonnenten erhalten das Buch für Euro 14,90. IT-Administrator Die Preise verstehen sich inklusive 7% Mehrwertsteuer und Versandkosten im Inland. vertriebsunion meynen T el: 06123/9238-251 Herr Stephan Orgel F ax: 06123/9238-252 D-65341 Eltville [email protected] shop.heinemann-verlag.de Schwerpunkt Konvergente versus hyperkonvergente Infrastrukturen

HCI und Storage im Hypervisor sitzt. Anstelle einer virtu- senden Storage und konfigurieren die je- Im Gegensatz zu einem SAN (Storage ellen Maschine, die den lokalen Speicher weilige HCI-Umgebung gemäß den eige- Area Network) arbeitet HCI als rein soft- verwaltet, ist hier der Kernel dafür ver- nen Anforderungen. Wichtig ist dabei, waredefinierte Lösung. Mit HCI werden antwortlich. Eine weit verbreitete kernel- sich hardware- und softwareseitig an die die Speicherressourcen komplett von der integrierte, hyperkonvergente Infrastruk- Mindestanforderungen der (hyper-)kon- zugrunde liegenden Hardware abstrahiert tur ist VMware VSAN/EVO:RAIL. Der vergenten Infrastruktur zu halten. Auch und sind als direkt angeschlossener Spei- Nachteil dieser Lösung besteht allerdings hier ist abzuwägen, ob eher ein hochin- cher (DAS) der x86-basierten Serverkno- darin, dass nur ein Hypervisor-Typ zum tegrierter Infrastruktur-Software-Stack ten zu sehen. Auf jedem dieser Knoten ist Einsatz kommen kann und kein Multi- (etwa vSphere, vSAN, NSX, VMware der jeweilige Hypervisor installiert, zu- Hypervisor-Betrieb möglich ist. APIs) sinnvoll ist, was wiederum die Ab- sammen mit Software, um einen gemein- hängigkeiten zum Hersteller erhöht, oder samen Ressourcenpool für die Datenver- Hyperkonvergenz ob der auf Open Source/OpenStack ba- waltung und Kontrolle zu ermöglichen. und Private Cloud sierende Weg (Red Hat HCI, SUSE SDS, Cloud-Gateway-Technologien und Ser- Der Aufbau von Private Clouds kann sich Ceph) mehr Sinn ergibt. Den Vorteilen vices wie Datendeduplizierung, intelligente bei großen Umgebungen komplex und einer stärkeren Herstellerunabhängigkeit Kompression oder Backup, Datenreplika- zeitaufwendig gestalten, vor allem um alle stehen dann aber teilweise höhere Imple- tion sowie WAN-Optimierung können Komponenten zertifiziert zusammenzu- mentierungs- und Betriebsaufwendungen zudem in die Lösung integriert sein. stellen, zu testen, in Betrieb zu nehmen sowie Service-Thematiken gegenüber. und dann möglichst hochintegriert zu Da die Speicherhardware vollständig über verwalten. Eine hyperkonvertierte Infra- Fazit Software abstrahiert ist, lässt sich ein struktur erlaubt es hier, private Clouds Hyperkonvergente Infrastrukturen stellen richtlinienbasiertes Management und die beschleunigt einzuführen und zu betrei- stets eine Kombination von Compute-, Steuerung über APIs im Rahmen der Ver- ben. Funktionen wie ein zentralisiertes Storage- und Netzwerkelementen inner- waltung von virtuellen Maschinen leichter Management, Kapazitätsoptimierung, Da- halb einer Lösung dar, während konver- umsetzen. Der Fokus liegt damit nicht tenreplikation und die bei nur wenigen gente Infrastrukturen meist nur aus wie früher auf LUN-Ebene (Storage-cen- Nodes beginnende und nach oben offene Storage- und Computing-Ressourcen be- tric), sondern auf VM-Level (Hypervi- Skalierung sind Kernbestandteile einer stehen. Bei HCI steuert die Software alle sor-centric). Durch die Verlagerung der hochautomatisierten HCI-Lösung zum genannten Infrastrukturressourcen über Verwaltung auf die VM-Ebene lassen sich Aufbau einer private Cloud. eine definierte Kontrollebene sowie den Policies auf die VM-Ebene übertragen Hypervisor. Dieser Software-defined- und diese Logik auf die gesamte Infra- Appliance oder Software? Datacenter-Ansatz ermöglicht es Unter- struktur anwenden. Appliance-basierte HCI-Systeme von An- nehmen, neue Geschäftsansätze und bietern wie Pivot3, Nutanix, Scale Com- Cloudmodelle ohne zu große Hardware- Eine andere Möglichkeit, Storage in einem puting, Dell, Cisco/NetApp, Maxta oder Abhängigkeiten beschleunigt zu unter- HCI-System bereitzustellen, besteht darin, SimpliVity sind gefragt bei Unternehmen, stützen. Diese hochintegrierte, software- SDS über die Implementierung eines ker- die auf der Suche nach einer möglichst gesteuerte Lösung bringt sich damit auch nelbasierten Moduls zu realisieren, das reibungslos funktionierenden und schnell als Nachfolger für klassische Speicher- einsetzbaren Lösung sind. Diese besitzen architekturen wie SAN oder NAS ins SDS und HCI auf einen Blick typischerweise meist wenig Einsatzerfah- Spiel, allerdings mit zum Teil noch her- rung oder genügend geschultes Personal, steller-spezifischen Beschränkungen, ins- Software-defined Storage (SDS) ist die Ab- um mit komplexen Systemanforderungen besondere wenn es um die Unterstützung straktion des physischen Speichers von der zurechtzukommen. Ein Nachteil: der von Hochleistungs-Enterprise-Work- (Storage-)Kontrollebene. SDS unterstützt bei mögliche Vendor-Lock-in, da alle we- loads geht. der zentralisierten Verwaltung und Konfigura- tion von SAN/NAS-Umgebungen unter- sentlichen Komponenten, Schnittstellen, schiedlichster Anbieter. Die hyperkonvergente APIs und auch Technologiefortschritte HCI stellt ein weiterhin stark wachsendes Infrastruktur (HCI) stellt eine Kombination zum Beispiel in Bezug auf Server CPUs, Marktsegment dar, für das Analysten bis von Compute-, Storage- und Netzwerkele- NVMeF, Storage Class Memory, SCM et 2021 eine durchschnittliche jährliche menten innerhalb einer Lösung dar – entwe- cetera vom jeweiligen HCI-Anbieter vor- Wachstumsrate von 48 Prozent prognos- der als x-86-basierter Server oder fertige Ap- gegeben werden. tizieren. Bis zum Jahr 2021 sollen HCI- pliance. HCI benutzt SDS-Funktionalitäten Systeme nach Umsatz bereits 54 Prozent zusätzlich zur Bereitstellung von virtualisier- Softwarebasierte HCI-Lösungen, wie sie der gesamten konvergierten Infrastruk- ten Netzwerk- und Rechenressourcen. HCI ist VMware, Microsoft oder auch HiveIO an- turlieferungen repräsentieren, wobei der als hochintegrierte, softwaregesteuerte bieten, sind besonders geeignet für grö- Markt dann einen Umfang von 10,8 Mil- (Appliance-) Lösung ein direkter Ersatz ßere Betriebe mit entsprechend qualifi- liarden US-Dollar erreicht haben wird. für klassische Speicherarchitekturen wie ziertem IT-Personal. Diese nutzen gerne Erst ab 2022 soll sich die Wachstumskur- SAN oder NAS. ihre eigene Serverhardware mit dem pas- ve etwas abflachen. (ln)

88 Dezember 2018 www.it-administrator.de Kompetentes Schnupperabo sucht neugierige Administratoren

Sie wissen, wie man Systeme und Netzwerke am Laufen hält. Und das Magazin IT-Administrator weiß, wie es Sie dabei perfekt unterstützt:

Mit praxisnahen Workshops, aktuellen Produkttests und nützlichen Tipps und Tricks für den beruflichen Alltag.

Damit Sie sich Zeit, Nerven und Kosten sparen.

Testen Sie jetzt sechs Ausgaben zum Preis von drei!

Abo- und Leserservice IT-Administrator vertriebsunion meynen Tel: 06123/9238-251 Herr Stephan Orgel Fax: 06123/9238-252 D-65341 Eltville [email protected] shop.heinemann-verlag.de Quelle: Andrey Kiselev – 123RF Quelle:

Google Cloud Storage für Backups nutzen Säge am Thron von Thomas Drilling

Amazon S3 gilt als Mutter aller Objektspeicher und war dank seiner hohen Haltbarkeit und Verfügbarkeit sowie der eingebauten Skalierung bislang nahezu konkurrenzlos. Doch mittlerweile bieten andere Anbieter S3-Alternativen mit interessanten Features. Wir stellen Google Cloud Storage im Hinblick auf seine Eignung für internetbasierte Backups vor.

G oogle Cloud Storage (GCS) ist wie den, kann das System das steigende Last- Objekten. Die Objekte selbst bestehen im- Amazon S3 ein Objektspeicher- aufkommen ohne manuellen Eingriff au- mer aus den Komponenten Objekt-Daten dienst. Tatsächlich sind Buckets und Ob- tomatisch verarbeiten. und Objekt-Metadaten. Objekt-Daten sind jekte in GCS denen in AWS konzeptionell beispielsweise die Dateien, die in GCS ge- ähnlich und dienen dem Speichern und Ferner unterstützt GCS IT-Verantwortli- speichert werden sollen. Objekt-Metada- Abrufen von Daten. Dies kann von einem che beim Entwickeln und Betreiben ser- ten dagegen sind eine Sammlung von Key- beliebigen Ort per Internet über eine verloser Anwendungen, etwa durch das Value-Paaren, die die Attribute eines REST-ähnliche API (AWS S3 unterstützt Ausführen von Aufgaben als Reaktion auf Objekts beschreiben. Zu den allgemeinen historisch auch SOAP und BitTorrent) Ereignisse in GCS. So könnte beispiels- Metadaten-Attributen gehören Content- oder programmatisch auf Basis eines der weise jedes Mal, wenn eine Datei hoch- Type, Content-Encoding und Cache-Con- unterstützten SDKs erfolgen. Wie bei geladen wird, ein Formatprüfer oder ein trol, Nutzer können aber auch benutzer- AWS muss alles, was in Google Cloud Konvertierungswerkzeug starten, etwa definierte Werte hinterlegen. Storage gespeichert werden soll, in Bu- durch Google Functions getriggert.Und ckets platziert werden. Diese dienen so- schließlich lässt sich GCS für Cloud-ba- Amazon S3 unterstützt die Speicherklassen wohl dem Organisieren der Daten als sierte Backups sowie zum Archivieren "Standard", "Seltener Zugriff" (Infrequent auch der Zugriffssteuerung. von Daten, auf die nur selten zugegriffen Access) und "OneZone Infrequent Access". wird, verwenden. Doch im Gegensatz zu Und unter Umständen lässt sich auch "S3 EInsatzszenarien Amazon S3 erlaubt GCS, archivierte Da- Reduce Redundancy" (mit nur 99,99 Pro- Google Cloud Storage unterstützt eine ten innerhalb von Millisekunden wieder- zent Zuverlässigkeit) als Speicherklasse be- Vielzahl von Anwendungsfällen. So kön- herzustellen – anstelle von mehreren Mi- trachten. Zur Archivierung kommt noch nen Nutzer mit GCS Inhalte wie Textda- nuten oder Stunden bei AWS Glacier. Amazon Glacier als Speicherklasse hinzu, teien, Bilder, Videos und mehr über das denn Glacier lässt sich wahlweise direkt Internet speichern. GCS erlaubt auch das Speicherklassen und über die Glacier-API oder die S3-API an- Hosten statischer Website-Inhalte. Dabei Zugriffszeiten sprechen und ist auch als "Übergang" im bietet GCS ebenfalls alle Vorteile einer Wie bei AWS sind Buckets Container, die Rahmen des S3-Lifecycle-Managements hochskalierbaren Architektur. Kommt es Objekte speichern. Sie können nicht ge- vertreten. Während die Zugriffszeit bei S3 zum Beispiel bei Webanfragen zu Last- schachtelt werden und müssen einen ein- im Sekunden- bis oberen Millisekunden- spitzen, etwa weil viele Benutzer versu- deutigen Namen über den gesamten Goo- Bereich liegt, sieht Glacier beim Standard- chen, einen populären Artikel zu lesen gle Storage Namespace haben. Auch Abrufverfahren eine Zugriffszeit von bis oder einen Gutscheincode herunterzula- unterstützt GCS eine Versionierung von zu fünf Stunden vor.

