Leseprobe - IT-Administrator
Transcrição
Leseprobe - IT-Administrator
IT-ADMINISTRATOR.DE Titel_Leseprobe2007.qxp 07.02.2008 12:52 Seite 1 IT-Administrator 2007 – Auszüge als Leseprobe Im Test: SSL-VPN-Appliances Workshop: Sicheres VistaDeployment im Netzwerk Workshop: Arbeitsweise und Konfiguration von Xen Workshop: Datenbankfehler in Exchange beheben Workshop: Installation und Konfiguration von FreeNAS Leseprobe S06-09_ITA_1207_A01_MicrosoftServer.qxp 18.11.2007 12:22 Seite 2 AKTUELL I News Signal-Fernverkehr Lindy bietet im Rahmen der Produktreihe “Audio/Video-Extender Cat 5/6” zwei neue Modelle zur Übertragung von Audio- und Videosignalen an. Für den Anschluss von Bildschirmen oder Beamern via RGB- oder Komponentenvideosignal bietet sich die RGB/SPDIF-Variante an. Dieser Extender überträgt analoge RGBSignale oder Komponenten-Video sowie digitale Audiosignale (SPDIF) auf bis zu 200 Meter über RJ45-Netzwerkkabel. Die Übertragungsdistanzen sind dabei laut Hersteller abhängig von der Qualität und Auflösung des Ausgangssignals, der Empfindlichkeit des Empfängers sowie vom verwendeten Netzwerkverbindungskabel. Optimale Qualität erreichten Nutzer mit 720p/1080i-Videosignalen bis 200 Meter. Bei geringeren Videoauflösungen könne die Reichweite bis auf 300 Meter gesteigert werden. Sollen lediglich Videosignale vom Typ Composite oder S-Video sowie analoge Stereo-Audio-Signale transportiert werden, bietet sich die S-Video/Stereo-Variante an. Dieser Extender soll S-VHS/SVideo- und Stereo-Audio-Signale über Standard-RJ45-Netzwerkkabel (UTP oder STP, Cat. 5/5e oder Cat. 6) bis zu einer Länge von 600 Metern übertragen. Auch hier ist die maximale Distanz laut Hersteller abhängig von der jeweiligen Anwendung und den verwendeten Netzwerkkabeln. Die AV-Extender werden als komplette Einheit aus Sender und Empfänger geliefert und sind ab sofort verfügbar. Die RGB/SPDIF-Variante kostet rund 90 Euro, die S-Video/Stereo-Audio-Version ist für knapp 75 Euro erhältlich. (dr) Lindy: www.lindy.de Übertragen Audio- und Videosignale über bis zu 600 Meter: Die neuen RGB/SPDIF- und S-Video/Stereo-Extender von Lindy 6 Dezember 2007 Aufpoliertes Thin-Client-Management Igel bringt seine Thin-Client-Managementsoftware “Remote Management Suite” (RMS) in Version 2.07 auf den Markt. Die neue Version verfügt über eine integrierte Java-Datenbank und soll damit Kosten und Zeit beim Rollout der abgespeckten Rechner sparen, indem sie eine einfache und schnelle Installation per Knopfdruck ermöglicht. Die Datenbank richtet sich dabei laut Hersteller auch an kleinere IT-Abteilungen. In umfangreichen und komplexeren Umgebungen unterstützt die Suite Datenbanken wie Microsoft SQL Server, Oracle und IBM DB2.Auch die Integration des Active Directory, das dem Management von Zugriffsrechten dient, hat der Hersteller mit WLAN-Router mit Extrawerkzeugen Buffalo Technology bietet mit dem WHR-HP-G54DD einen WLANRouter mit DD-WRT-Support an. Bei DD-WRT handelt es sich um ein Projekt, das WLAN-Access-Points um zusätzliche Netzwerkfunktionen wie etwa VLANs, VPN, IPv6-Suppor t, Port-Forwarding oder Remote-Syslog erweitert. Üblicherweise müssen Anwender die ausgebaute Firmware hierfür eigenständig in ihre WLANRouter einspielen und riskieren dabei die Gewährleistung und Funktionsfähigkeit der Geräte. Besonders für das Management eines kleineren BusinessNetzwerks stellt der DD-WRT-Router laut Hersteller eine breite Palette an Funktionen zur Verfügung, welche die Verwaltung und Wartung unterstützen und erleichtern sollen. Er soll unter Sollen sich dank RMS 2.07 noch einfacher verwalten lassen: Die Thin Clients von Igel Version 2.07 weiter verbessert. IT-Verantwortliche können nun die Anwender nicht mehr nur direkt aus dem Active Directory importieren, sondern auch einzelnen Gruppen Administrationsrechte zuweisen, diese über Active Directory verwalten und innerhalb der RMS automatisch aktualisieren. Die Remote Management Suite 2.07 ist ab sofort kostenlos auf der Herstellerseite erhältlich. (dr) Igel: www.myigel.com anderem Zugangsbeschränkungen, Fernzugriff über HTTPS, zentrale Systemüberwachung mittels Syslog sowie das gesamte Router-Management über Command Line ermöglichen, sodass auch ohne Netzzugang oder bei sehr schlechter Verbindung auf den Router zugegriffen werden kann. Laut Buffalo kann der Administrator zudem beim Fernzugriff über die Kommandozeile dank SSH-Protokoll die IP-Adressen festlegen, denen Remote-Zugang gewährt werden soll. Der Router verfügt darüber hinaus über Wake-on-LAN, den Netzwerk-Management-Support SNMP sowie den RFlow-Controller als Traffic-Monitoring-Tool. Erhältlich ist der WHR-HP-G54DD AirStation Wireless-G MIMO Perfor mance Router und Access-Point mit DDWRT ab sofort für 62 Euro. (dr) Buffalo Technology: www.buffalo-technology.com www.it-administrator.de S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp 21.08.2007 13:52 Seite 2 P R O D U K T E I Ve r g l e i c h s t e s t Im Test: SSL-VPN-Appliances Von überall ins Firmennetz von Josef Hübsch Mit der zunehmenden Mobilität der Mitarbeiter und der steigenden Vernetzung der Unternehmen untereinander wächst der Bedarf nach sicheren Zugangsmöglichkeiten zu Unternehmensdaten von außerhalb des Firmennetzes. Sehr flexibel lässt sich dies für unterschiedliche Benutzergruppen mittels eines SSL-VPN-Gateways realisieren. Für einfache Aufgaben und eine Handvoll Benutzer kommen durchaus preiswerte Modelle in Frage, bei komplexen Anforderungen und steigender Benutzerzahl lässt sich der tiefere Griff in den Geldbeutel nicht vermeiden. IT-Administrator hat vier Modelle unterschiedlicher Leistungsklassen eingehend getestet. och recht jung ist die SSL-VPNTechnik für den sicheren Zugriff über das Internet auf Ressourcen und Applikationen in einem geschützten Firmennetz. Dagegen ist die Anbindung über IPSec, welche allerdings eine vergleichsweise komplizierte Clientkonfiguration erfordert, schon länger etabliert. Da der Client-PC bei IPSec stets vollständig in das Firmennetz integriert wird, ist die Nutzung beliebiger fremder Rechner praktisch ausgeschlossen und auch viel zu riskant. N Weiterhin ist eine Installation der Clientsoftware beispielsweise in einem InternetCafe oder an einem Kiosk-PC gar nicht möglich. Die SSL-VPN-Technik besitzt diese Handicaps nicht. Statt über einen Software-Client erfolgt der Zugriff mittels Web-Browser, wahlweise stehen für erweiterte Zugriffsmöglichkeiten Agenten in Form von ActiveX- oder Java-Applets zur Verfügung. Über den Browser gelangen die Anwender auf ein Webportal, über das sie individuell frei geschaltete Ressourcen (etwa das eigene Intranet oder Netzwerkfreigaben) und Applikationen wie Client-Server-Anwendungen aufrufen können. Ein Fernzugriff auf Systeme ist per Virtual Network Computing (VNC) oder das Remote Desktop Protokoll (RDP) 18 September 2007 beziehungsweise Citrix Terminal Services möglich. Das SSL-VPN-Gateway dient als Einwahlplattform, auf der die Zugriffsrechte für unterschiedliche Anwendergruppen individuell definiert werden. So kann beispielsweise ein Administrator von zuhause die Server kontrollieren, ein Mitarbeiter seine E-Mails über Outlook Web Access oder Lotus Notes lesen und ein Angestellter einer anderen Firma einen Zugriff auf eine Applikation zum Abgleich von Lieferdaten durchführen. Die Zugriffsrechte sind also prinzipiell beschnitten. Ein transparenter Netzwerkzugriff ist zwar ähnlich wie bei IPSec mittels PortForwarding oder VPN-Tunnel realisierbar, aber nur dann erforderlich, wenn jemand wirklich mit abgelegten Dateien arbeiten muss. Die vier getesteten SSL-VPN-Gateways gliedern sich hinsichtlich Leistung und auch Preis in zwei Gruppen: Die preiswerten Modelle Netgear SSL312 und Zyxel Zywall SSL 10 eignen sich für maximal 25 gleichzeitige SSL-Verbindungen. Die Aventail EX-1600 bedient bis zu 250 Anfragen gleichzeitig, die Cisco ASA-5540 letztendlich bewältigt bis zu 2.500 gleichzeitige Verbindungen. Aventail EX-1600 Insgesamt drei Modelle für 50 bis hin zu 2.000 SSL-VPN-Verbindungen hat Aven- tail im Portfolio – die von uns getestete Appliance EX-1600 kann bis zu 250 Anwender gleichzeitig bedienen.Aventail gehört zu den SSL-VPN-Pionieren und auch die EX-1600 ist schon länger auf dem Markt. Sie adressiert mittlere und größere Unternehmen. Eine IPSec-VPNFunktionalität wie bei der Cisco ASA-Serie ist nicht integriert. Durch Clustering und Load-Balancing zwischen mehreren Geräten lässt sich bei Bedarf eine hochverfügbare Zugangsplattform realisieren. Problemlose Konfiguration Die Inbetriebnahme der EX-1600 gelingt ohne Probleme. Die beiden LAN-Schnittstellen sind klar dem internen und externen Netz zugeordnet. Ein zweizeiliges LCD-Display zeigt unter anderem die eingestellten IP-Adressen an, was den ersten Zugriff erleichtert.Vier Navigationstasten neben dem Display erlauben ein Umschalten der Anzeigeinhalte und das Ändern der voreingestellten IP-Adressen. Ist die erste Verbindung von einem PC aus hergestellt und die so genannte “ASAP Management Console” aufgerufen, führt ein Assistent durch die Grundkonfiguration. Er fragt die Netzwerkeinstellungen ab, legt die erste Ressource für einen SSLZugriff an, definiert eine dazugehörige Zugriffsregel und trägt einen lokalen Benutzer ein, so dass im Anschluss ein erster Funktionstest möglich ist. www.it-administrator.de S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp 21.08.2007 13:53 Seite 3 P R O D U K T E I Ve r g l e i c h s t e s t rade auf unbekannten Systemen steht optional eine virtuelle Tastatur zur Verfügung.Weiterhin bietet die Appliance einen Secure Desktop oder leert die zwischengespeicherten Daten bei Sitzungsende. Zur Authentisierung unterstützt die EX1600 neben einer lokalen Datenbank auch LDAP, Radius und Active Directory. Gruppen können zudem dynamisch mittels LDAP- und AD-Abfragen gefüllt werden. Etwas übersichtlicher könnte das Anmeldeportal für die Clients gestaltet sein – hier hat Cisco die Nase vorn. So sind die Verknüpfungen nicht nach Rubriken geordnet und die gesamte Optik etwas lieblos gestaltet. Bild 1: Sehr umfassend ist die integrierte Produktpalette für die Prüfung der Clientsicherheit der EX-1600 Granulare Optionen im Betrieb Die Appliance nutzt vier unterschiedliche Dienste für die Zugriffssteuerung der Clients und Agenten. Der Netzwerktunneldienst übernimmt das Routing für Applikationen und Protokolle, wie auch Voice over IP, ICMP, Reverse-Verbindungen wie SMS oder bidirektionale Protokolle wie FTP.Auf der Clientseite kommen hierbei der “Connect Tunnel Client” oder der “OnDemand Tunnel Agent” zum Einsatz, die von der Appliance automatisch heruntergeladen, installiert und aufgerufen werden. Ein Web-Proxy-Dienst übernimmt den sicheren Zugriff auf Web-basierte Applikationen, Web-Server und Netzwerkfreigaben von einem Web-Browser aus. Für Pocket PCs stellt Aventail einen “Connect Mobile Client” bereit, weiterhin ist ein Java-basierter Agent verfügbar. Der ASAP-Workplace-Dienst steuert den Zugriff auf die eingerichteten Portal-Ressourcen. Der Netzwerk- www.it-administrator.de Proxy-Dienst letztendlich ist ein sicherer Proxy für normale Client-/ServerApplikationen, basierend auf dem Protokoll Socks v5. Ähnlich wie bei Cisco wird auch bei der EX-1600 die Endpunktsicherheit groß geschrieben. Es lassen sich granulare Zugriffsrechte definieren, wobei die Appliance bei einem Zugriff zuerst einmal prüft, ob es sich um ein bekanntes, von der IT gemanagtes oder völlig fremdes System wie einen Kiosk-PC handelt. Geradezu umwerfend ist die Vielzahl der hinterlegten Profile, um die verschiedensten Produkte für Virenprüfung, SpywareSchutz und Personal Firewalls zu erkennen, wobei sich die Prüfregeln sehr einfach erstellen lassen. Dies ist etwas besser gelungen als bei der ASA 5540. Die EX-1600 kann gestohlene Geräte über entsprechende Signaturen jederzeit identifizieren und ausschließen. Zum Schutz gegen Tastatur-Logger-Tools ge- Überzeugend hingegen ist die breite Client-Betriebssystem-Unterstützung – Windows, Windows Mobile, Linux und Macintosh auf PCs, PDAs und Smartphones sowie imode- und WAP-Geräte werden unterstützt. Indem die Appliance ebenso wie die Cisco ASA 5540 sowohl ActiveX-, als auch Java-basierte Agenten benutzt, lässt sie sich mit einer Vielzahl an Browsern einsetzen. Positiv fällt auf, dass bereits in der Kurzanleitung recht übersichtliche Tabellen zu finden sind, welche Nachdem die SSL-VPN-Technik darauf abzielt, einen Zugriff von beliebigen Systemen ohne spezielle Clientinstallation zu ermöglichen, ist es wichtig zu prüfen, dass genau diese beliebigen Systeme (Endpunkte) nicht virenverseucht sind, Malware in das Firmennetz einschleusen oder vertrauliche Tastatureingaben ausspionieren. Zur Vorbeugung beherrschen die meisten SSL-VPN-Appliances verschiedene Maßnahmen, allerdings in unterschiedlicher Ausprägung. Die beste Abschottung vom Client verspricht ein so genannter Secure Desktop. Hierbei baut ein von der Appliance herunter geladener Agent eine virtuelle Partition mit eigenem Desktop auf dem Client auf, wobei alle Daten verschlüsselt in dieser Partition gehalten werden. Zwischen dem lokalen und dem Secure Desktop findet kein Datenaustausch statt, außer dies ist vom Administrator erlaubt und vom Anwender gezielt initiiert. Im Idealfall wird bei Sitzungsende die virtuelle Partition gelöscht und überschrieben. Auch wenn letzteres fehlschlägt, sind die Chancen, Informationen auszuspähen, sehr gering, da alles verschlüsselt ist. Kasten 1: Traue keinem Endpunkt September 2007 19 S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp 22.08.2007 12:05 Seite 4 P R O D U K T E I Ve r g l e i c h s t e s t Aufgabe sich am besten mit welcher Zugriffsmethode lösen lässt und wo die Vorteile liegen. Im Test konnten wir diverse Ressourcen wie RDP, die Bereitstellung von Webseiten und den Zugriff auf Netzwerkfreigaben einfach und zielstrebig einrichten. Ein VNC-Zugriff ist allerdings nicht für eine schnelle Anlage vorbereitet, es kann aber Port-Forwarding genutzt werden. Optional sind auch Host-Access-Module für den Zugriff auf Host-basierende Applikationen in IBM-, Unix- und OpenVMS-Umgebungen erhältlich, wobei “Reflection” von Attachmate als WebTerminalemulation integriert ist. Ideal für heterogene Umgebungen Durch die vielfältige Unterstützung verschiedenster Betriebssysteme ist die Aventail-Appliance EX-1600 für heterogene Umgebungen bestens gerüstet, vor allem, wenn auch Hostzugriffe notwendig sind. Ebenso wie bei der Cisco ASA 5540 wird besonderer Wert auf eine detaillierte Endpunktkontrolle gelegt. Aufgrund ihres Preises eignet sich die Appliance für mittlere und größere Umgebungen. Weniger geeignet ist sie, wenn gleichzeitig auch IPSec-Verbindungen beispielsweise zu Außenstellen benötigt werden. Dies muss über ein anderes Gerät erfolgen, SSL und IPSec zugleich unterProdukt Appliance für den Zugriff auf Ressourcen eines Firmennetzwerkes via SSL-VPN-Verbindung Vorteile > Einfache Konfiguration > Umfassende Überprüfung der Endpunktsicherheit > Breite Betriebssystem- und Browser-Unterstützung Nachteile > Sehr schlichtes Einwahlportal Hersteller Aventail www.aventail.de Preis ab 11.700 Euro für 25 Client-Lizenzen Aventail EX-1600 20 September 2007 Bild 2: Eine Setup-Checkliste rechts in der Hauptübersicht hilft dem Administrator beim Abarbeiten aller