Leseprobe - IT-Administrator

Transcrição

IT-ADMINISTRATOR.DE
Titel_Leseprobe2007.qxp
07.02.2008
12:52
Seite 1
IT-Administrator 2007 – Auszüge als Leseprobe
Im Test:
SSL-VPN-Appliances
Workshop:
Sicheres VistaDeployment im Netzwerk
Workshop:
Arbeitsweise und
Konfiguration von Xen
Workshop:
Datenbankfehler
in Exchange beheben
Workshop:
Installation und
Konfiguration von FreeNAS
Leseprobe
S06-09_ITA_1207_A01_MicrosoftServer.qxp
18.11.2007
12:22
Seite 2
AKTUELL I News
Signal-Fernverkehr
Lindy bietet im Rahmen der Produktreihe “Audio/Video-Extender Cat 5/6” zwei
neue Modelle zur Übertragung von Audio- und Videosignalen an. Für den Anschluss von Bildschirmen oder Beamern
via RGB- oder Komponentenvideosignal
bietet sich die RGB/SPDIF-Variante an.
Dieser Extender überträgt analoge RGBSignale oder Komponenten-Video sowie
digitale Audiosignale (SPDIF) auf bis zu
200 Meter über RJ45-Netzwerkkabel. Die
Übertragungsdistanzen sind dabei laut Hersteller abhängig von der Qualität und Auflösung des Ausgangssignals, der Empfindlichkeit des Empfängers sowie vom
verwendeten Netzwerkverbindungskabel.
Optimale Qualität erreichten Nutzer mit
720p/1080i-Videosignalen bis 200 Meter.
Bei geringeren Videoauflösungen könne
die Reichweite bis auf 300 Meter gesteigert werden. Sollen lediglich Videosignale
vom Typ Composite oder S-Video sowie
analoge Stereo-Audio-Signale transportiert
werden, bietet sich die S-Video/Stereo-Variante an. Dieser Extender soll S-VHS/SVideo- und Stereo-Audio-Signale über
Standard-RJ45-Netzwerkkabel (UTP oder
STP, Cat. 5/5e oder Cat. 6) bis zu einer
Länge von 600 Metern übertragen. Auch
hier ist die maximale Distanz laut Hersteller abhängig von der jeweiligen Anwendung und den verwendeten Netzwerkkabeln. Die AV-Extender werden als
komplette Einheit aus Sender und Empfänger geliefert und sind ab sofort verfügbar.
Die RGB/SPDIF-Variante kostet rund 90
Euro, die S-Video/Stereo-Audio-Version
ist für knapp 75 Euro erhältlich.
(dr)
Lindy: www.lindy.de
Übertragen Audio- und
Videosignale über bis zu 600 Meter: Die neuen
RGB/SPDIF- und S-Video/Stereo-Extender von Lindy
6
Dezember 2007
Aufpoliertes
Thin-Client-Management
Igel bringt seine Thin-Client-Managementsoftware “Remote Management
Suite” (RMS) in Version 2.07 auf den
Markt. Die neue Version verfügt über eine integrierte Java-Datenbank und soll
damit Kosten und Zeit beim Rollout der
abgespeckten Rechner sparen, indem sie
eine einfache und schnelle Installation per
Knopfdruck ermöglicht. Die Datenbank
richtet sich dabei laut Hersteller auch an
kleinere IT-Abteilungen. In umfangreichen und komplexeren Umgebungen unterstützt die Suite Datenbanken wie Microsoft SQL Server, Oracle und IBM
DB2.Auch die Integration des Active Directory, das dem Management von Zugriffsrechten dient, hat der Hersteller mit
WLAN-Router
mit Extrawerkzeugen
Buffalo Technology bietet mit dem
WHR-HP-G54DD einen WLANRouter mit DD-WRT-Support an. Bei
DD-WRT handelt es sich um ein Projekt, das WLAN-Access-Points um zusätzliche Netzwerkfunktionen wie etwa VLANs, VPN, IPv6-Suppor t,
Port-Forwarding oder Remote-Syslog
erweitert. Üblicherweise müssen Anwender die ausgebaute Firmware hierfür eigenständig in ihre WLANRouter einspielen und riskieren dabei
die Gewährleistung und Funktionsfähigkeit der Geräte. Besonders für das
Management eines kleineren BusinessNetzwerks stellt der DD-WRT-Router
laut Hersteller eine breite Palette an
Funktionen zur Verfügung, welche die
Verwaltung und Wartung unterstützen
und erleichtern sollen. Er soll unter
Sollen sich dank RMS 2.07 noch einfacher
verwalten lassen: Die Thin Clients von Igel
Version 2.07 weiter verbessert. IT-Verantwortliche können nun die Anwender
nicht mehr nur direkt aus dem Active Directory importieren, sondern auch einzelnen Gruppen Administrationsrechte
zuweisen, diese über Active Directory verwalten und innerhalb der RMS automatisch aktualisieren. Die Remote Management Suite 2.07 ist ab sofort kostenlos auf
der Herstellerseite erhältlich.
(dr)
Igel: www.myigel.com
anderem Zugangsbeschränkungen,
Fernzugriff über HTTPS, zentrale Systemüberwachung mittels Syslog sowie
das gesamte Router-Management über
Command Line ermöglichen, sodass
auch ohne Netzzugang oder bei sehr
schlechter Verbindung auf den Router
zugegriffen werden kann. Laut Buffalo kann der Administrator zudem beim
Fernzugriff über die Kommandozeile
dank SSH-Protokoll die IP-Adressen
festlegen, denen Remote-Zugang gewährt werden soll. Der Router verfügt
darüber hinaus über Wake-on-LAN,
den Netzwerk-Management-Support
SNMP sowie den RFlow-Controller
als Traffic-Monitoring-Tool. Erhältlich
ist der WHR-HP-G54DD AirStation
Wireless-G MIMO Perfor mance
Router und Access-Point mit DDWRT ab sofort für 62 Euro.
(dr)
Buffalo Technology: www.buffalo-technology.com
www.it-administrator.de
S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp
21.08.2007
13:52
Seite 2
P R O D U K T E I Ve r g l e i c h s t e s t
Im Test: SSL-VPN-Appliances
Von überall ins Firmennetz
von Josef Hübsch
Mit der zunehmenden Mobilität der Mitarbeiter und der steigenden Vernetzung der Unternehmen
untereinander wächst der Bedarf nach sicheren Zugangsmöglichkeiten zu Unternehmensdaten von
außerhalb des Firmennetzes. Sehr flexibel lässt sich dies für unterschiedliche Benutzergruppen mittels
eines SSL-VPN-Gateways realisieren. Für einfache Aufgaben und eine Handvoll Benutzer kommen
durchaus preiswerte Modelle in Frage, bei komplexen Anforderungen und steigender Benutzerzahl
lässt sich der tiefere Griff in den Geldbeutel nicht vermeiden. IT-Administrator hat
vier Modelle unterschiedlicher Leistungsklassen eingehend getestet.
och recht jung ist die SSL-VPNTechnik für den sicheren Zugriff
über das Internet auf Ressourcen und
Applikationen in einem geschützten Firmennetz. Dagegen ist die Anbindung
über IPSec, welche allerdings eine vergleichsweise komplizierte Clientkonfiguration erfordert, schon länger etabliert.
Da der Client-PC bei IPSec stets vollständig in das Firmennetz integriert wird,
ist die Nutzung beliebiger fremder Rechner praktisch ausgeschlossen und auch
viel zu riskant.
N
Weiterhin ist eine Installation der Clientsoftware beispielsweise in einem InternetCafe oder an einem Kiosk-PC gar nicht
möglich. Die SSL-VPN-Technik besitzt
diese Handicaps nicht. Statt über einen
Software-Client erfolgt der Zugriff mittels
Web-Browser, wahlweise stehen für erweiterte Zugriffsmöglichkeiten Agenten
in Form von ActiveX- oder Java-Applets
zur Verfügung. Über den Browser gelangen die Anwender auf ein Webportal, über
das sie individuell frei geschaltete Ressourcen (etwa das eigene Intranet oder
Netzwerkfreigaben) und Applikationen
wie Client-Server-Anwendungen aufrufen können.
Ein Fernzugriff auf Systeme ist per Virtual Network Computing (VNC) oder
das Remote Desktop Protokoll (RDP)
18
September 2007
beziehungsweise Citrix Terminal Services
möglich. Das SSL-VPN-Gateway dient
als Einwahlplattform, auf der die Zugriffsrechte für unterschiedliche Anwendergruppen individuell definiert werden.
So kann beispielsweise ein Administrator
von zuhause die Server kontrollieren, ein
Mitarbeiter seine E-Mails über Outlook
Web Access oder Lotus Notes lesen und
ein Angestellter einer anderen Firma einen
Zugriff auf eine Applikation zum Abgleich
von Lieferdaten durchführen. Die Zugriffsrechte sind also prinzipiell beschnitten. Ein transparenter Netzwerkzugriff ist
zwar ähnlich wie bei IPSec mittels PortForwarding oder VPN-Tunnel realisierbar, aber nur dann erforderlich, wenn jemand wirklich mit abgelegten Dateien
arbeiten muss.
Die vier getesteten SSL-VPN-Gateways
gliedern sich hinsichtlich Leistung und
auch Preis in zwei Gruppen: Die preiswerten Modelle Netgear SSL312 und Zyxel Zywall SSL 10 eignen sich für maximal 25 gleichzeitige SSL-Verbindungen.
Die Aventail EX-1600 bedient bis zu 250
Anfragen gleichzeitig, die Cisco ASA-5540
letztendlich bewältigt bis zu 2.500 gleichzeitige Verbindungen.
Aventail EX-1600
Insgesamt drei Modelle für 50 bis hin zu
2.000 SSL-VPN-Verbindungen hat Aven-
tail im Portfolio – die von uns getestete
Appliance EX-1600 kann bis zu 250 Anwender gleichzeitig bedienen.Aventail gehört zu den SSL-VPN-Pionieren und
auch die EX-1600 ist schon länger auf
dem Markt. Sie adressiert mittlere und
größere Unternehmen. Eine IPSec-VPNFunktionalität wie bei der Cisco ASA-Serie ist nicht integriert. Durch Clustering
und Load-Balancing zwischen mehreren
Geräten lässt sich bei Bedarf eine hochverfügbare Zugangsplattform realisieren.
Problemlose Konfiguration
Die Inbetriebnahme der EX-1600 gelingt
ohne Probleme. Die beiden LAN-Schnittstellen sind klar dem internen und externen Netz zugeordnet. Ein zweizeiliges
LCD-Display zeigt unter anderem die
eingestellten IP-Adressen an, was den ersten Zugriff erleichtert.Vier Navigationstasten neben dem Display erlauben ein
Umschalten der Anzeigeinhalte und das
Ändern der voreingestellten IP-Adressen.
Ist die erste Verbindung von einem PC
aus hergestellt und die so genannte “ASAP
Management Console” aufgerufen, führt
ein Assistent durch die Grundkonfiguration. Er fragt die Netzwerkeinstellungen
ab, legt die erste Ressource für einen SSLZugriff an, definiert eine dazugehörige
Zugriffsregel und trägt einen lokalen Benutzer ein, so dass im Anschluss ein erster
Funktionstest möglich ist.
21.08.2007
13:53
Seite 3
rade auf unbekannten Systemen steht optional eine virtuelle Tastatur zur Verfügung.Weiterhin bietet die Appliance einen
Secure Desktop oder leert die zwischengespeicherten Daten bei Sitzungsende.
Zur Authentisierung unterstützt die EX1600 neben einer lokalen Datenbank auch
LDAP, Radius und Active Directory.
Gruppen können zudem dynamisch mittels LDAP- und AD-Abfragen gefüllt werden. Etwas übersichtlicher könnte das Anmeldeportal für die Clients gestaltet sein –
hier hat Cisco die Nase vorn. So sind die
Verknüpfungen nicht nach Rubriken geordnet und die gesamte Optik etwas lieblos gestaltet.
Bild 1: Sehr umfassend ist die integrierte Produktpalette für die Prüfung der Clientsicherheit der EX-1600
Granulare Optionen im Betrieb
Die Appliance nutzt vier unterschiedliche Dienste für die Zugriffssteuerung der
Clients und Agenten. Der Netzwerktunneldienst übernimmt das Routing für
Applikationen und Protokolle, wie auch
Voice over IP, ICMP, Reverse-Verbindungen wie SMS oder bidirektionale Protokolle wie FTP.Auf der Clientseite kommen hierbei der “Connect Tunnel Client”
oder der “OnDemand Tunnel Agent” zum
Einsatz, die von der Appliance automatisch heruntergeladen, installiert und aufgerufen werden.
Ein Web-Proxy-Dienst übernimmt den
sicheren Zugriff auf Web-basierte Applikationen, Web-Server und Netzwerkfreigaben von einem Web-Browser
aus. Für Pocket PCs stellt Aventail einen “Connect Mobile Client” bereit,
weiterhin ist ein Java-basierter Agent
verfügbar. Der ASAP-Workplace-Dienst
steuert den Zugriff auf die eingerichteten Portal-Ressourcen. Der Netzwerk-
Proxy-Dienst letztendlich ist ein sicherer Proxy für normale Client-/ServerApplikationen, basierend auf dem Protokoll Socks v5.
Ähnlich wie bei Cisco wird auch bei der
EX-1600 die Endpunktsicherheit groß
geschrieben. Es lassen sich granulare Zugriffsrechte definieren, wobei die Appliance bei einem Zugriff zuerst einmal
prüft, ob es sich um ein bekanntes, von
der IT gemanagtes oder völlig fremdes
System wie einen Kiosk-PC handelt. Geradezu umwerfend ist die Vielzahl der hinterlegten Profile, um die verschiedensten
Produkte für Virenprüfung, SpywareSchutz und Personal Firewalls zu erkennen, wobei sich die Prüfregeln sehr einfach erstellen lassen. Dies ist etwas besser
gelungen als bei der ASA 5540.
Die EX-1600 kann gestohlene Geräte
über entsprechende Signaturen jederzeit
identifizieren und ausschließen. Zum
Schutz gegen Tastatur-Logger-Tools ge-
Überzeugend hingegen ist die breite
Client-Betriebssystem-Unterstützung –
Windows, Windows Mobile, Linux und
Macintosh auf PCs, PDAs und Smartphones sowie imode- und WAP-Geräte werden unterstützt. Indem die Appliance
ebenso wie die Cisco ASA 5540 sowohl
ActiveX-, als auch Java-basierte Agenten
benutzt, lässt sie sich mit einer Vielzahl an
Browsern einsetzen. Positiv fällt auf, dass
bereits in der Kurzanleitung recht übersichtliche Tabellen zu finden sind, welche
Nachdem die SSL-VPN-Technik darauf abzielt, einen
Zugriff von beliebigen Systemen ohne spezielle Clientinstallation zu ermöglichen, ist es wichtig zu prüfen,
dass genau diese beliebigen Systeme (Endpunkte)
nicht virenverseucht sind, Malware in das Firmennetz
einschleusen oder vertrauliche Tastatureingaben ausspionieren. Zur Vorbeugung beherrschen die meisten
SSL-VPN-Appliances verschiedene Maßnahmen, allerdings in unterschiedlicher Ausprägung.
Die beste Abschottung vom Client verspricht ein so genannter Secure Desktop. Hierbei baut ein von der Appliance herunter geladener Agent eine virtuelle Partition mit eigenem Desktop auf dem Client auf, wobei
alle Daten verschlüsselt in dieser Partition gehalten
werden. Zwischen dem lokalen und dem Secure Desktop findet kein Datenaustausch statt, außer dies ist
vom Administrator erlaubt und vom Anwender gezielt
initiiert. Im Idealfall wird bei Sitzungsende die virtuelle
Partition gelöscht und überschrieben. Auch wenn letzteres fehlschlägt, sind die Chancen, Informationen auszuspähen, sehr gering, da alles verschlüsselt ist.
Kasten 1: Traue keinem Endpunkt
September 2007
19
22.08.2007
12:05
Seite 4
Aufgabe sich am besten mit welcher Zugriffsmethode lösen lässt und wo die Vorteile liegen.
Im Test konnten wir diverse Ressourcen
wie RDP, die Bereitstellung von Webseiten und den Zugriff auf Netzwerkfreigaben einfach und zielstrebig einrichten.
Ein VNC-Zugriff ist allerdings nicht für
eine schnelle Anlage vorbereitet, es kann
aber Port-Forwarding genutzt werden.
Optional sind auch Host-Access-Module für den Zugriff auf Host-basierende
Applikationen in IBM-, Unix- und
OpenVMS-Umgebungen erhältlich, wobei “Reflection” von Attachmate als WebTerminalemulation integriert ist.
Ideal für heterogene Umgebungen
Durch die vielfältige Unterstützung verschiedenster Betriebssysteme ist die Aventail-Appliance EX-1600 für heterogene
Umgebungen bestens gerüstet, vor allem, wenn auch Hostzugriffe notwendig
sind. Ebenso wie bei der Cisco ASA 5540
wird besonderer Wert auf eine detaillierte Endpunktkontrolle gelegt. Aufgrund
ihres Preises eignet sich die Appliance
für mittlere und größere Umgebungen.
Weniger geeignet ist sie, wenn gleichzeitig auch IPSec-Verbindungen beispielsweise zu Außenstellen benötigt werden. Dies muss über ein anderes Gerät
erfolgen, SSL und IPSec zugleich unterProdukt
Appliance für den Zugriff auf Ressourcen eines Firmennetzwerkes via SSL-VPN-Verbindung
Vorteile
> Einfache Konfiguration
> Umfassende Überprüfung der Endpunktsicherheit
> Breite Betriebssystem- und Browser-Unterstützung
Nachteile
> Sehr schlichtes Einwahlportal
Hersteller
Aventail
www.aventail.de
Preis
ab 11.700 Euro für 25 Client-Lizenzen
Aventail EX-1600
20
September 2007
Bild 2: Eine Setup-Checkliste rechts in der Hauptübersicht hilft dem Administrator
beim Abarbeiten aller notwendigen Konfigurationsaufgaben
stützt nur die ASA 5540.Von der Kapazität her ist die EX-1600 auf 250 parallele Benutzer beschränkt.
Fazit
Das SSL-VPN-Gateway Aventail EX-1600
überzeugt durch eine umfassende Betriebssystemunterstützung sowie eine
mächtige und doch zugleich einfach konfigurierbare Kontrolle der Endpunktsicherheit. Die EX-1600 hinterlässt hier den
besten Eindruck im Testfeld.Ansprechender könnte allerdings das Portal gestaltet
sein. Mit bis zu 250 SSL-Verbindungen
eignet sie sich für mittlere bis größere Unternehmen. Noch mehr Leistung bietet die
EX-2500 für bis zu 2000 Verbindungen.
Cisco ASA 5540
Die ASA-5500-Serie von Cisco – ASA
steht für “Adaptive Security Appliance” –
umfasst insgesamt fünf Modelle, die wiederum in unterschiedlichen Ausprägungen als Firewall-, IPS-, Antivirus- und
SSL/IPSec-VPN-Edition verfügbar sind.
Die SSL/IPSec-VPN-Modelle wiederum beginnen bei 25 SSL-VPN-Verbindungen bis hin zu 5.000 Peers. Die getestete ASA 5540 bedient bis zu 2.500
SSL-Verbindungen und ist gleichzeitig,
wie der Name schon vermuten lässt, als
IPSec-Gateway für bis zu 5.000 Verbin-
dungen einsetzbar.Will ein Unternehmen
also mobile Mitarbeiter per SSL-VPN und
Außenstellen via IPSec anbinden, bietet
sich dieses Gateway geradezu an. Für eine
höhere Verfügbarkeit und optimale Performance unterstützt die Appliance in Verbindung mit einem zweiten Gerät Failover sowie eine VPN-Lastverteilung.
Konfiguration mit Startschwierigkeiten
Zu Beginn der Inbetriebnahme herrscht
etwas Ratlosigkeit, da die vier Schnittstellen auf der Rückseite einfach von 0
bis 3 durchnummeriert sind. Eine mit
“Mgmt” bezeichnete, räumlich etwas abgesetzte Schnittstelle ist nicht aktiviert.
Seitens Cisco ist für den Test das dritte
Interface als internes vorbereitet, nur über
dieses ist eine Konfiguration möglich.Von
der externen Schnittstelle 0 wird zur Sicherheit jeder Inbound-Verkehr geblockt.
Beim ersten Aufruf bietet die Appliance
ein Download-Fenster zur lokalen Installation des ADSM-Launchers an, mit dem
sich sehr einfach auch mehrere Geräte
steuern lassen.Wer die Schnittstellen von
der Aufgabe her grundlegend umprogrammieren und das Management auf die
eigene Managementschnittstelle legen
möchte, muss darauf achten, in einem eigenen Unterpunkt den HTTPS/ADSMZugriff entsprechend einzutragen. Hier
21.08.2007
13:53
Seite 5
BOAAH!
Alles was der Admin braucht:
Einfache Softwareverteilung,
flexibles Lizenzmanagement,
komplettes Reporting und
Raum für eigene Ideen
- zum kleinsten Preis am Markt.
Bild 3: Die Hauptseite der Administrationskonsole liefert detaillierte Informationen über die aktuelle
Last- und Nutzungssituation. Problemlos lassen sich auch mehrere Systeme administrieren
kann der Administrator einen ganzen IPBereich, aber auch nur eine dedizierte IPAdresse ermächtigen.
Wie auch bei den Modellen von Aventail
und Zyxel sind standardmäßig keinerlei
Ressourcen frei geschaltet. Sie werden für
unterschiedliche Gruppen in BookmarkListen eingetragen. Sehr übersichtlich ist
dabei, dass über die URL-Bezeichnung
der gewünschte Dienst spezifiziert wird.
So definiert eine URL rdp://server1.it.lokal eine Remote-Desktop-Verbindung zur
angegeben Adresse und die URL cifs://server2.it.lokal/freigabe1 wird als Freigabe
umgesetzt. Je nach genutztem Browser erfolgt die Bereitstellung mittels ActiveXoder Java-Applet, so dass hier eine breite
Unterstützung gegeben ist.
Umfassende Endpunktsicherheit
Der SSL-Zugriff kann entweder rein
Browser-basierend oder über den Cisco
AnyConnect Client erfolgen, der von der
Appliance heruntergeladen wird, je nach
Betriebssystem via ActiveX oder Java. Der
Client baut einen Tunnel auf, um dem Anwender vollen Zugriff zu ermöglichen.
Um eine geringe Latency zu erreichen,
wird hier das DTLS-Protokoll genutzt, was
auch Voice over IP und TCP-basierenden
Zugriff auf Applikationen ermöglicht.
Hinsichtlich der Endpunktsicherheit bietet die Appliance ein ganzes Portfolio an
Möglichkeiten. So wird die Integrität der
Endpunkte hinsichtlich installierter Service-Packs,Antivirus-Software und Personal Firewall geprüft. Um fremde und
firmeneigene Systeme sicher zu unterscheiden, kann die Appliance auf bestimmte Wasserzeichen in Form von Registry-Einträgen, Dateien mit bestimmter
CRC32-Prüfsumme, Zertifikate und Anmeldung aus vorgegebenen Adressbereichen prüfen. Implementiert ist wie bei
den anderen Testkandidaten auch ein Cache Cleaner, um die Sitzungsdaten am
Ende zu löschen.
Noch mehr Sicherheit bietet aber der
Secure Desktop. Hierzu erstellt das Produkt eine virtuelle Windows-Partition
mit einem eigenen Desktop, in der der
Anwender arbeitet. Ein Umschalten zwischen dem lokalen und virtuellen Desktop ist dabei allerdings jederzeit möglich. Alle Daten wie Passworte, herunter
geladene Dateien, die Surfhistorie, Cookies und gecachte Dateien werden verschlüsselt in diese Partition geschrieben.
Am Ende der Sitzung wird die Partition gelöscht und überschrieben.Weiterhin prüft die Appliance auf Tools, die Tastaturanschläge mitschreiben und warnt
•
•
•
•
•
•
Inventarisierung
Clientmanagement
Lizenzmanagement
Softwaredistribution
Virenschutzkontrolle
Remote-Control
Informationen und Vollversion
unter www.aagon.de oder
Gratis-CD anfordern:
[email protected]
21.08.2007
13:53
Seite 6
Fazit
Insgesamt ist die ASA 5540 eine sehr leistungsfähige SSL-VPN-Appliance, die sich
in weiten Bereichen einsetzen lässt. Gut
ist die breite Browser- und Client-Betriebssystem-Unterstützung, da alle Dienste sowohl über Java als auch über ActiveX angeboten werden. So kann die
Appliance entsprechend der Randbedingungen agieren. Funktional komplex ermöglicht die übersichtliche Administrationskonsole dennoch eine erfreulich
einfache Konfiguration. Letztendlich lässt
die ASA 5540 keine Wünsche offen.
Netgear SSL312
Bild 4: Die IP-Adressen der Systeme, die die ASA 5540 administrieren dürfen, sind je nach Bedarf beliebig
einschränkbar. Dies erschwert Unberechtigten den Zugriff auf die Konfiguration
den Anwender, sobald innerhalb der sicheren Umgebung ein verdächtiges Programm agiert.
Vielfältig sind die Authentifizierungsmöglichkeiten. Der Administrator kann
zwischen Radius-Server mit und ohne
Einmalpasswort, RSA SecurID,Active Directory, Smartcard, LDAP mit und ohne
Passwortablauf sowie eine kombinierte
Anmeldung mit Zertifikat, Benutzername und Passwort wählen. Unterstützt
werden auch Single Sign On und eine
virtuelle Tastatur.
Trotz der Komplexität der ASA 5540 macht
die Administrationsoberfläche einen aufgeräumten und übersichtlichen Eindruck. Die
Navigation erfolgt über ein strukturiertes
Menü, wobei zwischen den SSL- und IPSec-Funktionen deutlich getrennt wird.
Etwas für die Großen
Die ASA 5540 eignet sich ideal für große Unter nehmen, die bis zu 2.500
gleichzeitige SSL-VPN-Verbindungen
und außerdem IPSec-VPN benötigen.
Ist der Bedarf an Verbindungen geringer,
so bieten sich eher die etwas kleineren
22
September 2007
Modelle der ASA-5500-Serie an – hier
wäre die ASA 5540 überdimensioniert
und letztlich zu teuer.Vor allem, wenn
oft von unbekannten Systemen, wie sie
in Kiosk-PCs oder Internet Cafes zu finden sind, eine SSL-VPN-Verbindung
aufgebaut werden soll, ist die ASA 5540
aufgrund des implementierten Secure
Desktop prädestiniert.
Produkt
Appliance für den Zugriff auf Ressourcen eines
Firmennetzwerkes via SSL-VPN-Verbindung
Vorteile
> Umfassende Überprüfung der Endpunktsicherheit
> Gute Skalierbarkeit
> Optisch gut gelungenes Einwahlportal
> Unterstützt auch IPSec-VPN-Verbindungen
Nachteile
> Etwas umständlicher Einstieg in die Konfiguration
Hersteller
Cisco
www.cisco.com
Preis
12.600 Euro (inklusive 5.000 IPSec- und
2.500 SSL-VPN-Lizenzen)
Cisco ASA 5540
Ähnlich wie die Appliance Zywall SSL
10 ist die SSL312 für kleinere und mittlere
Firmen gedacht, es können gleichzeitig
maximal 25 SSL-Verbindungen gehostet
werden.Als reines SSL-Gateway kann das
Gerät entweder als Brückenkopf mit einem LAN-Interface oder in einer DMZ
mit zwei Schnittstellen betrieben werden.
Der Internetzugang muss über einen anderen Router mit Firewall erfolgen. Im
Test konfigurieren wir die SSL312 für den
Betrieb mit zwei Interfaces.
Konfiguration mit Risiken
Aufgrund einer weitgehenden Vorkonfiguration ist die Inbetriebnahme in wenigen Minuten erledigt.Allerdings hilft hierbei kein Assistent, sondern wir mussten
in unserem Test im Handbuch oder in der
Online-Hilfe nachlesen. Sind die beiden
IP-Adressen angepasst und neben dem
Admin-Acount noch ein weiterer Benutzer angelegt, kann der erste Verbindungstest erfolgen. Überraschend stellten
wir dabei fest, dass Netgear bei den beiden
Interfaces nicht in LAN und WAN beziehungsweise intern und extern unterscheidet. Wir können uns von beiden
Seiten als Administrator anmelden, was
letztendlich ein potentielles Sicherheitsloch darstellt.
Weiterhin ist im Gegensatz zu den drei
anderen Testkandidaten in der Grundeinstellung alles erlaubt und nichts verboten.
Ein angemeldeter Benutzer kann also so-
fort einen VPN-Tunnel aufbauen, auf
Freigaben zugreifen oder RDP nutzen,
sofern er die IP-Adresse eines hinter dem
Gateway befindlichen Servers kennt. Im
produktiven Einsatz ist es daher zuerst erforderlich, alle nicht gewünschten Dienste zu sperren. Hierzu sind die einzelnen
Dienste wie RDP, VNC, FTP,Telnet, SSH
und VPN-Tunnel oder alle zusammen als
Netzwerkressource anzulegen und dann
über eine globale Regel zu verbieten.Weiterhin ist es am besten, auf dem StandardPortal alle nicht benötigten Seiten und
Dienste abzuwählen. Beim Durchreichen
von Freigaben zeigt das Gateway über eine Browsing-Funktion ebenfalls alle verfügbaren an, es werden nicht wie bei den
anderen Testkandidaten nur einzelne Freigaben bereit gestellt.
Transparenter Zugriff aufs Netzwerk
In der SSL312 sind mehrere TerminalDienste für die verbreiteten Windowsund Office-Anwendungen vorbereitet.
So lässt sich einfach eine Terminal-Sitzung einrichten, bei der sofort die gewünschte Applikation gestartet wird.
Nicht implementiert sind Reverse-Proxies für Webseiten, hier bietet sich alternativ das Port-Forwarding an. Einfacher
wird der Zugriff für Anwender dadurch,
dass sich im Router für das Port-For-
21.08.2007
13:54
Seite 7
warding eine Namensauflösung hinterlegen lässt, so dass sich niemand die IPAdressen merken muss.
Weitreichende Zugriffsmöglichkeiten erlaubt die Funktion des VPN-Tunnels.
Hierbei bekommt der Client per ActiveX-Applet einen virtuellen Netzwerkadapter installiert, mit Hilfe dessen ein
Tunnel eingerichtet wird. So erhält der
Client transparenten Zugriff auf das Netzwerk auf der anderen Seite des Gateways
und kann dort auf Freigeben und andere
Ressourcen zugreifen.
Für den Zugriff durch mehrere Benutzergruppen unterstützt das Gerät das Anlegen mehrerer Portale mit unterschiedlichen URLs. Die Anmeldefenster lassen
sich durch individuelle Titel und Banner
sogar etwas personalisieren. Die Dienstekonfiguration erfolgt für jedes Portal getrennt, um auf diese Weise jeder Gruppe
nur die benötigten Dienste zuzuweisen.
Für jedes Portal ist eine eigene Domäne
zur Authentifizierung anzulegen – neben
einer lokalen Benutzerdatenbank unterstützt das Gerät auch Radius, LDAP, NT
Domänen und Active Directory.
BOAAH!
Über 400 Queryfields,
mehr als 170 Befehle,
4 Scriptsprachen zur Auswahl und
trotzdem die am einfachsten zu
bedienende Clientmanagement
Lösung am Markt.
Als einziges Gerät im Test überprüft die
SSL312 keine Endpunktsicherheit. Kiosk-
•
•
•
•
•
•
Bild 5: Gefährlich: Standardmäßig sind bei der SSL312 alle Dienste und Funktionen aktiviert
Inventarisierung
Clientmanagement
Lizenzmanagement
Softwaredistribution
Virenschutzkontrolle
Remote-Control
Informationen und Vollversion
unter www.aagon.de oder
Gratis-CD anfordern:
[email protected]
21.08.2007
13:54
Seite 8
alle nicht benötigten Dienste sperren sowie das Portal entsprechend anpassen
muss. Ein voller Netzwerkzugriff ist möglich, dieser lässt sich dann aber nicht auf
einzelne Freigaben beschränken.
Zyxel Zywall SSL 10
Bild 6: Die Bereitstellung von Applikationen via Terminaldiensten oder RDP ist bei der SSL312 weitgehend vorbereitet
PCs und Zugriffe aus dem Internet-Cafe werden also ohne weiteren Check zugelassen. Allenfalls lässt sich die Anmeldung auf bestimmte IP-Adressen oder
Adressbereiche beschränken. Letzten Endes ist es hier überaus wichtig, auf anderem Wege dafür zu sorgen, dass die Systeme der Personen, die den SSL-Zugang
nutzen, hinsichtlich Virenscanner, Firewall und Patchmanagement auf aktuellem Stand sind.
Positiv fällt auf, dass die SSL312 sehr flott
arbeitet, es nerven keine langwierigen Anund Abmeldungen. Der Web-Cache des
Clients wird je nach Portalkonfiguration
optional geleert. Da die SSL312 beim
Port-Forwarding und bei den VPN-Tunnels ausschließlich auf ActiveX setzt, wird
im Windows-Umfeld nur der Internet
Explorer unterstützt.Auf Macintosh-Systemen installiert die Appliance eine eigene Tunnelsoftware, geeignet für die Zusammenarbeit mit Apple Safari.
Eher geeignet
für kleinere Umgebungen
Aufgrund der Beschränkung auf 25
gleichzeitige SSL-Sitzungen adressiert die
Netgear SSL312 in erster Linie kleine und
mittlere Unternehmen. Durch das Anlegen mehrerer Portale ist das Gateway auch
für den Zugriff durch mehrere Benutzergruppen geeignet. Da eine Prüfung der
Endpunktsicherheit nicht integriert ist,
sollten andere Mechanismen dafür sorgen, dass sich die Clients auf aktuellem
Konfigurationsstand befinden. Ist ein Un-
24
September 2007
ternehmen darauf angewiesen, dass die
Mitarbeiter im Außendienst auch aus Internet-Cafes und von Kiosk-PCs Verbindung aufnehmen, halten wir die SSL312
für ungeeignet. Falls abzusehen ist, dass
mehr als 25 Benutzer gleichzeitig zugreifen müssen, sollte ebenfalls ein anderes
Produkt gewählt werden, denn die
SSL312 ist diesbezüglich nicht skalierbar.
Fazit
Für einfache Einsatzszenarien und vergleichsweise wenige Anwender mit Windows- oder Macintosh-Systemen ist die
Netgear SSL312 durchaus eine preisgünstige und interessante Alternative. Zu
beachten ist, dass das Gateway nach der
sehr einfachen Grundkonfiguration sehr
offen arbeitet und der Administrator zuerst
Produkt
Vorteile
> Einfache Ressourcenbereitstellung
Nachteile
> Keine Überprüfung der Endpunktsicherheit
> Alle Dienste nach Erstkonfiguration offen
> Keine Java-Unterstützung für einen Tunnelaufbau
Hersteller
Netgear
www.netgear.de
Preis
480 Euro bei 25 Client-Lizenzen
Netgear SSL312
Mit der recht neuen “Zywall SSL 10” verfolgt Zyxel den Gedanken einer All-inOne-Lösung, denn das Gerät ist als eigenständiger DSL-Router mit
PPPoE-Zugangsdaten konfigurierbar. Eine kleine Firma kann damit gleichzeitig
den DSL-Zugang realisieren, ohne weitere Komponenten zu benötigen. Standardmäßig ist die Freischaltung für 10
gleichzeitige SSL-Verbindungen enthalten, eine Erweiterung auf bis zu 25 Verbindungen ist möglich. Alternativ ist der
Betrieb in einer DMZ vorgesehen, wobei der Internetzugang dann über ein anderes Gateway erfolgt.
Übersichtliche Konfiguration
Die Inbetriebnahme der Zywall SSL 10
bereitet keine Probleme, erinnert das Gerät doch sehr an einen herkömmlichen
DSL-Router. Es besitzt einen WAN-Port
für die Internet-seitige Anbindung und
intern einen 4-Port-Switch. Alle Ports
sind für 100 MBit/s ausgelegt. Bei der
Konfiguration ist zuerst die grundsätzliche Arbeitsweise entweder am DMZPort eines anderen Gateways oder als eigenständiges Gateway festzulegen. Dann
fragt uns ein Assistent alle notwendigen
IP-Daten ab und verlangt das Anlegen
von mindestens einem Benutzer für den
Portalzugriff.
Gut gelungen ist die grafische Unterstützung, das abgefragte Element ist immer
fett in der Grafik markiert mit einem
schematischen Kommunikationsfluss, in
dem stets die angesprochene Komponente oder Verbindung fetter gezeichnet ist.
Parallel führt eine deutsche Kurzanleitung
durch die Konfiguration. Der Assistent
übernimmt auch die Registrierung der
Firewall beim Hersteller, sofern ein Internetzugriff gegeben ist und hilft bei der
Einrichtung einer ersten SSL-VPN-Zu-
griffsregel, so dass wir nach dem Abschluss
bereits einen ersten Verbindungstest durchführen können.