90 Dezember 2018 www.it-administrator.de Google Cloud Storage Schwerpunkt

Lese- oder Schreibzugriff für alle Perso- nen zu erteilen, die im Besitz einer zuvor zu generierenden URL sind.

Datentransfer in die Google-Cloud Auch wenn wir Google Cloud Storage im Folgenden vornehmlich als Backup- und Desaster-Recovery-Lösung betrachten, sollten Sie die gängigen Tools und Verfahren kennen, Daten in Googles Objektspeicher zu transferieren. Generell bietet Google zwei wichtige Tools zum Übertragen von Daten in die Cloud. Um Daten von Ama- zon S3 oder von einem anderen Cloud- speicher zu verschieben, kommt der "Cloud Storage Transfer Service" [1] zum Einsatz. Diesen erreicht der Nutzer über die GUI der GCP-Konsole, via Google-API-Client- Bibliothek in einer unterstützten Program- miersprache oder direkt mit der Cloud- Bild 1: Duplicati zeichnet sich insbesondere durch die zahlreichen unterstützten Storage-Transfer-Service-REST-API. Backup-Targets aus, darunter auch Google Cloud Storage. Ferner gibt es das gsutil-Befehlszeilentool Bei GCS liegt die Zugriffszeit hingegen Nearline oder Coldline multiregional be- [2], mit dem sich Daten von einem loka- durchgängig im Millisekunden-Bereich ziehungsweise regional zu übertragen. len Standort nach GCS übertragen lassen. über alle Speicherklassen: Konkret beherrscht gsutil das Erstellen - Daten der Speicherklasse "Multi-Regional Zugriffssteuerung und Löschen von Buckets, das Hochla- Storage" sind bei Google georedundant. Für die Absicherung des Zugriffs auf Da- den, Herunterladen oder Löschen von Die Daten sind also redundant in zwei ten in Google Cloud Storage stehen drei Objekten, das Auflisten von Buckets und oder mehr Rechenzentren, die mindes- Verfahren zur Verfügung: Neben der Ver- Objekten sowie das Verschieben, Kopie- tens 100 Meilen voneinander entfernt wendung von Access Control Lists kann ren und Umbenennen von Objekten. Zu- sind, innerhalb des ausgewählten mul- der Zugriff auch über IAM-Berechtigun- dem lassen sich mit dem Tool Objekt- tiregionalen Standortes gespeichert. gen und -Rollen sowie mit Hilfe von Pre- und Bucket-ACLs bearbeiten. - Regionale Speicherdaten hingegen wer- signed-URLs erfolgen. den in einem Bucket gespeichert, der an Backup in die Google-Cloud einem regionalen Speicherort erstellt wur- Mit "Google Cloud Identity & Access Ma- In Sachen Backup spricht für Amazon S3, de. Solche Daten verbleiben in den Re- nagement" können Admins der "Google dass zahllose Drittanbieter S3-Connecto- chenzentren in der angegebenen Region. Cloud Platform" (GCP) den Benutzer- ren in ihre Produkte integrieren, etwa der - "Nearline", das Google-Pendant zu "AWS und/oder Gruppenzugriff auf Buckets S3-Browser, das Wordpress-Backup-Plug- S3 IA", ist ein kostengünstiger, äußerst und Objekte auf Projektebene steuern, et- in, das quelloffene Enterprise-Backup- langlebiger Speicherdienst für nur noch wa dass ein Benutzer alle Vorgänge an al- Programm Duplicati oder das Imaging- selten im Zugriff befindliche Daten. Die len Objekten im betreffenden "Projekt" Tool Clonezilla. Allerdings bringt zum Daten sind jeweils in einer einzelnen Re- ausführen, aber keine Buckets im betref- Beispiel Duplicati auch einen GCS-Con- gion redundant. Nearline-Storage ist ide- fenden Projekt erstellen, ändern oder lö- nector mit. al für Daten, die durchschnittlich einmal schen kann. Projekte stellen eine GCS- pro Monat oder weniger oft gelesen oder Besonderheit dar und ergänzen klassische Doch auch ohne Drittanbieter-Tools ist geändert werden müssen. gSuite- oder Google-Drive-Konten um der Weg zum ersten Google-Cloud- - Im Gegensatz zu anderen "kalten" Spei- eine zusätzliche Organisationsebene. Backup nicht schwer. Zunächst bedarf es cherdiensten wie AWS Glacier sind Da- eines GCP-Accounts, der zum Beispiel ten mit "Google Coldline" ebenfalls bin- Optional oder zusätzlich kann der IT-Ver- mit GoogleDrive oder gSuite einhergeht. nen Millisekunden verfügbar und nicht antwortliche in GCS eine Access Control So ausgestattet sind Sie in der Lage, in der erst in Stunden oder Tagen. Auch Goo- List auf einzelne Objekte oder Buckets Google-Cloud-Platform-Konsole [3] ein gle-Nutzer können Richtlinien für ein anwenden, um den Zugang zu kontrol- neues "Projekt" anzulegen. Dazu klicken Lifecycle-Management einrichten, um lieren. Schließlich ist es mit signierten Sie im Dialog "Projekt auswählen" auf Objekte zwischen den Speicherklassen URLs möglich, einen zeitlich begrenzten "Neues Projekt."

www.it-administrator.de Dezember 2018 91 Schwerpunkt Google Cloud Storage

außerdem, ob die Datei vor dem Kopie- ren vorhanden ist, und kopiert sie nur, wenn sie sich geändert hat. Elemente im Google-Cloud-Storage-Konto werden durch rsync -r nicht entfernt, wenn sie lokal gelöscht werden. Das wiederum wäre durch das Verwenden des Schalters "-d" möglich.

Der letzte Schritt besteht darin, den Backup-Prozess zu automatisieren. Der einfachste Weg dazu ist ein cron-Job. Hierzu erstellen Sie ein Skript, das Sie mit cron ausführen, fügen den gsutil-Befehl ein und machen das Skript ausführbar:

# nano gcpbackup.sh gsutil rsync -r Bild 2: Basis aller Funktionalitäten in der Google-Cloud ist das "Projekt". /home/drilling/google-demo gs:// td-ita-backup Ist das Projekt erstellt, legen Sie das ge- # echo "deb http://packages.cloud. # chmod +x gcpbackup.sh wünschte Bucket in GCS an, indem Sie google.com/apt $CLOUD_SDK_REPO im Navigationsmenü im Abschnitt "Spei- main" | sudo tee /etc/apt/sources. Nun lässt sich das Skript bei Bedarf mit cher" auf "Storage / Browser" und dort list.d/google-cloud-sdk.list cron aufrufen. auf "Bucket erstellen" klicken. Als Spei- # curl https://packages.cloud. goo- cherklasse verwenden wir für unser Bei- gle.com/apt/doc/apt-key.gpg | sudo Fazit spiel "Coldline", um einen preiswerten apt-key add - Zweifelsohne gilt Amazon S3 als Quasi- Archivspeicher aufzubauen, und dann Standard für Cloud-basierte Backups und die Ziel-Region – hier "europe-west-1". Dies erlaubt es, das SDK über folgendes profitiert vor allem auch davon, dass Kommando zu installieren: zahlreiche Drittanbieter Connectoren für Ist das geschehen, sind Sie in der Lage, S3 anbieten beziehungsweise die S3-API Dateien von beliebiger Art in das neue # sudo apt-get update && sudo apt- unterstützen. Darüber hinaus ist der Bucket hochzuladen. Abhängig davon, get install google-cloud-sdk Funktionsumfang von S3 über die Jahre wie Sie die Dateien strukturieren möch- enorm gewachsen und insbesondere die ten, lässt sich hier zwar eine sinnvolle Danach führen Sie einfach den Befehl gute Integration mit anderen AWS- Ordnerstruktur innerhalb des Buckets gcloud init aus und befolgen die Anwei- Diensten prädestinieren S3 als flexiblen verwenden. Zu bedenken ist jedoch, dass sungen zum Anmelden und Authentifi- Primärspeicher. Schauen wir dagegen nur Ordner in einem Objekt-Speicher nur zieren des SDK am gewünschten Google- auf die Eignung von S3 und AWS Glacier Pseudo-Ordner sind, bei denen etwaige Konto. Damit sind Sie in der Lage, das als Backupspeicher, muss sich der Para- Pfadtrenner wie ein "/" Teil des Objekt- gsutil-Tool zu verwenden, das rsync, cp, de-Dienst Google Cloud Storage bei den namens sind. Ferner ist es möglich, Da- mv, rm und viele andere Linux-Komman- Kosten und der Zugriffszeit geschlagen teien beziehungsweise Backups vor dem dos unterstützt. Die Syntax für rsync lau- geben. Darüber hinaus punktet Googles Hochladen zu zippen, um die Speicher- tet wie zu erwarten: Speicherdienst mit interessanten Zugriffs- kosten zu reduzieren und das Hoch- und Tools wie gsutil oder dem Cloud Storage Herunterladen zu vereinfachen. # gsutil rsync -r source destination Transfer Service. Einen Versuch ist die S3-Alternative in jedem Fall wert, insbe- Backups automatisieren Sie müssen also nur das Verzeichnis, das sondere dann, wenn Sie bereits andere Selbstverständlich können ambitionierte vom lokalen Server auf Google Cloud Sto- GCP-Tools einsetzen. (jp) User auch das Google-Cloud-SDK ver- rage kopiert werden soll, angeben, etwa wenden, um das Backup zu automatisieren. Link-Codes Wir demonstrieren die Vorgehensweise # gsutil rsync -r /home/drilling/ auf Basis von Ubuntu, wo wir zuerst Pa- google-demo gs:// td-ita-backup [1] Cloud Storage Transfer Service ibz11 ketquellen ergänzen und anschließend den [2] gsutil-Befehlszeilentool Google Cloud Public Key installieren: Mit dem Flag "-r" erzwingen Sie erwar- ibz12 tungsgemäß ein rekursives Synchroni- [3] Google-Cloud-Platform-Konsole # export CLOUD_SDK_REPO="cloud-sdk- sieren sämtlicher Unterverzeichnisse in ibz13 $(lsb_release -c -s)" der Quelle. Der rsync-Befehl überprüft

92 Dezember 2018 Link-Codes eingeben auf www.it-administrator.de Azure Files Schwerpunkt

Azure Files im Unternehmen einsetzen Ablage Cloud von Florian Frommherz

In Azure sind seit einigen Monaten die Speicher - optionen um eine Funktion reicher: Azure Files. Dieser Dienst unterstützt Einsatzszenarien, in denen klassische SMB-Dateifreigaben zugänglich gemacht werden sollen. In der Cloud gelagert sind diese Daten dann per verbundenem Laufwerk nutzbar und Dateioperatio- nen lassen sich wie gewohnt vom Da- teiexplorer oder Quelle: OLEKSANDR MARYNCHENKO – 123RF Finder ausführen. Wir zeigen mögliche Einsatzgebiete von Azure Files und deren Einrichtung.