notwendigen Konfigurationsaufgaben stützt nur die ASA 5540.Von der Kapazität her ist die EX-1600 auf 250 parallele Benutzer beschränkt. Fazit Das SSL-VPN-Gateway Aventail EX-1600 überzeugt durch eine umfassende Betriebssystemunterstützung sowie eine mächtige und doch zugleich einfach konfigurierbare Kontrolle der Endpunktsicherheit. Die EX-1600 hinterlässt hier den besten Eindruck im Testfeld.Ansprechender könnte allerdings das Portal gestaltet sein. Mit bis zu 250 SSL-Verbindungen eignet sie sich für mittlere bis größere Unternehmen. Noch mehr Leistung bietet die EX-2500 für bis zu 2000 Verbindungen. Cisco ASA 5540 Die ASA-5500-Serie von Cisco – ASA steht für “Adaptive Security Appliance” – umfasst insgesamt fünf Modelle, die wiederum in unterschiedlichen Ausprägungen als Firewall-, IPS-, Antivirus- und SSL/IPSec-VPN-Edition verfügbar sind. Die SSL/IPSec-VPN-Modelle wiederum beginnen bei 25 SSL-VPN-Verbindungen bis hin zu 5.000 Peers. Die getestete ASA 5540 bedient bis zu 2.500 SSL-Verbindungen und ist gleichzeitig, wie der Name schon vermuten lässt, als IPSec-Gateway für bis zu 5.000 Verbin- dungen einsetzbar.Will ein Unternehmen also mobile Mitarbeiter per SSL-VPN und Außenstellen via IPSec anbinden, bietet sich dieses Gateway geradezu an. Für eine höhere Verfügbarkeit und optimale Performance unterstützt die Appliance in Verbindung mit einem zweiten Gerät Failover sowie eine VPN-Lastverteilung. Konfiguration mit Startschwierigkeiten Zu Beginn der Inbetriebnahme herrscht etwas Ratlosigkeit, da die vier Schnittstellen auf der Rückseite einfach von 0 bis 3 durchnummeriert sind. Eine mit “Mgmt” bezeichnete, räumlich etwas abgesetzte Schnittstelle ist nicht aktiviert. Seitens Cisco ist für den Test das dritte Interface als internes vorbereitet, nur über dieses ist eine Konfiguration möglich.Von der externen Schnittstelle 0 wird zur Sicherheit jeder Inbound-Verkehr geblockt. Beim ersten Aufruf bietet die Appliance ein Download-Fenster zur lokalen Installation des ADSM-Launchers an, mit dem sich sehr einfach auch mehrere Geräte steuern lassen.Wer die Schnittstellen von der Aufgabe her grundlegend umprogrammieren und das Management auf die eigene Managementschnittstelle legen möchte, muss darauf achten, in einem eigenen Unterpunkt den HTTPS/ADSMZugriff entsprechend einzutragen. Hier www.it-administrator.de S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp 21.08.2007 13:53 Seite 5 BOAAH! Alles was der Admin braucht: Einfache Softwareverteilung, flexibles Lizenzmanagement, komplettes Reporting und Raum für eigene Ideen - zum kleinsten Preis am Markt. Bild 3: Die Hauptseite der Administrationskonsole liefert detaillierte Informationen über die aktuelle Last- und Nutzungssituation. Problemlos lassen sich auch mehrere Systeme administrieren kann der Administrator einen ganzen IPBereich, aber auch nur eine dedizierte IPAdresse ermächtigen. Wie auch bei den Modellen von Aventail und Zyxel sind standardmäßig keinerlei Ressourcen frei geschaltet. Sie werden für unterschiedliche Gruppen in BookmarkListen eingetragen. Sehr übersichtlich ist dabei, dass über die URL-Bezeichnung der gewünschte Dienst spezifiziert wird. So definiert eine URL rdp://server1.it.lokal eine Remote-Desktop-Verbindung zur angegeben Adresse und die URL cifs://server2.it.lokal/freigabe1 wird als Freigabe umgesetzt. Je nach genutztem Browser erfolgt die Bereitstellung mittels ActiveXoder Java-Applet, so dass hier eine breite Unterstützung gegeben ist. Umfassende Endpunktsicherheit Der SSL-Zugriff kann entweder rein Browser-basierend oder über den Cisco AnyConnect Client erfolgen, der von der Appliance heruntergeladen wird, je nach Betriebssystem via ActiveX oder Java. Der Client baut einen Tunnel auf, um dem Anwender vollen Zugriff zu ermöglichen. Um eine geringe Latency zu erreichen, wird hier das DTLS-Protokoll genutzt, was auch Voice over IP und TCP-basierenden Zugriff auf Applikationen ermöglicht. www.it-administrator.de Hinsichtlich der Endpunktsicherheit bietet die Appliance ein ganzes Portfolio an Möglichkeiten. So wird die Integrität der Endpunkte hinsichtlich installierter Service-Packs,Antivirus-Software und Personal Firewall geprüft. Um fremde und firmeneigene Systeme sicher zu unterscheiden, kann die Appliance auf bestimmte Wasserzeichen in Form von Registry-Einträgen, Dateien mit bestimmter CRC32-Prüfsumme, Zertifikate und Anmeldung aus vorgegebenen Adressbereichen prüfen. Implementiert ist wie bei den anderen Testkandidaten auch ein Cache Cleaner, um die Sitzungsdaten am Ende zu löschen. Noch mehr Sicherheit bietet aber der Secure Desktop. Hierzu erstellt das Produkt eine virtuelle Windows-Partition mit einem eigenen Desktop, in der der Anwender arbeitet. Ein Umschalten zwischen dem lokalen und virtuellen Desktop ist dabei allerdings jederzeit möglich. Alle Daten wie Passworte, herunter geladene Dateien, die Surfhistorie, Cookies und gecachte Dateien werden verschlüsselt in diese Partition geschrieben. Am Ende der Sitzung wird die Partition gelöscht und überschrieben.Weiterhin prüft die Appliance auf Tools, die Tastaturanschläge mitschreiben und warnt • • • • • • Inventarisierung Clientmanagement Lizenzmanagement Softwaredistribution Virenschutzkontrolle Remote-Control Informationen und Vollversion unter www.aagon.de oder Gratis-CD anfordern: [email protected] S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp 21.08.2007 13:53 Seite 6 P R O D U K T E I Ve r g l e i c h s t e s t Fazit Insgesamt ist die ASA 5540 eine sehr leistungsfähige SSL-VPN-Appliance, die sich in weiten Bereichen einsetzen lässt. Gut ist die breite Browser- und Client-Betriebssystem-Unterstützung, da alle Dienste sowohl über Java als auch über ActiveX angeboten werden. So kann die Appliance entsprechend der Randbedingungen agieren. Funktional komplex ermöglicht die übersichtliche Administrationskonsole dennoch eine erfreulich einfache Konfiguration. Letztendlich lässt die ASA 5540 keine Wünsche offen. Netgear SSL312 Bild 4: Die IP-Adressen der Systeme, die die ASA 5540 administrieren dürfen, sind je nach Bedarf beliebig einschränkbar. Dies erschwert Unberechtigten den Zugriff auf die Konfiguration den Anwender, sobald innerhalb der sicheren Umgebung ein verdächtiges Programm agiert. Vielfältig sind die Authentifizierungsmöglichkeiten. Der Administrator kann zwischen Radius-Server mit und ohne Einmalpasswort, RSA SecurID,Active Directory, Smartcard, LDAP mit und ohne Passwortablauf sowie eine kombinierte Anmeldung mit Zertifikat, Benutzername und Passwort wählen. Unterstützt werden auch Single Sign On und eine virtuelle Tastatur. Trotz der Komplexität der ASA 5540 macht die Administrationsoberfläche einen aufgeräumten und übersichtlichen Eindruck. Die Navigation erfolgt über ein strukturiertes Menü, wobei zwischen den SSL- und IPSec-Funktionen deutlich getrennt wird. Etwas für die Großen Die ASA 5540 eignet sich ideal für große Unter nehmen, die bis zu 2.500 gleichzeitige SSL-VPN-Verbindungen und außerdem IPSec-VPN benötigen. Ist der Bedarf an Verbindungen geringer, so bieten sich eher die etwas kleineren 22 September 2007 Modelle der ASA-5500-Serie an – hier wäre die ASA 5540 überdimensioniert und letztlich zu teuer.Vor allem, wenn oft von unbekannten Systemen, wie sie in Kiosk-PCs oder Internet Cafes zu finden sind, eine SSL-VPN-Verbindung aufgebaut werden soll, ist die ASA 5540 aufgrund des implementierten Secure Desktop prädestiniert. Produkt Appliance für den Zugriff auf Ressourcen eines Firmennetzwerkes via SSL-VPN-Verbindung Vorteile > Umfassende Überprüfung der Endpunktsicherheit > Gute Skalierbarkeit > Optisch gut gelungenes Einwahlportal > Unterstützt auch IPSec-VPN-Verbindungen Nachteile > Etwas umständlicher Einstieg in die Konfiguration Hersteller Cisco www.cisco.com Preis 12.600 Euro (inklusive 5.000 IPSec- und 2.500 SSL-VPN-Lizenzen) Cisco ASA 5540 Ähnlich wie die Appliance Zywall SSL 10 ist die SSL312 für kleinere und mittlere Firmen gedacht, es können gleichzeitig maximal 25 SSL-Verbindungen gehostet werden.Als reines SSL-Gateway kann das Gerät entweder als Brückenkopf mit einem LAN-Interface oder in einer DMZ mit zwei Schnittstellen betrieben werden. Der Internetzugang muss über einen anderen Router mit Firewall erfolgen. Im Test konfigurieren wir die SSL312 für den Betrieb mit zwei Interfaces. Konfiguration mit Risiken Aufgrund einer weitgehenden Vorkonfiguration ist die Inbetriebnahme in wenigen Minuten erledigt.Allerdings hilft hierbei kein Assistent, sondern wir mussten in unserem Test im Handbuch oder in der Online-Hilfe nachlesen. Sind die beiden IP-Adressen angepasst und neben dem Admin-Acount noch ein weiterer Benutzer angelegt, kann der erste Verbindungstest erfolgen. Überraschend stellten wir dabei fest, dass Netgear bei den beiden Interfaces nicht in LAN und WAN beziehungsweise intern und extern unterscheidet. Wir können uns von beiden Seiten als Administrator anmelden, was letztendlich ein potentielles Sicherheitsloch darstellt. Weiterhin ist im Gegensatz zu den drei anderen Testkandidaten in der Grundeinstellung alles erlaubt und nichts verboten. Ein angemeldeter Benutzer kann also so- www.it-administrator.de S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp fort einen VPN-Tunnel aufbauen, auf Freigaben zugreifen oder RDP nutzen, sofern er die IP-Adresse eines hinter dem Gateway befindlichen Servers kennt. Im produktiven Einsatz ist es daher zuerst erforderlich, alle nicht gewünschten Dienste zu sperren. Hierzu sind die einzelnen Dienste wie RDP, VNC, FTP,Telnet, SSH und VPN-Tunnel oder alle zusammen als Netzwerkressource anzulegen und dann über eine globale Regel zu verbieten.Weiterhin ist es am besten, auf dem StandardPortal alle nicht benötigten Seiten und Dienste abzuwählen. Beim Durchreichen von Freigaben zeigt das Gateway über eine Browsing-Funktion ebenfalls alle verfügbaren an, es werden nicht wie bei den anderen Testkandidaten nur einzelne Freigaben bereit gestellt. Transparenter Zugriff aufs Netzwerk In der SSL312 sind mehrere TerminalDienste für die verbreiteten Windowsund Office-Anwendungen vorbereitet. So lässt sich einfach eine Terminal-Sitzung einrichten, bei der sofort die gewünschte Applikation gestartet wird. Nicht implementiert sind Reverse-Proxies für Webseiten, hier bietet sich alternativ das Port-Forwarding an. Einfacher wird der Zugriff für Anwender dadurch, dass sich im Router für das Port-For- 21.08.2007 13:54 Seite 7 warding eine Namensauflösung hinterlegen lässt, so dass sich niemand die IPAdressen merken muss. Weitreichende Zugriffsmöglichkeiten erlaubt die Funktion des VPN-Tunnels. Hierbei bekommt der Client per ActiveX-Applet einen virtuellen Netzwerkadapter installiert, mit Hilfe dessen ein Tunnel eingerichtet wird. So erhält der Client transparenten Zugriff auf das Netzwerk auf der anderen Seite des Gateways und kann dort auf Freigeben und andere Ressourcen zugreifen. Für den Zugriff durch mehrere Benutzergruppen unterstützt das Gerät das Anlegen mehrerer Portale mit unterschiedlichen URLs. Die Anmeldefenster lassen sich durch individuelle Titel und Banner sogar etwas personalisieren. Die Dienstekonfiguration erfolgt für jedes Portal getrennt, um auf diese Weise jeder Gruppe nur die benötigten Dienste zuzuweisen. Für jedes Portal ist eine eigene Domäne zur Authentifizierung anzulegen – neben einer lokalen Benutzerdatenbank unterstützt das Gerät auch Radius, LDAP, NT Domänen und Active Directory. BOAAH! Über 400 Queryfields, mehr als 170 Befehle, 4 Scriptsprachen zur Auswahl und trotzdem die am einfachsten zu bedienende Clientmanagement Lösung am Markt. Als einziges Gerät im Test überprüft die SSL312 keine Endpunktsicherheit. Kiosk- • • • • • • Bild 5: Gefährlich: Standardmäßig sind bei der SSL312 alle Dienste und Funktionen aktiviert www.it-administrator.de Inventarisierung Clientmanagement Lizenzmanagement Softwaredistribution Virenschutzkontrolle Remote-Control Informationen und Vollversion unter www.aagon.de oder Gratis-CD anfordern: [email protected] S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp 21.08.2007 13:54 Seite 8 P R O D U K T E I Ve r g l e i c h s t e s t alle nicht benötigten Dienste sperren sowie das Portal entsprechend anpassen muss. Ein voller Netzwerkzugriff ist möglich, dieser lässt sich dann aber nicht auf einzelne Freigaben beschränken. Zyxel Zywall SSL 10 Bild 6: Die Bereitstellung von Applikationen via Terminaldiensten oder RDP ist bei der SSL312 weitgehend vorbereitet PCs und Zugriffe aus dem Internet-Cafe werden also ohne weiteren Check zugelassen. Allenfalls lässt sich die Anmeldung auf bestimmte IP-Adressen oder Adressbereiche beschränken. Letzten Endes ist es hier überaus wichtig, auf anderem Wege dafür zu sorgen, dass die Systeme der Personen, die den SSL-Zugang nutzen, hinsichtlich Virenscanner, Firewall und Patchmanagement auf aktuellem Stand sind. Positiv fällt auf, dass die SSL312 sehr flott arbeitet, es nerven keine langwierigen Anund Abmeldungen. Der Web-Cache des Clients wird je nach Portalkonfiguration optional geleert. Da die SSL312 beim Port-Forwarding und bei den VPN-Tunnels ausschließlich auf ActiveX setzt, wird im Windows-Umfeld nur der Internet Explorer unterstützt.Auf Macintosh-Systemen installiert die Appliance eine eigene Tunnelsoftware, geeignet für die Zusammenarbeit mit Apple Safari. Eher geeignet für kleinere Umgebungen Aufgrund der Beschränkung auf 25 gleichzeitige SSL-Sitzungen adressiert die Netgear SSL312 in erster Linie kleine und mittlere Unternehmen. Durch das Anlegen mehrerer Portale ist das Gateway auch für den Zugriff durch mehrere Benutzergruppen geeignet. Da eine Prüfung der Endpunktsicherheit nicht integriert ist, sollten andere Mechanismen dafür sorgen, dass sich die Clients auf aktuellem Konfigurationsstand befinden. Ist ein Un- 24 September 2007 ternehmen darauf angewiesen, dass die Mitarbeiter im Außendienst auch aus Internet-Cafes und von Kiosk-PCs Verbindung aufnehmen, halten wir die SSL312 für ungeeignet. Falls abzusehen ist, dass mehr als 25 Benutzer gleichzeitig zugreifen müssen, sollte ebenfalls ein anderes Produkt gewählt werden, denn die SSL312 ist diesbezüglich nicht skalierbar. Fazit Für einfache Einsatzszenarien und vergleichsweise wenige Anwender mit Windows- oder Macintosh-Systemen ist die Netgear SSL312 durchaus eine preisgünstige und interessante Alternative. Zu beachten ist, dass das Gateway nach der sehr einfachen Grundkonfiguration sehr offen arbeitet und der Administrator zuerst Produkt Appliance für den Zugriff auf Ressourcen eines Firmennetzwerkes via SSL-VPN-Verbindung Vorteile > Einfache Konfiguration > Einfache Ressourcenbereitstellung Nachteile > Keine Überprüfung der Endpunktsicherheit > Alle Dienste nach Erstkonfiguration offen > Keine Java-Unterstützung für einen Tunnelaufbau Hersteller Netgear www.netgear.de Preis 480 Euro bei 25 Client-Lizenzen Netgear SSL312 Mit der recht neuen “Zywall SSL 10” verfolgt Zyxel den Gedanken einer All-inOne-Lösung, denn das Gerät ist als eigenständiger DSL-Router mit PPPoE-Zugangsdaten konfigurierbar. Eine kleine Firma kann damit gleichzeitig den DSL-Zugang realisieren, ohne weitere Komponenten zu benötigen. Standardmäßig ist die Freischaltung für 10 gleichzeitige SSL-Verbindungen enthalten, eine Erweiterung auf bis zu 25 Verbindungen ist möglich. Alternativ ist der Betrieb in einer DMZ vorgesehen, wobei der Internetzugang dann über ein anderes Gateway erfolgt. Übersichtliche Konfiguration Die Inbetriebnahme der Zywall SSL 10 bereitet keine Probleme, erinnert das Gerät doch sehr an einen herkömmlichen DSL-Router. Es besitzt einen WAN-Port für die Internet-seitige Anbindung und intern einen 4-Port-Switch. Alle Ports sind für 100 MBit/s ausgelegt. Bei der Konfiguration ist zuerst die grundsätzliche Arbeitsweise entweder am DMZPort eines anderen Gateways oder als eigenständiges Gateway festzulegen. Dann fragt uns ein Assistent alle notwendigen IP-Daten ab und verlangt das Anlegen von mindestens einem Benutzer für den Portalzugriff. Gut gelungen ist die grafische Unterstützung, das abgefragte Element ist immer fett in der Grafik markiert mit einem schematischen Kommunikationsfluss, in dem stets die angesprochene Komponente oder Verbindung fetter gezeichnet ist. Parallel führt eine deutsche Kurzanleitung durch die Konfiguration. Der Assistent übernimmt auch die Registrierung der Firewall beim Hersteller, sofern ein Internetzugriff gegeben ist und hilft bei der Einrichtung einer ersten SSL-VPN-Zu- www.it-administrator.de S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp griffsregel, so dass wir nach dem Abschluss bereits einen ersten Verbindungstest durchführen können. Besondere Java-Ansprüche und wenig Auswahl Die ersten Verbindungstests zeigen bereits, dass die Zywall SSL 10 einige Ansprüche an den Client stellt. So ist es wichtig, den DNS-Namen der SSL 10 am DNS-Server zu hinterlegen, da ein Zugriff über die IPAdresse mit einem Hinweis abgelehnt wird. Weiterhin ist auf dem Client eine aktuelle Java-Version erforderlich, die aber bei der getesteten Firmware wiederum nicht zu neu sein darf. So wird die ganz aktuelle Java-Version 1.6 noch nicht unterstützt, irritierend ist der Hinweis, doch bitte eine neuere Version einzuspielen. Ohne das richtige Java-Applet ist ein Zugriff nicht möglich, eine Ausnahme ist nicht vorgesehen. Hintergrund ist, dass die Appliance über dieses Applet – wie auch die großen Modelle von Aventail und Cisco – die Endpunktsicherheit kontrolliert. Hierzu gehören das Feststellen der Browserund Windows-Version, darüber hinaus, ob ein Virenscanner und eine Firewall aktiv sind, sowie, ob bestimmte Windows Ser- 21.08.2007 13:55 Seite 9 vice Packs oder Hotfixes sowie eine bestimmte Browserversion installiert sind. Allerdings unterstützt die Zywall SSL 10 bei der Firewall- und Antivirus-Prüfung nur die Produkte von Norton und McAfee, lange Auswahllisten wie bei Aventail suchten wir vergebens. Weiterhin fällt das teilweise recht träge Verhalten des Gateways bei der Clientanmeldung auf. Auch nach einer Sitzung dauert eine Abmeldung, bei der alle Cacheinhalte geleert werden, durchaus mehrere Minuten, wobei der Eindruck entsteht, der Webbrowser hätte sich aufgehängt. Plötzlich erscheint dann wieder die Anmeldemaske. Gelegentlich hängt sich der Browser tatsächlich auf, dann hilft nur noch das Beenden des Prozesses über den Task-Manager. Die Zywall SSL 10 orientiert sich im Gegensatz zur Netgear SSL312 von den Zugriffsrechten her an den großen Modellen, indem erst einmal jeglicher Durchgriff gesperrt ist. Jede Applikation und jede Freigabe muss extra frei geschaltet werden. Dabei ist abgesehen von einem Zugriffsrecht eines Benutzers die Applikation auch noch in einer Firewall- Worüber Administratoren morgen reden Sichern Sie sich den E-Mail-Newsletter des IT-Administrator und erhalten Sie Woche für Woche die > neuesten TIPPS & TRICKS > praktischsten TOOLS > interessantesten WEBSITES > unterhaltsamsten GOODIES sowie einmal im Monat die Vorschau auf die kommende Ausgabe des IT-Administrator! Jetzt einfach und kostenlos bestellen unter: Bild 7: Die Administrationsoberfläche der Zywall SSL 10 ist übersichtlich gestaltet, es müssen aber auch viel weniger Optionen und Informationen untergebracht werden, wie bei den Modellen von Aventail und Cisco www.it-administrator.de www.it-administrator.de/newsletter S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp 21.08.2007 13:55 Seite 10 P R O D U K T E I Ve r g l e i c h s t e s t der getesteten Version 1.00 noch als etwas problematisch, da beispielsweise zu neue Java-Versionen auf den Clients nicht akzeptiert werden. Auch eine bessere Performance bei der An- und Abmeldung ist wünschenswert. Die Basissicherheitseinstellungen überzeugen, da kein Durchgriff möglich ist, der nicht explizit eingerichtet wird. Produkt Appliance für den Zugriff auf Ressourcen eines Firmennetzwerkes via SSL-VPN-Verbindung Vorteile > Einfache Konfiguration > Ansprechendes Einwahlportal > Überprüfung der Endpunktsicherheit > Optionales Einmalpasswort-System Nachteile > Nur Java-Support (kein ActiveX) > Einwahl mit aktueller Java-Version nicht möglich > Im Betrieb gelegentlich etwas träge Reaktion des Portals Bild 8: Die Clientüberprüfung ist hinsichtlich der Überprüfung von Firewall und Antivirensoftware auf sehr wenige Produkte beschränkt Regel freizugeben. Mit Hilfe von Regeln lassen sich Benutzer, Anforderungen an die Clientsicherheit sowie frei geschaltete SSL-Applikationen verbinden, so dass beispielsweise abhängig von der Clientsicherheit nur bestimmte Applikationen erreichbar sind. Die Benutzerverwaltung mit Gruppierung kann lokal in der Firewall erfolgen, weiterhin stehen eine Authentisierung per Active Directory, LDAP und Radius-Server zur Verfügung. Ganz neu soll es auch ein Einmalpasswortsystem mit einem Zyxel-Token geben, was aber zum Testzeitpunkt noch nicht verfügbar war. Der Zugriff auf eine Webseite sowie auf Freigaben mittels eines SSL-VPN-Tunnels klappte sehr gut. Die Nutzung einer Fernsteuerung wie VNC oder RDP erfolgt mittels Port-Forwarding, was von der Bedienung her etwas gewöhnungsbedürftig ist. Klickt ein Anwender auf einen entsprechenden Portaleintrag, so erhält er nur einen Hinweis, am Client die entsprechende Applikation zu star- 26 September 2007 ten und eine lokale Adresse mit angehängter Portangabe wie 127.0.0.2:3389 für eine RDP-Sitzung einzugeben. Einstiegslösung Das SSL-VPN-Gateway Zywall SSL 10 eignet sich gut als Einstiegslösung für bis zu zehn gleichzeitige SSL-Verbindungen, optional noch für bis zu 25 Verbindungen. Es ist aber nicht weiter skalierbar und kommt somit für größere Unternehmen kaum in Frage. Durch eine ordentliche Endpunktkontrolle eignet es sich auch für die Anmeldung mit unbekannten beziehungsweise öffentlichen Systemen wie Kiosk-PCs und Clients in Internet Cafes. Fazit Zyxel bietet mit der Zywall SSL 10 eine gute All-in-One-Lösung für kleine bis mittlere Unternehmen. Wichtig ist die Prüfung der Endpunktsicherheit, auch wenn hier hinsichtlich der prüfbaren Versionen von Antivirus- und Firewall-Produkten relativ enge Grenzen gesetzt sind. Insgesamt erweist sich die Firmware in Hersteller Zyxel www.zyxel.de Preis 425 Euro für 10 Client-Lizenzen Zyxel Zywall SSL 10 Der Gesamteindruck Grundsätzlich ist zu berücksichtigen, dass die beiden preiswerten Kandidaten von Netgear und Zyxel sowie die eher hochpreisigen Modelle von Aventail und Cisco für unterschiedliche Anforderungen hinsichtlich der Unternehmensgröße gedacht sind. Ein sehr wichtiger Aspekt ist die Prüfung der Endpunktsicherheit, gerade, wenn Personen von fremden PCs aus zugreifen sollen, deren Konfiguration unbekannt ist. Dies ist bei der Netgear SSL312 gar nicht vorgesehen, während die Zywall SSL 10 bereits eine recht ordentliche Kontrolle integriert hat.Allerdings werden nur sehr wenige Antiviren- und Firewall-Produkte unterstützt. Die beiden Appliances von Aventail und Cisco sind hier deutlich flexibler, außerdem bieten sie einen Secure Desktop, um die SSL-VPN-Sitzung optimal von der www.it-administrator.de S18-27_ITA_0907_T02_Aagon_EAZ_Famatech.qxp 21.08.2007 13:55 Seite 11 P R O D U K T E I Ve r g l e i c h s t e s t lokalen Konfiguration abzuschotten. Insgesamt am besten gefällt die breite Produktunterstützung der EX-1600. Cisco setzen sowohl auf Java, als auch auf ActiveX und unterstützen damit die meisten Browser. Auch wenn die meisten Anwender den Internet Explorer nutzen dürften, reicht das in einer heterogenen Umgebung in der Praxis nicht. Netgear unterstützt nur ActiveX, was den Anwender auf den Internet Explorer und Apple Safari beschränkt. Etwas flexibler ist hier die Zywall SSL 10 durch eine universeller nutzbare Java-Unterstützung.Aventail und Will sich der Administrator über den Betriebszustand der Appliances informieren, so erhält er bei der SSL312 und der Zywall 10 nur wenige Informationen, sie beschränken sich auf eine Handvoll Daten wie Speicher- und CPU-Last, Flash-Belegung, Laufzeit sowie die Anzahl der aktiven Benutzer. Die optische Darstellung ist bei der Zywall 10 etwas besser gelungen. Bei der EX-1600 werden die angemeldeten Benutzer sowie die genutzten Bandbreiten am Eingang und Ausgang grafisch mit einer Historie von einer Stunde angezeigt, was eine gute Beobachtung der Auslastung erlaubt. Bei der ASA 5540 kommen noch Diagramme für CPU- und Speicherlast hinzu, allerdings beschränkt sich hier die Historie auf fünf Minuten. Und da sich schließlich auch Admins über ansprechend gestaltete Oberflächen freuen dürften, kann hier die ASA 5540 punkten. Sie bietet das mit Abstand attraktivste Portal. (dr) SSL-VPN-Router im Vergleich Netgear SSL312 Zyxel Zywall SSL10 Aventail EX-1600 Cisco ASA 5540 Prüfung der Clientkonfiguration 0 5 10 8 Skalierbarkeit 5 5 7 10 Browsersupport 5 6 9 9 Portalgestaltung 7 6 5 9 Status und Logging 5 6 9 9 Preis 480 Euro 425 Euro 11.700 Euro 12.600 Euro 0 = Nicht vorhanden 1 = Sehr schlecht 10 = Sehr gut 5$'0,1 ZZZUDGPLQFRPUDGPLQ hEHUVFKDOO)HUQVWHXHUXQJ 5$'0,1LVWHLQH]XYHUOlVVLJHXQGVLFKHUH6RIWZDUH/|VXQJIU&RPSXWHU )HUQVWHXHUXQJ6LHHUP|JOLFKWGLH%HGLHQXQJXQGhEHUZDFKXQJYRQHQWIHUQWHQ 5HFKQHUQVRDOVRE6LHGLUHNWYRULKQHQVLW]HQ5$'0,1LVWQDFKZHLVOLFKXQJODXEOLFK VFKQHOOOHLFKW]XOHUQHQXQGHLQIDFKLQGHU+DQGKDEXQJ5$'0,1LVWHLQHNRPSOHWWH )HUQVWHXHUXQJVO|VXQJXQGYHUIJWEHUDOOHQRWZHQGLJHQ)XQNWLRQHQ'XUFK GLH(LQIKUXQJGHU'LUHFW6FUHHQ7UDQVIHU7HFKQRORJLHVHW]WGLH5$'0,1 )HUQVWHXHUXQJV6RIWZDUHHLQHQQHXHQ,QGXVWULHVWDQGDUG +DXSWHLJHQVFKDIWHQ 6SH]L¿NDWLRQHQGHU hEHUVFKDOO0DVFKLQH 6LFKHUKHLWQDFK0LOLWlUVWDQGDUGV /HLVWXQJ 9ROOVWlQGLJLQV%HWULHEVV\VWHPLQWHJULHUWH176LFKHUKHLWPLW 17/0Y$XWKHQWL¿]LHUXQJ ,3)LOWHU]XU%HVFKUlQNXQJYRQ=XJULIIHQYRQDXHQDXI IHVWJHOHJWH,3$GUHVVHQXQG1HW]ZHUNH 6HUYHU.HQQZRUWVFKXW] )RUWVFKULWWOLFKHELW$(6.RGLHUXQJIUDOOHJHVHQGHWHQXQG HPSIDQJHQHQ'DWHQ $XWKHQWL¿]LHUXQJDXI%DVLVGHV'LI¿H+HOOPDQ 6FKOVVHODXVWDXVFKVPLW%LW6FKOVVHOQ .HUEHURV8QWHUVWW]XQJ 'HQ3URJUDPPFRGHEHUZDFKHQGHV$EZHKUV\VWHPJHJHQ 9HUlQGHUXQJHQYRQDXHQ ,QWHOOLJHQWHU6FKXW]YRU.HQQZRUWHUPLWWOXQJ 6FKXW]YRUIHKOHUKDIWHQ6HUYHUHLQVWHOOXQJHQ (U]HXJXQJYRQHLQGHXWLJHQSULYDWHQ6FKOVVHOQIUMHGH 9HUELQGXQJ hEHUVFKDOO*HVFKZLQGLJNHLWLP/$1GXUFKKRKH %LOGVFKLUP$XIIULVFKXQJHQSUR6HNXQGH 0LQGHVWHQV%LOGVFKLUP$XIIULVFKXQJHQSUR6HNXQGH PLW0RGHP 7ULHEZHUN'LUHFW6FUHHQ7UDQVIHU *HZLFKW0%\WH 5HLFKZHLWHXQEHJUHQ]W $XVUVWXQJ 'LYHUVHV .HLQHUDQGHUHQ,QGXVWULHO|VXQJLVWMHHLQYHUJOHLFKEDUHU 'XUFKEUXFKJHOXQJHQ %LOGVFKLUP$XIIULVFKUDWHPLWhEHUVFKDOOJHVFKZLQGLJNHLW 1LHGULJVWH3UR]HVVRUEHODVWXQJ 1LHGULJVWH1HW]ZHUNEHODVWXQJ 8OWLPDWLYH6LFKHUKHLWVVWDQGDUGV 3UHLVNODVVH 7\S0HKU]ZHFNhEHUVFKDOO)HUQVWHXHUXQJ +HUVWHOOHU)DPDWHFK 'HVLJQ'PLWU\=QRVNR (UVWÀXJ0lU] (LQIKUXQJ)HEUXDU 6WDWXV,PDNWLYHQ(LQVDW] +HUJHVWHOOWH(LQKHLWHQ0LOOLRQHQ .HUQQXW]HU)RUWVFKULWWOLFKH8QWHUQHKPHQZHOWZHLW 6WFNSUHLV(XUR (LQVDW]KLVWRULH DOOHU³)RUWXQH´8QWHUQHKPHQ (XURSD $VLHQ 1RUGXQG6GDPHULND $XVWUDOLHQXQG2]HDQLHQ $IULND 7\SLVFKHU.DPSIHLQVDW] 6LFKHUH7H[WXQG9RLFH&KDW)XQNWLRQHQ 'DWHQEHUWUDJXQJ)UDFKWWUDQVSRUW 7HOQHWXQGZHLWHUHQW]OLFKH7RROV 8QVHUGHXWVFKHU3DUWQHU ,Q6\VW*PE+ +DOVNHVWU 5DWLQJHQ 7HO± )D[± (0DLOUDGPLQ#LQV\VWGH :HEZZZUDGPLQGH *URXQWHUQHKPHQ .OHLQHXQGPLWWHOVWlQGLVFKH8QWHUQHKPHQ $QELHWHUYRQWHFKQLVFKHP6XSSRUW 7HOHDUEHLW %LOGXQJVHLQULFKWXQJHQ +HLPDUEHLWVSODW] )DPDWHFK,QWHUQDWLRQDO&RUS 5HPRWH$GPLQLVWUDWRUXQG5DGPLQVLQGUHJLVWULHUWH:DUHQ]HLFKHQYRQ)DPDWHFK S44-47_ITA_0208_P06_EAZSonderheft.qxp 22.01.2008 12:05 Seite 5 Bestellen Sie jetzt das erste IT-Administrator Sonderheft! 148 Seiten Praxis-Know-how + DVD mit über 100 Admin-Tools zum Abonnenten-Vorzugspreis* von nur € 29,90! * IT-Administrator Abonnenten erhalten das Sonderheft für € 29,90. Nichtabonnenten zahlen € 34,90. Liefertermin: 20. Februar 2008 Mehr Informationen und ein Onlinebestellformular finden Sie auch hier www.it-administrator.de/kiosk/sonderhefte/ Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252 Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand)_________________________________ und bestelle das IT-Administrator Sonderheft I/2008 inklusive DVD zum Abonnenten-Vorzugspreis von nur € 29,90 inkl. Versand und 7% MwSt. Ja, ich bestelle das IT-Administrator Sonderheft I/2008 inklusive DVD zum Preis von € 34,90 inkl. Versand und 7% MwSt. Der Verlag gewährt mir ein Widerrufsrecht. Ich kann meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angaben von Gründen widerrufen.* Ich zahle per Bankeinzug Firma: Geldinstitut: Kto.: oder Name, Vorname: BLZ: per Rechnung So erreichen Sie unseren Vertrieb, Abo- und Leserservice: Leserservice IT-Administrator vertriebsunion meynen Herr Stephan Orgel D-65341 Eltville Tel: 06123/9238-251 Fax: 06123/9238-252 [email protected] Diese und weitere Aboangebote finden Sie auch im Internet unter www.it-administrator.de Abos und Einzelhefte gibt es auch als E-Paper Straße: Land, PLZ, Ort: Datum: Tel: Unterschrift: E-Mail: * Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville. Inselkammerstraße 1 D-82008 Unterhaching Tel: 089-4445408-0 Fax: 089-4445408-99 Geschäftsführung: Anne Kathrin Heinemann Matthias Heinemann Amtsgericht München HRB 151585 S33-38_ITA_0607_P01_terrashop_ EAZ_Sinn_EAZ.qxp 22.05.2007 12:57 Seite 1 PRAXIS I Workshop Sicheres Vista-Deployment im Netzwerk Verschlüsseltes Vista verschlüsselt verteilen von Andreas Roscher Vista verschlüsselt in zehn Minuten zu verteilen, macht den Traum vom Umstellen ohne anzustehen wahr. Ist dieses Ziel erreicht, lassen sich Helpdesk-Anfragen problemlos mit Neuinstallationen beantworten, sofern es nicht darum geht, Bedienfehler beim Schreiben von Briefen zu beheben. IT-Administrator zeigt Ihnen in diesem Workshop, wie Sie das verschlüsselte Vista verschlüsselt verteilen. ine Installation von Vista n-mal individualisiert zu verteilen ist zurzeit das aktuelle Ziel vieler Schulungsunternehmen. Was dort in einem Schulungsraum abläuft, ist de facto ein Proof of Concept für eine Vista-Umstellung in einer Firma. Kommt dann noch der Einsatz verschlüsselter Partitionen ins Spiel, ist ein universeller Ansatz notwendig, der für jedes Vista-Deployment anwendbar ist. E Das Strategiespiel beginnt mit einer leeren Festplatte und der Frage nach einer Instanz, die in der Lage ist, die gewünschten Installationen durchzuführen. Microsoft bietet Windows PE an, um Vista ohne Einlegen der Installations-DVD auf einen Rechner zu verteilen. Diesem Artikel liegt die Verwendung der Software “Open Management Architecture“ (OMA) zugrunde. Die verwendeten Dienste und Windows-Befehle stehen allerdings auch beim Einsatz von Microsoft SMS, NetInstall,ASDIS oder Microsoft-Vista-Images zur Verfügung. Letztlich lässt sich der SSH auch manuell installieren und die Verschlüsselungskommandos über eine cmd-Datei einsetzen. Um