Auszüge als Leseprobe

IT-Administrator 2011 / 2012 – Auszüge als LeseprobeIT-ADMINISTRATOR.DE

Im Test

Lumension Patch andRemediation 7.0

Im Test

Thomas-Krenn NexentaStor SC846

Workshop

Datensicherung unter Hyper-V

Systeme

Sicherheit bei Voice over IP

Systeme

Typische IT-Sicherheitsirrtümer imUnternehmen

Know-how

Mobile Device Management

Lese

prob

e

umension Security entstand 2007aus dem Zusammenschluss von

Patchlink und SecureWave. Ein zentralesProdukt ist die Lumension Endpoint Ma-nagement and Security Suite (LEMSS),die aus drei Modulen besteht: EndpointPower Management, Security Configu-ration Management und Patch and Re-mediation, das wir hier eingehender be-trachten wollen. Im Gegensatz zu vielenanderen Patch-Werkzeugen, die sich aus-schließlich auf – in den meisten Sicher-heitsüberlegungen wohl im Mittelpunktstehenden – Microsoft-Produkte kon-zentrieren, unterstützt Patch and Reme-diation neben den Windows-Betriebssys-temen auch Apple Mac OS X, CentOSLinux, HP-UX, IBM AIX, SUSE Linux,Oracle und Red Hat Enterprise Linuxsowie Sun Solaris.

Analog dazu ist die Unterstützung nichtnur auf Softwareprodukte von Microsoftbeschränkt, sondern umfasst auch weit ver-breitete Programme wie Adobe Reader,Flash Player, Shockwave und AIR, Sun Ja-va, Winzip, Macromedia Flash Player,Firefox, Novell Clients, Quicktime Player,VMware Player, Server und Workstation,Skype und Citrix ICA Client.Dabei über-

nimmt das Tool nicht nur das Patchen vonSchwachstellen, sondern kümmert sich aufWunsch auch um die Neuinstallation dergenannten Programme. Mit dem Zusatz“Content Wizard”kann der Administratorergänzend eigene Softwarepakete zur (De)-Installation schnüren und auf diese WeisePatch and Remediation zur individuellenSoftwareverteilung nutzen.

Installation nach MaßUm erste Erfahrungen mit Patch and Remediation zu sammeln, bietet Lumen-sion drei Trial-Varianten an. Bei “EasyTrack” kann der Administrator sich dieFunktionsweise remote in einer virtuel-len Umgebung ansehen, die der Herstel-ler auf eigenen Servern hostet. “FastTrack” beinhaltet den Download einervorbereiteten virtuellen Maschine für denVMware Player. Dies hat den Vorteil, dassein Test in Verbindung mit eigenen Clientsin einer eigenen Umgebung möglich ist,ohne dass umfangreiche Vorbereitungennotwendig sind. Die Variante “Total Track”letztendlich erfordert eine komplette In-stallation auf einem eigenen Server, wobeiein Mitarbeiter von Lumension unter-stützend zur Seite steht. Für unseren Testentschieden wir uns für die Variante Fast

Track, wozu uns der Hersteller mit eineraktuellen Installation mit längerer Lauf-zeit als den sonst üblichen 15 Tagen ver-sorgte. Die virtuelle Maschine war mit 2GByte RAM sowie zwei CPUs konfigu-riert und dürfte damit auf jeglicher aktu-eller Dual-Core-Hardware problemloslaufen. Im Test funktionierte die Umge-bung reibungslos, nur erweiterten wir diePlatte, um in größerem Umfang Patchesherunterladen zu können.

Als erfreulich einfach erwiesen sich imTest die Arbeiten zur Inbetriebnahme.

L

28 Februar 2011 www.it-administrator.de

Im Test: Lumension Patch and Remediation 7.0

Vielseitiger Flickschuster

von Jürgen Heyer

Mehrere hundert Sicherheitslücken werden jedes Jahr von den großen Softwareanbietern bekannt gegeben. Umso wichtiger ist eine

konsequente Überwachung der Patchstände aller Systeme, um nicht Opfereines Schadcodes zu werden, der diese Lücken ausnutzt. Eine sehr breite

Abwehrbasis nicht nur für Windows-Schwachstellen bietet Patch and Remediation 7.0 von Lumension. Im Test hat sich IT-Administrator

die Möglichkeiten der Software einmal genauer angesehen.

Der Patch and Remediation Server läuft unter Wind-ows 2003 / 2008 (R2) Server und setzt zwingendeine englische Betriebssysteminstallation voraus. AlsDatenbank kommt MS SQL Server 2005 / 2008zum Einsatz, entweder installiert auf dem Patchserveroder auf einem dedizierten Datenbank-Server. Existiertnoch keine Datenbank, richtet das Setup einen SQLServer 2008 Express Edition SP1 mit ein. Hardware-seitig sollte ein aktueller Dual-Prozessor vorhandensein. Wichtig ist ausreichend Speicherplatz für herun-tergeladene Patches. Der Hersteller empfiehlt hier min-destens 32 GByte.

Systemvoraussetzungen

P R O D U K T E I T e s t

S28-34_ITA_0211_T03_EAZ_SH0111.qxp 26.01.2011 17:41 Seite 2

www.it-administrator.de Februar 2011 29

Diese umfassten das Einrichten von E-Mailbenachrichtigungen per SMTP, dasAnlegen von Jobs zum Durchsuchen desNetzwerks nach neuen Geräten und dasHerunterladen beziehungsweise Installie-ren von Agenten auf den Clients.Außer-dem war für den Betrieb in einer nicht-englischsprachigen Umgebung eineentsprechende Anpassung vorzunehmen,damit, wie von uns benötigt, deutsche Pat-ches heruntergeladen wurden. Bezüglichder Mailbenachrichtigung fiel uns posi-tiv auf, dass sich verschiedene Ereignisse(neue Agenten, neue Schwachstellen,Ver-teil-Fehler, Lizenz-Probleme, zu geringerPlattenplatz) gezielt unterschiedlichenAdressaten zuweisen lassen, wobei Über-lappungen möglich sind.

Flexible ClientanbindungPatch and Remediation besitzt zweigrundlegende Verfahren, um potenzielleClients im Netz zu finden: die Suche überIP-Adressen und -Adressbereiche sowie

die Suche über Namen und Domänen-zugehörigkeiten. Der Administrator kanneinen Suchauftrag sofort starten oder perintegrierten Zeitplaner einmalig sowiewiederkehrend (wahlweise täglich, wö-chentlich, monatlich) vorgeben. Der Auftrag umfasst auf Wunsch mehrere Suchoptionen wie ICMP, Port Scan (FTP,Telnet, SSH, SMTP und http), SNMP,Auflösung von DNS, NetBIOS-Nameund MAC-Adresse sowie die Auflösungder Windows-Version.Um gefundene Ge-räte besser analysieren und beispielsweisedas Betriebssystem ermitteln zu können,kann der Administrator dem SuchauftragAnmeldeinformationen für Windows undPOSIX (alle Unix-basierten OS) inklu-sive Private Key sowie einen SNMPCommunity String mitgeben. Für die Er-kennung von Windows-Clients unter Vis-ta,Windows 7 und Server 2008 ist es sehrwichtig, dass auf diesen Systemen dieNetzwerkerkennung und die Dateifreiga-be aktiviert sind.

Patch and Remediation nutzt für dieKommunikation mit den Clients einenAgenten. Dieser ist recht schlank gehaltenund macht sich am Client überhauptnicht bemerkbar, auch nicht durch einIcon in der Taskleiste. Der Anwenderkann allenfalls im Taskmanager sehen, dassein entsprechender Dienst läuft. EineDeinstallation durch den Anwender istnicht so einfach möglich, da diese stan-dardmäßig eines Passworts bedarf, das nurdie LEMSS-Administrationskonsole ver-rät. Hierzu ist anzumerken, dass der Ad-ministrator das Verhalten eines Agentenper Policy festlegen kann. Diese gibt un-ter anderem vor, wie der Uninstall-Schutzaussehen soll, wie umfangreich das Log-ging gewünscht ist und wie häufig eineKommunikation zwischen Agent undServer stattfinden soll (Heartbeat-Inter-vall und Antwortzeiten). Neben einer glo-balen Regel, die vorbelegt mit der In-stallation kommt, kann der Administratorweitere Regeln definieren und mit denClients verknüpfen.

Für das Ausbringen der Agenten auf dieClients sieht Patch and Remediation jenach Zielbetriebssystem ein oder zweiMöglichkeiten vor. So kann der Adminis-trator alle verfügbaren Agenten über dieAdministrationskonsole von LEMSS he-runterladen und speichern. Für Windows-Clients ist dies eine MSI-Datei, bei denübrigen Betriebssystemen handelt es sichum einen Java-basierten Agenten als TAR-File. Der Installationsweg an sich obliegtdann dem Administrator (manuell, per (Login)-Script, per GPO oder mittels einerbereits vorhandenen Softwareverteilung).

Bei Windows-Clients ist neben der In-stallation über eine Datei auch eine Ver-teilung direkt aus der Konsole herausper RPC möglich, was letztendlich derkomfortabelste Weg ist. Als wir einigeAgenten aus der heruntergeladenenMSI-Datei installieren wollten, fiel unsauf, dass LEMSS diese Datei nicht vor-her auf die Serverinstallation anpasst, wasdurchaus möglich wäre. Folglich wur-den wir nach der IP-Adresse des Patch-

Bild 1: LEMSS unterstützt eine Vielzahl an Betriebssystemen auf den Endsystemen – auch diverse Linux-Derivate



servers gefragt. Selbstverständlich lässtsich die Installation trotzdem durch eineentsprechende Kommandozeileneinga-be automatisieren, in der die IP-Adres-se als Parameter mitgegeben wird.Vor-teilhaft ist, dass ein Client, auf dem derAgent auf diese Weise installiert wurde,nicht erst noch im Netz gesucht wer-den muss.Vielmehr kontaktiert er selbstden Server und erscheint dann automa-tisch in der Clientübersicht.

Patch and Remediation erzeugt auf-grund der aktiven Clients anhand di-verser Kriterien wie Betriebssystem undIP-Adresse dynamische Gruppen undweist diesen die Clients zu. So wurdenim Test automatisch 22 Gruppen ange-legt. Damit ist es beispielsweise einLeichtes, sich alle Agenten in einemNetzsegment auflisten zu lassen oder ei-ne Aufstellung nach Betr iebssystem abzufragen. Neben den dynamischenGruppen kann der Administrator aucheigene mit beliebigen Filterkriterien an-legen, beispielsweise für eine Gruppie-rung anhand von Namen oder für dieDefinition von Patch-Piloten. Um aus-geschaltete Clients zeitnah mit Patcheszu versorgen und für diesen Zweck ein-zuschalten, verfügt Patch and Remedia-tion über eine Wake-On-LAN-Funktion.

Intuitiv bedienbare KonsoleDie LEMSS-Administrationskonsole istBrowser-basiert und lässt sich somit vonjedem Client im Netzwerk aufrufen. Einumfassendes Rollen- und Benutzerma-nagement, auf das wir noch eingehen wer-den, sorgt dafür, dass nur berechtigte An-wender mit der Konsole arbeiten können.

Dashboard mit Live-FeedBeim Aufruf der Konsole erscheint aufder Startseite das so genannte Dash-board, das einen ersten Überblick überden Agenten-Patchstatus liefert. So kannder Administrator auf einen Blick able-sen, welche Agenten nicht online sind,auf wie vielen Endsystemen Patches feh-len und wo Schwachstellen existieren.Weiterhin kann er unter anderem den

letzten Scan der Agenten abfragen odernach unvollständigen Verteilungen for-schen. Ein Fenster liefert einen Feed vonLumension mit den letzten Neuigkeitenzu veröffentlichten Patches sowie zumProdukt selbst. Letztendlich hat der Ad-ministrator die Wahl zwischen insgesamt18 Fenstern, die in bis zu drei Spaltennebeneinander sowie untereinander an-geordnet werden. In der Praxis lassensich, natürlich etwas abhängig von derMonitorauflösung, etwa neun Ansichtengleichzeitig darstellen, ohne scrollen zumüssen.Als sehr intuitiv empfanden wirdie Bedienung dahingehend, dass der Ad-ministrator nur eines der Fenster auf demDashboard anklicken muss, um sofort zuder entsprechenden Ansicht genauere In-formationen in Listenform zu erhalten,beispielsweise, welche kritischen oderempfohlenen Patches fehlen.

Die Funktionen der Konsole sind eben-falls sehr übersichtlich in fünf Rubriken(Discover, Review, Manage, Reports undTools) gegliedert. Unter “Discover” sinddie bereits oben erwähnten Funktionenzur Agentensuche zusammengefasst. Überdie Rubrik “Review” erhält der Adminis-trator Auswertungen in Listenform überSchwachstellen, Pakete und Policies, aber

auch über gelaufene Scan- und Verteiljobs.Dabei kann er über das Pull-Down-Me-nü unter Review grob die Rubrik vor-wählen und dann feiner filtern, um bei-spielsweise eine Übersicht zu erhalten,welche Patches, die im Namen mit“MS10” beginnen, als kritisch eingestuftsind, seitens Lumension aktiv (enabled) sindund auf mindestens einem der überwach-ten Clients fehlen. Zusätzlich ist eine Fil-terung über die Gruppierung möglich. ImLaufe des Tests haben wir den Eindruckgewonnen, dass die Anwendung der Filterzwar etwas Erfahrung bedarf, aber letzt-endlich sehr effektiv und vielseitig ist undes dem Administrator ermöglicht, trotz derVielzahl der verwalteten Patches genau dasherauszufiltern,was ihn jeweils interessiert.Patch and Remediation ist so aufgebaut,dass in der Rubrik Review die Darstel-lung immer aus Sicht der Softwarepaketeerfolgt, auch wenn darüber hinaus eine Fil-terung der Ansichten anhand der Client-gruppierung möglich ist.

Alle Clients im BlickDie Betrachtung aus Client- beziehungs-weise Agentensicht erfolgt in der Rubrik“Manage”.Hier kann sich der Administra-tor die Clients mit Status (unter anderemonline,offline, idle und working) sowie nach

Bild 2: Das Dashboard der LEMSS liefert einen umfassenden, schnellen Überblick und unterstützt eine intuitive Bedienung, indem der Administrator auf den Bereich klickt, der ihn interessiert




Bestellen Sie jetztdas IT-Administrator

Sonderheft I/2011!180 Seiten Praxis-Know-how rund um das Thema

zum Abonnenten-Vorzugspreis* von

nur € 24,90!* IT-Administrator Abonnenten erhalten das Sonderheft I/2011 für € 24,90. Nichtabonnenten zahlen € 29,90.

IT-Administrator All-Inclusive Abonnenten "zahlen" für Sonderhefte nur € 19,90 - diese sind im Abonnementdann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.

Erscheinungstermin: Ende März 2011

Mehr Informationen und ein Onlinebestellformular finden Sie auch hier

www.it-administrator.de/kiosk/sonderhefte/So erreichen Sie unserenVertrieb, Abo- und Leserservice:Leserservice IT-Administratorvertriebsunion meynenHerr Stephan OrgelD-65341 Eltville

Tel: 06123/9238-251Fax: 06123/9238-252

[email protected]

Diese und weitere Aboangebote finden Sie auch im Internet unter www.it-administrator.de

Leopoldstraße 85D-80802 MünchenTel: 089-4445408-0Fax: 089-4445408-99Geschäftsführung: Anne Kathrin HeinemannMatthias HeinemannAmtsgericht München HRB 151585

Abos und Einzelhefte gibt es auch als E-Paper

Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand) ________________________________und bestelle das IT-Administrator Sonderheft I/2011 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt.

Ja, ich bestelle das IT-Administrator Sonderheft I/2011 zum Preis von € 29,90 inkl. Versand und 7% MwSt.

Der Verlag gewährt mir ein Widerrufsrecht. Ich kann meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angabenvon Gründen widerrufen.*

Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252

Ich zahle per Bankeinzug Firma:

Geldinstitut: Name, Vorname:

Kto.: BLZ: Straße:

oder per Rechnung Land, PLZ, Ort:

Datum: Tel:

Unterschrift: E-Mail:* Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville.

ITA 0

211

Netzwerkanalyse& Troubleshooting




Gruppen oder entsprechend der durchge-führten Agenteninstallationsjobs auflistenlassen.Letzteres liefert die Information,wel-che Agenten wann installiert wurden.Nach-dem LEMSS nicht nur eine Schwachstel-lenanalyse betreibt, sondern zusätzlich eineHardwareinventarisierung durchführt,kannder Administrator sowohl die Hardware ei-nes Endpunkts abfragen als auch Analysendurchführen, welches System mit welcherHardwarekomponente bestückt ist (unteranderem RAM-Ausstattung,BIOS-Typ,Ar-chitektur).Zudem liefert Patch and Reme-diation hier Informationen über die durch-geführten Verteilungen.

Klickt der Administrator in einer der An-sichten der Manage-Rubrik auf einenClient, so erhält er wirklich umfassendeInformationen hinsichtlich Inventar,Ver-teilungen, Schwachstellen sowie globaleInformationen wie die Gruppenzugehö-rigkeiten und die aktuell wirkenden Po-licy-Vorgaben.Auf Wunsch kann der Ad-ministrator einen Endpunkt unabhängigvon den regelmäßigen Jobs sofort neuscannen lassen oder diesen durchstarten.

Bezüglich der Verwaltung der Patches lädtLEMSS die verfügbaren Quelldateienstandardmäßig nicht sofort herunter, son-dern pflegt erst einmal nur die Informa-tionen in die Datenbank ein. Erst wenndie Verteilung eines Pakets erstmals in Auf-trag gegeben wird, führt LEMSS denDownload durch und speichert die Da-teien in einem eigenen Cache auf demServer. Die Standardeinstellung bewirktletztendlich, dass nur Pakete herunterge-laden werden, die wirklich benötigt wer-den, allerdings auch erst zum Zeitpunktdes Verteil-Auftrags, so dass der gesamteJob etwas länger dauert. Um diese Pro-zesse zu entkoppeln, kann der Adminis-trator optional einen Download beauf-tragen, ohne diesen mit einer Verteilungzu verknüpfen. Zusätzlich gibt es eine festeinstellbare Option, dass neue, kritischePatches grundsätzlich automatisch he-runtergeladen werden, was unserer Mei-nung nach sehr sinnvoll ist, da diese in derRegel bereits kurz nach der Verfügbarkeit

wichtig sind. Ergänzend kann der Admi-nistrator hier die Sprachen für herunter-zuladende Patches vorgeben, als Standardist nur Englisch markiert.

Verteilung genau steuerbarUm im Detail zu untersuchen, wie diePaketverteilung klappt, haben wir nebendem Patchserver mehrere Clients unterWindows XP, 2003 Server sowie 2008(R2) Server vorbereitet, die nach unsererInstallation allesamt bewusst einen sehrlückenhaften Patchstand aufwiesen. Nunwollten wir sowohl nur einen als auchmehrere Clients gleichzeitig patchen. Zu-dem wollten wir auf einem Teil nur allekritischen Patches ausrollen, auf einemanderen die kritischen und die empfoh-lenen. Dies klappte in allen Fällen rei-bungslos. Besonders gefiel uns, dass es bei-spielsweise möglich ist, sich anfangs nureinen Endpunkt herauszugreifen, den Ver-teiljob dann aber auf mehrere Geräte zuübertragen. Sobald der Administrator voneinem Client kommend in den Verteil-Assistenten einsteigt, listet Patch and Re-mediation alle Betriebssystemgruppen mitAnzahl der zugeordneten und ausge-wählten Endpunkte auf. So sieht der Ad-ministrator sofort, welche anderen Rech-ner noch in ähnlicher Weise betroffensind, selbst wenn er sich anfangs nur aufeinen Client konzentriert hat. Er hat danndie Möglichkeit, die Auswahl nochmalsanzupassen und weitere Clients nach Be-triebssystem oder nach Gruppenzugehö-rigkeit geordnet hinzuzuwählen.

Anschließend erlaubt der Assistent, denUmfang der zu installierenden Paketenochmals anzupassen. Auf einer weite-ren Seite sind dann der Zeitpunkt unddie Verteilart (parallel oder sequentiell)festzulegen. Bei einer gleichzeitigen Ver-teilung lässt sich vorgeben, wie viele Sys-teme parallel bestückt werden dürfen.Sinnvoll erschien uns ferner die Mög-lichkeit, dass Patch and Remediation aufWunsch eine Verteilung aussetzt, sobalddiese für einen oder mehrere Endpunk-te fehlschlägt. Es ist zwar immer zu emp-fehlen, eine Verteilung erst auf einigenPilotsystemen zu erproben, aber dieseOption stellt noch eine zusätzliche Si-cherheit dar, um bei einem Problem zustoppen.Allerdings ist zu beachten, dassmit dieser Option ein Patch immer nurauf einem Endpunkt gleichzeitig in-stalliert wird (sequentielle Verteilart),wodurch die Verteilung dann deutlichlänger dauert. Leider kann der Adminis-trator nicht vorgeben, dass die Vertei-lung bis zu einem Stopp auf einer defi-nierten Anzahl an Clients fehlschlagenmuss. So besteht die Gefahr, dass derProzess aufgrund eines einmaligen Feh-lers stoppt und gar kein grundsätzlichesProblem vorliegt.

In einem nächsten Fenster hat der Admi-nistrator die Möglichkeit, für jeden Patchdas Verhalten (unter anderem Neustart,Benutzerabfragen, Pakete verketten) vor-zugeben. Außerdem sieht der Adminis-trator hier, an welcher Stelle gegebenen-

Bild 3: Auf einen Blick kann sich der Administrator den Clientstatus anzeigen lassen und bei Bedarf filtern


falls Reboots erfolgen. Im vorletzten Op-tionsfenster sind die Benachrichtigungenfür die Anwender sowohl für die Vertei-lung als auch für anstehende Neustartsauszuwählen. Ja nach Einstellung be-kommt der Anwender einen entspre-chenden Info-Text eingeblendet und kanndann die Verteilung oder den Neustart ab-brechen oder aussetzen. Damit hat er dieMöglichkeit, seine Arbeit erst sinnvoll be-enden zu können. Das letzte Fenster be-inhaltet dann eine Übersicht aller ge-wählten Einstellungen zur Kontrolle.

Im Test haben wir verschiedene Jobsdurchführen lassen, wobei uns die Vielfaltder Optionen und die dadurch gegebeneFlexibilität überzeugt hat. Allerdings be-deutet die Vielzahl der möglichen Optio-nen auch, dass es erforderlich ist, Jobs mitSorgfalt zu beauftragen, um alle Angabenkorrekt vorzugeben. Dies ist sehr wichtig,da Patch and Remediation wie bereits ein-gangs erwähnt nicht nur das Patchen be-reits installierter Software übernimmt, son-dern auch die Neuinstallation der amAnfang des Artikels aufgelisteten Produk-te.Wer also beispielsweise einen Auftragabsetzt, der pauschal alles installieren soll,was nicht gepatcht ist, wird anschließenddiverse Neuinstallationen wie Adobe Rea-der,Mozilla Firefox,Quicktime Player undso weiter auf den Clients vorfinden. Hierist also besondere Vorsicht geboten.Ver-wirrt hat uns besonders die von uns ge-wählte Filteroption “Not Patched”, die

letztendlich keinen Einfluss darauf hatte,dass auch Pakete für Neuinstallationen aus-gewählt wurden.

Gutes Rollenmanagement und ReportingÜber ein erfreulich detailliertes Benut-zer- und Rollenmanagement lassen sichdie Zugriffsrechte bei der Arbeit mit Patchand Remediation recht genau einteilen.Standardmäßig sind vier Rollen (Admi-nistrator, Gast, Manager und Operator)vordefiniert. Eine Rolle setzt sich zusam-men aus einer Vielzahl an Rechten in-nerhalb der Suite, weiterhin lässt sich ge-nau vorgeben, auf welche Gruppenund/oder Endpunkte eine Rolle einRecht hat. Somit ist es durchaus denkbar,dass bei der Verwendung in einer großenheterogenen Umgebung, wo es womög-lich getrennte Administratorenteams fürdie Windows- und Linux-Systeme gibt,jedes Team nur die jeweils zugewiesenenEndpunkte betreuen kann.

Hinsichtlich der Benutzer arbeitet Patchand Remediation sowohl mit lokalen alsauch mit Domänenbenutzern. Letzterelassen sich problemlos hinzufügen undauch mehrere in ein Fenster eintragen.Die Routine sucht die angegebenen Be-nutzer im Active Directory und führt da-bei gleich eine Existenzprüfung durch.Gefundenen Benutzern kann der Admi-nistrator eine der vorhandenen Rollenzuweisen. Sollen alle Benutzer die glei-

che Rolle bekommen, ist dies mit einerVorauswahl möglich.

Sehr umfangreich ist das in Patch and Re-mediation integrierte Reporting. Insge-samt 35 Berichte sind komplett vorberei-tet. Die Darstellung erfolgt entwedergegliedert in acht Rubr iken (Kon-figuration,Verteilung, Inventarisierung, Sta-tus, Regeln, Power Management, Risiken,Schwachstellen) oder als lange Liste. Überentsprechende weitere Parameter ergebensich letztendlich weitaus mehr Auswer-tungen, die abgefragt werden können. Solassen sich einzelne Reports nach Vertei-lungen, Paketen, Geräten oder Gruppenerstellen. Das Ergebnis erfolgt teilweise alsPDF-Datei und teilweise als HTML-Aus-gabe.Die Erstellung eigener Reports überdie bereits vordefinierten hinaus ist aller-dings nicht vorgesehen.

Eigene Inhalte erstellenAls kostenpflichtige Option zu Patch andRemediation bietet Lumension den “Con-tent Wizard” an. Dieser Zusatz erweitertdas Basiswerkzeug dahingehend, dass derAdministrator Policies für ein individuel-les Powermanagement sowie zur Einhal-tung von Sicherheitsvorgaben definierenkann. Der Content Wizard erlaubt zudemdie Erstellung beliebiger eigener Tasks.EinAdministrator kann außerdem eigene Pa-kete zur Softwareverteilung sowie zur Dein-stallation erstellen und Definitionen anle-gen,um eigene Clientinhalte zu erkennen,zu verteilen und auszuwerten.

Hinsichtlich des Power Managements lassensich beispielsweise Regeln vorgeben, nachwelcher Inaktivitätszeit Clients in denStandby- oder Schlafmodus versetzt wer-den sollen. Die Regeln werden über dieAgenten und damit unabhängig von GPOsdurchgesetzt. Ein Vorteil ergibt sich damitvor allem in heterogenen Umgebungen,dadie Definitionen dank der Agenten Be-triebssystem-unabhängig wirken.

Über den Content Wizard hat der Admi-nistrator Zugriff auf alle von Lumensiongelieferten Pakete. Das ist insofern recht

Bild 4: Bei der Definition eines Verteiljobs hat der Administrator die Möglichkeit, ausgehend von einem Endgerät im Verlauf noch weitere hinzuzufügen

www.it-administrator.de Februar 2011 33





hilfreich, da sich der prinzipielle Aufbau soschneller erschließt. Die Erstellung eige-

ner Pakete ist aber dennoch eine kom-plexe Angelegenheit, die in der Regel einScripting erfordert, um die Voraussetzun-gen und Abhängigkeiten zu prüfen unddie eigentliche Aktion durchzuführen.Einfacher gestalten sich die Policy-Er-stellung sowie das Einrichten von Power-Management-Regeln.

Eine weitere Option der LEMSS, die dieFunktionalität über das Patchen hinausnoch erweitert, ist das Modul “SecurityConfiguration Management”, um sicher-heitsrelevante Fehlkonfigurationen wiebeispielsweise zu kurze Passworte zu er-kennen. Das NAC-Modul bietet dieMöglichkeit, einer beliebigen NAC/NAP-Lösung Informationen über denCompliance-Status eines Rechners zuübergeben (beispielsweise, dass ein zwin-gend vorgeschriebener Patch fehlt). In Ver-bindung mit einer NAC/NAP-Lösungkann dann ein solcher Rechner in einQuarantäne-Netz verschoben werden, bisseine zwingend notwendigen Patches(Mandatory Baselines) angewendet sind.Während sich Power Management-Richt-linien bereits mit dem Content Wizardeinrichten lassen, wird das Reporting alseigenes Modul bepreist. Kostenfrei sinddie Addons Wake-On-Lan und RemoteSystems Management.

