Datenberge besser bewältigen - IT

Transcrição

IT-Administrator 2015/ 2016 – Auszüge als Leseprobe
Unter anderem lesen Sie:
Datenberge
besser bewältigen
Storage-Neuerungen unter
Windows Server 2016
Sicher getunnelt
OpenVPNVerbindungen
Anschluss gefunden
Linux-Server ins
Active Directory
einbinden
Im Test
COMPUTENT Secure
www.it-administrator.de
S006-009_ITA_0616_A01_ok_ITA_Default 18.05.2016 14:38 Seite 3
News
Aktuell
LXD 2.0 ist fertig
Seit Mitte April ist Version 2.0 der Containerlösung LXD verfügbar, die von Canonical für Ubuntu entwickelt wird. LXD basiert
auf den kürzlich ebenfalls in Version 2.0 veröffentlichten LXCContainern und bietet über deren Grundfunktionalität hinaus
bessere Isolation der Container untereinander und gegenüber
den Host-System sowie komfortablere und besser automatisierbare Managementfunktionen. Diese Ziele werden mit Hilfe eines
Daemons und einer webbasierten REST-Schnittstelle erreicht.
Wie LXC erhält auch LXD 2.0 einen Langzeitsupport von fünf
Jahren. Solange garantieren die Entwickler die Rückwärtskompatibilität der Schnittstellen, auch wenn sie sich vorbehalten, sie
eventuell zu erweitern. Zur Einstellung von Security-Features
wie Seccomp, Namespaces und AppArmor bietet LXD eine eigene Konfigurationssprache. Die Kommunikation mit dem LXDDaemon findet über TLS 1.2 mit einem sehr eingeschränkten
Satz an Kryptoalgorithmen statt.
In Ubuntu 16.04, das die neuen LXD- und LXC-Versionen
enthält, soll als Dateisystem für Container das von Solaris stammende ZFS eingesetzt werden. Allerdings ist umstritten, ob dies
angesichts der vermutlich inkompatiblen Lizenzen von LinuxKernel und ZFS auf legalem Weg möglich ist. In Ubuntu 14.04
sollen LXD und LXC 2.0 über die Backports-Sammlung verfügbar sein. (of)
LXD: www.ubuntu.com/cloud/lxd
Anwendungsturbo
A10 Networks bringt sechs neue Application Delivery Controller
(ADC) auf den Markt. Unter diesen Appliances der Thunder-Serie
befindet sich auch die laut Hersteller schnellste am Markt verfügbare Single-Rack-Unit mit einer Skalierbarkeit von bis zu 220
GBit/s und 10,5 Millionen Verbindungen pro Sekunde. Obendrein
lassen sich mehr als 300 Millionen DDoS-Attacken pro Sekunde
abwehren. Die neuen Appliances basieren dabei auf der ACOSHarmony-Plattform, die ein Plus an Effizienz verspricht. Für kleinere Umgebungen beispielsweise steht die Variante Thunder 840
zur Verfügung. Das Gerät misst eine Höheneinheit und bietet 5
GBit/s an Durchsatz. Hierfür stehen fünf 1-GBit-Ethernet-Ports
sowie zwei 10-GBit-Ethernet-Anschlüsse und acht Cores zur Verfügung. Das Topmodell, die Thunder 7440, setzt bei ebenfalls einer
Rack-Unit bis zu 220 GBit/s durch und bietet 48 10-GBit-Ethernet-Ports, vier 40 GBit-Ethernet-Anschlüsse und 36 Cores. Die
Einstiegsvariante ist für zirka 19.000 Euro erhältlich. (dr)
A10 Networks: www.a10networks.com
Die Thunder 7440 schaufelt 220 GBit/s an Daten durch
und bietet DDoS-Schutz.
Red Hat liefert seit Mitte Mai Red Hat Enterprise Linux 6.8
aus. Die neueste Version bietet eine verbesserte Systemarchivierung, einen umfassenden Einblick in die Speicherauslastung und Performance und unterstützt einen aktuellen
offenen Standard für Virtual Networks. Der Hersteller verspricht zudem einen reibungslosen Betrieb mit Cloud-Applikationen und Linux-Containern. Zudem setzt das jüngste
Release mit libreswan auf eines der am weitesten verbreiteten und standardisierten VPN-Protokolle und ersetzt
damit openswan. (ln)
Link-Code: G6A11
VXL Instruments stellt mit dem Modell Itona IQ-L einen
neuen Thin Client vor. Punkten will der Hersteller mit dem
Einstiegspreis von 170 Euro. Das Herzstück des Neuzugangs bildet ein Intel Bay Trail Dual-Core-Prozessor mit integrierter HD-Grafik und 1,58 GHz. Zwei Bildschirme mit
Auflösungen von bis zu 1.920 x 1.200 lassen sich über
HDMI oder VGA betreiben. Speicherseitig sind die Geräte
mit bis zu 4 GByte RAM und 32 GByte Flash ausgestattet.
Der Thin Client ist in drei Varianten mit Gio6 Linux,
Windows Embedded 8 Standard sowie Windows 10 IoT
Enterprise verfügbar. (ln)
Link-Code: G6A12
EMC lüftet mit Unity den Vorhang für eine neue Familie von
Speicherprodukten. Besonders in der All-Flash-Variante hat
es EMC auf kleinere Unternehmen abgesehen und bewirbt
den Neuzugang mit Eintrittspreisen von rund 18.000 USDollar. Unity erreicht laut EMC bis zu 300.000 IOPS und
bietet Funktionen wie Unterstützung für File, Block und
Vvols, Snapshots und Remote-Sync- beziehungsweise async-Replikation sowie native, Controller-basierte Verschlüsselung. In ein 2-U-Array passen bis zu 80 TByte AllFlash-Storage. Insgesamt lassen sich Unity-Speicher auf bis
zu 3 PByte Kapazität skalieren. (ln)
Link-Code: G6A13
Seagate präsentiert eine externe, 3,5 Zoll große 8-TByteFestplatte mit Stromversorgung über USB. Mit der Einführung der sogenannten Ignition-Boost-Technologie ist die
Innov8 laut Seagate die weltweit erste Desktop-Festplatte
mit 8 TByte Speicherkapazität, die nicht zusätzlich mit einer
externen Stromquelle verbunden werden muss. Ähnlich einer Autobatterie beim Motorstart erlaube es die IgnitionBoost-Technologie in Verbindung mit USB 3.1 der Festplatte, mit der Bus-Stromversorgung auszukommen. Für 336
Euro ist die Platte zu haben. (dr)
Link-Code: G6A14
Juni 2016
7
S012-015_ITA_0515_T02_ok_ITA_Default 20.04.2015 15:29 Seite 2
Im Test SolarWinds Virtualization Manager 6.1.1
Daheim in zwei Welten
von Jürgen Heyer
Quelle: dvarg – 123RF
Mit zunehmender Größe einer Virtualisierungsumgebung wächst die Nachfrage nach einem umfassenden Management-Werkzeug, um bei der Ermittlung und Beseitigung von Leistungs-, Kapazitäts- und Konfigurationsproblemen schneller zum Ziel zu kommen. Als preiswerte Lösung für VMware und
Microsoft Hyper-V bietet sich Virtualization Manager von SolarWinds an.
IT-Administrator hat sich den Leistungsumfang genauer angesehen.
irtualization Manager ist als fertig
vorbereitete Appliance im OVAFormat für VMware sowie als VHD für
Hyper-V erhältlich. Unabhängig von der
Installationsbasis lässt sich das Werkzeug
für die Überwachung beider Plattformen
verwenden. Im Test r ichteten wir beide
Appliances ein, nutzten dann aber in erster Linie die Installation in unserer vSphere-Umgebung.
V
Einrichtung unter
VMware und Hyper-V
Während das Einspielen der Appliance
unter Hyper-V absolut reibungslos funktionierte, mussten wir unter vSphere eine
Kleinigkeit bei der Zuweisung der IPAdresse beachten. Die Bereitstellung der
OVF-Vorlage kennt hier drei Optionen
für die IP-Adressvergabe (Fest, Vorübergehend, DHCP). Wir wählten die Standardvorgabe "Fest" und wunder ten uns,
dass nur die IP-Adresse selbst, aber kein
Gateway, Netzmaske und DNS-Server abgefragt wurden. Prompt war die Appliance
nach dem Einschalten nicht im Netz erreichbar. Wir stellten fest, dass wir bei der
Bereitstellung eine Warnung überlesen
hatten, dass das zuge wiesene Netzwerk
mit einem IP-Pool verknüpft sein muss,
aus dem sich die VM die restlichen Daten
holt. Nachdem wir den P ool im Nachhinein angelegt hatten, war die VM nach
einem Neustart erreichbar.
Ein weiteres Augenmerk ist gegebenenfalls
auf die Konfiguration des Arbeitsspeichers
zu legen. Die vorgegebenen 8 GByte
12
Mai 2015
RAM und 210 GByte Plattenkapazität
reichen für bis zu 100 Hosts und 1000
VMs – der Bedarf wächst linear mit der
Anzahl der Hosts und VMs.
Der Zugriff auf die Managementkonsole
erfolgt über eine Web-GUI. Beim ersten
Start ist ein Konfigurationsassistent zu
durchlaufen, der in sechs Schritten diverse
Parameter abfragt. Dies beg innt bei der
Registrierung, dann sind die Credentials
für den vCenter-, Hyper-V- und WMIZugriff sowie eine Anmeldung an einzelnen Hosts anzugeben. Im nächsten Schritt
sind die Datenquellen, also die vCenterund Hyper-V-Hosts, hinzuzufügen. Wir
waren erstaunt, dass uns der Assistent nach
keiner Zuordnung der Quellen zu den
Credentials fragte, aber das Handbuch
weist darauf hin, dass der Manager alle angegebenen Credentials des entsprechenden
Typs durchprobiert, bis eines passt. Die
Zuordnung wird dann gespeichert.
Zweigeteilte Datenerfassung
Der nächste Programmpunkt widmet sich
der Datenerfassung. Pro Datenquelle sind
mittels Zeitplaner laufende Sammeljobs,
die mit der Eingabe der Quelle angelegt
wurden, zu konfigurieren. Ein Job liest
die Konfiguration ein und läuft standardmäßig alle zwölf Stunden. Für den Fall,
dass der Administrator bei Änder ungen
ad hoc eine Aktualisierung wünscht, kann
er den Job auch manuell anstoßen.
Der zweite Job erfasst die Leistungsparameter und läuft normalerweise alle zehn
Minuten. Sehr wichtig ist es, die Jobs auf
dieser Seite zu aktivieren, damit sie überhaupt starten. Ein weiterer Job ist bei Hyper-V-Hosts erforderlich, um neue VMs
zu finden. Dieser läuft standardmäßig alle
sieben Tage, was in dynamischen Umgebungen aber recht wenig ist und angepasst
werden sollte.
Nach Abschluss des Einrichtungsassistenten dauert es einige Zeit, bis die diversen
Jobs gelaufen sind und die er sten Informationen zu den überwachten Umgebungen in der Managementk onsole erscheinen. Dabei fiel uns auf, dass die Jobs
zur vCenter-Abfrage in unserer Testumgebung trotz mehr abzufragender Objekte
Produkt
Software zur Verwaltung von virtuellen Umgebungen
unter VMware ESXi/vSphere und Microsoft Hyper-V.
Hersteller
SolarWinds
www.solarwinds.com
Preis
Der Einstiegspreis für den Virtualization Manager liegt
bei 2440 Euro für acht physische CPUs und ein Jahr
Wartung.
Systemvoraussetzungen
VMware vSphere 4.0 oder höher, Microsoft Hyper-V
Server 2008 R2 oder höher, 2 GHz Quad-Core, vier
vCPU, 8 GByte RAM, 210 GByte Plattenkapazität, 1
GBit-vNIC.
Technische Daten
www.it-administrator.de/downloads/datenblaetter
SolarWinds
Virtualization Manager 6.1.1
Virtualization Manager I TESTS
Bild 1: Bei einer Grafik zur Performanceanalyse errechnet der Manager
Trendlinien und zeigt auch Beginn sowie Ende von Alarmen an.
deutlich schneller liefen als die für Hyper-V. Damit Virtualization Manager überhaupt Informationen einlesen kann, sind
bei Hyper-V einige Dinge mehr zu beachten, etwa die korrekte Firewall-Konfiguration und die Aktivierung von WMI,
RPC und DCOM. Gegebenenfalls ist
auch die UAC anzupassen. Ein eigenes
Kapitel im Handbuch beschäftigt sich mit
dem Hyper-V-Troubleshooting.
Dashboards nach
jedem Geschmack
Die Web-GUI macht einen aufgeräumten
Eindruck und ist intuiti v bedienbar. Im
Kopfbereich befinden sich insgesamt sechs
Reiter.Vier davon – Recent, Explore, Reporting und Capacity Planning - dienen
dem Administrator als Handwerkszeug,
über "Setup" lässt sich der bereits erwähnte Einrichtungsassistent aufrufen und der
sechste Reiter enthält die Hilfe. Der am
meisten benutzte Reiter dürfte "Recent"
sein. Die Bezeichnung rührt daher, dass der
Administrator hier neben dem Dashboard
die letzten aufgerufenen Seiten zur erneuten Auswahl angeboten bekommt. Das
macht es sehr einfach, wieder zu einer Ansicht zurückzukehren, die kurz vorher bereits genutzt wurde. So lassen sich Analysen,
die den Zugriff auf mehrere Ansichten benötigen, leichter durchführen.
Eine wichtige Rolle spielen auch die
Dashboards. Je nachdem, welche HostTypen anfangs erfasst wurden, werden bis
zu 13 vorbereitete Dashboards zur Aus-
wahl angeboten. Drei davon sind unabhängig vom Host-Typ, drei beschäftigen
sich mit Hyper-V und sieben mit VMware. Die Dashboards dienen unter anderem zur Kapazitätsplanung, zur Ermittlung der Cloud-K osten, w enn die
Ressourcen in einer Amazon EC2-Umgebung laufen, sowie zur Administration
und zum Management der beiden Hypervisor-Umgebungen. Auch gibt es ein
Dashboard, das ungenutzte und schlecht
ausgelegte VMs unter VMware anzeigt,
um das Aufräumen zu erleichtern.
Im Test erkannten wir schnell, dass die
Dashboards einen guten Einstieg bieten.
Es ist aber gar nicht so entscheidend, welche Inhalte standardmäßig angezeigt werden, denn der Administrator kann alles
nach Belieben inhaltlich verändern sowie
neue Dashboards hinzufügen.
Ein Dashboard besteht aus einer beliebigen Anzahl an sogenannten Widgets.
Dies sind Fenster mit Listen (Alar me,
Top-N-Listen), Grafiken (CPU-Last,
Speicherbelegung) oder Icons (Hosts,
VMs, Datastores). In der einfachen Größe
lassen sich bis zu acht Widgets auf einem
Monitor mit üblicher 1920 x 1080erAuflösung gleichzeitig darstellen. Sobald
ein Dashboard mehr Fenster enthält, muss
der Administrator es nach oben und unten scrollen, um alle zu sehen. Bei Bedarf
lassen sich die F enster auf das doppelte
und vierfache Format vergrößern, aber
nicht weiter verkleinern.
Die Fenster lassen sich in andere Webseiten einbinden, wozu die Konsole gleich
einen Link und den benötigten HTMLCode liefert. Weiterhin ist ein Export als
PNG-Datei möglich. Je nach Fenstertyp
kann der Administrator unterschiedliche
Aktionen auswählen. So kann er sich bei
einer Liniengrafik mit einem Klick die
Objekte anzeigen lassen, deren Informationen enthalten sind, bei einer Kuchengrafik kann er genauere Daten zu jedem
Kuchenstück auslesen, bei Top-N-Listen
kann er die Objekte in eine Selektionsliste
übernehmen. Auch lassen sich Top-N-Ansichten mit einem Klick in den P erformance Analyzer übernehmen, der dann
den Verlauf über die Zeit darstellt. Optional lassen sich der Trend sowie aufgetretene Alarme mit Beg inn (rot) und Ende
(grün) einblenden, was für eine Fehlersuche zur Korrelation recht hilfreich ist. Der
Manager speichert dabei die angewählten
Optionen und zeigt diese auch bei anderen Ansichten wieder mit an.
Beim Klick auf die Über schrift eines
Fensters öffnet sich dieses in Großansicht.
Bei Grafiken kann der Administrator den
Zeitraum variieren (Woche, Monat, drei
Monate, individuell) und zusätzlich die
Such- und Filterkriterien anpassen. Dank
der vielen Beispiele anhand der v orhandenen Dashboards sollte es kein Problem
sein, mit relativ wenig Aufwand eigene
Ansichten zu erzeugen.Während des Tests
haben wir recht viel mit den Dashboards
gearbeitet und dabei immer wieder festgestellt, dass die Übersichten gut visualisieren und intuitiv bedienbar sind.
Änderungen schnell erkennbar
Um ein Objekt wie einen Host oder eine
VM im Detail zu unter suchen, kann der
Administrator dieses über die Suchfunktion oder über eine Umgeb ungsansicht
herausgreifen.Virtualization Manager liefert dann alle damit zusammenhängenden
Informationen auf einer Seite. Bei einem
Host beispielsweise sind dies die Grafik
zu den IOPS, zum Netzdurchsatz und der
CPU- sowie Speichernutzung. Enthalten
sind auch Hardwareinformationen zu den
Festplatten, IP-Adressen, Netzwerkkarten,
eine Liste der angeschlossenen Datastores,
die darauf laufenden VMs, eine eventuelle
Clusterzugehörigkeit und einiges mehr.
Mai 2015
13
TESTS I Virtualization Manager
Wie auch in den anderen Ansichten kann
der Administrator auf die Grafik en oder
die zugehörigen Objekte klicken, worauf
sich eine Großansicht öffnet oder er zum
entsprechenden Objekt weitergeleitet
wird. Bei Ansicht eines einzelnen Objekts
geht Virtualization Manager unserer Meinung nach mit dem Platz etwas zu sparsam
um, denn das Fenster nutzt nicht die gesamte zur Verfügung stehende Breite des
Browsers, sondern ist fest vorgegeben. Einige längere Angaben wie beispielsweise
die Betriebssystembezeichnung werden
sogar abgeschnitten, zumindest aber beim