Vista in der geplanten Zeit zu verteilen, erstellen wir zuerst eine Musterinstallation. Um das Muster beliebig oft zu verteilen, neutralisieren wir das Muster. Dazu schalten wir alle Netzwerkkarten ab und richten eine Installationskennung ein. Die- www.it-administrator.de se Kennung individualisiert Vista beim ersten Booten des Systems entsprechend der noch zu treffenden Festlegungen. Die Freischaltung automatisieren Vista in der normalen Lizenzierung müssen Sie pro Rechner freischalten. Das erfolgt mit dem Programm slmgr.vbs unter Verwendung diverser Optionen. Das Freischalten der Musterinstallation muss auf jeden Fall erfolgen. Jede Vista-Installation hat eine Installations-ID, die das Programm slmgr.vbs anzeigt. slmgr.vbs -dti Mit dieser ID haben Sie entweder per Internet oder per Telefon Zugriff auf die Aktivierungs-ID. Liegt die AktivierungsID vor, können Sie die Lizenz aktivieren. geändert hat. Sie haben dann drei Tage Zeit, die Aktivierungs-ID zu beziehen und eine korrekte Freischaltung vorzunehmen. Mit dem Programm slmgr.vbs lässt sich auch der Produkt-Key ändern. Somit stehen alle Optionen zur Verfügung, um beim ersten Booten von Vista die richtigen Lizenzen und Freischaltungen bei Bedarf automatisch zu laden ohne sofort eine serverbasierte firmeninterne Lizenzfreischaltung einzurichten. Partitionierung für ein flexibles, unverschlüsseltes Vista Da sich die Anforderungen der Individualisierung von Vista jederzeit ändern können, müssen wir ein Weg finden, die Individualisierungsdaten dem verschlüsselten Vista zu übergeben. Der DHCP-Dienst ist nur bedingt geeignet, da dieser nur sehr wenige Informationen verarbeitet. Und slmgr.vbs -atp aktivierungs_id Zur Kontrolle können Sie sich den Lizenzierungsstatus mit folgenden Befehlen jederzeit ansehen. System Deployment-Server Ressourcen Pentium 4 1 GByte Hauptspeicher UDMA 100 Platte Vista-Clients Dual Core Athlon 1 GByte Hauptspeicher SATA II Platte Netz 100 MBit Switch USB Fast USB 2.0 slmgr.vbs -dli slmgr.vbs -dlv Übertragen Sie die freigeschaltete Musterinstallation auf einen zweiten Rechner, ändert sich die Installations-ID, sofern sich die Hardware des Rechners Ressourcen der Systeme Juni 2007 33 S33-38_ITA_0607_P01_terrashop_ EAZ_Sinn_EAZ.qxp 22.05.2007 12:58 Seite 2 PRAXIS I Workshop während der Fahrt in einem Zug hilft diese Technik auch nicht wirklich. Offener und flexibler ist die temporäre Verwendung einer unverschlüsselten Hilfspartition. Zur einfachen Verschlüsselung aller greifbaren Daten steht bei Vista Business das Programm cipher.exe zur Verfügung. Über das Eingabefenster lässt sich Laufwerk C: wie folgt verschlüsseln: Permission denied 0 records in 0 records out Daher richten wir auf dem Mustersystem folgende Partitionierung ein: cipher /E /S:\ umount /mnt C: 20 GByte Vista D: 30 GByte Programm- und Hilfspartition E: 120 GByte Plattenrest Der Vorgang dauert mehrere Minuten. Danach gilt es noch, liegen gebliebene, unverschlüsselte Reste zu beseitigen. Leider ist die komplette Verschlüsselung so gut, das Vista nicht mehr bootet. In einem zweiten Anlauf beschränken wir die Verschlüsselung auf die Verzeichnisse C:\Users, C:\Windows, C:\Program Files und C:\Program Files (x86) . Bespielzeiten der Vista-Verteilung cipher /W:\ (Zeit bis zum ersten Booten des bespielten Rechners) Zeit Installationsumfang 8 Minuten Vista Business (mit und ohne cipher) 9 Minuten Vista Business (mit und ohne cipher) + SSH + VMware Player + Virtuelle Maschine 10 Minuten Vista Ultimate (mit und ohne cipher) 11 Minuten Vista Ultimate (BitLocker vorbereitet) + SSH + VMware Player + Virtuelle Maschine + BitLocker Aufruf 30 Minuten Vista Ultimate (BitLocker bereits gelaufen) + SSH + VMware Player + Virtuelle Maschine Das Programm schreibt zunächst in mehreren Schleifen identische Bytes auf alle freien Blöcke und abschließend zur Sicherheit noch Zufallszahlen. Die Ausführung von cipher.exe beim ersten Booten eines frisch verteilten Vista soll wegen des enormen Zeitverlust auf keinen Fall erfolgen. Damit der neue Abzug weiterhin nur 3,1 GByte einnimmt, rufen Sie cipher /W erneut auf und brechen es nach der ersten Schleife zum Schreiben identischer Bytes einfach ab. Demzufolge bleibt es bei der Bespielzeit von unter 10 Minuten. Um die Verschlüsselung zu kontrollieren, prüfen Sie die Vista-Partition, wenn Vista nicht läuft. Dazu können Sie die Vista-DVD verwenden oder mit Linux von CD booten und sich in die Vista-Partition einhängen. Die Installation von Vista Business belegt etwa 10 GByte Plattenplatz. Beim Abzug der 20 GByte großen Vista-Partition wird jeder Block gelesen und trotzdem hat der Abzug nur eine Größe von 3,1 GByte. Es handelt sich jetzt noch um ein unverschlüsseltes Vista. Durch das Lesen jedes Blocks können Sie jede beliebige Verschlüsselungstechnologie auf der VistaPartition einsetzen. Doch nicht bei jeder Datei endet der Leseversuch mit einem “Permission denied”. Das Verschlüsseln funktioniert nur bei Dateien, die Windows nicht in Verwendung hatte, als das Programm cipher.exe lief. So lassen sich einige Dateien problemlos lesen, andere sind aber ordentlich verschlüsselt: Musterinstallation verschlüsseln dd if=/mnt/bootmgr of=/dev/null 857+1 records in 857+1 records out Damit sich die verschlüsselte und die unverschlüsselte Verteilung auch vergleichen lassen, verschlüsseln wir erst jetzt die Vista-Musterinstallation und ziehen sie unter einem anderen Deployment-Namen ab. 34 Juni 2007 mount -t ntfs -o ro /dev/sda2 /mnt dd if=/mnt/Users/Default/nuser.dat.LO G1 of=/dev/null cipher cipher cipher cipher cipher /E /S:\Users /E /S:\Windows /E /S:”\Program Files” /E /S:”\Program Files (x86)” /W:\ Damit lässt sich Vista wieder booten. Nach einem erneuten Abzug spielen wir die nun verschlüsselte Vista-Musterinstallation auf einen zweiten Rechner. Die verschlüsselten Daten sind aber nur für den Benutzer greifbar, der das Programm cipher.exe aufgerufen hat. Deshalb sollten Sie diese Form der Verschlüsselung nur auf ausgewählte Daten anwenden. Verschlüsselte Vista-Bespielung Die verschlüsselte Übertragung aller Daten setzen wir sowohl bei der Erstbetankung als auch beim Nachspielen von Software ein.Als verschlüsseltes Übertragungsprotokoll verwenden wir ausschließlich Secure Shell (SSH). Die generelle Verschlüsselung aller Daten schließt die sonst in Kauf zu nehmenden Sicherheitslöcher. Darunter fällt zum Beispiel das Passwort der Domänenkennung, mit dem sich der Computer unter Verwendung des Programms netdom.exe in der Domäne anmeldet, oder auch die Identifikations-ID eines Geldautomaten, der mit Vista zu bespielen ist. Um nur einem autorisierten Personenkreis den Zugang zur verschlüsselten Übertragung zu ermöglichen, setzen wir die Public/Private-Key-Autorisierung ein, und www.it-administrator.de S33-38_ITA_0607_P01_terrashop_ EAZ_Sinn_EAZ.qxp 21.05.2007 13:24 Seite 3 PRAXIS I Workshop die Verwendung einer leeren Passphrase soll dabei ausgeschlossen sein. Um den Aufwand für das Key-Management gering zu halten, übertragen wir nur im echten PushVerfahren.Auch wenn der Client eine Bespielung beim Deployment-Server anfragt, wird letztlich vom Deployment-Server zum Client im Push-Verfahren übertragen. So ist nur eine einzige Autorisierungsdatei nötig, in der alle zugelassenen DeploymentServer und alle zugelassenen DeploymentKennungen enthalten sind. Diese Datei ist immer präsent, wenn ein Zielsystem per PXE, CD/DVD oder USB gebootet wird. Die Individualisierungsdaten landen zwar zuerst auf einer unverschlüsselten Partition, die Übertragung erfolgt aber verschlüsselt.Von den vielen denkbaren Individualisierungen verwenden wir eine Methode, die: - den Computernamen setzt, - die IP-Adressierung festlegt, - die SID erstellt, - die Arbeitgruppe bestimmt, - die zugewiesenen lokalen Kennungen einrichtet und - die Hilfspartition nach NTFS konvertiert und verschlüsselt. Um all diese Maßnahmen durchzuführen, benötigen Sie zwei Starts von Vista. Die zwei Neustarts des Rechners sind Vista geschuldet, denn auch dieses Windows lässt sich nicht ohne Neustarts konfigurieren. Zeitlich dauert das zweimalige Booten von Vista etwa vier Minuten. Der Versuch, mithilfe des Programms netdom.exe von Microsoft den Vista-Rechner zum Mitglied eines auf NT basierenden PDC werden zu lassen, führt zur Zerstörung des PDC. Das Anmelden am PDC ist nicht mehr möglich – aber wer betreibt heute noch einen PDC auf Windows-NT-Basis? Verschlüsselte Nachverteilung von Software Um Softwarepakete später auch bei laufendem Windows verschlüsselt zu ver- teilen, benötigt Vista einen Empfänger für diese Pakete. Als Empfänger verwenden wir den SSH-Serverdienst, welcher die gleiche Autorisierungsdatei erhält, die auch bei der Bespielung von Vista eingesetzt wurde. Da die Autorisierungsdatei alle zugelassenen Deployment-Server und Deployment-Kennungen enthält, wäre es sehr unflexibel, den SSH-Serverdienst in die Vista-Installation aufzunehmen. Den fehlenden SSH-Serverdienst übertragen Sie noch vor dem ersten Booten als Softwarepaket (Offline-Verteilung) auf Vista. Dazu verwenden Sie die unverschlüsselte Hilfspartition. Das erste Booten führt die Nachbehandlung des Softwarepakets “SSH-Serverdienst“ aus, um den Dienst im verschlüsselten Vista zu aktivieren.Wenn als SSH-Serverdienst eine minimale Cygwin-Konfiguration paketiert wurde, hat die nötige Nachbehandlung überschaubare Ausmaße: S33-38_ITA_0607_P01_terrashop_ EAZ_Sinn_EAZ.qxp 22.05.2007 12:59 Seite 4 PRAXIS I Workshop d: cd \cygwin\bin regedit /s cygwin4d.reg mkpasswd -l > \cygwin\etc\passwd mkgroup -l > \cygwin\etc\group bash —login -c “ssh-host-config -y -w alibaba -c ‘CYGWIN=tty ntsec’” bash —login -c “cygrunsrv -S sshd” Der Inhalt der Datei cygwin4d.reg ist einfach nur der komplette RegistryZweig “HKEY_LOCAL_MACHINE\ SOFTWARE\Wow6432Node\Cygnus Solutions”, der bei der manuellen Installation von Cygwin entsteht. Dadurch reicht es, das Directory d:\cygwin zu übertragen. Die Installationseinträge für Cygwin legen die Nachbehandlung an. Nach der verschlüsselten Bespielung des verschlüsselten Vista ist auch die verschlüsselte Nachverteilung bei laufendem Vista nun kein Problem mehr, da mit dem SSH-Serverdienst ein entsprechender Ansprechpartner zur Verfügung steht. Die Übertragung eines gescannten Pakets wie beispielsweise “WinZip 10.0“ dauert 30 Sekunden. Davon bekommt der Anwender nur etwas mit, wenn er gerade angemeldet ist, weil dann sofort das Icon auf dem Desktop zu sehen ist. Alternativ dazu lassen sich die Pakete auch per Softwareshop oder einfach beim Anmelden des Benutzers installieren. In allen drei Fällen der OnlineNachverteilung von Software erfolgt die Übertragung verschlüsselt vom Deployment-Server zum Client. Bild 1: Nach der Bespielung ist vor der Bespielung – automatisches Nachtanken virtueller Maschinen Deployment ohne Netzwerk Bei der Bespielung mehrerer Rechner parallel über das Netz stellt sich irgendwann das Netz als Flaschenhals dar. Da der Inhalt von Laufwerk C auf allen Zielsystemen gleich ist, ließe sich hier Multicast einsetzen. Sie können aber auch durchaus mehrere Systeme per Unicast bespielen, wenn geswitchte Netze verfügbar sind. Noch eleganter ist die Vorverteilung der beabsichtigten Installation auf eine separate Partition der Zielsysteme. Dann können Sie eine beliebige Anzahl von Systemen immer in der gleichen Zeit bespielen.Alternativ können Sie auch mehrere Deployment-Server einsetzen, dann wird die Musterinstallation auf die Deployment-Server vorverteilt. Noch spannender ist die Frage, wie die Vista-Bespielung laufen kann, wenn gar kein Kontakt zu einem Deployment-Server be- NEU! Abo-Upgrade - werden Sie IT-Administrator Jahresabonnent mit Jahres-CD! steht (zum Beispiel wenn Sie mit dem Notebook im ICE sitzen). Dafür steht auf jedem System eine Management-Partition zur Verfügung. Deren Verwendung ist optional, aber sinnvoll, wenn es mal ohne Firmenkontakt gehen muss. Ist Vista verstellt oder muss es neu installiert werden, bootet der Anwender die Management-Partition und veranlasst die Installation von einem lokalen Datenträger.Auch hier müssen Sie kein Sicherheitsloch fürchten, da sich der Computer im BIOS mit einem Passwort schützen lässt und das Booten von CD/DVD oder USB ausgeschaltet bleibt. Das Problem der Wiederherstellung bei fehlendem Netzkontakt zur Firma ist damit sauber und sicher geklärt. Virtuelles Windows verteilen Soll die alte Windows-Welt oder ein paralleles Vista-Universum entstehen, bietet sich Für nur € 9,84 Upgrade-Zuschlag auf Ihr Jahresabo bekommen Sie jedes Jahr im Dezember die IT-Administrator Jahres-CD mit den 12 Heftausgaben von Januar bis Dezember im PDF-Format automatisch zugesendet. Bestellen Sie jederzeit und ab sofort online auf: www.it-administrator.de/upgrade S33-38_ITA_0607_P01_terrashop_ EAZ_Sinn_EAZ.qxp die Verwendung von VMware an. Der VMware-Player lässt sich bereits vor dem ersten Booten von Vista als Softwarepaket nachverteilen (Offline-Verteilung). Auch eine leere virtuelle Maschine wird schon übertragen. Beim Booten von Vista läuft automatisch die Nachbehandlungsprozedur des Softwarepakets VMware-Player ab. VMware-player-1.0.3-34682.exe /a /s /v”/qn TARGETDIR=d:\software.tmp\Vmware” msiexec -i “d:\software.tmp\Vmware\VMware Player.msi” INSTALLDIR=”d: \software.oma\Vmware” /qn Das Starten der leeren virtuellen Maschine kann manuell oder per Autostart erfolgen. Bei Verwendung von VMware-Server startet die leere virtuelle Maschine automatisch im Hintergrund. Die virtuelle Maschine bootet mit einer ManagementPartition oder per PXE und holt sich vom Netz die Identität (Name, IP usw.). Dadurch bekommt die virtuelle Maschine sofort Kontakt zum Deployment-Server und wird automatisch mit der festgelegten Erstbespielung betankt. Während dieser Betankung kann der Anwender aber schon mit Vista arbeiten. Laufwerksverschlüsselung mit BitLocker Unter Vista Ultimate steht die BitLocker-Laufwerksverschlüsselung zur Verfügung. Dafür müssen Sie der vorhandenen primären Partition von 20 GByte eine weitere primäre Partition zur Seite stellen. S: 1,5 GByte Vista-Ultimate-Bootpartition C: 20,0 GByte BitLocker verschlüsseltes Vista-Laufwerk D: 30,0 GByte unverschlüsselte Programm- und Hilfspartition E: 120,0 GByte Plattenrest Da ich mir für jeden Vista-Zustand einen eigenen Bespielnamen zugelegt habe, bespiele ich einfach die unverschlüsselte Fassung von Vista Ultimate. Die Image-Da- www.it-administrator.de 22.05.2007 13:01 Seite 5 tei ist mit 3,8 GByte ein wenig größer als bei Vista Business (3,1 GByte). Nach dem Anmelden als Administrator rufen wir das Programm gpedit.msc auf. Mit der Maus geht es dann in den folgenden Zweig: “Computerkonfiguration / Administrative Vorlagen / Windows Komponenten / BitLocker Laufwerksverschlüsselung / Systemsteuerungssetup: Erweiterte Startoptionen aktivieren” Nach der Aktivierung ist kein TPM-kompatibles BIOS mehr erforderlich (Bild 2). Der Schlüssel zu dem noch zu verschlüsselnden Laufwerk lässt sich später auf einem USB-Stick ablegen.Vor dem nächsten Neustart muss die neue Boot-Partition die aktive Partition werden. Damit sich von dieser Partition auch wirklich booten lässt, müssen die Vista-Bootdateien auf die neue Boot-Partition. Das geht nur mithilfe der Vista-Installations-DVD. Nach dem Booten mit der DVD gibt es einen ersten Reparaturanlauf und einen Neustart. Erst danach kommt es zur Anzeige einer wiedergefundenen Vista-Installation. Jetzt können Sie auf der DVD die Systemstartreparatur wählen, und nach einem weiteren Neustart bootet Vista von der kleinen Partition und fährt die Installation auf der großen Partition hoch. Nun sind alle Voraussetzungen für die BitLocker-Laufwerksverschlüsselung erfüllt. Der eingesteckte USB-Stick meldet sich als Laufwerk H: und bekommt alle Zugangsinformationen, die die BitLocker-Verschlüsselung erstellt. Nach einem erneuten Reboot wird die große Partition verschlüsselt. Das dauert für die 20 GByte fast 30 Minuten. %JF 4*// (NC) IPMU JOOPWBUJWF 4PGUXBSF -zTVOHFO BVTMjOEJTDIFS )FSTUFMMFS OBDI %FVUTDIMBOE 8JS XPMMFO NJU VOTFSFO "O HFCPUFO *54QF[JBMJTUFO CFJ JISFS "SCFJU VO UFSTUU[FO VOE CJFUFO QFSTzOMJDIFO 4FSWJDF BMMFSCFTUFS2VBMJUjU %FTIBMCFNQ¾FIMU*IOFOEJF4*//(NC) 3&.05& "%.