FazitPatch and Remediation beschränkt sichnicht nur auf das Patch-Management vonWindows-basierenden Clients und auf Mi-

crosoft-Produkte, sondern unterstützt zu-dem verschiedene Linux- und Unix-Be-triebssysteme. Dadurch eignet sich dasWerkzeug gut für den Einsatz in hetero-genen Umgebungen und großen Netz-werken. Unterstützt wird weiterhin dasManagement verbreiteter Softwarepro-dukte,wobei es hier nicht nur um das Pat-chen von Schwachstellen geht.Vielmehrfungiert Patch and Remediation dann auchals Werkzeug zur Softwareverteilung undführt auf Wunsch Neuinstallationen durch.Gefallen hat uns die erfreulich intuitiveBedienung der Konsole. Dadurch gelingtes, trotz der vielen verwalteten Pakete im-mer noch den Überblick zu behalten unddie Agenten gezielt zu betreuen.Etwas Vor-sicht ist beim Erstellen von Patch-Aufträ-gen geboten, damit nicht im gleichen Zugunbeabsichtigt Neuinstallationen durch-geführt werden.

Durch zusätzliche Optionen wie PowerManagement und Security ConfigurationManagement sowie ein NAC-Modul lässtsich der Funktionsumfang der Suite sinnvollerweitern. In der Vorbereitung sind Modu-le zur Überwachung der verwendeten Ap-plikationen, zur Kontrolle der genutztenWechseldatenträger sowie zur Virenabwehr.Letztendlich aber versteht sich diese Suitenicht als Werkzeug für eine vollständigeClient-Rundumpflege mit Helpdesk,Lizenzüberwachung und Profilverwaltung,sondern fokussiert in erster Linie auf dieBereiche Compliance, Sicherheit und Risikomanagement. (ln)

Bild 5: Eine Vielzahl an Berichten ist bereits vorbereitet, die Auflistung erfolgt auf Wunsch thematisch gegliedert

ProduktSoftware zum Betriebssystem-übergreifenden Patchmanagement.

HerstellerLumensionwww.lumension.com

PreisDer Basispreis für die LEMSS-Plattform liegt bei 1.546Euro, hinzu kommt die jährliche Subskription von rund14 Euro pro Agenten. Die jährlichen Kosten für den op-tionalen Content Wizard, das Security ConfigurationManagement und das Power Management liegen je-weils bei knapp 5 Euro pro Endsystem. Die angegebe-nen Preise gelten für Windows-Clients.

Technische Datenwww.it-administrator.de/downloads/datenblaetter

So urteilt IT-Administrator (max. 10 Punkte)

Lumension Patch and Remediation 7.0

Patch-Management

Reporting

OS-Unterstützung

Installation und Bedienung

Dokumentation

8

9

8

8

7

Dieses Produkt eignet sich

optimal für größere, heterogene Umgebungen, indenen nicht nur Windows-Clients und Microsoft-Produkte gepatcht werden sollen. Dann kann dasTool hinsichtlich Einsatzbreite alle seine Stärkenvoll zur Geltung bringen.

bedingt für größere und mittlere, eher homogeneUmgebungen, wo der Fokus auf dem Patchenvon Microsoft-Produkten liegt. In diesem Fallkommt Microsoft WSUS als kostenlose, wennauch nicht ganz so komfortable Alternative durch-aus in Frage.

nicht für kleinere Umgebungen mit Windows-Clients und MS-Produkten. Gegenüber dem kostenlosen WSUS dürften sich Investition undMehrwert unseres Erachtens nicht rechnen.


20 November 2011 www.it-administrator.de


ls deutscher Anbieter professionellerServer- und Systemlösungen sowie

als Provider auf dem Gebiet des Server-Hostings hat sich die Thomas Krenn AGeinen guten Namen gemacht. Nachdemdurch die Herstellung eigener Server ent-sprechendes Fertigungs-Know-how vor-handen ist, vertreibt das Unternehmen auchbei den Speichersystemen eigene Produkte.Das uns zum Test bereitgestellte Flaggschiffist die Unified Storage-Appliance Nexen-taStor SC846, bestehend aus Standardser-verhardware und dem Betriebssystem Ne-xentaStor, einer Software von Nexenta aufOpenSolaris-Basis mit ZFS-Dateisystem.

Vielfältige EinsatzmöglichkeitenDas funktional sehr umfassende Nexenta -Stor erlaubt unter anderem praktisch un-limitiert große Dateien, unbegrenzt vieleSnapshots, Komprimierung, End-to-EndChecksummen, Thin Provisioning, Over-provisioning, hybride Storage-Pools mitSSD-Beschleunigung, Deduplizierung so-wie Datenreplikation. Mit einem üblichenNAS-System ist diese Appliance nicht zuvergleichen. Vielmehr geht es darum, ge-mäß dem Nexenta-Slogan “Enterprise classstorage for everyone” eine preiswerte Al-ternative zu den proprietären Storage-Sys-temen der großen Anbieter zu schaffen.

Die Appliance lässt sich sowohl als NAS-Filer mit den Protokollen CIFS, NFS, FTPund WebDAV als auch zur Bereitstellung

von Block Level-Storage (iSCSI, FC-SAN)betreiben. Im Fokus steht die Verwendungals Unified Storage für Umgebungen unterVMware, Citrix XenServer und MicrosoftHyper-V sowie als Speicher für Massen-daten von Multimedia-Anwendungen oderfür ein Disk-to-Disk-Backup.

In der Appliance kommt die EnterpriseEdition des Betriebssystems zum Einsatz,die für den professionellen, produktivenBetrieb gedacht ist. Ansonsten existiert aucheine Community-Edition, die sich durch-aus zum Bau einer eigenen Appliance nut-zen lässt und für bis zu 18 TByte Speicher-platz kostenlos verfügbar ist. Gegenübereiner selbst zusammengestellten Appliancehat das von Thomas Krenn angeboteneGerät jedoch den großen Vorteil, dass Ne-xenta bei der Entwicklung beteiligt warund die gesamte Hardware zertifiziert ist.So kommt die Appliance auf Wunsch mitumfangreichem Support ins Haus.

System-Zusammenstellung ganz nach WunschEbenso wie die Server von Thomas Krennist auch NexentaStor SC846 modular auf-gebaut und lässt sich daher leicht auf denindividuellen Bedarf zuschneiden. An ersterStelle sollte der Nutzer festlegen, zu wel-chem Zweck die Appliance eingesetzt wer-den soll und ob eine HA-Funktionalitätbenötigt wird. Auf Letztere werden wir spä-ter noch eingehen.

Auf der Homepage des Anbieters kannder Interessent die benötigten Kompo-nenten auswählen. Basis der uns bereit-gestellten Appliance war ein Server miteinem Mainboard von Supermicro, wobeistandardmäßig sieben verschiedene Pro-zessortypen (4-Core und 6-Core) zurAuswahl stehen. Der Hauptspeicher kannzwischen 6 und 192 GByte betragen, wo-bei der maximale Ausbau vom gewähltenProzessor abhängt. Thomas Krenn emp-fiehlt 48 GByte, was auch der Ausstattungunseres Testgerätes entsprach.

Die Appliance besitzt an der Frontseite 24Hot-Plug-Einschübe für 3,5-Zoll-Fest-platten. Das Betriebssystem ist standard-mäßig auf zwei gespiegelten 147 GByte-Festplatten installiert, die im Innerenuntergebracht sind und somit keinen derFronteinschübe belegen, sich somit aberauch nicht in Hot-Plug-Rahmen befinden.Ein CD-Laufwerk für die Installation istauf der Rückseite des Gehäuses versteckt.Um die Plattenausstattung gezielt auf denEinsatzzweck abzustimmen, bietet Tho-mas Krenn diverse Modelle unterschied-

A

Im Test: Thomas-Krenn NexentaStor SC846

Flotter Speicherbolide

von Jürgen Heyer

Neben dem Vertrieb von Speichersystemen diverser bekannter Hersteller wie IBM, EMC und

NetApp hat die Thomas Krenn AG auch eine eigene Produktreihe auf den Markt gebracht. Dazu hat der Anbieter hochwertige Standardserver-Hardware und das Open Storage-Betriebssystem NexentaStor miteinander kombiniert, getestet und zertifiziert. Das größte Modell aus dieser Reihe ist die Storage-

Appliance NexentaStor SC846. IT-Administrator hat sich dieses Speichersystem einmal näher angesehen.

Außer einem Netzwerk mit 10 GBit-Anbindung odermindestens GBit-Ethernet bedarf die Appliance keinerbesonderen Voraussetzungen. Alternativ kommt natür-lich eine SAN-Anbindung in Frage.


S20-26_ITA_1111_T01_1und1_ok_ITA_Default 24.10.2011 16:13 Seite 2

www.it-administrator.de November 2011 21


licher Größe und Performance an. ZurAuswahl stehen SAS-II-Festplatten mit15.000 Umdrehungen und 450 oder 600GByte Kapazität und langsamere SATA-Platten mit 7.200 Umdrehungen, dafüraber mit 1 oder 2 TByte Kapazität. In un-serem Testgerät waren 14 SAS-II-Fest-platten mit je 600 GByte Kapazität ein-gebaut. Um das System auf optimalePerformance zu trimmen, bietet der Her-steller Solid State Disks (SSDs) für einschnelles Caching an. Diese werden be-nötigt, um das NexentaStor-Feature hy-brider Storage-Pools mit SSD-Beschleu-nigung in die Praxis umzusetzen.

Schneller Zugriff dank SSDEine Besonderheit stellt die optionale, alsSchreibcache eingesetzte SSD dar, die ein-fach oder gespiegelt erhältlich ist. Hierbeihandelt es sich um eine schreiboptimierteEnterprise-SSD (ZeusRAM SSD vonSTEC) mit 8 GByte Kapazität. Im Ge-gensatz zu herkömmlichen Flash-Plattenarbeitet dieses Modell hauptsächlich mitDDR3-SDRAM, also sehr schnellem,aber flüchtigem Speicher, so wie er auchals Arbeitsspeicher im Server verwendetwird. Daneben besitzt die SSD noch ei-nen ebenso großen, nichtflüchtigen Spei-cher. Hochkapazitive Kondensatoren die-nen als Energiepuffer, um bei einemStromausfall die Daten aus dem SDRAMin den nichtflüchtigen Speicher schreibenzu können. So vereint diese SSD die Ge-schwindigkeit und Langlebigkeit normalerSpeichermodule mit den Vorzügen dernichtflüchtigen Speicherung.

Um mit der NexentaStor SC846 diebestmögliche Performance zu erzielen,ist der Einsatz einer derartigen SSDempfohlen, um dort das ZFS Intent Log(ZIL) zu speichern, das wiederum dasSystem für die transaktionsorientierteArbeitsweise von ZFS anlegt. So lässtsich das Schreiben der eigentlichen Da-ten und des Logs gut voneinander tren-nen. Dies ist vor allem deshalb sinnvoll,da die Appliance keinen speziellenRAID-Controller mit Cache besitzt,sondern es sich um ein Software-RAIDhandelt und alle Operationen in denCPUs des Systems berechnet werden.Die SSD für das Log hat deshalb einenähnlichen Effekt wie ein batteriegepuf-ferter Schreibcache auf einem RAID-Controller. Um zusätzlich noch das Le-sen zu beschleunigen, ist weiterhin eineherkömmliche SSD mit 160 GByte Ka-

pazität erhältlich. Unser Testgerät warmit beiden SSD-Typen ausgestattet.

Letzten Endes lässt sich die Appliancewahlweise auf optimale Performance odergroße Kapazität trimmen. Selbstverständ-lich ist ebenso eine Mischbestückung mög-lich und es werden Erweiterungseinheitennamens SC846 JBOD mit SAS-Anschlussangeboten, um die Anzahl der Platten proAppliance zu erhöhen. Diese Einheitenhaben wiederum 24 Platteneinschübe. Umdie Bandbreite der SAS-Verbindungennicht zu überreizen, sollten Nutzer lautThomas Krenn nicht mehr als drei Ein-heiten anschließen, so dass eine Appliancemaximal 96 Platten adressieren kann.

Flexible Anbindungans NetzwerkDie SC846 kommt mit zwei GBit-Netz-werkanschlüssen on Board. Standardmäßigist das erste Interface für das Managementsowie mit einer IP-Adresse für IPMI kon-figuriert. Als Zusatzkarten stehen Dual-Port-GBit-Karten zur Verfügung, was aberin einer produktiven Umgebung nur be-dingt Sinn macht, da das Netzwerk dannschnell zum Flaschenhals wird. Es ist al-lerdings möglich, mittels Link-Aggrega-tion mehrere Ports zusammenzufassen,sofern der Router oder Switch auf derGegenseite dies unterstützt. Weiterhinbietet Thomas Krenn Dual-Port-10-GBit-Karten (mit CX4-Kupfer- oderSFP+-Anschluss) an und für eine FC-Anbindung kann sich der Administratorzwischen Dual- und Quad-Port-HBAs(8 GBit/s) von QLogic entscheiden.

Bild 1: Die IPMI-Funktionalität der verwendeten Mainboards von Supermicro ist äußerst umfangreich und ermöglicht eine Hardwareanalyse unabhängig vom laufenden Betriebssystem

Bild 2: Über Quota und Reservierungen lässt sich die Speicherbelegung auf der Appliance steuern


22 November 2011


Einbauen lassen sich zwei der beschrie-benen Zusatzkarten, als dritte Karte kannnoch ein Dual-Port-GBit-Adapter er-gänzt werden. Letztendlich ist eine An-bindung mit einer Bandbreite von 40GBit/s und mehr durchaus möglich, sodass sich hier ein Engpass leicht vermei-den lässt. Die verschiedenen Karten wie-derum erlauben eine passende Integrationin die üblichen Infrastrukturen. Für alleLAN-Anschlüsse wird die Definition vonVLANs unterstützt, was eine bessere Seg-mentierung ermöglicht.

Gefallen hat uns an unserem Testgerät dasstandardmäßig integrierte IPMI-Modul,mit dem sich der Server via Netzwerkein- und ausschalten lässt. Er ist damitüber eine zusätzliche IP-Adresse selbstim ausgeschalteten Zustand erreichbar,und bei einem Hardwarefehler oder gar–ausfall lässt sich hiermit eine erste Ana-lyse durchführen, ohne gleich vor Ortsein zu müssen. Der Administrator kannalle Sensoren auslesen und sich bei Bedarfdie Konsolenansicht auf seinen Arbeits-platz holen. Ferner lassen sich virtuelleMedien (Disketten- und CD-Images) fürdie Installation oder zum Booten zuwei-sen. Auf Hostseite werden die Medien alsUSB-Stick emuliert. Das IPMI schreibtein eigenes Log und es lässt sich eine Be-nachrichtigung per SMTP einrichten.Statt zur Anmeldung nur den integriertenAdministrator zu nutzen, ist auch eineAuthentisierung per LDAP oder ActiveDirectory möglich.

Individuelle RAID-Konfiguration möglichNexentaStor nutzt das ZFS-Filesystem.Es handelt sich hier um ein Copy-on-Write-Dateisystem mit 128 Bit, mit demsich sehr effizient Snapshots erstellenlassen. Es arbeitet transaktional und wur-de speziell für den Serverbereich ent-wickelt. Die maximale Größe einer Da-tei kann 16 Exbibyte (=16*260 Byte)betragen, die Anzahl der verwaltbarenDateien liegt bei 248. Es besitzt integrier-te RAID-Funktionalitäten, ein Volume-Management sowie einen prüfsummen-basierten Schutz vor Dateiübertragungs-fehlern bei nur geringem Einfluss aufdie Performance. Weiterhin sorgt ZFSdafür, dass das Dateisystem zu jeder Zeit

0,–€ *„S“ WIE:NEU: SAMSUNG GALAXY S PLUS!

STARKER 1,4 GHZ PROZESSOR

SUPER-AMOLED TOUCHSCREEN

SPEKTAKULÄRE APPS

SENSATIONELL GÜNSTIG459,–€

NEU AB NOVEMBER!

* 24 Monate Mindestvertragslaufzeit. Einmalige Bereitstellungsgebühr 29,90 €, keine Versandkosten.

1&1 MOBILE


FLATFLATFLAT

29,9939,99

€/Monat*

In bester D-Netz-Qualität unbegrenzt ins gesamte deutsche Festnetz und in alle deutschen Handy-Netze telefonieren und mobil surfen. 24 Monate lang mit Ihrem Handy für 29,99 €/Monat. Oder mit einem kostenlosen Smartphone, wie dem Samsung Galaxy S Plus von 1&1, für 39,99 €/Monat.

www.1und1.deJetzt informieren und bestellen: 0 26 02 / 96 96




konsistent ist und somit beispielsweisenach einem Stromausfall keine Über-prüfung notwendig ist. ZFS unterstütztDeduplizierung, was sich in der SC846bei der Anlage der Dateisysteme akti-vieren lässt.

Wie schon erwähnt, lässt sich die SC846durch entsprechende Auswahl der Fest-platten und der Cache-SSDs sowohl hin-sichtlich Performance als auch hinsichtlichgrößtmöglicher Kapazität auslegen. Ähn-liches gilt für die unterstützten RAID-Konfigurationen: Neben einer Spiegelunggibt es die RAID-Level Z1, Z2 und Z3.RAID Z1 entspricht dem herkömmlichenRAID 5 mit einer Parity-Information, sodass der Ausfall einer Festplatte ohne Da-tenverlust verkraftet werden kann. RAIDZ2 besitzt analog zu RAID 6 zwei Pari-ty-Informationen, so dass zwei Festplattengleichzeitig ausfallen können, ohne dass eszu einem Datenverlust kommt, und RAIDZ3 nutzt gleich drei Parity-Festplatten.

Die zum Test bereitgestellte Appliance hatteder Hersteller so vorkonfiguriert, dass im-mer zwei Platten als Spiegel definiert warenund diese Paare dann zu einem großenPool vereint wurden, so dass es sich letzt-endlich um ein RAID 10 handelte. Etwasverwirrend war, dass Nexenta hier den Poolals Volume bezeichnet. Hinsichtlich derPool-Definition ist es laut Thomas Krennimmer empfehlenswert, alle Platten zusam-menzufassen, damit der Datenverkehr zu-gunsten der Performance auf möglichstviele Spindeln verteilt wird. Nach der Anlage mindestens eines Pools müssen so genannte Folder und/oder ein “zvol” (= virtual block device) definiert werden.Vom normalen Verständnis her passt für ei-nen Folder eher der Begriff Filesystem. Indiesem Zuge legt der Administrator fest,über welche Protokolle die Freigabe erfol-gen soll. Zur Auswahl stehen CIFS, NFS,FTP, RSYNC und WebDAV.

Zu beachten ist, dass jeder Folder perDefault bis zur maximalen Größe desPools wachsen kann. Definiert der Admi-nistrator also beispielsweise auf einer Ap-pliance mit 5 TByte Nutzkapazität für einen ESX-Server vier Datastores, so er-scheint jeder Datastore am Anfang 5 TBytegroß. Natürlich stehen nicht 20 TByte zur

Verfügung, sondern in der Summe nur die5 TByte des Pools. Um nun gezielt die Be-legung zu steuern, sind diverse Quota-Einstellungen verfügbar. So lässt sich fest-legen, wie groß ein Folder maximalwerden darf und der Administrator kannebenso eine garantierte Größe vorgeben.Im letzteren Fall wird der Platz fest reser-viert und die übrigen Folder können nurmehr die verbleibende Kapazität nutzen.

Alles an Bord: Thin Provisioning,Kompression und DeduplizierungWährend Folder standardmäßig ohnePlatzreservierung mittels Quota angelegtwerden, ist es beim blockorientierten iSCSIgenau umgekehrt. Sobald ein neues “zvol”für die Bereitstellung als iSCSI-LUN de-finiert wird, ist dieser Platz sofort komplettreserviert. Es gibt allerdings die Option,diese Platzreservierung abzuschalten undso mit Thin Provisioning zu arbeiten. Dannist gleichzeitig ein Overprovisioning mög-lich, indem der Administrator ein odermehrere iSCSI-LUNs mit in der Summemehr Kapazität anlegen kann, als überhauptim System verfügbar ist.

Zu erwähnen sind noch zwei platzspa-rende Features, Kompression und Dedu-plizierung, die allerdings Performance kosten. Die Deduplizierung ist dann in-teressant, wenn offensichtlich viele iden-tische Datenblöcke gespeichert werden.Das System arbeitet mit einer Hash-Ta-belle, um identische Blöcke zu identifi-

zieren, und der Administrator sollte daraufachten, dass diese Hash-Tabelle komplettin den Arbeitsspeicher der Appliance passt.Eine Rechenformel im Handbuch hilftihm dabei. Die Kompression versucht, dieDaten zu packen. Beide Prozesse laufenin der Appliance inline und nicht post-process, wirken also sofort beim Speichernund nicht verzögert in einem vorgegebe-nen Zeitfenster.

Das Erstellen von Snapshots kann in derNexentaStor auf zwei Arten geschehen,entweder als einmalige Aktion oder übereinen automatischen Dienst im Abstandvon Minuten, Stunden, Tagen, Wochenoder Monaten. Der Administrator kannhier einen Pool oder Folder vorgeben, dieAufbewahrungszeit bestimmen und beiBedarf einzelne Verzeichnisse ausklam-mern. Insgesamt ermöglicht der Auto-Snap-Service eine recht gute Automationbei der Snapshot-Erstellung.

Integrierte Benchmarksliefern gute ErgebnisseUm die Performance einer Plattenkonfi-guration zu testen, kommt die Appliancemit einem internen Benchmark-Test, dervon der Netzanbindung unabhängige Er-gebnisse liefert. Hier konnten wir deutlichsehen, wie bei den drei Raid-Leveln Z1,Z2 und Z3 mit den zunehmenden Pari-ty-Platten die Performance geringfügigsank und gleichzeitig die CPU-Last durchden erhöhten Rechenaufwand stieg. Wir

Bild 3: Wird beim Anlegen eines iSCSI-Laufwerks die “Initial Reservation” auf “Yes” belassen, arbeitet die Appliance nicht mit Thin Provisioning, sondern reserviert die Kapazität im Voraus


sahen hiermit auch, dass der Einsatz derSSDs die Performance erhöhte, allerdingsnur geringfügig.

Hinsichtlich der Deduplizierungs-Optionergaben unsere Messungen übrigens, dasssich der Durchsatz bei Aktivierung etwahalbierte. Hier sollte der Administrator alsogenau zwischen Performance und Platzge-winn abwägen. Bei den diversen Tests er-zielten wir beim Schreiben und LesenDurchsatzraten von bis zu 1,7 GByte proSekunde, um einen Anhaltspunkt zu geben.Ein Abdruck detaillierter Messwerte machtunseres Erachtens wenig Sinn, da diese zusehr von der Detailkonfiguration abhängen.

VerbesserungsfähigeManagement-GUIDie Administration der Appliance ist übereine SSH-Konsole oder eine WebGUImöglich. Dabei sind nicht alle Features bisins letzte Detail über die GUI erreichbar.Dennoch präsentiert sie sich als sehrmächtiges sowie umfangreiches Instru-ment und bedarf einiger Einarbeitung, bisdie meisten Funktionen geläufig sind. Da-bei empfanden wir die GUI als sehr tech-nisch orientiert und nicht sonderlich in-tuitiv bedienbar, da die Menüstruktur überdrei Ebenen kaskadiert. Zuerst gibt es eineUnterteilung in die vier Hauptregister“Status”, “Settings”, “Data Management”und “Analytics”. Jedes dieser vier Registerbesitzt wiederum eigene Unterregister.Bei Anwahl eines dieser Register wirdschließlich am linken Rand eine Funkti-onsleiste eingeblendet und bei Anwahl ei-ner dieser Funktionen erscheint schließlich

das dazugehörige Fenster mit den Einga-befeldern beziehungsweise Optionen. DerAdministrator muss also immer über dreiEbenen die gewünschte Seite auswählen.

Unglücklich fanden wir, dass einige Be-zeichnungen auf der zweiten Register-ebene mehrfach vorkommen wie bei-spielsweise unter “Status” und “Settings”jeweils das Register “Network”. Das istzwar aus technischer Sicht nachvollzieh-bar, sorgt aber für Verwirrung. Die Über-sicht erschwert weiterhin die Tatsache,dass viele der dargestellten Seiten sehrlang sind und sich selbst auf einem Mo-nitor mit höherer Auflösung nicht in vol-ler Höhe darstellen lassen, so dass häufiggescrollt werden muss.

Gut gefallen hat uns hingegen, dass sichzu allen Eingabefeldern direkt darunterkurze Beschreibungen befinden, die an-geben, was jeweils gemeint ist. Das erspartgelegentlich das Blättern in der zusätzli-chen Hilfe. Allerdings vermissten wir imTest eine Unterscheidung, welche Funk-tionen für die Konfiguration tatsächlichwichtig sind und welche Einstellungennur bei Problemen oder für ein Fein -tuning verändert werden sollten. Für dieInbetriebnahme gibt es zwei Assistenten.Der Erste fragt einige Basisdaten sowiedie SMTP-Konfiguration ab und fordertzur Änderung des Administrator-Passwortsauf. Der zweite Assistent beschäftigt sichmit der Netzwerkkonfiguration, der An-lage eines iSCSI-Initiators, der Platten-konfiguration, der Pool-Einrichtung undder Anlage von Foldern.

www.it-administrator.de

Bild 4: Eine der wenigen grafischen Darstellungen in der WebGUI gibt den Einbauort der Festplatten wieder

www.1und1.de

* 1&1 Notebook-Flat mit bis zu 7.200 kBit/s. Ab einem Datenvolumen von 1 GB steht eine Bandbreite von max. 64 kBit/s zur Verfügung. 24 Monate Mindestvertragslaufzeit. Keine Bereitstellungsgebühr, keine Versandkosten.

MOBIL

1&1 NOTEBOOK-FLAT

9,99€/Monat*

Internet-Flatrate perHSDPA/UMTS!

1&1 Surf-Stick oder Micro-SIM-Karte für 0,– €!*

Beste D-Netz-Qualität!

Jetzt informieren und bestellen: 0 26 02 / 96 96

€ *0,–30

TAGE

Ge

ld-zurück

Garantie


Flexible Benutzerverwaltung und ÜberwachungHinsichtlich der Benutzerverwaltung kannder Administrator mit internen Usern ar-beiten, eine LDAP-Anbindung realisierenoder die Appliance in eine Windows-Ar-beitsgruppe oder ins Active Directory auf-nehmen. Allerdings ist dann ein zusätzli-ches User-Mapping erforderlich, indemin einer Tabelle den Windows-Benutzernkorrespondierende Linux-User zugewie-sen werden. In der Praxis dürfte die Auf-nahme in ein AD mit komplexer Rech-tevergabe an einzelne Gruppen undNutzer weniger eine Rolle spielen, derFokus liegt mehr auf der Bereitstellungfür eine Virtualisierung.

Während rund um die Einstellungenund das Datenmanagement so gut wiekeine grafischen Darstellungen die Eingaben erleichtern, stehen im Analy-se-Bereich sowie in der Status-Rubrikinsgesamt rund 60 Statistiken zur Verfü-gung, die Aufschluss über die Auslastungder Appliance geben. Die Kurven sindim Analyse-Bereich geordnet in die Ru-briken Daten-I/O, CPU-Last, Speicher-nutzung, typische I/O-Zugriffsmusterund TCP/IP-Verkehr sowie in der Sta-tus-Rubrik in die beiden Bereiche Spei-cher und Netzwerk.

Für die eigene Überwachung der Appli-ance laufen intern diverse automatischeDienste (unter anderem Volume-Reporter,Memory-Check, NFS-Collector), dieüber einen Zeitplaner gesteuert werden.Sie sorgen zum einen für die Erfassungder Statistikdaten und zum anderen fürdie Aufdeckung eventueller Fehlfunktio-nen, um dann einen Alarm abzusetzen.Auf der entsprechenden Status-Seite zähl-ten wir insgesamt 23 Dienste.

Nachdem während der Testphase einkleineres Update erschienen war, konn-ten wir auf unserer Appliance selbst denUpgrade-Prozess durchführen. Dieser er-folgt über die Konsole und lässt sich miteinem einfachen Befehl starten, worauf-hin noch wenige Abfragen zu beantwor-ten sind. Der weitere Vorgang läuft dannvollautomatisch ab, was wir als sehr kom-fortabel empfanden. Betriebssystem-Kenntnisse sind hierzu nicht nötig.