A zure Storage ist seit einigen Jahren etwas zu wünschen übrig, da der Datei- Dabei werden übliche Dateioperationen, mit den bekannten Speichertypen zugriff, wenn nicht selbst automatisiert, wie das Lesen und Schreiben von Dateien, am Markt: Blob Storage wird für hoch- nur versierten Endbenutzern zugänglich die Einbindung der Freigabe als Laufwerk skalierende text- oder binärbasierte Da- ist. Meist erfordert das weitere Tools, die und die Nutzung über Dateiexplorer, CMD teien genutzt und dient primär als objekt- den Blob Storage dann endbenutzer- oder die PowerShell in Windows, sowie orientierter Speicher. Queues bilden die freundlich darstellen. Natürlich gibt es erweiterte Funktionen wie die Dateihistorie Grundlage der Kommunikation zwischen Projekte wie Storage Explorer oder Az- im Dateiexplorer unterstützt. Für Endbe- Applikationen und Tables sind NoSQL- Copy, die Einsicht und Kopieren der Da- nutzer fühlt es sich so an, als arbeiteten sie Speicher für schemaloses Speichern von teien ermöglichen und keine Einführung mit einem normalen Dateiserver. strukturierten Daten. in das Azure-Portal bedingen. Komforta- bel und vor allem benutzerfreundlich ist Die Einsatzszenarien und die Unterschei- Blob Storage ist der zentrale Service, der das trotzdem nicht – ist aber auch nicht dung zur Verwendung vom klassischen im Hintergrund weiterer Dienste wie zum Sinn und Zweck dieser Storagevariante. Blob Storage sind damit klar: Endbenut- Beispiel Azure Disks steht. VM-Daten zern oder auch Entwicklern wird Zugriff werden wie gewohnt in einer virtuellen Wie lokal gespeichert auf Nutzdaten inklusive der eingebauten Harddisk gespeichert und dann in einem Doch Blob hat einen Bruder, der für diese Windows-Funktionen für Dateifreigaben, Storage-Account im Blob-Speicher abge- Einsatzzwecke eine Lösung verspricht: Dateihistorie und Drag-and-Drop gegeben. legt. Blob Storage wird ebenfalls ausgiebig Azure Files [1]. Microsoft ermöglicht es Für Azure Files sind ebenfalls hierarchische von Applikationen oder Webdiensten ge- so, Dateien in Azure auf Cloud-Storage zu Ordnerstrukturen erlaubt, die das Sortieren nutzt, um Daten wie Bilder zugänglich kopieren und diese Dateien über Datei- und Ordnen von Dateien ermöglichen. zu machen. freigaben zu nutzen. Gespeicherte Dateien sind dabei über das SMB-Protokoll er- Azure Files unterstützt das SMB-Protokoll, Die Erreichbarkeit des Blob Storage für reichbar, was in Windows, macOS und Li- das in der Windows-Welt bestens bekannt interne Zwecke, als Ersatz für einen Da- nux das Einbinden über klassische, ver- ist und in macOS und Linux via CIFS an- teiserver für Endbenutzer lässt allerdings bundene Laufwerke einfach macht. gesprochen und genutzt wird. Die Cloud

www.it-administrator.de Dezember 2018 93 Schwerpunkt Azure Files

kann aber wiederum zu unerwünschten Kosten führen, wenn die Dateifreigabe vollständig gefüllt wird.

In der PowerShell sind die Cmdlets des "Azure Resource Manager" (ARM) erforderlich, die alle Kommandos für das Er- stellen einer Azure-basierten Dateifreigabe beinhalten. Der folgende Satz an Kom- mandos erstellt die Freigabe "devtools" im existierenden Storage-Account mit dem Namen "filesharedevstoracc":

> $storageContext = New-AzureStora- geContext "filesharedevstoracc" Bild 1: Die Dateifreigaben sind in den Eigenschaften "+VeGcAYxD+hg/DIE1rchAcwu0Wh1ZZpUk des Storage-Accounts im Azure-Portal zu konfigurieren. sueEDh/wd8PQTpKeczssM5v7Enlvrhcvu6 5D81eomQ==" unterstützt dabei die SMB-Versionen 2.1 Group ist entscheidend, da sie über den und 3.0, was eine effiziente Anbindung Erstellungsort und damit die Beheimatung > $share = New-AzureStorageShare von Windows oder Linux erlaubt. Nebst der Dateien im Fileshare entscheidet. Liegt "devtools" -Context $storage- SMB lassen sich Daten auch über die die Resource Group in "West Europe", wer- Context REST-API schreiben, lesen und anderwei- den auch die resultierenden Datei-Con- tig modifizieren. Für jeden Fileshare er- tainer dort liegen. Die Region ist entschei- Der Access Key für den Storage-Account, laubt Microsoft eine Kapazität von maxi- dend, wenn Sie die Daten vorwiegend der für die Erstellung notwendig ist, findet mal 5 TByte an Daten, wobei eine einzelne regional nutzen wollen und lange Lade- sich im Azure-Portal unter "Storage Ac- Datei maximal 1 TByte groß sein darf. zeiten oder Latenzen vermeiden wollen. count / Settings / Access Keys". Die Na- vigation dahin erfolgt über "All Services" Besonders viel Performance in Form von Sind Sie so weit, müssen Sie, wie bereits mit der Suche nach "Storage Accounts". IOPS verspricht das im Moment im Pre- beim Storage Account, auch den Namen Haben Sie die Azure-PowerShell-Module view-Stadium befindliche Azure Files Pre- für den Fileshare in Kleinbuchstaben ein- nicht installiert, können Sie die Befehle mium. Wo Azure Files bei 1000 IOPS den geben. Als zweite Option können Sie im Übrigen auch über die Azure Cloud Datenhahn nach unten reguliert, lässt Mi- noch eine Speicherquota zwischen 0 und Shell direkt im Portal ausführen. crosoft bei der Premiumvariante die Lei- 5120 GByte definieren. Ohne Eingren- tung offen. Für IO-intensive Applikationen zung stehen die gesamten 5 TByte zur Ist die Dateifreigabe in Azure erstellt, soll- betreibt Microsoft die Premium-Variante freien Verfügung – dies ist zwar nett, ten Sie diese auch gleich nützlich einset- auf SSDs der neuesten Generation – und kitzelt dabei eine bis zu 100fach höhere IOPS-Rate heraus. Damit wird Azure File Premium auch ein interessanter Kandidat für weitere, I/O-intensive Szenarien.

Azure Files einrichten Die Einrichtung von Azure Files könnte einfacher nicht sein: PowerShell, das Azure Command Line Interface (CLI) und Azu- re-Portal sind gleichermaßen hierfür nutzbar. Azure Files lassen sich in einem bestehenden oder neuen Storage-Account anlegen. Dieser Account dient dann als lo- gischer Container für den Speicherdienst und muss vorgängig angelegt sein.

Wie bei Azure üblich wird der Fileshare, wie auch der Storage-Account, einer Re- source Group zugewiesen. Die Resource Bild 2: Die Eigenschaften der Dateifreigabe sowie die Quota-Einstellungen sind im Azure-Portal hinterlegt.

94 Dezember 2018 www.it-administrator.de Azure Files Schwerpunkt

zen und im Dateiexplorer verbinden. Um die Verbindung herzustellen, benötigen Sie lediglich die Adresse, einen Benutzer- namen und ein gültiges Passwort in Form des Azure Storage Keys. Die Adresse – in diesem Fall die URL des Fileshares – kön- nen Sie jedoch nicht vollständig frei wäh- len. Sie ist stets wie folgt aufgebaut: "https://Storage-Account-Name.file.core. windows.net/File Share Name".

Es ist nicht möglich, die Ressource über einen Custom Domain Name aufzuru- fen, wie Sie es von lokalen Dateiservern gewohnt sind. Beim Erstellen des File- shares sollten Sie sich den Storage Ac- count Key und den eindeutigen Namen des Storage-Accounts merken. Wenn Sie den Storage-Account für brisante Daten nutzen, etwa Logdateien oder Skripte, die VMs provisionieren, sollten Sie daran denken, den Key des Storage-Accounts regelmäßig zu wechseln. Der Storage Key Bild 3: Der vorbereitete Windows-Server wird im Azure-Portal ist am Ende nichts Anderes als ein sehr ausgewählt und einer Synchronisationsgruppe zugeordnet. langes Passwort. > Net use F: "\\filesharedevsto- - Zugriff für Stateless-Container oder Nun wählen Sie im Dateiexplorer über racc.file.core.windows.net\devtool Applikation "This PC" unter dem "Computer"-Menü s" /u: "+VeGcAYxD+hg/DIE1rchAcwu0 - Speichern von Diagnostic- oder De- den Punkt "Map Network Drive". Im Wh1ZZpUksueEDh/wd8PQTpKeczssM5v7En bug-Daten "Map Network Drive"-Assistenten wäh- lvrhcvu65D81eomQ==" - Speicherort für Setuppakete und weitere len Sie den Laufwerksbuchstaben aus Installationsroutinen und kopieren den Pfad, unter dem ihre Mittels "mount" lässt sich der Fileshare Dateifreigabe erstellt wurde. Als Benut- auch unter Linux entsprechend einbin- Die Liste der oben genannten Szenarien zernamen für die Verbindung geben Sie den. Zuvor müssen Sie allerdings die ent- ist natürlich nicht abschließend, weitere "AZURE\Storage-Account-Name" ein, sprechenden cifs-util-Pakete auf der Li- Szenarien sind denkbar. So etwa Fälle, in in unserem Beispiel wäre dies "file- nux-Maschine installieren, damit der denen Benutzer auf VMs Daten teilen. sharedevstoracc". Als Passwort nutzen SMB-Zugriff erfolgreich ist: Zwei Punkte sind aus der obigen Liste je- Sie den entsprechenden (langen) Key für doch besonders hervorzuheben: die zen- den Storage-Account und sind bereits > sudo mount -t cifs filesharedevs- trale Ablage von Dateien für Container fertig. Das Laufwerk wird unter dem ge- toracc.file.core.windows.net\devto und die Ablösung klassischer Fileserver wünschten Laufwerksbuchstaben einge- ols mount-point -o vers=smb-versi- für "Lift and Shift"-Aufgaben. bunden und die Arbeit kann beginnen. on,username=storage-account- Der Fileshare lässt sich ganz normal name,password=storage-account- Ein gemeinsames Muster für Applikatio- über den Windows Explorer oder auch key,dir_mode=0777,file_mode=0777, nen ist oftmals eine zentrale Konfigura- PowerShell einbinden: serverino tionsdatei, die speziell bei zustandslosen Containern an Bedeutung gewinnt. Be- > New-SmbMapping -LocalPath F: -Re- Einsatzszenarien kannte Plattformen wie OpenShift oder motePath "\\filesharedevstoracc. SMB-Shares werden gern im Kontext des Kubernetes unterstützen out of the box file.core.windows.net\devtools" Endbenutzers betrachtet. Spannend sind Azure Files und ermöglichen somit das -UserName "filesharedevstoracc" allerdings gerade die Szenarien im Enter- einfache Einbinden eines Fileshare als -Password "+VeGcAYxD+hg/DIE1rch prise-Umfeld, in denen Azure Files als zentrale Ablage als persistenten Storage. Acwu0Wh1ZZpUksueEDh/wd8PQTpKeczssM gutes Werkzeug im Werkzeugkasten eines Konfigurations- und Diagnosedaten wer- 5v7Enlvrhcvu65D81eomQ==" Cloudarchitekten oder -entwicklers nicht den so einfach auf der Dateiablage weg- fehlen sollte: gespeichert, ohne dass eine weitere VM Sie können hier aber auch auf das altbe- - Erweiterung oder Ersatz von On-Pre- oder ein Container mit dieser Aufgabe währte "net use" zurückgreifen: mises-Dateiserver bedacht werden müsste.