*/*453"5*0/ */1&3'&,5*0/ NJU 4DIOFMMTUFVOEVNGBOHSFJDITUF 'FSOXBSUVOHTMzTVOHGS1$´T VOE4FSWFS Q 7PO*5"ENJOJTUSBUPSFOGS *5"ENJOJTUSBUPSFO Q Das schicke Pärchen aus USB-Stick und verschlüsselter Partition soll sich aber auch anderswo verwenden lassen: Da wir mithilfe der Management-Partition die verschlüsselte Partition auch unterwegs wieder aufspielen wollen, wird die Management-Partition wieder die aktive Partition. Den Bootmanager auf der Management-Partition müssen Sie nur auf die neue Bootpartition einstellen. Beim GBDI1SBYJTFSQSPCU Q +FU[UBVDI7*45"VOE CJUUBVHMJDI Q 5&45&/4*&8*34$)&6&/ ,&*/&/7&3(-&*$) 3VGFO4JFHMFJDIBOVOUFS &.BJMBOSB!TJOOEFPEFSGSFJF%FNP WFSTJPOVOUFSXXXTJOOEF";SBBTQY 4*//(NC) &SEJOHFS4USBF 3FJUIPGFO S33-38_ITA_0607_P01_terrashop_ EAZ_Sinn_EAZ.qxp 21.05.2007 13:25 Seite 6 PRAXIS I Workshop Abzug der BitLocker-Partition erfolgt mit Komprimierung kaum eine Reduktion der Dateigröße – der Abzug der 20GByte-Partition ist auch 20 GByte groß. Offenbar beschränkt sich die Verschlüsselung nicht auf die benutzten Blöcke der Partition.Auch der Aufruf von cipher /W:\ mit einem Abbruch nach dem Schreiben der Nullen bringt keine Verbesserung. Für diese Bespielung schalten wir deshalb die clientseitige Komprimierung aus. Nun haben wir zwei Möglichkeiten: - Die Vervielfältigung des USB-Sticks produziert Nachschlüssel, und Sie können die fertig verschlüsselte Vista-UltimateInstallation mehrfach einsetzen. Die fertig mit BitLocker verschlüsselte Musterinstallation wird bei der Verteilung über die Hilfspartition individualisiert. Das ist von Nutzen, wenn der eigentlich geschützte Rechner völlig ungeschützt einem Hardwarefehler unterliegt. - Ein anderer Weg besteht darin, das – auf zwei Partitionen verteilte und für die BitLocker-Verschlüsselung vorbereitete – Vista aufzuspielen. Also werden beispielsweise 1.000 Notebooks bespielt und final nicht neu gebootet. Startet der Mitarbeiter das Notebook zum ersten Mal, läuft die Individualisierung ab und das Programm zum Einschalten der BitLocker-Laufwerksverschlüsselung wird aufgerufen. Dann ist es die Verantwortung des Mitarbeiters, seinen Schlüssel zu erstellen und zu verwalten. Geht der Schlüssel verloren, wird neu bespielt und neu verschlüs- Bild 2: BitLocker-Vorbereitung: die Verwendung eines USB-Sticks freigeben selt. Um sich alle Optionen offenzuhalten, wird die Freigabe des USBSticks als Softwarepaket verschnürt.Wer das Paket nicht bekommt, muss einen Rechner mit TMP-BIOS haben. Wer das Paket bekommt, darf seine Schlüssel auf einem USB-Stick ablegen. Selbstverständlich werden alle wichtigen Daten regelmäßig verschlüsselt in die Firmenzentrale überspielt, für den Fall eines Schadens am Notebook. Fazit Der hier verwendete Deployment-Server und die Vista-Clients sind nichts Besonderes (Kasten S. 33) und erzielen in einem geswitchten 100-MBit-Netz doch ansehn- liche Ergebnisse. Bedingt durch die Reboots von Vista dauert es 15 Minuten, bis sich der User anmelden kann. Zu diesem Zeitpunkt hat der Rechner bereits einige Softwarepakete intus und kann außerdem per SSH-Protokoll mit weiteren Softwarepaketen verschlüsselt beschickt werden.Alle Windows-Laufwerke sind final verschlüsselte NTFS-Dateisysteme. Ob Sie dafür auf die cipher-Dateiverschlüsselung oder auf die BitLocker-Laufwerksverschlüsselung setzen, spielt keine Rolle.Aufgrund der unflexiblen Handhabung und der langen Bespielzeiten ist eine Verteilung fertig verschlüsselter BitLocker-Partitionen wenig sinnvoll, solange alle unbenutzten Blöcke mitverschlüsselt werden. (jp) Lesen Sie den IT-Administrator als E-Paper Testen Sie kostenlos und unverbindlich die elektronische IT-Administrator Leseprobe auf www.it-administrator.de! Wann immer Sie möchten und wo immer Sie sich gerade befinden – Volltextsuche, Zoomfunktion und alle Verlinkungen inklusive. Klicken Sie sich ab heute mit dem IT-Administrator einfach von Seite zu Seite, von Rubrik zu Rubrik! Infos zu E-Abos, E-Einzelheften und Kombiangeboten finden Sie auf: www.it-administrator.de S46-50_ITA_0207_P04_EAZ.qxp 23.01.2007 17:13 Seite 2 PRAXIS I Workshop Arbeitsweise und Konfiguration von Xen (1) Virtualisierung auf Open-Source-Basis von Thomas Weyergraf Kaum ein Thema ist derzeit ähnlich angesagt wie die Virtualisierung. Prozessorhersteller, Systemlieferanten und Betriebssystemhersteller überbieten sich im Moment geradezu mit Ankündigungen und Angeboten rund um dieses Thema. In Sachen Linux befindet sich "Xen" in aller Munde. Dieser Artikel stellt den ersten Teil einer zweiteiligen Reihe dar und betrachtet Xen sowohl konzeptionell als auch praktisch. Der erste Teil erklärt die grundlegende Funktionsweise von Xen, während der zweite Teil den praktischen Einsatz zum Thema hat. nter Virtualisierung verstehen wir – im Kontext dieses Artikels – die Fähigkeit, die einem System zugrunde liegende Hardware dergestalt zu abstrahieren, dass mehrere Betriebssysteme gleichzeitig darauf laufen, ohne sich dabei gegenseitig zu stören. Das Unternehmen VMware gilt als Pionier in Sachen x86-Virtualisierung und konnte sich durch die gleichnamigen Softwareprodukte schnell einen Namen in diesem Umfeld machen. Speziell auf Linux ausgerichtet, existiert eine ganze Reihe von Projekten, die virtuelle (Linux-) Instanzen auf x86-Servern realisieren (zum Beispiel QEMU und OpenVZ). Alle Lösungen haben gemein, dass auf einem “Host-System” eine Software läuft, die es erlaubt,“Gast-Systeme” zu betreiben. Das Host-System (kurz: der Host) übernimmt dabei das tatsächliche Management der zugrunde liegenden Hardware – die Gäste nutzen dann eine Virtualiserungsschicht, um auf die gleiche Hardware zuzugreifen. U Unterschiede zur Emulation An dieser Stelle ergibt es Sinn, zwischen Emulatoren und anderen Virtualisierungslösungen zu unterscheiden. Ein Emulator bildet eine beliebige Hardware nach. Das bedeutet, er spielt dem GastSystem sämtliche Bestandteile wie Ein-/Ausgabe, Festplatten, Netzwerk und 46 Februar 2007 mitunter auch die CPU vor. Der Vorteil dieses Ansatzes: Das Gast-System braucht sich um keinen Aspekt der Virtualisierung zu kümmern – es spricht Platten genauso an wie gewohnt, stellt seine grafische Benutzeroberfläche dar, schließt sich an ein Netzwerk an und selbst die CPU tut genau das, was der Gast erwartet. Dieser “Full Service” hat allerdings seinen Preis: Alle Aufrufe, die das GastSystem an die vermeintliche Hardware schickt, durchlaufen im Emulator mitunter komplexe Unterprogramme und arbeiten entsprechend langsam. Folglich lässt sich die Geschichte der Emulatoren recht schnell erzählen – es gab sie zu allen Zeiten auf fast allen Plattformen, allerdings waren sie aus PerformanceGründen nur selten attraktiv. Das vielleicht berühmteste – und beste – Beispiel eines Emulators war der “FX!32” von Digital Equipment. Dieser sollte die Aufgabe übernehmen, x86-Windows-Software auf Alpha-Windows-Betriebssystemen auszuführen.Technisch durchaus interessant, war der Lösung allerdings aus dem oben genannten Grund kein besonderer kommerzieller Erfolg beschieden. Virtualisierung unter Unix Von den allgegenwärtigen Emulatoren abgesehen, hat sich im Highend-Serverumfeld ein ganz anderer Virtualisierungs- ansatz durchgesetzt. Dieser erweitert die Hardware um Funktionen, die es erlauben, Betriebssysteme parallel zu installieren und zu betreiben, und zwar möglichst ohne dass diese von den eigentlichen Vorgängen Kenntnis haben. Dazu passen die Hersteller neben der eigentlichen Hardware auch die Firmware (also das BIOS der Maschinen) und das Betriebssystem an. Dieser Ansatz ist erprobt, seit Jahren im Einsatz und genauso stabil wie leistungsstark. Allerdings haben es die Hersteller der genannten Systeme auch relativ einfach. Zum einem liegen die Kosten der gelieferten Hardware recht hoch, sodass entsprechend aufwendige HardwareErweiterungen nicht wirklich ins Gewicht fallen. Des Weiteren virtualisieren diese Hersteller nur ihre eigenen Unix-Derivate und haben damit vollständige Kontrolle über das, was passiert. Auf einem Super-Dome, einer Starfire oder einer PSeries fahren die Anwender folglich lediglich virtuelle Instanzen eines HP/UX, Solaris oder AIX. Mit unabhängigen Drittherstellern wie Microsoft müssen sich die Anbieter dieser Systeme also nicht auseinandersetzen. Zudem führen sie eventuell benötigte Änderungen am Betriebssystem inhouse durch, ohne entsprechende Standards zu entwickeln oder einzuhalten. Zu guter Letzt bleibt auch der Pool der durch Virtualisierung zu un- www.it-administrator.de S46-50_ITA_0207_P04_EAZ.qxp 23.01.2007 17:13 Seite 3 PRAXIS I Workshop terstützenden Hardware überschaubar – erlaubt ist an Erweiterungen nur das, was der jeweilige Hersteller vorsieht. Im x86-Umfeld sind die Marktbedingungen vollständig anders: Die Hardware kommt – mitsamt Treibern – von Dutzenden von Herstellern, und in Sachen Betriebssystem wählen die Kunden genau das aus, was sie einsetzen wollen. Für diese Serversysteme eignet sich der eben genannte Ansatz daher nicht. Xen Xen tritt an, um Einschränkungen von Herstellern proprietärer Hard- und Software zu umgehen. Ursprünglich wurde die Lösung seit 2002 an der Universität von Cambridge in England entwickelt und 2003 erstmals öffentlich auf einer Konferenz im Rahmen eines Papers präsentiert. Das Entwicklerteam hat mittlerweile eine Firma names “Xen-Source” gegründet, die sich darum kümmert, Xen mit professionellen Tools kommerziell zu vermarkten. Dennoch bleiben die Quellen der Codebasis von Xen unter der allgegenwärtigen GPL frei verfügbar. Xen unterlag übrigens einer bewegten Entwicklungsgeschichte, im Laufe derer – zum Teil radikale – Änderungen am Code vollzogen wurden. Lange Zeit war Xen 2.0 das Maß aller Dinge, jedoch haben die Entwickler gegen Ende 2005 die gegenwärtig aktuelle Version Xen 3.0 freigegeben. Dieser Artikel bezieht sich ausschließlich auf Version 3.0. Das Ziel von Xen liegt darin,Virtualisierung auf x86Rechnern zu ermöglichen. Um zu verstehen, wie dies geschieht, müssen wir nun einen kleinen Exkurs in Sachen Aufbau von Betriebssystemen auf der x86Architektur durchführen. Grundsätzlich besteht die Aufgabe eines jeden Betriebssystems darin, den Applikationen auf eine kontrollierte Art und Weise die Hardwareressourcen des jeweiligen Rechners zur Verfügung zu stellen. Die Anwendungen kommunizieren dazu mit dem Betriebssystem über eine definierte Schnittstelle, die Systemcalls. Im www.it-administrator.de Domain 0 (Dom 0)-Applikationen User/ App Domain-Gast (Dom U)-Applikationen DomU mit VMX-Applikationen DomU mit VMX-Applikationen Xen Kontrolle (xm & Co.) Kernel DeviceTreiber virtuelles TreiberBackend Xen-Kernel-Erweiterung Unmodifiziertes Gast-OS Unmodifiziertes Gast-OS XenFrontendTreiber XenFrontendTreiber Native Treiber XenFrontendTreiber Native Treiber Xen-VMX-Unterstützung Interrupt-HW-Emulation XenControlInterface Hardware: Geräte Xen Hypervisor Hardware: Virtual-Machine-Unterstützung durch die CPU Hardware: CPU, Speicher, Interrupts, etc. Bild 1: Übersicht über die Funktionsweise der XEN-Virtualisierung Kern des Betriebssystems (dem Kernel) verwalten verschiedene Subsysteme die eigentlichen Systemressourcen. Die Speicherverwaltung kümmert sich beispielsweise um die Verteilung des Speichers und Gerätetreiber übersetzen die Funktionen der I/O-Geräte in die Semantik der Systemcalls. Bei Multitasking-Systemen sorgt der sogenannte Scheduler dafür, dass jedes laufende Programm seinen Anteil an der CPU-Leistung des Systems bekommt. Für all diese Aufgaben spielt es eine große Rolle, dass von der Hardware unterstützte Schutzmechanismen dafür sorgen, dass die Anwendungen das korrekte Funktionieren des Betriebssystems nicht beeinträchtigen können. Moderne Prozessoren besitzen hauptsächlich zwei Mechanismen, die dem Betriebssystem diesen Schutz bieten – den Privilege-Level und die Speicherverwaltungseinheit (Memory Management Unit oder kurz MMU). Diese beiden möchten wir im Folgenden kurz erklären. Die PrivilegeLevel sorgen dafür, dass bestimmte, von der CPU “gesprochene” Instruktionen nur in einem besonderen Modus ausführbar sind. Funktionen für das Behandeln von Interrupts oder das Ansprechen bestimmter Speicherbereiche, wie etwa des I/O-Bereichs von Geräten, sollten tunlichst nicht die Anwenderprogramme, sondern ausschließlich der Kernel aufrufen. Die MMU andererseits unterteilt den physikalischen Speicher in “Häppchen” (Pages). Anwenderprogramme erwarten stets einen zusammenhängenden Speicher, der an einer festen Adresse (meist Null) beginnt. Die MMU übersetzt die physikalischen Adressen in virtuelle und setzt so den Anwendungen diesen einheitlichen Speicher aus den Pages zusammen. Die Funktionen der MMU sind nur in einem hohen Privilege-Level verfügbar, damit nur die Speicherverwaltungsfunktionen des Betriebssystems in der Lage sind, darauf zuzugreifen. Historisch kennt die x86-Familie seit dem 80386 vier Privilege-Level und eine virtuelle MMU. Von den vier Privilege-Leveln kommen heute nur zwei zum Einsatz: Level 0 als “sicherster” Level, in dem das Betriebssystem läuft, und Level 3 als nichtprivilegierter Level für die Anwenderprogramme. Das Umschalten zwischen den beiden Leveln läuft ausschließlich über das Betriebssystem ab. Der hier vorgestellte Aufbau gilt im Prinzip für alle modernen x86-Betriebssysteme, wie Windows (seit NT) und Linux, die freien BSD-Derivate und kommerzielle Unix-Varianten. Für die Virtualisierung stellt er jedoch ein Problem dar. Im höchsten Level 0 darf ein Betriebssystem alles – eine Möglichkeit, den Level 0 so aufzuteilen, dass sich mehrere Betriebssysteme nicht gegenseitig “reinreden”, wurde nicht vorgesehen. Februar 2007 47 S46-50_ITA_0207_P04_EAZ.qxp 23.01.2007 17:13 Seite 4 PRAXIS I Workshop Der Xen-Hypervisor Hier kommt nun Xen ins Spiel. Xen liefert eine Sammlung von Programmroutinen, die sich “Hypervisor” nennt. Der Hypervisor übernimmt alle privilegierten Funktionen, die in Level 0 laufen müssen. Die eigentlichen Betriebssysteme laufen statt in Level 0 fortan in Level 1. Das bietet den Betriebssystemen immer noch Schutz vor den Anwendungen, verhindert aber, dass sie sich in Level 0 gegenseitig stören. Leider lassen sich Betriebssysteme nicht einfach aus Level 0 in Level 1 verschieben – es sind mitunter umfassende Anpassungen am Kernel notwendig, um in Level 1 lauffähig zu sein. Bei Closed-Source-Betriebssystemen, wie etwa Windows, bringt dieser Ansatz Probleme mit sich. Linux wurde im Gegensatz dazu mittlerweile vollständig an die genannten Bedingungen