Verfügbarkeit je nach BedarfStatt die Daten nur einmal im System vor-zuhalten, stellt die Appliance mehrere Mög-lichkeiten zur Verfügung, um diese zu dop-peln. Die Erste nennt sich Auto-Sync unddient dazu, den Inhalt eines Folders wahl-weise lokal oder remote auf eine andereAppliance zu replizieren. Dies kann auto-matisch in definierbaren Zeitabständen er-folgen. Die Appliance erzeugt dazu Snap-shots und überträgt diese zum Ziel,wahlweise komplett oder nur inkrementell.

Während für das Auto-Sync-Feature beideSeiten das ZFS-Dateisystem nutzen müs-sen, erlaubt der Auto-Tier-Dienst eineasynchrone Übertragung auf eine andereLinux-Maschine, die nicht unter ZFSläuft. Dies geschieht mittels des im Linux-Umfeld sehr verbreiteten Rsync. Die drit-te Funktion ist das als optionales Pluginerhältliche Auto-CDP, das eine synchroneReplizierung zwischen zwei NexentaStorSystemen ermöglicht.

FazitWer im Enterprise-Segment nach UnifiedStorage sucht, aber nicht unbedingt zu denteuren Lösungen der Major Player greifenmöchte, sollte sich die Appliance Nexen-taStor SC846 einmal genauer ansehen. DasGerät basiert auf Open Solaris und nutztdas robuste ZFS-Dateisystem. Erweiterbarauf bis zu 96 Festplatten ist die Appliancefür den Einsatz in wachstumsintensivenUmgebungen geeignet. Vorteilhaft ist zu-dem die breite Protokollunterstützung.

Je nach Verfügbarkeitsanforderung lässtsich die Lösung als Einzelgerät, als HA-Cluster oder über größere Entfernungenmit asynchroner Spiegelung betreiben.Nur ein synchrones Spiegeln über weiteStrecken ist noch nicht möglich. Die viel-seitige Funktionalität gekoppelt mit derTatsache, dass die Entwickler von Nexentadem Administrator viele Möglichkeitenfür Feineinstellungen geben, erfordert al-lerdings eine intensive Einarbeitung oderdie Nutzung des Supports von ThomasKrenn für die Festlegung einer sinnvollenEinstiegskonfiguration. Sicher lässt sichdie Appliance in den Grundfunktionenschnell in Betrieb nehmen, ob dann abertatsächlich alles optimal eingestellt ist, istnicht so einfach abschätzbar.

Auch sehen wir bei der WebGUI hinsicht-lich der Bedienung Optimierungspotential.Durch die Auswahl der Fenster über dreiEbenen haben wir so manche Funktionlänger gesucht, als eigentlich notwendiggewesen wäre. Ferner gibt es kaum grafi-sche Visualisierungen, die meisten Menüsführen die einzelnen Optionen in langenListen auf. Sehr von Vorteil ist, dass mitdem Kauf einer Appliance mindestens einJahr Support und Wartung miterworbenwird. Zu empfehlen ist ein Supportvertragüber die gesamte Laufzeit. (ln)



ProduktUnified Storage-Appliance für den Einsatzals NAS- oder SAN-Speicher.

HerstellerThomas Krenn AGwww.thomas-krenn.de

Nexentawww.nexenta.com

PreisDie NexentaStor SC846 ist ab 4.600 Euro erhältlich,eine dem Testgerät vergleichbare Konfiguration kostetetwa 14.400 Euro.



NexentaStor SC846

Modularität im Aufbau

Skalierbarkeit

IPMI-Funktion

Übersichtlichkeit der GUI

HA-Funktionalität

9

8

9

6

7


optimal als Speichersystem im Virtualisierungsum-feld, als Ziel für Massendaten sowie Disk-to-Disk-Backup ab einem Kapazitätsbedarf von 4 TByte.

bedingt bei einem Kapazitätsbedarf von wenigerals 2 TByte, da sich dann die Investition kaumrechnen dürfte.

nicht, sofern zwingend eine synchrone Spiegelungüber größere Entfernungen benötigt wird. Allerdingsbefindet sich hier eine Lösung in Entwicklung.


12 April 2012 www.it-administrator.de


n der April-Ausgabe 2011 nahmenwir Veeam Backup & Replication

v5 unter die Lupe. Die vielfältigen Funk-tionen zur Sicherung und Replizierungvon virtuellen Maschinen sowie die in-novative Möglichkeit, eine VM direkt ausdem Backup heraus laufen zu lassen, hat-ten uns im Test überzeugt. Inzwischen hatVeeam Version 6 veröffentlicht und machtneben diversen Neuerungen mit der Un-terstützung von Hyper-V nochmals einengroßen Sprung nach vorn.

Nachdem die Popularität von Hyper-Vstetig steigt und der Microsoft-Hypervisorneben VMware vSphere an Marktanteilgewinnt, setzen vor allem größere Firmenzunehmend auf beide Virtualisierungs-plattformen, um je nach Situation undAnforderung die geeignete Lösung zuwählen. Die Unterstützung beider Tech-nologien durch ein Backup-Produktbringt Administratoren daher entschei-dende Vorteile, denn so muss für die Si-

cherung und Replizierung von zwei Platt-formen nur ein Gesamtkonzept bereitste-hen und es lässt sich im Betrieb alles übereine Konsole abwickeln. Nachdem wirim Test vor einem Jahr die Neuerungenfür vSphere eingehend betrachtet hatten,konzentrieren wir uns diesmal auf denEinsatz in Verbindung mit Hyper-V sowieauf die allgemeinen Ergänzungen, die dasProdukt gerade im Enterprise-Umfeldnoch interessanter machen und die Be-dienbarkeit erleichtern sollen.

Modularer und komplexerMit jeder Version wird Backup & Repli-cation (nachfolgend B&R) nicht nur leis-tungsfähiger, sondern verständlicherweiseauch komplexer. Das hängt natürlich damitzusammen, dass jetzt neben vSphere nocheine weitere Virtualisierungsplattform un-terstützt wird. Es liegt aber auch daran,dass bei B&R gerade in Hinblick auf eineEnterprise-Nutzung zusätzliche Funktio-nen ergänzt wurden, um die erforderliche

Rechenleistung so verteilen zu können,dass alles mit optimaler Performance läuftund kein Engpass entsteht. Dementspre-chend beinhaltet B&R nunmehr einzelneKomponenten wie Backup Server, BackupProxy, Offhost Backup Proxy, Backup Re-pository, Search Server und Backup En-terprise Manager. Die Module könnenteilweise zusammen auf einem System be-trieben oder auf mehrere verteilt werdenund sind teils auch optional verwendbar.In jedem Fall ist ein Backup Server alszentrales Steuerelement notwendig. MitVersion 6 müssen aber nicht mehr alle Si-cherungsdaten über diesen Backup-Servergeleitet werden. Er dient vielmehr zur Ko-ordination, während zusätzliche Backup-Proxys mit einem Veeam Agenten die ei-gentliche Arbeit übernehmen.

Bei VMware läuft der Backup-Proxy im-mer auf einer physikalischen oder virtu-ellen Windows-Maschine. Dies kann derBackup-Server selbst sein, aber auch einanderes System, das Ressourcen frei hatoder gleichzeitig Backup Repositories be-reitstellt, auf die wir später noch eingehen.In einer Hyper-V-Umgebung übernimmtim Normalfall der Hyper-V-Server auchdie Tätigkeit des Backup-Proxys, was die-sen aber logischerweise zusätzlich belastet.Daher gibt es – vorausgesetzt der Hyper-V-Server hat seine VM-Datenspeicher imSAN – alternativ den sogenannten Hy-per-V Offhost-Proxy. Dies muss auch einServer mit Hyper-V-Rolle sein, dergleichzeitig Zugriff auf die SAN-Fabrichat. Er übernimmt dann die Sicherung,um den eigentlichen Produktionsserverzu entlasten. Dazu wird ein transportablerVSS-Snapshot erzeugt, der auf den Off-

I

Im Test: Veeam Backup & Replication v6

Zwei auf einen Streichvon Jürgen Heyer

Vor gut einem Jahr setzte Veeam mit Backup & Replication v5 bei der Datensicherung im VMware-UmfeldMaßstäbe. Version 6 geht noch einen Schritt weiter und unterstützt zusätzlich Microsofts Hyper-V. So lassensich nun auch Multi-Hypervisor-Umgebungen, die auf beide Virtualisierungstechnologien setzen, von einer

Konsole aus sichern. IT-Administrator hat die Neuerungen im Testlabor betrachtet.

Quell

e: 12

3RF

S12-17_ITA_0412_T04_Galileo_1und1_ok_ITA_Default 21.03.2012 10:10 Seite 2

www.it-administrator.de April 2012 13


host-Proxy umgehängt und dann darübergesichert wird.

Flexibel gibt sich die neue Version 6 hin-sichtlich der Verwaltung der Sicherungs-ziele. Neu implementiert hat Veeam dasKonzept der Backup Repositories, auchbekannt als Media Server, bei dem sichbeliebig viele Sicherungsziele anlegen undverwalten lassen. Hierbei handelt es sichletztendlich um Server mit entsprechen-den Plattenkapazitäten. Standardmäßigstellt bei B&R der Backup-Server das ers-te Backup Repository bereit, weitere sindentsprechend dem Bedarf zu ergänzen. ImSicherungsjob muss der Administratordann nur angeben, wohin gesichert wer-den soll. Als sehr vorteilhaft erweist sichdieses Konzept, wenn es um die Flexibi-lität und Erweiterbarkeit geht, denn es las-sen sich jederzeit weitere Media Serverergänzen oder bestehende ausbauen. Sollein Job auf ein anderes Repository si-chern, ist das durchaus möglich, nur mussder Administrator vorher die bereits ge-sicherten Daten verschieben. Das ist in-sofern recht einfach, da sie sich in einemVerzeichnis mit dem gleichen Namen wieder Job befinden.

Letztendlich ist es unbedingt erforderlich,für einen produktiven Einsatz ein Konzeptzu entwerfen und abzuschätzen, welcheKomponenten in welcher Menge benötigtwerden. Werden in einer großen Umge-bung trotz der neuen Proxy-Technik meh-rere Backup Server für die Verwaltung be-nötigt, so bietet sich als übergeordneteKonsole der Backup Enterprise Manageran. Der optionale Search Server hilft beider schnelleren Indizierung großer Da-tenmengen für eine Wiederherstellung ein-

zelner Dateien statt ganzer Sicherungssätze.Es lassen sich allerdings erfreulicherweiseauch ohne Search Server einzelne Dateienwiederherstellen. Das Handbuch unter-stützt bereits in der konzeptionellen Phaserecht gut, denn es beschreibt die einzelnenKomponenten von B&R umfassend undgibt auch gute Tipps, in welcher Situationsich welche Strategie am besten eignet.

Leistungshungriger Backup-ServerFür den Test standen uns sowohl einevSphere 4-Umgebung mit zwei ESX-Ser-vern als auch ein Hyper-V-Server mitWindows 2008 R2 zur Verfügung. UntervSphere richteten wir zwei VMs mit Wind-ows Server 2008 R2 als Backup Server sowie als Media Server ein. Auf beiden Sys-temen definierten wir je ein Backup Re-pository. Für den Backup Server gibt Veeaman, dass er mindestens zwei vCPUs und 4GByte Hauptspeicher besitzen soll, wennder SQL-Server mit darauf läuft. In unse-rem Test erwies sich das als etwas knappund wir hatten anfänglich Probleme, weilnicht alle Dienste starteten. Diese löstensich in Wohlgefallen auf, als wir den Spei-cher der VM auf 8 GByte aufstockten.

Die Installation von B&R verlief im Testproblemlos. Das Setup fragte die Pfadeund die zu nutzende SQL-Server-Instanzab, wobei hier ein bestehender SQL-Ser-ver eingetragen oder ein lokaler installiertwerden kann. Auch ist der Pfad zu einerLizenz-Datei anzugeben. Die Lizenz be-stimmt letztendlich den Nutzungsumfang,unterscheidet also zwischen den beidenB&R-Versionen “Standard” sowie “En-terprise”, und enthält die Information,wie viele CPU-Sockel jeweils für Hyper-

V und vSphere lizenziert sind. Die Instal-lationssourcen sind immer identisch.

Mit angelegt wird auch eine Verknüpfungzur B&R-Konsole, die sehr übersichtlichaufgebaut und intuitiv bedienbar ist. Nut-zer von B&R 5 dürften feststellen, dasssich die Menü- und Statusleisten trotz deserweiterten Funktionsumfangs nur gering-fügig geändert haben. Hinzugekommenist eine Rubrik “Backup Infrastructure”,um hier sowohl Backup Proxies (VMwareBackup Proxy und Hyper-V OffhostProxy) als auch Repositories anzulegen.Dabei gibt der Administrator vor, wie vielegleichzeitige Tasks pro Proxy oder Repo-sitory aktiv sein dürfen. Beim Anlegen derSicherungsjobs kann der Administrator dievorher definierten Objekte dann verwen-den, wobei hinsichtlich der Proxy-Nut-zung normalerweise B&R selbst entschei-det, welcher verwendet wird. Dies lässt sichaber einschränken. Für mehr Übersichtsorgt eine eigene Rubrik “History”, in deralle Jobs nach Funktion gruppiert aufge-listet sind.

Um B&R überhaupt mit Servern verwen-den zu können, sind diese in der Konsolein der Rubrik “Server” zu erfassen. Hierbeikann es sich um einzelne ESX-Server oderein vCenter handeln, bei Hyper-V eben-falls um einzelne Server, Hyper-V-Clusteroder die Verwaltungskonsole SCVMM(Microsoft System Center Virtual MachineManager). Weiterhin lassen sich normaleSysteme ab Windows XP/2003 sowie un-ter Linux (mit SSH und Perl) erfassen, vorallem für den Einsatz als Backup Reposi-

Bild 1: Trotz zusätzlicher Funktionen macht die Benutzeroberfläche von B&R einen aufgeräumten Eindruck

VMwarevSphere 5.0/4.x oder Infrastructure 3.5 (VI3.5) mitHosts unter ESX(i) 3.x/4.x/5.0 als Umgebung für zusichernde virtuelle Maschinen

Microsoft Hyper-VWindows/Hyper-V Server 2008 R2 SP1 in englischerSprache oder System Center Virtual Machine Manager2008 R2 SP1

Veeam Backup ServerCPU mit mindestens zwei Cores, 4 GByte Hauptspei-cher, GBit-Netzwerkkarte, Windows XP SP3, Vista SP2,7 SP1, 2003 SP2, 2008 SP2, 2008 R2 SP1, MS SQLServer 2005/2008 inklusive Express-Version, .NET-Framework 2.0 SP1, PowerShell 2.0





tory und wie schon beschr ieben als Backup Proxy. Zu beachten ist, dass B&Rausschließlich englischsprachige Hyper-V-Server unterstützt. Dass dies so ist, fälltin der Praxis übrigens ziemlich spät auf,da das Setup dies nicht prüft. Im Test konn-ten wir auch sichern und erst bei der Wie-derherstellung einer VM schlug die Re-gistrierung auf einem nicht-englischspra-chigen Server fehl.

Unterschiedlicher Funktionsum-fang für Hyper-V und vSphereDer Funktionsumfang von B&R ist fürHyper-V nicht ganz so umfangreich wiefür vSphere. So fragt das Programm beimAnlegen eines Backups oder einer Repli-zierung sowie bei einem Wiederherstel-lungsauftrag zuerst, ob es sich um Hyper-V oder VMware handelt. Die Punkte “VMCopy”, “File Copy” und “Migration” adres-sieren dagegen nur VMware-Umgebungen.Auch die Features “SureBackup” und “In-stant Recovery” sind nur für VMware ver-fügbar. Bei Hyper-V konzentriert sichB&R somit auf die Funktionen Sicherung,Wiederherstellung und Replizierung.

Nachdem B&R beim Anlegen eines Jobszuerst nach der Plattform fragt, ist klar, dassfür Hyper-V und VMware stets getrennteAufträge anzulegen sind. Innerhalb einesAuftrags beweist B&R dann aber für Hy-per-V die gleiche Flexibilität wie fürVMware. So lassen sich einzelne VMs, aberauch komplette Hyper-V Server sowie einganzes System Center für eine Sicherungoder Replizierung hinzufügen. Es ist auchmöglich, einen kompletten Hyper-V-Ser-ver zu wählen, dann aber einzelne VMsoder einzelne Platten einer VM auszuschlie-ßen. Dies erlaubt eine sehr granulare Aus-wahl. Weiterhin kann der Administrator dieSicherungsreihenfolge selbst festlegen undauch jederzeit einfach ändern.

Nach der Auswahl der Systeme kalkuliertB&R die zu sichernde Kapazität anhandder Systembelegungen. So kann ein Ad-ministrator relativ leicht prüfen, ob aufdem Zielverzeichnis ausreichend Platzvorhanden ist. Dass B&R aufgrund vonKompression in der Regel deutlich we-niger Platz benötigt, kommt positiv hinzu,findet aber in der Vorkalkulation keineBerücksichtigung. Anschließend sind das

Repository und der Backup-Proxy zuwählen. Nutzt der Administrator hier dieOption “Offhost Backup”, schaltet derJob optional auf Onhost um, wenn keingeeigneter Proxy verfügbar ist.

In den erweiterten Optionen kann der Ad-ministrator den Backup-Modus wählen.Bei normalen Sicherungsjobs auf anderePlatten schlägt B&R hier “Reversed In-cremental” vor. Dies bedeutet, dass immerdie letzte Sicherung als volle Wiederher-stellungsdatei vorliegt und ältere Stände alsInkremente. Eine Kombination mit Voll-sicherungen in bestimmten Abständen istmöglich. Entscheidet sich der Administratordagegen für rein inkrementelle Sicherun-gen, kann B&R daraus in Abständen so-genannte synthetische Vollsicherungen er-zeugen, indem es ein Vollbackup aus denInkrementen erzeugt, ohne auf den pro-duktiven Server zuzugreifen.

Weitere Optionen beim Anlegen eines Sicherungsjobs sind die Wahl des Kom-pressionslevels, das Einschalten einer Deduplizierung, das Festlegen von Benach-richtigungen, bei Hyper-V das Nachver-folgen geänderter Blöcke, das Bestimmenvon Aufbewahrungsregeln und die Defi-nition von Aktivitäten nach Job-Abschluss.Weiterhin lässt sich VSS für konsistente Si-cherungen aktivieren sowie ein Indexingdes Gastdateisystems. Ist das Indexing ein-geschaltet, kann der Administrator später

durch das Dateisystem browsen und die 1-Click-Wiederherstellung über den En-terprise Manager nutzen.

Auch beim Zeitplaner zeigt B&R beein-druckende Einstellmöglichkeiten hin-sichtlich der zeitlichen Abstimmung sowieder Wiederholungsversuche, wenn eineSicherung nicht auf Anhieb durchläuft.Letzten Endes sollte es kein Problem dar-stellen, die einzelnen Jobs am individu-ellen Bedarf auszurichten.

Neben der Sicherung ermöglicht B&Rauch eine Replizierung von VMs zwischenzwei Servern oder auch innerhalb einesHosts. Während beim ersten Abgleich dasganze System zu kopieren ist, sind anschlie-ßend nur noch die Differenzen zu über-tragen. Der Abgleich erfolgt in beliebigenZeitabständen bis hin zu einer kontinuier-lichen Replizierung, bei der jegliche Än-derungen möglichst schnell übertragenwerden. Für den Fall, dass sich Originalund Replika nicht im gleichen Netz be-finden, ermöglicht B&R eine entsprechen-de Netzanpassung über die Zuordnungvirtueller Netze sowie ein IP-Mapping.Um die Initialkopie über langsame Lei-tungen wie WAN-Strecken zu umgehen,beherrscht B&R das so genannte Seeding.Hierbei erstellt die Software ein Backupvom Original, verschiebt oder kopiert die-ses in die andere Lokation und stellt es dortwieder her. Indem nun beim Aufsetzen der

Bild 2: Wurde bei der Datensicherung das Gastdateisystem indiziert, ermöglicht der Enterprise Manager eine Wiederherstellung einzelner Dateien per 1-Click-Restore



Replizierung dieser Restore als Basis ge-nutzt wird, sind von Beginn an nur dieUnterschiede über die langsame Leitungzu übertragen. Übrigens steht bei B&Rnichts entgegen, eine VM zu replizierenund gleichzeitig als Backup zu sichern. Dieslässt sich problemlos parallel durchführen.

Vielfältige WiederherstellungsoptionenZur Wiederherstellung einer Hyper-V-VM bietet B&R insgesamt sieben Optio-nen an, drei für den Restore aus einemBackup und vier für eine Rücksicherungaus einer Replika. Bei der Wiederherstel-lung vom Backup gibt es die Möglichkeit,die ganze VM zurückzusichern, einzelneDateien auf Basis der VM-Dateien selbst(VHD, VSV, BIN und XML) oder Dateienaus dem Gastbetriebssystem. Eine VMwieder an die ursprüngliche Stelle zurück-zusichern, erfordert hierbei die wenigstenAngaben, da B&R den ursprünglichenPlatz gespeichert hat. Befinden sich dieVM oder Teile davon noch dort, wird siezuerst automatisch deregistriert und ge-löscht. Anschließend stellt B&R die Si-cherung wieder her und registriert dieVM. Die UUID bleibt dabei erhalten.

Bei einer Rücksicherung an einen ande-ren Ort ist dieser anzugeben. Es ist dannauch eine Anpassung der Netzwerkan-bindung möglich, außerdem kann dieUUID übernommen oder geändert wer-

den. Bezüglich der Wiederherstellung voneiner Replika findet der Administratorvier Optionen, wobei hier der Punkt “Failover to replica” durchaus missver-ständlich ist, denn über diesen lässt sichder Failover auf eine Replika überhaupterst einleiten. Die verbleibenden dreiMöglichkeiten dienen dann tatsächlichdazu, eine bestehende Failover-Situationwieder aufzulösen. Die Undo-Funktionschaltet dabei wieder auf die ursprünglicheVM zurück und die Replika kehrt in denZustand vor dem Failover zurück. DiesesVerfahren ermöglicht es, die Funktion ei-ner Replika zu testen, ohne dass die Ori-ginal-VM dadurch beeinflusst wird.

Beim Failback unterscheidet B&R wie-derum drei Varianten, Ausgangspunkt istaber hier der Datenstand der Replika. EinFailback kann an den Platz der Original-VM erfolgen oder an eine andere Stelleentweder als Aktualisierung einer zuvordorthin wiederhergestellten Sicherungoder, indem alles dorthin kopiert wird.Beim so genannten Complete Failbackübernimmt die Replika endgültig die Rolleder Original-VM. B&R arbeitet bei diesenverschiedenen Vorgehensweisen intensiv mitSnapshots, was im Handbuch detailliert be-schrieben ist. Insgesamt gefallen hat uns hierdie Flexibilität, die B&R dem Nutzer mitden diversen Möglichkeiten an die Handgibt, ohne dadurch unübersichtlich zu wer-den. Allerdings sollte der Administrator bei

Bild 3: B&R ist mit einem sehr komfortablen Zeitplaner ausgestattet, der auch Sicherungsfenster und wiederholte Versuche bei Fehlern berücksichtigt

www.GalileoComputing.de

SharePoint Server 2010 & SharePoint Foundation 2010

Microsoft SharePoint Server 2010 & SharePoint Foundation 2010

VMware vSphere 5

DVD, 10 Stunden Spielzeit, 2012, 59,90 € » www.galileocomputing.de/3039

1.269 S., 3. Auflage 2012, 59,90 € » www.galileocomputing.de/2445

750 S., 2011, mit DVD, 49,90 € » www.galileocomputing.de/2533

MySQL

Portofrei im Web bestellen [D], [A]

Installation, Konfiguration, Administration

Sicherheit, Migration, Backup, Lizenzierung, Desktopvirtualisierung

Storage-Design, Storage-Konfiguration u. v. m.

Planen, Einrichten und Betreiben von SharePoint

Business Intelligence, Collaboration, Portale, Informationskonsolidierung

Entwickeln für SharePoint

Planen, Einrichten und Betreiben von SharePoint

Architektur, Inhaltsstruktur, Dienste, Datensicherheitu.v.m.

Foundation, Standard- und Enterprise-Edition

Installation, Konfiguration, Administration

Skalierung, Hochverfüg-barkeit und Performance-Tuning Wichtige Tools wie »mysqladmin«, zahlreiche Praxistipps und umfassende Befehlsreferenz

1.180 S., 2. Auflage 2012, 89,90 € » www.galileocomputing.de/3000

» facebook.com/GalileoPressVerlag

» twitter.com/Galileo_Press

» gplus.to/GalileoPress


der Planung und dem Aufbau seiner Um-gebung die verschiedenen Möglichkeitenschon einmal durchprobieren, damit er dannim Fehlerfall auch die für ihn richtige Op-tion wählt und nicht unsicher ist.

Um durch Backup-Aktivitäten nicht dasNetzwerk zu verstopfen und die Anwenderzu behindern, lässt sich die Bandbreite zwi-schen frei wählbaren IP-Bereichen aufWunsch auch Tages- und Uhrzeit-abhängigbegrenzen. Weiterhin unterstützt B&Rmehrfache IP-Verbindungen pro Job, umden Durchsatz zu erhöhen.

Überarbeiteter Enterprise ManagerDen zur Koordination mehrerer BackupServer notwendigen Enterprise Managerhat Veeam mit der Version 6 optisch über-arbeitet und mit einigen zusätzlichenFunktionen versehen. So erlaubt der En-terprise Manager das Durchsuchen dergesicherten Gastdateisysteme nach ein-zelnen Dateien. In großen Umgebungenhilft hier ein optionaler Search Server beider Beschleunigung der Suche. In Ver-bindung mit dem Restore einzelner Da-teien bietet der Enterprise Manager jetzteinen so genannten “1-Click File Re-store”. Ist die gewünschte Datei gefun-den, kann sie über das Kontextmenü miteinem Klick an der Originalposition wie-derhergestellt oder lokal auf die Maschine,auf der der Enterprise Manager läuft, he-runtergeladen werden. Auch lassen sichneuerdings mit dem Manager die Aufträ-

ge nicht nur kontrollieren, sondern aucheditieren und klonen.

FazitDie Unterstützung von Hyper-V erwei-tert in Version 6 die Einsatzbandbreiteenorm und macht das Programm fürMulti-Hypervisor-Umgebungen interes-sant, die sowohl auf VMware als auch aufHyper-V setzen. Ein großer Vorteil istdann, dass sich der Administrator nur dasKnow-how für ein Backup-Produkt erarbeiten muss. Neben der Hyper-V-Unterstützung wurde B&R an diversenStellen optimiert. Durch die Einführungvon Offhost Backup-Proxies mit einemschlanken Agenten ist das Produkt nochbesser für große Umgebungen geeignet,da sich die Arbeit jetzt gezielter verteilenlässt. Als eine deutliche Verbesserung sehenwir auch die Einführung von BackupRepositories, durch die sich sehr einfachunterschiedliche Sicherungsziele verwal-ten lassen.

Es zeigte sich im Test, dass B&R sehr fle-xibel konfigurierbar ist, sich problemlos angeänderte Bedingungen anpassen lässt undso auch bei einer Expansion der Umge-bung mitwächst. Zudem kann ein Admi-nistrator die Umgebung erfreulich einfachumkonfigurieren oder Lasten umverteilen,wenn er einen Engpass erkennt. Hierbeihilft B&R tatkräftig, indem bei jedem Si-cherungslauf die beteiligten Komponentenmit vermessen werden. Insgesamt bietetB&R für vSphere mehr Funktionen als für

Hyper-V, denn die mit der Version 5 ein-geführten Features Surebackup und InstantRecovery sind nur bei der Virtualisierungmit VMware nutzbar. Hinsichtlich der Fle-xibilität beim Anlegen von Sicherungs- undReplizierungsjobs mit einem komfortablenScheduler, der Nutzung von Kompressionund Deduplizierung sowie unterschiedli-cher Sicherungsmodi überzeugt B&R aberunabhängig vom verwendeten Hypervisorin jeder Hinsicht. (dr)

Bild 4: Bei einem Sicherungsfehler liefert B&R relativ detaillierte Angaben zum Grund

ProduktDatensicherung und -wiederherstellung in virtuellenUmgebungen unter VMware ESX sowie Microsoft Hyper-V.

