Unter anderem lesen Sie: Datenberge besser bewältigen · Link-Code: G6A11 VXL Instruments stellt...

wwwit-administratorde

Sicher getunnelt

OpenVPN-Verbindungen

Anschluss gefunden

Linux-Server ins Active Directory einbinden

Im Test

COMPUTENT Secure

IT-Administrator 2015 2016 ndash Auszuumlge als Leseprobe

Unter anderem lesen Sie

Datenberge besser bewaumlltigenStorage-Neuerungen unter Windows Server 2016

wwwit-administratorde Juni 2016 7

News Aktue l l

Die Thunder 7440 schaufelt 220 GBits an Daten durch und bietet DDoS-Schutz

Anwendungsturbo

LXD 20 ist fertigSeit Mitte April ist Version 20 der Containerloumlsung LXD verfuumlg-bar die von Canonical fuumlr Ubuntu entwickelt wird LXD basiertauf den kuumlrzlich ebenfalls in Version 20 veroumlffentlichten LXC-Containern und bietet uumlber deren Grundfunktionalitaumlt hinausbessere Isolation der Container untereinander und gegenuumlberden Host-System sowie komfortablere und besser automatisier-bare Managementfunktionen Diese Ziele werden mit Hilfe einesDaemons und einer webbasierten REST-Schnittstelle erreicht

Wie LXC erhaumllt auch LXD 20 einen Langzeitsupport von fuumlnfJahren Solange garantieren die Entwickler die Ruumlckwaumlrtskom-patibilitaumlt der Schnittstellen auch wenn sie sich vorbehalten sieeventuell zu erweitern Zur Einstellung von Security-Featureswie Seccomp Namespaces und AppArmor bietet LXD eine eige-ne Konfigurationssprache Die Kommunikation mit dem LXD-Daemon findet uumlber TLS 12 mit einem sehr eingeschraumlnktenSatz an Kryptoalgorithmen statt

In Ubuntu 1604 das die neuen LXD- und LXC-Versionenenthaumllt soll als Dateisystem fuumlr Container das von Solaris stam-mende ZFS eingesetzt werden Allerdings ist umstritten ob diesangesichts der vermutlich inkompatiblen Lizenzen von Linux-Kernel und ZFS auf legalem Weg moumlglich ist In Ubuntu 1404sollen LXD und LXC 20 uumlber die Backports-Sammlung verfuumlg-bar sein (of)LXD wwwubuntucomcloudlxd

Red Hat liefert seit Mitte Mai Red Hat Enterprise Linux 68aus Die neueste Version bietet eine verbesserte Systemar-chivierung einen umfassenden Einblick in die Speicheraus-lastung und Performance und unterstuumltzt einen aktuellenoffenen Standard fuumlr Virtual Networks Der Hersteller ver-spricht zudem einen reibungslosen Betrieb mit Cloud-Ap-plikationen und Linux-Containern Zudem setzt das juumlngsteRelease mit libreswan auf eines der am weitesten verbrei-teten und standardisierten VPN-Protokolle und ersetzt damit openswan (ln)Link-Code G6A11

VXL Instruments stellt mit dem Modell Itona IQ-L einenneuen Thin Client vor Punkten will der Hersteller mit demEinstiegspreis von 170 Euro Das Herzstuumlck des Neuzu-gangs bildet ein Intel Bay Trail Dual-Core-Prozessor mit in-tegrierter HD-Grafik und 158 GHz Zwei Bildschirme mitAufloumlsungen von bis zu 1920 x 1200 lassen sich uumlberHDMI oder VGA betreiben Speicherseitig sind die Geraumltemit bis zu 4 GByte RAM und 32 GByte Flash ausgestattetDer Thin Client ist in drei Varianten mit Gio6 LinuxWindows Embedded 8 Standard sowie Windows 10 IoT Enterprise verfuumlgbar (ln)Link-Code G6A12

EMC luumlftet mit Unity den Vorhang fuumlr eine neue Familie vonSpeicherprodukten Besonders in der All-Flash-Variante hates EMC auf kleinere Unternehmen abgesehen und bewirbtden Neuzugang mit Eintrittspreisen von rund 18000 US-Dollar Unity erreicht laut EMC bis zu 300000 IOPS undbietet Funktionen wie Unterstuumltzung fuumlr File Block undVvols Snapshots und Remote-Sync- beziehungsweise -async-Replikation sowie native Controller-basierte Ver-schluumlsselung In ein 2-U-Array passen bis zu 80 TByte All-Flash-Storage Insgesamt lassen sich Unity-Speicher auf biszu 3 PByte Kapazitaumlt skalieren (ln)Link-Code G6A13

Seagate praumlsentiert eine externe 35 Zoll groszlige 8-TByte-Festplatte mit Stromversorgung uumlber USB Mit der Einfuumlh-rung der sogenannten Ignition-Boost-Technologie ist die Innov8 laut Seagate die weltweit erste Desktop-Festplattemit 8 TByte Speicherkapazitaumlt die nicht zusaumltzlich mit einerexternen Stromquelle verbunden werden muss Aumlhnlich ei-ner Autobatterie beim Motorstart erlaube es die Ignition-Boost-Technologie in Verbindung mit USB 31 der Festplat-te mit der Bus-Stromversorgung auszukommen Fuumlr 336Euro ist die Platte zu haben (dr)Link-Code G6A14

A10 Networks bringt sechs neue Application Delivery Controller(ADC) auf den Markt Unter diesen Appliances der Thunder-Seriebefindet sich auch die laut Hersteller schnellste am Markt verfuumlg-bare Single-Rack-Unit mit einer Skalierbarkeit von bis zu 220GBits und 105 Millionen Verbindungen pro Sekunde Obendreinlassen sich mehr als 300 Millionen DDoS-Attacken pro Sekundeabwehren Die neuen Appliances basieren dabei auf der ACOS-Harmony-Plattform die ein Plus an Effizienz verspricht Fuumlr klei-nere Umgebungen beispielsweise steht die Variante Thunder 840zur Verfuumlgung Das Geraumlt misst eine Houmlheneinheit und bietet 5GBits an Durchsatz Hierfuumlr stehen fuumlnf 1-GBit-Ethernet-Portssowie zwei 10-GBit-Ethernet-Anschluumlsse und acht Cores zur Ver-fuumlgung Das Topmodell die Thunder 7440 setzt bei ebenfalls einerRack-Unit bis zu 220 GBits durch und bietet 48 10-GBit-Ether-net-Ports vier 40 GBit-Ethernet-Anschluumlsse und 36 Cores DieEinstiegsvariante ist fuumlr zirka 19000 Euro erhaumlltlich (dr)A10 Networks wwwa10networkscom

S006-009_ITA_0616_A01_ok_ITA_Default 18052016 1438 Seite 3

12 Mai 2015 wwwit-administratorde

irtualization Manager ist als fertigvorbereitete Appliance im OVA-

Format fuumlr VMware sowie als VHD fuumlrHyper-V erhaumlltlich Unabhaumlngig von derInstallationsbasis laumlsst sich das Werkzeugfuumlr die Uumlberwachung beider Plattformenverwenden Im Test r ichteten wir beideAppliances ein nutzten dann aber in ers-ter Linie die Installation in unserer vSphe-re-Umgebung

Einrichtung unter VMware und Hyper-VWaumlhrend das Einspielen der Applianceunter Hyper-V absolut reibungslos funk-tionierte mussten wir unter vSphere eineKleinigkeit bei der Zuweisung der IP-Adresse beachten Die Bereitstellung derOVF-Vorlage kennt hier drei Optionenfuumlr die IP-Adressvergabe (Fest Voruumlber-gehend DHCP) Wir waumlhlten die Stan-dardvorgabe Fest und wunder ten unsdass nur die IP-Adresse selbst aber keinGateway Netzmaske und DNS-Server ab-gefragt wurden Prompt war die Appliancenach dem Einschalten nicht im Netz er-reichbar Wir stellten fest dass wir bei derBereitstellung eine Warnung uumlberlesenhatten dass das zugewiesene Netzwerkmit einem IP-Pool verknuumlpft sein mussaus dem sich die VM die restlichen Datenholt Nachdem wir den P ool im Nach-hinein angelegt hatten war die VM nacheinem Neustart erreichbar

Ein weiteres Augenmerk ist gegebenenfallsauf die Konfiguration des Arbeitsspeicherszu legen Die vorgegebenen 8 GByte

RAM und 210 GByte Plattenkapazitaumltreichen fuumlr bis zu 100 Hosts und 1000VMs ndash der Bedarf waumlchst linear mit derAnzahl der Hosts und VMs

Der Zugriff auf die Managementkonsoleerfolgt uumlber eine Web-GUI Beim erstenStart ist ein Konfigurationsassistent zudurchlaufen der in sechs Schritten diverseParameter abfragt Dies beg innt bei derRegistrierung dann sind die Credentialsfuumlr den vCenter- Hyper-V- und WMI-Zugriff sowie eine Anmeldung an einzel-nen Hosts anzugeben Im naumlchsten Schrittsind die Datenquellen also die vCenter-und Hyper-V-Hosts hinzuzufuumlgen Wirwaren erstaunt dass uns der Assistent nachkeiner Zuordnung der Quellen zu denCredentials fragte aber das Handbuchweist darauf hin dass der Manager alle an-gegebenen Credentials des entsprechendenTyps durchprobiert bis eines passt DieZuordnung wird dann gespeichert

Zweigeteilte Datenerfassung Der naumlchste Programmpunkt widmet sichder Datenerfassung Pro Datenquelle sindmittels Zeitplaner laufende Sammeljobsdie mit der Eingabe der Quelle angelegtwurden zu konfigurieren Ein Job liestdie Konfiguration ein und laumluft standard-maumlszligig alle zwoumllf Stunden Fuumlr den Falldass der Administrator bei Aumlnderungenad hoc eine Aktualisierung wuumlnscht kanner den Job auch manuell anstoszligen

Der zweite Job erfasst die Leistungspara-meter und laumluft normalerweise alle zehn

Minuten Sehr wichtig ist es die Jobs aufdieser Seite zu aktivieren damit sie uumlber-haupt starten Ein weiterer Job ist bei Hy-per-V-Hosts erforderlich um neue VMszu finden Dieser laumluft standardmaumlszligig allesieben Tage was in dynamischen Umge-bungen aber recht wenig ist und angepasstwerden sollte

Nach Abschluss des Einrichtungsassisten-ten dauert es einige Zeit bis die diversenJobs gelaufen sind und die er sten Infor-mationen zu den uumlberwachten Umge-bungen in der Managementkonsole er-scheinen Dabei fiel uns auf dass die Jobszur vCenter-Abfrage in unserer Testum-gebung trotz mehr abzufragender Objekte

V

SolarWinds Virtualization Manager 611

Daheim in zwei Weltenvon Juumlrgen Heyer

Mit zunehmender Groumlszlige einer Virtualisierungsumgebung waumlchst die Nach-frage nach einem umfassenden Management-Werkzeug um bei der Ermitt-lung und Beseitigung von Leistungs- Kapazitaumlts- und Konfigurationsproble-men schneller zum Ziel zu kommen Als preiswerte Loumlsung fuumlr VMware und

Microsoft Hyper-V bietet sich Virtualization Manager von SolarWinds an IT-Administrator hat sich den Leistungsumfang genauer angesehen

Im Test

Quell

e dv

arg ndash

123

RF

ProduktSoftware zur Verwaltung von virtuellen Umgebungenunter VMware ESXivSphere und Microsoft Hyper-V

HerstellerSolarWindswwwsolarwindscom

PreisDer Einstiegspreis fuumlr den Virtualization Manager liegtbei 2440 Euro fuumlr acht physische CPUs und ein JahrWartung

SystemvoraussetzungenVMware vSphere 40 oder houmlher Microsoft Hyper-VServer 2008 R2 oder houmlher 2 GHz Quad-Core viervCPU 8 GByte RAM 210 GByte Plattenkapazitaumlt 1GBit-vNIC

Technische Datenwwwit-administratordedownloadsdatenblaetter


S012-015_ITA_0515_T02_ok_ITA_Default 20042015 1529 Seite 2

wwwit-administratorde Mai 2015 13

V i r t u a l i z a t i o n M a n a g e r I T E S T S

deutlich schneller liefen als die fuumlr Hy-per-V Damit Virtualization Manager uumlber-haupt Informationen einlesen kann sindbei Hyper-V einige Dinge mehr zu be-achten etwa die korrekte Firewall-Kon-figuration und die Aktivierung von WMIRPC und DCOM Gegebenenfalls istauch die UAC anzupassen Ein eigenesKapitel im Handbuch beschaumlftigt sich mitdem Hyper-V-Troubleshooting

Dashboards nach jedem GeschmackDie Web-GUI macht einen aufgeraumlumtenEindruck und ist intuiti v bedienbar ImKopfbereich befinden sich insgesamt sechsReiter Vier davon ndash Recent Explore Re-porting und Capacity Planning - dienendem Administrator als Handwerkszeuguumlber Setup laumlsst sich der bereits erwaumlhn-te Einrichtungsassistent aufrufen und dersechste Reiter enthaumllt die Hilfe Der ammeisten benutzte Reiter duumlrfte Recentsein Die Bezeichnung ruumlhrt daher dass derAdministrator hier neben dem Dashboarddie letzten aufgerufenen Seiten zur erneu-ten Auswahl angeboten bekommt Dasmacht es sehr einfach wieder zu einer An-sicht zuruumlckzukehren die kurz vorher be-reits genutzt wurde So lassen sich Analysendie den Zugriff auf mehrere Ansichten be-noumltigen leichter durchfuumlhren

Eine wichtige Rolle spielen auch dieDashboards Je nachdem welche Host-Typen anfangs erfasst wurden werden biszu 13 vorbereitete Dashboards zur Aus-

wahl angeboten Drei davon sind unab-haumlngig vom Host-Typ drei beschaumlftigensich mit Hyper-V und sieben mit VM-ware Die Dashboards dienen unter an-derem zur Kapazitaumltsplanung zur Ermitt-lung der Cloud-K osten w enn dieRessourcen in einer Amazon EC2-Um-gebung laufen sowie zur Administrationund zum Management der beiden Hy-pervisor-Umgebungen Auch gibt es einDashboard das ungenutzte und schlechtausgelegte VMs unter VMware anzeigtum das Aufraumlumen zu erleichtern

Im Test erkannten wir schnell dass dieDashboards einen guten Einstieg bietenEs ist aber gar nicht so entscheidend wel-che Inhalte standardmaumlszligig angezeigt wer-den denn der Administrator kann allesnach Belieben inhaltlich veraumlndern sowieneue Dashboards hinzufuumlgen

Ein Dashboard besteht aus einer belie-bigen Anzahl an sogenannten WidgetsDies sind Fenster mit Listen (Alar meTop-N-Listen) Grafiken (CPU-LastSpeicherbelegung) oder Icons (HostsVMs Datastores) In der einfachen Groumlszligelassen sich bis zu acht Widgets auf einemMonitor mit uumlblicher 1920 x 1080er-Aufloumlsung gleichzeitig darstellen Sobaldein Dashboard mehr Fenster enthaumllt mussder Administrator es nach oben und un-ten scrollen um alle zu sehen Bei Bedarflassen sich die F enster auf das doppelteund vierfache Format vergroumlszligern abernicht weiter verkleinern

Die Fenster lassen sich in andere Websei-ten einbinden wozu die Konsole gleicheinen Link und den benoumltigten HTML-Code liefert Weiterhin ist ein Export alsPNG-Datei moumlglich Je nach Fenstertypkann der Administrator unterschiedlicheAktionen auswaumlhlen So kann er sich beieiner Liniengrafik mit einem Klick dieObjekte anzeigen lassen deren Informa-tionen enthalten sind bei einer Kuchen-grafik kann er genauere Daten zu jedemKuchenstuumlck auslesen bei Top-N-Listenkann er die Objekte in eine Selektionslisteuumlbernehmen Auch lassen sich Top-N-An-sichten mit einem Klick in den P erfor-mance Analyzer uumlbernehmen der dannden Verlauf uumlber die Zeit darstellt Optio-nal lassen sich der Trend sowie aufgetre-tene Alarme mit Beg inn (rot) und Ende(gruumln) einblenden was fuumlr eine Fehlersu-che zur Korrelation recht hilfreich ist DerManager speichert dabei die angewaumlhltenOptionen und zeigt diese auch bei ande-ren Ansichten wieder mit an

Beim Klick auf die Uumlber schrift einesFensters oumlffnet sich dieses in GroszligansichtBei Grafiken kann der Administrator denZeitraum variieren (Woche Monat dreiMonate individuell) und zusaumltzlich dieSuch- und Filterkriterien anpassen Dankder vielen Beispiele anhand der v orhan-denen Dashboards sollte es kein Problemsein mit relativ wenig Aufwand eigeneAnsichten zu erzeugen Waumlhrend des Testshaben wir recht viel mit den Dashboardsgearbeitet und dabei immer wieder fest-gestellt dass die Uumlbersichten gut visuali-sieren und intuitiv bedienbar sind

Aumlnderungen schnell erkennbarUm ein Objekt wie einen Host oder eineVM im Detail zu unter suchen kann derAdministrator dieses uumlber die Suchfunk-tion oder uumlber eine Umgeb ungsansichtherausgreifen Virtualization Manager lie-fert dann alle damit zusammenhaumlngendenInformationen auf einer Seite Bei einemHost beispielsweise sind dies die Grafikzu den IOPS zum Netzdurchsatz und derCPU- sowie Speichernutzung Enthaltensind auch Hardwareinformationen zu denFestplatten IP-Adressen Netzwerkkarteneine Liste der angeschlossenen Datastoresdie darauf laufenden VMs eine eventuelleClusterzugehoumlrigkeit und einiges mehr

Bild 1 Bei einer Grafik zur Performanceanalyse errechnet der Manager Trendlinien und zeigt auch Beginn sowie Ende von Alarmen an



T E S T S I V i r t u a l i z a t i o n M a n a g e r

Wie auch in den anderen Ansichten kannder Administrator auf die Grafiken oderdie zugehoumlrigen Objekte klicken woraufsich eine Groszligansicht oumlffnet oder er zumentsprechenden Objekt weitergeleitetwird Bei Ansicht eines einzelnen Objektsgeht Virtualization Manager unserer Mei-nung nach mit dem Platz etwas zu sparsamum denn das Fenster nutzt nicht die ge-samte zur Verfuumlgung stehende Breite desBrowsers sondern ist fest vorgegeben Ei-nige laumlngere Angaben wie beispielsweisedie Betr iebssystembezeichnung werdensogar abgeschnitten zumindest aber beimDaruumlberstreichen mit der Maus voll ein-geblendet Auf der Ansichtsseite findet sichauch eine Schaltflaumlche zum Vergleichender Eckdaten zu verschiedenen Zeitpunk-ten Um Aumlnderungen zu erkennen mussder Administrator nur zwei Zeitstempelauswaumlhlen dann erstellt das Werkzeug ei-nen Vergleich unterteilt in mehrere Ka-tegorien Die Ausgabe des Resultats erfolgtin zwei Spalten nebeneinander auf Wunschlassen sich nur die Positionen anzeigenwo es Differenzen gibt Dass es gewisseDaten wie die Fuumlllraten der Datastor esgibt die sich immer aumlnder n ist logischWichtiger ist dass sich auch Abweichun-gen finden lassen die eher kritisch zu be-trachten sind etwa Aumlnderungen an denNetzwerkeinstellungen oder Aumlhnliches

Noch interessanter ist die Moumlglichkeitzwei Objekte miteinander zu vergleichenWerden beispielsweise Hosts per Skr ipteingerichtet oder VMs geklont und derAdministrator vermutet nach einiger Zeitungewuumlnschte Abweichungen so kann erdiesen Unterschieden uumlber diesen Ver-gleich nachgehen In unserer Testumge-bung konnten wir beispielsweise erken-nen dass auf einem unser er ESXi-Hostsder SSH-Zugang aktiviert war und aufeinem anderen nicht

Abhaumlngigkeiten leichter feststellenNeben den Dashboards spielt der Ex-plore-Bereich eine wichtige Rolle beimBlick auf einzelne Objekte der Umge-bung Die Map-Ansicht zeigt die Objekteentsprechend ihrer Abhaumlngigkeit an Hier-zu setzt der Administrator auf ein oderauch mehrere Objekte einen Kontext undder Manager listet dann nach Typen ge-

trennt die abhaumlng igen Objekte auf Sokann er beispielsweise auf einen Blick fuumlreinen Host sehen welche Datastores dieserhat zu welchem Cluster er gehoumlr t undwelche VMs darauf laufen

Mit wenigen Klicks laumlsst sich der Kontextaumlndern sodass der Administrator sehrschnell die Perspektive wechseln kannBeim Klick auf ein Objekt gelangt er zu-dem direkt zur schon beschriebenen De-tailansicht Von Vorteil ist dass die Objektein der Map in den jeweiligen Warnstufeneingefaumlrbt sind (No Alerts InformationalWarning Critical) wobei sich die einzel-nen Stufen abwaumlhlen lassen sodass dieverbleibenden staumlrker hervorstechen

Ein weiteres Feature ist Time Travel umsich den Verlauf uumlber die Zeit anzusehenDazu kann der Administrator tage- undstundenweise oder zwischen den Zeit-stempeln der Sammeljobs springen Etwasverwundert waren wir daruumlber dass esauch moumlglich ist uumlber die Tageswahl indie Zukunft zu springen Tatsaumlchlich wirddann der aktuelle Zustand angezeigt aberes erscheint dazu kein Hinweis Bei derAuswahl im Kalender ist diese Moumlglich-keit korrekterweise gesperrt