Besondere Java-Ansprüche
und wenig Auswahl
Die ersten Verbindungstests zeigen bereits,
dass die Zywall SSL 10 einige Ansprüche
an den Client stellt. So ist es wichtig, den
DNS-Namen der SSL 10 am DNS-Server
zu hinterlegen, da ein Zugriff über die IPAdresse mit einem Hinweis abgelehnt
wird. Weiterhin ist auf dem Client eine
aktuelle Java-Version erforderlich, die aber
bei der getesteten Firmware wiederum
nicht zu neu sein darf. So wird die ganz
aktuelle Java-Version 1.6 noch nicht unterstützt, irritierend ist der Hinweis, doch
bitte eine neuere Version einzuspielen. Ohne das richtige Java-Applet ist ein Zugriff
nicht möglich, eine Ausnahme ist nicht
vorgesehen. Hintergrund ist, dass die Appliance über dieses Applet – wie auch die
großen Modelle von Aventail und Cisco –
die Endpunktsicherheit kontrolliert. Hierzu gehören das Feststellen der Browserund Windows-Version, darüber hinaus, ob
ein Virenscanner und eine Firewall aktiv
sind, sowie, ob bestimmte Windows Ser-
21.08.2007
13:55
Seite 9
vice Packs oder Hotfixes sowie eine bestimmte Browserversion installiert sind.
Allerdings unterstützt die Zywall SSL 10
bei der Firewall- und Antivirus-Prüfung
nur die Produkte von Norton und McAfee, lange Auswahllisten wie bei Aventail
suchten wir vergebens.
Weiterhin fällt das teilweise recht träge Verhalten des Gateways bei der Clientanmeldung auf. Auch nach einer Sitzung dauert
eine Abmeldung, bei der alle Cacheinhalte
geleert werden, durchaus mehrere Minuten, wobei der Eindruck entsteht, der Webbrowser hätte sich aufgehängt. Plötzlich erscheint dann wieder die Anmeldemaske.
Gelegentlich hängt sich der Browser tatsächlich auf, dann hilft nur noch das Beenden des Prozesses über den Task-Manager.
Die Zywall SSL 10 orientiert sich im
Gegensatz zur Netgear SSL312 von den
Zugriffsrechten her an den großen Modellen, indem erst einmal jeglicher
Durchgriff gesperrt ist. Jede Applikation
und jede Freigabe muss extra frei geschaltet werden. Dabei ist abgesehen von
einem Zugriffsrecht eines Benutzers die
Applikation auch noch in einer Firewall-
Worüber
Administratoren
morgen reden
Sichern Sie sich den
E-Mail-Newsletter des
IT-Administrator und
erhalten Sie Woche für
Woche die
> neuesten TIPPS & TRICKS
> praktischsten TOOLS
> interessantesten WEBSITES
> unterhaltsamsten GOODIES
sowie einmal im Monat
die Vorschau auf die
kommende Ausgabe des
IT-Administrator!
Jetzt einfach und kostenlos
bestellen unter:
Bild 7: Die Administrationsoberfläche der Zywall SSL 10 ist übersichtlich gestaltet, es müssen aber auch
viel weniger Optionen und Informationen untergebracht werden, wie bei den Modellen von Aventail und Cisco
www.it-administrator.de/newsletter
21.08.2007
13:55
Seite 10
der getesteten Version 1.00 noch als etwas
problematisch, da beispielsweise zu neue
Java-Versionen auf den Clients nicht akzeptiert werden. Auch eine bessere Performance bei der An- und Abmeldung
ist wünschenswert. Die Basissicherheitseinstellungen überzeugen, da kein
Durchgriff möglich ist, der nicht explizit
eingerichtet wird.
Produkt
Vorteile
> Ansprechendes Einwahlportal
> Überprüfung der Endpunktsicherheit
> Optionales Einmalpasswort-System
Nachteile
> Nur Java-Support (kein ActiveX)
> Einwahl mit aktueller Java-Version nicht möglich
> Im Betrieb gelegentlich etwas träge Reaktion des
Portals
Bild 8: Die Clientüberprüfung ist hinsichtlich der Überprüfung von Firewall und
Antivirensoftware auf sehr wenige Produkte beschränkt
Regel freizugeben. Mit Hilfe von Regeln lassen sich Benutzer, Anforderungen an die Clientsicherheit sowie frei geschaltete SSL-Applikationen verbinden,
so dass beispielsweise abhängig von der
Clientsicherheit nur bestimmte Applikationen erreichbar sind.
Die Benutzerverwaltung mit Gruppierung kann lokal in der Firewall erfolgen,
weiterhin stehen eine Authentisierung
per Active Directory, LDAP und Radius-Server zur Verfügung. Ganz neu soll
es auch ein Einmalpasswortsystem mit
einem Zyxel-Token geben, was aber zum
Testzeitpunkt noch nicht verfügbar war.
Der Zugriff auf eine Webseite sowie auf
Freigaben mittels eines SSL-VPN-Tunnels klappte sehr gut. Die Nutzung einer Fernsteuerung wie VNC oder RDP
erfolgt mittels Port-Forwarding, was von
der Bedienung her etwas gewöhnungsbedürftig ist. Klickt ein Anwender auf
einen entsprechenden Portaleintrag, so
erhält er nur einen Hinweis, am Client
die entsprechende Applikation zu star-
26
September 2007
ten und eine lokale Adresse mit angehängter Portangabe wie 127.0.0.2:3389
für eine RDP-Sitzung einzugeben.
Einstiegslösung
Das SSL-VPN-Gateway Zywall SSL 10
eignet sich gut als Einstiegslösung für bis
zu zehn gleichzeitige SSL-Verbindungen,
optional noch für bis zu 25 Verbindungen.
Es ist aber nicht weiter skalierbar und
kommt somit für größere Unternehmen
kaum in Frage. Durch eine ordentliche
Endpunktkontrolle eignet es sich auch für
die Anmeldung mit unbekannten beziehungsweise öffentlichen Systemen wie
Kiosk-PCs und Clients in Internet Cafes.
Fazit
Zyxel bietet mit der Zywall SSL 10 eine
gute All-in-One-Lösung für kleine bis
mittlere Unternehmen. Wichtig ist die
Prüfung der Endpunktsicherheit, auch
wenn hier hinsichtlich der prüfbaren Versionen von Antivirus- und Firewall-Produkten relativ enge Grenzen gesetzt sind.
Insgesamt erweist sich die Firmware in
Hersteller
Zyxel
www.zyxel.de
Preis
425 Euro für 10 Client-Lizenzen
Zyxel Zywall SSL 10
Der Gesamteindruck
Grundsätzlich ist zu berücksichtigen, dass
die beiden preiswerten Kandidaten von
Netgear und Zyxel sowie die eher hochpreisigen Modelle von Aventail und Cisco
für unterschiedliche Anforderungen hinsichtlich der Unternehmensgröße gedacht
sind. Ein sehr wichtiger Aspekt ist die Prüfung der Endpunktsicherheit, gerade, wenn
Personen von fremden PCs aus zugreifen
sollen, deren Konfiguration unbekannt ist.
Dies ist bei der Netgear SSL312 gar nicht
vorgesehen, während die Zywall SSL 10
bereits eine recht ordentliche Kontrolle integriert hat.Allerdings werden nur sehr wenige Antiviren- und Firewall-Produkte unterstützt. Die beiden Appliances von Aventail
und Cisco sind hier deutlich flexibler, außerdem bieten sie einen Secure Desktop,
um die SSL-VPN-Sitzung optimal von der
21.08.2007
13:55
Seite 11
lokalen Konfiguration abzuschotten. Insgesamt am besten gefällt die breite Produktunterstützung der EX-1600.
Cisco setzen sowohl auf Java, als auch auf
ActiveX und unterstützen damit die meisten Browser.
Auch wenn die meisten Anwender den
Internet Explorer nutzen dürften, reicht
das in einer heterogenen Umgebung in
der Praxis nicht. Netgear unterstützt nur
ActiveX, was den Anwender auf den Internet Explorer und Apple Safari beschränkt. Etwas flexibler ist hier die Zywall SSL 10 durch eine universeller
nutzbare Java-Unterstützung.Aventail und
Will sich der Administrator über den Betriebszustand der Appliances informieren,
so erhält er bei der SSL312 und der Zywall
10 nur wenige Informationen, sie beschränken sich auf eine Handvoll Daten wie
Speicher- und CPU-Last, Flash-Belegung,
Laufzeit sowie die Anzahl der aktiven Benutzer. Die optische Darstellung ist bei der
Zywall 10 etwas besser gelungen. Bei der
EX-1600 werden die angemeldeten Benutzer sowie die genutzten Bandbreiten am
Eingang und Ausgang grafisch mit einer
Historie von einer Stunde angezeigt, was
eine gute Beobachtung der Auslastung erlaubt. Bei der ASA 5540 kommen noch
Diagramme für CPU- und Speicherlast hinzu, allerdings beschränkt sich hier die
Historie auf fünf Minuten. Und da sich
schließlich auch Admins über ansprechend
gestaltete Oberflächen freuen dürften, kann
hier die ASA 5540 punkten. Sie bietet das
mit Abstand attraktivste Portal. (dr)
SSL-VPN-Router im Vergleich
Netgear SSL312
Zyxel Zywall SSL10
Aventail EX-1600
Cisco ASA 5540
Prüfung der Clientkonfiguration
0
5
10
8
Skalierbarkeit
5
5
7
10
Browsersupport
5
6
9
9
Portalgestaltung
7
6
5
9
Status und Logging
5
6
9
9
Preis
480 Euro
425 Euro
11.700 Euro
12.600 Euro
0 = Nicht vorhanden 1 = Sehr schlecht 10 = Sehr gut

5$'0,1 ZZZUDGPLQFRPUDGPLQ
hEHUVFKDOO)HUQVWHXHUXQJ
5$'0,1LVWHLQH]XYHUOlVVLJHXQGVLFKHUH6RIWZDUH/|VXQJIU&RPSXWHU
)HUQVWHXHUXQJ6LHHUP|JOLFKWGLH%HGLHQXQJXQGhEHUZDFKXQJYRQHQWIHUQWHQ
5HFKQHUQVRDOVRE6LHGLUHNWYRULKQHQVLW]HQ5$'0,1LVWQDFKZHLVOLFKXQJODXEOLFK
VFKQHOOOHLFKW]XOHUQHQXQGHLQIDFKLQGHU+DQGKDEXQJ5$'0,1LVWHLQHNRPSOHWWH
)HUQVWHXHUXQJVO|VXQJXQGYHUIJWEHUDOOHQRWZHQGLJHQ)XQNWLRQHQ'XUFK
GLH(LQIKUXQJGHU'LUHFW6FUHHQ7UDQVIHU7HFKQRORJLHVHW]WGLH5$'0,1
)HUQVWHXHUXQJV6RIWZDUHHLQHQQHXHQ,QGXVWULHVWDQGDUG
+DXSWHLJHQVFKDIWHQ
6SH]L¿NDWLRQHQGHU
hEHUVFKDOO0DVFKLQH
6LFKHUKHLWQDFK0LOLWlUVWDQGDUGV
/HLVWXQJ
9ROOVWlQGLJLQV%HWULHEVV\VWHPLQWHJULHUWH176LFKHUKHLWPLW
17/0Y$XWKHQWL¿]LHUXQJ
,3)LOWHU]XU%HVFKUlQNXQJYRQ=XJULIIHQYRQDXHQDXI
IHVWJHOHJWH,3$GUHVVHQXQG1HW]ZHUNH
6HUYHU.HQQZRUWVFKXW]
)RUWVFKULWWOLFKHELW$(6.RGLHUXQJIUDOOHJHVHQGHWHQXQG
HPSIDQJHQHQ'DWHQ
$XWKHQWL¿]LHUXQJDXI%DVLVGHV'LI¿H+HOOPDQ
6FKOVVHODXVWDXVFKVPLW%LW6FKOVVHOQ
.HUEHURV8QWHUVWW]XQJ
'HQ3URJUDPPFRGHEHUZDFKHQGHV$EZHKUV\VWHPJHJHQ
9HUlQGHUXQJHQYRQDXHQ
,QWHOOLJHQWHU6FKXW]YRU.HQQZRUWHUPLWWOXQJ
6FKXW]YRUIHKOHUKDIWHQ6HUYHUHLQVWHOOXQJHQ
(U]HXJXQJYRQHLQGHXWLJHQSULYDWHQ6FKOVVHOQIUMHGH
9HUELQGXQJ
hEHUVFKDOO*HVFKZLQGLJNHLWLP/$1GXUFKKRKH
%LOGVFKLUP$XIIULVFKXQJHQSUR6HNXQGH
0LQGHVWHQV%LOGVFKLUP$XIIULVFKXQJHQSUR6HNXQGH
PLW0RGHP
7ULHEZHUN'LUHFW6FUHHQ7UDQVIHU
*HZLFKW0%\WH
5HLFKZHLWHXQEHJUHQ]W
$XVUVWXQJ
'LYHUVHV
.HLQHUDQGHUHQ,QGXVWULHO|VXQJLVWMHHLQYHUJOHLFKEDUHU
'XUFKEUXFKJHOXQJHQ
%LOGVFKLUP$XIIULVFKUDWHPLWhEHUVFKDOOJHVFKZLQGLJNHLW
1LHGULJVWH3UR]HVVRUEHODVWXQJ
1LHGULJVWH1HW]ZHUNEHODVWXQJ
8OWLPDWLYH6LFKHUKHLWVVWDQGDUGV
3UHLVNODVVH
7\S0HKU]ZHFNhEHUVFKDOO)HUQVWHXHUXQJ
+HUVWHOOHU)DPDWHFK
'HVLJQ'PLWU\=QRVNR
(UVWÀXJ0lU]
(LQIKUXQJ)HEUXDU
6WDWXV,PDNWLYHQ(LQVDW]
+HUJHVWHOOWH(LQKHLWHQ0LOOLRQHQ
.HUQQXW]HU)RUWVFKULWWOLFKH8QWHUQHKPHQZHOWZHLW
6WFNSUHLV(XUR
(LQVDW]KLVWRULH
DOOHU³)RUWXQH´8QWHUQHKPHQ
(XURSD
$VLHQ
1RUGXQG6GDPHULND
$XVWUDOLHQXQG2]HDQLHQ
$IULND
7\SLVFKHU.DPSIHLQVDW]
6LFKHUH7H[WXQG9RLFH&KDW)XQNWLRQHQ
'DWHQEHUWUDJXQJ)UDFKWWUDQVSRUW
7HOQHWXQGZHLWHUHQW]OLFKH7RROV
8QVHUGHXWVFKHU3DUWQHU
,Q6\VW*PE+
+DOVNHVWU
5DWLQJHQ
7HO±
)D[±
(0DLOUDGPLQ#LQV\VWGH
:HEZZZUDGPLQGH
*URXQWHUQHKPHQ
.OHLQHXQGPLWWHOVWlQGLVFKH8QWHUQHKPHQ
$QELHWHUYRQWHFKQLVFKHP6XSSRUW
7HOHDUEHLW
%LOGXQJVHLQULFKWXQJHQ
+HLPDUEHLWVSODW]
)DPDWHFK,QWHUQDWLRQDO&RUS
5HPRWH$GPLQLVWUDWRUXQG5DGPLQVLQGUHJLVWULHUWH:DUHQ]HLFKHQYRQ)DPDWHFK
S44-47_ITA_0208_P06_EAZSonderheft.qxp
22.01.2008
12:05
Seite 5
Bestellen Sie jetzt
das erste IT-Administrator
Sonderheft!
148 Seiten Praxis-Know-how
+ DVD mit über 100 Admin-Tools
zum Abonnenten-Vorzugspreis* von
nur € 29,90!
* IT-Administrator Abonnenten erhalten das Sonderheft für € 29,90.
Nichtabonnenten zahlen € 34,90.
Liefertermin:
20. Februar 2008
Mehr Informationen und ein Onlinebestellformular finden Sie auch hier
www.it-administrator.de/kiosk/sonderhefte/
Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252
Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand)_________________________________
und bestelle das IT-Administrator Sonderheft I/2008 inklusive DVD zum Abonnenten-Vorzugspreis von
nur € 29,90 inkl. Versand und 7% MwSt.
Ja, ich bestelle das IT-Administrator Sonderheft I/2008 inklusive DVD zum Preis von € 34,90 inkl. Versand und 7% MwSt.
Der Verlag gewährt mir ein Widerrufsrecht. Ich kann meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angaben
von Gründen widerrufen.*
Ich zahle
per Bankeinzug
Firma:
Geldinstitut:
Kto.:
oder
Name, Vorname:
BLZ:
per Rechnung
So erreichen Sie unseren
Vertrieb, Abo- und
Leserservice:
Leserservice IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
[email protected]
Diese und weitere Aboangebote
finden Sie auch im Internet
unter www.it-administrator.de
Abos und Einzelhefte
gibt es auch als E-Paper
Straße:
Land, PLZ, Ort:
Datum:
Tel:
Unterschrift:
E-Mail:
* Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville.
Inselkammerstraße 1
D-82008 Unterhaching
Tel: 089-4445408-0
Fax: 089-4445408-99
Geschäftsführung:
Anne Kathrin Heinemann
Matthias Heinemann
Amtsgericht München HRB 151585
S33-38_ITA_0607_P01_terrashop_ EAZ_Sinn_EAZ.qxp
22.05.2007
12:57
Seite 1
PRAXIS I Workshop
Sicheres Vista-Deployment im Netzwerk
Verschlüsseltes Vista
verschlüsselt verteilen
von Andreas Roscher
Vista verschlüsselt in zehn Minuten zu verteilen, macht den Traum vom Umstellen ohne anzustehen wahr.
Ist dieses Ziel erreicht, lassen sich Helpdesk-Anfragen problemlos mit Neuinstallationen beantworten,
sofern es nicht darum geht, Bedienfehler beim Schreiben von Briefen zu beheben. IT-Administrator
zeigt Ihnen in diesem Workshop, wie Sie das verschlüsselte Vista verschlüsselt verteilen.
ine Installation von Vista n-mal individualisiert zu verteilen ist zurzeit
das aktuelle Ziel vieler Schulungsunternehmen. Was dort in einem Schulungsraum abläuft, ist de facto ein Proof of Concept für eine Vista-Umstellung in einer
Firma. Kommt dann noch der Einsatz verschlüsselter Partitionen ins Spiel, ist ein
universeller Ansatz notwendig, der für jedes Vista-Deployment anwendbar ist.