www.it-administrator.de Dezember 2018 95 Schwerpunkt Azure Files

Das zweite beliebte Szenario betrifft die Cloud abzulösen. So liegen die Daten zen- in Azure und weisen ihn anschließend Ablösung von Fileservern in Projekten, in tral in Azure, können aber global zwischen- der zuvor erstellten Sync Group zu. Sie denen Anwendungslandschaften und In- gespeichert und bereitgestellt werden. Das folgen dem Assistenten zum Schritt "Sign frastrukturen von eigenen Datenzentren System ist dabei als Multi-Master-System In", wo Sie ihre Azure-Anmeldedaten hin- in die Cloud wandern. Anwendungen pfle- konzipiert und alle Benutzer können Da- terlegen, um nachfolgend die verfügbaren gen – ähnlich wie Container – ihre Konfi- teien selbst an verschiedenen Orten ändern. Sync-Gruppen anzuzeigen und auszu- gurationsdaten auf Dateisystemen abzule- wählen. Der Assistent lässt Sie die richtige gen, die dann gelesen und bei Bedarf Sie richten Azure Files zunächst in der Subscription, danach die Resource Group geschrieben werden. Einige Anwendungen Cloud und anschließend auf dem Win- und danach den Storage Sync Service aus- behalten Teile ihrer Datenlogik in Form dows-Server mit einem MSI-Paket ein, das wählen. Per "Register" werden Sie noch von Datenbanken, XML-Schemadefinitio- den File Sync Agent, der ab Windows Ser- einmal nach Anmeldeinformationen genen oder Vorlagen als flache Datei im Da- ver 2012 R2 eingesetzt werden kann, ent- fragt – diesmal, um den Server mit der teisystem. Für diese Art von Anwendungen hält. Das Installationspaket ist für Windows Sync-Gruppe zu verheiraten. War die Re- müssten die Dateiserver ebenfalls migriert Server 2012 R2 und 2016 erhältlich [2]. gistrierung erfolgreich, beglückwünscht und Benutzern respektive den Applikatio- Sie der Assistent und bietet Ihnen an, den nen aus der Cloud bereitgestellt werden. Die Cloudkomponente, die die Synchro- Resource-Link, den Sie für den letzten nisation übernimmt, erstellen Sie im Azu- Schritt im Portal brauchen, gleich in die Files in Windows einbinden re-Portal, indem Sie unter "Create a new Zwischenablage zu kopieren. und synchronisieren Resource" nach "Azure File Sync" suchen Die bisherigen Einsatzszenarien haben sich und Letzteres dann anlegen – die Angabe Zurück im Azure-Portal fügen Sie mit mehrheitlich auf einfacheren Zugriff auf eines Namens und der Ressource Group "Add Server Endpoint" in der Sync-Grup- Dateien beschränkt, die in VMs gehostet sind hierbei verpflichtend. Der Assistent pe den Server hinzu. Im Dropdown-Me- werden. So richtig endbenutzerfreundlich erstellt ein "Storage Sync Service"-Objekt, nü wählen Sie den neu erstellten Server ist das aber noch nicht, wenn sich der ei- das nachfolgend weiter konfiguriert wird. aus, in "Path" definieren Sie den Datei- gentliche Dateiserver in der Cloud befin- Sie erstellen eine "+ Sync Group". Die Syn- systempfad auf dem Windows-Server, un- det. Beim Umgang mit vielen verschiede- chronisationsgruppe wird einen oder meh- ter dem die freigegebenen Dateien aus nen Dokumenten macht sich schnell rere Server umfassen und eine Dateifrei- Azure liegen sollen. Die Daten werden bemerkbar, dass der Dateiserver eben doch gabe synchronisieren. dann von und nach Azure Files kopiert. nicht im eigenen Rechenzentrum steht. Gerade SMB ist ein Protokoll, das sehr ab- Als notwendige Daten für die Sync Group Ist "Cloud Tiering" interessant, werden hängig von der Netzwerklatenz ist – je hinterlegen Sie einen eindeutigen Namen Sie einen Pfad wählen müssen, der nicht mehr Latenz zwischen Client und Server sowie die Azure Subscription, die Resource auf dem Systemvolumen des Servers liegt. herrscht, desto weniger macht die Arbeit Group und den Azure Files Container, den Cloud Tiering beschreibt die Funktion, mit den Dateien Spaß. Sie zuvor erstellt haben. Danach ist die mit der Azure Files und der Agent auf grundlegende Konfiguration der Cloud- dem Windows-Server entscheiden, wel- Um eine Brücke zwischen Endgeräten im komponente abgeschlossen. che Dateien auf dem Windows-Cache Firmennetz und den Azure Files zu schla- vorgehalten und welche exklusiv in der gen, hat Microsoft Azure File Sync entwi- Für eine erfolgreiche File-Sync-Agent- Cloud behalten werden: Heiße Daten la- ckelt. Das Zusatzprogramm macht aus ei- Installation ist das AzureRM-PowerShell- gern lokal, kaum benötigte Daten nicht. nem lokalen Windows-Server einen Modul zwingend erforderlich. Falls Die kalten Dateien werden dann im Cacheserver, der "heiße" Daten aus Azure die Komponente noch nicht auf dem Filesystem durch einen Pointer ersetzt, Files zwischenspeichert und sie so schneller Windows-basierten Dateiserver installiert der auf die zurückgehaltene Datei in Azu- zur Verfügung stellt. Oft genutzte Daten ist, holen Sie dies in einer administrativen re Files zeigt. Bei Bedarf werden kalte Da- werden also auf dem Server zwischenge- PowerShell-Session mit teien transparent und ohne Benutzerin- speichert, um sie in ihrer Häufigkeit teraktion nachgeladen – allerdings mit schneller Kollegen zur Verfügung stellen > Install-Module -Name AzureRM der notwendigen zusätzlichen Ladezeit. zu können. Sämtliche Änderungen an den Schalten Sie "Cloud Tiering" aus, werden Dateien werden nach Azure synchronisiert. nach. Danach ist der Server bereit für die alle Dateien von Azure zum Server syn- Installation des Agenten. Sie definieren, chronisiert und vorgehalten. In der Cloud wird die Synchronisation von falls benötigt, Proxy- und Windows-Up- einer Cloudkomponente verwaltet, die mit date-Einstellungen, damit der Agent Azu- Haben Sie mehrere Dateiserver, wieder- einem oder mehreren Windows-Servern re im Internet erreicht und regelmäßige holen Sie den Vorgang und installieren Kontakt halten kann, um diese als Caching- Aktualisierungen erfährt. den Agent auf allen Windows-Servern. Server zu verwenden. Azure File Sync eig- Die Server werden alle in dieselbe Sync- net sich daher auch als Migrationslösung, Nach erfolgreicher Installation registrie- Group konfiguriert, um die Daten auf al- um einen lokalen Dateiserver durch die ren Sie den Server mit dem Assistenten len Servern bereitzustellen.

96 Dezember 2018 www.it-administrator.de Azure Files Schwerpunkt

ein, die auf die Ressource zugreifen kön- nen. Dies erledigen Sie mit den Azure- Funktionen "Network Security Groups" (NSG) und "Service Endpoints". Wie er- wähnt isoliert dies den Fileshare und erlaubt nur den freigegebenen Systemen und Ressourcen den Inhalt einzusehen.

Zum aktuellen Zeitpunkt steht weder die Integration mit dem lokalen Active Di- rectory noch mit Azure Active Directory (AAD, Cloud) zur Verfügung, was einige Unternehmen davon abhält, den Azure- Files-Ansatz weiterzuverfolgen. Doch auch hier wird Microsoft das fehlende Puzzlestück liefern und veröffentlichte bereits die Preview für eine AAD-Inte- gration. Sollte alles gut gehen, kann dies bald auch großflächig eingesetzt werden. Offen ist hier aktuell noch, wie eine solche Integration aussehen wird und wie exis- tierende ACLs in Zusammenarbeit mit Azure File Sync übernommen werden.

Fazit Azure Files sind eine interessante Alter- Bild 4: Auf dem Dateiserver abgelegte Dateien werden automatisch in die Cloud synchronisiert. native zu bisherigen Einsatzszenarien von Dateiservern. Microsoft hat die Integra- Snapshots sichern üblichen Restriktionen von Azure-Sto- tion von Azure Files in Windows Server Um die Azure-basierten Dateifreigaben rage-Accounts, was Maximalgröße und und für die gängigen Clientbetriebssys- vor unabsichtlichen Löschvorgängen zu Dateimenge angeht. Selbstverständlich soll- teme möglichst einfach gestaltet. Antivi- schützen und frühere Dateiversionen wie- ten Sie auch die Kosten im Auge behalten. rensoftware wird genauso unterstützt – derherstellen zu können, erlaubt Azure die sollte sie mit Offlinefiles umgehen können Erstellung von Snapshots. Ein Snapshot Das Zurückspielen mehrerer Ordner oder – wie weitere Infrastrukturkomponenten stellt eine 1-zu-1-Kopie einer Dateifreigabe Dateien erfolgt entweder über die REST- wie DFS-N oder File Server Clustering zum Zeitpunkt des Schnappschusses dar API oder mit Hilfe eines komfortableren im "general use"-Modus. und wird im Azure Storage-Account sicher Tools wie AzCopy auf der Kommando- abgelegt. Der Snapshot lässt sich nicht ver- zeile oder dem Storage Explorer. Einzelne Für die beschriebenen Einsatzszenarien ändern, einzelne Dateien können weder Dateien können Sie auch über das Azu- wie VM-Deployment oder Entwickler- gelöscht noch verschoben werden. Snap- re-Portal wiederherstellen, indem Sie via szenarien sowie als Ablage von firmen- shots können nur als Ganzes entfernt wer- "Snapshots / View Snapshots" den Quell- weiten Dateien funktioniert der Einsatz den, einzelne Dateien sind im Nur-Lese- Schnappschuss wählen. Darin suchen Sie der Files schon gut. Wohin sich die Lö- Modus zugänglich. die gewünschte Datei und wählen "Re- sung weiterentwickelt, bleibt abzuwarten store" aus dem Kontextmenü. Sie können – am Ende hat Microsoft gerade für Einen Snapshot erstellen Sie im Azure- die Datei dabei kopieren und umbenen- Endbenutzer schon eine Lösung zur Portal in der Übersicht des betreffenden nen, um eine bestehende Datei auf dem Dateiablage für persönliche und Team- Azure-Fileshares über die Menüoption Live-Share zu behalten, oder die Origi- dateien: OneDrive for Business und "Snapshot" und dann "Create a Snapshot". naldatei überschreiben. Gelöschte Dateien SharePoint sowie Teams als Frontend Sie können bis zu 200 Snapshots für eine können Sie so aus dem Snapshot wieder für Kollaboration. (jp) Dateifreigabe erstellen. Die Snapshots sind zum Leben erwecken. dabei inkrementell und enthalten von Link-Codes Schnappschuss zu Schnappschuss immer Zugriff mit Azure AD Identities [1] Azure Blob vs Azure Files nur die inzwischen erfolgten Änderungen, Für den produktiven Einsatz ist es zwin- ibzb1 was Speicherplatz spart. Die Snapshots gend notwendig, Zugriffe granular defi- [2] Azure File Sync Agent werden nicht gegen das mit dem Fileshare nieren und einschränken zu können. Auf ibzb2 erstellte Quota gezählt – jedoch gelten die Netzwerkebene schränken Sie die Systeme

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 97 SAN-Umgebungen mit iSCSI aufbauen Neue Wege von Evgenij Smirnov Quelle: itman_47 – 123RF Quelle:

Der Storage-Zugriff gehört zu den ältesten Disziplinen in der IT. iSCSI ist ein verhältnismäßig junges Protokoll, das im Laufe eines Jahrzehnts eine große Verbreitung erfahren hat. Die Gründe dafür sind die preiswerte Verbindungstechnik und die relative Einfachheit der Einrichtung. Mit den aktuellen Windows-Versionen können Sie eine komplette SAN-Infrastruktur auf Basis von iSCSI aufbauen.