HerstellerVeeamwww.veeam.com

PreisCPU-Sockel-basierte Lizenzierung, Standard Edition580 Euro pro CPU, Enterprise Edition 910 Euro proCPU, Staffelpreise für größere Umgebungen.



Veeam Backup & Replication v6

Hyper-V-Unterstützung

VMware-Unterstützung

Sicherungsvarianten

Wiederherstellungsvarianten

Skalierbarkeit

7

9

8

9

9


optimal für mittlere und größere virtuelle Multi-Hypervisor-Umgebungen unter VMware ESX undHyper-V mit SAN-Anbindung. Hier kann das Pro-dukt seinen Funktionsumfang am besten zur Gel-tung bringen.

bedingt, falls nur ein LAN zur Kommunikation zurVerfügung steht und kein SAN genutzt wird. Hierist darauf zu achten, dass die LAN-Bandbreitenicht zum Nadelöhr wird. Auch kommen einige integrierte Funktionen nicht zum Tragen.

nicht für Umgebungen, die bei der Virtualisierungweder auf VMware ESX noch auf Microsoft Hyper-Vsetzen oder gar nicht virtualisieren.




www.1und1.info

NEU!

* 1&1 Dynamic Cloud Server Basiskonfiguration 3 Monate 0, €/Monat, danach ab 39,99 €/Monat für die Basiskonfiguration. Konfiguration und Leistungsberechnung jeweils stundengenau. Einmalige Einrichtungsgebühr 39,– €. 12 Monate Mindestvertragslaufzeit. Preise inkl. MwSt.

Jetzt 100 und heute Abend 1.000 Kunden? Kein Problem!

NEU: Leistungserhöhung und Leistungsreduktion jederzeit flexibel nach Bedarf stundengenau einstellbar, bei stundengenauer Abrechung NEU: Weitere Virtuelle Maschinen stundengenau zubuchbar NEU: Management und Monitoring Ihrer Server-Dienste im Browser oder per Mobile-App NEU: Bis zu 6 CPU, bis zu 24 GB RAM und bis zu 800 GB HDD Hosting in den sichersten 1&1 Hochleistungs-Rechenzentren Linux- oder Windows-Betriebssystem, bei Bedarf Parallels Plesk Panel 10 unlimited vorinstalliert Eigene dedizierte Server-Umgebung mit vollem Root-Zugriff Eigenes SSL-Zertifikat 24/7 Hotline und Support

Infos und Bestellung:

1&1 DYNAMIC CLOUD SERVER

3 MONATE

0,– danach ab 39,99 €/Monat*

€*39,99 €/Monat*

0 26 02 / 96 91 0800 / 100 668


atürlich lassen sich auch virtuelleServer mit herkömmlichen Siche-

rungsstrategien sichern. Dazu installierenSie einfach auf den virtuellen Servern denoder die Agenten der entsprechenden Si-cherungslösung. Das Datensicherungs-programm behandelt diese Server danngenauso wie normale physische Server.Allerdings belastet diese Art der Siche-rung den Host und bei einer Datensiche-rung kann es schnell zu einer Überlas-tung der Hardware kommen.Außerdemsichert diese Art der Datensicherung nichtdie Konfiguration der virtuellen Maschi-ne und verwendet auch nicht die opti-mierten Methoden, die Hyper-V zur Ver-fügung stellt. Die Agenten greifen fernernicht auf den Hypervisor zurück undkönnen daher weder Schattenkopien nochSchnappschüsse zur Sicherung nutzen.

Extrawurst für Hyper-VBackup-Lösungen, die Hyper-V unter-stützen, bauen auf dem Hyper-V-Host

auf und sichern den Server auf Ebene desHypervisors. Die Software nutzt alsoSchnittstellen von Hyper-V zur Siche-rung.Auf diese Weise kann das WerkzeugSnapshots der virtuellen Server zur Si-cherung verwenden und sich des Schat-tenkopiedienstes bedienen. Dies ist we-sentlich effizienter, schneller und stabilerals herkömmliche Sicherungen. Die An-wendung erstellt automatisch Snapshotsim laufenden Betrieb und die virtuellenServer stehen weiterhin den Nutzern zurVerfügung. Solche Online-Sicherungenbelasten die Hardware des Hosts nichtund ermöglichen zudem Backups wäh-rend der Arbeitszeit.

Müssen Sie mehrere virtuelle Server aufeinem Host sichern, kann eine kompati-ble Lösung redundante Dateien erken-nen und muss diese nicht doppelt si-chern. Laufen auf einem Hyper-V-Hostzum Beispiel zehn Server mit WindowsServer 2008 R2, erkennt die Software

identische Systemdateien und kopiertdiese nur einmal. Diese Herangehens-weise ist natürlich nicht möglich, wennSie mit einem Agenten innerhalb der vir-tuellen Maschine arbeiten, denn in die-sem Fall weiß die Sicherungssoftwarenichts von anderen Servern. Die zu si-chernde Datenmenge vergrößert sich da-mit enorm und verlängert den komplet-ten Backup-Vorgang.

Sicherung mit BordmittelnBeim Backup von Hyper-V spielt derSchattenkopiedienst eine wichtige Rol-le, da die Sicherung auf Schnappschüssedes physikalischen Hosts und der virtu-ellen Server aufbaut. Mit aktiviertemSchattenkopiedienst lassen sich Hyper-V-Server inklusive der laufenden virtuellenServer sichern. In einem Knowledge Base-Artikel [1] lesen Sie, wie Sie ein Hy-per-V-Backup richtig konfigurieren unddie Registry des Hosts anpassen.WeitereBeiträge, die sich ausführlich mit dem

Datensicherung unter Hyper-V

Virtuelle Maschinen auf Wanderschaft

von Thomas Joos

Wer über Hyper-V und Windows Server 2008 (R2) virtuelle Server zur Verfügung stellt, muss sein Datensicherungskonzept an die

virtuelle Umgebung anpassen. Die Sicherung desHosts und der darauf laufenden virtuellen Server

verlangt andere Herangehensweisen als die Sicherungherkömmlicher physikalischer Server. Wir zeigen

Ihnen in diesem Workshop, wie Sie mit HausmittelnBackups von Hyper-V anfertigen und was beim

Einsatz von Microsofts Data Protection Managerwichtig ist. Außerdem erklären wir, wie Sie mit der PowerShell

virtuelle Maschinen automatisiert exportieren können.

N


P R A X I S I W o r k s h o p

Quell

e: Ka

trina

Bro

wn -

123R

F

S50-53_ITA_0411_P04_EAZdrittelEpaper.qxp 24.03.2011 12:27 Seite 2

Thema beschäftigen, finden Sie unter [2]im TechNet-Blog sowie unter [3] auf denSeiten des Microsoft Enterprise Support-Teams. Mit diesen Anleitungen könnenSie einen Hyper-V-Host direkt mit derWindows Server-Sicherung sichern.

Ein Video [4] des Virtualisierungs-Teamsvon Microsoft zeigt Ihnen ebenfalls inte-ressante Tipps zur Sicherung von Hyper-V. Setzen Sie zum Beispiel keine Hyper-V-kompatible Datensicherung ein, habenSie die Möglichkeit, den Host mit derWindows Server-Sicherung in eine Dateizu schreiben und diese dann mit IhrerDatensicherungs-Software zu bearbeiten.Auf diese Weise nutzen Sie die Vorteilevon Hyper-V, ohne sich zusätzliche An-wendungen kaufen zu müssen. Nützlichist in diesem Zusammenhang auch daskostenlose “MAP Toolkit for Hyper-V”[5]. Damit können Sie die Last von Hy-per-V-Hosts messen. Das Werkzeug zeich-net die Leistung von Servern über einenfestgelegten Zeitraum auf, zum Beispielwährend der Datensicherung.

Snapshots von virtuellen Servern erstellenGanz ohne Zusatzanwendungen ermög-licht Hyper-V zumindest das Erstellen vonSnapshots von virtuellen Maschinen. DieSnapshots bieten zum Beispiel die Mög-lichkeit, einen Server vor einer Konfigura-tionsänderung zu sichern. Sie können fürjeden virtuellen Computer in Hyper-Vmaximal 50 Snapshots erstellen. Den ent-sprechenden Befehl finden Sie im Kon-textmenü des virtuellen Rechners.Wäh-rend der Erstellung des Snapshots bleibt derServer online und steht den Nutzern wei-terhin zur Verfügung. Die erstellten Snap-shots zeigt der Hyper-V-Manager im mitt-leren Bereich der Konsole an. Hyper-Vspeichert die Snapshots in dem Verzeich-nis, das Sie in den Einstellungen des virtu-ellen Computers im Bereich “Speicherortfür Snapshotdateien” angeben. Standard-mäßig handelt es sich um das Verzeichnis“C:\ ProgramData \ Microsoft \ Windows \Hyper-V \ Snapshots”.Rufen Sie den Be-fehl “Zurücksetzen” im Kontextmenü des

virtuellen Computers auf, wendet Hyper-V den letzten erstellten Snapshot an undsetzt den Computer auf diesen Stand zu-rück. Snapshots ersetzen allerdings keineDatensicherung, sondern bieten nur eineRückversicherung vor einer Konfigurati-onsänderung auf dem Server.

Arbeiten mit dem Data Protection Manager 2010Mit dem Data Protection Manager (DPM)2010 bietet Microsoft eine eigene Lösungzur Datensicherung von Hyper-V-Hostsan. DPM 2010 kann auch andere Anwen-dungen sichern, bietet aber im BereichHyper-V vor allem in Verbindung mitWindows Server 2008 R2 eine optimaleUnterstützung. Das Werkzeug fertigt imlaufenden Betrieb Snapshots an, sichertdie Daten dieser Online-Snapshots auf einFestplattensystem und legt diese Datendann wiederum auf Band ab. Die zu si-chernden Server stehen dabei weiterhinonline den Nutzern zur Verfügung. Eben-so ist die direkte Sicherung auf Bandlauf-werke möglich, ohne den Umweg überFestplatten oder auch parallel dazu.

Komfortables Backup über GruppenregelnDamit die Software eine Sicherungdurchführen kann, installieren Sie auf demHyper-V-Host einen Agenten, der mitdem DPM-Server eine Verbindung auf-baut. Die Clients lassen sich dann überdie Verwaltungskonsole von DPM imNetzwerk verteilen. Neben den her-kömmlichen Daten kann das Tool denSystemstatus der Server sichern, also eineKomplettsicherung durchführen. Ge-meinsame Systemdaten mehrerer Serverfasst DPM automatisch zusammen undsichert nur beim ersten Server das kom-plette Betriebssystem. Dies hat vor allembei der Sicherung von Hyper-V-Hostsden Vorteil, dass sich Server wiederher-stellen lassen, aber doppelte Datenmengenvermieden werden. DPM 2010 ist au-ßerdem dazu in der Lage, die neuen Clus-ter Shared Volumes (CSV) zu sichern, die Hyper-V R2 für die Live Migration vonvirtuellen Computern zwischen Cluster-

knoten benötigt. Bei der Live Migrationvon Windows Server 2008 R2 verlierenAnwender nicht die Verbindung zu denvirtuellen Computern. Die virtuellenRechner laufen dabei als Cluster-Res-sourcen. Ebenfalls möglich ist die Wie-derherstellung einzelner Daten innerhalbvon virtuellen Festplatten (VHD).

Virtuelle Computer lassen sich nicht nurauf der ursprünglichen Host-Maschinewiederherstellen, sondern auf jedem an-deren Hyper-V-Host in der Infrastruktur.DPM arbeitet bei der Sicherung mit spe-ziellen Regeln, mit denen sich Server zueinzelnen Gruppen zusammenfassen las-sen. Diese Gruppen tragen die Bezeich-nung Schutzgruppen und haben einengemeinsamen Regelsatz, zum Beispiel al-le Hyper-V-Hosts im Unternehmen. Indiesen Regeln legen Sie beispielsweisefest, wie oft Sie den Server sichern wollenoder wie lange die Daten rückwirkendauf dem Server verfügbar sein sollen.Nicht erwünschte Dateien lassen sich au-ßerdem von der Sicherung ausschließen.

DPM 2010 integriert sich in die anderenProdukte der System Center-Reihe undist auch Bestandteil der Server Manage-ment Suite. So kann zum Beispiel SystemCenter Operations Manager einen Disas-ter-Recovery-Vorgang starten, wenn einManagement Pack einen Ausfall bemerkt.Um DPM 2010 zu lizenzieren, benötigenUnternehmen eine Serverlizenz für Sys-tem Center Data Protection Manager2010. Für jeden gesicherten Server ist ei-ne Enterprise-Lizenz notwendig. Die Lö-sung macht allerdings nur in reinen Mi-crosoft-Netzwerken Sinn, da Produkteanderer Hersteller nicht effizient unter-stützt werden.

Wiederherstellung von Hyper-V-ServernHaben Sie virtuelle Server nicht mit einerHyper-V-kompatiblen Lösung gesichert,müssen Sie bei einer Wiederherstellungdes Hosts alle virtuellen Server manuellwiederherstellen und die Datensicherungder einzelnen Server zurückspielen. Beim




Backup über eine kompatible Anwendungvereinfachen und beschleunigen Sie die-sen Vorgang, da die Anwendungen sowohlHost als auch virtuelle Server wiederher-stellen können. Mit DPM 2010 lassen sicheinzelne Dateien,Verzeichnisse oder derkomplette Systemstatus des Servers wie-derherstellen. Müssen Sie über DPM ei-nen kompletten Server wiederherstellen,bietet die Lösung ein spezielles Tool an,über das Sie eine bootfähige CD/DVDerstellen. Auch das Booten über Netz-werk ist mit DPM möglich. Ferner bietetdie Plattform eine skriptbasierte Verwal-tung auf Basis der PowerShell an.Auf die-se Weise können Sie virtuelle Server zurSicherung exportieren und mit Skriptendie Verwaltung von DPM automatisieren.

Sicherung durch PowerShell-ExportDas Backup von Hyper-V-Hosts hat vorallem den Zweck, die einzelnen, auf demHost laufenden virtuellen Server zu si-chern. In der Verwaltungskonsole vonHyper-V haben Sie die Möglichkeit, dievirtuellen Server zu exportieren. Expor-tierte Server können Sie jederzeit wie-der importieren. Dies funktioniert aufdem gleichen Hyper-V-Host, aber auchauf einem anderen Rechner. Der Befehlzum Exportieren steht über das Kon-textmenü von virtuellen Maschinen zurVerfügung. Diese Möglichkeit steht abernur bereit, wenn der virtuelle Server nichtgestartet ist. Das heißt, Sie können mitdem Export keine Online-Sicherungdurchführen, sondern den Server nur sichern, wenn er ausgeschaltet bezie-hungsweise angehalten ist. Aus diesemGrund bietet es sich an, diesen Exportnachts durchzuführen, wenn keine Nut-zer mit dem Server arbeiten.

Der Export-Vorgang umfasst die VHD-Dateien, Snapshots und die Einstellungendes virtuellen Servers. Die Größe der Ex-portdateien entspricht der Größe derQuell-Dateien. Sie müssen also beim Ex-portieren von mehreren Servern entspre-chend Speicherplatz bereitstellen. Sie ha-ben ferner die Möglichkeit, die virtuellen

Server über das Exportieren per Power-Shell-Skript zu sichern.Auch hier gilt aberwieder, dass Sie den Server herunterfah-ren oder anhalten müssen. Auf der Web-seite [6] finden Sie ein PowerShell-Skriptund eine ausführliche Anleitung, wie sichsolche Export-Vorgänge vollständig überSkripte automatisieren lassen. Zwar ist ei-ne solche Sicherung nicht als Ersatz fürechte Sicherungen geeignet, als Zusatz-ebene kann ein Export aber ein Mehr anSicherheit bieten.

Mit dem Skript fahren Sie virtuelle Serverautomatisch herunter, exportieren den Ser-ver in eine Datei und starten den Serverneu. Es ist zudem möglich, dass Sie die Si-cherungsdateien auf eine Netzfreigabe ko-pieren, nachdem Sie den virtuellen Serverwieder gestartet haben. Sie benötigen fürdas Skript zusätzlich die PSHyperv Library[7] von James O’Neill.Die Library enthältzusätzliche Cmdlets,die die Verwaltung vonHyper-V in der PowerShell deutlich er-leichtern. Das Skript zur Datensicherungvon Hyper-V-Servern baut auf diesenCmdlets auf.Ein weiteres benötigtes Werk-zeug ist “Streams” [8] von Sysinternals.Dererste Schritt besteht nun darin, dass Sie mitstreams.exe Datenströme von der PSHypervLibrary-Installationsdatei entfernen müs-sen. Dazu entpacken Sie das Streams-Ar-chiv und kopieren die Datei streams.exe unddie Datei HyperV_Install.zip in ein Ver-

zeichnis auf der Festplatte des Hyper-V-Hosts. Öffnen Sie dann eine Befehlszeileund geben Sie den Befehl

streams -d HyperV_Install.zip

ein. Extrahieren Sie dann die ZIP-Dateiund installieren Sie die Library durchRechtsklick auf install.cmd und die Aus-wahl von “Als Administrator ausführen”.Installieren Sie das Skript nicht auf einemWindows Server 2008 R2-Core-Server,sondern auf einer vollständigen Installa-tion von Windows Server 2008 R2, er-halten Sie zwei Fehlermeldungen, die Sieaber ignorieren können. Nach der Instal-lation startet die PowerShell.Tippen Siedas Kommando

get-command -module HyperV

ein, um die Installation zu überprüfen.Das Fenster zeigt Ihnen anschließenddie verfügbaren PowerShell-Cmdlets an,auf denen das PowerShell-Sicherungs-skript aufbaut. Diese Befehle könnenSie unabhängig vom entsprechendenSkript nutzen.

Im nächsten Schritt laden Sie jetzt nochdie aktuelle Version des Sicherungs-Skrip-tes HyperV-Backup.ps1 von der bereits er-wähnten Seite [6] herunter. EntpackenSie das Download-Archiv in ein Ver-



Die Sicherung erfolgt durch eine Definition von Schutzgruppen


zeichnis auf dem Hyper-V-Host.WendenSie aber auch hier vorher den Befehl

streams -d hyperV-Backup-V0.91.zip

an. Nach der Installation können Sie al-le Server auf einem Host schnell und ein-fach herunterfahren, sichern und an-schließend wieder hochfahren. Das Skripthinterlegen Sie als Aufgabe auf dem Hy-per-V-Host oder starten es manuell. DasBackup läuft vollkommen unabhängigvon der Windows Server-Sicherung understellt vollständige Export-Dateien, diesich auch auf anderen Hyper-V-Hostsschnell und einfach wieder integrierenlassen.Allerdings kann das Skript wie er-wähnt keine Online-Sicherungen durch-führen, sondern Server nur im ausge-schalteten oder gespeicherten Zustandsichern. Um sich eine Hilfe anzuzeigen,geben Sie den Befehl HyperV-Backup.ps1-? ein. Sie sehen in der PowerShell danndie verschiedenen Optionen und Bei-spiele zur Verwendung.

Wollen Sie zum Beispiel auf dem Hyper-V-Host die virtuelle Maschine “sql” ex-portieren, verwenden Sie den Befehl

{Pfad}\HyperV-Backup.ps1 -VM sql

-ExportPath {Pfad}.

Direkt nach der Eingabe beginnt der Ex-port-Vorgang. Ist die Maschine gestartet,fährt das Skript den virtuellen Server he-runter, exportiert die virtuelle Maschineund startet die VM wieder.Wollen Sie die

Sicherung zusätzlich noch im Netzwerkspeichern, verwenden Sie den Befehl

{Pfad}\HyperV-Backup.ps1 -VM {Name

des Servers} -ExportPath {Lokaler

Export-Pfad} -RemotePath \\{UNC

der Freigabe} -verbose.

Starten Sie das Skript automatisiert, kön-nen Sie die Option “-verbose” weglassen.Bei diesem Befehl geht das Skript genau-so vor wie bei einer lokalen Sicherungund kopiert nach dem Start der expor-tierten VM die Sicherungsdatei in dieFreigabe auf dem Netzwerk.Während deslangwierigen Kopiervorgangs über dasNetzwerk läuft der virtuelle Server alsobereits wieder.

Automatisierung der Sicherungüber den AufgabenplanerNeben der manuellen Export-Möglich-keit können Sie diese Sicherung automa-tisieren. Dazu erstellen Sie auf dem Servereinfach eine neue Aufgabe im Aufgaben-planer von Windows Server 2008 R2.Diesen starten Sie am schnellsten, wennSie “Aufgabe” im Suchfeld des Startmenüseingeben.Als Aktion für die Aufgabe ver-wenden Sie “Programm starten”. Bei“Programm/Skript” müssen Sie direktden Pfad zur PowerShell eingeben. Diesenfinden Sie standardmäßig unter C:\ Wind-ows \ System32 \ WindowsPowerShell \ v1.0\ powershell.exe. Anschließend geben Sieim Feld “Argumente hinzufügen” den Be-fehl in der Syntax ein, mit der Sie denServer auch manuell sichern würden.

Nach der Erstellung der Aufgabe öffnenSie noch deren Einstellungen, da Sie nochÄnderungen vornehmen müssen. Akti-vieren Sie auf der Registerkarte “Allge-mein” die Option “Unabhängig von derBenutzeranmeldung ausführen”. Zusätz-lich setzen Sie den Haken bei “Mit höchs-ten Privilegien ausführen”. Auf der Re-gisterkarte “Einstellungen” können Sienoch bei “Aufgabe beenden, falls sie län-ger ausgeführt wird als…” einen Zeitraumauswählen, nach dem der Server den Taskbeenden soll. Das ist wichtig, damit nacheiner erfolglosen Sicherung die Anwen-der morgens wieder mit dem Server ar-beiten können. (ln)


[1] Sicherungen von virtuellen Maschinen unter Hyper-VB4P41

[2] Backing up Hyper-V with Windows Server BackupB4P42

[3] How to enable Windows Server Backup support for the Hyper-V VSS WriterB4P43

[4] Video: Backup Hyper-V with Windows Server BackupB4P44

[5] MAP-Toolkit for Hyper-VB4P45

[6] Skript zur Hyper-V Sicherung mittels PowershellB4P47

[7] PowerShell management Library for Hyper-VB4P48

[8] Streams 1.56 von SysinternalsB4P49

Link-Codes

Testen Sie kostenlos und unverbindlich die elektronische IT-Administrator Leseprobe auf www.it-administrator.de.

Wann immer Sie möchten und wo immer Sie sich gerade befinden – Volltextsuche,Zoomfunktion und alle Verlinkungen inklusive. Klicken Sie sich ab heute mit demIT-Administrator einfach von Seite zu Seite, von Rubrik zu Rubrik!

Infos zu E-Abos, E-Einzelheften und Kombiangeboten finden Sie auf:

www.it-administrator.de/magazin/epaper

Lesen Sie den IT-Administrator als E-Paper


ie direkte Wiederherstellung ei-ner Datensicherung auf einem

Server ohne Betr iebssystem war vorWindows Server 2008 nur mit Drittlö-sungen möglich. Mit Bordmitteln hin-gegen blieb nur die Neuinstallation desBetriebssystems, um danach mit Hilfeder Datensicherung den Server wiederin den Ausgangszustand zurückzuver-setzen – alles in allem eine sehr auf-wändige Arbeit. Seit Windows Server2008 können Sie den Server direkt wie-derherstellen, ohne vorher ein Betriebs-system installieren zu müssen.

Vor dem Restorekommt die SicherungAn erster Stelle steht immer eine er-folgreiche Datensicherung. Mit Wind-ows Server 2008 hat Microsoft das imServerbetriebssystem eingebaute Siche-rungstool “NTBackup” gegen die“Windows Server-Sicherung” ausge-tauscht.Während das Sicherungstool beiden Vorversionen standardmäßig instal-liert war, müssen Sie es jetzt als Featurenachinstallieren. Dies können Sie ent-weder in der grafischen Benutzerober-fläche des Servermanager erledigen oderSie bedienen sich der Kommandozeileoder der PowerShell.

Installation der Windows Server-SicherungDie Windows Server-Sicherung lässt beider Installation über die GUI die Aus-wahl der Unterkategorie “Befehlszeilen-tools” für das Sicherungsfeature zu. Die-se Formulierung ist etwas missverständlich– nur die PowerShell-Erweiterungen derDatensicherung erfordern diese Option.Das Tool wbadmin.exe, das die Möglich-keiten in der klassischen Kommandozei-le zur Verfügung stellt, ist in jedem FallBestandteil des Hauptpaketes der Daten-sicherung.Wenn Sie die Datensicherunglieber mittels Kommandozeile installie-ren möchten, verwenden Sie folgendesKommando:

ServerManagerCmd.exe -install Backup

Mit dem Schlüsselwort “Backup” instal-lieren Sie das Sicherungsfeature ohne Be-fehlszeilentools, mit dem Schlüsselwort“Backup-Tools” richten Sie alle Kompo-nenten ein:

ServerManagerCmd.exe -install

Backup-Tools

Auch über die PowerShell können SieBetriebssystemkomponenten wie die Da-

tensicherung nachinstallieren. Hierfürmüssen Sie zunächst das Modul “Server-Manager” laden, damit Sie im Anschlussüber das Cmdlet “add-WindowsFeature”die Funktion hinzufügen können:

import-module ServerManager

add-WindowsFeature Backup

Nicht nur die Installation, sondern auch dieArchitektur der Datensicherung hat sichmit Windows Server 2008 geändert.Wäh-rend davor eine Datensicherung in ein spe-zielles Dateiformat geschrieben wurde, er-stellen die neuen Sicherungsmethoden einblockbasiertes Abbild der betroffenen Par-titionen (oder Volumes) als VHD-Datei.Hierbei entsprechen die VHD-Dateien demDateiformat für virtuelle Festplatten vonVirtual PC oder Hyper-V.Zudem hat sichdie Verwendbarkeit der virtuellen Festplat-ten erweitert, wie wir später noch sehenwerden.Unterstützend kommt bei der Da-tensicherung der Volumenschattenkopie-dienst zum Einsatz, der zu Beginn der Da-tensicherung einen Snapshot erzeugt, derdann gesichert wird. So ist sichergestellt,dass alle gesicherten Daten dem selben Zeit-punkt entsprechen.Durch die blockbasier-te Sicherung als VHD-Datei, die ein voll-ständiges Abbild der Partitionen enthält,

Bare Metal Recovery von Windows Server 2008 (R2)

Out of the Darkvon Ulf B. Simon-Weidner

Fällt ein Server komplett aus, war es bisher sehr aufwendig, ihn wiederherzustellen. Seit Windows Server 2008 bietet

das Betriebssystem die Wiederherstellungsmethode “Bare Metal-Recovery” mit Bordmitteln an. Damit lassen sich Sicherungen auchauf einem unbespielten System rasch wieder in Betrieb nehmen. In

diesem Workshop gehen wir darauf ein, was Sie in diesem Fall schonbei der Sicherung beachten sollten, wie Sie das Backup auf

verschiedenen Wegen wiedereinspielen und wie Sie sich dabei das Virtualisierungs-Format VHD zu Nutze machen.

D


Quell

e: Ry

an Jo

rgen

sen

– 12

3RF


S54-58_ITA_0411_P05_EAZSonderheft0211.qxp 24.03.2011 12:28 Seite 2

müssen Sie die Datensicherung entwederauf ein Netzlaufwerk schreiben oder aufein lokales Laufwerk, das nicht Bestandteilder Sicherung ist.

Optionen bei der SystemsicherungÜber die grafische Benutzeroberfläche star-ten Sie die Windows Server-Sicherung ent-weder im Servermanager unter “Dienste”oder über das Startmenü unter “Verwal-tung”.Dabei haben Sie die Möglichkeiteneiner “Vollständigen Sicherung”– diese ent-hält die Daten aller lokalen Partitionen.Beachten Sie, dass Sie das Backup nur dannauf einer lokalen Partition ablegen kön-nen,wenn von dieser Partition selbst keineBestandteile in der Sicherung enthaltensind. Für eine “Benutzerdefinierte Siche-rung” sind folgende Optionen möglich:- Bare-Metal-Recovery: Sichert alle In-

formationen,die notwendig sind,um dasSystem komplett von einer Sicherungwiederherzustellen (inklusive Systemsta-tus,Boot- und Betriebssystempartition).