angepasst, bei den freien BSD-Derivaten haben die Entwickler die erforderlichen Änderungen ebenfalls mehr oder weniger vollständig vollzogen. Darüber hinaus haben die Hersteller der x86-Prozessoren mittlerweile den potenziellen Nutzen der Virtualisierung erkannt und in ihre Prozessoren Hardware eingebaut, die diese Technologie unterstützt. Bei Intel nennt sich das “Vanderpool”, bei AMD “Pacifica”. Diese beiden Ansätze wurden zwar technisch unterschiedlich implementiert, meinen im Wesentlichen aber das Gleiche: Sie führen einen weiteren Privilege-Level ein, der gemeinhin “Level -1” oder “VMX” heißt. Der Xen-Hypervisor läuft damit statt in Level 0 nun in diesem neuen Level und erlaubt es den Gast-Betriebssystemen, wie gewohnt in Level 0 zu arbeiten. Die VMX-Erweiterungen bleiben dann für die Gast-Betriebssysteme unsicht- und auch unerreichbar. Der Hypervisor stellt ein sehr kompaktes Programm dar, das im Wesentlichen zwei Schnittstellen nach außen bietet. Zum einen das Hypercall-API, das ein einheitliches Interface für die Gast-Betriebssysteme darstellt, und zum anderen das Management-API, über das sich der Hypervisor steuern lässt. Unter der Kontrol- 48 Februar 2007 le des Hypervisors laufende GastBetriebssysteme heißen bei Xen “Domains”. Der ersten Domain (Domain 0 oder kurz Dom0) fällt in diesem Zusammenhang eine besondere Rolle zu (alle weiteren Domains nennen sich DomU): Da der Hypervisor neben den grundlegenden Funktionen der Hardware (wie CPU, Interrupts und Hauptspeicher) auch die Kommunikation zu den I/O-Geräten abwickelt, müsste er eigentlich über entsprechende Treiber für diese Geräte verfügen. Bei der riesigen Anzahl verschiedener Geräte im x86-Umfeld wäre das allerdings ausgesprochen unpraktikabel. Xen umgeht dieses Problem mit einem Trick. Der Hypervisor bedient sich vollständig der Treiber des Betriebssystems in der ersten Domain – Dom0. Zusätzlich laufen alle Programme zum Steuern von Xen ebenfalls in der Dom0, die exklusiven Zugriff auf das ManagementInterface des Hypervisors hat. Bild 1 illustriert den prinzipiellen Aufbau einer virtuellen Xen-Umgebung. Durch seinen extrem kompakten Aufbau arbeitet ein Linux mit Xen-Erweiterungen fast genauso schnell wie ein natives Linux auf derselben Hardware. Die XenEntwickler sprechen von einem Overhead von weniger als einem Prozent bei hardwaregestützter Virtualisierung und nur wenigen Prozent im Fall fehlender Hardwareunterstützung. Der Kernel der Dom0 braucht für den Betrieb unter Xen allerdings einige Erweiterungen. Zunächst muss er das Management-Interface bedienen können, damit sich weitere DomUs starten und stoppen lassen. Damit die DomUs dazu in der Lage sind, die Geräte, deren Treiber in der Dom0 laufen, anzusprechen, bedarf es sogenannter virtueller Backend-Treiber. DomUs greifen über diese Treiber-Backends auf entsprechende Frontends zu. Die Konfiguration, welche Geräte die Dom0 exportiert und wie die DomUs darauf zugreifen, läuft über bestimmte Konfigurationsdateien für die einzelnen DomUs. Darüber hinaus bietet das System die Möglichkeit, einzelne PCI-Geräte be- stimmten DomUs zuzuweisen. Im Fall einer solchen Zuweisung entzieht Xen das betreffende Gerät komplett der Steuerung durch die Dom0. Xen in der Praxis – erste Schritte Nach der ganzen Theorie wird es Zeit, Xen in der Praxis zu erproben.Als Workshop-Umgebung setzen wir die LinuxDistribution Fedora Core 6 sowohl als Dom0 als auch als DomU ein.Alle im Folgenden gezeigten Schritte lassen sich allerdings mit jeder beliebigen Linux-Distribution durchführen. Fedora Core 6 bietet einen eigenen Satz rudimentärer Management-Tools an, die jedoch hauptsächlich das Erzeugen eines DomU-Images betreffen und die wir daher hier ignorieren.Andere Distributionen bieten einen ähnlichen Funktionsumfang. Dieser Artikel stützt sich vollständig auf die generischen Tools von Xen.Wie bereits erwähnt, bieten auch andere Betriebssysteme Xen-UnterBoot-Konfiguration der Dom0 (Eintrag in der grub.conf): title Xen Domain-00 root (hd0,0) kernel /xen.gz module /vmlinuz-DDom0 ro root=/dev/sysvg/root module /initrd-DDom0.img Beispielausgabe von "xm list": root:~# xm list Name VCPUs State Time(s) Domain-00 2 r----- 1605.6 ID Mem(MiB) 0 1495 Kernel und Initrd der DomU in /boot der Dom0: root:~# ls /boot/*DomU* /boot/vmlinuz-DDomU /boot/initrd-DDomU.img Starten der DomU: root:~# xm create -cc /etc/xen/domina Anzeigen der laufenden Domains in Dom0: root:~# xm list Name VCPUs State Time(s) Domain-00 460.1 2 r----domina 1 -bb---14.8 ID Mem(MiB) 0 1495 1 512 Stoppen der DomU: root:~# xm shutdown domina Kasten 1: Dom0/DomU-Konfiguration und Betrieb www.it-administrator.de S46-50_ITA_0207_P04_EAZ.qxp 23.01.2007 17:13 Seite 5 PRAXIS I Workshop stützung sowohl als Dom0 als auch als DomU an – obwohl Xen auf Linux entwickelt wurde, mausert es sich ein bisschen zum plattformübergreifenden Standard für x86-Virtualisierung. Derzeit können Sie allerdings davon ausgehen, dass der LinuxSupport am weitesten gediehen ist. Ebenfalls wollen wir noch erwähnen, dass Xen mittlerweile auch Intels Itanium- und IBMs Power-Architektur unterstützt, jeweils auf CPUs, die Hardwareunterstützung für Virtualisierungen bieten. Für die ersten Schritte verwandeln wir eine bestehende Linux-Installation in eine Dom0. Den Betrieb der Installation beeinflusst das nicht – ein als Dom0 laufendes Linux tut nach wie vor seinen Dienst als ganz normales Linux. Um Xen einzurichten, müssen Sie zunächst in der Dom0 die benötigte Software installieren. Fedora verteilt diese Software auf drei Pakete: “xen”, “kernel-xen” und “xen-libs”. Das Paket xen enthält die zum Betrieb nötigen Tools, xen-libs liefert die zugehörigen Librarys. Das Paket kernel-xen umfasst schließlich den passenden Linux-Kernel und den eigentlichen Hypervisor. Seit Neuestem übernimmt ein einheitlicher Kernel die Verantwortung für Dom0 und sämtliche DomUs – in etwas älteren Versionen von Xen gab es für die Dom0 und die DomUs noch getrennte Kernel. Wie das bei der von Ihnen verwendeten Distribution aussieht, sollten Sie folglich zuerst überprüfen. Im folgenden Beispiel benennen wir die Dom0- und DomUKernel unterschiedlich, um die Konfigu- rationsschritte zu verdeutlichen.Wurde die Xen-Software installiert, müssen Sie die Dom0-Boot-Konfiguration erstellen – Kasten 1 zeigt den entsprechenden Eintrag in der “grub.conf ” für die Test-Dom0.Wie Sie sehen, kommt zunächst anstelle des traditionellen Linux-Kernels der Hypervisor (xen.gz) hoch, der seinerseits den passenden Kernel samt Initial Ramdisk lädt (vmlinuz-Dom0 und initrd-Dom0.img). Nach diesem Schritt führen Sie einen Neustart durch. Sobald dieser abgeschlossen wurde, können Sie mit dem Kommando xm list überprüfen, ob der Hypervisor samt Xenfähigem Kernel korrekt arbeitet. In Kasten 1 findet sich die entsprechende Beispielausgabe. Im zweiten Schritt installieren Sie Linux als DomU. Dazu gibt es eine Reihe von Möglichkeiten: Xen unterstützt beispielsweise den Betrieb von DomUs, die in der Dom0 als Loopback-Images vorliegen. Fedora bietet zudem Tools, um eine DomU in ein Loopback-Device zu installieren. Prinzipiell können Sie das Loopback auch von Hand einrichten und das Linux dann mit den Bordmitteln der jeweiligen Distribution dort hinein installieren.Alternativ kopieren Sie die bestehende Dom0Installation einfach in das Loopback, wechseln danach mit chroot(1) in das Loopback und passen die Installation an. DomU konfigurieren Für die eben beschriebenen ersten Schritte haben wir Linux auf eine separate Festplatte installiert. Der erste Abschnitt in Kas- NEU! Abo-Upgrade - werden Sie IT-Administrator-Jahresabonnent mit Jahres-CD! ten 2 auf dieser Seite zeigt das Test-Setup. Das System lädt den Kernel samt der für die DomU passenden Initial Ramdisk aus dem Boot-Verzeichnis der Dom0 – anders als bei einer normalen Linux-Installation startet der Rechner folglich nicht aus dem eventuell vorhandenen Boot-Verzeichnis der DomU. Die DomU-Partitionen sollten im Betrieb nämlich nicht in den Verzeichnisbaum der Dom0 eingebunden werden – folglich wäre der DomU-Kernel beim Systemstart nicht erreichbar, wenn er im DomU-Boot-Verzeichnis liegen würde. Wenden wir uns nun der eigentlichen DomU-Konfiguration zu. Unter Linux findet sich diese Konfiguration unter /etc/xen. In Kasten 3 auf der nächsten Seite sehen Sie die Konfiguration der – sehr einfach gehaltenen – ersten DomU. Die beiden ersten Parameter (kernel und ramdisk) bezeichnen den Namen und die Lage des DomU-Kernels beziehungsweise der Initial Ramdisk.Wie bereits erwähnt, müssen beide im Verzeichnisbaum der Dom0 zugänglich sein. Mit dem Parameter “memory” geben Sie der DomU den Festplatten Dom0: Vier SCSI-Platten im RAID-5 Verbund, eine LVM Volume Group mit 6 Logical Volumes, die die Partitionen des Dom0-Linux enthalten, zusätzlich vier separate Boot-Partitionen – eine auf jeder Platte –, die sich vierfach gespiegelt außerhalb des LVMs befinden. DomU: Eine separate SCSI-Festplatte mit sieben Partitionen inklusive Swap Kasten 2: Beschreibung der Testkonfiguration Für nur € 9,84 Upgrade-Zuschlag auf Ihr Jahresabo bekommen Sie jedes Jahr im Dezember die IT-Administrator Jahres-CD mit den 12 Heftausgaben von Januar bis Dezember im PDF-Format automatisch zugesendet. Bestellen Sie jederzeit und ab sofort online auf: www.it-administrator.de/upgrade S56-61_ITA_1007_P02_WZN_Leinhaeuser.qxp 19.09.2007 12:43 Seite 2 PRAXIS I Workshop Datenbankfehler in Exchange beheben (1) In den Tiefen des Mailservers von Thomas Joos Exchange speichert seine Daten innerhalb einer Datenbank ab. Leider passiert es oft, dass eine solche Datenbank korrupt ist und Daten verloren gehen oder zumindest Mitarbeiter nicht mehr mit dem E-MailServer arbeiten können. Im ersten Teil unserer Workshopserie zeigen wir Ihnen, wie Sie Datenbankfehler vermeiden und und defekte Datenbanken mit dem Tool “Eseutil” reparieren. ie hier beschriebenen Methoden beziehen sich vor allem auf Exchange Server 2007 und 2003, sind aber auch auf Exchange 2000 und 5.5 übertragbar. Das Wissen über die Speicherarchitektur und die Datensicherung von Exchange ist spätestens bei einem Wiederherstellungsvorgang wichtig. Exchange-Datenbanken basieren auf der “Joint Engine Technologie” (JET).Auf deren Basis wurde die “Extensible Storage Engine” (ESE) entwickelt, die Datenbank-Engine von Exchange. Die Datenbanken werden vom Mailserver als Datei auf einem Datenträger gespeichert. Dieses File hat unter Exchange Server 2007 die Endung EDB. Die Datenbankdateien sind nicht mehr, wie unter Exchange Server 2000/2003, in EDB- und STM-Dateien aufgeteilt, sondern bestehen nur noch aus einer einzelnen EDB-Datei pro Datenbank. D tenbanken verteilt sind, nur minimal beeinträchtigt. Dadurch ist auch die Dauer eines Wiederherstellungsvorgangs bei kleineren Datenbanken um einiges kürzer als bei größeren. Der erste Schritt, um die Benutzer vor korrupten Datenbanken zu schützen, ist daher das Anlegen möglichst vieler Speichergruppen. Die Exchange Server 2007 Enterprise-Edition unterstützt bis zu 50 Speichergruppen, welche wiederum bis zu 50 Postfachspeicher enthalten können. Die Standard-Edition hingegen unterstützt maximal fünf Speichergruppen mit fünf Postfachspeichern. Exchange 2003 unterstützt mehrere Speichergruppen dagegen ausschließlich in der Enterprise-Edition. Die StandardVariante unterstützt nur eine Speichergruppe mit einem Postfachspeicher, der eine Größe von maximal 16 GByte erreichen darf (bei der Installation von Service Pack 2 für Exchange 2003 bis zu 75 GByte). Bei der Enterprise-Edition von Exchange 2003 dürfen Sie vier Speichergruppen anlegen, die wiederum jeweils fünf Postfachspeicher oder öffentliche Ordnerspeicher enthalten können. In Exchange Server 2007 gibt es weder in der Standard-Edition noch in der Enterprise-Ausführung eine Begrenzung für die Größe des Postfachspeichers. Die Postfachspeicher innerhalb einer Speichergruppe teilen sich einen gemeinsamen Satz von Transaktionsprotokollen, das gilt auch für Exchange-2003-Datenbanken. Durch die Aufteilung der Benutzer in verschiedene Postfachspeicher und Speichergruppen sind die einzelnen Datenbanken zudem deutlich kleiner als bei nur einer Speichergruppe. Dadurch dauern Recovery-Vorgänge nicht so lange wie bei einer einzelnen Speichergruppe und die Benutzer der betroffenen Datenbank können schneller wieder auf ihr Postfach zugreifen. Fällt eine Speichergruppe aus, ist sichergestellt, dass Benutzer mit Postfächern in anderen Speichergruppen weiterhin uneingeschränkt Sinnnvolle Präventiv-Maßnahmen Durch das Anlegen mehrerer Datenbanken erhöhen Sie die Konsistenz der Exchange-Daten. Selbst wenn eine Datenbank und dessen Dateien beschädigt sind, können Benutzer, deren Postfächer sich in einer anderen Datenbank befinden, weiterhin problemlos arbeiten. Bei einem notwendigen Wiederherstellungsvorgang einer Datenbank wird die Arbeit der Benutzer, deren Postfächer auf anderen Da- 56 Oktober 2007 Bild 1: Exchange-Datenbanken werden als Datei gespeichert www.it-administrator.de S56-61_ITA_1007_P02_WZN_Leinhaeuser.qxp 19.09.2007 12:43 Seite 3 PRAXIS I Workshop arbeiten können. Stellen Sie die ausgefallene Speichergruppe wieder her, können die anderen Benutzer trotzdem weiterarbeiten. Der Recovery-Vorgang einer Speichergruppe beeinflusst andere Speichergruppen nicht. Virenscanner und Exchange Die Datenbankdateien von Exchange sollten keinesfalls von einem Virenscanner auf Dateiebene gescannt werden. Das gilt auch für die Transaktionsprotokolldateien die im nächsten Abschnitt dieses Artikels noch besprochen werden. Als Virenscanner unter Exchange setzen Sie am besten ausschließlich einen Scanner auf Postfachebene, zum Beispiel Microsoft Forefront für Exchange, ein. Betreiben Sie auf dem Exchange-Server parallel einen Virenscanner auf Dateiebene, nehmen Sie mindestens das Verzeichnis der Exchange-Datenbanken und der Transaktionsprotokolle von den Scanvorgängen aus – besser das ganze Exchange-Installationsverzeichnis. Das gilt auch für eventuelle Bereinigungstools nach einem Virenbefall. Werden Transaktionsprotokolle und die Datenbank auf Dateiebene gescannt, kommt es früher oder später zu einem Ausfall der Datenbank. Weitere Informationen zu diesem Thema finden Sie unter [1]. Die Bedeutung von Transaktionsprotokollen Exchange Server 2007 arbeitet mit so genannten Transaktionsprotokolldateien. Alle Aktionen, die die Benutzer durchführen und somit Änderungen in der Datenbank zur Folge haben, wie beispielsweise E-Mails schreiben, Termine planen, öffentliche Ordner erstellen und so weiter, müssen von Exchange gespeichert werden. Damit dieser Speichervorgang jederzeit konsistent und performant ist, arbeitet Exchange ähnlich wie ein SQL-Server: Jede Änderung und jede Aktion wird zunächst in eine Datei geschrieben.Von dieser Datei arbeitet Exchange dann Änderung für Änderung ab und speichert sie in seiner Datenbank. www.it-administrator.de Bild 2: Exchange Server 2007 unterstützt auch bei der Standard-Edition das Anlegen mehrerer Speichergruppen Diese Dateien sind für den Betrieb eines Exchange-Servers sowie die Datensicherung unerlässlich. Insgesamt kann Exchange Server 2007 mehrere Milliarden Logdateien bearbeiten, also deutlich mehr als Exchange Server 2003. Die Größe der Transaktions-Logdateien beträgt unter Exchange Server 2007 nur noch ein