I SCSI ist eine Kreation des 21. Jahr- Netzwerk vorbereiten nem eigenen Subnetz liegt. Storage-Verbin- hunderts: Der erste RFC dazu Eine iSCSI-Anbindung ist schnell herge- dungen, die über einen (oder mehrere) (RFC3720) wurde 2004 verabschiedet. Der stellt. Bevor Sie produktive Workloads auf Router gehen, sind in der Regel langsamer aktuelle iSCSI-Standard RFC7143 stammt Ihrem neuen iSCSI-Storage platzieren, soll- und belasten zusätzlich die Router. Es kann aus dem Jahr 2014 [1]. Wie bei jeder an- ten Sie jedoch stets darauf achten, dass das durchaus vorkommen, dass eine iSCSI-Ver- deren SCSI-Implementierung beinhaltet Netzwerk zwischen Initiator und Target bindung mit nur 100 MBit/s läuft, obwohl auch iSCSI einen Initiator, der die Ver- keine Flaschenhälse und keine Sollbruch- alle verwendeten Komponenten 10 GBit/s bindung zu einer Speichereinheit aufbaut stellen beinhaltet. Nachfolgend finden Sie unterstützen. Idealerweise haben die für (die oft als "Logical Unit Number" oder die sechs wichtigsten Regeln, die es zu be- iSCSI vorgesehenen Adapter beim Target "LUN" bezeichnet wird), und ein Target, achten gilt: und beim Initiator gar kein Gateway ein- das diese Speichereinheit für den Initiator getragen. Legen Sie fest, welche Schnitt- bereithält. Der Zugriff erfolgt also auf 1. Trennen Sie den Traffic: Setzen Sie für stellen miteinander kommunizieren sollen Blockebene, die LUN sieht für die Initia- den iSCSI-Traffic idealerweise physisch und geben Sie ihnen IP-Adressen aus dem tormaschine genau wie eine lokal ange- separate Switche ein, in jedem Fall aber jeweils gleichen Segment. So definieren Sie schlossene SCSI-Festplatte aus. separate Netzwerkschnittstellen und IP- Ihre Storage-Pfade verbindlich, was auch Konfigurationen. Falls der Storage-Traffic das Troubleshooting erleichtert, sollte es iSCSI kapselt die standardmäßigen SCSI- physisch durch die gleichen Switches ge- einmal notwendig werden. Bei Migrationen Befehle und die resultierenden Daten in leitet wird wie der Applikations-Traffic, und Umzügen hingegen können Sie von TCP-Pakete, die über ein herkömmliches sollten Sie die Latenzen der Pakete unbe- der Flexibilität von TCP/IP profitieren und TCP/IP-Netzwerk übertragen werden, dingt überwachen und, falls nötig, Quality Routing gezielt einsetzen, um Storage-Pfade daher auch die Bezeichnung "Internet of Service (QoS) einsetzen, um den iSCSI- über Standortgrenzen hinweg aufrechtzu- SCSI". Auf der physischen Schicht erfolgt Verkehr zu priorisieren. erhalten. Denken Sie daran, die Routing- die Übertragung nahezu ausnahmslos Konfiguration nach Abschluss der Migra- über Ethernet, 10 GBit/s sind mittler- 2. Vermeiden Sie Routing: iSCSI hat keine tion wieder zu entfernen. weile üblich. Allerdings können auch Intelligenz, um schnelle Verbindungen oder mehrere GBit-Ethernet-Schnittstellen kurze Wege zu bevorzugen. Hat Ihr Target 3. Vermeiden Sie Teaming: Teaming, Bon- durchaus für ausreichend Durchsatz sor- mehrere IP-Adressen, wird der Initiator in ding, LACP – all diese Technologien ver- gen, wenn die Storage-Auslastung nicht der Regel versuchen, sie alle zu erreichen, tragen sich meist nicht gut mit iSCSI und allzu hoch ist. auch wenn eine der Target-Adressen in sei- bieten keine Vorteile in Sachen Durchsatz

98 Dezember 2018 www.it-administrator.de SAN-Umgebungen mit iSCSI Schwerpunkt

und Verfügbarkeit. Lassen Sie die Adapter Datei arbeiten oder auf die Verwendung und somit immer möglich, sofern eine einzeln arbeiten und verwenden Sie Sto- von IP-Adressen zurückgreifen müssen. Route vom Initiator zum Portal existiert. rage-Multipathing (dazu später mehr) für Das Portal liefert die Auflistung aller die Ausfallsicherheit. Microsoft-Initiator einrichten Schnittstellen zurück, auf denen das Target Obwohl es schon seit langem dedizierte iSCSI anbietet. Theoretisch muss diese 4. Schonen Sie Ihre Switches: Der Sto- Hardwarekarten gibt, die unabhängig vom Auflistung die ursprünglich angesprochene rage-Zugriff erzeugt sehr viele I/O-Ope- Betriebssystem iSCSI-Verbindungen auf- Portal-Adresse nicht beinhalten. Das Portal rationen, die durch die iSCSI-Kapselung bauen und so etwa das Booten von iSCSI- kann somit in einem Managementnetz lie- in enorm vielen IP-Paketen beziehungs- LUNs erlauben, sind die meisten einge- gen und die "echten" iSCSI-Schnittstellen weise Ethernet-Frames resultieren. Sie setzten iSCSI-Initiatoren in Software in dedizierten, nicht gerouteten Netzen. können daher die Last auf den CPUs Ih- implementiert. Server- und Client-Be- rer Switches reduzieren, indem Sie den triebssysteme sowie Hypervisor-Plattfor- Ist das Target dafür konfiguriert, iSCSI- MTU-Wert (maximale Rahmengröße) men wie Citrix XenServer und VMware Verbindungen von Ihrem Initiator ohne auf allen beteiligten Komponenten deut- ESXi haben inzwischen alle einen Soft- Authentifizierung anzunehmen, kommt lich erhöhen. Der Standardwert bei ware-Initiator an Bord. Den Software-Ini- die Storage-Verbindung zustande und die Ethernet liegt bei 1500 Bytes. Mit "Jumbo tiator von Microsoft gibt es seit 2003, wo- vom Target angebotenen LUNs sind in der Frames" können Sie diesen Wert, je nach bei es sich bis einschließlich Windows Datenträgerverwaltung des Initiator-Sys- Hersteller der Komponenten, auf 9000 Server 2003 noch um einen separaten tems sichtbar. Oft sind jedoch zusätzliche oder sogar 10.000 Bytes anheben. Achten Download [2] handelte. Ab Windows Vis- Schritte notwendig, um die iSCSI-Verbin- Sie darauf, dass der MTU-Wert beim Ini- ta und Server 2008 beinhaltet jedes Mi- dung erfolgreich herzustellen. Es kann bei- tiator und dem Target nicht höher liegt crosoft-Betriebssystem den iSCSI-Initiator. spielsweise notwendig sein, den "iSCSI als auf den Switches, durch die der Traf- Er ist ein fester Bestandteil des Lieferum- Qualified Name" oder IQN des Initiators fic fließt. Andernfalls werden Pakete fangs und kann nicht entfernt werden. zu ändern (letzter Reiter "Konfiguration") fragmentiert und die Performance sinkt, Der dazugehörige Dienst (MSiSCSI) ist oder die Authentifizierung einzurichten statt zu steigen. jedoch standardmäßig nicht gestartet. (Reiter "Suche", mehr dazu später).

5. Verzichten Sie auf RDMA: RDMA- Die iSCSI-Steuerung präsentiert sich recht Der standardmäßige IQN unter Windows Komponenten sind teuer und erfordern, spartanisch. Wenn Ihr Target auf den Stan- lautet "iqn.1991-05.com.microsoft:FQDN je nachdem ob RoCE oder iWARP zum dardport 3260 hört, verwenden Sie einfach des Systems". Unter Umständen schneidet Einsatz kommt, dedizierte Konfiguratio- das Feld "Schnell verbinden". Tragen Sie Windows bei der automatischen Erzeugung nen. Während dieser Aufwand im SMB3- dort die IP-Adresse oder den FQDN einer des IQN den Hostnamen am Ende ab, so- Verkehr durch extrem hohe Durchsatz- der iSCSI-Schnittstellen des Targets ein dass ähnlich benannte Maschinen den glei- raten belohnt wird, werden Sie bei iSCSI und die Verbindung ist im einfachsten Fall chen IQN erhalten. Im Clusterbetrieb führt nicht davon profitieren, denn Windows bereits hergestellt. An dieser Stelle sollten das dazu, dass keine permanente SCSI-3- beherrscht das iSER-Protokoll (iSCSI Ex- Sie etwas über die Funktionsweise von Reservierung möglich ist und die Cluster- tensions for RDMA) nicht. iSCSI wissen. Der Initiator verbindet sich Einrichtung scheitert. Prüfen Sie daher stets erst einmal zu einem sogenannten "Portal". den automatisch generierten IQN und pas- 6. Arbeiten Sie mit fixen IP-Adressen: Las- Diese Verbindung ist authentifizierungsfrei sen Sie ihn bei Bedarf an. sen Sie sich nicht dazu verführen, DHCP im Storage zu verwenden und arbeiten Sie mit statischen IP-Adressen. Wenn Sie es vorziehen, Target und Initiator mit ihrem FQDN statt mit der IP-Adresse anzusprechen, verwenden Sie dafür kein dynamisches DNS mit Selbstregistrierung, sondern statische Host-Einträge. Schalten Sie die automatische Registrierung für die iSCSI-Schnittstellen aus (Eigenschaften von TCP/IP / Erweitert / DNS / Haken bei "Adressen dieser Verbindung in DNS registrieren" entfernen). Sollte es notwendig sein, dass iSCSI bereits vor DNS hochge- fahren wird (beispielsweise weil Ihre Do- main Controller virtualisiert sind und deren Festplatten im iSCSI-Storage liegen), so werden Sie entweder mit einer Hosts- Bild 1: Portale teilen dem Initiator Informationen über "ihre" Ziele mit.