Kapazitaumltsplanung inbegriffenVirtualization Manager erlaubt eine Kapa-zitaumltsplanung mit der der Administrator dasWachstum planen kann Der Grundgedankeist die vorhandenen Ressourcen und Nut-zungsprofile auf Basis der vorhandenenKomponenten gegenuumlberzustellen Fuumlr eineBerechnung fuumlllt der Administrator einenRessourcencontainer mit CPU RAM undPlattenkapazitaumlt indem er die Werte direkteintraumlgt oder bereits vorhandene Hosts oderCluster auswaumlhlt Der Inhalt laumlsst sich statischoder dynamisch definieren Eine dynami-sche Zuordnung basiert auf einer Abfragedie beruumlcksichtigt wenn sich beispielsweisedie Anzahl der Hosts in der Umgebung aumln-dert Der Vorteil ist dass sich eine derartigePlanung immer wieder an die r ealen Ge-gebenheiten anpasst

Ein Nutzungsprofil ist eine Gr uppe vonVMs die entsprechende Ressourcen be-legt Auch hier kann der Administratordie Werte direkt eingeben oder anhandbereits vorhandener VMs planen und diese

in das Profil aufnehmen Weiterhin gibtes eine statische Befuumlllung oder eine dy-namische anhand einer Abfrage Solar-Winds empfiehlt hierbei nicht mehr als500 VMs in ein Profil zu packen

Der Kapazitaumltsplaner kann nun verschie-dene Szenarien berechnen um wichtigeFragen zu beantworten Fuumlr die Fragewann die vorhandenen Ressourcen er-schoumlpft sind betrachtet der Manager dieHistorie der im Nutzungsprofil enthalte-nen VMs und rechnet hoch zu welchemZeitpunkt CPU RAM PlattenkapazitaumltIOPs oder Netzdurchsatz eine vorgege-bene Schwelle wie 90 Prozent erreichenund wann sie komplett verbraucht sind

Weiterhin ermittelt der Planer wie vieleVMs noch ergaumlnzt werden koumlnnen bisdie verfuumlgbaren Ressourcen erschoumlpftsind Das hilft fuumlr eine Abschaumltzung beiweiteren Installationsauftraumlgen Zuletztkann sich der Administrator auch ausrech-nen lassen was sich aumlndert wenn er wei-tere Ressourcen also Hosts zur Umge-bung hinzufuumlgt

Im Test haben wir einige Kalkulationendurchgefuumlhrt und mussten erkennen dasshier einige Erf ahrung und auch Uumlb ungerforderlich ist um aussagekraumlftige Re-sultate zu erhalten Auch sind die Ergeb-nisse insofern mit Vorsicht zu genieszligenda unvorhergesehene Aumlnderungen einePlanung natuumlrlich schnell zunichtemachenkoumlnnen Zumindest aber sollte es vor al-lem mit der Moumlglichkeit die Ressourcenund Profile dynamisch zu definieren ge-lingen einen drohenden Engpass recht-zeitig zu erkennen

Zusammenarbeit erwuumlnschtAuch wenn wir es im Test nicht genauerbetrachtet haben so wollen wir doch er-waumlhnen dass sich Virtualization Managernicht nur als alleinstehendes Tool betrei-ben sondern auch in ander e Werkzeugeintegrieren laumlsst

Bereits erwaumlhnt hatten wir dass sich Widgetsdes Managers als Link oder als HTML-Code in andere Webseiten integrierenWeiterhin gibt es eine Portalintegrationmit der SolarWinds Orion Web Konsoleauch eine Integ ration in SharePoint ist




moumlglich Dort wo der Open-SocialDashboard-Standard von Google Verwen-dung findet lassen sich Widget-Inhaltevon Virtualization Manager ebenfalls in-tegrieren

Sofern der SolarWinds Storage Managerden wir in der Ausgabe 112014 vorge-stellt hatten verwendet wird laumlsst sich die-ser mit Virtualization Manager kombinie-ren sodass sich beim Anzeigen vonDatastore-Informationen die Webseitendes Storage Managers oumlffnen lassen

Fuumlr ein zeitgemaumlszliges Skr ipting stellt So-larWinds die Virtualization ManagerPowerCLI zum Download bereit Dieseenthaumllt diverse Cmdlets zum Zug riff aufden Manager Im Handbuch sind mehrereBeispiele zur Nutzung der CLI zu finden

Insgesamt konnten wir feststellen dass diegesamte Dokumentation zu VirtualizationManager recht gut strukturiert ist und diediversen Funktionen verstaumlndlich beschrie-ben sind Neben einem Administrator Guide als PDF existiert eine Online-Hilfedie sich direkt aus dem Manager herausaufrufen laumlsst Daneben gibt es fuumlr alle So-larWinds-Produkte das Thwack-Forum alsDiskussionsportal

Umfassendes ReportingVirtualization Manager kommt mit einerVielzahl an vorbereiteten Ber ichten dieje nach Typ (Trend Abfragen Dashboardund Abfrageergebnisse) mit einem Symbol

gekennzeichnet sind Dabei verstehen sichdie Dashboards selbst auch als eine Artdes Berichts Weiterhin gibt es diverse Tagsum nach dem Inhalt unter anderemNetzwerk Cluster Verfuumlgbarkeit oderSnapshots zu filtern Beim Klick auf einenReport wird eine Liste oder Grafik mitden entsprechenden Informationen ge-oumlffnet Die Dashboards lassen sich aufWunsch als PDF exportieren die uumlbrigenBerichte als Excel-Datei Daruumlber hinauskann der Administrator eigene Abfragenerzeugen und das Ergebnis als Excel-Dateiexportieren Fuumlr regelmaumlszligige Berichte istes moumlglich die Erstellung per Zeitplanerzu automatisieren Eine Besonderheit sinddie so genannten On-Demand-ReporteWaumlhrend sich die ander en Ber ichte derletzten gesammelten Infor mationen vonVirtualization Manager bedienen lieferndie On-Demand-Reporte Live-Ergeb-nisse indem sie ganz aktuell die Virtuali-sierungsplattform abfragen Diese Abfragenbeschraumlnken sich daher immer auf einePlattform auch wenn der Manager bei-spielsweise mehrere vCenter uumlberwacht

Insgesamt hat uns das gesamte Ber ichts-wesen gut gef allen nachdem vieles vor-bereitet ist und der Administrator denUmfang problemlos nach Bedarf erwei-tern kann

FazitDer als virtuelle Appliance konzipierte Vir-tualization Manager laumlsst sich unter VMwareund Hyper-V betreiben und unterstuumltzt das

Management beider Plattformen Von Vorteilist die davon unabhaumlngige pauschale Lizen-zierung auf CPU-Basis Die Web-GUI derAppliance kommt mit einer Vielzahl an vor-bereiteten Dashboards fuumlr unterschiedlicheBetrachtungsschwerpunkte Wuumlnschenswertwaumlre allerdings eine bessere Groumlszligenanpas-sung der einzelnen Fenster innerhalb einesDashboards Insgesamt liefert das Werkzeugmehr Informationen zu VMware als zu Hy-per-V etwa um schlecht genutzte VMs zuermitteln Auch laumlsst sich das Auslesen vonVMware leichter konfigurieren

Gut gefallen hat uns die intuitive Bedien-barkeit da sich beim Klicken auf ein Ob-jekt immer wieder Detailansichten oumlffnenoder bestehende Abhaumlngigkeiten aufge-zeigt werden Auch laumlsst sich mit der sogenannten Time-Travel-Funktion die his-torische Entwicklung eines Objekts uumlberdie Zeit verfolgen Weiterhin ermoumlglichtder Manager eine einfache Compliance-Pruumlfung durch den Vergleich von zweiObjekten (ln)

Bild 2 Zur Beobachtung von Veraumlnderungen uumlber die Zeit erlaubt der Manager eine Zeitreise fuumlr einzelne Objekte

So urteilt IT-Administrator

vSphere-Unterstuumltzung 8

Hyper-V-Unterstuumltzung 5

Monitoring 7

Kapazitaumltsplanung 5

Reporting 9

Dieses Produkt eignet sich

Die Details unserer Testmethodik finden Sieunter wwwit-administratordetestmethodik

optimal fuumlr Unternehmen die wahlweise auf Hyper-V undoder VMware setzen da das Produktbeide Umgebungen gleichermaszligen unterstuumltzt

bedingt fuumlr Unternehmen die bei der Virtualisie-rung ausschlieszliglich auf VMware oder Hyper-V set-zen Hier empfiehlt sich ein Vergleich mit anderenWerkzeugen die sich auf eine der beiden Plattfor-men spezialisiert haben

nicht fuumlr Umgebungen in denen nicht oder mit einer anderen als den beiden unterstuumltzten Platt-formen virtualisiert wird

Bewertung


26 April 2015 wwwit-administratorde

T E S T S I C O M P U T E N T S e c u r e P r o

ine kleine unscheinbare Applianceund eine Handvoll USB-Sticks

Diesen Eindruck erweckt die VPN-Louml-sung COMPUTENT Secure beim Aus-packen Umso uumlberraschter duumlrfte der Ad-ministrator ob der Einsatzmoumlglichkeitender VPN-Umgebung sein Denn das Prin-zip auf dem der sichere Remote-Zugangbasiert ist denkbar simpel Uumlber die USB-Sticks bauen Mitarbeiter von beliebigenRechnern aus einen mit 2048 Bit RSA-verschluumlsselten SSH2-Tunnel ins Firmen-netzwerk auf und koumlnnen uumlber diesen be-liebige TCP-basierte Anwendungenbeziehungsweise deren Daten schleusenIm internen Netzwerk landen diese Ver-bindungen in der Secure-Box und werdenvon dort aus als lokaler Traffic an die Ziel-server weitergeleitet ndash ganz so als saumlszligeder Client im lokalen Netz

Alles was der Administrator machen mussist die USB-Sticks mit den Zugangsschluumls-seln sowie den gewuumlnschten Applikatio-nen zu bestuumlcken Voreingestellt ist bereitsder RDP-Zugriff Dies ist auch die ein-zige offiziell unterstuumltzte Anwendung Alleanderen Applikationen betreibt der Ad-ministrator quasi auf eigene Gefahr Wenigverwunderlich dass der Her steller ange-sichts der denkbaren Vielfalt an moumlglichenAnwendungen nicht fuumlr deren Funktio-nieren garantieren kann Auch sind dieAnwendungen nicht wirklich vom Gast-rechner abgeschirmt und laufen nicht et-

wa in einem virtuellen Container Sie star-ten lediglich vom USB-Stick und nutzenden auf dem Gastrechner aufgebautenSSH-Tunnel ins Firmennetz

Schnelle InbetriebnahmeDas Anschlieszligen der Box ist schnell erle-digt Strom- und LAN-Kabel einsteckenfertig Wo das Geraumlt im Netzw erk stehtspielt keine Rolle solange es Kontakt insInternet hat und die lokalen Ser ver er-reicht Die Verwaltung erfolgt uumlber einschlicht gehaltenes Webinterface Hierfuumlrmuss der Administrator zunaumlchst einenRechner in den voreingestellten IP-Adressbereich 1921682x holen undkann anschlieszligend die Netzwerkeinstel-lungen der Box fuumlr die lokale Umgebungkonfigurieren Erreichbar ist die Applianceper HTTP unter ihrer lokalen IP-AdresseAuf HTTPS-Anfragen reagierte die Ap-pliance in unserem Test zunaumlchst nichtHierfuumlr mussten wir den Port 8443 mit-geben da auf 443 der SSH-Server lausch-te In der ansonsten gut v erstaumlndlichenDokumentation fehlte dieser Hinweis

Das Webinterface ist uumlber sichtlich undfunktional aufgebaut Es glieder t sich infuumlnf Menuumlpunkte die das System dieNetzwerk-Einstellungen den eigentlichenSecure-Dienst sowie die vorhandenen Li-zenzen und weitere Tools betreffen DieKonfigurationsarbeit beginnt wie erwaumlhntim Netzwerk-Unterpunkt wo die lokale

IP-Adresse der Box an die Umgebungangepasst wird Anschlieszligend fuumlhrt derWeg in den Menuumlpunkt Lizenzen Hiertraumlgt der Administrator die vorhandenenLizenzschluumlssel fuumlr die Appliance selbstsowie die einzelnen Nutzer ein

Damit ist das Geraumlt bereits betriebsbereitund wartet fortan unter seiner lokalen IP-Adresse auf Port 443 auf SSH-Verbindun-gen Unser Augenmerk galt daher alsNaumlchstes der Firewall im Netzwerk aufder wir eine Portweiterleitung fuumlr dieSSH-Tunnel einrichteten Der lokale SSH-Server-Port laumlsst sich bei Bedarf anpassenwas natuumlrlich in der Portweiterleitung ent-sprechend beruumlcksichtigt werden muss ImBereich WAN-Netzwerk-Konfigurationtrugen wir nun die externe IP-Adresseunseres Internet-Providers ein sowie denPort den wir in der Firewall geoumlffnet hat-ten Diese Infor mationen landen in denKonfigurationsdateien auf den USB-Sticks

E

Im Test COMPUTENT Secure

Fern und doch ganz nahvon Daniel Richey

VPNs fuumlr den sicheren Remotezugriff auf lokale Dienste sindeine praktische Angelegenheit und muumlssen nicht kompli-

ziert sein Fuumlr kleine Umgebungen hat der bayerischeHersteller COMPUTENT die kompakte Secure-Applianceim Angebot Sie laumlsst sich mit wenigen Mausklicks ein-

richten und erlaubt Mitarbeitern den sicherenZugriff auf lokale Ressourcen per

USB-Stick IT-Administrator hat dieSecure-Box ausprobiert

Moumlglich sind maximal 10 gleichzeitige VPN-Verbindun-gen was laut Hersteller etwa einem Datendurchsatzvon etwa 4 MBits entspricht Die Client-Applikation ar-beitet Java-basiert und setzt Windows als Betriebssys-tem voraus Eine lokal installierte Java-Umgebung istjedoch nicht notwendig Ob es sich um eine 32- oder64 Bit-Plattform handelt haumlngt von der genutzten An-wendung auf dem USB-Stick ab

Systemvoraussetzungen


wwwit-administratorde April 2015 27

C O M P U T E N T S e c u r e P r o I T E S T S

sodass die Clientsoftware unterwegs weiszligwohin sie ihren Tunnel aufbauen soll Sollteein Unternehmen nicht uumlber eine statischeIP-Adresse verfuumlgen dann laumlsst sich aucheinfach ein Hostname zum Beispiel uumlberDynDNS verwenden

Nutzer anlegen und Dienste zuweisenIm naumlchsten Schritt legten wir die Benutzeran und wiesen den zugehoumlr igen USB-Sticks die grundlegende Konfiguration so-wie die vorgesehenen Anwendungen zuHierzu spaumlter mehr Fuumlr die Userverwaltungdient der Punkt Secure-Dienst Benut-zer Zunaumlchst mussten wir die User-Li-zenzen eintragen erst dann lieszligen sich lo-gischerweise die Benutzer einrichtenDiesen gaben wir einen Anzeigenamen undein Passwort das sie bei jedem Star t desClients eingeben Das Kennwort muss ausmindestens sechs Zeichen bestehen - aufmehr Komplexitaumlt bestand die Box in un-serem Test nicht Anwender koumlnnen ihrPasswort bei Bedarf jederzeit uumlber dieClientsoftware auf dem USB-Stick aumlndern

Um den individuellen USB-Stick in derSecure-Appliance aktiv zu schalten tru-gen wir nun die Seriennummer des Sticksin das entsprechende Feld ein Anhanddieser und einer K eycode-Datei identi-fiziert die Secure-Appliance die USB-Sticks Auf diesem Weg lassen sich verlo-rene oder entwendete Sticks sper renNachdem unsere Sticks damit akti v ge-

schaltet waren wiesen wir die Anwen-dungen zu Bis zu 50 lassen sich hierfuumlrin der Box insgesamt hinterlegen Dabeihandelt es sich um einen Befehl der vonder Clientsoftware auf dem USB-Stickausgefuumlhrt wird und eine dort abgelegteApplikation samt Parametern startet

RDP-Verbindung vorbereitetDie RDP-Verbindung ndash der vom Her-steller standardmaumlszligig vorgesehene Ver-wendungszweck ndash ist bereits als Anwen-dung samt Kommando und Parameternhinterlegt Wir mussten daher nur nochdie IP-Adresse mit Portnummer unseresZielrechners in den entsprechenden Fel-dern eintragen Da COMPUTENT auslizenzrechtlichen Gruumlnden den RDP-Client nicht schon mit den USB-Sticksausliefern darf kopierten wir diesen miteinem bereits auf dem Stick vorhandenenTool von unserem Konfigurationsrechnerauf den USB-Stick Grundsaumltzlich ist esnatuumlrlich sinnvoll portable Anwendungenauf dem Stick zu nutzen damit diese aufunterschiedlichen Gastrechnern funktio-nieren Schlafende Server lassen sich uumlb-rigens per Wake-on-LAN aufwecken

Um sich vor gravierenden Konfigurati-onsfehlern zu schuumltzen bietet die Se-cure-Box ein Sicher n der Einstellungenauf einem externen Speichermedium anDas kann beispielsweise der Konfigurati-ons-PC sein So laumlsst sich im Fehlerfall ein

funktionierendes Setup zuruumlckspielen unddamit etwa versehentlich geloumlschte Ein-stellungen Daneben ist ein Reset aufWerkseinstellungen moumlglich

Einfache Handhabung fuumlr AnwenderDie Pflichten des Administrators sind ge-tan und die Mitarbeiter duumlrfen sich n unmit ihren freigeschalteten USB-Sticks anWindows-Gastrechnern ins Fir mennetztunneln Auch hier hat es der Her stellereinfach gehalten Nach dem Einsteckendes Sticks startet der User den VPN-Client sofern dieser nicht per Autorunausgefuumlhrt wird Im sich oumlffnenden Fenstertippt der Nutzer sein zugewiesenes Pass-wort ein und der Rechner verbindet sichmit der externen IP-Adresse des Unter-nehmens und weiter ins Firmennetz aufdie Secure-Appliance

Nach der erfolgreichen Authentifizierungdes USB-Sticks sieht der Anwender dieBestaumltigung Verbindung hergestellt so-wie die ihm zur Verfuumlgung stehenden Ap-plikationen in einer Auswahlliste in un-serem Fall die RDP-Verbindung Nacheinem Klick auf ebendiese startete im Testder lokale RDP-Client den wir zuvor aufden USB-Stick kopiert hatten und es er-folgte die Abfrage der RDP-CredentialsDas wars

Dass COMPUTENT den Fokus aufRDP-Verbindungen gelegt hat sahen wirauch daran dass es hierfuumlr ausgiebige Kon-figurationsmoumlglichkeiten in der Client-software gibt So koumlnnen Nutzer bestim-men wie sich das RDP-F enster oumlffnen

Bild 1 Anwendungen werden uumlber einen Befehl samt Parametern aufgerufen Praktisch Fuumlr RDP hat der Hersteller bereits alles Noumltige eingetragen

Bild 2 Das Client-Interface zeigt den Verbindungsstatus




soll (bestimmte Groumlszlige oder Vollbild) undob ein lokales Laufwerk an den Re-mote-Rechner fuumlr den Datentransferdurchgereicht werden soll Der funktio-niert bei RDP-Sessions naumlmlich nicht viaCopy amp Paste oder Drag amp Dr op Auchdas klappte im Test reibungslos und wirsahen unser lokales Gastrechner-Laufwerkauf dem RDP-Desktop als Netzlaufwerk

An weiteren Funktionen steht noch einsimples Protokoll zur Verfuumlgung das je-doch lediglich das Funktionier en oderNicht-Funktionieren einer Verbindungmit OK und Fehlgeschlagen wieder-gibt Ferner lassen sich bei Bedarf Proxy-Einstellungen vornehmen sollte derGastrechner dies fuumlr den Inter net-Zu-gang benoumltigen

Einbinden von DrittanwendungenAls Naumlchstes versuchten wir unser Gluumlckmit einem por tablen FTP-Client Diesersollte sich ebenfalls durch den SSH-Tunnelins lokale Netzwerk verbinden und dor tauf einen FTP-Server zugreifen Wir rich-teten die Anwendung ndash also den Aufruf desWinSCP-Clients auf dem USB-Stick ndash imWebinterface ein und wiesen die Anwen-dung uumlber den Benutzer-Menuumlpunkt un-serem Teststick zu Anschlieszligend kopiertenwir den portablen Client auf den Stick

Nach dem Einstoumlpseln am Gastr echnerund der anschlieszligenden Authentifizierungstand der neue Eintrag WinSCP alszweite Option neben unserer RDP-Ver-bindung zur Verfuumlgung Wir starteten denFTP-Client der sich oumlffnete und versuch-ten uns auf den lokalen FTP-Ser ver zuverbinden Allerdings ignor ierte unserFTP-Client den bereitstehenden SSH-Tunnel getrost und wollte sich stets direktmit der inter nen IP-Adresse verbindenErst als wir uumlber die Variablen IP-ADDRPORT die lokale IP-Adresse und den Port des SSH-Tunnelsim Programmaufruf mitgaben loggte sichder Client uumlber den Tunnel erfolgreichauf dem Server ein

WinSCPexe ftpBenutzerPasswort

IPADDRPORT

Es ist stets notwendig dass die verwende-ten Applikationen bei ihrem Aufruf eine

lokale durch die Client-Software verge-bene IP-Adresse die in den SSH-Tunnelfuumlhrt als Option mitgeliefert bekommenund akzeptieren Diese liegt im Adressbe-reich 12700x Auch hierzu waumlre ein er-gaumlnzender Satz in der Dokumentation si-cher hilfreich gewesen

Mit App und ohne Stick ins NetzwerkFuumlr mobile Nutzer bietet der Her stellerauch eine App an die unter Android undiOS laumluft Mit ihr ist der Zugriff auf denRDP-Desktop moumlglich Eine transparent-grau hinterlegte Flaumlche dient als Touchpaduumlber das sich der Mauszeiger be wegenlaumlsst Der Administrator hat beim Anlegendes Benutzers die Wahl ob er diesem ei-nen USB-Stick oder einen SSH-Zugangper App zuweist Herunterladen koumlnnenNutzer oder der Administrator die Appsaus Google Play sowie dem Apple AppStore fuumlr 799 Euro