E
Das Strategiespiel beginnt mit einer leeren
Festplatte und der Frage nach einer Instanz,
die in der Lage ist, die gewünschten Installationen durchzuführen. Microsoft bietet
Windows PE an, um Vista ohne Einlegen
der Installations-DVD auf einen Rechner
zu verteilen. Diesem Artikel liegt die Verwendung der Software “Open Management Architecture“ (OMA) zugrunde. Die
verwendeten Dienste und Windows-Befehle stehen allerdings auch beim Einsatz
von Microsoft SMS, NetInstall,ASDIS oder
Microsoft-Vista-Images zur Verfügung.
Letztlich lässt sich der SSH auch manuell
installieren und die Verschlüsselungskommandos über eine cmd-Datei einsetzen.
Um Vista in der geplanten Zeit zu verteilen, erstellen wir zuerst eine Musterinstallation. Um das Muster beliebig oft zu verteilen, neutralisieren wir das Muster. Dazu
schalten wir alle Netzwerkkarten ab und
richten eine Installationskennung ein. Die-
se Kennung individualisiert Vista beim ersten Booten des Systems entsprechend der
noch zu treffenden Festlegungen.
Die Freischaltung automatisieren
Vista in der normalen Lizenzierung müssen Sie pro Rechner freischalten. Das erfolgt mit dem Programm slmgr.vbs unter
Verwendung diverser Optionen. Das Freischalten der Musterinstallation muss auf
jeden Fall erfolgen. Jede Vista-Installation
hat eine Installations-ID, die das Programm slmgr.vbs anzeigt.
slmgr.vbs -dti
Mit dieser ID haben Sie entweder per Internet oder per Telefon Zugriff auf die
Aktivierungs-ID. Liegt die AktivierungsID vor, können Sie die Lizenz aktivieren.
geändert hat. Sie haben dann drei Tage
Zeit, die Aktivierungs-ID zu beziehen
und eine korrekte Freischaltung vorzunehmen. Mit dem Programm slmgr.vbs lässt
sich auch der Produkt-Key ändern. Somit stehen alle Optionen zur Verfügung,
um beim ersten Booten von Vista die
richtigen Lizenzen und Freischaltungen
bei Bedarf automatisch zu laden ohne sofort eine serverbasierte firmeninterne Lizenzfreischaltung einzurichten.
Partitionierung für ein
flexibles, unverschlüsseltes Vista
Da sich die Anforderungen der Individualisierung von Vista jederzeit ändern können, müssen wir ein Weg finden, die Individualisierungsdaten dem verschlüsselten
Vista zu übergeben. Der DHCP-Dienst ist
nur bedingt geeignet, da dieser nur sehr
wenige Informationen verarbeitet. Und
slmgr.vbs -atp aktivierungs_id
Zur Kontrolle können Sie sich den Lizenzierungsstatus mit folgenden Befehlen
jederzeit ansehen.
System
Deployment-Server
Ressourcen
Pentium 4
1 GByte Hauptspeicher
UDMA 100 Platte
Vista-Clients
Dual Core Athlon
1 GByte Hauptspeicher
SATA II Platte
Netz
100 MBit Switch
USB
Fast USB 2.0
slmgr.vbs -dli
slmgr.vbs -dlv
Übertragen Sie die freigeschaltete Musterinstallation auf einen zweiten Rechner, ändert sich die Installations-ID, sofern sich die Hardware des Rechners
Ressourcen der Systeme
Juni 2007
33
22.05.2007
12:58
Seite 2
PRAXIS I Workshop
während der Fahrt in einem Zug hilft diese Technik auch nicht wirklich. Offener
und flexibler ist die temporäre Verwendung
einer unverschlüsselten Hilfspartition.
Zur einfachen Verschlüsselung aller greifbaren Daten steht bei Vista Business das
Programm cipher.exe zur Verfügung. Über
das Eingabefenster lässt sich Laufwerk C:
wie folgt verschlüsseln:
Permission denied
0 records in
0 records out
Daher richten wir auf dem Mustersystem
folgende Partitionierung ein:
cipher /E /S:\
umount /mnt
C: 20 GByte Vista
D: 30 GByte Programm- und Hilfspartition
E: 120 GByte Plattenrest
Der Vorgang dauert mehrere Minuten.
Danach gilt es noch, liegen gebliebene,
unverschlüsselte Reste zu beseitigen.
Leider ist die komplette Verschlüsselung
so gut, das Vista nicht mehr bootet. In einem zweiten Anlauf beschränken wir die
Verschlüsselung auf die Verzeichnisse
C:\Users, C:\Windows, C:\Program Files und
C:\Program Files (x86) .
Bespielzeiten der Vista-Verteilung
cipher /W:\
(Zeit bis zum ersten Booten des bespielten Rechners)
Zeit Installationsumfang
8 Minuten Vista Business
(mit und ohne cipher)
9 Minuten Vista Business
+ SSH
+ VMware Player
+ Virtuelle Maschine
10 Minuten Vista Ultimate
(BitLocker vorbereitet)
+ SSH
+ VMware Player
+ BitLocker Aufruf
(BitLocker bereits gelaufen)
+ SSH
+ VMware Player
Das Programm schreibt zunächst in
mehreren Schleifen identische Bytes auf
alle freien Blöcke und abschließend zur
Sicherheit noch Zufallszahlen. Die Ausführung von cipher.exe beim ersten Booten eines frisch verteilten Vista soll wegen des enormen Zeitverlust auf keinen
Fall erfolgen.
Damit der neue Abzug weiterhin nur 3,1
GByte einnimmt, rufen Sie cipher /W erneut auf und brechen es nach der ersten
Schleife zum Schreiben identischer Bytes
einfach ab. Demzufolge bleibt es bei der
Bespielzeit von unter 10 Minuten. Um die
Verschlüsselung zu kontrollieren, prüfen
Sie die Vista-Partition, wenn Vista nicht
läuft. Dazu können Sie die Vista-DVD verwenden oder mit Linux von CD booten
und sich in die Vista-Partition einhängen.
Die Installation von Vista Business belegt
etwa 10 GByte Plattenplatz. Beim Abzug
der 20 GByte großen Vista-Partition wird
jeder Block gelesen und trotzdem hat der
Abzug nur eine Größe von 3,1 GByte. Es
handelt sich jetzt noch um ein unverschlüsseltes Vista. Durch das Lesen jedes
Blocks können Sie jede beliebige Verschlüsselungstechnologie auf der VistaPartition einsetzen.
Doch nicht bei jeder Datei endet der
Leseversuch mit einem “Permission denied”. Das Verschlüsseln funktioniert nur
bei Dateien, die Windows nicht in Verwendung hatte, als das Programm cipher.exe
lief. So lassen sich einige Dateien problemlos lesen, andere sind aber ordentlich
verschlüsselt:
Musterinstallation verschlüsseln
dd if=/mnt/bootmgr of=/dev/null
857+1 records in
857+1 records out
Damit sich die verschlüsselte und die unverschlüsselte Verteilung auch vergleichen
lassen, verschlüsseln wir erst jetzt die Vista-Musterinstallation und ziehen sie unter
einem anderen Deployment-Namen ab.
34
Juni 2007
mount -t ntfs -o ro /dev/sda2 /mnt
dd
if=/mnt/Users/Default/nuser.dat.LO
G1 of=/dev/null
cipher
cipher
cipher
cipher
cipher
/E /S:\Users
/E /S:\Windows
/E /S:”\Program Files”
/E /S:”\Program Files (x86)”
/W:\
Damit lässt sich Vista wieder booten. Nach
einem erneuten Abzug spielen wir die nun
verschlüsselte Vista-Musterinstallation auf
einen zweiten Rechner. Die verschlüsselten Daten sind aber nur für den Benutzer
greifbar, der das Programm cipher.exe aufgerufen hat. Deshalb sollten Sie diese Form
der Verschlüsselung nur auf ausgewählte Daten anwenden.
Verschlüsselte Vista-Bespielung
Die verschlüsselte Übertragung aller Daten setzen wir sowohl bei der Erstbetankung als auch beim Nachspielen von
Software ein.Als verschlüsseltes Übertragungsprotokoll verwenden wir ausschließlich Secure Shell (SSH). Die generelle Verschlüsselung aller Daten schließt
die sonst in Kauf zu nehmenden Sicherheitslöcher. Darunter fällt zum Beispiel
das Passwort der Domänenkennung, mit
dem sich der Computer unter Verwendung des Programms netdom.exe in der
Domäne anmeldet, oder auch die Identifikations-ID eines Geldautomaten, der
mit Vista zu bespielen ist.
Um nur einem autorisierten Personenkreis
den Zugang zur verschlüsselten Übertragung zu ermöglichen, setzen wir die Public/Private-Key-Autorisierung ein, und
21.05.2007
13:24
Seite 3
PRAXIS I Workshop
die Verwendung einer leeren Passphrase soll
dabei ausgeschlossen sein. Um den Aufwand für das Key-Management gering zu
halten, übertragen wir nur im echten PushVerfahren.Auch wenn der Client eine Bespielung beim Deployment-Server anfragt,
wird letztlich vom Deployment-Server zum
Client im Push-Verfahren übertragen. So
ist nur eine einzige Autorisierungsdatei nötig, in der alle zugelassenen DeploymentServer und alle zugelassenen DeploymentKennungen enthalten sind. Diese Datei ist
immer präsent, wenn ein Zielsystem per
PXE, CD/DVD oder USB gebootet wird.
Die Individualisierungsdaten landen zwar
zuerst auf einer unverschlüsselten Partition, die Übertragung erfolgt aber verschlüsselt.Von den vielen denkbaren Individualisierungen verwenden wir eine
Methode, die:
- den Computernamen setzt,
- die IP-Adressierung festlegt,
- die SID erstellt,
- die Arbeitgruppe bestimmt,
- die zugewiesenen lokalen Kennungen
einrichtet und
- die Hilfspartition nach NTFS konvertiert und verschlüsselt.
Um all diese Maßnahmen durchzuführen, benötigen Sie zwei Starts von Vista.
Die zwei Neustarts des Rechners sind Vista geschuldet, denn auch dieses Windows
lässt sich nicht ohne Neustarts konfigurieren. Zeitlich dauert das zweimalige
Booten von Vista etwa vier Minuten.
Der Versuch, mithilfe des Programms
netdom.exe von Microsoft den Vista-Rechner zum Mitglied eines auf NT basierenden PDC werden zu lassen, führt zur Zerstörung des PDC. Das Anmelden am
PDC ist nicht mehr möglich – aber wer
betreibt heute noch einen PDC auf Windows-NT-Basis?
Verschlüsselte
Nachverteilung von Software
Um Softwarepakete später auch bei laufendem Windows verschlüsselt zu ver-
teilen, benötigt Vista einen Empfänger
für diese Pakete. Als Empfänger verwenden wir den SSH-Serverdienst,
welcher die gleiche Autorisierungsdatei
erhält, die auch bei der Bespielung von
Vista eingesetzt wurde. Da die Autorisierungsdatei alle zugelassenen Deployment-Server und Deployment-Kennungen enthält, wäre es sehr unflexibel,
den SSH-Serverdienst in die Vista-Installation aufzunehmen.
Den fehlenden SSH-Serverdienst übertragen Sie noch vor dem ersten Booten als Softwarepaket (Offline-Verteilung) auf Vista. Dazu verwenden Sie die
unverschlüsselte Hilfspartition. Das erste Booten führt die Nachbehandlung
des Softwarepakets “SSH-Serverdienst“
aus, um den Dienst im verschlüsselten
Vista zu aktivieren.Wenn als SSH-Serverdienst eine minimale Cygwin-Konfiguration paketiert wurde, hat die nötige Nachbehandlung überschaubare
Ausmaße:
22.05.2007
12:59
Seite 4
PRAXIS I Workshop
d:
cd \cygwin\bin
regedit /s cygwin4d.reg
mkpasswd -l > \cygwin\etc\passwd
mkgroup -l > \cygwin\etc\group
bash —login -c “ssh-host-config -y
-w alibaba -c ‘CYGWIN=tty ntsec’”
bash —login -c “cygrunsrv -S sshd”
Der Inhalt der Datei cygwin4d.reg ist
einfach nur der komplette RegistryZweig “HKEY_LOCAL_MACHINE\
SOFTWARE\Wow6432Node\Cygnus
Solutions”, der bei der manuellen Installation von Cygwin entsteht. Dadurch
reicht es, das Directory d:\cygwin zu übertragen. Die Installationseinträge für Cygwin
legen die Nachbehandlung an.
Nach der verschlüsselten Bespielung des
verschlüsselten Vista ist auch die verschlüsselte Nachverteilung bei laufendem
Vista nun kein Problem mehr, da mit dem
SSH-Serverdienst ein entsprechender Ansprechpartner zur Verfügung steht.
Die Übertragung eines gescannten Pakets wie beispielsweise “WinZip 10.0“
dauert 30 Sekunden. Davon bekommt
der Anwender nur etwas mit, wenn er
gerade angemeldet ist, weil dann sofort
das Icon auf dem Desktop zu sehen ist.
Alternativ dazu lassen sich die Pakete
auch per Softwareshop oder einfach
beim Anmelden des Benutzers installieren. In allen drei Fällen der OnlineNachverteilung von Software erfolgt die
Übertragung verschlüsselt vom Deployment-Server zum Client.
Bild 1: Nach der Bespielung ist vor der Bespielung – automatisches Nachtanken virtueller Maschinen
Deployment ohne Netzwerk
Bei der Bespielung mehrerer Rechner parallel über das Netz stellt sich irgendwann
das Netz als Flaschenhals dar. Da der Inhalt
von Laufwerk C auf allen Zielsystemen
gleich ist, ließe sich hier Multicast einsetzen. Sie können aber auch durchaus mehrere Systeme per Unicast bespielen, wenn
geswitchte Netze verfügbar sind. Noch eleganter ist die Vorverteilung der beabsichtigten Installation auf eine separate Partition der Zielsysteme. Dann können Sie eine
beliebige Anzahl von Systemen immer in
der gleichen Zeit bespielen.Alternativ können Sie auch mehrere Deployment-Server
einsetzen, dann wird die Musterinstallation auf die Deployment-Server vorverteilt.
Noch spannender ist die Frage, wie die Vista-Bespielung laufen kann, wenn gar kein
Kontakt zu einem Deployment-Server be-
NEU! Abo-Upgrade - werden Sie
IT-Administrator Jahresabonnent
mit Jahres-CD!
steht (zum Beispiel wenn Sie mit dem
Notebook im ICE sitzen). Dafür steht auf
jedem System eine Management-Partition
zur Verfügung. Deren Verwendung ist optional, aber sinnvoll, wenn es mal ohne Firmenkontakt gehen muss. Ist Vista verstellt
oder muss es neu installiert werden, bootet der Anwender die Management-Partition und veranlasst die Installation von einem lokalen Datenträger.Auch hier müssen
Sie kein Sicherheitsloch fürchten, da sich
der Computer im BIOS mit einem Passwort schützen lässt und das Booten von
CD/DVD oder USB ausgeschaltet bleibt.
Das Problem der Wiederherstellung bei fehlendem Netzkontakt zur Firma ist damit
sauber und sicher geklärt.
Virtuelles Windows verteilen
Soll die alte Windows-Welt oder ein paralleles Vista-Universum entstehen, bietet sich
Für nur € 9,84 Upgrade-Zuschlag auf Ihr Jahresabo bekommen Sie jedes
Jahr im Dezember die IT-Administrator Jahres-CD mit den 12 Heftausgaben
von Januar bis Dezember im PDF-Format automatisch zugesendet.
Bestellen Sie jederzeit und ab sofort online auf:
www.it-administrator.de/upgrade
die Verwendung von VMware an. Der
VMware-Player lässt sich bereits vor dem
ersten Booten von Vista als Softwarepaket
nachverteilen (Offline-Verteilung). Auch
eine leere virtuelle Maschine wird schon
übertragen. Beim Booten von Vista läuft
automatisch die Nachbehandlungsprozedur des Softwarepakets VMware-Player ab.
VMware-player-1.0.3-34682.exe /a /s
/v”/qn
TARGETDIR=d:\software.tmp\Vmware”
msiexec -i
“d:\software.tmp\Vmware\VMware
Player.msi” INSTALLDIR=”d:
\software.oma\Vmware” /qn
Das Starten der leeren virtuellen Maschine kann manuell oder per Autostart erfolgen. Bei Verwendung von VMware-Server startet die leere virtuelle Maschine
automatisch im Hintergrund. Die virtuelle
Maschine bootet mit einer ManagementPartition oder per PXE und holt sich vom
Netz die Identität (Name, IP usw.). Dadurch bekommt die virtuelle Maschine
sofort Kontakt zum Deployment-Server
und wird automatisch mit der festgelegten
Erstbespielung betankt. Während dieser
Betankung kann der Anwender aber
schon mit Vista arbeiten.
Laufwerksverschlüsselung
mit BitLocker
Unter Vista Ultimate steht die BitLocker-Laufwerksverschlüsselung zur
Verfügung. Dafür müssen Sie der vorhandenen primären Partition von 20
GByte eine weitere primäre Partition zur
Seite stellen.
S: 1,5 GByte Vista-Ultimate-Bootpartition
C: 20,0 GByte BitLocker verschlüsseltes
Vista-Laufwerk
D: 30,0 GByte unverschlüsselte Programm- und Hilfspartition
E: 120,0 GByte Plattenrest
Da ich mir für jeden Vista-Zustand einen
eigenen Bespielnamen zugelegt habe, bespiele ich einfach die unverschlüsselte Fassung von Vista Ultimate. Die Image-Da-
22.05.2007
13:01
Seite 5
tei ist mit 3,8 GByte ein wenig größer als
bei Vista Business (3,1 GByte). Nach dem
Anmelden als Administrator rufen wir das
Programm gpedit.msc auf. Mit der Maus
geht es dann in den folgenden Zweig:
“Computerkonfiguration / Administrative Vorlagen / Windows Komponenten
/ BitLocker Laufwerksverschlüsselung /
Systemsteuerungssetup: Erweiterte Startoptionen aktivieren”
Nach der Aktivierung ist kein TPM-kompatibles BIOS mehr erforderlich (Bild 2).
Der Schlüssel zu dem noch zu verschlüsselnden Laufwerk lässt sich später auf einem USB-Stick ablegen.Vor dem nächsten Neustart muss die neue Boot-Partition
die aktive Partition werden. Damit sich
von dieser Partition auch wirklich booten lässt, müssen die Vista-Bootdateien auf
die neue Boot-Partition. Das geht nur mithilfe der Vista-Installations-DVD. Nach
dem Booten mit der DVD gibt es einen
ersten Reparaturanlauf und einen Neustart. Erst danach kommt es zur Anzeige
einer wiedergefundenen Vista-Installation.