- Systemstatus: Sichert die Daten, die not-wendig sind, um den Systemstatus wie-derherzustellen. Bei dieser Option mussein Betriebssystem existieren, bevor eszu einer Wiederherstellung des Sys-temstatus kommt.

- Einzelne Partitionen / Volumes: Hierkönnen Sie einzelne Partitionen / Vo-lumes wählen, die in der Sicherung ent-halten sein sollen.

Wie stark die Größenunterschiede derverschiedenen Sicherungsvarianten aus-fallen, ist von System zu System unter-schiedlich. Zum Beispiel umfassen Si-cherungen bei Domänencontrollernhäufig nur zehn bis 15 Prozent mehrDaten bei einer Bare-Metal-Restore-Si-cherung als bei einem Backup des Sys-temstatus. In diesem Fall sind Sie mit ei-ner Bare-Metal-Sicherung deutlichflexibler. Im weiteren Verlauf gehen wirdeshalb immer von dieser Art der Si-cherung aus. Um ein System vollstän-dig wiederherzustellen, ist es wichtig, alldie Volumes mit zu sichern, die Datenvon auf dem System installierten Appli-kationen enthalten.

Natürlich lässt sich die Windows Server-Sicherung auch direkt über die Befehls-zeile starten. Hierzu dient das Komman-do wbadmin.exe. Ein “Critical Volume Backup”, das in der Benutzeroberfläche als“Bare-Metal-Recovery”erscheint, erstellenSie mit dem folgenden Kommando

wbadmin.exe START BACKUP -backupTar-

get:e: -allCritical -include:c:,d:

-noVerify -vssFull -quiet

Die Option “-backupTarget” definiert,wohin Sie die Sicherung schreiben wol-len. Der Schalter “-allCritical” legt fest,dass wir ein Bare-Metal-Recovery er-stellen wollen.“-Include” ist nicht not-wendig, wenn Sie nur das Betriebssys-tem oder einen Domänencontrollersichern. Bei Applikationsservern kön-nen Sie hierüber zusätzliche Laufwerkeangeben, die die Sicherung umfassensoll. Hierbei ist wieder daran zu den-ken, dass ein lokales Laufwerk nur dannals Backup-Ziel dienen kann, wenn esselbst keine zu sichernden Daten ent-hält. Die weiteren Parameter “-noVeri-fy”,” -vssFull” und “-quiet” bedeuten,dass keine Überprüfung der Sicherungerfolgt, eine Schattenkopie verwendetwird (was empfohlen ist) und keineNachfragen erfolgen.

Über die PowerShell erzeugen Sie eineBare-Metal-Recovery-Sicherung mit denfolgenden Kommandos:

Add-PSSnapIn Windows.ServerBackup

$BackupPolicy = New-WBPolicy

Add-WBBareMetalRecovery -policy

$BackupPolicy

$BackupTarget = New-BackupTarget

-VolumePath E:

Add-WBBackupTarget -Policy $Backup-

Policy -Target $BackupTarget

Start-WBBackup -policy $BackupPolicy

Die Sicherung lässt sich am besten übergespeicherte Aufgaben einrichten.Wenndas Backup-Target im Netzwerk liegt,müssen Sie den UNC-Pfad (\\server\share...) angeben anstatt eines Lauf-werk-Mappings, da Letzteres nur dannverfügbar ist, wenn Sie am System an-gemeldet sind. Nachdem Sie die Daten-sicherung eingerichtet haben, sollten Sieregelmäßig überprüfen, ob sie ord-nungsgemäß durchgeführt wurde, unddie diesbezüglichen Ereignisse in dasMonitoring aufnehmen.


Bild 1: Installation der Datensicherungsoption im Servermanager. Die Option “Befehlszeilentools” wird nur für die PowerShell benötigt.



Auswahl desrichtigen Backup-SetsDurch die Speicherung der Datensiche-rung in eine VHD-Datei hat es Microsofteinfacher gemacht, in die Sicherung hi-neinzusehen. So können Sie entweder di-rekt einzelne Dateien zurückholen oderentscheiden, welche Systemsicherung dengewünschten Stand hat und wiederher-gestellt werden soll. Hierfür müssen Siedie VHD-Datei wie in Bild 2 in das Da-teisystem einbinden. Die VHD-Dateien(eine pro Partition / Volume) finden Sieauf dem Backupziel im Verzeichnis“WindowsImageBackup \ {Computer-name} \ {Backup-Zeit-Datum}”.

Leider enthalten die VHD-Abbilder als Da-teinamen lediglich GUIDs, die entspre-chende Partition können Sie lediglich auf-grund der Größe oder durch Ausprobierenerahnen. Für den direkten Zugriff von ei-nem anderen System müssen Sie gegebe-nenfalls noch Berechtigungen anpassen.Da-nach lassen sich die VHD-Dateien mountenund mit Laufwerksbuchstaben versehen.Umin eine Sicherung einzusehen, empfiehlt essich,die Option “Schreibgeschützt”zu setzen.Nachdem die Festplatte eingebunden ist,müssen Sie noch einen Laufwerksbuchsta-ben setzen.Alternativ erledigen Sie dieseSchritte mit dem Kommando diskpart.exe:

diskpart.exe

select vdisk file=d:\...\guid.vhd

attach vdisk readonly

Hiermit ist die virtuelle Festplatte verbun-den, mit den Kommandos select volume /partition und assign letter müssen Sie dannje nach Struktur der Platte noch einenLaufwerksbuchstaben für das Volume aus-wählen. Im Anschluss erhalten Sie über denWindows Explorer oder andere Tools Ein-sicht in den Inhalt der Datensicherung.

Wiederherstellungin wenigen SchrittenGenauso wie bei der Sicherung könnenSie auch beim Restore unterschiedlicheWegen gehen.Hierbei ist zu beachten,dassSie immer nur die Vorgehensweise wählenkönnen, für die in der Datensicherung ge-nügend Informationen vorhanden sind. Soist es nicht möglich, mit einer Systemsta-tussicherung ein Bare-Metal-Recoverydurchzuführen, während dies umgekehrtdurchaus möglich wäre.Während sich beimBackup nur der Systemstatus,Bare-Metal-Recovery oder komplette Volumes sichernlassen, können Sie bei der Rücksicherungeinzelne Dateien oder Ordner wiederher-stellen – in diesem Fall ist das Rückkopie-ren von einer gemounteten VHD-Datei al-lerdings fast einfacher.

Die Rücksicherung für Dateien undOrdner, Systemstatus oder registrierte Ap-plikationen starten Sie über die Verwal-tungskonsole “Windows Server-Siche-rung”. Möchten Sie die Rücksicherungüber wbadmin.exe durchführen, müssenSie zunächst die Versionsnummer derwiederherzustellenden Sicherung he-rausfinden. Führen Sie hierzu den fol-genden Befehl aus:

wbadmin.exe get versions

-backupTarget:e:

In der Ausgabe des Kommandos notierenSie die Versions-ID. Danach starten Siemit diesem Kommando beispielsweise ei-ne Systemstatus-Rücksicherung:

wbadmin.exe start systemstatereco-

very -version {version-id}

-backupTarget:e:

-machine:ITA-SRV-01

Hierbei sind die Parameter “-Backup-Target” und “-Machine” optional undnur dann nötig, wenn es sich nicht umdie Sicherung des lokalen Systems han-delt oder diese auf einem anderen Lauf-werk erstellt wurde.

Ein Bare-Metal-Recovery lässt sich aller-dings nicht über die normale Verwal-tungskonsole durchführen. Das wäre inden meisten Fällen wenig zielführend,denn die komplette Rücksicherung einesServers ist ja zumeist nur dann notwendig,wenn der Server kaputt ist, die FestplattenDefekte vorweisen und/oder sich das Sys-tem nicht mehr starten lässt. Diese Art derRücksicherung können Sie daher nurüber die Produkt-DVD, einen entspre-chend vorbereiteten USB-Stick oder übereinen Netzwerkboot anstoßen.

Rücksicherung mittels DVDVöllig neu bei Windows Server 2008(R2) ist die Möglichkeit, eine kompletteRücksicherung ohne installiertes Be-triebssystem durchzuführen. Die ein-fachste Methode hierzu ist, von einer Pro-dukt-DVD zu booten. Nach der AuswahlBild 2: Die in der Sicherung erstellten VHD-Dateien lassen sich mit separaten Laufwerksbuchstaben direkt im System mounten




Bestellen Sie jetztdas IT-Administrator

Sonderheft II/2011!180 Seiten Praxis-Know-how rund um das Thema

zum Abonnenten-Vorzugspreis* von

nur € 24,90!* IT-Administrator Abonnenten erhalten das Sonderheft II/2011 für € 24,90. Nichtabonnenten zahlen € 29,90.

IT-Administrator All-Inclusive Abonnenten "zahlen" für Sonderhefte nur € 19,90 - diese sind im Abonnementdann automatisch enthalten. Alle Preise verstehen sich inklusive Versandkosten und Mehrwertsteuer.

Liefertermin:Ende Oktober 2011

Mehr Informationen und ein Onlinebestellformular finden Sie auch hier

www.it-administrator.de/kiosk/sonderhefte/So erreichen Sie unserenVertrieb, Abo- und Leserservice:Leserservice IT-Administratorvertriebsunion meynenHerr Stephan OrgelD-65341 Eltville

Tel: 06123/9238-251Fax: 06123/9238-252

[email protected]

Diese und weitere Aboangebote finden Sie auch im Internet unter www.it-administrator.de

Leopoldstraße 85D-80802 MünchenTel: 089-4445408-0Fax: 089-4445408-99Geschäftsführung: Anne Kathrin HeinemannMatthias HeinemannAmtsgericht München HRB 151585

Abos und Einzelhefte gibt es auch als E-Paper

Ja, ich bin IT-Administrator Abonnent mit der Abonummer (falls zur Hand) ________________________________und bestelle das IT-Administrator Sonderheft II/2011 zum Abonnenten-Vorzugspreis von nur € 24,90 inkl. Versand und 7% MwSt.

Ja, ich bestelle das IT-Administrator Sonderheft II/2011 zum Preis von € 29,90 inkl. Versand und 7% MwSt.

Der Verlag gewährt mir ein Widerrufsrecht. Ich kann meine Bestellung innerhalb von 14 Tagen nach Bestelldatum ohne Angabenvon Gründen widerrufen.*

Einfach kopieren und per Fax an den Leserservice IT-Administrator senden: 06123/9238-252

Ich zahle per Bankeinzug Firma:

Geldinstitut: Name, Vorname:

Kto.: BLZ: Straße:

oder per Rechnung Land, PLZ, Ort:

Datum: Tel:

Unterschrift: E-Mail:* Zur Fristwahrung genügt die rechtzeitige Absendung einer E-Mail an [email protected] oder einer kurzen postalischen Mitteilung an Leserservice IT-Administrator, 65341 Eltville.

ITA 0

411

SharePoint 2010für Administratoren




der Eingabesprache wählen Sie dazu imFenster “Windows installieren” die“Computerreparaturoptionen”. Danachentscheiden Sie sich für Systemabbild-Wiederherstellung, wählen ein System-abbild aus und starten die Rücksiche-rung. Sollte die Festplatte nicht erkanntwerden, laden Sie zunächst den Treiberfür den SCSI- oder SATA-Controller undstarten dann die Rücksicherung.

Installation vom USB-StickUm einen USB-Riegel vorzubereiten, umvon diesem ein Bare-Metal-Recovery odersogar eine Installation durchzuführen, sinddiverse Vorbereitungen nötig. Hierzu istzunächst ein Rechner mit Vista, 7 oder Ser-ver 2008 (R2) notwendig. An diesemRechner schließen Sie den leeren USB-Stick an und starten dann diskpart.exe. Da-nach führen Sie nacheinander die folgen-den Kommandos aus:

List Disk

Select Disk {Nummer des USB-Sticks}

Clean

Create Partition Primary

Active

Format FS=FAT32 Quick

Assign Letter S:

Danach kopieren Sie alle Inhalte derWindows Boot-DVD auf den USB-Stick.Achten Sie darauf, die komplette Ver-zeichnisstruktur mitsamt versteckten Da-teien und Systemdateien mit zu kopieren.Nun lässt sich der USB-Key, wie weiteroben beschrieben, dazu einsetzen, umWindows zu installieren oder eine Bare-Metal-Rücksicherung durchzuführen.

Alternative NetzwerkbootDen Netzwerkboot in aller Vollständigkeitzu behandeln, würde am Thema diesesWorkshops vorbeiführen und dessen Rah-men sprengen – daher an dieser Stelle nureine kurze Beschreibung: Die WindowsDeployment Services (WDS) sind eineKomponente, die sich ebenfalls im Liefer-umfang des Betriebssystems befinden.Nachdem diese standardmäßig konfiguriertwurden, können Sie Boot.WIM für die In-

stallationsumgebung und Install.WIM fürdie eigentliche Installation über das Netz-werk mittels Netzwerkboot verteilen.Auchso ist ein Bare-Metal-Recovery möglich,je nach System müssen Sie dazu eine be-stimmte Tastenkombination drücken, da-mit das BIOS aus dem Netzwerk bootet.

Es gibt allerdings Umstände, bei denen dievollständige Wiederherstellung nicht so pro-blemlos möglich ist, vor allem wenn dasRestore auf einem System mit unter-schiedlicher Hardware erfolgen soll. In frü-heren Windows-Versionen war es sehrschwierig, ein vollständiges Recovery aufeiner unterschiedlichen Hardware durch-zuführen. Dankenswerterweise befindensich mittlerweile sehr viele Treiber mit imLieferumfang des Betriebssystems.Trotz-dem kann es sein, dass Sie weitere Schrittedurchführen müssen,um das System wiederfunktionsfähig zu machen.

Sollte das Zielsystem spezielle SCSI/SA-TA-Treiber benötigen, können Sie diesemittlerweile vor dem Recovery mittelsUSB-Stick oder sonstige Methoden ein-binden. Des Weiteren bietet die Compu-terreparatur Möglichkeiten,den Boot-Sek-tor oder Boot-Dateien zu reparieren.Ambesten eignet sich hierfür die Option“Startup Repair”, die das Bootmenü nacheinem fehlgeschlagenen Start automatischanbietet. Eine weitere Variante, die wir zu-mindest erwähnen wollen, ist, ein gesi-chertes System (gegebenenfalls mit etwasKonfigurationsaufwand) als virtuelle Ma-schine zu starten, da die VHD-Dateien jadas passende Format dazu haben.Auch hiermüssten Sie eventuell weitere Treiber ein-spielen, um die Lauffähigkeit auf dem vir-tuellen Host zu gewährleisten.

In diesem Zusammenhang sei erwähnt,dassWindows 7 und Server 2008 R2 das Boo-ten von VHDs direkt auf der Hardware unterstützen.Hierzu müssen Sie dann bei-spielsweise eine Kopie des aktuellen Boot-eintrages anfertigen und in der Kopie be-nennen,dass eine virtuelle Festplatte anstelleeiner physikalischen zu booten ist.Dies be-werkstelligen Sie folgendermaßen:

Bcdedit /copy {current} /d “VHD

Boot”

Notieren Sie in der Ausgabe des Kom-mandos die neue GUID und fahren Siemit diesen Befehlen fort:

Bcdedit /set {GUID} device

vhd=[D:]\backup.vhd

Bcdedit /set {GUID} osdevice

vhd=[D:]\backup.vhd

Bcdedit /set {GUID} detecthal on

Mit Hilfe dieser Kommandos lässt sicheine VHD dann direkt booten.Auch hierkann es nötig sein, verschiedenste Repa-raturmaßnahmen durchzuführen.Außer-dem gilt zu beachten, dass die virtuellenFestplatten nicht auf einem komprimier-ten Laufwerk oder Verzeichnis liegen dür-fen, dass Standby oder Ruhezustand nichtfunktionieren und dass die Pagefile nichtin der virtuellen Festplatte liegen darf.Nichtsdestotrotz ist es eine sehr interes-sante, häufig jedoch experimentelle Vari-ante. Für diejenigen, die noch etwas mehrexperimentieren wollen: Erstellen Sie ei-ne leere VHD-Datei, binden Sie diese indas Dateisystem ein und lassen Sie die Installation dann genau in diese Da-tei laufen. Hierzu müssen Sie bei der be-nutzerdefinierten Installation lediglich dierichtige Partition verwenden und dieMeldung, dass die Installation in dieserPartition unter Umständen nicht funk-tioniert, einfach ignorieren.

FazitDie Sicherungsmöglichkeiten von Wind-ows Server 2008 und R2 ermöglichenerstmals die direkte Wiederherstellung ei-ner Sicherung auf der reinen Hardware,ohne vorher ein Betriebssystem installierenzu müssen. Zahlreiche Varianten erlaubendas Einsehen der Daten in den Siche-rungsdateien, das Booten von VHDs undsogar die direkte Installation in solche vir-tuellen Festplatten. Durch die Image-ba-sierte Sicherung ist das Backup deutlichschneller geworden und bedient sich derSchattenkopiedienste, um Datenintegritätherzustellen. (ln)


52 Mai 2011 www.it-administrator.de


irewalls sind in der Sicherheits-branche längst zu einem Standard

geworden. Der Begriff wird jedoch häu-fig mit “ab Werk sicher” gleichgesetzt.Dabei wird außer Acht gelassen, wie die-se Firewall funktioniert und welcher Ver-kehr wie tief (auf dem OSI-Schichten-modell) untersucht wird. Selbst eineFirewall, die auf Schicht 4 arbeitet, kannnicht das komplette TCP-Paket unter-suchen. So ist es möglich, dass beispiels-weise ein verwundbarer, weil zum Bei-spiel nicht richtig gepatchter Webserver(der richtigerweise per Port 80 oder 443aus dem Internet angesprochen wird) mitSchadcode angegriffen wird, ohne dassdie Firewall etwas dagegen tun kann.Denn diese verrichtet nur ihren Job: dieWeiterleitung von Paketen, basierend aufkonfiguriertem Regelwerk.

Um also Datenverkehr in der Tiefe unter-suchen zu können, muss eine Komponenteden Traffic auf der Applikationsschichtprüfen können. Aktuell gibt es wenige Fi-rewall-Hersteller, die das nicht können.Da werden den eigenen Firewalls IDS-und IPS-Funktionen verpasst, die dannauf ausgewählten und weitverbreitetenPorts wie POP3, SMTP oder HTTP An-griffe und Schadcode erkennen und blo-ckieren sollen. Kombiniert mit einer Gate-way-Antivirus-Komponente nennt sich

dies zum Beispiel “Unified Thread Ma-nagement”. Hersteller entwickeln dieseSchnittstellen zumeist nicht selbst, sie wer-den von anderen kommerziellen Anbieterneingekauft. Andere Hersteller benutzendafür selbst auch Snort. Bei der Beschaf-fung solcher oder ähnlich gelagerter Pro-dukte sollten Sie darauf achten, dass IDSund IPS voneinander getrennt sind undder eigentliche Hersteller der IDS/IPS-Lösung bekannt ist.

Open Source versuskommerzielle AngeboteNahezu alle kommerziellen Lösungenarbeiten signaturbasiert. Das heißt, dieIDS/IPS-Lösung ist nur so schlau wiedie Signatur. Es gibt keine oder einge-schränkte Möglichkeiten, eigene Filteroder Anomaliemuster zu definieren. DieIndustrie gibt Ihnen als Unternehmendamit vor, was eine Anomalie ist undwas nicht.

In der Folge können manche Unterneh-men selbst einfachste Anforderungen anihr kommerzielles IDS nicht umsetzen.Zum Beispiel versuchen viele Firmen,Datenverkehr spezieller Anwendungen,die auf Port 80 (HTTP) nach außen kom-munizieren, zu unterbinden. Port 80 ansich abzuschalten ist keine Option, dasIDS/IPS bietet – bis auf die üblichen Ver-

dächtigen wie ICQ oder Skype – keineweitere Konfiguration an. Mit Snort bauenSie sich hingegen Ihren eigenen Filter,basierend auf den im Netzwerk aktivenApplikationen. Ein weiteres Argument ist,dass viele Administratoren nicht mit Linuxals Betriebssystem und dessen Verwaltungper Konsole arbeiten möchten. So bietetSnort eine grafische Oberfläche an, aufdie wir im weiteren Verlauf dieses Work-shops eingehen werden.

Drei EinsatzvariantenFür IDS/IPS-Lösungen kommen im Kernnur drei verschiedene Implementierungenin Frage: Gateway-, Netzwerk- und Host-basiert. Die Gateway-basierte Implemen-tierung ist die gängigste. Am Übergangvon einer vertrauenswürdigen (LAN) zueiner potenziell gefährlichen Netzwerk-zone (DMZ, WAN) sollte ein IDS/IPS injedem Fall positioniert sein. Aufgrund derweiten Verbreitung wird sich dieser Work-shop mit dieser Art näher beschäftigen.

In großen und verteilten Netzwerken bie-tet es sich hingegen an, viele Sensoren zuverteilen, die an zentralen oder dezentralenPunkten Netzwerk-basiert Daten sam-meln, die durch ein IDS/IPS ausgewertetwerden. Der Aufwand des Betriebes undder Implementierung ist sehr groß undin der Praxis sind solche Installationen

F

Open Source-IDS Snort aufsetzen

Schweinchen auf Datenjagd

von Florian Thiessenhusen

Basierend auf Open Source ist Snort ein kostenfreies und jederzeitveränderbares Intrusion Detection- und Prevention-System. Im Un-terschied zu herkömmlichen Angriffserkennungssystemen wird derUnterschied zwischen IDS und IPS transparent. Intrusion Detection

Systeme erkennen Angriffe, Intrusion Prevention Systeme können dieseabwehren. Ein IPS muss logischerweise auf einer Art IDS basieren. Snort

kann beides sein, abhängig von der Konfiguration. Wie Sie das System einrichten, lesen Sie in diesem Workshop.Quelle: Cory Thoman - 123RF

S52-54_ITA_0511_P02_ITA_Default 19.04.2011 11:05 Seite 2

www.it-administrator.de Mai 2011 53


verhältnismäßig selten anzutreffen. VieleGefahren für ein Netzwerk kommen voninnen, wenn auch nicht immer bewusst.Etliche Security-Hersteller haben sich des-halb darauf spezialisiert, die Endpoints undderen aus- und eingehenden Datenver-kehr, also Desktops, Notebooks und auchServer, ebenfalls Host-basiert auf Anoma-lien zu untersuchen. Die Verwaltung istebenfalls sehr aufwändig und der Nutzensteht durchaus in Frage.

Installation auf dem GatewayAuch Snort basiert grundsätzlich auf vor-konfigurierten Regelsätzen. Diese lassensich von Snort.org manuell sowie automa-tisiert herunterladen. Dafür ist jedoch eineAnmeldung erforderlich. Die in diesemWorkshop dargestellten Schritte zur Instal-lation basieren auf einer XORP-Versionaus dem Debian-Stable Repository. DieSnort-Version ist 2.7.0 – originale Regel-sätze von Snort gibt es jedoch erst ab derVersion 2.8 (die aktuellste Snort-Versionist 2.9). Um also auf einem Debian-Systemein aktuelles Snort betreiben zu können,müssen Sie dieses selbst kompilieren oderauf den Debian “testing” oder “unstable”Mirror wechseln, um die Vorteile der Pa-ketverwaltung zu nutzen. Jedoch reichendie unter 2.7.0 vorinstallierten, wenn auchälteren Regeln für die meisten Aspekte aus.Es bleibt zudem immer die Möglichkeit,eigene Regeln zu schreiben.

Nachfolgend führen wir Sie durch die klas-sischste aller Snort-Installationen auf demGateway. Jedoch sei angemerkt, dass diesnur die Installation eines IDS, also IntrusionDetection Systemes, darstellt. Unser Zielist es, verdächtigen Datenverkehr internet-seitig zu erkennen. Wir gehen für unserenWorkshop von einem Internetzugang aus,der idealerweise ein eigenes Subnetz mitöffentlichen IP-Adressen bereitstellt. Häufigkommen in der Praxis 8er-Netze zum Ein-satz, die abzüglich der Broadcastadressensechs öffentliche IP-Adressen verwalten.Ein meist vom ISP zur Verfügung gestellterRouter baut die Internetverbindung aufund leitet ankommende Anfragen abhängigvom ARP-Cache beispielsweise an die Fi-rewall weiter, ohne den Verkehr näher zuuntersuchen. Die Firewall ihrerseits nutztWAN-seitig konfigurierte, öffentliche IP-Adressen und leitet Anfragen an LAN- undDMZ-Hosts weiter – abhängig von NAT,ARP und Firewall-Konfiguration. Auf die-ser Stufe findet die Paketuntersuchung statt.Ein IDS/IPS sollte dabei nahezu ungefil-terten Datenverkehr untersuchen.

Im Unterschied zur Ausgangslage kann auchnoch ein Hub vor dem Router platziertwerden. Ein Hub ist kostengünstig und hatden Vorteil, dass er eingehende Anfragen analle Ports schickt, ohne zu wissen, wo sichder Zielhost befindet. In LANs sollten Swit-ches Hubs vorgezogen werden, da diese

eine eigene Datenbank pflegen, welcherHost an welchem Port angeschlossen ist. Indiesem Fall machen wir uns diese sicher-heitskritische Funktionalität des Hubs zuNutze und schließen dort das Snort-Systemsowie den Router an (alternativ ginge auchein Switch mit Mirrorport, aber ein Hubist für solche Zwecke mehr als geeignet undwesentlich günstiger).

Um nun die notwendigen Pakete zu instal-lieren, beginnen Sie mit dem Kommando

# apt-get install mysql-server

Merken Sie sich die eingegebenen Authen-tifizierungsdaten gut. Weiter geht es mit

# apt-get install apache2

# apt-get install php5

# apt-get install snort-mysql

Es erscheint ein Assistent, den Sie erstmaldurchklicken können. Auf die Frage, wel-ches das “Home-Net” ist, geben Sie fürunser Beispiel 192.168.0.0/16 an. DiesesNetz stellt das zu Beschützende dar. DieseEinstellung lässt sich später noch ändern.

Acidbase stellt die Weboberfläche für dasSnort-Logging dar und benötigt somitZugriff auf die Datenbank. Im Laufe derInstallation mit

# apt-get install acidbase

werden Sie nach dem MySQL-Passwort(siehe oben) und dem Base-Passwort ge-fragt. Auch hier empfiehlt sich, die Datenaufzuschreiben. Acidbase ist jedoch nichtmit Abschluss der Paketinstallation fertigeingerichtet, vielmehr müssen Sie noch

Das Snort-System benötigt zwei Interfaces: eines zumEmpfang der Daten und eines als Management-Inter-face. Das Interface, das direkt am Hub angeschlossenwird, läuft im Promiscuous Mode. Des Weiteren wirdein aktuelles Debian-Release (aktuell Lenny) genausovorausgesetzt wie ein Editor (vim). Das Zielsystem istein in MySQL loggendes Snort, das durch eine webba-sierte Lösung überwacht wird. Des Weiteren sind zweiNetzwerkinterfaces vorhanden, optimalerweise läuftdie Hardware physisch und nicht virtuell.


Bild 1: Die webbasierte Anzeige der Alarme in der “BASE”


54 Mai 2011 www.it-administrator.de


das Datenbankschema importieren. Diesgeschieht über das Webinterface, das Sievorher noch konfigurieren sollten. ÖffnenSie hierfür die entsprechende Datei mitdem Editor über den Befehl

# vi /etc/apache2/sites-available/

default

Ganz am Ende der Datei fügen Sie nunfolgenden Inhalt ein beziehungsweiseübernehmen diesen aus der Datei/etc/acidbase/apache.conf:

<IfModule mod_alias.c>

Alias /acidbase “/usr/share/

acidbase”

</IfModule>

<DirectoryMatch /usr/share/

acidbase/>

Options +FollowSymLinks

AllowOverride None

order deny,allow

deny from all

allow from all

<IfModule mod_php4.c>

php_flag magic_quotes_gpc Off

php_flag track_vars On

php_value include_path

.:/usr/share/php

</IfModule>

</DirectoryMatch>

Anschließend folgen Sie dem Hinweis ausdem Acidbase-Setup und konfigurierendas Snort-spezifische Datenbanklayout:

# cd /usr/share/doc/snort-mysql

# zcat create_mysql.gz | mysql -u

snort -D snort -p{Passwort}

Das Passwort muss ohne Leerzeichenangefügt werden und stellt das Acid-

base-Passwort dar. Geben Sie nun diebeiden Kommandos

# rm /etc/snort/db-pending-config

# dpkg —configure —pending dpkg-

reconfigure snort-mysql

ein. Der Snort-Assistent startet anschlie-ßend erneut. Versichern Sie sich, dass dasInterface, das von Snort überwacht wirdund am Hub angeschlossen ist, auf “Pro-miscuous” eingestellt ist. Achten Sie da-bei darauf, dass es sich um das InterfaceETH1 handelt. ETH0 ist das Interface,von dem aus Sie per SSH oder Webma-nagement zugreifen. ETH1 sollten Siein diesem Zusammenhang auch nichtkonfigurieren, etwa mit der Vergabe ei-ner IP-Adresse.