Darüberstreichen mit der Maus voll eingeblendet. Auf der Ansichtsseite findet sich
auch eine Schaltfläche zum Vergleichen
der Eckdaten zu verschiedenen Zeitpunkten. Um Änderungen zu erkennen, muss
der Administrator nur zwei Zeitstempel
auswählen, dann erstellt das Werkzeug einen Vergleich, unterteilt in mehrere Kategorien. Die Ausgabe des Resultats erfolgt
in zwei Spalten nebeneinander, auf Wunsch
lassen sich nur die Positionen anzeigen,
wo es Differenzen gibt. Dass es ge wisse
Daten wie die Füllraten der Datastor es
gibt, die sich immer änder n, ist logisch.
Wichtiger ist, dass sich auch Abweichungen finden lassen, die eher kritisch zu betrachten sind, etwa Änderungen an den
Netzwerkeinstellungen oder Ähnliches.
Noch interessanter ist die Möglichk eit,
zwei Objekte miteinander zu vergleichen.
Werden beispielsweise Hosts per Skr ipt
eingerichtet oder VMs geklont und der
Administrator vermutet nach einiger Zeit
ungewünschte Abweichungen, so kann er
diesen Unterschieden über diesen Vergleich nachgehen. In unserer Testumgebung konnten wir beispielsweise erkennen, dass auf einem unser er ESXi-Hosts
der SSH-Zugang aktiviert war und auf
einem anderen nicht.
Abhängigkeiten
leichter feststellen
Neben den Dashboards spielt der Explore-Bereich eine wichtige Rolle beim
Blick auf einzelne Objekte der Umgebung. Die Map-Ansicht zeigt die Objekte
entsprechend ihrer Abhängigkeit an. Hierzu setzt der Administrator auf ein oder
auch mehrere Objekte einen Kontext und
der Manager listet dann nach Typen ge-
14
Mai 2015
trennt die abhäng igen Objekte auf . So
kann er beispielsweise auf einen Blick für
einen Host sehen, welche Datastores dieser
hat, zu welchem Cluster er gehör t und
welche VMs darauf laufen.
in das Profil aufnehmen. Weiterhin gibt
es eine statische Befüllung oder eine dynamische anhand einer Abfrage. SolarWinds empfiehlt hierbei, nicht mehr als
500 VMs in ein Profil zu packen.
Mit wenigen Klicks lässt sich der Kontext
ändern, sodass der Administrator sehr
schnell die Perspektive wechseln kann.
Beim Klick auf ein Objekt gelangt er zudem direkt zur schon beschriebenen Detailansicht.Von Vorteil ist, dass die Objekte
in der Map in den jeweiligen Warnstufen
eingefärbt sind (No Alerts, Informational,
Warning, Critical), wobei sich die einzelnen Stufen abwählen lassen, sodass die
verbleibenden stärker hervorstechen.
Der Kapazitätsplaner kann nun verschiedene Szenarien berechnen, um wichtige
Fragen zu beantworten. Für die Frage,
wann die vorhandenen Ressourcen erschöpft sind, betrachtet der Manager die
Historie der im Nutzungsprofil enthaltenen VMs und rechnet hoch, zu welchem
Zeitpunkt CPU, RAM, Plattenkapazität,
IOPs oder Netzdurchsatz eine vorgegebene Schwelle wie 90 Prozent erreichen
und wann sie komplett verbraucht sind.
Ein weiteres Feature ist Time Travel, um
sich den Verlauf über die Zeit anzusehen.
Dazu kann der Administrator tage- und
stundenweise oder zwischen den Zeitstempeln der Sammeljobs springen. Etwas
verwundert waren wir darüber, dass es
auch möglich ist, über die Tageswahl in
die Zukunft zu springen.Tatsächlich wird
dann der aktuelle Zustand angezeigt, aber
es erscheint dazu kein Hinweis. Bei der
Auswahl im Kalender ist diese Möglichkeit korrekterweise gesperrt.
Weiterhin ermittelt der Planer, wie viele
VMs noch ergänzt werden können, bis
die verfügbaren Ressourcen erschöpft
sind. Das hilft für eine Abschätzung bei
weiteren Installationsaufträgen. Zuletzt
kann sich der Administrator auch ausrechnen lassen, was sich ändert, wenn er weitere Ressourcen, also Hosts, zur Umgebung hinzufügt.
Kapazitätsplanung inbegriffen
Virtualization Manager erlaubt eine Kapazitätsplanung, mit der der Administrator das
Wachstum planen kann. Der Grundgedanke
ist, die vorhandenen Ressourcen und Nutzungsprofile auf Basis der vorhandenen
Komponenten gegenüberzustellen. Für eine
Berechnung füllt der Administrator einen
Ressourcencontainer mit CPU, RAM und
Plattenkapazität, indem er die Werte direkt
einträgt oder bereits vorhandene Hosts oder
Cluster auswählt. Der Inhalt lässt sich statisch
oder dynamisch definieren. Eine dynamische Zuordnung basiert auf einer Abfrage,
die berücksichtigt, wenn sich beispielsweise
die Anzahl der Hosts in der Umgebung ändert. Der Vorteil ist, dass sich eine derartige
Planung immer wieder an die r ealen Gegebenheiten anpasst.
Ein Nutzungsprofil ist eine Gr uppe von
VMs, die entsprechende Ressourcen belegt. Auch hier kann der Administrator
die Werte direkt eingeben oder anhand
bereits vorhandener VMs planen und diese
Im Test haben wir einige Kalkulationen
durchgeführt und mussten erkennen, dass
hier einige Erf ahrung und auch Üb ung
erforderlich ist, um aussagekräftige Resultate zu erhalten. Auch sind die Ergebnisse insofern mit Vorsicht zu genießen,
da unvorhergesehene Änderungen eine
Planung natürlich schnell zunichtemachen
können. Zumindest aber sollte es vor allem mit der Möglichkeit, die Ressourcen
und Profile dynamisch zu definieren, gelingen, einen drohenden Engpass rechtzeitig zu erkennen.
Zusammenarbeit erwünscht
Auch wenn wir es im Test nicht genauer
betrachtet haben, so wollen wir doch erwähnen, dass sich Virtualization Manager
nicht nur als alleinstehendes Tool betreiben, sondern auch in ander e Werkzeuge
integrieren lässt.
Bereits erwähnt hatten wir, dass sich Widgets
des Managers als Link oder als HTMLCode in andere Webseiten integrieren.
Weiterhin gibt es eine P ortalintegration
mit der SolarWinds Orion Web Konsole,
auch eine Integ ration in SharePoint ist
Virtualization Manager I TESTS
Management beider Plattformen.Von Vorteil
ist die davon unabhängige pauschale Lizenzierung auf CPU-Basis. Die Web-GUI der
Appliance kommt mit einer Vielzahl an vorbereiteten Dashboards für unterschiedliche
Betrachtungsschwerpunkte. Wünschenswert
wäre allerdings eine bessere Größenanpassung der einzelnen Fenster innerhalb eines
Dashboards. Insgesamt liefert das Werkzeug
mehr Informationen zu VMware als zu Hyper-V, etwa um schlecht genutzte VMs zu
ermitteln. Auch lässt sich das Auslesen von
VMware leichter konfigurieren.
Bild 2: Zur Beobachtung von Veränderungen über die Zeit erlaubt der Manager eine Zeitreise für einzelne Objekte.
möglich. Dort, wo der Open-Social
Dashboard-Standard von Google Verwendung findet, lassen sich Widget-Inhalte
von Virtualization Manager ebenfalls integrieren.
Sofern der SolarWinds Storage Manager,
den wir in der Ausgabe 11/2014 vorgestellt hatten, verwendet wird, lässt sich dieser mit Virtualization Manager kombinieren, sodass sich beim Anzeigen von
Datastore-Informationen die Webseiten
des Storage Managers öffnen lassen.
Für ein zeitgemäßes Skr ipting stellt SolarWinds die Virtualization Manager
PowerCLI zum Download bereit. Diese
enthält diverse Cmdlets zum Zug riff auf
den Manager. Im Handbuch sind mehrere
Beispiele zur Nutzung der CLI zu finden.
Insgesamt konnten wir feststellen, dass die
gesamte Dokumentation zu Virtualization
Manager recht gut strukturiert ist und die
diversen Funktionen verständlich beschrieben sind. Neben einem Administrator
Guide als PDF existiert eine Online-Hilfe,
die sich direkt aus dem Manager heraus
aufrufen lässt. Daneben gibt es für alle SolarWinds-Produkte das Thwack-Forum als
Diskussionsportal.
Umfassendes Reporting
Virtualization Manager kommt mit einer
Vielzahl an vorbereiteten Ber ichten, die
je nach Typ (Trend, Abfragen, Dashboard
und Abfrageergebnisse) mit einem Symbol
gekennzeichnet sind. Dabei verstehen sich
die Dashboards selbst auch als eine Art
des Berichts.Weiterhin gibt es diverse Tags,
um nach dem Inhalt, unter anderem
Netzwerk, Cluster, Verfügbarkeit oder
Snapshots, zu filtern. Beim Klick auf einen
Report wird eine Liste oder Grafik mit
den entsprechenden Infor mationen geöffnet. Die Dashboards lassen sich auf
Wunsch als PDF exportieren, die übrigen
Berichte als Excel-Datei. Darüber hinaus
kann der Administrator eigene Abfragen
erzeugen und das Ergebnis als Excel-Datei
exportieren. Für regelmäßige Berichte ist
es möglich, die Erstellung per Zeitplaner
zu automatisieren. Eine Besonderheit sind
die so genannten On-Demand-Reporte.
Während sich die ander en Ber ichte der
letzten gesammelten Infor mationen von
Virtualization Manager bedienen, liefern
die On-Demand-Reporte Live-Ergebnisse, indem sie ganz aktuell die Virtualisierungsplattform abfragen. Diese Abfragen
beschränken sich daher immer auf eine
Plattform, auch wenn der Manager beispielsweise mehrere vCenter überwacht.
Insgesamt hat uns das gesamte Ber ichtswesen gut gef allen, nachdem vieles v orbereitet ist und der Administrator den
Umfang problemlos nach Bedarf erw eitern kann.
Fazit
Der als virtuelle Appliance konzipierte Virtualization Manager lässt sich unter VMware
und Hyper-V betreiben und unterstützt das
Gut gefallen hat uns die intuitive Bedienbarkeit, da sich beim Klicken auf ein Objekt immer wieder Detailansichten öffnen
oder bestehende Abhängigkeiten aufgezeigt werden. Auch lässt sich mit der so
genannten Time-Travel-Funktion die historische Entwicklung eines Objekts über
die Zeit verfolgen. Weiterhin ermöglicht
der Manager eine einfache CompliancePrüfung durch den Vergleich von zwei
Objekten. (ln)
Bewertung
vSphere-Unterstützung
8
Hyper-V-Unterstützung
5
Monitoring
7
Kapazitätsplanung
5
Reporting
9
Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
optimal für Unternehmen, die wahlweise auf
Hyper-V und/oder VMware setzen, da das Produkt
beide Umgebungen gleichermaßen unterstützt.
bedingt für Unternehmen, die bei der Virtualisierung ausschließlich auf VMware oder Hyper-V setzen. Hier empfiehlt sich ein Vergleich mit anderen
Werkzeugen, die sich auf eine der beiden Plattformen spezialisiert haben.
nicht für Umgebungen, in denen nicht oder mit
einer anderen als den beiden unterstützten Plattformen virtualisiert wird.
So urteilt IT-Administrator
Mai 2015
15
TESTS I COMPUTENT Secure Pro
Im Test: COMPUTENT Secure
Fern und doch ganz nah
von Daniel Richey
VPNs für den sicheren Remotezugriff auf lokale Dienste sind
eine praktische Angelegenheit und müssen nicht kompliziert sein. Für kleine Umgebungen hat der bayerische
Hersteller COMPUTENT die kompakte Secure-Appliance
im Angebot. Sie lässt sich mit wenigen Mausklicks einrichten und erlaubt Mitarbeitern den sicheren
Zugriff auf lokale Ressourcen per
USB-Stick. IT-Administrator hat die
Secure-Box ausprobiert.
ine kleine, unscheinbare Appliance
und eine Handvoll USB-Sticks.
Diesen Eindruck erweckt die VPN-Lösung COMPUTENT Secure beim Auspacken. Umso überraschter dürfte der Administrator ob der Einsatzmöglichk eiten
der VPN-Umgebung sein. Denn das Prinzip, auf dem der sichere Remote-Zugang
basiert, ist denkbar simpel: Über die USBSticks bauen Mitarbeiter v on beliebigen
Rechnern aus einen mit 2.048 Bit RSAverschlüsselten SSH2-Tunnel ins Firmennetzwerk auf und können über diesen beliebige TCP-basierte Anwendungen
beziehungsweise deren Daten schleusen.
Im internen Netzwerk landen diese Verbindungen in der Secure-Box und werden
von dort aus als lokaler Traffic an die Zielserver weitergeleitet – ganz so, als säße
der Client im lokalen Netz.
E
Alles, was der Administrator machen muss,
ist die USB-Sticks mit den Zugangsschlüsseln sowie den gewünschten Applikationen zu bestücken.Voreingestellt ist bereits
der RDP-Zugriff. Dies ist auch die einzige offiziell unterstützte Anwendung. Alle
anderen Applikationen betreibt der Administrator quasi auf eigene Gefahr.Wenig
verwunderlich, dass der Her steller angesichts der denkbaren Vielfalt an möglichen
Anwendungen nicht für deren Funktionieren garantieren kann. Auch sind die
Anwendungen nicht wirklich vom Gastrechner abgeschirmt und laufen nicht et-
26
April 2015
wa in einem virtuellen Container. Sie starten lediglich vom USB-Stick und nutzen
den auf dem Gastrechner aufgebauten
SSH-Tunnel ins Firmennetz.
Schnelle Inbetriebnahme
Das Anschließen der Box ist schnell erledigt: Strom- und LAN-Kabel einstecken,
fertig. Wo das Gerät im Netzw erk steht,
spielt keine Rolle, solange es Kontakt ins
Internet hat und die lokalen Ser ver erreicht. Die Verwaltung erfolgt über ein
schlicht gehaltenes Webinterface. Hierfür
muss der Administrator zunächst einen
Rechner in den voreingestellten IPAdressbereich 192.168.2.x holen und
kann anschließend die Netzw erkeinstellungen der Box für die lokale Umgebung
konfigurieren. Erreichbar ist die Appliance
per HTTP unter ihrer lokalen IP-Adresse.
Auf HTTPS-Anfragen reagierte die Appliance in unserem Test zunächst nicht.
Hierfür mussten wir den Port 8443 mitgeben, da auf 443 der SSH-Server lauschte. In der ansonsten gut v erständlichen
Dokumentation fehlte dieser Hinweis.
Das Webinterface ist über sichtlich und
funktional aufgebaut. Es glieder t sich in
fünf Menüpunkte, die das System, die
Netzwerk-Einstellungen, den eigentlichen
Secure-Dienst sowie die vorhandenen Lizenzen und weitere Tools betreffen. Die
Konfigurationsarbeit beginnt wie erwähnt
im Netzwerk-Unterpunkt, wo die lokale
IP-Adresse der Box an die Umgeb ung
angepasst wird. Anschließend führt der
Weg in den Menüpunkt "Lizenzen". Hier
trägt der Administrator die vorhandenen
Lizenzschlüssel für die Appliance selbst
sowie die einzelnen Nutzer ein.
Damit ist das Gerät bereits betriebsbereit
und wartet fortan unter seiner lokalen IPAdresse auf Port 443 auf SSH-Verbindungen. Unser Augenmerk galt daher als
Nächstes der Firewall im Netzwerk, auf
der wir eine Portweiterleitung für die
SSH-Tunnel einrichteten. Der lokale SSHServer-Port lässt sich bei Bedarf anpassen,
was natürlich in der Portweiterleitung entsprechend berücksichtigt werden muss. Im
Bereich "WAN-Netzwerk-Konfiguration"
trugen wir nun die exter ne IP-Adresse
unseres Internet-Providers ein sowie den
Port, den wir in der Firewall geöffnet hatten. Diese Infor mationen landen in den
Konfigurationsdateien auf den USB-Sticks,
Möglich sind maximal 10 gleichzeitige VPN-Verbindungen, was laut Hersteller etwa einem Datendurchsatz
von etwa 4 MBit/s entspricht. Die Client-Applikation arbeitet Java-basiert und setzt Windows als Betriebssystem voraus. Eine lokal installierte Java-Umgebung ist
jedoch nicht notwendig. Ob es sich um eine 32- oder
64 Bit-Plattform handelt, hängt von der genutzten Anwendung auf dem USB-Stick ab.
Systemvoraussetzungen
COMPUTENT Secure Pro I TESTS
funktionierendes Setup zurückspielen und
damit etwa versehentlich gelöschte Einstellungen. Daneben ist ein Reset auf
Werkseinstellungen möglich.
Einfache Handhabung
für Anwender
Bild 1: Anwendungen werden über einen Befehl samt Parametern aufgerufen.
Praktisch: Für RDP hat der Hersteller bereits alles Nötige eingetragen.
sodass die Clientsoftware unterwegs weiß,
wohin sie ihren Tunnel aufbauen soll. Sollte
ein Unternehmen nicht über eine statische
IP-Adresse verfügen, dann lässt sich auch
einfach ein Hostname, zum Beispiel über
DynDNS, verwenden.
Nutzer anlegen und Dienste zuweisen
Im nächsten Schritt legten wir die Benutzer
an und wiesen den zugehör igen USBSticks die grundlegende Konfiguration sowie die vorgesehenen Anwendungen zu.
Hierzu später mehr. Für die Userverwaltung
dient der Punkt "Secur e-Dienst / Benutzer". Zunächst mussten wir die User-Lizenzen eintragen; erst dann ließen sich logischerweise die Benutzer einrichten.
Diesen gaben wir einen Anzeigenamen und
ein Passwort, das sie bei jedem Star t des
Clients eingeben. Das Kennwort muss aus