Seit Herbst 2014 er moumlglicht COMPU-TENT den Zugang auch n ur per lokalinstallierter Software Dies richtet sich anNutzer die regelmaumlszligig von einem be-stimmten PC aus remote aufs Firmennetzzugreifen moumlchten etwa dem Heimrech-ner Die Software uumlberpruumlft dann anhandder Festplatten-ID ob sie sich auf demvorgesehenen PC befindet und nicht aufeinem unbekannten Rechner gestar tetwurde Damit gilt der gesamte Heim-PCneben dem Passwort als zweiter Faktorbei der Anmeldung Fuumlr noch mehr Si-cherheit unterstuumltzt der Hersteller zudemDrittanbieter-USB-Sticks etwa von Kobildie eine hardwarebasierte PIN-Eingabeermoumlglichen Damit sicher t ein weitererFaktor die Anmeldung ab

FazitDie VPN-Appliance Secure erwies sich imTest als einf ach zu konfigurieren Einste-cken Grundeinstellungen vornehmen Be-nutzer einrichten fertig Der von COM-PUTENT standardmaumlszligig vorgeseheneRDP-Zugriff funktionierte auf Anhieb undbietet auch im Client-Interface zahlreicheOptionen Was die Nutzung anderer Soft-ware angeht muss der Administrator aus-probieren ob diese mit dem SSH-Tunnelzurechtkommt Das Webinterface ist simpelund funktional aufgebaut

Fuumlr kleine Unternehmen die ihren Mit-arbeitern einen einfachen wie moumlglichstsicheren Remotezugriff anbieten moumlch-ten ist COMPUTENT Secur e eine in-teressante Alternative Es laumlsst sich auchohne Fachkenntnisse schnell und einfachin Betr ieb nehmen und fuumlgt sich ohnenennenswerten Anpassungsbedarf in einebestehende IT-Umgebung ein

ProduktLinux-basierte SSH-VPN-Appliance fuumlr kleinereWindows-Umgebungen

HerstellerCOMPUTENT GmbHwwwcomputentde

PreisDie getestete Ausfuumlhrung COMPUTENT Secure Pro kostet 480 Euro ohne Nutzerlizenzen Sie unterstuumltztbis zu 10 gleichzeitige VPN-Zugriffe Pro Benutzer kom-men nochmal 99 Euro drauf Die Variante Secure Basicgibt es dagegen fuumlr 345 Euro inklusive einer Lizenz sieunterstuumltzt maximal zwei Benutzer Ein Upgrade vonBasic auf Pro ist ohne Hardware-Tausch moumlglich


So urteilt IT-Administrator (max 10 Punkte)

COMPUTENT Secure Pro

Sicherheit

Konfiguration

Client-Usability

Flexibilitaumlt

Skalierbarkeit

7

7

8

7

6



optimal fuumlr kleinere Umgebungen in denen eineuumlberschaubare Anzahl an Anwendern von unter-wegs per RDP sicher auf Remotedesktops zugrei-fen moumlchte

bedingt fuumlr Unternehmen die neben RDP auch an-dere Dienste per VPN bereitstellen moumlchten Diesewerden vom Hersteller offiziell nicht supportet undmuumlssen ihre Tauglichkeit in der Praxis beweisen

nicht fuumlr groszlige Umgebungen sowie Nutzer dievon Linux- oder Mac OS-Rechnern aus eine VPN-Verbindung aufbauen moumlchten Es lassen sich nurWindows-Anwendungen nutzen


inux-Server lassen sich in Win -dows-Umgebungen mit Hyper-V

effizient virtualisieren Deshalb arbeitetauch Microsoft kontinuierlich daran dieIntegration von Windows und Linux zuverbessern Dieser Beitrag zeigt den kom-plizierten Weg der Anbindung eines Li-nux-Servers aber auch Alternativen wiedie Verwendung einer kostenlosen Sam-ba-Appliance Sie muumlssen fuumlr die Anlei-tungen in diesem Artikel nichts an denDomaumlnencontrollern aumlndern oder dor tTools installieren Alles was noumltig ist koumln-nen Sie in Linux erledigen

Auch wenn Sie bisher im Netzwerk nochkeinen Linux-Server einsetzen kann essinnvoll sein einmal dessen Moumlglichkeiten

zu erproben In vielen Bereichen zumBeispiel als Proxy-Server oder Reverse-Proxy bieten Linux-Server einen echtenMehrwert Dazu kommt die Option aufden Linux-Servern auch mit Active Di-rectory-Benutzern zu arbeiten Das er-leichtert den Anwendern die Anmeldungda sie sich keine zwei verschiedenen An-meldenamen und Kennwoumlrter merkenmuumlssen Das Anbinden eines Linux-Ser-vers an eine Windows-Domaumlne ist garnicht so kompliziert wie es sich viele Ad-ministratoren vorstellen

Linux-Server statt -DesktopZunaumlchst sollten Sie beim Betr ieb vonLinux-Servern in Active Directory-Um-gebungen darauf achten eine echte Ser-

ver-Version zu installieren nicht die Desk-top-Version Der Nachteil der Server-Ver-sionen ist das Fehlen der grafischen Ober-flaumlche was fuumlr Linux-Administratoren keinProblem darstellt fuumlr Windows-Adminsallerdings schon Sie haben aber die Moumlg-lichkeit nach der Installation eines Ubun-tu-Servers eine eingeschraumlnkte g rafischeOberflaumlche zu installieren

Wir gehen in diesem Beitrag von einemLinux-Server auf Basis von Ubuntu14042 LTS aus Er bietet hervorragendeAD-Unterstuumltzung ist mit Kerberos kom-patibel und auszligerdem sehr stabil Dazukommt dass Sie im Internet eine Vielzahlvon Anleitungen zum Server finden

Im Fall von Ubuntu eignet sich die Light-Version von Gnome am besten zur Kon-figuration und Anbindung an das ActiveDirectory Sie installieren sie nach demSetup des Servers und der Anmeldung alsAdministrator mit dem Befehl

sudo apt-get install xorg gnome-core

gnome-system-tools gnome-app-

install

Die Oberflaumlche laumlsst sich aber nur instal-lieren wenn der Server bereits uumlber eineNetzwerkInternet-Anbindung verfuumlgtHaben Sie den Ser ver grundlegend ein-gerichtet koumlnnen Sie die Oberflaumlche aufWunsch auch vom Server entfernen

sudo apt-get remove xorg gnome-core


install

Wenn Sie mit den Terminal-Befehlen inLinux nicht vertraut sind vor allem zurAnbindung und Konfiguration von Linuxmit dem Active Directory koumlnnen Sie dieeingeschraumlnkte grafische Oberflaumlche (Bild1) auch auf dem Ser ver belassen Nachder Installation der grafischen Oberflaumlchestarten Sie den Server mit sudo reboot neu

Danach melden Sie sich an der grafischenOberflaumlche an Im rechten oberen Be-reich finden Sie den Shor tcut zu denSystemeinstellungen Hier koumlnnen Siezum Beispiel auch die Zeiteinstellungenvornehmen die wir in den naumlchsten Ab-schnitten behandeln

L


P R A X I S I L i n u x u n d A c t i v e D i r e c t o r y


Anschluss gefundenvon Thomas Joos

Auch in Netzwerken mit Microsoft-Servern ist es oft sinnvoll zusaumltzlicheLinux-Server einzubinden Aktuelle Linux-Distributionen bieten in diesem

Bereich umfassende Moumlglichkeiten und auch Microsoft hat im Active Directory die Unterstuumltzung von Linux stetig verbessert Damit laumlsst sich

die Integration von Linux in Active Directory-Umgebungen gut umsetzen

Workshop

Quell

e To

m de

Spieg

elaer

e ndash 1

23RF

S028-033_ITA_0515_P06_Experteach_MonitoringDays_ok_ITA_Default 17042015 1518 Seite 2


L i n u x u n d A c t i v e D i r e c t o r y I P R A X I S

Kerberos und Ubuntu mit WinbindUm Linux in diesem Beispiel Ub untuund das Active Directory im Zusammen-spiel zu betreiben koumlnnen Administrato-ren den Weg uumlber Kerberos gehen DasActive Directory-Ticketsystem laumlsst sichin aktuellen Linux-Versionen anbindenDas sollte auch der erste Schritt sein umeinen Linux-Server mit dem Active Di-rectory zu verbinden Die Installation vonKerberos unterscheidet sich zwischen denDistributionen Im Fall von Ubuntu spie-len Sie Kerberos mit der ErweiterungWinbind ein Dabei handelt es sich umeine Systemergaumlnzung die die LinuxUnix-Benutzerverwaltung mit Active Di-rectory verbindet Das ermoumlglicht es An-wendern sich gegenuumlber dem Active Di-rectory zu authentifizieren und aufRessourcen der Linux-Server zuzugreifenDas Login am Linux-Server erfolgt mitder Syntax DomaumlneBenutzer

Damit Winbind funktioniert muumlssen Sieden Linux-Rechner natuumlrlich zuer st amNetzwerk anbinden Auszligerdem sollte mitPing getestet werden ob der Linux-Serverauch den Namen der Domaumlnencontrolleraufloumlsen kann Als DNS-Server tragen Siealso die IP-Adressen der DNS-Server imActive Directory ein

Bei virtualisierten Linux-Servern habenSie auch die Moumlglichkeit die Uhrzeit der

VMs mit dem Host zu synchr onisierenDazu muumlssen beim Einsatz von VMwaredie VMware-Tools installiert sein beimEinsatz von Hyper-V die Integ rations-dienste von Hyper-V In VMware findenSie die Einstellungen im Windows-Clientuumlber die Eigenschaften der VM im BereichOptionen VMware Tools AktivierenSie auf der rechten Seite die OptionUhrzeit des Gastsystems mit Host syn-chronisieren In diesem Fall m uss abersichergestellt sein dass der VMware-Vir-tualisierungs-Host seine Zeit mit denWin dows-Domaumlnencontrollern synchro-nisiert Virtualisieren Sie den Linux-Servermit Hyper-V finden Sie die Einstellungebenfalls in den Eigenschaften der VMKlicken Sie dazu auf Integ rationsdiens-teZeitsynchronisierung

Auf Zeitsynchronisierung achtenKerberos ist abhaumlng ig von exakter Sys-temzeit Sobald ein Client und ein Servermehr als zwei bis fuumlnf Minuten voneinan-der abweichen funktioniert die Authen-tifizierung nicht Grundsaumltzlich sollten Siedarauf achten dass sich die Domaumlnencon-troller vor allem der PDC-Master unddie Linux-Server die Zeit von einem In-ternetserver oder einer Funkuhr holenAlle anderen Windows-Domaumlnencontrol-ler synchronisieren ihre Zeit automatischmit dem PDC-Master der eigenen Do-maumlne Die PDC-Master der einzelnenDomaumlnen in einer Active Directory-Ge-

samtstruktur synchronisieren ihre Zeit mitdem PDC-Master der Stammdomaumlne inActive Directory Bevor Sie sich also andie Einr ichtung machen die wir nach-folgend vorstellen achten Sie darauf dassdie Uhrzeiten stimmen

Damit die Zeitsynchronisierung idealfunktioniert verwenden Sie auf den be-teiligten Rechnern am besten den Zeit-server der physikalisch-technischen Bun-desanstalt in Braunschweig der denNamen ptbtime1ptbde traumlgt Als Alterna-tiven koumlnnen Sie die Server ptbtime2ptbdeund ptbtime3ptbde verwenden

Haben Sie die grafische Oberflaumlche Gno-me fuumlr den Ubuntu-Server installiert fin-den Sie die Zeiteinstellungen unter Sys-temeinstellungen Zeit und DatumAktivieren Sie die Option Netzwerkzeitund stellen Sie manuell sicher dass dieZeit des Servers mit der Zeit der Domauml-nencontroller uumlbereinstimmt

Netzwerkeinstellungen uumlber-pruumlfen und Pakete installierenUm einen Linux-Server am Beispiel diesesUbuntu-Servers an das Active Directoryanzubinden rufen Sie zunaumlchst die Netz-werkeinstellungen uumlber Aktivitaumlten An-wendungen anzeigen Netzwerk aufAchten Sie darauf dass die DNS-Ser verdes Active Directory sowie der Name derDomaumlne angebunden sind (Bild 2) Siekoumlnnen in den Netzwerkeinstellungenauch gleich die korrekte Suchdomaumlne so-wie den FQDN des Linux-Servers in derDomaumlne eintragen In diesem Fall muumlssen

Bild 1 Mit der eingeschraumlnkten grafischen Oberflaumlche von Gnome (hier die Systemeinstellungen) lassen sich Linux-Server einfach und schnell in Active Directory-Umgebungen einbinden

Bild 2 In den Netzwerk-Einstellungen des Servers muumlssen die korrekten Informationen fuumlr Domaumlne und DNS gesetzt sein




Sie in der DNS-Zone des Active Directo-ry zunaumlchst manuell einen neuen Eintragfuumlr den Linux-Server erstellen

Die Netzwerkeinstellungen koumlnnen Sieauch mit einem Editor anpassen Dazumuumlssen Sie die Einstellungen der Dateiinterfaces im Verzeichnis etcnetwork bear-beiten Eine Beispielkonfiguration sehenSie in Listing 1

Nach der Aumlnderung starten Sie das Netz-werk mit sudo etcinitdnetworking restartneu Mit ifconfig uumlberpruumlfen Sie die Kon-figuration Testen Sie nach der Aumlnderungder Netzwerkeinstellungen mit ping dieVerbindung zum Domaumlnencontroller

Die Namensaufloumlsung und DNS-Ser verpassen Sie wiederum in der Datei etcre-solvconf an Tragen Sie in der Datei diebeiden folgenden Zeilen ein und spei-chern Sie sie

nameserver IP-Adresse des

DNS-Servers

search FQDN der Domaumlne

In einigen Linux-Distributionen auch inUbuntu bearbeiten Sie aber besser dieDatei etcresolvconfresolvconfdbase weildie Aumlnderungen an resolvconf sonst uumlber-schrieben werden Wollen Sie mehrereNameserver hinzufuumlgen tragen Sie fuumlr je-den eine Zeile in der Art nameserver IP-Adresse ein Danach star ten Sie mit sudoresolvconf -u die Namensaufloumlsung neu

Den Hostnamen des Servers zeigen Siemit hostname an Um ihn zu aumlndern ver-wenden Sie den Befehl sudo binhost-name Neuer Hostname Wenn Sie Aumlnde-rungen vorgenommen haben starten Sieden Server mit sudo reboot neu und uumlber-pruumlfen Sie mit ifconfig und ping ob dieNetzwerkkonfiguration und Namens-aufloumlsung funktionieren

Haben Sie die Einstellungen vorgenom-men installieren Sie die notwendigenDienste fuumlr die Anbindung an das ActiveDirectory Dazu oumlffnen Sie ein Terminalauf dem Server und geben den folgendenBefehl ein

sudo apt-get install krb5-user lib-

pam-krb5 winbind samba smbclient

libnss-winbind libpam-winbind

Achten Sie darauf dass keine Fehlermel-dungen erscheinen und der Name desServers aufgeloumlst werden kann Durchdiesen Befehl werden die notwendigen

Pakete fuumlr die Anbindung an Kerberosund das Active Directory heruntergela-den und installiert

Konfigurationsdateien fuumlr dasActive Directory bearbeitenFuumlr die Konfiguration muumlssen Sie nachder Installation einige Dateien mit einemTexteditor bearbeiten Oumlffnen Sie zunaumlchstdie Kerberos-Konfigurationsdatei krb5confim Verzeichnis etc (Bild 3) Fuumlgen Sie denNamen der Domaumlne und eines Domauml-nencontrollers sowie einige Parameterfuumlr die Anbindung an das Active Directoryhinzu wie in Listing 2 zu sehen

Nachdem Sie den Inhalt der Datei mitden Informationen Ihrer Umgebung er-setzt haben sollten Sie den Linux-Serverneu starten Im naumlchsten Schr itt koumlnnenSie die Anbindung an die Domaumlne testen Oumlffnen Sie dazu ein Terminal und gebenSie folgenden Befehl ein

kinit UNC-Anmeldenamen eines

Domaumlnen-Admins

Gibt es hier eine Fehlermeldung muumlssenSie sich die Konfiguration erneut ansehenFunktioniert alles erscheint eine Kenn-wortabfrage Das zeigt schon einmal dassdie Verbindung zum Domaumlnencontrollerfunktioniert Schreiben Sie den Domauml-nennamen in Groszligbuchstaben wenn Siedie Meldung kinit KDC reply did not

This file describes the network interfaces avai-

lable on your system

and how to activate them For more information

see interfaces(5)

The loopback network interface

auto lo

iface lo inet loopback

The primary network interface

auto eth0

iface eth0 inet static

address 192168178188

gateway 1921681781

netmask 2552552550

network 1921681780

Listing 1 Beispiel-Konfigurationfuumlr die AD-Anbindung

[logging]

default = FILEvarlogkrb5log

[libdefaults]

ticket_lifetime = 24000

clock_skew = 300

default_realm = Active Directory-Domaumlne

[realms]

Active Directory-Domaumlne =

kdc = Domaumlnencontroller88

admin_server = Domaumlnencontroller464

default_domain = Active Directory-Domaumlne

[domain_realm]

Active Directory-Domaumlne = Active

Directory-Domaumlne

Active Directory-Domaumlne klein geschrieben =

Active Directory-Domaumlne groszlig geschrieben

Listing 2 krb5conf fuumlr die Kerberos-Anbindung

Bild 3 Die Anbindung an das Active Directory wird durch eine Konfigurationsdatei gesteuert



match expectations while getting initial cr edentials erhaltenzum Beispiel kinit joostCONTOSOINT

Erhalten Sie keine Fehlermeldung lassen Sie sich mit klist dieDaten des Tickets anzeigen (Bild 4) Dieses muss den Namender Domaumlne sowie den Ablauf seiner Guumlltigkeit enthalten Wirdhier ein Ticket angezeigt ist der Linux-Server erfolgreich anKerberos angebunden und laumlsst sich danach auch mit der Do-maumlne verbinden

Fehlerbehebung der Kerberos-AnbindungErhalten Sie bei der Anfrage eines Kerberos-Tickets eine Feh-lermeldung uumlberpruumlfen Sie im Terminal zunaumlchst mit Ping obder Domaumlnencontroller erreichbar ist Erhalten Sie hier k eineAntwort testen Sie ob der Linux-Server korrekt am Netzwerkangebunden ist und die Namensaufloumlsung funktioniert Erscheintdie Abfrage des Kennwortes aber das Login klappt nicht stellenSie sicher dass Sie das richtige Kennwort verwenden

Sehr hilfreich bei Problemen sind die Anleitungen auf den Seiten[1] und [2]

AD-Domaumlne beitretenWenn die Kerberos-Anbindung funktioniert koumlnnen Sie schlieszlig-lich mit dem Lin ux-Server der Domaumlne beitr eten Dazu ver-wenden Sie Samba in Linux Das Paket dazu haben Sie bereitsin den Vorbereitungen installiert Damit der Lin ux-Server Teilder Active Directory-Domaumlne wird muumlssen Sie die Samba-Konfigurationsdatei anpassen Die Konfigurationsdatei smbconffinden Sie im Verzeichnisetcsamba Loumlschen Sie den Inhalt derDatei und ersetzen ihn durch den Inhalt des Listings 3

Nachdem Sie die Datei er stellt haben speichern Sie sie undstarten den Server neu Uumlberpruumlfen Sie nach dem Neustart dieNamensaufloumlsung mit Ping und er neut mit kinit ob die Ker-beros-Anbindung funktioniert Danach koumlnnen Sie den Serverin die Domaumlne aufnehmen

Haben Sie Samba k onfiguriert nehmen Sie mit dem Befehlsudo net ads join -U Administrator den Server in die Domaumlneauf Nachdem Sie sich an der Domaumlne authentifizier t habenwird der Linux-Server auch in der Organisationseinheit Com-puters angezeigt Anschlieszligend muumlssen Sie Winbind neu star-ten etcinitdwinbind restar t Generell hilft an dieser Stelle

Bild 4 Mit kinit und klist testen Sie die Kerberos-Anbindung an das Active Directory

Fordern Sie unseren aktuellen Trainingskatalog an

Tel 06074 4868-0wwwexperteachde

und alles mit garantierten Kursterminen

ITK Training

Cloud Services amp SDN

Cloud Computing IVoVV m VeVV rtragsrecht bis zum Marktuumlberblick (3 TaTT ge)

Cloud Computing IICloud-Infrastrukturen und Cloud Security (4 TaTT ge)

Cloud BootCampProzesse Infrastrukturr Security und Marktuumlberblick (5 TaTT ge)

Plattformen fuumlr OpenStackDie Bestandteile im Detail (4 TaTT ge)

OpenStackImplementierung und Betrieb (5 TaTT ge)

Software-Defined Networking (SDN)Konzepte und Implementierungen (3 TaTT ge)

Software-Defined Data CenterKonzepte und Implementierungen (2 TaTT ge)

Programmieren fuumlr NetzwerkerEine praxisorientierte Einfuumlhrung (5 TaTT ge)

Technologie-Know-how


32 Mai 2015 Link-Codes eingeben auf wwwit-administratorde


auch der Neustar t des Ser vers mit sudoreboot zum Beispiel wenn die Anbindungnoch nicht optimal funktioniert