Jetzt können Sie auf der DVD die Systemstartreparatur wählen, und nach einem weiteren Neustart bootet Vista von der kleinen Partition und fährt die Installation auf
der großen Partition hoch. Nun sind alle
Voraussetzungen für die BitLocker-Laufwerksverschlüsselung erfüllt. Der eingesteckte USB-Stick meldet sich als Laufwerk
H: und bekommt alle Zugangsinformationen, die die BitLocker-Verschlüsselung erstellt. Nach einem erneuten Reboot wird
die große Partition verschlüsselt. Das dauert für die 20 GByte fast 30 Minuten.
%JF 4*// (NC) IPMU JOOPWBUJWF 4PGUXBSF
-zTVOHFO BVTMjOEJTDIFS )FSTUFMMFS OBDI
%FVUTDIMBOE 8JS XPMMFO NJU VOTFSFO "O
HFCPUFO *54QF[JBMJTUFO CFJ JISFS "SCFJU VO
UFSTUU[FO VOE CJFUFO QFSTzOMJDIFO 4FSWJDF
BMMFSCFTUFS2VBMJUjU
%FTIBMCFNQ¾FIMU*IOFOEJF4*//(NC)
3&.05&
"%.*/*453"5*0/
*/1&3'&,5*0/
NJU
4DIOFMMTUFVOEVNGBOHSFJDITUF
'FSOXBSUVOHTMzTVOHGS1$´T
VOE4FSWFS
Q
7PO*5"ENJOJTUSBUPSFOGS
*5"ENJOJTUSBUPSFO
Q
Das schicke Pärchen aus USB-Stick und
verschlüsselter Partition soll sich aber
auch anderswo verwenden lassen: Da wir
mithilfe der Management-Partition die
verschlüsselte Partition auch unterwegs
wieder aufspielen wollen, wird die Management-Partition wieder die aktive Partition. Den Bootmanager auf der Management-Partition müssen Sie nur auf
die neue Bootpartition einstellen. Beim
GBDI1SBYJTFSQSPCU
Q
+FU[UBVDI7*45"VOE
CJUUBVHMJDI
Q
5&45&/4*&8*34$)&6&/
,&*/&/7&3(-&*$)
3VGFO4JFHMFJDIBOVOUFS
&.BJMBOSB!TJOOEFPEFSGSFJF%FNP
WFSTJPOVOUFSXXXTJOOEF";SBBTQY
4*//(NC)&SEJOHFS4USBF3FJUIPGFO
21.05.2007
13:25
Seite 6
PRAXIS I Workshop
Abzug der BitLocker-Partition erfolgt mit
Komprimierung kaum eine Reduktion
der Dateigröße – der Abzug der 20GByte-Partition ist auch 20 GByte groß.
Offenbar beschränkt sich die Verschlüsselung nicht auf die benutzten Blöcke der
Partition.Auch der Aufruf von cipher /W:\
mit einem Abbruch nach dem Schreiben
der Nullen bringt keine Verbesserung. Für
diese Bespielung schalten wir deshalb die
clientseitige Komprimierung aus. Nun
haben wir zwei Möglichkeiten:
- Die Vervielfältigung des USB-Sticks produziert Nachschlüssel, und Sie können
die fertig verschlüsselte Vista-UltimateInstallation mehrfach einsetzen. Die fertig mit BitLocker verschlüsselte Musterinstallation wird bei der Verteilung über
die Hilfspartition individualisiert. Das ist
von Nutzen, wenn der eigentlich geschützte Rechner völlig ungeschützt einem Hardwarefehler unterliegt.
- Ein anderer Weg besteht darin, das –
auf zwei Partitionen verteilte und für
die BitLocker-Verschlüsselung vorbereitete – Vista aufzuspielen. Also werden beispielsweise 1.000 Notebooks bespielt und final nicht neu gebootet.
Startet der Mitarbeiter das Notebook
zum ersten Mal, läuft die Individualisierung ab und das Programm zum Einschalten der BitLocker-Laufwerksverschlüsselung wird aufgerufen. Dann ist
es die Verantwortung des Mitarbeiters,
seinen Schlüssel zu erstellen und zu verwalten. Geht der Schlüssel verloren,
wird neu bespielt und neu verschlüs-
Bild 2: BitLocker-Vorbereitung: die Verwendung eines USB-Sticks freigeben
selt. Um sich alle Optionen offenzuhalten, wird die Freigabe des USBSticks als Softwarepaket verschnürt.Wer
das Paket nicht bekommt, muss einen
Rechner mit TMP-BIOS haben. Wer
das Paket bekommt, darf seine Schlüssel
auf einem USB-Stick ablegen. Selbstverständlich werden alle wichtigen Daten regelmäßig verschlüsselt in die Firmenzentrale überspielt, für den Fall
eines Schadens am Notebook.
Fazit
Der hier verwendete Deployment-Server
und die Vista-Clients sind nichts Besonderes (Kasten S. 33) und erzielen in einem
geswitchten 100-MBit-Netz doch ansehn-
liche Ergebnisse. Bedingt durch die Reboots von Vista dauert es 15 Minuten, bis
sich der User anmelden kann. Zu diesem
Zeitpunkt hat der Rechner bereits einige
Softwarepakete intus und kann außerdem
per SSH-Protokoll mit weiteren Softwarepaketen verschlüsselt beschickt werden.Alle Windows-Laufwerke sind final verschlüsselte NTFS-Dateisysteme. Ob Sie
dafür auf die cipher-Dateiverschlüsselung
oder auf die BitLocker-Laufwerksverschlüsselung setzen, spielt keine Rolle.Aufgrund der unflexiblen Handhabung und
der langen Bespielzeiten ist eine Verteilung
fertig verschlüsselter BitLocker-Partitionen
wenig sinnvoll, solange alle unbenutzten
Blöcke mitverschlüsselt werden. (jp)
Lesen Sie den IT-Administrator als E-Paper
Testen Sie kostenlos und unverbindlich die elektronische
IT-Administrator Leseprobe auf www.it-administrator.de!
Wann immer Sie möchten und wo immer Sie sich gerade befinden – Volltextsuche,
Zoomfunktion und alle Verlinkungen inklusive. Klicken Sie sich ab heute mit dem
IT-Administrator einfach von Seite zu Seite, von Rubrik zu Rubrik!
Infos zu E-Abos, E-Einzelheften und Kombiangeboten finden Sie auf:
S46-50_ITA_0207_P04_EAZ.qxp
23.01.2007
17:13
Seite 2
PRAXIS I Workshop
Arbeitsweise und Konfiguration von Xen (1)
Virtualisierung auf
Open-Source-Basis
von Thomas Weyergraf
Kaum ein Thema ist derzeit ähnlich angesagt wie die Virtualisierung. Prozessorhersteller, Systemlieferanten
und Betriebssystemhersteller überbieten sich im Moment geradezu mit Ankündigungen und Angeboten rund
um dieses Thema. In Sachen Linux befindet sich "Xen" in aller Munde. Dieser Artikel stellt den ersten Teil einer
zweiteiligen Reihe dar und betrachtet Xen sowohl konzeptionell als auch praktisch. Der erste Teil erklärt die
grundlegende Funktionsweise von Xen, während der zweite Teil den praktischen Einsatz zum Thema hat.
nter Virtualisierung verstehen wir
– im Kontext dieses Artikels – die
Fähigkeit, die einem System zugrunde liegende Hardware dergestalt zu abstrahieren,
dass mehrere Betriebssysteme gleichzeitig
darauf laufen, ohne sich dabei gegenseitig zu stören. Das Unternehmen VMware
gilt als Pionier in Sachen x86-Virtualisierung und konnte sich durch die gleichnamigen Softwareprodukte schnell einen
Namen in diesem Umfeld machen. Speziell auf Linux ausgerichtet, existiert eine
ganze Reihe von Projekten, die virtuelle
(Linux-) Instanzen auf x86-Servern realisieren (zum Beispiel QEMU und OpenVZ). Alle Lösungen haben gemein, dass
auf einem “Host-System” eine Software
läuft, die es erlaubt,“Gast-Systeme” zu betreiben. Das Host-System (kurz: der Host)
übernimmt dabei das tatsächliche Management der zugrunde liegenden Hardware – die Gäste nutzen dann eine Virtualiserungsschicht, um auf die gleiche
Hardware zuzugreifen.
U
Unterschiede zur Emulation
An dieser Stelle ergibt es Sinn, zwischen
Emulatoren und anderen Virtualisierungslösungen zu unterscheiden. Ein
Emulator bildet eine beliebige Hardware
nach. Das bedeutet, er spielt dem GastSystem sämtliche Bestandteile wie
Ein-/Ausgabe, Festplatten, Netzwerk und
46
Februar 2007
mitunter auch die CPU vor. Der Vorteil
dieses Ansatzes: Das Gast-System braucht
sich um keinen Aspekt der Virtualisierung zu kümmern – es spricht Platten
genauso an wie gewohnt, stellt seine grafische Benutzeroberfläche dar, schließt
sich an ein Netzwerk an und selbst die
CPU tut genau das, was der Gast erwartet. Dieser “Full Service” hat allerdings
seinen Preis: Alle Aufrufe, die das GastSystem an die vermeintliche Hardware
schickt, durchlaufen im Emulator mitunter komplexe Unterprogramme und arbeiten entsprechend langsam. Folglich
lässt sich die Geschichte der Emulatoren
recht schnell erzählen – es gab sie zu allen Zeiten auf fast allen Plattformen,
allerdings waren sie aus PerformanceGründen nur selten attraktiv. Das vielleicht berühmteste – und beste – Beispiel
eines Emulators war der “FX!32” von Digital Equipment. Dieser sollte die Aufgabe übernehmen, x86-Windows-Software
auf Alpha-Windows-Betriebssystemen
auszuführen.Technisch durchaus interessant, war der Lösung allerdings aus dem
oben genannten Grund kein besonderer
kommerzieller Erfolg beschieden.
Virtualisierung unter Unix
Von den allgegenwärtigen Emulatoren
abgesehen, hat sich im Highend-Serverumfeld ein ganz anderer Virtualisierungs-
ansatz durchgesetzt. Dieser erweitert die
Hardware um Funktionen, die es erlauben, Betriebssysteme parallel zu installieren und zu betreiben, und zwar möglichst
ohne dass diese von den eigentlichen Vorgängen Kenntnis haben. Dazu passen die
Hersteller neben der eigentlichen Hardware auch die Firmware (also das BIOS
der Maschinen) und das Betriebssystem
an. Dieser Ansatz ist erprobt, seit Jahren
im Einsatz und genauso stabil wie leistungsstark. Allerdings haben es die Hersteller der genannten Systeme auch relativ einfach. Zum einem liegen die Kosten
der gelieferten Hardware recht hoch, sodass entsprechend aufwendige HardwareErweiterungen nicht wirklich ins Gewicht
fallen. Des Weiteren virtualisieren diese
Hersteller nur ihre eigenen Unix-Derivate und haben damit vollständige Kontrolle über das, was passiert. Auf einem
Super-Dome, einer Starfire oder einer PSeries fahren die Anwender folglich lediglich virtuelle Instanzen eines HP/UX,
Solaris oder AIX. Mit unabhängigen
Drittherstellern wie Microsoft müssen
sich die Anbieter dieser Systeme also nicht
auseinandersetzen. Zudem führen sie
eventuell benötigte Änderungen am Betriebssystem inhouse durch, ohne entsprechende Standards zu entwickeln oder
einzuhalten. Zu guter Letzt bleibt auch
der Pool der durch Virtualisierung zu un-
23.01.2007
17:13
Seite 3
PRAXIS I Workshop
terstützenden Hardware überschaubar –
erlaubt ist an Erweiterungen nur das, was
der jeweilige Hersteller vorsieht.
Im x86-Umfeld sind die Marktbedingungen vollständig anders: Die Hardware
kommt – mitsamt Treibern – von Dutzenden von Herstellern, und in Sachen
Betriebssystem wählen die Kunden genau das aus, was sie einsetzen wollen. Für
diese Serversysteme eignet sich der eben
genannte Ansatz daher nicht.
Xen
Xen tritt an, um Einschränkungen von
Herstellern proprietärer Hard- und Software zu umgehen. Ursprünglich wurde
die Lösung seit 2002 an der Universität
von Cambridge in England entwickelt
und 2003 erstmals öffentlich auf einer
Konferenz im Rahmen eines Papers präsentiert. Das Entwicklerteam hat mittlerweile eine Firma names “Xen-Source”
gegründet, die sich darum kümmert, Xen
mit professionellen Tools kommerziell zu
vermarkten. Dennoch bleiben die Quellen der Codebasis von Xen unter der allgegenwärtigen GPL frei verfügbar. Xen
unterlag übrigens einer bewegten Entwicklungsgeschichte, im Laufe derer –
zum Teil radikale – Änderungen am Code
vollzogen wurden. Lange Zeit war Xen
2.0 das Maß aller Dinge, jedoch haben
die Entwickler gegen Ende 2005 die gegenwärtig aktuelle Version Xen 3.0 freigegeben. Dieser Artikel bezieht sich ausschließlich auf Version 3.0. Das Ziel von
Xen liegt darin,Virtualisierung auf x86Rechnern zu ermöglichen. Um zu verstehen, wie dies geschieht, müssen wir
nun einen kleinen Exkurs in Sachen Aufbau von Betriebssystemen auf der x86Architektur durchführen.
Grundsätzlich besteht die Aufgabe eines
jeden Betriebssystems darin, den Applikationen auf eine kontrollierte Art und
Weise die Hardwareressourcen des jeweiligen Rechners zur Verfügung zu stellen.
Die Anwendungen kommunizieren dazu
mit dem Betriebssystem über eine definierte Schnittstelle, die Systemcalls. Im
Domain 0
(Dom 0)-Applikationen
User/
App
Domain-Gast
(Dom U)-Applikationen
DomU mit
VMX-Applikationen
DomU mit
VMX-Applikationen
Xen Kontrolle
(xm & Co.)
Kernel
DeviceTreiber
virtuelles
TreiberBackend
Xen-Kernel-Erweiterung
Unmodifiziertes Gast-OS Unmodifiziertes Gast-OS
XenFrontendTreiber
XenFrontendTreiber
Native
Treiber
XenFrontendTreiber
Native
Treiber
Xen-VMX-Unterstützung
Interrupt-HW-Emulation
XenControlInterface
Hardware: Geräte
Xen
Hypervisor
Hardware:
Virtual-Machine-Unterstützung durch die CPU
Hardware: CPU, Speicher, Interrupts, etc.
Bild 1: Übersicht über die Funktionsweise der XEN-Virtualisierung
Kern des Betriebssystems (dem Kernel)
verwalten verschiedene Subsysteme die
eigentlichen Systemressourcen. Die Speicherverwaltung kümmert sich beispielsweise um die Verteilung des Speichers und
Gerätetreiber übersetzen die Funktionen
der I/O-Geräte in die Semantik der Systemcalls. Bei Multitasking-Systemen sorgt
der sogenannte Scheduler dafür, dass jedes laufende Programm seinen Anteil an
der CPU-Leistung des Systems bekommt.
Für all diese Aufgaben spielt es eine große Rolle, dass von der Hardware unterstützte Schutzmechanismen dafür sorgen,
dass die Anwendungen das korrekte Funktionieren des Betriebssystems nicht beeinträchtigen können. Moderne Prozessoren besitzen hauptsächlich zwei
Mechanismen, die dem Betriebssystem
diesen Schutz bieten – den Privilege-Level und die Speicherverwaltungseinheit
(Memory Management Unit oder kurz
MMU). Diese beiden möchten wir im
Folgenden kurz erklären. Die PrivilegeLevel sorgen dafür, dass bestimmte, von
der CPU “gesprochene” Instruktionen
nur in einem besonderen Modus ausführbar sind. Funktionen für das Behandeln von Interrupts oder das Ansprechen
bestimmter Speicherbereiche, wie etwa
des I/O-Bereichs von Geräten, sollten
tunlichst nicht die Anwenderprogramme,
sondern ausschließlich der Kernel aufrufen. Die MMU andererseits unterteilt
den physikalischen Speicher in “Häppchen” (Pages). Anwenderprogramme erwarten stets einen zusammenhängenden
Speicher, der an einer festen Adresse (meist
Null) beginnt. Die MMU übersetzt die
physikalischen Adressen in virtuelle und
setzt so den Anwendungen diesen einheitlichen Speicher aus den Pages zusammen. Die Funktionen der MMU sind nur
in einem hohen Privilege-Level verfügbar, damit nur die Speicherverwaltungsfunktionen des Betriebssystems in der Lage sind, darauf zuzugreifen. Historisch
kennt die x86-Familie seit dem 80386
vier Privilege-Level und eine virtuelle
MMU.
Von den vier Privilege-Leveln kommen
heute nur zwei zum Einsatz: Level 0 als
“sicherster” Level, in dem das Betriebssystem läuft, und Level 3 als nichtprivilegierter Level für die Anwenderprogramme. Das Umschalten zwischen den beiden
Leveln läuft ausschließlich über das Betriebssystem ab. Der hier vorgestellte Aufbau gilt im Prinzip für alle modernen
x86-Betriebssysteme, wie Windows (seit
NT) und Linux, die freien BSD-Derivate und kommerzielle Unix-Varianten. Für
die Virtualisierung stellt er jedoch ein Problem dar. Im höchsten Level 0 darf ein
Betriebssystem alles – eine Möglichkeit,
den Level 0 so aufzuteilen, dass sich mehrere Betriebssysteme nicht gegenseitig
“reinreden”, wurde nicht vorgesehen.
Februar 2007
47
23.01.2007
17:13
Seite 4
PRAXIS I Workshop
Der Xen-Hypervisor
Hier kommt nun Xen ins Spiel. Xen liefert eine Sammlung von Programmroutinen, die sich “Hypervisor” nennt. Der
Hypervisor übernimmt alle privilegierten Funktionen, die in Level 0 laufen
müssen. Die eigentlichen Betriebssysteme laufen statt in Level 0 fortan in Level
1. Das bietet den Betriebssystemen immer noch Schutz vor den Anwendungen,
verhindert aber, dass sie sich in Level 0
gegenseitig stören. Leider lassen sich Betriebssysteme nicht einfach aus Level 0 in
Level 1 verschieben – es sind mitunter
umfassende Anpassungen am Kernel notwendig, um in Level 1 lauffähig zu sein.