mindestens sechs Zeichen bestehen - auf
mehr Komplexität bestand die Box in unserem Test nicht. Anwender können ihr
Passwort bei Bedarf jederzeit über die
Clientsoftware auf dem USB-Stick ändern.
Um den individuellen USB-Stick in der
Secure-Appliance aktiv zu schalten, trugen wir nun die Seriennummer des Sticks
in das entsprechende Feld ein. Anhand
dieser und einer K eycode-Datei identifiziert die Secure-Appliance die USBSticks. Auf diesem Weg lassen sich verlorene oder entwendete Sticks sper ren.
Nachdem unsere Sticks damit akti v ge-
schaltet waren, wiesen wir die Anwendungen zu. Bis zu 50 lassen sich hierfür
in der Box insgesamt hinterlegen. Dabei
handelt es sich um einen Befehl, der von
der Clientsoftware auf dem USB-Stick
ausgeführt wird und eine dort abgelegte
Applikation samt Parametern startet.
RDP-Verbindung vorbereitet
Die RDP-Verbindung – der v om Hersteller standardmäßig vorgesehene Verwendungszweck – ist bereits als Anwendung samt Kommando und Parametern
hinterlegt. Wir mussten daher nur noch
die IP-Adresse mit Portnummer unseres
Zielrechners in den entsprechenden Feldern eintragen. Da COMPUTENT aus
lizenzrechtlichen Gründen den RDPClient nicht schon mit den USB-Sticks
ausliefern darf, kopierten wir diesen mit
einem bereits auf dem Stick vorhandenen
Tool von unserem Konfigurationsrechner
auf den USB-Stick. Grundsätzlich ist es
natürlich sinnvoll, portable Anwendungen
auf dem Stick zu nutzen, damit diese auf
unterschiedlichen Gastrechnern funktionieren. Schlafende Server lassen sich übrigens per Wake-on-LAN aufwecken.
Um sich vor gravierenden Konfigurationsfehlern zu schützen, bietet die Secure-Box ein Sicher n der Einstellungen
auf einem externen Speichermedium an.
Das kann beispielsweise der Konfigurations-PC sein. So lässt sich im Fehlerfall ein
Die Pflichten des Administrators sind getan und die Mitarbeiter dürfen sich n un
mit ihren freigeschalteten USB-Sticks an
Windows-Gastrechnern ins Fir mennetz
tunneln. Auch hier hat es der Her steller
einfach gehalten: Nach dem Einsteck en
des Sticks startet der User den VPNClient, sofern dieser nicht per Autorun
ausgeführt wird. Im sich öffnenden Fenster
tippt der Nutzer sein zugewiesenes Passwort ein und der Rechner verbindet sich
mit der exter nen IP-Adresse des Unternehmens und weiter ins Fir mennetz auf
die Secure-Appliance.
Nach der erfolgreichen Authentifizierung
des USB-Sticks sieht der Anwender die
Bestätigung "Verbindung hergestellt" sowie die ihm zur Verfügung stehenden Applikationen in einer Auswahlliste; in unserem Fall die RDP-Verbindung. Nach
einem Klick auf ebendiese startete im Test
der lokale RDP-Client, den wir zuvor auf
den USB-Stick kopiert hatten, und es erfolgte die Abfrage der RDP-Credentials.
Das war's.
Dass COMPUTENT den Fokus auf
RDP-Verbindungen gelegt hat, sahen wir
auch daran, dass es hierfür ausgiebige Konfigurationsmöglichkeiten in der Clientsoftware gibt. So können Nutzer bestimmen, wie sich das RDP-F enster öffnen
Bild 2: Das Client-Interface zeigt den Verbindungsstatus.
April 2015
27
TESTS I COMPUTENT Secure Pro
soll (bestimmte Größe oder Vollbild) und
ob ein lokales Laufwerk an den Remote-Rechner für den Datentransfer
durchgereicht werden soll. Der funktioniert bei RDP-Sessions nämlich nicht via
Copy & Paste oder Drag & Dr op. Auch
das klappte im Test reibungslos und wir
sahen unser lokales Gastrechner-Laufwerk
auf dem RDP-Desktop als Netzlaufwerk.
An weiteren Funktionen steht noch ein
simples Protokoll zur Verfügung, das jedoch lediglich das Funktionier en oder
Nicht-Funktionieren einer Verbindung
mit "OK" und "Fehlgeschlagen" wiedergibt. Ferner lassen sich bei Bedarf ProxyEinstellungen vornehmen, sollte der
Gastrechner dies für den Inter net-Zugang benötigen.
Einbinden von Drittanwendungen
Als Nächstes versuchten wir unser Glück
mit einem por tablen FTP-Client. Dieser
sollte sich ebenfalls durch den SSH-Tunnel
ins lokale Netzwerk verbinden und dor t
auf einen FTP-Server zugreifen.Wir richteten die Anwendung – also den Aufruf des
WinSCP-Clients auf dem USB-Stick – im
Webinterface ein und wiesen die Anwendung über den Benutzer-Menüpunkt unserem Teststick zu. Anschließend kopierten
wir den portablen Client auf den Stick.
Nach dem Einstöpseln am Gastr echner
und der anschließenden Authentifizierung
stand der neue Eintrag "W inSCP" als
zweite Option neben unserer RDP-Verbindung zur Verfügung. Wir starteten den
FTP-Client, der sich öffnete, und versuchten, uns auf den lokalen FTP-Ser ver zu
verbinden. Allerdings ignor ierte unser
FTP-Client den bereitstehenden SSHTunnel getrost und wollte sich stets direkt
mit der inter nen IP-Adresse verbinden.
Erst als wir über die Variablen "%IPADDR%:%PORT%" die lokale IPAdresse und den P ort des SSH-Tunnels
im Programmaufruf mitgaben, loggte sich
der Client über den Tunnel erfolgreich
auf dem Server ein:
WinSCP.exe ftp://Benutzer:Passwort@
%IPADDR%:%PORT%
Es ist stets notwendig, dass die verwendeten Applikationen bei ihrem Aufruf eine
28
April 2015
lokale, durch die Client-Software vergebene IP-Adresse, die in den SSH-Tunnel
führt, als Option mitgeliefert bekommen
und akzeptieren. Diese liegt im Adressbereich 127.0.0.x. Auch hierzu wäre ein ergänzender Satz in der Dokumentation sicher hilfreich gewesen.
Mit App und ohne
Stick ins Netzwerk
Für mobile Nutzer bietet der Her steller
auch eine App an, die unter Android und
iOS läuft. Mit ihr ist der Zugriff auf den
RDP-Desktop möglich. Eine transparentgrau hinterlegte Fläche dient als Touchpad,
über das sich der Mauszeiger be wegen
lässt. Der Administrator hat beim Anlegen
des Benutzers die Wahl, ob er diesem einen USB-Stick oder einen SSH-Zugang
per App zuweist. Herunterladen können
Nutzer oder der Administrator die Apps
aus Google Play sowie dem Apple App
Store für 7,99 Euro.
Seit Herbst 2014 er möglicht COMPUTENT den Zugang auch n ur per lokal
installierter Software. Dies richtet sich an
Nutzer, die regelmäßig von einem bestimmten PC aus remote aufs Firmennetz
zugreifen möchten, etwa dem Heimrechner. Die Software überprüft dann anhand
der Festplatten-ID, ob sie sich auf dem
vorgesehenen PC befindet und nicht auf
einem unbekannten Rechner gestar tet
wurde. Damit gilt der gesamte Heim-PC
neben dem Passwort als zweiter Faktor
bei der Anmeldung. Für noch mehr Sicherheit unterstützt der Hersteller zudem
Drittanbieter-USB-Sticks etwa von Kobil,
die eine hardwarebasierte PIN-Eingabe
ermöglichen. Damit sicher t ein weiterer
Faktor die Anmeldung ab.
Fazit
Die VPN-Appliance Secure erwies sich im
Test als einf ach zu konfigurieren: Einstecken, Grundeinstellungen vornehmen, Benutzer einrichten, fertig. Der von COMPUTENT standardmäßig vorgesehene
RDP-Zugriff funktionierte auf Anhieb und
bietet auch im Client-Interface zahlreiche
Optionen.Was die Nutzung anderer Software angeht, muss der Administrator ausprobieren, ob diese mit dem SSH-Tunnel
zurechtkommt. Das Webinterface ist simpel
und funktional aufgebaut.
Für kleine Unternehmen, die ihren Mitarbeitern einen einfachen wie möglichst
sicheren Remotezugriff anbieten möchten, ist COMPUTENT Secur e eine interessante Alternative. Es lässt sich auch
ohne Fachkenntnisse schnell und einfach
in Betr ieb nehmen und fügt sich ohne
nennenswerten Anpassungsbedarf in eine
bestehende IT-Umgebung ein.
Produkt
Linux-basierte SSH-VPN-Appliance für kleinere
Windows-Umgebungen.
Hersteller
COMPUTENT GmbH
www.computent.de
Preis
Die getestete Ausführung COMPUTENT Secure Pro
kostet 480 Euro ohne Nutzerlizenzen. Sie unterstützt
bis zu 10 gleichzeitige VPN-Zugriffe. Pro Benutzer kommen nochmal 99 Euro drauf. Die Variante Secure Basic
gibt es dagegen für 345 Euro inklusive einer Lizenz; sie
unterstützt maximal zwei Benutzer. Ein Upgrade von
Basic auf Pro ist ohne Hardware-Tausch möglich.
Technische Daten
www.it-administrator.de/downloads/datenblaetter
So urteilt IT-Administrator (max. 10 Punkte)
Sicherheit
7
Konfiguration
7
Client-Usability
8
Flexibilität
7
Skalierbarkeit
6
Die Details unserer Testmethodik finden Sie
unter www.it-administrator.de/testmethodik
Dieses Produkt eignet sich
optimal für kleinere Umgebungen, in denen eine
überschaubare Anzahl an Anwendern von unterwegs per RDP sicher auf Remotedesktops zugreifen möchte.
bedingt für Unternehmen, die neben RDP auch andere Dienste per VPN bereitstellen möchten. Diese
werden vom Hersteller offiziell nicht supportet und
müssen ihre Tauglichkeit in der Praxis beweisen.
nicht für große Umgebungen sowie Nutzer, die
von Linux- oder Mac OS-Rechnern aus eine VPNVerbindung aufbauen möchten. Es lassen sich nur
Windows-Anwendungen nutzen.
COMPUTENT Secure Pro
S028-033_ITA_0515_P06_Experteach_MonitoringDays_ok_ITA_Default 17.04.2015 15:18 Seite 2
PRAXIS I Linux und Active Director y
Workshop
Linux-Server ins Active Directory einbinden
Anschluss gefunden
Auch in Netzwerken mit Microsoft-Servern ist es oft sinnvoll, zusätzliche
Linux-Server einzubinden. Aktuelle Linux-Distributionen bieten in diesem
Bereich umfassende Möglichkeiten und auch Microsoft hat im Active
Directory die Unterstützung von Linux stetig verbessert. Damit lässt sich
die Integration von Linux in Active Directory-Umgebungen gut umsetzen.
Wir gehen in diesem Beitrag von einem
Linux-Server auf Basis von Ubuntu
14.04.2 LTS aus. Er bietet hervorragende
AD-Unterstützung, ist mit Kerberos kompatibel und außerdem sehr stabil. Dazu
kommt, dass Sie im Internet eine Vielzahl
von Anleitungen zum Server finden.
Quelle: Tom de Spiegelaere – 123RF
von Thomas Joos
ver-Version zu installieren, nicht die Desktop-Version. Der Nachteil der Server-Versionen ist das Fehlen der grafischen Oberfläche, was für Linux-Administratoren kein
Problem darstellt, für Windows-Admins
allerdings schon. Sie haben aber die Möglichkeit, nach der Installation eines Ubuntu-Servers eine eingeschränkte g rafische
Oberfläche zu installieren.
Im Fall von Ubuntu eignet sich die LightVersion von Gnome am besten zur Konfiguration und Anbindung an das Active
Directory. Sie installieren sie nach dem
Setup des Servers und der Anmeldung als
Administrator mit dem Befehl:
sudo apt-get install xorg gnome-core
gnome-system-tools gnome-appinstall
Die Oberfläche lässt sich aber nur installieren, wenn der Server bereits über eine
Netzwerk/Internet-Anbindung verfügt.
Haben Sie den Ser ver grundlegend eingerichtet, können Sie die Oberfläche auf
Wunsch auch vom Server entfernen:
inux-Server lassen sich in Windows-Umgebungen mit Hyper-V
effizient virtualisieren. Deshalb arbeitet
auch Microsoft kontinuierlich daran, die
Integration von Windows und Linux zu
verbessern. Dieser Beitrag zeigt den komplizierten Weg der Anbindung eines Linux-Servers, aber auch Alternativen wie
die Verwendung einer kostenlosen Samba-Appliance. Sie müssen für die Anleitungen in diesem Artikel nichts an den
Domänencontrollern ändern oder dor t
Tools installieren. Alles was nötig ist, können Sie in Linux erledigen.
L
Auch wenn Sie bisher im Netzwerk noch
keinen Linux-Server einsetzen, kann es
sinnvoll sein, einmal dessen Möglichkeiten
28
Mai 2015
zu erproben. In vielen Ber eichen, zum
Beispiel als Proxy-Server oder ReverseProxy, bieten Linux-Server einen echten
Mehrwert. Dazu kommt die Option, auf
den Linux-Servern auch mit Active Directory-Benutzern zu arbeiten. Das erleichtert den Anwendern die Anmeldung,
da sie sich keine zwei verschiedenen Anmeldenamen und Kennwörter merken
müssen. Das Anbinden eines Linux-Servers an eine Windows-Domäne ist gar
nicht so kompliziert, wie es sich viele Administratoren vorstellen.
Linux-Server statt -Desktop
Zunächst sollten Sie beim Betr ieb von
Linux-Servern in Active Directory-Umgebungen darauf achten, eine echte Ser-
sudo apt-get remove xorg gnome-core
gnome-system-tools gnome-appinstall
Wenn Sie mit den Terminal-Befehlen in
Linux nicht vertraut sind, vor allem zur
Anbindung und Konfiguration von Linux
mit dem Active Directory, können Sie die
eingeschränkte grafische Oberfläche (Bild
1) auch auf dem Ser ver belassen. Nach
der Installation der grafischen Oberfläche
starten Sie den Server mit sudo reboot neu.
Danach melden Sie sich an der grafischen
Oberfläche an. Im rechten oberen Bereich finden Sie den Shor tcut zu den
Systemeinstellungen. Hier können Sie
zum Beispiel auch die Zeiteinstellungen
vornehmen, die wir in den nächsten Abschnitten behandeln.
Linux und Active Director y I PRAXIS
samtstruktur synchronisieren ihre Zeit mit
dem PDC-Master der Stammdomäne in
Active Directory. Bevor Sie sich also an
die Einr ichtung machen, die wir nachfolgend vorstellen, achten Sie darauf, dass
die Uhrzeiten stimmen.
Damit die Zeitsynchronisierung ideal
funktioniert, verwenden Sie auf den beteiligten Rechnern am besten den Zeitserver der physikalisch-technischen Bundesanstalt in Braunschweig, der den
Namen ptbtime1.ptb.de trägt. Als Alternativen können Sie die Server ptbtime2.ptb.de
und ptbtime3.ptb.de verwenden.
Bild 1: Mit der eingeschränkten grafischen Oberfläche von Gnome (hier die Systemeinstellungen) lassen sich
Linux-Server einfach und schnell in Active Directory-Umgebungen einbinden.
Kerberos und
Ubuntu mit Winbind
Um Linux, in diesem Beispiel Ub untu,
und das Active Directory im Zusammenspiel zu betreiben, können Administratoren den Weg über Kerberos gehen. Das
Active Directory-Ticketsystem lässt sich
in aktuellen Linux-Versionen anbinden.
Das sollte auch der erste Schritt sein, um
einen Linux-Server mit dem Active Directory zu verbinden. Die Installation von
Kerberos unterscheidet sich zwischen den
Distributionen. Im Fall von Ubuntu spielen Sie Kerberos mit der Erweiterung
Winbind ein. Dabei handelt es sich um
eine Systemergänzung, die die Linux/
Unix-Benutzerverwaltung mit Active Directory verbindet. Das ermöglicht es Anwendern, sich gegenüber dem Active Directory zu authentifizieren und auf
Ressourcen der Linux-Server zuzugreifen.
Das Login am Linux-Server erfolgt mit
der Syntax "Domäne\Benutzer".
Damit Winbind funktioniert, müssen Sie
den Linux-Rechner natürlich zuer st am
Netzwerk anbinden. Außerdem sollte mit
Ping getestet werden, ob der Linux-Server
auch den Namen der Domänencontroller
auflösen kann. Als DNS-Server tragen Sie
also die IP-Adressen der DNS-Server im
Active Directory ein.
Bei virtualisierten Linux-Servern haben
Sie auch die Möglichkeit, die Uhrzeit der
VMs mit dem Host zu synchr onisieren.
Dazu müssen beim Einsatz von VMware
die VMware-Tools installiert sein, beim
Einsatz von Hyper-V die Integ rationsdienste von Hyper-V. In VMware finden
Sie die Einstellungen im Windows-Client
über die Eigenschaften der VM im Bereich
"Optionen / VMware Tools". Aktivieren
Sie auf der rechten Seite die Option
"Uhrzeit des Gastsystems mit Host synchronisieren". In diesem Fall m uss aber
sichergestellt sein, dass der VMware-Virtualisierungs-Host seine Zeit mit den
Windows-Domänencontrollern synchronisiert.Virtualisieren Sie den Linux-Server
mit Hyper-V, finden Sie die Einstellung
ebenfalls in den Eigenschaften der VM.
Klicken Sie dazu auf "Integ rationsdienste\Zeitsynchronisierung".
Haben Sie die grafische Oberfläche Gnome für den Ubuntu-Server installiert, finden Sie die Zeiteinstellungen unter "Systemeinstellungen / Zeit und Datum".
Aktivieren Sie die Option "Netzwerkzeit"
und stellen Sie man uell sicher, dass die
Zeit des Servers mit der Zeit der Domänencontroller übereinstimmt.