Domaumlnenmitgliedschaft pruumlfenund Authentifizierung steuernNachdem der Ser ver neu gestar tet istuumlberpruumlfen Sie in Active Directory-Be-nutzer und -Computer auf dem Domauml-nencontroller ob das Computerkontodes Servers angezeigt wird Im Terminaldes Linux-Servers koumlnnen Sie mit wbinfo-u die Domaumlnenbenutzer und mit wbinfo-g die Domaumlnengruppen anzeigen lassenFunktioniert die Anbindung bearbeitenSie die Datei etcnsswitchconf Passen Siedort die folgenden Einstellungen an

passwd compat winbind

group compat winbind

shadow compat

Speichern Sie die Datei und star ten SieWinbind neu

etcinitdwinbind restart

Geben Sie danach noch getent passwd einDie erfolgreiche Umsetzung koumlnnen Siemit getent group testen Der Befehl gibt dieGruppen in der Domaumlne aus

Sie koumlnnen die Konfiguration auch er-weitern um zum Beispiel Active Directo-ry-Administratoren zur Verwaltung derLinux-Server einzubinden Wie Sie dazuvorgehen lesen Sie auf [3] Viele wichtigeInformationen sind auf [4] zu finden

Kostenlose Samba4-Appliance mit VMware ESXiSamba 4 steht auf v erschiedenen Wegenals Linux-Distribution oder als bereits in-stallierte virtuelle Festplatte fuumlr Hyper-V(VHD) im Open Virtualization Format(OVF) oder als VMware-Image zur Ver-fuumlgung Wer sich Samba in einer eigenenLinux-Installation direkt von den Ent-wicklern herunterladen will findet dieInstallationsdateien und Anleitungen aufder Seite [5] ein Whitepaper zur Instal-lation ist auf [6] hinterlegt

Samba 4 laumlsst sich als vollwertiger Domauml-nencontroller inklusive Dateiserver-Be-trieb nutzen Im Netzwerk koumlnnen Sieauch mehrere Domaumlnencontroller mitSamba 4 einsetzen die untereinander Da-ten synchronisieren Unternehmen dieExchange einsetzen koumlnnen ebenfallsSamba verwenden da Samba 4 und ak-tuelle Exchange-Versionen kompatibelzueinander sind Samba 4-Server koumlnnenauch als Mitgliedsserver in einem ActiveDirectory auf Basis von Windows-Servernteilnehmen oder ein eigenes Active Di-rectory zur Verfuumlgung stellen

Fuumlr Windows-Administratoren die ei-nen fertigen Samba-Server herunterla-den und an das Active Directory anbin-den wollen g ibt es eine sehr guteAppliance [7] die Sie in VMware ESXianbinden koumlnnen Die Appliance koumln-nen Sie auszligerdem auch als Domaumlnen-controller konfigurieren

Das hat in kleinen Niederlassungen denVorteil dass sich Windows-Computerwie an nor malen Domaumlnencontrollernanbinden lassen Der Import der Appli-ance findet im Windows-Client uumlber dasMenuuml Datei OVF-Vorlage bereitstel-len statt Dazu muumlssen Sie die Applianceherunterladen und entpacken

Sobald die Appliance gestartet ist und Siedie Lizenzbedingungen bestaumltigt habenmelden Sie sich mit dem Benutzernameroot und dem Kennwort opensuse anMit yast lan starten Sie die Einr ichtungdes Netzwerkes Nachdem der Server ein-gerichtet ist koumlnnen Sie uumlber Skripte dieDomaumlne einrichten Samba aktivieren undauch Arbeitsstationen an den Ser ver an-

binden Wechseln Sie dazu in das korrekteVerzeichnis mit dem Befehl cd srvv undstarten Sie das Skript zur Einrichtung mitdcpromosh Anschlieszligend steht die Ap-pliance zur Konfiguration bereit

FazitLinux und das Active Directory arbeitenauf verschiedenen Ebenen zusammenSie koumlnnen Linux-Server so konfigurie-ren dass die installier ten Serverdienstedie Authentifizierung des Active Directo-ry nutzen koumlnnen oder Sie betreiben Li-nux als Domaumlnencontroller und bindenWin dows-Rechner an Auch die Anbin-dung von Linux-Arbeitsstationen anWindows-Domaumlnen ist moumlglich Aller-dings setzt das etwas Geduld und Kon-figurationsarbeit voraus

Administratoren sollten sich die Moumlg-lichkeiten ansehen und testen ob dereine oder andere Serverdienst auch uumlberLinux bereitgestellt werden kann Da siein den meisten Faumlllen keine Aumlnderungenan den Domaumlnencontrollern durchfuumlh-ren muumlssen und die Linux-Server auchvirtualisieren koumlnnen laumlsst sich schnelleine Testumgebung aufbauen

Neben der Moumlglichkeit eine einge-schraumlnkte grafische Oberflaumlche zu nut-zen koumlnnen Sie auf Linux-Servern na-tuumlrlich auch vollwertige Konfigurations-oberflaumlchen installieren Das erhoumlht zwardas Sicherheitsr isiko erleichtert dafuumlraber deutlich die Einrichtung (of)

[1] Troubleshooting Active Directory and Winbind F5P61

[2] How to configure Network IPv4 DNS or DHCP using terminal on Ubuntu server F5P62

[3] ActiveDirectoryWinbindHowto F5P63

[4] SambaKerberos F5P64

[5] Samba-Download F5P65

[6] Samba 40 Whitepaper F5P66

[7] Samba Appliance F5P67

Link-Codes

[global]

security = ads

realm = Domaumlne in Groszligbuchstaben

password server = IP-Adresse des

Domaumlnencontrollers

workgroup = Domaumlne

idmap uid = 10000-20000

idmap gid = 10000-20000

winbind enum users = yes

winbind enum groups = yes

winbind cache time = 10

winbind use default domain = yes

template homedir = homeU

template shell = binbash

client use spnego = yes

client ntlmv2 auth = yes

encrypt passwords = yes

restrict anonymous = 2

domain master = no

local master = no

preferred master = no

os level = 0

Listing 3 smbconf fuumlr die Kerberos-Anbindung



S C H W E R P U N K T I O p e n V P N

as Kuumlrzel VPN (Virtual Pr ivateNetwork) bezeichnet eine Tech-

nologie zur Verbindung von zwei odermehreren Rechnernetzen uumlber ein unsi-cheres zumeist oumlffentliches Drittnetz Mitdem unsicheren Drittnetz ist typischer-weise natuumlrlich das Internet gemeint aberes kann sinnvoll sein die Kommunikationauch innerhalb eines LANs oder WLANszu verschluumlsseln zum Beispiel wenn dereigene Rechner an ein fremdes LAN an-geschlossen werden muss Denn schlieszlig-lich kann potenziell jeder Betreiber einesNetzwerks die Kommunikation aller Teil-nehmer mitlesen oder aufzeichnen wenndie Uumlbertragung unverschluumlsselt erfolgt

Und natuumlrlich lassen sich auf diese Weiseauch Zensurmechanismen umgehen Sonutzten beispielsweise auslaumlndische Jour-nalisten waumlhrend der Olympiade 2008 inPeking OpenVPN um sich auf Server inihren Heimatlaumlndern zu verbinden umvon dort aus einen ungefilter ten Inter-net-Zugang zu erhalten

VPN ist nicht gleich VPNVPN-Protokolle gibt es viele Als quasi-Standard fuumlr die verschluumlsselte Netz-zu-Netz Kommunikation hat sich die IPSecProtokollfamilie fest etabliert Dessen Set-up gilt aber als aufwaumlndig und wenig Fi-rewall-freundlich und hat zuweilen auch

Probleme mit der Kompatibilitaumlt zwischenden Implementierungen verschiedenerHersteller L2TP over IPSec hat sich vorallem bei den mobilen BetriebssystemeniOS und Android einen Namen gemachtMicrosofts altes PPtP g ilt inzwischen alsgebrochen und sollte daher auch nichtmehr verwendet werden

SSH eigentlich ein klassisches Pr otokollzum Aufbau verschluumlsselter Verbindungenfuumlr das Remote-Login auf Unix-Systemebietet durch seinen Tunneling-Mechanis-mus ebenfalls VPN-Qualitaumlten erlaubtaber nur das Tunneln TCP-basierter Ver-bindungen Dafuumlr ist die K onfigurationsehr einfach da der Tunnel eben nicht aufder Netzwerk- sondern auf der Anwen-dungsebene aufgebaut wird

OpenVPN greift fuumlr die Verschluumlsselungauf die Bibliotheken von OpenSSL zu-ruumlck und verwendet als Transportproto-koll wahlweise TCP oder UDP oder auchbeides Damit vereint OpenVPN die Vor-teile der anderen VPN-Protokolle (sichereNetzkopplung und einfache Konfigura-tion) in sich

Schon deshalb gilt OpenVPN bei vielenAdministratoren als Favorit in Sachenverschluumlsselter Kommunikation Nebendem bereits erwaumlhnten einfachen Setup

und der Kommunikation uumlber einen ein-zigen TCP- oder UDP-Port bietetOpenVPN eine Reihe weiterer Vorteile- OpenVPN kann wenn TCP als Trans-

portprotokoll verwendet wird uumlberWeb-Proxies hinweg kommunizieren

- OpenVPN hat keine Probleme mit dy-namischen IP-Adressen

- Der Bridging Mode von OpenVPN er-moumlglicht Ethernet Layer Tunnel Damitkoumlnnen auch Protokolle betrieben wer-den die auf Broadcast undoder Mul-ticast angewiesen sind zum BeispielNetbios und einige Netzwerk-SpieleAuszligerdem koumlnnen im Bridging Modesogar nicht-IP-Protokolle wie IPX oderAppleTalk transportiert werden

Die Community-Version von OpenVPNsteht unter einer Open Sour ce-Lizenz(GPL) und ist damit kostenfrei verfuumlgbar

Angesichts der Tatsache dass viele Netz-werkhersteller ihre Geraumlte ausschlieszliglichmit IPSec ausruumlsten ist die fehlende Kom-patibilitaumlt dazu ein gewisser Nachteil vonOpenVPN Auszligerdem schlagen Sicher-heitsluumlcken im OpenSSL-Projekt bezie-hungsweise in SSLTLS uumlblicherweise vollauf die Sicherheit von OpenSSL-basiertenProdukten durch was wir 2014 mit Heartbleed [1] und POODLE [2] gleichzweimal erlebt haben Die kommerzielle

D


Sicher getunneltvon Thomas Zeller

In Zeiten der allgegenwaumlrtigen Uumlberwachungund Ausspaumlhung von Netzen ist die Verschluumlsse-lung und sichere Authentifizierung vertraulicher

Kommunikation erste Buumlrgerpflicht Dies gilt umsomehr fuumlr Admins im Unternehmensnetzwerk tragen

sie doch die Verantwortung fuumlr die sichere geschaumlftlicheKommunikation ihrer Benutzer OpenVPN ist ein bewaumlhrtes und

robustes VPN-Produkt und dank einfachem Setup auch schnell in Be-trieb genommen Dieser Artikel gibt einen Uumlberblick uumlber die Einsatz-

moumlglichkeiten und verschiedenen Varianten von OpenVPN

Workshop

S076-081_ITA_0415_Z04_Computec-Media_ok_ITA_Default 17032015 1716 Seite 2


O p e n V P N I S C H W E R P U N K T

Variante von OpenVPN erlaubt alternativdie Verwendung der PolarSSL-Bibliothe-ken anstelle OpenSSL dazu spaumlter mehr

AuthentifizierungDie Sicherheit von VPN-Verbindungen ba-siert neben der Verschluumlsselung auch auf derAuthentifizierung der beteiligten VPN-Part-ner OpenVPN kann auch in diesem Be-reich viele Vorteile in sich vereinen Dennes bietet neben dem klassischen PresharedKey-Verfahren bei dem alle beteiligten Part-ner denselben Schluumlssel verwenden aucheine zertifikatsbasierte und damit wesentlichsicherere Form der Authentifizierung an

Bei der zertifikatsbasierten Authentifizie-rung erhaumllt jeder VPN-Teilnehmer ein ei-genes X509 Zertifikat bestehend aus ei-nem Public- und einem Private-Key DerVPN-Server laumlsst dann nur Verbindungenvon Partnern zu deren Zertifikat von ei-ner ihm bekannten Zer tifizierungsstellesigniert wurden Scheidet ein Kommuni-kationspartner aus oder g ilt dessen Zer-tifikat als kompromittiert muss der Ad-ministrator nur das jeweilige Zertifikat fuumlrunguumlltig erklaumlren Dies geschieht indemer das betroffene Zertifikat auf eine Artschwarze Liste setzt die Cer tificate Re-vocation List (CRL) um den Teilnehmerkuumlnftig aus dem VPN auszusperren DerServer pruumlft die CRL bei jedem Verbin-dungsaufbau und kann so unguumlltige Zer-tifikate jederzeit identifizieren

Zusaumltzlich erlaubt der Einsatz der zertifi-katsbasierten Authentifizierung jedem Be-nutzer individuelle Profile zuzuweisenAuf diese Weise kann der Administratorbeispielsweise bestimmte Rechte oderRouten am Client setzen und uumlber ipta-bles auch den Zugang zu inter nen Ser-vices explizit erlauben oder verbieten

Schutz der ZertifikateNatuumlrlich muumlssen die Teilnehmer gut aufihre Zertifikate aufpassen Damit ein ge-stohlenes Zertifikat einen Angreifer nichtsofort in die Lage versetzt am VPN teil-zunehmen ist der Pr ivate Key-Teil desZertifikats durch eine Passphrase ge-schuumltzt Dieser Schutz laumlsst sich erheblicherweitern wenn das Zer tfikat auf eineChipkarte (Smartcard USB-Token) aus-gelagert wird Dies ist auch die vom Bun-

desamt fuumlr Sicherheit in der Infor mati-onstechnik (BSI) empfohlene Variantebeim Einsatz von OpenVPN [3]

Alternativ zum Einsatz von Smartcardsoder anderer PKI-Token bietet Open -VPN noch weitere Moumlglichkeiten zurstarken Authentifizierung zum Beispielper One Time Password (OTP) Laumluftder OpenVPN-Server unter Linux odereinem anderen Unix-artigen Betr iebs-system bietet sich als Uni versalschnitt-stelle zu verschiedenen Backend-Syste-men der Einsatz von PAM (PluggableAuthentication Module) an

Mit Hilfe von PAM und den entspr e-chenden Modulen koumlnnen eingehendeAnfragen beispielsweise an einen RA-DIUS-Server oder LDAP-Server weiter-geleitet werden Der Einsatz eines RA-DIUS-Servers via PAM bietet hier dasgroumlszligte Potenzial da praktisch jeder grouml-szligere Anbieter von Authentisierungslouml-sungen entweder einen eigenen RADI-US-Server mitbr ingt oder eineSchnittstelle dafuumlr implementiert hat Alsherstellerunabhaumlngige Middleware kannbeispielsweise LinOTP dienen das wirin der Oktober-Ausgabe des IT-Admi-nistrator vorgestellt haben [4]

EinsatzplanungIm Gegensatz zu anderen VPN-Protokol-len bietet OpenVPN mit dem Routing-und dem Bridging-Modus zwei Betriebs-modi auf deren Basis die jeweils ge-wuumlnschte Topologie im VPN aufgebautwird Bevor wir gleich naumlher auf die Un-terschiede des Routing- und Br idging-Mode eingehen werfen wir einen Blickauf die typischen VPN-Topologien- Peer-to-Peer Tunnel Im einfachsten Fall

ist das eine per Preshared-Key gesicherteVerbindung zwischen zwei SystemenDieser Anwendungsfall duumlrfte in derPraxis eher selten vorkommen Auf-grund des einfachen Minimal-Setupskann es aber fuumlr den schnellen Aufbaueines Anwendungsszenarios mit nied-rigem Schutzbedarf eine interessanteOption sein

- Client-to-Site Tunnel Dies ist das typi-sche Roadwarrior-Szenario bei demsich mehrere Benutzer (Clients) in einersternfoumlrmigen Topologie mit einem

zentralen VPN-Gateway (Server) ver-binden

- Site-to-Site Tunnel In diesem Szenariowerden zwei oder mehrere Netzwerkeuumlber VPN-Gateways (Server) miteinan-der verbunden Die Clients in den be-teiligten Netzen koumlnnen so transparentauf Dienste im jeweils anderen Netzzugreifen

Routing und BridgingOb Sie sich fuumlr den Routing- oder Brid-ging-Modus von OpenVPN entscheidenwird im Wesentlichen davon abhaumlngenwie eng Sie den oder die Clients an Ihrlokales Netzwerk anbinden wollen ImBridging-Modus erhaumllt jeder Client eineIP-Adresse aus dem lokalen Netzwerkund kann mit dem Netzwerk dann auchso interagieren als waumlre er lokal ans Netz-werk angeschlossen (Layer 2) Die Clientsbefinden sich also in der selben Broad -cast-Domain was beispielsweise fuumlr dasBrowsen von Netbios-Freigaben ohneWINS-Server erforderlich ist Auch ver-schiedene LAN-Spiele sind auf Broadcastsangewiesen Der Overhead von Open -VPN ist im Bridging-Mode etwas houmlherals bei gerouteten Verbindungen In derPraxis ist dieser Umstand allerdings in denmeisten Faumlllen vernachlaumlssigbar

Fuumlr den Einsatz des Routing-Modes vonOpenVPN sprechen daher auch eher dieweitreichenderen Moumlglichkeiten Clientsindividuell in ihren Rechten zu beschraumln-ken als die Skalierbarkeit des VPN Au-szligerdem unterstuumltzen Android-Devicesderzeit nur den Routing-Modus Im All-gemeinen ist der Routing-Modus daherdie bessere Wahl es sei denn Sie habeneine Anforderung die zwingend den Brid-ging Modus erfordert Im Routing-Mo-dus schaltet OpenVPN zwischen die be-teiligten Netze (Client + Server) einzusaumltzliches IP-Netz Alle Endpunktekommunizieren also uumlber eine Gateway-Adresse aus diesem Zwischen-Netz

UDP vs TCPWie eingangs schon kurz erwaumlhnt kannder Admin einfach festlegen uumlber welchenTCP- oder UDP-Port OpenVPN kom-munizieren soll Per Default verwendetOpenVPN den Port UDP1194 Hinter-grund ist dass der weitaus groumlszligere Teil




der typischerweise genutzten Dienste aufTCP basiert und die Verwendung vonTCP als Transportprotokoll Voraussetzungdafuumlr ist dass OpenVPN Verbindungenuumlber Web-Proxys hinweg kommunizierenkann Die Antwort auf die Frage Was istbesser TCP oder UDPldquo lautet also Eskommt drauf anldquo

Aus technischer Sicht besser geeignet istsicher UDP da es schon aufg rund derfehlenden Fehlerkorrektur einfach schnel-ler ist und das Tunneln von TCP uumlberTCP einen groumlszligeren Overhead erzeugtFuumlr ein Roadwarrior-Szenario bei demClients aus den unterschiedlichsten Netz-werken und zum Teil uumlber Proxyserverhinweg sich zum Server verbinden ist al-

lerdings TCP zum Beispiel auf Port 443die bessere weil verlaumlsslichere Wahl Inallen anderen Situationen ist aber die Ver-wendung von UDP sinnvoller Wer aufNummer sicher gehen moumlchte starteteinfach zwei OpenVPN-Daemons einenmit TCP- und den anderen mit einerUDP-Konfiguration

Unterschiede zwischen kommerziell und Open SourceWerfen wir nun einen Blick auf die ver-fuumlgbaren freien und kommerziellen Im-plementierungen von OpenVPN DieEntwickler Francis Dinha und James Yo-nan bieten uumlber ihr Unter nehmenOpenVPN Technologies den kommer-ziellen OpenVPN Access Server als Soft-ware-Paket fuumlr verschiedene Linux-Distributionen virtuelle Appliance fuumlrHyper-V und VMware und als CloudImage fuumlr Amazon AWS und CloudSigmaan Lizenziert wird nach Client-Verbin-dungen mit einem Minimum von 10Clients fuumlr je 690 US-Dollar pro Jahr

Zwei Client-Verbindungen sind bereitskostenfrei enthalten Wer damit auf Dauerzurechtkommt muss also keine Lizenzenerwerben Die kommerzielle Variante bie-tet gegenuumlber der Open Source-Versioneinige zusaumltzliche Funktionen darunterbeispielsweise eine Web-GUI Einen de-taillierten Uumlberblick uumlber die Unterschie-de zur Open Source Version bietet die Ta-belle unter [6]

Mit dem VPN-Service pr ivatetunnelbietet OpenVPN Technologies daruumlberhinaus OpenVPN-Zugaumlnge auf gehosteteServer in Nordamerika und verschiedeneneuropaumlischen Staaten an um die eigeneoumlffentliche IP-Adresse zu verstecken etwaum so Internet-Restriktionen bei Verbin-dungen aus Staaten wie China oder demmittleren Osten zu umgehen

Natuumlrlich steht OpenVPN auch auf derProjektwebsite des Open Source-Projektszur Verfuumlgung In der Regel ist die fr eieVersion auch in den Repositories der gaumln-gigen Linux-Distributionen enthalten ndashwenn auch nicht immer in der aktuellenVersion Derzeit aktuell ist Version 236vom 01122014 Ubuntu 1404 installiertbeispielsweise noch die Vorgaumlngerversion

232 Wer also auf Features oder Bugfixesder jeweils aktuellen Version angewiesenist sollte besser gleich die Pakete von derProjektwebsite verwenden muss dann al-lerdings den Quellcode selbst kompilieren

Fuumlr Windows steht die aktuelle Versioninklusive Installer bereit Das Binary vonOpenVPN enthaumllt uumlbr igens immer denClient- und den Ser verteil In welchemModus OpenVPN laumluft wird uumlber dieKonfigurationsdateien gesteuert DieCommunity Version enthaumllt kein grafischesFrontend laumlsst sich aber auch gut uumlber dieKommandozeile bedienen