Bei Closed-Source-Betriebssystemen, wie
etwa Windows, bringt dieser Ansatz Probleme mit sich. Linux wurde im Gegensatz dazu mittlerweile vollständig an die
genannten Bedingungen angepasst, bei
den freien BSD-Derivaten haben die Entwickler die erforderlichen Änderungen
ebenfalls mehr oder weniger vollständig
vollzogen. Darüber hinaus haben die Hersteller der x86-Prozessoren mittlerweile
den potenziellen Nutzen der Virtualisierung erkannt und in ihre Prozessoren
Hardware eingebaut, die diese Technologie unterstützt. Bei Intel nennt sich das
“Vanderpool”, bei AMD “Pacifica”. Diese beiden Ansätze wurden zwar technisch
unterschiedlich implementiert, meinen
im Wesentlichen aber das Gleiche: Sie führen einen weiteren Privilege-Level ein,
der gemeinhin “Level -1” oder “VMX”
heißt. Der Xen-Hypervisor läuft damit
statt in Level 0 nun in diesem neuen
Level und erlaubt es den Gast-Betriebssystemen, wie gewohnt in Level 0 zu arbeiten. Die VMX-Erweiterungen bleiben
dann für die Gast-Betriebssysteme unsicht- und auch unerreichbar.
Der Hypervisor stellt ein sehr kompaktes
Programm dar, das im Wesentlichen zwei
Schnittstellen nach außen bietet. Zum einen das Hypercall-API, das ein einheitliches Interface für die Gast-Betriebssysteme darstellt, und zum anderen das
Management-API, über das sich der Hypervisor steuern lässt. Unter der Kontrol-
48
Februar 2007
le des Hypervisors laufende GastBetriebssysteme heißen bei Xen “Domains”. Der ersten Domain (Domain 0
oder kurz Dom0) fällt in diesem Zusammenhang eine besondere Rolle zu (alle
weiteren Domains nennen sich DomU):
Da der Hypervisor neben den grundlegenden Funktionen der Hardware (wie
CPU, Interrupts und Hauptspeicher) auch
die Kommunikation zu den I/O-Geräten abwickelt, müsste er eigentlich über
entsprechende Treiber für diese Geräte
verfügen. Bei der riesigen Anzahl verschiedener Geräte im x86-Umfeld wäre
das allerdings ausgesprochen unpraktikabel. Xen umgeht dieses Problem mit einem Trick. Der Hypervisor bedient sich
vollständig der Treiber des Betriebssystems in der ersten Domain – Dom0. Zusätzlich laufen alle Programme zum Steuern von Xen ebenfalls in der Dom0, die
exklusiven Zugriff auf das ManagementInterface des Hypervisors hat. Bild 1 illustriert den prinzipiellen Aufbau einer
virtuellen Xen-Umgebung.
Durch seinen extrem kompakten Aufbau
arbeitet ein Linux mit Xen-Erweiterungen fast genauso schnell wie ein natives
Linux auf derselben Hardware. Die XenEntwickler sprechen von einem Overhead von weniger als einem Prozent bei
hardwaregestützter Virtualisierung und
nur wenigen Prozent im Fall fehlender
Hardwareunterstützung. Der Kernel der
Dom0 braucht für den Betrieb unter Xen
allerdings einige Erweiterungen. Zunächst
muss er das Management-Interface bedienen können, damit sich weitere
DomUs starten und stoppen lassen. Damit die DomUs dazu in der Lage sind,
die Geräte, deren Treiber in der Dom0
laufen, anzusprechen, bedarf es sogenannter virtueller Backend-Treiber.
DomUs greifen über diese Treiber-Backends auf entsprechende Frontends zu. Die
Konfiguration, welche Geräte die Dom0
exportiert und wie die DomUs darauf zugreifen, läuft über bestimmte Konfigurationsdateien für die einzelnen DomUs.
Darüber hinaus bietet das System die
Möglichkeit, einzelne PCI-Geräte be-
stimmten DomUs zuzuweisen. Im Fall einer solchen Zuweisung entzieht Xen das
betreffende Gerät komplett der Steuerung
durch die Dom0.
Xen in der Praxis – erste Schritte
Nach der ganzen Theorie wird es Zeit,
Xen in der Praxis zu erproben.Als Workshop-Umgebung setzen wir die LinuxDistribution Fedora Core 6 sowohl als
Dom0 als auch als DomU ein.Alle im Folgenden gezeigten Schritte lassen sich allerdings mit jeder beliebigen Linux-Distribution durchführen. Fedora Core 6 bietet
einen eigenen Satz rudimentärer Management-Tools an, die jedoch hauptsächlich
das Erzeugen eines DomU-Images betreffen und die wir daher hier ignorieren.Andere Distributionen bieten einen ähnlichen Funktionsumfang. Dieser Artikel
stützt sich vollständig auf die generischen
Tools von Xen.Wie bereits erwähnt, bieten
auch andere Betriebssysteme Xen-UnterBoot-Konfiguration der Dom0
(Eintrag in der grub.conf):
title Xen Domain-00
root (hd0,0)
kernel /xen.gz
module /vmlinuz-DDom0 ro
root=/dev/sysvg/root
module /initrd-DDom0.img
Beispielausgabe von "xm list":
root:~# xm list
Name
VCPUs State Time(s)
Domain-00
2 r----- 1605.6
ID
Mem(MiB)
0
1495
Kernel und Initrd der DomU in /boot der Dom0:
root:~# ls /boot/*DomU*
/boot/vmlinuz-DDomU
/boot/initrd-DDomU.img
Starten der DomU:
root:~# xm create -cc /etc/xen/domina
Anzeigen der laufenden Domains in Dom0:
root:~# xm list
Name
VCPUs State Time(s)
Domain-00
460.1
2 r----domina
1 -bb---14.8
ID
Mem(MiB)
0
1495
1
512
Stoppen der DomU:
root:~# xm shutdown domina
Kasten 1:
Dom0/DomU-Konfiguration und Betrieb
23.01.2007
17:13
Seite 5
PRAXIS I Workshop
stützung sowohl als Dom0 als auch als
DomU an – obwohl Xen auf Linux entwickelt wurde, mausert es sich ein bisschen
zum plattformübergreifenden Standard für
x86-Virtualisierung. Derzeit können Sie
allerdings davon ausgehen, dass der LinuxSupport am weitesten gediehen ist. Ebenfalls wollen wir noch erwähnen, dass Xen
mittlerweile auch Intels Itanium- und IBMs
Power-Architektur unterstützt, jeweils auf
CPUs, die Hardwareunterstützung für Virtualisierungen bieten.
Für die ersten Schritte verwandeln wir eine bestehende Linux-Installation in eine
Dom0. Den Betrieb der Installation beeinflusst das nicht – ein als Dom0 laufendes Linux tut nach wie vor seinen Dienst
als ganz normales Linux. Um Xen einzurichten, müssen Sie zunächst in der Dom0
die benötigte Software installieren. Fedora
verteilt diese Software auf drei Pakete:
“xen”, “kernel-xen” und “xen-libs”. Das
Paket xen enthält die zum Betrieb nötigen Tools, xen-libs liefert die zugehörigen
Librarys. Das Paket kernel-xen umfasst
schließlich den passenden Linux-Kernel
und den eigentlichen Hypervisor.
Seit Neuestem übernimmt ein einheitlicher Kernel die Verantwortung für Dom0
und sämtliche DomUs – in etwas älteren
Versionen von Xen gab es für die Dom0
und die DomUs noch getrennte Kernel.
Wie das bei der von Ihnen verwendeten
Distribution aussieht, sollten Sie folglich
zuerst überprüfen. Im folgenden Beispiel
benennen wir die Dom0- und DomUKernel unterschiedlich, um die Konfigu-
rationsschritte zu verdeutlichen.Wurde die
Xen-Software installiert, müssen Sie die
Dom0-Boot-Konfiguration erstellen – Kasten 1 zeigt den entsprechenden Eintrag in
der “grub.conf ” für die Test-Dom0.Wie
Sie sehen, kommt zunächst anstelle des traditionellen Linux-Kernels der Hypervisor
(xen.gz) hoch, der seinerseits den passenden
Kernel samt Initial Ramdisk lädt (vmlinuz-Dom0 und initrd-Dom0.img).
Nach diesem Schritt führen Sie einen
Neustart durch. Sobald dieser abgeschlossen wurde, können Sie mit dem Kommando
xm list
überprüfen, ob der Hypervisor samt Xenfähigem Kernel korrekt arbeitet. In Kasten
1 findet sich die entsprechende Beispielausgabe. Im zweiten Schritt installieren Sie
Linux als DomU. Dazu gibt es eine Reihe
von Möglichkeiten: Xen unterstützt beispielsweise den Betrieb von DomUs, die
in der Dom0 als Loopback-Images vorliegen. Fedora bietet zudem Tools, um eine
DomU in ein Loopback-Device zu installieren. Prinzipiell können Sie das Loopback
auch von Hand einrichten und das Linux
dann mit den Bordmitteln der jeweiligen
Distribution dort hinein installieren.Alternativ kopieren Sie die bestehende Dom0Installation einfach in das Loopback, wechseln danach mit chroot(1) in das Loopback
und passen die Installation an.
DomU konfigurieren
Für die eben beschriebenen ersten Schritte haben wir Linux auf eine separate Festplatte installiert. Der erste Abschnitt in Kas-
NEU! Abo-Upgrade - werden Sie
IT-Administrator-Jahresabonnent
mit Jahres-CD!
ten 2 auf dieser Seite zeigt das Test-Setup.
Das System lädt den Kernel samt der für
die DomU passenden Initial Ramdisk aus
dem Boot-Verzeichnis der Dom0 – anders
als bei einer normalen Linux-Installation
startet der Rechner folglich nicht aus dem
eventuell vorhandenen Boot-Verzeichnis
der DomU. Die DomU-Partitionen sollten
im Betrieb nämlich nicht in den Verzeichnisbaum der Dom0 eingebunden werden –
folglich wäre der DomU-Kernel beim Systemstart nicht erreichbar, wenn er im
DomU-Boot-Verzeichnis liegen würde.
Wenden wir uns nun der eigentlichen
DomU-Konfiguration zu. Unter Linux
findet sich diese Konfiguration unter
/etc/xen. In Kasten 3 auf der nächsten Seite sehen Sie die Konfiguration der – sehr
einfach gehaltenen – ersten DomU. Die
beiden ersten Parameter (kernel und ramdisk) bezeichnen den Namen und die Lage des DomU-Kernels beziehungsweise
der Initial Ramdisk.Wie bereits erwähnt,
müssen beide im Verzeichnisbaum der
Dom0 zugänglich sein. Mit dem Parameter “memory” geben Sie der DomU den
Festplatten
Dom0:
Vier SCSI-Platten im RAID-5 Verbund, eine LVM Volume Group mit 6 Logical Volumes, die die Partitionen
des Dom0-Linux enthalten, zusätzlich vier separate
Boot-Partitionen – eine auf jeder Platte –, die sich
vierfach gespiegelt außerhalb des LVMs befinden.
DomU:
Eine separate SCSI-Festplatte mit sieben Partitionen
inklusive Swap
Kasten 2:
Beschreibung der Testkonfiguration
Für nur € 9,84 Upgrade-Zuschlag auf Ihr Jahresabo bekommen Sie jedes
Jahr im Dezember die IT-Administrator Jahres-CD mit den 12 Heftausgaben
von Januar bis Dezember im PDF-Format automatisch zugesendet.
Bestellen Sie jederzeit und ab sofort online auf:
www.it-administrator.de/upgrade
S56-61_ITA_1007_P02_WZN_Leinhaeuser.qxp
19.09.2007
12:43
Seite 2
PRAXIS I Workshop
Datenbankfehler in Exchange beheben (1)
In den Tiefen
des Mailservers
von Thomas Joos
Exchange speichert seine Daten innerhalb einer Datenbank ab.
Leider passiert es oft, dass eine solche Datenbank korrupt ist und Daten
verloren gehen oder zumindest Mitarbeiter nicht mehr mit dem E-MailServer arbeiten können. Im ersten Teil unserer Workshopserie zeigen
wir Ihnen, wie Sie Datenbankfehler vermeiden und und defekte
Datenbanken mit dem Tool “Eseutil” reparieren.
ie hier beschriebenen Methoden beziehen sich vor allem auf Exchange
Server 2007 und 2003, sind aber auch auf
Exchange 2000 und 5.5 übertragbar. Das
Wissen über die Speicherarchitektur und
die Datensicherung von Exchange ist spätestens bei einem Wiederherstellungsvorgang wichtig. Exchange-Datenbanken basieren auf der “Joint Engine Technologie”
(JET).Auf deren Basis wurde die “Extensible Storage Engine” (ESE) entwickelt, die
Datenbank-Engine von Exchange. Die Datenbanken werden vom Mailserver als Datei auf einem Datenträger gespeichert. Dieses File hat unter Exchange Server 2007 die
Endung EDB. Die Datenbankdateien sind
nicht mehr, wie unter Exchange Server
2000/2003, in EDB- und STM-Dateien
aufgeteilt, sondern bestehen nur noch aus
einer einzelnen EDB-Datei pro Datenbank.
D
tenbanken verteilt sind, nur minimal beeinträchtigt. Dadurch ist auch die Dauer
eines Wiederherstellungsvorgangs bei kleineren Datenbanken um einiges kürzer als
bei größeren.
Der erste Schritt, um die Benutzer vor
korrupten Datenbanken zu schützen, ist
daher das Anlegen möglichst vieler Speichergruppen. Die Exchange Server 2007
Enterprise-Edition unterstützt bis zu 50
Speichergruppen, welche wiederum bis
zu 50 Postfachspeicher enthalten können.
Die Standard-Edition hingegen unterstützt maximal fünf Speichergruppen mit
fünf Postfachspeichern.
Exchange 2003 unterstützt mehrere
Speichergruppen dagegen ausschließlich
in der Enterprise-Edition. Die StandardVariante unterstützt nur eine Speichergruppe mit einem Postfachspeicher, der
eine Größe von maximal 16 GByte erreichen darf (bei der Installation von Service Pack 2 für Exchange 2003 bis zu
75 GByte). Bei der Enterprise-Edition
von Exchange 2003 dürfen Sie vier
Speichergruppen anlegen, die wiederum jeweils fünf Postfachspeicher oder
öffentliche Ordnerspeicher enthalten
können. In Exchange Server 2007 gibt
es weder in der Standard-Edition noch
in der Enterprise-Ausführung eine Begrenzung für die Größe des Postfachspeichers. Die Postfachspeicher innerhalb einer Speichergruppe teilen sich
einen gemeinsamen Satz von Transaktionsprotokollen, das gilt auch für Exchange-2003-Datenbanken.
Durch die Aufteilung der Benutzer in
verschiedene Postfachspeicher und Speichergruppen sind die einzelnen Datenbanken zudem deutlich kleiner als bei
nur einer Speichergruppe. Dadurch dauern Recovery-Vorgänge nicht so lange
wie bei einer einzelnen Speichergruppe und die Benutzer der betroffenen Datenbank können schneller wieder auf ihr
Postfach zugreifen. Fällt eine Speichergruppe aus, ist sichergestellt, dass Benutzer mit Postfächern in anderen Speichergruppen weiterhin uneingeschränkt
Sinnnvolle Präventiv-Maßnahmen
Durch das Anlegen mehrerer Datenbanken erhöhen Sie die Konsistenz der Exchange-Daten. Selbst wenn eine Datenbank und dessen Dateien beschädigt sind,
können Benutzer, deren Postfächer sich
in einer anderen Datenbank befinden,
weiterhin problemlos arbeiten. Bei einem
notwendigen Wiederherstellungsvorgang
einer Datenbank wird die Arbeit der Benutzer, deren Postfächer auf anderen Da-
56
Oktober 2007
Bild 1: Exchange-Datenbanken werden als Datei gespeichert
19.09.2007
12:43
Seite 3
PRAXIS I Workshop
arbeiten können. Stellen Sie die ausgefallene Speichergruppe wieder her, können die anderen Benutzer trotzdem weiterarbeiten. Der Recovery-Vorgang einer
Speichergruppe beeinflusst andere Speichergruppen nicht.
Virenscanner und Exchange
Die Datenbankdateien von Exchange
sollten keinesfalls von einem Virenscanner auf Dateiebene gescannt werden.
Das gilt auch für die Transaktionsprotokolldateien die im nächsten Abschnitt
dieses Artikels noch besprochen werden.
Als Virenscanner unter Exchange setzen
Sie am besten ausschließlich einen Scanner auf Postfachebene, zum Beispiel Microsoft Forefront für Exchange, ein. Betreiben Sie auf dem Exchange-Server
parallel einen Virenscanner auf Dateiebene, nehmen Sie mindestens das Verzeichnis der Exchange-Datenbanken und
der Transaktionsprotokolle von den
Scanvorgängen aus – besser das ganze
Exchange-Installationsverzeichnis. Das
gilt auch für eventuelle Bereinigungstools nach einem Virenbefall. Werden
Transaktionsprotokolle und die Datenbank auf Dateiebene gescannt, kommt
es früher oder später zu einem Ausfall
der Datenbank. Weitere Informationen
zu diesem Thema finden Sie unter [1].
Die Bedeutung
von Transaktionsprotokollen
Exchange Server 2007 arbeitet mit so
genannten Transaktionsprotokolldateien. Alle Aktionen, die die Benutzer
durchführen und somit Änderungen in
der Datenbank zur Folge haben, wie
beispielsweise E-Mails schreiben, Termine planen, öffentliche Ordner erstellen und so weiter, müssen von Exchange
gespeichert werden. Damit dieser Speichervorgang jederzeit konsistent und
performant ist, arbeitet Exchange ähnlich wie ein SQL-Server: Jede Änderung und jede Aktion wird zunächst in
eine Datei geschrieben.Von dieser Datei arbeitet Exchange dann Änderung
für Änderung ab und speichert sie in
seiner Datenbank.
Bild 2: Exchange Server 2007 unterstützt auch bei der Standard-Edition das Anlegen mehrerer Speichergruppen
Diese Dateien sind für den Betrieb eines
Exchange-Servers sowie die Datensicherung unerlässlich. Insgesamt kann
Exchange Server 2007 mehrere Milliarden Logdateien bearbeiten, also deutlich mehr als Exchange Server 2003.
Die Größe der Transaktions-Logdateien beträgt unter Exchange Server 2007
nur noch ein MByte. Dafür können bis
zu zwei Billionen Logdateien pro Speichergruppe erstellt werden. Sobald eine
Datei von Exchange geschrieben wurde, legt der Server automatisch eine
neue Transaktionsprotokolldatei an. Datenbanken, die in derselben Speichergruppe angeordnet sind, verwenden jeweils dieselben Transaktionsprotokolle.