In gleichem Assistent wird auch die Da-tenbankverbindung abgefragt. Diese gebenSie ein und lassen Snort die Verbindungüberprüfen. Um ETH1 beim Hochfahrenauch starten zu können, konfigurieren wirnoch ein Startskript mit dem Befehl

# mv /etc/rc2.d/S20snort

/etc/rc2.d/_S20snort

# vi /etc/init.d/runsnort.sh

und fügen den folgenden Inhalt in run-snort.sh ein

Ifconfig eth1 up -arp

/etc/init.d/snort start

# chmod 750 /etc/init.d/runsnort.s

# ln -s /etc/init.d/runsnort.sh

/etc/rc2.d/S95runsnort

Abschließend testen wir Snort mit

# snort -i eth1 -v

Jetzt sollten eine Menge Pakete über dieKonsole rauschen. Um die Ergebnisse zusehen, prüfen wir die installierte Webkonsole(Acidbase). Auf dem Willkommensbild-schirm wird vor einer unvollständigen In-stallation gewarnt: “Database appears to beincomplete/invalid”. Mit einem Klick auf“Create BASE AG” schließen Sie die In-stallation ab. Erfolgsmeldungen sollten nuneingeblendet werden und die Lösung wartetanschließend auf Alerts von Snort. Um Snortzu testen, reicht ein NMAP-Scan von einemexternen System auf eine vom Router be-reitgestellte öffentliche IP-Adresse:

# Nmap -sS {SNORT-IP}

Das Logfile # Nmap -sS {SNORT-IP} zeigtdie in Bild 2 dargestellten Ergebnisse.

Parallel wird dieser Alarm auch im Web-interface Acidbase aufgelistet. Damit istSnort fertig eingerichtet.

FazitEin IDS/IPS muss nicht teuer sein. Mitein wenig technischem Verständnis kön-nen Sie ein komplett kostenloses Systembasierend auf Snort aufsetzen – eine sehrgute Alternative ist es allemal. Für etwasunerfahrene Administratoren oder Sys-temverantwortliche empfiehlt sich eineInstallation, wie wir sie in diesem Artikelvorgeschlagen haben – in Form eines IDS,um Erfahrung zu sammeln. Ein sehr gro-ßer Vorteil von Snort ist auch die Mög-lichkeit, eigene Regeln zu programmieren,was bei den meisten kommerziellen Sys-temen nicht funktioniert. (dr)

Florian Thiessenhusen ist IT-SecurityConsultant bei der adMERITia AG.Seinen Blog finden Sie unter:blog.port389.de

Bild 2: Die Ausgabe des Logfiles durch den Befehl Nmap -sS


56 September 2011 www.it-administrator.de

P R A X I S I S y s t e m e

ie allermeisten Firmen sind sich be-wusst, dass ein Ausfall der IT gra-

vierende Folgen auf den Unternehmens-erfolg haben kann. Die fatalen Auswir-kungen, die ein Angreifer anrichten kann,werden jedoch meist erst im Ernstfall of-fensichtlich. IT-Security ist deshalb einwichtiges Thema, um das sich nicht nurAdministratoren, sondern auch die Ge-schäftsführung und jeder einzelne Mitar-beiter kümmern muss. Durch die zu-nehmende Vernetzung fällt es einem Ein-dringling heute leichter, für Unheil zu sor-gen, als noch vor ein paar Jahren. Das Out-sourcing und die Verlagerung der IT in dieCloud haben diesen Effekt noch weiterverschärft. Auch die Netzwerkkonvergenzspielt bösen Zeitgenossen in die Hände.Ließ sich etwa bisher bei einem Versagendes Internets noch das Telefonnetz benut-zen und so etwa der Ausfall der E-Mail-Kommunikation durch das Fax kompen-sieren, wird es diese Möglichkeit inZukunft nicht mehr geben.

Angriffsarten und SicherheitszieleWährend es bei der traditionellen Telefo-nie spezieller Hard- und Software zumAusspionieren und Manipulieren der Da-

tenübertragung bedarf, ist es einem An-greifer bei VoIP möglich, auf normale undweit verbreitete Hacker-Werkzeuge zusetzen. Ist beispielsweise bei ISDN einspezieller Hardware-Analysator notwen-dig, um den Datenstrom aufzuzeichnenund zu analysieren, liefert für SIP undRTP das kostenlose Werkzeug WireSharkdie gleiche Funktionalität. Dadurch ver-ringert sich der Aufwand, den ein Cyber-krimineller betreiben muss, um ein VoIP-System zu infiltrieren oder zu schädigen.Somit entstehen folgende Bedrohungenfür die VoIP-Umgebung:- Denial-of-Service: Ein solcher Angriff

bedroht die Verfügbarkeit eines Systems.Meist wird dabei ein System mit sinn-losen Anfragen beschäftigt und hat sokeine Zeit mehr für seine eigentlichenAufgaben. Eine zweite Möglichkeit istdas gezielte Außer-Gefecht-Setzen vonApplikationen durch ungültige oderunübliche Anfragen, die vom Systemnicht richtig verarbeitet werden könnenund zu einem Absturz führen.

- Man-in-the-middle: Hierbei sitzt derAngreifer zwischen den eigentlichenNetzteilnehmern. Durch diese für ihnpositive Position ist der Eindringling inder Lage, weitere Attacken zu startenund sich zudem für einen der beidenKommunikationspartner auszugeben.

- Abhören: Das Abhören gefährdet dieVertraulichkeit der Datenübertragung.

Durch das Mitschneiden von gespro-chener Kommunikation kann ein Ein-dringling entweder an sensible Datengelangen oder Informationen für wei-tere Betrugsversuche erhalten.

- Replay-Attacken: Dabei wird eine vorheraufgezeichnete Übertragung erneut ab-gespielt. Die Nachricht kann dabei vordem Abspielen verändert worden sein.

- Manipulation: Manipulation ist entwederein Angriff auf die übertragenen Datenoder die beteiligten Netzwerkgeräte. BeiErsterem werden die Daten bei derÜbertragung abgefangen, verändert undabschließend gesendet. Bei Letzteremverändert ein Angreifer das Gerät so, dasses zum Beispiel Daten automatisch ko-piert, unverschlüsselt auf der Platte ablegtoder einfach den Dienst versagt.

Es gibt also zahlreiche Angriffe, gegen dieIT-Verantwortliche ein System schützenmüssen. Wichtig dabei ist, dass eine Um-gebung gegen alle möglichen Schwach-stellen geschützt ist – denn eine einzigeSicherheitslücke reicht aus, um die ge-samte Infrastruktur zu gefährden. Dahergilt es, folgende Sicherheitsziele im VoIP-Netz zu etablieren:- Vertraulichkeit: Dies bedeutet, dass sen-

sible Daten vor dem Zugriff unberech-tigter Dritter geschützt werden. Bei VoIPsind dies vor allem die Vertraulichkeit derGespräche und der Verbindungsdaten.

D

Sicherheit bei Voice over IP

Brandschutz für die Internet-Telefonie

von Mathias Hein

Nutzer sind vom traditionellen Telefonnetz sowohl Verläss-lichkeit als auch Sicherheit gewohnt. Doch mit Voice over IP

übertragen sich die Gefahren aus dem Netzwerkumfeld auchauf die Telefonie – etwas das Abhören von Gesprächen. Des-

halb ist es gerade bei der Implementierung von VoIP im Unter-nehmen besonders wichtig, die relativ neue Technologie im

Hinblick auf Sicherheit unter die Lupe zu nehmen.Quell

e: An

ton Gv

ozdik

ov –

123R

F


www.it-administrator.de September 2011 57


- Integrität: Die Integrität der benutztenDaten und Geräte muss sichergestelltwerden, um beide vor einer Manipula-tion durch Dritte zu schützen. Bei VoIPist dabei die Integrität der Signalisie-rungsdaten, der Netzwerkgeräte (Soft-ware, Konfigurationsdateien) und derVerbindungsdaten wichtig.

- Verfügbarkeit: Besonders bei kritischenAnwendungen (etwa einem Anruf beieiner Notrufzentrale) ist oftmals einehohe Verfügbarkeit, selbst unter widri-gen Umständen, erforderlich. Dabei istes nicht nur wichtig, dass die Applika-tion im Normalbetrieb oder bei Be-lastungsspitzen läuft, sondern auch beiAngriffen ihren Dienst verrichtet. Ver-fügbarkeit ist bei VoIP kritisch, da ge-genüber klassischen TK-SystemenComputerviren und Denial-of-ServiceAngriffe aus dem Internet die Verfüg-barkeit gefährden.

- Verbindlichkeit: Dies heißt, dass überIP-Telefonie getätigte Transaktionenrechtskräftig sind.

- Authentifizierung: Authentifizierungmeint die Überprüfung, ob eine Per-son wirklich die ist, die sie vorgibt zusein. Dabei ist zwischen verschiedenenAuthentifizierungsmethoden zu un-terscheiden.

- Zugriffskontrolle /Autorisation: WelcheRechte werden einem User zugeord-net? Entscheidend ist hierbei die Gra-nularität der Rechtevergabe – sprichwie genau können wem welche Rechtezugewiesen werden.

RTP mit SchwächenDie Übermittlung der Sprachdaten erfolgtüber RTP (Real-Time Transport Proto-col). Dieses wird durch den Standard RFC3550 näher definiert. Um eine vertraulicheÜbertragung der Daten zu ermöglichen,beschreibt RFC 3550 einen Weg zur Ver-schlüsselung der Daten. Die Methodenzum Schlüsselaustausch gibt die Spezifi-kation jedoch nicht explizit vor. Gravie-render ist jedoch, dass das Protokoll dieAuthentifizierung der Pakete ebenfalls of-fen lässt. Dies ist eine erhebliche Sicher-heitslücke im Protokoll, die die Manipu-lation der übertragenen Daten ermöglicht.

Zudem ist auch die Verschlüsselungnicht wirklich sicher: Die Norm schlägt

den DES-Algorithmus als Default-Al-gorithmus vor, der mit einer Schlüssel-länge von 2 hoch 56 nach heutigen Ge-sichtspunkten nicht mehr als sicher gilt.Als Cipher Mode kommt der ebenfallsals problematisch bekannte CBC zumEinsatz. Von ihm ist bekannt, dass er nurdann (oder besser: höchstens dann) si-cher ist, wenn er gemeinsam mit einer(kryptographisch starken) Zufallszahl alsInitialisierungsvektor verwendet wird.Der Initialisierungsvektor (IV) für dieVerschlüsselung besteht bei RTP aberaus den Feldern “Sequence Number”und “Timestamp”, die zu Beginn derÜbertragung mit Zufallszahlen beschrie-ben werden. Allerdings werden bei zukünftigen Paketen beide Felder hoch-gezählt, was die Qualität des IV ver-schlechtert und damit die Gesamtsicher-heit ver r inger t . Aufg rund dieserDesign-Schwächen ist eine Verwendungder in der RFC 3550 beschriebenenVerschlüsselung nicht ratsam. Stattdessensollten IT-Verantwortliche auf SecureRTP oder auf bestehende Sicherheits-standards wie IPsec (das allerdings auchdas Verschlüsseln ohne Authentifizierenerlaubt) zurückgreifen.

SRTP sorgt für mehr SicherheitDas Ziel von Secure Real-Time Trans-port Protocol (SRTP) ist es, RTP undRTCP so zu erweitern, dass die Vertrau-lichkeit der Kontroll- und Nutzdaten ge-genüber Dritten gesichert ist. Zumindestist die Integrität der Kontrolldaten ge-währleistet. Ein Vorteil von SRTP ist dieleichte Integration in bestehendeRTP/RTCP-Protokollstacks, weil es diebestehende Headerstruktur nur um ei-nige neue Felder erweitert. SRTP ist vonder IETF im RFC 3711 dokumentiert.SRTP regelt nur, wie aus einem beste-henden Master Key die für die Authen-tifizierung und Verschlüsselung verwen-deten Session Keys beziehungsweise derSalt berechnet wird. Wie der Master Keyzwischen den Geräten verteilt wird, lässtdie Spezifikation (noch) offen.

SRTP schreibt die Verschlüsselung vonNutz- und Kontrolldaten zwingend vor.Zur Verschlüsselung sieht der RFC 3711einen 128 Bit langen AES-Algorithmusvor. Dieser kann entweder im bewähr-

ten Counter Modus oder im für UMTSneu entwickelten F8-Verfahren betrie-ben werden. Da der Counter Modus derbesser erforschte Algorithmus ist undbei sachgemäßer Verwendung keine Si-cherheitslücken bekannt sind, ist dieserbei kritischen Anwendungen dem F8-Algorithmus vorzuziehen. Bei beidenVerfahren kommt zusätzlich zum eigent-lichen Schlüssel ein Salt zum Einsatz,um Wörterbuchangriffe zu erschweren.Um die Daten vor Verfälschungen zuschützen, werden die verschlüsselten Da-ten mit einem 128 Bit HMAC-SHA-1-Algorithmus und dem speziellen Au-thentifizierungsschlüssel gehasht. AlsSchutz vor Replay Attacken ist ein In-dex mit den bereits empfangenen Pa-keten vorgeschrieben. Pakete, die gemäßdieser Liste bereits einmal empfangenwurden, werden ignoriert.

Das Design von SRTP macht einendurchdachten Eindruck. Der RFC setztkonsequent auf bewährte Algorithmenund weißt ausdrücklich auf Fallstrickebei der Implementierung hin. Trotzdembleibt abzuwarten, ob der Standardwirklich sicher ist, schließlich wurdenin der Vergangenheit immer wieder De-signfehler in neuen Sicherheitsprotokol-len gefunden.

In SIP definierte SicherheitsmechanismenBei SIP sind Sicherheitsmechanismenbesonders wichtig, da das Protokoll we-niger komplex ist als H.323 und ein An-greifer Sicherheitslücken leichter ausnut-zen kann. Bereits bei der Entwicklungvon SIP war Sicherheit ein wichtigesThema. Die IETF hat aus den Problemenvon unsicheren Protokollen wie FTPund SMTP gelernt und in dem RFC3261 für SIP bereits einige Sicherheits-maßnahmen definiert.

Authentifizierung über DigestZur Authentifizierung eines Clients wurdedie HTTP-Authentifizierung an SIP an-gepasst beziehungsweise integriert. DiesesChallenge-Response-Verfahren bietet ne-ben der Authentifizierung noch einen Re-play-Schutz. Die Nachricht wird aber we-der vor Verfälschung noch vor unbefugtemMitlesen geschützt.


58 September 2011 www.it-administrator.de


S/MIMEDie Secure / Multipurpose Internet MailExtensions (S/MIME) wurden eigentlichzur sicheren Übertragung von E-Mailsentwickelt. Zur Verschlüsselung dient einhybrides Verschlüsselungsverfahren undfür die Authentizität und die Integritätder Daten kommt eine digitale Signaturzum Einsatz. Für den Schlüsselaustauschwird ein X.509 Zertifikat verwendet.Neben der Nutzdatensicherung lässt sichS/MIME auch zum sicheren Tunnelnvon SIP-Nachrichten nutzen.

RFC 3329Der RFC 3329 “Security MechanismAgreement for the Session Initiation

Protocol (SIP)” legt einen Mechanismusfest, um zwischen einem SIP-Client unddem nächsten SIP-Agent ein Sicher-heitsprotokoll zu definieren. Dabei ste-hen die Protokolle TLS, HTTP Digest,und IPSec – entweder mit manuellemoder automatischem Schlüsselaustausch– zur Verfügung. Diese Protokolle über-nehmen bei SIP die Sicherung des Da-tenkanals. Authentifizierung, Verschlüs-selung und Replay Schutz sind somitgewährleistet. Der Nachrichtenaus-tausch für die Sicherheitsvereinbarungsieht im Detail so aus:1. Der Client möchte sicher kommuni-

zieren und schickt deshalb eine Listemit den Protokollen (sowie mit derenPriorität), die er unterstützt, an denServer.

2. Der Server antwortet auf diese Anfragemit einer Liste der von ihm unterstütz-ten Protokolle.

3. Der Client benutzt den Sicherheitsme-chanismus mit der höchsten Priorität.

4. Der Client schickt die Server-Liste un-ter Verwendung des Sicherheitsmecha-nismus an den Server zurück.

5. Der Server überprüft die Liste und stelltsicher, dass sie nicht manipuliert wurde.

NAT mit ProxyEin SIP-Proxy nimmt die Signalisierungim lokalen Netz auf, passt die enthalte-nen Informationen an und leitet sie andas entsprechende Ziel im Internet wei-ter. Bei ankommenden Nachrichten er-folgt der gleiche Vorgang, nur in umge-kehrter Richtung.

NAT mit STUNDas “Simple Traversal of UDP throughNATs” (STUN, RFC 3489) erlaubt es ei-nem SIP-Client, hinter einer NAT-Box beieinem STUN-Server (der sich hinter demNAT befindet) nachzufragen, welche öf-fentliche IP-Adresse er hat. Diese kann erdann in die SIP-Nachrichten einbauen.Doch müssen zum einen die Applikationenangepasst werden, um STUN zu unterstüt-zen. Zum anderen funktioniert STUNnicht, wenn es in Kombination mit einemsymmetrischen NAT verwendet wird. DieseNAT-Variante verwendet sowohl die Quell-adresse und den Quellport als auch die Ziel-adresse und den Zielport für die Zuweisungder öffentlichen IP-Adresse. Da der STUN-Server aber nicht das eigentliche Ziel derÜbertragung ist, bleibt er wertlos.

NAT mit TURNAufgrund der Probleme mit asymmetri-schen NAT und der Einschränkung aufUDP ist derzeit Traversal Using RelayNAT (TURN) in Entwicklung. Hierbeiwird die Abfrage mit einem Mediacontrol-ler, an den die Nutzdaten geschickt werdenkönnen, kombiniert. Die Applikationenmüssen aber weiterhin angepasst werden.

FazitSicherheit im Bereich von VoIP ist möglich.In der Praxis liegen jedoch in vielen VoIP-Installationen die größten Sicherheitsmän-gel. Gerade hier vernachlässigen viele IT-Verantwortliche oft das Thema Sicherheitoder sind (noch) nicht ausreichend dafürgeschult und sensibilisiert. (ln)

Der Einsatz des STUN-Protokolls erlaubt es einem SIP-Client, Anfragen an einen STUN-Server zu stellen, auch wenn sich dieser hinter dem NAT befindet

Durch die große Verwandtschaft mit HTTP gibt es zahl-reiche Schnittstellen, über die sich erweiterte SIP-Dienste programmieren lassen:

RufumleitungEin Anruf soll an das Telefon des Users durchgestelltwerden. Wenn das Telefon besetzt ist, soll der Anruferan die Mailbox verwiesen werden. Das Gleiche sollauch geschehen, wenn der Angerufene nach dreimali-gem Läuten nicht reagiert. Ausgenommen davon sindAnrufe vom Vorgesetzten, diese sollen statt an dieMailbox an das Mobiltelefon des Benutzers weiterge-leitet werden.

BenutzerlokalisierungKommt ein Anruf herein, soll das System in einer Listemit möglichen Aufenthaltsorten des Benutzers nachse-hen. Je nach Art des Anrufs (beruflich, privat et cetera)soll der Anruf bei den dafür geeigneten Terminals anläu-ten. Wenn der Benutzer an mehr als einem Terminalabhebt, soll eine Liste mit diesen Terminals an den An-rufer zurückgeliefert werden.

SIP-CGIDas Common Gateway Interface ist ebenfalls aus derHTTP-Welt entliehen, allerdings wurde für SIP eine ei-genständige, stark erweiterte Version entwickelt.

SicherheitsaspekteDas Common Gateway Interface ist bereits bei HTML einbeliebter Angriffspunkt für Hacker. So gibt es zum Bei-spiel zahlreiche Angriffe, die mit Buffer Overflows arbei-ten und den Webserver zum Abstürzen bringen könnenoder ihn dazu bringen, fremden Code auszuführen. Obes bei SIP genauso ist, lässt sich aufgrund der geringenVerbreitung noch nicht absehen, jedoch scheinen SIP-Servlets eine sicherere Alternative zu bieten.

Erweiterte SIP-Dienste


44 Oktober 2011 www.it-administrator.de


Typische IT-Sicherheitsirrtümer im Unternehmen

Jenseits der Firewallvon Nils Kaczenski

IT-Sicherheit heißt Firewall! Dieses Diktum hat schon lange seinen Wert verloren. In Zeiten von WLAN, VPN

und Push-Mail ist das Innen und Außen eines Netzwerks gar nicht so einfach zu bestimmen. Doch sogar innerhalb der

Gebäudemauern lauert Gefahr. Und vor Bedienungsfehlern schützt kein Gerät der Welt. IT-Administrator beleuchtet

daher die Aspekte der IT-Sicherheit, die auch von Administratoren gerne übersehen werden.

Quelle

: 123

RF

as Thema Sicherheit in der IT ist einhochgradig komplexes technisches

Thema. Obwohl die meisten Admins dieserAussage ohne Zögern zustimmen würden,lohnt ein zweiter Blick. Ist IT-Sicherheitwirklich technisch? Tatsächlich werden diemeisten Computernetzwerke doch vonMenschen betrieben und von Menschengenutzt. Genau betrachtet, dürfte es auf derWelt kein einziges Netz geben, auf das diesnicht zutrifft. Wo Menschen arbeiten, pas-sieren menschliche Fehler.

In der Praxis eines IT-Consultants für IT-Sicherheit gibt es immer wieder Situatio-nen, in denen menschliche Schwäche dieteure und leistungsfähige Technik ins Ab-surde führt. Geradezu klassisch ist etwa dieSituation, in der der Berater den Kundenum einen Netzwerkzugang bittet, um dasSecurity-Audit zu beginnen. Fast immerbekommt der Berater dann ein Konto im“Gott-Modus”, das auf allen Systemenüber volle administrative Rechte verfügt.Das Kennwort des Kontos entspricht hin-gegen nur selten diesem Modus – der Pro-totyp ist das Kennwort “service” für denAccount namens “service”.

Die Grenzen verschwimmenSo mancher Consultant stellt sich dann dieFrage, ob der Kunde wirklich einen hoch-gerüsteten Firewall-Cluster braucht, umsich vor Angreifern zu schützen, wenn ergleichsam seinen Schlüssel unter der Fuß-matte ablegt. Womit die Frage aufkommt:Wozu überhaupt eine Firewall? Denn im-

mer noch setzen erstaunlich viele Kundendas Thema IT-Sicherheit mit dem Betriebeiner teuren Firewall gleich. Diese wirdmeist dazu genutzt, das Firmen-Netzwerkvom Internet zu trennen. Auch hier lohntallerdings ein zweiter Blick: Gibt es diesesInnen und Außen überhaupt noch? Vorfünfzehn Jahren war die Trennung zwischendem LAN und dem Rest der Welt tatsäch-lich noch einfach. Aber wo endet das in-terne Netz heute? An der Firewall zum In-ternet? Auf dem Notebook des Kollegenaus dem Außendienst, der seine Nächte inHotels verbringt? Auf den vielen Note-books seiner weiteren Kollegen? Und dann

sind da noch die Dienstleister, die zur Fern-wartung VPN-Zugänge nutzen, ein Zooan Smartphones mit Zugriff auf das Mail-system und Vertriebsdokumente und dieuniverselle Netzwerkerweiterung namensWLAN. Ganz zu schweigen von der Web-Applikation in der DMZ, die sich Datenaus der internen Datenbank holt.

Das Innen und das Außen des Firmen-Netzwerks ist heute nicht mehr zweifels-frei zu bestimmen, und noch weniger istes über einen einheitlichen Mechanismusvoneinander zu trennen. Wege auf interneRessourcen gibt es viele, und die Praxis

D

Bild 1: Wo endet eigentlich das Netzwerk? Die Grenze zum Internet stellt heute nur einen von vielen Zugangswegen dar. VPN-Zugänge für Außendienstler oder Fremddienstleister bilden ebenso

ein Risiko wie Smartphones, das WLAN oder Web-Applikationen mit Verbindung ins LAN.

S44-47_ITA_1011_P06_ReinerSCT_ok_ITA_Default 26.09.2011 16:59 Seite 2

www.it-administrator.de Oktober 2011 45


zeigt allzu oft: Wer es schafft, ein Systemzu kapern, hat schnell die Grenzen zu al-len anderen Systemen überwunden.

Ein Kennwort für alle(s)Auch nach über 50 Jahren kommerziellerIT-Nutzung sind fast alle Zugänge zu kri-tischen Computersystemen mit Kennwör-tern geschützt. Kennwörter tragen ihrenNamen wohl auch, weil diese Wörter jederkennt. Alle Mitarbeiter einer Firma dürftennach kurzem Überlegen mehrere Systemenennen können, für die mehrere Kollegendenselben Zugang verwenden. Und leidertrifft das auch auf Administratoren zu: Wermacht sich schon die Mühe, für neue Sys-teme neue Kennwörter einzurichten? Sokommt es schnell zu Situationen, in denenein Außenstehender ein einzelnes Kenn-wort genannt bekommt und damit sämt-liche schutzwürdigen Daten einer Firmaabgreifen oder manipulieren kann. Derzweite Effekt solcher Einweg-Phrasen:Niemand traut sich mehr, ein solchesKennwort zu ändern, denn da es ja überallgenutzt wird, läuft man Gefahr, das gesamteNetzwerk dadurch lahmzulegen.

In allerlei Ratgebern kursieren Hinweise,wie solche Kennwörter am besten aufge-baut sein sollten, damit sie Brute Force-An-griffen widerstehen. Tatsächlich brauchenAngreifer in der Realität so gut wie nie ro-he Gewalt, denn Kennwörter sind fast im-mer trivial und damit schnell zu erraten –und wurde eines davon aufgedeckt, stehtdie Tür zu zahlreichen weiteren Systemenoffen. Weisen etwa externe Berater oderAuditoren die IT-Verantwortlichen in ihrenBerichten auf diese Probleme hin, ist schnellzu hören: “Mit unseren Anwendern könnenwir keine komplexeren Kennwörter um-setzen.” In Wirklichkeit wurde dies allerdingsoft gar nicht ausprobiert – nicht selten ver-birgt sich hinter dieser Ausrede nur die Be-quemlichkeit der Administratoren. Die Er-fahrung zeigt vielmehr: Sind die Anwendervon vornherein mit im Boot, zeigen sie sichmeist kooperativ.

Dabei ist Abhilfe so leicht. Denn bei Kenn-wörtern kommt es schlichtweg auf dieLänge an. Akrobatik mit kryptischen Son-derzeichen können Sie sich dagegen weit-gehend sparen, wenn Sie Kennwortsätzebenutzen, die mehrere Wörter mit Leer-

zeichen und Satzzeichen umfassen. DerSatz “Ja, heute melde ich mich sicher an!”ist per Brute Force mit heutigen Rechnernkaum zu knacken, dabei aber erstaunlichleicht zu tippen – auch wenn nur dieSternchen dabei zu sehen sind – und vorallem noch besser zu merken.

Administratoren überallEng verwandt mit dem Problem des uni-versalen Kennworts ist die so genannte“Königsfamilie”. Immer noch gibt es inden meisten Netzwerken nur Herrscher,aber keine Anwender. Der Grund: Alle Be-nutzer verfügen über Administratorrechteauf ihren Computern. Dabei ist es längstkein Geheimwissen mehr, dass in einerWindows-Domäne ein lokaler Admin sichselbst mit wenig Aufwand zum Domänen-Admin machen kann. Ähnliches gilt üb-rigens auch für andere Betriebssysteme.Übrigens sind die Windows-“Hauptbe-nutzer”, auf die viele Admins gern auswei-chen, wenn sie ihre User nicht zu Adminsmachen wollen, nichts weiter als Adminis-tratoren im Wartestand. Die Angriffe, mitdenen ein Hauptbenutzer zum uneinge-schränkten Admin wird, sind ebenso simpelwie bekannt. Glücklicherweise hat Micro-soft dem mit Windows 7 und Vista einenRiegel vorgeschoben, denn dort gibt es dieGruppe zwar noch, aber sie besitzt keineerweiterten Rechte mehr.