Weiterhin ist OpenVPN auch in zahlrei-che freie und kommerzielle Produkte in-tegriert zum Beispiel Firewalls die meistauch einen eigenen grafischen VPN-Client mitbringen Einen Uumlberblick uumlberkommerzielle Produkte mit integriertemOpenVPN erhalten Sie mit Hilfe des Kas-tens OpenVPN in a Box

OpenVPN SchnellkonfigurationEin VPN zwischen zwei Endpunkten istmit OpenVPN und Preshared-Key imPeer-to-Peer Modus zwar sehr schnellaufgesetzt genuumlgt aber nicht unbedingtden Vorstellungen sicherheitsbewussterAdministratoren Greifen Sie lieber gleichzur zertifikatsbasierten Authentifizierungauch wenn sie zunaumlchst etwas aufwendigerist Der Mehraufwand entsteht vor allemweil die zertifikatsbasierte Authentifizie-rung eine Public Key Infrastructure (PKI)voraussetzt und die Zertifikate an die Be-nutzer verteilt werden muumlssen

Leider bringt die Community-Version in-zwischen keine PKI mehr mit Das fruumlherzusammen mit OpenVPN ausgeliefer teeasyRSA steht aber weiterhin auf Git-hub zur Verfuumlgung [7] EasyRSA ist einkommandozeilenbasiertes Werkzeug zumAufbau und Betrieb einer PKI CertificateAuthority (CA) mit der sich leicht X509-Zertifikate fuumlr Server und Benutzer sowieeine Zertifikatssperrliste erzeugen lassen

Installation undKonfiguration des ServersWer das zu aufwendig findet greift einfachzum kommerziellen OpenVPN AccessServer Der bringt seine eigene PKI mit

OpenVPN stellt in der freien Variante keine klassischenMechanismen wie active-passive oder active-activezum Aufbau einer Hochverfuumlgbarkeitsumgebung zurVerfuumlgung Die kommerzielle Ausgabe der OpenVPNAccess Server unterstuumltzt hingegen HA-Setups auf Ba-sis von GlusterFS [5] Eine einfache Form der Hoch-verfuumlgbarkeit laumlsst sich aber auch mit Hilfe redundanterOpenVPN-Server herstellen In die Client-Konfigurationwerden dann einfach mehrere Server untereinandereingetragen Erreicht der Client den ersten Server nichtversucht er es beim naumlchsten Alternativ bietet sichauch der Einsatz eines Loadbalancers an der die einge-henden Verbindungen auf die Serverinstanzen verteilt

Hochverfuumlgbarkeit

Die meisten UTM-Firewall-Systeme bringen heute einenoder mehrere VPN-Server mit darunter haumlufig auchOpenVPN Bekannte Vertreter aus dem kommerziellenLager sind

- Endian Firewall - Gateprotect - Securepoint - Sophos UTM - Watchguard

Aber auch die Open Source-Szene kann mit freien Fire-wall-Appliances aufwarten die OpenVPN entweder be-reits fest integriert haben oder eine modulare Nachruumls-tung erlauben

- Endian Firewall Community Edition- Fli4l - IPCop - IPFire - LEAF (Bering-uClibc) - OpenWRT

OpenVPN in a Box




sodass sich der Admin nicht mit weiterenWerkzeugen herumschlagen muss Alleerforderlichen Schr itte inklusive Roll-Out und Ruumlckzug von Zertifikaten koumln-nen mit dem Admin-GUI des OpenVPNAccess Servers erledigt werden (Bild 1)Laden Sie die passende Version fuumlr IhreLinux-Distribution herunter und instal-lieren Sie sie mit dem Paketmanager

Alternativ koumlnnen Sie auch auf die vor-konfigurierten VMs oder ein Cloud-Image zuruumlckgreifen Haben Sie sich fuumlrdie Installation unter Linux entschiedenzeigt der Installer nach erfolgreicher In-stallation die URLs an uumlber die Sie ganzeinfach die webbasierte Konfigurations-oberflaumlche erreichen

Admin UI httpsIP-

Adresse943admin

Client UI httpsIP-Adresse943

Passt der voreingestellte Port des Webin-terface nicht fuumlr Ihre Umgebung oder ha-ben Sie die OpenVPN Access Server VM(Login als root mit dem Passwort opn-vpnnas) heruntergeladen fuumlhren Sie mitdem Befehl ovpn-init eine Re-Konfigu-

ration aller wichtigen Parameter durchPer Default legt der Installer den Benutzeropenvpn auf dem Host an Damit Sie sichmit diesem Benutzer in die Admin-Ober-flaumlche einloggen koumlnnen muumlssen Sie fuumlrdiesen zunaumlchst ein Passwort vergeben

passwd openvpn

Anschlieszligend r ufen Sie die URLhttpsIP-Adresse943admin auf und log-gen sich als User openvpn mit dem so-eben gesetzten Passwort ein Hier muumlssenSie zunaumlchst die Lizenzbestimmungenabnicken und haben dann k omfortabelZugriff auf die Ser verkonfiguration diebereits sinnvoll eingestellt ist Sie solltensich aber dennoch zumindest die folgen-den Settings ansehen und diese im Be-darfsfall anpassen- Server Network Settings Hier legen Sie

fest auf w elche IP-Adr essen dieOpenVPN-Dienste gebunden und obVPN-Verbindungen uumlber TCP UDPoder beides entgegengenommen werden

- VPN Mode OpenVPN unterstuumltzt Ver-bindungen im Br idging- oder Rou-ting-Modus (TUN beziehungsweiseTAP Device) per Default ist der Rou-

ting-Modus aktiv Dies koumlnnen Sie beiBedarf hier umstellen

- VPN Settings In diesem Bereich wirddas Tunnel-Netzwerk konfiguriert undfestgelegt ob der Netzwerkverkehr anden Clients grundsaumltzlich uumlber das VPNgeroutet werden soll

- Authentication General In der Vor-einstellung werden Benutzer uumlber PAMgegen die Passwortdatenbank des Li-nux-Hosts authentifiziert In diesem Be-reich koumlnnen Sie das aumlndern Wenn Siedie lokale Authentifizierung verwendenmuumlssen Sie allerdings jedem Benutzerim Bereich User Permissions ein ei-genes Passwort zuweisen

- User Group Permissions Hier legenSie Benutzer Gruppen fuumlr Ihre VPN-User an und stellen indi viduelle Be-rechtigungen fuumlr die Benutzer ein

Haben Sie diese Einstellungen uumlberpruumlftund gegebenenfalls angepasst steht einemersten VPN-Verbindungsaufbau nichtsmehr im Wege Um OpenVPN auf demClient zu installieren rufen Sie mit demWebbrowser Ihres Endgeraumlts (PC mitWindows oder Linux Mac Android- oderiOS Device) das Client User Interface un-ter der URL httpsIP-Adresse943 aufund loggen sich dort mit dem Benutzer-namen und dem Passwort ein die Sie zu-vor unter User Group Permissions ver-geben haben (Bild 2)

Wenn Sie die URL von einem Windows-Rechner aufrufen wird nur der Windows-Client (OpenVPN Connect) zumDownload angeboten In diesem Fall muumls-sen Sie die Konfiguration auch nicht se-parat herunterladen und in den Clienteinbinden die Provisionierung uumlbernimmtder OpenVPN Access Server vollautoma-

Bild 1 Der OpenVPN Access Server bringt ein komfortables Webfrontend fuumlr die Konfiguration des Servers und die Provisionierung der Clients mit

Bild 2 Die Provisionierung der Clients erfolgt uumlber das Self-Service-Portal des OpenVPN Access Servers


Link-Codes eingeben auf wwwit-administratorde April 2015 81


tisch Nach dem Download des Clientsmuss der Benutzer also lediglich seineCredentials eintragen und erhaumllt nach demVerbindungsaufbau vom Access Serversein vollstaumlndiges Profil

Verbinden Sie sich hingegen v on einemLinux-System mit dem Client UI werdenIhnen die entsprechenden Downloadlinksfuumlr den OpenVPN-Client angeboten Ihrebenutzerspezifische Konfigurationsdateiladen Sie nach der Installation des Clientsunter Yourself (user-locked profile) he-runter und speichern diese Textdatei mitder Extension OVPN am besten in IhremHome-Verzeichnis Verwenden Sie einegrafische Oberflaumlche als Client stellen Siein der Applikation den Pf ad zur Konfi-gurationsdatei ein Auf der Kommando-zeile koumlnnen Sie die Konfigurationsdateials Parameter an OpenVPN uumlbergeben

openvpn --config openvpnasovpn

Laumluft OpenVPN Connect unter Androidoder iOS werden OVPN-Profil-Dateiennach dem Download erkannt und auto-matisch in die Profil-Verwaltung desClients importiert

Um eine Verbindung mit dem Server her-zustellen waumlhlen Sie die gewuumlnschte Pro-fildatei aus und klicken Sie auf ConnectHat alles geklappt sehen Sie im Lo g alsletzten Eintrag Initialization SequenceCompleted und sind n un via VPN mit

dem Server verbunden Das koumlnnen Sieauch im Admin-Frontend nachvollziehendenn dort werden aktuell eingewaumlhlte Be-nutzer in der Sektion Cur rent Usersmit ihrer realen und ihrer VPN-IP-Adresseaus dem Tunnel-Netzwerk aufgelistet Ei-nen eingewaumlhlten Benutzer koumlnnen Siemit Hilfe der Schaltflaumlche Block auchtrennen und aus dem System aussperren

Diese Sperre heben Sie wieder auf indemSie das Haumlkchen unter User PermissionsDeny Access herausnehmen Um einenBenutzer dauerhaft zu deaktivieren solltenSie aber unbedingt auch dessen Zertifikatzuruumlckziehen (User Management Re-voke Certificates) Soll der User dann einesTages wieder reaktiviert werden muumlssenSie ihn neu anlegen Fuumlr den Benutzerwird dann ein neues Zer tifikat erzeugtdas der Anwender wieder zusammen mitder Konfiguration herunterladen kann

Grafische Oberflaumlchenfuumlr OpenVPN-ClientsDa OpenVPN auf Client-Seite vollstaumln-dig uumlber die Profildatei (ovpn) gesteu-ert wird ist die Bedienung auch auf derKommandozeile kein Problem Doch es gibt auch grafische Client-Frontendsfuumlr alle wichtigen Plattformen Derkommerzielle OpenVPN Access Serverbr ingt mit dem OpenVPN ConnectClient eine sehr komfortable Benutzer-oberflaumlche fuumlr Windows OS X Androidund iOS mit Linux-Anwender muumlssendagegen entweder auf die Kommando-zeile ausweichen oder ein g rafischesFrontend der jeweiligen Desktop-Um-gebung verwenden KDE-Anwenderwerden KVPNC bevorzugen Gno-me-Liebhaber verwenden am besten dieErweiterung fuumlr den Gnome Netw orkManager Er ist im Bedarfsfall schnell ausden Repositories nachinstalliert

VPN-Verbindungen koumlnnen dann einfachuumlber den Netzwerk-Dialog der System-steuerung konfigur iert werden DerOpenVPN Access Server erstellt perDefault allerdings eine einzelne Datei diedie Zertifikate fuumlr die Authentifizierungbereits beinhaltet Der Konfigurations-Dialog des Gnome Network Managerskann mit diesem monolithischen File aberwenig anfangen Das folgende Skript (aus-

gefuumlhrt auf dem OpenVPN Access Server)erstellt die erforderlichen Dateien im Ver-zeichnis export

usrlocalopenvpn_asscriptssacli

-o export --cn testuser Get5

Wer OpenVPN Connect nicht einsetzenkann oder moumlchte und lieber mit der frei-en Version arbeitet findet mit OpenVPNGUI (Windows) und Tunnelblick (OS X)[8] noch zwei weitere brauchbare Clientsfuumlr OpenVPN Auszligerdem liefern praktischalle kommerziellen UTM-Firewall-An-bieter mit integriertem OpenVPN Serverebenfalls einen eigenen Client inklusi veProvisionierung mit

FazitOpenVPN ist so etwas wie die eierlegen-de Wollmilchsau unter den VPN-Proto-kollen und besticht bei Einsatz der zerti-fikatsbasierten Authentifizierung durchhohe Sicherheit einfaches Handling undplattformuumlbergreifende Verfuumlgbarkeit Werauf die Schnelle ein VPN einr ichtenmoumlchte greift am besten zum k ommer-ziellen OpenVPN Access Server Er ist biszwei Benutzer kostenfrei die Lizenzpreisesind mit 960 US-Dollar pro Benutzerund Jahr aber moderat Viele (UTM-)Fi-rewallsysteme bringen haumlufig ebenfalls ei-nen integrierten OpenVPN Ser ver undWerkzeuge zur Provisionierung derClients mit (of)

Vom Autor dieses Artikelsist unter dem Titel Open-VPN kompakt (ISBN 978-3-939316-51-0 ) einBucheBook erhaumlltlich das neben einer ausfuumlhrlichenKonfigurationsanleitung fuumlrdie Open Source-Versionvon OpenVPN und dem PKI-Setup mit easyRSA exem-plarisch auch drei Einsatz-szenarien und derenEinrichtung beschreibt

1 Linux OpenVPN-Server mit Linux- und Windows Road Warriors

2 Verbindung von drei festen Standorten mit Linux OpenVPN-Servern

3 WLAN absichern mit OpenVPN

Buchtipp OpenVPN kompakt

[1] Heartbleed F4Z41

[2] POODLE F4Z42

[3] OpenVPN-Empfehlung des BSI F4Z43

[4] LinOTP in IT-Administrator 102014 F4Z44

[5] HA-Setup F4Z45

[6] Vergleich Community- und Enterprise-Version F4Z46

[7] Easy-RSA F4Z47

[8] Tunnelblick F4Z48

Link-Codes


94 November 2015 wwwit-administratorde

it Windows Server 2012 praumlsentier-te Microsoft erstmals die Moumlglich-

keit mit Bordmitteln einen Dateiserverfuumlr Anwendungsdaten aufzusetzenGrundlage hierfuumlr sind zwei bis acht Ser-ver die einen Dateiserver in einem Failo-ver-Cluster betreiben und so hochverfuumlg-bar zur Verfuumlgung stellen Als Speicherkommen entweder per SAS angebundeneFestplatten in Enclosures oder per FibreChanneliSCSI angebundene LUNs zumEinsatz Dieser Speicher wird den Appli-kationsservern wie Hyper-V oder SQL Ser-ver dann uumlber das Netzwerk bereitgestelltAls Protokoll dient SMB in der Version 3

Mit dem R2 von Windows Server 2012 botMicrosoft im Bereich der Performance dieMoumlglichkeit SSDs und HDDs gleichzeitigin einem Speicherpool zu nutzen Durchdiese als Tiering bekannte Technik werdenDaten in 1 MByte groszligen Chunks die haumlu-fig in Nutzung sind im Betrieb automa-tisch auf die schnellen Datentraumlger (dieSSDs) verschoben waumlhrend Daten mit we-nig oder keiner Nutzung auf den HDDsgespeichert werden Mit dieser Techniksind Sie in der Lage einen hochperfor-manten hochverfuumlgbaren und preislichsehr attraktiven Speicher aufzubauen

Kommen SSDs zum Einsatz wird vomzur Verfuumlgung stehenden Speicherplatzstandardmaumlszligig 1 GByte als Write-backCache genutzt Dies reduziert die Latenzfuumlr Schreibvorgaumlnge und senkt den ne-gativen Performance-Einfluss auf andereDatei-Operationen Weitere Neuerun-gen in Windows 2012 R2 waren derSupport fuumlr Parity-Datentraumlger im Fail-over-Cluster die Nutzung von Dual Pa-rity (aumlhnlich einem RAID 6) und dieMoumlglichkeit dass die Storage Spaces sichbei freiem Speicherplatz im Pool auto-matisch reparieren beziehungsweise er-neut erstellen Durch diese Moumlglichkeitentfaumlllt der Bedarf von Hot Spare-Da-tentraumlgern Zur Wiederherstellung derDatenintegritaumlt wird freier Speicherplatzauf den noch funktionstuumlchtigen Da-tentraumlgern genutzt

IOPS rauf mit Storage Spaces DirectMit der kommenden Version 2016 desServer-Betriebssystems werden die Moumlg-lichkeiten und Techniken noch einmaldeutlich erweitert und verbessert VieleUnternehmen setzen bereits heute Louml-sungen ein bei denen lokaler Speicher inmehreren Hosts genutzt wird und per

Netzwerk logisch zusammengefasst wird(beispielsweise Datacore)

An dieser Stelle setzt Microsoft mit Sto-rage Space Direct (S2D) an Die einge-setzten Storage-Server benoumltigen nunnicht mehr eine gemeinsame Anbindungan ein oder mehrere Festplatten-Enclo-sures es lassen sich nun auch lokal ver-baute Datentraumlger nutzen Diese Diskslassen sich uumlbergreifend uumlber mehrereServer zu einem Pool zusammenfassender als Grundlage fuumlr einen oder mehrerevirtuelle Datentraumlger (vDisks) dienenkann Beim Aufbau eines solchen Ver-

M

Storage-Neuerungen unter Windows Server 2016

Mitarbeiter des Monatsvon Jan Kappen

Das anstehende Release von Windows Server 2016 bringt wichtige Neuerungen im Bereich Storage Mit eingebauter Storage-Replikation Storage Spaces Direct und derVerkehrssteuerung beim Storage-Zugriff viaQoS schickt sich Windows Server an unterStorage-Admins zum Mitarbeiter des Monatsgewaumlhlt zu werden Unser Beitrag gibt einenUumlberblick der zentralen Neuerungen

Bei der Nutzung von Enclosures zur Bereit-stellung von Speicher muumlssen Sie unbedingtdarauf achten dass es sich um reine SAS-En-closures handelt die die Datentraumlger 1-zu-1an die Server weiterreichen und nicht perRAID-Controller verschachteln Achten Sieweiterhin darauf von Microsoft zertifizierteHardware zu nutzen Obwohl die Enclosuresdumm sind gibt es Unterschiede in Bezugauf die Eigenschaften Eine Liste der zertifi-zierten Hardware finden Sie unter [1] SuchenSie hier explizit nach Hardware zur Nutzungder Storage Spaces

Auf die richtige Hardware achten

Quelle ojogabonitoo ndash 123RF

S094-098_ITA_1115_Z09_halbeEAZSH0116_ok_ITA_Default 22102015 1158 Seite 2

wwwit-administratorde November 2015 95

Windows Server 2016 Storage Schwerpunkt

bunds ist allerdings zu beachten dass Sie(je nach Anzahl an Knoten) maximal zweiServer verlieren duumlrfen

Da das SMB-Protokoll zum Einsatz kommtund dieses auch weiterentwickelt wirdkoumlnnen Sie natuumlrlich auch weiterhin diezentralen Funktionen von SMB3 nutzen- SMB Multichannel Beim Einsatz meh-

rerer Netzwerkkarten (NIC) erhoumlhtsich die nutzbare Bandbreite da derDatentransport uumlber alle verfuumlgbarenAdapter erfolgt Der Ausfall eines odermehrerer Adapter wird transparent ab-gefangen es kommt nicht zu einemAbbruch der Verbindung solange nochmindestens eine Verbindung bestehtMultichannel bedingt keine Einrich-tung von Teaming ist technisch aller-dings auch uumlber mehrere Teams hin-weg moumlglich Die Konfiguration undNutzung von MPIO ist nicht unter-stuumltzt die Verwendung mehrerer Kar-ten ist im SMB-Protokoll definiert

- Remote Direct Access Memory (RDMA)Der Einsatz spezieller NICs erlaubt dieNutzung von SMB Direct das den Ser-vern ermoumlglicht untereinander direktDaten in den RAM des Partners zu le-gen Hierbei wird die Last des Daten-transfers nicht an die CPU ausgelagertsondern die Adapter verarbeiten diesekomplett selbst RDMA sorgt fuumlr einenaumluszligerst performanten Datentransferbei einer sehr geringen Latenz und ei-ner sehr niedrigen CPU-Belastung

Zur Nutzung von Storage Spaces Directgibt es aktuell schon einige Informatio-nen zu notwendigen VoraussetzungenAls Datentraumlger koumlnnen Sie nun auchSATA-Datentraumlger verwenden die ver-pflichtende Nutzung von Geraumlten mitSAS-Anschluss entfaumlllt Derzeit sind ins-besondere die SAS-SSDs recht teuer hierkoumlnnen Sie in Zukunft auf die etwasguumlnstigere SATA-Variante zuruumlckgreifenWas aber nicht bedeutet dass Sie die

guumlnstigsten Consumer-Komponentennutzen sollten Setzen Sie grundsaumltzlichEnterprise-Hardware ein

Falls die Performance von handelsuumlblichenSSDs nicht ausreicht erlaubt WindowsServer 2016 auch den Einsatz von NVMe-Speicher (Non-Volatile Memory Express)Hierbei handelt es sich um direkt uumlber ei-nen PCI Express-Bus angeschlossenenFlash-Speicher Somit wird die Begrenzungdes SASSATA-Busses umgangen Micro-soft hat in Zusammenarbeit mit Intel aufder Intel Developer Conference in SanFrancisco einen entsprechenden Aufbaugezeigt [2] Die Anzahl der Server in solcheinem Verbund liegt bei minimal vier Systemen von denen jedes mindestens 64 GByte RAM besitzen sollte Als Mini-mal-anforderung wird momentan einSSDFlash-Speicher pro Knoten angege-ben Allerdings finden sich in der Praxisaumluszligerst selten Installationen bei denenausschlieszliglich Festplatten zum Einsatzkommen Somit ist in den meisten Faumlllenausreichend SSD-Speicher vorhanden Diesliegt primaumlr daran dass gewoumlhnliche Fest-platten zwischen 100 und 200 IOPS liefernEine SSD im Vergleich erzielt je nach Mo-dell zwischen 20000 und 100000 I OPSDieser massive Unterschied macht die Nut-zung von Tiering aumluszligerst attraktiv auchwenn die Preise fuumlr eine SSD im erstenMoment recht hoch erscheinen