Werden diese beschädigt, vor allem
wenn die darin enthaltenen Änderungen noch nicht in der Datenbank
gespeichert sind, werden alle Datenbanken dieser Speichergruppe beeinträchtigt beziehungsweise beschädigt.
Löschen Sie keinesfalls manuell Transaktionsprotokolle.
tokollen wiederhergestellt werden. Kann
Exchange keine neuen Transaktionsprotokolldateien anlegen, da kein Plattenplatz mehr vorhanden ist, stellt der
Server seine Funktion ein und kein Benutzer kann sich mehr mit dem System
verbinden. Exchange Server 2007 legt
aus diesem Grund zwei Reservetransaktionsprotokolle (E{nn}res00001.jrs und
E{nn}res00002.jrs) an. Sind diese jedoch
ebenfalls voll geschrieben, steht der Exchange-Server still. Unter Exchange
Server 2003 ist jede Transaktionsprotokolldatei fünf MByte groß. Die Reservetransaktionsprotokolle haben unter
Exchange Server 2003 die Bezeichnung
res1.log und res2.log.
Führen Sie eine Online-Sicherung Ihrer Datenbank mit einem Exchangetauglichen Datensicherungsprogramm
durch, werden diese Dateien gesichert
und danach automatisch gelöscht, es ist
kein manuelles Eingreifen notwendig.
Selbst wenn die Datenbankdatei (*.edb)
verloren geht, können Exchange-Daten
sehr einfach mit den Transaktionspro-
In dieser Datei hält Exchange fest, welche Änderungen aus den Transaktionsprotokollen bereits in die Datenbank geschrieben wurden. Bei jedem Beenden
oder Starten des Servers überprüft Exchange anhand der Checkpoint-Datei,
welche Transaktionsprotokolle noch
nicht in die Datenbank geschrieben
wurden, und schreibt die restlichen
Die Checkpoint-Datei
Jeder Satz Transaktionsprotokolle und
jede Speichergruppe hat eine eigene
Checkpoint-Datei (*.chk). Diese Datei
wird in dem Verzeichnis gespeichert, das
Sie bei der Systempfad-Angabe der Speichergruppe gewählt haben.
Oktober 2007
57
19.09.2007
12:44
Seite 4
PRAXIS I Workshop
Transaktionsprotokolle in die Datenbank. Das Herunterfahren eines Exchange-Servers kann daher etwas dauern, wenn viele Transaktionsprotokolle
zu verarbeiten sind.
Wird ein Exchange-Server beim Herunterfahren und Schreiben in die Datenbank unterbrochen, führt er diesen Vorgang beim Starten erneut durch. Geht
diese Datei verloren oder wird absichtlich gelöscht, schreibt Exchange beim
Starten des Servers alle Informationen,
die in den Transaktionsprotokolldateien
vorhanden sind, noch einmal in die Datenbank. Dieser Vorgang heißt Soft-Recovery. Der Exchange-Server führt diese
Aufgabe selbstständig und ohne Eingreifen eines Administrators durch. Je nach
Anzahl der Transaktionsprotokolle kann
dieser Vorgang einige Minuten bis Stunden dauern. Ein Soft-Recovery-Vorgang
lässt sich übrigens auch mit Hilfe des Befehlszeilen-Tools Eseutil durchführen –
dazu später mehr.
Daten, die bereits in die Datenbank eingefügt wurden, überträgt Exchange nicht
noch einmal von der entsprechenden
Transaktionsprotokolldatei. Aus diesem
Grund sollten Sie die Umlaufprotokollierung für Exchange-Datenbanken deaktivieren. Umlaufprotokollierung bedeutet, dass Exchange nicht ständig neue
Transaktionsprotokolle anlegt, sondern
nur mit einigen wenigen arbeitet und diese ständig im Turnus überschreibt. Durch
die Aktivierung der Umlaufprotokollierung wird zwar Festplattenplatz gespart,
bei Problemen mit der Datenbank oder
einem notwendigen Restore kann Exchange jedoch nur noch auf einen begrenzten Datenstamm zurückgreifen. Die
Umlaufprotokollierung können Sie für
jede Speichergruppe getrennt aktivieren
oder deaktivieren.
Prüfung des Ausfalls
Nach dem Ausfall eines Exchange-Servers sollten Sie zunächst die Infrastruktur überprüfen. Sammeln Sie hierfür ausführliche Informationen darüber, was
genau passiert ist, wenn der Informationspeicher nicht mehr starten kann oder
eine Datenbank korrupt ist. Der erste
Blick geht dabei in die Ereignisanzeige.
Lesen Sie alle Einträge, die zum entsprechenden Ausfall passen. Einträge der
Exchange-Datenbanken werden hauptsächlich im Anwendungsprotokoll abgelegt. Schauen Sie aber auch im System-Protokoll nach Einträgen, die
parallel zu den Datenbankfehlern angelegt wurden. Sehr wichtig ist auch die
Auswertung mittels netdiag.exe auf dem
Exchange-Server, sowie dcdiag.exe auf
den Domänencontrollern, um den Fehler einzugrenzen.
Bild 3: Den Speicherort der Checkpoint-Datei legen Sie über den Systempfad der Speichergruppe fest
58
Oktober 2007
Oft liegt bei Fehlern in Exchange-Datenbanken ein Hardwaredefekt der Platte oder des RAID-Controllers vor. Dieser muss nicht auf den ersten Blick
ersichtlich sein. Da Exchange jedoch
extrem mit den Festplatten arbeitet, wird
dieser Dienst recht schnell beeinträchtigt, während andere Serverdienste unter Umständen noch funktionieren. Der
erste Schritt bei ausgefallenen Datenbanken ist daher die Überprüfung der
Hardware und der Datenträger des Servers. Die meisten Hersteller liefern dazu entsprechende Diagnosetools mit aus.
Bevor an eine Reparatur der Datenbank
gedacht wird, ist es unerlässlich zu prüfen, dass die zu Grunde liegender Serverhardware in Ordnung ist.
Auch der Status der Exchange-Datenbank ist wichtig. In den Ereignisanzeigen
wird festgehalten, warum eine Datenbank
nicht mehr bereitgestellt werden kann.
Auf Basis dieser Informationen können
Sie als nächstes entscheiden, was zu tun
ist. Es macht keinen Sinn, eine ExchangeDatenbank aus der Datensicherung zurückzuspielen oder zu reparieren, wenn
die Hardware des Servers defekt ist oder
das Active Directory nicht mehr richtig
funktioniert. Wie bei jeder Problemlösung geht hier zunächst eine ausführliche Analyse voraus.
Exchange-Datenbanken
mit eseutil.exe reparieren
Ist eine Exchange-Datenbank defekt,
kommt oft das Befehlszeilen-Tool eseutil.exe zum Einsatz. Allerdings sollte der
Einsatz des Tools zunächst gut überlegt
werden und keine hastigen Entscheidungen getroffen werden. Oft werden nur wenig korrupte Datenbanken durch eine falsche Vorgehensweise vollends zerstört. Hier
gilt es also mit Bedacht zu handeln. Mit
eseutil.exe können Sie die einzelnen Datenbankdateien von Exchange bearbeiten
und überprüfen. Das Tool finden Sie im
Exchange-Installationsverzeichnis im Unterverzeichnis “\bin”. Unter Exchange
Server 2007 können Sie Eseutil aus jedem
Pfad heraus starten, in Exchange Server
19.09.2007
12:44
Seite 5
PRAXIS I Workshop
2003 müssen Sie in das bin-Verzeichnis
wechseln oder dieses Verzeichnis in den
Pfad des Servers eintragen.
Oft ist auf einem Server nicht genügend
Platz um mit Eseutil eine Datenbank zu
reparieren. Auch wenn die Hardware defekt ist und parallel zur Exchange-Datenbank repariert werden soll, ist es sinnvoll,
Eseutil auf einem anderen Server oder PC
ohne installierten Exchange-Server starten
zu können. Dadurch besteht die Möglichkeit, die zeitaufwändige Reparatur von Exchange parallel zum Aufsetzen eines neuen Servers durchzuführen. Damit Sie Eseutil
auch von einem anderen Computer aus
starten können, müssen Sie folgende Dateien zusammen mit den Datenbankdateien, die repariert werden sollen, kopieren:
- eseutil.exe
- ese.dll
- jcb.dll
- exosal.dll
- exchmem.dll
Überprüfen der ExchangeDatenbanken mit Eseutil
Der wichtigste Schritt ist die Überprüfung der Exchange-Datenbank auf Konsistenz. Mit dem Befehl
eseutil /mh
stellen Sie die Konsistenz des Headers der
Datenbank fest. Dem Kommando müssen Sie dabei auch den Pfad zur Datenbank mitgeben. Befinden sich im Pfad
Leerzeichen, schreiben Sie ihn in Anführungszeichen, zum Beispiel:
Bild 4: Mit Eseutil sollte zunächst der Zustand der Datenbank überprüft werden
eseutil /mh “C:\Programme\Microsoft\
Exchange-Server\Mailbox\First
Storage Group\Mailbox Database.edb”
Bevor Sie den Befehl verwenden können,
müssen Sie außerdem die Bereitstellung für
die Datenbank aufheben oder den Dienst
für den Informationsspeicher beenden. Da
bei diesen Vorgängen die Datenbank meistens ohnehin nicht mehr gestartet werden
kann, entfallen diese Vorgänge in der Regel.
Beenden Sie den Informationsspeicherdienst, werden allerdings auch die Benutzer anderer Speichergruppen vom Server
getrennt, was sicherlich nicht gewollt ist.
Es bietet sich an, ab und zu die Datenbanken zu überprüfen, oder zumindest
auf einem Testserver diese Abläufe zu
üben, auch wenn die Datenbank nicht de-
Leinhäuser_und_Partner_Fachübersetzungen
Wir helfen Unternehmen global zu kommunizieren
Siebeherrschen
beherrschenC/C++,
C/C++,Java,
Java,
Sie
Assembler,Perl,
Perl,PHP,
PHP,ASP,
ASP,SQL
SQL
Assembler,
Wirkönnen
könnenEnglisch,
Englisch,Französisch,
Französisch,Italienisch,
Italienisch,
Wir
Spanisch,Polnisch,
Polnisch,Schwedisch,
Schwedisch,Chinesisch,
Chinesisch,u.v.m
u.v.m
Spanisch,
PingenSie
Sieuns
unsan!
an!
Pingen
fekt ist. Nach der Eingabe und der Bestätigung des Befehls, wird der Test durchgeführt. Sinnvollerweise sollten Sie die
Ausgabe dieses Tests in eine Datei umleiten lassen. Das hat den Vorteil, dass diese
einfacher zu lesen ist und die Datei per
E-Mail an einen Support-Mitarbeiter geschickt werden kann, der unter Umständen mehr zu dem Fehler sagen kann. Für
IT-Consultants oder Administratoren kann
diese Datei zusätzlich noch als Dokumentation des Ausgangszustands dienen.
Wir zeigen Ihnen im Folgenden die wichtigsten Informationen des Testergebnisses.
Im Bereich “State” sollte nach einem normalen Herunterfahren des Servers “Clean
Shutdown” erscheinen. Ist die Datenbank
abgestürzt und wurde nicht korrekt heruntergefahren, erscheint hier “Dirty ShutInselkammerstr.
Inselkammerstr.
8 8
82008
82008
Unterhaching
Unterhaching
Tel.:Tel.:
+49 +49
89 480581-00
89 480581-00
Fax:Fax:
+49 +49
89 480581-01
89 480581-01
www.leinhaeuser.de
www.leinhaeuser.de
19.09.2007
12:44
Seite 6
PRAXIS I Workshop
Sobald das Tool fertig ist, kann die Bereitstellung wiederhergestellt werden.Allerdings sollten in diesem Fall auch die
weiteren Tests in diesem Artikel durchgeführt werden, da die Datenbank durchaus noch Inkonsistenzen enthalten kann.
Der nächste Test besteht darin, die Datenbank auf Integrität zu überprüfen. Die
Syntax sieht folgendermaßen aus:
eseutil /g
“C:\Programme\Microsoft\ExchangeServer\Mailbox\First Storage
Group\Mailbox Database.edb”
Bild 5: Die Konsistenz der Datenbankdateien muss sichergestellt werden
down” und es werden Transaktionsprotokolle gemeldet, die noch in der Datenbank
fehlen. Diese Protokolle finden Sie direkt
unter “State” im Bereich “Log Requiered”.
Stellen Sie sicher, dass die entsprechenden
Transaktionsprotokolle im Verzeichnis liegen
oder kopieren Sie diese aus der Datensicherung in das Verzeichnis.
Die Ausgabe von Eseutil erfolgt dezimal,
die Bezeichnung der Transaktionsprotokolle jedoch hexadezimal. Hier müssen Sie
den Namen umrechnen, um an das oder
die fehlenden Transaktionsprotokolle zu
kommen. Fehlen Transaktionsprotokolle
und können diese auch aus der Datensicherung nicht mehr hergestellt werden,
dürften Sie die Datenbank nur mit Daten-
verlust reparieren können – die Daten aus
den fehlenden Transaktionsprotokollen sind
verloren. Steht bei “Bad Checksum Error
Count” nicht der Wert “none”, passen Sie
mit dem Tool isinteg.exe die Datenbank an.
Zunächst starten Sie hierfür den Dienst für
den Informationsspeicher und heben die
Bereitstellung des Informationsspeichers,
der repariert werden soll, auf.
Startet der Dienst nicht mehr, ist eine Reparatur der Datenbank über diesen Weg
schon mal nicht mehr möglich. Startet
der Informationsspeicher, verwenden Sie
den Befehl
Isinteg -s {Name des Servers} -fix
-test alltests
Bei diesem Test sollten möglichst keine
Fehler auftreten, dann ist die Integrität
der Datenbanken gewährleistet. Treten
Fehler auf, ist schon mal sicher, woher der
Absturz kommt.
Ein weiterer Test besteht darin, die Datenbankdateien selbst auf Konsistenz zu
überprüfen. Mit diesem Test stellen Sie
fest, ob die Datenbankdatei physikalisch
in Ordnung ist. Nutzen Sie hierfür die
Option “/k” von Eseutil:
eseutil /k
“C:\Programme\Microsoft\ExchangeServer\Mailbox\First Storage
Group\Mailbox Database.edb”
Zumindest die Dateien der Datenbank
sollten für eine Reparatur konsistent sein.
Treten auch hier Fehler auf, wird die Reparatur immer schwieriger und so sollten
Sie parallel schon mal das Wiederherstellen der Datenbankdateien aus einer Datensicherung in Betracht ziehen.
Im zweiten Teil unserer Serie zeigen wir
Ihnen, wie Sie Ihre Exchange-Datenbanken mit einem Hard-Recovery wiederherstellen und gehen auf die verschiedenen Sicherungsmethoden ein. (dr)
Defekte Datenbanken reparieren
[1] http://support.microsoft.com/
default.aspx?scid=kb;en-us;896143
Links
Bild 6: Überprüfen Sie die Integrität der Datenbanknach einem Ausfall
60
Oktober 2007
S66-68_ITA_0208_S04+05_EAZ_Schnupperabo_Microsoft.qxp
22.01.2008
11:44
Seite 3
Kompetentes Schnupperabo
sucht neugierige Administratoren
03/200
04/
05
/2
00
00
6
3
8
7
6
07
/2
00
8
06
/2
200
8
Monate
lesen
Monate
bezahlen
So erreichen Sie unseren
Vertrieb, Abo- und
Leserservice:
Leserservice IT-Administrator
vertriebsunion meynen
Herr Stephan Orgel
D-65341 Eltville
Tel: 06123/9238-251
Fax: 06123/9238-252
[email protected]
Diese und weitere Aboangebote
finden Sie auch im Internet
unter www.it-administrator.de
Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252
Ja, ich möchte das Schnupperabo (= 6 Ausgaben) des IT-Administrator zum Vorzugspreis von € 37,80 inkl.
Versand und 7 % MwSt. (€ 41,70 im Ausland) mit 50 % Rabatt auf den Preis der Einzelausgabe testen. Wenn ich
nicht innerhalb von 10 Tagen nach Erhalt des sechsten Hefts kündige, erhalte ich 12 x im Jahr den IT-Administrator
zum Jahrespreis von € 135,- inkl. Versand und 7 % MwSt. (€ 150,- im Ausland).
Ich bestelle außerdem die Jahres-DVD 2007 mit den 12 Ausgaben des Jahres + dem Admins Favorite Heftarchiv im PDF-Format
zum Vorzugspreis von € 37,90 inklusive Versand und 19 % MwSt. Bestelle ich nur die Jahres-DVD ohne Schnupperabo, kostet sie € 49,90.
Mir ist bekannt, dass ich meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angabe von Gründen widerrufen kann.
Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an
Leserservice IT-Administrator, 65341 Eltville.
per Bankeinzug
Geldinstitut:
Kto.:
oder
Name, Vorname:
BLZ:
per Rechnung
Abos und Einzelhefte
gibt es auch als E-Paper
Firma:
Straße:
Land, PLZ, Ort:
Datum:
Tel:
Unterschrift:
E-Mail:
ITA 0208
Ich zahle
Inselkammerstraße 1
D-82008 Unterhaching
Tel: 089-4445408-0
Fax: 089-4445408-99
Geschäftsführung:
Anne Kathrin Heinemann
Matthias Heinemann
Amtsgericht München HRB 151585
S34-37_ITA_1107_P07_Daxten.qxp
21.10.2007
13:12
Seite 2
PRAXIS I Workshop
Installation und Konfiguration von FreeNAS
NAS-Server auf
Open-Source-Basis
von Dr. Götz Güttich
NAS-Server gibt es wie Sand am Meer. Als eher ungewöhnlich sticht da das FreeNAS-Projekt heraus. Dieses
stellt einen NAS-Server auf Open-Source-Basis bereit, der FreeBSD als Betriebssystem nutzt und auf einer großen Zahl unterschiedlicher Rechnerumgebungen läuft. Da das System von einer CD starten kann, lassen sich
damit sowohl bestehende Produktivsysteme kurzzeitig zu NAS-Servern umfunktionieren als auch ältere Hardwarekomponenten in einer neuen Rolle als NAS-Server wieder zum Leben erwecken. Dieser Workshop zeigt,
was die Anwender bei der Installation und Konfiguration der Lösung beachten sollten.
ür unseren Workshop installierten wir FreeNAS in einer Virtual
Machine unter VMware-Server 1.0.3.