Netzwerkeinstellungen überprüfen und Pakete installieren
Um einen Linux-Server am Beispiel dieses
Ubuntu-Servers an das Active Directory
anzubinden, rufen Sie zunächst die Netzwerkeinstellungen über "Aktivitäten / Anwendungen anzeigen / Netzwerk" auf.
Achten Sie darauf , dass die DNS-Ser ver
des Active Directory sowie der Name der
Domäne angebunden sind (Bild 2). Sie
können in den Netzwerkeinstellungen
auch gleich die korrekte Suchdomäne sowie den FQDN des Linux-Servers in der
Domäne eintragen. In diesem Fall müssen
Auf Zeitsynchronisierung achten
Kerberos ist abhäng ig von exakter Systemzeit. Sobald ein Client und ein Server
mehr als zwei bis fünf Minuten voneinander abweichen, funktioniert die Authentifizierung nicht. Grundsätzlich sollten Sie
darauf achten, dass sich die Domänencontroller, vor allem der PDC-Master und
die Linux-Server, die Zeit von einem Internetserver oder einer Funkuhr holen.
Alle anderen Windows-Domänencontroller synchronisieren ihre Zeit automatisch
mit dem PDC-Master der eigenen Domäne. Die PDC-Master der einzelnen
Domänen in einer Active Directory-Ge-
Bild 2: In den Netzwerk-Einstellungen des Servers
müssen die korrekten Informationen für Domäne
und DNS gesetzt sein.
Mai 2015
29
# This file describes the network interfaces available on your system
# and how to activate them. For more information,
see interfaces(5).
# The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.178.188
gateway 192.168.178.1
netmask 255.255.255.0
network 192.168.178.0
Listing 1: Beispiel-Konfiguration
für die AD-Anbindung
Sie in der DNS-Zone des Active Directory zunächst manuell einen neuen Eintrag
für den Linux-Server erstellen.
Die Netzwerkeinstellungen können Sie
auch mit einem Editor anpassen. Dazu
müssen Sie die Einstellungen der Datei
interfaces im Verzeichnis /etc/network bearbeiten. Eine Beispielkonfiguration sehen
Sie in Listing 1.
Nach der Änderung starten Sie das Netzwerk mit sudo /etc/init.d/networking restart
neu. Mit ifconfig überprüfen Sie die Konfiguration. Testen Sie nach der Änderung
der Netzwerkeinstellungen mit ping die
Verbindung zum Domänencontroller.
Die Namensauflösung und DNS-Ser ver
passen Sie wiederum in der Datei /etc/resolv.conf an. Tragen Sie in der Datei die
beiden folgenden Zeilen ein und speichern Sie sie:
nameserver IP-Adresse des
DNS-Servers
search FQDN der Domäne
[logging]
default = FILE:/var/log/krb5.log
[libdefaults]
ticket_lifetime = 24000
clock_skew = 300
default_realm = Active Directory-Domäne
[realms]
Active Directory-Domäne = {
kdc = Domänencontroller:88
admin_server = Domänencontroller:464
default_domain = Active Directory-Domäne
}
[domain_realm]
.Active Directory-Domäne = Active
Directory-Domäne
Active Directory-Domäne klein geschrieben =
Active Directory-Domäne groß geschrieben
Listing 2: krb5.conf für die
Kerberos-Anbindung
30
Mai 2015
Bild 3: Die Anbindung an das Active Directory wird durch eine Konfigurationsdatei gesteuert.
In einigen Linux-Distributionen, auch in
Ubuntu, bearbeiten Sie aber besser die
Datei /etc/resolvconf/resolv.conf.d/base, weil
die Änderungen an resolv.conf sonst überschrieben werden. Wollen Sie mehrere
Nameserver hinzufügen, tragen Sie für jeden eine Zeile in der Art nameserver IPAdresse ein. Danach star ten Sie mit sudo
resolvconf -u die Namensauflösung neu.
Den Hostnamen des Servers zeigen Sie
mit hostname an. Um ihn zu ändern, verwenden Sie den Befehl sudo /bin/hostname Neuer Hostname. Wenn Sie Änderungen vorgenommen haben, starten Sie
den Server mit sudo reboot neu und überprüfen Sie mit ifconfig und ping, ob die
Netzwerkkonfiguration und Namensauflösung funktionieren.
Haben Sie die Einstellungen vorgenommen, installieren Sie die notwendigen
Dienste für die Anbindung an das Active
Directory. Dazu öffnen Sie ein Terminal
auf dem Server und geben den folgenden
Befehl ein:
sudo apt-get install krb5-user libpam-krb5 winbind samba smbclient
libnss-winbind libpam-winbind
Achten Sie darauf, dass keine Fehlermeldungen erscheinen und der Name des
Servers aufgelöst werden kann. Durch
diesen Befehl werden die notwendigen
Pakete für die Anbindung an Kerberos
und das Active Directory heruntergeladen und installiert.
Konfigurationsdateien für das
Active Directory bearbeiten
Für die Konfiguration müssen Sie nach
der Installation einige Dateien mit einem
Texteditor bearbeiten. Öffnen Sie zunächst
die Kerberos-Konfigurationsdatei krb5.conf
im Verzeichnis /etc (Bild 3). Fügen Sie den
Namen der Domäne und eines Domänencontrollers sowie einige Parameter
für die Anbindung an das Active Directory
hinzu, wie in Listing 2 zu sehen.
Nachdem Sie den Inhalt der Datei mit
den Informationen Ihrer Umgebung ersetzt haben, sollten Sie den Linux-Server
neu starten. Im nächsten Schr itt können
Sie die Anbindung an die Domäne testen.
Öffnen Sie dazu ein Terminal und geben
Sie folgenden Befehl ein:
kinit UNC-Anmeldenamen eines
Domänen-Admins
Gibt es hier eine Fehlermeldung, müssen
Sie sich die Konfiguration erneut ansehen.
Funktioniert alles, erscheint eine Kennwortabfrage. Das zeigt schon einmal, dass
die Verbindung zum Domänencontroller
funktioniert. Schreiben Sie den Domänennamen in Großbuchstaben, wenn Sie
die Meldung "kinit: KDC reply did not
Bild 4: Mit kinit und klist testen Sie die Kerberos-Anbindung an das Active Directory.
match expectations while getting initial cr edentials" erhalten,
zum Beispiel kinit [email protected].
Erhalten Sie keine Fehlermeldung, lassen Sie sich mit klist die
Daten des Tickets anzeigen (Bild 4). Dieses muss den Namen
der Domäne sowie den Ablauf seiner Gültigkeit enthalten.Wird
hier ein Ticket angezeigt, ist der Lin ux-Server erfolgreich an
Kerberos angebunden und lässt sich danach auch mit der Domäne verbinden.
Fehlerbehebung der
Kerberos-Anbindung
Erhalten Sie bei der Anfrage eines Kerberos-Tickets eine Fehlermeldung, überprüfen Sie im Terminal zunächst mit Ping, ob
der Domänencontroller erreichbar ist. Erhalten Sie hier k eine
Antwort, testen Sie, ob der Linux-Server korrekt am Netzwerk
angebunden ist und die Namensauflösung funktioniert. Erscheint
die Abfrage des Kennwortes, aber das Login klappt nicht, stellen
Sie sicher, dass Sie das richtige Kennwort verwenden.
Sehr hilfreich bei Problemen sind die Anleitungen auf den Seiten
[1] und [2].
AD-Domäne beitreten
Wenn die Kerberos-Anbindung funktioniert, können Sie schließlich mit dem Lin ux-Server der Domäne beitr eten. Dazu verwenden Sie Samba in Linux. Das Paket dazu haben Sie bereits
in den Vorbereitungen installiert. Damit der Lin ux-Server Teil
der Active Directory-Domäne wird, müssen Sie die SambaKonfigurationsdatei anpassen. Die Konfigurationsdatei smb.conf
finden Sie im Verzeichnis/etc/samba. Löschen Sie den Inhalt der
Datei und ersetzen ihn durch den Inhalt des Listings 3.
Nachdem Sie die Datei er stellt haben, speichern Sie sie und
starten den Server neu. Überprüfen Sie nach dem Neustart die
Namensauflösung mit Ping und er neut mit kinit, ob die K erberos-Anbindung funktioniert. Danach können Sie den Server
in die Domäne aufnehmen.
ITK Training
Cloud Services & SDN
Technologie-Know-how
Cloud Computing I
V m Ve
Vo
V rtragsrecht bis zum Marktüberblick (3 Ta
T ge)
Cloud Computing II
Cloud-Infrastrukturen und Cloud Security (4 Ta
T ge)
Cloud BootCamp
Prozesse, Infrastruktur,r Security und Marktüberblick (5 Ta
T ge)
Plattformen für OpenStack
Die Bestandteile im Detail (4 Ta
T ge)
OpenStack
Implementierung und Betrieb (5 Ta
T ge)
Software-Defined Networking (SDN)
Konzepte und Implementierungen (3 Ta
T ge)
Software-Defined Data Center
Konzepte und Implementierungen (2 Ta
T ge)
Programmieren für Netzwerker
Eine praxisorientierte Einführung (5 Ta
T ge)
... und alles mit garantierten Kursterminen!
Haben Sie Samba k onfiguriert, nehmen Sie mit dem Befehl
sudo net ads join -U Administrator den Server in die Domäne
auf. Nachdem Sie sich an der Domäne authentifizier t haben,
wird der Linux-Server auch in der Organisationseinheit "Computers" angezeigt. Anschließend müssen Sie Winbind neu starten: /etc/init.d/winbind restart. Generell hilft an dieser Stelle
www.experteach.de
Fordern Sie unseren
aktuellen Trainingskatalog an!
Tel. 06074 4868-0
[global]
security = ads
realm = Domäne in Großbuchstaben
password server = IP-Adresse des
Domänencontrollers
workgroup = Domäne
idmap uid = 10000-20000
idmap gid = 10000-20000
winbind enum users = yes
winbind enum groups = yes
winbind cache time = 10
winbind use default domain = yes
template homedir = /home/%U
template shell = /bin/bash
client use spnego = yes
client ntlmv2 auth = yes
encrypt passwords = yes
restrict anonymous = 2
domain master = no
local master = no
preferred master = no
os level = 0
Listing 3: smb.conf für die
Kerberos-Anbindung
auch der Neustar t des Ser vers mit sudo
reboot, zum Beispiel wenn die Anbindung
noch nicht optimal funktioniert.
Domänenmitgliedschaft prüfen
und Authentifizierung steuern
Nachdem der Ser ver neu gestar tet ist,
überprüfen Sie in "Active Directory-Benutzer und -Computer" auf dem Domänencontroller, ob das Computerk onto
des Servers angezeigt wird. Im Terminal
des Linux-Servers können Sie mit wbinfo
-u die Domänenbenutzer und mit wbinfo
-g die Domänengruppen anzeigen lassen.
Funktioniert die Anbindung, bearbeiten
Sie die Datei /etc/nsswitch.conf. Passen Sie
dort die folgenden Einstellungen an:
passwd:
group:
shadow:
compat winbind
compat winbind
compat
Speichern Sie die Datei und star ten Sie
Winbind neu:
/etc/init.d/winbind restart
Geben Sie danach noch getent passwd ein.
Die erfolgreiche Umsetzung können Sie
mit getent group testen. Der Befehl gibt die
Gruppen in der Domäne aus.
Sie können die K onfiguration auch erweitern, um zum Beispiel Active Directory-Administratoren zur Verwaltung der
Linux-Server einzubinden. Wie Sie dazu
vorgehen, lesen Sie auf [3].Viele wichtige
Informationen sind auf [4] zu finden.
32
Mai 2015
Kostenlose Samba4-Appliance
mit VMware ESXi
Samba 4 steht auf v erschiedenen Wegen
als Linux-Distribution oder als bereits installierte virtuelle Festplatte für Hyper-V
(VHD), im Open Virtualization Format
(OVF) oder als VMware-Image zur Verfügung. Wer sich Samba in einer eigenen
Linux-Installation direkt von den Entwicklern herunterladen will, findet die
Installationsdateien und Anleitungen auf
der Seite [5], ein Whitepaper zur Installation ist auf [6] hinterlegt.
Samba 4 lässt sich als vollwertiger Domänencontroller inklusive Dateiserver-Betrieb nutzen. Im Netzwerk können Sie
auch mehrere Domänencontroller mit
Samba 4 einsetzen, die untereinander Daten synchronisieren. Unternehmen, die
Exchange einsetzen, können ebenf alls
Samba verwenden, da Samba 4 und aktuelle Exchange-Versionen kompatibel
zueinander sind. Samba 4-Server können
auch als Mitgliedsserver in einem Active
Directory auf Basis von Windows-Servern
teilnehmen oder ein eigenes Active Directory zur Verfügung stellen.
Für Windows-Administratoren, die einen fertigen Samba-Server herunterladen und an das Active Directory anbinden wollen, g ibt es eine sehr gute
Appliance [7], die Sie in VMware ESXi
anbinden können. Die Appliance können Sie außerdem auch als Domänencontroller konfigurieren.
Das hat in kleinen Niederlassungen den
Vorteil, dass sich Windows-Computer
wie an nor malen Domänencontrollern
anbinden lassen. Der Import der Appliance findet im Windows-Client über das
Menü "Datei / OVF-Vorlage bereitstellen" statt. Dazu müssen Sie die Appliance
herunterladen und entpacken.
Sobald die Appliance gestartet ist und Sie
die Lizenzbedingungen bestätigt haben,
melden Sie sich mit dem Ben utzername
"root" und dem Kennwort "opensuse" an.
Mit yast lan starten Sie die Einr ichtung
des Netzwerkes. Nachdem der Server eingerichtet ist, können Sie über Skripte die
Domäne einrichten, Samba aktivieren und
auch Arbeitsstationen an den Ser ver an-
binden.Wechseln Sie dazu in das korrekte
Verzeichnis mit dem Befehl cd /srv/v und
starten Sie das Skript zur Einrichtung mit
./dcpromo.sh. Anschließend steht die Appliance zur Konfiguration bereit.
Fazit
Linux und das Active Directory arbeiten
auf verschiedenen Ebenen zusammen.
Sie können Linux-Server so konfigurieren, dass die installier ten Serverdienste
die Authentifizierung des Active Directory nutzen können, oder Sie betreiben Linux als Domänencontroller und binden
Windows-Rechner an. Auch die Anbindung von Linux-Arbeitsstationen an
Windows-Domänen ist möglich. Allerdings setzt das etw as Geduld und K onfigurationsarbeit voraus.
Administratoren sollten sich die Möglichkeiten ansehen und testen, ob der
eine oder andere Serverdienst auch über
Linux bereitgestellt werden kann. Da sie
in den meisten Fällen keine Änderungen
an den Domänencontrollern durchführen müssen und die Linux-Server auch
virtualisieren können, lässt sich schnell
eine Testumgebung aufbauen.
Neben der Möglichkeit, eine eingeschränkte grafische Oberfläche zu nutzen, können Sie auf Linux-Servern natürlich auch vollwertige Konfigurationsoberflächen installieren. Das erhöht zwar
das Sicherheitsr isiko, erleichtert dafür
aber deutlich die Einrichtung. (of)
[1] Troubleshooting Active Directory and Winbind
F5P61
[2] How to configure Network IPv4 DNS or DHCP
using terminal on Ubuntu server
F5P62
[3] ActiveDirectoryWinbindHowto
F5P63
[4] Samba/Kerberos
F5P64
[5] Samba-Download
F5P65
[6] Samba 4.0 Whitepaper
F5P66
[7] Samba Appliance
F5P67
Link-Codes
Link-Codes eingeben auf www.it-administrator.de
S076-081_ITA_0415_Z04_Computec-Media_ok_ITA_Default 17.03.2015 17:16 Seite 2
SCHWERPUNKT I OpenVPN
Workshop: OpenVPN-Verbindungen
Sicher getunnelt
von Thomas Zeller
In Zeiten der allgegenwärtigen Überwachung
und Ausspähung von Netzen ist die Verschlüsselung und sichere Authentifizierung vertraulicher
Kommunikation erste Bürgerpflicht. Dies gilt umso
mehr für Admins im Unternehmensnetzwerk, tragen
sie doch die Verantwortung für die sichere geschäftliche
Kommunikation ihrer Benutzer. OpenVPN ist ein bewährtes und
robustes VPN-Produkt und dank einfachem Setup auch schnell in Betrieb genommen. Dieser Artikel gibt einen Überblick über die Einsatzmöglichkeiten und verschiedenen Varianten von OpenVPN.
as Kürzel VPN (Virtual Pr ivate
Network) bezeichnet eine Technologie zur Verbindung von zwei oder
mehreren Rechnernetzen über ein unsicheres, zumeist öffentliches Drittnetz. Mit
dem unsicheren Dr ittnetz ist typischerweise natürlich das Internet gemeint, aber
es kann sinnvoll sein, die Kommunikation
auch innerhalb eines LANs oder WLANs
zu verschlüsseln, zum Beispiel wenn der
eigene Rechner an ein fremdes LAN angeschlossen werden muss. Denn schließlich kann potenziell jeder Betreiber eines
Netzwerks die Kommunikation aller Teilnehmer mitlesen oder aufzeichnen, wenn
die Übertragung unverschlüsselt erfolgt.
D
Und natürlich lassen sich auf diese Weise
auch Zensur mechanismen umgehen. So
nutzten beispielsweise ausländische Journalisten während der Olympiade 2008 in
Peking OpenVPN, um sich auf Server in
ihren Heimatländern zu verbinden, um
von dort aus einen ungefilter ten Internet-Zugang zu erhalten.
VPN ist nicht gleich VPN
VPN-Protokolle gibt es viele. Als quasiStandard für die v erschlüsselte Netz-zuNetz Kommunikation hat sich die IPSec
Protokollfamilie fest etabliert. Dessen Setup gilt aber als aufwändig und wenig "Firewall-freundlich" und hat zuweilen auch