www.it-administrator.de Dezember 2018 99 Schwerpunkt SAN-Umgebungen mit iSCSI

Verbindungen absichern Auf mehreren Pfaden Add-Win dowsFeature Multipath-IO Natürlich wäre es in Unternehmensnetzen Eine der größten Stärken blockbasierter -Restart erledigen. inakzeptabel, wenn jedes System eine Ver- Storage-Zugriffsprotokolle ist ihre Fähig- - Schritt 2: Weisen Sie MPIO an, iSCSI- bindung zu Storage-Volumes bereits da- keit, ein und dieselbe LUN auf mehreren Pfade zu erfassen. Wenn Ihr Target ein durch herstellen könnte, dass eine IP- Pfaden anzusprechen. Dabei ist sowohl DSM mitbringt, installieren Sie dieses Route zum Target existiert. Auch ist es Failover (wenn ein Pfad ausfällt, springt nach Anleitung des Herstellers. Win- nicht zielführend, wenn jedes System, das ein anderer ohne Unterbrechung ein) als dows liefert allerdings ein generisches berechtigt ist, eine iSCSI-LUN einzubin- auch Load Balancing möglich (Storage- DSM für iSCSI-Targets mit. Um es zu den, gleich alle LUNs auf dem gleichen Traffic wird dauerhaft auf mehrere Pfade aktivieren, öffnen Sie das MPIO-Applet, Storage sehen kann. Daher bietet iSCSI verteilt). Auch iSCSI beherrscht diese Fä- wechseln Sie auf den Reiter "Multipfade mehrere Mechanismen, um den Zugriff higkeit. Dabei gilt es, zwischen folgenden suchen" und setzen Sie den Haken bei sinnvoll einzugrenzen und zu steuern: Techniken zu unterscheiden: "Unterstützung für iSCSI-Geräte hin- - Zugriffslisten: Das Target kann dafür - MC/S (Multiple Connections per Ses- zufügen". Auch diese Aktion erfordert konfiguriert werden, nur von bestimm- sion) ist ein Feature des iSCSI-Protokolls einen Neustart. ten Initiatoren Verbindungen anzuneh- und per Default immer aktiv. Wenn das - Schritt 3: Fügen Sie iSCSI-Pfade hinzu. men. Der Initiator kann dabei über IQN, Target über mehrere Netzwerkverbin- Öffnen Sie die iSCSI-Initiatorsteuerung FQDN, IP-Adresse oder MAC-Adresse dungen erreicht werden kann, versucht und wählen Sie gleich auf dem ersten identifiziert werden. Diese Einschrän- der Initiator, alle Verbindungen parallel Reiter den IQN Ihres MPIO-fähigen kung betrifft nicht die Verbindungen zu nutzen. Funktioniert MC/S, so ist es Targets aus. Klicken Sie unterhalb der zum Portal, sondern nur die tatsächli- für SCSI transparent und der Storage- Liste auf "Verbinden". chen Verbindungen zum iSCSI-Target. Treiber des Betriebssystems erfährt - Authentifizierung: Das Target kann eine nichts von einer Verbindungstrennung Setzen Sie nun den Haken bei "Multipfade Authentifizierung verlangen. Im iSCSI- oder -wiederherstellung. Allerdings ist aktivieren" und klicken Sie anschließend Verkehr wird hierfür CHAP ("Chal- die Implementierung von MC/S nicht auf "Erweitert". Machen Sie die nötigen lenge Handshake Authentication Proto- standardisiert, sodass Verfahren unter- Angaben zum neuen Pfad und bestätigen col") verwendet. Als Benutzername gilt schiedlicher Hersteller möglicherweise Sie alles mit "OK". Geben Sie nun die Ziel- normalerweise der IQN, es kann aber inkompatibel zueinander sind. Es gibt und die Quell-IP-Adresse des Pfades an. ein beliebiger Name gewählt werden. in der Regel keine Möglichkeit, MC/S Sie müssen den Vorgang so oft wiederho- - Gegenseitige Authentifizierung: Auch zu konfigurieren oder zu überwachen. len, wie Sie unterschiedliche Pfade zwischen der Initiator kann vom Target eine - MPIO (MultiPath I/O) ist im SCSI- Target und Initiator einrichten möchten. CHAP-Authentifizierung verlangen. Da- Stack angesiedelt und funktioniert für Anschließend ist jedes von Ihrem Target mit wissen beide Kommunikationspart- alle SCSI-Protokolle (SAS, Fibre Chan- bereitgestellte Storage-Volume (LUN) auf ner, dass sie mit dem Richtigen sprechen. nel, iSCSI) auf die gleiche Art und Wei- mehreren Pfaden erreichbar, was Sie in der se. MPIO ist standardisiert und somit Datenträger-Verwaltung sehen können. Zwischen Windows-Maschinen kann die herstellerunabhängig. Die wenigen her- Dort konfigurieren Sie auch die Multipfad- native AD-Authentifizierung (Kerberos) stellerspezifischen Funktionen können Policy und schließen einzelne Pfade aus. übrigens auch dann nicht im iSCSI-Ver- durch spezielle "device specific mo- kehr verwendet werden, wenn Target dules" (DSM), eine Art "MPIO-Treiber", Windows-Server als Ziel und Initiator der gleichen AD-Domäne implementiert werden. Sie können einen Windows-Server auch angehören. Der Datenverkehr zwischen zu einem iSCSI-Target machen und damit Initiator und Target ist normalerweise Einen fundierten Vergleich der beiden den vorhandenen Storage anderen Syste- nicht verschlüsselt und lässt sich theo- Technologien können Sie unter [4] nach- men zur Verfügung stellen. Ursprünglich retisch angreifen. Dies ist besonders kri- lesen. MPIO ist ein Server-Feature und war diese Funktionalität nur dem "Win- tisch, falls iSCSI-Verbidungen über öf- kann nicht auf Client-Betriebssystemen dows Storage Server" vorbehalten. Für die fentliche Netze aufgebaut werden zum Einsatz kommen. Auf einem 2008er Server-Generation gibt es das Tar- müssen. Um den Storage-Traffic gegen Windows-Server hingegen können Sie get zum Download. Seit Server 2012 ist das Abhören abzusichern, unterstützt MPIO mit iSCSI in drei einfachen Schrit- das iSCSI-Target ein Feature des Betriebs- der iSCSI-Initiator nativ IPSec. Die Ge- ten einrichten. Die ersten beiden Schritte systems, das Sie mit dem Server-Manager genstelle für den Aufbau des IPSec-Tun- erfordern jeweils einen Neustart. Sie kön- oder per PowerShell nels kann sowohl das Target selbst sein nen die Einrichtung daher nur vornehmen, (sofern es diese Funktionalität bietet) als wenn Ihr Initiator keine produktive Funk- > Add-WindowsFeature Storage-Ser- auch ein dedizierter VPN-Konzentrator. tion wahrnimmt – idealerweise bereits vor vices,FS-iSCSITarget-Server,iSCSI- Fast alle Operationen am iSCSI-Initiator der Einbindung der iSCSI-Volumes: Target-VSS-VDS können Sie auch per PowerShell durch- - Schritt 1: Fügen Sie das MPIO-Feature führen. Unter [3] finden Sie die Cmdlet- hinzu. Das können Sie mit dem Ser- aktivieren. Diese Operation erfordert kei- Referenz dazu. ver-Manager oder per PowerShell mit nen Neustart.

100 Dezember 2018 www.it-administrator.de SAN-Umgebungen mit iSCSI Schwerpunkt

Die Verwaltung des Targets Target-Seite, gar keine iSNS-In- können Sie mit der PowerShell tegration implementiert, was [5] oder mit dem Server-Mana- die Verbreitung von iSNS noch ger erledigen. Am Anfang hat weiter einschränkt. Windows der Target-Server weder iSCSI- Server beinhaltet eine rudimen- Targets noch LUNs. Mit der täre iSNS-Implementierung, die Einrichtung der ersten LUN Sie mit Add-WindowsFeature werden Sie gebeten, auch das ISNS oder mit dem Server-Ma- erste Target zu erstellen. Wenn nager installieren können. Zur Sie bereits mit Linux- oder Verwaltung bringt das Feature UNIX-basierten iSCSI-Geräten eine einfache GUI und ein Kom- gearbeitet haben, werden Sie mandozeilenprogramm (isnscli. hier einen Unterschied feststel- exe) mit, die den gleichen Funk- len. Das Microsoft-Target bietet tionsumfang aufweisen. Ihnen nicht die Wahl, logische Blöcke Ihrer lokalen Festplatten Anders als beim Initiator können direkt per iSCSI durchzureichen Sie beim Windows-Server-ba- oder eine virtuelle Festplatte an- sierten iSCSI-Target nicht einfach zulegen. In Windows basiert je- an der GUI die iSNS-Server ein- de iSCSI-LUN auf einer virtu- tragen. Sie nutzen daher diesen ellen Festplatte (VHDX). Diese WMI-Aufruf: Bild 2: Die zugelassenen Initiatoren können auf unterschiedliche Weise kann, wie bei Hyper-V, eine fixe angegeben werden. oder dynamische Größe haben. > Set-WmiInstance -Namespace Auch differenzierende VHDX root\wmi -Class WT_iSNSSer- sind möglich. Wenn Sie S2D-Storage ausschließlich für ver -Arguments @{ServerName="iSNS- Hyper-V und SQL Server verwenden, soll- Server"} Die VHDX muss auf einem lokalen NTFS- ten Sie statt iSCSI den Einsatz von SMB3 oder ReFS-Volume liegen, UNC-Pfade sind als Transportprotokoll erwägen. Sie werden Allerdings funktioniert diese Art Regis- nicht zulässig. Wenn Ihr Target-Server über vermutlich eine noch höhere Performance trierung nur, wenn der iSNS-Server mit viele Festplatten verfügt, sollten Sie für Ihre und bessere Verteilung des Datenverkehrs der Maschine identisch ist, die das iSCSI- iSCSI-Laufwerke einen Storage Space auf die einzelnen Pfade erreichen. Target ausführt. (Laufwerkspool) einrichten. Bei Anlage eines iSCSI-Targets müssen Sie stets die zu- Betreiben Sie eine iSCSI-Landschaft mit Fazit gelassenen Initiatoren angeben. Platzhalter sehr vielen Targets und Initiatoren, kann Windows Server erlaubt den Aufbau ro- sind dabei jedoch möglich. Ein Microsoft- sich der Einsatz von iSNS (iSCSI Name Ser- buster und performanter Storage-Land- -iSCSI-Target ist per Default MPIO-fähig. vice) lohnen. Es ist eine Art "dynamisches schaften auf iSCSI-Basis. Dank eines stan- Sie müssen also das MPIO-Feature nicht DNS" für iSCSI-Geräte. Targets und Ini- dardisierten Kommunikationsprotokolls auf dem Target-Server installieren. tiatoren registrieren sich in diesem zentra- können Win dows-Systeme von bestehen- len Dienst und teilen ihre IQNs, Hostna- dem Drittanbieter-Storage einschließlich Verfügbarkeit erhöhen men und IP-Adressen mit. Der Admin- Multipathing profitieren. (dr) Falls Sie besonders hohe Anforderun- istrator kann die registrierten Geräte auf gen an die Verfügbarkeit Ihres iSCSI- Zonen ("Discovery-Domänen") verteilen Link-Codes Storage haben, können Sie Ihre iSCSI- und die Zonen dann durch "Discovery- Landschaft noch weiter verbessern. Das Domänensätze" miteinander verknüpfen. [1] RFC7143 iSCSI-Target ist eine der vordefinierten So finden die Initiatoren automatisch ihre ibz81 Cluster-Rollen in einem Windows Ser- Targets, ohne dass Sie diese explizit dort [2] Microsoft Software Initiator ver Failover Cluster (WSFC). Somit eintragen müssen – lediglich der iSNS-Ser- ibz84 können Sie Ihr Target gegen den Ausfall ver muss in den Eigenschaften des Initiators [3] iSCSI Initiator Cmdlets Reference eines Hosts absichern. Den dafür be- unter "Suche" angegeben werden. Sie kön- ibz86 nötigten Shared Storage können Sie bei- nen auch mehrere Server angeben, die [4] Vergleich MCS vs. MPIO ibz85 spielsweise mittels Storage Spaces Direct nacheinander abgefragt werden. (S2D) [6] aus den lokalen Festplatten [5] iSCSI Target Cmdlets Reference ibz82 (HDD und SSD) der beteiligten Hosts Der Einsatz von iSNS lohnt sich nur in bereitstellen. Durch das SSD-Caching sehr großen oder sehr dynamischen [6] Überblick über Storage Spaces Direct erhalten Sie eine hohe Performance mit iSCSI-Umgebungen. Daher haben viele hbp81 relativ preiswerten Festplatten. Storage-Anbieter, insbesondere auf der