Die Installation ist zwar nicht zwingend
notwendig, da FreeNAS auch von CD
starten kann. Der Workshop wäre aber
unserer Ansicht nach ohne eine Beschreibung des Setup-Vorgangs nicht
vollständig. Die Virtual Machine, auf der
FreeNAS in unserer Umgebung lief,
verfügte übr igens über 256 MByte
RAM, ein IDE-CD-ROM-Laufwerk,
eine Netzwerkschnittstelle und zwei
SCSI-Festplatten mit jeweils 20 GByte
Kapazität.Auf der ersten installierten wir
FreeNAS, die zweite kam als Datenspeicher zum Einsatz.
F
An Dateisystemen arbeitet FreeNAS mit
dem BSD-typischen UFS, dem aus der
Linux-Welt bekannten Ext2 oder FAT32
aus Windows-Umgebungen zusammen.
NTFS-Dateisysteme, wie sie unter Windows NT und neueren Windows-Varianten zum Einsatz kommen, kann das Produkt nur lesen. Außer mit IDE-, SATAund SCSI-Festplatten kommuniziert die
Lösung auch mit USB-Speichermedien.
Die Zugriffssteuerung erfolgt entweder
über eine eingebaute Benutzerverwaltung
oder über Active Directory.
34
November 2007
Setup von FreeNAS
Zum Aufrufen der Setupoutine reicht es,
wenn Sie den jeweiligen Rechner von
der FreeNAS-CD starten, deren Image
auf der Homepage des Projekts unter [1]
zum Download bereitsteht. Zum Zeitpunkt des Workshops war FreeNAS in der
Version 0.685b2 aktuell.Vor dem Hochfahren des eigentlichen Systems erscheint
ein Bootmanager, der die Optionen
“Boot”, “Safe Mode”, “ACPI disabled”
und Ähnliches anbietet. In den meisten
Fällen sollte es genügen, einfach den
Boot-Vorgang aufzurufen, auf älterer
Hardware kann die Option “ACPI disabled” im Problemfall sinnvoll sein.
.
Die Software lässt sich über ein Web-IInterface warten
und beherrscht die Kommunikation mit Linux-,, Mac-OOSund Windows-SSystemen. Im Wesentlichen besteht das
Produkt aus einem FreeBSD-KKernel in Verbindung mit
Samba-,, FTP-,, SSH- und NFS-SServern. Dazu kommt der
Apple-Dateidienst AFP. FreeNAS ist außerdem noch dazu
in der Lage, die aktiven Dienste per Zeroconf bekannt
zu geben, Dateien via UPnP im Netz bereitzustellen und
zeitgesteuert über Rsync Daten auf andere Rechner zu
sichern beziehungsweise von diesen zu holen. Darüber
hinaus unterstützt die Lösung die RAID -LLevel 0, 1 und
5 sowie JBOD-KKonfigurationen.
Kasten 1: Funktionen von FreeNAS
Nach dem Start kommt ein Textmenü
hoch, das Ihnen die Möglichkeit gibt,
die Netzwerk-Interfaces des Systems zuzuweisen, LAN-IP-Adressen zu vergeben, das Passwort der webbasierten Konfigurationsoberfläche zurückzusetzen,
einen Reset der Serverkonfiguration auf
Standardeinstellungen durchzuführen,
einen Host anzupingen, eine Shell aufzurufen, das System auszuschalten sowie einen Installations- beziehungsweise Upgrade-Vorgang auf Festplatte
anzustoßen.
Wählen Sie nun die Installationsoption. Danach fragt FreeNAS, ob das Setup auf einem Flash-Device oder auf
einer Festplatte erfolgen soll. Außerdem erhalten Sie die Option, die volle
Version von FreeNAS oder eine Embedded-Variante einzuspielen beziehungsweise ein Upgrade durchzuführen. Wählen Sie hier die volle
Installation auf Festplatte aus.
Jetzt fragt die Installationsroutine nach
den Gerätenamen des CD-Laufwerks und
der Festplatte, danach formatiert sie das
Speichermedium automatisch und spielt
die Software ein. Ein Neustart schließt die
Installation ab.
21.10.2007
13:12
Seite 3
PRAXIS I Workshop
tionen “admin” und “freenas” ein. Überprüfen Sie dann, ob die neue IP-Adresse
in der Interfaces-Sektion des Statusmenüs
erscheint und speichern Sie die Konfiguration sicherheitshalber noch einmal ab.
Starten Sie anschließend den Rechner
neu, danach sollte die neue IP-Adresse
dauerhaft vorhanden sein.
Mit dem Web-Interface arbeiten
Bild 1: Das Web-Interface zeigt den aktuellen Datenverkehr in Echtzeit an
Erstkonfiguration einrichten
Sobald der Reboot vollendet ist, finden
Sie sich erneut im beschriebenen Textmenü wieder, das es Ihnen ermöglicht,
die Netzwerkanschlüsse zuzuweisen und
die IP-Adresse zu setzen. FreeNAS unterstützt dabei auch IPv6. Konfigurieren
Sie nun das Netzwerk und berücksichtigen Sie dabei, dass Sie mit einer englischen Tastaturbelegung arbeiten. In einigen Fällen kann es vorkommen, dass das
System sich die neue Netzwerkkonfiguration nicht merkt und weiterhin mit seiner Default-IP-Adresse arbeitet. In solchen Fällen gehen Sie folgendermaßen
vor: Starten Sie den FreeNAS-Rechner
neu. Achten Sie während des Boot-Vorgangs auf den Namen des verwendeten
Netzwerk-Interfaces, beispielsweise
“em0”. Selektieren Sie nun im Textmenü nach dem Systemstart die Option “6”.
Das ruft eine Shell auf. In dieser können
Sie über den Befehl
Adresse, der in unserem System den bereits angesprochenen Namen “em0”
trug. Informationen darüber, wieso unsere Workshop-Virtual-Machine mit
em0 als Netzwerk-Interface arbeitete,
finden Sie in Kasten 3. Geben Sie nun
Folgendes ein:
/sbin/ifconfig {Name ihres Interfaces} {Gewünschte IPAdresse}/{Subnetz in CIDR-Notation}
Dieser Befehl setzt die neue Netzwerkkonfiguration. Die CIDR-Notation
(Classless Inter Domain Routing) definiert die Subnetzmaske, ist aber deutlich
kürzer als die “klassische” Dezimalschreibweise mit Punkt.Wollen Sie dem
NAS-Server beispielsweise die IP-Adresse 192.168.1.100 mit der Subnetzmaske
255.255.255.0 geben, so sieht der entsprechende Befehl so aus:
/sbin/ifconfig
/sbin/ifconfig {Interfacename}
192.168.1.100/24
die aktuelle Netzwerkkonfiguration einsehen. Dort findet sich neben dem
Loopback-Interface mit der IP-Adresse
127.0.0.1 zumindest noch ein anderer
Netzwerkanschluss mit der Default-IP-
Greifen Sie nun mit einem Ihrer Konfigurationsclients auf das Web-Interface der
Lösung über die URL http://{IP-Adresse des NAS-Servers} zu und loggen Sie
sich mit den Standard-Anmeldeinforma-
Nachdem die Erstkonfiguration abgeschlossen wurde, können Sie sich daranmachen, den NAS-Server zu konfigurieren. Rufen Sie dazu das Web-Interface auf
und loggen Sie sich mit den Zugangsdaten admin/freenas ein. Danach landen Sie
auf einer Übersichtsseite, die Ihnen Informationen über den Systemnamen, die
verwendete FreeNAS-Version, die CPUPlattform, Datum und Uhrzeit, Uptime
und ähnliche Faktoren liefert.
Die eigentliche Konfiguration läuft anschließend über eine übersichtliche
Menüstruktur ab, wobei die einzelnen Befehle auf der linken Fensterseite selektierbar sind. Der erste Menüpunkt nennt
sich “System” und umfasst Eingabemöglichkeiten für allgemeine Einstellungen
wie Hostname, Domain, DNS-Konfiguration, Passwort für das Web-Interface, zu
verwendenden Port, Systemzeit, NTPKonfiguration und Zeitzone. Außerdem
haben Sie an dieser Stelle Gelegenheit,
den Zugriff auf das Web-Interface über
SSL zu verschlüsseln.
Die Anforderungen von FreeNAS sind relativ gering. Das
System setzt lediglich einen Rechner mit 96 MByte
RAM und einem bootfähigen CD-RROM-LLaufwerk voraus.
Abgesehen davon benötigt es ein Floppy-LLaufwerk zum
Speichern der Konfigurationsdaten und eine oder mehrere Festplatten zum Ablegen der Daten. Alternativ lässt
sich FreeNAS auch auf Festplatte oder einem startfähigen USB- oder CF-DDrive einrichten. Es ist sogar möglich,
FreeNAS auf Systemen mit nur einer Harddisk zu installieren und zu nutzen, dann muss diese allerdings so partitioniert werden, dass für das System und die zu sichernden Daten unterschiedliche Partitionen zum
Einsatz kommen.
Kasten 2: Hardware-Anforderungen
November 2007
35
21.10.2007
13:12
Seite 4
PRAXIS I Workshop
sätzlich können Sie auch noch Klarheit
darüber schaffen, welche Systeme der
NAS-Server als WINS- sowie als NTPServer verwendet und welche BufferGrößen zum Einsatz kommen. Zum
Schluss geben Sie den Freigaben einen
Namen, legen den Mountpoint fest und
aktivieren bei Bedarf einen Papierkorb für
das jeweilige Share. Danach sind die
Clients bereits dazu in der Lage, auf die
Freigabe zuzugreifen (falls sie über entsprechende Rechte verfügen).
Zugriffe festlegen
Bild 2: Der Konfigurationsdialog zum Einbinden von Partitionen
Unter dem Punkt “Erweitert” können Sie
bei Bedarf das Konsolenmenü abschalten,
ein Zertifikat einspielen, die Systemlautsprecher des NAS-Servers deaktivieren,
einen SMART-Dämon starten, der den
Festplattenzustand überwacht, und den
Power-Dämon sowie Zeroconf ein- und
ausschalten. Darüber hinaus lassen sich an
gleicher Stelle auch die Auslagerungsdatei
anpassen und bestimmte Befehle vor und
nach dem Systemstart ausführen. Möglichkeiten zum Anlegen von statischen
Routen und zum Editieren der Host-Liste (etwa für NFS-Verbindungen) ergänzen
den Leistungsumfang des Systemmenüs.
disks definieren. Hinzu kommt noch eine
Option zum Formatieren der Festplatten.
Außerdem ermöglicht Ihnen die Festplattenverwaltung das Einstellen einer Verschlüsselung und das Einrichten von Software-RAID mit den zuvor genannten
Levels. Zum Schluss haben Sie Gelegenheit, Partitionen zu mounten. Dazu müssen Sie lediglich das Dateisystem benennen, einen Freigabenamen definieren und
eine Beschreibung vergeben. In dem
genannten Menü stehen zusätzlich noch
Werkzeuge für manuelle mount- und unmount-Vorgänge sowie für Dateisystemüberprüfungen zur Verfügung.
Der nächste Hauptpunkt erlaubt die Konfiguration der Schnittstellen in den Bereichen IP-Settings, MTU-Größe,Verbindungsgeschwindigkeit und Ähnlichem.
Interessanter ist die Festplattenkonfiguration, da diese für die Bereitstellung des
Speicherplatzes sorgt. Zuerst sollten Sie
Ihrem System hier die vorhandenen Festplatten bekannt geben. Dabei können Sie
auch mit iSCSI-Initiatoren arbeiten (die
SCSI-Controller über IP-Netzwerke simulieren), den UDMA-Modus festlegen
sowie den Geräuschpegel und das PowerManagement konfigurieren sowie das Dateisystem und die Standby-Zeit der Hard-
Sobald die Festplatten definiert wurden,
kommt die Konfiguration der Dienste an
die Reihe.Wenn Sie in Windows-Netzwerken arbeiten, liegt Ihr erstes Augenmerk sicher auf CIFS. Bei diesem Netzwerkprotokoll sind Zug r iffe von
anonymen Benutzern, lokalen Benutzern
und Active-Directory-Konten aus möglich. Um es in Betrieb zu nehmen genügt
es, die Authentifizierungsmethode festzulegen, einen NetBIOS-Namen und einen
Arbeitsgruppennamen zu definieren, das
Character-Set und den Log-Level festzulegen und anzugeben, ob das System als
lokaler Master-Browser arbeiten soll. Zu-
36
November 2007
Die nächsten Unterpunkte des Dienstemenüs befassen sich mit der Konfiguration des FTP-Servers (mit dem zu verwendenden Port, der maximalen Zahl
gleichzeitiger Verbindungen,Timeouts und
Ähnlichem) sowie des SSH-Daemons (mit
Port und SSH-Tunneling).Anschließend
kommen die Dienste NFS (mit authentifizierten Netzwerken) und AFP an die
Reihe. Außerdem können Sie hier Dateisynchronisationen über Unison und
Rsync durchführen, iSCSI-Targets angeben,Verzeichnisse via UPnP im Netz verfügbar machen und DynDNS-Einstellungen vornehmen. FreeNAS arbeitet
übrigens mit den DynDNS-Anbietern
dyndns.org, freedns.afraid.org, zone
edit.com und noip.com.
Unter FreeBSD kommt standardmäßig in VMware Virtual
Machines das Netzwerk-Interface “lnc0” zum Einsatz.
Dieses ist jedoch mit einigen Nachteilen behaftet. Zum
einen wird es FreeBSD 7 nicht mehr unterstützen und
zum anderen bringt es eine schlechte Netzwerkleistung
mit, da es nur im “GIANT-Locked”-Modus arbeitet. Der
lnc0-Treiber lässt sich aber unter VMware relativ einfach
mit einem emulierten em0-Treiber ersetzen, der die genannten Limitierungen nicht aufweist. Dazu genügt es,
im VMX-File der jeweiligen Machine unter der Zeile
Ethernet0.present = "TRUE"
diese Zeile einzufügen:
ethernet0.virtualDev="e1000"
Danach arbeitet die Virtual Machine (und damit auch
das darin installierte FreeBSD) mit dem em0-Interface.
Kasten 3:
Interface “em0” beim VMware-Server
21.10.2007
13:12
Seite 5
Bild 3: Die CIFS-Konfiguration von FreeNAS bietet den Administratoren alle Funktionen,
die sie für den Datenaustausch mit Windows-Systemen benötigen
Das Menü “Zugriff ” übernimmt die Verwaltung der lokalen Benutzer und Gruppen sowie die Konfiguration der ActiveDirectory- und LDAP-Zugriffe. Sollen
lokale Benutzerkonten zum Einsatz kommen, so müssen Sie zuerst eine oder
mehrere Gruppen anlegen, in denen die
jeweiligen Benutzer Mitglieder sein können. Danach geht es dann an die Definition der Benutzerkonten. Die Beschreibungen dieser Konten dürfen
allerdings keine Umlaute enthalten, diese nimmt das System nicht an.Ansonsten
haben Sie bei der Benutzereinrichtung
die Möglichkeit, den jeweiligen Usern
einen Shell-Zugriff zu gestatten, sie in
die Administratorengruppe aufzunehmen
und ihre jeweiligen Zugangspasswörter
zu setzen. Bei der Arbeit mit ActiveDirectory- und LDAP-Servern reicht es,
die Serveradressen anzugeben und Domänennamen, Suffixe und Ähnliches zu
definieren.
Sie sind hier nicht nur dazu in der Lage, bestimmte Befehle auszuführen, Dateien auf den Server hoch- beziehungsweise von dort herunterzuladen, Files
zu bearbeiten und die ARP-Tabelle einzusehen, sonder n können auch die
Konfiguration als XML-Datei sichern
sowie wiederherstellen, den Server herunterfahren beziehungsweise neu starten und das System auf Werkseinstellungen zurücksetzen. Eine Möglichkeit
zum Konfigurieren eines Remote-Syslog-Hosts und zum Einsehen der LogDateien für System, FTP, Rsyncd, Sshd,
Smartd und Deamon runden gemeinsam mit einer Übersichtsseite den Leistungsumfang des Web-Interfaces ab. Die
Übersichtsseite bietet Informationen zu
Festplatten, Partitionen, dem Smart-Status, dem benutzten Speicherplatz, dem
Software-RAID, den aktiven Mounts,
der Auslagerungsdatei und Ähnlichem.
Nun kommen wir zur Statusseite. Diese gibt Aufschluss über den Systemzustand, die laufenden Prozesse, die aktiven Schnittstellen, die vorhandenen
Festplatten, das WLAN (falls vorhanden) und den Datendurchsatz beziehungsweise die CPU-Last. Der letzte
Menüpunkt nennt sich Diagnose und
stellt Ihnen eine Reihe wichtiger und
nützlicher Werkzeuge zur Verfügung.
Das FreeNAS-Projekt bietet einen sehr
flexiblen, relativ einfach zu wartenden
und extrem Leistungsstarken NAS-Server zum Nulltarif. Mit dieser Lösung lässt
sich alte Hardware weiter nutzen, es ist
aber auch möglich, über die FreeNASLive-CD Daten von PCs schnell und einfach im Netz zur Verfügung zu stellen.
Das Tool sollte in keinem AdministratorWerkzeugkasten fehlen. (dr)
ABERFàRDEN&ALL
DER&ËLLEISTEINFACH
MEHR:EITDA
.UNJAWIEUNDMITWEM3IE)HRE
GEWONNENE&REIZEITVERBRINGENWERDEN
BLEIBTNATàRLICH)HNENàBERLASSEN&AKT
ISTABERDASS3IEDURCHDEN%INSATZEINER
!VOCENT)NFRASTRUKTUR-ANAGEMENT
,ÚSUNGVIEL:EITBEIDER!DMINISTRATION
UND7ARTUNG)HRER(ARDWAREEIN
SPARENDIE3IEFàRWEITEREWICHTIGE
0ROJEKTENUTZENKÚNNEN
5NDNICHTNURDAS%FlZIENTES)NFRASTRUKTUR
-ANAGEMENTBEDEUTETFàR3IE
7ENIGER$OWNTIME
&EHLERDIAGNOSEUNDBEHEBUNGVIA)0
2EMOTE+ONTROLLE)HRERGESAMTEN(ARDWARE
Fazit
$IESUNDALLESWEITEREZUR%RLEICHTERUNG
)HRES!DMINISTRATOR!LLTAGSGIBTSBEI$AXTEN
UNTERWWWDAXTENDE
ODERàBERINFODE DAXTENCOM

)HRE0ARTNERFàR)NFRASTRUKTUR-ANAGEMENT,ÚSUNGEN