76
April 2015
Probleme mit der Kompatibilität zwischen
den Implementierungen verschiedener
Hersteller. L2TP over IPSec hat sich vor
allem bei den mobilen Betriebssystemen
iOS und Android einen Namen gemacht,
Microsofts altes PPtP g ilt inzwischen als
gebrochen und sollte daher auch nicht
mehr verwendet werden.
SSH, eigentlich ein klassisches Pr otokoll
zum Aufbau verschlüsselter Verbindungen
für das Remote-Login auf Unix-Systeme,
bietet durch seinen Tunneling-Mechanismus ebenfalls VPN-Qualitäten, erlaubt
aber nur das Tunneln TCP-basierter Verbindungen. Dafür ist die K onfiguration
sehr einfach, da der Tunnel eben nicht auf
der Netzwerk-, sondern auf der Anwendungsebene aufgebaut wird.
OpenVPN greift für die Verschlüsselung
auf die Bibliotheken von OpenSSL zurück und verwendet als Transportprotokoll wahlweise TCP oder UDP oder auch
beides. Damit vereint OpenVPN die Vorteile der anderen VPN-Protokolle (sichere
Netzkopplung und einfache Konfiguration) in sich.
Schon deshalb gilt OpenVPN bei vielen
Administratoren als Favorit in Sachen
verschlüsselter Kommunikation. Neben
dem bereits erwähnten einf achen Setup
und der Kommunikation über einen einzigen TCP- oder UDP-Por t bietet
OpenVPN eine Reihe weiterer Vorteile:
- OpenVPN kann, wenn TCP als Transportprotokoll verwendet wird, über
Web-Proxies hinweg kommunizieren
- OpenVPN hat keine Probleme mit dynamischen IP-Adressen
- Der Bridging Mode von OpenVPN ermöglicht Ethernet Layer Tunnel. Damit
können auch Protokolle betrieben werden, die auf Broadcast und/oder Multicast angewiesen sind, zum Beispiel
Netbios und einige Netzw erk-Spiele.
Außerdem können im Bridging Mode
sogar nicht-IP-Protokolle wie IPX oder
AppleTalk transportiert werden.
Die Community-Version von OpenVPN
steht unter einer Open Sour ce-Lizenz
(GPL) und ist damit kostenfrei verfügbar.
Angesichts der Tatsache, dass viele Netzwerkhersteller ihre Geräte ausschließlich
mit IPSec ausrüsten, ist die fehlende Kompatibilität dazu ein gewisser Nachteil von
OpenVPN. Außerdem schlagen Sicherheitslücken im OpenSSL-Projekt beziehungsweise in SSL/TLS üblicherweise voll
auf die Sicherheit von OpenSSL-basierten
Produkten durch, was wir 2014 mit
Heartbleed [1] und POODLE [2] gleich
zweimal erlebt haben. Die kommerzielle
OpenVPN I SCHWERPUNKT
Variante von OpenVPN erlaubt alternativ
die Verwendung der PolarSSL-Bibliotheken anstelle OpenSSL, dazu später mehr.
desamt für Sicherheit in der Infor mationstechnik (BSI) empfohlene Variante
beim Einsatz von OpenVPN [3].
Authentifizierung
Alternativ zum Einsatz v on Smartcards
oder anderer PKI-Token bietet Open VPN noch weitere Möglichkeiten zur
starken Authentifizierung, zum Beispiel
per One Time Password (OTP). Läuft
der OpenVPN-Server unter Linux oder
einem anderen Unix-artigen Betr iebssystem, bietet sich als Uni versalschnittstelle zu verschiedenen Backend-Systemen der Einsatz von PAM (Pluggable
Authentication Module) an.
Die Sicherheit von VPN-Verbindungen basiert neben der Verschlüsselung auch auf der
Authentifizierung der beteiligten VPN-Partner. OpenVPN kann auch in diesem Bereich viele Vorteile in sich vereinen. Denn
es bietet neben dem klassischen Preshared
Key-Verfahren, bei dem alle beteiligten Partner denselben Schlüssel verwenden, auch
eine zertifikatsbasierte und damit wesentlich
sicherere Form der Authentifizierung an.
Bei der zertifikatsbasierten Authentifizierung erhält jeder VPN-Teilnehmer ein eigenes X.509 Zertifikat, bestehend aus einem Public- und einem Private-Key. Der
VPN-Server lässt dann nur Verbindungen
von Partnern zu, deren Zertifikat von einer ihm bekannten Zer tifizierungsstelle
signiert wurden. Scheidet ein Kommunikationspartner aus oder g ilt dessen Zertifikat als kompromittiert, muss der Administrator nur das jeweilige Zertifikat für
ungültig erklären. Dies geschieht, indem
er das betroffene Zertifikat auf eine Art
schwarze Liste setzt, die Cer tificate Revocation List (CRL), um den Teilnehmer
künftig aus dem VPN auszusperren. Der
Server prüft die CRL bei jedem Verbindungsaufbau und kann so ungültige Zertifikate jederzeit identifizieren.
Zusätzlich erlaubt der Einsatz der zertifikatsbasierten Authentifizierung, jedem Benutzer individuelle Profile zuzuweisen.
Auf diese Weise kann der Administrator
beispielsweise bestimmte Rechte oder
Routen am Client setzen und über iptables auch den Zugang zu inter nen Services explizit erlauben oder verbieten.
Schutz der Zertifikate
Natürlich müssen die Teilnehmer gut auf
ihre Zertifikate aufpassen. Damit ein gestohlenes Zertifikat einen Angreifer nicht
sofort in die Lage versetzt, am VPN teilzunehmen, ist der Pr ivate Key-Teil des
Zertifikats durch eine Passphrase geschützt. Dieser Schutz lässt sich erheblich
erweitern, wenn das Zer tfikat auf eine
Chipkarte (Smartcard, USB-Token) ausgelagert wird. Dies ist auch die vom Bun-
Mit Hilfe von PAM und den entspr echenden Modulen können eingehende
Anfragen beispielsweise an einen RADIUS-Server oder LDAP-Server weitergeleitet werden. Der Einsatz eines RADIUS-Servers via PAM bietet hier das
größte Potenzial, da praktisch jeder größere Anbieter von Authentisierungslösungen entweder einen eigenen RADIUS-Ser ver mitbr ingt oder eine
Schnittstelle dafür implementiert hat. Als
herstellerunabhängige Middleware kann
beispielsweise LinOTP dienen, das wir
in der Oktober-Ausgabe des IT-Administrator vorgestellt haben [4].
Einsatzplanung
Im Gegensatz zu anderen VPN-Protokollen bietet OpenVPN mit dem Routingund dem Bridging-Modus zwei Betriebsmodi, auf deren Basis die jeweils gewünschte Topologie im VPN aufgebaut
wird. Bevor wir gleich näher auf die Unterschiede des Routing- und Br idgingMode eingehen, werfen wir einen Blick
auf die typischen VPN-Topologien:
- Peer-to-Peer Tunnel: Im einfachsten Fall
ist das eine per Preshared-Key gesicherte
Verbindung zwischen zwei Systemen.
Dieser Anwendungsfall dürfte in der
Praxis eher selten vorkommen. Aufgrund des einfachen "Minimal-Setups"
kann es aber für den schnellen Aufbau
eines Anwendungsszenarios mit niedrigem Schutzbedarf eine inter essante
Option sein.
- Client-to-Site Tunnel: Dies ist das typische "Roadwarrior"-Szenario, bei dem
sich mehrere Benutzer (Clients) in einer
sternförmigen Topologie mit einem
zentralen VPN-Gateway (Server) verbinden.
- Site-to-Site Tunnel: In diesem Szenario
werden zwei oder mehrere Netzwerke
über VPN-Gateways (Server) miteinander verbunden. Die Clients in den beteiligten Netzen können so transparent
auf Dienste im je weils anderen Netz
zugreifen.
Routing und Bridging
Ob Sie sich für den Routing- oder Bridging-Modus von OpenVPN entscheiden,
wird im Wesentlichen davon abhängen,
wie eng Sie den oder die Clients an Ihr
lokales Netzwerk anbinden wollen. Im
Bridging-Modus erhält jeder Client eine
IP-Adresse aus dem lokalen Netzw erk
und kann mit dem Netzwerk dann auch
so interagieren, als wäre er lokal ans Netzwerk angeschlossen (Layer 2). Die Clients
befinden sich also in der selben Broadcast-Domain, was beispielsweise für das
Browsen von Netbios-Freigaben ohne
WINS-Server erforderlich ist. Auch verschiedene LAN-Spiele sind auf Broadcasts
angewiesen. Der Overhead von Open VPN ist im Bridging-Mode etwas höher
als bei gerouteten Verbindungen. In der
Praxis ist dieser Umstand allerdings in den
meisten Fällen vernachlässigbar.
Für den Einsatz des Routing-Modes von
OpenVPN sprechen daher auch eher die
weitreichenderen Möglichkeiten, Clients
individuell in ihren Rechten zu beschränken, als die Skalierbark eit des VPN. Außerdem unterstützen Android-Devices
derzeit nur den Routing-Modus. Im Allgemeinen ist der Routing-Modus daher
die bessere Wahl, es sei denn, Sie haben
eine Anforderung, die zwingend den Bridging Modus erfordert. Im Routing-Modus schaltet OpenVPN zwischen die beteiligten Netze (Client + Ser ver) ein
zusätzliches IP-Netz. Alle Endpunkte
kommunizieren also über eine GatewayAdresse aus diesem Zwischen-Netz.
UDP vs. TCP
Wie eingangs schon kurz erwähnt, kann
der Admin einfach festlegen, über welchen
TCP- oder UDP-Port OpenVPN kommunizieren soll. Per Default verwendet
OpenVPN den Port UDP/1194. Hintergrund ist, dass der weitaus größere Teil
April 2015
77
OpenVPN stellt in der freien Variante keine klassischen
Mechanismen wie "active-passive" oder "active-active"
zum Aufbau einer Hochverfügbarkeitsumgebung zur
Verfügung. Die kommerzielle Ausgabe, der OpenVPN
Access Server, unterstützt hingegen HA-Setups auf Basis von "GlusterFS" [5]. Eine einfache Form der Hochverfügbarkeit lässt sich aber auch mit Hilfe redundanter
OpenVPN-Server herstellen. In die Client-Konfiguration
werden dann einfach mehrere Server untereinander
eingetragen. Erreicht der Client den ersten Server nicht,
versucht er es beim nächsten. Alternativ bietet sich
auch der Einsatz eines Loadbalancers an, der die eingehenden Verbindungen auf die Serverinstanzen verteilt.
Hochverfügbarkeit
der typischerweise genutzten Dienste auf
TCP basiert und die Verwendung von
TCP als Transportprotokoll Voraussetzung
dafür ist, dass OpenVPN Verbindungen
über Web-Proxys hinweg kommunizieren
kann. Die Antwort auf die Frage "Was ist
besser, TCP oder UDP?“ lautet also: "Es
kommt drauf an“.
Aus technischer Sicht besser geeignet ist
sicher UDP, da es schon aufg rund der
fehlenden Fehlerkorrektur einfach schneller ist und das Tunneln von TCP über
TCP einen größeren Overhead erzeugt.
Für ein Roadwarrior-Szenario, bei dem
Clients aus den unterschiedlichsten Netzwerken und zum Teil über Proxyserver
hinweg sich zum Server verbinden, ist alDie meisten UTM-Firewall-Systeme bringen heute einen
oder mehrere VPN-Server mit, darunter häufig auch
OpenVPN. Bekannte Vertreter aus dem kommerziellen
Lager sind:
- Endian Firewall
- Gateprotect
- Securepoint
- Sophos UTM
- Watchguard
Aber auch die Open Source-Szene kann mit freien Firewall-Appliances aufwarten, die OpenVPN entweder bereits fest integriert haben oder eine modulare Nachrüstung erlauben:
- Endian Firewall, Community Edition
- Fli4l
- IPCop
- IPFire
- LEAF (Bering-uClibc)
- OpenWRT
OpenVPN in a Box
78
April 2015
lerdings TCP zum Beispiel auf Port 443
die bessere, weil verlässlichere Wahl. In
allen anderen Situationen ist aber die Verwendung von UDP sinnvoller. Wer auf
Nummer sicher gehen möchte, startet
einfach zwei OpenVPN-Daemons, einen
mit TCP- und den anderen mit einer
UDP-Konfiguration.
Unterschiede zwischen
kommerziell und Open Source
Werfen wir nun einen Blick auf die verfügbaren freien und kommerziellen Implementierungen von OpenVPN. Die
Entwickler Francis Dinha und James Yonan bieten über ihr Unter nehmen
OpenVPN Technologies den kommerziellen OpenVPN Access Server als Software-Paket für verschiedene LinuxDistributionen, virtuelle Appliance für
Hyper-V und VMware und als Cloud
Image für Amazon AWS und CloudSigma
an. Lizenziert wird nach Client-Verbindungen mit einem Minimum von 10
Clients für je 6,90 US-Dollar pro Jahr.
Zwei Client-Verbindungen sind bereits
kostenfrei enthalten.Wer damit auf Dauer
zurechtkommt, muss also keine Lizenzen
erwerben. Die kommerzielle Variante bietet gegenüber der Open Source-Version
einige zusätzliche Funktionen, darunter
beispielsweise eine Web-GUI. Einen detaillierten Überblick über die Unterschiede zur Open Source Version bietet die Tabelle unter [6].
Mit dem VPN-Service "pr ivatetunnel"
bietet OpenVPN Technologies darüber
hinaus OpenVPN-Zugänge auf gehostete
Server in Nordamerika und verschiedenen
europäischen Staaten an, um die eigene
öffentliche IP-Adresse zu verstecken, etwa
um so Internet-Restriktionen bei Verbindungen aus Staaten wie China oder dem
mittleren Osten zu umgehen.
Natürlich steht OpenVPN auch auf der
Projektwebsite des Open Source-Projekts
zur Verfügung. In der Regel ist die fr eie
Version auch in den Repositories der gängigen Linux-Distributionen enthalten –
wenn auch nicht immer in der aktuellen
Version. Derzeit aktuell ist Version 2.3.6
vom 01.12.2014. Ubuntu 14.04 installiert
beispielsweise noch die Vorgängerversion
2.3.2. Wer also auf Features oder Bugfixes
der jeweils aktuellen Version angewiesen
ist, sollte besser gleich die Pakete von der
Projektwebsite verwenden, muss dann allerdings den Quellcode selbst kompilieren.
Für Windows steht die aktuelle Version
inklusive Installer bereit. Das Binary von
OpenVPN enthält übr igens immer den
Client- und den Ser verteil. In welchem
Modus OpenVPN läuft, wird über die
Konfigurationsdateien gesteuert. Die
Community Version enthält kein grafisches
Frontend, lässt sich aber auch gut über die
Kommandozeile bedienen.
Weiterhin ist OpenVPN auch in zahlreiche freie und kommerzielle Produkte integriert, zum Beispiel Firewalls, die meist
auch einen eigenen g rafischen VPNClient mitbringen. Einen Überblick über
kommerzielle Produkte mit integriertem
OpenVPN erhalten Sie mit Hilfe des Kastens "OpenVPN in a Box".
OpenVPN Schnellkonfiguration
Ein VPN zwischen zwei Endpunkten ist
mit OpenVPN und Pr eshared-Key im
Peer-to-Peer Modus zwar sehr schnell
aufgesetzt, genügt aber nicht unbedingt
den Vorstellungen sicherheitsbewusster
Administratoren. Greifen Sie lieber gleich
zur zertifikatsbasierten Authentifizierung,
auch wenn sie zunächst etwas aufwendiger
ist. Der Mehraufwand entsteht vor allem,
weil die zertifikatsbasierte Authentifizierung eine Public Key Infrastructure (PKI)
voraussetzt und die Zertifikate an die Benutzer verteilt werden müssen.
Leider bringt die Community-Version inzwischen keine PKI mehr mit. Das früher
zusammen mit OpenVPN ausgeliefer te
"easyRSA" steht aber weiterhin auf Github zur Verfügung [7]. EasyRSA ist ein
kommandozeilenbasiertes Werkzeug zum
Aufbau und Betrieb einer PKI Certificate
Authority (CA), mit der sich leicht X.509Zertifikate für Server und Benutzer sowie
eine Zertifikatssperrliste erzeugen lassen.
Installation und
Konfiguration des Servers
Wer das zu aufwendig findet, greift einfach
zum kommerziellen OpenVPN Access
Server. Der bringt seine eigene PKI mit,
ting-Modus aktiv. Dies können Sie bei
Bedarf hier umstellen.
- VPN Settings: In diesem Bereich wird
das Tunnel-Netzwerk konfiguriert und
festgelegt, ob der Netzwerkverkehr an
den Clients grundsätzlich über das VPN
geroutet werden soll.
- Authentication / General: In der Voreinstellung werden Benutzer über PAM
gegen die Passwortdatenbank des Linux-Hosts authentifiziert. In diesem Bereich können Sie das ändern. Wenn Sie
die lokale Authentifizierung verwenden,
müssen Sie allerdings jedem Benutzer
im Bereich "User Permissions" ein eigenes Passwort zuweisen.
- User / Group Permissions: Hier legen
Sie Benutzer / Gruppen für Ihre VPNUser an und stellen indi viduelle Berechtigungen für die Benutzer ein.
Bild 1: Der OpenVPN Access Server bringt ein komfortables Webfrontend für die Konfiguration
des Servers und die Provisionierung der Clients mit.
sodass sich der Admin nicht mit weiteren
Werkzeugen herumschlagen muss. Alle
erforderlichen Schr itte, inklusive RollOut und Rückzug von Zertifikaten, können mit dem Admin-GUI des OpenVPN
Access Servers erledigt werden (Bild 1).
Laden Sie die passende Version für Ihre
Linux-Distribution herunter und installieren Sie sie mit dem Paketmanager.
Alternativ können Sie auch auf die vorkonfigurierten VMs oder ein CloudImage zurückgreifen. Haben Sie sich für
die Installation unter Linux entschieden,