Noch einfacher machen es viele Admi-nistratoren den Angreifern, wenn sie dasvordefinierte Administrator-Konto ver-wenden, das Windows immer vorhält –für Rechner unter Linux und Mac giltdasselbe, nur heißt das Konto dort “root”.Neben seinen Adminrechten hat es nochein paar weitere attraktive Eigenschaften,die es sehr bequem machen – es wird inden meisten Umgebungen auch nach fal-scher Kennworteingabe nicht gesperrt,es unterliegt nicht der User AccountControl (UAC) und es darf EFS-ver-schlüsselte Daten entziffern. Immer nochfinden sich in Unternehmen zahlreicheDienste, die sich mit dem Administrator-konto anmelden, weil der Systemverwal-ter es versäumt hat, ein eigenes Dienst-konto zu erzeugen. Kennt ein EinbrecherLücken in solchen Diensten, hält er denGeneralschlüssel zum Netz praktischschon in der Hand.

Auch hier ist die Lösung sehr einfach: Be-nutzer sind keine Admins und arbeitennicht mit Administratorkonten. Für diealltägliche Arbeit benutzen sie nur Stan-dard-Anmeldekonten ohne erhöhte Rech-te – auch wenn sie dem IT-Team ange-hören. Administrative Privilegien sind nurseparaten Konten zugeordnet und werdenausschließlich für einzelne Tätigkeiten ge-nutzt. Die Windows-Funktion “Ausführenals” beziehungsweise die oft geschmähteUAC machen das sehr komfortabel. Demvordefinierten Administrator- oder root-Account weisen Sie zudem ein sehr langesKennwort zu und benutzen es nur imNotfall, aber nie im Tagesgeschäft.

Segmentieren, aber sicherWer sein Netzwerk in mehrere Segmenteunterteilt, kann damit ein deutlich höheresSicherheitsniveau erreichen. Die Idee: Solltees einen Einbruch in eines der Segmentegeben, so schützt die Grenze zum nächstenAbschnitt davor, dass das Problem gleichdas ganze Netzwerk betrifft. Der möglicheSchaden bleibt so auf einen Teil der Um-gebung beschränkt. Fast jedes Unterneh-men setzt dieses Konzept um, wenn es etwaeine DMZ betreibt – eine DemilitarisierteZone, heute auch gern als Perimeter-Netz-werk bezeichnet. Doch auch hier lauert inder Praxis eine Falle. Selbstverständlich er-höht die Unterteilung des Netzwerks denVerwaltungsaufwand, und da möchte somancher Admin es sich etwas bequemermachen. Also richtet er auf den DMZ-Sys-temen seine Zugänge mit denselben Kon-ten-Informationen ein wie im LAN. Dum-merweise wissen Hacker das auch, und soführt der erste Schritt nach dem Ausspähender Anmeldedaten auf ein System in einemanderen Netzwerkabschnitt, um zu prüfen,ob der Login dort auch gelingt. Erschüt-ternd oft glückt dies.

Faktisch heben IT-Verantwortliche durcheine derartige Konfiguration die Netzwerk-trennung auf, denn natürlich bilden ge-meinsame Anmeldedaten eine nachträglicheVerbindung. Noch kritischer ist der Aufbaueiner Vertrauensstellung zwischen LAN undDMZ: Viele Unternehmen möchten An-wendungen im Internet bereitstellen, dieauf Daten aus dem internen Netzwerk zu-greifen. Damit das funktioniert, bauen sieeine Vertrauensstellung zwischen den


46 Oktober 2011 www.it-administrator.de


DMZ-Servern und denen im LAN auf.Auch hiermit öffnet man Einbrechern be-reitwillig die Tür. Der Ausdruck “Vertrau-ensstellung” ist ernst zu nehmen, denn einesolche Beziehung darf nur zu Umgebungenaufgebaut werden, denen sich vertrauenlässt. DMZ-Systeme gehören nicht dazu.

Eine verwandte Fehlkonfiguration findetsich in zahlreichen virtualisierten Netz-werken. Systembetreuer lassen Server ausdem LAN mit solchen aus der DMZ aufdemselben VM-Host laufen. Sie vertrauendarauf, dass die Virtualisierung die Servervoneinander abschottet. Das ist aber einTrugschluss: Es hat in der Vergangenheitimmer wieder erfolgreiche Angriffe gege-ben, mit denen Eindringlinge von einemvirtuellen Server auf einen anderen odergar direkt auf den Hostserver wechselnkonnten. Auch weiterhin gilt also: Netz-werktrennung fängt mit der Trennung derHardware an.

Virtuelle Systeme, reale GefahrenIn virtuellen Umgebungen verstärken sichSicherheitsprobleme relativ leicht. Die Ur-sache dafür liegt im Bedienkomfort, derviele Vorgänge für den Admin vereinfacht.So erfordert es nur wenige Mausklicks, umeine virtuelle Maschine (VM) zu verviel-fältigen. Auf diese Weise ist schnell ein neuerServer oder sind zusätzliche Clients einge-richtet, was früher Stunden oder Tage dau-erte. Oft jedoch werden dadurch unbedachtauch Konfigurationen und Zugänge mit-kopiert, die auf dem neuen System eigent-lich gar nichts zu suchen haben. Das fängtbei Diensten und Komponenten an, die inder Vorlage nötig waren, anderswo abernicht, und hört bei dem Administratorkontonoch lange nicht auf, das nun auf allen Klo-nen dasselbe Kennwort besitzt.

Ähnlich gefährlich ist die gängige Praxis,VM-Server mal eben durch das Kopierender virtuellen Festplattendatei zu sichern.Ein solches Backup braucht natürlich Platz,und wenn dieser knapp ist, landet die Kopieschnell irgendwo im Netzwerk. Und dortbleibt sie dann – ohne Rücksicht, wer nochalles darauf zugreifen kann. Bei Sicherheits-Checks finden Consultants immer wiedervagabundierende VM-Images mit sensiblenDaten an ungeschützten Orten. Warum sollein Angreifer sich da noch die Mühe ma-

chen, den Server zu hacken, wenn er ihneinfach mitnehmen kann?

Mehrstufige VerteidigungUm das komplexe Vorgehen zur Absiche-rung der IT zu systematisieren und ein Be-wusstsein für die vielfachen Abhängigkeitenzu schaffen, empfehlen viele Sicherheitsbe-rater, das Thema Sicherheit ganzheitlich zubetrachten und ein mehrstufiges Verteidi-gungskonzept zu entwickeln. Dieser Ansatzist unter dem Namen “Layered Security”oder auch “Defense in-depth” bekannt.

Eine gut illustrierte Annäherung haben diebeiden ehemaligen Microsoft-Sicherheits-spezialisten Jesper Johansson und Steve Ri-ley in ihrem Buch “Protect Your WindowsNetwork” beschrieben, das sich zwar aufWindows-Systeme bezieht, aber in weitenZügen auf alle modernen IT-Systeme aus-weiten lässt. Ihr Modell ähnelt dem OSI-Schichtenmodell für Netzwerke und ord-net mehrere Sicherheitsebenen hierarchischan (siehe Bild 3). Die äußerste Schicht be-zeichnet die menschliche Komponente, indem sie die Einbindung der Personen(Mitarbeiter des Unternehmens) überRichtlinien und sicherheitsbewusst defi-nierte Prozesse, also Verfahrensabläufe imUnternehmen, betont. Hier finden sich dieAspekte der Sorgfalt im Umgang mit IT-Systemen, die auch in diesem Artikel imVordergrund stehen. Die nächste Schicht“Physische Sicherheit” betrachtet die Zu-gangssicherung von Servern, Clients undNetzwerk-Equip-ment. Die Erkenntnisim Mittelpunkt lau-tet: Wer direkten Zu-gang zu einem Sys-tem hat, kann diesesleicht manipulierenoder übernehmen.Die Palette vonMaßnahmen reichtvon gesicherten Ser-verräumen über dasVerschlüsseln vonDatenträgern bis hinzu baulichen Maß-nahmen wie zumBeispiel der sabota-gesicheren Verlegungder Abluftkanäle fürdie Klimaanlage.

Der innere Bereich des Modells ordnet dielogischen Komponenten eines Netzwerksvon unten nach oben an. Er beginnt mitder Netzwerkgrenze – oder besser, wieoben beschrieben, mit den vielen Grenzen,die ein Netzwerk hat. Dazu zählen der In-ternetzugang, die Einbindung (hoffentlich)vertrauenswürdiger Rechner per VPN, aberauch Smartphones oder der fremdgehosteteWebserver. Darüber steht das eigentlicheNetzwerk beziehungsweise die Netzwerk-segmente. Je nach Unternehmen kommenhier Fragen wie Port-Authentifizierung,LAN-Verschlüsselung oder die Absicherungvon Switches in Betracht.

Die eigentlichen Computersysteme bil-den die oberen drei Schichten. Nachdem Rechner selbst, bei dem Aspektewie das Patch-Management, administra-tive Zugänge oder eine lokale Firewallrelevant sind, folgen die Anwendungen,die den Zugriff auf Daten und Funktio-nen steuern. Hier verfügen Unterneh-men oft über einen bunten Strauß anApplikationen, die bisweilen mit eigenerBenutzerverwaltung, häufig aber auchganz ohne eigene Sicherheitsmechanis-men daherkommen. Die oberste Ebenebehandelt die eigentlichen Daten, dielokal oder entfernt liegen können undeiner eigenen Absicherung bedürfen.Hier lohnt es, auch ungewohnte Per-spektiven einzunehmen. So finden sichin Sicherheitsanalysen immer wiederDatenbanken, die mit eigenen Metho-

Bild 2: Getrennt und doch verbunden: Eine Aufteilung in “sicheres“ LAN und “unsichere“DMZ ist sinnlos, wenn die Zugangskonten in beiden Segmenten identisch sind



den hochgradig abgesichert sind, derenInformationen aber in einer Datei lie-gen, auf die jeder Benutzer mit vollenRechten zugreifen darf.

FazitEs zeigt sich immer wieder: IT-Sicher-heitsprobleme sind nur zu einem sehr ge-ringen Anteil technischer Natur. Der Lö-wenanteil entfällt auf Nachlässigkeit undBequemlichkeit im Betrieb der Systeme.Die Lücken, die auf diese Weise entste-hen, sind oft so gravierend, dass techni-sches Aufrüsten an anderer Stelle sinnloswird. Es gibt Berater, die daher Firewallsfür tot erklären. Das ist natürlich nur alsProvokation zu verstehen, doch es lohntdarüber nachzudenken, ob die klassischeFokussierung auf technische Lösungennicht oft den Blick auf die Grundlagenverstellt und damit der Sicherheit einenBärendienst erweist.

Das gilt umso mehr im aktuellen Cloud-Hype, in dem herkömmliche Sicherheits-techniken versagen und die Vorstellungvon einem guten Inneren und dem bösenÄußeren zerstören. Solchen neuen He-rausforderungen kann nur begegnen, werden Blick auf IT-Sicherheit ausbreitet undsich dem Thema ganzheitlich nähert. Undwie man es dreht oder wendet: Ohnegroße Sorgfalt lässt sich kein IT-Systemsicher betreiben. Die größte Gefahr be-steht nicht in irgendwelchen Programm-fehlern, sondern in der Art, wie wir un-sere Netzwerke betreiben. (dr)

Bild 3: Mehrstufige Verteidigung: Das Sicherheitsmodell“Defense in-depth“ nach Johansson und Riley ähnelt dem OSI-Schichtenmodell für Netzwerke

Sicheres und komfortables Login mit Chipkarte statt Benutzername/Passwort.

Sichere Authentifizierung für Web-Applikationen mit neuem Personalausweis und/oder OWOK-Karte.

Mit OWOK steht eine nutzerfreundliche Komplettlösung für das Login per Chipkarte zur Verfügung, die mit geringem Aufwand schnell in beliebige Web-Applikationen eingebunden werden kann.

Freeware Softwarekomponenten Authentifizierung durch Smartcard und PIN Maximaler Datenschutz Hochsichere Verschlüsselung

Sie möchten den neuen Personalausweis für das Login in Ihrer Webanwendung nutzen?

OWOK hilft Ihnen bei der Realisierung.

Jetzt informieren:www.reiner-sct.com/owok

powered by


56 Januar 2012 www.it-administrator.de


loud-Computing ist in aller Mun-de und hat nicht nur Administra-

toren im Unternehmen erreicht – auchVerbraucher können sich vor entsprechen-den Angeboten mittlerweile kaum retten.Ob Smartphone-Hersteller, Internet-Pro-vider, Webspace-Hoster oder Notebook-Hersteller, alle haben die unterschiedlichs-ten Web-Dienste im Angebot. Microsofthat es relativ frühzeitig in die Cloud ge-trieben. Die bisherige Microsoft BusinessProductivity Online Suite (BPOS) wurdederweil von Office 365 abgelöst und er-möglicht Unternehmen und Selbststän-digen, Kommunikations- und Collabora-tion-Lösungen online zu nutzen. Ex-change für E-Mail, Kontakte und Kalen-derfunktionalitäten, SharePoint für eineWebplattform, Lync für Instant Messagingsowie Online-Konferenzen und -Meetings– all diese Angebote werden im Abonne-ment bezogen und mit einem Fixpreis proBenutzer und Monat bezahlt.

Angebote für alleUnternehmensgrößenOffice 365 gibt es für zwei Anwender-gruppen: Der Plan P1 [1] richtet sich anSelbstständige und kleinere Unterneh-men. Er enthält E-Mail, Kontakte undKalender mit 25 GByte großen Postfä-chern und eine Archivierungsfunktion.Desweiteren kann mit den Office-Web-applikationen Word, Excel, Powerpoint

und OneNote aus dem Webbrowser he-raus gearbeitet werden. Sollte der Nutzereine reguläre Office-Lizenz besitzen, las-sen sich die Desktop-Anwendungenauch in das Cloud-Angebot integrieren.Zusätzlich steht SharePoint für Webseitenund zur Dokumentenverwaltung zur Ver-fügung. Lync, der Nachfolger des OfficeCommunication Servers (OCS), bietetin einer Online-Version Instant Messa-ging, Online-Chats und -Meetings sowieAudio- und Videogespräche. Zudem istes möglich, den Desktop oder Präsenta-

tionen freizugeben. Zusätzlich ist mitMicrosoft Forefront eine Anti-Spam- undAntivirenlösung integriert. Der Plan P1unterstützt bis zu 25 Anwender, bietetOnline-Support und kostet monatlich5,25 Euro pro Nutzer.

Die Pläne E1 bis E4 [2] orientieren sichan den Anforderungen mittelständischerund großer Unternehmen. Hier sind 9bis 25,50 Euro pro Benutzer und Monatfällig. Zusätzlich zu den bereits erwähntenOptionen bieten sie erweiterte, unterneh-

C

Office 365 im Unternehmen einsetzen

Flugbegleiter durch die Cloud

von Ulf B. Simon-Weidner

Seit Mitte 2010 bietet Microsoft eine Online-Variante seiner Office- undCollaboration-Lösungen. In diesem Artikel beleuchten wir, was genau

hinter diesem Angebot steckt und wo dessen Vor- und Nachteile liegen.Außerdem gehen wird darauf ein, wie eine mögliche Strategie beimGang in die Wolke aussehen kann. So müssen sich Unternehmen etwa entscheiden, ob sie die komplette Kommunikations- und Office-Umgebung auslagern oder ob sie weiterhin eigene Server betreiben.

Bild 1: Excel im Webbrowser – fast so umfangreich wie die Desktop-Anwendung

Quelle: 123RF

S56-61_ITA_0112_P01_EAZ-E-Paper_ok_ITA_Default 20.12.2011 13:09 Seite 2

www.it-administrator.de Januar 2012 57


mensorientierte Administrationsmöglich-keiten, eine Active Directory-Integrationund 24x7-Unterstützung. Zusätzlich ver-fügt das Unternehmen über lizenzierteRechte, um im Unternehmensnetzwerklokal auf Exchange, SharePoint und Lynczuzugreifen, so dass eine Hybrid-Lösungmöglich ist. Während E1 im Gegensatzzu P1 keine Webversionen der Office-An-wendungen bietet, sind diese ab E2 für14,25 Euro voll vorhanden. Bei E3 ist für22,75 Euro dann sogar eine Lizenz für dieOffice-Applikationen auf dem Desktopdes Anwenders mit dabei. Zusätzlich lassensich ab dieser Version auch kompliziertereFormulare in SharePoint abbilden, Datenüber Visio-Services darstellen und einfacheAccess-Datenbanken per SharePoint imWeb veröffentlichen.

Lync und Exchange bieten zudem erwei-terte Archivierungsmöglichkeiten und dieIntegration von Voice-Mailboxen. Hier istzu erwähnen, dass in Deutschland auf-grund gesetzlicher Bestimmungen derzeitnicht der gleiche Funktionsumfang beiLync zur Verfügung steht wie in anderenLändern. Dies betrifft zum Beispiel dieMöglichkeit, Online-Meetings abzuhalten(in Deutschland auf 1:1-Meetings be-grenzt) sowie die in E4 enthaltene Opti-on, mit Lync eine komplette Unterneh-menstelefonanlage zu ergänzen oder sogarvollständig zu ersetzen. Diese Einschrän-kungen in Deutschland gelten pro An-

wender, das heißt in internationalen Un-ternehmen kommen die Limits nur fürdeutsche Anwender zum Tragen, währenddie meisten europäischen Nachbarn diesenBeschränkungen nicht unterliegen [3].

Alle Daten sind in der Cloud gesichertund redundant abgelegt und lassen sichim Notfall laut Microsoft wiederherstellen,ohne dass sich der Kunde groß darumGedanken machen oder zusätzliche Soft-warelizenzen für die Datensicherung er-werben muss. Microsoft garantiert eineVerfügbarkeit von 99,9 Prozent. Solltedieser Wert nicht eingehalten werden, istfest definiert, bei welchen Verfügbarkeitenwelcher Betrag zurückerstattet wird.

Arbeiten in der CloudExchange findet sich in den meisten Un-ternehmen als Lösung zur Integration vonE-Mail, Kontakten, Kalendern und vor al-lem zur Zusammenarbeit. Auch SharePointist mittlerweile vielen Administratoren undUnternehmen geläufig. Während es sichmit diesen Mitteln als einzelner Anwenderschon sehr bequem arbeiten lässt, trumpftOffice 365 primär mit der Zusammenar-beit von vielen Anwendern auf. Mit Hilfevon Lync kann der Anwender nicht nurschnell mit dem Kollegen chatten, es un-terstützt ferner den Windows Live Mes-senger. Dies äußert sich dann so, dass beiE-Mails angezeigt wird, ob der Adressatgerade online verfügbar, offline oder in ei-

nem Meeting ist. Direkt aus der Mail he-raus lässt sich dann eine Konversation perInstant Messaging, ein Telefonat oder eineVideokonferenz starten.

Das Gleiche gilt für SharePoint. Lädt einAnwender ein Dokument hoch oder wirder in einer Liste erwähnt, ist direkt nebendem Namen immer dessen Statussymbolzu sehen – auch hier lassen sich direkt Ge-spräche initiieren. Die Integration hörthier noch nicht auf: An Office-Dokumen-ten ist das gemeinsame Arbeiten möglich.Wenn zum Beispiel ein SharePoint-Do-kument in Word geöffnet wird und einanderer Anwender möchte das gleiche Do-kument bearbeiten, sehen beide Anwenderin der Statusleiste, wie viele Anwender ge-rade mit der Datei beschäftigt sind. PerMausklick kann sich der Anwender danndie Namen anzeigen lassen und eine di-rekte Konversation starten. Zusätzlichsperrt Word im Dokument einzelne Ab-sätze mit dem Vermerk, dass ein andererNutzer gerade an diesem arbeitet und führtdie Dokumentänderungen aller Anwenderautomatisch zusammen. Diese Funktiona-lität erstreckt sich auch auf Excel, Power-point und OneNote.

Neben der hohen Integration der An-wendungen steht die Office 365-Umge-bung natürlich jederzeit an jedem Ortzur Verfügung. Während der Administratorbei den lokalen Versionen von Exchangeund SharePoint erst darüber nachdenkenmuss, wie er zum Beispiel Outlook WebAccess (OWA), den Vollzugriff auf Out-look per RPC über HTTPS, oder Active -Sync für Mobilgeräte sicher veröffentlichtoder wie bei SharePoint der Zugriff vomInternet auf das Intranet eingerichtetwird, kümmert sich im Fall von Office365 Microsoft um all diese Szenarien undeine möglichst sichere Veröffentlichung.Damit ist der Zugriff von jedem Systemaus über die Administrationsoberflächenur wenige Mausklicks nach dem Ein-richten von Office 365 möglich.

Cloud-Strategien erfolgreich integrierenBetrachten wir zunächst die Sicherheitin der Cloud: Hier muss sich ein Unter-nehmen überlegen, vor welchen Angrif-fen es sich schützen möchte beziehungs-

Bild 2: Mit Lync gestaltet sich das gemeinsame Arbeiten einfacher, ob per Chat, Dokumentfreigabe oder Audio/Video-Telefonie




weise muss. Zunächst einmal ist davonauszugehen, dass Microsoft um einhöchstmögliches Maß an Sicherheit be-müht ist, da Cloud-Kunden abgeschrecktwerden oder verloren gehen könnten,wenn es hier zu Angriffen kommt. Auchdie Autonomität von Daten gegenüberanderen Office 365-Kunden sollte ge-währleistet sein. Allerdings ist hier zu be-rücksichtigen, dass Microsoft als US-Un-ternehmen dem Patriot Act unterstehtund im Zweifelsfall bei Terror-Verdachtden amerikanischen Behörden Zugriffauf sämtliche Daten gewährleisten muss.Dieser Fall dürfte eher unwahrscheinlichsein, trotzdem sollten Unternehmen fürAnwendungsfälle höchster Vertraulichkeitzusätzliche Maßnahmen oder eine eigeneInfrastruktur verwenden.

Natürlich gibt es die Möglichkeit, E-Mailszu verschlüsseln – dann haben nur Senderund Empfänger Zugriff auf die Daten.Und mittlerweile lässt sich sogar derRights Management Server in Office 365integrieren, so dass sich eine Möglichkeitbietet, sowohl Office-Dokumente als auchE-Mails mit einem zusätzlichen Schutzüber SharePoint oder Exchange in derCloud abzulegen. Die Diskussionen überSicherheit in der Cloud sind beliebigkomplex, hängen von den jeweiligen An-forderungen des Unternehmens ab unddavon, wovor die Daten geschützt werdenmüssen und inwieweit das Sicherheitsbe-dürfnis noch pragmatisch zu verwalten ist.Dies ist jedoch ein Thema, das sowohlOn- wie auch Off-Premise gilt.

Reibungslose Komplett-Migration in die WolkeEs gibt unterschiedliche Migrationswege(Deployment-Modelle) in die Cloud. Be-trachten wir zunächst die Möglichkeitenfür Unternehmen, die komplett in dieCloud umziehen wollen. Hierfür existierenunterschiedliche Migrationsmethoden. FürUnternehmen, die bisher ihre Mails mitExchange 2003 oder höher verwalten undbis zu 1.000 Benutzerkonten haben, gibtes die Cut-Over-Migration: Der von Mi-crosoft zur Verfügung gestellte Migrations-dienst liest die globale Adressliste aus undrichtet alle Benutzer und Verteilergruppenin der Cloud ein. Danach benutzt er Out-look Anywhere oder OWA, um die Mails

aus den Mailboxen initial in die Cloud zusynchronisieren. Wenn dies erfolgt ist, läuftdie Synchronisation alle 24 Stunden, umdie Unterschiede anzupassen. Haben alleMailboxen einen konsistenten Stand,kommt es zu einer Meldung an den Ad-ministrator, damit dieser den Mail-Flussmittels DNS-Eintrag direkt in die Cloudlenken und die Benutzer umstellen kann.

Für größere Unternehmen bietet Micro-soft in den Enterprise-Plänen E1 bis E4die “Staged Migration” (stufenweise Mi-gration) an. Hierbei kann der Adminis-trator per CSV-Datei bestimmte Kontendefinieren, die in die Cloud geschobenwerden sollen. So ist es etwa möglich,zum Beispiel abteilungsweise oder nachStandorten vorzugehen. Bei der StagedMigration ist zunächst ein Tool zu instal-lieren, das die Benutzerkonten und Ver-teiler vom lokalen Active Directory indie Cloud synchronisiert (DirSync). Dannkommen CSV-Liste und Migrationsser-vice zum Einsatz und synchronisieren ge-nauso wie bei der Cut-Over-Migrationdie im CSV angegebenen Mailboxen indie Cloud. Daher greift auch diese Me-thode nur dann, wenn bisher mindestensExchange 2003 genutzt wurde.

Für Unternehmen, die andere Mailsys-teme als Exchange nutzen und in dieOffice 365-Cloud migrieren wollen,kommt die IMAP-Migration in Frage.Das bisherige Mailsystem muss, wie derName schon sagt, IMAP unterstützen.Hierbei werden zunächst die Konten –bevorzugt mittels einer CSV-Datei – inder Cloud angelegt. Bei der nun folgen-den Migration gibt der Administratordann den IMAP-Server an und über-mittelt eine CSV-Datei, die dem Migra-tionsassistenten mitteilt, wie der Nameund das verschlüsselte Passwort für jedenBenutzer lauten. Wie bei den anderenMigrationen lässt sich weiter mit dembisherigen Mailsystem arbeiten, bis alleDaten umgezogen sind.

All diese Migrationsmethoden gehen da-von aus, dass alle Mailboxen in die Cloudmigriert werden. Natürlich können ein-zelne Mailsysteme auch On-Premise blei-ben, allerdings muss sich der IT-Verant-wortliche dann mit unterschiedlichen

Domänennamen in den E-Mailadressenbehelfen, wenn es zu einem E-Mailaus-tausch zwischen der Cloud und der On-Premise-Lösung kommen soll.

Hybride Szenarien verschaffen FlexibilitätWenn mittelfristig geplant ist, Mailboxenin der gleichen Maildomäne On-Pre-mise und in der Cloud zu haben, kommtein Hybrid-Szenario in Frage, das auch“Reiche Koexistenz” genannt wird. Diesist ein sehr komplexes Szenario, das abervolle Integration bietet und in dem sichetwa Anwendungen, die ein lokales Ex-

Standorte der CloudOn-Premise: Die für die Cloud benötigte Hardwaresteht im Netzwerk / Rechenzentrum des Nutzers.

Off-Premise: Die für die Cloud benötigte Hardware be-findet sich außer Reichweite des Nutzers.

Service ModelleSoftware as a Service (SaaS): Der Nutzer verwendetdie Anwendung des Anbieters, hat aber keine Kontrolleüber die Infrastruktur oder globale Einstellungen.

Platform as a Service (PaaS): Der Nutzer kann in derCloud-Infrastruktur eigene oder zugekaufte Anwendun-gen laufen lassen. Er hat keine Kontrolle über die In-frastruktur, jedoch über die Anwendungseinstellungenund gegebenenfalls über die Konfigurationseinstellun-gen der Umgebung für die Anwendung.

Infrastructure as a Service (IaaS): Der Konsument kannCPU-Last, Speicher, Netzwerk und andere fundamentaleRessourcen nutzen und beliebige Software bis hin zuBetriebssystemen laufen lassen. Er hat keine Kontrolleüber die Cloud-Infrastruktur, jedoch über das Betriebs-system. Möglicherweise ist auch eine limitierte Kontrolleüber Netzwerkkomponenten wie Firewalls vorhanden.

Deployment-ModellePrivate Cloud: Dedizierte Cloud für ein Unternehmen,kann vom Nutzer selbst oder von einem Dienstleisterverwaltet werden. Ist sowohl On- als auch Off-Premisemöglich.

Community Cloud: Hier teilen sich verschiedene Orga-nisationen mit gemeinsamen Interesse die Cloud. Auchhier ist unerheblich, wer die Infrastruktur verwaltetoder ob die Hardware On- oder Off-Premise steht.