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 101 Buchbesprechung

Synology NAS

Network Attached dass Synology-Geräte auch bei vielen ben wird, sucht der Leser Informationen Storage (NAS) stellt Power-Anwendern im Schrank stehen zum Backup auf Clouddienste wie Ama- gerade für kleinere dürften. Kapitel wie "Musik über das NAS zons S3, Glacier oder Microsofts Azure Firmen und Außen- abspielen" oder "Fernsehen mit der Video vergeblich. Ebenso ist nicht zu erfahren, stellen eine gute Station" streifen typische Admin-Tätig- wie das NAS mit dem Active Diretory zu- Option dar, Daten keiten wohl nur am Rand. Aber selbst wer sammenspielt. Nicht zu kurz kommt hin- in einem zentralen das NAS nur als klassischen Datenspei- gegen, wie sich das Gerät von außen zur Speicher vorzuhal- cher nutzt, erhält zahlreiche nützliche In- Administration oder zum Dateizugriff ten und Nutzern per formationen, etwa zur Datenträgeraus- mit mobilen Devices ansteuern lässt. Freigaben zur Ver- wahl, zu möglichen RAID-Modi oder fügung zu stellen. Ein aufstrebender An- zum generellen Umgang mit dem herstel- Fazit bieter ist das taiwanesische Unternehmen lereigenen Betriebssystem DSM. Allge- Insgesamt hat Rühmer mit "Synology Synology, das 2017 im NAS-Markt für mein gilt jedoch, dass sich die Hinweise NAS" einen reichlich bebilderten, infor- Deutschland den vierten Rang belegte – oft an NAS-Einsteiger richten. Storage- mativen Leitfaden zum praktischen Um- nach nicht einmal 1 Prozent Marktanteil Admins und IT-Profis dürften wenig gang mit den Netzwerkspeichern des Her- noch im Jahr zuvor. Grund genug für Au- Neues lernen. stellers geschrieben. Wirklich in die Tiefe tor Dennis Rühmer, den Netzwerkspei- Recht gut gefallen haben uns die Ein- geht der Autor dabei jedoch selten, klas- chern des Herstellers mit "Synology NAS lassungen zum Thema Backup, die in sische Admin-Themen fehlen zum Teil – Die praktische Anleitung" ein rund 350 Grundzügen beschreiben, wie sich sowohl komplett. Zielgruppe des Buchs dürften Seiten fassendes Buch zu widmen. die Daten von Arbeitsstationen als auch daher alles in allem eher ambitionierte Das Werk gliedert sich in insgesamt 19 die Daten des NAS selbst sichern lassen. Heimnutzer sein. Lars Nitsch Kapitel, die sich grob den Themenberei- Hier zeigt sich jedoch erneut die eher se- chen Storage & Backup, (Private) Cloud, miprofessionelle Zielgruppe des Buchs: Autoren Dennis Rühmer Fernzugriff und Multimedia zuordnen Während die Sicherung von NAS-Daten Verlag Rheinwerk Verlag Preis 29,90 Euro lassen. Gerade der letzte Block fällt recht auf eine per USB angeschlossene externe ISBN 978-3-8421-0419-8 umfangreich aus und weist darauf hin, Festplatte ziemlich ausführlich beschrie-

Docker Container wie etwa Grundlagen über passende Werkzeuge Codebeispiele stehen im Web zum Docker erlauben, bis hin zum Praxiseinsatz alles Relevante. Download bereit. Dienste in einer ab- Doch die Leser müssen sich in den ersten geschotteten Umge- zwei Kapiteln nicht vor grauer Theorie Fazit bung zu betreiben fürchten, denn auch hier veranschauli- Docker hat sich als Standard in Sachen und sind dabei auch chen Beispiele die dargelegten Aspekte. Container durchgesetzt und bietet viele noch schneller auf- Zwar verlangt das Buch kein Docker- Vorteile. Das Buch "Docker" führt die Le- gesetzt als ausge- Grundwissen, doch richtet es sich ver- ser mit zahlreichen Praxisbeispielen zu wachsene virtuelle ständlicherweise an IT-Erfahrene und so einer funktionierenden Container-Um- Maschinen. Das steigen die Autoren auch ohne langes Vor- gebung. Dabei versuchen die Autoren, ih- schafft enorme Vorteile in Testumgebun- geplänkel ein. Zum Vorwissen gehört un- re Ausführungen möglichst praxisnah zu gen sowie beim Deployment von Diens- ter anderem der Umgang mit Webservern halten – was bei einem derart technischen ten. Docker ist der Standard in Sachen wie Apache. Thema keine leichte Aufgabe ist. Die teil- Container schlechthin und war auch die Im weiteren Verlauf des in drei Teile weise leicht hölzerne Sprache mit langen erste Container-Technologie in dieser mit 18 Kapiteln unterteilten Werks erfah- Sätzen sorgt dabei nicht immer für ein Form. Die Community-Edition steht für ren die Leser das Zusammenspiel von Do- besseres Verständnis. Leser sollten sich alle relevanten Plattformen sogar kosten- cker mit Komponenten wie dem erwähn- definitiv Zeit nehmen, um das Buch in frei zur Verfügung. Das Buch "Docker" ten Apache-Server, MySQL, MongoDB Ruhe und konzentriert durchzuarbeiten. von Bernd Öggl und Michael Kofler führt oder auch Programmiersprachen wie Daniel Richey die Leser in die Container-Landschaft PHP, JavaScript und Python. Hierfür stel- rund um den Vorreiter ein. len die Autoren verschiedene Images samt Autoren Bernd Öggl und Michael Kofler Für einen "Kofler" mit 430 Seiten eher deren Nutzung vor, die die jeweiligen Ser- Verlag Rheinwerk Computing dünn, dient das Buch als Einstieg in die ver oder Applikationen beinhalten. Prak- Preis 39,90 Euro ISBN 978-3-8362-6176-0 Docker-Welt und behandelt von den tisch: Sämtliche Projektdateien und

102 Dezember 2018 www.it-administrator.de Fachartikel online

Besser informiert: Mehr Fachartikel auf www.it-administrator.de Unser Internetauftritt versorgt Sie jede Woche mit neuen interessanten Fachartikeln. Als Heftleser können Sie über die Eingabe des Link-Codes schon jetzt exklusiv auf alle Online-Beiträge zugreifen.

Scale-Out-Objektspeicher Datensicherheit für digitale für KMUs und analoge Dokumente

Durch die zunehmende Digitalisierung ist die Stichhaltige Backup- und Recovery-Konzepte Datenmenge in den letzten Jahren enorm an- sind elementare Bausteine jeglicher Daten- gestiegen – und das nicht nur bei großen haltung. Auch wenn oder gerade weil sich Sicherheit für Hardware- Unternehmen, sondern auch im Mittelstand. Datenschutz und Datensicherheit nie absolut, Infrastrukturen schaffen Eine der Hauptanforderungen an moderne sondern immer nur in bestmöglicher Annähe- Speicherstrukturen ist insbesondere, dass der rung erreichen lassen, müssen Unternehmen Switches, Firewalls und Access Points – mit ständig steigende Kapazitätsbedarf gedeckt stetig in die geeigneten technisch-organisa- welcher Technologie werden Administratoren ist und sich die Speicherkapazitäten im Be- torischen Maßnahmen investieren, um den Hardwarelandschaften heute und in Zukunft darfsfall schnell erweitern lassen. Wie der Grad an Vertraulichkeit, Verfügbarkeit und möglichst sicher organisieren? Was können Anwenderbericht auf unserer Homepage Integrität der Daten zu optimieren. Wie der Unified Threat Management, anonymisiertes zeigt, können Scale-Out-Technologie hier Fachbeitrag auf unserer Homepage zeigt, Inhouse-Traffic-Monitoring und -Verwaltung Abhilfe schaffen. sind dabei digitale und analoge Welten glei- wirklich leisten? Der Online-Artikel skizziert, Link-Code: ibw51 chermaßen einzubeziehen. wie sich Betreuung, Backups, Remote Access Link-Code: ibw52 und Monitoring zentralisiert und aus einer Hand umsetzen lassen und der Administrator dabei nur noch delegieren muss. Hier stellt der Beitrag auch einen Vergleich von Cloud- Infrastructure-as-a-Service mit wenigen Mausklicks und Standalone-Lösungen an. Die Datenexplosion hört nicht auf, seit Jahren entstehen immer mehr Rechenzentren. Viele Firmen Link-Code: ibw53 stoßen dabei an finanzielle Grenzen. Eine Alternative ist die Cloud, genauer: Infrastructure-as-a- Service. Der Anwenderbericht auf unserer Webseite zeigt, wie der Media Ventures GmbH der Wech- sel zur Cloud im Handumdrehen gelungen ist. Das Unternehmen bietet unter anderem IT-Services an, die sie fortwährend ausbauen möchte. Dafür bedarf es nun keiner neuen RZ-Flächen mehr, sondern nur noch ein paar Mausklicks. Link-Code: ibw54

Windows-Server-Container

Neben Nano gehören Windows-Server-Container als Docker-Implementierung zu den interessantesten Bestand- teilen in Windows Server 2016. Sie ermöglichen den einfachen und ressourcenschonenden Betrieb von Anwendun- gen und Webdiensten aller Art. Gerade Cloudanwendungen lassen sich damit in einer sicheren und zügig zu erstellen- den Umgebung betreiben. Alles, was Sie benötigen, ist ein Container-Host auf Basis von Windows Server 2016. Dabei kann es sich um einen physischen Server handeln, eine VM oder einen virtuellen Computer in Microsoft Azure. Der ex- klusive Online-Workshop erklärt Ihnen, welche Arten von Containern es unter Windows Server 2016 gibt und mit welchen Werkzeugen sich diese verwalten lassen. Link-Code: ibw55

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 103 Alle Themen auf einen Blick Terminkalender

Termin Thema Ort Status Link-Code*

14.01.2019 GPO für Windows 10 Hamburg tiw03

15.01.2019 Windows 10 aktualisieren Hamburg tiw11

06.-08.02.2019 Intensiv-Seminar Power Shell für Admins Hamburg nur noch wenige Plätze tiwi2

20.-22.02.2019 Intensiv-Seminar Power Shell für Admins München/Garching nur noch Warteliste tiwi2

25.02.2019 GPO für Windows 10 Düsseldorf tiw03

26.02.2019 Windows 10 aktualisieren Düsseldorf tiw11

18.03.2019 GPO für Windows 10 München tiw03

19.03.2019 Windows 10 aktualisieren München tiw11

08.04.2019 Amazon Web Services für KMUs München tiw12

30.04.2019 Amazon Web Services für KMUs München tiw12

08.-10.05.2019 Intensiv-Seminar Aufbau einer PKI unter Windows Hamburg tiwi3

*Link-Code eingeben auf www.it-administrator.de

Anmeldung online unter: www.it-administrator.de/trainings

Der IT-Administrator bietet seinen Abonnenten regelmäßig Haben Sie Fragen einzelne Trainingstage und mehrtägige Intensiv-Seminare zu unseren Trainings mit renommierten Trainern und zu attraktiven Konditionen. und Intensiv-Seminaren?

IT-Administrator Trainings finden ganztägig statt, sind auf 25 Teilnehmer begrenzt und kostenpflichtig – mit einem Sabine Scherzer Vorteilspreis von Euro 238 (inkl. MwSt.) für Abonnenten. Eventmanager Nicht-Abonnenten zahlen 299 Euro. Trainingsorte sind in der Regel München, Hamburg, Frankfurt-Dietzenbach Tel. + 49 - 89 - 444 540 825 und Düsseldorf. Fax + 49 - 89 - 444 540 899 [email protected] IT-Administrator Intensiv-Seminare laufen über mehrere Tage und sind auf sechs bis zehn Teilnehmer begrenzt. Seminarorte sind i.d.R. Hamburg und München-Garching. Auch hier erhalten Abonnenten attraktive Vorzugspreise! Heinemann Verlag GmbH · Leopoldstraße 87 · D-80802 München Aus dem Forschungslabor Von Speicher- giganten und Quantenboliden von Lars Nitsch

Im Bereich der Forschung fallen oft besonders große Datenmen- gen an. Um diese zu analysieren, sind wiederum besonders leis- tungsfähige Rechner vonnöten. Eine mögliche Lösung: Quanten- computer. Für Massenspeicher und Quantentechnologien gibt es

nun neue Projekte und Forschungsinitiativen. – 123RF SIDOROV EVGENII Quelle:

O b für hochauflösende mikrosko- Heidelberger Universitätsrechenzentrum Rechenkraft. Quantentechnologien in pische Aufnahmen, detaillierte Sa- den Landesdienst "SDS@hd – Scientific Europa vom Forschungslabor in die All- tellitenbilder oder Daten aus komplexen Data Storage" an, mit dem Wissenschaft- tagstechnik übersetzen ist deshalb das Simulationen – die digital gestützte Spit- lerinnen und Wissenschaftler aus ganz Ziel der Forschungsinitiative "Quantum- zenforschung benötigt immer mehr Spei- Baden-Württemberg das System für die Flagship", die Ende Oktober in Wien aus cherplatz. Da macht auch das Rechen- Speicherung ihrer Forschungsdaten ver- der Taufe gehoben wurde. Mit einem zentrum der Universität Heidelberg keine wenden können. Vorgesehen ist dieser Budget von einer Milliarde Euro und ei- Ausnahme. Aus diesem Grund wird das Speicherplatz für Hot Data, also für Da- ner Laufzeit von zehn Jahren handelt es Speichersystem für wissenschaftliche Da- ten, mit denen regelmäßig und intensiv sich um eine der ambitioniertesten For- ten, das in Heidelberg unter dem Namen gearbeitet wird. schungsinitiativen der Europäischen Uni- "Large Scale Data Facility 2" (LSDF2) ar- on. Sie vereint Forschungseinrichtungen, beitet, erheblich erweitert: Nach zwei Be- Neben viel Speicherplatz soll das System Hochschulen, Unternehmen und politi- triebsjahren hat die Deutsche Forschungs- auch beim Datenschutz punkten, da alle sche Akteure und unterstützt großange- gemeinschaft (DFG) eine Fördersumme Dateien automatisch verschlüsselt und legte und langfristige Forschungsprojekte. von 1,5 Millionen Euro bewilligt. Die Mit- nur in den Maschinenräumen des Uni- So wird etwa das Forschungszentrum Jü- tel – jeweils zur Hälfte von der DFG und versitätsrechenzentrums gespeichert wer- lich, so die Pläne, Standort eines zukünf- dem baden-württembergischen Wissen- den. Auch eine durchgängige Transport- tigen Quantencomputers. schaftsministerium aufgebracht – werden verschlüsselung der Daten will der eingesetzt, um das Gesamtspeichervolu- Betreiber gewährleisten. Die LSDF2 ist Mehr als 5000 Forscherinnen und Forscher men von 6 auf 25 PByte zu erhöhen. so angelegt, dass sie kurze Zugriffszeiten aus Wissenschaft und Industrie sind am auf die Forschungsdaten bietet. Ein Si- Quantum-Flagship beteiligt. In ihrer ersten 25 PByte Speicher cherheitskonzept schützt vor Datenver- Phase fördert die Initiative 20 Forschungs- für die Forschung lust, etwa durch ein Sekundärsystem in vorhaben. Das Forschungszentrum Jülich LSDF2 ist ein gemeinsames Projekt des einem getrennten Brandschutzbereich bringt seine Expertise in drei Projekte ein. Universitätsrechenzentrums und des und eine unterbrechungsfreie Stromver- Am Projekt "OpenSuperQ" sind zehn Part- Steinbuch Centre for Computing am sorgung. Dass 25 PByte noch nicht die ner aus Wissenschaft und Industrie betei- Karlsruher Institut für Technologie und Grenze nach oben sind, zeigt sich im Fall ligt. Sie entwickeln und bauen in den kom- Teil des landesweiten Konzepts bwDATA, des europäischen Kernforschungszen- menden drei Jahren einen europäischen mit dem die Rechenzentren der Hoch- trums CERN: Hier fallen in einem Jahr Quantencomputer – der erste auf diesem schulen in Baden-Württemberg den Aus- etwa 50 PByte Daten an. Level und unter vergleichbaren Systemen bau datenintensiver Dienste gemein- weltweit führend. Der Rechner soll vor al- schaftlich voranbringen wollen. Die jetzt Quantenforschung lem die Simulation von Abläufen in Che- von der DFG und dem Ministerium wei- praktisch umsetzen mie und Materialwissenschaften sowie das ter geförderte LSDF2 wurde 2016 einge- Wo enorme Datenmengen anfallen, be- maschinelle Lernen, Teilgebiet der Künst- richtet. Auf Basis der LSDF2 bietet das darf es zu deren Analyse auch massiv an lichen Intelligenz, beschleunigen.

Link-Codes eingeben auf www.it-administrator.de Dezember 2018 105 Vorschau

Die Ausgabe 1/19 erscheint am 4. Januar 2019 Netzwerke sicher betreiben

Das lesen Sie in den nächsten Ausgaben des ￭ Im Test: LANCOM 1640e VPN-Router

￭ Network Security Groups in Azure einrichten In der Februar-Ausgabe 2019 beleuchten wir das ￭ Thema Cloudmanagement. In den Tests verglei- Converged Networks und VLANs chen wir unter anderem die Hostingangebote von mit Windows Server 2016 1&1, OVH, Hetzner, Plusserver und Gridscale. Außer- ￭ dem zeigen wir, wie Sie die Kosten für Azure im Blick VMware AppDefense im Einsatz behalten, und das Zusammenspiel von Red Hat CloudForms 4.5 mit Ansible. Nicht zuletzt werfen wir einen Blick auf die Neuerungen in Sachen Hyper-V unter Windows Server 2019. In der März-Ausgabe Die Redaktion behält sich Themenänderungen aus aktuellem Anlass vor. folgt der Schwerpunkt Backup & Recovery.

Impressum

Redaktion Produktion / Anzeigendisposition All-Inclusive Jahresabo ISSN So erreichen Sie den Leserservice John Pardey (jp), Chefredakteur Lightrays: A. Skrzypnik, L. Mueller (incl. E-Paper Monatsausgaben, 2 Sonder- 1614-2888 Leserservice IT-Administrator verantwortlich für den redaktionellen Inhalt [email protected] heften und Jahres-CD): € 188,00 Urheberrecht Stephan Orgel [email protected] Tel.: 089/4445408-88 All-Inclusive Studentenabo: € 120,50 Fax: 089/4445408-99 Auslandspreise: Alle in IT-Administrator erschienenen Bei- 65341 Eltville Titelbild: Daniel Richey (dr), Stellv. Chefredakteur/CvD Jahresabo: € 150,- träge sind urheberrechtlich geschützt. Alle Tel.: 06123/9238-251 yuri2011 – 123RF Rechte, einschließlich Übersetzung, Zweit- [email protected] Studentenabo: € 75,- Fax: 06123/9238-252 Jahresabo mit Jahres-CD: € 163,50 verwertung, Lizenzierung vorbehalten. Re- E-Mail: [email protected] Druck Studentenabo mit Jahres-CD: € 88,50 produktionen und Verbreitung, gleich wel- Oliver Frommel (of), Leitender Redakteur Brühlsche Universitätsdruckerei All-Inclusive Jahresabo: € 203,00 cher Art, ob auf digitalen oder analogen [email protected] GmbH & Co. Kg All-Inclusive Studentenabo: € 128,00 Bankverbindung für Abonnenten Am Urnenfeld 12 Medien, nur mit schriftlicher Genehmigung E-Paper-Einzelheftpreis: € 8,99 des Verlags. Aus der Veröffentlichung kann Kontoinhaber: Heinemann Verlag Lars Nitsch (ln), Redakteur/Textchef 35396 Gießen E-Paper-Jahresabo: € 99,- nicht geschlossen werden, dass die be- Volksbank Raiffeisenbank [email protected] Vertrieb E-Paper-Studentenabo: € 49,50 schriebenen Lösungen oder verwendeten Rosenheim-Chiemsee eG Anne Kathrin Heinemann Jahresabo-Kombi mit E-Paper: € 168,- Bezeichnungen frei von gewerblichen Markus Heinemann, Schlussredakteur Vertriebsleitung IBAN: DE08 7116 0000 0102 6181 50 Schutzrechten sind. [email protected] [email protected] (Studentenabos nur gegen Vorlage einer gültigen Immatrikulationsbescheinigung) BIC: GENODEF1VRR Tel.: 089/4445408-20 Haftung Alle Preise verstehen sich inklusive der Für den Fall, dass in IT-Administrator unzu- Autoren dieser Ausgabe Abo- und Leserservice So erreichen Sie die Redaktion Thomas Bär, Klaus Bierschenk, gesetzlichen Mehrwertsteuer sowie treffende Informationen oder in veröffent- Vertriebsunion Meynen GmbH & Co. KG Redaktion IT-Administrator Norbert Deuschle, Thomas Drilling, Stephan Orgel inklusive Versandkosten. lichten Programmen, Zeichnungen, Plänen oder Diagrammen Fehler enthalten sein Heinemann Verlag GmbH Florian Frommherz, Jürgen Heyer, Große Hub 10 Verlag / Herausgeber 65344 Eltville sollten, kommt eine Haftung nur bei gro- Stefan Kania, Birgit Lehmann, Heinemann Verlag GmbH Leopoldstr. 87 [email protected] ber Fahrlässigkeit des Verlags oder seiner Sandro Lucifora, Jan Hendrik Meier, Leopoldstraße 87 80802 München Tel.: 06123/9238-251 Mitarbeiter in Betracht. Für unverlangt ein- Ariane Rüdiger, Thorsten Scherf, 80802 München Tel.: 089/4445408-10 Fax: 06123/9238-252 gesandte Manuskripte, Produkte oder Frank-Michael Schlede, Tim Schürmann, Fax: 089/4445408-99 Tel.: 089/4445408-0 sonstige Waren übernimmt der Verlag Evgenij Smirnov, Matthias Wübbeling Vertriebsbetreuung DPV GmbH Fax: 089/4445408-99 keine Haftung. E-Mail: [email protected] www.dpv.de (zugleich Anschrift aller Verantwortlichen) Anzeigen Manuskripteinsendungen [email protected] So erreichen Sie die Anzeigenabteilung Anne Kathrin Heinemann, Anzeigenleitung Web: www.heinemann-verlag.de Die Redaktion nimmt gerne Manuskripte Erscheinungsweise Anzeigenverkauf IT-Administrator verantwortlich für den Anzeigenteil E-Mail: [email protected] an. Diese müssen frei von Rechten Dritter monatlich sein. Mit der Einsendung gibt der Verfasser Anne Kathrin Heinemann [email protected] Eingetragen im Handelsregister des Bezugspreise die Zustimmung zur Verwertung durch die Tel.: 089/4445408-20 Amtsgerichts München unter Heinemann Verlag GmbH Einzelheftpreis: € 12,60 Heinemann Verlag GmbH. Sollten die Ma- HRB 151585. Leopoldstr. 87 Es gilt die Anzeigen- Inlandspreise: nuskripte Dritten ebenfalls zur Verwertung preisliste Nr. 15 vom Jahresabo: € 135,- Geschäftsführung / Anteilsverhältnisse angeboten worden sein, so ist dies anzuge- 80802 München 01.11.2017 Studentenabo: € 67,50 Geschäftsführende Gesellschafter zu ben. Die Redaktion behält sich vor, die Ma- Jahresabo mit Jahres-CD: € 148,50 gleichen Teilen sind Anne Kathrin nuskripte nach eigenem Ermessen zu bear- Tel.: 089/4445408-20 Studentenabo mit Jahres-CD: € 81,00 und Matthias Heinemann. beiten. Honorare nach Vereinbarung. Fax: 089/4445408-99

Aikux S. 47 Interlabor Belp S. 02 Inserentenverzeichnis BOC S. 13 Thomas-Krenn S. 21 Centron S. 108 Tuxedo S. 107 Experteach S. 05

106 Dezember 2018 www.it-administrator.de

5DEDWW EHL%XFKXQJ ELV ,KU

QHXHU (5:(,7(5%$5 &ORXG6HUYHU )/(;,%(/ LVWGD 6&+1(// 0$1$*('6(59(5 0$&+ 0DQDJHG6HUYHU &OXVWHU&ORXG6ROXWLRQV (LJHQHV'DWDFHQWHULQ'(

[,QWHO;HRQ(9&38 FHQWURQ,KU0DQDJHG6HUYLFH &38&RUHV 3URYLGHUVHLWIDVW-DKUHQ ELV*%''5$UEHLWVVSHLFKHU ELV[+''66'190H 5HGXQGDQWH&RQÀJ 3UHPLXP)XOO0DQDJLQJ [5XIEHUHLWVFKDIW 8SGDWH0DQDJHPHQW

UUU ACLRPML BC 'DWHQKDOWXQJDXVVFKOLHOLFKLP FHQWURQ5HFKHQ]HQWUXPLQ'HXWVFKODQG

/ŚƌZĞĐŚĞŶǌĞŶƚƌƵŵŝŶŝŶ

5DEDWWZLUG0RQDWHDE%HUHLWVWHOOXQJJHZlKUWVWHOOXQJJHZlKUW 'DQDFKJLOWGHUUHJXOlUH3UHLV