zeigt der Installer nach erfolgreicher Installation die URLs an, über die Sie ganz
einfach die webbasierte Konfigurationsoberfläche erreichen:
Admin UI: https://IPAdresse:943/admin
Client UI: https://IP-Adresse:943/
Passt der voreingestellte Port des Webinterface nicht für Ihre Umgebung oder haben Sie die OpenVPN Access Server VM
(Login als root mit dem P asswort opnvpnnas) heruntergeladen, führen Sie mit
dem Befehl ovpn-init eine Re-Konfigu-
80
April 2015
ration aller wichtigen P arameter durch.
Per Default legt der Installer den Benutzer
openvpn auf dem Host an. Damit Sie sich
mit diesem Benutzer in die Admin-Oberfläche einloggen können, müssen Sie für
diesen zunächst ein Passwort vergeben:
Haben Sie diese Einstellungen überprüft
und gegebenenfalls angepasst, steht einem
ersten VPN-Verbindungsaufbau nichts
mehr im Wege. Um OpenVPN auf dem
Client zu installieren, rufen Sie mit dem
Webbrowser Ihres Endgeräts (PC mit
Windows oder Linux, Mac, Android- oder
iOS Device) das Client User Interface unter der URL https://IP-Adresse:943/ auf
und loggen sich dort mit dem Benutzernamen und dem Passwort ein, die Sie zuvor unter User / Group Permissions vergeben haben (Bild 2).
passwd openvpn
Anschließend r ufen Sie die URL
https://IP-Adresse:943/admin auf und loggen sich als User "openvpn" mit dem soeben gesetzten Passwort ein. Hier müssen
Sie zunächst die Lizenzbestimm ungen
abnicken und haben dann k omfortabel
Zugriff auf die Ser verkonfiguration, die
bereits sinnvoll eingestellt ist. Sie sollten
sich aber dennoch zumindest die folgenden Settings ansehen und diese im Bedarfsfall anpassen:
- Server Network Settings: Hier legen Sie
fest, auf w elche IP-Adr essen die
OpenVPN-Dienste gebunden und ob
VPN-Verbindungen über TCP, UDP
oder beides entgegengenommen werden.
- VPN Mode: OpenVPN unterstützt Verbindungen im Br idging- oder Routing-Modus (TUN beziehungsweise
TAP Device), per Default ist der Rou-
Wenn Sie die URL von einem WindowsRechner aufrufen, wird nur der WindowsClient (OpenVPN Connect) zum
Download angeboten. In diesem Fall müssen Sie die Konfiguration auch nicht separat herunterladen und in den Client
einbinden, die Provisionierung übernimmt
der OpenVPN Access Server vollautoma-
Bild 2: Die Provisionierung der Clients erfolgt über
das Self-Service-Portal des OpenVPN Access Servers.
OpenVPN I SCHWERPUNKT
tisch. Nach dem Do wnload des Clients
muss der Benutzer also lediglich seine
Credentials eintragen und erhält nach dem
Verbindungsaufbau vom Access Server
sein vollständiges Profil.
Verbinden Sie sich hingegen v on einem
Linux-System mit dem Client UI, werden
Ihnen die entsprechenden Downloadlinks
für den OpenVPN-Client angeboten. Ihre
benutzerspezifische Konfigurationsdatei
laden Sie nach der Installation des Clients
unter "Yourself (user-locked profile)" herunter und speichern diese Textdatei mit
der Extension OVPN am besten in Ihrem
Home-Verzeichnis. Verwenden Sie eine
grafische Oberfläche als Client, stellen Sie
in der Applikation den Pf ad zur Konfigurationsdatei ein. Auf der Kommandozeile können Sie die Konfigurationsdatei
als Parameter an OpenVPN übergeben:
dem Server verbunden. Das können Sie
auch im Admin-Frontend nachvollziehen,
denn dort werden aktuell eingewählte Benutzer in der Sektion "Cur rent Users"
mit ihrer realen und ihrer VPN-IP-Adresse
aus dem Tunnel-Netzwerk aufgelistet. Einen eingewählten Benutzer können Sie
mit Hilfe der Schaltfläche "Block" auch
trennen und aus dem System aussperren.
Diese Sperre heben Sie wieder auf, indem
Sie das Häkchen unter "User Permissions/
Deny Access" herausnehmen. Um einen
Benutzer dauerhaft zu deaktivieren, sollten
Sie aber unbedingt auch dessen Zertifikat
zurückziehen (User Management / Revoke Certificates). Soll der User dann eines
Tages wieder reaktiviert werden, müssen
Sie ihn neu anlegen. Für den Ben utzer
wird dann ein neues Zer tifikat erzeugt,
das der Anwender wieder zusammen mit
der Konfiguration herunterladen kann.
openvpn --config openvpnas.ovpn
Läuft OpenVPN Connect unter Android
oder iOS, werden OVPN-Profil-Dateien
nach dem Download erkannt und automatisch in die Profil-Verwaltung des
Clients importiert.
Um eine Verbindung mit dem Server herzustellen, wählen Sie die gewünschte Profildatei aus und klicken Sie auf "Connect".
Hat alles geklappt, sehen Sie im Lo g als
letzten Eintrag "Initialization Sequence
Completed" und sind n un via VPN mit
[1] Heartbleed
F4Z41
[2] POODLE
F4Z42
[3] OpenVPN-Empfehlung des BSI
F4Z43
[4] LinOTP in IT-Administrator 10/2014
F4Z44
[5] HA-Setup
F4Z45
[6] Vergleich Community- und Enterprise-Version
F4Z46
[7] Easy-RSA
F4Z47
[8] Tunnelblick
F4Z48
Link-Codes
Grafische Oberflächen
für OpenVPN-Clients
Da OpenVPN auf Client-Seite vollständig über die Profildatei (*.ovpn) gesteuert wird, ist die Bedienung auch auf der
Kommandozeile kein Problem. Doch
es gibt auch grafische Client-Frontends
für alle wichtigen Plattfor men. Der
kommerzielle OpenVPN Access Server
bringt mit dem OpenVPN Connect
Client eine sehr komfortable Benutzeroberfläche für Windows, OS X, Android
und iOS mit. Linux-Anwender müssen
dagegen entweder auf die Kommandozeile ausweichen oder ein g rafisches
Frontend der jeweiligen Desktop-Umgebung verwenden. KDE-Anwender
werden "KVPNC" bevorzugen, Gnome-Liebhaber verwenden am besten die
Erweiterung für den Gnome Netw ork
Manager. Er ist im Bedarfsfall schnell aus
den Repositories nachinstalliert.
VPN-Verbindungen können dann einfach
über den Netzwerk-Dialog der Systemsteuerung konfigur iert werden. Der
OpenVPN Access Server erstellt per
Default allerdings eine einzelne Datei, die
die Zertifikate für die Authentifizierung
bereits beinhaltet. Der KonfigurationsDialog des Gnome Network Managers
kann mit diesem monolithischen File aber
wenig anfangen. Das folgende Skript (aus-
geführt auf dem OpenVPN Access Server)
erstellt die erforderlichen Dateien im Verzeichnis /export:
/usr/local/openvpn_as/scripts/sacli
-o /export --cn testuser Get5
Wer OpenVPN Connect nicht einsetzen
kann oder möchte und lieber mit der freien Version arbeitet, findet mit OpenVPN
GUI (Windows) und Tunnelblick (OS X)
[8] noch zwei weitere brauchbare Clients
für OpenVPN. Außerdem liefern praktisch
alle kommerziellen UTM-/Firewall-Anbieter mit integriertem OpenVPN Server
ebenfalls einen eigenen Client inklusi ve
Provisionierung mit.
Fazit
OpenVPN ist so etwas wie die eierlegende Wollmilchsau unter den VPN-Protokollen und besticht bei Einsatz der zertifikatsbasierten Authentifizierung durch
hohe Sicherheit, einfaches Handling und
plattformübergreifende Verfügbarkeit.Wer
auf die Schnelle ein VPN einr ichten
möchte, greift am besten zum k ommerziellen OpenVPN Access Server. Er ist bis
zwei Benutzer kostenfrei, die Lizenzpreise
sind mit 9,60 US-Dollar pr o Benutzer
und Jahr aber moderat.Viele (UTM-)Firewallsysteme bringen häufig ebenfalls einen integrierten OpenVPN Ser ver und
Werkzeuge zur Provisionierung der
Clients mit. (of)
Vom Autor dieses Artikels
ist unter dem Titel "OpenVPN kompakt" (ISBN 9783-939316-51-0 ) ein
Buch/eBook erhältlich, das
neben einer ausführlichen
Konfigurationsanleitung für
die Open Source-Version
von OpenVPN und dem PKISetup mit easyRSA exemplarisch auch drei Einsatzszenarien und deren
Einrichtung beschreibt:
1. Linux OpenVPN-Server mit Linux- und
Windows "Road Warriors"
2. Verbindung von drei festen Standorten mit
Linux OpenVPN-Servern
3. WLAN absichern mit OpenVPN
Buchtipp "OpenVPN kompakt"
April 2015
81
S094-098_ITA_1115_Z09_halbeEAZSH0116_ok_ITA_Default 22.10.2015 11:58 Seite 2
Storage-Neuerungen unter Windows Server 2016
Mitarbeiter
des Monats
von Jan Kappen
Das anstehende Release von Windows
Server 2016 bringt wichtige Neuerungen
im Bereich Storage. Mit eingebauter StorageReplikation, Storage Spaces Direct und der
Verkehrssteuerung beim Storage-Zugriff via
QoS schickt sich Windows Server an, unter
Storage-Admins zum Mitarbeiter des Monats
gewählt zu werden. Unser Beitrag gibt einen
Überblick der zentralen Neuerungen.
Quelle: ojogabonitoo – 123RF
it Windows Server 2012 präsentierte Microsoft erstmals die Möglichkeit, mit Bordmitteln einen Dateiserver
für Anwendungsdaten aufzusetzen.
Grundlage hierfür sind zwei bis acht Server, die einen Dateiserver in einem Failover-Cluster betreiben und so hochverfügbar zur Verfügung stellen. Als Speicher
kommen entweder per SAS angebundene
Festplatten in Enclosures oder per Fibre
Channel/iSCSI angebundene LUNs zum
Einsatz. Dieser Speicher wird den Applikationsservern wie Hyper-V oder SQL Server dann über das Netzwerk bereitgestellt.
Als Protokoll dient SMB in der Version 3.
M
Mit dem R2 von Windows Server 2012 bot
Microsoft im Bereich der Performance die
Möglichkeit, SSDs und HDDs gleichzeitig
in einem Speicherpool zu nutzen. Durch
diese als Tiering bekannte Technik werden
Daten in 1 MByte großen Chunks, die häufig in Nutzung sind, im Betrieb automatisch auf die schnellen Datenträger (die
SSDs) verschoben, während Daten mit wenig oder keiner Nutzung auf den HDDs
gespeichert werden. Mit dieser Technik
sind Sie in der L age, einen hochperformanten, hochverfügbaren und preislich
sehr attraktiven Speicher aufzubauen.
94
November 2015
Kommen SSDs zum Einsatz, wird vom
zur Verfügung stehenden Speicherplatz
standardmäßig 1 GByte als Write-back
Cache genutzt. Dies reduziert die Latenz
für Schreibvorgänge und senkt den negativen Performance-Einfluss auf andere
Datei-Operationen. Weitere Neuerungen in Windows 2012 R2 waren der
Support für Parity-Datenträger im Failover-Cluster, die Nutzung von Dual Parity (ähnlich einem RAID 6) und die
Möglichkeit, dass die Storage Spaces sich
bei freiem Speicherplatz im Pool automatisch reparieren beziehungsweise erneut erstellen. Durch diese Möglichkeit
entfällt der Bedarf von "Hot Spare"-Datenträgern. Zur Wiederherstellung der
Datenintegrität wird freier Speicherplatz
auf den noch funktionstüchtigen Datenträgern genutzt.
IOPS rauf mit
Storage Spaces Direct
Mit der kommenden Version 2016 des
Server-Betriebssystems werden die Möglichkeiten und Techniken noch einmal
deutlich erweitert und verbessert. Viele
Unternehmen setzen bereits heute Lösungen ein, bei denen lokaler Speicher in
mehreren Hosts genutzt wird und per
Netzwerk logisch zusammengefasst wird
(beispielsweise Datacore).
An dieser Stelle setzt Microsoft mit "Storage Space Direct" (S2D) an. Die eingesetzten Storage-Server benötigen nun
nicht mehr eine gemeinsame Anbindung
an ein oder mehrere Festplatten-Enclosures, es lassen sich nun auch lokal verbaute Datenträger nutzen. Diese Disks
lassen sich übergreifend über mehrere
Server zu einem P ool zusammenfassen,
der als Grundlage für einen oder mehrere
virtuelle Datenträger (vDisks) dienen
kann. Beim Aufbau eines solchen VerAuf die richtige Hardware achten
Bei der Nutzung von Enclosures zur Bereitstellung von Speicher müssen Sie unbedingt
darauf achten, dass es sich um reine SAS-Enclosures handelt, die die Datenträger 1-zu-1
an die Server weiterreichen und nicht per
RAID-Controller verschachteln. Achten Sie
weiterhin darauf, von Microsoft zertifizierte
Hardware zu nutzen. Obwohl die Enclosures
"dumm" sind, gibt es Unterschiede in Bezug
auf die Eigenschaften. Eine Liste der zertifizierten Hardware finden Sie unter [1]. Suchen
Sie hier explizit nach Hardware zur Nutzung
der Storage Spaces.
Windows Server 2016 Storage
Scale-Out File Server
\\FileServer\Share
Cluster Shared Volumes
ReFS File System
C:/ClusterStorage
Storage Space
Virtual Disks
Storage Pool
Software Storage Bus
Storage Node
Storage Node
Storage Node
Storage Node
Network (SMB3)
Software Defined Storage System
Bild 1: Die Storage-Neuerungen in Windows Server 2016 im Zusammenspiel.
bunds ist allerdings zu beachten, dass Sie
(je nach Anzahl an Knoten) maximal zwei
Server verlieren dürfen.
Da das SMB-Protokoll zum Einsatz kommt
und dieses auch weiterentwickelt wird,
können Sie natürlich auch weiterhin die
zentralen Funktionen von SMB3 nutzen:
- SMB Multichannel: Beim Einsatz mehrerer Netzwerkkarten (NIC) erhöht
sich die nutzbare Bandbreite, da der
Datentransport über alle verfügbaren
Adapter erfolgt. Der Ausfall eines oder
mehrerer Adapter wird transparent abgefangen, es kommt nicht zu einem
Abbruch der Verbindung, solange noch
mindestens eine Verbindung besteht.
Multichannel bedingt keine Einrichtung von Teaming, ist technisch allerdings auch über mehrere Teams hinweg möglich. Die Konfiguration und
Nutzung von MPIO ist nicht unterstützt, die Verwendung mehrerer Karten ist im SMB-Protokoll definiert.
- Remote Direct Access Memory (RDMA):
Der Einsatz spezieller NICs erlaubt die
Nutzung von SMB Direct, das den Servern ermöglicht, untereinander direkt
Daten in den RAM des Partners zu legen. Hierbei wird die L ast des Datentransfers nicht an die CPU ausgelagert,
sondern die Adapter verarbeiten diese
komplett selbst. RDMA sorgt für einen
äußerst performanten Datentransfer
bei einer sehr geringen Latenz und einer sehr niedrigen CPU-Belastung.
Zur Nutzung von Storage Spaces Direct
gibt es aktuell schon einige Informationen zu notwendigen Voraussetzungen:
Als Datenträger können Sie nun auch
SATA-Datenträger verwenden, die verpflichtende Nutzung von Geräten mit
SAS-Anschluss entfällt. Derzeit sind insbesondere die SAS-SSDs recht teuer, hier
können Sie in Zukunft auf die etwas
günstigere SATA-Variante zurückgreifen.
Was aber nicht bedeutet, dass Sie die
Schwerpunkt
günstigsten Consumer-Komponenten
nutzen sollten. Setzen Sie grundsätzlich
Enterprise-Hardware ein.
Falls die Performance von handelsüblichen
SSDs nicht ausreicht, erlaubt Windows
Server 2016 auch den Einsatz von NVMeSpeicher (Non-Volatile Memory Express).
Hierbei handelt es sich um direkt über einen PCI Express-Bus angeschlossenen
Flash-Speicher. Somit wird die Begrenzung
des SAS/SATA-Busses umgangen. Microsoft hat in Zusammenarbeit mit Intel auf
der Intel Developer Conference in San
Francisco einen entsprechenden Aufbau
gezeigt [2]. Die Anzahl der Server in solch
einem Verbund liegt bei minimal vier
Systemen, von denen jedes mindestens
64 GByte RAM besitzen sollte. Als Minimal-anforderung wird momentan ein
SSD/Flash-Speicher pro Knoten angegeben. Allerdings finden sich in der P raxis
äußerst selten Installationen, bei denen
ausschließlich Festplatten zum Einsatz
kommen. Somit ist in den meisten Fällen
ausreichend SSD-Speicher vorhanden. Dies
liegt primär daran, dass gewöhnliche Festplatten zwischen 100 und 200 IOPS liefern.
Eine SSD im Vergleich erzielt je nach Modell zwischen 20.000 und 100.000 I OPS.
Dieser massive Unterschied macht die Nutzung von Tiering äußerst attraktiv, auch
wenn die Preise für eine SSD im ersten
Moment recht hoch erscheinen.
Im Netz sollten RDMA-Karten mit einer
Geschwindigkeit von minimal 10 GBit/s
zum Einsatz kommen, besser sind hier
Karten mit 40 oder 56 GBit/s. Preislich
liegt eine Infrastruktur mit 40 GBit/s bei
einer Neuanschaffung nicht weit über einer 10 GBit/s-Infrastruktur.
Storage Spaces Direct für große
und kleine Infrastrukturen
Beim Einsatz von Storage Spaces Direct
gibt es zwei Einsatzmöglichkeiten: Sie
können einen Scale-Out File-Server betreiben, der ausschließlich für die Bereitstellung des Speichers zur Verfügung
steht. Ihre Hyper-V-VMs werden auf eigenen Hosts betrieben, die Anbindung