MByte. Dafür können bis zu zwei Billionen Logdateien pro Speichergruppe erstellt werden. Sobald eine Datei von Exchange geschrieben wurde, legt der Server automatisch eine neue Transaktionsprotokolldatei an. Datenbanken, die in derselben Speichergruppe angeordnet sind, verwenden jeweils dieselben Transaktionsprotokolle. Werden diese beschädigt, vor allem wenn die darin enthaltenen Änderungen noch nicht in der Datenbank gespeichert sind, werden alle Datenbanken dieser Speichergruppe beeinträchtigt beziehungsweise beschädigt. Löschen Sie keinesfalls manuell Transaktionsprotokolle. tokollen wiederhergestellt werden. Kann Exchange keine neuen Transaktionsprotokolldateien anlegen, da kein Plattenplatz mehr vorhanden ist, stellt der Server seine Funktion ein und kein Benutzer kann sich mehr mit dem System verbinden. Exchange Server 2007 legt aus diesem Grund zwei Reservetransaktionsprotokolle (E{nn}res00001.jrs und E{nn}res00002.jrs) an. Sind diese jedoch ebenfalls voll geschrieben, steht der Exchange-Server still. Unter Exchange Server 2003 ist jede Transaktionsprotokolldatei fünf MByte groß. Die Reservetransaktionsprotokolle haben unter Exchange Server 2003 die Bezeichnung res1.log und res2.log. Führen Sie eine Online-Sicherung Ihrer Datenbank mit einem Exchangetauglichen Datensicherungsprogramm durch, werden diese Dateien gesichert und danach automatisch gelöscht, es ist kein manuelles Eingreifen notwendig. Selbst wenn die Datenbankdatei (*.edb) verloren geht, können Exchange-Daten sehr einfach mit den Transaktionspro- In dieser Datei hält Exchange fest, welche Änderungen aus den Transaktionsprotokollen bereits in die Datenbank geschrieben wurden. Bei jedem Beenden oder Starten des Servers überprüft Exchange anhand der Checkpoint-Datei, welche Transaktionsprotokolle noch nicht in die Datenbank geschrieben wurden, und schreibt die restlichen Die Checkpoint-Datei Jeder Satz Transaktionsprotokolle und jede Speichergruppe hat eine eigene Checkpoint-Datei (*.chk). Diese Datei wird in dem Verzeichnis gespeichert, das Sie bei der Systempfad-Angabe der Speichergruppe gewählt haben. Oktober 2007 57 S56-61_ITA_1007_P02_WZN_Leinhaeuser.qxp 19.09.2007 12:44 Seite 4 PRAXIS I Workshop Transaktionsprotokolle in die Datenbank. Das Herunterfahren eines Exchange-Servers kann daher etwas dauern, wenn viele Transaktionsprotokolle zu verarbeiten sind. Wird ein Exchange-Server beim Herunterfahren und Schreiben in die Datenbank unterbrochen, führt er diesen Vorgang beim Starten erneut durch. Geht diese Datei verloren oder wird absichtlich gelöscht, schreibt Exchange beim Starten des Servers alle Informationen, die in den Transaktionsprotokolldateien vorhanden sind, noch einmal in die Datenbank. Dieser Vorgang heißt Soft-Recovery. Der Exchange-Server führt diese Aufgabe selbstständig und ohne Eingreifen eines Administrators durch. Je nach Anzahl der Transaktionsprotokolle kann dieser Vorgang einige Minuten bis Stunden dauern. Ein Soft-Recovery-Vorgang lässt sich übrigens auch mit Hilfe des Befehlszeilen-Tools Eseutil durchführen – dazu später mehr. Daten, die bereits in die Datenbank eingefügt wurden, überträgt Exchange nicht noch einmal von der entsprechenden Transaktionsprotokolldatei. Aus diesem Grund sollten Sie die Umlaufprotokollierung für Exchange-Datenbanken deaktivieren. Umlaufprotokollierung bedeutet, dass Exchange nicht ständig neue Transaktionsprotokolle anlegt, sondern nur mit einigen wenigen arbeitet und diese ständig im Turnus überschreibt. Durch die Aktivierung der Umlaufprotokollierung wird zwar Festplattenplatz gespart, bei Problemen mit der Datenbank oder einem notwendigen Restore kann Exchange jedoch nur noch auf einen begrenzten Datenstamm zurückgreifen. Die Umlaufprotokollierung können Sie für jede Speichergruppe getrennt aktivieren oder deaktivieren. Prüfung des Ausfalls Nach dem Ausfall eines Exchange-Servers sollten Sie zunächst die Infrastruktur überprüfen. Sammeln Sie hierfür ausführliche Informationen darüber, was genau passiert ist, wenn der Informationspeicher nicht mehr starten kann oder eine Datenbank korrupt ist. Der erste Blick geht dabei in die Ereignisanzeige. Lesen Sie alle Einträge, die zum entsprechenden Ausfall passen. Einträge der Exchange-Datenbanken werden hauptsächlich im Anwendungsprotokoll abgelegt. Schauen Sie aber auch im System-Protokoll nach Einträgen, die parallel zu den Datenbankfehlern angelegt wurden. Sehr wichtig ist auch die Auswertung mittels netdiag.exe auf dem Exchange-Server, sowie dcdiag.exe auf den Domänencontrollern, um den Fehler einzugrenzen. Bild 3: Den Speicherort der Checkpoint-Datei legen Sie über den Systempfad der Speichergruppe fest 58 Oktober 2007 Oft liegt bei Fehlern in Exchange-Datenbanken ein Hardwaredefekt der Platte oder des RAID-Controllers vor. Dieser muss nicht auf den ersten Blick ersichtlich sein. Da Exchange jedoch extrem mit den Festplatten arbeitet, wird dieser Dienst recht schnell beeinträchtigt, während andere Serverdienste unter Umständen noch funktionieren. Der erste Schritt bei ausgefallenen Datenbanken ist daher die Überprüfung der Hardware und der Datenträger des Servers. Die meisten Hersteller liefern dazu entsprechende Diagnosetools mit aus. Bevor an eine Reparatur der Datenbank gedacht wird, ist es unerlässlich zu prüfen, dass die zu Grunde liegender Serverhardware in Ordnung ist. Auch der Status der Exchange-Datenbank ist wichtig. In den Ereignisanzeigen wird festgehalten, warum eine Datenbank nicht mehr bereitgestellt werden kann. Auf Basis dieser Informationen können Sie als nächstes entscheiden, was zu tun ist. Es macht keinen Sinn, eine ExchangeDatenbank aus der Datensicherung zurückzuspielen oder zu reparieren, wenn die Hardware des Servers defekt ist oder das Active Directory nicht mehr richtig funktioniert. Wie bei jeder Problemlösung geht hier zunächst eine ausführliche Analyse voraus. Exchange-Datenbanken mit eseutil.exe reparieren Ist eine Exchange-Datenbank defekt, kommt oft das Befehlszeilen-Tool eseutil.exe zum Einsatz. Allerdings sollte der Einsatz des Tools zunächst gut überlegt werden und keine hastigen Entscheidungen getroffen werden. Oft werden nur wenig korrupte Datenbanken durch eine falsche Vorgehensweise vollends zerstört. Hier gilt es also mit Bedacht zu handeln. Mit eseutil.exe können Sie die einzelnen Datenbankdateien von Exchange bearbeiten und überprüfen. Das Tool finden Sie im Exchange-Installationsverzeichnis im Unterverzeichnis “\bin”. Unter Exchange Server 2007 können Sie Eseutil aus jedem Pfad heraus starten, in Exchange Server www.it-administrator.de S56-61_ITA_1007_P02_WZN_Leinhaeuser.qxp 19.09.2007 12:44 Seite 5 PRAXIS I Workshop 2003 müssen Sie in das bin-Verzeichnis wechseln oder dieses Verzeichnis in den Pfad des Servers eintragen. Oft ist auf einem Server nicht genügend Platz um mit Eseutil eine Datenbank zu reparieren. Auch wenn die Hardware defekt ist und parallel zur Exchange-Datenbank repariert werden soll, ist es sinnvoll, Eseutil auf einem anderen Server oder PC ohne installierten Exchange-Server starten zu können. Dadurch besteht die Möglichkeit, die zeitaufwändige Reparatur von Exchange parallel zum Aufsetzen eines neuen Servers durchzuführen. Damit Sie Eseutil auch von einem anderen Computer aus starten können, müssen Sie folgende Dateien zusammen mit den Datenbankdateien, die repariert werden sollen, kopieren: - eseutil.exe - ese.dll - jcb.dll - exosal.dll - exchmem.dll Überprüfen der ExchangeDatenbanken mit Eseutil Der wichtigste Schritt ist die Überprüfung der Exchange-Datenbank auf Konsistenz. Mit dem Befehl eseutil /mh stellen Sie die Konsistenz des Headers der Datenbank fest. Dem Kommando müssen Sie dabei auch den Pfad zur Datenbank mitgeben. Befinden sich im Pfad Leerzeichen, schreiben Sie ihn in Anführungszeichen, zum Beispiel: Bild 4: Mit Eseutil sollte zunächst der Zustand der Datenbank überprüft werden eseutil /mh “C:\Programme\Microsoft\ Exchange-Server\Mailbox\First Storage Group\Mailbox Database.edb” Bevor Sie den Befehl verwenden können, müssen Sie außerdem die Bereitstellung für die Datenbank aufheben oder den Dienst für den Informationsspeicher beenden. Da bei diesen Vorgängen die Datenbank meistens ohnehin nicht mehr gestartet werden kann, entfallen diese Vorgänge in der Regel. Beenden Sie den Informationsspeicherdienst, werden allerdings auch die Benutzer anderer Speichergruppen vom Server getrennt, was sicherlich nicht gewollt ist. Es bietet sich an, ab und zu die Datenbanken zu überprüfen, oder zumindest auf einem Testserver diese Abläufe zu üben, auch wenn die Datenbank nicht de- Leinhäuser_und_Partner_Fachübersetzungen Wir helfen Unternehmen global zu kommunizieren Siebeherrschen beherrschenC/C++, C/C++,Java, Java, Sie Assembler,Perl, Perl,PHP, PHP,ASP, ASP,SQL SQL Assembler, Wirkönnen könnenEnglisch, Englisch,Französisch, Französisch,Italienisch, Italienisch, Wir Spanisch,Polnisch, Polnisch,Schwedisch, Schwedisch,Chinesisch, Chinesisch,u.v.m u.v.m Spanisch, PingenSie Sieuns unsan! an! Pingen fekt ist. Nach der Eingabe und der Bestätigung des Befehls, wird der Test durchgeführt. Sinnvollerweise sollten Sie die Ausgabe dieses Tests in eine Datei umleiten lassen. Das hat den Vorteil, dass diese einfacher zu lesen ist und die Datei per E-Mail an einen Support-Mitarbeiter geschickt werden kann, der unter Umständen mehr zu dem Fehler sagen kann. Für IT-Consultants oder Administratoren kann diese Datei zusätzlich noch als Dokumentation des Ausgangszustands dienen. Wir zeigen Ihnen im Folgenden die wichtigsten Informationen des Testergebnisses. Im Bereich “State” sollte nach einem normalen Herunterfahren des Servers “Clean Shutdown” erscheinen. Ist die Datenbank abgestürzt und wurde nicht korrekt heruntergefahren, erscheint hier “Dirty ShutInselkammerstr. Inselkammerstr. 8 8 82008 82008 Unterhaching Unterhaching Tel.:Tel.: +49 +49 89 480581-00 89 480581-00 Fax:Fax: +49 +49 89 480581-01 89 480581-01 www.leinhaeuser.de www.leinhaeuser.de S56-61_ITA_1007_P02_WZN_Leinhaeuser.qxp 19.09.2007 12:44 Seite 6 PRAXIS I Workshop Sobald das Tool fertig ist, kann die Bereitstellung wiederhergestellt werden.Allerdings sollten in diesem Fall auch die weiteren Tests in diesem Artikel durchgeführt werden, da die Datenbank durchaus noch Inkonsistenzen enthalten kann. Der nächste Test besteht darin, die Datenbank auf Integrität zu überprüfen. Die Syntax sieht folgendermaßen aus: eseutil /g “C:\Programme\Microsoft\ExchangeServer\Mailbox\First Storage Group\Mailbox Database.edb” Bild 5: Die Konsistenz der Datenbankdateien muss sichergestellt werden down” und es werden Transaktionsprotokolle gemeldet, die noch in der Datenbank fehlen. Diese Protokolle finden Sie direkt unter “State” im Bereich “Log Requiered”. Stellen Sie sicher, dass die entsprechenden Transaktionsprotokolle im Verzeichnis liegen oder kopieren Sie diese aus der Datensicherung in das Verzeichnis. Die Ausgabe von Eseutil erfolgt dezimal, die Bezeichnung der Transaktionsprotokolle jedoch hexadezimal. Hier müssen Sie den Namen umrechnen, um an das oder die fehlenden Transaktionsprotokolle zu kommen. Fehlen Transaktionsprotokolle und können diese auch aus der Datensicherung nicht mehr hergestellt werden, dürften Sie die Datenbank nur mit Daten- verlust reparieren können – die Daten aus den fehlenden Transaktionsprotokollen sind verloren. Steht bei “Bad Checksum Error Count” nicht der Wert “none”, passen Sie mit dem Tool isinteg.exe die Datenbank an. Zunächst starten Sie hierfür den Dienst für den Informationsspeicher und heben die Bereitstellung des Informationsspeichers, der repariert werden soll, auf. Startet der Dienst nicht mehr, ist eine Reparatur der Datenbank über diesen Weg schon mal nicht mehr möglich. Startet der Informationsspeicher, verwenden Sie den Befehl Isinteg -s {Name des Servers} -fix -test alltests Bei diesem Test sollten möglichst keine Fehler auftreten, dann ist die Integrität der Datenbanken gewährleistet. Treten Fehler auf, ist schon mal sicher, woher der Absturz kommt. Ein weiterer Test besteht darin, die Datenbankdateien selbst auf Konsistenz zu überprüfen. Mit diesem Test stellen Sie fest, ob die Datenbankdatei physikalisch in Ordnung ist. Nutzen Sie hierfür die Option “/k” von Eseutil: eseutil /k “C:\Programme\Microsoft\ExchangeServer\Mailbox\First Storage Group\Mailbox Database.edb” Zumindest die Dateien der Datenbank sollten für eine Reparatur konsistent sein. Treten auch hier Fehler auf, wird die Reparatur immer schwieriger und so sollten Sie parallel schon mal das Wiederherstellen der Datenbankdateien aus einer Datensicherung in Betracht ziehen. Im zweiten Teil unserer Serie zeigen wir Ihnen, wie Sie Ihre Exchange-Datenbanken mit einem Hard-Recovery wiederherstellen und gehen auf die verschiedenen Sicherungsmethoden ein. (dr) Defekte Datenbanken reparieren [1] http://support.microsoft.com/ default.aspx?scid=kb;en-us;896143 Links Bild 6: Überprüfen Sie die Integrität der Datenbanknach einem Ausfall 60 Oktober 2007 www.it-administrator.de S66-68_ITA_0208_S04+05_EAZ_Schnupperabo_Microsoft.qxp 22.01.2008 11:44 Seite 3 Kompetentes Schnupperabo sucht neugierige Administratoren 03/200 04/ 05 /2 00 00 6 3 8 7 6 07 /2 00 8 06 /2 200 8 Monate lesen Monate bezahlen www.it-administrator.de So erreichen Sie unseren Vertrieb, Abo- und Leserservice: Leserservice IT-Administrator vertriebsunion meynen Herr Stephan Orgel D-65341 Eltville Tel: 06123/9238-251 Fax: 06123/9238-252 [email protected] Diese und weitere Aboangebote finden Sie auch im Internet unter www.it-administrator.de Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252 Ja, ich möchte das Schnupperabo (= 6 Ausgaben) des IT-Administrator zum Vorzugspreis von € 37,80 inkl. Versand und 7 % MwSt. (€ 41,70 im Ausland) mit 50 % Rabatt auf den Preis der Einzelausgabe testen. Wenn ich nicht innerhalb von 10 Tagen nach Erhalt des sechsten Hefts kündige, erhalte ich 12 x im Jahr den IT-Administrator zum Jahrespreis von € 135,- inkl. Versand und 7 % MwSt. (€ 150,- im Ausland). Ich bestelle außerdem die Jahres-DVD 2007 mit den 12 Ausgaben des Jahres + dem Admins Favorite Heftarchiv im PDF-Format zum Vorzugspreis von € 37,90 inklusive Versand und 19 % MwSt. Bestelle ich nur die Jahres-DVD ohne Schnupperabo, kostet sie € 49,90. Mir ist bekannt, dass ich meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angabe von Gründen widerrufen kann. Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville. per Bankeinzug Geldinstitut: Kto.: oder Name, Vorname: BLZ: per Rechnung Abos und Einzelhefte gibt es auch als E-Paper Firma: Straße: Land, PLZ, Ort: Datum: Tel: Unterschrift: E-Mail: ITA 0208 Ich zahle Inselkammerstraße 1 D-82008 Unterhaching Tel: 089-4445408-0 Fax: 089-4445408-99 Geschäftsführung: Anne Kathrin Heinemann Matthias Heinemann Amtsgericht München HRB 151585 S34-37_ITA_1107_P07_Daxten.qxp 21.10.2007 13:12 Seite 2 PRAXIS I Workshop Installation und Konfiguration von FreeNAS NAS-Server auf Open-Source-Basis von Dr. Götz Güttich NAS-Server gibt es wie Sand am Meer. Als eher ungewöhnlich sticht da das FreeNAS-Projekt heraus. Dieses stellt einen NAS-Server auf Open-Source-Basis bereit, der FreeBSD als Betriebssystem nutzt und auf einer großen Zahl unterschiedlicher Rechnerumgebungen läuft. Da das System von einer CD starten kann, lassen sich damit sowohl bestehende Produktivsysteme kurzzeitig zu NAS-Servern umfunktionieren als auch ältere Hardwarekomponenten in einer neuen Rolle als NAS-Server wieder zum Leben erwecken. Dieser Workshop zeigt, was die Anwender bei der Installation und Konfiguration der Lösung beachten sollten. ür unseren Workshop installierten wir FreeNAS in einer Virtual Machine unter VMware-Server 1.0.3. Die Installation ist zwar nicht zwingend notwendig, da FreeNAS auch von CD starten kann. Der Workshop wäre aber unserer Ansicht nach ohne eine Beschreibung des Setup-Vorgangs nicht vollständig. Die Virtual Machine, auf der FreeNAS in unserer Umgebung lief, verfügte übr igens über 256 MByte RAM, ein IDE-CD-ROM-Laufwerk, eine Netzwerkschnittstelle und zwei SCSI-Festplatten mit jeweils 20 GByte Kapazität.Auf der ersten installierten wir FreeNAS, die zweite kam als Datenspeicher zum Einsatz. F An Dateisystemen arbeitet FreeNAS mit dem BSD-typischen UFS, dem aus der Linux-Welt bekannten Ext2 oder FAT32 aus Windows-Umgebungen zusammen. NTFS-Dateisysteme, wie sie unter Windows NT und neueren Windows-Varianten zum Einsatz kommen, kann das Produkt nur lesen. Außer mit IDE-, SATAund SCSI-Festplatten kommuniziert die Lösung auch mit USB-Speichermedien. Die Zugriffssteuerung erfolgt entweder über eine eingebaute Benutzerverwaltung oder über Active Directory. 34 November 2007 Setup von FreeNAS Zum Aufrufen der Setupoutine reicht es, wenn Sie den jeweiligen Rechner von der FreeNAS-CD starten, deren Image auf der Homepage des Projekts unter [1] zum Download bereitsteht. Zum Zeitpunkt des Workshops war FreeNAS in der Version 0.685b2 aktuell.Vor dem Hochfahren des eigentlichen Systems erscheint ein Bootmanager, der die Optionen “Boot”, “Safe Mode”, “ACPI disabled” und Ähnliches anbietet. In den meisten Fällen sollte es genügen, einfach den Boot-Vorgang aufzurufen, auf älterer Hardware kann die Option “ACPI disabled” im Problemfall sinnvoll sein. . Die Software lässt sich über ein Web-IInterface warten und beherrscht die Kommunikation mit Linux-,, Mac-OOSund Windows-SSystemen. Im Wesentlichen besteht das Produkt aus einem FreeBSD-KKernel in Verbindung mit Samba-,, FTP-,, SSH- und NFS-SServern. Dazu kommt der Apple-Dateidienst AFP. FreeNAS ist außerdem noch dazu in der Lage, die aktiven Dienste per Zeroconf bekannt zu geben, Dateien via UPnP im Netz bereitzustellen und zeitgesteuert über Rsync Daten auf andere Rechner zu sichern beziehungsweise von diesen zu holen. Darüber hinaus unterstützt die Lösung die RAID -LLevel 0, 1 und 5 sowie JBOD-KKonfigurationen. Kasten 1: Funktionen von FreeNAS Nach dem Start kommt ein Textmenü hoch, das Ihnen die Möglichkeit gibt, die Netzwerk-Interfaces des Systems zuzuweisen, LAN-IP-Adressen zu vergeben, das Passwort der webbasierten Konfigurationsoberfläche zurückzusetzen, einen Reset der Serverkonfiguration auf Standardeinstellungen durchzuführen, einen Host anzupingen, eine Shell aufzurufen, das System auszuschalten sowie einen Installations- beziehungsweise Upgrade-Vorgang auf Festplatte anzustoßen. Wählen Sie nun die Installationsoption. Danach fragt FreeNAS, ob das Setup auf einem Flash-Device oder auf einer Festplatte erfolgen soll. Außerdem erhalten Sie die Option, die volle Version von FreeNAS oder eine Embedded-Variante einzuspielen beziehungsweise ein Upgrade durchzuführen. Wählen Sie hier die volle Installation auf Festplatte aus. Jetzt fragt die Installationsroutine nach den Gerätenamen des CD-Laufwerks und der Festplatte, danach formatiert sie das Speichermedium automatisch und spielt die Software ein. Ein Neustart schließt die Installation ab. www.it-administrator.de S34-37_ITA_1107_P07_Daxten.qxp 21.10.2007 13:12 Seite 3 PRAXIS I Workshop tionen “admin” und “freenas” ein. Überprüfen Sie dann, ob die neue IP-Adresse in der Interfaces-Sektion des Statusmenüs erscheint und speichern Sie die Konfiguration sicherheitshalber noch einmal ab. Starten Sie anschließend den Rechner neu, danach sollte die neue IP-Adresse dauerhaft vorhanden sein. Mit dem Web-Interface arbeiten Bild 1: Das Web-Interface zeigt den aktuellen Datenverkehr in Echtzeit an Erstkonfiguration einrichten Sobald der Reboot vollendet ist, finden Sie sich erneut im beschriebenen Textmenü wieder, das es Ihnen ermöglicht, die Netzwerkanschlüsse zuzuweisen und die IP-Adresse zu setzen. FreeNAS unterstützt dabei auch IPv6. Konfigurieren Sie nun das Netzwerk und berücksichtigen Sie dabei, dass Sie mit einer englischen Tastaturbelegung arbeiten. In einigen Fällen kann es vorkommen, dass das System sich die neue Netzwerkkonfiguration nicht merkt und weiterhin mit seiner Default-IP-Adresse arbeitet. In solchen Fällen gehen Sie folgendermaßen vor: Starten Sie den FreeNAS-Rechner neu. Achten Sie während des Boot-Vorgangs auf den Namen des verwendeten Netzwerk-Interfaces, beispielsweise “em0”. Selektieren Sie nun im Textmenü nach dem Systemstart die Option “6”. Das ruft eine Shell auf. In dieser können Sie über den Befehl Adresse, der in unserem System den bereits angesprochenen Namen “em0” trug. Informationen darüber, wieso unsere Workshop-Virtual-Machine mit em0 als Netzwerk-Interface arbeitete, finden Sie in Kasten 3. Geben Sie nun Folgendes ein: /sbin/ifconfig {Name ihres Interfaces} {Gewünschte IPAdresse}/{Subnetz in CIDR-Notation} Dieser Befehl setzt die neue Netzwerkkonfiguration. Die CIDR-Notation (Classless Inter Domain Routing) definiert die Subnetzmaske, ist aber deutlich kürzer als die “klassische” Dezimalschreibweise mit Punkt.Wollen Sie dem NAS-Server beispielsweise die IP-Adresse 192.168.1.100 mit der Subnetzmaske 255.255.255.0 geben, so sieht der entsprechende Befehl so aus: /sbin/ifconfig /sbin/ifconfig {Interfacename} 192.168.1.100/24 die aktuelle Netzwerkkonfiguration einsehen. Dort findet sich neben dem Loopback-Interface mit der IP-Adresse 127.0.0.1 zumindest noch ein anderer Netzwerkanschluss mit der Default-IP- Greifen Sie nun mit einem Ihrer Konfigurationsclients auf das Web-Interface der Lösung über die URL http://{IP-Adresse des NAS-Servers} zu und loggen Sie sich mit den Standard-Anmeldeinforma- www.it-administrator.de Nachdem die Erstkonfiguration abgeschlossen wurde, können Sie sich daranmachen, den NAS-Server zu konfigurieren. Rufen Sie dazu das Web-Interface auf und loggen Sie sich mit den Zugangsdaten admin/freenas ein. Danach landen Sie auf einer Übersichtsseite, die Ihnen Informationen über den Systemnamen, die verwendete FreeNAS-Version, die CPUPlattform, Datum und Uhrzeit, Uptime und ähnliche Faktoren liefert. Die eigentliche Konfiguration läuft anschließend über eine übersichtliche Menüstruktur ab, wobei die einzelnen Befehle auf der linken Fensterseite selektierbar sind. Der erste Menüpunkt nennt sich “System” und umfasst Eingabemöglichkeiten für allgemeine Einstellungen wie Hostname, Domain, DNS-Konfiguration, Passwort für das Web-Interface, zu verwendenden Port, Systemzeit, NTPKonfiguration und Zeitzone. Außerdem haben Sie an dieser Stelle Gelegenheit, den Zugriff auf das Web-Interface über SSL zu verschlüsseln. Die Anforderungen von FreeNAS sind relativ gering. Das System setzt lediglich einen Rechner mit 96 MByte RAM und einem bootfähigen CD-RROM-LLaufwerk voraus. Abgesehen davon benötigt es ein Floppy-LLaufwerk zum Speichern der Konfigurationsdaten und eine oder mehrere Festplatten zum Ablegen der Daten. Alternativ lässt sich FreeNAS auch auf Festplatte oder einem startfähigen USB- oder CF-DDrive einrichten. Es ist sogar möglich, FreeNAS auf Systemen mit nur einer Harddisk zu installieren und zu nutzen, dann muss diese allerdings so partitioniert werden, dass für das System und die zu sichernden Daten unterschiedliche Partitionen zum Einsatz kommen. Kasten 2: Hardware-Anforderungen November 2007 35 S34-37_ITA_1107_P07_Daxten.qxp 21.10.2007 13:12 Seite 4 PRAXIS I Workshop sätzlich können Sie auch noch Klarheit darüber schaffen, welche Systeme der NAS-Server als WINS- sowie als NTPServer verwendet und welche BufferGrößen zum Einsatz kommen. Zum Schluss geben Sie den Freigaben einen Namen, legen den Mountpoint fest und aktivieren bei Bedarf einen Papierkorb für das jeweilige Share. Danach sind die Clients bereits dazu in der Lage, auf die Freigabe zuzugreifen (falls sie über entsprechende Rechte verfügen). Zugriffe festlegen Bild 2: Der Konfigurationsdialog zum Einbinden von Partitionen Unter dem Punkt “Erweitert” können Sie bei Bedarf das Konsolenmenü abschalten, ein Zertifikat einspielen, die Systemlautsprecher des NAS-Servers deaktivieren, einen SMART-Dämon starten, der den Festplattenzustand überwacht, und den Power-Dämon sowie Zeroconf ein- und ausschalten. Darüber hinaus lassen sich an gleicher Stelle auch die Auslagerungsdatei anpassen und bestimmte Befehle vor und nach dem Systemstart ausführen. Möglichkeiten zum Anlegen von statischen Routen und zum Editieren der Host-Liste (etwa für NFS-Verbindungen) ergänzen den Leistungsumfang des Systemmenüs. disks definieren. Hinzu kommt noch eine Option zum Formatieren der Festplatten. Außerdem ermöglicht Ihnen die Festplattenverwaltung das Einstellen einer Verschlüsselung und das Einrichten von Software-RAID mit den zuvor genannten Levels. Zum Schluss haben Sie Gelegenheit, Partitionen zu mounten. Dazu müssen Sie lediglich das Dateisystem benennen, einen Freigabenamen definieren und eine Beschreibung vergeben. In dem genannten Menü stehen zusätzlich noch Werkzeuge für manuelle mount- und unmount-Vorgänge sowie für Dateisystemüberprüfungen zur Verfügung. Der nächste Hauptpunkt erlaubt die Konfiguration der Schnittstellen in den Bereichen IP-Settings, MTU-Größe,Verbindungsgeschwindigkeit und Ähnlichem. Interessanter ist die Festplattenkonfiguration, da diese für die Bereitstellung des Speicherplatzes sorgt. Zuerst sollten Sie Ihrem System hier die vorhandenen Festplatten bekannt geben. Dabei können Sie auch mit iSCSI-Initiatoren arbeiten (die SCSI-Controller über IP-Netzwerke simulieren), den UDMA-Modus festlegen sowie den Geräuschpegel und das PowerManagement konfigurieren sowie das Dateisystem und die Standby-Zeit der Hard- Sobald die Festplatten definiert wurden, kommt die Konfiguration der Dienste an die Reihe.Wenn Sie in Windows-Netzwerken arbeiten, liegt Ihr erstes Augenmerk sicher auf CIFS. Bei diesem Netzwerkprotokoll sind Zug r iffe von anonymen Benutzern, lokalen Benutzern und Active-Directory-Konten aus möglich. Um es in Betrieb zu nehmen genügt es, die Authentifizierungsmethode festzulegen, einen NetBIOS-Namen und einen Arbeitsgruppennamen zu definieren, das Character-Set und den Log-Level festzulegen und anzugeben, ob das System als lokaler Master-Browser arbeiten soll. Zu- 36 November 2007 Die nächsten Unterpunkte des Dienstemenüs befassen sich mit der Konfiguration des FTP-Servers (mit dem zu verwendenden Port, der maximalen Zahl gleichzeitiger Verbindungen,Timeouts und Ähnlichem) sowie des SSH-Daemons (mit Port und SSH-Tunneling).Anschließend kommen die Dienste NFS (mit authentifizierten Netzwerken) und AFP an die Reihe. Außerdem können Sie hier Dateisynchronisationen über Unison und Rsync durchführen, iSCSI-Targets angeben,Verzeichnisse via UPnP im Netz verfügbar machen und DynDNS-Einstellungen vornehmen. FreeNAS arbeitet übrigens mit den DynDNS-Anbietern dyndns.org, freedns.afraid.org, zone edit.com und noip.com. Unter FreeBSD kommt standardmäßig in VMware Virtual Machines das Netzwerk-Interface “lnc0” zum Einsatz. Dieses ist jedoch mit einigen Nachteilen behaftet. Zum einen wird es FreeBSD 7 nicht mehr unterstützen und zum anderen bringt es eine schlechte Netzwerkleistung mit, da es nur im “GIANT-Locked”-Modus arbeitet. Der lnc0-Treiber lässt sich aber unter VMware relativ einfach mit einem emulierten em0-Treiber ersetzen, der die genannten Limitierungen nicht aufweist. Dazu genügt es, im VMX-File der jeweiligen Machine unter der Zeile Ethernet0.present = "TRUE" diese Zeile einzufügen: ethernet0.virtualDev="e1000" Danach arbeitet die Virtual Machine (und damit auch das darin installierte FreeBSD) mit dem em0-Interface. Kasten 3: Interface “em0” beim VMware-Server www.it-administrator.de S34-37_ITA_1107_P07_Daxten.qxp 21.10.2007 13:12 Seite 5 Bild 3: Die CIFS-Konfiguration von FreeNAS bietet den Administratoren alle Funktionen, die sie für den Datenaustausch mit Windows-Systemen benötigen Das Menü “Zugriff ” übernimmt die Verwaltung der lokalen Benutzer und Gruppen sowie die Konfiguration der ActiveDirectory- und LDAP-Zugriffe. Sollen lokale Benutzerkonten zum Einsatz kommen, so müssen Sie zuerst eine oder mehrere Gruppen anlegen, in denen die jeweiligen Benutzer Mitglieder sein können. Danach geht es dann an die Definition der Benutzerkonten. Die Beschreibungen dieser Konten dürfen allerdings keine Umlaute enthalten, diese nimmt das System nicht an.Ansonsten haben Sie bei der Benutzereinrichtung die Möglichkeit, den jeweiligen Usern einen Shell-Zugriff zu gestatten, sie in die Administratorengruppe aufzunehmen und ihre jeweiligen Zugangspasswörter zu setzen. Bei der Arbeit mit ActiveDirectory- und LDAP-Servern reicht es, die Serveradressen anzugeben und Domänennamen, Suffixe und Ähnliches zu definieren. Sie sind hier nicht nur dazu in der Lage, bestimmte Befehle auszuführen, Dateien auf den Server hoch- beziehungsweise von dort herunterzuladen, Files zu bearbeiten und die ARP-Tabelle einzusehen, sonder n können auch die Konfiguration als XML-Datei sichern sowie wiederherstellen, den Server herunterfahren beziehungsweise neu starten und das System auf Werkseinstellungen zurücksetzen. Eine Möglichkeit zum Konfigurieren eines Remote-Syslog-Hosts und zum Einsehen der LogDateien für System, FTP, Rsyncd, Sshd, Smartd und Deamon runden gemeinsam mit einer Übersichtsseite den Leistungsumfang des Web-Interfaces ab. Die Übersichtsseite bietet Informationen zu Festplatten, Partitionen, dem Smart-Status, dem benutzten Speicherplatz, dem Software-RAID, den aktiven Mounts, der Auslagerungsdatei und Ähnlichem. Nun kommen wir zur Statusseite. Diese gibt Aufschluss über den Systemzustand, die laufenden Prozesse, die aktiven Schnittstellen, die vorhandenen Festplatten, das WLAN (falls vorhanden) und den Datendurchsatz beziehungsweise die CPU-Last. Der letzte Menüpunkt nennt sich Diagnose und stellt Ihnen eine Reihe wichtiger und nützlicher Werkzeuge zur Verfügung. Das FreeNAS-Projekt bietet einen sehr flexiblen, relativ einfach zu wartenden und extrem Leistungsstarken NAS-Server zum Nulltarif. Mit dieser Lösung lässt sich alte Hardware weiter nutzen, es ist aber auch möglich, über die FreeNASLive-CD Daten von PCs schnell und einfach im Netz zur Verfügung zu stellen. Das Tool sollte in keinem AdministratorWerkzeugkasten fehlen. (dr) www.it-administrator.de ABERFàRDEN&ALL DER&ËLLEISTEINFACH MEHR:EITDA .UNJAWIEUNDMITWEM3IE)HRE GEWONNENE&REIZEITVERBRINGENWERDEN BLEIBTNATàRLICH)HNENàBERLASSEN&AKT ISTABERDASS3IEDURCHDEN%INSATZEINER !VOCENT)NFRASTRUKTUR-ANAGEMENT ,ÚSUNGVIEL:EITBEIDER!DMINISTRATION UND7ARTUNG)HRER(ARDWAREEIN SPARENDIE3IEFàRWEITEREWICHTIGE 0ROJEKTENUTZENKÚNNEN 5NDNICHTNURDAS%FlZIENTES)NFRASTRUKTUR -ANAGEMENTBEDEUTETFàR3IE 7ENIGER$OWNTIME &EHLERDIAGNOSEUNDBEHEBUNGVIA)0 2EMOTE+ONTROLLE)HRERGESAMTEN(ARDWARE Fazit $IESUNDALLESWEITEREZUR%RLEICHTERUNG )HRES!DMINISTRATOR!LLTAGSGIBTSBEI$AXTEN UNTERWWWDAXTENDE ODERàBERINFODE DAXTENCOM )HRE0ARTNERFàR)NFRASTRUKTUR-ANAGEMENT,ÚSUNGEN