Im Netz sollten RDMA-Karten mit einerGeschwindigkeit von minimal 10 GBitszum Einsatz kommen besser sind hierKarten mit 40 oder 56 GBits Preislichliegt eine Infrastruktur mit 40 GBits beieiner Neuanschaffung nicht weit uumlber ei-ner 10 GBits-Infrastruktur

Storage Spaces Direct fuumlr groszligeund kleine InfrastrukturenBeim Einsatz von Storage Spaces Directgibt es zwei Einsatzmoumlglichkeiten Siekoumlnnen einen Scale-Out File-Server be-treiben der ausschlieszliglich fuumlr die Bereit-stellung des Speichers zur Verfuumlgungsteht Ihre Hyper-V-VMs werden auf ei-genen Hosts betrieben die Anbindunguntereinander erfolgt uumlber SMB3 Alter-nativ koumlnnen Sie auch einen Hyper-Con-verged Failover-Cluster nutzen hierbeiwerden Ihr Speicher und Ihre Hyper-V-

Bild 1 Die Storage-Neuerungen in Windows Server 2016 im Zusammenspiel

Scale-Out File Server FileServerShare

Cluster Shared VolumesReFS File System

CClusterStorage

Storage Pool

Storage Node

Software Storage Bus

Network (SMB3)

Software Defined Storage System

Storage Node Storage Node Storage Node

Storage Space Virtual Disks



Windows Server 2016 StorageSchwerpunkt

VMs von den gleichen Hardware-Syste-men betrieben Dies war bisher mit Win-dows-Bordmitteln nicht unterstuumltzt

Betreiben Sie eine recht kleine Umge-bung die auch im Laufe des Betriebs eherwenig Aumlnderungen erfaumlhrt kann das Hy-per-Converged-Modell fuumlr Sie genau dasRichtige sein Mindestens vier Server mitlokalen Datentraumlgern und ausreichendKapazitaumlt in den Bereichen RAM CPU-Leistung und Netzwerk-Bandbreite be-treiben hochverfuumlgbar Ihre kompletteVM-Infrastruktur Dieser Ansatz ist nichtneu es gibt bereits heute schon einigeAnbieter die solch eine Loumlsung anbietenTechnisch liefert Microsoft hier somit kei-ne Weltneuheit allerdings haben Sie alsAnwender den Vorteil dass die Technikbereits in der Lizenz enthalten ist und Siekeine kostenpflichtige Zusatzsoftwarekaufen muumlssen

Die zweite Variante die Trennung vonStorage und Hyper-V eignet sich primaumlrfuumlr mittlere bis groszlige Umgebungen Ge-rade bei einer groszligen Anzahl an VMs istdie Anzahl der Hyper-V-Hosts im Failo-ver-Cluster deutlich groumlszliger als die Knotenim Storage-Cluster Zusaumltzlich koumlnnen Siebei Bedarf an weiteren Hyper-V-Hosts nurdiese erweitern ohne direkt Ihren Spei-cherplatz zu vergroumlszligern Nutzen Sie einenHyper-Converged-Cluster muumlssen Sie je-weils Rechenleistung und Storage vergrouml-szligern die Erweiterung um reine Storage-oder Compute-Nodes ist nicht moumlglichJeder weitere Server benoumltigt die gleicheAusstattung wie die bereits vorhandenenSysteme selbst wenn weiterer Speicher-platz eigentlich nicht benoumltigt wird

Replikation mit BordmittelnEbenfalls neu in Windows Server 2016ist die Moumlglichkeit ohne den Einsatz ei-nes Hardware-SANs oder einer Software-Loumlsung eines Drittherstellers Ihre Datenzu replizieren Dies kann synchron oderasynchron erfolgen Bei einer synchronenReplikation werden die Daten auf der Pri-maumlr-Seite direkt zur Sekundaumlr-Seite ge-schrieben Technisch laumluft dieser Vorgangwie folgt ab Schreibt eine ApplikationDaten auf ihren Speicherplatz wird dieserVorgang in ein L og geschrieben DiesesLog sollte unbedingt auf einem Flash-

Speicher liegen damit der Vorgang moumlg-lichst schnell abgeschlossen ist Zeitgleichwerden die Daten auf die Remote-Seiteuumlbertragen und ebenfalls in ein L og ge-schrieben Bestaumltigt die Remote-Seite denerfolgreichen Schreibvorgang erhaumllt dieApplikation die die D aten erzeugt hateine Bestaumltigung dass der Schreibvorgangerfolgreich abgeschlossen wurde Im Hin-tergrund werden die Aumlnderungen nunaus dem Logfile heraus auf die eigentli-chen Datentraumlger geschrieben DieserVorgang verzoumlgert nun nicht mehr dieApplikation die auf die erfolgreiche Be-staumltigung des Schreibvorgangs wartet Da-mit diese Art von Replikation keine ne-gative Beeinflussung auf die PerformanceIhrer VMs hat sollte die Latenz zwischenden beiden Standorten moumlglichst geringsein Microsoft gibt als maximale Round-Trip-Time fuumlnf Millisekunden an kleinereWerte sind natuumlrlich zu bevorzugen

Bei der asynchronen Replikation ist dasVerhalten ein klein wenig anders Hier er-folgt eine Aumlnderung des Speichers durcheine Applikation oder VM auf der Primaumlr-Seite Diese Daten werden genau wie beider synchronen Variante im ersten Schrittin ein Log geschrieben das optimaler Wei-se auf einem Flash-Speicher liegt Ist dieserVorgang abgeschlossen bekommt die Ap-plikation eine entsprechende Ruumlckmel-dung Waumlhrend die Applikation bereitsneue Daten erzeugt werden die Informa-tionen im Log aus dem ersten Vorgang aufdie Remote-Seite uumlbertragen und dortebenfalls in ein Log geschrieben Ist dieserVorgang abgeschlossen wird die erfolg-reiche Speicherung auf der Remote-Seitebestaumltigt Nun werden die Daten ebenfallsaus dem Log heraus auf die eigentlichenDatentraumlger geschrieben

Bei beiden Varianten gibt es einige Vo-raussetzungen zu beachten- Primaumlr- und Sekundaumlr-Seite muumlssen

die gleichen Datentraumlger Datentraumlger-typen Volumes Formatierung undBlocksize besitzen

- Das Log sollte auf einem Flash-Speicherabgelegt werden da dieser die Datensehr schnell speichert und abarbeitet

- Eine maximale Latenz von fuumlnf Millise-kunden bei der synchronen ReplikationRDMA ist eine Option aber keine Pflicht

- Die Bandbreite sollte moumlglichst hoch seinAls Minimum ist 10 GBits anzusehenhoumlhere Bandbreiten sind immer besser

Die Nutzung von Storage Replica ist un-abhaumlngig von synchron oder asynchronin mehreren Szenarien moumlglich Tech-nisch erfolgt die Replikation der Datenauf Volume-Ebene Dies bedeutet dasses egal ist wie die Daten auf dem Volumegespeichert werden welches Dateisystemeingesetzt wird und wo sich die Datenbefinden Storage Replica ist kein DFSRbei dem Dateien repliziert werden Siekoumlnnen sowohl Daten zwischen zwei ein-zelnen Servern Daten in einem aufgeteil-ten Cluster (Stretch-Cluster) oder zwi-schen zwei Clustern replizieren ZurUumlbertragung der Daten kommt SMB3zum Einsatz Dies ermoumlglicht die Nutzungverschiedener Techniken MultichannelKerberos-Support sowie Verschluumlsselungover the wire und Signierung

Das Ziel-Laufwerk ist zum Zeitpunkt derReplikation nicht verfuumlgbar Dies bedeu-tet dass Sie die Sekundaumlr-Seite nicht fuumlrein Backup Ihrer Daten nutzen koumlnnenDie Replikation der Daten als Backup zusehen ist ebenfalls falsch Kommt es aufder Primaumlr-Seite beispielsweise zu einemlogischen Fehler innerhalb Ihrer Datenwird dieser Fehler ebenfalls repliziert undSie haben ohne ein Backup der Daten kei-ne Moumlglichkeit auf den urspruumlnglichenund korrekten Stand zuruumlckzukehren

Machs gut NTFSNTFS hat als Dateisystem zur Speiche-rung von Daten unter Windows Server2016 mehr oder weniger ausgedient Mi-crosoft proklamiert das Resilient FileSystem (ReFS) als neues S tandard-Da-teisystem bei der Verwendung von Vir-tualisierung Durch die Nutzung undUumlberpruumlfung von Checksummen istReFS geschuumltzt gegen logische Fehleroder falsche Bits bei sehr groszligen Daten-mengen (bit rotting) Das Dateisystemselbst schreibt Checksummen weiterhinkoumlnnen bei Bedarf die Daten auf demVolume gepruumlft und korrigiert werdenOperationen wie die Uumlberpruumlfung oderReparatur mit CHKDSK erledigen Sieebenfalls online und muumlssen keineDowntime mehr einplanen



Bei der Nutzung von ReFS als Ablage fuumlrHyper-V VMs gibt es ebenfalls einigeVerbesserungen Die Erzeugung vonVHDX-Dateien mit einer festen Groumlszligebenoumltigt nun nur noch wenige SekundenDenn bei dieser Operation wird nichtwie bisher der Datentraumlger mit Nullenvollgeschrieben sondern es erfolgt imHintergrund eine Metadaten-Operationdie den gesamten Speicherplatz in sehrkurzer Zeit als belegt kennzeichnet Beidem Aufloumlsen von Hyper-V-Checkpoints(bis Windows Server 2012 als S napshotbezeichnet) muumlssen nun keine Datenmehr bewegt werden sondern es kommtebenfalls zu einem Metadaten-VorgangDies fuumlhrt dazu dass sich selbst Check-points mit einer Groumlszlige von mehrerenhundert GByte innerhalb von kuumlrzesterZeit zusammenfuumlhren lassen Dies ver-ringert die Belastung fuumlr andere VMs aufdiesem Volume drastisch

Storage besser steuernUnter Windows Server 2012 R2 koumlnnenIT-Verantwortliche nur einzelne VHD-oder VHDX-Datentraumlger begrenzen Dies

Bild 2 Mit Storage QoS laumlsst sich die Storage-Performance verbessern indem VMs mit Regeln fuumlr dessen Nutzung versorgt werden

IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched

SMB3 Storage Network Fabric

Hyper-V Cluster

Scale-Out File Server

Virtual MachinesPolicy

GoldPolicy

shopheinemann-verlagdevertriebsunion meynen Tel 061239238-251Herr Stephan Orgel Fax 061239238-252D-65341 Eltville leserserviceit-administratorde

Abo- und LeserserviceIT-Administrator

IT-Administrator Abonnenten erhalten das Sonderheft I2016 fuumlr euro 2490 Nichtabonnenten zahlen euro 2990IT-Administrator All-Inclusive Abonnenten zahlen fuumlr Sonderhefte nur euro 1990 - diese sind im Abonnement

dann automatisch enthalten Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer

Erfahren Sie auf 180 Seitenalles rund um das Thema

VMware vSphere 6Automatisierung Sicherheit und Hochverfuumlgbarkeit

Bestellen Sie jetzt zum Abonnenten-Vorzugspreis von nur 2490 Euro

Praxis-Know-how zum VorbestellenDas IT-Administrator Sonderheft I2016

Erhaumlltlichab Maumlrz

2016


98 November 2015 Link-Codes eingeben auf wwwit-administratorde


aumlndert sich grundlegend mit Storage Qua-lity of Service (QoS) in Windows Server2016 indem es die Moumlglichkeiten mitdenen die Performance einer Umgebunggemessen und beschraumlnkt werden kanndeutlich erweitert Bei dem Einsatz vonHyper-V (uumlblicherweise in Form einesHyper-V Failover-Clusters mit mehrerenKnoten) und einem Scale-Out File-Serverwird die gesamte Umgebung beobachtetund gesteuert

Standardmaumlszligig wird darauf geachtet dasszum Beispiel eine VM nicht die komplet-ten Ressourcen fuumlr sich beanspruchenkann und somit alle anderen VMs lahm-legt (Noisy Neighbour Problem) Sobaldeine VM auf dem Scale-Out File-Servergespeichert wird beginnt eine Aufzeich-nung ihrer Performance Diese Werte ru-fen Sie mit dem PowerShell-Befehl Get-StorageQosFlow auf Der Befehl erzeugteine Auflistung aller VMs mit den gemes-senen Werten Diese Werte koumlnnen alsGrundlage fuumlr eine Anpassung der Um-gebung genutzt werden um beispielsweiseeine VM zu limitieren

Neben der Auflistung der PerformanceIhrer VMs koumlnnen Sie auch verschiedeneRegeln konfigurieren die die Nutzungder Ressourcen steuern Sie regeln ent-weder einzelne VMs o der Gruppen vonVMs hinsichtlich einer Begrenzung odereiner Garantie von IOPS Setzen Sie etwaeine Begrenzung von 1000 IOPS fuumlr eineGruppe koumlnnen alle VMs gemeinsamdiese Grenze nicht uumlberschreiten Ver-brauchen fuumlnf von sechs VMs nahezu kei-ne Ressourcen koumlnnte die sechste VMdie restlichen IOPS fuumlr sich beanspru-chen Dieses Szenario spricht unter an-derem Hoster und groszlige Umgebungenan die jedem Anwender die gleiche Leis-tung zur Verfuumlgung stellen moumlchten oderdie Leistung entsprechend der Bezahlungregeln moumlchten Innerhalb eines Stora-

ge-Clusters koumlnnen Sie bis zu 10000 Re-geln definieren die dafuumlr sorgen dass einmoumlglichst optimaler Betrieb herrscht undes nicht zu Engpaumlssen kommt

Technisch basiert Storage QoS auf einemPolicy Manager im Scale-Out File-Server-Cluster der fuumlr das zentrale Monitoringder Storage-Performance verantwortlichist Dies kann einer der Cluster-Knotensein es wird kein eigener Server benoumltigtAuf jedem Knoten laumluft ebenfalls ein IOScheduler der fuumlr die Kommunikationmit den Hyper-V-Hosts wichtig ist Dortlaumluft auch jeweils ein Rate Limiter dermit dem IO S cheduler kommuniziertund uumlber diesen die Reservierungen oderBegrenzungen erhaumllt und umsetzt

Alle vier Sekunden erfolgt ein Durchlaufauf den Hyper-V- und den Storage-Hosts danach erfolgt bei Bedarf eineAnpassung der QoS-Regeln Die IOPSwerden als Normalized IOPS bezeich-net jeder Vorgang wird mit 8 KByte ge-zaumlhlt Ist ein Vorgang kleiner wird ertrotzdem als ein IOPS-Vorgang mit 8KByte gezaumlhlt Andererseits werden 32KByte als 4 IOPS gewertet

Da mit dem Windows Server 2016 undder Nutzung als Scale-Out File-Server au-tomatisch ein Monitoring stattfindet koumln-nen Sie somit auch sehr schnell feststellenwelche Last auf Ihrem Storage anliegt undwie viele Ressourcen Ihre VMs jeweilsbenoumltigen Erscheint im kommenden Jahrdie finale Version von Windows Server2016 und Sie aktualisieren Ihren Scale-Out File-Server haben Sie alleine durchdiesen Vorgang und durch die im Hin-tergrund wirkenden Verbesserungen eineOptimierung in Ihre Hyper-VSOFS-Um-gebung eingebracht

Nutzen Sie keinen Scale-Out File-Serverund planen auch keinen Wechsel koumlnnenSie trotzdem von der Storage QoS-Funk-tionalitaumlt profitieren Laut Senthil RajaramMicrosoft Program Manager in der Hyper-V Group wird diese Funktion fuumlr alle Ar-ten von CSV-Datentraumlgern eingefuumlhrt Diesbedeutet dass Sie auch bei der Nutzung ei-nes iSCSI- oder FC-SAN die Moumlglichkeithaben werden eine Begrenzung oder Re-servierung der IOPS zu konfigurieren

Organisation ist allesIn der aktuellen Version der Storage Spa-ces gibt es keine Moumlglichkeit eine Reor-ganisation der Daten durchzufuumlhrenDies waumlre unter anderem nach dem Aus-fall eines Datentraumlgers sinnvoll Faumlllt einDatentraumlger aus springt entweder einHot-Spare-Datentraumlger ein oder es wirdfreier Speicherplatz innerhalb des Poolsgenutzt (was uumlbrigens einem oder meh-reren Hot-Spare-Datentraumlgern deutlichzu bevorzugen ist) um die S piegelungwieder zu reparieren Wird nun der de-fekte Datentraumlger ausgetauscht gibt eskeine Moumlglichkeit durch eine Reorgani-sation der Daten diesen Datentraumlger wie-der auf den gleichen Fuumlllstand wie dieanderen Datentraumlger zu bringen

Mit Windows Server 2016 besteht dieMoumlglichkeit mit dem Kommando Op-timize-StoragePool solch eine Neuorga-nisation durchzufuumlhren Bei diesem Vor-gang werden die Daten innerhalb desangegebenen Pools analysiert und neuangeordnet sodass nach diesem Vor-gang auf jedem Datentraumlger ein aumlhnli-cher Fuumlllstand vorhanden ist Faumlllt nunerneut ein Datentraumlger aus werden allerestlichen Datentraumlger sowie der f reieSpeicherplatz zur Wiederherstellung desSpiegels genutzt

FazitMicrosoft erweitert die heute schon sehrbrauchbare Storage-Loumlsung um vieleFunktionen die gerade in Enterprise-Um-gebungen haumlufig vermisst wurden DieMoumlglichkeiten einer Storage-Replikationwaren bisher haumlufig der Grund warumKunden auf Loumlsungen von Drittherstel-lern gesetzt haben Diese Funktionen sindnun direkt im Betriebssystem enthaltenund bieten hochverfuumlgbare Loumlsungen oh-ne einen Mehrpreis Der Hyper-Conver-ged Failover-Cluster hat bereits jetzt beieinigen Anwendern Aufmerksamkeit er-zeugt die gerne Storage und Computegemeinsam betreiben moumlchten DieserArtikel gibt einen Uumlberblick uumlber diebisher bekannten Informationen auf Ba-sis der Technical Preview 3 Bitte beach-ten Sie dass sich alle Features noch aumln-dern oder dass Funktionen nicht in diefinale Version uumlbernommen werdenkoumlnnen (jp)

[1] Windows Server Catalog FAZ91

[2] 16 Windows-Server mit NVMe-Speicher erreichen uumlber drei Millionen IOPS FAZ92

Link-Codes


96 Februar 2016 wwwit-administratorde

l T-Notfa l lmanagementSchwerpunkt

ass eine Notfallplanung wichtig istergibt sich nicht nur aus dem nor-

malen Menschenverstand sondern leitetsich auch aus zahlreichen Gesetzen undNormen ab Doch was ist uumlberhaupt einNotfall und wie laumlsst er sich von Stoumlrun-gen abgrenzen

Notfall definiertUm sich diesen Fragen zu naumlhern lohntein Blick auf die Definition von Notfallim BSI-Standard 100-4 Der rund 120 Sei-ten umfassende Standard 100-4 Notfall-management wurde vom Bundesamt fuumlrSicherheit in der Informationstechnik (BSI)Ende 2008 veroumlffentlicht und beschreibteine Methode zum Aufbau eines eigen-staumlndigen Managementsystems fuumlr dieNotfallvorsorge und die Notfallbewaumllti-gung Auf Seite 5 heiszligt es hier Ein Notfallist ein Schadensereignis bei dem Prozesseoder Ressourcen einer Institution nichtwie vorgesehen funktionieren Die Ver-fuumlgbarkeit der entsprechenden Prozesseoder Ressourcen kann innerhalb einer ge-forderten Zeit nicht wiederhergestellt wer-den Der Geschaumlftsbetrieb ist stark beein-traumlchtigt Eventuell vorhandene SLAs(Service Level Agreements) koumlnnen nicht

eingehalten werden Es entstehen hohe bissehr hohe Schaumlden die sich signifikantund in nicht akzeptablem Rahmen auf dasGesamtjahresergebnis eines Unternehmensoder die Aufgabenerfuumlllung einer Behoumlrdeauswirken Notfaumllle koumlnnen nicht mehrim allgemeinen Tagesgeschaumlft abgewickeltwerden sondern erfordern eine gesonderteNotfallbewaumlltigungsorganisation

Betrachten wir die Definition genauerwird deutlich dass es sich hierbei eher umeinen Luumlckentext als um eine umsetzbareDefinition handelt Denn was sich hinterden Begriffen nicht wie vorgesehen funk-tionieren innerhalb der gefordertenZeit stark beeintraumlchtigt hohe bis sehrhohe Schaumlden und ein nicht akzeptablerRahmen verbirgt kann nur aus Sicht derjeweiligen Geschaumlftsprozesse betrachtetund durch die Prozessverantwortlichenfestgelegt werden

Notfallmanagement istAufgabe der GeschaumlftsleitungIT-Notfallmanagement darf also nichtisoliert als alleinige Aufgabe der IT-Or-ganisation behandelt werden sondernmuss in ein uumlbergeordnetes Notfallma-

nagement eingebunden sein Dies spie-gelt sich auch wider in der B edeutungdie der Standard 100-4 dem ThemaBusiness Impact Analyse (BIA) wid-met Danach ist es zunaumlchst wichtig Ab-haumlngigkeiten zu identifizieren und Aus-fallzeiten zu bewerten Mithilfe der BIAbetrachten Unternehmen die Abhaumlngig-keiten der Geschaumlftsprozesse von deneinzelnen IT-Services und die potenziel-len Auswirkungen eines ServiceausfallsDas Ergebnis dieser Auswertung ist eineGewichtung der IT-Services und -Pro-zesse entsprechend ihrer Wichtigkeit fuumlrdas Unternehmen (Kritikalitaumlt)