untereinander erfolgt über SMB3. Alternativ können Sie auch einen Hyper-Converged Failover-Cluster nutzen, hierbei
werden Ihr Speicher und Ihre Hyper-V-
November 2015
95
S chwerp unk t
VMs von den gleichen Hardware-Systemen betrieben. Dies war bisher mit Windows-Bordmitteln nicht unterstützt.
Betreiben Sie eine recht kleine Umgebung, die auch im Laufe des Betriebs eher
wenig Änderungen erfährt, kann das Hyper-Converged-Modell für Sie genau das
Richtige sein. Mindestens vier Server mit
lokalen Datenträgern und ausreichend
Kapazität in den Bereichen RAM, CPULeistung und Netzwerk-Bandbreite betreiben hochverfügbar Ihre komplette
VM-Infrastruktur. Dieser Ansatz ist nicht
neu, es gibt bereits heute schon einige
Anbieter, die solch eine Lösung anbieten.
Technisch liefert Microsoft hier somit keine Weltneuheit, allerdings haben Sie als
Anwender den Vorteil, dass die Technik
bereits in der Lizenz enthalten ist und Sie
keine kostenpflichtige Zusatzsoftware
kaufen müssen.
Die zweite Variante, die Trennung von
Storage und Hyper-V, eignet sich primär
für mittlere bis große Umgebungen. Gerade bei einer großen Anzahl an VMs ist
die Anzahl der Hyper-V-Hosts im Failover-Cluster deutlich größer als die Knoten
im Storage-Cluster. Zusätzlich können Sie
bei Bedarf an weiteren Hyper-V-Hosts nur
diese erweitern, ohne direkt Ihren Speicherplatz zu vergrößern. Nutzen Sie einen
Hyper-Converged-Cluster, müssen Sie jeweils Rechenleistung und Storage vergrößern, die Erweiterung um reine Storageoder Compute-Nodes ist nicht möglich.
Jeder weitere Server benötigt die gleiche
Ausstattung wie die bereits vorhandenen
Systeme, selbst wenn weiterer Speicherplatz eigentlich nicht benötigt wird.
Replikation mit Bordmitteln
Ebenfalls neu in Windows Server 2016
ist die Möglichkeit, ohne den Einsatz eines Hardware-SANs oder einer SoftwareLösung eines Drittherstellers Ihre Daten
zu replizieren. Dies kann synchron oder
asynchron erfolgen. Bei einer synchronen
Replikation werden die Daten auf der Primär-Seite direkt zur S ekundär-Seite geschrieben. Technisch läuft dieser Vorgang
wie folgt ab: Schreibt eine Applikation
Daten auf ihren Speicherplatz, wird dieser
Vorgang in ein L og geschrieben. Dieses
Log sollte unbedingt auf einem Flash-
96
November 2015
Speicher liegen, damit der Vorgang möglichst schnell abgeschlossen ist. Zeitgleich
werden die Daten auf die Remote-Seite
übertragen und ebenfalls in ein L og geschrieben. Bestätigt die Remote-Seite den
erfolgreichen Schreibvorgang, erhält die
Applikation, die die D aten erzeugt hat,
eine Bestätigung, dass der Schreibvorgang
erfolgreich abgeschlossen wurde. Im Hintergrund werden die Änderungen nun
aus dem Logfile heraus auf die eigentlichen Datenträger geschrieben. Dieser
Vorgang verzögert nun nicht mehr die
Applikation, die auf die erfolgreiche Bestätigung des Schreibvorgangs wartet. Damit diese Art von Replikation keine negative Beeinflussung auf die Performance
Ihrer VMs hat, sollte die Latenz zwischen
den beiden Standorten möglichst gering
sein. Microsoft gibt als maximale RoundTrip-Time fünf Millisekunden an, kleinere
Werte sind natürlich zu bevorzugen.
Bei der asynchronen Replikation ist das
Verhalten ein klein wenig anders. Hier erfolgt eine Änderung des Speichers durch
eine Applikation oder VM auf der PrimärSeite. Diese Daten werden, genau wie bei
der synchronen Variante, im ersten Schritt
in ein Log geschrieben, das optimaler Weise auf einem Flash-Speicher liegt. Ist dieser
Vorgang abgeschlossen, bekommt die Applikation eine entsprechende Rückmeldung. Während die Applikation bereits
neue Daten erzeugt, werden die Informationen im Log aus dem ersten Vorgang auf
die Remote-Seite übertragen und dort
ebenfalls in ein Log geschrieben. Ist dieser
Vorgang abgeschlossen, wird die erfolgreiche Speicherung auf der Remote-Seite
bestätigt. Nun werden die Daten ebenfalls
aus dem Log heraus auf die eigentlichen
Datenträger geschrieben.
Bei beiden Varianten gibt es einige Voraussetzungen zu beachten:
- Primär- und Sekundär-Seite müssen
die gleichen Datenträger, Datenträgertypen, Volumes, Formatierung und
Blocksize besitzen.
- Das Log sollte auf einem Flash-Speicher
abgelegt werden, da dieser die Daten
sehr schnell speichert und abarbeitet.
- Eine maximale Latenz von fünf Millisekunden bei der synchronen Replikation.
RDMA ist eine Option, aber keine Pflicht.
- Die Bandbreite sollte möglichst hoch sein.
Als Minimum ist 10 GBit/s anzusehen,
höhere Bandbreiten sind immer besser.
Die Nutzung von Storage Replica ist, unabhängig von synchron oder asynchron,
in mehreren Szenarien möglich. Technisch erfolgt die Replikation der Daten
auf Volume-Ebene. Dies bedeutet, dass
es egal ist, wie die Daten auf dem Volume
gespeichert werden, welches Dateisystem
eingesetzt wird und wo sich die Daten
befinden. Storage Replica ist kein DFSR,
bei dem Dateien repliziert werden. Sie
können sowohl Daten zwischen zwei einzelnen Servern, Daten in einem aufgeteilten Cluster (Stretch-Cluster) oder zwischen zwei Clustern replizieren. Zur
Übertragung der Daten kommt SMB3
zum Einsatz. Dies ermöglicht die Nutzung
verschiedener Techniken: Multichannel,
Kerberos-Support sowie Verschlüsselung
"over the wire" und Signierung.
Das Ziel-Laufwerk ist zum Zeitpunkt der
Replikation nicht verfügbar. Dies bedeutet, dass Sie die Sekundär-Seite nicht für
ein Backup Ihrer Daten nutzen können.
Die Replikation der Daten als Backup zu
sehen, ist ebenfalls falsch. Kommt es auf
der Primär-Seite beispielsweise zu einem
logischen Fehler innerhalb Ihrer Daten,
wird dieser Fehler ebenfalls repliziert und
Sie haben ohne ein Backup der Daten keine Möglichkeit, auf den ursprünglichen
und korrekten Stand zurückzukehren.
Machs gut, NTFS
NTFS hat als Dateisystem zur Speicherung von Daten unter Windows Server
2016 mehr oder weniger ausgedient. Microsoft proklamiert das Resilient File
System (ReFS) als neues S tandard-Dateisystem bei der Verwendung von Virtualisierung. Durch die Nutzung und
Überprüfung von Checksummen ist
ReFS geschützt gegen logische Fehler
oder falsche Bits bei sehr großen Datenmengen ("bit rotting"). Das Dateisystem
selbst schreibt Checksummen, weiterhin
können bei Bedarf die D aten auf dem
Volume geprüft und korrigiert werden.
Operationen wie die Überprüfung oder
Reparatur mit CHKDSK erledigen Sie
ebenfalls online und müssen keine
Downtime mehr einplanen.
Bei der Nutzung von ReFS als Ablage für
Hyper-V VMs gibt es ebenfalls einige
Verbesserungen. Die Erzeugung von
VHDX-Dateien mit einer festen Größe
benötigt nun nur noch wenige Sekunden.
Denn bei dieser Operation wird nicht
wie bisher der Datenträger mit Nullen
vollgeschrieben, sondern es erfolgt im
Hintergrund eine Metadaten-Operation,
die den gesamten Speicherplatz in s ehr
kurzer Zeit als belegt kennzeichnet. Bei
dem Auflösen von Hyper-V-Checkpoints
(bis Windows Server 2012 als S napshot
bezeichnet) müssen nun keine Daten
mehr bewegt werden, sondern es kommt
ebenfalls zu einem Metadaten-Vorgang.
Dies führt dazu, dass sich selbst Checkpoints mit einer Größe von mehreren
hundert GByte innerhalb von kürzester
Zeit zusammenführen lassen. Dies verringert die Belastung für andere VMs auf
diesem Volume drastisch.
Silver
Policy
Virtual Machines
Gold
Policy
Hyper-V Cluster
Rate
limiters
Rate
limiters
Rate
limiters
Rate
limiters
SMB3 Storage Network Fabric
Scale-Out File Server
Policy
Manager
Storage besser steuern
Unter Windows Server 2012 R2 können
IT-Verantwortliche nur einzelne VHDoder VHDX-Datenträger begrenzen. Dies
Schwerpunkt
I/O
sched
I/O
sched
I/O
sched
Bild 2: Mit Storage QoS lässt sich die Storage-Performance verbessern,
indem VMs mit Regeln für dessen Nutzung versorgt werden.
Praxis-Know-how zum Vorbestellen:
Das IT-Administrator Sonderheft I/2016
Erfahren Sie auf 180 Seiten
alles rund um das Thema:
VMware vSphere 6
Automatisierung, Sicherheit
und Hochverfügbarkeit
Bestellen Sie jetzt zum AbonnentenVorzugspreis* von nur 24,90 Euro!
Abo- und Leserservice
IT-Administrator
vertriebsunion meynen Tel: 06123/9238-251
Herr Stephan Orgel
Fax: 06123/9238-252
D-65341 Eltville
[email protected]
Erhältlich
ab März
2016
* IT-Administrator Abonnenten erhalten das Sonderheft I/2016 für € 24,90. Nichtabonnenten zahlen € 29,90.
IT-Administrator All-Inclusive Abonnenten "zahlen" für Sonderhefte nur € 19,90 - diese sind im Abonnement
dann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.
shop.heinemann-verlag.de
S chwerp unk t
ändert sich grundlegend mit Storage Quality of Service (QoS) in Windows Server
2016, indem es die M öglichkeiten, mit
denen die Performance einer Umgebung
gemessen und beschränkt werden kann,
deutlich erweitert. Bei dem Einsatz von
Hyper-V (üblicherweise in Form eines
Hyper-V Failover-Clusters mit mehreren
Knoten) und einem Scale-Out File-Server
wird die gesamte Umgebung beobachtet
und gesteuert.
Standardmäßig wird darauf geachtet, dass
zum Beispiel eine VM nicht die kompletten Ressourcen für sich beanspruchen
kann und somit alle anderen VMs lahmlegt ("Noisy Neighbour Problem"). Sobald
eine VM auf dem S cale-Out File-Server
gespeichert wird, beginnt eine Aufzeichnung ihrer Performance. Diese Werte rufen Sie mit dem PowerShell-Befehl GetStorageQosFlow auf. Der Befehl erzeugt
eine Auflistung aller VMs mit den gemessenen Werten. Diese Werte können als
Grundlage für eine Anpassung der Umgebung genutzt werden, um beispielsweise
eine VM zu limitieren.
Neben der Auflistung der Performance
Ihrer VMs können Sie auch verschiedene
Regeln konfigurieren, die die Nutzung
der Ressourcen steuern. Sie regeln entweder einzelne VMs o der Gruppen von
VMs hinsichtlich einer Begrenzung oder
einer Garantie von IOPS. Setzen Sie etwa
eine Begrenzung von 1000 IOPS für eine
Gruppe, können alle VMs gemeinsam
diese Grenze nicht überschreiten. Verbrauchen fünf von sechs VMs nahezu keine Ressourcen, könnte die sechste VM
die restlichen IOPS für sich beanspruchen. Dieses Szenario spricht unter anderem Hoster und große Umgebungen
an, die jedem Anwender die gleiche Leistung zur Verfügung stellen möchten oder
die Leistung entsprechend der Bezahlung
regeln möchten. Innerhalb eines StoraLink-Codes
[1] Windows Server Catalog
FAZ91
[2] 16 Windows-Server mit
NVMe-Speicher erreichen über
drei Millionen IOPS
FAZ92
98
November 2015
ge-Clusters können Sie bis zu 10.000 Regeln definieren, die dafür sorgen, dass ein
möglichst optimaler Betrieb herrscht und
es nicht zu Engpässen kommt.
Technisch basiert Storage QoS auf einem
Policy Manager im Scale-Out File-ServerCluster, der für das zentrale Monitoring
der Storage-Performance verantwortlich
ist. Dies kann einer der Cluster-Knoten
sein, es wird kein eigener Server benötigt.
Auf jedem Knoten läuft ebenfalls ein "I/O
Scheduler", der für die Kommunikation
mit den Hyper-V-Hosts wichtig ist. Dort
läuft auch jeweils ein "Rate Limiter", der
mit dem "I/O S cheduler" kommuniziert
und über diesen die Reservierungen oder
Begrenzungen erhält und umsetzt.
Alle vier Sekunden erfolgt ein Durchlauf
auf den Hyper-V- und den StorageHosts, danach erfolgt bei Bedarf eine
Anpassung der Q oS-Regeln. Die IOPS
werden als "Normalized IOPS" bezeichnet, jeder Vorgang wird mit 8 KByte gezählt. Ist ein Vorgang kleiner, wird er
trotzdem als ein IOPS-Vorgang mit 8
KByte gezählt. Andererseits werden 32
KByte als 4 IOPS gewertet.
Da mit dem Windows Server 2016 und
der Nutzung als Scale-Out File-Server automatisch ein Monitoring stattfindet, können Sie somit auch sehr schnell feststellen,
welche Last auf Ihrem Storage anliegt und
wie viele Ressourcen Ihre VMs jeweils
benötigen. Erscheint im kommenden Jahr
die finale Version von Windows Server
2016 und Sie aktualisieren Ihren ScaleOut File-Server, haben Sie alleine durch
diesen Vorgang und durch die im H intergrund wirkenden Verbesserungen eine
Optimierung in Ihre Hyper-V/SOFS-Umgebung eingebracht.
Nutzen Sie keinen Scale-Out File-Server
und planen auch keinen Wechsel, können
Sie trotzdem von der Storage QoS-Funktionalität profitieren. Laut Senthil Rajaram,
Microsoft Program Manager in der HyperV Group, wird diese Funktion für alle Arten von CSV-Datenträgern eingeführt. Dies
bedeutet, dass Sie auch bei der Nutzung eines iSCSI- oder FC-SAN die Möglichkeit
haben werden, eine Begrenzung oder Reservierung der IOPS zu konfigurieren.
Organisation ist alles
In der aktuellen Version der Storage Spaces gibt es keine Möglichkeit, eine Reorganisation der Daten durchzuführen.
Dies wäre unter anderem nach dem Ausfall eines Datenträgers sinnvoll. Fällt ein
Datenträger aus, springt entweder ein
Hot-Spare-Datenträger ein oder es wird
freier Speicherplatz innerhalb des Pools
genutzt (was übrigens einem oder mehreren Hot-Spare-Datenträgern deutlich
zu bevorzugen ist), um die S piegelung
wieder zu reparieren. Wird nun der defekte Datenträger ausgetauscht, gibt es
keine Möglichkeit, durch eine Reorganisation der Daten diesen Datenträger wieder auf den gleichen "Füllstand" wie die
anderen Datenträger zu bringen.
Mit Windows Server 2016 b esteht die
Möglichkeit, mit dem Kommando Optimize-StoragePool solch eine Neuorganisation durchzuführen. Bei diesem Vorgang werden die Daten innerhalb des
angegebenen Pools analysiert und neu
angeordnet, sodass nach diesem Vorgang auf jedem D atenträger ein ähnlicher Füllstand vorhanden ist. Fällt nun
erneut ein Datenträger aus, werden alle
restlichen Datenträger sowie der f reie
Speicherplatz zur Wiederherstellung des
Spiegels genutzt.
Fazit
Microsoft erweitert die heute schon sehr
brauchbare Storage-Lösung um viele
Funktionen, die gerade in Enterprise-Umgebungen häufig vermisst wurden. Die
Möglichkeiten einer Storage-Replikation
waren bisher häufig der Grund, warum
Kunden auf Lösungen von Drittherstellern gesetzt haben. Diese Funktionen sind
nun direkt im B etriebssystem enthalten
und bieten hochverfügbare Lösungen ohne einen Mehrpreis. Der Hyper-Converged Failover-Cluster hat bereits jetzt bei
einigen Anwendern Aufmerksamkeit erzeugt, die gerne Storage und Compute
gemeinsam betreiben möchten. Dieser
Artikel gibt einen Überblick über die
bisher bekannten Informationen, auf Basis der Technical Preview 3. Bitte beachten Sie, dass sich alle Features noch ändern oder dass Funktionen nicht in die
finale Version übernommen werden
können. (jp)
S096-099_ITA_0216_Z09_EAZhalbeSchnupperabo_ok_dr_ITA_Default 20.01.2016 16:29 Seite 2
S chw e rp unk t
l T- N o t f a l l m a n a g e m e n t
Dokumentation des IT-Notfallmanagements
Survival Kit
von Manuela Reis
Bei massiven Ausfällen in der IT-Infrastruktur
stehen IT-Verantwortliche vor der Frage,
welche Abhängigkeiten bestehen, welche
IT-Systeme in welcher Reihenfolge und in
welcher Zeit wieder bereitgestellt werden
müssen. Hier setzt das IT-Notfallmanagement
an. Dessen Ziel muss es sein, die Geschäftsfortführung durch Absicherung der Verfügbarkeit der IT-Services, der Anwendungen,
der IT-Systeme und insbesondere der Informationen sicherzustellen. Der Beitrag stellt
Bausteine eines IT-Notfallmanagements vor
und beschreibt die erforderlichen Aktivitäten
mit Fokus auf die Dokumentation.
ass eine Notfallplanung wichtig ist,
ergibt sich nicht nur aus dem normalen Menschenverstand, sondern leitet
sich auch aus zahlreichen Gesetzen und
Normen ab. Doch was ist überhaupt ein
Notfall und wie lässt er sich von Störungen abgrenzen?
D
Notfall definiert
Um sich diesen Fragen zu nähern, lohnt