Public Cloud: Hier wird die Cloud der breiten Öffentlich-keit oder vielen Unternehmen zur Verfügung gestelltund von einer Firma verwaltet, die derartige Outsour-cing-Services verkauft.

Hybrid Cloud: Eine Verknüpfung verschiedener Cloud-Modelle, die mit Hilfe standardisierter oder proprietä-rer Technologien verbunden werden.

Cloud-Terminologien



change benötigen, weiterhin betreibenlassen. Bei dieser Migrationsmethodewird das Directory Services Synchroni-sationstool (DirSync) eingesetzt, das Of-fice 365 zur Verfügung stellt. Hierbeihandelt es sich um eine eingeschränkteund angepasste Version des ForefrontIdentity Managers (FIM). Dieser syn-chronisiert alle Benutzerkonten und Ver-teilergruppen in die Cloud. Ausnahmensind standardmäßig zwar nicht erlaubt,allerdings bedeutet die Synchronisationnicht, dass alle Mailboxen zwangsweisein die Cloud müssen.

Beim Einrichten von DirSync muss sichder Administrator vielmehr entscheiden,ob eine Ein- oder Zwei-Wege-Synchro-nisation stattfinden soll. Bei der Einbahn-straßen-Variante werden nur die On-Pre-mise-Accounts in die Cloud gelegt. Wenndann vor Ort Änderungen stattfinden,werden diese in der Cloud aktualisiert,

nicht aber anders herum. Die Einweg-Synchronisation ist daher weniger bei ei-nem Hybrid-Szenario, sondern eher beieiner Staged Migration denkbar. DieZwei-Wege-Synchronisation hingegenstellt sicher, dass die Benutzerkonten undVerteilergruppen in beiden Richtungenstets auf aktuellem Stand sind. Somit wirdein Konto, das in der Cloud geändertwird, auch im lokalen Active Directorydes Unternehmens angepasst. Für hybrideSzenarien, wo meist langfristig geplant ist,On- und Off-Premise-Mailboxen parallelzu verwalten, ist dies sehr sinnvoll.

Der Reiz der “Reichen Koexistenz” liegtprimär auf der Exchange-Seite: Die Ex-change-Server des Unternehmens (On-Premise) werden mit den Exchange-Ser-vern in der Cloud genauso wieinnerhalb einer Organisation verbunden.Damit hat der Administrator volle Kon-trolle über das Verschieben von Postfä-

chern, indem er mittels des Mailbox Re-plication Services festlegt, ob ein Kontoin der Cloud oder On-Premise liegt –exakt so, wie er es bei mehreren lokalenExchange-Servern tun würde. Auchbeim Mail-Routing ist er bei diesemSzenario flexibel, On-Premise und Off-Premise haben jeweils die gleichenE-Mailadressen und der Administratorhat die Wahl, ob Mails von extern primärin die Cloud gehen (und hier die Si-cherheitsfeatures von Forefront nutzen)oder ob die Nachrichten zunächst insein On-Premise-Exchange laufen. DieMails dann entsprechend zwischen vorOrt und der Cloud zu routen, über-nimmt Exchange.

Ein weiterer Vorteil ist, dass der Admi-nistrator nicht das Outlook der Anwen-der umkonfigurieren muss, da der Mail-client einen Serverwechsel innerhalb dergleichen Exchange-Organisation auto-matisch feststellt. Damit ist das hybrideSzenario die flexibelste Methode, erfor-dert aber, Exchange im lokalen Netzwerkzu betreiben. Sogar Outlook Web Accesslässt sich in diesem Szenario so einrich-ten, dass der Anwender immer nur eineURL benötigt und damit Zugriff auf seinPostfach erhält, egal ob sich dieses in derCloud oder vor Ort befindet.

Kommt das Szenario der “Reichen Ko-existenz” zum Einsatz, lassen sich damitzum einen besondere Postfächer, etwadie des Vorstands oder der Personalab-teilung, lokal hosten. Zum anderen kön-nen lokale Applikationen (zum BeispielFax-Server) auf Exchange zurückgreifenund der Administrator hat zusätzlich dieMöglichkeit, weitere Funktionen wie

Testen Sie kostenlos und unverbindlich die elektronische IT-Administrator Leseprobe auf www.it-administrator.de.

Wann immer Sie möchten und wo immer Sie sich gerade befinden – Volltextsuche,Zoomfunktion und alle Verlinkungen inklusive. Klicken Sie sich ab heute mit demIT-Administrator einfach von Seite zu Seite, von Rubrik zu Rubrik!

Infos zu E-Abos, E-Einzelheften und Kombiangeboten finden Sie auf:

www.it-administrator.de/magazin/epaper

Lesen Sie den IT-Administrator als E-Paper

Bild 3: Bei der “Reichen Koexistenz” kann der Administrator Postfächer zwischen dem eigenen Rechenzentrum und der Cloud beliebig hin- und herschieben




Archivierung oder die Forefront-Mail-filter in der Cloud für die lokalen Post-fächer zu verwenden.

Single-Sign-On für die AnwenderEin weiteres Thema bei der erfolgreichenIntegration von Cloud-Diensten im Un-ternehmen ist der Zugriff der Anwenderauf ihre Mailbox beziehungsweise die An-meldung vor der Nutzung weiterer Werk-zeuge. Hier gibt es entweder die Methode,dass der Nutzer sein Passwort separat pflegtund sich an den entsprechenden Dienstenmit diesen Cloud-Credentials anmeldet.Als komfortabler stellt sich eine Single-Sign-On-Variante dar, die vor allem ingrößeren Unternehmen empfehlenswertist. Hierfür ist ebenfalls eine Directory-Synchronisation mittels DirSync notwen-dig. Zusätzlich kommt lokal ein FederationServer (Active Directory Federation Ser-vices, ADFS) zum Einsatz. Dieser wird fürdie Office 365-Cloud konfiguriert.

Wenn ein Anwender nun auf die Cloud-Dienste zugreifen möchte, egal ob er mitWord ein Dokument auf dem SharePoint-Server abspeichert, per Outlook auf seinPostfach zugreift oder mit Hilfe von Lynckommuniziert, wird er nicht mehr nachBenutzernamen und Passwort gefragt.Stattdessen verweist der Office 365-Serverihn auf den Federation Server. Dieser lo-kale Server überprüft, ob der Anwenderbereits im Unternehmen angemeldet ist.Wenn nicht, wird er nach den Zugangs-daten für seinen Unternehmenslogin ge-

fragt. Sobald der Benutzer dem Unter-nehmen gegenüber authentifiziert ist, er-hält er einen Token und kommt wiederauf den Office 365-Server.

Idealerweise geschieht diese Authentifi-zierung ohne Benutzerinteraktion, au-ßerdem bietet sie zusätzliche Sicherheit.Wenn ein Mitarbeiterkonto deaktiviertwird, kann der Nutzer auch auf Office365 nicht mehr zugreifen. Ein zusätzlicherNutzen: Das Passwort liegt nicht in derCloud, denn der Anwender identifiziertsich gegenüber seinem Unternehmenund bekommt von dort ein signiertes In-ternet-Cookie, das ihn zum Zugriff aufOffice 365 berechtigt. Ob dies über dieDesktop-Versionen der Office-Anwen-dungen erfolgt oder über das Webportalvon Office 365, ist weitestgehend egal.

Kommunikation über Unternehmensgrenzen hinwegBisher haben wir die Szenarien Exchangein der Wolke, die eventuell nötige Migra-tion von Daten sowie die Verwaltung derIdentitäten betrachtet. Was die Implemen-tierung von Lync betrifft, gibt es nicht vieleVarianten: Das Kommunikations-Werk-zeug unterstützt kein hybrides Szenario imeigentlichen Sinne. Allerdings ist es theo-retisch möglich, bei unterschiedlichen E-Mailadressen für On- und Off-Premiseauch Lync On- und Off-Premise zu nutzenund miteinander kommunizieren zu lassen.Bei SharePoint hat der Administrator dieWahl, ob er alle SharePoint-Sites in der

Cloud nutzen will oder nur lokal oder dieeine Site in der Cloud und die andere vorOrt. Eine wirkliche Integration gibt es indiesem Fall nicht.

Lync kann der IT-Verantwortliche so ein-richten, dass die Software die Communi-cator-Funktionalitäten (Instant Messaging,Online-/Offine-Status, Audio/Video-An-rufe mit Desktop-Sharing) im Verbundmit anderen Unternehmen nutzt. Hierfürmuss sich der Administrator entscheiden,ob er die Kommunikation mit allen Un-ternehmen unterstützt (und gegebenenfallseinzelne blockt) oder ob er nur einzelneerlaubt. Das Gleiche gilt für die “Federa-tion” mit Windows Live Messenger: DerAdministrator kann bestimmen, dass dieKommunikation mit den “öffentlichen”Windows Live Messenger-Kontakten er-laubt sein soll. Hier funktionieren dannauch Instant Messages, Online-Offline so-wie Audio/Video, allerdings keine Kon-ferenzen oder Desktop Sharing.

Größenbeschränkungen und IntegrationshürdenOffice 365 bietet zwar eine Menge Mög-lichkeiten und ist in vielen Bereichen eine

Bild 4: Der Federation Server ermöglicht Single-Sign-On an der Cloud über lokale Benutzerkonten des Unternehmens

Bild 5: Lync kann auch mit Partnerunternehmen oderWindows Live-Konten kommunizieren, wenn der

Administrator es erlaubt


Link-Codes eingeben auf www.it-administrator.de Januar 2012 61


runde Lösung, es gibt jedoch wie immerPunkte, die vor dem Einsatz diskutiertwerden sollten. So zum Beispiel existiereneinige Limits: Die 25 GByte Postfachgrö-ße und 25 MByte pro Mail werden viel-leicht für die meisten Unternehmen aus-reichend sein. Aber es gibt etwa auch dieBeschränkung, dass nur bis zu 10.000 Be-nutzer initial mit DirSync synchronisiertwerden können. Dieses Limit lässt sich al-lerdings vom Support anheben, wenn dasUnternehmen mehr Anwender in Office365 bringt. Außerdem sind beim E-Mail-versand für jedes Mailkonto nur Mails an500 (bei P1) beziehungsweise 1.500 (beiden Enterprise-Plänen) individuelle Emp-fänger (externe E-Mailadressen oder inOffice 365 integrierte Verteilerlisten) proTag zugelassen. Microsoft will so verhin-dern, dass die E-Mailserver von Office365 als Spamserver missbraucht werden.Für Massenmails sollten daher entspre-chende Dienste spezialisierter Dienstleisterzum Einsatz kommen. Es gibt noch wei-tere, speziellere Limits, die unter URL [4]einsehbar sind.

Das Thema Sicherheit hatten wir bereitskurz betrachtet – bei der Verwendung vonOnline-Providern ist immer zu überlegen,welches Maß an Sicherheit im Unterneh-men angebracht ist. Hier liegt Office 365sicherlich nicht schlecht und auf jedenFall deutlich über dem Extrem-Szenarioeiner Umgebung, in der sich der Admi-nistrator nicht fortbilden kann und in derfür das Patchen und Aktualisieren keineZeit bleibt. Office 365 wird immer aktuellgehalten und sämtlicher Netzwerkverkehrist verschlüsselt. Auf der anderen Seite sinddie Administratoren nicht persönlich be-kannt und manche Sicherheitslösungenwie Festplattenverschlüsselung lassen sichnicht oder nur schwer integrieren.

Was die Administration betrifft, geschiehtauf den ersten Blick sehr viel über daswebbasierte Administrationsportal. Wenneine Verzeichnisdienst-Synchronisationeingerichtet ist, kann der Administratorseine Standardkonsolen wie Active Di-rectory-Benutzer und -Computer ver-wenden, um einen Teil der Verwaltungdurchzuführen. Und auch die ExchangeVerwaltungskonsole steht zum Einsatz be-reit, um Exchange online zu managen.

Zusätzlich kann der Administrator überdie PowerShell Cmdlets für Office 365viele Aufgaben über PowerShell-Skripteund -kommandos durchführen [5].

Für eine unternehmensintegrierte Office365-Lösung ist zwar etwas Know-how derprimär verwendeten Produkte sinnvoll, dieeigentlichen Herausforderungen stellensich jedoch an anderer Seite: Office 365benötigt einiges an Hintergrundtechno-logien. Zum Beispiel werden keine Do-mänenregistrierung und kein unterneh-mensspezifisches DNS angeboten. Diesmuss das Unternehmen separat verwalten.Wenn E-Mailadressen zum Einsatz kom-men sollen, die nicht nach dem MusterMailadresse@{Domäne}.onmicrosoft.com auf-gebaut sind, sind Einstellungen am öffent-lichen DNS unausweichlich. So muss einCNAME eingetragen werden, um Micro-soft zu beweisen, dass der Name dem Un-ternehmen gehört und administrierbar ist.

Für Exchange sind die MX-Einträge an-zupassen, für SharePoint wiederum bedarfes eines CNAME oder A-Eintrags. Umaußerdem zu vermeiden, dass Unterneh-men Mails nicht akzeptieren, ist ein TXT-Eintrag und für Lync sogar ein Service-Eintrag (SRV) vonnöten. All dieseFeinjustierungen sind obligatorisch, nurum einen eigenen Domänennamen ver-wenden zu können. Für DirSync ist Di-rectory-Know-how von Vorteil, es gibt so-gar Szenarien, wo ein zusätzlicher Einsatzdes Forefront Identity Managers sinnvollist (für Gesamtumgebungen mit mehrerenDomänen, die ein Office 365 nutzenmöchten). Für Single-Sign-On wiederumsollte sich der IT-Verantwortliche mit denFederation Services auseinandergesetzt ha-ben, außerdem bedarf es an Zertifikaten,damit die Tokens signiert und sicher über-tragen werden können.

Die Office 365-Onlinehilfe [6] bietet einegute Unterstützung für die Einrichtungder benötigten Komponenten. Zusätzlichgibt es den Exchange Server DeploymentAssistenten [7], der dem Administrator zurSeite steht, wenn es darum geht, seine An-forderungen zu definieren. Außerdem gibtes hier ein Dokument, das dem IT-Tech-niker bei der Einrichtung hilft. Trotzdemist für die tägliche Arbeit und das Trou-

bleshooting hilfreich, sich vor allem mitden im Hintergrund verwendeten Tech-nologien auseinanderzusetzen.

FazitOffice 365 bietet eine gute Rundum-Lö-sung für Unternehmen, die ihren Kommu-nikationsbackbone mit E-Mail, Terminver-waltung, Präsenz- und Sprachintegration,Dokumentenverwaltung, Intranet oder sogarAustauschplattform im Internet auf Share-Point und gemeinsames Arbeiten mit derOffice Produktpalette in die Cloud legenwollen. Besonders durch die gut gelöste In-tegration der Anwendungen untereinanderbis hin zum Desktop des Anwenders in-klusive Single-Sign-On gestaltet sich dasArbeiten in der Cloud nahezu reibungslos.Nie außer Acht gelassen werden solltehierbei, dass nicht die Download-, son-dern die Upload-Geschwindigkeit derNetzwerkleitung ausschlaggebend fürdas Tempo der Migration ist.

Für die Integration in die Unternehmens-infrastruktur ist einiges an Know-how er-forderlich. Dies betrifft nicht unbedingtdie im Vordergrund stehenden Technolo-gien, sondern auch Themen wie DNS,Verzeichnisdienste, Federation Servicesund Zertifikatsdienste. Insbesondere wennmehr und mehr verschiedene Dienste ausunterschiedlichen Clouds genutzt werden,ist es wichtig, die Gesamtinfrastruktur imÜberblick zu behalten. (ln)

[1] Office 365 für Selbstständige und kleine Unternehmen C1P11

[2] Office 365 für mittelständische und große Unternehmen C1P12

[3] Informationen zu Lizenzbeschränkungen C1P13

[4] Grenzen für Nachrichten, Postfach und Empfänger C1P14

[5] Windows PowerShell für die Verwaltung von Office 365 C1P15

[6] Office 365-Onlinehilfe C1P16

[7] Exchange Server Deployment Assistant C1P17

Link-Codes



W I S S E N I K n o w - h o w

ie Anzahl und Vielfalt der internet-fähigen Geräte in Unternehmen je-

der Größenordnung steigt. Gleichzeitig hatdas klassische Diensthandy ausgedient undwird zunehmend von den pr ivatenSmartphones und Tablets der Mitarbeiterersetzt. Klassische Smartphone-Anwendun-gen wie E-Mail, Kalenderfunktion und dieKontaktverwaltung sowie Zugriff aufCRM- und ERP-Systeme von unterwegssind dabei erst der Anfang. Nach einerIDG-Untersuchung ziehen 39 Prozent derbefragten Unternehmen bereits in Erwä-gung, funktionale Apps der nächsten Ge-neration einzusetzen. Hierbei handelt essich um die Nutzung von GPS, Kamerasund sozialen Netzwerken, um das Tagesge-schäft der Mitarbeiter zu erleichtern.

Vielzahl an Geräten bereitet KopfzerbrechenDas Management und die Sicherheit derDaten auf diesen Geräten bereitet den IT-Abteilungen allerdings gehöriges Kopf-

zerbrechen. In der Vergangenheit wurdenIT-Abteilungen solchen Problemen Herr,indem sie einfach die Anzahl der unter-schiedlichen Plattformen limitierten. DieseVorgehensweise ist allerdings nicht mehrumsetzbar, denn das Angebot an mobilenEndgeräten ist vielfältig. Selbst wenn einUnternehmen die Strategie der Limitie-rung weiter verfolgen würde: Wie solltendie IT-Abteilungen die ständig zuneh-mende Anzahl an nicht zugelassenen, abertrotzdem genutzten Geräten sinnvoll ma-nagen? Warum sollte eine IT-Abteilungüberhaupt den Mitarbeitern verbieten, ihrmobiles Endgerät zum Arbeiten zu nutzenund damit produktiv zu sein?

Das alte Argument, dass iPhones sich nichtals Business-Geräte eignen, ist längst über-holt. Manche Anwendungen funktionierenbesser auf der einen Geräteplattform alsauf der anderen, was dazu führt, dass dieVielzahl an Kombinationsmöglichkeitendie optimale Lösung für alle denkbaren

Aufgaben bereithält. Gerade die Vielzahlder Plattformen sorgt dafür, dass für jedeAufgabe auch das passende Tool zur Verfü-gung steht. Hier steckt der Teufel jedochwie so oft im Detail. Denn jedes mobileBetriebssystem bietet höchst unterschied-liche Funktionalitäten in Bezug auf das Re-mote Management. Zwar werden Mini-malfunktionen, wie zum Beispiel dasInventarmanagement, von allen mobilenBetriebssystemen unterstützt. Die am weitesten verbreiteten, Apples iOS sowie Android, verfolgen allerdings zwei völligverschiedene Ansätze: Während Apple Fern-zugriffsmöglichkeiten restriktiv handhabtund die Durchführung beispielsweise einesRemote Backups sehr stark reglementiert,sind die Möglichkeiten beim Mobile De-vice Management von Geräten mit An-droid-Betriebssystemen nahezu unbegrenzt.

Der Support muss stimmenWelche Handlungsempfehlungen lassensich hieraus nun für IT-Abteilungen ab-

D

Mobile Device Management

Herrscher im Geräte-Zoovon Uwe Becker

Arbeitnehmer von heute verstehen moderne Informationstechnologien als wichtigen Teil ihres Arbeitsalltags. Wie seinerzeit E-Mails sind es nun Mobile Devices, die die Unternehmen

auf den Kopf stellen. Um die Sicherheit von Kunden- und Firmen-daten zu gewährleisten, müssen die IT-Abteilungen stets die

Kontrolle über Einstellungen, Connectivity undüber die Software aller im Unternehmen

eingesetzten mobilen Endgeräte behalten. Dennoch kommen in vielen Unternehmen not-wendige Management- und

Sicherheitsinfrastrukturen immer noch nicht

zum Einsatz. DieserBeitrag liefert not-wendiges Wissen

um die sichere Verwendung von

Smartphone und Co.Quelle: pixelio.de

S76-77_ITA_0112_W03_ok_ITA_Default 20.12.2011 13:04 Seite 2

www.it-administrator.de Januar 2012 77

W I S S E N I K n o w - h o w

leiten? Zunächst einmal die Einsicht, dasseine Einbindung unterschiedlicher End-geräte nur über eine diversifizierte IT-Ar-chitektur funktioniert. Hier sind beispiels-weise Virtualisierung sowie Cloud- undOn-demand-Services geeignet, um dieBelegschaftsstrukturen moderner Unter-nehmen abzubilden. Arbeiten im HomeOffice beziehungsweise von unterwegsgehört längst zum Alltag vieler Arbeitneh-mer. Dementsprechend muss auch derRemote-Zugriff auf Firmennetze und -daten jederzeit und von überall sichermöglich sein.

Weiterhin ist es wichtig, dass mobileEndgeräte den gleichen Support erhaltenwie der klassische PC oder Laptop. Auf-grund der hohen Komplexität muss hierebenso eine Vielzahl an Parametern be-rücksichtigt werden, wie beispielsweisedie Datensicherheit, das Datenmanage-ment und der Anwendungssupport. Mitden vielen unterschiedlichen Geräte-plattformen, die mittlerweile in Unter-nehmen zum Einsatz kommen, sindTools gefragt, die unterschiedliche Be-triebssysteme wie Android, BlackBerryOS, Windows Mobile, iOS und Symbianmanagen. Typische Herausforderungenhierbei sind die Verwaltung der Anzahlund Einstellungen der unterschiedlichenGeräte, die Passwort- und Sicherheits-einstellungen, die Kontrolle der Con-nectivity sowie das Aufspielen neuerSoftware und Updates. Diese Herausfor-derungen lassen sich aus Unternehmens-sicht am einfachsten durch mobile End-geräte mit Symbian- und WindowsMobile-Betriebssystemen meistern, dabeide eine vergleichsweise hohe Skalie-rung ermöglichen.

Sicherheitsrichtlinien unverzichtbarDas meiste Kopfzerbrechen bereitet denIT-Verantwortlichen aber sicherlich dasSicherheitsmanagement. Mit durch-schnittlich 8 GByte an Speicherkapazitätlässt sich eine beachtliche Menge an Un-ternehmensdaten auf einem Smartphonespeichern, die leicht durch einen Ha-ckerangriff, manipulierte Software, einenTrojaner oder durch den physischen Ver-lust des Gerätes in die falschen Händegeraten könnte.

Parallel hierzu stellt sich die Frage derDurchführung von Backups und derSynchronisierung von Daten. Setzt einUnternehmen Microsoft Exchange ein,wird auch die Synchronisierung durchdieses System verwaltet. Das mobile End-gerät empfängt in diesem Fall nur dieDaten, ohne selber eine Anfrage an denzentralen Server zu stellen. Die Schwach-stelle ist im Fall eines Manipulationsver-suches auf Serverseite zu suchen und so-mit nicht ein proprietäres Problem derjeweiligen MDM-Lösung. Beim ThemaBackup sieht es schon weitaus kompli-zierter aus, da nicht jedes Betriebssystemper se diese Funktion unterstützt. An-droid unterstützt diese Funktionalität bei-spielsweise von Haus aus nicht. Stattdes-sen kann man nur über Software einesDrittanbieters, die sowohl auf dem Clientals auch auf dem Server installiert seinmuss, diese wichtige Funktion in die je-weilige Mobile Device Management-Lö-sung implementieren.

Aber zurück zum Sicherheitsmanage-ment: Um hier auf mögliche Eventuali-täten vorbereitet zu sein, ist es absolutnotwendig, Sicherheitsrichtlinien zu etab-lieren. Diese müssen in jedem Fall dreiAnforderungen erfüllen:- Vertraulichkeit: Die Daten dürfen von

keiner fremden Person eingesehen wer-den können.

- Integrität: Es muss sichergestellt sein,dass keine unautorisierten Veränderun-gen an den Einstellungen oder dem Da-tenbestand gemacht werden können.

- Verfügbarkeit: Die Daten müssen au-torisierten Nutzern jederzeit zur Ver-fügung stehen.

Sicherheitstools müssen in der Lage sein,die ganze Bandbreite an Aufgaben, wieetwa Patch-Management, Vermeidung vonAnwendungsfehlern, Abwehr von Viren-angriffen sowie den nicht-autorisiertenGerätezugriff zu Firmennetzwerken, zuerfüllen. Zusätzlich müssen sie die Mög-lichkeit bieten, Geräte remote zu sperrenoder zu löschen und vertrauliche Firmen-daten zu verschlüsseln. Diese Tools sindin der Regel in ein zentrales Manage-mentsystem implementiert und kontrol-lieren, installieren und konfigurieren Pro-gramme, Zertifikate und Einstellungen

vollautomatisch über eine Software. DasÜbertragungsspektrum reicht hierbei vonsicheren VPN- oder APN-Verbindungenüber Mobilfunk bis hin zu Network Ac-cess Control (NAC)-Lösungen. Auf demMarkt ist dementsprechend eine Vielzahlvon Angeboten zu finden, die von Ein-zellösungen für bestimmte Aufgaben biszu umfassenden Kombinationsmöglich-keiten reichen, die die Leistungsmerkmalemehrerer Technologien miteinander ver-binden. Eine allgemeingültige Lösungexistiert folglich nicht. Stattdessen hängtdie Auswahl des jeweiligen Lösungspaketesdavon ab, wie homogen beziehungsweiseheterogen die IT-Architektur und die ein-gesetzten mobilen Endgeräte sind.

Automatisiertes Mobile Device ManagementDer physische Zugriff auf alle mobilenGeräte, um Anwendungen zu implemen-tieren oder Einstellungen zu ändern, istin einem global agierenden Unterneh-men rein vom Zeitaufwand her nichtmöglich. Sich andererseits darauf zu ver-lassen, dass Mitarbeiter über den PC undUSB-Anschluss Software aufspielen, istebenfalls nicht zu empfehlen, da danndie IT-Abteilung die Abläufe nicht unterKontrolle hat.

Als Alternative empfiehlt es sich hier, neueMDM-Tools zu verwenden, die automa-tisch die Gerätekonfiguration, den Sup-port, die Administrierung und die Ver-waltung der Sicherheitseinstellungen überdas Mobilfunknetz durchführen. Dabeiwird der ganze Gerätemanagementpro-zess, von der Software-Aktualisierung bishin zum Ein- und Ausschalten bestimm-ter Funktionen, wie zum Beispiel der Ka-mera, durch das einfache Senden einerSMS gesteuert, ohne dass der User selbsteinzugreifen braucht. Das Managementeines mobilen Endgeräte-Pools bindet er-hebliche finanzielle und personelle Res-sourcen in Unternehmens-IT-Architek-turen. Der Einsatz einer automatisiertenMobile Device Management-Lösung re-duziert den Zeitaufwand und letztendlichKosten beim Rollout und der Verwaltungmobiler Geräte. (jp)

Uwe Becker ist Head of Global Services Ger-many bei Orange Business Services.

S76-77_ITA_0112_W03_ok_ITA_Default 20.12.2011 13:04 Seite 3

Sichern Sie sich jetzt das IT-Administrator Jahresabo All-Inclusive mit allen Monats-

ausgaben im Print- und E-Paper-Format, zwei Sonderheften pro Jahr und der Jahres-CD.

Automatisch bekommen Sie im März und Oktober jeweils das IT-Administrator

Sonderheft und im Dezember die Jahres-CD mit allen Monatsausgaben im PDF-Format

zugestellt. Ihre Abonummer wird zum Loginfür die E-Paper-Monatsausgabe – jetztauch mit App fürs iPad!

Als bestehender Jahresabonnent können Sie hier upgraden:

www.it-administrator.de/abonnements/aboupgrade/

Oder Sie sind Neukunde? Hier können Sie bestellen:

www.it-administrator.de/abonnements/jahresabo/

www.it-administrator.deHeinemann Verlag GmbHLeopoldstraße 87D-80802 München

Tel: 0049-89-4445408-0Fax: [email protected]

DasIT-AdministratorKomplettprogramm!!!

vertriebsunion meynenHerr Stephan OrgelD-65341 Eltville

Tel: 06123/9238-251Fax: 06123/[email protected]

Vertrieb, Abo- und Leserservice IT-AdministratorVerlag / Herausgeber

NEU!Jetzt auch inklusive

E-Paper!

S35-39_ITA_0213_T05_EAZ-Abo-Allinclusive_ok_ITA_Default 22.01.2013 12:47 Seite 7

Auszüge als Leseprobe

Documents

Transcript of Auszüge als Leseprobe