Diese Einordnung bildet eine Grundlagefuumlr die Risikoanalyse und die Entwicklungvon IT-Notfallvorsorgemaszlignahmen Nurauf Basis der Ergebnisse der BIA ist esletztendlich moumlglich die tolerierbarenAusfallzeiten einzelner Prozesse und dersie unterstuumltzenden IT-Komponenten zudefinieren Fuumlr die IT-Organisation wich-tige Parameter sind hierbei- Maximal tolerierbare Ausfallzeit

(MTA) Dieser Wert gibt an wie langeein SystemAnwendung maximal aus-fallen darf

D

Dokumentation des IT-Notfallmanagements

Survival Kitvon Manuela Reis

Bei massiven Ausfaumlllen in der IT-Infrastrukturstehen IT-Verantwortliche vor der Frage welche Abhaumlngigkeiten bestehen welche IT-Systeme in welcher Reihenfolge und inwelcher Zeit wieder bereitgestellt werdenmuumlssen Hier setzt das IT-Notfallmanagementan Dessen Ziel muss es sein die Geschaumlfts-fortfuumlhrung durch Absicherung der Verfuumlg-barkeit der IT-Services der Anwendungender IT-Systeme und insbesondere der Infor-mationen sicherzustellen Der Beitrag stelltBausteine eines IT-Notfallmanagements vorund beschreibt die erforderlichen Aktivitaumltenmit Fokus auf die Dokumentation Quelle belchonock ndash 123RF

S096-099_ITA_0216_Z09_EAZhalbeSchnupperabo_ok_dr_ITA_Default 20012016 1629 Seite 2

wwwit-administratorde Februar 2016 97

lT-Notfa l lmanagement Schwerpunkt

- Recovery time Objective (RTO) Ma-ximale Zeit vom Zeitpunkt des Scha-dens bis zur vollstaumlndigen Wiederher-stellung des Geschaumlftsprozesses

- Recovery Point Objective (RPO) Maxi-mal tolerierbarer Datenverlust der be-schreibt welcher Zeitraum maximal zwi-schen zwei Datensicherungen liegen darf

- Maximal tolerierbare Wiederanlaufzeit(WAZ) Dieser Wert gibt an in welcherZeit ein System im Notbetrieb zur Ver-fuumlgung stehen muss

Die ermittelten Ergebnisse sowie diedurchzufuumlhrende Risikoanalyse zur Fest-stellung der Eintrittswahrscheinlichkeitsind Voraussetzung fuumlr die Auswahl ge-eigneter Notfallstrategien sowie entspre-chender (Vorsorge-)-Maszlignahmen Au-szligerdem ist die BIA eine Voraussetzungum Anforderungen fuumlr den Notbetriebzu definieren

Aufgaben desIT-Notfallmanagements Zielsetzung der IT-Notfallplanung ist wiebereits ausgefuumlhrt die Reduzierung vonIT-Risiken und die G ewaumlhrleistung desIT-Betriebs fuumlr die kritischen Geschaumlfts-prozesse in Notfaumlllen im Rahmen der ge-

forderten Zeiten Hierbei steht die Fragenach moumlglichen Ursachen fuumlr einen Aus-fall der IT-Services im Vordergrund DieRisikoanalyse dient dazu die Risiken zuermitteln und zu bewerten die zu einemServiceverlust fuumlhren koumlnnen ITIL bei-spielsweise benennt exemplarisch die fol-genden Risiken und ordnet diesen ent-sprechende Bedrohungen zu- Verlust interner IT-Systeme- Verlust externer IT-Systeme- Verlust von Daten- Abfluss von Daten (Diebstahl)- Verlust der Netzwerk-Services- Ausfall von technischem Schluumlssel-

personal- Ausfall eines Service Providers

Abhaumlngig von der Eintrittswahrschein-lichkeit fuumlr ein Risiko und der ermitteltenKritikalitaumlt werden in einem weiterenSchritt Praumlventivmaszlignahmen festgelegtZiel ist vor allem die Identifizierung undEliminierung moumlglicher Single Points ofFailure An die Risikoanalyse schlieszligensich die weiteren Aufgaben an- Entwicklung von IT-Notfallvorsorge-

strategien- Implementierung der technischen

Maszlignahmen gemaumlszlig Vorsorgestrategie

- HochverfuumlgbarkeitRedundanz (Clus-ter Loadbalancing Virtualisierung)

- Monitoring (Netzwerk Systeme Infra-struktur et cetera)

- Datensicherung (Mirroring Replika-tion Tape-Backups und Vergleichbares)

Planung der NotfallbewaumlltigungTrotz aller noch so sorgfaumlltig geplantenund eingerichteten Notfallvorsorgemaszlig-nahmen bleibt immer ein Restrisiko be-stehen Die Notfallbewaumlltigung ist daherein elementarer Bereich innerhalb desNotfallmanagements Sie umfasst die re-aktiven Maszlignahmen des Notfallmanage-ments deren Ziel es ist dass das U nter-nehmen in Notfall- und Krisensituationengrundsaumltzlich handlungsfaumlhig und uumlber-lebensfaumlhig bleibt

Ein wichtiges Instrument fuumlr die Behand-lung von Notfaumlllen ist das IT-Notfallhand-buch einschlieszliglich ergaumlnzender PlaumlneDieses muss gewaumlhrleisten dass der IT-Betrieb nach Notfaumlllen aufrechterhaltenwerden kann beziehungsweise die erfor-derlichen IT-Komponenten zur Unter-stuumltzung der Geschaumlftsprozesse nach Ein-tritt eines Schadensereignisses in dervorgegebenen Zeit wiederhergestellt wer-den koumlnnen Dazu muumlssen vor allem auchorganisatorische Regelungen dokumen-tiert werden Diese muumlssen die folgendenPunkte beruumlcksichtigen- Verantwortlichkeiten und Aufgaben im

Notfall - Wer muss wen informieren- Zu ergreifende Sofortmaszlignahmen- Zeitliche und personelle Planung der

Durchfuumlhrung der Notfallbewaumllti-gungsmaszlignahmen

In der Regel ist es allerdings nicht sinn-voll alle Themen in einem gr oszligen IT-Notfallhandbuch zu dokumentieren DieBeschreibung konkreter Maszlignahmen fuumlrdie Einrichtung eines Notbetriebs undzur Wiederherstellung einzelner Systemeerfolgt gemaumlszlig Standard 100-4 in er gaumln-zenden Plaumlnen Aus Sicht der IT sind hierdie folgenden Plaumlne relevant- Geschaumlftsfortfuumlhrungsplaumlne Der

Hauptzweck der Geschaumlftsfortfuumlhrungs-plaumlne besteht darin dass wichtige Ge-schaumlftsprozesse selbst in kritischen Si-tuationen und in Notfaumlllen nicht oder

Bild 1 Die Aufgaben im Rahmen eines IT-Notfallmanagementprozesses Dabei werden die maximal tolerierbaren Ausfallzeiten je Geschaumlftsprozess als Ergebnis einer Business Impact-Analyse vorausgesetzt

Durchfuumlhrung einer

IT-Risikoanalyse

Durchfuumlhrung von Tests

und Uumlbungen

Entwicklung einerIT-Notfall-

vorsorgestrategie

Planung zurBewaumlltigung von

Notfaumlllen

Implementierungder technischen

Maszlignahmen




nur temporaumlr unterbrochen werdenHierzu muumlssen die Geschaumlftsfortfuumlh-rungsplaumlne fuumlr verschiedene SzenarienVorgehensweisen beschreiben mit de-ren Hilfe die kritischen Geschaumlftspro-zesse im Notbetrieb fortgesetzt werdenkoumlnnen Bei serviceorientierten IT-Or-ganisationen kann die Erstellung undPflege von Geschaumlftsfortfuumlhrungsplaumlnenfuumlr einzelne IT-Services sinnvoll sein

- Wiederanlaufplaumlne ergaumlnzen die Ge-schaumlftsfortfuumlhrungsplaumlne Sie beschrei-ben auf operativer Ebene fuumlr einzelneRessourcen was in welcher Reihenfolgezu tun ist um nach dem Ausfall einerRessource die Wiederaufnahme undFortfuumlhrung der Betriebsfunktion ineinem Notbetrieb zu ermoumlglichen

- Wiederherstellungsplaumlne Die Wieder-herstellungsplaumlne hingegen beschreibendie Wiederherstellung ausgefallenerSysteme Ziel ist es einen vergleichba-ren Zustand wie vor Eintreten einesSchadensereignisses zu erreichen

Sinnvolle Inhalte eines IT-NotfallhandbuchsUm die zuvor genannten Fragen zu be-antworten sollte das Notfallhandbuch dieThemen wie im Kasten Checkliste Not-fallhandbuch beschreiben Der Grad derDetaillierung muss sich dabei an den je-weiligen Maszlignahmen zur Notfallbewaumll-tigung orientieren und so gestaltet seindass ein sachverstaumlndiger Dritter ohneKenntnis der spezifischen Systeme in derLage ist die Aufgaben durchzufuumlhren

Wichtig ist es auch die Rollen fuumlr dieNotfallbewaumlltigungsorganisation eindeu-

tig festzulegen und zu dokumentieren Inder Praxis wird sich zwar die Notfallor-ganisation einer IT-Abteilung kaum vonder des Tagesgeschaumlftes unterscheidendoch ist in Notfaumlllen haumlufig eine zeitlichbefristete Veraumlnderung oder Erweiterungvon Befugnissen erforderlich die zu de-finieren und zu dokumentieren sind Sosollten Sie beruumlcksichtigen dass moumlgli-cherweise Mitarbeiter in Aufgaben desuumlbergeordneten Notfallmanagements ein-gebunden sind und daher den IT-Not-fallteams nicht zur Verfuumlgung stehen

Haumlufig vernachlaumlssigtPlanung eines NotbetriebsBei der Planung der Notfallbewaumlltigungmuumlssen Sie die fuumlr einen erforderlichenNotbetrieb benoumltigten Dienste Systemeund Ressourcen definieren Insbeson-dere der Notwendigkeit zur Einrichtungeines Notbetriebs wird bei der Notfall-planung haumlufig zu wenig Aufmerksam-keit geschenkt

Nach der Bestandsaufnahme und der La-gebeurteilung ist die formale Feststellungeines Notfalls der naumlchste Schritt Mit die-ser Maszlignahme wird der Regelbetrieb of-fiziell auszliger Kraft gesetzt und stattdessentreten die entsprechenden Plaumlne in KraftNach der formalen Inkraftsetzung desNotfallplans muumlssen Sie das weitere Vor-gehen festlegen Hier ist auch zu entschei-den ob eine direkte Wiederherstellungdes Regelbetriebs moumlglich oder ob dieEinrichtung eines temporaumlren Notbetriebserforderlich ist Sie benoumltigen daher Ge-schaumlftsfortfuumlhrungs- und Wiederanlauf-plaumlne die beschreiben was in welcher

Reihenfolge zu tun ist um nach dem Aus-fall eines IT-Services beziehungsweiseeinzelner IT-Ressourcen die Aufnahmeder Betriebsfunktion in einem Notbetriebzu ermoumlglichen

Wichtig ist dabei auch die Beschreibunginterner oder externer Ausweichmoumlg-lichkeiten Gibt es beispielsweise ein ex-ternes Rechenzentrum mit dem ein Ser-vicevertrag abgeschlossen wurde undkann auf einem dort vorgehaltenen Sys-tem direkt mit dem Wiederanlauf be-gonnen werden so ist dieses einschlieszlig-lich der Ansprechpartner ebenfalls zubeschreiben Moumlglicherweise stehen aberauch intern oder in einer NiederlassungErsatzeinrichtungen bereit sodass vondort aus die kritischen Prozesse wiederanlaufen koumlnnen Die folgenden Punktemuumlssen Sie dabei betrachten

Diese Punkte muumlssen in jedem IT-Notfall-handbuch geklaumlrt sein

- Organisation

- IT-Notfallorganisation (IT-Notfallstab IT-Notfallteams)

- Alarmierungs- und Eskalationsplaumlne fuumlr dieIT-Organisation mit Schnittstellen zu uumlber-geordneten unternehmensweiten Alarmie-rungsplaumlnen

- Ansprechpartner (interne und externe) sowie Kontaktdaten

- Zusaumltzlich erforderliche Informationen wieNetzwerkplaumlne oder Raumplaumlne

- Vorgaben und Vorlagen fuumlr die Dokumenta-tion waumlhrend der Wiederherstellung der IT-Services

- Sofortmaszlignahmen

- Sofortmaszlignahmen fuumlr IT-relevante Notfaumllle

- Handlungsanweisungen fuumlr die IT-Organi-sation betreffende Notfaumllle

- Notfallbewaumlltigung

- Handlungsanweisungen fuumlr die Bestands-aufnahme (Schadensbericht)

- Handlungsanweisungen zur Einrichtung eines Notbetriebs (Verweise auf die Ge-schaumlftsfortfuumlhrungsplaumlne fuumlr einzelne IT-Services und Wiederanlaufplaumlne fuumlr die IT-Systeme)

- Wiederherstellungsplaumlne fuumlr die einzelnenIT-Systeme fuumlr den Notbetrieb und den Nor-malbetrieb

Checkliste Notfallhandbuch

Bild 2 Das Notfallhandbuch wird durch drei Plaumlne ergaumlnzt die organisatorische wie technische Notfallmaszlignahmen beschreiben

Geschaumlftsfort-fuumlhrungsplaumlne

fuumlr einzelneIT-Services

Wiederanlaufplaumlne(Notbetrieb) fuumlr einzelne

IT-Ressourcen

(IT-) Notfallhandbuch

Wiederherstellungs-plaumlne fuumlr einzelne

IT-Ressourcen


Link-Codes eingeben auf wwwit-administratorde

- Ansprechpartner fuumlr Geschaumlftsprozesse- Wiederbeschaffungsmoumlglichkeiten- Interne und externe Ausweichmoumlglichkeiten- Schnittstellen und abhaumlngige Ressourcen- Wiederanlaufreihenfolge- Maszlignahmen fuumlr den Wiederanlauf- Verweis auf die Wiederherstellungsplaumlne fuumlr die

einzelnen Systeme- Schulungen und Notfalluumlbungen

Vorlagen fuumlr die NotfalldokumentationEine gute Hilfestellung bei der Erstellung der erforderlichenDokumente koumlnnen die vom BSI unter dem Namen Umset-zungsrahmenwerk fuumlr das Notfallmanagement [1] ndash kurzUMRA ndash veroumlffentlichten Vorlagen liefern Diese adressierendas unternehmensweite Notfallmanagement sind aber auchfuumlr die Erstellung einer IT-Notfalldokumentation sehr hilfreichZudem erleichtern die mitgelieferten Leitfaumlden und das Stu-fenmodel den Einstieg

Mit UMRA stellt das BSI einen Werkzeugkasten fuumlr die Ein-fuumlhrung und den Betrieb eines Notfallmanagements auf Basisdes Standards 100-4 zur Verfuumlgung Dieser liefert zu allen The-menbereichen eines Notfallmanagements Beschreibungen Do-kumentenvorlagen Textvorlagen und Workshop-PraumlsentationenInsbesondere soll UMRA dabei helfen die Flut der fuumlr das Not-fallmanagement erforderlichen Dokumente in den Griff zu be-kommen UMRA besteht aus einem Hauptdokument mit Er-laumluterungen zum Umsetzungsrahmenwerk und einer Uumlbersichtuumlber alle verfuumlgbaren Dokumente und Hilfsmittel Dieses Do-kument sollten Sie zuerst lesen Daruumlber hinaus finden Sie imRahmenwerk neun Module zu allen Phasen des Notfallma-nagements Jedes dieser Module enthaumllt dabei Textvorlagen fuumlralle relevanten Dokumente des Notfallmanagements Musterfuumlr Workshop-Praumlsentationen (zum Beispiel zur Erstellungeiner Business Impact Analyse) und eine Modulbeschreibungdie noumltige Vorarbeiten und zu erzielende Ergebnisse beschreibtZusaumltzlich gibt es drei Leitfaumlden zur stufenweisen Einfuumlhrungeines Notfallmanagements

FazitNoch immer betrachten viele IT-Organisationen das ThemaNotfall ausschlieszliglich aus Sicht systembezogener Wiederherstel-lungsprozeduren Diese sind zwar notwendig wichtig ist jedocheine Betrachtung der Aufgabenstellungen im Rahmen eines IT-Notfallmanagements das wiederum Bestandteil eines uumlbergeord-neten Notfallmanagements sein muss Wie der Beitrag zeigt stehtbei einem Notfall jedoch nicht die Wiederherstellung der Systemeim Vordergrund sondern die Wiederherstellung der fuumlr das Uumlber-leben des Unternehmens wichtigen Geschaumlftsprozesse (jp)

[1] UMRA D0P81

Link-Codes

KompetentesSchnupperabo sucht neugierige Administratoren

Testen Sie jetzt

sechs Ausgaben

zum Preis von drei

shopheinemann-verlagde

vertriebsunion meynenHerr Stephan OrgelD-65341 EltvilleTel 061239238-251Fax 061239238-252leserserviceit-administratorde

Abo- und Leserservice IT-Administrator


Titel-Leseprobe_ITA_1115_ITA_Defaultpdf

S012-015_ITA_0515_T02_ok_ITA_Default


S028-033_ITA_0515_P06_Experteach_MonitoringDays_ok_ITA_Default

S076-081_ITA_0415_Z04_Computec-Media_ok_ITA_Default

S094-098_ITA_1115_Z09_halbeEAZSH0116_ok_ITA_Default

S096-099_ITA_0216_Z09_EAZhalbeSchnupperabo_ok_dr_ITA_Default

ltlt ASCII85EncodePages false AllowTransparency false AutoPositionEPSFiles true AutoRotatePages All Binding Left CalGrayProfile (Dot Gain 20) CalRGBProfile (sRGB IEC61966-21) CalCMYKProfile (US Web Coated 050SWOP051 v2) sRGBProfile (sRGB IEC61966-21) CannotEmbedFontPolicy Warning CompatibilityLevel 13 CompressObjects Tags CompressPages true ConvertImagesToIndexed true PassThroughJPEGImages true CreateJobTicket false DefaultRenderingIntent Default DetectBlends true DetectCurves 01000 ColorConversionStrategy LeaveColorUnchanged DoThumbnails true EmbedAllFonts true EmbedOpenType false ParseICCProfilesInComments true EmbedJobOptions true DSCReportingLevel 0 EmitDSCWarnings false EndPage -1 ImageMemory 1048576 LockDistillerParams false MaxSubsetPct 100 Optimize false OPM 1 ParseDSCComments true ParseDSCCommentsForDocInfo true PreserveCopyPage true PreserveDICMYKValues true PreserveEPSInfo true PreserveFlatness true PreserveHalftoneInfo false PreserveOPIComments false PreserveOverprintSettings true Start SubsetFonts true TransferFunctionInfo Apply UCRandBGInfo Preserve UsePrologue false ColorSettingsFile () AlwaysEmbed [ true ] NeverEmbed [ true ] AntiAliasColorImages false CropColorImages true ColorImageMinResolution 150 ColorImageMinResolutionPolicy OK DownsampleColorImages true ColorImageDownsampleType Bicubic ColorImageResolution 300 ColorImageDepth -1 ColorImageMinDownsampleDepth 1 ColorImageDownsampleThreshold 150000 EncodeColorImages true ColorImageFilter DCTEncode AutoFilterColorImages false ColorImageAutoFilterStrategy JPEG ColorACSImageDict ltlt QFactor 076 HSamples [2 1 1 2] VSamples [2 1 1 2] gtgt ColorImageDict ltlt QFactor 076 HSamples [2 1 1 2] VSamples [2 1 1 2] gtgt JPEG2000ColorACSImageDict ltlt TileWidth 256 TileHeight 256 Quality 30 gtgt JPEG2000ColorImageDict ltlt TileWidth 256 TileHeight 256 Quality 30 gtgt AntiAliasGrayImages false CropGrayImages true GrayImageMinResolution 150 GrayImageMinResolutionPolicy OK DownsampleGrayImages true GrayImageDownsampleType Bicubic GrayImageResolution 300 GrayImageDepth -1 GrayImageMinDownsampleDepth 2 GrayImageDownsampleThreshold 150000 EncodeGrayImages true GrayImageFilter DCTEncode AutoFilterGrayImages false GrayImageAutoFilterStrategy JPEG GrayACSImageDict ltlt QFactor 076 HSamples [2 1 1 2] VSamples [2 1 1 2] gtgt GrayImageDict ltlt QFactor 076 HSamples [2 1 1 2] VSamples [2 1 1 2] gtgt JPEG2000GrayACSImageDict ltlt TileWidth 256 TileHeight 256 Quality 30 gtgt JPEG2000GrayImageDict ltlt TileWidth 256 TileHeight 256 Quality 30 gtgt AntiAliasMonoImages false CropMonoImages true MonoImageMinResolution 1200 MonoImageMinResolutionPolicy OK DownsampleMonoImages true MonoImageDownsampleType Bicubic MonoImageResolution 1200 MonoImageDepth -1 MonoImageDownsampleThreshold 150000 EncodeMonoImages true MonoImageFilter CCITTFaxEncode MonoImageDict ltlt K -1 gtgt AllowPSXObjects false CheckCompliance [ None ] PDFX1aCheck false PDFX3Check false PDFXCompliantPDFOnly false PDFXNoTrimBoxError true PDFXTrimBoxToMediaBoxOffset [ 000000 000000 000000 000000 ] PDFXSetBleedBoxToMediaBox true PDFXBleedBoxToTrimBoxOffset [ 000000 000000 000000 000000 ] PDFXOutputIntentProfile (None) PDFXOutputConditionIdentifier () PDFXOutputCondition () PDFXRegistryName (httpwwwcolororg) PDFXTrapped Unknown CreateJDFFile false Description ltlt FRA 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 ENU (Use these settings to create PDF documents with higher image resolution for improved printing quality The PDF documents can be opened with Acrobat and Reader 50 and later) JPN ltFEFF3053306e8a2d5b9a306f30019ad889e350cf5ea6753b50cf3092542b308000200050004400460020658766f830924f5c62103059308b3068304d306b4f7f75283057307e30593002537052376642306e753b8cea3092670059279650306b4fdd306430533068304c3067304d307e305930023053306e8a2d5b9a30674f5c62103057305f00200050004400460020658766f8306f0020004100630072006f0062006100740020304a30883073002000520065006100640065007200200035002e003000204ee5964d30678868793a3067304d307e30593002gt PTB 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 DAN ltFEFF004200720075006700200064006900730073006500200069006e0064007300740069006c006c0069006e006700650072002000740069006c0020006100740020006f0070007200650074007400650020005000440046002d0064006f006b0075006d0065006e0074006500720020006d006500640020006800f8006a006500720065002000620069006c006c00650064006f0070006c00f80073006e0069006e006700200066006f00720020006100740020006600e50020006200650064007200650020007500640073006b00720069006600740073006b00760061006c0069007400650074002e0020005000440046002d0064006f006b0075006d0065006e0074006500720020006b0061006e002000e50062006e006500730020006d006500640020004100630072006f0062006100740020006f0067002000520065006100640065007200200035002e00300020006f00670020006e0079006500720065002egt NLD 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 ESP ltFEFF0055007300650020006500730074006100730020006f007000630069006f006e006500730020007000610072006100200063007200650061007200200064006f00630075006d0065006e0074006f0073002000500044004600200063006f006e0020006d00610079006f00720020007200650073006f006c00750063006900f3006e00200064006500200069006d006100670065006e00200070006100720061002000610075006d0065006e0074006100720020006c0061002000630061006c006900640061006400200061006c00200069006d007000720069006d00690072002e0020004c006f007300200064006f00630075006d0065006e0074006f00730020005000440046002000730065002000700075006500640065006e00200061006200720069007200200063006f006e0020004100630072006f00620061007400200079002000520065006100640065007200200035002e003000200079002000760065007200730069006f006e0065007300200070006f00730074006500720069006f007200650073002egt SUO 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 ITA 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 NOR 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 SVE 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 DEU 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 gtgtgtgt setdistillerparamsltlt HWResolution [2400 2400] PageSize [595276 841890]gtgt setpagedevice

wwwit-administratorde Juni 2016 7

News Aktue l l

Die Thunder 7440 schaufelt 220 GBits an Daten durch und bietet DDoS-Schutz

Anwendungsturbo

LXD 20 ist fertigSeit Mitte April ist Version 20 der Containerloumlsung LXD verfuumlg-bar die von Canonical fuumlr Ubuntu entwickelt wird LXD basiertauf den kuumlrzlich ebenfalls in Version 20 veroumlffentlichten LXC-Containern und bietet uumlber deren Grundfunktionalitaumlt hinausbessere Isolation der Container untereinander und gegenuumlberden Host-System sowie komfortablere und besser automatisier-bare Managementfunktionen Diese Ziele werden mit Hilfe einesDaemons und einer webbasierten REST-Schnittstelle erreicht