ein Blick auf die Definition von "Notfall"
im BSI-Standard 100-4. Der rund 120 Seiten umfassende Standard 100-4 "Notfallmanagement" wurde vom Bundesamt für
Sicherheit in der Informationstechnik (BSI)
Ende 2008 veröffentlicht und beschreibt
eine Methode zum Aufbau eines eigenständigen Managementsystems für die
Notfallvorsorge und die Notfallbewältigung. Auf Seite 5 heißt es hier: "Ein Notfall
ist ein Schadensereignis, bei dem Prozesse
oder Ressourcen einer Institution nicht
wie vorgesehen funktionieren. Die Verfügbarkeit der entsprechenden Prozesse
oder Ressourcen kann innerhalb einer geforderten Zeit nicht wiederhergestellt werden. Der Geschäftsbetrieb ist stark beeinträchtigt. Eventuell vorhandene SLAs
(Service Level Agreements) können nicht
96
Februar 2016
eingehalten werden. Es entstehen hohe bis
sehr hohe Schäden, die sich signifikant
und in nicht akzeptablem Rahmen auf das
Gesamtjahresergebnis eines Unternehmens
oder die Aufgabenerfüllung einer Behörde
auswirken. Notfälle können nicht mehr
im allgemeinen Tagesgeschäft abgewickelt
werden, sondern erfordern eine gesonderte
Notfallbewältigungsorganisation".
Betrachten wir die Definition genauer,
wird deutlich, dass es sich hierbei eher um
einen "Lückentext" als um eine umsetzbare
Definition handelt. Denn was sich hinter
den Begriffen "nicht wie vorgesehen funktionieren", "innerhalb der geforderten
Zeit", "stark beeinträchtigt", "hohe bis sehr
hohe Schäden" und ein "nicht akzeptabler
Rahmen" verbirgt, kann nur aus Sicht der
jeweiligen Geschäftsprozesse betrachtet
und durch die Prozessverantwortlichen
festgelegt werden.
Notfallmanagement ist
Aufgabe der Geschäftsleitung
IT-Notfallmanagement darf also nicht
isoliert als alleinige Aufgabe der IT-Organisation behandelt werden, sondern
muss in ein übergeordnetes Notfallma-
Quelle: belchonock – 123RF
nagement eingebunden sein. Dies spiegelt sich auch wider in der B edeutung,
die der Standard 100-4 dem Thema
"Business Impact Analyse" (BIA) widmet. Danach ist es zunächst wichtig, Abhängigkeiten zu identifizieren und Ausfallzeiten zu bewerten. Mithilfe der BIA
betrachten Unternehmen die Abhängigkeiten der Geschäftsprozesse von den
einzelnen IT-Services und die potenziellen Auswirkungen eines Serviceausfalls.
Das Ergebnis dieser Auswertung ist eine
Gewichtung der IT-Services und -Prozesse entsprechend ihrer Wichtigkeit für
das Unternehmen (Kritikalität).
Diese Einordnung bildet eine Grundlage
für die Risikoanalyse und die Entwicklung
von IT-Notfallvorsorgemaßnahmen. Nur
auf Basis der Ergebnisse der BIA ist es
letztendlich möglich, die tolerierbaren
Ausfallzeiten einzelner Prozesse und der
sie unterstützenden IT-Komponenten zu
definieren. Für die IT-Organisation wichtige Parameter sind hierbei:
- Maximal tolerierbare Ausfallzeit
(MTA): Dieser Wert gibt an, wie lange
ein System/Anwendung maximal ausfallen darf.
Schwerpunkt
- Hochverfügbarkeit/Redundanz (Cluster, Loadbalancing, Virtualisierung)
- Monitoring (Netzwerk, Systeme, Infrastruktur et cetera)
- Datensicherung (Mirroring, Replikation, Tape-Backups und Vergleichbares.)
Durchführung
einer
IT-Risikoanalyse
Planung der Notfallbewältigung
Durchführung
von Tests
und Übungen
Planung zur
Bewältigung von
Notfällen
Entwicklung einer
IT-Notfallvorsorgestrategie
Implementierung
der technischen
Maßnahmen
Bild 1: Die Aufgaben im Rahmen eines IT-Notfallmanagementprozesses. Dabei werden die maximal
tolerierbaren Ausfallzeiten je Geschäftsprozess als Ergebnis einer Business Impact-Analyse vorausgesetzt.
- Recovery time Objective (RTO): Maximale Zeit vom Zeitpunkt des Schadens bis zur vollständigen Wiederherstellung des Geschäftsprozesses.
- Recovery Point Objective (RPO): Maximal tolerierbarer Datenverlust, der beschreibt, welcher Zeitraum maximal zwischen zwei Datensicherungen liegen darf.
- Maximal tolerierbare Wiederanlaufzeit
(WAZ): Dieser Wert gibt an, in welcher
Zeit ein System im Notbetrieb zur Verfügung stehen muss.
Die ermittelten Ergebnisse sowie die
durchzuführende Risikoanalyse zur Feststellung der Eintrittswahrscheinlichkeit
sind Voraussetzung für die Auswahl geeigneter Notfallstrategien sowie entsprechender (Vorsorge-)-Maßnahmen. Außerdem ist die BIA eine Voraussetzung,
um Anforderungen für den Notbetrieb
zu definieren.
Aufgaben des
IT-Notfallmanagements
Zielsetzung der IT-Notfallplanung ist, wie
bereits ausgeführt, die Reduzierung von
IT-Risiken und die G ewährleistung des
IT-Betriebs für die kritischen Geschäftsprozesse in Notfällen im Rahmen der ge-
forderten Zeiten. Hierbei steht die Frage
nach möglichen Ursachen für einen Ausfall der IT-Services im Vordergrund. Die
Risikoanalyse dient dazu, die Risiken zu
ermitteln und zu bewerten, die zu einem
Serviceverlust führen können. ITIL beispielsweise benennt exemplarisch die folgenden Risiken und ordnet diesen entsprechende Bedrohungen zu:
- Verlust interner IT-Systeme
- Verlust externer IT-Systeme
- Verlust von Daten
- Abfluss von Daten (Diebstahl)
- Verlust der Netzwerk-Services
- Ausfall von technischem Schlüsselpersonal
- Ausfall eines Service Providers
Abhängig von der Eintrittswahrscheinlichkeit für ein Risiko und der ermittelten
Kritikalität werden in einem weiteren
Schritt Präventivmaßnahmen festgelegt.
Ziel ist vor allem die Identifizierung und
Eliminierung möglicher "Single Points of
Failure". An die Risikoanalyse schließen
sich die weiteren Aufgaben an:
- Entwicklung von IT-Notfallvorsorgestrategien
- Implementierung der technischen
Maßnahmen gemäß Vorsorgestrategie
Trotz aller noch so sorgfältig geplanten
und eingerichteten Notfallvorsorgemaßnahmen bleibt immer ein Restrisiko bestehen. Die Notfallbewältigung ist daher
ein elementarer Bereich innerhalb des
Notfallmanagements. Sie umfasst die reaktiven Maßnahmen des Notfallmanagements, deren Ziel es ist, dass das U nternehmen in Notfall- und Krisensituationen
grundsätzlich handlungsfähig und überlebensfähig bleibt.
Ein wichtiges Instrument für die Behandlung von Notfällen ist das IT-Notfallhandbuch einschließlich ergänzender Pläne.
Dieses muss gewährleisten, dass der ITBetrieb nach Notfällen aufrechterhalten
werden kann beziehungsweise die erforderlichen IT-Komponenten zur Unterstützung der Geschäftsprozesse nach Eintritt eines Schadensereignisses in der
vorgegebenen Zeit wiederhergestellt werden können. Dazu müssen vor allem auch
organisatorische Regelungen dokumentiert werden. Diese müssen die folgenden
Punkte berücksichtigen:
- Verantwortlichkeiten und Aufgaben im
Notfall
- Wer muss wen informieren?
- Zu ergreifende Sofortmaßnahmen
- Zeitliche und personelle Planung der
Durchführung der Notfallbewältigungsmaßnahmen
In der Regel ist es allerdings nicht sinnvoll, alle Themen in einem gr oßen ITNotfallhandbuch zu dokumentieren. Die
Beschreibung konkreter Maßnahmen für
die Einrichtung eines Notbetriebs und
zur Wiederherstellung einzelner Systeme
erfolgt gemäß Standard 100-4 in er gänzenden Plänen. Aus Sicht der IT sind hier
die folgenden Pläne relevant:
- Geschäftsfortführungspläne: Der
Hauptzweck der Geschäftsfortführungspläne besteht darin, dass wichtige Geschäftsprozesse selbst in kritischen Situationen und in N otfällen nicht oder
Februar 2016
97
S chw e rp unk t
Reihenfolge zu tun ist, um nach dem Ausfall eines IT-Services beziehungsweise
einzelner IT-Ressourcen die Aufnahme
der Betriebsfunktion in einem Notbetrieb
zu ermöglichen.
(IT-) Notfallhandbuch
Geschäftsfortführungspläne
für einzelne
IT-Services
Wiederanlaufpläne
(Notbetrieb)
für einzelne
IT-Ressourcen
Wiederherstellungspläne für
einzelne
IT-Ressourcen
Bild 2: Das Notfallhandbuch wird durch drei Pläne ergänzt,
die organisatorische wie technische Notfallmaßnahmen beschreiben.
nur temporär unterbrochen werden.
Hierzu müssen die Geschäftsfortführungspläne für verschiedene Szenarien
Vorgehensweisen beschreiben, mit deren Hilfe die kritischen Geschäftsprozesse im Notbetrieb fortgesetzt werden
können. Bei serviceorientierten IT-Organisationen kann die Erstellung und
Pflege von Geschäftsfortführungsplänen
für einzelne IT-Services sinnvoll sein.
- Wiederanlaufpläne ergänzen die Geschäftsfortführungspläne. Sie beschreiben auf operativer Ebene für einzelne
Ressourcen, was in welcher Reihenfolge
zu tun ist, um nach dem Ausfall einer
Ressource die Wiederaufnahme und
Fortführung der Betriebsfunktion in
einem Notbetrieb zu ermöglichen.
- Wiederherstellungspläne: Die Wiederherstellungspläne hingegen beschreiben
die Wiederherstellung ausgefallener
Systeme. Ziel ist es, einen vergleichbaren Zustand wie vor Eintreten eines
Schadensereignisses zu erreichen.
Sinnvolle Inhalte eines
IT-Notfallhandbuchs
Um die zuvor genannten Fragen zu beantworten, sollte das Notfallhandbuch die
Themen wie im Kasten "Checkliste Notfallhandbuch" beschreiben. Der Grad der
Detaillierung muss sich dabei an den jeweiligen Maßnahmen zur Notfallbewältigung orientieren und so gestaltet sein,
dass ein sachverständiger Dritter ohne
Kenntnis der spezifischen Systeme in der
Lage ist, die Aufgaben durchzuführen.
Wichtig ist es auch, die Rollen für die
Notfallbewältigungsorganisation eindeu-
98
Februar 2016
tig festzulegen und zu dokumentieren. In
der Praxis wird sich zwar die Notfallorganisation einer IT-Abteilung kaum von
der des Tagesgeschäftes unterscheiden,
doch ist in Notfällen häufig eine zeitlich
befristete Veränderung oder Erweiterung
von Befugnissen erforderlich, die zu definieren und zu dokumentieren sind. So
sollten Sie berücksichtigen, dass möglicherweise Mitarbeiter in Aufgaben des
übergeordneten Notfallmanagements eingebunden sind und daher den IT -Notfallteams nicht zur Verfügung stehen.
Häufig vernachlässigt:
Planung eines Notbetriebs
Bei der Planung der Notfallbewältigung
müssen Sie die für einen erforderlichen
Notbetrieb benötigten Dienste, Systeme
und Ressourcen definieren. Insbesondere der Notwendigkeit zur Einrichtung
eines Notbetriebs wird bei der Notfallplanung häufig zu wenig Aufmerksamkeit geschenkt.
Nach der Bestandsaufnahme und der Lagebeurteilung ist die formale Feststellung
eines Notfalls der nächste Schritt. Mit dieser Maßnahme wird der Regelbetrieb offiziell außer Kraft gesetzt und stattdessen
treten die entsprechenden Pläne in Kraft.
Nach der formalen Inkraftsetzung des
Notfallplans müssen Sie das weitere Vorgehen festlegen. Hier ist auch zu entscheiden, ob eine dir ekte Wiederherstellung
des Regelbetriebs möglich oder ob die
Einrichtung eines temporären Notbetriebs
erforderlich ist. Sie benötigen daher Geschäftsfortführungs- und Wiederanlaufpläne, die beschreiben, was in welcher
Wichtig ist dabei auch die Beschreibung
interner oder externer Ausweichmöglichkeiten. Gibt es beispielsweise ein externes Rechenzentrum, mit dem ein Servicevertrag abgeschlossen wurde, und
kann auf einem dort vorgehaltenen System direkt mit dem Wiederanlauf begonnen werden, so ist dieses einschließlich der Ansprechpartner ebenfalls zu
beschreiben. Möglicherweise stehen aber
auch intern oder in einer Niederlassung
Ersatzeinrichtungen bereit, sodass von
dort aus die kritischen Prozesse wieder
anlaufen können. Die folgenden Punkte
müssen Sie dabei betrachten:
Checkliste Notfallhandbuch
Diese Punkte müssen in jedem IT-Notfallhandbuch geklärt sein:
- Organisation
- IT-Notfallorganisation (IT-Notfallstab,
IT-Notfallteams)
- Alarmierungs- und Eskalationspläne für die
IT-Organisation mit Schnittstellen zu übergeordneten unternehmensweiten Alarmierungsplänen
- Ansprechpartner (interne und externe)
sowie Kontaktdaten
- Zusätzlich erforderliche Informationen wie
Netzwerkpläne oder Raumpläne
- Vorgaben und Vorlagen für die Dokumentation während der Wiederherstellung der ITServices
- Sofortmaßnahmen
- Sofortmaßnahmen für IT-relevante Notfälle
- Handlungsanweisungen für die IT-Organisation betreffende Notfälle
- Notfallbewältigung
- Handlungsanweisungen für die Bestandsaufnahme (Schadensbericht)
- Handlungsanweisungen zur Einrichtung
eines Notbetriebs (Verweise auf die Geschäftsfortführungspläne für einzelne ITServices und Wiederanlaufpläne für die
IT-Systeme)
- Wiederherstellungspläne für die einzelnen
IT-Systeme für den Notbetrieb und den Normalbetrieb
-
Ansprechpartner für Geschäftsprozesse
Wiederbeschaffungsmöglichkeiten
Interne und externe Ausweichmöglichkeiten
Schnittstellen und abhängige Ressourcen
Wiederanlaufreihenfolge
Maßnahmen für den Wiederanlauf
Verweis auf die Wiederherstellungspläne für die
einzelnen Systeme
- Schulungen und Notfallübungen
Kompetentes
Schnupperabo
sucht neugierige
Administratoren
Vorlagen für die
Notfalldokumentation
Eine gute Hilfestellung bei der Erstellung der erforderlichen
Dokumente können die vom BSI unter dem Namen "Umsetzungsrahmenwerk für das Notfallmanagement" [1] – k urz
UMRA – veröffentlichten Vorlagen liefern. Diese adressieren
das unternehmensweite Notfallmanagement, sind aber auch
für die Erstellung einer IT-Notfalldokumentation sehr hilfreich.
Zudem erleichtern die mitgelieferten Leitfäden und das Stufenmodel den Einstieg.
Mit UMRA stellt das BSI einen Werkzeugkasten für die Einführung und den Betrieb eines Notfallmanagements auf Basis
des Standards 100-4 zur Verfügung. Dieser liefert zu allen Themenbereichen eines Notfallmanagements Beschreibungen, Dokumentenvorlagen, Textvorlagen und Workshop-Präsentationen.
Insbesondere soll UMRA dabei helfen die Flut der für das Notfallmanagement erforderlichen Dokumente in den Griff zu bekommen. UMRA besteht aus einem Hauptdokument mit Erläuterungen zum Umsetzungsrahmenwerk und einer Übersicht
über alle verfügbaren Dokumente und Hilfsmittel. Dieses Dokument sollten Sie zuerst lesen. Darüber hinaus finden Sie im
Rahmenwerk neun Module zu allen Phasen des Notfallmanagements. Jedes dieser Module enthält dabei Textvorlagen für
alle relevanten Dokumente des Notfallmanagements, Muster
für Workshop-Präsentationen (zum Beispiel zur Erstellung
einer Business Impact Analyse) und eine Modulbeschreibung,
die nötige Vorarbeiten und zu erzielende Ergebnisse beschreibt.
Zusätzlich gibt es drei Leitfäden zur stufenweisen Einführung
eines Notfallmanagements.
Fazit
Noch immer betrachten viele IT-Organisationen das Thema
Notfall ausschließlich aus Sicht systembezogener Wiederherstellungsprozeduren. Diese sind zwar notwendig, wichtig ist jedoch
eine Betrachtung der Aufgabenstellungen im Rahmen eines ITNotfallmanagements, das wiederum Bestandteil eines übergeordneten Notfallmanagements sein muss. Wie der Beitrag zeigt, steht
bei einem Notfall jedoch nicht die Wiederherstellung der Systeme
im Vordergrund, sondern die Wiederherstellung der für das Überleben des Unternehmens wichtigen Geschäftsprozesse. (jp)
Link-Codes
[1] UMRA
D0P81
tzt
e
j
e
i
S
n
e
t
Tes
aben
g
s
u
A
s
h
c
se
i!
e
r
d
n
o
v
s
zum Prei
shop.heinemann-verlag.de
Abo- und Leserservice
IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
[email protected]

Datenberge besser bewältigen - IT

Transcrição

Documentos relacionados

OpenVPN unter Windows XP

Netz IP-Adressen Webcam WLAN Zugriff aufs

Netzwerktechnik CHS Villach Mag. Rainer Swatek Dauer: 2

OpenVPN XP

OpenVPN unter Windows 7 und Vista - Hu

als PDF verfügbar - OpenVPN-Konfiguration für das RBI-Netz

Vorkonfigurierte Server für Medienpark - silber

Bericht über eine Migration von NT SBS auf Windows 2003

OpenVPN unter Windows (7, 8, 10)

Leseprobe - TecChannel