Wie LXC erhaumllt auch LXD 20 einen Langzeitsupport von fuumlnfJahren Solange garantieren die Entwickler die Ruumlckwaumlrtskom-patibilitaumlt der Schnittstellen auch wenn sie sich vorbehalten sieeventuell zu erweitern Zur Einstellung von Security-Featureswie Seccomp Namespaces und AppArmor bietet LXD eine eige-ne Konfigurationssprache Die Kommunikation mit dem LXD-Daemon findet uumlber TLS 12 mit einem sehr eingeschraumlnktenSatz an Kryptoalgorithmen statt

In Ubuntu 1604 das die neuen LXD- und LXC-Versionenenthaumllt soll als Dateisystem fuumlr Container das von Solaris stam-mende ZFS eingesetzt werden Allerdings ist umstritten ob diesangesichts der vermutlich inkompatiblen Lizenzen von Linux-Kernel und ZFS auf legalem Weg moumlglich ist In Ubuntu 1404sollen LXD und LXC 20 uumlber die Backports-Sammlung verfuumlg-bar sein (of)LXD wwwubuntucomcloudlxd

Red Hat liefert seit Mitte Mai Red Hat Enterprise Linux 68aus Die neueste Version bietet eine verbesserte Systemar-chivierung einen umfassenden Einblick in die Speicheraus-lastung und Performance und unterstuumltzt einen aktuellenoffenen Standard fuumlr Virtual Networks Der Hersteller ver-spricht zudem einen reibungslosen Betrieb mit Cloud-Ap-plikationen und Linux-Containern Zudem setzt das juumlngsteRelease mit libreswan auf eines der am weitesten verbrei-teten und standardisierten VPN-Protokolle und ersetzt damit openswan (ln)Link-Code G6A11

VXL Instruments stellt mit dem Modell Itona IQ-L einenneuen Thin Client vor Punkten will der Hersteller mit demEinstiegspreis von 170 Euro Das Herzstuumlck des Neuzu-gangs bildet ein Intel Bay Trail Dual-Core-Prozessor mit in-tegrierter HD-Grafik und 158 GHz Zwei Bildschirme mitAufloumlsungen von bis zu 1920 x 1200 lassen sich uumlberHDMI oder VGA betreiben Speicherseitig sind die Geraumltemit bis zu 4 GByte RAM und 32 GByte Flash ausgestattetDer Thin Client ist in drei Varianten mit Gio6 LinuxWindows Embedded 8 Standard sowie Windows 10 IoT Enterprise verfuumlgbar (ln)Link-Code G6A12

EMC luumlftet mit Unity den Vorhang fuumlr eine neue Familie vonSpeicherprodukten Besonders in der All-Flash-Variante hates EMC auf kleinere Unternehmen abgesehen und bewirbtden Neuzugang mit Eintrittspreisen von rund 18000 US-Dollar Unity erreicht laut EMC bis zu 300000 IOPS undbietet Funktionen wie Unterstuumltzung fuumlr File Block undVvols Snapshots und Remote-Sync- beziehungsweise -async-Replikation sowie native Controller-basierte Ver-schluumlsselung In ein 2-U-Array passen bis zu 80 TByte All-Flash-Storage Insgesamt lassen sich Unity-Speicher auf biszu 3 PByte Kapazitaumlt skalieren (ln)Link-Code G6A13

Seagate praumlsentiert eine externe 35 Zoll groszlige 8-TByte-Festplatte mit Stromversorgung uumlber USB Mit der Einfuumlh-rung der sogenannten Ignition-Boost-Technologie ist die Innov8 laut Seagate die weltweit erste Desktop-Festplattemit 8 TByte Speicherkapazitaumlt die nicht zusaumltzlich mit einerexternen Stromquelle verbunden werden muss Aumlhnlich ei-ner Autobatterie beim Motorstart erlaube es die Ignition-Boost-Technologie in Verbindung mit USB 31 der Festplat-te mit der Bus-Stromversorgung auszukommen Fuumlr 336Euro ist die Platte zu haben (dr)Link-Code G6A14

A10 Networks bringt sechs neue Application Delivery Controller(ADC) auf den Markt Unter diesen Appliances der Thunder-Seriebefindet sich auch die laut Hersteller schnellste am Markt verfuumlg-bare Single-Rack-Unit mit einer Skalierbarkeit von bis zu 220GBits und 105 Millionen Verbindungen pro Sekunde Obendreinlassen sich mehr als 300 Millionen DDoS-Attacken pro Sekundeabwehren Die neuen Appliances basieren dabei auf der ACOS-Harmony-Plattform die ein Plus an Effizienz verspricht Fuumlr klei-nere Umgebungen beispielsweise steht die Variante Thunder 840zur Verfuumlgung Das Geraumlt misst eine Houmlheneinheit und bietet 5GBits an Durchsatz Hierfuumlr stehen fuumlnf 1-GBit-Ethernet-Portssowie zwei 10-GBit-Ethernet-Anschluumlsse und acht Cores zur Ver-fuumlgung Das Topmodell die Thunder 7440 setzt bei ebenfalls einerRack-Unit bis zu 220 GBits durch und bietet 48 10-GBit-Ether-net-Ports vier 40 GBit-Ethernet-Anschluumlsse und 36 Cores DieEinstiegsvariante ist fuumlr zirka 19000 Euro erhaumlltlich (dr)A10 Networks wwwa10networkscom

S006-009_ITA_0616_A01_ok_ITA_Default 18052016 1438 Seite 3












V





Im Test

Quell

e dv

arg ndash

123

RF






















































Monitoring 7


Reporting 9






Bewertung












E
































IPADDRPORT













Sicherheit

Konfiguration

Client-Usability

Flexibilitaumlt

Skalierbarkeit

7

7

8

7

6

















install




install



L








Workshop

Quell

e To

m de

Spieg

elaer

e ndash 1

23RF























DNS-Servers













Domaumlnen-Admins





see interfaces(5)


auto lo



auto eth0


address 192168178188

gateway 1921681781

netmask 2552552550

network 1921681780


[logging]


[libdefaults]


clock_skew = 300


[realms]





[domain_realm]


Directory-Domaumlne


















ITK Training


















shadow compat





















Link-Codes

[global]

security = ads





idmap uid = 10000-20000

idmap gid = 10000-20000











domain master = no

local master = no


os level = 0



















D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei












ltlt ASCII85EncodePages false AllowTransparency false AutoPositionEPSFiles true AutoRotatePages All Binding Left CalGrayProfile (Dot Gain 20) CalRGBProfile (sRGB IEC61966-21) CalCMYKProfile (US Web Coated 050SWOP051 v2) sRGBProfile (sRGB IEC61966-21) CannotEmbedFontPolicy Warning CompatibilityLevel 13 CompressObjects Tags CompressPages true ConvertImagesToIndexed true PassThroughJPEGImages true CreateJobTicket false DefaultRenderingIntent Default DetectBlends true DetectCurves 01000 ColorConversionStrategy LeaveColorUnchanged DoThumbnails true EmbedAllFonts true EmbedOpenType false ParseICCProfilesInComments true EmbedJobOptions true DSCReportingLevel 0 EmitDSCWarnings false EndPage -1 ImageMemory 1048576 LockDistillerParams false MaxSubsetPct 100 Optimize false OPM 1 ParseDSCComments true ParseDSCCommentsForDocInfo true PreserveCopyPage true PreserveDICMYKValues true PreserveEPSInfo true PreserveFlatness true PreserveHalftoneInfo false PreserveOPIComments false PreserveOverprintSettings true StartPage 1 SubsetFonts true TransferFunctionInfo Apply UCRandBGInfo Preserve UsePrologue false ColorSettingsFile () AlwaysEmbed [ true ] NeverEmbed [ true ] AntiAliasColorImages false CropColorImages true ColorImageMinResolution 150 ColorImageMinResolutionPolicy OK DownsampleColorImages true ColorImageDownsampleType Bicubic ColorImageResolution 300 ColorImageDepth -1 ColorImageMinDownsampleDepth 1 ColorImageDownsampleThreshold 150000 EncodeColorImages true ColorImageFilter DCTEncode AutoFilterColorImages false ColorImageAutoFilterStrategy JPEG ColorACSImageDict ltlt QFactor 076 HSamples [2 1 1 2] VSamples [2 1 1 2] gtgt ColorImageDict ltlt QFactor 076 HSamples [2 1 1 2] VSamples [2 1 1 2] gtgt JPEG2000ColorACSImageDict ltlt TileWidth 256 TileHeight 256 Quality 30 gtgt JPEG2000ColorImageDict ltlt TileWidth 256 TileHeight 256 Quality 30 gtgt AntiAliasGrayImages false CropGrayImages true GrayImageMinResolution 150 GrayImageMinResolutionPolicy OK DownsampleGrayImages true GrayImageDownsampleType Bicubic GrayImageResolution 300 GrayImageDepth -1 GrayImageMinDownsampleDepth 2 GrayImageDownsampleThreshold 150000 EncodeGrayImages true GrayImageFilter DCTEncode AutoFilterGrayImages false GrayImageAutoFilterStrategy JPEG GrayACSImageDict ltlt QFactor 076 HSamples [2 1 1 2] VSamples [2 1 1 2] gtgt GrayImageDict ltlt QFactor 076 HSamples [2 1 1 2] VSamples [2 1 1 2] gtgt JPEG2000GrayACSImageDict ltlt TileWidth 256 TileHeight 256 Quality 30 gtgt JPEG2000GrayImageDict ltlt TileWidth 256 TileHeight 256 Quality 30 gtgt AntiAliasMonoImages false CropMonoImages true MonoImageMinResolution 1200 MonoImageMinResolutionPolicy OK DownsampleMonoImages true MonoImageDownsampleType Bicubic MonoImageResolution 1200 MonoImageDepth -1 MonoImageDownsampleThreshold 150000 EncodeMonoImages true MonoImageFilter CCITTFaxEncode MonoImageDict ltlt K -1 gtgt AllowPSXObjects false CheckCompliance [ None ] PDFX1aCheck false PDFX3Check false PDFXCompliantPDFOnly false PDFXNoTrimBoxError true PDFXTrimBoxToMediaBoxOffset [ 000000 000000 000000 000000 ] PDFXSetBleedBoxToMediaBox true PDFXBleedBoxToTrimBoxOffset [ 000000 000000 000000 000000 ] PDFXOutputIntentProfile (None) PDFXOutputConditionIdentifier () PDFXOutputCondition () PDFXRegistryName (httpwwwcolororg) PDFXTrapped Unknown CreateJDFFile false Description ltlt FRA ltFEFF004f007000740069006f006e00730020007000650072006d0065007400740061006e007400200064006500200063007200e900650072002000640065007300200064006f00630075006d0065006e00740073002000500044004600200064006f007400e900730020006400270075006e00650020007200e90073006f006c007500740069006f006e002000e9006c0065007600e9006500200070006f0075007200200075006e00650020007100750061006c0069007400e90020006400270069006d007000720065007300730069006f006e00200061006d00e9006c0069006f007200e90065002e00200049006c002000650073007400200070006f0073007300690062006c0065002000640027006f00750076007200690072002000630065007300200064006f00630075006d0065006e007400730020005000440046002000640061006e00730020004100630072006f0062006100740020006500740020005200650061006400650072002c002000760065007200730069006f006e002000200035002e00300020006f007500200075006c007400e9007200690065007500720065002egt ENU (Use these settings to create PDF documents with higher image resolution for improved printing quality The PDF documents can be opened with Acrobat and Reader 50 and later) JPN ltFEFF3053306e8a2d5b9a306f30019ad889e350cf5ea6753b50cf3092542b308000200050004400460020658766f830924f5c62103059308b3068304d306b4f7f75283057307e30593002537052376642306e753b8cea3092670059279650306b4fdd306430533068304c3067304d307e305930023053306e8a2d5b9a30674f5c62103057305f00200050004400460020658766f8306f0020004100630072006f0062006100740020304a30883073002000520065006100640065007200200035002e003000204ee5964d30678868793a3067304d307e30593002gt PTB ltFEFF005500740069006c0069007a006500200065007300740061007300200063006f006e00660069006700750072006100e700f5006500730020007000610072006100200063007200690061007200200064006f00630075006d0065006e0074006f0073002000500044004600200063006f006d00200075006d00610020007200650073006f006c007500e700e3006f00200064006500200069006d006100670065006d0020007300750070006500720069006f0072002000700061007200610020006f006200740065007200200075006d00610020007100750061006c0069006400610064006500200064006500200069006d0070007200650073007300e3006f0020006d0065006c0068006f0072002e0020004f007300200064006f00630075006d0065006e0074006f0073002000500044004600200070006f00640065006d0020007300650072002000610062006500720074006f007300200063006f006d0020006f0020004100630072006f006200610074002c002000520065006100640065007200200035002e0030002000650020007300750070006500720069006f0072002egt DAN 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 NLD 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 ESP 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 SUO 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 ITA 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 NOR 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 SVE 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 DEU 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 gtgtgtgt setdistillerparamsltlt HWResolution [2400 2400] PageSize [595276 841890]gtgt setpagedevice












V





Im Test

Quell

e dv

arg ndash

123

RF






















































Monitoring 7


Reporting 9






Bewertung












E
































IPADDRPORT













Sicherheit

Konfiguration

Client-Usability

Flexibilitaumlt

Skalierbarkeit

7

7

8

7

6

















install




install



L








Workshop

Quell

e To

m de

Spieg

elaer

e ndash 1

23RF























DNS-Servers













Domaumlnen-Admins





see interfaces(5)


auto lo



auto eth0


address 192168178188

gateway 1921681781

netmask 2552552550

network 1921681780


[logging]


[libdefaults]


clock_skew = 300


[realms]





[domain_realm]


Directory-Domaumlne


















ITK Training


















shadow compat





















Link-Codes

[global]

security = ads





idmap uid = 10000-20000

idmap gid = 10000-20000











domain master = no

local master = no


os level = 0



















D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei



























































Monitoring 7


Reporting 9






Bewertung












E
































IPADDRPORT













Sicherheit

Konfiguration

Client-Usability

Flexibilitaumlt

Skalierbarkeit

7

7

8

7

6

















install




install



L








Workshop

Quell

e To

m de

Spieg

elaer

e ndash 1

23RF























DNS-Servers













Domaumlnen-Admins





see interfaces(5)


auto lo



auto eth0


address 192168178188

gateway 1921681781

netmask 2552552550

network 1921681780


[logging]


[libdefaults]


clock_skew = 300


[realms]





[domain_realm]


Directory-Domaumlne


















ITK Training


















shadow compat





















Link-Codes

[global]

security = ads





idmap uid = 10000-20000

idmap gid = 10000-20000











domain master = no

local master = no


os level = 0



















D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei























E
































IPADDRPORT













Sicherheit

Konfiguration

Client-Usability

Flexibilitaumlt

Skalierbarkeit

7

7

8

7

6

















install




install



L








Workshop

Quell

e To

m de

Spieg

elaer

e ndash 1

23RF























DNS-Servers













Domaumlnen-Admins





see interfaces(5)


auto lo



auto eth0


address 192168178188

gateway 1921681781

netmask 2552552550

network 1921681780


[logging]


[libdefaults]


clock_skew = 300


[realms]





[domain_realm]


Directory-Domaumlne


















ITK Training


















shadow compat





















Link-Codes

[global]

security = ads





idmap uid = 10000-20000

idmap gid = 10000-20000











domain master = no

local master = no


os level = 0



















D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei



































IPADDRPORT













Sicherheit

Konfiguration

Client-Usability

Flexibilitaumlt

Skalierbarkeit

7

7

8

7

6

















install




install



L








Workshop

Quell

e To

m de

Spieg

elaer

e ndash 1

23RF























DNS-Servers













Domaumlnen-Admins





see interfaces(5)


auto lo



auto eth0


address 192168178188

gateway 1921681781

netmask 2552552550

network 1921681780


[logging]


[libdefaults]


clock_skew = 300


[realms]





[domain_realm]


Directory-Domaumlne


















ITK Training


















shadow compat





















Link-Codes

[global]

security = ads





idmap uid = 10000-20000

idmap gid = 10000-20000











domain master = no

local master = no


os level = 0



















D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei























install




install



L








Workshop

Quell

e To

m de

Spieg

elaer

e ndash 1

23RF























DNS-Servers













Domaumlnen-Admins





see interfaces(5)


auto lo



auto eth0


address 192168178188

gateway 1921681781

netmask 2552552550

network 1921681780


[logging]


[libdefaults]


clock_skew = 300


[realms]





[domain_realm]


Directory-Domaumlne


















ITK Training


















shadow compat





















Link-Codes

[global]

security = ads





idmap uid = 10000-20000

idmap gid = 10000-20000











domain master = no

local master = no


os level = 0



















D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei


































DNS-Servers













Domaumlnen-Admins





see interfaces(5)


auto lo



auto eth0


address 192168178188

gateway 1921681781

netmask 2552552550

network 1921681780


[logging]


[libdefaults]


clock_skew = 300


[realms]





[domain_realm]


Directory-Domaumlne


















ITK Training


















shadow compat





















Link-Codes

[global]

security = ads





idmap uid = 10000-20000

idmap gid = 10000-20000











domain master = no

local master = no


os level = 0



















D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei

























ITK Training


















shadow compat





















Link-Codes

[global]

security = ads





idmap uid = 10000-20000

idmap gid = 10000-20000











domain master = no

local master = no


os level = 0



















D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei



















shadow compat





















Link-Codes

[global]

security = ads





idmap uid = 10000-20000

idmap gid = 10000-20000











domain master = no

local master = no


os level = 0



















D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei





























D








Workshop










































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei





















































OpenVPN in a Box






Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei

















Admin UI httpsIP-

Adresse943admin




passwd openvpn



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei



































[2] POODLE F4Z42



[5] HA-Setup F4Z45


[7] Easy-RSA F4Z47


Link-Codes










M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei





















M






















CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei



























CClusterStorage

Storage Pool

Storage Node


Network (SMB3)


























IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei


































IOsched

PolicyManager

Ratelimiters

SilverPolicy

Ratelimiters

Ratelimiters

Ratelimiters

IOsched

IOsched


Hyper-V Cluster



GoldPolicy










2016

















Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei




























Link-Codes













D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei
























D




























IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei




































IT-Risikoanalyse


und Uumlbungen


vorsorgestrategie


Notfaumlllen


Maszlignahmen















- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei


























- Organisation


















IT-Ressourcen



IT-Ressourcen








[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei



















[1] UMRA D0P81

Link-Codes


Testen Sie jetzt

sechs Ausgaben

zum Preis von drei













Unter anderem lesen Sie: Datenberge besser bewältigen · Link-Code: G6A11 VXL Instruments stellt...

Documents

Transcript of Unter anderem lesen Sie: Datenberge besser bewältigen · Link-Code: G6A11 VXL Instruments stellt...